검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'한-중동 사이버보안 간담회'통합검색 결과 입니다. (261건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

장덕현 삼성전기 사장 "여성 직원이 능력 발휘하는 문화 만들자"

장덕현 삼성전기 사장은 8일 '세계 여성의 날'을 맞아 여성 리더들과 소통 간담회를 가졌다. 장 사장은 이날 간담회에서 "일과 가정을 양립하며 조직을 이끌고 있는 여러분들이 그 누구보다 힘들 것"이라며 "더 나은 사회를 만들기 위해 용기를 낸 여성들을 기억하자"고 말했다. 이어서 그는 "여성 직원들이 능력을 충분히 발휘하고 성장할 수 있는 문화, 서로 존중하고 포용하는 조직문화를 함께 만들어가자"고 당부했다. 삼성전기는 국내 임직원의 24%가 여성 임직원으로 이들을 위해 다양한 제도를 운용하고 있다. 자녀 출산 및 양육지원, 유연근무 제도, 가족친화 직장문화 조성 등 가족친화제도를 모범적으로 운영해온 결과 2013년부터 가족친화기업 인증을 취득한 후 지금까지 유지하고 있다. 삼성전기는 출산과 육아로 발생할 수 있는 경력 단절을 막고 일과 가정을 양립할 수 있도록 법 기준 이상으로 휴가 및 휴직제도를 운용하고 있다. 임신 기간 동안 근로시간 단축 및 출산 전후휴가, 난임 휴가, 남성 직원에게는 배우자 유사산 휴가, 배우자 출산휴가 등을 부여한다. 또한 육아지원을 위해 만 12세 이하 자녀를 둔 임직원을 대상으로 육아휴직 제도도 운용하며, 많은 임직원들이 활용하고 있다. 여성 직원의 커리어를 개발하고 역량을 강화하기 위해 여성 리더 양성 교육을 실시한다. 여직원 중 미래 리더로 자질이 있는 인력을 선정하여 다양한 리더 양성 과정 교육을 제공해 미래 여성 경영리더로 양성한다. 삼성전기는 2020년부터 매년 여성 임원을 배출하고 있다. 한편 삼성전기는 기업 투명성 제고와 책임 경영을 위한 이사회에서도 2014년부터 여성 사외이사를 선임했고, 삼성 내 처음으로 사외이사의 여성 비중을 50%로 확대해 성비 균형을 맞추고 있다. 특히 이윤정 환경전문 변호사를 ESG 위원장에 선임하는 등 이사회 다양성 확대에도 힘을 쏟고 있다. '세계 여성의 날'은 여성의 지위 향상을 위해 국제연합(UN)에서 정한 기념일이다. 1908년 3월 8일 미국의 여성 노동자들이 근로 여건 개선과 참정권 보장을 요구하며 시위를 벌인 것이 계기가 되어 1977년 3월 8일부터 공식 지정됐다. 한국에서는 2018년부터 법정기념일로 지정해 '여성의 날'을 기념하고 있다.

2024.03.08 14:18이나리

티오리-국민대, MOU 체결…"미래車 사이버보안 인재 양성"

보안 전문 기업 티오리와 국민대학교가 미래자동차 사이버 인재양성을 위해 손을 맞잡았다. 티오리와 국민대는 이같은 내용을 골자로 한 업무협약(MOU)을 체결했다고 7일 밝혔다. 이번 협약은 첨단 IT 기술이 집약된 미래자동차의 보안 강화를 위한 인재 양성과 국내 미래자동차 사이버보안 산업 발전에 기여하기 위해 기획됐다. 국민대는 미래자동차 사이버보안 분야 노하우와 축적된 교육 역량을 제공하고, 티오리는 교육 콘텐츠 제작과 보급을 담당한다. 특히 티오리는 사이버보안 교육 플랫폼 '드림핵(Dreamhack)'을 활용해 보안의 기초부터 고급 단계의 폭넓은 강의 콘텐츠를 제공한다. '드림 비기너즈(보안 초급 강의)', 시스템 해킹, 리버스 엔지니어링, 임베디드 등의 강의를 수료할 경우 국민대 학생들은 학점 이수도 가능해진다. 박세준 티오리 대표는 "국민대학교를 비롯한 여러 대학의 학생들에게 사이버 보안의 기초부터 실무형 교육 콘텐츠를 제공할 수 있게 돼 매우 기쁘다"며 "현업에서 필요로 하는 보안 역량을 갖출 수 있도록 일조할 것"이라고 말했다.

2024.03.07 13:59이한얼

아시아의 팔란티어를 꿈꾼다

■디지털 전환을 넘어 AI 트랜스포메이션 시대입니다. 디지털 인프라의 근간은 사이버 보안입니다. 급변하는 환경 속에서 언제나 변화해야만 살아남는 방패를 만드는 사람들. 창의적인 아이디어와 기술로 안전한 사이버 세상을 만들고 신뢰 기반을 쌓는 사람들. 사이버 보안 전문가들과 대화에서 최신 기술과 인사이트를 전달합니다. [편집자주] 다크웹(Dark Web). 말 그대로 어둠의 웹이다. 일반 사람들은 한번도 접속해보지 못한 공간이 바로 다크웹이다. 크롬이나 엣지 등 웹브라우저가 아닌 별도의 전용 프로그램으로만 접속할 수 있는 웹이다. 이곳에서 무슨 일이 일어날까? 개인정보와 회사 기밀 등 불법 데이터 거래부터 마약과 무기 거래 등 온갖 범죄와 테러정보가 오간다. 철저한 익명성과 은밀함에 기반해 그 영향력은 계속 커진다. 다크웹 유통정보에 대한 분석은 범죄 대응은 물론이고 국가 안보까지 영향을 미친다. S2W(대표 서상덕)는 다크웹에서 정보를 수집하고 분석하는 데이터 인텔리전스 기업이다. S2W는 세이프(Safe)와 시큐어(Secure) 월드(World)란 뜻이다. 사이버 공간이 보다 안전한 세상이 되는 기술을 제공한다. 이 회사는 2018년 서상덕 대표와 카이스트 네트워크 보안 연구진이 함께 설립했다. 약 200억원을 투자받은 3세대 사이버 보안 기업이다. 데이터 인텔리전스는 기업은 물론 국가 유지에 중요한 축으로 자리 잡고 있다. 기업은 데이터 인텔리전스를 기반으로 위험관리를 할 수 있다. 러시아-우크라이나 전쟁이나 이스라엘-팔레스타인 전쟁 등 지정학적 위협이 높아지며 국가 데이터 인텔리전스 중요성은 그 어느 때보다 높다. "초기 회사를 설립했을 때는 다크웹 정보를 수집해 사이버 범죄와 관련된 인텔리전스를 제공하는데 집중했습니다. 다크웹에서 오가는 정보의 의미를 해석하고 위협에 대비할 수 있는 인사이트를 뽑아냈습니다." 서상덕 대표는 사이버 우범지대에서 가시성을 확보하는데 집중했다. ■ 데이터에 AI를 접목 S2W는 다크웹 범죄자의 언어를 익히고 그들이 유통하는 데이터에서 인사이트를 뽑아냈다. 일반 사람은 접속도 하기 힘든 어둠의 웹에서 범죄자들만이 사용하는 은어의 뜻을 찾아내고 위협의 흐름을 쫒는 일이다. 국가 정보기관이나 수사기관이 할 일을 민간 기업이 수행하고 있다. 서 대표는 "S2W는 AI를 접목한 데이터 인텔리전스 기업으로 진화하고 있다"면서 "안보, 치안, 보안과 관련된 데이터 분석은 가장 난이도가 높고 미션크리티컬한 영역"이라고 설명했다. 마케팅이나 서비스 기획 등 많은 분야에 데이터 인텔리전스가 적용된다. 이런 분야는 테러리스트를 잡거나 군대가 출동하는 분야보다 난이도가 낮다. 서 대표는 "S2W는 치안과 보안 분야를 지원하는 데이터 인텔리전스에 집중해왔다"면서 "가장 중요한 영역에서 데이터 수집과 분석을 통해 인텔리전스를 제공하는 기반을 만들었다"고 말했다. S2W는 AI언어모델인 '다크버트(DarkBERT)'를 내놨다. 빅데이터를 AI로 처리하고 정제해 모델링까지 완성했다. 다크버트는 다크웹에서 각종 범죄 데이터를 효과적으로 추출하는 전문언어모델이다. 2023년 5월 자연어 처리 학술대회 ACL에 연구 성과가 채택됐다. 다크버트는 다크웹의 ▲범죄·위협 활동에 대한 분류 ▲랜섬웨어 및 정보유출 사이트 탐지 ▲사이버 안보나 범죄에 대한 중요한 위협 활동 모니터링 및 탐지 ▲범죄자와 해커가 사용하는 은어와 신조어에 대한 높은 이해력과 추론을 통해 문제점을 해결한다. S2W는 3월 13일 기업용 AI 플랫폼, S-AIP(S2W Artificial Intelligence Platform)를 공개한다. 데이터 유출에 대한 걱정을 줄이고 기업에 최적화한 맞춤형 소형 언어모델(sLLM)이다. ■ 아시아의 '팔란티어'가 되겠다 미국 빅데이터 분석 기업 '팔란티어'는 오사마 빈 라덴 은신처를 발견하고 대규모 금융사기를 잡아낸 기업으로 유명하다. 2020년 뉴욕증시에 상장하며 세상에 그 모습을 드러냈다. 세상에서 가장 비밀스러운 빅데이터 분석 기업으로 유명하다. S2W는 아시아의 팔란티어를 꿈꾼다. 팔란티어는 초기 정부 사업을 기반으로 기술력을 쌓았고 엔터프라이즈 영역으로 사업을 확대했다. S2W는 증권사, 카드사, 통신, 자동차, 이커머스 등 기업을 고객사로 확보했다. 정부기관과 스마트치안 빅데이터 플랫폼 구축 사업에도 데이터를 제공하고 기술 협력을 진행하고 있다. 서 대표는 "S2W는 기업 내 빅데이터를 통합 관리하고 인사이트를 얻는 비즈니스를 확대하고 있다"면서 "사이버 보안 분야를 뛰어넘어 제조와 유통, 금융 분야 데이터를 분석하는 영역으로 진출 중"이라고 밝혔다. 그는 "S2W는 보안과 데이터, AI를 융합한 자체 기술력을 가졌다"면서 "기업이 쌓아뒀던 온갖 종류의 문서와 데이터를 학습해 다크버트처럼 특정 영역에 특화한 모델을 만들고 있다"고 덧붙였다. S2W는 아시아와 중동 시장을 중심으로 빅데이터 분석 인텔리전스 서비스를 확대할 계획이다. 서 대표는 "인도네시아와 대만에서 비즈니스를 시작했으며 싱가포르, 태국, 일본, 사우디아라비아 등으로 진출해 성과를 낼 것"이라고 강조했다.

2024.02.27 13:36김인순

2024년 주목할 사이버 보안 분야는?

'생성AI 보안'과 '사용자인증관리(IAM)'에 주목하라. 글로벌 시장조사기관 CB인사이트와 가트너가 공통적으로 지목한 올해 주목해야 할 사이버 보안 분야다. CB인사이트는 사이버 보안 분야 초기 투자 동향을 분석해 2024년 가장 주목받을 6개 분야를 꼽았다. ▲머신러닝 시큐리티 ▲데이터베이스 보안 ▲IAM ▲침해사고 시뮬레이션 ▲사이버 위협 관리 ▲보안 인식 트레이닝이다. CB인사이트는 생성AI 발전이 가속화되고 기업 내 도입이 늘어나면서 관련 사이버 보안 이슈가 증가하고 있는데 주목했다. 생성AI는 사이버 위협 빈도는 물론 정교함을 높이는 도구로 이용되고 있다. 생성AI의 발전은 새로운 사이버 보안 요구 사항을 불러왔다. 기업은 데이터는 물론이고 대규모언어모델(LLM), 직원이 생성AI를 사용하는 방식을 보호해야 한다. 가트너는 23일 '2024년 톱 시큐리티 트렌드'를 발표하고 생성AI 진화에 따른 대비를 주문했다. 가트너는 ▲생성AI ▲사이버 보안 성과지표 ▲인적 위험을 줄이는 문화 프로그램 ▲서드파티 사이버 보안 위협 관리 ▲위협 노출 관리 프로그램 ▲IAM 역할 확대 등 6가지 분야를 강조했다. 기업 최고보안책임자(CISO)에게 챗GPT와 재미나이 등 LLM은 관리해야 할 또 다른 과제로 떠올랐다. 초기 단계이지만 LLM 관련 보안 취약점이 증가하고 있다. 인공지능, 머신러닝을 채택하는 기업은 늘어나고 있지만 이에 대한 취약성을 인지하고 사이버 보안 대책을 세우는 곳은 드물다. 대부분의 소프트웨어 에코시스템과 마찬가지로 진입 장벽이 낮을수록 보안 장벽도 낮아진다. 사이버 보안 전문가들은 머신러닝 모델의 취약점과 특수성을 악용하는 공격 활동에 촉각을 곤두 세우고 있다. ML이 새로운 사이버 공격 표면이 됐기 때문이다. 두 기관이 동시에 주목한 또 다른 분야는 IAM이다. 기업 내 클라우드 서비스 사용이 증가하면서 각 애플리케이션마다 사용자 인증이 핵심 요소로 떠올랐다. IAM은 클라우드 환경 내 모든 리소스의 인증과 권한 부여를 관리하는 복잡한 구성 요소일 뿐만 아니라 사이버 공격의 1차 방어선 역할을 하는 가장 중요한 요소다. 버라이즌 조사에 따르면 사이버 공격의 약 75%가 자격 증명 손상과 권한 남용을 포함하는 인적 요소와 관련된다. 팔로알토네트웍스는 200개 기업 1만8천개 클라우드 계정에서 68만개 ID를 분석해 내놓은 클라우드 위협 보고서를 내놨다. 놀랍게도 99%의 클라우드 사용자, 역할, 서비스, 리소스가 권한을 과도하게 부여받은 채로 방치되고 있다. 사이버 공격자는 기업 내부 직원의 로그인 ID와 비밀번호를 탈취해 내부로 침투하고 있다. 기업 클라우드 환경에 정상 활동처럼 접속해 데이터와 정보를 빼돌린다. 기업은 이런 보안 취약점을 예방하고 방어하기 위해서 적절한 권한을 가진 사용자가 필요한 데이터와 리소스에 접속할 수 있게 하는 IAM 도입을 늘리고 있다. 특히, IAM은 '제로 트러스트 사이버 보안 프레임워크'를 완성하는 기반이다. 아무것도 믿지 말고 항상 검증하라는 제로 트러스트 원칙에 따라 IAM으로 사용자를 끊임 없이 인증해야 하기 때문이다. 미국 연방 정부는 2024년 안에 모든 기관에 제로 트러스트 모델을 채택하라고 권고하면서 관련 시장이 성장하고 있다. 가트너는 "보안 시장에서 IAM의 역할이 그 어느 때보다 증가하고 있다"면서 "CISO가 사용자 ID에 대한 관리를 강화하고 관련 위협 탐지하는데 집중하고 있다"고 설명했다.

2024.02.23 11:13김인순

지니언스, 2024년 파트너데이 개최

사이버 보안 전문 기업 지니언스(대표 이동범)는 파트너와 상생 협력 및 동반성장을 위해 '2024년 지니언스 파트너데이'를 개최한다고 22일 밝혔다. 지니언스가 파트너사와 지난 한 해의 성과를 돌아보고, 올해 중점 추진사항 및 향후 비전을 공유한다. 2월 22일부터 23일까지 이틀간 진행되며 대신정보통신, 론스텍을 비롯한 57여 개의 파트너사가 참석할 예정이다. 지니언스는 제로 트러스트, 클라우드 보안 등 최신 보안 트렌드를 분석하고, 이러한 환경에 효율적으로 대처할 수 있는 통합 보안 접근 방식을 제시할 계획이다. 행사는 ▲각 사업별 소개 및 현황 공유 ▲지니언스 시큐리티 센터(GSC) 소개 ▲지니안 ZTNA(Zero Trust Network Access) 개발 방향 제시 등 다양한 주제로 진행된다. 또한 지니언스가 투자한 클라우드 전문기업 클라이온의 노유변 부사장도 무대에 올라, 향후 협업 방향 및 전략을 공유한다. 이동범 지니언스 대표는 "제로 트러스트, 클라우드 등 올 한해 국내 보안 산업의 큰 변화가 예상된다"면서 "지니언스가 파트너와 선도적인 역할을 수행할 수 있도록 더욱 노력할 것"이라고 전했다. 지니언스는 NAC, EDR, ZTNA 등 주력 제품의 시장 점유율을 지속적으로 확대하고 있으며, 지난해 사상 최대 매출을 기록하며 19년 연속 흑자 달성에도 성공했다.

2024.02.22 14:41김인순

앤앤에스피-성신여대와 정보보호인력 양성 협력

글로벌 사이버물리시스템(CPS) 보안 전문 기업 앤앤에스피(대표 김일용)가 성신여자대학교와 정보보호 전문 인력 양성에 협력한다. 앤앤에스피는 22일 성신여대 연구산학협력단과 직무 중심 정보보호 전문 인력 양성에 협력하는 양해각서를 교환했다. 양기관은 정보보호 산업 현장 수요에 맞는 교육과정을 개설하고 운영할 계획이다. 정보보호 특화 과정 운영을 위한 인프라를 마련하고 관리한다. 산학 공동 연구개발과 협력 사업 등을 추진한다. 이를 통해 글로벌 사이버 보안 리더를 양성할 계획이다. 앤앤에스피는 2015년 물리적 일방향 망연계 솔루션 '앤넷다이오드'를 출시하며 CPS 보안 시장에 진출했다. 앤넷다이오드는 2023년 조달 공급 기준 1위 판매량을 기록하며 한국 대표 일방향 망연계 솔루션이 됐다. 앤앤에스피는 2023년 창립 20주년을 맞아 CPS보안 플랫폼 '앤넷 CPS 프로텍션 플랫폼'을 공개했다. 앤앤에스피는 중요 인프라와 제조, 운송, 유틸리티, 건물 관리, 의료 등에서 운영되는 CPS의 보안을 선도한다. 김일용 앤앤에스피 대표는 “성신여대 연구산학협력단과 함께 산업계에서 실제 필요한 인력을 양성하는 교육과정을 만드는데 힘을 보태겠다"고 말했다.

2024.02.22 14:40김인순

조성경 차관 KISTI 사이버 보안 현장 점검

과학기술정보통신부(장관 이종호, 이하 '과기정통부') 조성경 1차관은 지난 19일 한국과학기술정보연구원(KISTI) '과학기술 사이버안전센터'를 찾아 사이버 보안 대비태세를 점검했다. 사이버안전센터는 외부 사이버 공격을 탐지하고 대응하기 위해 365일 24시간 무중단 관제를 하고 있다. 과기정통부는 기능별로 과학기술, 정보통신, 우정 3개 사이버안전센터를 운영 중이다. 이번에 방문한 “과학기술 사이버안전센터”는 61개 과학기술 분야 출연연구기관 등의 사이버 보안을 책임지고 있다. 과기정통부 소속·산하기관 대상 정보보호 정책 수립을 지원 하는 등 정보보안 싱크탱크 역할을 수행한다. 조성경 1치관은 최근 국가를 배후로 하는 사이버 공격 동향과 사이버 공간에서의 보안 긴장 고조에 대한 정세를 공유하고 대응 방안에 대해 논의했다. 또 악성코드 수집부터 분석 및 침해대응까지 일련의 대응 절차를 점검했다. 휴일 및 심야시간대 등의 사이버 공격을 사전 차단하는 긴급차단 시스템 및 해킹 메일 신고 시스템의 운영 현황 및 성과 등도 확인했다. 조성경 1차관은 “24시간 빈틈없는 사이버보안 대비 태세 유지에 만전을 기해 줄 것”을 당부했다.

2024.02.20 07:53박희범

개인정보위, 개인정보 분쟁조정제도 개선 간담회 개최

개인정보보호위원회가 개인정보 보호법 개정 이후 분쟁조정제도 개선사항이 본격 시행됨에 따라 일선 개인정보처리자와 분쟁 발생 예방을 위해 머리를 맞댔다. 개인정보위는 15일 개인정보를 주로 처리하는 사업자단체와의 간담회를 개최했다고 밝혔다. 지난해 9월 개인정보 보호법이 개정됨에 따라 ▲분쟁조정 의무 참여 대상자를 공공에서 민간으로 확대 ▲사실관계 파악을 위한 현장조사권 부여 ▲조정안 수락여부를 알리지 않는 경우 '거부 간주'에서 '수락 간주'로 전환하는 등 분쟁조정 제도가 강화됐다. 이날 간담회에서는 먼저 개인정보 분쟁조정제도의 개선된 내용, 개선 취지, 분쟁조정 절차 그리고 주요 분쟁조정 사례를 설명하고, 사업자단체의 의견을 듣는 시간을 가졌다. 이 자리에는 개인정보 분쟁조정제도 개선에 참여하였던 '개인정보 분쟁조정제도개선 전문위원회' 위원장 최경진 가천대학교 교수 등이 참석했다. 국민 권리 구제 강화를 위한 제도개선 취지 등을 설명했다.

2024.02.16 08:04이한얼

한국시스템보증, 민간1호암호모듈 검증 시험기관 지정

한국시스템보증(KOSYAS)이 민간 기업으로 첫번째 암호모듈 검증 시험기관(KCMVP)이 됐다. 국가정보원은 14일, 암호모듈 검증 민간 시험기관으로 KOSYAS를 지정했고 밝혔다. KOSYAS는 지난해 암호모듈 자격검증 및 모의시험을 통해 역량을 인정받았다. KOSYAS는 암호모듈 안전성과 구현 적합성을 시험하는 역할을 수행한다. 암호모듈 검증은 국가 및 공공기관의 정보보호시스템에 탑재되는 암호모듈의 안전성과 구현 적합성을 검증하는 제도이다. 이 제도는 국가 및 공공기관의 보안성을 강화하고, 국내 암호 산업의 발전을 지원하기 위해 시행되고 있다. 국가보안기술연구소(NSRI)와 한국인터넷진흥원(KISA) 2개의 국가기관에서 암호모듈 시험 업무를 수행했다. 이번에 민간 시험기관으로 시험 업무가 확대돼 검증필 암호모듈 발급 소요 기간이 단축되고 암호모듈 활성화 재고에 기여할 전망이다. 국제적으로도 시험 및 평가 제도의 암호 검증 기능을 강화하고 있다. 국제 공통으로 사용되는 보호프로파일(PP)에서도 암호 기능을 상세하게 다루고 있는 추세이다. KOSYAS는 CC 평가 제도와 원스톱 서비스, 암호 컨설팅 등 일원화된 업무와 전문 인력 양성 등 시험 역량을 확대한다. 조대일 KOSYAS 대표는 "민간 시험기관 지정을 계기로 국내 기업의 암호모듈 개발을 지원하고, 통합화된 검증 시험을 수행해 국내 보안 산업의 발전을 위한 지원을 더욱 강화할 계획"이라고 말했다.

2024.02.14 16:56김인순

민병주 KIAT 원장 "기술나눔, 신속한 사업화 후속 지원 방안 모색"

민병주 한국산업기술진흥원(KIAT) 원장은 13일 “현장 목소리를 반영해 추후 기술지도, 지식재산권(IP) 컨설팅, 사업화 연구개발(R&D), 전문인력양성, 금융지원 등 신속한 사업화에 필요한 후속 지원 방안을 모색하겠다”고 밝혔다. 민 원장은 이날 기술나눔을 통해 무상 기술이전을 받아 R&D를 수행 중인 이랑텍에서 열린 간담회에서 이같이 말했다. 이날 간담회는 나눔받은 기술의 사업화 현황과 애로사항을 파악하기 위해 KIAT가 마련했다. 이랑텍은 2022년 SK 무선 통신장비(RFID) 관련 특허 기술을 이전받은 통신장비 전문 중소기업이다. 이전받은 기술을 활용해 무선통신 서비스 품질을 향상하는 대역 결합기를 개발하기 위해 R&D 과제를 수행 중이다. 이재복 이랑텍 대표는 “이전받은 기술을 바탕으로 후속 성과를 빠르게 내려면 자금 지원·기술 지도·우수 인재 확보 등 연속적인 지원이 필요하다”고 강조했다. 기술나눔은 대기업·공공기관 등이 보유한 기술을 중소·중견기업에 무상으로 이전해 새로운 사업화 기회를 열어주는 대·중소 동반성장 사업이다. 2013년부터 현재까지 삼성전자·SK·포스코·한국전력 등을 포함해 36개 기업과 기관이 참여해 3천367건의 기술을 1천676개 중소·중견 기업에 무상 이전했다. KIAT에 따르면 최근 5년간의 기술나눔 성과조사에서 기업당 기술개발기간이 평균 2.1개월 단축됐고 신규고용은 평균 1.7명 증가했다. 또 매출액은 평균 2억5천만원이 늘어났고 외부투자유치는 평균 1억3천만원 증가했다.

2024.02.14 14:56주문정

지정학적 불확실성에 국가 지원 해커 활개

지정학적 불확실성이 높아진 가운데 사이버 공간에서 국가 지원 사이버 공격 세력이 눈에 띄게 증가해 주의가 요구된다. 이들이 첩보 활동을 넘어 교통·통신·전력 등 주요 기반 시설을 마비시키는 사이버 공격 무기 활용성도 높다. 최근 미국과 한국 정부는 국가 지원 해킹 그룹의 활동에 촉각을 곤두세우고 있다. 러시아와 우크라이나, 이스라엘과 팔레스타인 등 무력 충돌은 물론 총선과 대선 등 선거까지 앞두고 있기 때문이다. 실제로 북한·중국·이란·러시아 등 4개 국가가 지원하는 해킹 그룹 활동이 여기저기서 포착되고 있다. 2018년 미국 대선 때 러시아 지원 해킹 그룹의 작전이 밝혀진 후 사이버 공격을 통해 선거에 개입할 수 있는 것이 드러났다. 생성AI 확산으로 딥페이크를 이용한 가짜 뉴스와 영상 유포 작전이 수월하다. 국가정보원은 최근 정부부처와 지자체 및 산하기관에 공문을 보내 사이버 위협 대비 태세 강화를 요청했다. 북한이 수위 높은 대남 발언과 미사일 발사 등 긴장을 고조하면서 사이버 공격을 병행할 가능성이 제기된다. 현재 국내 사이버위기경보는 2단계인 '주의' 상황이다. 국정원은 '주의' 경보에서 더 올리지는 않았지만 현재 사이버 시급성을 고려해 공문을 보낸 것. 한국인터넷진흥원은 최근 신원 미상의 해커그룹이 텔레그램에서 국내 홈페이지 변조, 정보 탈취, 디도스 등 공격을 예고 하고 있어 주의를 당부했다. 해커는 비영리 협회, 대학, 관공서, 재단, 중소병원 등의 홈페이지를 변조하고 개인정보유출을 시도했다. 사이버 보안기업과 언론사에 분산서비스거부(DDoS) 공격도 수행했다. 해커는 아파치-톰캣 기반의 자바 솔루션(오라클 웹로직, 아틀라시안 컨플루언스, 아파치 스트럿츠2 등) 취약점을 악용하고 있어 해당 솔루션 사용 기업의 업데이트가 시급하다. 미국은 중국 해커 공격 대응에 한창이다. 미 연방수사국(FBI)은 정수시설, 전력망, 석유, 가시관, 교통망 등에 사이버 공격 태세 강화를 주문했다. 여기에 심각도가 높은 보안 취약점이 연이어 발견되며 긴장이 높아지고 있다. 미국 사이버 보안 및 인프라 보안국(CISA)은 가상사설망(VPN) '이반티 커넥티 시큐어(Ivanti Connect Secure)'와 '폴리시 시큐어 VPN(Policy Secure VPN)' 사용자에게 연결을 해지하라고 경고했다. 사이버 보안 기업 맨디언트는 "이반티 제로데이 취약점을 악용하고 있는 해킹 세력은 UNC5221 그룹뿐만 아니라 분류되지 않은 다양한 공격 그룹까지 광범위하게 이용하고 있다"고 분석했다. 맨디언트는 UNC5221을 중국 연계 스파이 위협 공격자로 분류한다. 러시아는 북대서양조약기구(NATO)와 우크라이나가 운영하는 장비에 백도어를 배포하고 있다. 구글 위협분석그룹은 러시아 연방 보안국(FSB) 산하 부서인 센터(Center)18 해킹 그룹이 PDF 문서를 활용해 각종 기기에 백도어를 다운로드 하게 유인했다. 구글은 센터18이 수년 간 미국 정부 등이 사용하는 시스템을 손상시키는데 집중해온 해킹 그룹이라고 분석했다. 산드라 조이스 구글 클라우드 맨디언트 인텔리전스 부사장은 "중국, 러시아, 북한, 이란은 장단기적인 지정학적 필요에 의해 각각 구별되는 사이버 능력을 활용한다. 특히, 중동, 동유럽 및 동아시아의 핫스팟을 중심으로 세계적 긴장이 고조되면서 이에 대응하는 준비가 시급하다"고 말했다. 이어 "제로데이 취약점의 발견부터 사용까지 시간이 단축되는 등 사이버 공격자 움직임이 민첩하다"고 덧붙였다.

2024.02.06 11:31김인순

파이오링크, 보안스위치·백본 시장 확대

네트워크·보안 전문기업 파이오링크(대표 조영철)가 오엔시스템즈(대표 나인)와 총판 계약을 맺고 티프론트 스위치 사업을 확대한다고 5일 밝혔다. 오엔시스템즈는 서울 본사와 부산·울산에 지사를 두고 전국에 NI(네트워크 통합) 협력사를 두고 있다. 이번 총판 체결로 파이오링크의 티프론트 스위치 제품군인 ▲클라우드 보안스위치 ▲클라우드 스위치 ▲백본 스위치 등을 기술 지원해 네트워크·보안 시장을 확대할 예정이다. 파이오링크는 L2부터 L7까지 네트워크 전 계층에 속한 스위치를 개발했다. 티프론트 스위치는 백본부터 액세스망까지 L2~L3 구간에 단일 제조사 제품으로 설계할 수 있어 구축이 간편하다. 유해 트래픽 차단 등 내부 네트워크 보안도 강화한다. 특히 클라우드에서 중앙집중적 설치·장애대응·유지보수로 시간과 비용을 줄이기 때문에 전국 지사를 둔 대기업, 지자체, 공공 및 캠퍼스 망에서 도입이 늘고 있다. 나인 오엔시스템즈 대표는 “네트워크 시장은 전송 속도 경쟁에서 관리와 보안의 측면으로 빠르게 변하고 있다”고 말했다. 조영철 파이오링크 대표는 “네트워크 기술과 구축 경험이 풍부한 오엔시스템즈와 함께 하게 돼 기쁘다"면서. 파이오링크가 보유한 클라우드 매니지드 네트워킹 기술과 오엔시스템즈의 NI 역량이 만나 차별화된 네트워크 관리와 보안으로 IT 환경을 개선해 나가겠다”고 덧붙였다.

2024.02.05 17:02김인순

AI, 제로 트러스트 확산 촉매제로 떠올라

인공지능(AI)이 도입이 지지부진한 제로 트러스트(Zero Trust) 전략을 확산하는 촉매제가 될 전망이다. 사이버위협연합(CyberRisk Alliance)이 내놓은 '제로 트러스트' 보고서에 따르면 관련 개념이 한국보다 먼저 확산된 미국에서 조차 제로 트러스트를 구현한 조직은 30% 미만인 것으로 나타났다. 보안 담당자들은 제로 트러스트의 필요성은 인정하지만 실제로 적용은 쉽지 않다고 입을 모은다. 포레스터 리서치 분석가 존 킨더백이 15년 전 주창한 제로 트러스트. 제로 트러스트는 아무것도 신뢰하지 않는다'는 것을 기본 전제로 삼는 보안 전략이다. 특정한 보안 제품이나 서비스를 뜻하지 않는다. 과거 보안은 외부로 부터 내부망으로 들어오는 경계를 철저히 지키는데 집중했다. 이와 달리 제로 트러스트는 신뢰하는 내부자나 단말기라도 접근하는 애플리케이션과 데이터에 따라 철저하게 다시 한번 검증하고 권한을 부여하는 방법이다. 조직 사이버 보안을 위한 근본적인 전략으로 떠올랐지만 일선에서는 이를 적용하는데 어려움을 겪고 있다. 보고서는 15년째 정착되지 않는 제로 트러스트가 AI의 효과를 볼 것으로 예측했다. AI는 사이버 공격을 식별하고 사용자 행동과 네트워크 활동 패턴을 밝히는 역할을 한다. AI는 그동안 정적인 운영 환경이었던 사이버 보안을 적응 가능한 보안으로 전환하는데 도움을 준다. 예를 들어, AI는 실시간 위험을 평가해 사용자 권한을 자동 조정한다. 사고 대응을 자동화한다. 사용자 활동과 위협 사고를 학습하면서 시간이 지남에 따라 대응력이 높아진다. AI는 조직내 보안 정책 위반 시도를 빠르게 식별한다. 네트워크 패턴과 사용자 행동, 상황을 파악한다. 피싱 이메일에서 비정상적인 텍스트 패턴을 탐지하는 것은 생성 AI 기술을 제로 트러스트와 통합해 얻을 수 있는 가장 큰 이점이다. 보고서는 그동안 제로 트러스트가 제대로 구현되지 않는건 비용과 복잡성, 생산성 저하 가능성, 기존 레거시 IT시스템 등이 작용하기 때문이라고 분석했다. 보안담당자가 제로 트러스트를 조직에 구현하려면 높은 비용 문제에 직면한다. 제로 트러스트는 특정 제품이나 서비스를 도입한다고 해결되는 문제가 아니다. 조직 전체가 보유한 자산을 정리한 후 이에 맞춰 접근 가능한 단말과 사용자에 권한을 부여해야 한다. 이 과정에서 신규 서비스와 도구의 도입이 필요하다. 보안 담당자는 이에 대한 예산을 확보하는데 어려움을 겪고 있다. 제로 트러스트가 기존 레거시 IT시스템을 전면 교체해야하지는 않지만 일부 전환이 필요하다. 또 다른 문제는 제로 트러스트 구현의 복잡성이다. 보안담당자들은 제로 트러스트 전략을 구현하며 조직원들이 겪게될 워크플로우(workflow)와 프로세스 변화, 생산성 저하 등의 문제에 직면한다. 조직 내 제로 트러스트 구현을 위해선 접근 권한과 사용자 환경(UI)가 필요하다. 이에 대한 불편함이나 거부감을 호소하며 업무 생산성 저하 문제를 제기한다.

2024.01.31 11:30김인순

"AI 혁명시대, 사람을 위한 보안·안전·신뢰가 핵심"

"디지털 전환을 넘어 인공지능(AI) 트랜스포메이션이 가속화되고 있습니다. 한국이 성공적으로 AI 전환에 성공하려면 '보안(Security)-안전(Safety)-신뢰(Trust)'를 구축해야 합니다." 임종인 대통령 사이버 특별보좌관은 26일 지디넷코리아와 인터뷰에서 "이제 사이버 안보를 넘어 인간을 위한 안전, 안보, 신뢰 기반을 만들어야 한다"고 말했다. 대통령실은 생성AI를 비롯해 디지털 자산, 블록체인, 메타버스, 웹3 등 새로운 기술이 우리 사회에 미치는 영향이 커지면서 1월 2일 사이버 특별보좌관을 신설했다. 사이버 특보는 이번 정부에서 처음 만들어진 자리다. 임 특보는 사이버 보안 분야 국내 최고 전문가다. 임 특보는 고려대 수학과를 졸업한 뒤 동 대학원에서 석·박사 학위를 취득했다. 지난 2001년 고려대 정보보호대학원장에 임명된 뒤 2010년 정보보호학회장을 거쳤다. 대검찰청 사이버수사 자문위원장, 국가정보원 사이버보안 자문위원 등으로도 활동했으며 박근혜 정부 청와대에서 안보특보를 지냈다. 임 특보는 올해 최대 과제로 '사이버 복원력(Resilience)' 확보를 꼽았다. 올해는 한국 총선과 미국 대선 등 글로벌 선거가 줄줄이 예정됐다. 임 특보는 "딥페이크와 가짜뉴스에 대응하는 현실적인 방법이 부족하다"면서 "생성AI를 악용해 만든 가짜뉴스 등이 확대되면 유권자 신뢰가 무너진다"고 말했다. 실제로 2016년 미국 대선에 러시아가 여론 조작 등의 방식으로 개입했다는 의혹이 높았다. 선거 및 투표와 관련된 IT시스템의 복원력 확보도 주문했다. 임 특보는 "지난 2018년 평창동계올림픽 개막식날 사이버 공격이 발생했고 순식간에 조직위 정보서비스 대부분이 중단됐다"면서 "당시 올림픽 침해사고대응팀(CERT)는 즉시 응급 피해 복구체계를 가동했고 12시간 안에 모든 시스템을 정상화했다"고 설명했다. 정부의 선거 시스템은 물론이고 민간기관 역시 사이버 복원력을 빠르게 확보할 수 있는 힘을 키워야 한다는 것. 지난해 민원24 장애 등에서도 IT시스템 복원력이 제대로 작동하지 않았다. 임 특보 "사이버 공격이 다변화하고 진화하면서 완벽히 차단하는 것은 불가능에 가깝다"면서 "일시적으로 회복하는데 그치치 않고 능동적으로 대응하는 탐지, 대응, 회복, 적응이 모두 포함된다"고 말했다. 임 특보는 사이버 안보 뿐만 아니라 산업 진흥과 규제와 관련한 컨트롤 타워 역할도 강조했다. 그는 "미국 빅테크가 대규모 언어 모델(LLM)이나 퀀텀컴퓨팅 기술을 선점해고 있는 시대에 우리 기업들이 뒤쳐지지 않기 위해 나아갈 방향을 고민한다"면서 "AI반도체 등 기존에 우리가 강점을 가진 분야를 접목하고 글로벌 경쟁력을 확보할 수 있게 노력하겠다"고 말했다.

2024.01.26 13:32김인순

앤앤에스피, '앤넷트러스트' 보안기능확인서 V3.0 획득

앤앤에스피(대표 김일용) 소프트웨어 공급망 보안 솔루션 '앤넷트러스트(nNetTrust)'가 국가정보원 '국가용보안요구사항 V3.0 보안기능확인서'를 획득했다. 국가정보원은 국가정보통신망의 보안수준 제고를 위해 '국가정보원법' 제4조와 '전자정부법' 제56조에 의거, 국가·공공기관이 도입하는 정보보호시스템에 대해 보안적합성 검증 제도를 시행하고 있다. 자료 전송 관련 제품의 경우 2020년부터 'CC 인증'에서 '보안기능 확인서'를 활용한 선검증 절차로 전환·시행 중이다. '보안기능확인서'를 발급받을 경우 보안적합성 검증절차를 생략하고 운영할 수 있다. 국가정보원은 사이버 공격 기법이 다양화·고도화됨에 따라 피해를 줄이기 위해 보안요구사항 수준을 높인 '국가용 보안요구사항 V3.0'을 2023년 4월부터 의무 적용하고 있다. 앤앤에스피 '앤넷트러스트'는 새로운 국가용 보안요구사항 V3.0 규격기준에 따라 보안기능확인서를 획득했다. 소프트웨어(SW) 공급망 보안 솔루션 중 국가용 보안요구사항 V3.0에 기반하여 보안기능확인서를 획득한 제품이다. 망간자료전송제품의 경우 기존 국가용 보안요구사항 V1.0에서 안전성 검증 기준이 36개였는데 V3.0에서는 67개로 약 2배 가량 늘었다. 앤넷트러스트는 소프트웨어 보안 업데이트를 안전하게 지원하는 망연계 솔루션이다. 악성코드 유입에 대한 클린시스템 기능을 제공한다. 최근 공격자들은 SW 기업 내부망에 침투해 제품에 악성코드를 숨겨 고객에게 유포하는 공급망 공급에 열을 올리고 있다. 앤넷트러스트는 이런 SW 공급망 보안 이슈에 대응한다. 외부망에서 조직 내부망으로 SW 업데이트를 하거나 특정 파일과 자료 등을 검사해 안전하고 인가된 정보만 전달한다. 앤넷트러스트는 송신 서버(TX), 멀티 백신 엔진이 장착된 클린 PC 서버(CLN), 수신 서버(RX) 총 3개의 서버가 하나로 시스템으로 구성됐다. 그동안 일부 기관은 망분리 정책에 따라 패치 및 업데이트 관리자가 인터넷에서 패치, 업데이트 파일을 다운받아 클린PC에서 검사하고 수동으로 업무망으로 업로드했다. 보안관리자는 취약성이 발견될 경우 패치 및 업데이트를 수동으로 작업해야해 위협 대응 '골든타임'을 지키기 어려웠다. 앤넷트러스트는 비보안영역(외부망 등)에서 패치, 업데이트, 외부 정보 등을 수집해 클린 영역에서 악성코드 및 무결성을 검사한다. 보안영역(업무망 등)으로 검증된 수집 정보를 일방향으로 안전하게 전달해 업무의 효율성을 높인다. 앤넷트러스트는 외부망에서 수집한 패치 및 업데이트를 정보를 클린시스템을 거쳐 내부망으로 자동 전달해 실시간 패치한다. 동시에 외부로 정보유출도 차단한다. 앤넷트러스트는 물리적 일방향으로 분리되는 '에어갭' 환경을 유지해 외부망에서 내부망으로만 자료 전송이 가능하다. 보안 취약성 패치는 빠르게 수행하면서 내부에서 외부로의 자료 반출은 불가능하다. 앤넷트러스트는 유명 소프트웨어 기업의 패치 파일도 신뢰하지 않고 한번 더 무결성을 검증하는 '제로 트러스트' 아키텍처를 지원한다. 국방 관련 기관들은 소프트웨어 공급망에 대한 보안위협을 완화하기 위해 인터넷에서 유통되는 오픈소스를 개발 망에 다운로드하는 경우, 체크섬 유효성 검사를 해야 한다. 국방 관련 A기관은 앤넷트러스트를 도입해 소스제어 벤더 종속성 포함 여부와 SBOM(Software Bill of Material) 게시 자동화에 활용했다. 김일용 앤앤에스피 대표는 “사이버 공격자들이 무차별 해킹보다는 특정 기업을 표적으로 삼아 침투하고 있다"면서 “공격자는 소프트웨어 개발 프로세스를 방해하거나 완성된 제품의 취약점을 찾아내 업데이트를 통해 악성코드를 배포한다”고 설명했다. 이어 “앤넷트러스트는 이런 SW 공급망 이슈에 대응하는 제품으로 이번에 보안기능확인서 V3.0을 획득해 공공기관 SW 공급망 보안을 강화할 수 있다"고 덧붙였다.

2024.01.24 14:30김인순

자율운항 선박 시대 '사이버 보안' 협력 체계 나왔다

자율운항과 스마트 선박이 늘어나는 가운데 해사 사이버 안전을 강화하는 산학 협력체계가 마련됐다. 고려대학교 해양사이버보안연구센터(센터장 이동훈)와 해상법연구센터(센터장 김인현), 싸이터(대표 조용현), 아비커스(대표 임도형)는 선박에 대한 사이버 공격를 대응하는 협력을 시작했다고 밝혔다. 4개 기관은 해양수산부 해사 사이버안전 관리지침, 국제해사기구(IMO)와 국제선급협회(IACS)의 해양 사이버보안 규정 및 다양한 사이버보안 규제에 대응하는 정책적, 기술적 연구에 협력한다. 이들 기관은 연구를 통해 선박 사이버 보안 관련 글로벌 리더십을 확보할 계획이다. 해사 사이버안전 분야는 국제법적인 특성과 안보에 영향을 받는다. 이번 협력은 민수 분야에서는 자율운항선박과 스마트선박, 방산 분야에서는 한국형 위험관리체계(K-RMF), 함정 유무인복합체계 사이버보안 등 넓은 연구 범위다. 국내 선사, 조선소, 선박 기자재 업체가 글로벌 경쟁력을 높이는 구심점이 될 전망이다. 고려대 해양사이버보안연구센터는 자율항만자율운항선박·스마트 선박 등 해양 모빌리티 사이버보안 전문 연구센터다. 전임교수 9명과 한국해양대학교 교수 등 외부 연구위원 3명으로 설립됐다. 2018년 1회 해양사이버보안 세미나를 시작으로 2023년 6회 워크숍까지 약 1500여명과 22개 기관 및 기업이 참석한 다양한 국내외 네트워크와 협력채널을 형성했다. 고려대 해상법연구센터는 해운, 물류, 조선, 선박금융, 수산 분야를 아우르는 법정책을 연구한다. 센터는 바다 공부모임을 주최하고 바다최고위과정 운영, 해상전문변호사 양성한다. 선장 출신 김인현 센터장(고려대 법전원 교수)을 중심으로 선박금융 전공인 이동해 부소장와 보험법 박사인 김원각 연구교수 등 해운, 물류, 조선, 선박금융, 수산 분야 전문가 포진했다. 김인현 센터장은 "선박 전 분야에 걸친 탈탄소화, 디지털화, 자율운항선박화는 지속·추진돼야 한다"고 말했다. 싸이터는 자율운항선박, 스마트선박, 스마트함정 등 해양 모빌리티 사이버보안 분야 선도기업이다. 조용현 싸이터 대표는 "선박 사이버 공격으로 인해 선박, 화물, 인명, 환경에 심각한 피해가 발생할 수 있다. 선박 체계를 보호하기 위해 다각적인 협력과 대응 체계가 필요하다. 스마트 선박의 설계-건조-시운전-운항 등 수명주기와 상선·특수선에 특화된 사이버 보안 기술 개발에 앞서 명확한 도메인 지식을 통한 기술 기획이 요구된다"고 말했다. 이어 "해사 사이버보안 법제도와 보안기술 분야의 협력을 통해 새로운 형태의 해양 모빌리티 시장 환경에 적합한 보안기술을 개발할 수 있다"고 강조했다. 아비커스는 HD현대 그룹의 자율운항 전문회사다. 세계최초 자율운항 태평양 횡단, 자율운항 제어 솔루션 최다 판매 등 자율운항 선박의 상용화를 주도하고 있다. 임도형 아비커스 대표는 "이번 협력이 원격 자율운항 선박의 사이버 공격에 대한 우려를 해소해 자율 운항 기술의 상용화를 촉진할 수 있기를 기대한다"면서 "자율항해 기술 뿐만아니라 자율운항 선박의 핵심인 사이버 보안 기술도 같이 선점해야 한다" 고 말했다.

2024.01.23 13:35김인순

한국인터넷진흥원, 이상중 원장 선임

한국인터넷진흥원(KISA) 7대 원장에 이상중 구미대 사이버보안연구원장이 선임됐다. 이 원장은 18일 오후 3시 나주 본원에서 취임식을 갖고 본격 업무를 시작한다. 이 원장은 2023년 구미대에 개설된 사이버보안연구원에서 사이버 보안 정책, 해킹 대응, 디지털 포렌식, 기반시설 보안, 사물인터넷과 하드웨어, 블록체인, 인공지능 보안 등의 연구를 지휘해왔다. 이 원장은 '검찰 1호' 사이버수사관으로 대검찰청 과학수사부 사이버수사실장과 서울중앙지검 첨단범죄수사부 인터넷범죄수사센터장 등 사이버수사 관련 주요 요직을 역임했다. KISA는 총 수입액이 1000억원 이상, 직원 정원이 500명 이상인 위탁집행형 준정부기관으로 과학기술정보통신부의 제청을 거쳐 대통령이 임명한다. KISA는 정보통신망 고도화와 안전한 이용을 촉진하는 기관이다. 정보보호와 디지털과 관련한 대국민 지원을 담당한다.

2024.01.18 10:13김인순

오픈AI "미 국방부와 보안 기능 개발중"

오픈AI가 미국 국방부를 위해 사이버보안 기능을 개발중이라고 밝혔다. 16일(현지시간) 블룸버그에 따르면, 오픈AI 임원들은 최근 다보스에서 열린 세계경제포럼(WEF)에서 미군을 위한 AI 기반 보안 기능을 개발중이라고 말했다. 안나 마칸주 오픈AI 글로벌담당 부사장은 "국방부와 파트너십에 오픈소스 사이버보안 소프트웨어 개발이 포함됐다"며 "자사 기술이 퇴역군인의 자살을 예빵하는데 어떻게 도움을 줄 수 있는지 미국 정부와 논의를 시작했다"고 밝혔다. 샘 알트먼 오픈AI 최고경영자(CEO)는 미국 대선에서 자사의 생성 AI 도구로 허위 정보를 퍼뜨리지 않도록 보장하기 위한 조치를 취하고 있다고 밝히기도 했다. 오픈AI는 그동안 챗GPT의 내부 정책에서 '군사 및 전쟁' 애플리케이션과 악성코드 생성에 AI 모델과 관련 기술 사용을 금지해왔다. 그러나 최근 정책에서 '악성코드 생성', '군사 및 전쟁' 애플리케이션, '다단계 마케팅', '표절', '인공잔디 사용' 등 금지했던 항목의 문구를 삭제했다.

2024.01.17 09:34김우용

美, 소프트웨어 공급망 보안 규제 현실화

미국의 소프트웨어(SW) 공급망 보안 규제가 올해 본격화한다. 소프트웨어 개발사는 물론이고 의료기기, 사물인터넷(IoT) 기기 등 각종 기기 제조사까지 여파가 예상돼 대응이 시급하다. 미국 바이든 행정부는 지난 2021년 5월 SW 공급망 보안을 강화하는 행정명령(EO 14028)을 발표했다. 이후 백악관 예산관리국(OMB)은 SW 공급망 보안 강화에 관한 M-22-18이라는 문서를 내놨다. 이 문서에 따르면 미국 정부에 SW를 판매하는 기업은 국립표준원(NIST)이 만든 '보안 소프트웨어 개발 프레임워크(SSDF)'를 준수해야 한다. 올해부터 정부기관과 계약하는 기업은 반드시 제품이 SSDF를 준수했다는 증명을 제공해야 한다. 이희조 고려대 컴퓨터학과 교수는 "올해가 사실상 미국 SW 공급망 보안 규제가 기업에 직접 적용되는 시점"이라며 "의료기기를 비롯해 자동차, 각종 제조업과 관련된 2, 3차 협력 기업이 SW 공급망 보안 규제에 관심을 기울여야 한다"고 말했다. 이어 "중소중견 협력사가 보안을 고려한 개발에 준비가 안되면 이를 포함한 제품을 만든 대기업 수출에 영향을 받을 수 있다"면서 "문제는 SSDF와 SBOM(SW Bill of Materials) 관리는 담당조직과 프로세스가 필요해 준비에 상당 기간이 걸린다"고 말했다. 미국 정부는 2021년 행정명령 후 기업이 안전하게 SW를 개발하는 프로세스를 만들고 이를 체계화하는 방법론을 제시하는데 주력했다. 행정명령 후 미국 기업들이 관련 프로세스를 만들고 체계화하는 작업을 도왔다. 미국 규제는 ▲자기증명 요건(Self-Attestation Requirement) ▲펌웨어 포함(Firmware Inclusion) ▲제품 보안에 대한 공급업체의 책임(Vendor Responsibility for Product Security) 등으로 요약할 수 있다. SW개발사는 미국 정부기관에 제품을 공급할 때 NIST 가이드라인을 준수하는지 확인해야 한다. 일부 기관은 시스템 중요도에 따라 제3자 평가를 요구할 수도 있다. 미국 정부는 SW에 대한 안전한 개발 프로세스 뿐만 아니라 라이브러리에 쓰인 오픈소스 구성 요소까지 모두 출처를 밝히고 안전성을 입증하라고 요구한다. 기업은 다양한 오픈소스 SW를 이용해 애플리케이션을 개발하고 하드웨어에 탑재한다. 이 과정에 들어간 오픈소스에 취약점이 없는지 모두 점검해야 한다. SW 개발에 활용되는 모든 정보를 담은 명세서 'SBOM'를 작성, 제출해야 한다. 해당 규제는 펌웨어, 운영체제, 애플리케이션 등을 모두 포괄한다. 하드웨어에 들어가는 펌웨어도 반드시 가이드라인을 준수해야 한다. 미국 정부기관에 납품하는 기업은 제품 수명 주기 전반에 걸쳐 SW 취약성과 업데이트를 확인해야 한다. 이를 준수하지 않으면 제재를 받는다. 문제는 한국 기업 준비도다. 미국 정부가 요청하는 SSDF와 SBOM을 준비하려면 관련 조직과 프로세스를 갖춰야 한다. 그나마 대기업은 조직을 정비했지만 2,3차 협력 회사들이 이에 대한 준비가 미흡하다. 이같은 조치는 SW 공급망에 대한 사이버 위협 증가 때문이다. 2020년 미국 IT 관리 소프트웨어 및 원격 모니터링 도구 회사인 솔라윈즈(SolarWinds) 제품이 해킹에 악용됐다. 당시 솔라윈즈 제품을 사용한 정부기관이 사이버 공격에 그대로 노출됐다. 해커는 솔라윈즈 제품의 SW취약점을 이용해 해당 제품을 쓰는 기업 내부로 침투했다. SW 공급망 공격은 한 번 성공하면 다양한 조직이나 기업으로 침투하는 통로가 된다. 기존 악성코드 공격보다 탐지가 어렵다. 해커는 침투하고자 하는 기업이나 기관이 사용하는 소프트웨어 등의 취약점을 활용해 측면으로 공격한다. 김형섭 고려대 소프트웨어보안연구소 연구기획팀장은 "미국 식품의약품안전청(FDA)은 의료기기 기업에게 사이버 보안과 관련된 SBOM을 요구했다"면서 "서드파티(3rd party) 소프트웨어에 대한 보안 가시성과 투명성에 대한 대처 가이드까지 요청하는 상황"이라고 설명했다. 미국 공급망 보안 기업 이클립시움 달튼 탄(Dalton Tan) 시니어 디렉터는 "SW 보안성 증명은 단순히 애플리케이션뿐만 아니라 하드웨어에 내장된 펌웨어도 포함된다"면서 "미국으로 장비와 기기 수출이 많은 한국기업은 이에 대한 대비가 시급하다"고 말했다.

2024.01.16 15:33김인순

'산업부 기동대' 수출·투자·인허가 등 현장애로 해결 지원

산업통상자원부는 '산업부 기동대(기업 동향 대응반)'를 운영, 지난 2개월간 총 451회의 현장 방문·간담회 등으로 산업계와 현장 소통하고, 수출·투자, 입지·인허가 등 96건의 현장애로를 발굴해 22건을 해결 완료‧확정했다고 16일 밝혔다. 산업부는 지난해 11월부터 장관부터 실무자까지 모든 직원이 매주 현장방문·간담회·기업미팅 등 산업 현장을 직접 찾아 현장애로 해소를 밀착 지원 관리하고 새로운 정책과제를 발굴·추진하는 산업부 기동대 프로그램을 운영하고 있다. 산업부는 지난 2개월간 직급별로는 장·차관 55회, 실·국장 147회, 과장·실무자 249회, 분야별로는 산업 234회, 에너지 148회, 무역 69회, 기능별로는 현장방문 215회, 간담회 156회, 행사 43회, 기업미팅 27회 현장소통을 실시해 산업 현장 목소리를 청취하고 규제개선·정책건의 등 애로사항 발굴·해소를 지원했다. 그간 발굴된 현장애로는 총 96건(규제개선 34건, 행정지원 17건, 재정·세제 20건, 정책건의 25건)으로 관계기관 심층 검토‧협의 등을 통해 ▲지방투자 촉진을 위한 지방투자촉진보조금 지원 한도 상향 ▲원전 기자재 기업 자금난 해소를 위한 선금특례 제도 시행 ▲석유가격 안정화를 위한 '범부처 석유시장점검단' 가동 ▲산업 연구개발(R&D) 성과 제고를 위한 '글로벌 기술협력 종합전략' 마련 ▲전기용품 등 인증기간 단축을 위한 인증기관 확대 등 22건의 현장애로를 해결 완료하거나 해결 방안을 확정했다. 안덕근 산업부 장관은 “앞으로도 우리 경제의 활력 회복과 수출·투자 전환 국면(모멘텀) 확대를 위해 산업 현장 속으로 들어가 우리 기업의 작은 목소리에도 귀를 기울이고 수출·투자에 걸림돌로 작용하는 현장애로·규제를 신속하게 해소하는 '문제해결을 위해 행동하는 산업부'가 될 수 있도록 최선을 다하겠다”고 강조했다.

2024.01.16 14:30주문정

Prev 11 12 13 14 Next