검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'보안 소프트웨어'통합검색 결과 입니다. (77건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

[유미's 픽] 글로벌 '먹통' 유발 크라우드스트라이크·MS '위기'…SW 공급망 허점 도마 위

마이크로소프트(MS) 클라우드 서비스 장애를 유발해 세계를 마비시킨 사이버 보안 기업 크라우드스트라이크가 위기에 빠졌다. 피해나 규모면에서 '역대 최악의 IT 대란'이라는 평가와 더불어 복구가 몇 주 걸릴 것이란 예측 속에 보안·소프트웨어(SW) 기업들의 공급망 관리에 대한 문제점도 제기됐다. 20일 뉴욕증권거래소(NYSE)에 따르면 크라우드스트라이크 주가는 지난 19일(현지시간) 전일 대비 11.10% 하락한 304.96달러에 거래를 마쳤다. 장중 한 때 낙폭을 15% 이상까지 늘렸다가 소폭 만회했다. 이날 MS 주가 역시 전일 대비 0.74% 떨어졌다. 반면 경쟁사 팔로알토 네트웍스 주가는 2.16% 올랐다. 동종업체 센티넬원 주가도 7.85% 급상승했다. 두 업체의 주가가 하락세를 보인 것은 크라우드스트라이크가 보안 소프트웨어를 업데이트하는 과정에서 MS 운영체제인 '윈도'와의 충돌로 MS 클라우드 서비스에 차질이 빚어졌기 때문이다. 이 일로 항공·통신·방송·금융 등 인프라에서 전산망 장애가 발생해 업무가 마비되며 곳곳에서 혼란을 겪게 됐다. 또 리눅스 등 다른 OS도 있지만 상당수 기업들이 MS '윈도'를 서버나 PC OS로 채택하고 있다는 점에서 이번에 피해가 컸다는 분석이다. 이에 사티아 나델라 MS 최고경영자(CEO)와 조지 커츠 크라우드스트라이크 CEO는 이번 사태를 해결하기 위해 서로 협력하면서 문제를 해결해나가겠다는 입장을 밝혔지만, 해결까지 수일 혹은 몇 주가 걸릴 것이란 분석에 위기를 맞게 됐다. 나델라 CEO는 자신의 엑스(X·옛 트위터) 계정을 통해 "크라우드스트라이크가 어제 업데이트를 발표했는데, 우리는 이것이 세계 IT 시스템에 영향을 미친 문제를 인지하고 있다"며 "(MS는) 크라우드스트라이크 및 업계 전반과 긴밀히 협력해 고객 시스템을 안전하게 시스템을 복구할 수 있도록 기술 지침 및 지원을 제공하고 있다"고 전했다. 이 같은 글에 일론 머스크 테슬라 CEO는 "이로 인해 자동차 공급망에 발작이 일어났다"고 댓글로 답해 눈길을 끌기도 했다. 미국 전기차업체 테슬라 역시 이번 IT 대란 사태 여파로 일부 생산 라인이 중단됐기 때문이다. 이번 사태의 원인이 된 크라우드스트라이크 측은 사과의 뜻을 전하면서도 맥과 리눅스 등에는 영향을 받지 않았다고 설명했다. 또 이번 사건은 보안사고나 사이버 공격이 아니라는 점도 분명히 했다. 조지 컬츠 CEO는 "이번 사태로 영향을 받은 모두에게 깊이 사과드린다"며 "고객에게 지속적으로 최신 업데이트를 제공할 것"이라고 밝혔다. 이번 일로 크라우드스트라이크의 주가는 당분간 하락세를 면치 못할 것이란 전망이 나왔다. IT 대란을 유발한 만큼 향후 MS 클라우드를 쓴 고객들이 손해배상을 청구할 시 막대한 비용이 발생할 것이란 점도 우려되는 대목이다. 시가총액이 116조 원에 달하는 크라우드스트라이크의 지난 1분기 매출은 전년 동기보다 33% 늘어난 9억2천100만 달러(약 1조2천억 원), 순이익은 86배가 늘어난 428만 달러(약 59억5천만 원)를 기록한 바 있다. 투자은행 웨드부시 분석가 댄 아이브스는 "이번 사태는 크라우드스트라이크에 분명한 수치를 안겼다"며 "주가에 하방 압력이 작용할 것"이라고 관측했다. 오펜하이머 분석가 이타이 키드론은 "크라우드스트라이크 명성에 타격을 안겼다"며 "투자심리뿐 아니라 앞으로의 경영 실적에 영향을 미칠 가능성이 높다"고 전망했다. 이번 사태를 두고 업계에선 SW 공급망 관리 체계의 허점이 그대로 노출됐다고 평가했다. SW 공급망이란 소프트웨어가 개발, 배포, 설치되는 전체 과정과 일련의 활동을 뜻한다. 온라인·클라우드로 제품을 설치하고 주기적으로 제품 업데이트를 진행한다는 점에서 패키지 SW를 팔 던 예전 방식과 다소 차이가 있다. 컴퓨터를 사용할 때 프로그램들이 자동 업데이트 되는 것이 흔히 볼 수 있는 방식이다. 이 탓에 기술적 오류가 발생하거나 제3자가 해킹해 SW 업데이트를 악용할 경우 이번 사고처럼 세계 곳곳에 대혼란을 야기하며 상당한 경제적 손실을 초래할 수 있다. 또 SW 공급망 공격으로 인한 비용이 갈수록 증가하고 있는 만큼 각 기업들이 대책 마련에도 적극 나서야 할 필요가 있다는 지적도 있다. 실제 가트너가 발간한 보고서에 따르면 SW 공급망 공격으로 인한 비용은 지난해 460억 달러(약 64조 원)에서 오는 2031년 1천380억 달러(약 192조 원)로 증가할 전망이다. 가트너는 "기업·기관이 사용하는 소프트웨어 90% 이상이 오픈소스에 종속돼 있는데 이 중 74%가 고위험군"이라며 "부적절한 보안 개발 관행으로 인해 취약점이 코드에 삽입될 확률이 높다"고 지적했다. 이어 "공격자가 개발 환경에 직접 침투해 멀웨어가 삽입된 SW가 배포되도록 하는 방법도 흔한 SW 공급망 공격"이라며 "특히 오픈소스 패키지에 멀웨어를 삽입하는 공격 빈도가 최근 들어 급증했다"고 덧붙였다. 가트너는 내년까지 전 세계 조직의 45%가 SW 공급망 공격을 경험할 것으로 내다봤다. 과학기술정보통신부와 한국인터넷진흥원(KISA) 역시 '2023년 사이버 보안 위협 분석과 2024년 사이버 보안 위협 전망'을 통해 올해 주요 사이버 위협 중 첫 번째로 SW 공급망 공격을 꼽았다. 블룸버그통신은 "이번 사태와 같은 치명적인 장애는 글로벌 공급망에 대한 위협이 점점 더 심각해지고 있음을 보여준 것"이라며 "전 세계에서 가장 크고 중요한 일부 산업의 IT 시스템이 상태적으로 잘 알려지지 않은 소수의 SW 공급업체에게 크게 의존해왔다는 점이 문제"라고 지적했다. 업계 관계자는 "SW 공급망 문제를 해결하기 위해 개별 기업·기관의 보안 노력은 물론 정부와 업계에서도 대안 마련에 적극 나설 필요가 있다"며 "일시적이거나 단편적인 취약점 제거로는 공급망 전반의 위험을 낮출 수 없기 때문에 공급망에 관계되는 모든 조직이 함께 문제를 해결해야 한다"고 밝혔다. 가트너는 SW 공급망 전반의 리스크를 낮추기 위해 ▲큐레이트 ▲생성 ▲소비를 주축으로 한 SSCS 전략을 제시했다. 큐레이트는 보안, 라이선스, 지적재산, 공급망 위험과 관련한 종속성과 구성요소를 사전에 평가하고, 위험하거나 의심스러운 요소를 개발 과정에서 선택하지 않도록 한다. 또 오픈소스 위험을 자동으로 찾아주는 도구와 SBOM·VEX 등을 사용하는 것을 권고한다. 생성은 소프트웨어 아티팩트 보안 요구사항과 알려진 취약점 악용 가능성의 사용 시점에 소프트웨어 취약성을 평가한다. 최근 공격자들은 악성코드를 종속성에 은밀하게 삽입하고 있기 때문에 개발 파이프라인 전체에서 악의적인 코드 식별과 수정이 필요하다. 가트너는 "NIST SSDF와 같은 검증된 보안 개발사례를 채택하고 코드 개발 시 보안 내재화 접근방법에 따라야 한다"며 "SOC 혹은 제품 보안 사고 대응(PSIRT) 팀에 의한 취약점 검증을 통해 개발자 기기와 개발도구 체인 전반에서 무결성을 검증해야 한다"고 조언했다. 소비는 도입·구축 및 운영하는 전체 과정에서 위협을 식별하고 완화하는 것을 말한다. 공급업체의 보안수준을 평가하는 한편, 도입되는 소프트웨어의 구성요소와 종속성을 파악하고 목록화 해 취약성을 관리해야 한다는 의미다. 가트너는 "패키지 소프트웨어에도 악성코드가 포함돼 있어 전문적인 테스트와 평가가 필요하다"며 "공급망 프레임워크의 큐레이션, 생성, 사용 전반에서 모든 위험 요소를 고려해야 할 것"이라고 밝혔다.

2024.07.20 11:28장유미

[ZD SW 투데이] 코튼시드, 롯데자이언츠 NFT 선수 카드 내놔 外

지디넷코리아가 소프트웨어(SW) 업계의 다양한 소식을 한 눈에 볼 수 있는 'ZD SW 투데이'를 새롭게 마련했습니다. SW뿐 아니라 클라우드, 보안, 인공지능(AI) 등 여러 분야에서 활발히 활동하고 있는 기업들의 소식을 담은 만큼 좀 더 쉽고 편하게 이슈를 확인해 보시기 바랍니다. [편집자주] ◆코튼시드, 롯데자이언츠 NFT 선수 카드 내놔 롯데이노베이트 NFT 플랫폼 코튼시드가 오는 10월 31일까지 롯데자이언츠 선수들로 만든 수집형 NFT 선수카드 프로젝트를 진행한다. 모을 수 있는 롯데자이언츠 NFT 선수 카드는 야구 팬들에게 친숙한 전준우·황성빈·김원중·윤동희·정훈·고승민·손호영·유강남·이학주 총 9명이다. 코튼시드는 추후 미션을 성공해 수집한 NFT 카드 개수에 따라 롯데자이언츠 선수들의 친필 사인 유니폼 지급 이벤트도 진행할 예정이다. ◆트위그팜, 한국지능정보사회진흥원 사업 4개 수주 트위그팜 컨소시엄이 과학기술정보통신부와 한국지능정보사회진흥원(NIA)이 공모한 초거대 인공지능(AI) 확산 생태계 조성사업을 수주했다. 트위그팜 컨소시엄은 교육·미디어콘텐츠·법률·교통물류 영역에서 초거대언어모델(LLM)을 개발하고 생태계 조성 사업에 참여할 계획이다. ◆포자랩스, 작곡가들 AI 회사 입사 배경 공개 AI 음악 창작 기업 포자랩스가 '그 작곡가는 왜 AI 회사에 들어갔을까?' 인터뷰를 공개한다. 신규 컨텐츠는 자신의 업무를 가져갈지도 모르는 AI와 상생하는 인간 작곡가들의 고민, 걱정, 기대를 담아냈다. 광고·영화·대중음악 작곡가, 사운드 엔지니어 등이 작곡가로서 느끼는 위협과 AI를 활용한 새로운 대중음악 창작 방식을 선보일 예정이다. ◆클라이온, '초거대 AI 활용 지원 사업' 참여 클라이온이 NIA가 추진하는 '초거대 AI 활용 지원 사업'에 종합지원형으로 선정됐다. 클라이온은 네이버클라우드컨소시엄으로 참여해 각 수요기업이 생성형AI를 도입할 때 필요한 컨설팅, 데이터 준비 검토, 최종 구현 등 프로세스를 돕는다. ◆메사쿠어컴퍼니, 'AI 엑셀러레이터' 선정 메사쿠어컴퍼니가 하나은행*SK텔레콤이 주관하는 AI 분야 유망 스타트업 지원 사업 'AI 엑셀러레이터' 2기에 선정됐다. AI 엑셀러레이터로 선정된 메사쿠어컴퍼니는 ▲하나은행*SK텔레콤과의 사업연계 ▲외부 설명회 및 투자지원 ▲사무공간 및 시범 단말 인프라 지원 ▲ESG 전환 기회제공 등 프로그램을 지원받는다. 메사쿠어컴퍼니는 헬스케어, 미디어 등 AI 관련 다양한 분야에서 협업 기회를 가지게 됐다.

2024.07.19 16:47양정민

[ZD SW 투데이] 딥브레인AI, KB손해보험에 AI 영상합성 플랫폼 지원 外

지디넷코리아가 소프트웨어(SW) 업계의 다양한 소식을 한 눈에 볼 수 있는 'ZD SW 투데이'를 새롭게 마련했습니다. SW뿐 아니라 클라우드, 보안, 인공지능(AI) 등 여러 분야에서 활발히 활동하고 있는 기업들의 소식을 담은 만큼 좀 더 쉽고 편하게 이슈를 확인해 보시기 바랍니다. [편집자주] ◆딥브레인AI, KB손해보험에 AI 영상합성 플랫폼 지원 딥브레인AI가 인공지능(AI) 영상 합성 플랫폼 'AI 스튜디오스(AI Studios)'를 KB손해보험에 제공한다. KB손해보험은 지난 3월부터 딥브레인AI의 솔루션을 토대로 ▲다이렉트마케팅 ▲소비자지원 ▲자동차상품 등 업무에 생성형 AI 기술을 활용했다. 딥브레인AI는 향후 KB손해보험 내부 임직원을 상대로 'AI 스튜디오스'의 신규 기능 소개 교육을 진행할 계획이다. ◆비즈플레이, 인사·총무·회계 담당자 대상 웨비나 열어 비즈플레이가 ▲인사 ▲총무 ▲회계 직군 종사자를 상대로 '올인원 bzp출장관리' 웨비나를 유튜브 생중계로 진행했다. '올인원 bzp출장관리'는 출장 예약부터 정산까지 한 번에 가능한딥브레인AI, KB손해보험에 AI 영상합성 플랫폼 지원 솔루션이다. 출장자는 영수증 증빙, 결재 요청, 비용 환급 등 시간이 소요되던 절차를 해소하고 기업은 업무 자동화로 예산 통제를 할 수 있게 됐다. ◆지란지교데이터, 서울·대구·부산 파트너스데이 개최 지란지교데이터가 서울·대구·부산 권역별로 '2024 지란지교데이터 파트너스데이'를 개최했다. 이번 행사는 개인정보 보호법 등 데이터 보호 관련 내부 컴플라이언스 변경 사항과 데이터 보호 솔루션 제품 '필터' 시리즈의 업데이트 내용을 공유하기 위해 열렸다. 이어 다크웹 정보 유출과 관련한 모니터링 서비스 '제로다크웹'에 대한 내용 발표도 진행했다. ◆교보DTS, 코오롱베니트 AI 사업 위해 협력 교보DTS가 코오롱베니트와 AI 사업 활성화를 위한 업무 협력(MOU)를 체결했다. 이번 MOU는 교보DTS가 가지고 있는 AI솔루션과 코오롱베니트의 기술력을 결합해 AI 사업 채널을 대내외로 확대하기 위해 마련됐다. 교보DTS는 올해 1월 교보정보통신에서 사명을 변경해 AI, 클라우드 등 사업 확대에 주력 중이다. ◆베스핀글로벌, 클라우드 네이티브 보안 전략 세미나 성료 베스핀글로벌이 '아이덴티티 기반 클라우드 네이티브 보안 전략 세미나'를 옥타 아이덴티티 코리아와 공동 개최했다. 이번 세미나는 작년 열린 '베스핀 클라우드 네이티브 보안 컨퍼런스 2023'에 이어 클라우드 네이티브 보안 전략을 중심으로 열린 행사다. 베스핀글로벌은 작년 컨퍼런스를 계기로 '클라우드 네이티브 보안 얼라이언스'를 출범해 다양한 업체와 협업했다.

2024.07.18 17:05양정민

[ZD SW 투데이] ADT캡스, GS 무인 편의점 보안 시스템 강화 外

지디넷코리아가 소프트웨어(SW) 업계의 다양한 소식을 한 눈에 볼 수 있는 'ZD SW 투데이'를 새롭게 마련했습니다. SW뿐 아니라 클라우드, 보안, 인공지능(AI) 등 여러 분야에서 활발히 활동하고 있는 기업들의 소식을 담은 만큼 좀 더 쉽고 편하게 이슈를 확인해 보시기 바랍니다. [편집자주] ◆ADT캡스, GS 무인 편의점 보안 시스템 강화 ADT캡스가 GS25 무인 편의점 보안 시스템 고도화에 나선다. 새롭게 개발된 GS25 전용 출입 인증기는 ▲신용카드(일반·체크카드·삼성페이) ▲QR코드(우리동네GS 등) ▲안심콜(전화인증)을 통해 매장에 입장하도록 조치했다. 또 이상한 행동을 감지할 수 있는 인공지능(AI) CCTV, 24시간 관제·출동 시스템을 활용해 물리 보안 요소도 강화한다. ◆이와이엘, 양자 역학 기술로 전기차 고속충전기 인프라 강화 이와이엘과 블루네트웍스가 전기차 고속충전기 인프라 보안을 강화하기 위해 상호 협력한다. 이와이엘은 양자 난수 생성 기술과 암호 기술을 이용해 블루네트웍스의 전기차 충전 인프라 시스템의 데이터 전송 보안을 강화할 예정이다. 블루네트웍스도 이번 협약을 통해 더 안정적인 전기 공급·시스템 오작동 방지 등을 할 수 있게 됐다. ◆롯데이노베이트, 요리 앱에 크리에이터 연계 서비스 도입 롯데이노베이트의 요리 앱 '버터얌'에 크리에이터 마케팅 서비스 '버터얌 애즈(ButterYum Ads)'가 생긴다. 버터얌 애즈는 광고주에게 검증된 크리에이터를 소개하며 운영·마케팅 전략 수립에 들어가는 시간을 절약하는 결과 레포트를 제공한다. 버터얌에서 활동하는 크리에이터는 누구나 버터얌 애즈에 지원할 수 있으며 지원한 서비스에 선발되면 요리 콘텐츠로 이익을 얻을 수 있다. ◆주니퍼 네트웍스, 멀티벤더 랩 발표 주니퍼 네트웍스가 엔드 투 엔드(End to end) 자동화 AI 데이터센터 솔루션 및 자동 운영을 검증하는 멀티벤더 랩을 만들었다. 주니퍼 네트웍스가 이번에 발표한 기능엔 AI 작업부하 성능 제공·총체적 엔드 투 엔드 가시성 제공·평균 작업 완료 시간(JCT) 감소 등이 포함됐다. ◆브라이센코리아, 스마트 물류관리 플랫폼 '쿨라' 정식 유통 브라이센코리아가 AI 물류관리 플랫폼 '쿨라(COOOLa)'를 국내에 정식 유통한다. 쿨라는 기업의 디지털 전환을 돕는 물류관리 서비스로 유통 센터에서 매장까지 공급망 전반의 주문 이행 업무를 처리한다. 쿨라에는 브라이센의 카메라 기술과 AI가 적용돼 과거 데이터를 토대로 수요를 예측하고 이미지를 인식·검품할 수 있다.

2024.07.17 15:48양정민

[ZD SW 투데이] 마이크로소프트, '클라우드 AI 경진대회' 진행 外

지디넷코리아가 소프트웨어(SW) 업계의 다양한 소식을 한 눈에 볼 수 있는 'ZD SW 투데이'를 새롭게 마련했습니다. SW뿐 아니라 클라우드, 보안, 인공지능(AI) 등 여러 분야에서 활발히 활동하고 있는 기업들의 소식을 담은 만큼 좀 더 쉽고 편하게 이슈를 확인해 보시기 바랍니다. [편집자주] ◆마이크로소프트, '클라우드 AI 경진대회' 진행 마이크로소프트와 한국폴리텍대학 부산캠퍼스 소프트웨어융합과가 고교생과 대학생 대상 해커톤 대회를 개최했다. ▲대상은 부산소프트웨어 마이스터고 ▲금상은 부산진 여자상고 ▲은상은 부산기계공고가 각각 차지했다. 이번 대회는 '인공지능(AI) 익스프레스 부산' 사업의 일환으로 마이크로소프트 클라우드 AI 기술을 전파하기 위해 부산 지역을 중심으로 진행된 교육 지원 사업이다. ◆파수, 건설 현장에 문서 보호 솔루션 공급 파수가 GS 계열사 건설사인 자이씨앤에이에 문서 보호 솔루션 '파수 엔터프라이즈 디알엠(FED)', '랩소디 에코'를 공급했다. FED는 문서 관리 과정 전반에 걸쳐 지속적인 암호화를 유지할 수 있으며 랩소디 에코는 문서 가상화 기술을 기반으로 안전한 외부 협업 환경을 구축한다. 파수는 이번 솔루션 공급을 통해 자이씨앤에이의 도면 보호, 협업 환경 개선 등 건설 현장 데이터 보호에 힘을 보탰다. ◆한컴, '서울 프롬프톤' 최우수상 영예 안아 한글과컴퓨터 직원들로 꾸려진 팀이 '2024 서울 프롬프톤' 대회에서 최우수상을 받았다. 서울디지털재단과 구글 클라우드 코리아가 공동 주관, 서울특별시가 후원한 이번 대회는 서울시 업무를 바꿀 AI 행정 서비스 아이디어를 발굴하고자 마련됐다. 한컴 팀은 AI가 복잡한 공공부문 사업 제안 요청서를 대신 작성해 주는 템플릿을 제작해 수상했다. ◆하이크비전, 국제표준 최고 권위 인증 획득 하이크비전이 국제표준 정보보안 인증인 정보보안 경영시스템(ISO 27001)과 개인정보보호 경영시스템(ISO27701)을 획득했다. ISO 27001과 ISO 27701은 국제표준화기구·국제전기기술위원회가 제정한 정보보호 분야 최고 권위의 국제표준 인증이다. ◆안랩, 복날 맞아 임직원 이벤트 개최 안랩이 초복과 중복을 맞아 임직원 대상 2003년부터 22년간 이어온 '복날 이벤트'를 진행한다. 안랩은 지난 15일에 초복을 기념해 전 직원에게 치킨 기프티콘을 증정했다. 오는 22일부터 일주일간 아이스크림을 무한 제공하는 '아이스크림 데이'가 열리며 22일, 25일에는 보물찾기 응모 이벤트도 진행한다. ◆퀀텟시스템즈, 로우코드 개발 플랫폼 공급 퀀텟시스템즈가 에스티엘 스타트투데이에 로우코드 개발 플랫폼 '칼스(CALS)'를 도입, 공급한다. 에스티엘 스타트투데이는 원활한 물류 관리와 서비스 역량 강화를 위해 칼스로 직접 앱 개발에 나서기로 했다. 로우코드 개발 플랫폼이란 방대한 코드 작성, 스크립트 테스트 없이도 새로운 프로세스와 앱을 개발할 수 있는 도구다. ◆엑스투비, 토스페이먼츠와 전자결제 대행 서비스 제휴 플래티어의 엑스투비가 토스페이먼츠와 전자결제 대행 서비스 제휴 계약을 체결했다. 신용카드 외 가상계좌, 상품권 등 다양하고 간편한 결제 수단들이 늘어남에 따라 소비자 직접 거래 고객사들은 간편결제 기능 개발에 품을 들여왔다. 엑스투비 고객사들은 이번 제휴로 토스페이먼츠의 기능들을 연동해 고객들에게 결제 서비스를 제공할 수 있게 됐다.

2024.07.16 15:42양정민

모바일 OS 사용 두고 국가·빅테크 모두 '으르렁'

모바일 운영체제(OS)를 두고 국가와 빅테크를 막론한 신경전이 끊이질 않고 있다. 미·중 갈등으로 번진 정보 보안 대립과 구글·마이크로소프트(MS)·애플 등 라이벌 기업 간 냉전이 심화되는 모습이다. 9일 블룸버그 등 외신에 따르면 중국에서 근무하는 마이크로소프트 직원들은 신원 확인, 계정 로그인 시 '아이폰' 등 애플 기기를 사용할 예정이다. 마이크로소프트가 외부 국가 소프트웨어 이용을 꺼리는 중국의 기조에 반기를 든 것이다. 중국에서 구글과 관련된 모든 서비스는 2010년대부터 차단됐다. 가상사설망(VPN) 등을 이용하지 않으면 구글 검색, 구글 플레이스토어와 같은 기능을 이용하기 어렵다. 대신 중국에선 바이두, 웨이보 등 중국산 소프트웨어 및 플랫폼이 활성화됐다. 미국에 중국 기술과 정보가 넘어가는 것에 대한 우려로 인한 중국의 강한 폐쇄 정책이 주된 이유다. 이에 마이크로소프트도 오는 9월부터 중국 지사 직원의 사내 안드로이드 기기 사용을 전면 금지한다. 다만 마이크로소프트는 추후 직원들의 업무용 아이폰 구매를 지원함과 동시에 개인적인 용도로 안드로이드 스마트폰을 이용하는 건 관여하지 않겠다고 밝혔다. 마이크로소프트 측은 해당 조치에 대해 중국 내 구글 플레이스토어 이용이 어렵기 때문이라고 해명했다. 마이크로소프트 전 직원들은 아이덴티티 패스 앱과 마이크로소프트 암호 관리자 등 자사 보안 소프트웨어를 사용해야 하는데 중국 본사에서 일하는 사람들은 구글 플레이스토어를 이용할 수 없기 때문이다. 중국은 '만리 방화벽'이라고 불릴 정도로 전 세계에서도 완고한 폐쇄 정책을 갖고 있는 국가 중 하나다. 마이크로소프트는 "우리는 러시아에 해킹 공격들을 수 차례 받은 뒤 미국 입법부로부터 보안 개선을 요구받았고 내부 보안 강화 작업을 작년 11월부터 해왔다"며 "AI 등 최신 기술을 이용한 이번 대책은 내부 클라우드 취약 요소를 빠르게 잡아내고 해커가 자격 증명을 훔치기 어렵게 만들려는 조치"라고 해명했다. 오픈AI와 기싸움 중인 일론 머스크 테슬라 최고경영자(CEO)는 자신이 운영하는 회사에서 'IOS 기기 사용 금지'를 표명했다. 머스크는 지난 6월 애플이 오픈AI와 협업 사실을 알리자 "스페이스X, 테슬라 등 내가 중심인 기업에서 애플 기기 반입 및 사용이 금지될 것"이라고 말했다. 머스크와 오픈AI는 과거 계약 문제 등 복합적인 이유들로 껄끄러운 사이를 유지하고 있다. 머스크는 "애플이 오픈AI에 데이터를 넘겨준 뒤 무슨 일이 일어날지 우리는 전혀 알 수 없다"며 "그들은 당신들의 개인 정보를 팔아넘길 것"이라고 분노했다.

2024.07.09 17:36양정민

노드VPN "韓서 악성 SW 300만개 차단…일본·베트남보다 多"

국내에서 300만개에 달하는 악성 소프트웨어(SW)가 차단된 것으로 전해졌다. 일본, 베트남 등 아시아 국가 중에서 가장 높은 수치다. 노드VPN은 올해 1월부터 5월까지 보안 제품 '위협방지 프로'로 진행한 사이버 보안 연구 결과를 이같이 19일 밝혔다. 위협방지 프로는 각종 광고와 악성 프로그램을 미리 인식해 차단하는 솔루션이다. 조사기간 전 세계적으로 50억개 넘는 불필요한 광고, 400억 개의 추적기, 6천만 개의 악성 소프트웨어 감염 시도를 차단했다. 구체적으로 한국에선 약 300만 건의 악성 SW를 차단했다. 일본에선 250만 건, 베트남에서는 210만 건의 악성 SW를 막았다. 노드VPN은 가장 많은 악성 SW가 차단되는 곳으로 ▲성인 콘텐츠 ▲무료 비디오 호스팅 사이트 ▲유명 브랜드 사칭 웹사이트라고 설명했다. 위협방지 프로는 성인 콘텐츠에서2천400만 개 넘는 악성 링크를 차단했으며, 미분류된 웹사이트에서 1천500만 개, 가짜 웹사이트에서 1천300만 개를 차단한 것으로 나타났다. 연구 결과에 따르면 악성 SW가 웹사이트를 사칭할 때 교묘하게 철자를 바꿔 사용자들의 피싱 링크 클릭을 유도한 뒤 감염된 파일을 다운로드 시켰다. 가장 많이 사칭된 웹사이트는 문서작업 툴인 오피스365였다. 그 다음으로 러시아의 국영 천연가스회사인 가스프롬, 미국 통신업체인 AT&T, 페이스북 순이었다. 이들을 비롯한 단 300여 개 브랜드가 전체 사칭 웹사이트의 99%를 차지하는 것으로 나타났다. 특히 무료 비디오 호스팅 사이트에서 '웹 추적기'가 가장 많이 발견됐다. 이는 사용자 활동에 대한 정보를 수집하는 개인정보 침해 도구다. 일반적으로 특별한 스크립트, 브라우저 쿠키 또는 추적 픽셀 형태를 띈다. 데이터의 유출이 발생할 경우, 저장된 추적기 데이터가 사이버 범죄자의 손에 들어갈 수 있다. 사이버 보안 전문가들은 무료 비디오 호스팅 사이트, 온라인 스토리지, 검색 엔진을 이용할 때 각별히 유의할 것을 권장하고 있다. 올해 무료 비디오 호스팅 사이트에서만 390억 개의 추적기를 차단했으며, 온라인 스토리지에서는 180억 개의 추적기를 차단한 것으로 드러났기 때문이다. 노드VPN은 이 같은 피해를 미연에 막기위한 수칙으로 ▲웹사이트 철자 확인 ▲프로그램 다운로드 전 확인 ▲믿을만한 보안 프로그램 설치를 공유했다. 노드VPN 아드리아누스 바르멘호벤 사이버 보안 고문은 "인터넷을 이용자는 늘 사이버 보안의 위협에 놓여있다"며 "개인정보 유출은 추후 금융 피해나 범죄 노출 등 심각한 결과를 초래할 수 있기 때문에 늘 주의해야 한다"고 당부했다.

2024.06.19 16:22김미정

에스티씨랩, 매크로 탐지·차단 '엠버스터' GS인증 1등급 획득

에스티씨랩(대표 박형준)은 자체 개발한 매크로 탐지 및 차단 솔루션 '엠버스터'가 한국산업기술시험원(KTL)의 GS인증 1등급을 획득했다고 8일 밝혔다. 엠버스터는 서버에 접속하는 매크로를 실시간으로 탐지하고 추적해 차단한다. 콘서트, 스포츠 경기, 기차표, 항공권을 비롯해 대학교 수강신청, 온라인 쇼핑몰 등 다양한 분야에서 악용되는 매크로를 사전에 차단해 피해를 막을 수 있다. GS인증은 한국산업기술시험원(KTL)를 포함한 총 5개 기관에서 부여하는 국가 소프트웨어 품질 인증으로 GS는 '좋은 소프트웨어(Good Software)'의 약자다. 평가 기준은 국제표준화기구(ISO)의 기준을 바탕으로 구성됐으며, 기능 적합성·성능 효율성·사용성·신뢰성·보안성 등을 판단한다. 엠버스터가 획득한 1등급은 GS인증의 최고등급으로, 우수한 성적으로 품질인증평가 시험을 통과해야만 받을 수 있다. GS인증을 획득한 소프트웨어에 대해서는 정부가 공공 시장에서 혜택을 주고 있다. 조달청 나라장터에 등록해 구매기관이 수의계약으로 제품을 구매할 수 있도록 하고 공공기관의 우선 구매 대상 기술개발제품으로 지정되는 길도 열린다. 특히 최근 많은 공공기관들이 매크로 공격으로 골머리를 앓고 있어 엠버스터 같은 제품에 대한 수요가 증가하고 있는 상황이다. 반복적으로 서버에 접속해 개인정보를 탈취하는 '크레덴셜 스터핑' 해킹이나 민원을 끊임없이 신청해 업무를 마비시키는 등 실제 피해 사례들도 존재한다. 박형준 에스티씨랩 대표는 "단순한 업무 방해부터 암표, 해킹, 과도한 트래픽 유발, 서버 마비 등 매크로의 악용 범위는 매우 넓지만 사전에 대비하지 않으면 속수무책으로 당할 수밖에 없다"며 "매크로를 실시간으로 탐지하고 차단하는 엠버스터가 공공기관의 보안 수준을 끌어올리는데 보탬이 되고 매크로로 인한 피해를 최소화할 수 있도록 기여하겠다"고 밝혔다. 에스티씨랩은 웹서비스의 토대가 되는 트래픽을 관리하는 기업이다. 최종 사용자부터 시스템 내부까지 모든 트래픽을 관리하는 솔루션으로 서버를 안정화하고 인프라 구축과 운영 비용을 절감하며 이용자의 만족도를 높여 브랜드 신뢰도까지 높인다. 서버 가상대기실 솔루션인 넷퍼넬과 매크로 탐지 및 차단 솔루션 엠버스터 등의 솔루션을 제공하고 있다. 500여개 이상의 고객사를 확보하고 있으며, 대표적으로는 삼성, 현대, 롯데홈쇼핑, 우정사업본부 등이 있다.

2024.04.08 17:04백봉삼

보안 사각지대 '제로데이' 취약점 97개…전년比 50%↑

2023년 보안 사각지대에서 악용된 제로데이 취약점이 97개로 전년 대비 50% 증가한 것으로 조사됐다. 보안 패치가 나오기 전 취약점을 이용한 공격이 일년 새 눈에 띄게 증가했다는 의미다. 맨디언트는 구글 위협 분석 그룹(TAG)와 협력해 '2023 구글 제로데이 리포트'를 발표했다고 5일 밝혔다. 제로데이란 신규 소프트웨어(SW)의 보안 패치가 나오기 전까지의 취약점을 뜻한다. 지난 2022년 제로데이 취약점은 62개로 조사됐다. 지난 2021년은 106개로 집계됐다. TAG와 맨디언트는 2023년 발견된 제로데이 취약점 중 29개를 최초로 탐지했다. 구글은 2023년 발견한 제로데이 취약점을 크게 ▲엔드유저 플랫폼과 제품 취약점 ▲보안 소프트웨어 및 어플라이언스 기업 중심 기술 겨냥 취약점 등 두 가지 카테고리로 분류했다. 보고서에 따르면 공격자의 목적을 확인할 수 있는 58건의 제로데이 취약점 공격 중 48건은 스파이 공격자의 소행으로 확인됐다. 10건은 금전적 목적의 공격이다. '정부 지원을 받는 탈취 공격' 배후로 중국 공격 그룹이 가장 큰 비율을 차지했다. 중국 사이버 스파이 활동 그룹이 공격한 제로데이 취약점은 총 12건이다. 2022년 7건에서 5건이 증가했다. 전체 제로데이 취약점 공격의 약 3분의 2를 차지하는 61건은 모바일 디바이스, 운영 시스템, 브라우저와 기타 애플리케이션 등을 포함한 엔드유저 플랫폼과 제품에 영향을 미친 것으로 분석됐다. 나머지 36건은 보안 소프트웨어나 디바이스와 같은 기업 중심의 기술을 겨냥했다. 또 애플, 구글 및 마이크로소프트와 같은 기업은 제로데이 취약점의 유형과 수를 확실히 감소시키고 있는 것으로 나타났다. 맨디언트는 "2021년 이전 수치와 비교할 때 공격자의 제로데이 취약점 발견과 악용 속도는 계속해서 높은 수준을 유지할 것"이라고 예측했다.

2024.04.05 16:49이한얼

시옷, 북아일랜드 스타트업 안고카와 모빌리티 보안 협력

시옷(대표 박현주)과 북아일랜드 스타트업 안고카(ANGOKA)가 모빌리티 분야 보안 협력에 나선다. 안고카 스티브 베리 회장 등은 서초구 시옷 본사를 방문, 협력을 논의했다. 안고카는 북아일랜드 수도인 벨파스트(Belfast)에 위치한 기업이다. 이번에 한국시장 진출 및 국내 기업과 협력 기회 모색을 위해 북아일랜드 스마트시티 기업들과 함께 무역사절단으로 한국을 방문했다. 안고카는 스마트 시티 및 모빌리티의 안전한 통신을 위한 사이버 보안 위험 관리 플랫폼을 제공하는 기업이다. 사물인터넷(IoT) 디바이스간 인증 및 암호화 통신을 위해 일반적으로 사용하는 공개키기반구조(PKI)를 대체하는 디바이스 그룹간 사설통신 DPN(Device Private Network) 기술을 개발했다. 안고카는 스마트 시티, 드론, 자율버스, 무인운전트럭, 차량원격조정 등 다양한 분야에 DPN 기술을 적용했다. 시옷과 안고카는 이날 각각 사업분야와 특화 기술을 소개했다. 안고카는 시옷의 소프트웨어 무선업데이트 기술인 OTA와 차량데이터 수집단말기인 FMS단말기에 관심을 표했다. 양사는 이번 방문을 통해 ▲DPN(Device Private Network) ▲OTA(Over The Air), ▲FMS(Fleet Management system) ▲기타 모빌리티 사이버 보안(Mobility Cyber Security) 분야에서 상호간 협력을 진행할 계획이다. 양사간 시너지를 낼 수 있는 분야에 전략과제를 선정하고, 각사가 보유하고 있는 특허(IP)나 사업모델(BM) 등을 공유해 글로벌 시장 동반 진출을 모색한다. 양사는 지속적인 기술 미팅과 경영진이 참석하는 협의를 진행할 계획이다. 양국에 조성된 기술협력기금 등을 적극 활용해 산업기술국제협력사업에 함께 참여할 예정이다. 박현주 시옷 대표는 “안고카의 방문은 시옷이 축적한 모빌리티분야 보안기술이 글로벌하게 인정을 받았다는 의미”라면서 “이번 기회를 발판삼아 글로벌 모빌리티 보안시장에 적극 진출할 것”이라고 밝혔다. 시옷은 2015년 설립된 모빌리티 보안 전문기업이다. 임베디드 보안 소프트웨어 기술 뿐만 아니라 저전력, 초경량 기술을 기반으로 한 하드웨어 자체설계 기술을 보유했다. V2X 보안, 시큐어 OTA, FMS 단말기, PnC 충전보안, IoT 보안분야에서 국내 관련 보안산업을 선도하고 있다.

2024.03.21 08:33김인순

시스코, 빅데이터 기업 스플렁크 인수..."생성형 AI 활용 보안 기능 출시"

네트워킹 하드웨어 기업 시스코 시스템즈(시스코)가 빅데이터 소프트웨어 기업 스플렁크(Splunk)를 인수했다. 18일(현지시간) 월스트리트저널(WSJ)에 따르면 시스코는 이날 280억달러(약37조원) 의 금액을 투자해 스플렁크를 인수했다고 발표했다. 이번 인수는 시스코 역사상 최대 규모 거래다. WSJ는 최근 기업들은 데이터와 인공 지능(AI)을 중심으로 사업을 재편하려는 노력을 보이고 있다고 인수 배경을 설명했다. 시스코는 스플렁크에서 나오는 정보 사이의 상관 관계를 파악해 보다 정확한 보안 접근 방식을 취할 수 있도록 AI를 활용할 예정이다. 또 기술적인 교육을 받지 않아도 사람들이 소프트웨어를 사용할 수 있도록 생성형 AI를 활용한 더 많은 기능을 출시할 계획이다. 양사는 이번 결합으로 고객들에게 보안, 가시성, 네트워킹, AI, 경제적 측면에서 이점을 가져올 것으로 기대했다. 스플렁크는 지난 2003년 창립된 회사로 캘리포니아주 샌프란시스코에 위치한 미국의 다국적 기업이다. 기계가 생성한 빅 데이터를 웹 스타일 인터페이스를 통해 검색, 모니터링, 분석하는 소프트웨어를 개발 중이다. 척 로빈스(Chuck Robbins) 시스코 회장 겸 최고경영자(CEO)는 "기업들이 AI를 배포하는 방법, 고려사항과 위험을 더 많이 알게 되고 있다"면서 '그러나 대부분의 기업들은 경쟁에서 뒤처지지 않기 위해 AI 채택을 늦출 수 없다"고 인수 배경을 설명했다. 그러면서 "시스코는 이제 전 세계에서 가장 큰 소프트웨어 기업 중 하나가 됐다"며 "이런 위상을 바탕으로 기업의 모든 부분을 데이터로 연결하고 보안과 고객의 AI 혁명을 지원할 것"이라고 밝혔다.

2024.03.19 10:02이한얼

KTR, 국정원 보안기능시험 공인기관 지정

KTR(한국화학융합시험연구원·원장 김현철)은 국가정보원으로부터 보안기능시험제도 공인시험기관으로 지정받았다고 밝혔다. 보안기능시험제도 국정원이 지정한 시험기관에서 국가용 보안요구사항 만족 여부를 검증할 경우 보안적합성 검증절차를 생략할 수 있도록 한 간소화제도다. KTR의 보안기능확인서를 발급받은 정보보호시스템은 별도 보안적합성 검증 절차 없이 국가 공공기관에 제공할 수 있게 됐다. KTR은 이번 기관 지정으로 침입차단시스템·네트워크 접근통제제품·DB암호화제품·안티바이러스제품 등 정보보호시스템 보안기능 시험 확인서를 발급한다. 시험 확인서는 발급일로부터 5년간 유효하다. KTR은 과학기술정보통신부의 우수소프트웨어(GS) 지정 시험 인증기관과 정보보호제품인증(CC인증) 평가기관이기도 하다. 또 국내 시험기관 최초로 국제표준을 적용한 인공지능(AI) 소프트웨어 품질평가서비스를 제공하는 등 디지털 콘텐츠에서 보안기능 시험평가까지 소프트웨어와 관련 제품 시험평가를 원스톱으로 수행하는 국내 대표적인 소프트웨어 시험인증기관이다. 김현철 KTR 원장은 “이번 보안기능 시험기관 지정을 계기로 해당 기업은 국가 공공기관 납품을 위한 보안기능 시험 서비스를 보다 쉽게 받을 수 있게 됐다”며 “KTR은 앞으로도 기업이 새로 개발한 IT 보안제품이 국가와 공공기관에 보다 빠르고 쉽게 보급될 수 있도록 적극 도울 것”이라고 밝혔다.

2024.03.18 09:35주문정

핀테크 보안기업 아톤 'SW기업 경쟁력 대상' 최우수상

핀테크 보안기업 아톤(대표 김종서, 우길수)이 '제23회 대한민국 소프트웨어 기업 경쟁력 대상'에서 최우수상을 수상했다. 아톤은 '시스템 SW(보안)' 부문에서 '한국 소프트웨어 산업 협회장상' 중 최우수상에 선정됐다. 아톤의 소프트웨어형 보안매체 솔루션 엠세이프박스(ATON-mSafeBOX), 사설인증 솔루션(ATON-mPKI), 모바일OTP(ATON-mOTP) 등의 기술력과 시장성, 글로벌 경쟁력을 인정받았다. 엠세이프박스는 화이트박스 암호화 기술을 통해 모바일 기기 내 특수 보안 공간에서 인증 서비스를 안전하게 실행한다. 인증과 관련된 서비스를 일반 애플리케이션과 소프트웨어적으로 분리한다. 앱 구동 시 외부의 악의적 접근 및 중요 정보 탈취를 원천 차단한다. 은행과 증권사 등 28곳에 달하는 국내 주요 금융사에서 채택 중이며 모바일 신분증 등 중요 정보를 안전하게 저장관리하는 용도로도 활용된다. mPKI는 엠세이프박스를 적용해 보안성을 확보한 인증 솔루션이다. 금융앱, 모바일트레이딩시스템(MTS) 등에 적용, 주요 금융 프로세스에서 요구하는 각종 인증을 안전하고 간편하게 수행할 수 있다. mOTP는 스마트폰 내에서 일회용 비밀번호를 생성, 기존 실물 OTP와 보안카드를 대체한 솔루션이다. 지난해 11월 과학기술정보통신부에서 혁신적인 정보보호제품을 평가하는 '정보보호제품 신속확인제'를 보안관리 제품군 중 처음으로 통과하며 신뢰성을 인정받았다. 베트남, 일본, 인도, 캄보디아 등 현지 은행 및 증권사에 공급하며 글로벌 경쟁력을 입증했다. 우길수 아톤 대표는 “주력 제품의 기술력과 시장성, 나아가 글로벌 경쟁력을 인정받은 이번 수상은 의미가 매우 크다”라며 “수상을 계기로 보다 혁신적인 신규 제품을 선보임으로써 국내 SW산업 발전에 기여하겠다”고 말했다. 대한민국 소프트웨어 기업 경쟁력 대상은 한국소프트웨어산업협회, 소프트웨어공제조합 등이 주최하고 과학기술정보통신부에서 후원한다. 우수한 국내 SW기업들을 발굴 및 시상하고 국내 SW산업 경쟁력을 제고하기 위한 목적으로 지난 2001년부터 매해 개최한다.

2024.02.23 11:21김인순

클래로티 '메디게이트', KLAS 의료 IoT 최우수상 수상

보안 기업 클래로티(Claroty)의 사물인터넷 플랫폼이 업계에서 성과를 인정 받았다. 클래로티는 자사의 플랫폼 메디게이트(Medigate)가 '2024 베스트 인 KLAS: 소프트웨어 및 서비스 보고서'에서 의료 사물인터넷(IoT) 보안 부문 최우수 솔루션으로 선정됐다고 21일 밝혔다. 메디게이트는 경쟁이 치열하고 고객의 요구 사항이 까다로워진 의료 분야에서 100점 만점에 95.4점을 받아 올해에도 최우수상의 영예를 안으며 4년 연속 1위의 자리를 지켰다. 글로벌 의료 IT 분야 분석 기관인 KLAS는 매년 수천 명의 사용자를 대상으로 한 인터뷰와 광범위한 평가를 통해 의료 부문에서 치료 환경을 개선한 소프트웨어 및 서비스 제공업체의 평가 순위를 발표한다. 문화, 충성도, 운영, 제품, 관계, 가치 등 6가지 요소를 기준으로 평가한다. 메디게이트는 2024년 의료 IoT 보안 부문에서 유일하게 '베스트 인 KLAS' 상을 수상하며 프로그램의 성숙도, 규모, 사용자 기반의 다양성을 불문하고 여러 의료 기관의 사이버 및 운영 복원력을 지원하는 능력을 가졌음을 입증했다. 조나단 랭거(Jonathan Langer) 클래로티 최고운영책임자(COO) 겸 메디게이트 공동 설립자는 "클래로티의 메디게이트는 전세계 2천여개 병원과 클리닉의 보안 태세 구축을 지원하고 있다"면서 "의료 분야 최고의 분석 기관 중 하나인 KLAS에게 4년 연속으로 높은 평가를 받음으로써 하이터치 서비스와 혁신 솔루션을 제공하려는 우리의 노력이 입증됐다"고 전했다.

2024.02.21 13:58이한얼

국정원, '중소기업 IT보안 가이드라인' 발간...해킹 피해 방지

국가정보원 산업기밀보호센터는 중소기업이 해킹에 의한 기술유출 피해를 입지 않도록 '중소기업 IT보안 가이드라인'을 발간했다고 26일 밝혔다. 한국인터넷진흥원에 따르면 지난해 우리 기업에 대한 사이버공격 피해 중 92%가 중소기업에 집중돼 있지만 중소기업은 보안에 투자하거나 보안책임자를 둘 여력이 없는 상황이다. 국정원 산업기밀보호센터는 한국산업기술보호협회와 함께 별도 비용 없이 보안역량을 향상하는 방안을 담아 이번 'IT보안 가이드라인'을 제작하게 됐다. 가이드라인은 중소기업에서 많이 사용 중인 윈도우 서버·ipTIME 공유기 등 IT 장비와 한글·워드 등 소프트웨어를 대상으로, 국내외 발간 수십종의 '중소기업 기술 보호' 자료를 분석해 최신 보안조치 방안을 담았다. 국정원 산업기밀보호센터 관계자는 “이번 보안 가이드라인으로 모든 해킹 공격을 막을 수는 없겠지만, 정보보안 예산인력이 부족한 중소기업의 '정보보안 기초체력'을 기르는 데 도움이 될 것”이라며 적극적인 활용을 당부했다.

2024.01.26 11:04이한얼

美, 소프트웨어 공급망 보안 규제 현실화

미국의 소프트웨어(SW) 공급망 보안 규제가 올해 본격화한다. 소프트웨어 개발사는 물론이고 의료기기, 사물인터넷(IoT) 기기 등 각종 기기 제조사까지 여파가 예상돼 대응이 시급하다. 미국 바이든 행정부는 지난 2021년 5월 SW 공급망 보안을 강화하는 행정명령(EO 14028)을 발표했다. 이후 백악관 예산관리국(OMB)은 SW 공급망 보안 강화에 관한 M-22-18이라는 문서를 내놨다. 이 문서에 따르면 미국 정부에 SW를 판매하는 기업은 국립표준원(NIST)이 만든 '보안 소프트웨어 개발 프레임워크(SSDF)'를 준수해야 한다. 올해부터 정부기관과 계약하는 기업은 반드시 제품이 SSDF를 준수했다는 증명을 제공해야 한다. 이희조 고려대 컴퓨터학과 교수는 "올해가 사실상 미국 SW 공급망 보안 규제가 기업에 직접 적용되는 시점"이라며 "의료기기를 비롯해 자동차, 각종 제조업과 관련된 2, 3차 협력 기업이 SW 공급망 보안 규제에 관심을 기울여야 한다"고 말했다. 이어 "중소중견 협력사가 보안을 고려한 개발에 준비가 안되면 이를 포함한 제품을 만든 대기업 수출에 영향을 받을 수 있다"면서 "문제는 SSDF와 SBOM(SW Bill of Materials) 관리는 담당조직과 프로세스가 필요해 준비에 상당 기간이 걸린다"고 말했다. 미국 정부는 2021년 행정명령 후 기업이 안전하게 SW를 개발하는 프로세스를 만들고 이를 체계화하는 방법론을 제시하는데 주력했다. 행정명령 후 미국 기업들이 관련 프로세스를 만들고 체계화하는 작업을 도왔다. 미국 규제는 ▲자기증명 요건(Self-Attestation Requirement) ▲펌웨어 포함(Firmware Inclusion) ▲제품 보안에 대한 공급업체의 책임(Vendor Responsibility for Product Security) 등으로 요약할 수 있다. SW개발사는 미국 정부기관에 제품을 공급할 때 NIST 가이드라인을 준수하는지 확인해야 한다. 일부 기관은 시스템 중요도에 따라 제3자 평가를 요구할 수도 있다. 미국 정부는 SW에 대한 안전한 개발 프로세스 뿐만 아니라 라이브러리에 쓰인 오픈소스 구성 요소까지 모두 출처를 밝히고 안전성을 입증하라고 요구한다. 기업은 다양한 오픈소스 SW를 이용해 애플리케이션을 개발하고 하드웨어에 탑재한다. 이 과정에 들어간 오픈소스에 취약점이 없는지 모두 점검해야 한다. SW 개발에 활용되는 모든 정보를 담은 명세서 'SBOM'를 작성, 제출해야 한다. 해당 규제는 펌웨어, 운영체제, 애플리케이션 등을 모두 포괄한다. 하드웨어에 들어가는 펌웨어도 반드시 가이드라인을 준수해야 한다. 미국 정부기관에 납품하는 기업은 제품 수명 주기 전반에 걸쳐 SW 취약성과 업데이트를 확인해야 한다. 이를 준수하지 않으면 제재를 받는다. 문제는 한국 기업 준비도다. 미국 정부가 요청하는 SSDF와 SBOM을 준비하려면 관련 조직과 프로세스를 갖춰야 한다. 그나마 대기업은 조직을 정비했지만 2,3차 협력 회사들이 이에 대한 준비가 미흡하다. 이같은 조치는 SW 공급망에 대한 사이버 위협 증가 때문이다. 2020년 미국 IT 관리 소프트웨어 및 원격 모니터링 도구 회사인 솔라윈즈(SolarWinds) 제품이 해킹에 악용됐다. 당시 솔라윈즈 제품을 사용한 정부기관이 사이버 공격에 그대로 노출됐다. 해커는 솔라윈즈 제품의 SW취약점을 이용해 해당 제품을 쓰는 기업 내부로 침투했다. SW 공급망 공격은 한 번 성공하면 다양한 조직이나 기업으로 침투하는 통로가 된다. 기존 악성코드 공격보다 탐지가 어렵다. 해커는 침투하고자 하는 기업이나 기관이 사용하는 소프트웨어 등의 취약점을 활용해 측면으로 공격한다. 김형섭 고려대 소프트웨어보안연구소 연구기획팀장은 "미국 식품의약품안전청(FDA)은 의료기기 기업에게 사이버 보안과 관련된 SBOM을 요구했다"면서 "서드파티(3rd party) 소프트웨어에 대한 보안 가시성과 투명성에 대한 대처 가이드까지 요청하는 상황"이라고 설명했다. 미국 공급망 보안 기업 이클립시움 달튼 탄(Dalton Tan) 시니어 디렉터는 "SW 보안성 증명은 단순히 애플리케이션뿐만 아니라 하드웨어에 내장된 펌웨어도 포함된다"면서 "미국으로 장비와 기기 수출이 많은 한국기업은 이에 대한 대비가 시급하다"고 말했다.

2024.01.16 15:33김인순

에이나 "모바일신분증 기술로 '인텔리전트 워크' 시대 열 것"

IT 서비스 및 보안업계에서 모바일신분증 기술이 인텔리전트 워크 시대의 문을 열 것이란 전망이 나왔다. 모바일 보안인증 기술이 단순한 출입 관리 뿐만 아니라 인사관리, 마이데이터 등 활용 범위가 넓어지고 있다는 것이다. 16일 모바일 신분증 전문기업 에이나는 여의도 소재 글래드호텔에서 '소수 포럼 조찬세미나 2024'를 개최했다. 이날 에이나 우유상 상무는 “모바일신분증 기술이 인텔리전트 시대의 중심에 있다”며 “비대면, 비접촉 요구가 인공지능(AI) 기술로 가속하고 있으며 종전과 전혀 다른 방식의 라이프 스타일 변화가 시작됐다”고 밝혔다. 에이나는 “기업의 시장변화 및 기술적 발전외에도 특히 공공기관들의 변화와 대응 속도가 뚜렷하고 빠르게 나타나고 있다”는 입장이다. 에이나 관계자는 “인천공항공사의 경우, 지난해 7월 모바일 신분증 일환으로 얼굴과 여권을 등록해 자동으로 출국과 입국을 할 수 있는 시스템을 오픈했다”며 “지난해 10월 말에는 금융결제원에서 시중 은행들을 묶어 이중화한 얼굴 인증 체계도 도입을 하려고 POC 기술검증 및 사업자 선정도 마무리된 상태”라고 설명했다. 또한 “디지털 전환 전락에서의 모바일 신분증을 통해 마이패스, 마이데이터, 마이서비스 등 3가지 측면에서의 가치창출과 중요성을 인식하고 고객이 필요로 하는 비대면 업무환경 통합지원을 확대하고 있다”고 덧붙였다. 여기서 마이패스는 간편인증, 생체인증, 로그인 ID 등 신분증 및 출입증 기능을, 마이데이터는 자기 결정권 기반 데이터 서비스를 뜻한다. 마이서비스는 인사관리 교육과 디지털 인증 배지 기능을 의미한다. 우 상무는 “출입관리와 인사관리 등 보안 로그인 기능을 비롯해 전자계약, 모바일 식권, 법인 교통카드 등 다양한 옵션을 제공하고 회사와 기관의 필요 여부에 따라 단위별로 기능을 선택할 수 있다”고 말했다. 그는 “결국 개인정보를 처리하는 데 있어 데이터에 대한 자기결정권이 마이데이터 사업의 전반에 항상 영향을 준다”며 “다양한 모바일 디지털 서비스를 사용자에게 효율적이고 단순하게 제공해 주느냐가 앞으로의 메가 트렌드”라고 짚었다. 이날 고대준 전 행정안전부 스마트워크센터장은 모바일 신분증 기술을 활용한 스마트워크센터 서비스는 기업과 공공 전 분야에서 고도화와 다양한 서비스 유형의 확장이 예상됨을 강조했다. 스마트워크센터란 내부 사용자와 모바일 사용자, 출장 근무자를 위한 물리적 사무공간과 ICT 기반의 사무 시스템 전반을 포괄한다. 고 센터장은 “올해까지 15개 지방자치단체 센터에는 무인자동화 체계를 마련할 것”이라며 “AI와 5G, 증강현실(VR), 메타버스 등 4차 산업 기술을 연계한 미래모델과 시범서비스를 적용하는 게 예상된다”고 밝혔다. 고 센터장은 “현재 전국 17개 광역시도에 정부급 센터와 15개 도시에 시·도청급 센터가 있다”면서 “점진적으로 장차관급 집무실을 없애고 센터 이용을 유도하고 있다”고 설명했다. 그는 “스마트워크센터에서 방문자 유형에 따라 보안 관리 방안을 수립하고, 공간에 필요한 보안 시스템 및 장비를 적재적소에 배치, 운영하기 위해 끊임없이 업데이트 중”이라고 밝혔다. 이어 “중앙인사혁신처의 경우 이미 발급된 모바일 공무원증을 활용한 디지털 정부의 서비스를 가시화하기 위하여 출퇴근 및 출장업무시 모바일 공무원증과 연동된 자동회된 인사 복무관리를 지원하기 위한 사업이 작년에 발주되었으며 향후 고도화사업을 계속 추진할 것으로 판단된다”고 덧붙였다.

2024.01.16 10:03조성진

Prev 1 2 3 4 Next