• ZDNet USA
  • ZDNet China
  • ZDNet Japan
  • English
  • 지디넷 웨비나
뉴스
  • 최신뉴스
  • 방송/통신
  • 컴퓨팅
  • 홈&모바일
  • 인터넷
  • 반도체/디스플레이
  • 카테크
  • 헬스케어
  • 게임
  • 중기&스타트업
  • 유통
  • 금융
  • 과학
  • 디지털경제
  • 취업/HR/교육
  • 생활/문화
  • 인사•부음
  • 글로벌뉴스
  • AI의 눈
반도체
인공지능
AI의 눈
IT'sight
칼럼•연재
포토•영상

ZDNet 검색 페이지

'AI 보안'통합검색 결과 입니다. (496건)

  • 태그
    • 제목
    • 제목 + 내용
    • 작성자
    • 태그
  • 기간
    • 3개월
    • 1년
    • 1년 이전

[법과 상식 사이] AI 시대의 오픈소스: 공개된 기술의 힘과 책임

오늘날 생성형 AI 혁신의 상당 부분은 오픈소스라는 거대한 공유의 기반 위에서 이뤄지고 있다. 기업은 오픈소스 라이브러리를 활용해 서비스를 만들고, 공개된 개발 도구로 AI 모델을 시험하며, 클라우드와 보안 시스템도 수많은 오픈소스 구성요소 위에서 운영한다. 오픈소스는 이제 개발자 커뮤니티의 자발적 공유 문화에 머물지 않고 디지털 산업의 기본 작동 방식이 됐다. 그러나 오픈소스가 너무 익숙해진 탓에 정작 중요한 질문은 자주 생략된다. 공개돼 있다는 것은 곧 자유롭게 써도 된다는 뜻일까. 오픈소스는 공짜가 아니다 오픈소스라고 하면 흔히 인터넷에 공개된 무료 프로그램을 떠올린다. 그러나 오픈소스는 단순히 공짜로 배포되는 소프트웨어가 아니다. 소스코드를 공개하고 정해진 라이선스 조건 아래 누구나 이를 이용할 수 있도록 허용하는 개발 방식이자 이용허락 모델이다. 여기서 이용에는 복제, 수정, 배포가 포함된다. 완성된 요리를 공짜로 나눠주는 것이 아니라 레시피를 공개해 누구나 보고 고치고 더 나은 요리를 만들 수 있게 하는 방식에 가깝다. 그렇다면 왜 기업과 개발자는 자신이 만든 소프트웨어의 소스코드를 공개할까. 이유는 단순하지 않다. 어떤 개발자는 기술적 명성과 경력을 얻기 위해 참여하고, 어떤 기업은 자사 기술을 사실상의 표준으로 확산시키기 위해 공개한다. 공개된 코드는 전 세계 개발자들이 함께 오류를 찾고 기능을 개선할 수 있기 때문에 개발 속도와 품질을 높일 수 있다. 기업 입장에서는 핵심 소프트웨어를 둘러싼 생태계를 키우고 그 위에서 클라우드 서비스, 기술지원, 보안관리, 컨설팅 같은 부가 서비스를 제공할 수도 있다. 오픈소스는 단순한 선의의 산물이 아니라 협업, 표준화, 시장 확대, 비용 분담이 결합된 혁신 모델이다. 다만 여기서 중요한 오해가 생긴다. 공개되어 있고 무료로 내려받을 수 있다고 해서 아무 조건 없이 마음대로 사용할 수 있는 것은 아니다. 오픈소스는 저작권을 포기한 것이 아니라 저작권자가 정한 조건에 따라 이용을 허락한 것이다. 어떤 라이선스는 저작권 표시나 라이선스 문구 제공 등 비교적 제한적인 의무를 요구하는 데 그치지만, 어떤 라이선스는 수정본이나 결합된 프로그램을 배포할 때 소스코드 제공 의무를 요구하기도 한다. MIT나 Apache 같은 허용적 라이선스와 GPL 계열의 카피레프트(Copyleft) 라이선스가 실무에서 다르게 취급되는 이유도 여기에 있다. 기업 리스크는 바로 이러한 차이를 제대로 구분하지 못할 때 시작된다. 개발자는 필요한 코드를 빠르게 가져와 서비스를 만들지만, 그 코드에 어떤 라이선스 조건이 붙어 있는지는 충분히 확인하지 않는 경우가 많다. 개발 단계에서는 편리한 도구처럼 보이던 외부 코드도 제품이나 서비스에 포함돼 배포되는 순간 기업의 법적 책임으로 바뀔 수 있다. 특히 라이선스 종류와 결합 방식에 따라서는 단순한 고지 누락을 넘어 소스코드의 공개 의무까지 문제 될 수도 있다. AI 시대 오픈소스 관리는 코드 밖으로 확장된다 AI 시대에는 이 문제가 한층 더 복잡해진다. 과거의 오픈소스 관리는 주로 소스코드를 중심으로 이뤄졌다. 어떤 코드를 가져왔는지, 그 코드를 수정했는지, 제품에 포함해 배포했는지가 핵심이었다. 그러나 생성형 AI 서비스에서는 코드만 추적해서는 충분하지 않다. 서비스가 데이터, 모델, API가 결합된 구조로 작동하기 때문이다. 문제는 이 요소들이 모두 같은 조건으로 제공되지 않는다는 점이다. 어떤 요소는 자유로운 수정과 배포를 허용하지만, 어떤 요소는 연구 목적 사용이나 비상업적 이용으로 제한된다. 사용할 수 있더라도 학습 데이터나 모델 구조는 공개되지 않는 경우도 있다. 특히 외부 API는 코드를 가져오는 것이 아니라 기능을 빌려 쓰는 방식이므로, 실제 사용 범위는 오픈소스 라이선스보다 이용약관에 의해 정해지는 경우가 많다. 결국 AI를 구성하는 요소들은 공개 범위도 이용 조건도 서로 다르다. 따라서 AI 시대의 핵심 질문은 오픈소스 여부 자체보다 무엇을 어떤 조건으로 결합해 쓰고 있는가에 있다. 코드와 라이브러리를 넘어 데이터셋, 모델, API까지 서비스에 결합되는 순간 기업이 확인해야 할 범위도 넓어진다. 이제는 상업적 이용 가능성, 데이터 이용 조건, 수정·재배포 제한, 보안 취약점, 고객사와의 계약상 책임까지 함께 살피는 관리체계가 필요하다. 무엇을 쓰고 있는지 알아야 한다 기업이 해야 할 일은 분명하다. 제품과 서비스 안에 무엇이 들어 있는지 파악하고 각각 어떤 조건 아래 허용된 것인지 확인해야 한다. 개발자가 어떤 코드를 가져왔는지 살피는 데 그쳐서는 부족하다. 모델, 데이터셋, API가 서비스와 어떻게 결합돼 있는지, 그 조건이 상업적 서비스나 제품 배포와 충돌하지 않는지 점검해야 한다. 이를 위해서는 제품과 서비스의 구성요소를 지속적으로 관리하는 체계가 필요하다. 최근 소프트웨어 자재명세서인 SBOM(Software Bill of Materials)의 중요성이 커지는 것도 이 때문이다. 다만 AI 시대의 관리는 SBOM만으로 충분하지 않다. 소프트웨어 구성요소를 넘어 모델과 데이터셋, API의 이용 조건과 위험까지 함께 확인해야 하기 때문이다. 오픈소스는 AI 시대 혁신의 중요한 기반이다. 그러나 그 힘은 아무 조건 없는 자유에서 나오는 것이 아니다. 기업은 이제 오픈소스를 사용할지 여부보다 어떤 기술을 어떤 조건으로 쓰는지 정확히 파악해야 한다. 공개된 기술의 힘은 그 조건을 이해하고 책임 있게 관리할 때 지속될 수 있다.

2026.06.23 15:13안정민 컬럼니스트

오픈AI, 취약점 발견부터 패치 검증까지 자동화…"보안 역량 강화"

오픈AI가 인공지능(AI) 보안 역량을 강화하기 위해 서비스를 출시했다. 오픈AI는 보안 이니셔티브 '데이브레이크'를 확대하고 보안 전용 기능과 프로그램을 새롭게 공개했다고 23일 밝혔다. 데이브레이크는 소프트웨어(SW) 취약점 발견부터 검증과 위험도 평가, 패치 개발·테스트, 배포까지 이어지는 수정 과정을 가속하는 것이 목표다. 오픈AI는 이번 확대 핵심 기능으로 '코덱스 시큐리티' 플러그인을 공개했다. 해당 기능은 코드와 위협 모델을 분석해 취약점을 찾고 실제 공격 가능성을 검증한 뒤 패치를 개발하고 결과까지 확인할 수 있도록 지원한다. 개발자와 보안 담당자는 코덱스 시큐리티가 제안한 결과를 검토한 뒤 추가 조사나 패치 적용 여부를 결정할 수 있다. 오픈AI는 이를 통해 취약점 발견 이후 실제 수정까지 걸리는 시간을 단축할 수 있을 것으로 기대했다. 검증된 방어 전문가를 대상으로는 'GPT-5.5-사이버' 정식 버전도 제한적으로 공개했다. 이 모델은 대규모 코드베이스에서 보안 관련 구성요소와 공격 경로를 분석하고 통제된 환경에서 취약점을 검증하며 패치를 개발·테스트할 수 있도록 설계됐다. GPT-5.5-사이버는 알려진 취약점 재현 능력을 평가하는 '사이버짐' 벤치마크에서 85.6%를 기록했다. 이는 기존 GPT-5.5의 81.8%보다 높은 수치다. 오픈AI는 선정된 보안 기업들이 관련 기술을 고객 서비스에 활용할 수 있도록 '데이브레이크 사이버 파트너 프로그램'도 출범했다. 참여 기업과 함께 안전장치와 모니터링 체계, 악용 방지 기준을 지속적으로 강화할 계획이다. 오픈소스 프로젝트 지원 프로그램인 '패치 더 플래닛'도 새롭게 시작했다. 오픈AI는 보안 연구기업 트레일 오브 비츠와 협력해 전문 연구자들이 첨단 모델과 코덱스 시큐리티를 활용해 취약점을 검증하고 패치할 수 있도록 지원한다. 해커원과 칼리프는 취약점 분류와 조율된 공개 절차를 지원한다. 현재 30개가 넘는 오픈소스 프로젝트가 참여 의사를 밝혔으며 컬과 고, 파이썬, 시그스토어, 파이카 크립토그래피 등이 초기 참여 프로젝트에 포함됐다. 오픈AI는 최근 한 달 동안 한국과 일본, 독일, 프랑스, 캐나다, 호주를 비롯해 유럽연합 사이버보안청 등과 '트러스티드 액세스 포 사이버' 협력 체계를 구축했다. 또 미국 정부와 연방기관, 영국 정부 등과도 방어적 사이버 보안 역량 강화를 위한 협력을 확대하고 있다. 현재 업계에선 AI가 SW 개발과 운영 전반에 깊숙이 도입되면서 단순 취약점 탐지를 넘어 검증과 패치 개발, 테스트까지 수행하는 'AI 기반 보안 자동화' 경쟁이 본격화되는 모습이다. 또 AI 모델 성능 향상으로 공격자와 방어자 모두 활용 가능한 역량이 커지면서 정부와 기업들은 안전장치와 접근 통제를 포함한 새로운 보안 생태계 구축에 속도를 내고 있다. 오픈AI는 "우리는 AI 모델을 활용해 더 많은 취약점을 찾는 데 그치지 않고 더욱 안전한 SW와 강력한 사이버 복원력을 갖춘 환경을 구축하는 것"이라au "공공·민간 부문 조직은 데이브레이크와 협력해 자신들이 개발하거나 의존하는 SW 취약점을 발견하고 검증하며 수정할 수 있을 것"이라고 설명했다.

2026.06.23 09:15김미정 기자

"피지컬AI도 보안 비상…상용 로봇 3종서 38개 취약점 발견"

"피지컬 인공지능(AI)는 로봇, 자율이동체 등 물리 세계와 연계된 AI 시스템으로 확장되면서 새로운 보안 위협과 안전성 문제를 야기합니다. 사이버 시큐리티 AI라는 AI 모델을 활용해서 로봇 제품명만 제공했음에도 불구하고, 상업용 로봇 3종에서 38개의 취약점이 탐지됐습니다. 인식, 계획, 판단, 실행, 제어 피지컬 AI 전 계층에서 안전과 보안이 담보돼야 합니다." 김수형 한국전자통신연구원(ETRI) 인공지능데이터보안연구실장은 '피지컬 AI 보안 기술 연구동향 및 주요 이슈'를 주제로 발표하며 이같이 강조했다. 이날 김 실장은 한국정보보호학회가 개최한 '제3회 자동차 및 무인이동체 보안 워크숍'에서 세션 발표를 했다. 피지컬 AI 환경에서의 주요 보안 위협을 살펴보고, 센서 신뢰성, 런타임 안전성 등 관련 보안 기술의 연구 동향과 이슈 등을 중점적으로 다뤘다. 김 실장은 "피지컬 AI 보안 관련 연구가 증가하는 추세다. 피지컬 AI 보안 관련 논문 개수는 2023년 대비 올해 5월 기준 3.5배 늘어난 것으로 나타났다"며 "그러나 인증없는 연결, 통신 구간에서 크리덴셜(계정정보) 노출, 인증정보 하드코딩, 프라이버시 데이터 수집 등 현재의 로봇은 보안에 대한 고려가 미흡하다"고 진단했다. 그는 "피지컬 AI 보안은 AI가 실제 물리 세계를 인식·판단·행동하는 과정에서 발생할 수 있는 사이버 보안 위협과 물리적 안전 위험을 통합적으로 예방·탐지·대응하는 기술을 말한다"며 "다양한 피지컬 AI 시스템이 실제 환경에서 안전하고 신뢰성 있게 운영되기 위해서는 피지컬 AI 전주기에 대한 사이버보안 관리 체계가 필요하다"고 강조했다. 이어 "그러나 피지컬 AI 보안 관련 논의는 산업용 로봇·전자기기 안전 표준, 미국국립표준연구소(NIST) AI 위험 관리 프레임워크(RMF) 등 부분적인 요구만 정의되는 현실"이라고 밝혔다. 김 실장은 "하지만 피지컬 AI 보안을 구현하기에 근본적이고도 현실적인 어려움이 산재해 있다. 피지컬 AI는 물리적 세계와 연결되고, 모든 필드 상황을 사전에 학습하는 것에 한계가 있기 때문에 비정형 환경과 검증의 어려움도 있다"며 "피지컬 AI 기기 역시 형태, 센터, 미들웨어, 용도 운영 환경 등이 다양하다. 또 보안 처리가 지연될 경우 제어에 지연이 발생할 수 있으며, 다중 업체와 협력 관계로 만들어진 피지컬 AI의 경우에는 권한과 신뢰 관리 체계의 복잡성도 증대한다는 현실적인 문제가 있다"고 역설했다. 그는 "근본적이고 현실적인 어려움이 산재해 있지만 결국 피지컬AI 보안은 해결해야 할 문제"라며 "계층 간 위험 정보를 기반으로 대응 전략을 자율적으로 계획·실행하는 안전·보안 제어 기술이 필요하다. 피지컬AI 시스템의 안전성과 신뢰성을 담보하는 보안기술은 선택이 아닌 생존의 필수 요소"라고 말했다.

2026.06.22 10:57김기찬 기자

미국인 절반 챗봇 쓰지만…10명 중 6명 "AI 발전 너무 빨라"

인공지능(AI)이 일상의 필수가 됐지만 이용자들은 기술의 발전 속도에 위협과 우려를 느끼는 것으로 나타났다. 챗봇을 통한 AI 이용 경험은 급속도로 확산했으나 심리적 저항선은 오히려 높아졌다는 분석이다. 21일 미국 여론조사기관 퓨 리서치 센터가 발간한 '2026년 미국인과 AI' 보고서에 따르면 미국 성인의 절반(49%)이 챗봇을 사용하지만 63%는 AI 발전 속도가 너무 빠르다고 답했다. 보고서는 현시점의 AI 지형도를 크게 ▲챗봇·검색 등 서비스 이용의 보편화 ▲스마트 홈 기기의 침투 ▲데이터 보안·사회적 영향에 대한 회의론 ▲인구통계별 인식 격차 등으로 제시했다. 우선 AI 이용 측면에서는 보편화가 뚜렷했다. 챗봇 사용률은 2024년(33%)에서 큰 폭으로 뛰었고 검색 결과 상단의 'AI 요약'을 읽는 인구는 60%에 달했다. 스마트워치(37%)와 스마트 스피커(35%) 등 AI 기반 하드웨어 도입도 활발했다. 기술을 바라보는 대중의 시선은 회의론으로 기울었다. AI가 개인정보 보안을 '더 취약하게 만들 것'이라는 응답은 71%에 달했고 사회적 영향에 대해서도 부정적 전망(40%)이 긍정적 전망(16%)을 압도했다. 세부 집단별로는 역설적인 데이터가 관찰됐다. 18~29세 젊은 층은 챗봇 사용률(66%)이 가장 높지만 동시에 사회적 영향에 가장 부정적(48%)인 집단으로 조사됐다. 인종별로는 아시아계 미국인이 사용률(70%)과 개인적 영향에 대한 긍정 인식(41%) 모두에서 다른 집단을 앞섰다. 이같은 불안은 개인 차원을 넘어 시스템에 대한 불신으로 이어지고 있다. 미국 정부가 AI를 효과적으로 규제할 것이라는데 67%가 신뢰하지 않는다고 답했는데 이는 2024년(62%)보다 높아진 수치다. AI를 개발하는 기업이 책임감 있게 기술을 다룰 것이라는 데에도 약 60%가 신뢰하지 않는다고 응답했다. 퓨 리서치 센터는 보고서를 통해 "더 많은 미국인이 AI를 일상에 받아들이고 있지만 그 영향과 발전 속도, 개인정보 위험을 둘러싼 우려도 함께 커지고 있다"며 "사용량의 증가가 곧 기술에 대한 신뢰를 의미하지는 않는다"고 진단했다.

2026.06.21 20:00이나연 기자

KT, 미래 네트워크 보안 구상 'E2E 퀀텀 시큐리티' 공개

KT가 한국통신학회 하계종합학술발표회 특별 세션에서 AI와 양자 기술 환경 변화에 대응하기 위한 미래 네트워크 보안 구상 'E2E 퀀텀 시큐리티'를 공개했다고 21일 밝혔다. KT는 AI 기술이 취약점 탐지와 공격 자동화에 활용되고 있으며 자율적으로 진화하는 공격 방식이 기존 네트워크 보안 패러다임을 변화시키고 있다고 진단했다. 또 양자 컴퓨팅 기술 발전으로 기존 공개키 암호 체계의 안전성이 저하될 수 있다고도 강조했다. 공개키 암호 체계는 데이터 암호화는 누구나 할 수 있지만 복호화는 특정 사용자만 할 수 있는 구조다. 기존에는 해커가 암호화된 데이터를 탈취하더라도 해독할 수 없었지만 양자 컴퓨터로는 복호화할 가능성이 있다. 이에 따라 KT는 'E2E 퀀텀 시큐리티' 전략을 제시했다. 데이터 전송 경로는 물론 네트워크 장비, AI 데이터센터, 클라우드 등 주요 인프라 전반에 양자 기술을 적용하는 KT의 미래 네트워크 보안 구상이다. E2E 퀀텀 시큐리티는 ▲고객과 통신망 간 데이터 전송 구간을 보호하는 '퀀텀 링크' ▲네트워크 장비 및 운영 구간의 취약점과 이상 징후를 탐지해서 보호하는 '퀀텀 노드' ▲데이터의 생성부터 저장, 활용, 삭제까지 전 생애주기를 보호하는 '퀀텀 볼트' 등으로 구성된다. 이를 통해 전송 구간부터 네트워크 장비, 데이터까지 전 영역에 걸친 통합 보호 체계를 구축한다. KT 특별 세션에서는 AI 양자 보안 외에도 통신망 운영과 관련된 보안 이슈를 다뤘다. 5G, LTE 이동통신 환경의 보안 취약점과 무선 공격 기법과 단말, 무선 프로토콜, 서비스 구성 과정의 보안 문제를 비롯해 제로 트러스트 기반 보안 체계, 통신 사업자의 AI 시대 보안 전략 등을 논의했다. 이종식 KT 미래네트워크랩장은 “이번 특별 세션은 지속적으로 고도화되는 사이버 공격에 대응하기 위한 AI 기반 보안 기술과 KT의 미래 네트워크 보안 구상을 공유한 뜻깊은 자리”라며 “KT는 AI와 양자 기술 역량을 바탕으로 미래 네트워크의 안정성과 신뢰성을 지속적으로 강화해 나가겠다”라고 말했다.

2026.06.21 09:26박수형 기자

"코드 취약점 대응 자동화"…AWS, 신규 AI 보안 서비스 내놔

아마존웹서비스(AWS)가 코드 취약점 탐지부터 검증, 완화, 해결까지 자동화하는 인공지능(AI) 보안 솔루션을 공개했다. AWS는 신규 보안 서비스 'AWS 컨티뉴엄'을 제한된 프리뷰 형태로 공개했다고 19일 밝혔다. 이 서비스는 코드 취약점을 발견하고 위험도를 평가한 뒤 해결 방안 제시와 검증까지 수행하는 것이 특징이다. AWS는 기존 보안 운영 방식이 급변하는 위협 환경을 따라가기 어려워지고 있다고 진단했다. 최신 사이버보안 AI 모델이 자동으로 취약점을 찾아내고 복잡한 공격 경로까지 추론하면서 기업이 관리해야 할 취약점 백로그도 빠르게 증가하고 있다는 설명이다. AWS 컨티뉴엄은 코드 취약점 발견부터 조치까지 전체 생애주기를 자동 처리한다. 환경 전반을 분석해 실제 위험 여부를 판단하고 해결 과정까지 연결할 수 있다. 특정 AI 모델에 의존하지 않고 업무별로 적합한 프런티어 모델을 활용하도록 설계됐다. 이 서비스는 취약점 발견과 우선순위화, 검증, 완화·해결 단계로 구성됐다. 우선 기존 취약점 백로그와 자체 스캔 결과를 종합해 공격 경로를 분석하고 실제 배포 여부와 외부 노출 여부, 비즈니스 영향을 평가해 우선순위를 제시하는 식이다. 이후 검증 단계에서는 오탐 여부를 확인하고 샌드박스 환경에서 재현 가능한 공격 예시를 생성한다. 이를 통해 보안 담당자는 실제 악용 가능성을 근거와 함께 확인할 수 있다. 완화·해결 단계에서는 기존 방어 체계를 분석한 뒤 네트워크 설정 변경, 정책 수정, 코드 패치 등 대응 방안을 제시한다. 패치 권고안은 취약점을 탐지한 동일 시스템으로 자동 검증되며 영향 범위와 롤백 경로도 함께 제공한다. AWS는 컨티뉴엄이 정형 데이터뿐 아니라 문서, 커뮤니케이션, 비즈니스 우선순위 등 비정형 데이터까지 분석한다고 설명했다. 이를 통해 일률적인 규칙 기반 탐지가 아니라 조직의 실제 운영 환경과 비즈니스 맥락을 반영한 보안 판단을 수행하도록 했다. 기존 AWS 시큐리티 에이전트 침투 테스트 기능과 코드 스캐닝 기능도 각각 '컨티뉴엄 펜 테스팅'과 '컨티뉴엄 코드 스캐닝'으로 통합됐다. 설계 문서와 소스 코드를 기반으로 위협 모델을 자동 생성하는 '컨티뉴엄 위협 모델링' 기능도 프리뷰로 공개됐다. AWS는 우선 자체 개발 코드와 서드파티 코드 보안 영역에 서비스를 적용한 뒤 향후 보안 전반으로 범위를 확대할 계획이다. 초기에는 사람이 검토하는 학습 모드로 운영되며 신뢰가 확보되면 사용자가 정의한 위험 수준에 따라 자동 해결 기능을 적용할 수 있도록 지원한다. AWS는 "보안팀은 신뢰를 쌓고 실질적인 조치를 취할 수 있는 도구를 원한다"며 "AWS 컨티뉴엄은 이를 충족할 수 있는 서비스"라고 밝혔다.

2026.06.19 16:45김미정 기자

[AI는 지금] 와이드필드 품은 시스코, AI 에이전트 보안 승부수…'신원 전쟁' 불붙었다

시스코시스템즈가 인공지능(AI) 에이전트 보안 기업 와이드필드 시큐리티 인수에 나서며 글로벌 보안 시장의 경쟁 축이 신원·세션 기반 보안으로 넓어지고 있다. 생성형 AI가 단순 응답 도구를 넘어 기업 시스템 안에서 직접 작업을 수행하는 에이전트로 진화하면서, 보안 기업들의 경쟁 기준도 탐지 정확도에서 실행 맥락 검증 역량으로 이동하는 분위기다. 시스코는 18일(현지시간) 공식 블로그를 통해 와이드필드 시큐리티 인수 계획을 발표했다. 와이드필드는 엔드포인트, 신원 시스템, 네트워크, 클라우드에서 발생하는 신원 신호를 세션 단위 증거 데이터로 전환하는 기술을 보유한 기업이다. 시스코는 해당 기술을 자회사 스플렁크의 '에이전틱 보안운영센터(Agentic SOC)'에 통합해 인간 사용자뿐 아니라 AI 에이전트, 자동화 워크로드, 서비스 계정 등 비인간 식별자의 활동 분석에 활용할 계획이다. 이번 인수는 AI 보안의 초점이 프롬프트 인젝션이나 데이터 유출 방지에서 권한을 가진 AI의 행동 통제로 확장되고 있음을 보여준다. 기존 보안 체계가 누가 로그인했는지에 초점을 맞췄다면, AI 에이전트 환경에서는 어떤 개체가 어떤 권한과 세션에서 어떤 행동을 했는지 검증하는 능력이 중요해지고 있다. 인증된 계정이나 승인된 AI 에이전트가 잘못된 맥락에서 위험한 작업을 수행할 경우 사람이 개입하기 전 피해가 커질 수 있어서다. 와이드필드 기술은 이 지점에서 스플렁크의 AI 기반 SOC 기능을 보완한다. 와이드필드는 신원 텔레메트리를 검증 가능한 세션 증거로 전환한다. 스플렁크의 SOC 에이전트는 이를 바탕으로 특정 행위가 정상 활성 세션에서 나온 것인지, 탈취됐거나 악용된 세션에서 발생한 것인지 추론할 수 있다. 시스코는 이를 통해 자율 대응의 속도와 정밀도를 높이겠다는 구상이다. 이번 인수는 글로벌 보안 기업에도 압박 요인으로 작용할 전망이다. 팔로알토 네트웍스는 코텍스 엑시암(Cortex XSIAM)을 앞세워 AI 기반 SOC 시장을 공략해 왔지만, 시스코가 스플렁크에 세션 인텔리전스를 더하면서 경쟁 기준은 이벤트 분석을 넘어 신원 맥락과 세션 검증 역량으로 넓어질 수 있다. 크라우드스트라이크 역시 엔드포인트·워크로드 중심 방어 체계에 더해 비인간 식별자와 AI 에이전트 권한 추적 역량을 강화해야 하는 부담이 커질 수 있다. 마이크로소프트와 구글 등 클라우드 빅테크도 자사 AI·보안 포트폴리오 안에서 머신 아이덴티티, 에이전트 행동 검증, AI 거버넌스 기능을 앞으로 확대할 가능성이 있다. 시스코가 최근 아스트릭스 시큐리티와 갈릴레오에 이어 와이드필드까지 더한 점도 주목된다. 아스트릭스는 비인간 식별자와 자격 증명 보안, 갈릴레오는 AI 관측성과 가드레일 영역을 보완한다. 여기에 와이드필드의 세션 인텔리전스가 더해지면서 시스코는 신원, 실행 행동, 관측성, 대응을 하나로 묶는 AI 보안 포트폴리오를 강화할 수 있게 됐다. 업계에선 이번 인수를 계기로 AI 보안 시장의 경쟁 구도가 모델 보호 중심에서 에이전트 통제 중심으로 이동할 가능성에 주목하고 있다. AI가 기업 내부 시스템에서 직접 실행 주체로 활동하는 사례가 늘수록 보안 기업들은 계정과 단말 중심 방어를 넘어 AI 에이전트의 권한과 행동을 실시간으로 증명하는 기술을 확보해야 하는 부담이 커질 것으로 보인다. 업계 관계자는 "AI 에이전트가 기업 시스템 안에서 직접 업무를 수행하기 시작하면서 계정 관리만으로는 보안을 설명하기 어려워졌다"며 "앞으로는 AI가 어떤 권한으로 어떤 행동을 했는지 입증하는 기술이 SOC 경쟁력을 좌우할 가능성이 크다"고 말했다.

2026.06.19 15:41장유미 기자

AI 팩토리 구축 쉽게…넷앱-시스코, '플렉스포드' 고도화

넷앱과 시스코가 기업 인공지능(AI) 인프라 구축 복잡성을 줄이기 위한 신규 검증 솔루션을 공개했다. 컴퓨팅·네트워크·스토리지를 통합한 아키텍처를 기반으로 기업이 보다 빠르고 안전하게 AI를 도입할 수 있도록 지원하며 엔터프라이즈 시장 공략에 속도를 낸다는 전략이다. 넷앱은 시스코와 함께 AI 구축을 지원하는 신규 '플렉스포드(FlexPod)' 검증 솔루션을 발표했다고 18일 밝혔다. 이번 솔루션은 AI 워크로드 운영에 필요한 인프라 복잡성을 줄이고 데이터 관리와 보안, 운영 효율성을 강화하는 데 초점을 맞췄다. 양사는 이번 플렉스포드 솔루션을 통해 엔터프라이즈 AI 구축을 위한 검증 아키텍처를 제공할 방침이다. 검색증강생성(RAG)과 시멘틱 검색 환경 구축을 지원하며 넷앱 AFX, 넷앱 AI 데이터 엔진(AIDE), 엔비디아 및 시스코 시큐어 AI 팩토리를 결합해 데이터 관리와 보안, AI 운영 기능을 통합 제공할 계획이다. 기존 데이터를 활용한 AI 추론 및 RAG 워크플로우를 지원하는 사전 통합형 AI 인프라와 원격·분산 환경을 위한 엣지 AI 추론 환경도 지원한다. 특히 엔터프라이즈 AI 환경에선 엔비디아 AI 데이터 플랫폼 기반의 넷앱 AI 데이터 엔진과 시스코의 AI 네트워킹·보안 기술을 결합했다. 이를 기반으로 기업이 데이터 탐색과 준비, 거버넌스, 보안 역량을 강화하고 대규모 AI 팩토리를 보다 효율적으로 설계·확장할 수 있도록 지원한다. 넷앱과 시스코는 AI 인프라가 단순 그래픽처리장치(GPU) 확보 경쟁을 넘어 데이터와 보안, 운영 체계를 통합하는 방향으로 진화 중이라고 보고 있다. 기업이 AI 실험 단계를 넘어 실제 운영 환경으로 전환하는 과정에서 안정성·확장성·보안성을 동시에 확보하는 것이 핵심 경쟁력으로 부상 중이다. 댈러스 올슨 넷앱 최고사업책임자(CCO)는 "IT팀이 모든 환경에서 안정적이고 일관된 성능을 제공해야 하는 과제를 안고 있는 가운데, AI 워크로드는 데이터 인프라에 대한 요구사항도 빠르게 높아지고 있다"며 "양사 플렉스포드 파트너십은 이미 고객의 인프라 관리 및 유지보수 시간을 최대 20% 절감하는 성과를 입증했다"고 밝혔다. 이어 "이번 협력을 통해 기업이 보다 안정적이고 효율적으로 AI를 도입할 수 있도록 지원할 것"이라고 덧붙였다. 제레미 포스터 시스코 GM 겸 수석부사장은 "기업들이 AI 실험 단계에서 실제 운영 환경으로 전환하면서 보안은 선택이 아닌 필수 요소가 됐다"며 "넷앱과 협력해 시스코 시큐어 AI 팩토리를 플렉스포드 솔루션으로 확장함으로써 기업이 AI 관련 리스크를 해결하는 동시에 AI 인프라 배포·운영 방식을 간소화하도록 도울 것"이라고 말했다.

2026.06.18 15:48한정호 기자

나무기술, AI 시대 디지털 워크스페이스 전략 공개

나무기술이 시트릭스와 자사 서비스형 데스크톱(DaaS) 플랫폼을 결합한 인공지능(AI) 기반 업무 환경을 앞세워 기업 AI 전환(AX) 시장 공략에 박차를 가한다. 나무기술은 지난 17일 서울 삼성동 그랜드 인터컨티넨탈 서울 파르나스에서 열린 '컨버전스 인사이트 서밋(CIS) 2026'에 참가해 CXK와 공동 부스를 운영하고 AI 기반 디지털 워크스페이스 전략을 공개했다고 18일 밝혔다. CIS 2026은 AI·클라우드·데이터·보안 분야 최신 기술과 활용 전략을 공유하는 엔터프라이즈 IT 컨퍼런스다. 나무기술은 이번 행사에서 시트릭스 기반 디지털 워크스페이스와 자사 'NCC-DaaS'를 중심으로 사용자 경험과 보안, 운영 효율성을 높이는 방안을 소개했다. 현장에선 '시트릭스 버추얼 앱스 앤드 데스크톱'과 연계되는 'NCC-VDI DaaS' 포털을 시연하며 다양한 하이퍼바이저 환경을 지원하는 운영 기능을 선보였다. 또 다중인증(MFA)과 싱글사인온(SSO), '시트릭스 앱 프로텍션' 기반 보안 기능을 적용해 보안 민감 환경에서도 안정적인 업무 환경을 제공할 수 있다는 점도 알렸다. 나무기술은 공공기관이 요구하는 보안기능확인서를 획득한 DaaS 서비스를 통해 공공시장 공략에 나선다는 목표다. 행사 세션 발표에 나선 김정재 기술연구소 팀장은 'AI가 바꾸는 업무 환경, 디지털 워크스페이스는 어떻게 달라지는가'를 주제로 생성형 AI 확산에 따른 업무 환경 변화와 가상화 기술 진화 방향을 소개했다. 이와 함께 운영 복잡성을 줄이기 위한 통합 관리 기능과 AI 기반 운영 전략도 공유했다. 나무기술은 클라우드 네이티브 플랫폼 '칵테일 클라우드', 가상화 솔루션 'NCC', 멀티·하이브리드 클라우드 관리 플랫폼 '스페로', 에이전틱 AI 플랫폼 'NAA' 등을 기반으로 AI와 클라우드, 가상화를 통합한 디지털 업무 환경 구축을 확대 중이다. 이를 통해 기업 AX 수요에 대응하고 소버린 AI를 위한 풀스택 플랫폼 사업도 강화할 계획이다. 김정재 나무기술 기술연구소 팀장은 "AI 활용이 확대될수록 기업이 요구하는 업무 환경의 기준도 빠르게 변화하고 있다"며 "사용자 경험과 보안, 운영 효율성을 함께 고려한 디지털 워크스페이스 환경을 제공해 나갈 것"이라고 말했다.

2026.06.18 13:25한정호 기자

정부, '보안취약점 상시 신고제' 제도화 논의…AI 방어망 구축 속도

정부가 인공지능(AI) 시대 사이버 보안 체계 강화를 위한 제도화 논의에 나섰다. 국가AI전략위원회는 18일 '보안취약점 상시 신고조치제' 제도화 방안을 구체화하기 위한 세미나를 개최했다. 이번 행사는 현재 진행 중인 시범사업을 넘어 국내 제도 도입 방향을 논의하기 위해 마련됐다. 정부는 지난해 발생한 연쇄 대형 보안사고 계기로 화이트해커와 협력해 보안 취약점을 상시 발굴하고 조치하는 보안취약점 상시 신고조치제 도입을 추진하고 있다. 현재 과학기술정보통신부와 국가정보원이 주관하는 시범사업이 진행 중이며 민간기업과 공공기관 15곳이 참여하고 있다. AI위원회는 최근 첨단 AI가 보안 위협 수준을 끌어올리고 있다고 진단했다. 실제로 최고 수준 보안성을 갖춘 가상자산 '지캐시'에서도 AI가 무제한 위조가 가능한 취약점을 발견한 사례가 보고되면서 AI 기반 보안 위협 대응 필요성이 커지고 있다는 설명이다. 세미나 1부에서는 시범사업 추진 현황과 국내 제도 도입 방향이 논의됐다. 한국인터넷진흥원과 한국정보보호산업협회, 로그프레소, 법무법인 원 등 전문가들이 참여해 제도 설계 방향을 제시했다. 2부에서는 미국과 유럽연합(EU) 제도를 고려한 국내 제도화 방향과 기업 참여 확대 방안, 중소기업 지원 방안, 관련 법령 개정 범위 등을 주제로 토론이 이어졌다. 사회분과 위원과 법률 전문가들도 논의에 참여했다. 참석자들은 취약점 제보가 증가할 경우 이를 처리할 전담 인력 확보와 기업 부담 완화 방안이 필요하다고 봤다. 또 취약점 공개에 따른 부정적 인식을 줄이고 화이트해커가 안심하고 활동할 수 있는 법적 보호 체계도 중요 과제로 제시됐다. 위원회는 AI 시대에 취약점 발굴과 공격 자동화가 빠르게 이뤄지는 만큼 기존 사후 대응 중심 보안 체계만으로는 한계가 있다고 판단했다. 이에 시범사업 결과를 토대로 제도화를 서둘러 추진한다는 방침이다. 현장에 참석한 전문가들은 보안취약점 상시 신고조치제를 국가 보안 인프라로 평가했다. 이들은 최근 첨단 AI가 취약점 탐색과 공격을 자동화하면서 사이버 위협의 속도와 규모가 과거와 비교할 수 없는 수준으로 확대되고 있다고 분석했다. 배경훈 국가인공지능전략위원회 부위원장이자 과학기술정보통신부 장관은 "초연결 AI시대에는 사이버 보안 위협의 대응 속도가 국가 안보와 직결된다"며 "논의 내용 바탕으로 보안취약점 상시 신고조치제의 제도화를 조속히 추진하고 흔들림 없는 국가 사이버 방어망을 구축하겠다"고 밝혔다.

2026.06.18 11:30김미정 기자

한국 보안 대연합 캐노피 "곧 글로벌기업도 합류"

스스로 취약점을 찾아내고, 이를 토대로 공격 시나리오를 작성하는 등 인공지능(AI)발 보안 위협이 급부상한 시점에 공익 AI 보안 이니셔티브인 '프로젝트 캐노피(Project Canopy)'가 지난 17일 출범했다. 사단법인 프로젝트 플라즈마가 이니셔티브의 주축을 맡으며, 엔트로픽의 '글래스윙' 같은 글로벌 노력과 발맞춰 보안 여력이 부족한 공익 인프라의 방어력 강화에 나선다. AI 기반 취약점 탐지 기술 혜택을 오픈소스 생태계와 병원, 학교, 공공 유틸리티 등 민생 인프라 전반으로 확산하는 것이 목표다. 이날 기자를 만난 박 대표는 "전자정부표준프레임워크, 학교 내부 시스템, 리눅스 및 주요 데이터베이스 소프트웨어 등 공공성이 높지만 보안 투자가 상대적으로 어려운 소프트웨어를 대상으로 AI 기반 취약점 탐지 도구를 활용한 점검을 수행했다. 8000개 이상의 많은 취약점이 발견됐다"면서 "일부는 패치가 완료 됐으나 제보가 남아 있는 것들이 대부분이다. 패치하는데 상당한 시간이 소요된다. 패치가 완료되면 관련 내용을 공유할 수 있을 것"이라고 밝혔다. '캐노피'는 국내뿐 아니라 전 세계 다자 협력을 결합해 전 세계 글로벌 공익 표준 모델로 성장하겠다는 구상도 갖고 있다. 이니셔티브에는 초기 운영에 핵심 역할을 하는 주체인 스튜어드(Stewards) 그룹을 구성했다. 스튜어드 그룹에는 ▲두나무 ▲LG유플러스 ▲포스코DX ▲티오리한국 ▲한화손해보험 등이 포함됐다. 스튜어드 그룹 외 파트너 및 연구기관으로는 ▲광운대 ▲금융결제원 ▲롯데카드 ▲롯데이노베이트 ▲모두싸인 ▲무신사 ▲사람인 ▲삼성화재보험 ▲SK AX ▲LG전자 ▲NHN ▲우아한형제들 ▲정보통신기획평가원(IITP) ▲지엔터프라이즈 ▲코웨이 ▲하나카드 ▲한국투자증권 ▲현대자동차그룹 ▲현대카드 ▲이 외 비공개 3곳 등이다. 사단법인 프로젝트 플라즈마 이사이자 이번 프로젝트 캐노피의 위원장을 맡은 박세준 위원장은 17일 취재진과 만나 빠른 시일 내로 이니셔티브가 성과를 내고 보다 많은 기업들과 기관이 합류했으면 한다는 소망을 밝혔다. 다음은 박세준 위원장과의 인터뷰 내용. 박 의장은 "캐노피 세부 사항들을 살펴보면 아직 정해지지 않은 부분들이 많다. 그러나 미토스급 AI 모델이 추가로 공개되기 까지 수개월밖에 남지 않았다는 분석이 있다. 지금도 캐노피와 같은 이니셔티브가 작동하기에 늦었다는 생각이다. 사안의 시급성이 크기 때문에 생태계를 안전하게 만드는 것이 중요하다"고 강조했다. 이어 "캐노피가 성과를 더 많이 발굴하고 실효성이 증명 가능한 수준으로 발전하면서 더 많은 보안 기업, 파트너 기업들과 기관들이 참여하지 않을까 생각한다"고 덧붙였다. Q. 프로젝트명을 캐노피로 짓게 된 계기는? 제가 이니셔티브에 제안했던 이름이다. 앤트로픽의 프로젝트 글래스윙도 글래스윙이라는 투명한 날개를 가진 나비를 본따 지은 이름이다. 취약점을 발견하고 투명하게 운영하겠다는 의도로 보인다. 처음에는 글래스윙과 대비되는 이름을 짓고자 했으나, 앤트로픽 글래스윙의 목표는 상호 보완 모델을 만드는 것이다. 미토스(Mythos)가 모든 것을 처리할 수 없기 때문에 이니셔티브를 통해 더 많은 기업이 합류해야 한다고 강조했다. 이에 글래스윙에 응답하는 관점에서 포용적이고 포괄적인 이미지를 떠올리게 됐다. 글래스윙이라는 나비조차 포함할 수 있는 것이 숲이라는 것에서 착안했으며, 숲 내 생태계를 지키는 숲의 가장 위층을 이루는 나뭇가지와 잎이 우거져 하늘을 덮은 윗부분, 즉 캐노피를 떠올리게 됐다. Q. 프로젝트 플라즈마는 어떤 곳인지? 지난해 5월 만들어진 화이트해커 활성화를 지원하는 조직이다. 닷핵 컨퍼런스 등을 운영하고 있다. 공익적 목적을 가진 캐노피가 투명하게 운영되려면 비영리 법인이 필요했고, 주축이 민간 기업이 되지 않게끔 하기 위해 캐노피 운영을 맡기게 됐다. Q. 스튜어드 그룹 및 파트너의 역할은? 어떤 프로젝트를 우선적으로 검증하고 취약점을 발굴해야 할지를 의사결정할 필요가 있었다. 스튜어드 그룹이 이같은 의사결정을 담당하는 기구다. 예를 들어 아직 패치가 발표되지 않은 취약점을 캐노피에서 찾았을 경우 민감한 정보이기 때문에 의사결정이 필요하다. 또 취약점을 발견했는데 영향을 받는 기업에서 패치가 필요 없다고 했을 때 이를 공개할 것인지 말 것인지를 결정해야 하는데 이같은 의사결정을 하는 역할이다. 또한 이니셔티브의 실질적인 운영을 위해 기금 출연이 필수적인데, 인력이나 인프라, 현금 등을 실질적으로 지원하는 티어로 보면 된다. 디펜딩 파트너(Defending partner)로 명명한 캐노피 참여사들은 캐노피가 제공하는 플랫폼을 통해 캐노피가 찾은 취약점을 보다 빠르게 공유받을 수 있다. 또한 CVE(공개된 취약점)나 많은 기업 및 기관이 영향을 받을 수 있는 취약점에 대해서도 통합 제공받을 수 있다. 이 외에도 다른 기업에 캐노피의 성과를 확산하는 역할을 맡게 될 것이다. Q. 플랫폼은 무엇인지? 캐노피 플랫폼을 만들려고 한다. CVE나 중요한 취약점을 포털 형태로 제공하는 플랫폼을 준비하는 중이다. 사이트를 통해 볼 수도 있으며, API 연동을 통해 각 조직별로 시스템과 연동해 사용할 수도 있는 구조를 구상하고 있다. Q. 스튜어드 그룹을 보면 통신, 가상자산, 팩토리, 보안, 보험(금융) 등 분야별로 나뉘어 있다. 이렇게 분류한 특별한 이유가 있는지? 의도적으로 스튜어드 그룹을 분야별로 나눠 놓지는 않았다. 파트너 회사들에 스튜어드에 대한 제안했는데, 처음 출범할 때부터 선뜻 스튜어드로 나선 기업들이다. 공교롭게도 각 산업별 섹터에서 런칭 파트너로 합류하게 된 것이다. Q. 캐노피에는 기업에서 어떤 직무의 사람들이 참여하는지? 정보보호최고책임자(CISO)를 비롯해 보안 실무자, 담당자들이 참여한다. 이 외에도 캐노피 전담 팀을 구성하려고 한다. 운영사무국 사무장 1명이 조만간 합류할 예정이다. 또한 외부 화이트해커나 전문가들과도 협업 체계를 구성할 생각이다. 이를 통해 얼라이언스도 구축하고 더욱 공익적 성과가 확대되기를 기대한다. Q. 출범 시점에 합류한 기업 외에도 추가로 합류 논의가 오가는 기업이 있는지? 추가로 5~6개 조직이 합류 관련 논의가 진행 중이다. 출범식 이후 디펜딩 파트너들의 소개를 받은 많은 조직이 계속해서 합류할 것이라 예상한다. Q. 미토스 5, 페이블5에 대한 수출 통제 조치로 글래스윙에 합류하지 못하게 되는 시점에 캐노피가 출범하게 됐다. 나름의 반사효과를 기대하고 출범 시점을 조정했는지? 반사효과를 기대하고 특정 시점에 출범식을 가진 것은 아니다. 이전부터 준비를 해왔던 것이고 여러 보도가 나왔던 바와 같이 6월 중순으로 출범 시점이 정해져 있었다. 다만 반사효과가 나타나고 있는 것은 사실이다. 미토스를 원래 사용할 수 있었던 조직도 쓰지 못하게 된 상황에서는 캐노피의 출범 의미가 더 부각되는 점이다. 여러 협력체와 유기적으로 활동한다면 글래스윙과 달리 어느 한 조직이 사용할 수 없는 환경이 되더라도 이니셔티브는 지속될 수 있을 것이라 생각한다. Q. 출범식에서는 어떤 논의가 나왔나? 11월께 분과를 나눌 필요가 있다는 내용이 제기됐다. 금융이면 금융, 팩토리, 피지컬AI 등 각 산업군별로 더 치명적일 수 있는 취약점을 발굴하는 분과를 두면 더욱 효율성을 높일 수 있을 거라는 기대가 반영된 것으로 보인다. 다만 아직 구체적인 내용이 정해지지는 않았다. 향후 산업군이나 역량별로 특화된 분과가 생겨난다면 분과별 리더십을 발휘할 수 있을 거라는 기대감은 있다. Q. 취약점은 발굴뿐 아니라 발굴 이후 조치도 무엇보다 중요하다. 취약점을 패치하는 과정에서 캐노피가 지원하는 방안은? 기업에서의 패치 적용 전략 등을 공유할 예정이다. 캐노피는 취약점을 선별·분류한 이후 제보한다. 이후 패치를 직접 작성할 수도 있고 발표된 패치에 대한 검증을 할 수도 있으며, 패치를 적용하는 데 안내나 가이드라인을 제시할 수도 있다. AI로 취약점을 찾아내는 것은 쉬워진 것이 사실이다. 그러나 돈과 기술이 부족해 시대는 앞서가는 반면 취약점에 대응할 역량을 갖추지 못한 곳이 많다. 이 격차를 캐노피가 메워주려는 것이다. 질문처럼 취약점은 발굴 이후 조치가 무엇보다 중요한 것이 사실이다. 이에 더 많은 보안 기업들이 참여했으면 한다. 캐노피가 취약점을 발굴하는 기술을 갖고 있어도 취약점에 영향을 받는 자산을 식별하는 것이 필요한데, 이런 솔루션을 가진 기업이 있을 것이다. 또 공격이 있을 때 보안 정보 및 이벤트 관리(SIEM)으로 로그 정보를 모아 빠르게 판별하기 위해서는 로그 관리 솔루션이 필요할 수 있다. 캐노피의 가치를 증폭시키는 파트너가 절실하다. 캐노피가 모든 영역을 다룰 수 없고, 또 다 하는 것이 목적도 아니다. 따라서 많은 보안 기업들이 이니셔티브에 참가해줬으면 한다. Q. 캐노피 성과 확산을 위해서는 기관, 주무부처와의 협업도 중요할 것 같다. 정부와 캐노피 관련 얘기를 나눈 적은 없는지? 현재 정보통신기획평가원(IITP)은 연구사업 논의를 위해 이니셔티브에 합류했다. 정부 부처와 협업하면 성과 확산에 크게 도움이 되는 것은 사실이다. 실제로 정부 부처와 논의하 있는 내용이 있지만, 출범 초기인 현 시점에서 공개할 수는 없다. 향후 정부부처 및 기관과 시너지를 낼 수 있는 방향으로 발전하고자 한다. Q. 글로벌 공익 표준 모델로 발전하겠다고 했다. 글로벌 확산 전략은? 현 시점에 캐노피에 합류한 기업들 중 글로벌 기업은 없다. 이번에는 고의적으로 합류시키지 않았다. 아시아태평양, 글로벌로 나아가는 중심 축을 한국으로 잡고 싶은 마음에서다. 글로벌 파트너사와 실제 연락이 닿아 있는 상태다. 일본, 싱가폴, 대만 등 지역이다. 이미 이야기가 진행 중이며 향후 글로벌 기업의 합류 소식을 전할 수 있을 것이다. Q. 이니셔티브의 운영 주기가 있을 것 같은데, 임기 등 운영 주기는 어떻게 돌아가는지? 1년 주기를 생각하고 있다. 스튜어드 대표도 1년 임기로 설정했다. AI 시대에 긴 호흡을 가져가면 결코 기술의 발전을 따라갈 수 없다. 레퍼런스 발굴 사이클은 3개월로 설정하고 있다. 큰 변화를 주는 것은 1년, 성과 발굴은 3개월 주기라고 이해하면 될 것 같다. Q. 독립 파운데이션 모델(독파모)와 연계할 가능성은? 미토스 사태 이후 소버린 AI에 대한 관심과 필요성이 부각됐다. 기술 격차는 인정해야 하기 때문에 문제를 해결할 수 없을 때에는 프론티어 모델로 해결하되, R&D로 역랑을 키우는 방향을 구상 중이다. 미토스 사태가 던지는 메시지도 하나의 모델, 하나의 회사에 의존하기 어렵다는 것이다. 이에 독파모 기업들의 역량도 반드시 필요하다. 향후 정부나 공공 분야와 협업하게 된다면 캐노피 주도 하에 독파모 AI 기술을 활용하거나 사이버 보안에 특화된 무언가를 캐노피가 파생할 수 있지 않을까 생각한다. Q. 학교, 병원 등 민생 인프라 방어 프로그램의 대상이 되는 곳의 우선순위가 정해져 있는지? 우선순위 결정은 스튜어드 그룹에서 의결한다. 민생 인프라 방어 프로그램의 대상은 취약점이 치명도보다 대상이 얼마나 공격에 쉽게 당할수 있는지에 중점을 둔다. 단 캐노피의 철칙 중 하나는 파트너사가 최우선순위다. Q. 학계와 협업 계획은? 학교는 캐노피의 수혜를 받는 기관이자, 함께 연구개발을 진행할 수 있는 파트너이기도 하다. 실제 디펜딩 파트너로 광운대가 합류했는데, 교내 시스템의 취약점 점검과 더불어 연구를 함께 수행한다. 수혜를 받을지 연구를 함께할지 논의 중인 여러 학교가 있다. 캐노피의 세부 사항들을 살펴보면 아직 정해지지 않은 부분들이 많다"면서도 "그러나 미토스급 AI 모델이 추가로 공개되기 까지 수개월밖에 남지 않았다는 분석이 있다. 지금도 캐노피와 같은 이니셔티브가 작동하기에 늦었다는 생각이다. 사안의 시급성이 크기 때문에 생태계를 안전하게 만드는 것이 중요하다"고 말했다. 그는 "캐노피가 성과를 더 많이 발굴하고 실효성이 증명 가능한 수준으로 발전하면서 더 많은 보안 기업, 파트너 기업들과 기관들이 참여하지 않을까 생각한다"고 강조했다.

2026.06.18 11:00김기찬 기자

파수AI "기업 AX 첫 단추, 비전·보안·인프라 설계"

"기업이 인공지능 전환(AX)으로 효과 보려면 도입 비전 설정과 보안 강화, 데이터 인프라 구축을 위한 컨설팅을 맞춤형으로 받아야 합니다. 이 과정을 거쳐야 '지속 가능한 AI 전환'을 실현할 수 있을 것입니다." 최필준 파수AI 팀장은 17일 그랜드 인터컨티넨탈 서울 파르나스에서 열린 '컨버전스 인사이트 서밋(CIS 2026)'에서 기업 AX 추진 전략을 이같이 밝혔다. 최 팀장은 AX 컨설팅이 단순 진단에 그쳐서는 안 된다고 봤다. 업무 환경과 프로세스, 페인 포인트, 데이터 준비 상태 분석부터 전문가 손길을 받아야 한다고 주장했다. 이후 작은 업무 영역에서 파일럿을 수행하고, 성과가 확인되면 점진적으로 확산하는 접근이 필요하다는 설명이다. 최 팀장은 AI 도입 초기에 조직 AI 비전과 로드맵을 먼저 정해야 한다고 강조했다. 어떤 업무 프로세스에 AI를 적용할지, 어떤 데이터를 활용할지 고려해야 한다는 것이다. 그는 "외부 AI 서비스 접점이 늘어날 때도 이 과정은 필수"라며 "특히 기업은 보안을 어떻게 통제할지까지 설계해야 한다"고 말했다. 최 팀장은 퍼블릭 거대언어모델(LLM) 활용 시 보안 통제가 필요하다고 강조했다. 내부 정보 유출을 우려해 AI 서비스를 모두 차단하거나 아무 통제 없이 허용하는 방식은 모두 한계가 있다는 이유에서다. 그는 "민감정보와 개인정보가 외부 AI 서비스로 직접 전송되지 않도록 사전에 검사하는 체계가 필요하다"며 "직원들이 AI 서비스를 쓰되 안전한 데이터만 프롬프트로 보낼 수 있는 환경을 만들어야 한다"고 주장했다. 이날 최 팀장은 AX 지원 플랫폼으로 프라이빗 LLM 솔루션 '엘름 2.0'을 소개했다. 엘름 2.0은 차세대 검색증강생성(RAG) 체계와 AI 서비스 보안, 에이전트 오케스트레이션을 제공하는 플랫폼이다. 이 플랫폼은 표와 이미지 같은 멀티모달 문서를 검색할 수 있다. 지식 그래프 검색과 문서 구조 이해 기능도 갖췄다. 법률 조항이나 계약 조건처럼 구조화된 문서 분석도 지원한다. 최 팀장은 "AX는 단기간에 완성되는 것은 아니다"며 "고객사 AX 설계부터 실행 운영까지 전 과정에 대해서 같이 만들어가려고 노력하고 있다"고 말했다.

2026.06.17 15:54김미정 기자

구글, 보안 운영 플랫폼 한국 출시…"제미나이로 SOC 자동화"

구글 클라우드가 인공지능(AI) 기반의 자사 보안 운영 플랫폼(SecOps)의 한국 지원을 공식화했다. AI발 위협이 증가함에 따라 한국 기업의 에이전틱 사이버 방어 역량 강화를 뒷받침하겠다는 계획이다. 구글 클라우드는 17일 서울 구글코리아 사무실에서 미디어 브리핑을 개최하고, 구글 클라우드 서울 리전에서 '구글 보안 운영 플랫폼'의 로컬 데이터 레지던시 지원을 공식 발표했다. 구글 보안 운영 플랫폼은 구글 맨디언트 기반의 위협 인텔리전스 및 제미나이 기반 보안 운영 플랫폼이다. AI로 고도화되는 사이버 위협에 대응하기 위해 보안 운영 센터(SOC)의 업무 효율화·자동화를 지원한다. 재그디시 마하파트라(Jagdish Mahapatra) 구글 클라우드 시큐리티 일본 및 아시아태평양(JAPAC) 지역 총괄은 "한국은 세계적으로 사이버 위협 수준이 3위"라며 "위협 행위자들의 공격 속도와 스케일, 기법은 AI로 더욱 고도화됐다"고 진단했다. 그는 "멀티 클라우드, 멀티 AI 시대에 있어 에이전틱 엔터프라이즈를 위한 통합 보안 전략이 필요하다"며 "이에 맞게 보안을 고안하고 설계 단계에서도 멀티 AI를 기반으로 설계하고 보완해야 할 것"이라고 말했다. 그는 "구글 클라우드는 세계 최대 규모의 위협 관측 시스템을 보유하고 있다. G메일, 크롬 등을 통해 수십억개 텔레메트리를 수집하고, 바이러스 토탈로 150억개에 달하는 악성코드를 수집한다. 세계 최고 수준의 위협 인텔리전스 조직인 맨디언트를 통해 타의 추종을 불허하는 심도 있는 정보들이 위협 관측 시스템에 담겨 있다"면서 "구글 보안 운영 플랫폼 도입시 침해 리스크 및 비용이 70% 감소하는 것으로 나타났다. 선제적 위협 식별 및 탐지율도 139% 향상시키는 것으로 조사됐다"고 강조했다. 스티브 레드지안(Steve Ledzian) 구글 클라우드 시큐리티·맨디언트 아시아태평양 및 일본 지역 최고기술책임자(CTO)는 구글 보안 운영 플랫폼의 차별점 및 강점에 대해 설명했다. 그는 강점으로 ▲제미나이 기반 자동화 워크플로우 ▲구글 위협 인텔리전스 제공 ▲구글이 갖춘 규모 ▲독보적 수준의 위협 인텔리전스 등을 제시했다. SOC 근무자들이 수많은 시간을 쏟아야 했던 조사·분석 업무를 자동화하고, 수집된 텔레메트리를 기반으로 빠르게 검색·대응을 지원하는 것이 골자다. 그는 "구글 보안 운영 플랫폼의 에이전트는 대규모 AI 공격을 실시간으로 방어하고 장애 발생 후 정상 운영까지 걸리는 평균 시간(MTTR)을 획기적으로 단축했다"며 "악성 파일이 실제 내부 환경에 침입했는지, 계정이나 권한이 탈취되지는 않았는지 조사하는 과정은 사람이 수행하면 수시간이 걸린다. 하지만 구글 보안 운영 플랫폼의 에이전트를 활용한다면 침입 알림을 확인했을 때 이미 조사가 완료한 상태로 제공될 것"이라고 설명했다. 구글클라우드는 베스핀글로벌, LG CNS, 메가존클라우드 등 국내 주요 클라우드 보안 파트너사와 협력을 더욱 강화하며 구글 보안 운영 플랫폼의 성공적인 도입을 적극 지원할 계획이다. 각 파트너사가 보유한 고객 네트워크와 인프라 전문성을 바탕으로 기업들이 초고속·대규모 사이버 공격에 대응하는 에이전틱 방어 역량을 구축할 수 있는 토대를 마련해 나갈 방침이다. 다음은 미디어브리핑 현장에서 진행된 Q&A. Q 맨디언트 인수 시너지? 구글 맨디언트는 모든 보안 체계 내에 구현되고 있다. 위협 인텔리전스뿐 아니라 관련 지식과 전문성 있는 정보, 공격 기술과 관련된 정보를 제공한다. Q 구글 클라우드의 국내외 경쟁사는? 전 세계적으로 수많은 보안 기업이 있다. 이 중에는 보안 전문 기업도 있을 것이고, 보안 서비스와 제품을 제공하는 하이퍼 스케일러 기업도 있다. 하지만 보안이라는 것은 팀스포츠다. 많은 기업들과 파트너십을 통해 협업해야 하는 분야라고 생각한다. Q 한국 정부와 만날 계획은? 구글 클라우드의 위협 인텔리전스는 한국 일부 정부기관도 활용하고 있다. 이번 방한 기간 중 한국 정부와 만날 예정이다. 보안 운영 플랫폼의 AI 기반 방어가 중요하다는 점을 강조할 계획이다. Q 구글 클라우드가 앤트로픽의 '프로젝트 글래스윙'에 참가하고 있는데, 연계할 계획은? 모든 업계가 힘을 합쳐 AI 위협을 대응하겠다는 것이 프로젝트 글래스윙의 목표다. 앤트로픽의 정보가 언제쯤 한국을 비롯한 전 세계에 공개될지에 대해서는 구글 클라우드 측이 언급하기는 적절하지 않아 보인다. 다만 거대 언어 모델(LLM) 기반 공격에 대응한 에이전트 기반의 방어를 제공하는 부분은 충분한 효과를 발휘할 것으로 예상한다. 이 부분은 구글 보안 운영 플랫폼에도 상당 부분 구현돼 있으며, 최근 구글 클라우드가 인수안 '위즈' 역시 클라우드 보안부터 코드 가시성 확보까지 지원하고 있다.

2026.06.17 14:34김기찬 기자

한국판 글래스윙 '캐노피' 출범..."글로벌로 확장"

인공지능(AI)발 보안 위협에 대응하기 위한 산·학·연 공익 조직이 공식 출범했다. 사단법인 프로젝트 플라즈마(Project Plasma, 이사장 이태희)는 AI 기반 취약점 방어를 사회 전반으로 확산하기 위한 공익 이니셔티브 '프로젝트 캐노피(Project Canopy)'를 17일 공식 출범했다고 밝혔다. 앤트로픽(Anthropic)의 '미토스(Mythos)' 등 고성능 AI 모델이 취약점을 찾아내고 공격 코드를 스스로 작성하는 것으로 알려지면서 AI 보안 위협이 급부상했다. 이에 캐노피는 AI 보안 위협은 어느 한 조직이 혼자서 해결할 수 없다는 문제 의식 아래 보안 여력이 부족한 공익 인프라의 방어력 강화에 나선다는 방침이다. 앤트로픽이 제한적으로 일부 기업 및 기관에만 공개하는 '프로젝트 글래스윙'처럼 캐노피도 'K-글래스윙'의 역할을 자처한 것이다. 캐노피는 AI 기반 취약점 탐지 기술의 혜택을 오픈소스 생태계와 병원, 학교, 공공 유틸리티 등 민생 인프라 전반으로 확산하는 것을 목표로 한다. 출범 전 시범 활동으로 전자정부표준프레임워크, 학교 내부 시스템, 리눅스 및 주요 데이터베이스 소프트웨어 등 공공성이 높지만 보안 투자가 상대적으로 어려운 소프트웨어를 대상으로 AI 기반 취약점 탐지 도구를 활용한 점검을 수행했다. 그 결과 심각도 높은 취약점 수백 건 이상을 발견해 해당 기관 및 개발 주체에 제보했으며, 현재 패치가 진행 중인 것으로 알려졌다. 아울러 기술과 자원이 부족한 조직도 제한 없이 캐노피에 참여할 수 있도록 개방형 생태계를 구축한다. 먼저 초기 이니셔티브의 안정적인 거버넌스 정립을 위해 출범 시점 기준 핵심 운영 주체인 스튜어드(Stewards) 그룹을 구성했다. 스튜어드 그룹에는 ▲두나무 ▲LG유플러스 ▲포스코DX ▲티오리한국 ▲한화손해보험 등이 합류했다. 스튜어드 그룹 외 파트너 및 연구기관으로는 ▲광운대 ▲금융결제원 ▲롯데카드 ▲롯데이노베이트 ▲모두싸인 ▲무신사 ▲사람인 ▲삼성화재보험 ▲SK AX ▲LG전자 ▲NHN ▲우아한형제들 ▲정보통신기획평가원(IITP) ▲지엔터프라이즈 ▲코웨이 ▲하나카드 ▲한국투자증권 ▲현대자동차그룹 ▲현대카드 ▲이 외 비공개 3곳 등으로 구성됐다. 캐노피는 기술의 공익적 안착과 마중물 역할을 위해 약 30억원 상당의 AI 보안 분석 크레딧 재원을 선제적으로 확보해 전액 기부금 형태로 운용한다. 공익 기금의 집행 내역은 투명하게 공개 보고할 방침이며, 해당 재원은 비용 부담으로 고성능 AI 보안 기술을 쓰지 못했던 오픈소스 메인테이너와 민생 인프라 운영 주체에게 직접 귀속돼 프로그램을 지원하는 데 쓰일 예정이다. 지원되는 프로그램으로는 ▲오픈소스 프로그램 ▲민생 인프라 방어 프로그램 ▲협력 공개 및 패치 보상 프로그램 등이다. 이 외에도 캐노피는 이번 출범식을 기점으로 6월 중순부터 취약점 점검 대상을 구체적으로 선별하고 제보 및 패치를 공유하는 '1차 거버넌스 프로세스'에 돌입한다. 이어 7월 초에는 글로벌 생태계 확장을 위해 전 세계 기업 및 기관을 대상으로 한 공개 가입 페이지를 오픈할 계획이다. 한국, 아시아 지역에만 한정하지 않고 이니셔티브를 글로벌 규모로 확장하는 것이 장기적 목표다. 사단법인 프로젝트 플라즈마 이사이자 이번 프로젝트 캐노피의 박세준 위원장은 "AI가 취약점을 찾는 속도는 공격자와 방어자 모두에게 똑같이 주어지지만, 이를 방어하고 패치할 수 있는 여력은 조직마다 불평등하다"라며 "캐노피는 그 치명적인 격차를 메우기 위해 기술과 자본, 사람이 공익적 관점에서 결합한 방파제"라고 강조했다. 이어 "초기에 확보된 재원은 생태계 조성을 위한 마중물이며, 앞으로 정부와 산업계, 보안 솔루션 기업들과의 다자 협력을 결합해 전 세계적인 글로벌 공익 표준 모델로 키워가겠다"고 포부를 밝혔다.

2026.06.17 14:00김기찬 기자

HPE, 엔비디아 손잡고 '에이전틱 AI' 실전 투입 나선다

HPE가 엔비디아와 협력을 확대하며 기업용 에이전틱 인공지능(AI) 시장 공략에 박차를 가한다. 단순 AI 실험 단계를 넘어 실제 업무 환경에서 안전하고 신뢰성 있게 운영할 수 있는 '프로덕션 레디' AI 인프라를 구축해 기업 AI 전환(AX)을 지원한다는 전략이다. HPE는 엔비디아와 공동 개발한 'HPE AI 팩토리 위드 엔비디아'를 고도화했다고 17일 밝혔다. 회사는 기업 고객이 에이전틱 AI를 실제 운영 환경에 적용할 수 있도록 지원하는 신규 솔루션을 대거 공개했다. 최근 기업들은 생성형 AI를 넘어 스스로 판단하고 여러 업무를 수행하는 에이전틱 AI 도입에 나서고 있다. 다만 보안과 거버넌스, 데이터 통제, 운영 비용 등 해결해야 할 과제가 적지 않아 실제 서비스 환경에 적용하는 데 어려움을 겪고 있다. HPE는 이같은 문제를 해결하기 위해 'HPE 프라이빗 클라우드 AI' 기능을 강화했다. 엔비디아 네모트론 오픈 모델과 네모클로, 오픈쉘 보안 런타임 등을 포함한 엔비디아 에이전트 툴킷을 활용해 기업이 AI 에이전트를 보다 안전하게 운영하고 정책을 적용할 수 있도록 지원한다. 또 엔비디아 베라 중앙처리장치(CPU)를 탑재한 신규 서버와 HPE 젤토를 통해 AI 에이전트 활동을 모니터링하고 문제가 발생할 경우 시스템을 신속하게 복구할 수 있는 체계도 마련했다. 이를 통해 개발 단계에 머물던 AI 에이전트를 실제 운영 환경으로 이전하는 과정을 지원한다는 목표다. 데이터 처리 효율 개선에도 집중했다. HPE 알레트라 스토리지 MP X10000과 데이터 패브릭 소프트웨어를 활용해 비정형 데이터를 AI 활용이 가능한 형태로 전환하고 모델 컨텍스트 프로토콜(MCP) 기반 데이터 활용 범위를 확대했다. 회사에 따르면 토큰 응답 시간은 최대 20배 단축하고 토큰 처리량은 최대 20% 향상할 수 있다. 보안 기능도 한층 강화됐다. HPE는 엔비디아 컨피덴셜 컴퓨팅을 통합해 온프레미스와 소버린 AI 환경에서 모델과 데이터를 실시간으로 보호할 수 있도록 했다. 또 엔비디아 블루필드와 DOCA를 활용해 제로 트러스트 보안 정책과 런타임 위협 탐지, 네트워크 암호화를 지원한다. 대규모 AI 팩토리 환경도 고도화된다. HPE는 엔비디아 RTX 프로 6000 블랙웰 서버 에디션 그래픽처리장치(GPU)와 스펙트럼-X 이더넷, 블루필드-3 DPU, 커넥트X-8 슈퍼NIC 등을 적용해 AI 개발부터 대규모 운영 환경 배포까지 지원하는 풀스택 AI 플랫폼을 제공할 계획이다. 업계에선 AI 인프라 경쟁이 단순 GPU 확보를 넘어 데이터 관리와 보안, 거버넌스, 운영 자동화를 포함한 'AI 팩토리' 구축 경쟁으로 확대되고 있다고 보고 있다. 특히 에이전틱 AI 확산에 따라 기업들이 AI를 실제 업무 프로세스에 적용하려는 수요가 늘면서 관련 시장도 빠르게 성장할 것으로 전망된다. 안토니오 네리 HPE 최고경영자(CEO)는 "AI가 점차 자율적으로 발전함에 따라 기업은 이를 안전하게 운영하고 책임감 있게 관리하며 경제적으로 확장할 수 있는 새로운 아키텍처를 필요로 한다"며 "우리는 네트워킹, 서버, 스토리지 및 소프트웨어 전반에 걸쳐 엔비디아와 함께 에이전틱 기업 기반을 구축하는 풀스택 AI 솔루션을 제공한다"고 말했다. 젠슨 황 엔비디아 CEO는 "AI 에이전트 시대를 맞아 컴퓨팅 스택의 모든 레이어가 재창조되고 있다"며 "HPE와 협력해 엔비디아 베라 CPU와 가속화 인프라, 안전한 AI 소프트웨어로 구동되는 새로운 컴퓨팅 시대를 위한 AI 팩토리를 구축했으며 기업들이 데이터를 인텔리전트 액션으로 혁신할 수 있도록 지원하겠다"고 밝혔다.

2026.06.17 11:02한정호 기자

국토부, 공간정보 보안규제 푼다…AI·자율주행 산업 활성화 지원

정부가 공간정보 보안 규제를 완화해 기업의 인공지능(AI)·자율주행 서비스 개발이 수월해질 전망이다. 국토교통부는 공간정보 보안규제를 합리적으로 개선해 디지털트윈국토 활성화와 국토위성정보의 안정적 활용을 위해 17일부터 7월 27일까지 '국가공간정보 기본법 시행령' 일부 개정령안을 입법예고한다. 개정안은 '국가공간정보 기본법' 개정에 따른 후속조치로 '미래 모빌리티와 K-AI시티 실현' 국정과제 실행기반을 마련해 AI 기반 도시운영체계 구축과 공간정보산업 활성화를 뒷받침하기 위해 추진된다. 개정안레응 국가보안시설(군사시설 및 국가중요시설)이 공간정보에 표시되지 않도록 보안처리 할 수 있는 절차와 방법을 담았다. 그간 민간에서는 국토지리정보원이 제공한 보안처리 완료 공간정보를 활용해 왔다. 하지만 민간 지도 구축과 위성영상 생산이 확대되면서 공간정보 생산주체가 다변화됐고, 이에 따른 보안처리 절차가 마련되지 않아 산업 활성화에 제약이 있었다. 국토부는 이번 시행령 개정으로 민간이 생산한 공간정보에 대한 보안처리 절차와 방법이 마련됨에 따라, 민간 공간정보의 유통과 활용이 더욱 활성화할 것으로 기대했다. 공개제한 공간정보(좌표가 포함된 고해상도 위성영상, 등고선이 포함된 정밀한 지도 등)의 활용을 위해 거쳐야 하는 '보안심사' 규제도 대폭 완화한다. '보안심사'는 공개제한 공간정보를 요청하는 자가 관리기관(국가나 지자체 등)으로부터 보안대책과 인터넷 망분리 등 보안수준을 심사받은 후 원하는 공간정보를 제공받을 수 있도록 2022년에 도입됐다. 공개제한 공간정보가 필요할 때마다 관리기관별로 보안심사를 받아야 하는 불편함이 있었다. 이번 개정으로 보안심사 후 1년 이내에 다시 공개제한 공간정보를 요청할 때는 변경된 사항만 심사를 받고 나머지는 생략할 수 있게 된다. 이에 따라 공개제한 공간정보 활용이 한층 편리해질 전망이다. 디지털트윈국토와 국토위성 운영상 나타난 미비한 사항을 보완해 활용을 활성화할 수 있는 기반도 마련했다. 재난·안전·기후·환경 등 다양한 분야의 행정적 의사결정을 지원하는 디지털트윈국토는 이번 시행령 개정으로 개발기준·공공플랫폼 구축 근거 등이 마련됨으로써 보다 많은 관리기관으로 확산할 수 있도록 했다. 또 최근 2호기를 발사한 국토위성도 운영조직 설치와 역할을 명확히 규정해 국토위성정보 구축과 활용을 촉진하고, 기업과 연구기관 등의 활용도 확대할 수 있게 됐다. 국토부는 시행령 개정안 관련, 산·학·연·관의 의견 수렴을 위해 오는 23일 오후 2시 국토지리정보원에서 공청회를 개최한다. 이대섭 국토부 국토정보정책과장은 “이번 시행령 개정을 통해 공간정보의 활용성과 보안성을 동시에 높여 공간정보산업 활성화에 크게 기여할 것으로 기대된다”고 밝혔다. 한편, 개정안 전문은 국토교통부 누리집의 '정책자료-법령정보-입법예고·행정예고'에서 확인할 수 있다.

2026.06.17 10:08주문정 기자

KISA 보안 업데이트 공지 갈수록 늘어...AI 때문?

글로벌 보안, 클라우드 인프라 기업들의 인공지능(AI) 활용이 늘어나면서 AI를 통한 취약점 발견도 눈에 띄게 늘어났다. AI로 취약점을 찾아내는 시대가 현실로 다가온 것이다. 이에 따라 전문가들은 효율적이고 신속한 대응이 필요하다고 주문했다. 16일 한국인터넷진흥원(KISA) 보호나라에 따르면 올해 글로벌 보안·클라우드 인프라 제품의 보안 업데이트 공지가 전년 대비 크게 늘었다. 지난해 4분기(10월~12월) 보안 업데이트 공지는 총 26건에 그쳤으나, 올해 1분기 50건으로 2배 가까이 늘었다. 6월이 끝나지 않은 시점임에도 2분기에는 57건으로 매분기 증가 추세다. 특히 지난 4월 앤트로픽의 AI 모델 '미토스(Mythos)'의 등장 이후 이같은 경향이 짙어졌다. 지난달 KISA 보안 공지는 26건으로 최근 1년 새 가장 많았고, 이달에만 16일 기준 15건으로 집계됐다. 보호나라 보안 업데이트 공지는 오라클, 팔로알토네트웍스, 삼성전자, 마이크로소프트 등 글로벌 보안·클라우드 인프라 제품에서 취약점이 발견된 경우 해당 업체가 취약점을 해결한 패치 버전을 공개했을 때 신속한 업데이트 확산을 위한 KISA 공지사항이다. 기업 내 영향을 받는 버전의 제품을 사용하고 있는 경우 빠르게 패치할 수 있도록 권고하는 것이다. KISA는 "AI를 활용해 취약점을 찾는 기술들이 글로벌 기업이나 민간에서도 많이 활성화됨에 따라 취약점을 보다 신속하고 정말하게 찾아내는 숫자가 늘어나고 있다"며 "이에 따라 보안 업데이트가 크게 늘었고, 보안 공지 역시 각 기업별로 쏟아지고 있다"고 설명했다. 실제 전 세계적으로 취약점은 최근 급증하는 추세다. 취약점 데이터베이스 사이트 'CVE 디테일'에 따르면 공개된 취약점(CVE) 개수는 2023년 2만9066개 수준에서 2024년 4만313개로 늘었고, 2025년에는 4만8448건으로 최대치를 기록했다. 16일 기준으로 올해만 하더라도 3만1825건을 기록했다. 이에 쏟아지는 취약점을 대응하는 일선 보안업계 현장에서는 신속한 취약점 공지, 패치 업데이트 공지가 필요하다는 입장이다. 국내 대형 통신사의 한 보안 담당자는 "KISA 보안 공지는 물론 자사 위협인텔리전스(TI)를 통해 발견되는 취약점 및 패치를 실시간으로 적용하고 있는데, 오히려 KISA의 보안 공지는 너무 느린 감이 있다"며 "RSS 서비스나 TI로 정보를 이미 다 받아 왔는데 향후에 KISA에서 공지가 올라오는 경우가 빈번하다. 취약점이 많아지고 보안 업데이트가 늘어날수록 빠른 전파와 대응 체계 구축이 필요하다"고 말했다. 이용준 극동대 해킹보안학과 교수는 "최근 KISA 취약점 보안공지와 벤더 업데이트가 급증한 것은 소프트웨어 개발 환경에 AI 기능이 필수가 되면서 AI 모델, 연동에 대한 소스코드 취약점과 소프트웨어 공급망 취약점이 증가할뿐 아니라 취약점 탐지 시간도 신속화되고 있다"면서 "따라서 보안 대응 방식도 AI를 활용한 취약점 점검으로 커버리지 확대 및 신속화가 필요하다. 우선순위를 정하고 파급도에 따라 대응하는 것이 필요하다"고 강조했다. 이 교수는 이어 "추가로 버그바운팅(취약점 포상제) 상시화, TI 확대로 외부에서 검증된 취약점을 신속히 패치해야 한다"며 "AI 취약점 분석 에이전트가 휴먼 보안 담당자 개입이 최소화된 AI 취약점 점검 대응 체계에 대한 연구와 실증이 필요하다"고 말했다.

2026.06.16 22:20김기찬 기자

카스퍼스키 "매일 50만개 새로운 악성코드 탐지"

"카스퍼스키는 백신으로 시작한 회사지만, 엔드포인트 탐지 및 대응(EDR), 보안 정보 및 이벤트 관리(SIEM), 확장형 탐지 대응(XDR), 위협 인텔리전스(TI), 클라우드 보안, 물리 보안(OT)까지 아우르는 글로벌 벤더사 중 몇 안 되는 사이버 보안 회사입니다. 또한 전 세계에서 개인정보 보호 컴플라이언스가 가장 강력하다는 스위스를 비롯해 전 세계 곳곳에 '투명성 센터'를 두고 이니셔티브를 구축한 회사는 전 세계에서 카스퍼스키가 유일합니다." 이효은 카스퍼스키 한국지사장은 12일 서울 서초구 소재 JW 매리어트 서울에서 카스퍼스키 기자간담회를 개최하며 이같이 강조했다. 이날 카스퍼스키는 비즈니스 전략을 취재진에 소개했다. 이 지사장은 "카스퍼스키는 전 세계 약 4억명의 사용자, 22만여 기업 고객을 확보하고 있다. 5000여명의 전문가와 5개의 전문센터를 갖춘 회사이기도 하다"며 "악성코드 분석·연구, 고도화된 위협을 연구하는 TI 팀, AI 기반 위협을 분석하는 팀 등 각종 위협에 대비하고 있다"고 밝혔다. 그는 "아울러 기업의 사고 대응 및 보안 상태를 진단하는 컨설팅 위주 업무의 센터도 두고 있다"며 "매일 50만개의 새로운 악성코드를 탐지하며 기능을 고도화하고 있다"고 소개했다. 이 지사장은 "보안 벤더사는 고객사의 핵심 시스템에 깊숙이 들어와 작동을 하고 있으며, 텔레메트리를 수집하고, 자동으로 업데이트를 하며, 클라우드 기반 서비스에 의존을 하고 있다"며 "여기서 중요한 점은 이 보안 벤더사를 신뢰할 수 있는가일 것"이라고 강조했다. 그는 "이에 카스퍼스키는 투명성 제고를 위해 이니셔티브를 구축하고 전 세계 누구나 카스퍼스키의 투명성 센터를 통해 핵심 제품을 직접 리뷰해볼 수 있도록 공개했다"며 "글로벌 보안 벤더사 중 자신들의 소스를 공개적으로 리뷰할 수 있는 벤더사는 지구상에서 카스퍼스키가 유일하다"고 말했다. 이 지사장은 "그 외에도 카스퍼스키는 인터폴 등 글로벌 법 집행 기관과 공조를 통해 사이버 범죄 조사 관련 공동 작전을 수행하기도 했다"며 "이 과정에서 실질적으로 수많은 사이버 범죄자들을 소탕했고, 그들의 인프라를 폐쇄해왔다"고 역설했다. 그는 "카스퍼스키의 궁극적인 비전은 '보다 안전한 세상을 만드는 것'이다"라며 "고객들이 현재 직면하고 있는 여러 복잡한 위협들로부터 조직을 보호하고, 나아가 우리가 안심하고 비즈니스나 일상생활에 집중할 수 있는 보다 안전한 세상을 만들어 나가겠다"고 다짐했다. "APT 공격 세력, 한국 집중 타깃…카스퍼스키, AI 고도화로 대응" 이날 기자간담회에서는 이 지사장 외에도 이나 나자로바(Inna Nazarova) 카스퍼스키 언터내셔널 기업 영업 부문 총괄 부사장, 아드리안 히아(Adrian Hia) 아시아태평양 총괄 사장, 이고르 쿠즈네초프(Igor Kuznetsov) 글로벌 연구 분석(GReaT) 디렉터 등이 함께 참석했다. 이들은 ▲카스퍼스키 글로벌 업데이트 ▲카스퍼스키 APAC 비즈니스 전략 ▲한국 위협 환경 분석 등을 주제로 발표를 이어갔다. 카스퍼스키의 글로벌 사업 동향에 대해 발표한 이나 나자로바 총괄 부사장은 "지난해 카스퍼스키는 B2C 부문에서 성장세를 보였다. 안티 바이러스(백신)으로 사업을 시작해 B2C가 카스퍼스키 사업의 핵심이라고 생각할 수 있지만, 사실은 B2B 사업이 핵심"이라며 "집중하고 있는 시장은 아시아태평양 지역이다. 전 세계 정부 기관이 카스퍼스키의 TI 솔루션을 비롯한 여러 제품을 도입해 사용하고 있다"고 소개했다. 아드리안 히아 총괄 사장은 "카스퍼스키는 인공지능(AI)과 여러 솔루션을 결합하면서 스캔 엔진 등 성능을 크게 업그레이드했다"면서 "AI 에이전트와 거대 언어 모델(LLM)의 취약점을 탐지하며 AI 모델 자체에 대한 보안과 AI를 활용한 보안에 초점을 맞추고 있다. 올해 하반기 AI 제품을 고도화해 선보일 예정"이라고 밝혔다. 이고르 쿠즈네초프 디렉터는 최근 글로벌 위협 동향에 대해 설명했다. 그는 "지능형 지속 공격(APT) 세력이 한국에만 있는 유저를 공격하거나 확장을 하는 등 구체적인 공격에 착수했다"며 "라자루스, 블루노로프(BlueNoroff), APT41, 허니마이트 등 세력을 조심해야 한다. 특히 라자루스 그룹은 한국 공급망을 타깃으로 삼아 복잡한 공격을 시도하고 있으며, 워터링홀 공격을 통해 금융분야를 비롯한 여러 산업군의 6개 기관이 공격 대상이 되기도 했다"고 설명했다. 그는 "APT 공격자들이 AI를 적극 활용하면서 악성 소프트웨어 생성 등 공격 과정을 자동화하고 있다"면서도 "하지만 AI를 악용한 공격은 새로운 방식의 공격을 창출할 수 없다는 한계가 있다. 기존에 알려진 공격들은 카스퍼스키 솔루션을 통해 모두 방어할 수 있다"고 설명했다. 카스퍼스키 작년 매출 4% 성장…B2B 사업 매출 16% 증가 카스퍼스키는 이날 지난해 연간 실적도 발표했다. 카스퍼스키 발표에 따르면 지난해 매출액은 전년 대비 4% 성장한 약 8억3600만달러를 기록했다. B2B 제품 포트폴리오 매출이 전년 대비 16% 증가한 영향이다. 특히 전통적인 엔드포인트 보안을 넘어 인프라 전반을 보호하는 비(非)엔드포인트 솔루션 부문의 성장세도 두드러졌다는 설명이다. 카스퍼스키는 아시아태평양 시장에서 AI 기반 보안 솔루션과 파트너 생태계 강화를 통해 사업을 지속 확대한다는 방침이다. 이나 나자로바 부사장은 이날 현장에서 "카스퍼스키는 올해 두 자릿수의 성장률을 유지하면서 비즈니스를 확대하는 것이 목표"라고 밝혔다.

2026.06.16 13:01김기찬 기자

AI '미토스' 리스크에 망분리 규제 완화…KB국민·농협은행 '다음 기회로'

금융위원회가 인공지능(AI) 공격에 대응할 수 있도록 망 분리 규제를 완화하기로 결정한 가운데, 망 분리 규제없이 보안사고 없이 금융시스템을 운영할 역량이 되는지를 점검하는 테스트가 진행 중이다. 15일 금융업계에 따르면 금융위·금융감독원·금융보안원은 현재 보안 목적 AI활용을 위한 망 분리 규제 완화 1차 테스트가 있었으며, 선정 절차는 어느 정도 마무리된 상태다. 1차 테스트 결과 선정된 금융사로는 ▲신한·하나·우리은행·카카오뱅크 ▲KB·NH투자·미래에셋증권 ▲삼성화재·한화생명 ▲현대카드 등 업권별로 10곳인 것으로 전해졌다. 하지만 금융감독당국은 "해당 테스트에 참여한 금융사, 선정된 금융사를 확인해줄 수 없지만 개별 금융사가 이를 알리는 것에 대해선 막지 않을 방침"이라며 "테스트가 언제 진행됐고, 선정됐다는 사실도 보안상 이유때문에 앞으로도 공개하지 않을 것이며 현재 절차가 진행 중인 것은 사실"이라고 설명했다. 다만 1차 선정된 금융사 유관부서 관계자들은 테스트 결과를 알고 있는 상태다. 1차 테스트에서 5대 은행(KB국민은행·신한은행·하나은행·우리은행·NH농협은행) 중 KB국민은행과 NH농협은행이 떨어짐에 따라, 해당 은행은 2차 테스트를 준비한다는 계획이다. 2차 테스트 일정은 확정되지 않았지만 7월 중 진행 될 계획이다. 지난 1일 금융위는 민간 기술자문단을 발족해 망 분리 대체 가능 보안 기술, AI 테스트 과정서 중점 관리해야 할 사항에 대해 논의한 바 있다.

2026.06.15 14:34손희연 기자

'디지털 신뢰 회복' 칼 빼든 정부…실효성 위해 '디테일' 보완해야

지능화된 인공지능(AI)이 일상의 모든 영역을 파고드는 대전환의 시대, 기술의 화려한 도약만큼이나 시급한 과제는 바로 그 이면에 자리한 '디지털 신뢰'를 단단히 구축하는 일입니다. 지디넷코리아는 "AI 기술이 서 말이라도 보안으로 꿰어야 보배"라는 슬로건 아래, 약 두 달간 '2026 디지털 트러스트' 연중 기획 연재 및 캠페인을 진행합니다. 해킹·딥페이크·가짜뉴스·랜섬웨어 등 진화하는 보안 위협 속에서 단순한 기술 편익을 넘어 '안전한 AI 생태계'를 조성하기 위한 공론의 장을 마련하고, 기술과 보안이 공존하는 지속 가능한 디지털 미래의 이정표를 제시하고자 합니다. [편집자주] 무너진 '디지털 트러스트'를 회복하기 위해 정부가 부단히 노력하고 있다. 인공지능(AI)을 활용한 공격자들의 고도화된 공격에서부터 사이버 환경을 안전하게 지키기 위한 대책들을 연달아 내놓고 있다. 이런 가운데 제로트러스트, 국가 망보안 체계(N2SF) 등 보안 신기술 활용 및 가용성을 제고하겠다는 복안이다. 그러나 정부가 제시한 사이버 보안 정책 곳곳에는 여전히 미흡한 부분이 포착된다. 올해의 절반이 지나가고 있는 시점에서 기업들의 침해 사고도 계속되고 있다. 최근 사이버 보안 관련 주무부처가 제시한 정보보호 대책을 큰 틀에서 살펴보면, 화이트해커의 권한 확대를 통해 선제적으로 보안 취약점을 찾아내고 AI발 취약점 폭증에 대비해 국가 주도로 AI 기반 취약점 대응에 나서는 것으로 요약된다. 또한 이같은 조치에도 불구하고 반복적으로 침해사고가 발생하거나 보안상 부주의가 발견될 경우 매출액의 10% 과장금을 통해 엄벌하겠다는 것으로 보인다. '합법적 취약점 탐지' 길 열렸지만…쥐꼬리 포상금·기업 기피는 숙제 올해 초 과학기술정보통신부(이하 과기정통부)가 '제2차 정보보호 종합대책'을 통해 화이트해커를 활용한 취약점 수집 기반을 조성하겠다고 밝힌 가운데, 관련 제도의 구체적인 윤곽이 드러났다. 정부는 올해 안으로 기업과 기관이 일정 조건 하에 자사 정보통신자산의 취약점 발굴을 허용하는 '취약점 공시 및 조정/취약점 제보 제도(CVD/VDP)'를 도입할 예정이다. 화이트해커들이 법적 테두리 안에서 활동할 수 있도록 신고 절차와 면책 조건 등 명확한 기준을 마련하는 것이 핵심이다. 대책 마련에 착수한 이후 지난달 말께 국가인공지능전략위원회(위원장 이재명 대통령)와 과학기술정보통신부, 국가정보원, 한국인터넷진흥원(KISA)은 공동으로 CVD/VDP 시범사업에 착수했다. 화이트해커가 회사 취약점을 합법적으로 찾고 신고할 수 있게끔 기반을 마련했다. 미국, 유럽연합(EU) 등 선진국은 공공기관을 중심으로 이 같은 상시 취약점 탐지 제도가 이미 정착해 있다. 반면 국내에서는 그간 정보통신망법상 허가 없는 내부망 접근 시도가 '침해행위'로 간주돼, 화이트해커들이 선의 목적으로 취약점을 탐지하는 것조차 불가능했다. 정부는 5개월간 시범 운영한 후 내년에 본격 제도를 시행할 예정이다. 이번 시범사업에는 민간기업 7곳과 공공기관 8곳 등 총 15곳이 참여한다. 기존 모의해킹이나 분기별 신고 포상제는 가상 망이나 특정 제품을 대상으로 한 일시적 이벤트 형태였으나, 이번 제도는 실제 운영 망을 대상으로 연중 상시 운영된다는 점이 다르다. 시범사업은 이달부터 11월까지 약 5개월간 취약점 탐색·신고·조치 활동이 이어진다. 이에 대한 결과는 연말께 공개되며, 향후 시범사업을 통해 레퍼런스를 쌓고 완전한 제도화는 내년부터 본격화될 방침이다. 정부는 제도 확산을 위해 공공은 기관 평가 연계, 민간은 보안인증 가점·공공조달 우대, 화이트 해커는 신고 포상제 활성화로 초기 참여 유도한다는 방침이다. 특히 침해사고 발생 시 개인정보보호법에 따라 부과되는 과징금도 CVD/VDP 운영 노력을 감경 요소로 반영키로 했다. 또한 화이트 해커와 제도 참여 기업·기관, 정부간 협력 네트워크 구축 및 홍보 캠페인, 정부표창 수여 등 인식 개선을 추진할 계획이다. 선제적인 취약점 발굴을 위해 화이트해커의 취약점 발굴을 법적으로 허용하기 위한 제도는 마련 중이지만, 일부 한계점이 포착된다. 여전히 일부 공공기관 및 기업에만 한시적으로 운영되고 있으며, 화이트해커에게 유의미한 동기부여를 하지 못하고 있다는 점이다. 취약점을 공개해야 한다는 리스크를 최소화하기 위해 기업·기관·화이트해커 실명은 본인 의사를 고려해 익명 공개 허용했지만, 여전히 기업들은 보안 취약점을 공개해야 한다는 점을 껄끄러워한다. 익명을 요구한 금융권 보안 담당자는 "취약점을 빠르게 조치하기 위해 버그바운티(취약점 포상제)나 현행 CVD/VDP 확산의 필요성에 대해서는 공감하지만, 많은 기업들이 취약점을 공개해야 한다는 것을 껄끄러워 한다"며 "버그바운티 프로그램은 어디까지나 기업이 자발적으로 참여해야 의미가 있는데, 익명이라고 하더라도 '굳이 안하고 말지'하는 조직들이 적지 않을 것"이라고 짚었다. 취약점을 찾아내는 화이트해커에게도 신고 포상제 활성화가 크게 와닿지 않는 모양새다. 정부에 따르면 우수 취약점을 발굴한 화이트해커에게는 총 16점의 상점과 2000만원 규모의 상금이 수여된다. 글로벌 기업의 경우 취약점 제보에 대한 포상금을 '억 단위'로 지급한다. 구글의 경우 2023년 보상금 총액이 약 1200만 달러로 집계됐으며, 메타는 2024년 400만달러 이상을 지급하기도 했다. 오픈AI도 챗GPT 서비스 결함에 최대 2만달러까지 포상금을 지급한다. 또한 찾아낸 취약점을 다크웹 마켓에서 유통되는 금액보다 낮다. 브리치포럼스, 다크포럼스 등 다크웹 불법 해킹 포럼에서는 유명 기업의 취약점이나 최고 관리자 권한을 수만 달러, 1비트코인 이상의 금액에 거래한다. 2024년 브리치포럼스에는 국내 대기업 방화벽 서버의 최상위 관리자 권한을 1만달러에 판매한다는 게시글이 올라오기도 했다. 박기웅 세종대 정보보호학과 교수는 "화이트해커 활동 범위 자체를 늘리는 이번 정책으로 새내기 및 초심자 화이트해커에게는 충분한 동기부여로 작동할 것"이라면서도 "글로벌 기업 대비 버그바운티에 대한 포상금이 낮은 수준이고 확대해야 할 필요성은 있다. 하지만 기업들의 입장에서도 소프트웨어 개발 비용보다 더 많은 금액은 포상금으로 지급할 수는 없다는 어려움이 있다"고 말했다. AI 보안 추진계획 가동…패치 자동화 로드맵 필요 앤트로픽의 AI 모델 미토스(Mythos) 등 AI로 취약점을 빠르게 찾아내는 시대가 현실로 다가오면서 AI 기반 사이버 위협에 대응하기 위한 방안도 정부가 추진하고 있다. 과기정통부는 지난달 말 과학기술관계장관회의를 통해 'AI 기반 사이버 위협에 대응하기 위한 민간 정보보호 추진계획'을 발표했다. 계획안에 따르면 정부는 민간분야에서 AI 보안 위협에 대응할 단기과제와 우리 사회전반의 정보보호 체계를 AI 기반으로 전환하기 위한 중장기 방향성을 제시했다. 단기 과제로는 AI로 취약점을 탐지하면서 취약점 개수가 급증함에 따라 이에 대응하기 위한 체계를 마련하겠다는 것이 첫 번째다. 과기정통부 내에 총괄상황반을 구성하고, 취약점 관리센터 중심 취약점·패치 관리 일원화 및 긴급대응 준비하는 것이 골자다. 또한 피해 파급력이 큰 주요 기업을 대상으로 보안 점검 등을 추진한다. 이 외에도 보안 여건이 부족한 중소기업 대상으로 지원하는 방안과 국제협력을 통한 글로벌 수준의 AI 보안생태계 구축, AI 기반 사이버 위협 선제 대응 체계 확립 등 방안을 제시했다. 중장기적으로는 AI 보안 위협은 AI 기반 보안 역량 강화로 대응해야 한다는 목표 아래 ▲독자적 AI 보안 생태계 조성 ▲AI 시대 정보보호 체질 개선을 위한 기초체력 확보 ▲AI 자율형 침해대응 및 지원체계 확립 ▲주요 정보보호 제도 AI 중심 개편 등 방안을 내놨다. 정부는 취약점을 신속하게 수집해 일원화된 체계로 전파하겠다고 하지만, 한국은 망분리 인프라와 온프레미스 환경이 보편화돼 있기 때문에 국내 특유의 망 환경과 기업별로 제각각인 소프트웨어 특성을 고려해 쏟아지는 취약점에 대한 대량·신속 패치를 적용할 것인지에 대한 논의는 부족해 보인다. 또한 글로벌 보안 기업들이 취약점 발굴뿐 아니라 취약점에 대한 패치까지도 길면 수개월의 시간이 소요되는 만큼 패치 과정을 자동화하는 있는 가운데, 패치 자동화 부분에 대해서는 정부 차원의 로드맵이 부재한 상태다. AI발 위협이 고도화됨에 따라 신속한 패치 전파 체계 구축, 기술지원, 보안 점검 등 조치에 나섰지만 보완해야 할 필요성도 엿보이는 대목이다. 9월 '매출액 10%' 과징금 시대…피해 국민 구제는 뒷전 지난 11일 개인정보보호위원회(개인정보위)는 유출사고가 발생한 쿠팡에 6247억원의 과징금을 부과했다. 역대 최대 과징금 액수다. 쿠팡이 오는 9월 개인정보위로부터 과징금을 받았다면 수조원에 달하는 금액이 부과될 가능성도 있었다. 오는 9월11일부터 개인정보보호법 개정안이 시행되기 때문이다. 개정되는 개인정보보호법은 중대하거나 반복적으로 개인정보 유출 사고를 낸 기업에 전체 매출액의 최대 10%까지 '징벌적 과징금'을 부과할 수 있도록 규정했다. 현행 개인정보보호법은 유출사고와 직결되는 매출액의 최대 3%까지 과징금을 부과할 수 있도록 규정하고 있지만, 상한 액수가 3배 이상 뛰는 셈이다. 반복되는 유출 사고를 막고, 징벌적 과징금을 통해 기업들이 자발적으로 보안에 투자할 수 있도록 유도하는 것이 개정안의 취지다. 그러나 당장 3개월 앞으로 개인정보보호법 개정안이 시행될 예정이지만, 징벌적 과징금에 대한 아쉬운 점도 있다. 부과한 과징금을 어떻게 사용할지에 대한 논의가 부족하기 때문이다. 개인정보보호법에 따르면 개인정보위가 부과하는 과징금은 정부의 여타 행정 과징금과 마찬가지로 전액 국고로 귀속된다. 현행 개인정보보호법에는 과징금의 용도를 별도로 제한하거나 규정한 법조항이 존재하지 않다. 이에 징수된 과징금은 국가의 일반 재원으로 들어가며 개인정보 보호 사업이나 피해자 구제에 우선적으로 쓰이지 않는다. 과징금 상한선을 크게 높이는 취지가 반복적인 개인정보 유출사고를 막고 보안 투자를 활성화하기 위함이라면, 확보한 재원이 피해를 본 국민의 권리 구제나 보안 인프라 투자에 사용돼야 하지만 취지와 용도가 불일치한다. 이에 개인정보 유출로 피해를 입은 국민은 유출사고가 발생한 기업의 자체 보상안 외에는 금전적 보상을 받기 어렵다. 피해보상을 받으려면 피해를 입은 국민이 법적 절차를 밟아야 한다. 이에 정부는 정부는 침해사고로 인한 개인정보 유출 이외의 소비자 피해에 대해서도 분쟁 조정 제도 도입을 올해 논의할 예정이다. 또한 손해배상 판결 효력이 소송 참여자 외에 당사자들에게도 적용되는 미국식 집단소송 제도는 아직 도입 이전이고 논의 중이지만, 개정된 개인정보보호법은 당장 3개월 뒤 시행을 앞두고 있다. 이 외에도 피해자 보호를 위한 피해회복 기금 도입 등도 여전히 논의 단계에 머물러 있다. 최경진 가천대 법학과 교수는 "유출사고로 확보한 과징금 재원은 크게 두 가지로 활용될 필요가 있다. 첫 번째는 피해를 입은 정보주체에 대한 구제다. 꼭 현금으로 돌려줘야 하는 것이 아니라 정보주체의 개인정보 보호를 위한 솔루션 구비, 서비스 구축 등에 필요한 비용으로 쓰일 수 있도록 하는 것"이라며 "두 번째는 개인정보 보호는 하나의 인프라 구축이라는 일념 아래 개인정보 보호 의지는 있지만, 여력이 되지 않는 중소기업에 대한 지원에 사용될 필요가 있다. 꼭 필요한 서비스나 솔루션을 보급하거나 개인정보 보호 바우처 형식으로 지원하는 방법이 필요하다"고 강조했다. 공병철 국제사이버보안인증협회장도 "명확한 재원 활용 방안이 마련되지 않으면 과징금 부과 기준의 상향도 정책적 명분을 얻을 수 없다"며 "정보보호 및 개인정보보호 관리체계 인증(ISMS-P) 지원 등 활용 방안이 필요하다"고 밝혔다.

2026.06.15 13:26김기찬 기자

  Prev 1 2 3 4 5 6 7 8 9 10 Next  

지금 뜨는 기사

이시각 헤드라인

삼성전자, 2분기 영업익 89.4조…엔비디아·애플도 제쳤다

홈플러스 청산 기로…입점 매장은 뭔 죄?

[AI 리더스] 스카이인텔리전스 "로봇 합성데이터, 올해가 매출 원년"

'국대 AI' 내달 2차 검증대…LG·SKT·업스테이지 보고서 제출

ZDNet Power Center

Connect with us

ZDNET Korea is operated by Money Today Group under license from Ziff Davis. Global family site >>    CNET.com | ZDNet.com
  • 회사소개
  • 광고문의
  • DB마케팅문의
  • 제휴문의
  • 개인정보취급방침
  • 이용약관
  • 청소년 보호정책
  • 회사명 : (주)메가뉴스
  • 제호 : 지디넷코리아
  • 등록번호 : 서울아00665
  • 등록연월일 : 2008년 9월 23일
  • 사업자 등록번호 : 220-8-44355
  • 주호 : 서울시 마포구 양화로111 지은빌딩 3층
  • 대표전화 : (02)330-0100
  • 발행인 : 김경묵
  • 편집인 : 김태진
  • 개인정보관리 책임자·청소년보호책입자 : 김익현
  • COPYRIGHT © ZDNETKOREA ALL RIGHTS RESERVED.