검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'엔키화이트햇'통합검색 결과 입니다. (7건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

이상운 금결원 CISO "망분리 개선에 맞춘 新정보보호체계 만든다"

"금융보안 규제 선진화와 망분리 개선 등 정보보호 컨플라이언스가 변화하는 시점입니다. 금융보안 규제가 기존 열거형 방식에서 목표와 원칙 중심으로 바뀌면서 스스로 보안을 강화하는 노력에 집중합니다. 금융결제원은 '新정보보호체계'를 만들고 있습니다." 금융당국이 금융산업 디지털 혁신을 촉진하기 위해 10년 된 금융권 망분리 규제를 개선하고 나섰다. 망분리 개선이 시작되면서 가장 분주해진 업무가 사이버보안 영역이다. 금융과 핀테크 등의 핵심 인프라의 보안을 총괄하고 있는 금융결제원 이상운 최고정보보호책임자(CISO)는 자율보안체계 수립에 집중한다. CISO의 역할이 그 어느 때보다 강조되는 시점이다. 체크리스트에 기반한 수동적인 보안에서 능동적인 보안 시대로 넘어간다. 이상운 CISO는 "금융공동망을 운영하는 금융결제원은 디지털 금융 시대 중요한 인프라를 책임지고 있다"면서 "망분리 규제 개선으로 외부와 연결 접점이 생기면 진화한 사이버 보안 위협에 노출되는 공격 표면이 늘어난다"고 말했다. 그는 "시스템 구축과 운영에서 망분리 규제 개선에 따른 장점을 취하면서도 보안성은 확보하는 정보보호체계가 핵심 경쟁력이 될 것"이라고 말했다. 금결원은 대내외 환경변화에 대응하고 중장기 정보보호 업무 방향 설정을 위해 미래 환경 변화에 적합한 新정보보호체계를 마련한다. 이 CISO는 "핵심과제인 다층적 보호 체계를 만들기 위해 제로 트러스트 기반 보안 플랫폼 구축과 안정화에 자원을 투입한다"고 설명했다. '절대 믿지 말고(Never Trust), 항상 검증하라(Always Vertify)'란 제로 트러스트 원칙에 기반한다. 이 CISO는 “제로 트러스트는 전통적인 경계 기반 보안을 무력화하는 최신 사이버 위협에 대응할 수 있다”면서 “망분리 규제 개선의 핵심 보안 요소인 다층적 보호 체계 구현의 근간이 된다”고 말했다. 금결원은 지난 10월 과기정통부와 KISA가 주관하는 '제로트러스트 도입전환 컨설팅' 사업에서 민간분야 지원 대상기업으로 선정됐다. 이 CISO는 “금결원 내 제로 트러스트 관련 현황 분석과 성숙도 평가, 보안모델, 로드맵 수립 등을 수행할 예정”이라며 “생성형AI와 클라우드 등을 활용할 수 있는 개방형 개발 및 테스트 환경에 적합한 제로 트러스트 보안 모델 설계가 목표”라고 밝혔다. 금결원은 규제 준수를 위한 모의해킹에 머무르지 않고 선제적으로 보안 취약점을 찾는데도 집중하고 있다. 그는 “디지털 전환 가속화와 신기술 의존이 높아지면서 외부 개방과 연결이 증가할 수 밖에 없다”면서 “사이버 공격 표면 확장은 피할 수 없다”고 말했다. 이 CISO는 “오펜시브 보안 전문기업과 함께 공격자 관점에서 대외 서비스에 대한 취약점 점검을 확대하고 있다”면서 “올해는 전년 보다 2배 가량 모의해킹 기간을 늘려 점검했다”고 강조했다. 금결원 보안팀은 이를 통해 공격과 침투 시나리오 이해하고 사고 인지와 초기 대응절차를 보강하는 성과를 달성했다. 이 CISO는 “규제에 맞춰 주어진 보안을 하던 시대는 끝났다”면서 “각 기업이 자체 시스템과 데이터에 가장 적합한 보안 체계를 만들고 운영해야 한다”고 말했다. 이어 “특정 기간을 넘어 지속적인 침투 테스트를 통해 변화하는 IT환경에서 사이버 복원력을 유지할 것”이라고 덧붙였다.

2024.11.25 11:08김인순

"구글도 보안 취약점 못 피해"…안전한 SW 개발 환경 만들려면?

"소프트웨어(SW)와 보안 취약점은 뗄 수 없는 관계입니다. 공격자는 이를 늘 악용할 것입니다. 개발자는 SW 설계 단계부터 시큐어 코딩을 필수적으로 진행해야 합니다." 엔키화이트햇 조정현 부사장은 6일 서울 강남 섬유센터에서 열린 '제14회 SW 개발보안 컨퍼런스'에서 "SW 개발에 시큐어 코딩이 필수인 시대"라며 이같이 강조했다. 시큐어 코딩이란 안전한 코딩 표준과 지침을 준수해 코딩하는 작업 과정으로, 코드 수준에서부터 보안을 강화하는 접근법이다. 이를 통해 SW는 해킹을 비롯한 데이터 유출, 서비스 거부 공격 등 다양한 보안 위협에 노출될 위험을 줄일 수 있다. 조 부사장은 다수 기업이 취약점 예방·제거를 위해 노력하지만 아쉬운 부분이 있다고 지적했다. 시큐어 코딩이 아닌 보안 장비에 지나치게 의존한다는 이유에서다. 조 부사장은 "이는 근본적 해결책이 아니다"며 "보안 장비도 SW의 일종이기 때문"이라고 설명했다. 이어 "SW의 가장 기초인 코드 보안이 더 중요하다"고 주장했다. 또 조 부사장은 이 자리에서 SW 취약점을 두고 피할 수 없는 숙명이라고 봤다. 마이크로소프트와 구글, 애플도 자사 SW 취약점을 100% 해결할 수 없을 것이라고 강조했다. 조 부사장은 "개발자는 항상 자신의 코드가 취약할 수 있다는 마음가짐으로 보안에 신경 써야 한다"며 "개발자는 해커 입장에서 늘 생각해야 SW 취약점이 보일 것"이라고 당부했다. 엔키화이트햇은 모의해킹을 비롯한 침투 테스트, 취약점 진단 서비스를 제공하는 기업이다. 실제 기업 시스템을 침투해 취약점을 직접 확인하는 서비스를 제공 중으로, 해커가 사이버 공격을 우회해 진행한 사례까지 발견하고자 노력하고 있다. 조 부사장은 "앞으로 단순 취약점 발견에 그쳐선 안 된다"며 "실제 공격자가 행하는 방식으로 기업 시스템에 침투해 내부 정보 탈취 테스트까지 진행해야 할 것"이라고 말했다. 이어 "이럴수록 기업은 장비에 의존하는 것보다 기초 시스템 구축에 힘써야 한다"고 덧붙였다.

2024.11.06 18:09김미정

"생성형 AI 도입 전 사이버 공격 표면 확인…보안위협 지속 관리"

"사이버 보안팀은 방어를 넘어 끊임없이 위협을 찾아내 능동적으로 대처해야 합니다. 수동적인 방어를 넘어 공격적인 대응으로 보안의 패러다임이 이동했습니다." 오펜시브 보안 전문 기업 엔키화이트햇은 지난 8월 기업이 능동적으로 보안 상황을 점검하고 대응할 수 있는 구독형 침투테스트서비스 '오펜 PTaaS'를 공개했다. 엔키화이트햇의 첫번째 서비스로서소프트웨어(SaaS)다. 기존에 해커들이 주축이된 회사는 주로 컨설팅 사업에 집중해왔다. 엔키화이트햇은 글로벌 수준의 화이트햇 해커 노하우를 기업 보안 담당자들이 편리하게 빌려 쓸 수 있는 서비스로 개발했다. 해킹 기술력에 제품 구현력까지 갖춘 기업으로 발돋움했다. 엔키화이트햇은 글로벌 해킹 대회에서 실력을 인정받은 보안 전문가들이 모인 스타트업이다. 이성권 대표는 “일회성으로 끝나는 모의해킹으로 급변하는 위협환경에서 보안 수준이 유지 되지 않는다”면서 “침투테스트 컨설팅하며 쌓은 노하우를 기업 보안 담당자들이 보다 편리하게 이용하면서 능동적으로 대처하는 방법을 고민했다”고 설명했다. 오펜 PTaaS는 기업 보안팀이 복잡한 컨설팅 계약 과정을 간소화하면서 지속적으로 화이트햇 해커 기술력을 빌려쓰는 서비스다. 기업 보안팀은 오펜 PTaaS를 구독해 내부 공격 표면이나 침투경로, 보안 취약점을 지속적으로 식별하고 관리할 수 있다. 기업 보안팀이 원하는 시기에 침투테스트를 주기적으로 하고 대응책도 수립한다. 이 대표는 “최근 생성형AI와 클라우드 사용이 증가하면서 기업이 신기술 채택에 따른 사이버 공격 표면이나 취약점을 어떻게 찾아야할지 고민한다"면서 “오펜 PTaaS는 각종 IT인프라 운영 미숙이나 설정 오류, 솔루션 취약점, 해커의 공격 루트를 찾아 대응책을 제시한다"고 설명했다. 이어 “최근 관심이 높은 제로 트러스트(Zero Trust) 아키텍쳐 준수 여부 진단도 가능하다”면서 “침투테스트를 받은 후 PTaaS를 구독해 전문 화이트해커와 신속히 커뮤니케이션하며 보안 상태를 유지하는 기업이 늘고 있다"고 덧붙였다. 오펜 PTaaS는 레드(RED)/블루(BLUE)/퍼플(PURPLE)로 구성됐다. 레드는 조직의 공격 표면・침투 경로・보안 취약점을 식별・관리하는 영역이다. 블루는 심층 위협 분석・대응에 활용 가능한 악성코드 분석 서비스와 공격자 TTPs 기반 탐지 규칙을 제공하는 분야다. 퍼플은 실전형 사이버 공방 훈련과 보안팀 강화 교육을 제공해 조직과 제품의 전 주기 지속적인 보안에 활용할 수 있다. 오펜 PTaaS를 지속해 사용하면 기업과 기관의 과거와 현재 보안 수준의 비교 평가가 가능하다.

2024.10.21 13:26김인순

공공·금융 업무망서 생성형AI, SaaS 쓴다...다중보안체계 시장을 잡아라

사이버 보안 기업이 공공·금융 보안정책 개선에 따라 다중보안체계(MLS)를 도입하는 업무망 환경을 안전하게 만드는 기술을 앞다퉈 제시했다. 국가정보원과 국가보안기술연구소는 11일부터 12일까지 삼성동 코엑스에서 '제1회 사이버서밋코리아(CSK) 2024'를 개최했다. 정부는 이 행사에서 공공분야에 인공지능(AI), 클라우드 확산을 위해 망분리 정책을 완화하고 새로운 보안 체계인 '다층보안체계(MLS)'를 도입한다고 밝혔다. 사이버 보안업계는 정책 변화에 따라 대응책을 제시했다. 앤앤에스피(대표 김일용)는 CSK2024에 국가 망 보안 정책 개선에 대응하는 SaaS와 생성형AI 중계 보안 솔루션 '앤넷CDS CSG(Cloud Security Gateway)'를 선보였다. 앤넷CDS 시리즈는 내부망에서 외부 서비스로 비인가된 접속을 차단한다. 외부에서 내부망으로 우회접속도 막아 공공과 금융 전산망 환경을 안전하게 유지한다. 앤앤에스피는 발전시설과 공장 등 주요 기반 보호 시설 보안 솔루션에 이번에 클라우드 시큐리티 게이트웨이 솔루션을 전시하며 CPS를 넘어 IT 영역 전반까지 보안제품 라인업을 강화했다. 김일용 앤앤에스피 대표는 “클라우드 시큐리티 게이트 웨이는 망분리 환경 개선에 따라 다중보안체계(MLS) 지원하는 솔루션"이라면서 “AI와 클라우드 기반의 업무 자동화 등 기관과 금융권 업무 생산성을 높이고 데이터를 안전하게 활용하게 지원한다"고 말했다. 수산아이앤티(대표 정은아)는 생성형 AI를 완벽 분석해 업무망 환경을 안전하게 제공하는 유해사이트차단 솔루션 '이워커(eWalker) SWG' 를 전시했다. SSL 가시성 솔루션 '이프리즘(ePrism) SSL VA'과 AI·메일 ·메신저 제어·클라우드 환경에 최적화된 네트워크 DLP 솔루션 '이워커(eWalker) DLP' 등을 선보였다. 정은아 수산아이앤티 대표는 “생성형 AI 분석과 클라우드 환경에 최적화된 다양한 보안 솔루션 기술을 중점적으로 개발해 적용하고 있다”며 “더욱 안전한 공공기관과 금융권의 업무망 환경을 만들기 위해 앞으로도 지속적으로 노력할 것”이라고 말했다. 엔키화이트햇(대표 이성권)은 국가 망 보안 정책 개선에 따라 사이버 공격 표면을 최소화할 수 있는 '오펜(OFFen)' 서비스를 선보였다. 엔키화이트햇은 Δ 구독형 침투테스트 오펜 PTaaS (Penetration Testing as a Service) Δ 위협 분석 플랫폼 오펜 CTI (Cyber Threat Intelligence) Δ 실전형 사이버 공방훈련장 플랫폼 오펜 CR (Cyber Range)을 전시하며 시장에 대응했다. 이성권 대표는 “엔키화이트햇은 제품이 해외에서 경쟁력을 갖추기 위해 통합보안모델을 연구 중”이라면서 “오펜 제품은 국가망 보안 정책 개선에 따라 증가하는 공격 표면을 지속적으로 관리할 수 있는 서비스”라고 강조했다.

2024.09.12 13:18김인순

엔키화이트햇 해킹 팀 '오딘', 글로벌 해킹방어대회 '데프콘'서 실력 입증

오펜시브 보안 전문 기업 엔키화이트햇(대표 이성권) 해킹팀 '오딘(Odin)'이 글로벌 해킹방어대회 '데프콘(DEFCON) CTF32' 본선에서 실력을 과시했다. 데프콘은 올해 32회를 맞이한 세계 최대 규모 해킹대회다. 전세계 해커는 8월 9일부터 11일까지 미국 라스베이거스에 모였다. 엔키화이트햇 컨설팅팀, 사이버훈련센터, 연구팀 등 총 13명의 직원이 데프콘에 참여해 실력을 겨뤘다. 엔키화이트햇 직원들은 하입보이(HypeBoy), 수퍼다이스코드(SuperDiceCode), 콜드퓨전(Cold Fusion) 등 3개 팀으로 예선을 통과했다. 엔키화이트햇 컨설팅팀, 사이버훈련센터 연구팀 등 총 13명의 직원이 데프콘에 참여했다. 이번 대회에서 서명환 사이버훈련센터 센터장외 7명이 참여한 수퍼다이스코드가 3위, 하입보이로 참여한 차현수 팀장 외 3명이 8위에 올랐다. 엔키화이트햇은 오펜시브보안 전문기업으로 내부 인력 역량 강화를 위해 국내외 해킹대회 참여를 독려한다. 데프콘 등 글로벌 행사에서는 최신 해킹 기술과 보안 위협, 방어 전략이 공유된다. 다양한 워크샵과 강연, 실습 세션을 통해 실질적인 기술 습득이 가능하다. 엔키화이트햇 연구원들이 참여하는 CTF 등 대회에서는 다양한 사이버 보안 문제 해결 방식과 접근법을 시도하며 실전 경험을 쌓을 수 있다. 엔키화이트햇은 해커 관점에서 사이버 위협에 선제적으로 대응하는 '오펜시브 시큐리티 전문기업'이다. 엔키화이트햇은 사이버 보안 교육훈련과 침투테스트, 취약점 연구에 집중한다. 엔키화이트햇은 2016년 설립 후 꾸준히 사이버보안 인재양성에 관심을 가져오며 2019년부터 사이버공격방어대회 운영을 맡아왔다. 금융보안 위협분석 대회 FIESTA와 CODEGATE 국제해킹방어대회 운영 등 20회가 넘는 국내 해킹대회 경험을 보유하고 있다. 이성권 엔키화이트햇 대표는 “연구원들이 데프콘에 참여 최신 위협 동향을 파악하고 창의적인 방법으로 문제를 해결하는 경험을 축적한다"면서 “글로벌 대회에 참여해 자체 기술역량을 높이는 기회로 삼고 있다"고 말했다.

2024.08.12 17:14김인순

금융보안원, 금융권 보안대책 마련 나선다

금융보안원이 금융권 소프트웨어 공급망 보안체계에 대한 철저한 대비책 마련을 위해 행동에 나섰다. 금융보안원은 다음달 5일 여의도에서 '한국 금융보안의 현 주소와 나아갈 방향'을 주제로 세미나를 개최한다. 이번 세미나는 소프트웨어 공급망 보안체계의 중요성을 강조하고 정책·기술적 대응 방안을 논의하기 위해 마련됐다. 세미나에는 윤명근 국민대학교 교수, 이재용 KB국민은행 최고정보보안책임자(CISO), 지정호 토스증권 CISO, 이성권 엔키화이트햇 대표 등 다양한 전문가들이 참여한다. 이들은 패널 토론을 통해 IT 장애의 원인·영향과 소프트웨어 공급망 보안체계의 취약점을 검토할 예정이다. 참가 희망자는 금융보안원 홈페이지 사전등록을 통해 세미나에 참석할 수 있다. 사전등록은 31일부터 가능하며 현장등록도 허용된다. 김철웅 금융보안원장은 "세미나를 통해 금융권 전체가 소프트웨어 공급망 보안체계의 중요성을 인식하고 철저한 대비책을 마련하기를 기대한다"고 밝혔다.

2024.07.31 16:35조이환

엔키화이트햇 "보안 담당자 역량은 실제 사례 경험 여부"

엔키화이트햇 조정현 부사장은 “사이버 위협에 대한 훈련을 통해 보안 담당자의 역량을 높일 수 있다”고 강조했다. 엔키화이트햇(대표 이성권)은 제주 메종글래드호텔에서 열린 '제14회 CPS 보안 워크숍'에서 '화이트해커 관점에서 사이버 훈련의 중요성'을 발표했다고 30일 밝혔다. 조 부사장은 “침해사고 발생후 성공적 대응은 보안담당자의 실제사례 경험 여부에 달려있다”며 “훈련을 통해 담당자의 실질적 역량을 올릴 수 있기 때문에 사이버 훈련을 적극 권장한다”고 말했다. 엔키화이트햇은 해커 관점에서 사이버 위협에 선제적으로 대응하는 '오펜시브 시큐리티 전문기업'이다. 엔키화이트햇은 사이버 보안 교육훈련과 침투테스트, 취약점 연구 전문 기업으로 자리매김 하고 있다. 스마트 시티 인프라 보안에 중점을 둔 '차세대 지능형 교통시스템(C-ITS) 취약점 검증 및 사이버 공방 훈련 기술' 개발에 집중하고 있다. 엔키화이트햇은 8년간 축적한 오펜시브 보안 기술 노하우를 집대성한 솔루션을 '오펜(OFFen)'으로 브랜드화했다. 오펜은 '열린' 사고로 취약점을 '공개적으로' 찾고 '노출시켜' 해결한다는 의미다. 엔키화이트햇은 공격자 관점에서 취약점 평가부터 대응전략까지 제시하는 '오펜 PTaaS(OFFen PTaaS)', 실전형 공방 훈련장 '오펜 CR(OFFen CR)', 최신 사이버 공격 연구 '오펜CTI(OFFen CTI)'에 이르는 SaaS 기반 사이버 보안 솔루션을 선보일 예정이다. 한국정보보호학회 CPS보안연구회는 올해로 14회 사이버물리시스템(CPS) 보안 워크숍을 개최했다. CPS보안연구회는 사이버 시스템에서 보안기술 뿐만 아니라 전력, 원자력, 교통, 수자원 등 국가기반시설의 제어시스템에 대한 보안기술을 연구하고 정기 워크숍을 해왔다.

2024.05.30 17:59남혁우