• ZDNet USA
  • ZDNet China
  • ZDNet Japan
  • English
  • 지디넷 웨비나
뉴스
  • 최신뉴스
  • 방송/통신
  • 컴퓨팅
  • 홈&모바일
  • 인터넷
  • 반도체/디스플레이
  • 카테크
  • 헬스케어
  • 게임
  • 중기&스타트업
  • 유통
  • 금융
  • 과학
  • 디지털경제
  • 취업/HR/교육
  • 인터뷰
  • 인사•부음
  • 글로벌뉴스
인공지능
배터리
양자컴퓨팅
컨퍼런스
칼럼•연재
포토•영상

ZDNet 검색 페이지

'정보 보호'통합검색 결과 입니다. (396건)

  • 태그
    • 제목
    • 제목 + 내용
    • 작성자
    • 태그
  • 기간
    • 3개월
    • 1년
    • 1년 이전

[보안리더] 지정호 토스 CISO "강력 보안, 편한 금융"

토스 목표는 '보안은 강력하고, 사용은 편리하게'입니다. 토스는 정보보호선언문도 발표했어요. 첫줄에 '토스는 편리하고 안전한 토스 서비스를 제공하기 위해 정보 보호에 최선을 다할 것이다'라고 썼습니다. 안전하면서도 편리한 것은 상충하기에 사실 힘들어요. 그래서 토스는 보안 위협을 평가하고 그 수준에 맞춰 자동 대응하려고 노력한답니다. 지정호 토스(운영사 비바리퍼블리카) 정보보호최고책임자(CISO)는 지난주 서울 강남구 토스 사무실에서 지디넷코리아와 만나 이같이 밝혔다. 지 CISO는 “금융 혁신을 목적으로 삼은 핀테크 회사가 세계 최고 보안팀을 만든다고 해서 2017년 토스에 입사했다”며 “자율 근무 같은 수평적인 기업 문화도 궁금했다”고 말했다. 컴퓨터 학도가 금융사에서 일하는 이유다. 핀테크 업체가 살아남는 비결이기도 하다. 핀테크(FinTech)는 금융(Finance)과 기술(Technology)의 합성어다. 토스는 개인정보보호책임자(CPO)와 CISO를 따로 두고 있다. CISO는 회사 전반 정보 보호를 책임지고, CPO는 그 중에서도 개인정보 보호를 맡는다. 토스 CISO 조직에 CPO 조직이 속했다. 지 CISO는 “토스는 전자금융 거래 매출 비중이 큰 전자금융업자”라며 “'겸직 금지를 예외로 해달라' 신청할 수 있었으나 보안 수준을 높이고자 CISO와 CPO를 각각 뒀다”고 강조했다. 지 CISO는 토스가 앞장선 정보 보호 사례를 여럿 언급했다. “2018년 업계에서 처음으로 정보 보호 공시 제도에 참여했다”며 “비교적 많이 투자한다”고 말했다. 토스는 2023년 정보 보호에 125억6천만원 투자했다. 전체 투자액의 10.5%를 정보 보호에 썼다. 토스 보안 인력은 45명으로, 이 또한 10.3%다. 토스는 2021년 정보 보호 공시 우수 기업으로 뽑혔다. ▲2020년 5월 앱 보안 솔루션 '토스가드' ▲2020년 7월 '토스 안심 보상제' ▲2020년 10월 사기 의심 계좌 알림 ▲2022년 3월 '피싱 제로' ▲2023년 토스 보안 설명회 '가디언스' 개최 등도 토스가 금융권에서 최초로 한 일로 꼽았다. 지 CISO는 국내 정보보호 기업 AI스페라가 지난달 서울 삼성동 그랜드인터컨티넨탈서울파르나스호텔에서 연 '공격 표면 관리(ASM·Attack Surface Management)와 위협 인텔리전스(TI·Threat Intelligence) 설명회'에서도 “사기 친 적 있는 계좌로 토스 사용자가 돈 보내려 하면 경고해 알려준다”며 “첫 피해자는 못 막더라도 두 번째부터는 막아야 한다”고 소개한 바 있다. 온라인 중고 거래에서 사기꾼이 '토스로 보내지 말고 다른 계좌로 보내라'고 한다는 이야기도 전했다. 피싱 제로는 피싱에 쓰는 악성 앱이 휴대전화에 있다면 토스를 실행했을 때 알려 지우도록 돕는 서비스다. 토스 가디언스는 다른 회사 보안 담당자에게 토스 보안 성과와 요령을 알리는 행사다. 올해 3회째로, 지난해보다 많은 사람을 하반기 부르기로 했다. 토스는 보안 취약점을 신고한 사람에게 상을 주는 버그 바운티(Bug Bounty)도 2022년부터 시행하고 있다. 지 CISO는 “비교할 수 없을 만큼 안전한 금융을 만들겠다는 다짐”이라며 “누구나 토스 서비스와 홈페이지뿐만 아니라 토스 계열사 홈페이지 보안 취약점을 제보하면 위협 수준에 따라 한 건에 3천만원까지 준다”고 설명했다. 지 CISO는 정보 보호 전문 기업과 게임·엔터테인먼트 업체를 거쳐 토스에서 일하고 있다. 그는 “정보 보호 기업에서 새로운 보안법을 연구해 국가 사이버 안보에 기여한다는 보람을 느꼈다”며 “이제는 회사 자산과 소비자를 지키는 성취감을 얻는다”고 웃었다. 아래는 지정호 토스 CISO 주요 경력. 2021 고려대 금융보안학과 석사 2006.02~2007.04 엘림넷 정보기술(IT) 부문 2007.04~2010.12 아프리카티비 보안 부문 2011.01~2015.06 윈스 보안 부문 2015.06~2017.06 넥슨코리아 보안 부문 2017.06~2021.02 비바리퍼블리카 보안 부문 2021.03~2024.12 토스증권 CISO 2024.12~현재 비바리퍼블리카 CISO

2025.04.09 15:42유혜진

중소기업, 80% 비용 받고 클라우드 쓰세요

지란지교시큐리티는 '2025 중소기업 클라우드 서비스 보급·확산 사업'의 공급기업으로 뽑혔다고 7일 밝혔다. 지란지교시큐리티 보안 서비스를 쓰려면 18일까지 클라우드서비스지원포털 홈페이지에서 신청하면 된다. 중소기업 클라우드 서비스 보급·확산 사업은 중소기업이 클라우드로 업무 효율성을 높이도록 서비스 상담과 이용료를 80%까지 정부가 지원하는 사업이다. 과학기술정보통신부와 정보통신산업진흥원이 주관한다. 지란지교시큐리티는 '지란더클라우드(이메일 보안)', '머드픽스(악성 이메일 모의 훈련)', '다큐원(문서 중앙화)', '오피스하드 클라우드(보안 파일 서버)' 4가지를 공급한다. 지란더클라우드는 이메일 보안 '스팸스나이퍼'의 클라우드판이다. 스팸·바이러스 메일을 막고 스캠 방지, 수·발신 인증, 메일 이력을 관리한다. 머드픽스는 최신 메일 위협이 반영된 훈련 양식으로 사내 보안 수준을 파악할 수 있는 대시보드와 훈련 보고서를 준다. 다큐원은 컴퓨터(PC)에 문서를 저장할 수 없게 한다. 기업 중요 정보를 중앙 서버로 옮긴다. 오피스하드 클라우드는 부서·외부업체 간 안전하게 문서를 공유할 수 있게 한다.

2025.04.08 15:21유혜진

ISMS-P 인증 뭐기에…의무도 아닌데, 하겠단 금융사

금융 정보보호 및 개인정보보호 관리 체계(ISMS-P·Personal Information & Information Security Management system) 인증을 받으려는 금융사가 해마다 늘고 있다. 의무도 아닌데 스스로 까다로운 심사를 통과하겠다고 나선다. 금융 ISMS-P는 금융권에 맞춘 ISMS-P 인증이다. 전자금융거래법, 신용정보법 등 금융 정보보호 및 개인(신용)정보 보호 관련 법령을 반영한다. 금융권은 다른 산업보다 민감한 개인(신용)정보와 금융 정보를 많이 다루기 때문에 침해 사고나 개인정보 유출 사고가 터지면 충격이 상당하다. 보다 높은 수준의 보안과 규제가 요구되는 이유다. 8일 금융보안원에 따르면 금융 ISMS-P 인증은 2015년 27건으로 시작해 지난해 128건으로 5배 성장했다. 금융보안원이 금융권에 알맞은 ISMS-P를 인증한다. 나머지 산업이나 전반적인 인증 품질은 한국인터넷진흥원(KISA)이 관리한다. 오중효 금융보안원 상무는 지난달 27일 서울 여의도 금융투자협회에서 열린 'ISMS-P 인증 설명회'에서 “인공지능이나 가상자산 환경이 바뀌면서 인증 수요가 더 늘 것”이라고 말했다. 의무 아니지만 “이만큼 잘해요” 금융회사는 법적으로 ISMS-P 인증 의무가 아닌데도 은행·증권·카드·보험사 뿐만 아니라 핀테크 기업도 자발적으로 인증 받으려는 사례가 늘고 있다고 금융보안원은 전했다. 최지훈 금융보안원 선임심사원은 지난달 설명회에서 “금융권은 ISMS-P 인증이 의무가 아니다”라면서도 “디지털 금융과 자율 보안이 확산돼 인식 수준이 높아졌다”고 분석했다. 핀테크∙오픈뱅킹, 마이데이터, 간편결제 등 디지털 금융이 자리잡으며 보안을 강화할 필요가 있어서다. 이런 환경에서 '우리 회사가 이만큼 금융 보안에 신경쓴다'고 소비자에게 증명할 수 있다. 금융회사가 자율적인 보안 활동을 하되 결과에 대한 책임은 무거워진 점도 내부 보안 관리 체계를 높이는 이유로 꼽힌다. 금융권 형님답게 은행이 선도 금융보안원은 은행이 금융권 디지털 전환을 이끌면서 ISMS-P 인증도 선도하고 있다고 평가했다. 주요 시중은행은 인터넷뱅킹 말고도 마이데이터, 금고 시스템, 전자 서명 인증 등 주요 서비스에 맞는 인증서 2~4개를 취득∙유지하는 것으로 알려졌다. 최근에는 다른 업권보다 디지털 전환이 조금 늦은 면이 있는 생명보험사도 인증을 취득하고 있다며 금융투자, 카드∙캐피털사가 인증 받는 사례도 늘어나는 추세라고 금융보안원은 설명했다. 실제로 기자가 지난달 27일 금융투자협회에서 열린 설명회에 갔더니 대부분 금융투자회사 담당자들이 참석한 모양새였다. 수집-이용-파기 단계별 정보 보호 금융보안원은 특히 전자금융감독규정과 신용정보업감독규정 등 금융권에 특화한 심사 항목으로 금융 보안 규제 준수 여부를 심사한다. 금융사가 세운 (개인)정보 보호 정책과 지침, 절차 등을 체계적으로 시행하는지 따진다. 개인(신용)정보를 수집-보유∙이용-제공-파기하는 단계별로 보호 조치를 적절하게 하는지, 수탁사 같은 외부 위탁 관리 실효성은 있는지도 확인한다. 최 심사원은 “지난해 128건 심사하면서 기업당 결함을 평균 9개씩 발견했다”며 “기업은 결함 개수에 연연하지 말고, 이 결함이 나온 원인과 재발 방지 대책을 신경써야 한다”고 강조했다. 개발자와 운영자, 개인정보 취급자 직무별로 시스템에 접속하는 방식이 다르면서도 시스템 흐름도를 보면 이런 사실을 알 수 없는 경우가 지적받았다. 정보보호 운영 인력이 정보보호 예외 정책을 스스로 승인해도 잘못이다. 개인정보 열람 요구서와 위임장 등에 주민등록번호를 요구해서도 안 된다. '내 정보 잘 지키나' 소비자 선택 기준 금융소비자 입장에서는 (개인)정보 보호 관리 체계를 제대로 갖췄는지 금융사 선택 기준으로 ISMS-P를 삼을 수 있다. 보안 사고를 예방하고, 사고가 나더라도 빠르게 복구하는 금융사를 이용하면 피해가 최소화될 것으로 금융보안원은 기대했다.

2025.04.08 15:09유혜진

카스퍼스키 "VDC리서치서 OT사이버보안 선두 평가"

러시아 정보보호 기업 카스퍼스키는 7일 시장조사업체 VDC리서치로부터 산업 기술(Operational Technology) 사이버 보안 시장에서 높은 평가를 받았다고 밝혔다. 카스퍼스키는 전용 OT 등급 기술(OT-grade technologies), 지식과 산업 경험이 통합된 보안 생태계를 제공한다. 중요 인프라를 보호하기 위한 기본 XDR 플랫폼인 KICS(Kaspersky Industrial Cybersecurity)가 중심 역할을 한다. KICS에는 KICS for Networks(네트워크 트래픽 분석과 위협 탐지 및 대응), KICS for Nodes(엔드포인트 보호 및 탐지·대응)가 포함된다. 안드레이 스트렐코프 카스퍼스키 산업사이버보안 책임자는 “시장의 요구를 충족할 서비스를 개발하고 있다”며 “투명성을 강화하려는 노력도 지속하고 있다"고 말했다. 카스퍼스키는 지난해 터키 이스탄불에 투명성센터(Transparency Center)를 열었다. 고객과 규제기관이 카스퍼스키 소스 코드와 보안 개발 과정을 검토할 수 있도록 운영된다.

2025.04.07 17:52유혜진

미국 정부가 불렀다···한국 보안 주목

미국 국무부가 협력과 교류를 목적으로 한국 정보보호업계 차세대 전문가들을 초청했다. 사이버 보안 프로그램으로 한국인들을 미국 정부가 부른 것은 이번이 처음이다. 7일 정보보호업계에 따르면 학계, 연구소, 공공기관 등 정보보호 관계자 5명이 이날부터 25일까지 미국 국무부 초청을 받아 미국에서 열리는 '국제 지도자 초청 프로그램(IVLP·International Visitor Leadership Program)'에 참가한다. '사이버 보안 협력 강화: 한·미 동맹(Strengthening Cybersecurity Cooperation: U.S.-ROK Partnerships)'을 주제로 미국 전문가들과 사이버 보안을 논의한다. IVLP는 미국 국무부가 80년 동안 세계 각국의 차세대 지도자를 불러 특정 주제로 협력하는 프로그램이다. 매년 5천명이 IVLP에 참여한다. 지금껏 190개국 20만명이 이를 거쳤다. 국가 원수로는 500명 이상이 이름을 올렸다. 한국 동문으로는 고 김영삼·김대중 전 대통령 등이 있다. 'IVLP에 가고 싶다'고 신청할 수는 없다. 미국 대사관이 뽑는다. 미국은 이번에 처음으로 한국 보안 전문가를 불러들였다. 그만큼 한·미 사이버 안보가 중요해졌다고 판단한 셈이다. 한·미·일 3개국이 공동 성명을 낸 점도 같은 맥락으로 보인다. 조태열 외교부 장관과 마코 루비오 미국 국무부 장관, 이와야 다케시 일본 외무상은 지난 3일 벨기에에서 열린 북대서양조약기구(NATO) 외교장관회의를 계기로 공조를 강화하겠다고 밝혔다. 특히 북한 사이버 행위자들의 악성 사이버 활동이 심각하게 우려된다고 발표했다. 북한이 탈취한 암호화폐를 현금으로 바꾸지 못하게 국제 사회가 뭉쳐야 한다는 입장이다. 북한은 지난 2월 암호화폐거래소를 대상으로 15억 달러(약 2조2천억원)어치 암호화폐를 탈취했다. 한국이 북한과 휴전한 상황에서 사이버 안보 분야를 비롯해 지출하는 국방비는 세계에서 손에 꼽을 정도로 많다. 영국 국제문제전략연구소(IISS)가 최근 내놓은 '2025 세계군사력 균형 보고서'를 보면 지난해 한국 국방비는 439억 달러로 세계에서 10번째로 많다. 아시아에서 중국·인도·일본 다음이다. 세계 1위는 9천680억 달러로 미국이 압도적이다.

2025.04.07 17:30유혜진

미국 사이버 보안 과학자 실종…FBI 급습 전 무슨 일?

미국에서 사이버 보안 과학자가 실종된 것으로 알려졌다. 미국 잡지 와이어드는 3일(현지시간) 미국 인디애나 대학에서 오랫동안 컴퓨터 과학을 가르친 샤오펑 왕 교수가 아내와 함께 실종됐다고 보도했다. 이어 미국 연방수사국(FBI)이 그의 집을 급습했다고 전했다. 이에 앞서 인디애나 대학 사이트에서 교수 전화번호와 이메일 주소를 비롯한 프로필이 지워졌다. 와이어드는 이 교수가 20년 동안 암호화, 개인정보, 사이버 보안에 대한 학술 논문을 발표한 저명한 컴퓨터 과학자라고 소개했다. 연락이 끊긴 이유는 아무도 모른다고 설명했다. 다만 한 소식통은 “교수가 실종되기 전 중국 자금 조사에 직면했다”고 말했다.

2025.04.05 08:00유혜진

[현장] "자율주행 해킹 걱정 끝"···시옷, '서울모빌리티쇼'서 솔루션 소개

“자율주행 자동차가 길을 달리는 모습을 상상해 보세요. 그런데 해커가 중간에 꼈어요. 차량인 것처럼 통신하네요. 분명히 사고 날 환경인데 '사고가 안 날 테니 이렇게 가라'고 거짓말해요. 그리고 '쾅' 사고 납니다. 요새 스마트키로 차 문 열잖아요. 열쇠 암호를 탈취해 주인이 없을 때 차를 훔쳐 달아날 수 있어요.” 박현주 시옷 대표는 4일 경기 고양시 킨텍스에서 열린 서울모빌리티쇼에서 지디넷코리아와 만나 자율주행 보안 기술을 개발한 이유를 이같이 밝혔다. 모빌리티 보안 기업 시옷은 이날 자율주행 기술 개발 혁신 사업단(KADIF)이 주관한 1단계(2021~2024년) 기술 개발 종료 성과 공유회에 참여했다. 산업통상자원부·과학기술정보통신부·국토교통부·경찰청 4개 부처가 사업을 이끈다. 2027년 한국에서 자율주행 4단계를 상용화하는 게 목표다. 시옷은 한국자동차연구원·한국정보통신기술협회(TTA)·고려대와 4년 동안 함께 개발한 자율주행 차량용 보안 기술을 선보였다. 자율주행 차량이 통신하는 과정에서 생길 수 있는 사이버 위협을 차단하기 위해 개발했다. 박 대표는 “자율주행 해킹 사례를 정의하고 구현했다”며 “차량 통신 정보가 안전한지, 위·변조됐는지 살펴본다”고 말했다. 그러면서 “자율주행 보안 검증 도구를 세계 표준에 맞춰 개발했다”며 “한국에서는 처음으로 기술 표준을 만드는 중”이라고 소개했다. 박 대표는 “중국은 정부가 10년 넘게 자율주행 연구개발에 투자한 덕에 세계 최고 기술을 자랑한다”며 “한국은 아직 4년짜리 사업을 했지만 계속 투자해 2027년 자율주행 4단계를 상용화하는 데 시옷이 적극적으로 나서겠다”고 강조했다. 그는 “자율주행 4단계를 현실에서 쓰고 돈을 벌기까지 기업 혼자서는 못한다”며 “자금 지원과 더불어 시험할 수 있는 환경도 필요하다”고 주장했다. 이어 “자동차와 자동차, 자동차와 도로, 자동차와 사람이 통신하는 기반이 생기면 실제 취약점을 찾을 수 있다”며 “보안 기업으로서 지킬 게 많다”고 덧붙였다. 시옷은 사물인터넷 암호(CIOT) 기업이라는 이름을 한글로 지었다. 2015년 1월 설립했다. 직원 25명 가운데 80%가 개발자다. 창업 초기 암호 기반 원천기술을 확보해 2019년부터 본격적으로 매출을 냈다. 지난해 흑자로 돌아섰다. 한편 올해 30주년을 맞은 서울모빌리티쇼에 451개사가 참가했다. 육상·해상·항공 모빌리티를 아울렀다.

2025.04.04 14:57유혜진

윤 탄핵심판 선고에...과기정통부, 이통사와 통신장애 총력 대응

과학기술정보통신부(이하 '과기정통부')는 4일 오전 11시 대통령 탄핵심판 선고가 예정됨에 따라 통신사 등과 협력해 대규모 인원 밀집으로 인한 통신 트래픽 증가 등 통신·디지털서비스 장애 상황에 만전을 기할 예정이라고 밝혔다. 과기정통부는 현장 상황에 긴밀히 대응하기 위해 3일 18시부터 통신사와 합동으로 현장상황반을 운영하고 있으며, 광화문·안국역 주변 등에 이동기지국 15대와 간이기지국 38국소를 설치하고 필요시 즉시 현장에서 조치할 계획이다. 과기정통부는 이동기지국 등 현장에 배치된 통신시설의 보호와 현장 인력 및 일반 시민의 안전을 위해 기지국 주변에 폴리스라인을 설치하거나 경찰 순찰을 강화하는 등 경찰청과 협력하여 현장 안전을 확보할 예정이다. 네이버, 카카오 등 국민 이용률이 높은 주요 디지털 서비스 사업자는 카카오톡, 네이버 카페, 뉴스 검색 등 주요 서비스에 대해 트래픽 가용량을 평상시 대비 3~10배 확보하고 모니터링을 강화하도록 하였으며, 해킹 및 분산서비스 거부 공격(DDoS) 등 사이버 침해 대비 집중 모니터링도 추진할 계획이다. 최우혁 정보보호네트워크정책관(상황반장)은 "대규모 인원이 밀집하더라도 국민들이 통신·디지털서비스를 안정적으로 제공받을 수 있도록 최선을 다하겠다"고 밝혔다.

2025.04.04 09:52최이담

부처 정보보호책임관 국장급 격상됐다

주요 시설에 대한 정부의 정보보호 인식이 한층 강화됐다. 기존에 과장급이 맡던 부처내 정보보호책임관을 국장급으로 승격했다. 3일 지디넷코리아 취재에 따르면 국가정보원은 지난달 26일 기획재정부·과학기술정보통신부 등 23개 중앙행정기관 정보보호책임관을 대상으로 사이버 안보 교육을 시행했다. 앞서 정부는 지난해 12월 주요 정보통신 기반 시설 보호 담당자 직위를 기존 과장급에서 고위공무원(국장급)으로 상향했다. '정보통신기반 보호법' 시행령을 개정해 이룬 조치다. 정보통신기반 보호법 시행령 제11조는 관계중앙행정기관장이 소속 공무원 중 주요 정보통신 기반 시설 보호 업무를 담당하는 고위공무원단에 속하는 정보보호책임관을 지정하도록 했다. 여기서 관계중앙행정기관이란 기재부·외교부·국방부·과기부 같은 행정부를 뜻한다. 정보보호책임관은 주요 정보통신 기반 시설 보호 계획을 시행하고, 피해를 입으면 빠르게 대응해야 한다. 정부는 통신·금융·의료 분야 등의 민간 157개, 공공 287개 기반 시설을 사이버 침해 행위로부터 지킬 주요 정보통신 기반 시설로 정해 관리하고 있다. 민간 157곳은 과기부가, 공공 287곳은 국정원이 관리한다. 민간 157곳의 경우 관할 부처가 8곳에 달한다. 이들 8곳의 정보보호책임관이 기존 과장급에서 국장급으로 직급이 높아진 것이다. 특히 과기부는 업무 특성을 감안해 다른 부처가 1명의 정보보호책임관을 둔 것과 달리 2명(정책기획관과 정보보호네트워크정책관)이 정보보호책임관을 맡았다. 지난달 26일 국정원 교육에 참석한 신용석 대통령실 사이버안보비서관은 “높은 직급으로 새로 임명된 정보보호책임관들이 활약하길 기대한다”며 “기반 시설을 보호하기 위해 필요한 사항을 적극적으로 돕겠다”고 말했다. 2010년대 들어 정부에도 민간 정보보호최고책임자(CISO) 같은 고위직이 필요하다는 목소리가 커졌다. 정부야말로 해킹 1순위 표적이어서다. 그러다 큰 사건이 터졌다. 2023년 11월 국가행정망 전산이 마비된 일이 일어났다. '정부24' 행정 포털이 멈춰 전자증명서 발급, '보조금24' 나의 혜택 조회, 각종 원스톱 서비스, 온라인 여권 재발급 신청, 건축물대장 및 전입신고 민원 등이 중단됐다. 당시 장애 원인을 곧바로 못 찾아 국민에게 재빨리 알리지도 못했다. 국가보안기술연구소장을 지낸 박춘식 아주대 사이버보안학과 교수는 “'정보보호 고위공무원이 있어야 한다'고 요구한 지 오래됐다”며 “평소 예산 없다고 미루다가 사고 나야 뒤늦게 움직인다”고 말했다. 박 교수는 “여태 다른 부서 사람이 스쳐 지나가듯 정보보호 업무를 맡느라 전문적인 정책을 만들기 어려웠다”며 “정부 보안은 국정원만 하는 게 아니라 각 부처가 스스로 해야 한다”고 지적했다. 이어 “이제 행정부를 따라 입법부와 사법부도 나설 차례”라며 “요즘에야 선거관리위원회 사태가 언급되지만, 헌법기관은 보안이란 전혀 생각 안 하고 엉망이었다”고 비판했다. 한편 민간에는 CISO 제도가 2012년 금융권에 먼저 도입됐다. 현재는 자산총액 5조원 이상이거나 정보보호관리체계(ISMS) 인증을 받아야 하는 사업자 중 자산총액 5천억원 이상 기업으로 확대됐다. 정부는 2021년에는 CISO가 어떤 직책도 겸하지 않고 정보보호 업무만 하게끔 '정보통신망 이용촉진 및 정보보호 등에 관한 법률' 시행령을 개정했다. CISO는 ▲정보보호·정보기술(IT) 석사 이상 학위를 취득했거나 ▲학사 취득, 3년 이상 경력 ▲전문학사, 5년 이상 경력 ▲10년 이상 경력자 중 하나를 갖춰야 한다. 박 교수는 “민간에 CISO를 의무로 두라면서 정부는 지금껏 안 한 게 모순”이라며 “어떤 정책이든지 정부가 모범적으로 시범 보이고 민간이 따르는 순서가 옳다”고 주장했다.

2025.04.03 16:45유혜진

휴먼컨설팅그룹 "HR 솔루션 '휴넬', 강력한 정보보호 강점”

HR 솔루션에서 '정보보호'가 가장 중요한 선택 기준으로 떠오르고 있다. AI 기반 피싱 공격과 원격근무 확산, 외부 협업 환경 증가 등으로 HR 솔루션을 통한 민감정보 유출 가능성이 커지고 있어서다. 특히 많은 국내 기업들이 폐쇄된 사내 시스템에서 인사 데이터를 관리하고 있음에도, 여전히 정보보호 수준은 상대적으로 낮다. 내부자 접근, 퇴직자 계정 방치, 접속 이력 미관리 등의 문제로 유출 사고 위험이 존재한다. 더불어 민감한 개인정보가 늘어나는 추세에서, 높은 보안 수준을 요구할 경우 업무 편의성과 효율성이 떨어지는 딜레마도 함께 제기되고 있다. 휴먼컨설팅그룹(대표 박재현, 이하 HCG)은 자사의 HR 솔루션 '휴넬'이 강력한 정보보호 기능을 강점으로 기업들의 주목을 받고 있다고 3일 밝혔다. 휴넬은 ▲개인정보 암호화 ▲접속기록 자동 보관 ▲퇴직자 계정 자동 차단 및 파기 ▲사용자 역할 기반 접근제어(RBAC) ▲핵심 데이터 추가 인증 기능 등 정보 유출을 방지하기 위한 핵심 기능을 기본 탑재하고 있다. 또 정보보안 국제인증 ISO/IEC 27001:2022, 국내 정보보호 관리체계 인증 ISMS를 확보했다. 특히 온프레미스(On-premise) 환경에서 고도화된 보안기능을 갖췄다. HCG의 휴넬은 지난해 하나은행, 아이엠뱅크, 현대해상보험, KB증권, 미래에셋증권 등 보안이 크게 강화된 다양한 금융 기관에서도 사용 중이다. HCG 휴넬 최고운영책임자인 김영만 전무는 "HR 정보는 기업의 핵심 자산이며, 그에 따라 정보보호도 기업 운영의 필수 요소"라며 "앞으로도 기능 중심의 HR 시스템을 넘어, 지속적인 보안 강화와 투자를 통해 최고 수준의 정보보호 서비스를 제공할 것"이라고 밝혔다. 지디넷코리아(대표 김경묵)는 기고만장과 5월8일 강남구 봉은사로에 위치한 슈피겐홀에서 'HR테크 리더스 데이' 컨퍼런스를 개최한다. 참가 기업으로는 ▲휴먼컨설팅그룹(탈렌엑스) ▲플렉스 ▲사람인 ▲인크루트 ▲두들린(그리팅) ▲디웨일(클랩) ▲스펙터 ▲데이원컴퍼니(패스트캠퍼스) ▲스픽이지랩스코리아 ▲에이블런 ▲헤세드릿지(달램) 등이다. 전문 강연자로는 오용석 SAP 코리아 최고문화전문가와 더:미 원미영 대표가 무대에 오른다. 스페셜 키노트에는 '프로텍터십' 저자인 이주호 고운세상코스메틱 대표가 강연자로 나선다. 참석자들은 최근 HR 관련 트렌드뿐 아니라, 최신 기법이 적용된 핵심 인재 채용 전략과 조직·구성원들의 성장법, 공정하고 효과적인 업무 평가와 보상 노하우, 건강한 조직문화를 위한 복지 정책 등 HR에 관한 정보를 한자리에서 얻을 수 있다. HR테크 리더스 데이 참석을 희망하는 HRer들은 [☞사전등록] 페이지를 통해 신청하면 된다.

2025.04.03 08:35백봉삼

"구글 크롬 업데이트하세요"…피싱 공격 발견

러시아 정보보호 기업 카스퍼스키는 1일 공격자가 구글 인터넷 브라우저 '크롬'의 샌드박스 보호 시스템(sandbox protection system)을 우회할 수 있는 제로데이 취약점(CVE-2025-2783)을 발견해 패치를 지원했다. 카스퍼스키는 사용자가 이메일로 받은 피싱 링크를 누르는 순간 감염되는 공격을 탐지했다고 밝혔다. 구글 크롬에서 알려지지 않은 취약점을 악용한 것으로 확인해 구글 보안팀에 경고했다. 공격자는 러시아 정부와 언론사, 교육 기관 등을 표적으로 삼았다. 악성 링크는 탐지를 피하기 위해 짧은 시간 활성화됐다. 카스퍼스키는 주로 스파이 활동을 목적으로 했다고 판단했다. 바실리 보리스 라린 카스퍼스키 수석보안연구원은 “공격자가 새로 발견된 취약점을 악용할 수 없도록 운영 체제와 브라우저, 특히 구글 크롬을 정기적으로 업데이트하라”고 말했다.

2025.04.01 16:42유혜진

[보안리더] 김신규 램파드 대표 "한국 유일 휴대용 네트워크 X-ray 개발"

“네트워크 엑스레이(X-ray) 장비를 휴대용으로 만든 회사는 한국에서 램파드 뿐입니다. 해외 경쟁사로는 연 매출 1~2조원을 거두는 넷스카우트가 대표적이에요. 하지만 램파드 분석 속도가 세계에서 가장 빨라요. 외국산이 한 달 걸리던 작업을 램파드는 3일 만에 끝냅니다. 외국산은 공장에서 찍어낸 듯 대량 공급하는 반면 램파드는 맞춤형으로 줘요. 그런데 램파드 가격은 외국산의 반값입니다.” 김신규 램파드 대표는 지난주 경기 수원시 사무실에서 지디넷코리아와 만나 이같이 밝혔다. 램파드는 소울시스템즈라는 사명을 주력 제품 이름인 램파드로 바꿨다. 김 대표는 “램파드는 어둠을 밝히는 램프 요정”이라며 “그리스 신화에 나온다”고 말했다. 어둠을 밝히는 램프 요정으로서 네트워크 기술자의 길잡이가 되겠다는 포부다. 김 대표는 1973년생으로, 현대전자(현 SK하이닉스)와 에스넷시스템 등을 거쳐 2016년 2월 램파드를 세웠다. 아래는 김 대표와의 일문일답. -램파드 실적은? “5년 동안 램파드를 개발해 2023년 12월 선보였다. 개발하는 동안 정부 연구과제를 수행하며 내공을 길렀다. 램파드를 출시한 지 1년 넘었다. 고객사를 80군데 확보했다. 대부분 공공 부문이다. SK텔레콤·KT·LG유플러스 이동통신사와도 협업한다. 지난해 매출 30억원을 기록했다. 또 처음 흑자를 달성했다. 올해 매출은 지난해보다 2~3배 많기를 목표로 잡았다.” -램파드를 왜 개발했나? “램파드는 네트워크 엑스레이 장비다. 네트워크는 점점 복잡해지고, 정보량은 폭증하고, 네트워크 전문 기술자도 부족하다. 이 3가지 때문에 램파드가 필요하다. 램파드는 네트워크 이상을 탐지하고, 진단·분석해 구간별로 품질을 관리한다. 그동안 네트워크 기술자가 빠르게 분석할 도구가 없었다. 나도 네트워크 기술자였다. 직접 불편한 점을 손보다보니 램파드를 만들었다.” -고객 반응은? “국내 한 통신사가 쓰던 중국산·미국산 제품 2가지를 램파드로 바꿨다. 그 회사 사정에 맞춘 제품을 주니 쓰기 편하다더라. 더구나 램파드는 노트북처럼 생겼다. 통신사 직원이 가볍게 램파드 들고 현장으로 가니 만족한다고. 외국산 제품을 쓰는 기업은 서버를 통째로 들고 가서 준비만 3~4시간 걸린다. 삼성 계열사도 넷스카우트 제품을 램파드로 대체했다.” -무슨 분야에 램파드가 필요하다고 생각하나? “충북교육청과 전북교육청에 납품했다. 학교가 많은 서울교육청과 경기교육청도 램파드를 썼으면 좋겠다. 네트워크 문제가 생기면 램파드는 유선망과 무선망 품질 상태를 자동 분석한다. 어느 학교에서 잘못됐나 바로 알 수 있다. 사람이 갈 필요 없다. 경기도에만 학교가 2천700곳 있다고 한다. 네트워크 문제가 생기면 교육청에서 사람을 보내 일을 처리하고 있다. 시간이 오래 걸릴뿐더러 언제, 얼마나 많은 사람이 모였을 때 측정하느냐에 따라 결과가 달라지는 게 치명적이다. 2023년 11월에는 행정안전부 전자 사고가 났다. 국가행정망 전산이 마비된 초유의 일이다. '정부24' 행정 포털이 멈춰 전자증명서 발급, '보조금24' 나의 혜택 조회, 각종 원스톱 서비스, 온라인 여권 재발급 신청, 건축물대장 및 전입신고 민원 등이 중단됐다. 당시 장애 원인을 곧바로 못 찾아 국민에게 재빨리 알리지도 못했다. 램파드가 30분 만에 이유를 찾아 정부에 보고했다. '램파드를 썼다면 이런 사고가 안 났을 텐데' 아쉽다. 이후 지난해 12월 전자정부법 개정안이 국회를 통과해 정보 시스템 장애 관리에 필요한 지침이 마련됐다. 아직은 램파드가 선택지지만 사고를 예방할 수 있는 제품인 만큼 필수재 되기를 바란다.” -입지를 키우려고 무엇을 개선하나? “세계 네트워크 운영 부서가 램파드를 쓰게 만들겠다. 공공 부문에 주로 공급하고 있으나, 기업·금융·국방 등으로 영역을 넓히고 싶다. 램파드는 본격적으로 사업한 지 2년차라 지금은 외산 점유율이 더 높다. 램파드 직원은 15명이다. 영업·마케팅 등을 보강할 필요가 있다.” -해외 진출 계획은? “인도네시아를 거점으로 잡고, 말레이시아와 베트남 등에도 뻗으려 한다. 지난해 인도네시아 데이터센터 장애 사건이 터져 램파드가 가서 기술검증(PoC)을 했다. 해외에서 업무협약을 예정하고 있다.” -기업공개(IPO)도 할 것인가? “얼마 전 첫 투자 수십억원을 받았다. 몇 년 안에 상장하는 게 목표다.”

2025.04.01 11:53유혜진

SBOM 보안 규제·공급망 과제당 3.75억 지원

소프트웨어 자재 명세서(SBOM·Software Bill of Materials)를 쓰려는 기업은 작성 및 취약점 개선하는 데 지원받을 수 있다. 한국인터넷진흥원(KISA)은 31일 SBOM 지원 사업을 한다고 밝혔다. 디지털 상품을 개발하는 기업 가운데 해외 규제 대응 6개 과제, 공급망 위협 대응 2개 과제에 과제당 3억7천500만원까지 준다. SBOM 쓰기를 돕고, SBOM 쓰고도 남은 위협을 조치할 수 있는 설비를 구축하도록 돕는다. 소프트웨어 구성 분석(SCA) 도구와 서버·데이터베이스(DB)를 갖추고 운영하는 기술 등도 포함한다. 참여하려는 기업은 다음 달 21일까지 KISA 전자계약시스템에서 접수하면 된다. 이동화 KISA 공급망안전정책팀장은 “상품에 숨은 위협을 출시 전 SBOM으로 알아채 예방할 수 있다”며 “출시하고도 새로 생기는 위협을 추적해 빠르게 관리할 수 있다”고 말했다. 공급망(Supply chain)이란 설계·개발·유통·판매·이용·개선·폐기 등 모든 단계를 포괄하는 개념이다. 공급망이 디지털로 전환되면서 해킹을 비롯한 보안 위협이 커졌다. 이 팀장은 “2020년 12월 미국에서 정보기술(IT) 관리 소프트웨어 업체 솔라윈즈가 해킹당해 소프트웨어 배포 시스템에 악성 코드가 설치됐다”며 “고객 1만8천명이 총 350만 달러(약 40억원) 피해를 봤다”고 전했다. 이후 미국은 개발·공급 기업이 소프트웨어를 안전하게 개발했는지 스스로 증명해 최고경영자(CEO)가 서명한 결과를 사이버보안·인프라보안국(CISA)에 내도록 했다. 지난해 9월에는 국가 안보 위험 규칙을 제정했다. 중국·러시아와 관련된 자율주행 시스템을 탑재한 자동차를 미국에서 수입하거나 팔지 못한다.

2025.03.31 12:00유혜진

"스미싱 다단계 막아라…QR코드 가짜인가 보세요"

한국인터넷진흥원(KISA)은 31일 QR코드(Quick Response) 악성 여부를 알 수 있는 '큐싱 확인 서비스'를 선보였다고 밝혔다. 가짜 앱을 깔게 한 뒤 QR코드를 만들어 지인에게 공유하면 포인트 준다고 꾀는 스미싱(Smishing) 기법이 유행해서다. 피해자가 나도 모르게 다단계에 빠질 수 있다. 스미싱은 미끼문자라는 뜻으로, 문자메시지(SMS)와 피싱(Phishing)을 합한 말이다. 주·정차 위반 안내, 청첩장, 부고 등인 듯 꾸며 문자메시지에 쓰인 인터넷 주소를 누르거나 전화 걸게끔 속이는 경우가 많다. 김은성 KISA 스미싱대응팀장은 “국내 큐싱 피해는 아직 없다”면서도 “해외에서 유입될까 봐 걱정해 대응하고 있다”고 말했다. 큐싱 확인 서비스를 쓰려면 ▲메신저 '카카오톡'에서 '보호나라' 채널을 검색해 ▲보호나라 채널을 추가하고 ▲'큐싱'을 선택한다. 'QR코드 스캔'을 눌러 ▲QR코드를 찍으면 ▲정상인지, 악성인지 알려준다. KISA는 이후 경찰청에 연계해 이렇게 찾은 악성 QR코드를 없애고 있다. KISA는 '악성 문자 엑스레이(X-ray)'도 도입하기로 했다. 사업자가 한꺼번에 보내는 문자메시지에 적힌 인터넷 주소가 악성인지 먼저 보고, 악성이면 문자를 못 보내게 한다. 아래는 KISA가 제안하는 스미싱 예방법. 문자메시지나 '카카오톡'을 비롯한 사회관계망(SNS) 메시지에 적힌 인터넷 주소를 누르지 말라. 공식 앱스토어에서만 앱 이름을 직접 검색해 설치하라. 전화 연락으로 '앱을 깔라'는 말은 사실상 100% 사기, 바로 전화 끊어라. 스마트폰 앱을 자주 업데이트하라. 모바일 백신 하나쯤은 반드시 설치하라. 모르는 사람을 SNS '친구'로 등록하지 말라. 친구 아닌 사람과 메시지를 주고받을 때 사기가 의심되면 '신고' 버튼이 나오지만, 친구와 대화하면 신고 버튼이 없다.

2025.03.31 11:00유혜진

"인공지능 관심있다면 'ai.kr' 도메인 등록하세요"

“누군가 'daum.ai' 도메인을 만들어 중고 거래 시장 당근(마켓)에 14억3천만원에 팔겠다고 내놨더라고요. 기술과 관련한 국가 도메인도 생겼어요. 앵귈라가 인공지능(AI)을 뜻하는 '.ai', 이탈리아가 정보기술(IT)을 의미하는 '.it', 몬테네그로가 나(ME)라는 '.me'를 선점했죠.” 이정민 한국인터넷진흥원(KISA) 인터넷주소정책팀장은 지난 27일 서울 광화문에서 기자들과 만나 새로운 도메인을 만든 이유를 이같이 밝혔다. 도메인이란 인터넷에 연결된 컴퓨터를 사람이 쉽게 기억하고 입력할 수 있도록 영문·한글 같은 문자로 만든 인터넷 주소다. 숫자로 된 인터넷프로토콜(IP) 주소를 기억하기 쉽게 문자로 나타낸다. '.한국(.kr)'은 한국의 국가 도메인이다. 한국에 주소지를 둬야 도메인 이름을 '한글.kr'이나 '1234.kr' 등으로 쓸 수 있다. 한국 국가 도메인은 지난해 말 107만건 등록된 상태다. '.com'이나 '.net', '.org' 등은 일반 도메인이라 한다. 영문은 3글자 이상, 영문 아닌 글자는 2글자 이상으로 써야 한다. 한국 기업 가운데서는 삼성이 '.삼성'과 '.samsung', 현대자동차가 '.hyundai', 기아가 '.kia' 도메인을 갖고 있다. KISA는 새로운 산업을 떠올릴 수 있는 도메인을 만들었다. 'ai.kr', 'io.kr', 'it.kr', 'me.kr' 4가지다. 관련 사업을 하지 않는 개인도 예쁘고 마음에 드는 글자로 등록할 수 있다. ▲가비아 ▲다우기술(반값도메인) ▲닷네임코리아 ▲메가존(호스팅케이알) ▲메일플러그 ▲비아웰 ▲아사달 ▲아이네임즈 ▲아이티이지 ▲웹티즌 ▲유니파이(블루웹) ▲커넥트웨이브(싼도메인) ▲한강시스템(도레지) ▲호스트센터(도메인클럽) ▲후이즈 대행자 중 골라 등록하면 된다. 비용은 해마다 도메인 1개당 2만원 정도 내야 한다. 이 팀장은 “국내에서 도메인을 등록하고 쓰려면 매년 평균 2만원 내면 된다”며 “새로운 사업을 하려는 개인이나 기업이 해외 유사 국가 도메인보다 싼 값에 원하는 도메인 이름을 가질 수 있다”고 말했다. 제일 먼저 등록된 도메인은 지난 5일 오전 10시 6초 동시 등록한 2개다. 미래에셋증권이 기업 가운데 가장 빠르게 'm-stock.ai.kr'을 등록했고, 개인 중에서는 'chat.ai.kr'이 꼽혔다. 제일 긴 도메인은 삼성전기의 'samsungelectromechanics.ai.kr'이다. 이밖에 'rad.io.kr', 'like.it.kr', 'with.me.kr' 등도 재미있는 사례에 이름을 올렸다.

2025.03.30 12:00유혜진

"금융 ISMS-P 인증 받으면 정보보호 평가 유리"

“금융 정보보호 및 개인정보보호 관리 체계(ISMS-P·Personal Information & Information Security Management system) 인증을 받으면 정보보호 상시 평가 75개 항목이 면제됩니다. 환경·사회·지배구조(ESG) 친화 경영 항목에도 ISMS-P가 포함돼 공공기관 사업에 입찰하면 가산점을 받습니다. 무엇보다 개인정보를 지킨다는 사실이 가장 중요하지만요.” 최지훈 금융보안원 선임심사원은 27일 서울 여의도 금융투자협회에서 열린 'ISMS-P 인증 설명회'에서 이같이 밝혔다. 금융보안원은 금융권에 알맞은 ISMS-P를 인증한다. 나머지 산업이나 전반적인 인증 품질은 한국인터넷진흥원(KISA)이 관리한다. 최 심사원은 “지난해 128건 심사하면서 결함을 평균 9건 발견했다”며 “기업은 결함 개수에 연연하지 말고, 이 결함이 나온 원인과 재발 방지 대책을 신경써야 한다”고 말했다. 개발자와 운영자, 개인정보 취급자 직무별로 시스템에 접속하는 방식이 다르면서도 시스템 흐름도를 보면 이런 사실을 알 수 없는 경우가 지적받았다. 정보보호 운영 인력이 정보보호 예외 정책을 스스로 승인해도 잘못이다. 개인정보 열람 요구서와 위임장 등에 주민등록번호를 요구해서도 안 된다. 최 심사원은 달라지는 제도를 안내했다. 그는 “과학기술정보통신부가 인증서 유효 기간을 3년에서 5년으로 늘릴지 검토하고 있다”며 “법령이 개정돼 금융회사는 자율적인 보안 활동을 하되 결과에 대한 책임은 무거워졌다”고 전했다. 인증 심사 기간은 대체로 6개월 걸린다. 오중효 금융보안원 상무는 “2015년 ISMS-P 인증을 27건으로 시작해 지난해 5배로 성장했다”며 “인공지능이나 가상자산 환경이 바뀌면서 인증 수요가 더 늘 것”이라고 기대했다. 최 심사원은 “금융권은 ISMS-P 인증이 의무가 아니다”라면서도 “디지털 금융과 자율 보안이 확산돼 인식 수준이 높아졌다”고 평가했다.

2025.03.28 10:50유혜진

포티넷, 'OT 보안 설명회' 연다

미국 정보보호 기업 포티넷 한국지사는 다음 달 8일부터 사흘 동안 온라인에서 운영기술(OT) 보안 설명회(OT Security Summit Korea)를 개최한다. 문귀 포티넷 한국지사 OT총괄 전무가 'OT 보안 위협 및 OT 보안 시장 동향'을 주제로 기조연설을 한다. 에스오일, SANS연구소, 한국선급, 넥스포, 한국요꼬가와전기, 지멘스, 로크웰오토메이션, KPMG, PwC, 클래로티, 노조미, SK쉴더스 등도 OT에 대해 발표한다. 포티넷 고객과 아울러 기반 시설이나 스마트 인프라 종사자가 참여할 수 있다.

2025.03.25 14:18유혜진

라온시큐어, 건국대 디지털 입학증 구현

보안·인증 기업 라온시큐어는 25일 건국대에 디지털 배지 발급 시스템 '옴니원 배지'를 구현했다고 밝혔다. 건국대는 올해 신입생 3천400명에게 옴니원 배지로 입학증을 발급했다. 디지털 배지를 비교과 우수 프로그램 이수증, 자유전공학부 특성화 프로그램 이수증, 우수 학생 장학증서, 학생회·동아리 활동증 등에도 적용하기로 했다. 우수 배지를 학생끼리 공유하는 온라인 공간도 꾸릴 계획이다. 라온시큐어는 위·변조하기 어려운 블록체인 기술로 옴니원 배지를 만들었다고 설명했다. 서비스형 소프트웨어(SaaS)로 제공해 자체 시스템이 없어도 된다. 대학교뿐 아니라 공공기관, 기업 등에서 다양한 인증서를 발급할 수 있다고 강조했다. 라온시큐어는 자사의 블록체인 기반 신원·자격 인증 통합 플랫폼 '옴니원 디지털아이디(OmniOne Digital ID)'를 활용한 학생 신원 증명까지 사업을 키울 예정이다.

2025.03.25 13:28유혜진

"보안 사고 한번 터지면 3분의1이 1개월 이상 지속"

지난해 일어난 정보보호 사고 35.2%가 1개월 이상 이어진 것으로 나타났다. 러시아 정보보호 기업 카스퍼스키는 25일 이러한 내용의 '2024 보안 사고 대응 분석 보고서'를 발표했다. 보고서에 따르면 사이버 공격이 평균 253일 지속됐다. 이런 공격에 대응한 시간은 50시간으로 집계됐다. 공격자는 정보를 빼내거나 암호로 바꿔 금전을 요구한 것으로 조사됐다. 이효은 카스퍼스키 한국지사장은 “한국에서 사이버 공격자가 머무는 시간이 길어졌다”며 “공격자는 측면 이동과 장기 침투 같은 전술로 지속적인 거점을 구축해 정보 자산을 위협한다”고 말했다. 그러면서 “공격자들이 공급망 취약성과 사회 공학 기술을 악용해 기존 방어 체계를 우회하고 있다”고 우려했다. 이 지사장은 “기업은 폐쇄형 '탐지-대응-복구' 구조를 갖춰야 한다”며 “정부 기관 및 업계와 방어 네트워크를 구축해야 한다”고 조언했다. 카스퍼스키는 매니지드 탐지 및 대응(MDR·ManagedDetectionandResponse), 사고 대응(IR·IncidentResponse) 같은 서비스를 추천했다. 이들 서비스는 위협 식별부터 지속적인 보호 및 해결에 이르는 보안 사고 관리 주기를 포함한다고 소개했다.

2025.03.25 11:51유혜진

[AI는 지금] "개보위, 中 AI 옹호"…딥시크에 긍정 신호 보낸 고학수 위원장, 이유는?

중국 딥시크의 국내 진출 여부를 둘러싼 논란이 이어지는 가운데 개인정보보호위원회가 오픈소스 기반 인공지능(AI) 모델 활용에 긍정적인 입장을 밝혔다. 중국 기업의 앱 자체를 옹호한 것이 아니라 딥시크 등의 오픈소스 생태계 확장이라는 기술 전략에 지지를 표한 것으로 보인다. 24일 업계에 따르면 고학수 개인정보보호위원회 위원장은 최근 한 세미나에서 딥시크 오픈소스 모델의 활용 가능성을 언급하며 '글로벌 빅테크가 아닌 기업도 도전할 수 있는 기회'라고 표현했다. 해당 발언은 지난달 국내 앱스토어에서 자진 철수한 딥시크 앱과는 별개로 발전하고 있는 오픈소스 기술 흐름을 짚은 것으로 평가된다. 딥시크는 중국발 오픈소스 거대언어모델(LLM) 스타트업으로, 지난 1월 이후 전 세계 AI 생태계를 신속히 장악했다. 오픈AI, 앤트로픽, 구글 딥마인드 등 미국·영국 프런티어 AI 기업들이 천문학적 자금을 투입한 것과 달리 적은 비용으로 고성능 모델을 구현한 데다 오픈소스로 공개돼 폭발적인 관심을 받았다. 퍼플렉시티 등 해외 LLM 서비스 기업들은 이미 딥시크를 로컬 환경에 설치해 운영 중이다. 최근에는 국내 기업들도 이를 기반으로 특화 모델 개발에 나서고 있다. 뤼튼테크놀로지스와 이스트소프트는 지난 2월 딥시크 모델을 자체 클라우드 환경에 구축해 운영을 시작했다. 크라우드웍스는 일본 법인을 통해 딥시크 R1 기반 일본어 모델을 개발한 뒤 이를 한국어로 확장할 계획이다. 일각에선 크라우드웍스가 딥시크 본사와 직접 계약을 맺고 한국어 모델을 공동 개발했다고 주장했지만 이는 사실이 아닌 것으로 확인됐다. 크라우드웍스 측이 지난 23일 딥시크 본사와 계약한 적이 없으며 회사가 활용 중인 모델은 앱이 아닌 설치형 B2B 버전이라고 해명했기 때문이다. 데이터가 중국 서버로 전송되는 B2C 앱과는 구조적으로 다르다는 설명이다. 실제로 퍼플렉시티, 뤼튼, 이스트소프트 등의 국내 설치형 모델은 외부 인터넷과 연결되지 않는 제한된 환경에서 구동된다. 이에 따라 중국 서버로 정보가 전송될 가능성은 원천적으로 차단된다. 다만 보안업계에서는 딥시크처럼 오픈소스로 제공되는 모델이라도 로컬 환경에 도입할 경우 여전히 위험 요소가 존재한다고 지적한다. 오픈소스 특성상 코드나 가중치 파일에 악성 코드가 삽입될 수 있으며 모델 로딩 과정에서 시스템 취약점을 노린 침투 가능성도 배제할 수 없기 때문이다. 또 일부 개발자가 모델에 내장된 안전 장치를 우회하거나 변형 모델을 제작할 경우 유해한 콘텐츠나 악성 코드를 생성하는 방식으로 악용될 수 있다. 특히 딥시크는 경쟁 모델에 비해 보안 업데이트나 코드 감사가 부족하다는 평가도 있어 도입 시 철저한 검증과 보안 관리가 필요하다는 지적이 잇따른다. 실제로 김승주 고려대학교 정보보호대학원 교수는 최근 자신의 링크드인을 통해 "딥시크를 PC나 클라우드에 설치해서 쓰면 운영주체가 중국이 아니기 때문에 안전하다는 말이 돈다"며 "이는 굉장히 위험한 생각"이라고 지적했다. 그럼에도 고 위원장이 딥시크를 위시한 오픈소스 LLM에 주목한 이유는 분명하다. 자본과 인프라가 부족한 국내 AI 생태계가 낮은 진입 장벽을 바탕으로 글로벌 경쟁에 도전할 수 있다는 점 때문이다. 업계에선 이 같은 메시지를 한국 정부가 추진 중인 '월드 베스트 LLM' 프로젝트와 맞물려 해석하는 분위기다. 정부는 국가 차원의 대규모 언어모델 개발을 위해 파운데이션 모델을 오픈소스로 공개하고 공공 중심의 활용 사례를 확산하겠다는 계획을 밝힌 바 있다. 이 프로젝트는 지난 2월 과학기술정보통신부가 발표한 'AI R&D 전략 고도화 방안'에 핵심 과제로 포함됐다. 정부는 향후 3개월 이내 'AI 국가대표팀'을 선발해 연구 자원과 데이터를 집중 지원하고 공공 데이터를 기반으로 한 특화 모델 개발을 유도할 방침이다. 업계에선 딥시크 사례가 이 같은 흐름을 촉발하는 계기가 됐다는 평가도 나온다. 고성능 언어모델을 오픈소스를 통해 낮은 비용으로 구현할 수 있다는 점이 확인되면서 '챗GPT'나 '클로드' 등 프런티어 AI를 빠르게 따라잡을 수 있다는 기대가 생겼다는 분석으로, 보안만 보장된다면 무료로 실사용도 가능하다는 인식이 퍼진 것이 정책 전환에 영향을 미쳤다는 해석도 제기된다. 고학수 개인정보보호위원회 위원장은 "딥시크 등의 모델에는 분명 잠재적인 불안 요소가 있지만 빅테크가 아니어도 적은 투자를 통해 세계 시장에 도전할 수 있다는 메시지를 줬다"며 "이러한 오픈소스를 통해 국내에서도 다양한 앱 서비스를 만들 수 있을 것"이라고 말했다. 이어 "향후에 보다 넓은 생태계를 구축해야 한다고 믿는다"며 "자유로운 혁신의 한 축은 열린 모델을 통해 새로운 응용 생태계를 형성하는 것이라 생각한다"고 말했다.

2025.03.24 16:16조이환

  Prev 1 2 3 4 5 6 7 8 9 10 Next  

지금 뜨는 기사

이시각 헤드라인

삼성은 왜 폰을 접으려 했던가?...갤럭시Z폴드 7돌 '도전과 혁신' 연대기

차세대 'LPDDR6' 표준 나왔다…삼성·SK, AI 메모리 새 격전지 추가

"현실 속 배틀그라운드"…크래프톤 'PUBG 성수' 가보니

"정부 지원은 또 다른 빚이었다"…티메프 고통은 '~ing'

ZDNet Power Center

Connect with us

ZDNET Korea is operated by Money Today Group under license from Ziff Davis. Global family site >>    CNET.com | ZDNet.com
  • 회사소개
  • 광고문의
  • DB마케팅문의
  • 제휴문의
  • 개인정보취급방침
  • 이용약관
  • 청소년 보호정책
  • 회사명 : (주)메가뉴스
  • 제호 : 지디넷코리아
  • 등록번호 : 서울아00665
  • 등록연월일 : 2008년 9월 23일
  • 사업자 등록번호 : 220-8-44355
  • 주호 : 서울시 마포구 양화로111 지은빌딩 3층
  • 대표전화 : (02)330-0100
  • 발행인 : 김경묵
  • 편집인 : 김태진
  • 개인정보관리 책임자·청소년보호책입자 : 김익현
  • COPYRIGHT © ZDNETKOREA ALL RIGHTS RESERVED.