• ZDNet USA
  • ZDNet China
  • ZDNet Japan
  • English
  • 지디넷 웨비나
뉴스
  • 최신뉴스
  • 방송/통신
  • 컴퓨팅
  • 홈&모바일
  • 인터넷
  • 반도체/디스플레이
  • 카테크
  • 헬스케어
  • 게임
  • 중기&스타트업
  • 유통
  • 금융
  • 과학
  • 디지털경제
  • 취업/HR/교육
  • 인터뷰
  • 인사•부음
  • 글로벌뉴스
인공지능
배터리
양자컴퓨팅
컨퍼런스
칼럼•연재
포토•영상

ZDNet 검색 페이지

'정보 보호'통합검색 결과 입니다. (396건)

  • 태그
    • 제목
    • 제목 + 내용
    • 작성자
    • 태그
  • 기간
    • 3개월
    • 1년
    • 1년 이전

"中에 220배 뒤처져"...자율주행차 발목잡는 규제

“지난해까지 중국 바이두가 쌓은 자율주행 운행 기록이 1억1천만km였다. 국내 1위 업체로 평가받는 오토노머스에이투지가 50만km로 약 220배 차이가 난다. 방대한 데이터 차이를 극복하려면 양질의 데이터를 수집할 수 있게 해야 한다.” 이상동 한국자율주행산업협회 팀장은 지난 27일 열린 '자율주행 산업 지원 국회 토론회'에서 이같이 말했다. 최근 중국 스타트업이 내놓은 AI 모델 '딥시크'가 저성능 칩으로 충격적인 성능을 보여주자 BYD와 지리 등 현지 자동차 기업들이 잇따라 자율주행 기술에 딥시크를 활용하겠다고 나섰다. 일찍이 자율주행 기술을 내세워온 테슬라도 지난해 말 완전자율주행(FSD) 소프트웨어 최신 버전을 업데이트하고, 오는 6월 이를 기반으로 한 로보택시 서비스를 예고하는 등 기술 고도화에 집중하는 추세다. 해외 기업들이 실제 주행 데이터를 수집하고, 이를 토대로 기술을 고도화하는 반면 우리나라는 데이터 수집 제한 규제로 양적 격차가 크게 벌어지고 있다는 지적이다. 이상동 팀장은 “AI 기업과 자율주행 기업, 완성차 기업들이 경계선 없이 넘나들면서 협업을 하며 AI 학습을 위한 데이터 수집과 활용이 중요하게 됐다”며 “국내에 자율주행차가 돌아다니려면 국내 환경에 맞는 최적화 데이터가 꼭 필요하다”고 강조했다. 특히 국가 차원에서 양질의 주행 데이터를 수집하는 것이 바람직하다고 봤다. 영세한 스타트업도 산업에 진입할 수 있게 하자는 취지다. 지난 2023년 개인정보보호법 개정에 따라 '이동형 영상정보처리기기'라는 개념으로 주행 영상을 데이터로 활용할 수 있는 법적 근거가 마련됐다. 그러나 데이터의 질적 측면에서 미국, 중국 등 자율주행 기술에 공들이는 국가 대비 여건이 불리하다는 지적이다. 이 팀장은 “테슬라로 예를 들면, 500만대 차량이 도로를 주행하며 사고가 발생하면 당시 영상을 그대로 본사에 전송함에 따라 그 데이터를 자율주행 AI 성능 개선에 활용하고 있다”며 “이런 회사와 규제 샌드박스 차량 몇십 대의 주행 데이터를 토대로 기술을 개발하는 (우리나라) 회사 간 경쟁력이 어디에 있겠나”라고 강조했다. 특히 현 제도 하에서 주행 영상 데이터를 활용할 때 개인정보 비식별화 처리 과정을 거치게 하는 점을 문제 삼았다. 비식별 처리된 영상을 학습한 AI보다 원본 영상을 학습한 AI가 객체 인식이나 주행 판단의 정확도가 17% 이상 높아졌다는 연구 결과를 소개했다. 이 팀장은 “특히 야간 주행, 악천우 등 복잡한 도심 환경에서 원본 주행 영상의 활용 가치가 더욱 올라간다”고 덧붙였다. 우리나라에선 설정된 규칙에 따라 자율주행 AI 모델이 주어진 상황을 인지하고 제어하는 반면, 테슬라 등 선도 기업들은 AI가 사람처럼 새로운 상황에서도 적절한 판단을 할 수 있도록 엔드투엔드(E2E) 방식을 쓰고 있는 점에도 주목했다. E2E 방식 자율주행 AI 성능을 개선하기 위해 더욱 양질의 주행 데이터가 요구되고 있다는 분석이다. 이 팀장은 “결국 모든 사례를 사전에 정의할 수 없기 때문에, 정의된 내용을 벗어나는 사례에서 자율주행 AI가 어떻게 대응할지 모른다는 기술적 어려움이 있다”고 첨언했다. 규제 샌드박스를 통해 원본 주행 데이터 활용이 일부 허용되고 있지만, 대규모 개발 프로젝트에는 한계가 있어 많은 기업들이 비식별 처리된 영상 데이터를 사용할 수밖에 없는 상황이다. 이 팀장은 “규제 샌드박스는 일시적인 예외를 두는 제도인데 자율주행 산업은 계속 고도화해나갈 산업”이라며 “원본 주행 데이터 활용에 대한 지속적인 법적 근거가 마련돼야 한다”고 주장했다.

2025.02.28 18:37김윤희

[보안 리딩기업] 이로운앤컴퍼니 "AI보안 우리가 책임···한국서 유일"

“'나쁜 일 해서 많은 돈 벌지 말자'는 게 좌우명이에요. '덜 벌더라도 착한 일 하자'고 생각하죠. 그래서 '기술로 고객을 이롭게 하자'는 뜻으로 회사 이름을 '이로운앤컴퍼니'라 지었어요. '인공지능(AI) 보안'이라면 세계 누구든 이로운앤컴퍼니를 찾게 하고 싶어요. 기업이 업무를 안전하게 자동화하는 서비스를 통틀어 제공하는 게 목표입니다.” 윤두식 이로운앤컴퍼니 대표는 26일 서울 삼성동 사무실에서 지디넷코리아와 만나 사명을 소개하며 이같이 밝혔다. 윤 대표는 1973년생으로 만 50세에 창업했다. 비교적 늦게 도전했다고 여기는 나이다. 그는 대전 한밭고를 졸업하고, 충남대에서 컴퓨터과학 학·석사를 받았다. 그리고 국내 정보보호 기업 지란지교소프트에 입사했다. 여기서 25년 동안 일하며 10년은 지란지교소프트에서 분사한 지란지교시큐리티 대표이사로 보냈다. 윤 대표는 “오래 전부터 창업하고 싶었지만 지란지교시큐리티를 키우는 게 우선이었다”며 “코스닥시장에 상장하고 모비젠과 SSR을 인수하면서 회사를 안정적인 궤도로 올렸다”고 말했다. 그 목표를 이루고서야 '내 회사'를 차릴 때라고 확신했다. 윤 대표는 “고객이 안전하게 AI를 활용하도록 돕겠다”며 2024년 1월 이로운앤컴퍼니를 설립했다. 이로운앤컴퍼니는 AI챗봇에서 민감 정보를 판별하고, 거대언어모델(LLM)을 연동한 응용프로그램(앱)에 대한 공격을 방어하는 AI 보안 기업이다. 윤 대표를 포함해 9명의 구성원이 이로운앤컴퍼니에서 일한다. 3명이 출발, 외형으로는 1년새 3배가 커졌다. 임직원 9명 가운데 8명이 개발자다. 유일한 비개발자 1명은 최고고객책임자(CCO)로 윤 대표에게 특별한 사람이다. 전 직장인 지란지교소프트에서 만나 사내 커플이 됐고, 이제 창업자 부부로 회사에서나 가정에서나 언제나 그를 응원하는 든든한 지원자다. 회사 이름 '이로운'도 아내가 제안했다. 그 1년간의 이야기를 들어봤다. 아래는 윤 대표와의 일문일답. -AI 보안이란 무엇인가? “AI 보안은 크게 두 가지가 있다. 하나는 AI의 보안을 높이는 AI를 위한 보안(Security for AI)과 또 하나는 AI를 이용해 보안(AI for Security)을 높이는 것이다. 이 중 이로운앤컴퍼니는 AI의 보안을 높이는 서비스를 제공한다. 한국에는 우리 같은 회사가 아직 없다. 우리가 유일하다. 외국에서도 빨라야 2020년 시작, 몇 개 회사가 있다. 이제 시장이 막 열리는 단계다.” -이로운앤컴퍼니 주력 제품은? “지난해 7월 '세이프엑스(SAIFE X)'를 선보였다. 이어 12월에 첫 고객으로 한국정보보호교육원에 공급했다. 기업은 AI 서비스를 쓰고 싶어도 회사 정보가 밖으로 나갈까 봐 불안해한다. 사용자가 AI챗봇 대화창에 내용을 쓰면 세이프엑스가 민감한 정보를 가려낸다. '입력한 내용에 민감한 정보가 있어요.' 그러면서 이름과 연락처 등을 표시한다. 곧이어 '민감한 정보가 아니면 표시를 해제하고 전송하세요. 민감한 정보를 보내면 유출 피해를 입을 수 있으니 조심하세요.'라고 알려준다. 기업은 사정에 맞게 개인정보와 금융 정보 등이 기밀이라고 미리 설정할 수 있다. 세이프엑스에는 '제일브레이크 필터(Jailbreak Filter)' 기능도 있다. AI에 일부러 나쁜 내용을 써서 공격자가 의도하는 동작으로 유도하는 제일브레이크를 알아채 막아준다. 지금껏 알려진 제일브레이크는 대부분 영어로 쓰였다. 한국어 챗봇에서 악용될 가능성이 크다. 이로운앤컴퍼니는 한국 회사답게 한국어 공격을 방어하는 능력을 지녔다. LLM 보안 상태를 진단하고 해결책을 제시하는 레드팀(Red Team) 서비스도 제공한다. AI를 쓰고 싶은데 해킹이 걱정된다면 '세이프 X'를 쓰면 된다." -수출은 언제쯤? “설립한 지 1년여 밖에 안됐지만 수출도 고려하고 있다. 우선 연내 일본어 서비스를 내놓으려고 한다. 며칠 전에도 일본 회사를 만났다. 관심이 많더라. 이로운앤컴퍼니의 해외 시장은 처음도 끝도 일본이다. 일본 정보보호 시장 규모는 한국의 10배다. 일본에서만 성공하더라도 큰 성과를 이루는 셈이다. 일본에서 10% 이상 시장 점유율을 차지하고 싶다.” -매출 목표와 상장 계획은? “일단 올해는 10억원 달성이 목표다. 착실히 성장해 2027년에는 100억원을 돌파하고 싶다. 양분으로 삼을 투자도 차근차근 받고 있다. 지난해 5억원을 시드 투자(Seed Investment)로 받았다. 시드 투자는 창업초기기업이 서비스를 출시할 준비하는 단계에서 이뤄진다. 창업초기기업 투자 전문사 마크앤컴퍼니가 이끌었다. 올해에는 프리시리즈A 단계 투자 유치를 생각하고 있다. 기업공개(IPO)는 2029~2030년쯤으로 잡고 있다.” 고객에게 한마디? “AI는 기업 경쟁력에 반드시 필요한 수단이다. 보안이 두려워서, 효과를 못 믿어 도입하기를 미룬다면 회사 경쟁력 높일 때를 놓친다.겪어봐야 한다. 보안이 두려우면 이로운앤컴퍼니를 찾아라. 같이 해결하자. 우리 회사 팀멤버들이 좋다. 특히 최고기술책임자(CTO)의 경우 20년 이상 보안 개발자로 일했고, 한국보다 큰 시장으로 평가받는 일본에서도 경험을 갖고 있다." 스타트업 대표로서 자랑할 기업 문화는? “재택근무다. 월·화·수요일 3일은 집에서 일하고, 목·금요일에는 오전 10시부터 오후 4시까지 집중 근무하면 된다. 이로운앤컴퍼니 직원은 강원 춘천시, 경기 남양주시 등에서 살기에 재택근무를 매우 좋아한다. 회사가 안착하면 완전 재택근무로 바꿀 것도 생각하고 있다.” 50대에 창업했는데 힘들지 않았나? "왜 안힘들었겠나. 여러 어려움이 많았다. 역시 밖은 '비바람'이 세더라(웃음). 특히 가장 힘든 건 투자 유치였다. 생각한 것보다 쉽지 않더라. 법인사업자 등록부터 세무·회계·법무까지 직접 챙겨야 하는 것도 힘들고 생소했다. 힘들때마다 아내가 큰 힘을 줬다.(웃음)" 창업하려는 후배에게 조언한다면? “정부가 지원하는 창업 교육을 꼭 받고 시작하길 바란다. 임직원 구성, 지분 구조, 아이템 선정, 고객 요구 수렴 방법, 투자 유치 방법 등 대부분을 알려준다. 기본을 알면 잘못된 길을 갈 확률이 줄어든다. '그냥 해 볼까? 안되면 취직하지, 뭐'라는 생각으로는 절대 성공하지 못한다. 온 힘을 다해도 될까 말까다. 그리고 내가 50세에 창업해서 하는 말인데, 마음이 있으면 한 살이라도 어릴 때 하라. 체력도 중요하다(웃음).” 올해 한국정보보호산업협회 AI보안협의회 회장을 맡았는데 활동 계획은? "회원사는 구상 단계다. 정부와 산업계 모두가 AI 보안에 관심이 많으므로 많은 기업과 학계가 참여할 거라 생각한다. 산업에서 AI를 어떻게 적용하는 것이 보안 측면에서 베스트 프랙티스(Best Practice)인지 모르기 때문에 이를 도와줄 수 있는 큰 아웃라인을 만드는 작업을 우선 할 계획이다."

2025.02.28 08:20유혜진

잡코리아, 디지털 명함 앱 '눜', 정보보호 관리체계 인증 획득

잡코리아(대표 윤현준)가 운영하는 디지털 명함 앱 '눜'이 한국인터넷진흥원(KISA)에서 관리하는 정보보호 관리체계(ISMS) 인증을 획득했다고 26일 밝혔다. ISMS는 기업이 주요 정보보호 관리 절차와 대책을 체계적으로 수립 및 운영한 기업에 과학기술정보통신부 산하 기관인 KISA가 인증을 부여하는 국가 공인인증이다. 눜은 관리체계 수립 및 운영, 보도대책 요구사항 분야에서 요구되는 관리체계 운영·암호화 적용 등 총 80가지 인증 기준을 충족해 적합성 평가를 모두 통과했다. 잡코리아는 2013년 ISMS 인증을 획득한 이후 지속적으로 고객 개인정보 관리를 강화해왔다. 2022년에는 취업 플랫폼 최초로 ISMS-P(정보보호 및 개인정보보호 관리체계) 인증을 받았으며, 이후 꾸준히 인증 자격을 유지해오고 있다. 또 2024년에는 개인정보보호위원회와 공동으로 '민간협력 자율규제'에 참여하며 구직자 개인정보 보호 수준을 한층 강화했다. 이런 보안 안정성을 바탕으로 눜은 사용자 중심의 새로운 커리어 서비스를 지향하며 차별화된 기능을 제공해 호응을 얻고 있다. 여러 개의 멀티프로필이 담긴 명함을 만들 수 있는 서비스를 통해 직장인뿐 아니라 프리랜서, N잡러 등 다양한 이용자를 확보했다. 향후 눜은 취미와 취향을 반영하고 커리어 전문성을 강조할 수 있는 다양한 기능을 추가하여 디지털 명함을 취향대로 커스텀할 수 있는 다양한 기능도 제공할 계획이다. 홍정아 잡코리아 눜 사업 리드는 "'눜'의 정보보호 관리 체계를 철저하게 운영해 ISMS 인증을 획득할 수 있었다"며 "앞으로도 고객의 소중한 개인정보를 안전하게 보호하고 신뢰받는 서비스 환경을 제공하기 위해 지속적으로 보안 체계를 고도화해 나갈 것"이라고 밝혔다.

2025.02.26 17:27백봉삼

나인하이어, 기업·지원자 정보 안전 공증 받아

잡코리아 채용 관리 솔루션 나인하이어는 한국인터넷진흥원(KISA)에서 관리하는 정보보호 관리체계(ISMS) 인증을 획득했다고 26일 밝혔다. ISMS 인증은 기업이 주요 정보 자산을 안전하게 보호하기 위해 정보보호 관리 절차와 대책을 체계적으로 수립하고, 이를 지속적으로 운영·관리하는지를 종합적으로 평가해 부여하는 제도다. 나인하이어는 ▲관리체계 수립 및 운영(16개) ▲보호대책 요구사항(64개) 등 총 80개 기준에 대한 적합성 평가를 통과하며 ISMS 인증을 획득했다. 이번 인증 획득으로 나인하이어는 채용 과정에서 다뤄지는 민감한 기업 및 지원자 정보를 더욱 안전하게 보호할 수 있는 체계를 갖췄음을 공식적으로 입증했다. 이런 보안 안정성을 바탕으로 나인하이어는 지원자 데이터 기록 기능 개선 및 보안 강화에도 적극 나서고 있다. 지원자 데이터에 접근한 사용자 정보와 다운로드 내역과 변경 사항 등을 자동으로 추적해 기록한다. 나인하이어 기업고객은 데이터 처리 투명성을 보장 받을 수 있고, 쉽고 빠른 모니터링이 가능해 보안 위협으로부터 데이터 보호를 강화한다. 정승현 나인하이어 사업 리드는 "채용 과정에서 개인정보 보호는 필수 요소로 이번 ISMS 인증을 통해 기업과 지원자가 더욱 신뢰할 수 있는 환경을 제공할 수 있게 됐다"며 "앞으로도 보안 강화를 위한 지속적인 개선과 투자를 아끼지 않겠다"고 말했다.

2025.02.26 08:45백봉삼

KISIA, AI보안 등 4개 협의체 신설···"보안 전문가 경력관리 체계 만들 것"

“한국정보보호산업협회(KISIA)가 올해 AI보안과 자율보안협의체를 새로 신설합니다. 정보보호 기업도 해킹을 당하거나 개인정보를 침해 당하는 등 여러 공격을 받는데요. 정보보호 기업이 서비스를 개발·배포하는 과정에서 생기는 위험을 줄여 소프트웨어 기업의 모범이 되겠습니다. 협의체가 사고 사례를 공유하고 예방·대응 지침을 만들려고 합니다.” 조영철 KISIA 회장(파이오링크 대표)은 25일 서울 양재동 엘타워에서 열린 제29차 KISIA 정기총회에서 “올해 '시큐업 투게더(Secure-up Together)' 전략으로 사회에 정보보호 인식을 퍼뜨리겠다”며 이같이 밝혔다. KISIA는 올해 자율보안과 AI보안 등 4개 협의체를 신설했다. 기존에 7개 협의회를 갖고 있는데 4개를 추가했다. 자율보안협의체는 보안 강화 수칙을 공유해 규모가 작은 정보보호 기업도 실천할 수 있게끔 이끌 참이다. 조 회장은 “개인정보 침해 사고 난 기업이 직접 '이런 일이 있었다'고 발표하기 힘들지 않느냐”며 “이런 회사가 자율보안협의체에서는 비공개적으로 얘기하면 대책을 꾸릴 수 있을 것 같다”고 말했다. 자율보안협의체 의장은 김진수 KISIA 수석부회장(트리니티소프트 대표)이 맡았다. 김 수석부회장은 “안랩을 비롯한 회원사 10개가 자율보안협의체에 가입했다”며 “한양대·아주대 교수, 야놀자 정보보호최고책임자(CISO), 한국인터넷진흥원(KISA) 본부장, 법무법인 세종 고문은 자문위원으로 활동한다”고 전했다. 조 회장은 “협회는 산업을 육성하는 역할을 한다”며 “세계 정보통신기술(ICT) 산업 중 정보보호 시장 규모가 6%인데 비해 한국이 3%라는 점을 보면 턱없이 부족하다”고 언급했다. 이에, 인재를 양성해야 한다며 “정보보호 기업 절반이 '신입직원이 부족하다', 70%는 '경력직이 부족하다'고 한다”고 강조했다. KISIA는 지금껏 발표하던 산업 통계에 올해부터 인력 통계도 상세하게 적기로 했다. 개발·컨설팅·관리 등 어떤 직무에 일손이 얼마나 필요한지를 따지겠다는 입장이다. 아울러 보안 전문가 경력 관리 체계를 만들기로 했다. 신입사원이 무슨 과정을 거치면 CISO까지 오를 수 있다는 기준을 알린다. 조 회장은 “CISO가 정보보호 투자 수요를 만들고 투자 인식을 바꾼다”며 “과학기술정보통신부와 같이 정책을 만들어 인재를 키우겠다”고 설명했다. 이어 “지방 공공기관이나 지방자치단체에서 일하는 CISO는 특히 열악한 환경에 처했다”며 “정보보호 전문가가 아닌 공무원인 터라 정보보호 업무를 배워야 한다”고 주장했다. 문성준 KISIA 감사(엔시큐어 대표)도 “정보보호 종사자 연봉이 다른 산업보다 적은 편”이라며 “근로 여건을 개선하고 권리를 신장하려 노력하고 있다”고 부연했다. 해외 성과에 대해서는 조 회장이 “올해 수출이 지난해보다 10% 늘 것 같다”고 내다봤다. 그는 “미국에서 열리는 전시회에 간 국내 정보보호 기업이 미국 뿐 아니라 아시아·중동 고객도 만나고 돌아온다”며 “일본으로 수출하는 금액이 가장 많고, 인도네시아·말레이시아·베트남에서도 실적을 내고 있다”고 말했다. 정보보호 업계는 '절대 믿지 말고 항상 검증하라'는 제로 트러스트(Zero Trust) 개념도 주목하고 있다. 한국제로트러스트위원장(KOZETA)을 맡은 배환국 KISIA 수석부회장(소프트캠프 대표)은 “국가 망 보안 체계(N2SF·National Network Security FRAMEwork)를 제로 트러스트로 이루려고 한다”고 소개했다. 배 수석부회장은 “한 기업이 데이터를 통제하고 정책을 결정하는 등 제로 트러스트에 필요한 모든 영역을 혼자 해낼 수는 없다”며 “어느 회사가 무슨 일을 잘하는지 등을 살펴 협력하겠다”고 기대했다. KISIA는 인공지능(AI)보안협의체도 만들었다. 윤두식 이로운앤컴퍼니 대표가 의장에 선임됐다. 조 회장은 “정부 예산이 줄고 원·달러 환율이 뛰어 정보보호 기업이 어려움을 겪는다”면서도 “정보보호 산업이 한국 국가전략산업과 기반을 지탱한다”고 강조했다.

2025.02.25 22:14유혜진

신용석 사이버안보비서관 "보안산업 없으면 사이버 주권도 없어"

신용석 대통령실 사이버안보 비서관은 25일 서울 양재 엘타워에서 열린 '제 29차 한국정보보호산업협회 정기총회'에 참석해 "정보보호 산업이 뒷받침되지 않으면 사이버 주권이 있을 수 없다"고 강조했다. 신 비서관은 핀테크 기업 토스를 운영하는 비바리퍼블리카의 개인정보보호책임자(CPO) 출신이다. 이날 신 비서관은 한국정보보호산업협회(KISIA, 회장 조영철 파이오링크 대표)와 한국정보보호학회(회장 박영호 세종사이버대 교수)가 공동으로 제정한 '2025년 사이버주권 수호상' 수상자로 선정, 수상 소감을 밝혔다. 신 비서관 외에 박춘식 아주대 사이버보안학과 교수(전 국가보안기술연구소장)와 홍진배 정보통신기획평가원(IITP) 원장이 상을 함께 수상했다. 2019년 제정한 이 상은 올해가 7회째 시상으로, 국가 정보보호와 산업발전에 공로가 있는 인물을 선정해 시상한다. 신 비서관은 "지금도 선진국 중 정보보호 소프트웨어를 만들지 못하는 나라가 여럿 있는 걸로 알고 있다"면서 "우리가 정보보호 제품을, 우리 국산 제품을 만들고 지켜 나가고 발전시켜 나가는 것이 사이버 산업 발전에 굉장히 중요한 일"이라고 짚었다. 작년 11월 일어난 잘 안 알려진 일화도 소개했다. 당시 해커들이 우리나라를 디도스 공격해 마비시키겠다고 공언했고, 일주일 정도 시도했지만 우리가 성공적으로 이를 막아, 해커들이 물러갔다는 것이다. 신 비서관은 "(해커들이) 다른 나라로 공격 방향을 돌렸고, 이 과정에서 여러 정보보호 산업인들의 도움이 컸고, 우리 국가기관이 안전하게 디도스 공격을 방어할 수 있었다"고 들려줬다. 이어 공공기관의 사이버보안 대응 능력 강화를 위해 모든 중앙정부는 물론 전국 지자체에 전문성 있는 정보보호책임관 또는 CISO를 두도록 하자는 이슈와 관련해서는 "사이버 비서관 일을 한 지 1년 정도 됐다. 예산이나 조직을 이끌고 가는 정보보호 책임자를 고위급이 맡을 수 있게 하는 여러 법령을 정비하는 데 작년에 노력을 했다"면서. "그 결과, 올해부터는 고위 공무원들이 CISO 역할을 맡아 이끌어 나갈 것"이라고 밝혔다. 이어 박춘석 교수는 90년대 중반 국내정보사업을 회고하며 수상 축하 소감을 전했다. "97년도에 정보통신부에 정보보호과가 생겼다. 산업 규모가 얼마다 되나 봤더니, 방화벽과 패스워드 생성 정도였고, 전체 매출을 모아 보니 96년 기준 겨우 300억이었다"면서 "기술 개발과 인력 양성 등을 위해 처음 만든게 협의회였다"고 들려줬다. 이어 박 교수가 2015년 한국정보보호학회장을 할 당시 K 의원이 도와줘 정보보호산업 육성 관련 법안을 발의했다면서 "정보보호 산업을 육성하지 않고는 우리나라 사이버 보안은 없다"고 강조했다. 또 산업이 잘 돼야 인재가 모이고 인재가 모여야 사이버 보안과 산업이 발전한다면서 "인재 없는 사이버 보안은 모래성"이라면서 "저는 아직 배고프고 부족하다고 생각한다. 지금 보안산업 규모가 2~3조인데 최소 10조 시장은 만들어야 한다. 물리 보안을 뺀 정보보호 산업 시장이 이정도는 돼야 한다"고 주장했다. 과기정통부 실장 출신인 홍 원장은 "사이버 주권 기술을 확보해야 한다"면서 "앞으로 AI 창이 더 정교해지고 더 날카로워질 건데 그럴수록 AI 방패가 더 공고해져한다. IITP가 연구개발과 고급인재 양성을 통해 이를 지원하고 있는데, 더 과감한 투자에 나서겠다"고 말했다. 조영철 KISIA회장은 인사말에서 지난 한 해 협회가 정보보호산업의 '빌드업 투게더(Build-up Together)'라는 비전을 바탕으로 산학연간 협력을 강화하기 위한 다양한 활동을 전개했다고 짚었다. 대표적 사례로 정부의 '사이버 10만인재 양성방안'에 따른 다양한 교육사업과 이를 통한 화이트 해커 양성, 고도의 보안 제품을 만들 수 있는 'S-개발자' 양성, 산업계 주도로 인력을 양성하는 '시큐리티아카데미' 등을 들며 "연간 7천여명 이상을 양성하는 성과를 만들어 냈다. 또 세계 최고 R&D 허브 대한민국 조성을 위한 사이버보안 국제협력기반 기술 개발사업을 수행하했다"면서 "한국제로트러스트위원회(KOZETA)와 클라우드 보안 협의체 등을 운영하며 산업계 주요 의견도 개진했다"고 말했다. 올해는 우리사회와 산업계의 보안 역량을 한층 'Secure-up'하는 단계로 나아가기 위해 올해 새 비전을 '시큐업 투게더(Secure-up Together)'로 정했다면서 "최근 챗GPT 뿐 아니라 딥시크(Deep Seek)가 AI 분야에 큰 이슈가 됐다. 급변하는 사이버 위협 환경에서 정보보호 자율 보안 체계 구축의 중요성이 부각되고 있는 만큼, 산업계가 함께 성장하고 협력할 수 있는 견고한 보안 생태계 조성에 힘쓰겠다"고 밝혔다. 이어 중소기업도 실천 가능한 보안 수칙을 만들고, 또 함께 공유하는 '자율보안 협의체'와 신흥 시장 진출을 돕는 '해외진출 협의체'를 신설하고 전주기적 전문가 양성을 위한 체계적 프로그램을 지속적으로 운영하겠다면서 "협회는 국내 보안 산업 전반이 함께 성장할 수 있도록 전폭적인 지원을 아끼지 않겠다"고 강조했다. 한편 이날 오진영 한국인터넷진흥원(KISA) 정보보호산업본부장, 안랩 이상국 전무(대참 수상), 지니언스 이대효 상무, 윈스 이주형 팀장 4인이 산업발전에 기여한 공로로 협회장 표창을 받았다.

2025.02.25 21:52방은주

[보안리더] 염흥열 CPO협의회장 "개인정보 지키면서 활용하는 PET 주목"

“기업에서 개인정보가 유출되면 전체 매출액의 최대 3%를 과징금으로 내야 합니다. 다만, 전체 매출액에서 위반 행위와 관련이 없는 매출액을 제외합니다. 매우 중요한 개인정보가 빠져나갔으니 벌을 받는 셈이죠. 그만큼 기업이나 기관의 개인정보보호책임자(CPO) 어깨가 무겁습니다.” 염흥열 한국개인정보보호책임자협의회장은 최근 서울 강남에서 지디넷코리아와 만나 “개인정보보호책임자 모임이 이제 막 첫발을 떼었다”며 이같이 말했다. 개인정보보호책임자는 영어로 CPO(Chief Privacy Officer)라고 부른다. CPO는 조직에서 개인정보 보호 계획을 세우고 시행하는 책임을 진다. 개인정보 처리 실태를 조사하고, 개인정보가 새어 나가지 않도록 내부 통제 시스템을 만든다. 기업과 공공기관 등에서 개인정보 처리를 책임질 CPO를 정해야 한다. 소상공인기본법에 따른 소상공인은 사업주 또는 대표자가 CPO가 된다. 이들이 모인 한국CPO협의회는 지난해 9월 출범했다. 112개 기업과 기관의 CPO들이 개인정보 보호 정책을 나누며 활동하고 있다. 부회장사는 21개다. LG유플러스, 우아한형제들(배달의민족), 카카오, 쿠팡, 삼성서울병원, 국립암센터, SK텔레콤, 한국전력공사, 삼성전자, 기아, 비바리퍼블리카(토스), KB국민은행, 국민건강보험공단, 넷마블, 한국교통안전공단, LG전자, 현대자동차, 삼성화재, 메타코리아(페이스북), KT, 한국인터넷진흥원이다. 염 회장은 순천향대 정보보호학과 명예교수이기도 하다. 전자공학과 교수로 지내다 2001년 정보보호학과를 만들었다. 한국정보보호학회 명예회장과 더불어 국제전기통신연합 전기통신표준화부문(ITU-T) 전기통신자문반(TSAG) 부의장도 맡고 있다. 아래는 염 회장과의 일문일답. -개인정보가 유출되면 CPO는 어떤 제재를 받나? “기업에서 개인정보가 유출되면 전체 매출액의 3%까지 과징금으로 내야 한다. 전체 매출액에서 위반 행위와 관련 없는 매출액은 제외되지만, 관련 없다는 사실을 기업이 자료로 입증해야 한다. 2020년 이래 카카오 등 국내 기업과 구글·메타 등 많은 해외 기업이 한국에서 수십억~수백억원 과징금을 부과 받은 적 있다. 유럽연합(EU)에서는 기업의 국내외 전체 매출액의 최대 4%를 과징금으로 물게 한다. 한국은 이보다 약한 편이다. 그래도 기업은 몇백만원 과태료보다 부담이라는 입장이다. 그만큼 CPO 역할이 중요하다. 공공기관·비영리법인·비영리단체 등은 매출액을 산정하지 않는다. 정확하게 매길 수 없어서다. '법인세법'에 의한 소득이 없으면 위반 행위 중대성에 따라 ▲500만원 이상 5천만원 이하 ▲5천만원 이상 2억원 미만 ▲2억원 이상 7억원 미만 ▲7억원 이상 18억원 등으로 구분해 기준 금액을 산정해 과징금을 낸다. 위반 행위 중대성은 개인정보보호위원회가 판단한다. 이렇게 거둔 과징금을 인재를 가르치고 연구개발(R&D)하는 데 써서 한국 개인정보 보호 수준을 더 높이면 좋겠다.” -한국의 개인정보 보호 수준이 어떤가? “세계적인 수준이다. 미국이나 EU보다 투명하고 구체적으로 기준을 정해 지킨다. EU도 어떤 기업이 소비자로부터 개인정보를 받아 적법하게 제3자에게 줄 수 있게끔 한다. 한국에서 그러려면 누가 누구에게 주는지, 왜 주는지, 이 정보를 언제 삭제할지 등을 개인정보처리방침에 세세히 명시해야 한다. 그래서 한국 규제가 깐깐하다고 느끼는 기업도 있다.” -기업이 개인정보 지키면서도 활용할 수 있는 방안이 있나? “그게 CPO들이 요즘 가장 관심 있는 일이다. 개인정보 보호 강화 기술(PET·Privacy Enhancing Technology)로, 개인정보를 최소한 수집하면서도 산업을 활성하는 기술 3가지를 주목한다. 첫째 가명정보다. 개인정보가 모두 공개된 정보라면, 익명정보는 모두 가린 정보다. 가명정보는 이 중간이다. 다른 정보와 맞춰보면 얼추 알 수 있지만 그대로는 알기 어려운 내용으로 꾸린다. 과학·연구·통계적 목적이라면 가명정보를 쓸 수 있다. 정보가 그대로 드러나는 게 아니라 이용자로부터 동의받지 않아도 제3자에게 넘길 수 있다. 둘째 동형암호다. 내 키가 170㎝라는 정보와 다른 사람 키는 165㎝라는 정보가 있다고 예를 들자. 이를 각각 암호로 만들어 결합기관에 주면 결합기관은 이를 더하거나 빼는 연산을 할 수 있다. 다만 결합기관은 이 정보 주인이 누군지 모른다. 정보 제공자가 되돌아온 결과를 보면 된다. 셋째 연합학습이다. 인공지능 시대에 맞게 개인정보도 인공지능을 활용하는 일이 잦다. 어떤 기기가 학습한 내용을 내보내면 안 되지만, 서로 다른 기기가 학습한 정보를 합쳐 또 학습하도록 하는 연합학습은 가능하다.” -정보보호업계 화두 '국가 망 보안 체계'와 '제로 트러스트'는 어떻게 보나? “국가 망 보안 체계는 N2SF(National Network Security FRAMEwork) 약자다. 지금껏 폐쇄된 공공 정보망을 열겠다는 정책이다. 그러니 '절대 믿지 말고 항상 검증하라'는 제로 트러스트(Zero Trust) 개념이 필수다. 외부 망은 당연하고 내부 망도, 모든 망은 해킹됐다고 전제하고 접근을 제한한다. 지금껏 내부 망 사용자는 믿어왔다. 외부 망 사용자는 비밀번호와 문자 인증 등 2가지 이상 인증하도록 했지만 내부 망 사용자는 비밀번호 하나면 됐다. 이제 내부 망 사용자도 이중 요소로 인증하도록 한다. 이에 새로운 보안 통제 도구가 필요하다. 기업에 새로운 시장이 열리는 셈이다.” -올해 협의회 계획은? “정책당국과 회원사가 깊게 논의할 수 있는 세미나 'KPPI(KCPO Prime Privacy Insight)'를 운영하겠다. 개인정보보호위원회와 CPO, 또 분야별 CPO끼리 교류하는 'KCPO 브릿지 포럼'도 열기로 했다. 고위관계자가 모여 정책 동향을 공유하는 'KCPO 프라이버시 서밋' 등도 주기적으로 할 예정이다. 오는 9월에는 서울 삼성동 코엑스에서 제47차 글로벌 프라이버시 총회(GPA·Global Privacy Assembly)가 개최된다. 이 총회는 세계 최대 규모의 개인정보 보호 관련 국제 회의로, 미국·EU·영국·일본 등 89개국 137개 기관이 참여한다. 이에 협의회가 적극적으로 나서 세계 개인정보 보호 전문가와 소통할 예정이다. 예비 CPO를 위한 교육 과정도 개발해 올해 시범 운영하려고 한다. CPO에 대한 자체 정책도 연구할 생각이다. 조직 형태, 예산과 인력 현황, 주요 고충을 들어 CPO 지정 현황 실태 조사를 하려고 한다.”

2025.02.25 09:23유혜진

포티넷, '포티애널라이저'에 AI 기능 추가

포티넷 한국지사는 24일 '포티애널라이저(FortiAnalyzer)'에 인공지능(AI) 기능을 추가했다. 포티애널라이저는 단일 플랫폼을 기반으로 온-프레미스(내부 구축형)와 클라우드 환경에서 기업이 보안운영센터(SOC)를 확장하도록 돕는다. 중소기업이 빠르게 위협을 알아채고 사고에 대응하도록 설계했다. 즉시 배포할 수 있다는 장점이 있다. 포티넷은 중앙 집중된 통합 데이터 레이크(data lake)를 소개했다. 포티넷 보안 패브릭(Fortinet Security Fabric) 전반의 통합 네트워크와 보안 로그, 보안 분석, 컴플라이언스(규정 준수) 보고를 하나의 플랫폼에서 볼 수 있다. 포티가드 침해 지표(IoC)와 아웃브레이크 탐지 구독(Outbreak Detection subscription)이 포함된다. AI 기능으로는 우선순위 높은 경보를 자동으로 식별하고 상관관계 규칙 보고서를 받을 수 있다. 이를 통해 기업은 공격 배경, 시간, 영향 받은 기술을 알아챌 수 있다고 포티넷은 강조했다. 최신 이벤트 핸들러, 플레이북과 아미스 플랫폼(Armis Platform), 마이크로소프트(MS) 오피스 365(Microsoft Office 365) 등의 서드파티 로그 파서(log parsers)를 제공해 보안 담당자가 최소한 개입해 해결할 수 있도록 지원한다고 포티넷은 설명했다. 포티어센티케이터(FortiAuthenticator), 포티샌드박스(FortiSandbox), 포티웹(FortiWeb), 포티메일(FortiMail), 바이러스토털(VirusTotal)과 기본 통합됐다. 포티넷 보안 패브릭(Fortinet Security Fabric)과도 연결돼 AI 기반 상관관계와 실행할 수 있는 방안을 알려준다. 현재 포티가드를 구독하는 포티애널라이저 고객은 새로운 기능을 자동으로 쓸 수 있다.

2025.02.24 18:28유혜진

[보안리더] 이유진 라온시큐어 부사장 "해외 사업은 이렇게 하는 것 보여줄 것"

“한국 정보보호(보안) 기술을 국제표준으로 만들고 싶어요. 그래서 라온시큐어 디지털 신분증(ID) 기술을 오픈소스로 개방했습니다. 선진국에서 영역을 넓히면 물론 커다란 기쁨이지만, 우선 개발도상국에서 소외계층에게 신분증을 만들어 주면 굉장히 뜻이 깊을 것 같습니다.” 이유진 라온시큐어 부사장은 20일 서울 여의도 사옥에서 열린 지디넷코리아와의 인터뷰에서 “각 나라마다 보안 정책이 다른데, 이런 사정에 맞춰 한국 기술을 이전하는 도전을 하고 있다”며 이같이 밝혔다. 이 부사장은 2023년 라온시큐어 해외사업본부장으로 합류했다. 한국 정보보호 기업 1세대로 꼽히는 소프트포럼(현 한글과컴퓨터 지주사), 이니텍(KT 계열사) 등을 거쳤다. 세계적인 카드 회사 비자 한국지사 부사장도 역임했다. 어린 시절을 미국에서 보낸 뒤 미국 휴렛패커드(HP)를 비롯한 대기업에서 근무한 경험이 지금의 이 부사장을 만들었다. 라온시큐어는 이런 이 부사장에게 더 큰 무대가 됐다. “라온시큐어는 중견기업이지만 빠르게 혁신하려는 태도를 갖췄다”면서 “대기업은 결재 단계가 복잡하다. '해외 사업은 이렇게 하는 것'이라는 걸 보여주려면 대기업보다 라온시큐어 같은 회사가 낫다"고 반색했다. 라온시큐어는 해외에 2개 법인과 4개 사무소를 뒀다. 미국·싱가포르 법인과 일본·인도네시아·필리핀·코스타리카 사무소다. 여기서 구독형 생체 인증(FIDO, Fast Identity Online), 디지털 ID, 정부 전자지갑 서비스 개발 사업 등을 한다. 아래는 이 부사장과 일문일답. -미국 휴렛패커드(HP) 같은 해외 기업과 라온시큐어 같은 국내 기업은 일할 때 무엇이 다른가? "세계적인 대기업에서 일할 때에는 혁신 기업으로부터 쫓기지 않으려 방어하는 데 많은 자원을 썼다. 지금은 스스로 기존 생각을 파괴할 정도로 혁신하는 '디스럽터(Disruptor)'로 활약하고자 한다. 세계적인 대기업은 이미 체계를 갖추고 시장 입지를 탄탄하게 다진 게 장점이다. 국내 기술 기업과 비교하면 빠르게 변화하려는 움직임은 소극적이다. 라온시큐어 같은 한국의 기술 기업은 역동적이고 유연하고 추진력이 강하다. 의욕 넘치는 인재는 이런 곳에서 능력을 잘 발휘할 수 있다. 나 역시 빠른 의사결정과 추진력을 갖춘 이 곳에서 더 능력을 뽐낼 수 있을 것 같다. 또 라온시큐어처럼 기술이 강한 국내 보안 기업은 정부의 적극적인 디지털 전환(DX) 지원을 바탕으로 경쟁력을 키우기 좋은 환경에 있다. 미국 경제지 포브스는 경제·기술 등을 기준으로 한국을 '2025년 가장 강력한 10개국' 6위로 꼽았다. 이를 발판 삼아 세계에서 '한국의 디지털 신분증(K-DID)' 기술을 선도하는 기업으로 도약하고자 한다." -동북아·동남아·북미·중남미 등에서 사업 중인데 지역별로 특징이 있나? "해외 사업을 할 때에는 긴밀하게 협력하는 게 중요하다. 라온시큐어는 국내외 정부 기관과 협력해 인도네시아 국가 디지털 ID 설계 컨설팅, 인도네시아 통합 디지털 ID 서비스, 코스타리카 공공 전자지갑 개발 사업 등을 수주했다. 라온시큐어는 디지털 신분증 수요가 많은 나라에서 해외 사업을 하고 있다. 동남아·남미 등에서 사는 11억~13억명이 신원을 증명할 신분증을 갖고 있지 않은 것으로 추산된다. 이렇게 되면 복지에서도 소외된다. 국제연합(UN)과 세계은행(WB) 등 국제기구는 신분증 없는 사람도 모바일 기기는 가지고 있는 점을 주목했다. 라온시큐어는 이런 문제를 해결할 블록체인 디지털 ID 기술을 보유했다. 인권 신장, 디지털 정부에 이바지할 수 있다고 기대한다. 일본에서는 구독형 생체 인증 분야서 성과를 냈다. 클라우드 수요가 급증해 라온시큐어에 유리한 환경이다. 최근 일본 주요 금융그룹과 40억원 넘는 규모의 큰 계약을 했다. 지난달 일본에서 라온시큐어의 구독형 생체 인증 월간활성사용자(MAU)가 600만명을 넘었다. 미국에는 '디지털트러스트네트웍스'라는 라온시큐어 현지 법인이 있다. 미국 대형 의료체인 C사에 디지털 ID를 제공했다. 일본에서 성공한 사례를 바탕으로 미국에서도 확장하려 한다. 시장조사업체 스태티스타에 따르면 세계 FIDO 시장 규모는 2022년 12억 달러(약 1조7천448억원)에 달했다." -해외 사업이 쉽지 않다. 각 나라마다 다른 나라 기술을 쓰려 하지 않을텐데... "맞다. 디지털 신분증 같은 대국민 사업에 한국 기술을 제공하는 일은 쉽지 않다. 국가 사업은 자국 기술 기반으로 진행하는 경향이 있다. 특정 기업이나 다른 나라 기술에 종속돼서는 안 되기 때문이다. 이런 어려움을 우리는 오픈소스로 해결한다. 라온시큐어는 국가 모바일 신분증을 구현한 블록체인 디지털 ID 기술을 '깃허브(세계적 오픈 사이트)'를 통해 오픈소스로 공개해 '옴니원 오픈 DID' 프로젝트를 운영하고 있다. 세계 개발자 생태계를 구축하고 국제 표준화를 도모한다. 오픈소스로 각국 개발자가 라온시큐어 기술을 이용하면 이는 곧 우리 디지털 ID 기술을 현지에 이전하는 의미가 된다. 라온시큐어는 블록체인 디지털 ID를 오픈소스로 풀어 세계 개발자 생태계를 확대해 DID의 국제 표준을 이끌고, 라온시큐어 기술을 중심으로 세계에 K-DID를 확산할 계획이다"

2025.02.22 10:29유혜진

코레일, 계열사와 정보보안·개인정보보호 협력체계 구축

한국철도공사(코레일)는 20일 대전 사옥에서 코레일네트웍스·코레일로지스·코레일관광개발·코레일테크·코레일유통 등 5개 계열사와 함께 '정보보안·개인정보 보호를 위한 실무협의회'를 개최했다. 이날 회의에는 원종철 디지털융합본부장(개인정보보호 최고책임자)을 비롯해 계열사 실무담당자가 참석해 정보보안·개인정보 보호 관리체계 강화를 위한 협력체계 방안을 논의했다. 참석자들은 ▲최근 중국산 생성형 AI '딥시크' 개인정보유출 등 국내·외 정보보안 위협 동향 ▲2025년도 공공기관 경영평가 지표 내 정보보안 조항 강화 등 현황을 공유하고 임직원 및 철도이용객의 보안 인식강화를 위한 다양한 홍보활동을 공동 추진하기로 했다. 코레일은 이날 회의를 계기로 계열사 직원 대상 컨설팅을 지원하고 정보시스템 취약점 진단과 조치 가이드를 공유하는 등 체계적 지원방안을 마련할 예정이다. 원종철 코레일 디지털융합본부장은 “사이버 해킹 공격이 지능화하고 개인정보 유출이 중대한 사회문제로 떠오른 만큼, 계열사와의 협력체계를 마련해 정보보안 수준을 향상시키겠다”고 밝혔다. 한편, 코레일은 지난 2023년 공기업 최초로 정보보호 경영시스템(ISO27001:2022) 인증을 취득한 바 있다. 올해는 고객의 신뢰도를 높이고 보다 안전한 서비스를 제공하고자 개인정보보호 경영시스템(ISO27701) 인증획득에 만전을 다하고 있다.

2025.02.20 17:45주문정

KCA, 정보보호 민간자격 검정 5월 첫 시행

한국방송통신전파진흥원(KCA)은 정보보호 인력 수요에 대응하고 국민 정보보호 리터러시 향상을 위해 오는 5월 제1회 정기검정을 시행한다. KCA는 국가자격 총 27종목을 시행하는 ICT분야 인력양성 전문기관으로서, 올해부터는 정보보호 분야 전문인력 양성을 위한 '정보보호위험관리사(ISRM)' 자격과 국민 정보보호 기본 소양 함양을 위한 '정보보호능력검정(TOLIS)' 자격을 신설해 시행한다. 또 ISRM, TOLIS 자격증 취득을 준비하는 수험생의 시험준비를 돕기 위해 가이드북과 샘플문제를 자격검정 홈페이지에서 무료로 제공한다. 수험자 가이드북은 ISRM과 정보보호능력검정 자격 종목별 5개 과목에 대한 기초이론과 참고자료로 구성됐으며, 지난 12월 정보보호 분야 전문가들과 함께 출제기준을 마련해 출제기준에 맞춰 샘플문제로 제작됐다. ISRM은 전공 무관, 4년제 대학 졸업자 또는 이에 상응하는 자격을 가진 자라면 응시 가능하며, TOLIS는 응시자격에 제한 없이 국민 누구나 정보보호 능력 수준을 평가받을 수 있는 자격으로 운영된다. 이상훈 KCA 원장은 “이번 온라인 가이드북과 샘플문제 제공을 통해 정보보호 자격에 대한 접근성을 높이고, 보다 많은 국민들이 신규자격을 준비하는데 어려움이 없도록 하겠다”며 “앞으로도 정보보호 인력양성과 국민 보안인식 제고를 위해 적극적으로 노력하겠다”고 말했다.

2025.02.20 10:08박수형

사이버아크, MS '디팬더 포 아이덴티티' 통합

이스라엘 정보보호 기업 사이버아크소프트웨어는 19일 사이버아크 '특권 접근 관리자(PAM)'와 마이크로소프트(MS) '디팬더 포 아이덴티티(Microsoft Defender for Identity)'를 통합한다고 밝혔다. 사이버아크 PAM은 여러 클라우드에서 응용 프로그램을 운영하는 자의 특별 권한을 탐색해 제어한다. MS 디팬더 포 아이덴티티는 기업이 자체적으로 관리하는 데이터센터를 클라우드로 지키는 제품이다. 사이버아크는 MS 제품과 통합해 보안운영(SecOps)팀이 보안 위협을 잘 알아낼 수 있다고 소개했다. 특별 권한을 통제하는 일이 간소화된다. 다양한 시스템의 정보를 연결해 보안운영센터(SOC)가 빠르게 공격 경로를 알아채고 복구 방법을 찾을 수 있다고 회사 측은 강조했다. 클라렌스 힌튼 사이버아크 최고전략책임자(CSO)는 “다양한 회사와 협력해 사이버 공격으로부터 고객을 지키겠다”고 말했다.

2025.02.19 11:12유혜진

"태니엄, 스마트공장 등 한국 제조업 매력···반도체·중공업서 사용"

“한국 반도체 제조사와 중공업 회사가 태니엄 정보보호(보안) 솔루션을 쓰고 있습니다. 한국 고객 이름을 밝힐 수 없지만 한국 주요 그룹의 제조사들이 태니엄 솔루션(제품)을 이용합니다. 외국 고객으로는 유럽 제약 회사 아스트라제네카, 유럽 전력 기업 ABB, 미국 자동차 부품 업체 앱티브 등이 있습니다.” “한국은 제조 대기업이 많아 태니엄에 중요한 시장입니다. 아직 일본보다 시장 규모가 작지만 잠재력이 무한합니다.” 미국계 글로벌 보안기업 태니엄(TANIUM)의 본사 임원들이 한국을 찾아 18일 기자간담회를 가졌다. 이날 롭 젠크스(Rob Jenks) 태니엄 전략 담당 수석부사장과 아키라 카토 기술 담당 부사장은 “2023년부터 제조업이 사이버 공격 목표가 됐다”면서 "스마트팩토리는 태니엄에 매우 중요한 제조 시장"이라고 밝혔다. 젠크스 수석부사장은 미국 시장조사업체 가트너의 '2024년 사이버 보안 통계'를 인용해 "제조사 63%는 사이버 공격을 당한 적 있다. 지정학적 갈등을 비롯해 공급망이 복잡하고, 새로운 제품과 경쟁자가 나타나기 때문”이라고 짚었다. . 태니엄은 제조업 보안을 지킬 무기로 '자율 엔드포인트 관리(AEM)' 제품을 출시했다. 정보기술(IT)과 운영기술(OT)을 동시에 관리하는 플랫폼이다. 태니엄이 처음으로 이 시장을 열었다고 자부했다. 젠크스 수석부사장은 “제조업 책임자들은 '보안 도구가 너무 많아서 비효율적'이라고 한다”며 “태니엄 AEM으로 고객은 모든 IT 자산 보안 상태를 실시간으로 한 번에 확인할 수 있다”고 설명했다. 카토 부사장은 “태니엄 AEM이 해결할 문제를 선제적으로 사용자에게 알린다”며 “며칠 걸리던 작업을 인공지능(AI)으로 몇 분 안에 끝낼 수 있다”고 강조했다. 이어 “엔드포인트 수백만개를 실시간으로 측정하고 분석해 신뢰도 점수를 바탕으로 엔드포인트에 미치는 영향을 예측한다”고 덧붙였다. 태니엄은 자체 플랫폼에서 AI를 활용할 뿐만 아니라 미국 마이크로소프트(MS), 미국 클라우드 업체 서비스나우와 협력해 AI 기능을 강화하고 있다. 한편 태니엄의 핵심 솔루션 AEM은 다음과 같은 특징을 갖고 있다. 첫째, 실시간 클라우드 인텔리전스(Real-time Cloud Intelligence)다. 수백만 개 엔드포인트에서 발생하는 변화와 관련된 영향을 실시간 측정 및 분석해 신뢰도 점수를 기반으로 엔드포인트에 미치는 영향을 정확히 예측한다. 둘째, 자동화 및 오케스트레이션(Automation and Orchestration)이다. 태니엄 오토메이트(Tanium Automate)는 IT, OT 및 보안 워크플로에 대한 시스템 전체, 엔드포인트 수준의 자동화 플레이북을 노코드 및 로우코드(No-code and Low-code) 경험 없이 생성할 수 있게 해 준다. 태니엄 오토메이트는 환경의 현재 상태를 지속적으로 평가해 태니엄 실시간 데이터 힘을 활용해 플레이북 실행 신뢰도와 정확성을 획기적으로 향상시킨다. 셋째, 배포 템플릿 및 링(Deployment Templates and Rings)이다. IT 운영을 통해 엔드포인트 그룹 전체에 단계적으로 배포해 변화 자체의 중요성에 맞게 비즈니스 흐름을 조정한다. 배포 링은 변경 실행을 위한 진입 및 종료 기준을 지원해 배포를 관리하고, 반복 가능케 만들어 위험과 비용을 효과적으로 낮춘다. 태니엄은 "자체 플랫폼 내에서 AI를 활용해 다양한 자율 기능을 제공할 뿐만 아니라 MS 및 서비스나우와 함께 원활한 솔루션을 제공해 실시간 데이터와 광범위한 실행 가능성을 기반으로 플랫폼과 AI 기능을 강화하고 있다"면서 "태니엄 AEM은 실시간 데이터 및 글로벌 클라우드 관리 엔드포인트의 변화 분석을 활용해 권장 사항을 제시하고, 변경을 안전하고 안정적으로 자동화해 운영 건전성을 보장한다"고 밝혔다. 이어 "부정적인 IT 결과로 인한 비즈니스 위험을 줄이는 동시에 IT 환경의 보안을 강화한다"고 덧붙였다.

2025.02.18 12:54유혜진

"클라우드 보안 인증, 현장 평가 5회→2회로 간소화"

클라우드 보안 인증을 받으려는 기업은 현장에서 2회 평가 받고, 나머지 3회는 서면 평가를 받으면 된다. 지난해까지 5회 필요하던 현장 평가가 줄어 기업 부담도 완화될 것으로 보인다. 양승권 한국인터넷진흥원(KISA) 클라우드인증팀 선임연구원은 17일 과학기술정보통신부가 서울 서초구 AT센터에서 개최한 '2025년 클라우드 사업 통합 설명회'에서 이같이 발표했다. 양 연구원은 “클라우드 보안 인증 제도로 공공기관이 민간 클라우드를 안전하게 쓸 수 있게 서비스 안전과 신뢰성을 검증한다”며 “이용자는 보안 걱정을 덜고 공급자는 클라우드 서비스 경쟁력을 높일 수 있다”고 말했다. 인증 범위는 클라우드 서비스에 포함되거나 시스템·설비·시설 등 자산, 정보보호·개발·운영·인사 조직 등이다. 인증 유형은 ▲컴퓨팅 자원(CPU)·스토리지 등 정보 시스템 인프라를 제공하는 서비스(IaaS) ▲인프라(IaaS) 외에 각종 응용프로그램(소프트웨어)을 제공하는 서비스(SaaS) ▲클라우드 서비스를 개발하는 환경(PaaS) ▲행정·공공기관 인터넷망 컴퓨터(PC)를 대체하기 위한 가상 서비스(DaaS)로 나뉜다. 인증 등급은 상·중·하로 구분된다. SaaS 서비스는 클라우드 서비스 보안 인증을 받은 IaaS 환경에서 구축돼야 한다. 여러 기관에 개방된 형태로 소프트웨어를 제공해야 한다. 특정 기관에 맞추면 안 된다는 얘기다. DaaS 서비스는 네트워크와 보안 장비 같은 인프라 영역에 구성돼야 한다. 또 가상 자원 초기화, DaaS 필수인 소프트웨어 설치, 비인가 접속 단말 차단, 접속 구간 암호화 등 요건도 만족해야 한다. 보안 인증을 신청한 날로부터 인증서를 발급하기까지는 3~5개월 걸린다. 양 연구원은 “유효 기간은 5년”이라며 “갱신하면서 사후에도 관리해야 한다”고 설명했다. 최초 현장 평가를 받고서 1년 뒤 서면 평가를 받는다. 사후 2년차 다시 현장 평가를 받고, 3·4년차에 또 서면 평가를 받는다. 서면 평가하는 때에 전년도 인증 범위가 바뀌었거나 양수·도, 침해 사고·장애가 발생했다면 심화 평가할 수 있다. '소프트웨어가 업데이트되면 또 다른 인증을 받아야 하느냐'는 물음에 양 연구원은 “서비스 목적이 바뀌지 않으면 추가 인증 절차는 없고 사후 평가해서 변경 내용을 확인 후 통과시킨다”고 답했다. 양 연구원은 “클라우드 컴퓨팅 기업이 보안 인증을 꼭 받아야 하는 것은 아니다”라면서도 “클라우드컴퓨팅법에 따라 행정기관과 공공기관은 보안 인증을 받은 클라우드 서비스나 국가정보원 보안 인증 기준에 맞게 안전하다고 확인된 클라우드 서비스를 우선 고려할 수 있다”고 강조했다. 보안 인증을 신청하는 기업은 수수료를 1천500만원부터 3천600만원까지 내야 한다. 평가하는 데 쓰이는 인건비와 기술료 등이 포함된다. 기업이 신청한 보안 인증 유형, 자산 규모, 할인 제도 등에 따라 산정된다. 인증을 취득·갱신하거나 인증 유지 공문을 받은 소기업은 수수료를 70%, 중기업은 50%, 중견기업은 30% 지원받을 수 있다.

2025.02.17 16:59유혜진

[보안리더] 조영철 KISIA 회장 "보안전문가 경력관리 필요"

"보안 전문가 경력 관리 체계를 만들겠습니다. 신입사원이 어떤 과정을 거치면 정보보호최고책임자(CISO)까지 오를 수 있다는 기준을 알리는 겁니다. 이렇게 CISO 역량을 키우고 정보보호 기업 스스로도 보안 수준을 높이면 국내 정보보호 산업이 국가전략산업으로 자리잡는데도 도움이 될 것입니다." 조영철 한국정보보호산업협회(KISIA) 회장은 최근 서울 송파구 협회에서 열린 지디넷코리아와의 인터뷰에서 "첨단 산업으로 국가경쟁력을 끌어올리려면 정보보호 분야가 뒷받침돼야 한다"며 이같이 밝혔다. 조 회장은 지난해 2월 KISIA 17대 회장으로 취임했다. 서울대 제어계측학과 학·석사에 이어 서울대 전기공학부에서 박사 학위를 받았다. 이후 2000년 파이오링크를 설립해 대표를 맡고 있다. KISIA는 정보보호산업법에 의해 1998년 설립됐다. 조 회장이 대표인 파이오링크가 회장사, 소프트캠프가 수석부회장사다. 이를 포함해 311개 국내 정보보호 기업이 회원사로 활동 중이다. 아래는 조 회장과의 일문일답. -보안 전문가 경력 관리 체계가 왜 필요한가? 보안 전문가 경력 관리 체계는 정보보호 인력이 업계를 벗어나지 않고 기업에서 CISO 역할을 다하도록 경로를 알려주는 체계다. 조직의 정보보호 수준을 강화하려면 보안 전문가 경력 주기를 관리해야 한다. 이 일을 갓 시작한 사람부터 CISO까지 단계마다 경력을 설계할 필요가 있다. 지역별 CISO가 교류하며 성장할 수도 있다. 수도권과 달리 지방에 있는 기업에서 정보보호 인력은 교육 기회가 적다. KISIA는 기술 동향과 법·제도를 안내하고 직무 상담 등을 지원하겠다. -교육 프로그램과 아울러 인력 실태를 조사해야 한다는 지적이 있다 산업 맞춤형 인력을 양성하려면 직무 중심 인력 수급 현황을 제때 파악하는 게 매우 중요하다. 이를 위해 KISIA는 지난해 '사이버 보안 인력 수급 실태 조사'를 국가 승인 통계로 개발했다. 정기적으로 인력 수급 현황을 점검하고, 이를 바탕으로 전략을 보완할 것이다. 조사 결과를 토대로 직무 교육을 하고, 인력 관리 방안을 실행하는 것은 물론이다. -정보보호 기업도 해커 공격을 받는다던데, 해법이 있나? 한국인터넷진흥원(KISA)이 발표한 사이버 위협 동향에 따르면 지난해 침해 사고는 1천887건으로 1년 전보다 48% 늘었다. 중소기업이 주로 피해입은 것으로 나타났다. 해커가 개발 서버를 공격해 악성코드를 심는 경우가 많았다. 국내 많은 보안 기업 역시 일반 중소기업과 마찬가지로 정보보호에 투자해야 하지만 여력이 없다고 미루곤 했다. '스스로 잘하고 있다'고 인식하기도 했다. 이제 반성한다. 정보보호 기업은 고객 내부 서버를 제어하는 권한을 위임받기에 매우 높은 수준의 보안이 요구된다. KISIA는 올해 정보보호자율보안협의체를 꾸리기로 했다. 김진수 트리니티소프트 대표가 협의체 의장을 맡는다. 보안 수칙을 제시하는 한편 우수 사례를 공유해 사회적 차원의 자율 보안을 확보할 것이다. -수출이 한국경제 화두다. 국내 정보보호 산업이 수출산업이 되려면? KISIA는 올해 정보보호 해외진출협의체를 새로 운영할 계획이다. 지난해 운영하던 일본진출협의체를 해외진출협의체로 확대했다. 기업별로 어떻게 해외에 진출하면 좋을지 논의하고 기업 간 협력 방안을 찾을 예정이다. 인도네시아 같은 동남아시아에서 현지 우수 인력 양성 사업(SMTP)을 하고 있는데, 이와 관련된 협의체도 운영하고 있다. 해외에서 인증받으려는 국내 정보보호 기업은 한국 정부로부터 지원받을 수 있다. 미국에서 열리는 세계 최대 정보보호 산업 전시회 'RSAC'를 비롯한 해외 전시회에 KISIA가 한국공동관을 운영하므로 여기 참여해도 좋다. 정보보호 제품은 설계할 때부터 국제 표준을 준수해 만들어지기에 해외에서 경쟁력을 기본적으로 갖췄다고 생각한다.

2025.02.15 13:37유혜진

[기고] 인공지능 시대, 무분별한 중복 규제 지양해야

챗GPT 등장 이후 인공지능(AI)과 신기술, 혁신적인 서비스의 개발을 해하지 않으면서도 이용자의 권리와 개인정보를 보호하려면 어떤 것을 고려해야 할 지에 대한 논의가 최근 활발해진 분위기다. 급변하는 정보사회에서 AI와 개인정보 보호에 있어 우리 사회가 취해야 할 균형 잡힌 자세가 어떤 것인지에 대해 법무법인 태평양 AI팀에서 [AI 컨택]을 통해 2주 마다 다뤄보고자 한다. [편집자주] 인공지능(AI) 규제의 근간이 될 수 있는 인공지능기본법(AI기본법)이 지난 1월 국회에서 정부로 이송돼 공포됨에 따라 내년부터 본격적인 시행을 앞두고 있다. 이같은 상황에서 프라이버시 분야에서의 AI 규제에 관한 법안도 새롭게 발의됐다. 지난달 31일자 개인정보 보호법 일부개정법률안이 바로 그것이다. 공개된 주요 내용에 따르면 개인정보보호위원회의 심의·의결을 거친 경우 적법하게 수집한 개인정보는 AI 개발을 위해 활용할 수 있게 된다. 이 과정에서 정보주체의 권리 침해가 발생하지 않도록 사전 및 사후적 조치도 마련됐다. 다시 말해 사전적으로 개인정보 처리방침을 통한 투명성 확보 조치를 이행하도록 하고 사후적으로는 개인정보보호위원회의 주기적인 관리 및 점검을 통해 개인정보의 안전성을 확보하겠다는 계획이다. 이는 개인정보보호위원회가 올해 6대 핵심 추진과제 중 하나로 세운 AI 시대 개인정보 규율체계 혁신 과제와 궤를 같이 한다. 이미 현행 개인정보 보호법 제15조 제4항은 당초 수집 목적과 합리적으로 관련된 범위 내에서는 안전성 확보 조치를 취하였는지 여부 등을 고려해 정보주체의 동의 없이도 개인정보를 추가적으로 이용할 수 있도록 규정해 두고 있다. 이에 따라 특정 서비스 제공 목적으로 수집한 개인정보를 AI 서비스 개발에 이용하는 행위는 현재도 충분히 가능하다고 판단된다. 개인정보보호위원회 역시 AI 시대 안전한 개인정보 활용 정책방향을 통해 위와 동일한 입장을 표명한 바 있다. 이번 개정안은 주로 기본 서비스 관련 개인정보를 관련이 없는 기타 서비스 개선이나 신규 서비스 개발을 위해 이용하는 경우에 대비한 것으로 이해된다. 다시 말해 다른 서비스나 신규 서비스의 경우 기존 서비스 개선에 비해 정보주체의 예측가능성이 떨어질 것이므로, 이를 위한 AI 개발에 대해서는 보다 엄격하게 개인정보보호위원회의 심의·의결을 요구하겠다는 취지다. 규제의 강도 측면에서 합리적인 규제라고 생각된다. 다만 세부적인 규제 내용은 추가적인 검토를 통해 완성해 나가야 할 것이다. 내년부터 시행 예정인 AI기본법은 이미 일부 AI에 대해 투명성 확보 의무 및 안전성 확보의무를 부과하고 있다. 이에 따라 개인정보 보호법 개정안을 통해 규율되는 투명성 확보 조치와 안전성 확보 조치 역시 단순한 중복 규제에 그치지 않도록 해야 한다. 이를 위해 제도 시행 전부터 부처 간 협력을 통해 각 규제의 유기적인 정착을 도모해야 한다. 향후에는 프라이버시 분야 외에 다른 부처에서도 다른 법안을 통해 AI에 관한 규제를 연이어 도입할 것으로 예상된다. AI와 같이 광범위한 분야에서 사용될 수 있는 기술에 대해 각 부처별로 관심을 갖고 규제를 도입하려는 시도 자체는 어찌 보면 당연한 것이다. 다만 앞서 본 것처럼 AI가 화두로 떠오른다고 해서 각 부처가 무분별하게 중복 규제를 하는 상황은 반드시 피해야 한다. 규제가 필수적이라 하더라도 사전에 별 다른 논의 없이 부처별 규제들이 우후죽순처럼 도입되기만 한다면 수범자 입장에서는 큰 혼란이 초래될 수밖에 없다. 일례로 광고성 정보 전송과 관련한 정보통신망법에 따른 규제와 개인정보 보호법에 따른 규제 역시 과도한 중복 규제로 여기는 여론이 많았다. 두 규제를 통합하려는 시도는 줄곧 있어 왔지만 아직까지 혼란은 이어져 오고 있다. 그 외에 지난 2020년 데이터3법을 통합하려는 시도에도 불구하고 복잡하게 얽힌 문제로 개인정보 보호법과 신용정보법 간의 통합은 무산되었다. 이같이 처음부터 규제가 여러 갈래로 흩어져 있는 상황에서는 중복 규제가 발생할 것이 우려된다. 다만 나중에 이를 다시 주어 담는 통합작업을 하는 것 역시 너무나 어려운 작업임은 그간의 선례에 비추어 볼 때 자명하다. 그렇다고 과도한 중복 규제를 그대로 두는 것은 사업자들에게 짐을 돌리는 것밖에 되지 않는다. 동시에 규제기관 간에 서로 눈치만 보며 상황을 애매하게 방치하는 것 역시 법치국가에서 허용해서는 안 된다. 어려운 시국 속에서도 AI기본법이 극적으로 국회에서 통과된 만큼 이 법안이 누더기 규제가 되지 않도록 제도 도입 초기부터 각 부처 간 원활한 협의를 통해 유기적인 규제 로드맵을 완성하기를 기대해 본다.

2025.02.14 15:41법무법인 태평양 이준호

스틸리언, 인도네시아 법인 5배로 키운 비결은···"될 때까지 부딪혀"

2015년 만들어진 정보보호 전문 기업 스틸리언은 설립 5년차(2020년)에 인도네시아에 법인을 세웠다. 이후 5년 만인 현재는 직원을 설립 당시보다 5배, 한 해 매출도 5배 늘었다. 어떻게 이런 성과를 거뒀을까. 홍혁재 스틸리언 인도네시아법인장은 13일 지디넷코리아와 서면 인터뷰에서 “과거 나에게 조언을 할 수 있다면 '조금 더 현지 문화와 시장 상황을 익히도록 노력하라'고 조언하고 싶다”고 말했다. 그러면서 “인도네시아에서 14년을 보냈기에 이 나라를 충분히 안다고 생각했다”며 “안 되면 될 때까지 직접 부딪히니 시간이 많이 걸렸다”고 돌아봤다. 박 대표도 지난주 서울 용산구 본사에서 열린 창립 10주년 기념 기자간담회에서 “인도네시아에서는 갑자기 우리 상품을 사겠다는 한편 오래 고민하는 경우가 있어 때마다 다르게 대응한다”며 “인도네시아 금융사 아디라파이낸스와 계약하기까지 1년 넘게 걸렸다”고 설명했다. 스틸리언은 인도네시아 반둥시 모바일 앱을 모의 해킹해 약점을 분석하고 해법을 제시한다. 반둥시 비대면 행정 앱에 스틸리언의 모바일 앱 보안 솔루션 '앱수트(AppSuit)'를 적용하고 있다. 인도네시아에서 가장 큰 금융사로 꼽히는 아디라파이낸스에도 앱수트를 공급한다. 스틸리언은 반둥시·아디라파이낸스와의 거래를 교훈 삼아 공신력을 갖췄다. 인도네시아 사이버암호원(BSSN)에 화이트리스트로 등록했다. 인도네시아 산업부로부터 사이버보안업 인증도 획득했다. '인도네시아 보안 규정과 요구 사항을 충족하는 정보보호 기업'이라고 인정받았다는 뜻이다. 인증을 획득하는 데에도 1년 넘게 걸렸다. 홍 법인장은 “인도네시아에서 종종 불가능한 조건을 내밀 때가 있다”며 “왜 이런 규정이 생겼는지 이해하니 기관에 이를 대체할 방법을 제안할 수 있었다”고 전했다. 이어 “경쟁사보다 믿음을 주기 위해 인증을 신경 썼다”며 “조금씩 발전해 사기업뿐만 아니라 기관·부처와의 사업도 준비 중”이라고 덧붙였다. 스틸리언은 올해 인도네시아 국가정보원·정보통신부·과학기술부·금융분석원·마약청 등을 새로운 고객으로 추진하고 있다.

2025.02.13 23:17유혜진

포티넷코리아 "올해 매출 20% 성장…OS 하나로 보호"

미국 정보보호 기업 포티넷 한국지사가 올해 매출을 지난해보다 20% 늘리겠다고 나섰다. 보안운영(SecOps)을 쉽게 지원하는 하나의 운영체제(OS)를 무기로 내세웠다. 지난해 포티넷 한국지사 매출은 1년 전보다 17% 늘었다. 체리 펑 포티넷 북아시아 대표는 11일 서울 강남구 포티넷 한국지사에서 열린 기자간담회에서 “포티넷은 '보안 패브릭'이라는 플랫폼을 중심으로 보안 제품을 통합하고 있다”며 “고객은 단일 환경에서 자동화된 보안운영으로 정보기술(IT)부터 운영기술(OT)까지 여러 환경을 보호할 수 있다”고 말했다. 그러면서 “하나의 운영 체제를 제공하는 회사는 포티넷이 유일하다”고 강조했다. 보안 패브릭은 단일 운영체제 '포티(Forti)OS'를 기반으로 모든 제품을 같은 환경에서 관리한다. 위협을 알아채고 대응하는 과정을 중간에 멈추지 않고 이어간다. 조원균 포티넷 한국지사장은 “국내 환경에 알맞은 보안 해법을 내놓겠다”고 밝혔다. 공공 부문과 별도로 기술·금융·건강·교육 등 산업별로 다른 해결책을 제안한다. 조 지사장은 “지난해 삼성중공업을 비롯한 주요 기업과 손잡았다”며 “해양·선박 OT 보안 시장에서 입지를 키웠다”고 언급했다. 한국에 데이터센터를 세울 가능성도 있다. 펑 대표는 “포티넷은 데이터센터를 중시한다”며 “새로운 데이터센터가 생길 곳으로 한국도 선택지 중 하나”라고 제시했다. 이어 “인수팀이 여러 가치와 위치를 살펴본다”며 “기존 데이터센터 건물 전체를 사들일지 몇개층만 살지 등을 검토한다”고 덧붙였다. 인공지능(AI) 역시 뺄 수 없다. 박현희 포티넷 한국지사 상무는 “유행하기 전부터 AI 도구를 써왔다”며 “생성형AI로 쉽게 분석하고 빅데이터AI로는 끊임없이 터지는 새로운 위협을 알아챈다”고 설명했다. 포티넷 한국지사는 기술 인력에 투자해 한국 기업이 사이버 위협을 미리 막도록 돕겠다는 방침이다. 올해 초 포티넷보안연구소 '포티가드랩' 한국 담당자를 선임했다. 지난해에는 인력을 15% 이상 늘렸다. 포티넷은 지난해 클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP) 전문 업체 '레이스워크', 내부자 위험과 정보 보호 전문 기업 '넥스트DLP', 협업·이메일 보안 회사 '퍼셉션포인트'를 인수했다. 또 보안 운영 체제 '포티OS 7.6'을 기반으로 와이파이(Wi-Fi)7이 통합된 보안 네트워킹 솔루션과 AI 기반 '레이스워크 포티CNAPP', 차세대 데이터 손실 방지(DLP)와 내부자 위험 관리(IRM) 솔루션 '포티DLP', 새로운 클라우드 기반 플랫폼 '포티AppSec 클라우드' 등 신제품을 선보였다. '포티NDR 클라우드'와 '레이스워크 포티CNAPP' 등 7가지 제품에는 '포티AI'를 더해 보안 과정을 간소화했다.

2025.02.11 14:39유혜진

한국정보보호학회, 구글과 협력 '안전한 인터넷' 행동 수칙 발표

한국정보보호학회는 구글과 함께 '안전한 인터넷의 날'을 맞아 온라인 사기 예방 및 인터넷 보안 중요성을 강조하기 위한 행동 수칙을 발표했다. '안전한 인터넷의 날'은 모두가 안전한 인터넷 세상을 만들기 위한 전 세계의 노력을 독려하는 날로, 매년 2월 둘째 주 화요일을 지정해 전 세계가 기념하고 있다. 온라인 상의 사기 수법은 점점 정교해지고 있다. 구글에 따르면, 미국에서는 작년에만 2100만 명 이상의 사람들이 온라인 상에서 사기 피해를 입었고, 응답자의 42%가 온라인 사기로 인해 금전적 피해를 입거나 민감한 정보를 탈취당한 경험이 있다고 답했다. 한국 역시 '피싱' '랜섬웨어' '사이버 범죄' 등 보안 관련 키워드 검색량이 급증했고, 2023년에는 '사기' 검색 관심도가 전년 대비 70% 증가하며 많은 사람들의 일상생활에 영향을 주고 있는 것으로 파악됐다. 이에 한국정보보호학회는 온라인 환경의 사기 피해, 개인정보 유출 등 정보 보안 약화의 심각성을 감지하고 구글과 협력해 온라인 사기 예방 방법 및 온라인 보안 강화 방안을 공표했다. 한국정보보호학회가 제안한 이메일 사기 예방을 위한 방법 네 가지는 ▲낯선 사람이 보낸 이메일 주의하기 ▲긴급한 요청이 포함된 이메일일수록 면밀히 검토하기 ▲이메일에 포함된 링크는 반드시 클릭하기 전 마우스를 가져가 URL의 신뢰성을 확인하기 ▲요청하지 않은 비밀번호 재설정 무시 등이 있다. 또 전화와 문자 사기를 방지하는 방법으로는 ▲적극적으로 질문해 발신자 의도 확인하기 ▲문자 메시지로 전달된 링크는 클릭하지 않기 ▲임시 이용자 인증 정보를 타인과 공유하지 않기 ▲긴급함을 강조하며 행동을 요구하는 경우 수락하지 않기 ▲스마트폰에서 제공하는 기본 보호 기능의 경고 메시지를 반드시 확인하기 등을 꼽았다. 웹 검색 중 사기를 방지하기 위한 방법으로는 ▲컨텐츠가 의심스럽다면 '광고에 대해 자세히 알아보기' 버튼을 눌러 사기 광고 여부를 확인하기 ▲익숙하지 않은 링크는 클릭하기 전에 URL 신뢰성을 검사하기 ▲웹페이지나 쇼핑몰의 신뢰도를 확인하기 위해 관련 정보 수집하기 ▲공식 출처를 찾아보고 수상한 형식에 유의하기 ▲사업자의 경우 구글 검색에서 고객 지원팀 강조 표시하기 등이 있다. 마지막으로 온라인 사기를 당하거나 개인정보가 탈취됐다면 ▲즉시 비밀번호를 변경하고 2단계 인증 활성화하기 ▲계좌가 연결된 금융기관에 연락해 계좌 사용을 중단하고 추가 피해 예방하기 ▲지역 당국이나 관련 기관에 신고해 법적 조치를 취하기가 중요하다고 밝혔다. 한국정보보호학회 홈페이지 및 구글 홈페이지 시작 화면에서도 관련 내용을 확인할 수 있다. 한편 이번 행동 수칙 구성에 협력한 구글은 AI를 활용해 매일 전 세계 온라인 이용자들을 보호하는 활동을 지속하고 있다. 지메일은 매일 99% 이상 피싱 이메일을 차단하며, 1억 건 이상 피싱 시도를 방어하고 있다. 또 크롬 세이프 브라우징은 의심스러운 웹사이트 접속을 기존보다 2.5배 더 효율적으로 차단하며, 구글 플레이 프로텍트는 매일 2000억 개 이상 애플리케이션을 스캔해 위험 요소를 사전 감지, 조치하고 있다. 특히 2024년 한 해 동안, 구글플레이 프로텍트의 사기 방지 기능으로 20만 개 이상 고유 앱을 포함해 3600만 건 이상의 위험한 앱 설치 시도로부터 약 1000만 대의 기기를 보호했다. 박영호 한국정보보호학회장은 “인터넷 기술이 우리의 삶을 편리하고 풍요롭게 만들어 줬지만 동시에 온라인 보안과 사기 위협에 노출 될 수 있는 확률이 높아지기도 한다”며 ”안전하고 유용한 인터넷 환경을 만들기 위해서는 개개인이 온라인 보안을 강화하고, 사기 위협에 노출되었을 때 적절히 대응할 수 있는 기초 지식과 방법을 숙지하고 있는 것이 가장 효율적인 방법이기에 구글과 협력했다. 학회가 구글과 함께 마련한 해당 지침이 널리 알려져 활용되기를 바란다”고 강조했다. 한국정보보호학회는 앞으로도 사용자가 안전한 디지털 환경을 누릴 수 있도록 실질적인 예방 수칙과 정보를 제공하며, 이를 통해 온라인 보안에 대한 사회적 인식을 높이고 사이버 범죄 예방에 앞장설 예정이다.

2025.02.10 20:26방은주

시큐아이 "PC 보안 약점 한눈에 확인해 클릭하세요"

시큐아이는 10일 블루맥스(BLUEMAX) 엔드포인트 보안 플랫폼(ESP) '내PC지키미'를 조달청 디지털서비스몰에 등록했다. 사용자는 내PC지키미로 컴퓨터 보안 취약점을 확인하고 바로 이어지는 '개선 버튼'을 눌러 조치하면 된다. 윈도우와 리눅스, 맥OS 등 운영체계에서 작동된다. 각 기업 환경에 알맞은 항목을 관리자가 설정할 수도 있다. 특정 파일과 프로그램 버전, 존재 여부 등을 점검할 수 있다. 정삼용 시큐아이 대표는 “블루맥스 ESP는 보안 점수를 기반으로 보안 상태가 취약한 PC 통신을 막고 보안소켓계층 가상사설망(SSL VPN) 사용을 제한한다”며 “외부 공격자가 기업 PC로 중요한 정보에 접근하지 못하게 한다”고 말했다.

2025.02.10 17:01유혜진

  Prev 1 2 3 4 5 6 7 8 9 10 Next  

지금 뜨는 기사

이시각 헤드라인

삼성은 왜 폰을 접으려 했던가?...갤럭시Z폴드 7돌 '도전과 혁신' 연대기

차세대 'LPDDR6' 표준 나왔다…삼성·SK, AI 메모리 새 격전지 추가

"현실 속 배틀그라운드"…크래프톤 'PUBG 성수' 가보니

"정부 지원은 또 다른 빚이었다"…티메프 고통은 '~ing'

ZDNet Power Center

Connect with us

ZDNET Korea is operated by Money Today Group under license from Ziff Davis. Global family site >>    CNET.com | ZDNet.com
  • 회사소개
  • 광고문의
  • DB마케팅문의
  • 제휴문의
  • 개인정보취급방침
  • 이용약관
  • 청소년 보호정책
  • 회사명 : (주)메가뉴스
  • 제호 : 지디넷코리아
  • 등록번호 : 서울아00665
  • 등록연월일 : 2008년 9월 23일
  • 사업자 등록번호 : 220-8-44355
  • 주호 : 서울시 마포구 양화로111 지은빌딩 3층
  • 대표전화 : (02)330-0100
  • 발행인 : 김경묵
  • 편집인 : 김태진
  • 개인정보관리 책임자·청소년보호책입자 : 김익현
  • COPYRIGHT © ZDNETKOREA ALL RIGHTS RESERVED.