검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'ACT'통합검색 결과 입니다. (6건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

[인터뷰] "AI만을 위한 보안책 없어…美 클라우드법 우려 해소 노력"

[라스베이거스(미국)=김미정 기자] "생성형 인공지능(AI) 시대 속 보안 분야는 새로운 도전을 맞이하고 있습니다. 아마존웹서비스(AWS)는 전통적 보안 체계를 유지하면서도 신기술로 AI 보안을 강화하고 있습니다. 한국을 포함한 해외 기업들의 클라우드법(Cloud Act)에 대한 우려를 완화하고, 물리·논리적 접근을 통한 데이터센터 보안 강화에도 총력을 다하고 있습니다." AWS 마크 라이랜드 아마존 보안 총괄 책임은 최근 기자와 만나 생성형 AI와 클라우드, 데이터센터 보안 전략을 이같이 밝혔다. 라이랜드 책임은 13년 동안 아마존에서 근무했다. 그동안 클라우드 제품을 비롯한 데이터센터, 데이터베이스(DB), AI 솔루션에 들어가는 보안을 총괄해 왔다. "AI만을 위한 보안 없다…전통·최신 기술 합쳐야" 마크 라이랜드 책임은 생성형 AI만을 위한 뾰족한 보안은 존재하지 않는다고 강조했다. 전통적인 보안 방식과 최신 보안 방식을 결합하는 게 최선이라고 주장했다. 그는 전통적인 보안으로 시스템 최소 접근 권한과 데이터 암호화, 기밀 컴퓨팅 등 기존 검증된 보안 조치가 생성형 AI 시스템에도 동일하게 적용돼야 한다고 말했다. 그는 "전통적 보안 운영 시스템은 AI 시스템에 내장된 자원을 보호하고 새로운 형태의 AI 오용을 방지할 수 있다"며 "이를 바탕으로 AI로 AI를 점검하는 상호 검증을 할 수 있어 AI의 잠재적 약점을 선제적으로 파악할 수 있다"고 설명했다. 라이랜드는 전통적 방식뿐 아니라 AI를 이용한 생성형 AI 보안에도 힘쓴다고 했다. 우선 AI로 생성된 이미지뿐 아니라 음성, 동영상에도 워터마크를 삽입하려는 방법을 연구 중이다. 이를 통해 AI가 생성한 결과물임을 시스템이 감지할 수 있도록 하기 위해서다. AI 솔루션 개발 과정에서는 AI를 이용해 제품 품질을 높이고 시스템 버그와 보안 취약점을 최소화하고 있다. AWS 레드팀이 AI 모델 배포 전후로 지속적인 공격 시도를 모의 실험함으로써 약점을 찾아내고 내·외부 전문가와 자동화 도구를 활용해 테스트를 확장하는 접근법도 이뤄지고 있다. 그는 "이같은 보안 조치는 아마존이 최근 출시한 '아마존 노바' 에도 적용됐다"고 덧붙였다. 라이랜드는 생성형 AI 보안을 100% 막을 방법은 아직 없다고 주장했다. AI가 공격·방어 양면에서 활용될 수 있기 때문이다. 다만 그는 AI를 통한 이점이 피해보다 더 많다고 했다. 그러면서 "현재로서는 AI를 통한 사이버 방어 능력을 강화하기 위하 막대한 투자가 필요하다"고 덧붙였다. 해외 기업 '클라우드 액트' 우려..."누구도 데이터 못 봐" AWS는 미국의 '클라우드법(Cloud Act)'으로 인한 해외 고객사 우려 해소에도 힘쓰고 있다. 클라우드법은 미국 정부가 법 집행 목적으로 미국 기업이 해외 서버에 보관 중인 데이터에 접근할 수 있도록 허용하는 법이다. 이를 통해 미국 정부는 해외 정부·기업에 데이터 접근을 요청할 수 있다. 한국을 비롯한 해외 기업들은 미국 클라우드법에 대해 우려를 표하고 있다. 이에 라이랜드 책임은 "한국을 비롯한 모든 국가·기업이 이런 이슈에 걱정하는 것을 알고 있다"며 "기술적·정책적으로 이런 우려는 있어선 안 된다"고 주장했다. 그는 미국 정부가 AWS 고객 데이터를 받더라도 이를 바로 활용하지 못한다고 밝혔다. AWS가 미국 정부에 암호화된 데이터를 제공할 수 있지만 이를 해독할 수 있는 기술은 미국 정부뿐 아니라 AWS 내부에도 없다는 이유에서다. 라이랜드 책임은 "AWS 클라우드는 고객 데이터 암호화·관리 아키텍처로 구성됐다"며 "미국 정부가 데이터를 받아도 이를 해독할 수 없는 이유"라고 강조했다. 라이랜드는 AWS가 6개월마다 투명성 보고서 발행을 통해서도 이슈 해결에 힘쓰고 있다고 말했다. AWS는 미국 정부가 요청한 외국 기업·정부 데이터 접근 요청 건수를 보고서로 공개한다. 현재까지 해당 요구 사례는 0건인 것으로 나타났다. 그는 클라우드법 문제를 정부 대 정부 차원의 외교적 영역이라는 점을 강조했다. 이에 라이랜드 책임은 "미국 정부가 외국 기업·정부 데이터 접근을 요구할 때 해당 국가에 직접 요청하도록 합의된 상태"라고 덧붙였다. 데이터센터 보안 강화…'가드듀티'에 AI 탑재 AWS는 데이터센터 보안 강화를 한층 업그레이드했다. 물리·논리적 접근을 분리하는 아키텍처 설계법과 AI를 통한 이상징후 탐지 기술을 활용하고 있다고 밝혔다. 라이랜드 총괄은 AWS가 데이터센터 설립 초기부터 고객 데이터 보호를 위한 '다단계 보안 체계'를 갖췄다고 설명했다. 그는 "데이터센터는 외곽 경비부터 게이트, 건물 가장자리, 내부 복도 진입 시 생체 인증을 거치는 물리적 접근 통제로 이뤄졌다"며 "데이터센터에 들어가는 과정 자체가 타사보다 철저하다"고 강조했다. AWS 데이터센터는 논리적 접근 방식도 핵심 요소로 꼽힌다. 우선 데이터센터에서 근무하는 운영 인력은 장비 운용에 필요한 접근 권한만 갖고 있다. 시스템 내 별도 소프트웨어(SW)나 서비스에 대한 논리적 접근 권한은 없다. 해당 인력은 데이터센터와 떨어진 사무실에서 근무한다. 이를 통해 단순 장비 위치나 형태만 알고는 고객 데이터를 특정하거나 불법 접근을 할 수 없다. 라이랜드 책임은 물리·논리적 접근뿐 아니라 AI를 활용한 이상행동 탐지·경보 기술 강화에도 힘썼다고 강조했다. 현재 AWS는 '가드듀티(GuardDuty)' 기술로 AI 기반 이상행동 탐지와 경보 기능을 업그레이드했다. 특히 비정상적 도메인 네임 시스템(DNS) 조회 패턴, 갑작스런 중앙처리장치(CPU) 사용량 변화, API 호출 위치 불일치 등을 가드듀티로 실시간 감지할 수 있다. 최근 AWS는 다양한 로그와 이벤트를 종합 분석할 수 있는 복합 모델까지 가드듀티에 넣었다. 예를 들어 DNS 이상행동 이후 일정 시간 간격으로 발생하는 API 호출, 클라우드트레인 로그 이상 등을 AI로 파악해 공격 패턴 여부를 판단한다. 그동안 전문가가 직접 분석해야 했던 요소였다. 라이랜드 책임은 "가드듀티는 경고를 '람다' 등 자동화 도구와 연계해 즉각적 대응을 하고 있다"며 "보안 전문가는 최종 경고 분석, 의사결정에만 집중하면 돼 효율적"이라고 강조했다.

2024.12.10 09:52김미정

EU, 사이버 위협 관리 안한 제품은 판매 금지

앞으로 유럽연합(EU)에 수출하는 노트북, 모바일기가, 홈카메라, 냉장고, TV 등 디지털 요소가 포함된 모든 제품은 사이버 보안 위협을 관리한 후 CE인증을 받아야 한다. EU에서 사이버 보안 규제가 확대되고 있는 가운데 국내 기업이 수출 경쟁력 유지하려면 대처가 시급하다. EU 이사회는 지난 10일 역내 판매되는 디지털 제품의 사이버 보안 요구사항을 담은 사이버복원력법(Cyber Resilience Act, CRA)을 승인했다. 공급망 보안을 강화한 조치다. 앞으로 몇 주안에 EU 관보에 해당 내용이 게시되며 올해부터 효력이 발효된다. CRA에 따라 사이버 보안 관리를 하지 않은 디지털 요소가 들어간 제품은 유럽 시장 진출 필수 인증인 CE마크를 획득할 수 없다. EU에 디지털 제품을 수출하는 기업은 CRA 규정에 맞춰 소프트웨어자재명세서(SBOM)를 작성하는 것은 물론 지속적인 사이버 보안 취약점 관리를 해야 한다. 소프트웨어코드의 취약점부터 SBOM 관리는 개발과 공급망 프로세스 전반에 내재화해야 하는 과정으로 단 시간에 이뤄지지 않는다. 완제품을 수출하는 기업은 물론이고 소프트웨어나 부품을 납품하는 기업 모두 SBOM을 관리하고 취약점을 지속 관리해야 한다. 국내 기업은 법이 본격 적용되는 2027년 전까지 2~3년간 개발 프로세스 전 과정을 개선해야 한다. CRA는 디지털 제품에 대한 사이버 보안 관리를 의무화하는 세계 최초의 법안이다. 하드웨어와 소프트웨어 제품의 생애 주기 동안 필수적인 사이버 보안 요구사항을 도입하는 법안으로 노트북, 모바일 기기, 센서, 카메라, 라우터, 펌웨어, 어플리케이션, 비디오 게임, 비디오 카드, 컴퓨터 처리 장치와 같은 모든 디지털 요소가 들어간 제품에 적용된다. EU는 디지털 요소가 포함된 모든 제품의 보안 취약성을 줄이고, 제조업체, 수입업체, 유통업체가 제품의 생애 주기 동안 사이버 보안을 적절하게 관리하도록 CRA를 마련했다. 이를 통해 소비자와 기업, 공공부분에 미치는 사이버 위협을 사전에 대응할 계획이다. 기존 사이버 보안은 제품을 운영하는 쪽에서 규제를 준수했다. CRA로 제조업체까지 사이버보안 관리 주체가 확대됐다. EU 시장에 디지털 요소를 포함한 제품을 출시하는 모든 기업은 알려진 사이버 보안 취약점 수정은 물론이고 소프트웨어 업데이트 제공, 제품 감사와 인증을 받아야 한다. 유통사와 수입업체에도 같은 의무가 적용된다. 이희조 고려대 컴퓨터학과 교수는 “기업은 자체 개발 소프트웨어는 물론이고 협력 기업이 납품한 디지털 요소 등에 대해 모두 취약점을 관리하고 SBOM을 작성해야 한다"면서 “제품 개발 전 과정에서 사이버 보안을 관리하는 체계로 전환해야 한다"고 말했다. 이어 “기업은 보안을 고려한 개발프로세스(SDL), SBOM 생성 및 관리, 취약점신고관리 프로그램(vulnerability disclosure program) 구축까지 개발에서 유통, 운영단계별로 취약점관리프로그램을 수립해야 한다"면서 “프로그램을 내재화는 1~2년이 걸리는 작업으로 EU 시장에 대응하려면 지금부터 준비를 서둘러야 한다"고 말했다.

2024.10.28 13:59김인순

캐나다 유통 기업, 日 세븐일레븐 퇴짜에도 인수 재도전

편의점 세븐일레븐을 운영하는 세븐앤아이가 알리멘타시옹쿠쉬타르(ACT)의 인수 제안에 거절 의사를 밝혔지만, ACT는 재협상에 나설 것으로 알려졌다. 9일(현지시간) 블룸버그 통신에 따르면 ACT는 성명을 통해 “세븐앤아이가 논의에 참여하길 거부한 것에 실망했다”며 “인수에 필요한 현금 자금을 충분히 확보했고 서신을 보내 거래에 대한 관심을 다시 표명할 계획”이라고 밝혔다. 앞서 ACT는 지난달 세븐일레븐 편의점 체인 모기업인 세븐앤아이에 대한 인수 의사를 공개했다. 하지만 세븐앤아이 이사회는 ACT에 서신을 보내 인수 제안을 거절했다. ACT가 제안한 인수가격이 낮다는 것이 그 이유다. 블룸버그에 따르면 인수가격은 주당 15달러를 밑도는 수준이며 이들이 평가한 세븐앤아이 가치는 약 6조엔(420억 달러)였다. 그러면서 세븐앤아이는 “우리의 본질적 가치를 충분히 인정하는 제안을 제시한다면 진지한 논의를 진행할 의향이 있다”고 전했다. 한편 양사가 합병하면 10만개 이상의 점포를 보유한 글로벌 편의점 거대 기업이 탄생하게 된다. 다만 미국 시장에서의 높은 점유율 때문에 미 당국의 반독점 규제를 받을 가능성이 있다.

2024.09.09 10:43김민아

日 세븐일레븐, 캐나다 기업에 "입찰가 낮다"

편의점 세븐일레븐을 운영하는 세븐앤아이가 캐나다 유통 기업 알리멘타시옹쿠쉬타르(ACT)의 인수 제안을 거절할 방침인 것으로 알려졌다. 5일(현지시간) 블룸버그통신과 닛케이에 따르면 세븐앤아이 이사회는 ACT에 편지를 보내 인수 제안에 대해 답변할 예정이다. 편지에는 ACT의 제안이 자사 사업의 가치와 성장 전략을 반영하지 않았다는 내용과 미국 반독점법 위반 우려 등이 담길 것으로 보인다. 세븐앤아이 소식에 정통한 관계자에 따르면 ACT가 제안한 인수가격은 주당 15달러를 밑도는 수준이며 이들이 평가한 세븐앤아이 가치는 약 6조엔(420억 달러)였다고 블룸버그는 전했다. ACT의 신임 최고경영자(CEO)인 알렉스 밀러는 “세븐앤아이와 건설적으로 협력하고자 한다”며 “거래에 필요한 자금을 조달할 수 있다”고 말했다. 리서치 회사 테브스 캐피탈의 CEO인 타일러 테브스는 “희망적인 점은 논의가 계속되고 있다는 것”이라며 “세븐앤아이가 주주들의 이익을 고려하고 있다면 이 상황이 단지 겉치레만은 아닐 것”이라고 말했다. ACT는 지난달 세븐일레븐 편의점 체인의 모기업인 세븐앤아이에 대한 인수 의사를 공개했다. 양 사가 합병하면 10만개 이상의 점포를 보유한 글로벌 편의점 거대 기업이 탄생하게 된다. 다만 미국 시장에서의 높은 점유율 때문에 미 당국의 반독점 규제를 받을 가능성이 있다고 블룸버그는 보도했다.

2024.09.06 09:41김민아

日 세븐일레븐 주주 "캐나다 기업 인수 제안, 진지하게 고려해야"

편의점 세븐일레븐을 운영하는 세븐앤아이의 주요 주주들이 이사회에서 캐나다 유통 기업 알리멘타시옹쿠쉬타르(ACT)의 인수 제안에 대한 현황 브리핑을 요구했다. 로이터통신과 블룸버그에 따르면 세븐앤아이 주요 주주인 아르티잔 파트너스(이하 아르티잔)는 지난달 31일(현지시간) 서한을 보내 “9월 19일까지 주주들에게 인수 협상 현황을 브리핑해달라”며 “협상을 시작하지 않으면 회사가 책임을 져야 한다”고 경고했다. 아르티잔은 “ACT는 기업가치를 향상시키는 데 독보적인 위치에 있으며 세븐앤아이가 ACT의 제안을 진지하게 고려해야 한다”며 “회사의 실적이 좋지 않은 만큼 이 기회를 활용해야 한다”고 말했다. ACT는 세븐앤아이의 인수 제안에 대한 조건이나 가격을 공개하지 않았지만, 현재 세븐앤아이의 시장가치는 5조4천700억엔(370억 달러)이라고 블룸버그는 전했다. 블룸버그에 따르면 세븐앤아이는 일본에서 '핵심' 회사로 지정을 추진 중이다. 핵심 회사로 지정되면 일본 재무부는 회사 주식의 10% 이상을 인수하려는 모든 기관에 대해 조사를 실시해야 한다. 이에 대해 세븐앤아이 주식 1% 이상을 소유하고 있는 주주들은 “M&A 활동을 지원하기 위한 최근의 개혁에 반하는 것”이라며 잠재적인 정부 개입을 비판했다.

2024.09.02 09:34김민아

日 세븐일레븐, 캐나다 기업되나…주가 23% 급등

캐나다 유통기업 '알리멘타시옹 쿠시타르(ACT)가 '편의점 세븐일레븐을 운영하는 일본 유통기업 세븐&아이홀딩스에 인수 의사를 밝힌 것으로 알려졌다. 19일(현지시간) 로이터통신과 닛케이신문 등에 따르면 세븐&아이홀딩스는 ACT로부터 매수 제안을 받은 뒤 사내에 독립적인 위원회를 설치했다. 이번 제안이 실현되면 해외 기업에 의한 일본 기업 매수로는 최대 규모가 될 전망이다. 닛케이는 ACT가 세븐&아이홀딩스를 완전히 인수하려면 5조엔(약 46조원) 이상의 자금이 필요하다고 전했다. 인수 소식이 전해지면서 세븐&아이홀딩스 주가는 전 영업일 대비 약 23% 급등했고 시가총액은 5조6천억엔으로 늘어났다. ACT는 캐나다 퀘벡주에 본사를 둔 유통기업으로 캐나다와 미국, 유럽을 중심으로 편의점 '서클K'와 '쿠쉬타르' 등을 운영하고 있다. 총 1만4천개 지점을 운영 중으로 기업가치는 약 580억 달러다. 세븐&아이홀딩스는 전 세계적으로 약 7만7천명을 고용하고 있으며 매출의 대부분은 해외 편의점 사업에서 발생한다. 북미에서 전체 매출의 4분의 3이 발생한다.

2024.08.20 10:00김민아