검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'소만사'통합검색 결과 입니다. (4건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

소만사, 창립 28년만에 판교에 사옥 마련 이전

개인정보보호 전문기업 소만사(대표 김대환)가 판교 제2테크노밸리에 신사옥을 마련, 이전했다. 창립 28년만이다. 판교 새 사옥은 지하 4층~지상 9층으로 이뤄졌다. 임직원 편의시설 확보에 중점을 두고 설계했다고 회사는 밝혔다. 사내 카페테리아와 피트니스센터, 직원 휴게실, 다목적 회의실 등을 마련했다. 서울 거점과 판교역을 연결하는 셔틀버스를 운영, 임직원의 출퇴근 편의를 돕는다. 소만사는 임직원 편의성 확보 외에 신진 예술가와의 상생도 도모했다. 로비 입구에 설치한 미디어월을 통해 4개 테마로 구성한 미디어 아트 작품을 상시 전시한다. 김대환 소만사 대표는 “28년 동안 고객께서 부족한 우리에게 기회를 주시고 다시 도전할 수 있도록 격려해 줘 가능했다”며 “소프트웨어로도 당당히 미국에 수출하는 기업이 되겠다는 28년 전의 초심을 잃지 않고, 꾸준한 기술개발과 서비스 혁신으로 보답하겠다”고 밝혔다. 한편 소만사는 '소프트웨어를 만드는 사람들'의 준말로 네트워크를 통한 개인정보 기밀정보 유출방지 솔루션인 '메일아이(Mail-i)' 출시를 시작으로 지난 28년간(1997년 3월 설립) 보안 비즈니스를 해왔다. 탄탄한 매출과 업력에도 불구, 아직 비상장사로 남아있다.

2025.02.18 18:09방은주

LG CNS 손잡은 소만사, 국내 가상PC 시장 공략

소만사가 LG CNS와 손잡고 가상PC 시장을 공략한다. 소만사는 망분리와 클라우드 PC환경 혁신을 위한 기술 기반 마련을 위해 LG CNS와 협력한다고 3일 밝혔다. 이번 협력 핵심은 외산 솔루션에 의존해왔던 국내 가상데스크톱환경(VDI) 시장에서 국산제품이 대안으로 자리잡을 수 있다는 것이다. 특히 공공부문 다층보안체계 강화 로드맵 발표에 따라 보안정책이 변경되면서 가상화 기술이 기존의 물리적 망분리의 대안으로 떠오르고 있다. 가상화 기술은 임직원의 업무효율성을 높이는 동시에 데이터보호 컴플라이언스를 준수할 수 있다. 이에 신년에는 해당 솔루션에 대한 수요가 증가될 것이란 평가가 이어지고 있다. 소만사와 LG CNS는 이번 협력을 통해 국내 IT 인프라와 업무환경에 적합한 가상화 솔루션 도입을 확대해 국내 기업에게 안정적인 라이선스와 기술지원을 제공할 방침이다. 소만사 김대환 대표는 "27년동안 LG CNS와 동반자 관계를 맺었다"며 "클라우드 PC 기술혁신 또한 LG CNS와 함께 하게 된 것은 큰 의미가 있다"고 밝혔다. LG CNS 김태훈 전무는 "고객에게 신뢰할 수 있는 클라우드 PC환경을 제공할 것"이라며 "특히 클라우드 기반의 높은 유연성과 보안성을 통해 변화하는 IT 요구에 신속하게 대응할 수 있는 기술적 기반을 마련하는 계기가 될 것"이라고 말했다.

2025.01.03 17:14김미정

잇따른 글로벌 IT '먹통'에 SW 공급망 보안 중요성 ↑…내년에 주목할 솔루션은?

올해 크고 작은 개인정보보호 이슈가 우후죽순 쏟아진 가운데 미국 크라우드스트라이크의 전산 마비 등 대형 사건들로 인해 소프트웨어(SW) 공급망 보안 중요성이 더 주목 받게 된 것으로 나타났다. 내년에는 악성코드 및 보안 취약점을 선제적으로 차단하고 대응할 수 있는 솔루션이 주된 관심사로 떠오를 것이란 전망도 나온다. 4일 소만사가 발표한 '2024년 발생한 주요 개인정보보호 7대 이슈'로는 ▲크라우드스트라이크 발(發) 전산마비 사태 ▲금융권 망분리 규제 개선안 발표 ▲공공기관 다층보안체계(MLS) 전환 발표 ▲페이스북(메타) 216억원 과징금 처벌 ▲개인정보유출 과징금 전체매출 3% 부과 처분 ▲개인정보의 안전성 확보조치 기준 안내서 발간 ▲SBOM(소프트웨어 자재명세서)과 오픈소스 취약점 점검 투자 강화 등이 꼽혔다. 이 중 올 한 해 가장 크게 이슈가 된 것은 미국 보안기업 크라우드스트라이크에서 시작된 전 세계 전산마비 사태다. 이는 올해 소프트웨어 공급망 전산 사고의 대표적인 사례로, 크라우드스트라이크의 '팰컨 센서' 업데이트 버전이 MS 클라우드 서비스 '애저(Azure)'와 충돌하면서 발생했다. 이로 인해 전 세계 항공, 금융, 행정, 의료 방송 등 2만9천 곳의 업무가 마비됐으며 피해 규모는 최소 10억 달러(한화 약 1조4천억원)로 추산됐다. 이후 크라우드스트라이크는 지난 9월 미국 의회 청문회에 소환돼 공식 사과했다. 델타항공은 크라우드스트라이크를 상대로 올해 10월 5억 달러(한화 약 6천500억원) 규모의 손해배상 소송을 제기했다. 금융권 망분리 개선안 발표도 많은 이들의 관심을 끌었다. 금융당국은 최근 금융기관의 생성형 인공지능(AI) 활용과 서비스형 소프트웨어(SaaS) 이용 범위 확대를 발표한 상태다. 이에 따라 금융기관은 안전한 활용을 실현할 수 있도록 접속 단말의 보안을 강화해야 한다. 업무상 허용된 단말로만 해당 서비스를 활용할 수 있도록 통제해야 하며 단말과 생성형 AI, SaaS 서비스 간 감사로그를 확보해야 한다. 또 단말과 SaaS 서비스 간 개인정보 및 신용정보 전송 등 이상행위를 통제해 조직 생산성 향상과 IT 신기술 부작용을 최소화 할 수 있어야 한다. 공공기관 대상 다층보안체계(MLS) 망분리 개선 로드맵도 주요 이슈로 급부상했다. 정부는 최근 사이버 안보정책방향을 공개했는데, 중요도에 따라 개인정보를 차등적으로 통제하는 다층보안체계 로드맵과 인터넷 단말에 생성형 AI, 업무용 소프트웨어, 인터넷 사용을 점진적으로 확대하는 계획을 발표했다. 해당 계획은 2025년 초까지 시범사업 수행 후 확대 적용될 예정이다. 페이스북을 운영하는 메타가 개인정보보호위원회로부터 216억원의 과징금을 부과 받은 것도 업계의 이목을 끌었다. 개인정보위는 페이스북이 국내 98만 명 이용자를 대상으로 종교, 정치, 동성과의 결혼여부 등 민감정보를 수집한 데다, 수집된 정보를 4천여 광고주를 통해 동성애, 트랜스젠더, 북한이탈주민 등 민감한 주제로 타깃광고에 이용했다는 점을 이유로 이 같이 조치했다. 이번 과징금 부과는 2020년 67억원 과징금 부과 이후 다섯 번째 제재로, 개인정보보호법 위반으로 누적 합산된 페이스북의 과징금은 현재 약 729억원이다. 개인정보 유출 과징금을 전체 매출에서 3% 부과하는 처분이 시작되면서 많은 기업들이 긴장감을 드러내기도 했다. 특히 220만 명 개인정보 유출사고가 발생한 골프 관련 기업인 G사에 과징금 75억원이 부과돼 크게 주목 받기도 했다. 지난 2023년 9월 개인정보보호법에서 개정된 '전체매출 3% 과징금 부과' 규정 첫 적용 사례였기 때문이다. 기존법령에 따라 개인정보가 유출됐어도 안전성 확보에 필요한 조치를 다 한 경우에는 처벌을 면할 수 있다. 그러나 G사는 개인정보 유출통제 기술적 보호조치 미흡, 주민등록번호처리 및 파기의무를 위반해 이 같은 과징금을 처벌 받았다. 지난 2023년 9월 개정 이후 변경 내용을 반영한 '개인정보의 안전성 확보조치 기준 안내서'도 올해 발간돼 기업들에게 많은 도움이 됐다. 이번 안내서에서는 FTP, 백업서버 등 공용 파일처리시스템을 개인정보 처리시스템으로 분류했다. 또 클라우드 컴퓨팅 서비스 기반의 개인정보 처리시스템도 기술적 보호조치 대상임을 명시했다. 크리덴셜 스터핑 공격을 이용한 홈페이지 해킹사고를 개인정보 유출사고 범위에 포함해 개인정보보호법의 적용을 받는 기업과 기관은 해당 규정을 준수할 수 있도록 기술적 보호조치를 취하도록 안내한 것도 특징이다. 소프트웨어 자재명세서(SBOM)와 오픈소스 취약점 점검을 위해 투자 활동이 강화된 것도 올해 주요 이슈였다. 이는 지난 2월 리눅스(Linux) XZ 유틸(Utils) 백도어를 시작으로 7월 크라우드스트라이크, 11월 세일즈포스 전산마비 등 소프트웨어 공급망 관련 전산사고가 지속적으로 발생한 것이 큰 영향을 줬다. 이에 과기정통부는 'SW 공급망 보안 가이드라인'을, 금융보안원은 '금융회사대상 SW공급망 자율점검 체크리스트'를 공개하며 공급망 보안에 집중하고 있다. 소만사 관계자는 "바이든 정부에 이어 트럼프 정부도 공급망 보안 위험관리 대표방안인 SBOM을 강화할 것으로 전망된다"며 "국내 정부도 SW 수출 활성화를 위해 SBOM 의무화를 가속화할 것으로 예상한다"고 말했다. 그러면서 "올해는 개인정보보호법 개정에 따른 수십~수백억원대 과징금 부과 처분 시작, 공공·금융기관 망분리 환경개선 로드맵을 통한 IT 신기술 적용 등 보안규제의 변화가 다방면에서 시작된 해"라며 "달라진 업무환경과 변화된 컴플라이언스에 부합하는 솔루션을 지속적으로 개발, 안정화시켜 보안위협으로부터 정보자산을 안전하게 지킬 수 있도록 노력하겠다"고 덧붙였다.

2024.12.04 17:00장유미

'망분리'는 갈라파고스를 야기하는 규제인가

공공 및 금융기관의 망분리에 대한 논란이 뜨겁다. 망분리를 리셋하고 원점에서 다시 보안 아키텍처를 구축해야 한다는 목소리도 적지 않다. 망분리의 효과를 인정하되, 부작용을 완화시킬 방안에 대해 차분히 논의를 진행해야 할 때이다. ■ 망 분리 효과 우리나라 공공기관과 금융기관은 인터넷 접속단말(PC)에 망분리 정책을 시행하고 있다. 금융기관은 주요 서버접근 단말(PC)에도 망분리를 적용하고 있다. 망분리는 해당 단말을 외부 인터넷과 연결되지 않도록 차단하는 역할을 하기 때문에 인터넷을 통한 해킹을 효과적으로 예방할 수 있다. 만일 해킹이 되었다 해도 자료가 인터넷으로 유출되는 것을 막아줄 수 있다. 이처럼 망분리는 단말보안(PC보안)에 효과를 보였다. 2017년, 전세계 금융기관이 '워너크라이'를 필두로 하는 랜섬웨어 공격으로 큰 피해를 입었다. 그러나 우리나라 금융기관은 피해가 전무했다. 이는 상당부분 망분리 효과로 판단된다. 실제로 망분리 사업을 총괄했던 모 금융기관 보안임원은 망분리 도입 후 PC에서 발견된 악성코드는 이전대비 80% 감소했다고 말할 정도이다. 위와 같은 이유로 금융, 공공기관 최고보안책임자(CISO)는 단말 망분리를 유지하는 것을 선호할 수밖에 없다. 망분리를 걷어낼 경우, 단말보호 및 악성코드 차단에 큰 부담을 안게 되기 때문이다. 금융, 공공분야 CISO중에서는 '지금도 위태위태하게 유지되고 있는 보안체계에서 단말 망분리마저 걷어내게 된다면 앞으로는 밤잠을 잘 수 없을 것 같다'고 하소연한다. 망분리는 기술적으로 '논리적 망분리 방식'과 '물리적 망분리 방식'으로 분류된다. 금융기관의 경우 편리성과 유연성을 중시하기 때문에 대부분 '논리적 망분리 방식'을 도입하여 활용하고 있다. ■ 망분리에 대한 비난 망분리에 대한 비판은 크게 세가지 관점으로 언급된다. 첫번째, 망분리는 업무 효율성을 저해한다고 한다. 특히 소프트웨어 연구개발 업무에 걸림돌이 된다는 평가를 받는다. 두번째, 퍼블릭 클라우드의 적극적 활용이나 서비스형 소프트웨어(SaaS: Software as a service) 활용에도 걸림돌이 되고 있다고 한다. 마지막으로 '망분리 규제'는 한국에만 있고 선진국에는 없기 때문에 '갈라파고스 규제'라는 주장이다. ■ 소프트웨어 연구개발 생산성 저해를 초래한다는 비판과 대안 태생적으로 보안부서와 연구개발부서 사이에는 시각이 다르다. 망분리 이외 다른 보안 솔루션을 적용할 때도 연구소는 불편함을 호소한다. 연구소는 개방과 공유를 선호하며 지적재산권에 대한 개념은 상대적으로 낮은 편이다. 반면 보안부서는 업무가 다소 불편해지더라도 회사의 핵심기밀정보와 개인정보는 반드시 보호해야 한다는 입장이다. 업무 특성상 소프트웨어 개발자들은 인터넷에 있는 외부 소스코드 저장소를 활용해 개발을 수행하기 때문에 인터넷 망분리 환경에서는 개발업무 효율성이 크게 저해된다고 말한다. 소프트웨어 개발에서 속도 중요성이 계속 강조되고 있다. 최근 소프트웨어 개발측면에서 '애자일 방법론'이 각광받고 있다. 이는 빠른 서비스 출시와 업데이트를 목표로 한다. '애자일 방법론'은 데브옵스(DevOps)의 유래가 된 방법론이다. 개발완료 후 최대한 빠르게 실제 서비스에 적용하여 신속한 서비스 업데이트를 꾀하고 경쟁력을 강화하는 방식이다. 애자일 방법론에 익숙해진 소프트웨어 개발회사는 데이터 교류를 보수적으로 허용하는 망분리가 어색할 수밖에 없다. 소프트웨어 개발측면에서 위와 같은 요구사항이 대두되었기에 금융당국에서는 금융기관 소프트웨어 개발망에 대해서는 망분리 예외를 허용했다. 개발자들의 직접 인터넷 접속을 허용한 것이다. 대신 유해사이트 접속차단, 악성코드통제 등 망분리를 대체할 수 있는 정보보안 체계를 강화하는 것을 주문했다. 개발망과 서비스 운영망은 별도 분리하도록 보완조치도 마련했다. 개발망에서 완성된 결과를 서비스망에 적용하고자 할 경우, 시큐어 게이트웨이(망연계 솔루션 등)를 통하도록 명시했다. 개발망 침해사고는 서비스 운영망 해킹사고로 바로 이어질 수 있기에 이를 예방하도록 하는 조치였다. ■ 퍼블릭 클라우드와 SaaS 서비스 활용제약에 대한 비판과 대안 공공기관과 금융기관은 퍼블릭 클라우드를 통해서 민감한 고객의 개인정보를 처리하는데 보수적인 입장이다. 퍼블릭 클라우드 개인정보 유출통제는 시스템이 내부에 있을 때 보다 쉽지 않기 때문이다. 해외에서도 퍼블릭 클라우드에서 유출사고가 빈번하게 발생하고 있다. 퍼블릭 클라우드에 올라 간 고객 데이터의 국외이전 통제문제도 까다롭다. 데이터가 여러 번 복제되는 클라우드 특성 상, 고객 데이터가 어디에 있는지 특정하기 어렵기 때문이다. 이처럼 공공/금융기관의 퍼블릭 클라우드 활성화는 개인정보보호 측면에서 해결해야 할 부분 또한 적지 않다. 퍼블릭 클라우드를 제공하는 곳 대부분은 해외기업이다. 해외 퍼블릭 클라우드 기업은 전산감사자료(Audit) 협조에 제한적으로 대응할 수도 있다. 해킹 침해사고가 일어나더라도 수사기관의 조사역량에 크게 제약이 생기기도 한다. 적지 않은 나라에서 공공기관과 금융기관이 퍼블릭 클라우드 활용이 민간에 비해 보수적인 이유이다. 이는 민감정보를 처리하는 기관이 독자적으로 자체 프라이빗 클라우드를 구축하거나 또는 전용 클라우드센터 구축에 힘쓰는 배경이기도 하다. 클라우드 업체에게 공공전용 클라우드 센터를 구축해달라고 요청하거나, 공공클라우드 센터를 물리적으로 구축한 후 운영을 민간 클라우드 업체에게 맡기는 방식이다. '망분리 때문에 챗지피티(ChatGPT), 슬랙(Slack)과 같은 외부 SaaS 서비스 활용이 번거롭다'는 문제는 선별적 허용을 제안해본다. 업무효율성과 생산성을 위해 적극 도입해야 할 서비스가 있다면 개인정보 유출통제와 검역소 기능을 가진 '시큐어 게이트웨이'를 경유하여 내부 단말에서 접속되도록 허용하는 방식으로 풀어나가는 것을 제안한다. 금융기관의 경우 '비조치 의견'을 통해 특정 서비스에 대해서는 점진적으로 확대해 나가는 것을 기대해본다. ■ 미국 등 선진국은 망분리 규제가 없다는 주장과 자율보안의 전제 조건 미국은 망분리 등 기술적 보호조치를 공공 및 금융기관에게 일률적으로 강제하지 않는다. 다만 미국 공공기관도 기밀보호 수준이 최상위인 곳은 망분리를 시행하고 있다. 일급 정보기관이 활용하는 '비밀 클라우드 센터(Secret Cloud Center)'는 물리적 위치도 비밀로 유지되며, 운영 역시 검증된 미국시민에 의해서만 이뤄진다. 미국은 자율보안을 강조한다. 대신 사고발생 시 징벌적 과징금을 부과한다. 정보보호에 대한 투자는 자율에 맡기되, 주요한 개인정보 유출사고가 발생했을 때는 천문학적 과징금을 부과한다. 2019년, 미국 연방거래위원회(FTC)는 고객 개인정보 관리를 소홀히 한 페이스북에 50억 달러(한화 약 6조원) 과징금을 부과하기도 했다. 아직 한국은 징벌적 과징금 문화가 정착되지 않았다. 보안사고에 대한 정부기관의 책임은 여전히 크게 존재한다. 중대 보안사고가 발생하면 '정부는 그동안 도대체 뭐하고 있었나' 라고 여전히 목소리를 높인다. '잘못된 것은 모두 정부 탓'이 되는 분위기 속에서 공공, 금융기관 망분리를 비롯한 보안규제를 전면적으로 해제하는 것은 쉽지 않은 선택일 수 있다. 보안사고의 책임을 정부기관에 묻지 않는 문화가 정착되었을 때, 비로소 자율보안체제가 안착될 수 있다. 대규모 보안사고 발생으로 매출의 몇 퍼센트에 달하는 과징금도 감내할 수 있을 때, 기업체에게 자율보안의 선택지도 제공될 것이다. 다만 이는 사회 전체 인식의 변화가 필요한 장기적 과제이며 우리가 풀어나가야 숙제이다. 보안은 기밀성과 가용성이라는 상호갈등관계의 균형추를 끊임없이 조정하는 작업이다. 데이터 활용성을 높이는 것과 보안을 강화하는 것에 대한 골디락스(Goldilocks) 균형은 업무특성과 시대변화에 따라서 달라진다. 망분리 정책 역시 시대변화와 개별 비즈니스 특성에 따라 변화해야 하는 것은 당연한 일이다. 소프트웨어 개발효율성, 외부 SaaS서비스 활용을 통한 업무경쟁력 강화, 금융/공공기관 보안사고 발생 시 정부당국의 책임, 깊어 가는 CISO의 고민을 함께 테이블에 올려 놓고 균형추를 다시한번 점검할 시기이다. 올해 추진되는 공공기관 클라우드 네이티브 선도사업 등을 통해서 기존 망분리대체 정보보호체계를 적용하여 안전성을 검증한 후, 단계별로 확대해 나가는 것이 해결책 중 하나로 제시되는 이유이다.

2024.05.07 11:22김대환