검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'보안 투자'통합검색 결과 입니다. (19건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

"수많은 병원 정보보호 투자, 평균 8억까지 하락"

"단 1건의 환자 건강정보가 유출된다고 하더라도 민감정보에 해당하기 때문에 의료기관의 침해사고는 더욱 치명적이다. 의료기관의 데이터는 이처럼 공격 가치가 높으나, 의료기관의 방어 수준은 평균 대비 낮다." 박종환 삼성서울병원 상무는 17일 이같은 내용을 골자로 한 '사이버 리스크 시대 의료 보안 현황과 최근 이슈'를 주제로 '제32회 정보통신망 정보보호 컨퍼런스'에서 발표했다. 이 행사는 한국정보보호학회가 주관했다. 박 상무는 "삼성서울병원만 하더라도 410만명의 개인정보를 취급하고 있으며, 서버만 510대, 의교기기 600종, 1만 대의 의료장비, 야간에 도는 물류 로봇, 의료진이 사용하는 PC 등 수많은 정보처리 기기가 있다는 특징이 있다"면서 "아울러 환자 방문부터 진료, 검사, 수술, 귀가 후 재방문까지 데이터가 지속 생성·관리된다"고 밝혔다. 그는 "이에 병원은 365일 24시간 시스템 가용성을 유지해야 하며, 보안 패치로 인한 서버 중단은 최소화하고 있다. 보안 업데이트는 사전 계획과 연습을 통해 신중히 진행한다"며 "그러나 의료기관 정보보호 현실을 보면 정보보호 인력은 평균 2.5명으로 정보기술 인력 평균 45.5명 대비 현저히 낮은 수준이며, 정보보호 투자액은 8억 원으로 정보기술 투자액 106억6000만 원 대비 평균에 한참 미치지 못하는 수준이다"라고 진단했다. 그는 "특히 정보보호 투자액의 경우 서울아산병원과 삼성서울병원의 정보보안 투자액이 35억 원을 웃돌았지만 수많은 병원 투자액이 10억 원 미만으로, 평균이 8억 원까지 내려왔다"며 "얼마나 많은 병원이 정보보호에 투자하고 있지 않은지 보여주는 대목"이라고 역설했다. 이 외에도 박 상무는 "병원은 여러 핵심 운영 리스크를 떠안고 있다"고 강조했다. 박 상무는 ▲권한 관리 리스크 ▲설정 오류 리스크 ▲위탁·공급망 리스크 ▲랜섬웨어 리스크 ▲가용성 리스크 등의 리크스가 산재해 있다고 우려했다. 그는 의료기관 보안 역량 제고를 위해 9가지 분야의 18가지 대응안을 제시했다. ▲PIA, ISMS-P 등 추가적인 보안 통제 노력 ▲개인식별 정보 추가 암호화 적용 ▲EoS 서버, 핵심 시스템은 생체 인증 추가 ▲홈페이지 등 고객 시스템도 MFA(다중 속성 인증) ▲병원별 DRB 운영 강화, 연구 데이터 유출 탐지, 정보 주체 요구에 따른 마이데이터 전송 준비 ▲비인가 IT자산 탐지 솔루션 구축 ▲병원의 노출 공격 표면 자동 진단 및 모의 해킹 ▲AI를 통한 행위기반 실시간 이상행위 탐지 ▲특정 키워드, 고위험군 집중 모니터링 ▲AI를 활용해 법령 준수 사항 자동 점검 ▲수탁사 관리 포털 구축을 통해 업무 효율화 등이다. 박 상무는 "사이버 보안 위협이 고도화됨에 따라 개별 기업이나 기술만으로는 방어가 불가능하다"면서 "국가, 산업, 개인, 학계 등과 연계 대응할 수 있어야 실질적인 대응이 될 것"이라고 밝혔다.

2026.04.18 22:04김기찬 기자

에임인텔리전스, 100억 원 규모 시리즈A 투자 유치 성공

인공지능(AI) 보안 전문기업 에임인텔리전스(AIM Intelligence, 대표 유상윤)가 100억 원 규모의 시리즈A 투자를 유치하는 데 성공했다고 10일 밝혔다. 이번 투자 라운드는 삼성벤처투자가 리드 투자자로 참여했으며, 기존 투자자인 미래에셋캐피탈을 포함해 신규 투자자인 포레스트벤처스·스마일게이트인베스트먼트 등 4곳이 합류했다. 이번 투자 유치를 통해 에임인텔리전스의 누적 투자금은 약 120억 원을 달성했다. 이번 투자에는 AI 안전성 수요 증가와 에임인텔리전스의 독보적인 기술력이 높이 평가된 것으로 분석된다. 최근 생성형 AI 도입이 전 산업으로 확대되면서 할루시네이션·탈옥(Jailbreak)·프롬프트 인젝션 등 AI 고유의 보안 위협이 기업 리스크의 핵심으로 급부상했다. 이러한 상황 속에서 에임인텔리전스는 LLM 뿐만 아니라 시각언어모델(VLM)·음성·멀티모달 등 전 영역의 취약점을 실제 서비스 환경에 맞춰 검증 및 차단하는 솔루션을 고도화하며 핵심 기업들의 주목을 받았다. 실제 에임인텔리전스는 오픈AI, 메타 등 글로벌 빅테크 기업과도 협력하며 AI 레드팀 및 안전성 평가 분야에서 기술력을 입증한 바 있다. 에임인텔리전스는 이번 투자를 통해 핵심 인재 영입·솔루션 고도화를 진행해 글로벌 시장 진출 및 B2B 사업 확장에 속도를 낼 계획이다. 자동화된 AI 레드티밍 플랫폼 확장과 B2B SaaS 형태의 AI 가드레일 솔루션을 통해, 기업 고객이 복잡한 보안 설정 없이도 즉시 도입이 가능한 수준까지 기술력을 끌어올리겠다는 전략이다. 에임인텔리전스는 대규모언어모델(LLM)·AI 에이전트·피지컬 AI 등 다양한 인공지능 분야의 보안을 통합적으로 관리해 개인과 기업의 안전성을 높이고 있다. 특히 AI 모델과 기반 서비스의 취약점을 찾는 레드팀 솔루션과 AI가 위험 행동을 하지 않도록 안전장치를 설정하는 가드레일 솔루션 등 일종의 'AI 보안을 위한 창과 방패'를 두루 제공하고 있다. 아울러 세계적인 권위를 가진 글로벌 AI 학술지 논문 게재를 통해 기술 역량도 증명해왔다. 주요 금융권 및 통신업계에 보안 솔루션을 제공하고 있으며, 경쟁력을 확대해왔다. 유상윤 에임인텔리전스 대표는 “최근 생성형 AI 도입이 가속화되며 AI 보안은 이젠 선택이 아닌 필수 생존 전략이 됐다”며 “에임인텔리전스는 단순 보안 진단을 넘어 기업의 AI혁신 과정에서 발생하는 모든 리스크를 관리하는 'AI 안전 글로벌 표준'을 만들어 낼 것”이라고 밝혔다.

2026.04.10 12:54김기찬 기자

신한금융, 금융권 최초 자율보안 체계 마련

신한금융그룹이 금융권 최초로 자율 보안 체계 전환에 시동을 걸었다. 6일 신한금융은 '금융보안 수준진단 프레임워크'를 주요 그룹사에 현장 적용했다고 6일 밝혔다. 금융보안 수준진단 프레임워크는 지난 2월 금융보안원이 마련한 자율보안 관리 체계다. 자율보안이란 금융당국의 규정 준수 여부를 점검하는 데 그치지 않고, 금융회사가 자체적으로 현재의 보안 역량을 진단하고 목표 수준을 설정해 능동적으로 개선해 나가는 방식을 말한다. 이를 위해 신한금융지주를 비롯해 신한은행·신한카드·신한투자증권·신한라이프 등 5개 그룹사가 금융보안원과 함께 3월부터 합동 진단을 진행했다. 자가진단과 현장 인터뷰, 결과보고 순으로 이뤄졌다. 신한금융은 지주회사를 비롯해 은행, 카드, 증권, 라이프 등 5개 그룹사가 금융보안원과 함께 지난달 초부터 2개월간 합동 진단을 진행했다. 진단은 그룹사별로 ▲자가진단(5일) ▲현장 인터뷰(5~7일) ▲결과보고(10일) 순으로 이뤄졌으며, 지주 담당자가 자회사 진단에 교차 참여해 그룹 전체의 진단 기준 일관성을 확보했다. 금융보안원 자율보안연구팀은 실무 교육부터 합동 진단, 결과보고서 작성 코칭까지 전 과정에 동행했다. 신한금융은 이번 진단을 통해 각 그룹사의 업무 특성과 IT·보안 환경을 반영한 개선 과제를 도출하는 한편, 그룹 맞춤형 자율보안 진단 가이드를 마련해 전 자회사로 단계적으로 확대해 나갈 계획이다. 신한금융그룹 관계자는 “이번 적용 사례를 토대로 그룹 차원의 자율 보안 기준과 모범사례를 정립하고, 향후 금융권 보안 표준 논의에서도 주도적인 역할을 수행해 나가겠다”고 말했다.

2026.04.06 15:20손희연 기자

AWS, 韓 7조원 추가 투자…AI 보안 자동화 전면에

아마존웹서비스(AWS)가 한국 시장에서 인공지능(AI)·클라우드 인프라 확장과 정보보호 역량 강화를 동시에 추진하며 대규모 투자에 나선다. 국내 기업의 AI 도입 수요 확대에 대응하는 동시에 보안 자동화를 앞세워 시장 영향력 확대를 본격화하는 모습이다. 31일 업계에 따르면 AWS코리아는 한국인터넷진흥원(KISA) 정보보호 공시를 통해 2025년부터 2031년까지 약 7조원을 추가 투자할 계획이라고 밝혔다. 기존 투자액 5조 6000억원을 포함하면 국내 누적 투자 규모는 12조 6000억원을 넘어설 전망이다. 이번 투자는 AI 및 클라우드 인프라 확장을 중심으로 진행된다. AWS는 데이터센터 구축·운영·연결·유지보수 등을 포함한 전반적인 인프라 고도화를 통해 국내 기업들이 머신러닝과 데이터 분석, AI 에이전트 기반 자동화 등 고도화된 기술을 활용할 수 있는 환경을 제공한다는 계획이다. 경제적 파급 효과도 상당할 것으로 예상된다. AWS는 2023년부터 2027년까지 한국 국내총생산(GDP)에 약 15조 600억원 규모의 기여 효과를 낼 것으로 전망했다. 이는 클라우드 인프라 구축과 운영 과정에서 발생하는 국내 지출과 IT 부문 가치 창출이 반영된 수치다. 특히 이번 공시에선 AI 기반 보안 자동화도 강점으로 내세웠다. AWS는 보안 사고 대응 서비스에 AI 에이전트를 적용해 침해 사고 조사 과정을 자동화했다. 해당 시스템은 로그 분석, 계정 활동 추적, 네트워크 이벤트 상관관계 분석 등을 자동으로 수행해 대응 시간을 단축하는 것이 특징이다. 또 애플리케이션 단계에서 취약점을 사전에 탐지하는 'AWS 보안 에이전트'와 제로 트러스트 기반 접근 제어 서비스 등 다양한 보안 기능도 확대했다. AWS는 지난 한 해 동안 114개의 신규 보안 통제 기능을 추가하고 모든 계정 유형에 다중인증(MFA)을 의무화하는 등 보안 체계를 강화했다. 글로벌 수준의 보안 인증과 컴플라이언스 대응 역량도 강조됐다. AWS는 PCI-DSS, HIPAA, FedRAMP, GDPR 등 총 143개 보안 표준과 인증을 보유 중이다. 국내에서도 클라우드 서비스 보안인증(CSAP)과 정보보호관리체계(ISMS)를 유지하고 있다. 이와 함께 AWS는 'AWS 트러스트 센터'를 통해 보안 정책, 규정 준수, 데이터 보호 체계 등을 통합 제공하며 고객 신뢰 확보에도 나섰다. 해당 플랫폼은 클라우드 인프라부터 서비스 전반에 이르는 보안 접근 방식을 한눈에 확인할 수 있도록 지원한다. 조직 측면에서도 보안 역량을 강화했다. AWS는 보안 테스트를 담당하는 서비스팀, 인프라 보안 운영 전문가, 최고정보보호책임자(CISO) 조직 등으로 구성된 3단계 체계를 통해 정보보호 수준을 관리 중이다. 다만 국내 정보보호 투자액과 관련한 구체적인 금액은 공개되지 않았다. AWS 측은 "정보보호는 최우선 순위이며 고객 신뢰 확보는 우리 비즈니스의 토대"라며 "고객과 긴밀히 협력해 정보보호 요구사항을 파악하고 포괄적인 서비스와 도구, 전문성을 제공하기 위해 기술·운영·계약 전반에 걸쳐 지속적으로 투자하고 있다"고 밝혔다.

2026.03.31 10:55한정호 기자

테이텀시큐리티, 시리즈A 브릿지 투자 성공

클라우드 보안 전문 기업 테이텀시큐리티가 시리즈A 브릿지 투자를 유치하는 데 성공했다. 테이텀시큐리티는 최근 삼성벤처투자와 SJ파트너스로부터 시리즈A 브릿지 투자를 유치했다고 3일 밝혔다. 투자 금액은 비공개다. 테이텀시큐리티는 클라우드 환경에서 발생하는 다양한 보안 요소를 하나의 제품으로 통합해 보안을 제공하는 기업이다. 이번 투자 유치를 기반으로 테이텀시큐리티는 제품 고도화, 인력 추가 채용, 해외 진출 등 순으로 성장 전략을 가속화한다는 청사진을 제시했다. 양혁재 테이텀시큐리티 대표는 "이번 시리즈A 브릿지 투자 유치는 테이텀시큐리티의 뛰어난 클라우드 보안 역량을 인정받은 성과"라며 "이번 투자는 클라우드를 넘어 '보안을 위한 인공지능(AI for Security)과 인공지능을 위한 보안(Security for AI)을 함께 추진할 수 있는 원동력이 될 것"이라고 밝혔다. 그는 이어 "AI가 작동하는 기반 인프라는 클라우드 환경이다. 따라서 AI와는 밀접한 관련이 있다"며 "향후 실제로 AI까지 보호할 수 있도록 기능을 확장하고, 내부적으로는 보안 담당자의 반복적인 실무를 최소화할 수 있도록 '에이전틱 AI(Agentic AI)'로 업무를 덜어내는 방향으로 제품을 고도화하겠다"고 강조했다. 아울러 향후 엔터프라이즈 및 공공 시장까지 GTM(Go-To-Market)을 한층 강화할 예정이다. 테이텀시큐리티는 유니콘 수준의 성장을 목표로 연간 매출 3배 성장을 달성하겠다는 계획도 제시했다. 또 국내 클라우드 보안 시장에서의 리더십을 공고히하는 한편 해외 진출에도 속도를 낼 계획이다.

2026.02.03 18:52김기찬 기자

정부 위약금 면제 판단에...KT "해킹 보상안 조속히 발표"

KT가 사이버 침해사고에 대한 과학기술정보통신부 민관합동조사단의 조사 결과와 시정 명령에 대해 "엄중하게 받아들인다"며 보상안 등을 조속히 발표하겠다고 29일 밝혔다. KT는 민관합동조사단의 최종 조사 결과에 대한 입장을 내고 "고객 보상과 정보보안 혁신 방안이 확정되는 대로 조속히 발표할 예정"이라고 설명했다. 앞서 과기정통부는 정부서울청사에서 브리핑을 열어 KT 사이버 침해사고에 대한 최종 조사 결과를 발표했다. 조사단은 KT 불법 펨토셀에 의한 침해사고와 악성코드 감염에 의한 침해사고를 분류해 조사한 뒤 펨토셀 관리와 내부망 접속 인증, 통신 암호화, 정보보호 활동과 거버넌스 체계 등의 문제점을 꼽았다. 그러면서 펨토셀 보안 정책울 다시 마련하고, 단말부터 코어망까지 종단 암호화를 설정토록 재발방지 대책을 요구했다. 제로트로스트 도입과 분기별 1회 이상 취약점 점검, 보안 거버넌스 재편 등도 재발방지 대책에 포함됐다. 과기정통부는 KT에 재발방지 대책에 따른 이행계획을 내년 1월 내에 제출토록 하고 내년 6월까지 이행 여부를 점검할 계획이다. 또 과기정통부는 KT 이용약관에 따라 일련의 해킹 사고는 모든 가입자 대상 위약금 면제가 합당하다는 판단을 내렸다. 이에 따라 KT는 위약금 면제 방안과 고객 사과, 보상안, 정보보안 체계 개편, 정보보호 투자 등의 내용을 곧 발표할 것으로 보인다. 특히 위약금 면제, 보상안, 정보보호 투자 확대 등 회사 수익에 큰 변동을 미치는 사안이 포함된 만큼 이사회 의결을 거쳐 발표가 이뤄질 것으로 예상된다.

2025.12.29 16:25홍지후 기자

글로벌 통신업계, 5년 내 사이버 보안 투자 2배 늘린다

글로벌 이동토신사들이 사이버 보안에 대한 투자 비용을 2030년까지 현재 수준 대비 2배 이상 늘어날 것이란 전망이 이목을 끈다. GSMA가 발간한 모바일 사어자에 대한 규제 영향 보고서에 따르면 통신사들은 핵심 사이버 보안 활동에 연간 150억~190억 달러를 지출하고 있는데 이 비용은 2030년에는 400억~420억 달러로 늘어날 것으로 전망됐다. 사이버 보아에 대한 투자가 늘었지만 지나치게 규범적인 규제로 실제 정합성이 떨어지는 투자가 발생하는 점에 대한 우려도 나온다. 미카엘라 앙고니우스 GSMA 정책규제총괄은 “사이버 위협이 고조되는 가운데 사업자들은 사회의 안전을 지키기 위해 막대한 투자를 하고 있으나 규제는 이러한 노력을 돕는 방향이어야지 방해해서는 안 된다”며 “보고서는 사이버보안 프레임워크가 조화롭고 위험 기반이며 신뢰를 바탕으로 설계될 때 가장 효과적이라는 점을 분명히 보여준다”고 말했다. 이어, “규제가 잘못 설계되면, 실질적인 보안 개선이 아닌 형식적인 규제 준수를 위해 핵심 자원이 낭비될 수 있다”고 경고했다. 프론티어이코노믹스과 협력을 통해 작성된 보고서는 아시아태평양 지역을 비롯해 유럽, 북미, 중동, 중남미, 아프리카 지역의 네트워크 사업자들과 인터뷰를 통해 마련됐다. 인터뷰에 응한 회사들은 먼저 여러 기관의 중복되거나 상충하는 일관성 없는 규제를 문제점으로 삼았다. 또 과도한 보고 의무에 따라 동일한 사고를 여러 차례 서로 다른 형식으로 보고해야 하고 실제 보안 성과보다 특정 절차 준수를 강제하는 형식적인 체크리스트 방식의 규제를 경계했다. 특히 한 회사는 사이버보안 운영팀 업무 시간의 최대 80%가 위협 탐지나 사고 대응이 아닌 감사와 규제 준수 업무에 쓰이고 있다고 전했다. 이에, 앙고니우스 총괄은 “시민과 핵심 사회 서비스를 보호하기 위해 규제 당국과 사업자는 공통의 원칙을 바탕으로 함께 협력해야 한다”며 “정책이 일관되고 성과 중심적으로 설계될 때, 디지털 생태계 전체의 안전성이 강화된다”고 강조했다.

2025.12.28 09:50박수형 기자

박윤영 KT 차기 대표 과제는

KT 이사회가 16일 박윤영 전 KT 기업부문장을 차기 대표이사로 발탁했다. KT 출신 인사로 조직 이해도가 높은 인물이 현재 회사가 처한 위기를 풀어낼 수 있다고 판단한 것으로 풀이된다. 김용현 KT 이사회 의장은 “박윤영 후보가 지속 가능한 성장 기반을 마련하고, 변화와 혁신을 주도해 대내외 신뢰를 조속히 회복하며 이해관계자와의 협력 관계를 구축할 적임자”라고 밝혔다. 즉, 이사회는 조직의 변화와 신뢰 회복을 비롯해 이해관계자와 협력 관계 구축을 차기 대표가 맡아야 할 주요 임무로 꼽은 것이다. 박윤영 대표 후보는 이날 심사에서 KT는 주주와 시장의 약속을 지켜야 한다는 점을 강조한 것으로 전해졌다. KT 대표 선임 과정에서 거듭 이야기가 나온 주주와 시장이 납득할 수 있는 인물이어야 한다는 박 후보의 뜻이 이사회에 전달된 것으로 풀이된다. 당장 박 후보가 맞닥뜨릴 최대 과제는 해킹 사고 수습이다. 정부가 진행하고 있는 KT 해킹 사고의 최종 조사 결과는 새해 초에 발표될 전망이다. 현재 규제당국의 기류를 볼 때 위약금 면제 조치까지 이뤄질 가능성이 높은 편이다. 해킹에 따른 이미지 실추와 함께 경영 위기 상황은 분명하다. 이에 따라 박 후보는 전사적인 위기 상황을 겪은 회사의 대표이사를 맡아 조직을 수습해야 한다는 중책을 맡게 됐다. 최근까지 KT에서 사장을 맡아 조직에 대한 이해도가 높고, 내부 직원들로부터 덕망이 높은 점은 회사가 처한 위기를 봉합하는데 도움이 될 것으로 보인다. 이와 함께 대내외 신뢰 회복을 이뤄야 한다. 우선 해킹에 따른 우려가 가장 컸던 고객부터 박 후보가 이사회 면접에서 강조한 것처럼 시장과 주주의 신뢰를 다시 쌓아야 한다. 국가적인 디지털 인프라를 담당하는 KT에 신뢰는 무엇보다 중요한 요소다. 많은 기업이 사이버 침해사고를 겪고 있으나 가입자의 무단 소액결제까지 이뤄지는 피해가 발생한 점에 대해서는 회사 신뢰에 대한 타격이 크다. 이에, 박 후보가 공식적인 대표이사를 맡은 뒤에 반드시 해결해야 할 점으로 신뢰 회복이 빠지지 않는다. 신뢰 회복의 연장선상에서 대대적인 정보보안 투자도 불가피한 과제다. 특히 정보보호 조직에서 이뤄진 사고 은폐 등을 고려하면 회사의 보안 거버넌스도 새롭게 구축해야 한다. 통신 네트워크를 운영하는 회사인 만큼 네트워크 고도화 투자도 과제로 꼽힌다. 이날 이사회에서 박 후보를 최종 대표 후보로 선임하는 안건에 앞서 주파수 재할당 신청에 관련한 안건도 의결이 이뤄졌다. 정부는 LTE와 3G 주파수 재할당 방침을 확정하면서 5G SA 투자를 의무 조건으로 내걸었는데 이에 대한 효율적인 대응이 박 후보의 과제로 부상했다. KT는 국내 통신사 가운데 유일하게 일부 단말과 가입자 대상으로 5G SA를 시작했으나 정부가 모든 5G 무선국을 5G 코어 장비와 연동할 것을 주문한 만큼 이에 대한 투자 계획을 세워야 한다. 박 후보가 토목공학 박사 출신으로 KT의 관로에 대한 업무를 맡아 코어 장비 연동 투자에 대해 전문가적인 식견이 더해질 것이란 기대가 높은 편이다.

2025.12.16 19:05박수형 기자

포티넷, 보안 실무자 네트워킹 행사 '보안잡담' 연다

글로벌 네트워크 보안 융합 솔루션 기업 포티넷코리아(북아시아 총괄 대표 체리 펑)는 IT 커뮤니티 '전산실 사람들'과 함께 오는 7일 서울 강남 구스아일랜드에서 보안 실무자 네트워킹 행사 '보안잡담'을 개최한다고 2일 밝혔다. 이번 행사는 보안 실무자들이 현장에서의 고민과 경험을 자유롭게 공유하는 캐주얼한 네트워킹 자리다. '보안에 투자하는 돈, 정말 아까운 걸까?'라는 질문을 중심으로, 비용 효율을 중시한 운영 방식과 투자를 통한 보안 강화 방안을 비교하며 현실적인 해법을 모색하는 구성으로 진행된다. '전산실 사람들' 커뮤니티 운영자 남훈식은 '예산 최소화 전략: 비용 없이 실현하는 보안'을 주제로, 최소 비용으로 지켜내는 실용적 보안에 대해 강의한다. 포티넷코리아 김영표 이사는 '투자를 통한 강화: 비용을 들여 완성하는 보안'을 주제로, 선제적 투자를 통한 보안 체계의 완성을 강조한다. 이어지는 패널 토의에서는 비용 효율과 보안 강화 사이의 균형점을 찾기 위한 논의가 이어질 예정이다. 이 외에도 실시간 퀴즈, 식사, 네트워킹 프로그램 등이 함께 진행돼, 업계 종사자 간 교류와 정보 교환의 장이 될 전망이다. 포티넷코리아 김영표 이사는 “보안 담당자들이 가장 많이 고민하는 부분은 한정된 예산 안에서 얼마나 효율적이고 실질적인 보안 체계를 구현할 수 있을지에 대한 문제”라며 “이번 행사는 보안 담당자들이 현실적인 해법을 함께 논의하고 공감대를 형성할 수 있는 자리가 될 것”이라고 말했다.

2025.11.02 19:23김기찬 기자

[기자수첩] '민낯' 드러난 K-보안…"보안은 보험"

전 세계 보안인들 앞에 우리나라의 정보보호 민낯이 드러났다. 북한 또는 중국의 지원을 받는 것으로 알려진 해킹 조직 '김수키'(Kimsuky)가 화이트 해커들에 의해 역으로 침투당하면서, 김수키가 우리나라 정부와 주요 기관을 상대로 지속적으로 공격을 하고 있다는 사실이 알려졌다. 세계적 해킹 잡지 '프랙'(Phrack)은 최근 발행한 40주년 기념호에 'APT Down: The North Korea Files'라는 제목의 해킹 보고서를 실었다. 이 보고서는 'Saber'와 'cyb0rg'라는 화이트해커가 공저한 것으로, 김수키의 시스템에 침투한 뒤 자료를 수집해 인프라 및 악성코드 등에 대한 상세히 분석한 내용을 담았다. 이 보고서는 실력있는 전 세계 해커들이 모이는 세계 최대 해킹 대회 '데프콘(DEFCON CTF 33)' 현장에 배포됐다. 보고서에 따르면 김수키가 우리나라 정부에 대한 지속적인 공격을 이어왔던 사실이 밝혀졌다. 방첩 임무를 수행하는 국방부 방첩사령부를 포함해 외교부, 대검찰청 등의 정보가 어떻게 김수키의 손에 들어가게 됐는지도 분석돼 있었다. 한국 정부의 정보가 지속적으로 김수키의 손으로 들어갔던 사실이 전 세계 화이트해커들에게 뿌려진 셈이다. 한마디로 한국 정부 사이트가 해커에 무방비였던 것이다. 민간의 상황도 별반 다르지 않다. 국민을 불안에 떨게 했던 SKT 해킹 사태와 더불어 예스24, SGI서울보증 등 굵직한 침해사고가 올해 한꺼번에 쏟아져 나왔다. 심지어 11일 예스24는 또 다시 랜섬웨어에 당했다. 이런 배경에 침해사고 건수 역시 매년 증가세다. 한국인터넷진흥원(KISA)에 따르면 상반기 기준 최근 3년간 침해사고 신고 건수는 2023년 664건에서 지난해 상반기 899건, 올해 상반기에는 1천건을 넘어선 1034건으로 불어났다. 반면 국내 기업들의 정보보호 투자 비율은 지난해 기준 IT 투자 대비 평균 6.44%에 불과한 것으로 나타났다. 전년 대비 0.39%포인트 늘었다. 하지만 이는 미국·유럽의 평균 투자 비율인 25%에 크게 못 미치는 수치다. "전 세계 정보보호 투자액을 보면 한국은 정말 미미한 수준이에요. IT 강국이라면서 보안을 잘한다는 나라를 꼽으라면 이스라엘, 싱가포르 등 뿐이고 한국의 이름은 거론되지 않죠. 국제 보안 자격증 CISSP를 운영하고 있는 비영리단체에서도 지난해부터 한국 시장에서 등을 돌렸어요. 한국에서 보안이라…." 한 보안 컨설팅 업체 대표는 기자와 만난 자리에서 이 같이 말하며 깊은 한숨을 쉬었다. 그는 한국 정보보호업계의 현실을 지적하며 올해를 끝으로 한국에서 사업을 축소할 계획이다. 보안 투자는 기업들 입장에선 '돈'이 되지 않는다. 투자를 한다고 해서 생산성이 향상되는 것도 아니고, 몸값을 올려 다시 회수할 수 있지도 않다. 이미 국내에선 보안 투자가 '매몰비용'으로 인식되고 있는 지 오래다. 올해 상반기 침해사고 정보 공유 세미나 현장에서 인상깊었던 박상훈 한국과학기술연구원(KIST) 전문원의 말을 빌리고 싶다. "보안은 소모성 비용이 아니라 생존을 위한 보험이다"

2025.08.11 11:11김기찬 기자

"규제 준수는 최소기준"…LGU+, 글로벌 톱 수준 보안 정조준

LG유플러스가 보안 수준을 높이기 위한 핵심 키워드로 '자발적 강화'를 내세웠다. 단순히 규제를 준수하는 데 그치지 않고, 글로벌 수준의 보안 체계를 갖추기 위해 국내외 보안 기업, 제조사, 통신사들과의 협력을 확대한다. 홍관희 LG유플러스 정보보안센터장은 29일 기자간담회에서 “컴플라이언스는 최소한의 기준일 뿐”이라며 “진짜 보안은 자발적으로 수준을 높이고, 타사와의 협력을 통해 생태계를 확장해가는 과정에 있다”고 밝혔다. LG유플러스는 글로벌 수준의 보안 체계를 갖추기 위해 국내외 협력을 이어오고 있다. 지난해에는 외국계 보안 컨설팅사와 6개월간 내부 분석 및 전략 설계를 진행했다. 올해는 한국인터넷진흥원(KISA)의 제로트러스트 컨설팅 프로그램을 신청했으며, 약 한 달간 진행될 예정이다. 또한 CMM(Capability Maturity Model) 기반의 자체 성숙도 평가를 통해 2027년까지 글로벌 평균 이상 수준 달성을 목표로 하고 있다. 보안 체계의 실질적인 실행력을 높이기 위한 움직임도 병행된다. LG유플러스는 지난해부터 보안 KPI를 도입해 조직 전반에 적용하고 있으며, 올해는 그 범위를 확대 중이다. 단순히 보안 전담조직을 CEO 직속으로 격상하는 데 그치지 않고, 이사회 정기 보고, CEO 주재 보안 회의 등 구조적 내재화를 추진 중이다. 홍 전무는 “보안 조직을 CEO 직속으로 두는 것만으로는 충분하지 않다"며 "2024년부터 보안 KPI를 반영했고, LG유플러스의 모든 보안 조직에 일정 비율로 적용하고 있다"고 설명했다. 이어 그는 "단순히 조직 차원의 문제가 아니라 KPI, 이사회 보고, 여러 체계들이 함께 움직여야 진짜 보안 역량 강화라고 생각한다"고 덧붙였다. 보안 투자 공시 제도에 대한 개선 필요성도 제기했다. 현재는 연간 총투자액만 공개되는 수준으로, 실효성 있는 정보 제공이 어렵다는 설명이다. 홍 전무는 “공시 제도는 지금 기업이 작년에 얼마 썼다 정도에서 끝난다”며 “어느 영역에 얼마를 썼는지, 그것이 보안 투자에 해당하는지 아닌지조차 명확하지 않다”고 말했다. 이어 “공시를 강화하려면 '투자 항목별 내역 공개'와 '보안 투자 판단 기준'이 함께 마련돼야 한다”며, 규제기관과의 지속적인 협의를 통해 공시 제도 개선이 필요하다는 입장을 밝혔다.

2025.07.29 12:55진성우 기자

보안 없이 AI시대 없다···"보안 투자 비율 10% 의무화 필요"

윤석열 전 대통령의 탄핵 이후 들어서는 새 정부는 정치 혼란 속에서도 산업과 기술의 방향을 다시 세울 중대한 책임을 떠안았다. 동시에 세계는 기술의 또 다른 거대한 전환점을 맞고 있다. 인공지능(AI)이 특정 산업의 기술을 넘어, 모든 산업에 스며드는 '기반 인프라'로 자리 잡고 있는 것. 자동차에서 헬스케어, 게임, 미디어, 금융에 이르기까지 AI는 이미 산업 생태계의 기초 체력으로 작동하기 시작했다. 지디넷코리아는 창간 25주년을 맞아 이 격변의 시점에서 AI 기반 산업 대전환기에 진입한 대한민국의 산업 현장을 진단하고, 각 산업 전문가들과 함께 'AI 시대, 새 정부가 해야 할 일'을 짚어본다. [편집자주] SK텔레콤(SKT) 해킹 사태로 온 나라가 떠들썩하다. 이런 사태가 다시 일어나지 않도록 하려면 새 정부는 무얼해야 할까. 산학 보안전문가들은 정보보호에 대한 투자 확대와 정부의 사전 예방 정책을 주문했다. 한국정보보호산업협회(KISIA)에 따르면 2023년 기준 한국 사이버 보안 시장 규모는 세계 10위다. 이를 떠받치는 국내 정보 보안 업체는 814개사다. 이 가운데 최근 3년 평균 매출이 800억원 넘는 중견기업은 안랩·이글루코퍼레이션·윈스 3개사 뿐이다. 사실상 중소기업이 모여 세계 10위가 됐다고 볼 수 있다. 우리나라의 보안 분야 잠재력은 크다고 평가된다. 실제 국내 사이버 보안 산업은 최근 3년 동안 연 평균 11.83% 성장했다. 세계 사이버 보안산업 성장률(11.9%)과 비슷한 수준이다. 같은 기간 국내 소프트웨어(SW) 산업 성장률(7.98%)보다 높다. 우리나라는 북한이라는 세계 최고 수준 해커 국가가 '상수'로 존재한다. 어떻게 대응하는냐에 따라 세계최고 방패국가가 될 수 있는 것이다. 와중에 한국 사이버 보안 역사에 흑역사로 남을 사건이 터졌다. 국내에서 가장 많은 사람이 이용하는 이동통신사 SK텔레콤이 해킹당한 사실이 지난달 알려졌다. 2천600만명의 가입자식별모듈(USIM·유심) 정보가 빠져나갔다. 국가 감독과 대기업 보안을 믿었던 국민 절반이 개인정보 유출로 전전긍긍하고 있다. 산업계는 '사이버 보안 없이 AI 시대는 없다'고 지적한다. 맞는 말이다. 보안이 뒷받침되지 않으면 국민은 마음놓고 AI를 쓸 수 없다. “AI 투자 100조 중 10조원은 정보보호에” 국내 정보보호 산업을 대표하는 KISIA는 인재를 키우고 수출을 늘리면 한국이 세계 3위 사이버 보안 강국이 될 수 있다고 봤다. 정부 투자가 절실하다는 입장이다. 조영철 KISIA 회장(파이오링크 대표)은 “AI에 100조원을 투자하면 10조원 이상 정보보호에 써야 한다”며 “공공·민간 분야가 정보화에 투자할 때 보안 투자 비율을 10% 이상으로 의무화해야 한다”고 주장했다. 배환국 KISIA 수석부회장(소프트캠프 대표)은 “정부가 AI를 위한 보안(Security for AI), 보안을 위한 AI(AI for Security) 둘 다 중요한 정책으로 다루길 바란다”며 “AI 발전이 중요한 만큼 이를 지킬 보안도 더불어 진흥해야 한다”고 강조했다. 그러면서 “성능 좋은 자동차는 엔진·가속페달과 아울러 브레이크 페달도 뛰어나다”며 “보안은 단순한 브레이크가 아니라 안전 장치”라고 들려줬다. 김진수 KISIA 수석부회장(트리니티소프트 대표)은 “정보 보호에 더 투자하지 않으면 AI로 인한 수준 높은 공격을 감당할 수 없다”며 “하루빨리 최악에 대비해 대규모 모의 해킹을 해 봐야 한다”고 지적했다. 그는 “KISIA가 '정보 보호 예산을 2배로 늘려야 한다'고 하니 비웃는 소리가 들린다”며 “심각한 사고가 나면 '큰돈이 아니구나' 깨달을 것”이라고 덧붙였다. “국가, AI보안 챙겨야 북한·중국 맞서” 개별 기업도 국가 차원의 AI 보안 체계를 주문했다. 윤두식 이로운앤컴퍼니 대표는 “국가 차원의 AI 보안 체계를 세워야 한다”며 “적극적으로 예산을 투입해 국가 사이버 보안 콘트롤타워를 설립해야 한다”고 밝혔다. 윤 대표는 “AI 시대가 다가오면서 미국과 중국의 엄청난 AI 기술과 자본에 한국은 밀렸다”며 “이대로는 북한·중국처럼 나라 지원을 받고 공격하는 데 당할 수밖에 없다”고 꼬집었다. 최영철 SGA솔루션즈 부회장은 “새로운 정부는 SK텔레콤 같은 해킹 사태가 다시 생기지 않도록 정보기술(IT) 보안 예산을 크게 늘려 민간·공공·국방 보안 체계를 강하게 할 필요가 있다”며 “여기에 '제로 트러스트(Zero Trust)'처럼 새로운 방법을 빠르게 적용할 기반을 다져야 한다”고 밝혔다. 제로 트러스트는 '절대 믿지 말고 항상 검증하라'는 개념이다. 외부 망은 당연하고 내부 망도, 모든 망은 해킹됐다고 전제하고 접근을 제한한다. 강병탁 AI스페라 대표는 “정부가 서비스형 소프트웨어(SaaS)를 전략적으로 투자할 자산으로 봐야 한다”며 “한국 공공기관이 여전히 구축에만 의존하는 데 반해 해외는 이미 SaaS 중심으로 AI를 도입한다”고 전했다. 이어 “한국은 SaaS를 도입하는 예산을 아예 편성하지 않는다”며 “SaaS를 비용으로 여긴다”고 분석했다. “디지털 안전은 곧 국민의 삶” 학계는 더 다양한 생각을 내놨다. 박영호 한국정보보호학회장(세종사이버대 정보보호학과 교수)은 '디지털 국민복원력 법(가칭)'을 새 정부에 제안했다. SK텔레콤 해킹 사례에서 보듯 사이버 사고는 개인정보 유출을 넘어 온국민이 불편하고 불안해지기 때문이다. 박 교수는 “디지털 안전은 곧 국민의 삶”이라며 “현행 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'과 '전자정부법' 등은 기술과 공공기관 관리를 집중하지, 국민 복지는 뒷전”이라고 짚었다. 이어 그는 “통신·금융·의료 등을 '사이버 공공재'로 지정하고서 사고 피해자에게 금융을 지원하고 대체 서비스를 알리고 심리 상담을 하자”며 “재난 교육처럼 사이버 위기 대응 교육을 정규화하고, 국가 주도로 AI 통합 사이버 관제탑(SOC)을 설치할 필요가 있다”고 제시했다. 염흥열 한국개인정보보호책임자(CPO)협의회장(순천향대 정보보호학과 명예교수)은 “SK텔레콤이 해킹당해 온나라가 손실 입었으니 부문별 위험을 평가하는 게 좋다”며 “국민이 인터넷 세상을 믿을 수 있어야 한다”고 말했다. 염 협의회장은 “AI 보안과 개인정보 보호에 힘쓰는 국가 체계를 확립해야 한다”며 AI 보안 산업 육성, 인력 양성, 국제 표준화 추진을 과제로 꼽았다. 김용대 한국과학기술원(KAIST) 과학치안연구센터장(전기 및 전자공학부 교수)은 “정책으로 '보안하고 싶다'는 동기를 부여해야 한다”며 “한국 보안 정책은 개인·기업·국가가 '보안하고 싶다'고 생각하고 적은 '해킹하지 말아야겠다'는 생각을 하게 하느냐”고 되물었다. 김 교수는 “'석 달에 한 차례 비밀번호를 바꾸라'기에 어딘가 적어두거나 기억하기 쉽게 숫자만 바꿔쓰는 사람이 많고, 회사는 '보안하려면 돈 든다'면서 최소 규제만 충족하려고 몇 가지 보안 장비만 설치한다”며 “과학기술정보통신부에 '침해대응과'는 있지만 '침해예방과'는 없는 현실을 봐도 일 터지고 나야 대응하는 데 급급하다”고 말했다.

2025.05.26 08:58유혜진 기자

코인베이스, 개인정보 유출 고객에게 5500억원 보상

미국 암호화폐 거래소 코인베이스가 개인정보를 유출 당한 이용자에게 4억 달러(약 5500억원)까지 돌려주겠다고 나섰다. 23일(현지시간) 미국 잡지 와이어드에 따르면 코인베이스는 '보상 비용으로 많게는 4억 달러가 들 것'이라고 미국 증권거래위원회(SEC)에 보고했다. 지난주 코인베이스는 해킹당해 소비자 이름, 주소, 이메일 주소, 전화번호, 신분증 정보 등이 빠져나갔다고 밝혔다. 해커가 수집한 고객 정보로 연락해 코인베이스라고 사칭한 뒤 '암호화폐를 나눠주겠다'고 속이려 했다고 코인베이스는 설명했다. 또 해커가 이용자 개인정보를 빼내기 위해 내부 직원을 매수했다며 내부자는 시스템 접근 권한을 악용했다고 전했다.

2025.05.24 08:27유혜진 기자

[보안리더] 최복규 S마피아 회장 "날 원하는 곳 있어 행복"

이제 마케팅 시대예요. 마케팅최고책임자(CMO) 평균 연봉이 기술최고책임자(CTO)보다 많다네요. 보안 전문가가 개발한 기술이 시장에서 팔리도록 알리는 역할도 있어야죠. 최복규 에스마피아(S마피아) 회장은 최근 지디넷코리아와 만나 이같이 밝혔다. 에스마피아는 한국 보안(Security) 산업을 마케팅(Marketing)하는 사람들의 이상향(Utopia·유토피아)이라는 뜻의 모임이다. 한국에서 보안 산업이 활발해진 2000년대 초 모이기 시작했다. 10여개사로 출발해 5배 넘게 커졌다. 삼성SDS 자회사인 시큐아이 강명수 실장이 초대 회장으로 에스마피아를 이끌었다. 당시 보안 산업 홍보·마케팅 담당자들이 대부분 1970년대생으로, 나이와 직업이 비슷해 의기투합했다. 현재 50여개사 70여명이 회원으로 활동한다. 매년 회장을 새로 뽑는다. 보안 기업은 전시회나 기술 설명회에 참가해 업체마다 사업을 뽐내곤 한다. 이때 현장에서 자주 만난 담당자끼리 관련 소식과 마케팅 정보, 정보기술(IT) 동향을 주고받는다. 온라인으로 소통하는 한편 매년 상·하반기 정기 모임으로 친목을 다진다. 최복규 에스마피아 회장은 정보보호 기업 앤앤에스피 마케팅팀 상무이기도 하다. 최 회장은 “에스마피아를 만든 초기에는 사회관계망(SNS)이 없던 때라 한 달에 한 번 만났다. 영화에 나오는 마피아처럼 정기적으로 모이자는 취지였다”고 말했다. 이어 “주로 홍보·마케팅 관련 정보를 교류한다. 보안 업계에 처음 발을 들인 담당자들에게 매우 유용하다”고 들려줬다. 마케팅은 경영학에서 뻗어 나왔다. 고객과의 관계를 관리하고, 시장을 만드는 일을 한다. 최 회장은 보안 기업 마케팅으로 ▲제품 출시 전략 수립 ▲회사 브랜딩 ▲사업 기회 발굴 ▲전시 및 행사 등을 꼽았다. 최 회장은 소프트뱅크 한국지사 채널마케팅 과장으로 사회 생활을 시작해 안랩 세일즈마케팅 부장을 지냈다. 그는 “지금은 소프트뱅크 한국지사가 없지만, 그때 한국에서 안랩 보안 상품 총판을 맡았다”며 “그 인연으로 안랩으로 옮겼다”고 돌아봤다. 이후 시큐레터 마케팅총괄 이사를 거쳐 앤앤에스피 상무로 일하고 있다. 최 회장은 “몇 번 이직하면서 느낀 점이 있다”며 “나를 필요로 하는 곳이 있으니 행복하다”고 강조했다. 그는 어릴 적부터 그림을 좋아해 대학에서 예체능을 전공했다. 시각디자인학과에서 웹기획한 경험을 살려 간 첫 직장에서 마케팅에 빠졌다. 동국대 언론정보대학원에서 석사를 받았다. 박사 과정에 도전할 마음도 있다. 현재 성균관대·국방혁신기술보안협회가 운영하는 사이버보안 최고위과정 제1기에 참여한다. 아래는 최복규 회장 약력 동국대 언론정보대학원 석사 성균관대·국방혁신기술보안협회 사이버보안 최고위과정 제1기 소프트뱅크코리아 채널마케팅 과장 안랩 세일즈마케팅 부장 시큐레터 마케팅총괄 이사 앤앤에스피 상무(현재)

2025.05.07 17:59유혜진 기자

[보안리더] 지정호 토스 CISO "강력 보안, 편한 금융"

토스 목표는 '보안은 강력하고, 사용은 편리하게'입니다. 토스는 정보보호선언문도 발표했어요. 첫줄에 '토스는 편리하고 안전한 토스 서비스를 제공하기 위해 정보 보호에 최선을 다할 것이다'라고 썼습니다. 안전하면서도 편리한 것은 상충하기에 사실 힘들어요. 그래서 토스는 보안 위협을 평가하고 그 수준에 맞춰 자동 대응하려고 노력한답니다. 지정호 토스(운영사 비바리퍼블리카) 정보보호최고책임자(CISO)는 지난주 서울 강남구 토스 사무실에서 지디넷코리아와 만나 이같이 밝혔다. 지 CISO는 “금융 혁신을 목적으로 삼은 핀테크 회사가 세계 최고 보안팀을 만든다고 해서 2017년 토스에 입사했다”며 “자율 근무 같은 수평적인 기업 문화도 궁금했다”고 말했다. 컴퓨터 학도가 금융사에서 일하는 이유다. 핀테크 업체가 살아남는 비결이기도 하다. 핀테크(FinTech)는 금융(Finance)과 기술(Technology)의 합성어다. 토스는 개인정보보호책임자(CPO)와 CISO를 따로 두고 있다. CISO는 회사 전반 정보 보호를 책임지고, CPO는 그 중에서도 개인정보 보호를 맡는다. 토스 CISO 조직에 CPO 조직이 속했다. 지 CISO는 “토스는 전자금융 거래 매출 비중이 큰 전자금융업자”라며 “'겸직 금지를 예외로 해달라' 신청할 수 있었으나 보안 수준을 높이고자 CISO와 CPO를 각각 뒀다”고 강조했다. 지 CISO는 토스가 앞장선 정보 보호 사례를 여럿 언급했다. “2018년 업계에서 처음으로 정보 보호 공시 제도에 참여했다”며 “비교적 많이 투자한다”고 말했다. 토스는 2023년 정보 보호에 125억6천만원 투자했다. 전체 투자액의 10.5%를 정보 보호에 썼다. 토스 보안 인력은 45명으로, 이 또한 10.3%다. 토스는 2021년 정보 보호 공시 우수 기업으로 뽑혔다. ▲2020년 5월 앱 보안 솔루션 '토스가드' ▲2020년 7월 '토스 안심 보상제' ▲2020년 10월 사기 의심 계좌 알림 ▲2022년 3월 '피싱 제로' ▲2023년 토스 보안 설명회 '가디언스' 개최 등도 토스가 금융권에서 최초로 한 일로 꼽았다. 지 CISO는 국내 정보보호 기업 AI스페라가 지난달 서울 삼성동 그랜드인터컨티넨탈서울파르나스호텔에서 연 '공격 표면 관리(ASM·Attack Surface Management)와 위협 인텔리전스(TI·Threat Intelligence) 설명회'에서도 “사기 친 적 있는 계좌로 토스 사용자가 돈 보내려 하면 경고해 알려준다”며 “첫 피해자는 못 막더라도 두 번째부터는 막아야 한다”고 소개한 바 있다. 온라인 중고 거래에서 사기꾼이 '토스로 보내지 말고 다른 계좌로 보내라'고 한다는 이야기도 전했다. 피싱 제로는 피싱에 쓰는 악성 앱이 휴대전화에 있다면 토스를 실행했을 때 알려 지우도록 돕는 서비스다. 토스 가디언스는 다른 회사 보안 담당자에게 토스 보안 성과와 요령을 알리는 행사다. 올해 3회째로, 지난해보다 많은 사람을 하반기 부르기로 했다. 토스는 보안 취약점을 신고한 사람에게 상을 주는 버그 바운티(Bug Bounty)도 2022년부터 시행하고 있다. 지 CISO는 “비교할 수 없을 만큼 안전한 금융을 만들겠다는 다짐”이라며 “누구나 토스 서비스와 홈페이지뿐만 아니라 토스 계열사 홈페이지 보안 취약점을 제보하면 위협 수준에 따라 한 건에 3천만원까지 준다”고 설명했다. 지 CISO는 정보 보호 전문 기업과 게임·엔터테인먼트 업체를 거쳐 토스에서 일하고 있다. 그는 “정보 보호 기업에서 새로운 보안법을 연구해 국가 사이버 안보에 기여한다는 보람을 느꼈다”며 “이제는 회사 자산과 소비자를 지키는 성취감을 얻는다”고 웃었다. 아래는 지정호 토스 CISO 주요 경력. 2021 고려대 금융보안학과 석사 2006.02~2007.04 엘림넷 정보기술(IT) 부문 2007.04~2010.12 아프리카티비 보안 부문 2011.01~2015.06 윈스 보안 부문 2015.06~2017.06 넥슨코리아 보안 부문 2017.06~2021.02 비바리퍼블리카 보안 부문 2021.03~2024.12 토스증권 CISO 2024.12~현재 비바리퍼블리카 CISO

2025.04.09 15:42유혜진 기자

중고거래 사기꾼 "토스 싫어, 다른 계좌로"…왜?

“사기 친 적 있는 계좌로 토스 사용자가 돈 보내려 하면 경고해 알려줍니다. 첫 피해자는 못 막더라도 두 번째부터는 막아야죠. 그래서 '당근(마켓)' 같은 중고 거래에서 사기꾼이 '토스로 보내지 말고 다른 계좌로 보내라'고 한다네요.” 지정호 비바리퍼블리카(토스) 정보보호최고책임자(CISO)는 6일 서울 삼성동 그랜드인터컨티넨탈서울파르나스호텔에서 열린 '공격 표면 관리(ASM·Attack Surface Management)와 위협 인텔리전스(TI·Threat Intelligence) 콘퍼런스'에서 이같이 밝혔다. 국내 정보보호 기업 AI스페라가 이 행사를 개최했다. 토스는 '사용은 간편하게, 보안은 강력하게'라는 지침을 시행한다. 2020년 7월 고객 피해 보상 안심 제도를 만들어 '지켜주지 못한 고객'에게 금전적 피해를 구제한다. 보안 인력은 50명이 넘는다. 지 CISO는 “지나가는 사람이 '잠깐 스마트폰 빌려달라' 하면 빌려주지 말아야 한다”며 “신분증 빌려주지 않듯 스마트폰은 더욱 안 된다”고 말했다. 그는 “매년 보이스피싱 탓에 수천억원 날아간다”며 “앱을 위·변조해 가짜 앱을 깔게 하고, 개인정보를 입력하면 정보를 빼내, 사용자가 송금하면 해커 계좌로 돈이 들어가게 한다”고 전했다. 지 CISO는 “최근 보안 사고는 내부 임직원에서부터 시작되는 일이 많다”며 “그럼에도 토스는 악성코드(랜섬웨어) 감염된 적이 전혀 없다”고 강조했다. 회사에서 개인 메일과 유해 사이트에 접속할 수 없고, 일하는 데 필요한 소프트웨어(SW)를 사주기에 불법 프로그램 쓸 일이 없다는 설명이다. 데이터센터를 2개 운영하는 토스는 보안 솔루션을 50가지 갖췄다. 지 CISO는 “정보 침해 사고가 터지면 빠르게 대응하려 준비한다”며 “'토스', '한국', '금융', '정보기술(IT)'을 떠올려 공격할 만한 북한이나 단체를 모의 상대로 삼아 훈련한다”고 언급했다. 이어 “공격 표면과 보호할 자산을 파악하는 기초에 충실해야 한다”고 덧붙였다. 임종인 대통령실 사이버특별보좌관 겸 고려대 정보보호대학원 명예교수도 이날 “살아남으려면 스스로 지켜야 한다”며 “ASM의 미래는 새로운 공격 표면을 포괄하고 다양한 보안 도구를 연계해 인공지능(AI)과 인간 역량이 결합하는 것”이라고 주장했다. 그러면서 “일론 머스크 테슬라·스페이스X 최고경영자(CEO)가 요즘 세계에서 가장 영향력 있는 인물이라 반도체 공장 같은 주요 자산이 우주로 갈 것”이라며 “공격 표면이 늘어날 텐데 가시적으로 알 수 있는 건 70%가 안 된다”고 부연했다.

2025.03.06 16:12유혜진 기자

[보안 리딩기업] 이로운앤컴퍼니 "AI보안 우리가 책임···한국서 유일"

“'나쁜 일 해서 많은 돈 벌지 말자'는 게 좌우명이에요. '덜 벌더라도 착한 일 하자'고 생각하죠. 그래서 '기술로 고객을 이롭게 하자'는 뜻으로 회사 이름을 '이로운앤컴퍼니'라 지었어요. '인공지능(AI) 보안'이라면 세계 누구든 이로운앤컴퍼니를 찾게 하고 싶어요. 기업이 업무를 안전하게 자동화하는 서비스를 통틀어 제공하는 게 목표입니다.” 윤두식 이로운앤컴퍼니 대표는 26일 서울 삼성동 사무실에서 지디넷코리아와 만나 사명을 소개하며 이같이 밝혔다. 윤 대표는 1973년생으로 만 50세에 창업했다. 비교적 늦게 도전했다고 여기는 나이다. 그는 대전 한밭고를 졸업하고, 충남대에서 컴퓨터과학 학·석사를 받았다. 그리고 국내 정보보호 기업 지란지교소프트에 입사했다. 여기서 25년 동안 일하며 10년은 지란지교소프트에서 분사한 지란지교시큐리티 대표이사로 보냈다. 윤 대표는 “오래 전부터 창업하고 싶었지만 지란지교시큐리티를 키우는 게 우선이었다”며 “코스닥시장에 상장하고 모비젠과 SSR을 인수하면서 회사를 안정적인 궤도로 올렸다”고 말했다. 그 목표를 이루고서야 '내 회사'를 차릴 때라고 확신했다. 윤 대표는 “고객이 안전하게 AI를 활용하도록 돕겠다”며 2024년 1월 이로운앤컴퍼니를 설립했다. 이로운앤컴퍼니는 AI챗봇에서 민감 정보를 판별하고, 거대언어모델(LLM)을 연동한 응용프로그램(앱)에 대한 공격을 방어하는 AI 보안 기업이다. 윤 대표를 포함해 9명의 구성원이 이로운앤컴퍼니에서 일한다. 3명이 출발, 외형으로는 1년새 3배가 커졌다. 임직원 9명 가운데 8명이 개발자다. 유일한 비개발자 1명은 최고고객책임자(CCO)로 윤 대표에게 특별한 사람이다. 전 직장인 지란지교소프트에서 만나 사내 커플이 됐고, 이제 창업자 부부로 회사에서나 가정에서나 언제나 그를 응원하는 든든한 지원자다. 회사 이름 '이로운'도 아내가 제안했다. 그 1년간의 이야기를 들어봤다. 아래는 윤 대표와의 일문일답. -AI 보안이란 무엇인가? “AI 보안은 크게 두 가지가 있다. 하나는 AI의 보안을 높이는 AI를 위한 보안(Security for AI)과 또 하나는 AI를 이용해 보안(AI for Security)을 높이는 것이다. 이 중 이로운앤컴퍼니는 AI의 보안을 높이는 서비스를 제공한다. 한국에는 우리 같은 회사가 아직 없다. 우리가 유일하다. 외국에서도 빨라야 2020년 시작, 몇 개 회사가 있다. 이제 시장이 막 열리는 단계다.” -이로운앤컴퍼니 주력 제품은? “지난해 7월 '세이프엑스(SAIFE X)'를 선보였다. 이어 12월에 첫 고객으로 한국정보보호교육원에 공급했다. 기업은 AI 서비스를 쓰고 싶어도 회사 정보가 밖으로 나갈까 봐 불안해한다. 사용자가 AI챗봇 대화창에 내용을 쓰면 세이프엑스가 민감한 정보를 가려낸다. '입력한 내용에 민감한 정보가 있어요.' 그러면서 이름과 연락처 등을 표시한다. 곧이어 '민감한 정보가 아니면 표시를 해제하고 전송하세요. 민감한 정보를 보내면 유출 피해를 입을 수 있으니 조심하세요.'라고 알려준다. 기업은 사정에 맞게 개인정보와 금융 정보 등이 기밀이라고 미리 설정할 수 있다. 세이프엑스에는 '제일브레이크 필터(Jailbreak Filter)' 기능도 있다. AI에 일부러 나쁜 내용을 써서 공격자가 의도하는 동작으로 유도하는 제일브레이크를 알아채 막아준다. 지금껏 알려진 제일브레이크는 대부분 영어로 쓰였다. 한국어 챗봇에서 악용될 가능성이 크다. 이로운앤컴퍼니는 한국 회사답게 한국어 공격을 방어하는 능력을 지녔다. LLM 보안 상태를 진단하고 해결책을 제시하는 레드팀(Red Team) 서비스도 제공한다. AI를 쓰고 싶은데 해킹이 걱정된다면 '세이프 X'를 쓰면 된다." -수출은 언제쯤? “설립한 지 1년여 밖에 안됐지만 수출도 고려하고 있다. 우선 연내 일본어 서비스를 내놓으려고 한다. 며칠 전에도 일본 회사를 만났다. 관심이 많더라. 이로운앤컴퍼니의 해외 시장은 처음도 끝도 일본이다. 일본 정보보호 시장 규모는 한국의 10배다. 일본에서만 성공하더라도 큰 성과를 이루는 셈이다. 일본에서 10% 이상 시장 점유율을 차지하고 싶다.” -매출 목표와 상장 계획은? “일단 올해는 10억원 달성이 목표다. 착실히 성장해 2027년에는 100억원을 돌파하고 싶다. 양분으로 삼을 투자도 차근차근 받고 있다. 지난해 5억원을 시드 투자(Seed Investment)로 받았다. 시드 투자는 창업초기기업이 서비스를 출시할 준비하는 단계에서 이뤄진다. 창업초기기업 투자 전문사 마크앤컴퍼니가 이끌었다. 올해에는 프리시리즈A 단계 투자 유치를 생각하고 있다. 기업공개(IPO)는 2029~2030년쯤으로 잡고 있다.” 고객에게 한마디? “AI는 기업 경쟁력에 반드시 필요한 수단이다. 보안이 두려워서, 효과를 못 믿어 도입하기를 미룬다면 회사 경쟁력 높일 때를 놓친다.겪어봐야 한다. 보안이 두려우면 이로운앤컴퍼니를 찾아라. 같이 해결하자. 우리 회사 팀멤버들이 좋다. 특히 최고기술책임자(CTO)의 경우 20년 이상 보안 개발자로 일했고, 한국보다 큰 시장으로 평가받는 일본에서도 경험을 갖고 있다." 스타트업 대표로서 자랑할 기업 문화는? “재택근무다. 월·화·수요일 3일은 집에서 일하고, 목·금요일에는 오전 10시부터 오후 4시까지 집중 근무하면 된다. 이로운앤컴퍼니 직원은 강원 춘천시, 경기 남양주시 등에서 살기에 재택근무를 매우 좋아한다. 회사가 안착하면 완전 재택근무로 바꿀 것도 생각하고 있다.” 50대에 창업했는데 힘들지 않았나? "왜 안힘들었겠나. 여러 어려움이 많았다. 역시 밖은 '비바람'이 세더라(웃음). 특히 가장 힘든 건 투자 유치였다. 생각한 것보다 쉽지 않더라. 법인사업자 등록부터 세무·회계·법무까지 직접 챙겨야 하는 것도 힘들고 생소했다. 힘들때마다 아내가 큰 힘을 줬다.(웃음)" 창업하려는 후배에게 조언한다면? “정부가 지원하는 창업 교육을 꼭 받고 시작하길 바란다. 임직원 구성, 지분 구조, 아이템 선정, 고객 요구 수렴 방법, 투자 유치 방법 등 대부분을 알려준다. 기본을 알면 잘못된 길을 갈 확률이 줄어든다. '그냥 해 볼까? 안되면 취직하지, 뭐'라는 생각으로는 절대 성공하지 못한다. 온 힘을 다해도 될까 말까다. 그리고 내가 50세에 창업해서 하는 말인데, 마음이 있으면 한 살이라도 어릴 때 하라. 체력도 중요하다(웃음).” 올해 한국정보보호산업협회 AI보안협의회 회장을 맡았는데 활동 계획은? "회원사는 구상 단계다. 정부와 산업계 모두가 AI 보안에 관심이 많으므로 많은 기업과 학계가 참여할 거라 생각한다. 산업에서 AI를 어떻게 적용하는 것이 보안 측면에서 베스트 프랙티스(Best Practice)인지 모르기 때문에 이를 도와줄 수 있는 큰 아웃라인을 만드는 작업을 우선 할 계획이다."

2025.02.28 08:20유혜진 기자

[보안리더] 이유진 라온시큐어 부사장 "해외 사업은 이렇게 하는 것 보여줄 것"

“한국 정보보호(보안) 기술을 국제표준으로 만들고 싶어요. 그래서 라온시큐어 디지털 신분증(ID) 기술을 오픈소스로 개방했습니다. 선진국에서 영역을 넓히면 물론 커다란 기쁨이지만, 우선 개발도상국에서 소외계층에게 신분증을 만들어 주면 굉장히 뜻이 깊을 것 같습니다.” 이유진 라온시큐어 부사장은 20일 서울 여의도 사옥에서 열린 지디넷코리아와의 인터뷰에서 “각 나라마다 보안 정책이 다른데, 이런 사정에 맞춰 한국 기술을 이전하는 도전을 하고 있다”며 이같이 밝혔다. 이 부사장은 2023년 라온시큐어 해외사업본부장으로 합류했다. 한국 정보보호 기업 1세대로 꼽히는 소프트포럼(현 한글과컴퓨터 지주사), 이니텍(KT 계열사) 등을 거쳤다. 세계적인 카드 회사 비자 한국지사 부사장도 역임했다. 어린 시절을 미국에서 보낸 뒤 미국 휴렛패커드(HP)를 비롯한 대기업에서 근무한 경험이 지금의 이 부사장을 만들었다. 라온시큐어는 이런 이 부사장에게 더 큰 무대가 됐다. “라온시큐어는 중견기업이지만 빠르게 혁신하려는 태도를 갖췄다”면서 “대기업은 결재 단계가 복잡하다. '해외 사업은 이렇게 하는 것'이라는 걸 보여주려면 대기업보다 라온시큐어 같은 회사가 낫다"고 반색했다. 라온시큐어는 해외에 2개 법인과 4개 사무소를 뒀다. 미국·싱가포르 법인과 일본·인도네시아·필리핀·코스타리카 사무소다. 여기서 구독형 생체 인증(FIDO, Fast Identity Online), 디지털 ID, 정부 전자지갑 서비스 개발 사업 등을 한다. 아래는 이 부사장과 일문일답. -미국 휴렛패커드(HP) 같은 해외 기업과 라온시큐어 같은 국내 기업은 일할 때 무엇이 다른가? "세계적인 대기업에서 일할 때에는 혁신 기업으로부터 쫓기지 않으려 방어하는 데 많은 자원을 썼다. 지금은 스스로 기존 생각을 파괴할 정도로 혁신하는 '디스럽터(Disruptor)'로 활약하고자 한다. 세계적인 대기업은 이미 체계를 갖추고 시장 입지를 탄탄하게 다진 게 장점이다. 국내 기술 기업과 비교하면 빠르게 변화하려는 움직임은 소극적이다. 라온시큐어 같은 한국의 기술 기업은 역동적이고 유연하고 추진력이 강하다. 의욕 넘치는 인재는 이런 곳에서 능력을 잘 발휘할 수 있다. 나 역시 빠른 의사결정과 추진력을 갖춘 이 곳에서 더 능력을 뽐낼 수 있을 것 같다. 또 라온시큐어처럼 기술이 강한 국내 보안 기업은 정부의 적극적인 디지털 전환(DX) 지원을 바탕으로 경쟁력을 키우기 좋은 환경에 있다. 미국 경제지 포브스는 경제·기술 등을 기준으로 한국을 '2025년 가장 강력한 10개국' 6위로 꼽았다. 이를 발판 삼아 세계에서 '한국의 디지털 신분증(K-DID)' 기술을 선도하는 기업으로 도약하고자 한다." -동북아·동남아·북미·중남미 등에서 사업 중인데 지역별로 특징이 있나? "해외 사업을 할 때에는 긴밀하게 협력하는 게 중요하다. 라온시큐어는 국내외 정부 기관과 협력해 인도네시아 국가 디지털 ID 설계 컨설팅, 인도네시아 통합 디지털 ID 서비스, 코스타리카 공공 전자지갑 개발 사업 등을 수주했다. 라온시큐어는 디지털 신분증 수요가 많은 나라에서 해외 사업을 하고 있다. 동남아·남미 등에서 사는 11억~13억명이 신원을 증명할 신분증을 갖고 있지 않은 것으로 추산된다. 이렇게 되면 복지에서도 소외된다. 국제연합(UN)과 세계은행(WB) 등 국제기구는 신분증 없는 사람도 모바일 기기는 가지고 있는 점을 주목했다. 라온시큐어는 이런 문제를 해결할 블록체인 디지털 ID 기술을 보유했다. 인권 신장, 디지털 정부에 이바지할 수 있다고 기대한다. 일본에서는 구독형 생체 인증 분야서 성과를 냈다. 클라우드 수요가 급증해 라온시큐어에 유리한 환경이다. 최근 일본 주요 금융그룹과 40억원 넘는 규모의 큰 계약을 했다. 지난달 일본에서 라온시큐어의 구독형 생체 인증 월간활성사용자(MAU)가 600만명을 넘었다. 미국에는 '디지털트러스트네트웍스'라는 라온시큐어 현지 법인이 있다. 미국 대형 의료체인 C사에 디지털 ID를 제공했다. 일본에서 성공한 사례를 바탕으로 미국에서도 확장하려 한다. 시장조사업체 스태티스타에 따르면 세계 FIDO 시장 규모는 2022년 12억 달러(약 1조7천448억원)에 달했다." -해외 사업이 쉽지 않다. 각 나라마다 다른 나라 기술을 쓰려 하지 않을텐데... "맞다. 디지털 신분증 같은 대국민 사업에 한국 기술을 제공하는 일은 쉽지 않다. 국가 사업은 자국 기술 기반으로 진행하는 경향이 있다. 특정 기업이나 다른 나라 기술에 종속돼서는 안 되기 때문이다. 이런 어려움을 우리는 오픈소스로 해결한다. 라온시큐어는 국가 모바일 신분증을 구현한 블록체인 디지털 ID 기술을 '깃허브(세계적 오픈 사이트)'를 통해 오픈소스로 공개해 '옴니원 오픈 DID' 프로젝트를 운영하고 있다. 세계 개발자 생태계를 구축하고 국제 표준화를 도모한다. 오픈소스로 각국 개발자가 라온시큐어 기술을 이용하면 이는 곧 우리 디지털 ID 기술을 현지에 이전하는 의미가 된다. 라온시큐어는 블록체인 디지털 ID를 오픈소스로 풀어 세계 개발자 생태계를 확대해 DID의 국제 표준을 이끌고, 라온시큐어 기술을 중심으로 세계에 K-DID를 확산할 계획이다"

2025.02.22 10:29유혜진 기자

메신저·AI·배달앱서 암호화폐 빼낸다…악성코드 발견

러시아 정보보호 기업 카스퍼스키는 10일 애플 앱스토어와 구글 플레이에서 새로운 악성코드(트로이 목마) '스파크캣'을 발견했다고 밝혔다. 카스퍼스키에 따르면 스파크캣은 스마트폰 사용자에게 사진첩 접근 권한을 요청해 광학 문자 인식(OCR) 기능으로 암호화폐 지갑의 복구 문구가 포함된 스크린샷을 탈취한다. 해커는 암호화폐 지갑의 복구 문구를 악용해 돈을 빼돌릴 수 있다. 이미지에서 비밀번호 같은 민감한 정보도 뽑아낸다. 암호화폐 관련 앱은 물론이고 메신저, 인공지능(AI) 비서, 음식 배달 앱도 감염된 것으로 나타났다. 메신저 '애니GPT'와 음식 배달 앱 '컴컴' 등이 감염됐다. 이들 앱은 구글 플레이에서만 24만회 넘게 다운로드됐다. 카스퍼스키는 이들 악성 앱을 애플과 구글에 보고했다. 카스퍼스키는 앱이 감염됐다는 사실을 알았다면 즉시 지우고 악성 기능이 없는 업데이트 앱이 나올 때까지 쓰지 말아야 한다고 당부했다. 암호화폐 지갑 복구 문구처럼 민감한 정보가 포함된 스크린샷을 사진첩에 저장해도 안 된다.

2025.02.10 16:35유혜진 기자

Prev 1 Next