검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'에러: 버그 패치가 필요합니다'통합검색 결과 입니다. (24건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

인텔 "보안은 끝없는 여정...제품 개발부터 출시 이후까지 지속 관리"

"보안 보증은 목적지가 없는 여정입니다. 인텔에서는 세계적 수준의 표준에 맞춰 프로그램과 프로세스를 지속적으로 평가하고 진화하며, 개선 및 적응을 추구합니다. 이것이 보안 우선 서약의 본질입니다." 4일 오전 원격으로 진행된 인터뷰에서 제리 브라이언트(Jerry Bryant) 인텔 보안 커뮤니케이션·사고 대응 담당 시니어 디렉터가 이렇게 설명했다. 인텔은 지난 2월 중순 보안관련 시장조사업체인 ABI리서치에 의뢰해 발간한 '2024 인텔 제품 보안 보고서'를 공개하고 지난 1년간 각종 제품과 서비스에서 발견된 보안 취약점과 대응 상황을 소개했다. 보고서에 따르면 인텔은 지난 한 해 동안 총 374개의 취약점을 해결했으며, 그중 96%가 선제적 조치로 발견됐다. 특히 하드웨어 취약점 21개는 모두 인텔 내부 인력이 발견한 것이다. 보안 관련 지속 투자로 경쟁사 대비 높은 수준 유지 ABI리서치가 평가한 보안 대비 태세 평가에서 인텔은 82.2점으로 업계 1위를 차지했다. 이는 2위 퀄컴(68.5점)과 상당한 격차를 보이는 수치다. 제리 브라이언트 시니어 디렉터는 "인텔은 보안 개발 라이프사이클(SDL) 프로그램, PSIRT, 혁신적인 버그 바운티 프로그램, 적극적인 보안 연구 역량, 장기 보존 및 지원 랩, 예측 가능한 인텔 플랫폼 업데이트 프로세스로 보안에 지속적 투자중"이라고 설명했다. 보고서에 따르면 지난 해 인텔 제품에서 발견된 하드웨어 신뢰 기반(root-of-trust) 취약점은 경쟁사인 AMD의 33% 수준으로 적었다. 이러한 격차에 대해 브라이언트 디렉터는 인텔의 체계적 접근법을 강조했다. "인텔 내 하드웨어 신뢰 보안을 담당하는 팀은 보안 우선 사고방식으로 체계적인 접근 방식을 이용해 제품을 개발하도록 돕고 있다. 보안은 인텔 문화에 깊이 뿌리 박혀 있고, 직원들은 이를 달성하기 위해 최선을 다하고 있다." 지난 해 하드웨어 취약점 전부 내부에서 발견 인텔은 지난 해 하드웨어 관련 보안 취약점 중 전체 21개를 모두 내부 연구와 검토 과정에서 해결하고 이에 대한 해결책을 내놨다. 제리 브라이언트 시니어 디렉터는 이것이 인텔의 보안 연구 역량을 잘 보여준다고 설명했다. "외부 위협과 공격 방법이 끊임없이 진화하고 있으며, 아무도 완벽한 보안을 보장할 수 없다는 것은 누구나 아는 사실이다. 그러나 인텔은 이런 문제를 해결하기 위한 인적 자원을 보유하고 있다." 그는 이어 "최종 제품이 실리콘으로 생산되기 전에 특정 분야에서 발생할 수 있는 문제를 미리 찾아내고 제거하고 있으며 '장기 보존 및 지원 연구실' 역량을 활용해 현재 발견된 문제가 이미 출시된 다른 제품에도 존재하는지 파악하고 있다"고 설명했다. 전체 취약점 중 53% 버그 바운티로 발견... 보안 업계와 협력 주요 소프트웨어·하드웨어 업체들은 보안 취약점을 발견하는 개인이나 보안 회사에 보상금 등을 지급하는 '버그 바운티' 프로그램을 진행한다. 인텔 버그 바운티 프로그램은 지난 해 전체 취약점의 53%를 발견하는 성과를 거뒀다. 제리 브라이언트 시니어 디렉터는 "버그 바운티 프로그램의 이런 성과는 단시일 안에 만들어지지 않았다"며 "2018년부터 시작해 보안 전문가/학계와 적극적으로 협력해 얻은 성과"라고 설명했다. 그는 "인텔은 단순한 버그 바운티 프로그램에서 한 단계 더 나아가 2022년부터 '서킷 브레이커 프로젝트'를 시작했다. 인텔 엔지니어가 보안 관련 연구진이 하드웨어나 펌웨어에도 집중할 수 있도록 일정 기간동안 이를 지원하고 있다"고 설명했다. 이어 "현재까지 다른 실리콘 공급업체는 인텔 '서킷 브레이커 프로젝트'와 비슷한 프로그램을 운영하지 않는 것으로 안다"고 덧붙였다. 일정한 업데이트 주기로 사전 검증 효율 향상 인텔은 현재 매 분기별로 제품이나 소프트웨어 관련 보안 취약점을 공개하고 패치와 업데이트를 적용하는 '인텔 플랫폼 업데이트'(IPU) 프로세스를 운영중이다. 제리 브라이언트 시니어 디렉터는 "하드웨어와 펌웨어 업데이트 주기를 일정하게 유지하면서 전체 생태계가 일정한 날짜에 최종 업데이트를 제공할 수 있다는 것이 가장 큰 장점"이라고 설명했다. 그는 대규모 PC 제조사를 예로 들어 "이들 업체는 수백 개의 제품에 업데이트를 적용하고 검증해야 한다. 예측 가능한 업데이트 주기는 사전 검증과 리소스 투입 효율성을 높인다"고 설명했다. 제리 브라이언트 시니어 디렉터는 "인텔은 문제를 찾아 완화하는 인력의 역량과 절차에 대해 자신감을 가지고 있다. 문제가 발생한다면 인텔 플랫폼 업데이트 등 관련 절차를 통해 생태계에 해결 방법을 신속하게 제공하는 충분한 능력을 가지고 있다"고 강조했다.

2025.03.04 16:24권봉석 기자

Y2K 닮은 양자컴퓨터 보안 우려, 과장인가 현실일까

양자컴퓨터의 폭발적인 발전에 따른 디지털 보안 위협이 '밀레니엄 버그(Y2K)'에 비유되고 있다. 디지털 시스템의 광범위한 혼란을 초래할 가능성과 함께 충분한 대응으로 별다른 피해 없이 지나간 Y2K처럼 양자 컴퓨터의 위협도 과대 우려일 수 있다는 양면성이 존재하기 때문이다. 22일 관련업계에 따르면 정부와 업계가 선제적으로 대응에 나서고 있어 Y2K처럼 양자컴퓨터 위협도 충분히 해결 가능할 것으로 보안 및 양자컴퓨팅 전문가들의 의견이 모이고 있다. 성능과 비례해 급증하는 양자컴퓨터 보안 위협 Y2K는 1900년대 개발된 컴퓨터들이 연도를 두자리로 표기하며 제기된 시스템 장애 시나리오다. 2000년 1월 1일을 기점으로 2000년대와 1900년대를 구분하지 못하는 시스템으로 인해 전세계적인 혼란이 발생할 것으로 예상됐다. Y2K가 연도 표기 오류로 인한 장애라면 양자 컴퓨터는 초고속 연산능력이 우려되는 부분이다. 특히 현재 암호화 기술에 주로 쓰이는 소인수 분해나 이산로그 문제를 빠르게 해독할 수 있어 금융 거래, 개인정보 보호, 국가 안보 등 다양한 분야에서 보안이 무력화될 위험이 있다. 만약 이런 우려가 현실화되면 개인 사생활 침해부터 대규모 사이버범죄까지 다양한 문제로 이어질 수 있기 때문이다. 더불어 Y2K는 시점이 명확히 정해져 있는 반면 양자컴퓨터의 위협은 기술 발생과 함께 가능성이 높아지고 있을 뿐 발생 시점을 정확히 예측할 수 없다는 점도 우려되는 부분으로 제기된다. 이미 사이버 범죄자들이 미래에 양자컴퓨터가 상용화될 것을 고려해 현재 보안 데이터를 수집하는 사례가 확인되고 있다. 상용화된 양자컴퓨터를 이용해 수집한 데이터를 해독할 가능성이 커지는 만큼 대응의 필요성이 더욱 강조된다는 것이다. 우려에도 불구하고 양자 컴퓨터는 빠르게 발전 중이다. 구글은 슈퍼컴퓨터로 10자(10의 25제곱)년이 걸릴 계산이 5분만에 해결할 수 있는 신형 양자 프로세서 '윌로우'를 공개했으며 마이크로소프트도 '마요나라1' 프로세서를 선보이며 기존 양자 오류와 집적도 한계를 극복할 수 있는 방안을 제시했다. IBM은 연세대학교 국제캠퍼스에 127큐비트 IBM 퀸텀 이글 프로세서 기반 양자컴퓨터를 구축하는 등 이미 양자컴퓨팅 사업을 전개하고 있다. 선제 대응 나선 정부와 기업, Y2K처럼 무사히 넘어갈 것 다행히 양자컴퓨팅 발전속도에 발맞춰 보안 위협을 방지하기 위한 대응책 마련도 빠르게 마련되고 있다. 미국 백악관은 2022년 PQC를 표준 보안 알고리즘으로 채택했으며, 2030년까지 양자내성암호로 전환하는 로드맵을 발표했다. 유럽연합(EU) 또한 자체적인 PQC 표준을 개발 중이며, 각국 정부는 주요 인프라 시스템에 이를 도입하기 위한 계획을 수립하고 있다. 한국과 일본도 금융, 통신 및 공공 부문을 중심으로 PQC 전환을 준비 중이다. 국내외 주요 기업들도 PQC를 도입하고 있다. 구글은 크롬 브라우저에 시험적으로 적용하고 보안성을 검토하고 있으며 IBM과 마이크로소프트, 아마존웹서비스(AWS)는 클라우드 서비스에 통합해 의료 및 금융 데이터를 보호하고 있다. 인텔과 퀄컴은 차세대 하드웨어에 양자내성암호를 내장해 더 안전한 디바이스 환경을 제공할 계획이다. 국내에서는 삼성전자가 신형 스마트폰 갤럭시 S25 시리즈에 관련 기능을 탑재하며 보안 성을 향상시켰으며 SKT와 KT, LG U+ 등 주요 통신사도 PQC 도입과 개발에 집중하고 있다. 한컴위드, 시큐아이, 라온시큐리티 등 국내 주요 보안기업들도 PQC 기반 보안 서비스 개발에 나서고 있다. 더불어 블록체인 기반의 암호화폐 역시 PQC 기반 보안 체계를 빠르게 구축하고 있는 중이다. 관련 업계에선 사전 철저한 대비를 통해 우려와 달리 별다른 사고가 발생하지 않은 Y2K처럼 양자컴퓨터 위협 역시 사전 대응을 통해 사고를 미연에 방지할 수 있을 것으로 전망하며 대비에 나서는 중이다. IBM 퀀텀 아태지역 총괄사업본부장인 표창희 상무는 "양자컴퓨터의 기술이 더욱 발전하고 클라우드로 누구나 사용할 수 있는 시기가 되면 현재 보안체계가 상당히 위험할 수 있는 것은 사실"이라며 "하지만 이미 정부와 기업에서 이런 위협을 인식하고 대응에 나서고 있는 만큼 우려하는 위협이나 사고가 현실화되긴 어려울 것"이라고 말했다.

2025.02.23 09:03남혁우 기자

금융보안원, SW 취약점 신고자에 최대 1천만 원 포상

금융보안원이 2025년 금융권 소프트웨어 취약점 신고자에게 최대 1천만 원 포상금과 우대 혜택을 제공한다. 금융보안원이 전자금융 보안 강화를 위해 금융권 소프트웨어 취약점 신고 포상제(버그바운티)를 확대 운영한다고 18일 밝혔다. 디지털금융 전환이 확대되면서 전자금융 소프트웨어의 설계 오류 등을 악용한 해킹 공격으로 인한 금융소비자 피해가 증가하고 있다. 이에 금융보안원은 금융권 소프트웨어에 내재된 취약점을 선제적으로 찾아내어 제거하기 위해 버그바운티 제도를 운영할 계획이다. 2025년 버그바운티는 클라우드(SaaS) 기반 금융환경 등으로 신고 대상을 확대하고, 상시신고와 집중신고 체계로 운영된다. 상시신고는 클라우드, 빅데이터 등 다양한 금융 환경의 소프트웨어와 보안솔루션을 대상으로 연중 접수하며, 시큐브, 지니언스, 지란지교소프트, 휴네시온 등 참여사 제품의 취약점은 해당 참여사가 직접 평가하고 포상한다. 집중신고는 4월부터 참여 금융회사를 모집하고 6월부터 8월까지 3개월간 모바일 앱, HTS 등 전자금융 서비스 취약점을 집중 발굴한다. 참가 방법 등 세부 사항은 금융보안원 홈페이지에서 안내할 예정이다. 금융보안원은 올해 포상금 지급 규모를 확대해 최대 1천만 원 상당의 포상금을 지급하며, 우수 신고자에게는 금융보안원 입사 지원 시 우대 혜택과 명예의 전당 등록 기회를 제공한다. 금융보안원 박상원 원장은 "금융권 버그바운티를 통해 주요 보안 사고의 시작점인 소프트웨어 취약점을 선제적으로 발굴하고 발견된 취약점을 금융회사와 개발사 등이 신속히 조치하도록 일관되고 전반적인 지원을 하고 있다"며 "SW 취약점 관리, 패치 개발, 배포 등의 통합 관리를 위한 플랫폼을 구축하는 등 금융권 소프트웨어 공급망 보안 강화를 위한 노력을 아끼지 않을 것"이라고 밝혔다.

2025.02.18 17:09남혁우 기자

세계 부자 1위 '일론 머스크'…2위는?

일론 머스크 테슬라 최고경영자(CEO)의 순자산이 전세계에서 가장 많은 것으로 나타났다. 머스크 CEO의 순자산은 한 해 동안 2배로 늘었다. 1일 블룸버그가 공개한 블룸버그 억만장자 지수에 따르면, 지난달 31일 기준 머스크 CEO의 순자산은 세계 1위를 차지했다. 머스크 CEO의 순자산은 4천320억 달러(약 635조원)로, 전년 동기 대비 2천30억 달러(약 298조원) 증가했다. 블룸버그는 머스크 CEO와 도널드 트럼프 당선인 간 긴밀한 관계가 테슬라, 스페이스X, xAI 등 머스크 CEO 소유 회사의 가치를 높이는 데 도움이 됐다고 분석했다. 2위는 제프 베이조스 아마존 창업자로 밝혀졌다. 베이조스 창업자의 순자산은 2천390억 달러(약 351조원)이다. 3위는 마크 저커버그 메타 CEO(2천70억 달러·약 304조원), 4위는 래리 엘리슨 오라클 회장(1천920억 달러·약 282조원)이었다. 블룸버그는 500대 부호의 순자산 합계가 2023년 독일·일본·호주 국내총생산(GDP)을 합친 것과 비슷한 수준이라고 보도했다.

2025.01.01 11:45조수민 기자