검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'보호'통합검색 결과 입니다. (433건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

"트럼프, 美 사이버안보 조직 10% 해고"

도널드 트럼프 미국 대통령이 사이버안보인프라안보국(CISA) 직원을 대거 해고했다고 미국 잡지 와이어드가 지난 13일(현지시간) 보도했다. CISA는 300~400명이 사라진 것으로 보고 있다. 전체 인원 3천200명의 10%에 해당한다. CISA의 자발적 위협 탐지 서비스를 감독했던 켈리 쇼우, 기술 책임자인 던칸 맥카스킬 등이 떠난 것으로 알려졌다. CISA 한 직원은 “매우 뛰어난 인재를 잃었다”고 말했다. 와이어드는 남은 인력이 남은 짐을 떠안았다고 지적했다. CISA 직원은 “적을 바라보는 대신 어깨 너머를 바라보는 사람들이 많다”고 고개를 저었다. 또 다른 직원은 “인력이 심각하게 부족하다”며 “대부분이 2명 이상의 몫을 하고 있다”고 전했다. 그러나 제임스 휴잇 미국 백악관 국가안전보장회의(NSC) 대변인은 “말도 안 된다”며 “CISA에서 대량 해고하지 않았다”고 펄쩍 뛰었다. CISA 측은 미국 사이버 안보 능력이 떨어지고 있다는 입장이다. 버락 오바마 행정부 시절 CISA를 이끈 수잔 스폴딩은 “적들은 우리를 끊임없이 공격한다”며 “우리는 모두 전선에서 집중해야지, 외상을 입거나 주의가 산만해져서는 안 된다”고 주장했다. 트럼프 행정부가 국가 안보와 경제 전망은 과소평가한 채 정부 효율성을 높이겠다는 정책이 CISA를 혼란스럽게 했다고 와이어드는 비판했다. CISA 직원은 “정부효율부(DOGE)가 민감한 정보를 수집해 다들 걱정하고 있다”고 우려했다. 트럼프 행정부 개국 공신 일론 머스크 테슬라 최고경영자(CEO)가 정부효율부 수장이다.

2025.03.16 08:00유혜진 기자

[보안리더] 박영호 정보보호학회장 "보안은 브레이크···기업 보안인력 적어"

“자동차가 빠르게 달리다가도 성능 좋은 브레이크를 밟으면 사고를 막을 수 있습니다. 정보 보호도 마찬가지예요. 안전이 담보되면 효율성을 높일 수 있죠.” 박영호 한국정보보호학회장(세종사이버대 정보보호학과 교수)은 13일 서울 광진구 세종사이버대 연구실에서 지디넷코리아와 만나 보안을 차 브레이크에 빗대며 이같이 말했다. 박 회장은 학·석·박사 학위를 모두 고려대 수학과에서 받았다. 암호에 관심이 많았다. 대통령실 사이버특별보좌관인 임종인 고려대 정보보호대학원 교수로부터 배웠다. 박사까지 마치고 임 교수가 2000년 고려대에 정보보호대학원을 만들 때 연구교수로서 힘을 모았다. 2002년 세종사이버대가 정보보호학과를 만들고 싶다며 박 회장을 불렀다. 수학 좋아하는 소년이었던 그는 20년 넘게 후학을 기르는 정보보호 전문가가 됐다. 아래는 박 회장과의 일문일답. -한국정보보호학회는 무슨 활동을 하나? "과학기술정보통신부 산하 학회다. 1990년에 생겼다. 학회원은 7천명으로, 대부분 교수다. 여름과 겨울 1년에 두 차례 국내 학술대회를 연다. 석·박사들이 논문을 발표한다. 국제 학술대회도 매년 2번 치른다. 여름 제주도에서 '국제 정보보호 응용 학술대회(WISA)', 겨울 서울에서 '국제 정보보호 암호 학술대회(ICISC)'를 한다. 매년 4월에는 정보보호학회가 가장 중요하다고 생각하는 '정보통신망 정보보호 콘퍼런스(NetSec-KR, 넷섹-KR)'를 개최한다. 올해에는 다음 달 17일부터 이틀 동안 서울 삼성동 코엑스에서 산·학·연 관계자 1천300명이 모이기로 했다. 미국 구글 정보보호최고책임자(CISO)에게서 구글이 어떻게 개인정보를 지키는지 들을 참이다. 한국인이 가장 많이 쓰는 응용 프로그램이 동영상 앱 '유튜브'니까." -끊임없는 개인정보 유출 사고에 어떻게 대응해야 하나? "기업이 돈 벌 때에는 보안을 뒷전으로 미루는 경향이 있다. 그러니 개인정보 유출 사고가 줄줄이 터질 때마다 큰일이다. 모든 것이 온라인으로 이어져서다. 기업에 정보보호 인력이 적다. 하물며 대기업도 그런데, 중소기업은 더 힘든 실정이다. 전산 담당자에게 CISO를 맡기곤 한다. 작정하고 뚫으려는 해커를 막기 어렵다. 정부가 '정보보호 전문가 10만 양병설'을 들고 나왔으니 제대로 했으면 한다. 처벌이 강해도 기업이 조심할 것이다. 미국처럼 한국에도 징벌적 손해배상 제도가 있다면 어떨까. 소비자는 어느 회사 상품을 썼을 뿐인데 개인정보가 빠져나가 피해 입었다면 기업이 정당한 대가를 치러야 한다. 그럼에도 해킹을 아예 막을 수는 없다. 창이 있으면 이를 막으려는 방패가 있고, 방패가 있으면 이를 뚫으려는 창이 있기 마련이다. 결국 복원력을 발휘하는 게 중요하다. 정보 보호 기술에 투자해 피해를 최소한으로 줄이는 것이다. 소비자 개인정보가 새더라도 기업이 이를 암호로 만들어 보관했다면 훨씬 안전하다." -'웜GPT'처럼 오픈소스를 악용한 인공지능(AI)에 무슨 문제가 있나? "몇 년 전 중학생이 부산 한 언론사 전광판에 '조선일보 전광판, 중학생한테 다 털렸죠?'라는 글을 띄웠다. 해킹 도구를 인터넷에서 어둠의 경로로 내려받아 실행한 것이다. 이처럼 AI로도 해킹 도구를 만들 수 있어서 우리 학회가 연구하고 있다. 오픈소스는 잘 쓰면 약이다. 세계적인 회사가 엄청나게 많은 돈을 쏟아 '챗GPT'를 만드는 반면 가난한 나라는 그러기 어려웠다. 그런데 중국에서 '딥시크'가 오픈소스를 활용해 챗GPT보다 저렴한 비용으로 개발됐다는 소식이 알려졌다. 곧바로 정보가 탈취될 수 있다는 우려도 커졌다. 보안을 해결하지 않으면 심각해질 수 있다. AI는 정보를 먹을수록 커진다. 그만큼 개인정보가 빠져나가는 게 문제다. 내가 유튜브로 언제, 어디서, 무슨 영상을 보는지가 전부 정보다. 알고리즘으로 사용자의 취미나 정치 성향도 알 수 있다. 차가 빠르게 달리려면 브레이크가 좋아야 하듯 AI를 활발하게 쓰려면 윤리 의식과 제도가 뒷받침돼야 한다. 이미 사물인터넷(IoT)을 안 쓰는 기기가 없다. 세상이 달라졌으니 안전 수준도 높여야 한다."

2025.03.14 16:20유혜진 기자

"中, 美 네트워크 기업 주니퍼네트웍스 사이버 공격"

구글 클라우드의 정보보호 자회사 맨디언트는 14일 중국 해커가 지난해 미국 네트워크 기업 주니퍼네트웍스를 공격했다고 밝혔다. 맨디언트에 따르면 중국 해커 'UNC3886'은 지난해 주니퍼네트웍스의 주노스운영체제(Junos OS)에서 작동하는 백도어(backdoor)를 배포했다. 백도어는 뒷문이라는 뜻으로, 하드웨어나 소프트웨어 개발·유통 과정에 몰래 담겨 정상적으로 인증하지 않고도 보안을 풀 수 있게 만든 악성 코드다. 맨디언트는 지원 종료된 주니퍼 라우터에 6가지 변종 멀웨어가 설치됐다고 설명했다. UNC3886이 멀웨어 영향을 받은 기기에 최고 관리자 권한(root access)을 획득했다고 전했다. UNC3886은 소프트웨어 취약점을 공격하는 '제로데이 익스플로잇(zero-day exploits)' 기법을 썼다고 맨디언트는 전했다. 새로운 공격 기법인 '프로세스 인젝션(process injection)'으로 합법적인 프로세스 메모리에 악성 코드를 주입한 것으로 드러났다. 맨디언트는 네트워크 기기를 업데이트하는 게 중요하다고 강조했다. 탐지 효과를 정기적으로 검토하고, 잘 알려지지 않은 운영 체제를 포함해 네트워크 기기 취약점을 점검해야 한다고 조언했다.

2025.03.14 14:27유혜진 기자

생각대로, 정보보호관리체계 간편인증 획득

음식배달 중계 플랫폼 '생각대로' 운영사 로지올(대표 채헌진)은 한국인터넷진흥원으로부터 정보보호관리체계(ISMS) 간편인증을 획득했다고 12일 밝혔다. 이번 인증 취득을 통해 로지올은 고객의 소중한 데이터를 보호하고, 더욱 안전한 물류 서비스를 제공할 수 있는 기반을 마련했다. ISMS(InformationSecurity Management system) 인증은 기업이 정보보호를 위한 체계적인 관리 절차를 수립하고 운영하는지를 평가하는 국내 권위의보안 인증이다. 인증을 받기 위해서는 정보보호 정책, 위험관리, 접근통제, 암호화, 운영보안, 개인정보 보호 등 40여 개의 엄격한 심사 기준을 충족해야 한다. 로지올은 배달산업의 디지털 전환을 선도하는 기업으로서, 이번 인증 취득을 계기로 고객의 신뢰를 더욱 강화하고, 보안수준을 지속적으로 개선해 나갈 계획이다. 특히, 차세대 스마트배송 시스템 등 자사의 혁신적인 기술을 더욱 안전하게 운영할 수 있도록 보안 프로세스를 철저히 관리할 예정이다. 로지올 관계자는 "이번인증 획득은 당사의 정보보호 관리 역량을 공식적으로 인정받은 것"이라며 "앞으로도 정보보호 수준을 지속적으로 강화하고, 안전하고 신뢰할수 있는 물류 서비스 제공을 통해 배달산업의 디지털 혁신을 이끌어가는 데 앞장설 것"이라고 말했다.

2025.03.12 11:13백봉삼 기자

배민, 서울 내 다회용기 서비스 지역 15곳→20곳

배달의민족이 친환경 배달 문화 확산을 위해 다회용기 사용 지역을 확대한다고 밝혔다. 배민 운영사 우아한형제들은 다회용기 배달 서비스 지역을 기존 강남구, 송파구 등 15개 구에서 ▲동대문구 ▲성북구 ▲강동구 ▲은평구 ▲중랑구를 추가해 총 20개 구로 확대한다고 11일 밝혔다. 다회용 배달용기 서비스는 배민의 친환경 활동 중 하나로, 배민 앱에서 다회용기를 선택해 배달받고 식사 후 용기 반납을 신청하면 다회용기 서비스 운영사가 세척 및 용기 반납을 진행하는 방식이다. 해당 서비스는 지난 2022년 서울 강남구를 시작으로 15개 구에서 서비스 중으로, 지난 10일부터 동대문구와 성북구로 서비스 지역이 확대됐다. 다음 달 1일부터는 강동구, 은평구, 중랑구에서도 개시된다. 배민은 다회용기 사용이 친환경적 측면뿐 아니라 업주 입장에서도 위생적이고 안전한 스테인리스 용기에 음식을 제공할 수 있고, 고객 입장에서도 불필요한 포장용기 배출을 줄일 수 있다고 설명했다. 또한 이번 다회용기 지역 확대를 기념해 신규 지역 고객을 대상으로 10일부터 24일까지 다회용기 가게에서 1만5천원 이상 주문 시 즉시 사용할 수 있는 1만 원 쿠폰을 지급한다. 배민은 다회용기 서비스 지역 확대와 더불어 다회용기 사용 확산을 위해 지자체와 손잡고 친환경 솔루션을 구축하고 있다. 대표적으로 지난해 11월에는 천안시와 '거점형 스마트도시 조성사업 시행을 위한 업무협약'을 맺고, AI 검수 시스템 등이 적용된 다회용기 스마트 세척센터 건립을 추진하고 있다. 스마트 세척센터가 도입되면 최적의 동선으로 다회용기를 배달, 회수하는 관리 시스템 구축이 가능하다. 우아한형제들 김중현 가치경영실장은 “다회용기 보급과 사용 확산을 위해 다회용기 전용 쿠폰 등 다양한 행사를 진행하고 있다”며 “협력을 통해 친환경 배달 문화를 선도할 것”이라고 말했다.

2025.03.11 13:40류승현 기자

[현장] "중기 정보보호 인증 이렇게"···ISMS-P 교육장 가보니

“저희 회사가 개인정보 보호를 잘하고 있는지 확인하고 싶어서 왔어요. ISMS-P를 취득하려고 심사에 필요한 자료를 만들고 있거든요. 인증 기관이 어디인지, 예외 사유는 무엇인지 알려줘서 도움을 얻었습니다.” 10일 오전 서울 송파구 IT벤처타워 소재 한국인터넷진흥원(KISA) 교육장. 이 곳엔 오전부터 중소기업에서 보안 업무를 맡고 있는 20명이 참석해 강의실을 채웠다. 과기정통부와 개인정보위, KISA가 공동으로 시행하는 중소기업을 위한 '정보보호 및 개인정보보호 관리 체계(ISMS-P·Personal Information & Information Security Management system) 구축‧운영 교육'을 듣기 위해서다. 이들 기관은 개인정보 보호 관리 체계 인증을 취득할 예정이거나 관심 있는 중소기업을 대상으로 매년 교육을 하고 있다. 올해도 3월부터 9월까지 6개월간 시행한다. 이날은 오프라인으로 이뤄지는 교육 첫째 날이다. 'ISMS-P'는 기업이 보안 수준을 높이고 개인정보 유출을 막도록 보호 체계를 갖췄는지 심사하고 인증하는 제도다. 정보통신망 서비스를 제공하는 기업이나 정보통신 서비스 매출액이 100억원 이상인 업체는 의무적으로 인증을 취득해야 한다. 인증 받으려면 시스템운영팀과 정보보안팀, 개인정보보호팀 같은 조직을 꾸려야 한다. 시스템 운영 장소와 설비도 필요하다. 이날 강사로 나선 임지석 ISMS-P 인증심사원은 “우리 회사가 어떤 조직을 갖춰 무슨 자산을 관리할지, 개인정보를 수집·이용·파기할 때 어떻게 처리할지, 사고 예방·대응은 무슨 수로 할지 등을 증명해야 한다”며 “중소기업기본법과 특정금융정보법 등에 기준이 나온다”고 안내했다. “중소기업 스스로 인증 받을 요령 알고파” 인증신청서 양식을 받아 본 참가자들은 어떻게 쓰는지 골몰했다. 자세한 심사 기준이 궁금하면 서슴없이 손 들고 질문했고, 쉬는 시간 강사에게 가 따로 묻기도 했다. 한 참가자는 기자에게 “제도가 있다는 것은 알았지만 구체적 내용을 몰랐다”며 “여기서 전체적인 개요를 파악해 좋았다”고 소감을 밝혔다. 그러면서 “우리 회사는 아직 인증 계획이 없지만 '알아두면 좋겠다' 생각했다”며 “회사에 건의하니 선뜻 허락해 배우러 왔다”고 말했다. 기업에서 개인정보 보호 관련 중간관리자라는 고윤상씨는 “우리 회사는 인증 취득을 준비하고 있다”며 “중소기업이 컨설팅 업체를 안 써도 자체 인력으로 ISMS 심사를 신청하고 유지·관리하는 방법까지 알고 싶다”고 밝혔다. 그는 “13년 동안 개인정보 보호 업무를 해 관련 제도에 관심이 많다”며 “KISA가 직접 교육하는 만큼 이론보다 실제로 현업에 적용할 요령을 얻을 수 있을 것 같다”고 기대했다. 9월까지 ISMS-P 인증 제도 온·오프라인 교육 이날은 교육 첫날로, ISMS-P 인증 제도 개요를 다뤘다. 이어서 나흘 동안 ▲간편인증 보호 대책 항목 분석 ▲개인정보 처리 관련 법과 제도 ▲개인정보 보호 대책 ▲기업별 운영 사례 실습 등을 진행한다. 이처럼 올해 교육 일정은 3월부터 9월까지 총 6회, 회당 5일간 운영된다. ▲3월 10일 ~ 3월 14일 ▲3월 31일 ~ 4월 4일 ▲5월 19일 ~ 5월 23일(온라인) ▲6월 30일 7월 4일 ▲8월 18일 ~ 8월 22일(온라인) ▲9월 15일 ~ 9월 19일 가운데 가능한 일정을 골라 신청하면 된다. 단 5일 연속 참석해야 한다. 지방에 있거나 현장 출석하기 어렵다면 온라인 교육을 들을 수 있다. 참석하려는 기업은 상생누리나 개인정보배움터 홈페이지에서 교육 한 달 전부터 신청할 수 있다. 수료기업 중 희망한다면 KISA가 제공하는 보안 취약점 점검, 맞춤형 기술 지원 등을 받을 수 있다. 오명희 KISA ISMS팀 선임연구원은 “상장기업이 이 인증을 얻으면 환경·사회·지배구조(ESG) 중 사회 부문 평가를 건너뛴다”며 “정보보호 전문 서비스 기업과 보안 관제 기업으로 지정할 때에도 가점을 받는다”고 소개했다.

2025.03.10 16:50유혜진 기자

BYD 타면 개인정보 유출?…중국 전기차 소문 사실일까

중국 자동차를 타면 개인정보가 유출될 수 있다는 소문이 퍼졌다. 특히 중국 최대 전기차 회사 비야디(BYD)가 중국 생성형 인공지능(AI) '딥시크'를 기반으로 자율주행 기능을 신차에 적용하겠다고 발표하자 논란이 커졌다. 전문가들은 확인되지 않은 설이라고 선을 그었다. 익명을 요구한 자동차 보안 전문가는 7일 지디넷코리아와의 통화에서 “중국 자동차를 운행한다는 사실만으로 개인정보가 빠져나가는지 알 수 없다”며 “중국 자동차 회사가 차량 내·외부에서 수집한 정보를 중국 정부에 보낸다는 얘기는 확인되지 않은 소문”이라고 말했다. 한국개인정보보호책임자(CPO)협의회장인 염흥열 순천향대 정보보호학과 명예교수는 “중국 기업이 수집한 정보를 중국 사법당국에 제공할 수 있다는 가능성을 한국 소비자가 걱정하는 것 같다”고 분석했다. 다만 개인정보 보호를 객관적으로 증명할 필요가 있다는 의견이 나온다. 자동차 보안 전문가는 “중국 자동차 제조사가 한국에 판매하려면 소비자가 불안하지 않게 해야 한다”며 “한국 정부와 소비자가 받아들일 만한 제3의 공신력 있는 기관이 검증한 결과로 자동차 제조사가 소명해야 한다”고 주장했다. 국내 자동차관리법에 따르면 자동차 제조사는 자동차 사이버 보안 관리 체계를 수립해 국토교통부 장관 인증을 받아야 한다. 자동차 사이버 공격·위협 사고가 발생하면 국토부 장관에게 즉시 그 사실을 신고해야 한다. 다른 자동차 제조사도 마찬가지다. 염 교수는 “한국·미국·유럽 차량도 정보를 수집하고, 필요하다면 이를 제3자에게 공유한다”며 “어떤 정보를 수집하는지, 누구에게 왜 공유하는지 등을 개인정보 처리 방침에 고지한다”고 설명했다. 자동차 보안 전문가는 “BYD가 중국 회사라 억울하기도 할 것”이라며 “현대자동차·기아 같은 한국차와 테슬라·BMW·벤츠를 비롯한 다른 나라 수입차도 AI를 쓰고 카메라로 찍지 않느냐”고 되물었다. 자동차를 운행하면서 샐 수 있는 개인정보는 ▲탑승자 개인정보 ▲차량 주변 개인정보 2가지로 나뉜다. AI 음성 비서가 탑재된 차량을 탄 사람이 대화한 내용이 유출될 수 있고, 대화 내용을 모아 보면 특정 정보를 유추할 수도 있다. 또 다른 하나는 자율주행 기능을 갖춘 차량이 주변 차량이나 보행자를 카메라로 촬영한 영상이 유출될 수 있다. 결국 한국 정부가 나섰다. 개인정보보호위원회는 이날 BYD 스마트자동차 실태를 점검하겠다고 밝혔다. 현대·기아·테슬라·BMW·벤츠는 이미 지난해부터 조사중이다. 개인정보위는 최근 BYD 한국지사에 개인정보 보호 문제를 물었다. BYD는 개인정보 처리 방침을 개선하고 있다며 한국 개인정보보호법을 충실히 반영하겠다고 답했다. 개인정보위는 "향후 BYD를 포함한 스마트자동차 분야에 대한 실태점검을 조속히 진행해, 우리 정보주체의 개인정보가 안전하게 보호되며 관련 서비스가 활성화될 수 있도록 만전을 기할 방침"이라고 7일 밝혔다. 미국은 중국 스마트자동차뿐 아니라 화웨이 통신 장비와 로봇청소기, 인터넷 공유기 등 사물인터넷(IoT) 기기를 못 쓰게 막는다. 한국은 미국처럼 국가 차원에서 중국을 무조건 배척하기 힘들다. 중국은 한국의 제1교역국이다.

2025.03.07 16:37유혜진 기자

넥슨 '메이플스토리' 해킹 후…범죄기록부 쓴 AI스페라

“제가 전에 다닌 직장 넥슨에서 게임 '메이플스토리' 사용자 개인정보 1천300만건이 유출됐습니다. 충격적이죠. 그래서 '인터넷프로토콜(IP) 범죄 기록부'를 만들기로 했습니다. 5년이나 개발했어요. 너무 오래 걸려서 동료와 투자자가 힘들어했습니다. 'IP 주소를 다 수집하겠다니 미친 짓'이라던 사람들이 이제 '대세'라고 평가하네요.” 강병탁 AI스페라 대표는 6일 서울 삼성동 그랜드인터컨티넨탈서울파르나스호텔에서 개최한 '공격 표면 관리(ASM·Attack Surface Management)와 위협 인텔리전스(TI·Threat Intelligence) 콘퍼런스'에서 이같이 밝혔다. AI스페라는 2017년 10월 문을 열었다. 2023년 4월에야 '크리미널(Criminal) IP'를 선보였다. 이후 국내외 50개사와 계약했다. 강 대표는 “빅데이터 양이 430페타바이트(PB)”라며 “서버는 900대, 날마다 바뀌는 정보는 40억~50억개”라고 말했다. 그는 “서버를 비롯한 정보기술(IT) 자산은 담당자가 아는 현황과 인터넷에 연결된 실제 숫자가 다르다”며 “잘 지키고 있다고 생각해도 ASM으로 살펴보면 그렇지 않다는 사실을 알게 된다”고 지적했다. 이어 “보안 담당자가 항상 모든 자산을 관리할 수는 없다”며 “위협에 미리 대응할 수 있는 ASM이 필요하다”고 주장했다. 또 “ASM은 스캔할 때 장애를 일으키지 않는다”며 “날마다 자동 수행해 결과를 알려준다”고 강조했다. AI스페라를 공동 창업한 김휘강 고려대 정보보호대학원 교수는 “한국 콘텐츠 사업의 적은 저작권 침해”라며 “불법 유포 사이트 '누누티비'가 대표적”이라고 소개했다. 그러면서 “크리미널 IP에 '드라마'를 검색하면 한국 드라마 안 볼 것 같은 나라의 불법 사이트에도 나온다”고 시범을 보였다. 이어 “요즘 우크라이나에서 이런 범죄가 많이 일어난다”며 “국제 공조하려고 해도 전쟁통이라 못하니까 취약하다”고 덧붙였다.

2025.03.06 16:51유혜진 기자

중고거래 사기꾼 "토스 싫어, 다른 계좌로"…왜?

“사기 친 적 있는 계좌로 토스 사용자가 돈 보내려 하면 경고해 알려줍니다. 첫 피해자는 못 막더라도 두 번째부터는 막아야죠. 그래서 '당근(마켓)' 같은 중고 거래에서 사기꾼이 '토스로 보내지 말고 다른 계좌로 보내라'고 한다네요.” 지정호 비바리퍼블리카(토스) 정보보호최고책임자(CISO)는 6일 서울 삼성동 그랜드인터컨티넨탈서울파르나스호텔에서 열린 '공격 표면 관리(ASM·Attack Surface Management)와 위협 인텔리전스(TI·Threat Intelligence) 콘퍼런스'에서 이같이 밝혔다. 국내 정보보호 기업 AI스페라가 이 행사를 개최했다. 토스는 '사용은 간편하게, 보안은 강력하게'라는 지침을 시행한다. 2020년 7월 고객 피해 보상 안심 제도를 만들어 '지켜주지 못한 고객'에게 금전적 피해를 구제한다. 보안 인력은 50명이 넘는다. 지 CISO는 “지나가는 사람이 '잠깐 스마트폰 빌려달라' 하면 빌려주지 말아야 한다”며 “신분증 빌려주지 않듯 스마트폰은 더욱 안 된다”고 말했다. 그는 “매년 보이스피싱 탓에 수천억원 날아간다”며 “앱을 위·변조해 가짜 앱을 깔게 하고, 개인정보를 입력하면 정보를 빼내, 사용자가 송금하면 해커 계좌로 돈이 들어가게 한다”고 전했다. 지 CISO는 “최근 보안 사고는 내부 임직원에서부터 시작되는 일이 많다”며 “그럼에도 토스는 악성코드(랜섬웨어) 감염된 적이 전혀 없다”고 강조했다. 회사에서 개인 메일과 유해 사이트에 접속할 수 없고, 일하는 데 필요한 소프트웨어(SW)를 사주기에 불법 프로그램 쓸 일이 없다는 설명이다. 데이터센터를 2개 운영하는 토스는 보안 솔루션을 50가지 갖췄다. 지 CISO는 “정보 침해 사고가 터지면 빠르게 대응하려 준비한다”며 “'토스', '한국', '금융', '정보기술(IT)'을 떠올려 공격할 만한 북한이나 단체를 모의 상대로 삼아 훈련한다”고 언급했다. 이어 “공격 표면과 보호할 자산을 파악하는 기초에 충실해야 한다”고 덧붙였다. 임종인 대통령실 사이버특별보좌관 겸 고려대 정보보호대학원 명예교수도 이날 “살아남으려면 스스로 지켜야 한다”며 “ASM의 미래는 새로운 공격 표면을 포괄하고 다양한 보안 도구를 연계해 인공지능(AI)과 인간 역량이 결합하는 것”이라고 주장했다. 그러면서 “일론 머스크 테슬라·스페이스X 최고경영자(CEO)가 요즘 세계에서 가장 영향력 있는 인물이라 반도체 공장 같은 주요 자산이 우주로 갈 것”이라며 “공격 표면이 늘어날 텐데 가시적으로 알 수 있는 건 70%가 안 된다”고 부연했다.

2025.03.06 16:12유혜진 기자

대한항공-아시아나 M&A 이행감독 체계 구축

공정거래위원회와 국토교통부는 6일 정부서울청사에서 항공 여객운송 시장에서의 경쟁 촉진 및 소비자 보호를 위한 업무협약을 체결했다. 공정위와 국토부는 대한항공·아시아나항공·진에어·에어성울·에어부산 등 5개 항공운송사업자의 시정조치 이행 여부를 더욱 면밀하게 관리·감독하기 위해 협약을 체결했다. 두 부처는 이날 업무협약을 바탕으로 ▲운항시각 및 운수권 반납 및 재배분 등 대체항공사 지정 ▲마일리지 통합방안 마련 ▲항공운임 및 마일리지 제도 모니터링 등에 대해 긴밀하게 협력해 나갈 계획이다. 업무협약 체결과 함께 이행감독위원회도 발족했다. 대한항공 측은 공정위·국토부와 협의를 거쳐 공정거래·소비자·항공·회계감사 분야 전문가 가운데 독립적으로 감독 업무를 수행할 수 있는 9명의 위원들로 이행감독위원회를 구성했다. 위원 임기는 2년 단위로 연임이 가능하다. 한편, 이행감독위원회의 운영기간은 기업결합일로부터 10년이다. 공정위 시정조치에 따라 이행감독위원회는 직무수행을 위해 대한항공 측에 관련 정보 제공 또는 자료 제출을 요구할 수 있고, 필요한 경우 사업장을 방문·점검할 수 있다. 또 대한항공 측의 시정조치 이행상황을 분기별로 점검해 공정위에 보고할 예정이다. 한기정 공정거래위원장은 이행감독위원회 위원들에게 “항공 시장에서의 경쟁 촉진을 위한 다양한 시정조치들이 제대로 이행되는지 적극적으로 감독해줄 것”을 당부하면서 “소비자 관심이 높은 항공 마일리지 통합방안과 항공요금 인상에 대해서도 국토부와 긴밀히 소통하겠다”고 밝혔다. 박상우 국토부 장관은 “항공 소비자 보호의 최우선 가치는 안전이므로, 경쟁 촉진 과정에서도 안전체계 확보에 만전을 기하겠다”면서 대한항공에도 “결합을 계기로 더 많은 안전 투자와 신규노선 개발 등으로 소비자 편익 제고에 기여할 것”을 당부했다.

2025.03.06 16:10주문정 기자

토스 "방화벽 자동 작업해 사이버 보안…포티넷 활용"

국내 핀테크(FinTech) 기업 토스가 방화벽 정책을 자동으로 작업해 보안 수준을 끌어올렸다고 밝혔다. 미국 정보보호 기업 포티넷 상품을 활용했다. 핀테크는 금융(Finance)과 기술(Technology)의 합성어로, 보안을 생명으로 여긴다. 임성균 비바리퍼블리카(토스) 매니저는 5일 경기 성남시 그래비티조선서울판교호텔에서 열린 '포티넷 판교 시큐리티 포럼'에서 이같이 밝혔다. 임 매니저는 “회사에서 개발자가 한 번 설정하면 '더 편하게 해달라'는 요청을 받았다”며 “포티넷 서비스로 사용자망 방화벽 업무를 자동 처리한다”고 말했다. 그는 “기존 시스템으로는 정보 자산을 관리하기 복잡했다”며 “하나하나 보안 정책을 정확하게 적용하기 어려운데다 수동으로 적용하자니 일관되게 처리하지 못하고 실수할 수도 있었다”고 털어놨다. 토스는 새로운 접근·권한 제어 방식을 설계했다. 임 매니저는 “IAM(Identity and Access Management) 시스템을 중심으로 요청과 처리의 공통 정보를 활용해 일관된 접근 제어 정책을 썼다”며 “토스에 입사하거나 퇴사하는 등 사용자 정보가 바뀌면 곧바로 반영해 관리하고, 승인된 사용자만 접근·권한 결재 요청을 수행하도록 했다”고 설명했다. 토스 보안은 '절대 믿지 말고 항상 검증하라'는 제로 트러스트(Zero Trust) 개념이 핵심이다. 임 매니저는 “모든 접근 요청을 의심하는 게 첫째”라며 “각 자산의 보안 상태에 따라 접근 권한을 정한다”고 강조했다. 이어 “'편하게, 편하게'가 토스 기조”라며 “계열사가 계속 늘어나서 보안 표준화를 준비하고 있다”고 덧붙였다. 포티넷 서비스를 더 쓰겠다는 얘기다.

2025.03.05 15:20유혜진 기자

"작년 한국 웹 기반 공격 1천만건"

지난해 국내에서 웹 기반 사이버 위협이 1천만건 가까이 일어난 것으로 나타났다. 러시아 정보보호 기업 카스퍼스키는 4일 세계에서 스스로 참가한 수백만명의 보안 정보를 '카스퍼스키 시큐리티 네트워크(KSN)'로 자동 분석한 결과를 이같이 발표했다. 지난해 한국에서 탐지된 인터넷 기반 사이버 위협은 총 983만7천841건, 웹 기반 위협에 공격받은 사용자 비율은 21%다. 카스퍼스키에 따르면 웹 브라우저를 통한 공격은 악성 프로그램을 유포하는 주요 수단으로 꼽힌다. 브라우저와 플러그인 취약점을 악용한다. 사용자가 감염된 사이트를 접속하기만 해도 감염된다. 사용자가 모르는 사이 악성코드가 실행된다. 파일을 실행하지도 않았는데 사용자가 악성 사이트로 연결되는 링크를 클릭하면 사용자 모르게 정보를 해커에게 보내는 기법이 가장 위험하다고 카스퍼스키는 지적했다. 디스크에 탐지 가능한 개체를 남기지 않기 때문에 알아채기도 어렵다는 설명이다. 웹 기반 공격의 또 다른 수단인 소셜 엔지니어링 방식은 인간 행동의 취약점을 악용하여 민감한 정보를 훔치거나 계정을 탈취한다. 사용자 생활에 침투해 사용자가 직접 악성 파일을 내려받도록 유도한다. 피해자가 정상적인 프로그램을 받는 것처럼 믿게 만들어 악성 파일을 실행하도록 꾀어낸다. 이를 막으려면 보안 솔루션이 다운로드 중인 위협을 바로 알아내야 한다고 카스퍼스키는 강조했다. 카스퍼스키는 기계 학습(ML) 기반으로 악성 활동을 알아내는 '행동 기반 탐지', 소프트웨어 취약점을 이용한 악성코드 공격을 실시간 차단하는 '익스플로잇 예방' 기능을 제공한다.

2025.03.04 16:00유혜진 기자

라온시큐어, AI·보안 공채…자율출퇴근·점심2시간

정보기술(IT) 보안·인증 플랫폼 기업 라온시큐어는 4일 신입·경력직을 공개 채용한다고 밝혔다. ▲공공·금융기관·일반기업 영업 ▲서버 개발 ▲화이트 해커 ▲제품 품질 ▲표준화 개발 등 부문에서 뽑는다. 오는 16일까지 잡코리아·사람인 등 취업 포털에서 모집한다. 서류 전형을 거쳐 업무별 역량을 검증하는 1차 실무 면접과 회사 핵심 가치와 역량 적합도를 보는 2차 임원 면접을 실시한다. 라온시큐어는 양자내성암호(PQC), 생성형 인공지능(AI) 보안, 클라우드 기반 제로 트러스트 보안 관련 인재를 확보하는 게 목표다. 라온시큐어는 ▲자율 출퇴근제 ▲'가족의 날' 오전 근무 ▲'펀펀 런치' 2시간 점심시간 ▲조식·중식 식대 지원 ▲배우자 포함 임직원 무료 건강검진 ▲생일 축하 선물 ▲장기 근속 포상 ▲복지카드 연 120만원 지급 ▲휴양 시설 지원 ▲동호회비 지원 ▲수면실·북카페·사내매점 운영 ▲직원용 레저 차량 운영 ▲여의도 불꽃축제 임직원 가족 초청 행사 등을 복지로 제공한다. 라온시큐어 사옥은 서울 여의도 파크원에 있다. 라온시큐어는 정부로부터 '일·생활 균형 우수 기업', '청년 친화 강소기업'에 선정됐다. '일자리 창출 유공 국무총리 표창', '여성친화기업상'도 받았다.

2025.03.04 15:25유혜진 기자

솔트웨어, 연성대 입시상담 챗봇 'GemAI' 구축

클라우드 관리 서비스(MSP·Managed Service Provider) 기업 솔트웨어는 3일 연성대에 생성형 인공지능(AI) 챗봇 'GemAI'를 구축했다. 솔트웨어가 개발한 챗봇 '사피봇(Sapie-Bot)'을 연성대 입학 전형 챗봇 'GemAI'에 적용했다. 사피봇은 솔트웨어가 개발한 거대언어모델(LLM) 기반 기업용 AI 챗봇이다. 솔트웨어는 검색증강생성(RAG) 기술로 정보 유출과 거짓 정보 생성 위험을 줄였다고 설명했다. 또 기업 내부 정보를 활용해 모델을 학습시킬 필요 없다고 강조했다. 연성대 GemAI는 입학 전형을 상담하는 챗봇과 교직원 업무를 지원하는 AI로 구성된다. 매달 2천500여건에 이르는 입시 문의에 24시간 자동으로 응답한다. 모든 답변은 연성대 입학전형에 기반한다.

2025.03.04 14:58유혜진 기자

"이렇게 하면 털린다"···GS리테일·듀오 해킹 사건 보니

최근 편의점·홈쇼핑 등을 거느린 대형 유통회사 GS리테일의 홈쇼핑 업체 GS샵에서 고객 개인정보 약 158만건이 유출되는 사고가 발생했다. 이보다 며칠 앞서 회원 수 3만명이 넘는 결혼정보업체 듀오에서도 해킹으로 회원 개인정보가 유출됐다. 유출 규모는 파악되지 않았지만, 업계 특성상 다양한 개인정보를 지니고 있을 것으로 추정된다. 잇달은 개인정보 유출과 해킹에 대해 1일 정보보호(보안) 전문가들은 "계정 비밀번호를 자주 바꾸는 한편 아이디·비밀번호 말고도 문자메시지(SMS)나 이중 인증 앱으로 한 번 더 까다롭게 해야 피해를 막을 수 있다"고 조언한다. GS샵의 경우, 지난해 6월 21일부터 이달 13일까지 웹사이트 해킹 공격으로 고객 개인정보가 유출된 정황을 확인했다고 회사는 밝혔다. 홈쇼핑 웹사이트를 통해 유출됐다고 추정되는 개인정보는 ▲이름 ▲성별 ▲생년월일 ▲연락처 ▲주소 ▲아이디 ▲이메일 ▲기혼 여부 ▲결혼기념일 ▲개인통관고유부호 총 10개 항목이다. 각자 입력한 정보에 따라 일부는 포함되지 않았을 수도 있고, 멤버십 포인트와 결제 수단 등 금융 정보는 유출되지 않았다. 특히 GS샵 해킹은 앞서 지난달 편의점 GS25를 통해 GS리테일 회원 9만여명의 개인정보 유출이 드러난 지 한 달여 만에 추가로 확인, 사태 심각성을 더 했다. GS리테일의 경우 지난해 12월 27일부터 지난달 4일까지 웹사이트 해킹 공격으로 이름, 성별, 생년월일, 주소, 연락처, 아이디, 이메일 등 7개 항목이 유출됐다. GS리테일의 경우 개인정보위원회 조사를 거쳐 추후 과징금 규모 등이 결정될 예정인데, 개인정보보호법에 따르면 같은 위반 행위 재발 시 가중 조항이 있다. 이정은 개인정보위 조사2과장은 "GS리테일의 경우가 가중에 해당하는 지는 조사해봐야 한다"고 말했다. GS리테일은 고객 정보 유출과 관련, 사실 인지 후 해킹을 시도한 인터넷프로토콜(IP)과 공격 패턴을 차단하고, GS홈쇼핑 사이트 계정에 로그인할 수 없게 잠금 처리했다. 또 최고 경영진이 참여하는 정보보호대책위원회를 꾸리겠다고 약속하는 한편 최신 정보보호 기술을 도입하고 보안 인력을 늘리겠다고 밝혔다. 듀오의 경우, 지난달 설 연휴 해킹 사고로 일부 고객의 개인정보가 유출됐음을 알아챘고, 유출 경위와 규모를 파악하고 있다. 듀오 회원은 3만5천340명이다. 결혼정보회사인 만큼 회원 ▲이름 ▲연락처 ▲주소 말고도 ▲소득 ▲자산 ▲가족 사항 등을 저장하고 있었을 가능성이 크다. 듀오는 홈페이지에 사과문을 올리고 전문 기관 도움을 받아 기술 조치를 취했다고 밝혔다. 또 주요 개인정보를 암호화해 보관하고 있었다며, 고객에게 안심하라고 일렀다. 이어 비슷한 사고가 다시 일어나지 않게 보안 상태와 시스템 취약점을 점검해 개선하겠다고 밝혔다. GS리테일은 해킹 기법 중 하나인 '크리덴셜 스터핑(Credential Stuffing)' 공격을 받았고, 듀오의 경우 해킹 기법이 알려지지 않았다. 보안 분야에서 25년 이상 일하고 있는 윤두식 이로운앤컴퍼니 대표는 두 회사 해킹에 대해 “아직 직접적인 원인이 밝혀지지 않은 상황이라 함부로 판단하기 어렵다”면서도 “듀오는 시스템이 해킹돼 개인정보가 유출됐을 가능성이 있다”고 말했다. 이로운앤컴퍼니는 인공지능(AI) 보안 수준을 높이는 서비스를 제공하는 회사다. 한국개인정보보호책임자(CPO)협의회장인 염흥열 순천향대 정보보호학과 명예교수는 “GS리테일이 다른 사이트에서 유출된 아이디와 비밀번호를 이용하는 크리덴셜 스터핑 공격을 받은 것 같다”며 “해커는 보안이 취약한 사이트의 아이디와 비밀번호로 다른 사이트를 로그인하는 데 쓴다”고 설명했다. 크리덴셜 스터핑은 이용자가 여러 사이트에서 같은 아이디와 비밀번호를 사용하는 것을 노린 해킹 기법이다. 보안 전문가들은 "매우 단순한 공격 방식이지만 해킹 효과가 커 해커들이 자주 사용하는 방법"이라고 전한다. 공격자는 다크웹에서 계정 정보를 많이 확보한 뒤 반복해 대입을 시도한다. 다른 사이트에서 이미 흘러 나간 아이디와 비밀번호가 악용된 만큼 비밀번호에만 의존해서는 위험하다고 전문가들은 지적했다. 염 교수는 “피싱·파밍 공격을 막을 수 있는 패스워드리스(Passwordless) 방식과 2개 이상 인증 요소를 동시에 사용하는 게 필요하다”며 “예를 들어 아이디·비밀번호와 문자메시지 인증을 동시에 적용하는 것”이라고 설명했다. 윤 대표도 “이중 인증을 지원하는 사이트에서는 반드시 이중 인증을 활성화해야 한다. 이 경우 해커가 내 아이디와 비밀번호로 로그인을 시도하더라도 이중 인증을 못해 정보를 빼낼 수 없다”고 밝혔다. 이어 “기업은 이중 인증을 도입하는 한편 이상 로그인 시도나 비정상적인 접근을 실시간으로 감지하고 대응하는 시스템을 구축해야 한다”며 “정기적으로 교육해 직원의 보안 의식을 높이고 사회공학적인 해킹 기법에 대비하는 능력을 키워야 한다”고 덧붙였다. 전문가들은 "원론적이지만 사용자는 번거롭더라도 사이트마다 비밀번호를 다르게 정하고, 주기적으로 비밀번호를 바꾸는 게 좋다"고 이구동성으로 지적하며 "IP 보안이나 2차 비밀번호 등의 보안 정책을 도입할 것을 기업에 권고하고 있지만, 사용자의 편리성 등 때문에 잘 안 이뤄지고 있다"고 짚었다. 실제 크리덴셜 스터핑을 예방하려면 비밀번호는 최소 8자리 이상으로, 또 영어와 특수문자, 숫자 등 3종류 이상 조합으로 만드는 게 좋다. 여기에 나만의 비밀번호 작성 규칙을 만들고 오랫동안 방문하지 않은 사이트는 탈퇴해야 한다. 듀오는 피해를 방지하기 위해 발신자를 알 수 없는 이메일이나 메시지 링크를 열지 말고 지우는 한편 로그인 비밀번호를 바꾸라고 고객에게 권했다. GS리테일도 비밀번호를 변경하라고 당부했다. 개인통관고유부호 유출이 의심되면 관세청 개인통관고유부호 발급 사이트에서 개인통관고유부호 사용 정지를 요청하거나 재발급 받을 수 있다고 안내했다. 관세청 홈페이지에 도용 신고할 수도 있다. 개인정보가 유출돼 손해 입었다면 개인정보분쟁조정위원회에 분쟁 조정을 신청할 수 있다.

2025.03.01 13:24유혜진 기자

'아이폰16e', 지문 인식 대신 얼굴 인증…왜?

애플이 보급형으로 새롭게 선보인 저가 스마트폰 '아이폰16e'가 지문 인식 대신 얼굴 인증 기능을 갖췄다. 미국 경제 방송 CNBC는 지난달 28일(현지시간) 애플은 얼굴 인증 기술을 가장 간편한 인증 방법으로 평가하며 이에 집중하고 있다고 보도했다. 영국 정보보호 기업 아이프루브의 조 팔머 최고혁신책임자(CIO)는 “휴대전화 잠금을 푸는 데 1초밖에 안 걸려도 하루에 휴대전화 잠금 푸는 횟수를 생각하면 수백초 걸린다”며 “당분간 얼굴 인식을 넘어서는 진화는 없을 것”이라고 말했다. 미국 정보보호 업체 노비포의 로저 그라임스 연구원은 “애플은 얼굴을 인증하는 문화를 갖고 있다”며 “기술이 견고하고 쓰기 쉽기 때문”이라고 강조했다. CNBC에 따르면 화장품을 바르거나 수염을 기르는 등 사용자 외모가 달라져도 아이폰이 얼굴을 인식할 수 있다. 모자·스카프·안경·콘택트렌즈·선글라스를 쓰거나 실내·실외는 물론 어두운 환경에서도 아이폰 얼굴 인증 기능이 작동하도록 애플이 설계했다고 CNBC는 평가했다. 스마트폰에서 지문 인식 기능을 없애는 이유는 화면 크기를 키우려는 목적도 있다고 꼽힌다. 이전 아이폰에는 지문 인식 센서 등을 넣기 위해 홈버튼이 필요했다. 팔머 CIO는 “애플은 낭비되는 공간을 없애 스마트폰 전체가 화면이 되도록 했다”며 “아이폰에서 홈버튼을 없애려고 노력했다”고 설명했다. 다만 지문 인식 기술이 다음 제품에 다시 적용될 가능성도 있다. CNBC는 애플이 몇 년 전 디스플레이 지문 판독 기술 특허를 받았다며 이 기술을 계속 개선하고 있다고 전했다.

2025.03.01 10:10유혜진 기자

"中에 220배 뒤처져"...자율주행차 발목잡는 규제

“지난해까지 중국 바이두가 쌓은 자율주행 운행 기록이 1억1천만km였다. 국내 1위 업체로 평가받는 오토노머스에이투지가 50만km로 약 220배 차이가 난다. 방대한 데이터 차이를 극복하려면 양질의 데이터를 수집할 수 있게 해야 한다.” 이상동 한국자율주행산업협회 팀장은 지난 27일 열린 '자율주행 산업 지원 국회 토론회'에서 이같이 말했다. 최근 중국 스타트업이 내놓은 AI 모델 '딥시크'가 저성능 칩으로 충격적인 성능을 보여주자 BYD와 지리 등 현지 자동차 기업들이 잇따라 자율주행 기술에 딥시크를 활용하겠다고 나섰다. 일찍이 자율주행 기술을 내세워온 테슬라도 지난해 말 완전자율주행(FSD) 소프트웨어 최신 버전을 업데이트하고, 오는 6월 이를 기반으로 한 로보택시 서비스를 예고하는 등 기술 고도화에 집중하는 추세다. 해외 기업들이 실제 주행 데이터를 수집하고, 이를 토대로 기술을 고도화하는 반면 우리나라는 데이터 수집 제한 규제로 양적 격차가 크게 벌어지고 있다는 지적이다. 이상동 팀장은 “AI 기업과 자율주행 기업, 완성차 기업들이 경계선 없이 넘나들면서 협업을 하며 AI 학습을 위한 데이터 수집과 활용이 중요하게 됐다”며 “국내에 자율주행차가 돌아다니려면 국내 환경에 맞는 최적화 데이터가 꼭 필요하다”고 강조했다. 특히 국가 차원에서 양질의 주행 데이터를 수집하는 것이 바람직하다고 봤다. 영세한 스타트업도 산업에 진입할 수 있게 하자는 취지다. 지난 2023년 개인정보보호법 개정에 따라 '이동형 영상정보처리기기'라는 개념으로 주행 영상을 데이터로 활용할 수 있는 법적 근거가 마련됐다. 그러나 데이터의 질적 측면에서 미국, 중국 등 자율주행 기술에 공들이는 국가 대비 여건이 불리하다는 지적이다. 이 팀장은 “테슬라로 예를 들면, 500만대 차량이 도로를 주행하며 사고가 발생하면 당시 영상을 그대로 본사에 전송함에 따라 그 데이터를 자율주행 AI 성능 개선에 활용하고 있다”며 “이런 회사와 규제 샌드박스 차량 몇십 대의 주행 데이터를 토대로 기술을 개발하는 (우리나라) 회사 간 경쟁력이 어디에 있겠나”라고 강조했다. 특히 현 제도 하에서 주행 영상 데이터를 활용할 때 개인정보 비식별화 처리 과정을 거치게 하는 점을 문제 삼았다. 비식별 처리된 영상을 학습한 AI보다 원본 영상을 학습한 AI가 객체 인식이나 주행 판단의 정확도가 17% 이상 높아졌다는 연구 결과를 소개했다. 이 팀장은 “특히 야간 주행, 악천우 등 복잡한 도심 환경에서 원본 주행 영상의 활용 가치가 더욱 올라간다”고 덧붙였다. 우리나라에선 설정된 규칙에 따라 자율주행 AI 모델이 주어진 상황을 인지하고 제어하는 반면, 테슬라 등 선도 기업들은 AI가 사람처럼 새로운 상황에서도 적절한 판단을 할 수 있도록 엔드투엔드(E2E) 방식을 쓰고 있는 점에도 주목했다. E2E 방식 자율주행 AI 성능을 개선하기 위해 더욱 양질의 주행 데이터가 요구되고 있다는 분석이다. 이 팀장은 “결국 모든 사례를 사전에 정의할 수 없기 때문에, 정의된 내용을 벗어나는 사례에서 자율주행 AI가 어떻게 대응할지 모른다는 기술적 어려움이 있다”고 첨언했다. 규제 샌드박스를 통해 원본 주행 데이터 활용이 일부 허용되고 있지만, 대규모 개발 프로젝트에는 한계가 있어 많은 기업들이 비식별 처리된 영상 데이터를 사용할 수밖에 없는 상황이다. 이 팀장은 “규제 샌드박스는 일시적인 예외를 두는 제도인데 자율주행 산업은 계속 고도화해나갈 산업”이라며 “원본 주행 데이터 활용에 대한 지속적인 법적 근거가 마련돼야 한다”고 주장했다.

2025.02.28 18:37김윤희 기자

생성형AI 이용자보호 가이드라인, 한달 뒤부터 시행

생성형 인공지능(AI) 서비스 과정에서 이용자 피해를 방지하기 위한 가이드라인이 마련됐다. 방송통신위원회는 28일 전체회의를 열어 텍스트, 오디오, 이미지 등 생성형AI 서비스 이용 과정에서 피해를 방지하기 위해 사업자들이 참고할 수 있는 실천 방안을 담은 '생성형AI 서비스 이용자 보호 가이드라인'을 보고 받았다. 내달 28일부터 시행되는 가이드라인은 생성형AI 개발사와 서비스 제공자를 대상으로 서비스 전반에 걸쳐 추구해야 할 4가지 기본원칙과 이를 실현하기 위한 6가지 실행 방식을 제시하고 있다. 가이드라인의 기본 원칙은 ▲인간중심의 생성형 AI 서비스 ▲설명 가능성이 확보된 생성형 AI 서비스 ▲안전하게 작동하는 생성형 AI 서비스 ▲공정한 생성형 AI 서비스로 설정했다. 이에 따라 이용자 인격권 보호, 결정 과정을 알리려는 노력, 다양성 존중 노력, 입력데이터 수집활용 과정에서 관리, 문제 해결을 위한 책임과 참여, 건전한 유통 배포를 위한 노력 등의 실행 방식을 세웠다. 예컨대 인격권을 침해하는 요소를 발견하고 이를 통제하는 알고리즘 구축을 위해 노력하고 내부 모니터링 체계를 갖춰야 하는 식이다. 생성형 AI를 통한 콘텐츠 산출물임을 알리고, 편향적 사용을 막기 위한 필터링 장치를 마련하는 동시에 신고 절차를 마련하는 방안도 담았다. 또 서비스 제공자와 이용자의 책임 범위를 정의하고 책임 주체가 이를 명확히 인지하도록 안내하며 부적절한 콘텐츠를 생성하거나 공유하지 않도록 알리는 내용을 명시했다. 사업자들의 수용성과 이해도를 높이기 위해 실제 제공되고 있는 서비스 중 이용자 보호 영역의 모범 사례도 제공한다. 생성형 AI 기술의 급격한 발전이 일상생활에 혁신적 변화를 가져오고 있지만, 사회적으로 물의가 되는 딥페이크 성범죄물, 차별 편향 등 부작용도 심각하게 떠오르면서 이용자 안전과 권리를 보호할 제도적 기반 마련 필요성이 지속적으로 제기된 데 따른 것이다. 이진숙 방통위원장은 “한쪽에서는 산업적 측면으로 발전에 집중하지만, 우리 위원회에서는 소비자와 이용자 보호하는 데 초점을 맞춰서 적극적으로 이해관계자들과 이야기를 놔눠달라”고 주문했다. 한편 방통위는 정보통신정책연구원(KISDI), AI 전문가가 참여하는 연구반을 구성하고, 그 간의 생성형 AI 피해 사례와 국내외 주요 서비스별 이용자 보호 현황 등을 검토해 가이드라인을 마련했다. 이 과정에서 이해관계자 의견을 수렴하기 위해 지난해 9월 열린 'AI 서비스 이용자보호 학술회의'를 통해 가이드라인의 주요 내용을 발표하고, 주요 사업자 대상 기업 간담회를 개최해왔다. 가이드라인은 시행일 기준 2년마다 타당성을 검토해 개선 조치가 이뤄질 예정이다. 신영규 방송통신이용자정책국장은 “이번 가이드라인을 통해 생성형 AI 사업자가 바람직한 이용자 보호 방안을 마련할 수 있게 될 것으로 기대한다”며 “이를 통해 궁극적으로 이용자의 권리가 보장되고 관련 서비스가 신뢰받을 수 있는 기반을 마련할 수 있을 것”이라고 말했다. 방통위는 향후에도 인공지능 기술 발전과 함께 새롭게 발생하는 이용자 보호 이슈에 대응해 나갈 예정이며, 모든 사회구성원이 안전한 서비스 이용 환경 속에서 인공지능의 편의와 혜택을 고루 누릴 수 있도록 하는 데 앞장선다는 방침이다.

2025.02.28 12:21박수형 기자

[보안 리딩기업] 이로운앤컴퍼니 "AI보안 우리가 책임···한국서 유일"

“'나쁜 일 해서 많은 돈 벌지 말자'는 게 좌우명이에요. '덜 벌더라도 착한 일 하자'고 생각하죠. 그래서 '기술로 고객을 이롭게 하자'는 뜻으로 회사 이름을 '이로운앤컴퍼니'라 지었어요. '인공지능(AI) 보안'이라면 세계 누구든 이로운앤컴퍼니를 찾게 하고 싶어요. 기업이 업무를 안전하게 자동화하는 서비스를 통틀어 제공하는 게 목표입니다.” 윤두식 이로운앤컴퍼니 대표는 26일 서울 삼성동 사무실에서 지디넷코리아와 만나 사명을 소개하며 이같이 밝혔다. 윤 대표는 1973년생으로 만 50세에 창업했다. 비교적 늦게 도전했다고 여기는 나이다. 그는 대전 한밭고를 졸업하고, 충남대에서 컴퓨터과학 학·석사를 받았다. 그리고 국내 정보보호 기업 지란지교소프트에 입사했다. 여기서 25년 동안 일하며 10년은 지란지교소프트에서 분사한 지란지교시큐리티 대표이사로 보냈다. 윤 대표는 “오래 전부터 창업하고 싶었지만 지란지교시큐리티를 키우는 게 우선이었다”며 “코스닥시장에 상장하고 모비젠과 SSR을 인수하면서 회사를 안정적인 궤도로 올렸다”고 말했다. 그 목표를 이루고서야 '내 회사'를 차릴 때라고 확신했다. 윤 대표는 “고객이 안전하게 AI를 활용하도록 돕겠다”며 2024년 1월 이로운앤컴퍼니를 설립했다. 이로운앤컴퍼니는 AI챗봇에서 민감 정보를 판별하고, 거대언어모델(LLM)을 연동한 응용프로그램(앱)에 대한 공격을 방어하는 AI 보안 기업이다. 윤 대표를 포함해 9명의 구성원이 이로운앤컴퍼니에서 일한다. 3명이 출발, 외형으로는 1년새 3배가 커졌다. 임직원 9명 가운데 8명이 개발자다. 유일한 비개발자 1명은 최고고객책임자(CCO)로 윤 대표에게 특별한 사람이다. 전 직장인 지란지교소프트에서 만나 사내 커플이 됐고, 이제 창업자 부부로 회사에서나 가정에서나 언제나 그를 응원하는 든든한 지원자다. 회사 이름 '이로운'도 아내가 제안했다. 그 1년간의 이야기를 들어봤다. 아래는 윤 대표와의 일문일답. -AI 보안이란 무엇인가? “AI 보안은 크게 두 가지가 있다. 하나는 AI의 보안을 높이는 AI를 위한 보안(Security for AI)과 또 하나는 AI를 이용해 보안(AI for Security)을 높이는 것이다. 이 중 이로운앤컴퍼니는 AI의 보안을 높이는 서비스를 제공한다. 한국에는 우리 같은 회사가 아직 없다. 우리가 유일하다. 외국에서도 빨라야 2020년 시작, 몇 개 회사가 있다. 이제 시장이 막 열리는 단계다.” -이로운앤컴퍼니 주력 제품은? “지난해 7월 '세이프엑스(SAIFE X)'를 선보였다. 이어 12월에 첫 고객으로 한국정보보호교육원에 공급했다. 기업은 AI 서비스를 쓰고 싶어도 회사 정보가 밖으로 나갈까 봐 불안해한다. 사용자가 AI챗봇 대화창에 내용을 쓰면 세이프엑스가 민감한 정보를 가려낸다. '입력한 내용에 민감한 정보가 있어요.' 그러면서 이름과 연락처 등을 표시한다. 곧이어 '민감한 정보가 아니면 표시를 해제하고 전송하세요. 민감한 정보를 보내면 유출 피해를 입을 수 있으니 조심하세요.'라고 알려준다. 기업은 사정에 맞게 개인정보와 금융 정보 등이 기밀이라고 미리 설정할 수 있다. 세이프엑스에는 '제일브레이크 필터(Jailbreak Filter)' 기능도 있다. AI에 일부러 나쁜 내용을 써서 공격자가 의도하는 동작으로 유도하는 제일브레이크를 알아채 막아준다. 지금껏 알려진 제일브레이크는 대부분 영어로 쓰였다. 한국어 챗봇에서 악용될 가능성이 크다. 이로운앤컴퍼니는 한국 회사답게 한국어 공격을 방어하는 능력을 지녔다. LLM 보안 상태를 진단하고 해결책을 제시하는 레드팀(Red Team) 서비스도 제공한다. AI를 쓰고 싶은데 해킹이 걱정된다면 '세이프 X'를 쓰면 된다." -수출은 언제쯤? “설립한 지 1년여 밖에 안됐지만 수출도 고려하고 있다. 우선 연내 일본어 서비스를 내놓으려고 한다. 며칠 전에도 일본 회사를 만났다. 관심이 많더라. 이로운앤컴퍼니의 해외 시장은 처음도 끝도 일본이다. 일본 정보보호 시장 규모는 한국의 10배다. 일본에서만 성공하더라도 큰 성과를 이루는 셈이다. 일본에서 10% 이상 시장 점유율을 차지하고 싶다.” -매출 목표와 상장 계획은? “일단 올해는 10억원 달성이 목표다. 착실히 성장해 2027년에는 100억원을 돌파하고 싶다. 양분으로 삼을 투자도 차근차근 받고 있다. 지난해 5억원을 시드 투자(Seed Investment)로 받았다. 시드 투자는 창업초기기업이 서비스를 출시할 준비하는 단계에서 이뤄진다. 창업초기기업 투자 전문사 마크앤컴퍼니가 이끌었다. 올해에는 프리시리즈A 단계 투자 유치를 생각하고 있다. 기업공개(IPO)는 2029~2030년쯤으로 잡고 있다.” 고객에게 한마디? “AI는 기업 경쟁력에 반드시 필요한 수단이다. 보안이 두려워서, 효과를 못 믿어 도입하기를 미룬다면 회사 경쟁력 높일 때를 놓친다.겪어봐야 한다. 보안이 두려우면 이로운앤컴퍼니를 찾아라. 같이 해결하자. 우리 회사 팀멤버들이 좋다. 특히 최고기술책임자(CTO)의 경우 20년 이상 보안 개발자로 일했고, 한국보다 큰 시장으로 평가받는 일본에서도 경험을 갖고 있다." 스타트업 대표로서 자랑할 기업 문화는? “재택근무다. 월·화·수요일 3일은 집에서 일하고, 목·금요일에는 오전 10시부터 오후 4시까지 집중 근무하면 된다. 이로운앤컴퍼니 직원은 강원 춘천시, 경기 남양주시 등에서 살기에 재택근무를 매우 좋아한다. 회사가 안착하면 완전 재택근무로 바꿀 것도 생각하고 있다.” 50대에 창업했는데 힘들지 않았나? "왜 안힘들었겠나. 여러 어려움이 많았다. 역시 밖은 '비바람'이 세더라(웃음). 특히 가장 힘든 건 투자 유치였다. 생각한 것보다 쉽지 않더라. 법인사업자 등록부터 세무·회계·법무까지 직접 챙겨야 하는 것도 힘들고 생소했다. 힘들때마다 아내가 큰 힘을 줬다.(웃음)" 창업하려는 후배에게 조언한다면? “정부가 지원하는 창업 교육을 꼭 받고 시작하길 바란다. 임직원 구성, 지분 구조, 아이템 선정, 고객 요구 수렴 방법, 투자 유치 방법 등 대부분을 알려준다. 기본을 알면 잘못된 길을 갈 확률이 줄어든다. '그냥 해 볼까? 안되면 취직하지, 뭐'라는 생각으로는 절대 성공하지 못한다. 온 힘을 다해도 될까 말까다. 그리고 내가 50세에 창업해서 하는 말인데, 마음이 있으면 한 살이라도 어릴 때 하라. 체력도 중요하다(웃음).” 올해 한국정보보호산업협회 AI보안협의회 회장을 맡았는데 활동 계획은? "회원사는 구상 단계다. 정부와 산업계 모두가 AI 보안에 관심이 많으므로 많은 기업과 학계가 참여할 거라 생각한다. 산업에서 AI를 어떻게 적용하는 것이 보안 측면에서 베스트 프랙티스(Best Practice)인지 모르기 때문에 이를 도와줄 수 있는 큰 아웃라인을 만드는 작업을 우선 할 계획이다."

2025.02.28 08:20유혜진 기자

잡코리아, 디지털 명함 앱 '눜', 정보보호 관리체계 인증 획득

잡코리아(대표 윤현준)가 운영하는 디지털 명함 앱 '눜'이 한국인터넷진흥원(KISA)에서 관리하는 정보보호 관리체계(ISMS) 인증을 획득했다고 26일 밝혔다. ISMS는 기업이 주요 정보보호 관리 절차와 대책을 체계적으로 수립 및 운영한 기업에 과학기술정보통신부 산하 기관인 KISA가 인증을 부여하는 국가 공인인증이다. 눜은 관리체계 수립 및 운영, 보도대책 요구사항 분야에서 요구되는 관리체계 운영·암호화 적용 등 총 80가지 인증 기준을 충족해 적합성 평가를 모두 통과했다. 잡코리아는 2013년 ISMS 인증을 획득한 이후 지속적으로 고객 개인정보 관리를 강화해왔다. 2022년에는 취업 플랫폼 최초로 ISMS-P(정보보호 및 개인정보보호 관리체계) 인증을 받았으며, 이후 꾸준히 인증 자격을 유지해오고 있다. 또 2024년에는 개인정보보호위원회와 공동으로 '민간협력 자율규제'에 참여하며 구직자 개인정보 보호 수준을 한층 강화했다. 이런 보안 안정성을 바탕으로 눜은 사용자 중심의 새로운 커리어 서비스를 지향하며 차별화된 기능을 제공해 호응을 얻고 있다. 여러 개의 멀티프로필이 담긴 명함을 만들 수 있는 서비스를 통해 직장인뿐 아니라 프리랜서, N잡러 등 다양한 이용자를 확보했다. 향후 눜은 취미와 취향을 반영하고 커리어 전문성을 강조할 수 있는 다양한 기능을 추가하여 디지털 명함을 취향대로 커스텀할 수 있는 다양한 기능도 제공할 계획이다. 홍정아 잡코리아 눜 사업 리드는 "'눜'의 정보보호 관리 체계를 철저하게 운영해 ISMS 인증을 획득할 수 있었다"며 "앞으로도 고객의 소중한 개인정보를 안전하게 보호하고 신뢰받는 서비스 환경을 제공하기 위해 지속적으로 보안 체계를 고도화해 나갈 것"이라고 밝혔다.

2025.02.26 17:27백봉삼 기자

Prev 11 12 13 14 15 16 17 18 19 20 Next