검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'제로 트러스트'통합검색 결과 입니다. (65건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

앤앤에스피-성신여대와 정보보호인력 양성 협력

글로벌 사이버물리시스템(CPS) 보안 전문 기업 앤앤에스피(대표 김일용)가 성신여자대학교와 정보보호 전문 인력 양성에 협력한다. 앤앤에스피는 22일 성신여대 연구산학협력단과 직무 중심 정보보호 전문 인력 양성에 협력하는 양해각서를 교환했다. 양기관은 정보보호 산업 현장 수요에 맞는 교육과정을 개설하고 운영할 계획이다. 정보보호 특화 과정 운영을 위한 인프라를 마련하고 관리한다. 산학 공동 연구개발과 협력 사업 등을 추진한다. 이를 통해 글로벌 사이버 보안 리더를 양성할 계획이다. 앤앤에스피는 2015년 물리적 일방향 망연계 솔루션 '앤넷다이오드'를 출시하며 CPS 보안 시장에 진출했다. 앤넷다이오드는 2023년 조달 공급 기준 1위 판매량을 기록하며 한국 대표 일방향 망연계 솔루션이 됐다. 앤앤에스피는 2023년 창립 20주년을 맞아 CPS보안 플랫폼 '앤넷 CPS 프로텍션 플랫폼'을 공개했다. 앤앤에스피는 중요 인프라와 제조, 운송, 유틸리티, 건물 관리, 의료 등에서 운영되는 CPS의 보안을 선도한다. 김일용 앤앤에스피 대표는 “성신여대 연구산학협력단과 함께 산업계에서 실제 필요한 인력을 양성하는 교육과정을 만드는데 힘을 보태겠다"고 말했다.

2024.02.22 14:40김인순

'일회용 인증코드' 제로 트러스트 핵심 인프라로 만든다

디지털 전환을 넘어 AI 트랜스포메이션 시대입니다. 디지털 인프라의 근간은 사이버 보안입니다. 급변하는 환경 속에서 언제나 변화해야만 살아남는 방패를 만드는 사람들. 창의적인 아이디어와 기술로 안전한 사이버 세상을 만들고 신뢰 기반을 쌓는 사람들. 사이버 보안 전문가들과 대화에서 최신 기술과 인사이트를 전달합니다. [편집자주] 제조 공장에서 운영되는 자동제어시스템(PLC). 공장 직원이 PLC 관리를 위해 사용자 로그인을 한다. PLC 시스템 한대를 직원 여러명이 작동시킨다. ID와 비밀번호는 1개다. 내부 인력은 ID와 비밀번호를 공유하고 심지어 외부 인력에게도 이 내용을 알려준다. 산업 현장에 디지털 전환이 가속화되면서 제조 공장에 PLC 사용이 증가했다. PLC는 각종 센서에서 받아들인 신호를 기반으로 장비를 움직이는 역할을 한다. 이같이 중요한 장치의 로그인 정보가 허술한 보안 관리에 놓인 경우가 많다. 센스톤(대표 유창훈)은 단방향 다이내믹 인증기술로 이런 위험을 줄인다. 인가된 사용자에게 매번 바뀌는 인증 코드를 제공한다. 비인가자가 PLC에 무단으로 접속하는 것을 막는다. 로그인 비밀번호를 외울 필요도 없고 유출돼도 인증되지 않는다. 클라우드 서비스 가속화로 '사용자 인증'이 핵심으로 떠올랐다. 아무도 믿지 말고 항상 검증하라는 '제로 트러스트' 아키텍처를 구현하려면 강력한 '사용자 인증'이 기반돼야 한다. 센스톤은 사람과 기기, 가상세계까지 안전하고 간편하게 사용자를 식별하는 OTAC(One-Time Authentication Code)를 개발했다. 센스톤을 이를 '단방향 다이내믹 인증 기술'로 부른다. 이 기술은 통신이 안되는 환경에서도 실시간으로 매번 변경되는 일회성 인증 방식을 제공한다. 사용자와 기기를 동시에 인증한다. 생성된 인증 코드는 중복되지 않는다. 유창훈 대표는 "센스톤은 지금까지 전혀 찾아볼 수 없던 새로운 인증방식인 OTAC를 개발했다"면서 "기존 인증 방법의 한계를 뛰어 넘는 새로운 기준을 제시한다"고 말했다. 센스톤이 기존과 다른 인증방식을 개발한 건 유 대표의 다양한 경험에 기반한다. 유 대표가 이런 기술을 개발하려했을 때 기존 연구자들은 어렵다고 손사레를 쳤다. 그는 포기가 아니라 단방향 다이내믹 인증 기술을 구현할 창의적인 생각을 멈추지 않았다. 유 대표는 암호학도 컴퓨터공학도 아닌 조선공학과 출신으로 OTAC 알고리즘 설계 아이디어를 영화 인터스텔라의 한 장면에서 얻었다고 설명했다. ■ OTP와 QR코드 단점을 없앴다 센스톤이 개발한 OTAC은 인터넷뱅킹 등을 할 때 사용하는 일회용비밀번호(OTP)나 QR코드와 비슷해 보이지만 다르다. 유 대표는 "OTP는 로그인 후에 2차 인증으로 주로 사용한다. 시스템은 OTP를 입력하면 사용자가 누구인지 구별할 수 없다"고 설명했다. 이어 "QR코드도 양방향 통신을 해야 한다. 통신이 제약된 환경에서 쓸 수 없다"고 덧붙였다. OTAC은 QR코드와 달리 통신이 안되는 환경에서도 매번 바뀌는 다이내믹 코드를 생성하고 이를 기반으로 인증한다. OTP와 달리 사용자를 구별할 수 있다. 생성된 코드는 일회성으로 특정 시간대에 특정 사용자만이 사용하도록 허용된다. 다른 사용자에게 유출돼도 안심할 수 있는 이유다. OTAC를 생성하고 검증하는 모듈 사이즈는 4KB 미만이다. 스마트폰은 물론이고 스마트카드 칩에 OTAC를 넣을 수 있는 초소형 알고리즘 사이즈다. 0.4초 미만으로 연산을 끝낸다. 유 대표는 "스마트폰 유심부터 스마트카드칩, 사물인터넷(IoT) 기기 등에 모두 넣을 수 있는 크기로 구현했다"면서 "사용자 인증이 필요한 다양한 산업 적용 가능하다"고 말했다. ■ 신용카드부터 스마트홈, PLC까지 센스톤은 OTAC 적용 범위를 확대하고 있다. OTAC를 처음 적용한 분야는 신용카드였다. 신용카드 정보 유출로 인한 피해를 막기 위해 사용할 때마다 변하는 카드 번호를 제공했다. 지문인식카드에 OTAC를 접목한 생체 인증 디스플레이 카드다. 일반 결제용 카드에 지문 인식 기능과 OTAC 알고리즘이 함께 탑재됐다. 카드는 사용자의 지문이 인식될 때만 카드번호, 유효기간, CVC 등의 일회성 정보를 생성한다. 토스뱅크의 체크카드에도 센스톤 기술이 들어갔다. 유 대표는 "1초당 1217개 새로운 사물인터넷(IoT)이 인터넷에 연결되는데 이들은 5분 이내 사이버 공격에 노출된다"면서 "사양이 낮은 IoT를 보호할 가벼운 인증이 필요하다"고 설명했다. 해커는 IoT 펌웨어를 조작해 악성코드를 감염시켜 좀비로 악용한다. IoT에 OTAC를 적용하면 비인가 시스템에서 전송되는 명령이 실행되지 않아 불법 소프트웨어 다운로드를 원천 차단할 수 있다. 센스톤은 운영기술(OT)까지 적용 분야를 확대했다. 통신이 원할하지 않은 제조 환경에서 PLC를 안전하게 운영할 수 있는 인증을 제공한다. 이 회사는 글로벌 PLC 선도기업인 독일 피닉스컨택트(Phoenix Contact)의 디지털 소프트웨어 마켓플레이스 PLC넥스트스토어(PLCnext Store)에 모듈형 사용자 인증 고도화 솔루션 'OTAC auth - MFA for PLCnext'를 정식 출시했다. ■ AaaS(Algorithm as a Service) 시장 연다 센스톤은 인증 알고리즘을 서비스하는 기업으로 도약을 노린다. 센스톤은 금융과 기기 인증 이어, OT영역에서 새로운 기회를 발굴해 2024년 하반기 기술특례 상장을 목표로 한다. 유 대표는 "인증에 사용되는 공개키기반구조(PKI)가 상용화된지 20년이 지났다"면서 "2017년 개발한 OTAC는 이제 AaaS(Algorithm as a Service)로 진화할 것"이라고 강조했다.

2024.02.21 13:55김인순

AI, 제로 트러스트 확산 촉매제로 떠올라

인공지능(AI)이 도입이 지지부진한 제로 트러스트(Zero Trust) 전략을 확산하는 촉매제가 될 전망이다. 사이버위협연합(CyberRisk Alliance)이 내놓은 '제로 트러스트' 보고서에 따르면 관련 개념이 한국보다 먼저 확산된 미국에서 조차 제로 트러스트를 구현한 조직은 30% 미만인 것으로 나타났다. 보안 담당자들은 제로 트러스트의 필요성은 인정하지만 실제로 적용은 쉽지 않다고 입을 모은다. 포레스터 리서치 분석가 존 킨더백이 15년 전 주창한 제로 트러스트. 제로 트러스트는 아무것도 신뢰하지 않는다'는 것을 기본 전제로 삼는 보안 전략이다. 특정한 보안 제품이나 서비스를 뜻하지 않는다. 과거 보안은 외부로 부터 내부망으로 들어오는 경계를 철저히 지키는데 집중했다. 이와 달리 제로 트러스트는 신뢰하는 내부자나 단말기라도 접근하는 애플리케이션과 데이터에 따라 철저하게 다시 한번 검증하고 권한을 부여하는 방법이다. 조직 사이버 보안을 위한 근본적인 전략으로 떠올랐지만 일선에서는 이를 적용하는데 어려움을 겪고 있다. 보고서는 15년째 정착되지 않는 제로 트러스트가 AI의 효과를 볼 것으로 예측했다. AI는 사이버 공격을 식별하고 사용자 행동과 네트워크 활동 패턴을 밝히는 역할을 한다. AI는 그동안 정적인 운영 환경이었던 사이버 보안을 적응 가능한 보안으로 전환하는데 도움을 준다. 예를 들어, AI는 실시간 위험을 평가해 사용자 권한을 자동 조정한다. 사고 대응을 자동화한다. 사용자 활동과 위협 사고를 학습하면서 시간이 지남에 따라 대응력이 높아진다. AI는 조직내 보안 정책 위반 시도를 빠르게 식별한다. 네트워크 패턴과 사용자 행동, 상황을 파악한다. 피싱 이메일에서 비정상적인 텍스트 패턴을 탐지하는 것은 생성 AI 기술을 제로 트러스트와 통합해 얻을 수 있는 가장 큰 이점이다. 보고서는 그동안 제로 트러스트가 제대로 구현되지 않는건 비용과 복잡성, 생산성 저하 가능성, 기존 레거시 IT시스템 등이 작용하기 때문이라고 분석했다. 보안담당자가 제로 트러스트를 조직에 구현하려면 높은 비용 문제에 직면한다. 제로 트러스트는 특정 제품이나 서비스를 도입한다고 해결되는 문제가 아니다. 조직 전체가 보유한 자산을 정리한 후 이에 맞춰 접근 가능한 단말과 사용자에 권한을 부여해야 한다. 이 과정에서 신규 서비스와 도구의 도입이 필요하다. 보안 담당자는 이에 대한 예산을 확보하는데 어려움을 겪고 있다. 제로 트러스트가 기존 레거시 IT시스템을 전면 교체해야하지는 않지만 일부 전환이 필요하다. 또 다른 문제는 제로 트러스트 구현의 복잡성이다. 보안담당자들은 제로 트러스트 전략을 구현하며 조직원들이 겪게될 워크플로우(workflow)와 프로세스 변화, 생산성 저하 등의 문제에 직면한다. 조직 내 제로 트러스트 구현을 위해선 접근 권한과 사용자 환경(UI)가 필요하다. 이에 대한 불편함이나 거부감을 호소하며 업무 생산성 저하 문제를 제기한다.

2024.01.31 11:30김인순

앤앤에스피, '앤넷트러스트' 보안기능확인서 V3.0 획득

앤앤에스피(대표 김일용) 소프트웨어 공급망 보안 솔루션 '앤넷트러스트(nNetTrust)'가 국가정보원 '국가용보안요구사항 V3.0 보안기능확인서'를 획득했다. 국가정보원은 국가정보통신망의 보안수준 제고를 위해 '국가정보원법' 제4조와 '전자정부법' 제56조에 의거, 국가·공공기관이 도입하는 정보보호시스템에 대해 보안적합성 검증 제도를 시행하고 있다. 자료 전송 관련 제품의 경우 2020년부터 'CC 인증'에서 '보안기능 확인서'를 활용한 선검증 절차로 전환·시행 중이다. '보안기능확인서'를 발급받을 경우 보안적합성 검증절차를 생략하고 운영할 수 있다. 국가정보원은 사이버 공격 기법이 다양화·고도화됨에 따라 피해를 줄이기 위해 보안요구사항 수준을 높인 '국가용 보안요구사항 V3.0'을 2023년 4월부터 의무 적용하고 있다. 앤앤에스피 '앤넷트러스트'는 새로운 국가용 보안요구사항 V3.0 규격기준에 따라 보안기능확인서를 획득했다. 소프트웨어(SW) 공급망 보안 솔루션 중 국가용 보안요구사항 V3.0에 기반하여 보안기능확인서를 획득한 제품이다. 망간자료전송제품의 경우 기존 국가용 보안요구사항 V1.0에서 안전성 검증 기준이 36개였는데 V3.0에서는 67개로 약 2배 가량 늘었다. 앤넷트러스트는 소프트웨어 보안 업데이트를 안전하게 지원하는 망연계 솔루션이다. 악성코드 유입에 대한 클린시스템 기능을 제공한다. 최근 공격자들은 SW 기업 내부망에 침투해 제품에 악성코드를 숨겨 고객에게 유포하는 공급망 공급에 열을 올리고 있다. 앤넷트러스트는 이런 SW 공급망 보안 이슈에 대응한다. 외부망에서 조직 내부망으로 SW 업데이트를 하거나 특정 파일과 자료 등을 검사해 안전하고 인가된 정보만 전달한다. 앤넷트러스트는 송신 서버(TX), 멀티 백신 엔진이 장착된 클린 PC 서버(CLN), 수신 서버(RX) 총 3개의 서버가 하나로 시스템으로 구성됐다. 그동안 일부 기관은 망분리 정책에 따라 패치 및 업데이트 관리자가 인터넷에서 패치, 업데이트 파일을 다운받아 클린PC에서 검사하고 수동으로 업무망으로 업로드했다. 보안관리자는 취약성이 발견될 경우 패치 및 업데이트를 수동으로 작업해야해 위협 대응 '골든타임'을 지키기 어려웠다. 앤넷트러스트는 비보안영역(외부망 등)에서 패치, 업데이트, 외부 정보 등을 수집해 클린 영역에서 악성코드 및 무결성을 검사한다. 보안영역(업무망 등)으로 검증된 수집 정보를 일방향으로 안전하게 전달해 업무의 효율성을 높인다. 앤넷트러스트는 외부망에서 수집한 패치 및 업데이트를 정보를 클린시스템을 거쳐 내부망으로 자동 전달해 실시간 패치한다. 동시에 외부로 정보유출도 차단한다. 앤넷트러스트는 물리적 일방향으로 분리되는 '에어갭' 환경을 유지해 외부망에서 내부망으로만 자료 전송이 가능하다. 보안 취약성 패치는 빠르게 수행하면서 내부에서 외부로의 자료 반출은 불가능하다. 앤넷트러스트는 유명 소프트웨어 기업의 패치 파일도 신뢰하지 않고 한번 더 무결성을 검증하는 '제로 트러스트' 아키텍처를 지원한다. 국방 관련 기관들은 소프트웨어 공급망에 대한 보안위협을 완화하기 위해 인터넷에서 유통되는 오픈소스를 개발 망에 다운로드하는 경우, 체크섬 유효성 검사를 해야 한다. 국방 관련 A기관은 앤넷트러스트를 도입해 소스제어 벤더 종속성 포함 여부와 SBOM(Software Bill of Material) 게시 자동화에 활용했다. 김일용 앤앤에스피 대표는 “사이버 공격자들이 무차별 해킹보다는 특정 기업을 표적으로 삼아 침투하고 있다"면서 “공격자는 소프트웨어 개발 프로세스를 방해하거나 완성된 제품의 취약점을 찾아내 업데이트를 통해 악성코드를 배포한다”고 설명했다. 이어 “앤넷트러스트는 이런 SW 공급망 이슈에 대응하는 제품으로 이번에 보안기능확인서 V3.0을 획득해 공공기관 SW 공급망 보안을 강화할 수 있다"고 덧붙였다.

2024.01.24 14:30김인순

앤앤에스피, 사이버작전사령부 출신 송재은 박사 영입

글로벌 사이버물리시스템(CPS) 보안 전문 기업 앤앤에스피(대표 김일용)가 사이버작전사령부 정보체계단장 출신 송재은 박사를 CPS사업부 본부장으로 영입했다. 송재은 본부장은 육군정보체계단, 합동참모본부 사이버지휘통신참모부, 사이버작전사령부 등 군 정보화와 사이버 안보 전문가다. 송 본부장은 육군사관학교에서 전산과, 연세대 전자공학과 석사, 숭실대 IT정책학과에서 박사 학위를 받았다. 송 본부장은 앤앤에스피에서 CPS 보안 사업부를 총괄한다. 앤앤에스피는 2023년 12월 기존 운영기술(OT) 보안 노하우를 축적한 '앤넷 CPS 프로텍션 플랫폼'을 공개했다. CPS는 디지털로 관리되지만 실제 물리 세계와 상호작용하는 시스템이다. 가트너는 CPS를 물리적 세계와 상호작용하는 감지, 제어, 네트워킹, 분석을 조율하는 엔지니어링 시스템으로 정의한다. 중요 인프라와 제조, 운송, 유틸리티, 건물 관리, 의료 분야에서 운영되는 시스템을 말한다. 송 본부장은 가장 신뢰도 높은 군의 정보화와 정보보호 노하우를 '앤넷 CPS 보안 플랫폼'으로 전파하는데 앞장선다. 김일용 앤앤에스피 대표는 “CPS 보안에 실전 경험을 갖춘 전문가를 영입해 기쁘다"면서 “앤앤에스피는 주요 시설 인프라와 기업에 신뢰도 높은 연결을 지원할 것"이라고 말했다.

2024.01.16 16:12김인순