검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'제로 트러스트'통합검색 결과 입니다. (65건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

18년만에 망분리 규제 완화…"제로 트러스트 역할 커진다"

밀키트는 손질된 식재료와 양념을 알맞게 담은 간편식입니다. 누구나 밀키트만 있으면 별도 과정 없이 편리하게 맛있는 식사를 할 수 있습니다. [김미정의 SW키트]도 마찬가지입니다. 누구나 매일 쏟아지는 소프트웨어(SW) 기사를 [김미정의 SW키트]로 한눈에 볼 수 있습니다. SW 분야에서 가장 주목받는 인공지능(AI), 보안, 클라우드 이야기를 맛있게 보도하겠습니다. [편집자주] 정부가 18년만에 망분리 규제 완화를 추진한 가운데, 이를 뒷받침할 수 있는 보안 기술 필요성이 높아지고 있다. 전문가들은 산업별 제로 트러스트 특화 모델 마련이 필요하다고 입을 모았다. 획일적인 망분리 정책이 기존보다 자유로워지면서 이에 따른 해킹 위험성 증가가 불가피하다는 이유에서다. 국가정보원은 10~12일 서울 코엑스에서 열린 '사이버 서밋 코리아 2024'에서 국가망 보안정책 개선 방안으로 다층보안체계(MLS) 로드맵을 제시했다. MLS란 국가 전산망 업무 정보 중요도에 따라 기밀(C), 민감(S), 공개(O) 등급으로 분류하는 등급별 차등적 보안 통제다. 이를 통해 보안성을 확보하면서도 AI와 클라우드 등 신기술과 원활한 데이터 공유까지 진행할 수 있다. MLS 적용 절차는 ▲준비 ▲C·S·O 등급분류 ▲정보서비스 모델링 ▲보안대책 수집 ▲적절성 평가·조정 단계로 이뤄졌다. 리스크 관리 프레임워크(RMF) 및 제로트러스트 등 기반으로 국내 여건을 반영해 최적화한 것이다. 정부는 올해 말 구체화한 가이드라인을 발표할 예정이다. 본격적인 정책 적용은 내년 초다. "공공·금융서도 AI·클라우드 자유롭게 사용" 내년부터 MLS가 본격 적용되면 AI과 클라우드 등 신기술을 적용한 산업에 활력이 생긴다. 특히 공공·금융기관 종사자는 업무에 챗GPT를 자유롭게 활용할 수 있다. 또 특정 단말을 장소 제약 없이 클라우드에 연결해 작업할 수 있다. 이들은 디지털플랫폼정부, 행정안전부 등 관계기관이 추진하는 범정부 초거대 AI를 통해 공공데이터를 AI 서비스와 융합할 수 있다. 개발에 필요한 오픈소스를 자유롭게 활용하거나 원격 개발을 클라우드에서 수행할 수 있다. 국정원 관계자는 "그동안 획일적 업무망 분리 정책으로 공공데이터 공유와 AI, 클라우드 등 신기술 활용에 어려움이 발생했다"며 "내년부터 업무 단말에서 업무 생산과 효율성 제고에 필요한 외부 클라우드 협업 도구를 활용할 수 있을 것"이라고 밝혔다. "산업별 제로 트러스트 모델 필요…美 사례 필수 참고" MLS로 획일적인 망분리 정책에 유연성·개방성이 들어선 만큼 해킹 등 네트워크 보안 위험성도 커질 것이란 우려도 나왔다. 순천향대 염흥열 정보보호학과 교수는 12일 이번 행사에서 각 분야가 가진 고유한 위험과 규제 요건을 고려한 맞춤형 제로 트러스트 모델 개발이 시급하다고 강조했다. 염 교수는 "결국 가장 중요한 건 제로 트러스트 모델 구축"이라며 "금융을 비롯한 의료, 에너지 분야에 특화된 제로 트러스트 모델이 필요할 것"이라고 내다봤다. 제로 트러스트는 '절대 신뢰하지 말고 항상 검증하라'는 보안 원칙에 기반한 IT 보안 모델이다. 내부 네트워크를 '신뢰할 수 있는' 구역으로 간주하고 외부를 '비신뢰'로 간주하는 전통 네트워크 보안 모델과 다른 형태다. 내외부 네트워크 접속과 사용자를 모두 의심하고 검증하는 것을 목표로 뒀다. 염 교수는 제로 트러스트 핵심 요소를 권한 최소화로 꼽았다. 그는 "그동안 네트워크 접근 인증을 사용자 위주로만 진행했다"며 "앞으로 디바이스 인증까지 포함해야 할 것"이라고 강조했다. 이어 "네트워크를 여러 개로 구축해 사이버 위협 확대를 막는 다중요소인증 방법론도 새로운 제로 트러스트 적용법으로 논의되고 있다"고 설명했다. 염 교수는 제로 트러스트 표준화를 비롯한 관련 정책을 적극 추진하고 있는 국가로 미국을 꼽았다. 그는 "한국 정부는 미국 등 관련 국가들과 국제 공동 연구를 추진해야 한다"며 "이를 위한 인재 양성과 표준화 활동 참여를 적극 추진해야 한다"고 주장했다.

2024.09.12 16:52김미정

"제로트러스트, 선택 아닌 필수"…KISA, 컨설팅 지원 나선다

한국인터넷진흥원(KISA)이 과학기술정보통신부와 함께 공공·민간 분야에서 새로운 보안 패러다임인 제로트러스트를 단계적으로 확산시키기 위해 본격 나선다. KISA는 제로트러스트와 관련해 전문 컨설팅을 지원한다고 4일 밝혔다. 제로트러스트는 명확한 인증 과정을 거치기 전까지 모든 사용자, 기기, 네트워크 트래픽을 신뢰하지 않으며 인증 후에도 끊임없이 신뢰성을 검증하는 보안 모델이다. 이는 전통적인 사이버 보안 접근 방식인 경계 기반 보안의 한계를 보완하는 새로운 보안 모델로 각광받고 있다. 제로트러스트 전환을 목표하는 기관이나 기업은 전환·도입 계획을 수립해야 한다. 하지만 내·외부 환경 관점에서 고려해야 하는 기술적 요소나 도입 절차에 대한 정보가 부족해 계획 수립에 많은 어려움을 겪고 있다. 이에 KISA는 제로트러스트 전환 계획 수립 시 발생하는 공공·민간 분야의 다양한 어려움을 이번 컨설팅을 통해 해소하고자 한다. 컨설팅 주요 내용으로는 ▲제로트러스트 6가지 핵심요소별 환경·현황 분석 ▲제로트러스트 성숙도 평가 ▲제로트러스트 보안 모델 설계 ▲제로트러스트 도입·전환 로드맵 수립 등을 지원한다. KISA는 이번 제로트러스트 도입·전환 컨설팅의 수요 기관 및 기업을 파악하기 위해 지난 8월 26일부터 사전 수요조사를 진행하고 있다. KISA 오진영 정보보호산업본부장은 "원활한 제로트러스트 전환을 위해서는 기관이나 기업의 보안 수준과 내·외부 환경을 고려한 중장기 전환 계획을 수립하는 것이 필요하다"며 "이번 컨설팅을 통해 기관과 기업의 환경을 사전 분석해 제로트러스트 전환을 단계적으로 준비할 수 있도록 지원하겠다"고 말했다.

2024.09.04 14:30장유미

시옷, 중소기업 혁신바우처 사업 수행기관으로 선정

시옷이 중소벤처기업진흥공단의 '2024 중소기업 혁신바우처 사업' 기술지원 분야에 수행기관으로 선정됐다. 시옷의 정보유출탐지 시스템 위즐(Weasel)은 사용자 단말에서 발생하는 모든 종류의 네트워크 및 이동식 저장매체를 통한 정보유출 행위를 실시간으로 탐지하고 분석한다. 탐지 결과를 서버에 전송하는 기능을 갖추고 있다. 이 시스템은 기존의 정보유출 보안 제품보다 강력하고 효과적인 정보유출 통제 체계를 제공한다. 이번에 중소기업 혁신바우처 수행기관으로 선정돼 중소기업들은 바우처를 통해 위즐 서비스를 자유롭게 이용할 수 있다. 위즐은 다양한 산업 분야의 중소기업들이 직면한 정보유출 문제를 해결하는데 도움을 줄 전망이다. 박현주 시옷 대표는 "주력인 모빌리티 보안과 함께 일반 보안 시장에 첫 제품을 내놓는다"면서 "시옷 기술력이 중소기업 정보보호 강화에 도움이 될 것으로 기대한다"고 말했다.

2024.08.29 16:56김인순

고려대 SW보안연구소, '제8회 IoTcube 컨퍼런스' 개최

고려대 SW보안연구소(CSSA, 연구소장 이희조)가 27일 '아이오티큐브 컨퍼런스(IoTcube Conference 2024)'를 고려대 하나스퀘어에서 개최한다. 올해로 8회를 맞이하는 컨퍼런스는 한국·미국·영국·스위스 4개국 공동연구로 2016년 시작했다. '보안취약점 자동분석 플랫폼 IoTcube.net' 기술 최신 현황을 소개하고 응용 사례를 공유하는 행사다. 2024년에는 공급망 보안 기술 경험에 대한 국내외 전문가 특별 강연을 시작으로, 소프트웨어자재명세서(SBOM) 생성을 직접 체험하는 트레이닝 세션까지 마련됐다. 오전 세션은 리눅스 재단 산하 오픈소스 보안재단(OpenSSF) 이사회 멤버인 마이클 리버만(Michael Lieberman) 쿠사리(Kusari) CTO와 김유승 삼성전자 상무의 공급망 보안 특별 강연으로 시작된다. 오후 세션은 'SBOM 기술 최신 연구' 성과 공유 및 고려대 융합보안대학원 컨소시엄 기업 '융합보안 기술 사례', 두 가지 트랙이 준비됐다. 'SBOM 기술 최신 연구' 트랙에서는 고려대, 한국과학기술원(KAIST)의 SBOM 기술 최신 연구 성과와 한국인터넷진흥원(KISA) 공급망 보안 정책 동향을 돌아볼 예정이다. 산학관 전문가들이 공급망보안 제도와 SBOM 보편화 대비 방안을 논의하는 패널 토의가 이어진다. '융합보안 기술 사례' 트랙에서는 KT, 아우토크립트 등 고려대 융합보안대학원 컨소시엄 기업들이 연사로 나서, 네트워크 공격 동향 및 대응 방안, 자동차 사이버보안 기술과 규제 현황 등을 공유한다. 컨퍼런스에는 KMS테크놀로지의 블랙덕(Black Duck) 도구, 래브라도랩스의 래브라도 스캐너 도구, 고려대학교의 햇봄(HatBOM) 도구를 활용한 SBOM 실습 트레이닝 세션이 마련돼 있다. 해외 수출과 SBOM 대비가 필요한 제조기업 등을 중심으로 소규모 팀 트레이닝을 진행할 예정이다. 이희조 고려대 교수는 "SBOM 제도화 대응이 필요한 기업 담당자들이 직접 SBOM 생성을 체험해볼 수 있도록, 국내외 도구를 실습하는 트레이닝 세션을 마련했다"며 "SBOM과 융합보안 기술 사례, 패널토의까지 다양한 프로그램을 통해 보안 고민을 나누고 함께 해결책을 찾아보는 시간이 되기를 바란다"고 개최 소감을 전했다. 이번 컨퍼런스는 과학기술정보통신부·정보통신기획평가원(IITP)의 정보보호핵심원천기술개발사업 및 정보통신방송혁신인재양성사업 연구결과로 수행되며 고려대 소프트웨어보안연구소(CSSA), 융합보안대학원(융합보안핵심인재양성사업단), 4단계 BK21 컴퓨터학교육연구단, 소프트웨어중심대학사업단이 공동 주최한다.

2024.08.09 08:50김인순

안랩, 상반기 영업익 36억원…전년比 44.8%↓

안랩의 올 상반기 매출 부진과 영업익 하락세가 국내 보안 시장에 영향 줄 수 있다는 우려가 나왔다. 안랩이 '국내 1위 보안 기업' 타이틀을 보유한 만큼 이런 실적 부진이 동종업계에 파장 미칠 수 있다는 이유에서다. 다만 업계는 국내 보안 시장을 안랩 실적과 동일시 해선 안된다고 입을 모았다. 29일 안랩은 올해 상반기 연결기준 매출 1천94억원, 영업익 36억원을 기록했다고 발표했다. 이는 전년 동기보다 매출은 0.9%(10억원), 영업익은 44.8%(29억원) 줄어든 수치다. 올해 2분기 연결기준 매출은 599억원, 영업익은 35억원이다. 전년 동기 대비 매출이 1.35%(8억원) 늘었지만, 영업익은 18.6%(8억원) 감소했다. 일각에서는 국내 보안 시장을 좌우하고 있는 안랩 실적이 다른 보안 기업에도 영향 줄 수 있다는 우려를 제기했다. 국내 보안 1위 기업 타이틀을 가진 회사 실적 부진이 보안 생태계 자체를 침체시킬 수 있다는 가능성을 제기한 셈이다. 업계에선 국내 보안 생태계를 안랩 실적으로 국한해선 안 된다는 분위기다. 보안 업계 관계자는 "보안 시장 성장 가능성을 안랩 실적으로 동일시하는 것은 아쉽다"고 본지에 밝혔다. 안랩이 국가 정책을 반영한 보안 시장 수요와 신규 시장 기회를 모두 충족하지 않는다는 이유에서다. 현재 정부 보안 정책은 제로트러스트를 비롯해 논리적 망 분리, 홈네트워크 보안, 신원확인 통합인증 표준화 등 여러 분야로 이뤄졌다. 해당 사업을 주도하는 민간기업은 관련 사업에 기술을 공급하는 기업이지, 안랩이 이를 모두 주도하지 않는다는 것이다. 그만큼 한 기업이 국내 보안 시장을 주도하기 힘들다는 설명이다. 보안 기업 실적이 정부 사업과 관련이 큰 만큼 상반기보다 하반기 실적을 더 집중적으로 볼 필요가 있다는 의견도 나왔다. 업계 관계자는 "대체로 보안 업체 실적은 4분기에 몰려서 나온다"고 설명했다. 기업이 매년 하반기에 내년 예산대로 사업을 발주하고, 유지관리 계약도 이때 재계약·갱신되기 때문이다. 다른 업계 관계자도 "대체로 보안업계 상반기는 비수기, 하반기는 회복 단계"라며 "최근 정부 정책을 비롯한 투자, 사고 등 다양한 이슈로 인해 하반기 실적이 더 좋을 것으로 예상한다"고 내다. 다만 정부의 IT 예산 삭감이 보안 기업 실적에 영향을 줄 수 있다는 가능성은 열려있다. 관계자는 "특히 보안 분야는 공공사업이 주를 이룬다"며 "정부에서 전반적으로 IT 예산을 낮춰 기업 실적이 아쉬울 순 있다"고 말했다. 안랩은 네트워크 보안장비(HW) 시장 둔화가 영업익 하락에 영향을 끼쳤다고 설명했다. 연구·개발(R&D) 투자에 집중한 것도 주요 원인이라고 알렸다. 안랩 관계자는 "자회사들이 주력하는 블록체인, 인공지능(AI), 클라우드 운영 관리 서비스(MSP) 등에 투자하고 있다"고 덧붙였다.

2024.07.29 18:15김미정

제로트러스트 강화 나선 지니언스, 자회사 흡수 합병

지니언스가 자회사를 추가 흡수 합병해 제로트러스트 사업 강화에 본격 나섰다. 29일 업계에 따르면 지니언스가 자회사 퓨쳐텍정보통신을 흡수 합병하는 것으로 전해졌다. 퓨쳐텍정보통신은 '보안소켓계층(SSL) 기반 가상사설망(VPN)' 기업이다. 시스템 원격 접속에 필요한 기반 기술이다. 이를 '소프트웨어 정의 경계(SDP)'나 '제로트러스트 네트워크 액세서(ZTNA)' 등과 연동하면 제로트러스트 환경을 기존보다 고도화할 수 있다. 지니언스는 자체 제로트러스트 솔루션 '지니안 ZTNA'를 2022년부터 운영해 왔다. 이번 흡수합병을 통해 이 솔루션과 퓨쳐텍정보통신의 'SSL VPN' 기술을 통합하는 것이다. 이를 통해 고객사에 더 강력한 제로트러스트 환경 제공을 목표로 둔 셈이다. 이번 흡수합병으로 지니언스는 기존 고객에 한층 더 강화한 보안 환경을 제공할 방침이다. 지니언스 관계자는 "기존 고객에게 해당 제품을 크로스셀링 할 계획"이라며 "ZTNA로 전환하는 단계에서 특히 수요가 많은 것으로 예상"한다고 본지에 밝혔다. 관계자는 "기존 고객뿐 아니라 사물인터넷(IoT) 신규 사업, 특수 목적 단말 등의 시장도 타깃일 것"이라고 덧붙였다.

2024.07.29 15:21김미정

"사이버 안보 이끈다"…지니언스, 제로트러스트 시범사업 수주

지니언스가 국내 환경에 최적화된 제로트러스트 보안모델 확산에 나섰다. 지니언스는 과학기술정보통신부와 한국인터넷진흥원(KISA)이 발주한 '2024년 제로트러스트 도입 시범사업'을 수주했다고 15일 밝혔다. 이번 사업은 정부·공공기관, 기업 대상으로 국내 기업의 제로트러스트 솔루션 시범 도입을 지원한다. 정부·공공기관과 민간 2개 분야에서 4개 과제를 선정하고, 총 45억원 지원금을 제공한다. 각 과제당 지원금은 최대 11억2천500만원이다. 지니언스는 제로트러스트 요소 기술을 보유한 수산아이앤티·퓨쳐텍정보통신과 컨소시엄을 구성해 시범사업을 추진한다. 수요기관인 에스트래픽 등에 제로트러스트 범용성을 실질적으로 검증한다. 지니언스 컨소시엄은 올해 6월부터 11월까지 6개월간 사업을 진행한다. 개방형 제로트러스트 모델을 실제 업무 환경에 구현하고 적정성을 검증한다. 주요 목표는 ▲제로트러스트 기본 원칙을 준수한 보안 모델 설계 ▲서로 다른 IT 인프라 환경을 가진 수요 기업에 구축 및 운영을 통해 모델의 범용성 검증 ▲시범사업 산출물 공개를 통한 개방형 제로트러스트 생태계 확립 및 확산 등이다. 지니언스는 개방형 제로트러스트 모델을 통해 국내 다수 기업에서 제로트러스트를 채택할 것으로 예상했다. 또 모든 보안업체가 참여 가능한 제로트러스트 생태계 확립 및 확산에 기여할 것으로 기대했다. 이동범 지니언스 대표는 "국내 환경에 맞춘 개방형 제로트러스트 모델의 아키텍처 설계와 구축을 통해 제로트러스트 공급자와 수요자의 생태계를 확립·확산에 노력할 것"이라며 "개별 솔루션 수준이 아닌 핵심 요소 전반에 걸친 최적화 단계로 진화한 제로트러스트 보안 모델로 국가 사이버 안보 실현에 총력을 다할 것"이라고 말했다.

2024.07.15 09:33김미정

앤앤에스피, OT분야 품질경영 인증

사이버물리시스템(CPS) 보안 전문 기업 앤앤에스피(대표 김일용)는 운영기술(OT) 보안 부문에서 품질경영시스템 ISO9001인증을 획득했다. 앤앤에스피는 이번 인증 획득으로 OT분야 기술력과 신뢰성을 인정받았다. 앤앤에스피는 OT보안솔루션과 IT인프라솔루션, 통합아웃소싱, IT 및 OT 연구 개발 분야와 관련해 인증을 획득했다. ISO9001 인증으로 앤앤에스피는 명실상부한 CPS 보안 리딩 기업임을 입증했다. ISO 9001은 국제표준화기구(ISO)에서 제정·시행하는 품질경영시스템에 관한 국제인증이다. 고객에게 제공하는 제품 및 서비스의 품질, 유지관리 실태 등을 평가해 규정된 요구 기준을 충족하는 기업이 획득한다. 앤앤에스피는 독보적인 CPS 보안 기술로 시장을 선도하고 있다. 앤앤에스피는 물리적 일방향 망연계 솔루션을 중심으로 OT보안에서 진보한 CPS보안 전문기업으로 발돋움하고 있다. 앤앤에스피는 주요기반시설에서 운영되는 제조설비 등을 모니터링 하고 보호한다. 폐쇄망과 인터넷망을 안전하게 연결하는 일방향 망연계 기술로 공급망 보안과 제로 트러스트를 구현한다. 앤앤에스피는 서로 등급이 다른 네트워크간 안전하게 데이터를 전송하는 크로스 도메인 솔루션(CDS: Cross Domain Solution) 개발도 완료했다. CDS는 공공기관에 적용 중인 망분리 체계를 다중계층보안(MLS)로 전환할 때 유용한 솔루션으로 각광 받고 있다. 김일용 앤앤에스피 대표는 “이번 ISO 9001 인증으로 기술력과 신뢰성을 인정 받았다"면서 “경영 안정성을 강화하며 사업 확장과 서비스 수준 향상에 매진할 것"이라고 말했다.

2024.07.09 17:03김인순

B2B SECaaS 강자 모니터랩, 新 무기 'RBI'로 국내외 시장 공략 가속

B2B SECaaS(기업간 거래 서비스형 보안) 업계 강자인 모니터랩이 새로운 무기로 국내외 시장 공략에 본격 나선다. 모니터랩은 자사가 서비스하는 글로벌 에지 기반의 통합 보안 플랫폼인 '아이온클라우드(AIONCLOUD)'에 제로트러스트 기반의 원격 브라우저 격리 솔루션인 'RBI(Remote Browser Isolation)'을 출시했다고 17일 밝혔다. RBI는 제로트러스트 아키텍처 기반의 보안 솔루션으로, 사용자가 웹 페이지를 안전하게 브라우징 할 수 있도록 가상 환경에서 웹 콘텐츠를 실행해 악성코드가 실제 환경에 전달되지 못하도록 한다. 모든 웹 트래픽을 실시간으로 격리하는 방식을 통해 악성 웹사이트, 악성 파일 등으로부터 기업 네트워크와 사용자를 보호한다는 식이다. RBI 솔루션은 웹사이트로부터 발행할 수 있는 보안위협을 완전한 격리를 통해 원천적으로 차단함으써 제로트러스트 아키텍처를 더욱 강력하게 완성한다. 여타 보안 서비스들이 이미 잘 알려진 공격만 탐지할 수 있었다면, RBI는 알려지지 않은 공격이나 신종 공격조차도 원격 브라우저 생성을 통해 탐지할 수 있어 안전한 인터넷 사용이 보장된다. 이로써 모니터랩의 아이온클라우드 시큐어 인터넷 액세스(Secure Internet Access, SIA)는 기존에 보유하고 있던 SWG(Secure Web Gateway), CASB(Cloud Access Security Broker), FWaaS(Firewall as a Service), NG DPI(Next Generation Deep Packet Prevention) 솔루션에 RBI가 새롭게 추가되면서 자체 기술력으로 제로 트러스트 기반의 SSE(Security Service Edge) 플랫폼을 구현한 국내 유일 벤더 입지를 더욱 굳건히 했다. 이광후 모니터랩 대표는 "사이버 보안 위협이 날이 갈수록 고도화되고 있는 요즘 RBI 솔루션은 이러한 위협을 효과적으로 차단할 수 있는 솔루션 중 하나"라며 "국내 최초 자체 기술력으로 SSE 플랫폼을 구현했다는 자부심을 이어갈 수 있도록 앞으로도 다양한 솔루션을 지속적으로 추가해 나갈 것"이라고 소감을 밝혔다.

2024.07.08 10:48장유미

테이텀시큐리티, 한국MS·중소벤처기업부 '마중 프로그램 2024' 선정

클라우드 보안 전문기업 테이텀시큐리티(대표 양혁재)가 한국마이크로소프트와 중소벤처기업부가 공동 주관하는 2024년 마중 프로그램 지원사업에 최종 선정됐다고 26일 밝혔다. 마중 프로그램은 한국마이크로소프트와 중소벤처기업부가 클라우드 기반 B2B 솔루션 분야 유망 스타트업을 지원하는 사업이다. 기술 역량을 강화하고 비즈니스 성장을 촉진하는 것이 목적이다. 중소벤처기업부의 자금 지원과 더불어 한국마이크로소프트의 교육 및 기술 지원, 글로벌 판로 개척, 투자 유치, 마케팅 등을 지원한다. 테이텀시큐리티는 국내 클라우드 보안 환경에 특화된 클라우드 네이티브 어플케이션 보안 플랫폼, '테이텀 CNAPP(Cloud Native application Protection Platform)'을 개발해 금융 및 공공, 기업 고객에게 제공하고 있다. 테이텀 CNAPP는 컴플라이언스와 설정을 다루는 CSPM(Cloud Security Posture Management)과 워크로드에 대한 보호 영역인 CWPP(Cloud Workload Protection Platform), 사용자의 이상 행위를 탐지하는 CIEM(Cloud Infrastructure Entitlement Management) 솔루션을 통해 외산 솔루션이 대처하지 못한 국내 고객의 다양한 보안 이슈를 해결한다. 국내외 여러 클라우드 플랫폼과 호환 가능하며, 퍼블릭 클라우드, 프라이빗 클라우드, 하이브리드 클라우드 환경 전반을 커버한다. 클라우드의 모든 보안 요소를 고객 맞춤형으로 구축할 수 있다. 양혁재 테이텀시큐리티 대표는 “이번 프로그램 선정으로 기술력과 발전성 모두 인정받아 뜻깊다”며, “한국마이크로소프트와 협업해 애저가 지향하는 보안 방향성 기준으로 테이텀 CNAPP를 한층 더 고도화할 것"이라고 밝혔다. 이어 “글로벌 레퍼런스 확보를 위해 ISV(Independent Software Vendor) 파트너 협업 및 글로벌 공동 마케팅도 진행할 예정”이라고 덧붙였다.

2024.06.26 14:01김인순

앤앤에스피, 국방망 보안 강화하는 '앤넷CDS' 출시

앤앤에스피(대표 김일용)는 국방망에서 보안 등급이 다른 네트워크 간 데이터를 안전하게 전송하는 크로스 도메인 솔루션(CDS: Cross Domain Solution) '앤넷CDS(nNetCDS)'를 상용화했다고 17일 밝혔다. 앤앤에스피는 2023년 국가보안기술연구소에서 보안통제시스템(CDS Guard)기술을 이전 받아 1년여 만에 상용화에 성공했다. 국보연이 개발한 보안통제시스템은 국방망에서 서로 다른 보안등급의 네트워크 간 데이터를 간접 통신방식으로 안전하게 교환할 수 있는 기술이다. 기존 망분리 체계를 다중계층보안(MLS)으로 전환할 때 중요한 역할을 할 전망이다. 앤앤에스피가 국보연 보안통제시스템 기술을 기반으로 미국의 CDS와 같은 솔루션으로 상용화하면서 국내 기술로 안전한 데이터 전송 체계를 완성했다. 앤앤에스피가 국가보안기술연구소에서 기술이전 받은 CDS는 하드웨어 및 소프트웨어 요구사항을 모두 충족한다. 앤넷CDS 하드웨어는 ▲연동통제서버와 분리된 2U 형태의 보안통제장비 ▲보안통제장비는 체계망 하드웨어 모듈과 연동망 하드웨어 모듈로 구성 ▲각 하드웨어 모듈은 운용 모듈이 구동되는 프로세스와 통제모듈이 구동되는 프로세스를 분리하여 구성 ▲물리적 탬퍼 방지 기능 등을 제공하며 최신 CPU를 탑재하고 10Gbps 연계 기능으로 성능이 향상됐다. 앤넷CDS 소프트웨어는 ▲격리된 통제모듈에서 키 생성 △보안USB를 통한 키 발급 ▲연동통제서버의 SGX(Software Guard eXtention) 모듈에서의 보안레이블링 ▲연동통제서버와 보안통제장비 간 CDE 프로토콜 통신 ▲보안통제장비의 운용 모듈에서 CDE 검사 및 통제모듈에서 보안레이블 검사 기능 등을 제공한다. ▲IP/Port 기반 필터링 및 접근제어 ▲어플리케이션 레벨의 컨텐츠 필터링 ▲실시간 악성코드 검사 및 데이터 무결성 검사 기능 등을 제공하고 국정원 검증필 암호모듈을 적용하여 보안성을 향상시켰다. CDS는 보안 등급이 다른 망에서 데이터를 안전하게 전달하는 높은 보증의 네트워크 보안 솔루션이다. CDS는 국방과 정보기관 등에서 정보 노출 위험을 최소화하면서 적시에 필수 데이터를 공유할 수 있는 통로다. 기밀 데이터 송수신시 탁월한 보안성와 안전성을 제공한다. 국방이나 중요 기관은 무단으로 데이터가 노출되거나 손상되지 않게 정보를 안전하게 공유해야 한다. 이때 고급 콘텐츠 필터링을 통해 높은 수준의 보안을 보장해야 한다. 예를 들어, 한국군과 외국군은 서로 다른 보안 등급망을 운영한다. 한국군 정보를 외국군으로 안전하게 전송할 때 CDS를 사용한다. 외국군이 한국군으로 정보를 전송할 때도 CDS를 사용해 안전하게 보낸다. 이번에 앤앤에스피의 CDS 상용화 성공으로 국방망 보안이 더욱 강화될 전망이다. 송재은 앤앤에스피 부사장은 "앤넷CDS는 고수준 다계층 보안정책을 적용하고 데이터 검사, 콘텐츠 필터링, 다중 프로토콜 등을 제공해 안전한 데이터 송수신 환경을 구축한다"고 설명했다. 이어 "군과 정부기관을 비롯해 다중계층보안이 필요한 기업과 금융권 등으로 적용 영역을 점차 확대할 계획"이라고 밝혔다.

2024.06.17 16:23김인순

"지금은 '제로 트러스트' 시대"…한싹, 新 무기 '패스가드 AM'으로 공략

최근 모든 사용자의 접근을 검증 및 제어하는 '제로 트러스트' 보안의 필요성이 커지고 있는 가운데 한싹이 이 시장을 공략하기 위해 새로운 무기를 선보인다. 한싹은 시스템 접근제어 솔루션 '패스가드 AM(PassGuard Access Management)'을 출시했다고 8일 밝혔다. 패스가드 AM은 업무 시스템에 대한 사용자별 접속 권한과 작업 이력을 실시간으로 관리 및 통제하는 시스템 보안 솔루션이다. 서버, 네트워크, 보안장비, CCTV 등 복잡하고 수많은 IT 인프라 시스템의 사용자를 철저하게 관리 감독한다. 한싹이 '패스가드 AM'을 출시한 것은 제로 트러스트에 대한 관심이 점차 높아지고 있어서다. 최근 디지털 대전환으로 비대해진 IT 인프라에 비해 부족한 관리 인력 문제로 크리덴셜 스터핑, 인포스틸러 등의 계정 탈취 공격을 통한 내부 시스템 침투가 연이어 발생하고 있는 상황이다. 또 클라우드 전환으로 인프라를 외부에 두고 관리하고 있기 때문에 네트워크 위치에 기반한 통제는 이제 한계를 보이고 있다. 이런 문제점을 해결하기 위해 시장에선 제로 트러스트 보안이 필요하다고 강조하고 있다. 한싹 측은 "이러한 시대적 흐름에 맞춰 제로 트러스트 보안 모델에 적합한 시스템 접근제어 솔루션 '패스가드 AM'을 선보이게 됐다"며 "패스워드 관리 제품과 통합된 서비스를 제공하며 시스템 보안 사업을 확장해 나갈 방침"이라고 말했다. 패스가드 AM은 게이트웨이(Gateway) 방식으로 사용자와 시스템 사이에서 보안 감시자 역할을 한다. 마치 공항의 보안검색대와 같이 누구든 시스템 자원에 접근하려면 패스가드 AM을 통과해야만 한다. 이 과정에서 사용자와 기기, 네트워크 트래픽 등 모든 접근 대상을 깐깐하게 인증한다. 인증된 사용자라 할지라도 최소한의 접근 권한만 부여하고, 끊임없이 신뢰성을 확인해 내부의 중요 정보자산을 보호한다. 주요 기능으로는 ▲사용자 유형별, 권한별 접근 통제 ▲다중인증(MFA) 방식 지원 ▲정책 기반의 다양한 조건에 따른 명령어 통제 ▲실시간 세션 모니터링 및 제어 ▲접속 이력, 작업 내역 등 감사 로그 실시간 저장 등을 제공한다. 특히 제로 트러스트 보안의 핵심인 강력한 사용자 인증을 위해 모바일 OTP, 공인인증서, 이메일, SMS, 생체인증 등 다양한 2차 인증 방식을 지원한다. 또 실시간 모니터링으로 금지된 명령어 사용이나 불법 행위 발생 시 관리자에게 즉시 경고 알람을 보내고 세션을 강제 종료 및 원천 차단한다. 이를 통해 내부의 시스템 관리자와 개발자, 보안담당자는 물론 외부인력에 대한 무분별한 접속과 보안 사고를 사전에 예방할 수 있다. 또 사고가 나더라도 확실한 원인 분석으로 사후 대처를 명확히 할 수 있어 컴플라이언스 대응과 시스템 운영의 보안 관리체계를 강화해준다. 한싹 관계자는 "4년 전부터 패스워드 관리 제품으로 고객만족도에서 우수한 평가를 받으며 시스템 보안 사업 경쟁력을 키워왔다"며 "시스템 보안의 완성도를 높이기 위해 계정관리 제품도 곧 출시할 예정으로, 계정 생성부터 접근 권한 제어 및 통제, 관리까지 총망라한 솔루션을 통해 일원화된 보안 정책과 관리의 편의성, 통합 제로 트러스트 전략 수립 등의 서비스를 제공할 계획"이라고 밝혔다. 한싹은 제로 트러스트 영향으로 시스템 보안 시장 수요가 중요 시스템뿐만 아니라 클라우드 전환에 따른 데이터센터 확장, 스마트팩토리, IoT 기기 등 다양해진 IT 시스템 환경으로도 적용분야가 더욱 확대될 것이라 기대하고 있다. 이주도 한싹 대표는 "고객 요구와 시장 변화에 신속하고 민첩하게 대응하기 위해 새로운 솔루션 연구개발(R&D)에 집중 투자한 결과 올 상반기에만 벌써 2번째 신제품을 출시했다"며 "고객만족도 향상을 최우선 순위에 두고 R&D에 지속 투자해 연내 다양한 분야의 솔루션을 선보이는데 최선을 다할 것"이라고 말했다.

2024.05.08 09:35장유미

KISIA, 제로트러스트 보안 도입 활성화…KOZETA 첫 회의 개최

한국정보보호산업협회(KISIA)가 정부의 제로트러스트 아키텍처 구현 전략에 부합하는 실증사업 안내, 기술 ·정책지원 방안 등을 논의하기 위한 장을 마련했다. KISIA는 한국제로트러스트위원회(KOZETA) 2024년 1차 회의를 개최했다고 30일 밝혔다. 지난해 3월 초대 위원장 조영철 파이오링크 대표(현 KISIA 회장)를 중심으로 발족한 KOZETA는 엔드포인트, 데이터, 네트워크 보안 등 다양한 분야의 제로트러스트 공급기업 및 수요기업 등의 참여가 이어지며 현재 56개 회원사가 활동하고 있다. KOZETA는 2023년 1차‧2차 회의를 비롯해 '제로트러스트 활성화를 위한 컨퍼런스'를 개최하는 한편 ▲실증사업 지원 및 정보보호기업 간 컨소시엄 구성방안 ▲제로트러스트 가이드라인 1.0 관련 정책 동향 ▲국내외 제로트러스트 도입현황 및 공급‧·수요기업별 보안모델 구축 사례 공유 등 과기정통부의 제로트러스트 확산 정책에 발맞춘 활동을 이어간 바 있다. KOZETA는 앞으로 배환국 신임 의장(KISIA 수석부회장, 소프트캠프 대표)를 중심으로 총 3개 분과(실증사업, 상호운용, 정책제도 분과)를 신설해 활동할 방침이다. 특히 올해부터는 국내 정보보호기업간 협력체계 강화 및 상호운용성 확보를 위한 응용프로그래밍인터페이스(API) 공개·공유 방안을 도출하는 등 기업 간 협력에도 초점을 둘 예정이다. 이날 행사에서는 이석준 가천대 교수가 '국외 제로트러스트 최신동향'을 발표했고, 김창훈 대구대 교수는 '망분리 환경 내의 제로트러스트 구현 방안'을 주제로 향후 국내 제로트러스트 발전방향을 제시했다. 이어 한국인터넷진흥원(KISA)의 변순정 팀장은 올해 제로트러스트 도입 시범사업 세부 추진방향에 대해 설명했다. 종합 토의시간에는 과기정통부와 공급‧수요기업 관계자들이 모여 국내 제로트러스트 활성화 방안을 논의했다. 배환국 KOZETA 의장은 "클라우드, AI, 제로트러스트로 대표되는 보안패러다임이 변화되는 시점에서 KOZETA 의장을 맡게 돼 막중한 책임감을 느낀다"며 "글로벌 경쟁력을 갖춘 K-제로트러스트 보안모델이 나올 수 있도록 KOZETA가 적극적인 역할을 하겠다"고 말했다.

2024.04.30 17:08이한얼

SK쉴더스, 아카마이·지니언스 등 10개사와 손잡았다…이유는?

SK쉴더스가 국내외 주요 보안 기업과 함께 제로 트러스트 구현 활성화를 위해 머리를 맞댄다. SK쉴더스는 아카마이&엔큐리티, SGA솔루션즈, 시스코, 지니언스, 소프트캠프 등 10개 사와 함께 '제티아(ZETIA, ZEro Trust Initiative Alliance)' 협의체를 발족했다고 30일 밝혔다. 제로 트러스트(Zero Trust)란 '아무도 신뢰하지 않고, 항상 검증하라(Never trust, Always verify)'는 철학을 기본 전제로 한 보안 방법론이다. 최근 전 산업의 디지털전환과 더불어 AI, 클라우드 등 신기술의 발전으로 인해 사이버 공격의 경로가 다양해지고 있어 이에 대한 대비가 시급한 가운데 전 세계적으로 제로 트러스트 보안 모델 도입 요구가 커지고 있다. 미국 바이든 정부가 행정명령 'EO 14028'을 발동하고, 과학기술정보통신부에서도 제로 트러스트 가이드라인을 발표하는 등 정부 기관에서도 적극적인 대응에 나서고 있다. EO(executive Order) 14028은 국가 사이버보안 개선을 위한 행정명령으로, 로그수집, 데이터 암호화, 물리적 접근 통제, 멀티 인증 등에 대한 내용이 포함됐다. 이처럼 제로 트러스트에 대한 중요성과 관심도는 높아지고 있지만 국내 시장에서는 관련 제품과 서비스가 개별로 제공되고 있어 전문적이고 종합적인 대응 부족이 한계로 지적돼 왔다. 이에 SK쉴더스는 제로 트러스트에 대한 체계적인 대응 프로세스 구축 및 관련 국내외 기업들과 협력을 통한 시장 활성화에 앞장서기 위해 협의체 구성을 추진했다. '제티아'는 제로 트러스트 영역에 대해 공동으로 대응해 시장을 개척하자는 의미를 담았다. 협의체 구성은 제로 트러스트 5대 영역인 ▲ID·인증(SGA솔루션즈·시스코) ▲마이크로 세그멘테이션(Micro-Segmentation, 아카마이&엔큐리티·SGA솔루션즈) ▲SDP(지니언스·소프트캠프·팔로알토) ▲로그 수집·분석(시큐레이어·다이퀘스트·클럼엘) ▲AI 이상징후 분석(인텔리코드·클럼엘) 등에서 대표 기업 10개사가 참여한다. 우선 '제티아'는 고객 환경 및 산업군에 특화된 제로 트러스트 성숙도 모델 기반으로 평가하고 환경을 구축한 후 운영 체계를 수립하는 토탈 서비스를 제공한다. 제로 트러스트 모델이 글로벌 스탠다드로 떠올랐지만 해외 환경이 국내와 상이해 국내 시장에 적용하기가 어렵다는 현장의 목소리를 반영했다. 이 서비스는 SK쉴더스가 개발한 제로 트러스트 구축 아키텍처, 운영 방안, 방법론 등을 바탕으로 협의체 기업들의 제품과 서비스를 고객 환경에 적합하게 설계해 구축하는 형태로 진행된다. 향후 협의체는 기술 공유와 사업 공동 추진, 정부 과제 수행, 유관기관 및 연구기관과 협업을 통해 실질적인 성과를 낼 수 있는 활동에 집중하며 시장 변화에 선제적으로 대응하는 것을 목표로 한다. SK쉴더스는 이번 협의체 운영을 주도하며 강점인 컨설팅 역량을 바탕으로 제로 트러스트 성숙도 모델 개발, 단계별 구축 방법론 제시, 솔루션 구축, 관제, 운영 등 사업 모델을 지속적으로 고도화해 나갈 계획이다. 협의체 기업과 공동 마케팅 활동과 세미나, 동향 보고서 발간 등도 예정돼 있다. SK쉴더스 김병무 정보보안사업부 부사장은 "정보보안 새로운 패러다임의 전환으로 평가받는 제로 트러스트 보안 모델 도입은 하나의 솔루션, 서비스로 대응할 수 없으며 전문 기업들의 적극적인 협력이 기반이 돼야 한다"며 "국내 정보보안 1위 기업으로서 시장을 리딩하고 제로 트러스트 기반 보안 서비스를 지속적으로 시장에 선보이겠다"고 밝혔다.

2024.04.30 09:39장유미

정부, '제로트러스트' 시대 연다…新 보안체계 연내 본격 도입

정부가 무결점 보안을 뜻하는 제로트러스트 신 보안 체계 도입에 55억원을 투입한다. 실증 사업을 마친 상황에서 올해 본격적으로 업무망 환경에 적용한다는 계획이다. 과학기술정보통신부와 한국인터넷진흥원(KISA)는 정부·공공 기관에 새로운 보안체계를 공급한다며 8일 이같이 밝혔다. 과기정통부와 KISA는 작년도 제로트러스트 실증지원사업을 통해 국내 정보보호기업들이 국내 업무망 환경에서 제로트러스트 보안모델을 적용・실증했다. 올해부터는 본격적으로 업무망 환경에 적용・운영하는 것을 지원해나갈 계획이다. 올해 사업에서는 수요기업의 제로트러스트 운영 관리 인력과 연차별 예산 투자 계획 등을 평가해 수요기관이 본격 제로트러스트 보안체계를 도입 운영토록 지원한다. 확산 지원사업에는 과기정통부와 국가정보원, 디지털플랫폼정부위원회가 정부・공공 기관에 제로트러스트 보안체계를 도입·확산하기 위해 협력하고 있다. 올 해 사업결과를 기반으로 정부・공공분야 보안체계를 더욱 고도화해나갈 계획이다. 뿐만 아니라 올해 처음으로 지원하는 '제로트러스트 도입·전환 컨설팅'을 추진하는 등 일선 기업을 본격적으로 조력한다. 오는 16일에는 정부・공공 및 기업 관계자를 대상 제로트러스트 사업 설명회를 개최한다. 정창림 과기정통부 정보보호네트워크정책관은 "갈수록 지능화・고도화되고 있는 사이버 위협에 대응하기 위해서는 적극적인 제로트러스트 보안체계 확산이 필요하다"며 "정부는 제로트러스트 신보안체계를 적극 확산해 국민이 안심하고 일상생활을 영위할 수 있도록 사이버보안 수준을 높여 나가겠다"고 밝혔다.

2024.04.08 12:00이한얼

한국제로트러스트보안협회-투이컨설팅 업무협약 체결

한국제로트러스트보안협회가 수요기관·기업 대상 제로트러스트 전환 컨설팅, 교육 확대에 나선다. 한국제로트러스트보안협회는 투이컨설팅과 업무협약(MOU)을 체결했다고 27일 밝혔다. 이번 협약은 수요기관과 기업을 대상으로 제로트러스트 컨설팅을 통해 경계형 보안을 제로트러스트 보안으로 전환을 지원하기 위해 진행됐다. 투이컨설팅은 IT 및 비즈니스 분야의 국내 대표 컨설팅 회사로 지난 1년 전부터 제로트러스트 전담팀을 구성하고 제로트러스트 성숙도 평가 모델인 2eZTMM v1.0을 개발했다. 2eZTMM1.0은 제로트러스트 도입 전 식별자·신원, 기기·엔드포인트, 시스템, 네트워크, 앱·워크로드, 데이터 등 6가지 핵심 요소별 현재의 성숙도를 150여개의 체크리스트 기반으로 정량적으로 측정하고 현재의 수준에서 목표 수준에 도달하기 위한 넥스트 베스트 액션(NBA)을 제시한다. 이를 기반으로 기업, 기관에서 비용 대비 효과적인 제로트러스트 솔루션/서비스 도입을 위한 구체적인 로드맵을 제시할 수 있는 기반을 제공한다. 개발된 모델은 현재 금융/공기업에 시범 적용 사업을 진행 중이며, 향후 각 평가 항목을 다양한 솔루션 기능과 매핑하여 ZT 도입을 원하는 기업/기관에 최적화된 ZT 솔루션/서비스 선택에 도움을 주는 ZT 전환 컨설팅을 제공하겠다는 계획을 가지고 있다. 한국제로트러스트보안협회는 수요기관과 기업에 대한 제로트러스트보안을 지원하기 위해 하나증권, 코스콤, KTNET 등 수요기관/기업 중심으로 지난해 5월 창립된 사단법인이다.

2024.03.27 16:30남혁우

방위산업학회, K-방산 성장위한 사이버 보안역량 강화 촉구

한국방위산업학회가 K-방산의 지속적인 발전을 위해 사이버 보안역량을 강화할 것을 촉구했다. 한국방위산업학회는 국방혁신기술보안협회, 한국제로트러스트보안협회와 미래 국방보안 강화 컨퍼런스를 공동 개최했다고 26일 밝혔다. 공군호텔에서 열린 아이번 컨퍼런스는 인공지능(AI)과 디지털 국방 기술에 기반한 K-방산의 사이버 보안역량을 강화하기 위해 위험 관리 프레임워크(RMF), 우주보안 및 제로트러스트보안에 대해 의견을 나눴다. 한국방위산업학회 채우석 회장은 과거 무기를 원조받던 대한민국이 지금은 수십조 원의 무기를 수출하는 방산 강국으로서, 우리가 보유한 유・무형의 기술정보를 지킬 수 있도록 방위산업 기술 보호 체계를 강화하고, 방위산업 연구개발과 수출진흥으로 방위산업을 발전시켜야 한다고 개회사에서 강조했다. 한국제로트러스트보안협회 이무성 회장은 환영사에서, 정보화 시대에는 네트워크 기반의 망분리 보안이 큰 역할을 해 왔지만, 지능화 시대에는 데이터 기반의 제로트러스트 보안으로 전환하여 국가 사이버 보안을 근본적으로 강화할 것을 촉구했다. 이를 위해, 각 정부 부처들이 금년에 2025년도 예산 작업할 때 제로트러스트 예산을 포함하여 기획재정부로 제출해 줄 것을 건의했다. 한국국방우주학회 박인호 회장은 축사에서, 우주를 활용한 전쟁은 걸프전과 아프간전, 이라크전, 우크라이나/러시아전에서 보여주듯, 우주는 국가안보의 핵심 영역으로 대두되었기 때문에, RMF, 제로트러스트보안 기술을 우주보안에 활용하여 우주 자산의 보호를 강화해야 한다고 역설했다. 국방혁신기술보안협회 김승주 회장(대통령 직속 국방혁신위원회 위원)은 기조연설에서, 망분리 대안으로 데이터를 C(Classfied), S(Sensitive), O(Open)으로 분류하여 차등적인 보안 조치를 주문하였다. 이를 위해 제로트러스트보안 개념을 적극 활용하고, 디지털플랫폼정부위원회의 실증사업을 거친 후 최종 확정할 것을 제안했다. 비밀이 아닌 데이터의 유통과 활용을 촉진하는 정책도 마련해서 산업에 활력을 불어넣어야 한다고 강조했다. 이번 국방보안 컨퍼런스에서는 인공지능과 디지털전환 환경에서 국방과 방산업체의 보안을 강화하기 위한 다양한 주제 발표와 보안 솔루션 소개가 있었다. 고려대 조광수 박사는 주제 발표를 통해, RMF는 방산업체가 '위험관리 프로세스'를 체계적으로 적용할 수 있도록 도와주는 도구로서 우리나라는 금년 7월부터 K-RMF가 본격 시행될 것으로 전망했다. 미국 국방성(DoD)은 민간기업과 무기 개발 계약을 체결할 업체에는 사이버보안 성숙도 모델 인증(CMMC) 인증을 의무화하고 있다. 공군본부 우주센터 황영민 중령은 민간 우주 역량이 급속히 발전하고 있기 때문에 우주 자산을 민·군이 겸용하고, 민·군간 정보공유체계를 구축하여 우주보안의 효율성을 높일 필요가 있다고 강조하였다. 엠엘소프트 이재준 이사는 제로트러스트 솔루션으로 NAC에 소프트웨어 정의 경계 (SDP) 를 탑재한 T게이트 V4.0과 VPN에SDP를 탑재한 T게이트 SDP V2.0을 소개하고, 두 제품 모두 제로트러스트 아키텍처를 준수하고, CC 인증을 받은 제품으로 국내에 20여 개의 고객사를 확보하고 있다고 소개했다. 이노티움 이형택 대표는 방산업체가 외부 협력사로 무기 도면과 기밀자료를 반출할 때 필요한 제로트러스트 기반 '엔파우치' 솔루션을 소개하였다. '엠파우치'는 반출하기 전에 내역 검출, 결재·승인, 자동 암호화를 수행하고, 열람시 본인인증과 위치 파악 등 강력한 보안통제 기능을 인정받아 현재 국내 방산업체 등 50여 고객사에 공급되어 있다.

2024.03.26 17:55남혁우

데이터와 현실 세계 연결하는 사이버물리시스템(CPS) 보안 선도

디지털 전환을 넘어 AI 트랜스포메이션 시대입니다. 디지털 인프라의 근간은 사이버 보안입니다. 급변하는 환경 속에서 언제나 변화해야만 살아남는 방패를 만드는 사람들. 창의적인 아이디어와 기술로 안전한 사이버 세상을 만들고 신뢰 기반을 쌓는 사람들. 사이버 보안 전문가들과 대화에서 최신 기술과 인사이트를 전달합니다. [편집자 주] 제조 공장을 움직이는 다양한 생산 기기와 물을 정수하고 전력을 생산하는 운영시스템이 사이버 공격자의 표적으로 떠올랐다. 해킹 그룹은 IT시스템에서 자료를 빼돌리거나 암호화하는 것을 넘어 산업제어시스템(ICS)과 사물인터넷(IoT), 로봇 등 디지털과 물리 세계를 연결하는 사이버물리시스템(CPS)을 공격한다. CPS의 가동을 중단시키면 데이터를 빼돌리는 것보다 즉각적인 효과가 나타난다. 2021년 미국 동부의 송유관 기업 '콜로니얼 파이프라인'이 해킹 공격을 받았다. 콜로니얼 파이프라인은 미국 동부에서 소비되는 연료의 45%를 운송하는 기업이다. 이 회사 시스템이 멈추며 미국 동부는 연료 부족과 함께 사재기 파동에 가격 상승 여파까지 받았다. 콜로니얼 파이프라인 해킹은 한 기업의 문제를 넘어 일반인 삶까지 여파를 미쳤다. 러시아가 우크라이나 CPS에 사이버 공격을 감행하며 전쟁을 시작한 이유이기도 하다. 디지털과 물리 세계를 연결하는 CPS는 제대로 보호되지 않으면 국가 운영과 국민의 생명까지 영향을 미친다. ■ CPS 보안이 시급하다 앤앤에스피는 CPS 사이버 위협을 대응하는 전문 기업이다. 앤앤에스피는 2013년 물리적 일방향 망연계 솔루션 '앤넷다이오드'를 개발하며 CPS 보안 시장에 뛰어들었다. 이후 10년간 발전소와 공장 등 중요한 인프라를 보호하는 기업으로 성장했다. 초기 앤앤에스피는 운영기술(OT) 네트워크에서 생성된 데이터를 안전하게 전달하는데 집중했다. 각종 중요 인프라 안에 이를 운영하는 시스템이 작동한다. 과거에는 이런 시스템은 특정 사용자의 작업을 수행하는 용도였다. 인터넷과 연결되지 않고 단독으로 동작해 사이버 보안 고려 없이 설치된 사례가 많다. 분리된 망(Air Gap) 안에 설치됐다. 인터넷이나 네트워크와 연결되지 않았다. 하지만, 생산 시설 등 중요 인프라의 디지털화가 가속화 되면서 이런 접근에 위기가 찾아왔다. 인프라 운영 시스템이 인터넷과 연결됐고 해커가 침입할 수 있는 경로가 생겼다. 앤앤에스피 '앤넷다이오드'는 운영시스템에서 생산된 데이터를 안전하게 수집하고 해커가 내부 시스템으로 침입하는 것을 방지한다. 사업 초기에 운영 시스템 네트워크 보안에 집중했던 앤앤에스피는 이제 CPS 전반을 보호하는 기업으로 진화했다. 기업 조직은 단순히 OT 네트워크만 보안해서는 안되는 상황에 직면했기 때문이다. 기업은 OT를 넘어 IoT, IIoT, 스마트빌딩, 헬스케어 기기 등까지 CPS를 모두 보호해야한다. 김일용 앤앤에스피 대표는 “중요한 인프라와 제조, 운송, 유틸리티, 건물관리, 의료 등 분야에는 CPS가 운영된다. 이를 OT라 부르기도 하고 사물인터넷이나 스마트빌딩솔루션, 인더스트리4.0이라는 명칭으로 부르기도 한다”면서 “명칭에 관계 없이 이들의 공통점은 디지털로 관리되지만 실제 물리 세계와 상호 작용한다"고 말했다. ■ CPS 보안 플랫폼 완성 앤앤에스피는 일방향 데이터 전송 솔루션 '앤넷다이오드'가 시장에 안착한 후 CPS 전체 영역을 보호하는 솔루션 개발에 집중했다. SW 공급망 보안 솔루션 '앤넷트러스트', 양방향 망간자료전송 솔루션 '앤넷CDS(Cross Domain Solution)', OT자산 가시화 및 위협 모니터링 솔루션 '앤넷NDR' 등을 연이어 개발해 CPS 토털 솔루션 '앤넷 CPS 프로텍션 플랫폼'을 완성했다. 앤앤에스피는 20년간 CPS 보안 노하우를 집적해 앤넷 CPS 프로텍션 플랫폼을 만들었다. 김 대표는 "물리적 일방향 망연계 솔루션으로 OT보안을 시작한 앤앤에스피는 이제 '앤넷 CPS 프로텍션 플랫폼'으로 주요 크리티컬 인프라는 물론 기업까지 OT망과 IT망에 신뢰도 높은 연결을 지원하는 글로벌 CPS 보안 기업이 될 것"이라고 말했다. 그는 "CPS 보안의 전문성에 IT인프라 구축 경험을 더해 CPS와 IT 인프라 전반을 보호하는 플랫폼을 완성했다"고 덧붙였다. ■ 데이터 등급에 따른 보안과 제로 트러스트, 공급망 지원 올해 한국 정부는 데이터 등급에 따른 보안과 제로 트러스트 아키텍처 적용, 공급망 보안 강화에 집중하고 있다. 중앙 정부기관과 금융권은 10여년 전부터 내부 중요망과 인터넷망을 분리해 사용했다. 이런 환경은 보안 강화에는 일조했지만 인공지능(AI) 시대 데이터 활용을 가로 막는 장벽이 됐다. 김 대표는 "앤앤에스피는 CPS를 넘어 IT 엔터프라이즈 영역 전반 보안을 제공한다"면서 "데이터를 등급에 맞춰 활용하려면 안전한 데이터 전송이 핵심"이라고 설명했다. 이어 "기업이나 기관에 적용되는 각종 소프트웨어의 보안 업데이트를 검사해 안전한 경우에만 내부로 전달해야 한다"면서 "소프트웨어 업데이트 자체도 믿지 않는 제로 트러스트"라고 강조했다. 최근 해커는 기관이나 기업이 많이 사용하는 소프트웨어의 취약점을 찾는데 혈안이다. 소프트웨어의 취약점을 악용해 악성파일을 업데이트한다. 앤앤에스피는 이 과정에서 악성파일이 업데이트되지 않게하는 솔루션을 제공한다. 김 대표는 "미국에서 펀딩에 성공한 사이버 보안 스타트업 상위 10곳 중 2곳이 CPS 보안 기업"이라면서 "세계적으로 CPS 보안 시장이 확대되고 있으며 전문성을 갖춘 기업 가치가 높아지고 있다"고 말했다. 그는 "앤앤에스피는 글로벌 CPS 보안 기업에 뒤지지 않는 기술력과 경쟁력을 갖췄다"면서 "2025년 기업공개(IPO)도 준비 중"이라고 밝혔다.

2024.03.19 10:54김인순

2024년 주목할 사이버 보안 분야는?

'생성AI 보안'과 '사용자인증관리(IAM)'에 주목하라. 글로벌 시장조사기관 CB인사이트와 가트너가 공통적으로 지목한 올해 주목해야 할 사이버 보안 분야다. CB인사이트는 사이버 보안 분야 초기 투자 동향을 분석해 2024년 가장 주목받을 6개 분야를 꼽았다. ▲머신러닝 시큐리티 ▲데이터베이스 보안 ▲IAM ▲침해사고 시뮬레이션 ▲사이버 위협 관리 ▲보안 인식 트레이닝이다. CB인사이트는 생성AI 발전이 가속화되고 기업 내 도입이 늘어나면서 관련 사이버 보안 이슈가 증가하고 있는데 주목했다. 생성AI는 사이버 위협 빈도는 물론 정교함을 높이는 도구로 이용되고 있다. 생성AI의 발전은 새로운 사이버 보안 요구 사항을 불러왔다. 기업은 데이터는 물론이고 대규모언어모델(LLM), 직원이 생성AI를 사용하는 방식을 보호해야 한다. 가트너는 23일 '2024년 톱 시큐리티 트렌드'를 발표하고 생성AI 진화에 따른 대비를 주문했다. 가트너는 ▲생성AI ▲사이버 보안 성과지표 ▲인적 위험을 줄이는 문화 프로그램 ▲서드파티 사이버 보안 위협 관리 ▲위협 노출 관리 프로그램 ▲IAM 역할 확대 등 6가지 분야를 강조했다. 기업 최고보안책임자(CISO)에게 챗GPT와 재미나이 등 LLM은 관리해야 할 또 다른 과제로 떠올랐다. 초기 단계이지만 LLM 관련 보안 취약점이 증가하고 있다. 인공지능, 머신러닝을 채택하는 기업은 늘어나고 있지만 이에 대한 취약성을 인지하고 사이버 보안 대책을 세우는 곳은 드물다. 대부분의 소프트웨어 에코시스템과 마찬가지로 진입 장벽이 낮을수록 보안 장벽도 낮아진다. 사이버 보안 전문가들은 머신러닝 모델의 취약점과 특수성을 악용하는 공격 활동에 촉각을 곤두 세우고 있다. ML이 새로운 사이버 공격 표면이 됐기 때문이다. 두 기관이 동시에 주목한 또 다른 분야는 IAM이다. 기업 내 클라우드 서비스 사용이 증가하면서 각 애플리케이션마다 사용자 인증이 핵심 요소로 떠올랐다. IAM은 클라우드 환경 내 모든 리소스의 인증과 권한 부여를 관리하는 복잡한 구성 요소일 뿐만 아니라 사이버 공격의 1차 방어선 역할을 하는 가장 중요한 요소다. 버라이즌 조사에 따르면 사이버 공격의 약 75%가 자격 증명 손상과 권한 남용을 포함하는 인적 요소와 관련된다. 팔로알토네트웍스는 200개 기업 1만8천개 클라우드 계정에서 68만개 ID를 분석해 내놓은 클라우드 위협 보고서를 내놨다. 놀랍게도 99%의 클라우드 사용자, 역할, 서비스, 리소스가 권한을 과도하게 부여받은 채로 방치되고 있다. 사이버 공격자는 기업 내부 직원의 로그인 ID와 비밀번호를 탈취해 내부로 침투하고 있다. 기업 클라우드 환경에 정상 활동처럼 접속해 데이터와 정보를 빼돌린다. 기업은 이런 보안 취약점을 예방하고 방어하기 위해서 적절한 권한을 가진 사용자가 필요한 데이터와 리소스에 접속할 수 있게 하는 IAM 도입을 늘리고 있다. 특히, IAM은 '제로 트러스트 사이버 보안 프레임워크'를 완성하는 기반이다. 아무것도 믿지 말고 항상 검증하라는 제로 트러스트 원칙에 따라 IAM으로 사용자를 끊임 없이 인증해야 하기 때문이다. 미국 연방 정부는 2024년 안에 모든 기관에 제로 트러스트 모델을 채택하라고 권고하면서 관련 시장이 성장하고 있다. 가트너는 "보안 시장에서 IAM의 역할이 그 어느 때보다 증가하고 있다"면서 "CISO가 사용자 ID에 대한 관리를 강화하고 관련 위협 탐지하는데 집중하고 있다"고 설명했다.

2024.02.23 11:13김인순

지니언스, 2024년 파트너데이 개최

사이버 보안 전문 기업 지니언스(대표 이동범)는 파트너와 상생 협력 및 동반성장을 위해 '2024년 지니언스 파트너데이'를 개최한다고 22일 밝혔다. 지니언스가 파트너사와 지난 한 해의 성과를 돌아보고, 올해 중점 추진사항 및 향후 비전을 공유한다. 2월 22일부터 23일까지 이틀간 진행되며 대신정보통신, 론스텍을 비롯한 57여 개의 파트너사가 참석할 예정이다. 지니언스는 제로 트러스트, 클라우드 보안 등 최신 보안 트렌드를 분석하고, 이러한 환경에 효율적으로 대처할 수 있는 통합 보안 접근 방식을 제시할 계획이다. 행사는 ▲각 사업별 소개 및 현황 공유 ▲지니언스 시큐리티 센터(GSC) 소개 ▲지니안 ZTNA(Zero Trust Network Access) 개발 방향 제시 등 다양한 주제로 진행된다. 또한 지니언스가 투자한 클라우드 전문기업 클라이온의 노유변 부사장도 무대에 올라, 향후 협업 방향 및 전략을 공유한다. 이동범 지니언스 대표는 "제로 트러스트, 클라우드 등 올 한해 국내 보안 산업의 큰 변화가 예상된다"면서 "지니언스가 파트너와 선도적인 역할을 수행할 수 있도록 더욱 노력할 것"이라고 전했다. 지니언스는 NAC, EDR, ZTNA 등 주력 제품의 시장 점유율을 지속적으로 확대하고 있으며, 지난해 사상 최대 매출을 기록하며 19년 연속 흑자 달성에도 성공했다.

2024.02.22 14:41김인순

Prev 1 2 3 4 Next