검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'K-ICT 정보보호 대상'통합검색 결과 입니다. (249건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

이 대통령 보안 공약 보니···"정보보호 공시 강화"

이재명 더불어민주당 후보가 3일 치뤄진 제 21대 대통령 선거에서 49.42% 득표율로 대통령에 당선됐다. 이대통령은 대선전 발표한 공약에서 "사이버위협에서 안전한 나라를 만들겠다"며 5개 분야 17개 과제를 제시했다. 첫째, AI시대를 맞아 국가 핵심인프라 및 개인정보보호를 위한 사이버보안을 강화하겠다고 약속했다. 이를 위해 망중심에서 데이터 중심의 정보보호체계로 전환을 추진하고 민간 자율을 촉진하되, 침해사고 발생시 명백한 책임을 부과하겠다고 밝혔다. 또 정보보호 투자 및 전담인력 규모 등을 투명하게 공개하는 정보보호 공시제도 강화를 추진하겠다고 짚었다. 정보보호공시는 기업의 정보보호 현황을 공개(의무·자율)하고 관리함으로써 이용자의 안전한 인터넷 이용과 기업의 정보보호 투자 확대를 위한 것이다. 지난 2021년 12월 공시 의무화가 시행됐다. 의무 대상은 ISP, IDC, 상급종합병원, 클라우드컴퓨팅 제공자, CISO 지정 의무기업 중 매출액 3천억원 이상 및 일일 평균 이용자수 100만명 이상 사업자로 650여곳이 대상이다. 공시 내용은 정보보호 투자 및 전담인력 현황, 정보보호 인증, 평가, 점검 등에 관한 사항이다. 이외에 개인정보 유출로 인한 중대 피해 예상시 전국민 대상 공지 의무화도 강조했다. 둘째, 범정부 차원의 사이버 보안 대응체계 구축이다. 이를 실현하기 위해 국가 사이버보안 대응체계 일원화와 유기적 협력 위한 방안 강구, 능동적 사이버보안 대응 기술 개발 및 정기적 합동훈련을 통한 협력 대응체계 고도화 및 법제도 마련, 효과적 사이버 방어를 위한 법적,제도적 기반 마련을 강조했다. 법과 관련해서는 현재 국가사이버안보기본법 제정이 화두다. 이 법은 지난 17대 국회에서 처음 발의된 이후 18~21대에서도 연속 상임소위에서 법안으로 내놨지만 국정원의 권한 집중 등에 막혀 번번이 국회 본회의 문턱을 넘지 못했다. 현 22대 국회들어서도 '2025년도 법률안 국회 제출계획'에 국정원의 국가사이버안보기본법(가칭) 제정이 포함됐는데, 오는 10월쯤 제정안이 나올 예정이다. 앞서 지난 2022년 11월 예고한 제정안엔 대통령 소속 국가사이버안보위원회를 두고, 사이버 안보 위협 공유·관리체계 운영과 일원화된 대응체계 구축·운영 등을 담았다. 셋째, 민관 협력을 통한 사이버보안 기술 및 산업 경쟁력 강화다. 과기정통부가 매년 발간하는 국내 보안산업 실태조사에 따르면, 우리나라 정보보안 SW기업은 총 814곳이다. 이중 업력이 최소 24년 이상인 보안 SW기업이 122곳이다. 하지만 아직 세계적으로 명성을 떨치고 있는 글로벌 보안SW기업은 없는 실정이다. 이 당선자는 공약에서 사이버보안기술 다양성 확보 및 핵심기술 국산화를 지원하고, 민간 주도 보안 제품 표준 및 인증기준 수립을 통한 기술변화 대응력 강화에도 나서겠다고 했다. 민간 참여 보장을 위한 인증 및 표준화위원회 구성도 제시했다. 넷째, 지역 및 중소기업 등 사이버보안 사각지대 해소다. 국내 정보보안 SW기업 814곳 중 서울에 578곳(71%)이 몰려있다. 이어 경기 125개(15.4%)고 이후 숫자가 급격히 줄어 대전 23개(2.8%), 부산 22개(2.7%), 대구 12개(1.5%) 순으로 많다. 제주에는 1곳(0.1%)있는 곳으로 조사됐다. 기업이 적다는 건 그만큼 시장과 인프라가 열악하다는 것이다. 이에 이 대통령은 공약에서 지역기업들의 정보보호 투자 확대로 지역 보안산업과 일자리 창출은 물론 중소기업 대상 클라우드 기반 구독형 보안서비스(SeCaaS) 시장 확대 지원과 지역 영세기업 대상 보안 취약점 진단 및 컨설팅 확대 추진을 밝혔다. 다섯째, 피싱과 스미싱 등 디지털 민생 안전 대응 강화도 공약에서 짚었다. 이를 위해 AI 기술을 악용한 신종 보이스피싱 등에 적극 대응하고 스미싱 근절을 위한 문자중계 통신사업자 대상 정보보호 의무 강화 및 발송자 처벌 강화와 함께 실생활속 무분별한 개인정보 유출을 예방하기 위한 '양방향 스마트 안심번호 제도'를 활성화하고 주말과 연휴 등 취약시간과 기간의 피해 방지 및 실시간 대응 체계 구축을 약속했다. 이재명 대통령의 이 같은 사이버 및 보안 공약에 대해 산업계는 사이버보안을 안보 차원에서 다뤄야 하는 지금, 국가사이버전을 지휘할 컨트롤타워 신설 필요와 함께 정보보호 투자 확대 등 보다 구체적인 정책 제안과 시행을 요청했다.

2025.06.04 02:00방은주

포티넷 부사장 "한국 보안 미흡···공격 더 많아질 것"

한국 정보보호 수준은 1~2년 뒤를 생각하면 충분하지 않아요. 당장은 괜찮지만요. 미국 사이버 보안 회사로서 관찰하니 공격자가 한국에서 목표 삼을 만한 대상을 정찰하는 모습이 보여요. 1~2년 뒤 공격 경로가 정교해질 것 같습니다. 데릭 맨키 포티넷 부사장은 지난달 27일 서울 잠실동 롯데호텔월드에서 지디넷코리아와 만나 이같이 밝혔다. 맨키 부사장은 포티넷 북아시아 지역 연례 행사에 참석하기 위해 한국을 찾았다. 그는 “한국이 해야 할 일은 인공지능(AI)을 활용해 사이버 공격을 방어하는 일”이라며 “다른 조직도 보안을 탐지하고 대응하려고 AI에 투자하고 있다”고 말했다. 그러면서 “이미 많은 공격자가 한국에서 AI를 무기로 사이버 범죄를 저지른다”며 “AI라는 도구 덕에 외국인도 상당히 교묘하게 한국어로 공격하는 걸 봤다”고 전했다. 포티넷에 따르면 올해 들어 4월까지 공격자가 한국에서 사이버 공격을 시도한 건수는 8억8100만건이다. 맨키 부사장은 “세계 평균보다 많은 건수”라며 “모두 성공한 것은 아니라는 게 다행”이라고 분석했다. 그는 “한국에서 사이버 위협 판도가 여느 때보다 빠르게 변하고 있다”며 “과거에는 한글과컴퓨터가 개발한 한컴오피스 'hwp' 파일을 미끼로 내세운 공격이 많았다”고 들려줬다. 또 “hwp를 활용한 공격은 마이크로소프트(MS) 워드(word) 프로그램을 주로 쓰는 사기업보다 한컴오피스를 애용하는 정부 집단에서 활발하게 일어났다”며 “정부 관료가 업무 문서라고 생각해 hwp 파일을 내려받아 열면 공격 당했다”고 설명했다. 이어 “북한 해커 집단 라자루스가 hwp를 무기로 시스템에 접근해서 가상자산을 탈취해 수익을 얻었다”며 “시스템에 들어가기 위한 발판으로 hwp를 쓰기도 했다”고 덧붙였다. 맨키 부사장은 포티넷에서 바이러스 분석가로 출발했다. 개발자를 거쳐 위협 탐지 전문가로 일하고 있다. 공격자가 네트워크에 어떻게 침투하는지, 어떤 새로운 공격 기법을 썼는지, 무슨 기술을 개발해 보호해야 하는지 알아본다. 맨키 부사장은 2004년 9월부터 포티넷에서 일하고 있다. 입사하기 앞서 대학에서 프로그래밍을 가르쳤다. 그는 “막연히 네트워킹이나 소프트웨어(SW) 엔지니어가 되고 싶다고 생각했을 뿐 포티넷 들어오기 전에는 스스로 사이버 보안에 관심 있는지 몰랐다”며 “친구 권유로 포티넷에 지원해 흥미로운 기회를 얻었다”고 귀띔했다. 마지막으로 “많은 사람이 내가 포티넷에 합류하기 전 대학교에서 강의했다는 사실을 모른다”며 “이전 경력을 물어본 인터뷰 질문자는 유혜진 지디넷코리아 기자가 처음”이라고 웃었다.

2025.06.03 17:03유혜진

[보안 리딩기업] 파고네트웍스 "MDR 분야 국내 최고 자부"

위협은 진화하고, 방어는 정교해져요. 하지만 여전히 많은 기업은 '왜 보안 사고가 터지지?'라는 의문을 갖고 있어요. 파고네트웍스는 이 질문에서 출발했죠. 공격자는 정상적인 행위인 것처럼 속이고 들어와요. 이들이 남긴 흔적을 모아 위협이라고 판단하는 일은 사람 몫이구요. 보안은 결국 사람이 하는 겁니다. 권영목 파고네트웍스 대표는 지난 22일 서울 용산구 사옥에서 지디넷코리아와 만나 이같이 밝혔다. 파고네트웍스는 클라우드 기반의 위협 탐지·대응 서비스 'MDR(Managed Detection and Response)'를 제공한다. 자동화 MDR 플랫폼 '딥액트(DeepACT)'를 독자 개발했다. 고객사에 이미 설치된 다양한 보안 솔루션과 연동해 일반적으로 탐지되지 않는, 정상 행위 같은 이상 징후를 실시간으로 조합해 분석, '대응하라'고 알려준다. 탐지에서 끝나지 않는다. 고객과 미리 협의, 보안 위협을 알아챘을 때, 파고네트웍스가 차단까지 한다. 권 대표는 “지침만 보냈더니 심야 시간이라 고객이 자고 있는 경우가 있었다. 이에, 직접 수행하는 MDR로 고쳤다”고 들려줬다. 파고네트웍스 직원은 25명이다. 이중 15명이 MDR센터에서 일한다. 이들 위협 분석가가 300개 고객사의 보안을 살핀다. 권 대표는 “15명이 300개사를 하나하나 들여다보기는 불가능하다. 분석 인력을 무한정 늘릴 수는 없다”면서“자동화가 답이다. 위협 탐지뿐 아니라 사후 보고서 작성, 차단 조치, 지침 제공까지 모든 과정을 시스템으로 만들었다”고 강조했다. 파고네트웍스는 2023년 싱가포르에 법인을 세웠다. 1년 동안 동남아시아에서 협력사를 찾아 말레이시아·인도네시아·필리핀 등에 MDR 서비스를 제공하고 있다. 권 대표는 “서양 MDR 회사는 아시아 소통 방식을 몰라 어려움을 겪는다”며 “아시아 문화를 아는 파고네트웍스는 현지에 맞는 전략을 펼친다”고 자평했다. 파고네트웍스 매출 중 15%가 동남아에서 나온다. 북미·유럽·중동으로도 진출할 계획이다. 건물을 통채 임대해 사용하고 있는 파고네트웍스 사옥은 MDR센터, COE(Center of Excellence), 휴게실 등이 갖춰져 있다. 위협 분석가가 MDR센터에서 24시간 교대하며 국내외 300개 고객사 보안을 책임진다. COE는 회의실이자 고객과 구성원이 만나 소통하는 공간이다. 옥상에 바비큐 시설이 있고 지하에는 운동 시설과 샤워실, 카페(1층) 등도 갖췄다. 권 대표는 “사람이 보안 서비스 질을 결정한다”며 “핵심 자원인 분석가가 최고의 기량을 뽐내도록 아낌없이 투자하고 있다"고 말했다. 분석가는 업무에 집중하도록 본업이 아닌 관리 업무는 하지 않는다. 임원도 앉아 있지 말고 열심히 나가야 해서 정해진 자리 없이 자율 근무한다. 권 대표는 “보안 기업답게 내부 보안 문화도 중요하다”며 “개인용 메신저를 아예 못 쓰고, 구성원끼리는 기록할 수 있으면서도 보안이 확보된 창구로 소통한다”고 말했다.

2025.05.31 13:28유혜진

美, 미성년 이민자 DNA 범죄 DB에 저장

미국 정부가 13만명이 넘는 미성년 이민자의 유전 정보(DNA)를 국가 범죄 데이터베이스(DB)에 저장한 것으로 나타났다고 미국 과학기술 잡지 와이어드가 최근 보도했다. 저장 대상 중에는 4세 아동도 포함돼 있었다. 와이어드에 따르면, 미국 관세국경보호청(CBP)은 올해 초 이러한 정보를 조용히 공개했다. 잡지는 이를 두고 "정부가 이주 아동의 생체 정보를 얼마나 깊숙이 감시하고 있는지를 처음으로 보여준 사례"라고 짚었다. 와이어드에 따르면 CBP은 2020년 10월부터 지난해 말까지 150만명 이상의 뺨을 면봉으로 긁어 유전자를 채취했다. 어린이와 청소년은 13만3천539명 포함됐다. 미국 정부는 연방수사국(FBI)이 관리하는 DNA 색인 시스템에 이들의 DNA 정보를 등록했다. 범죄 현장이나 유죄 판결에서 수집된 DNA를 대조해 용의자를 가리는 데 쓰기 위해서다. 미국 법무부는 DNA를 수집해 이민자가 대중에게 미칠 잠재적 위험을 평가한다고 밝혔다. 이와 관련 전문가들은 아이들의 유전 정보가 무기한 보관될 것이라며 이를 제한하지 않으면 DNA 수집망이 광범위한 프로파일링에 악용될 수 있다고 우려했다.

2025.05.31 08:00유혜진

[보안 기업] 트리니티소프트 "아시아 1위 취약점 점검 기업 되겠다"

아시아 1위 취약점 점검 기업이 되겠습니다. 인프라·애플리케이션 취약점을 진단하는 모든 제품을 한 군데서 관리하는 포털을 만들 거예요. 올해 창립 20주년인데요. 지란지교그룹에서 새 출발합니다. 김진수 트리니티소프트 대표는 지난주 서울 구로구 사무실에서 지디넷코리아와 만나 이같이 밝혔다. 트리니티소프트는 애플리케이션 보안 기업이다. ▲소스코드 보안 약점 분석 도구 ▲웹 취약점 분석 도구 ▲정보 보안 컨설팅 등의 사업을 하고 있다. 소스코드 보안 약점 분석 도구는 소프트웨어 분석·설계, 구현, 시험, 운영 단계에서 생기는 소스코드 보안 약점을 관리하기 위해 프로젝트·사용자 통합 관리, 프로젝트 보안 약점 분석, 형상 관리 연동 기능을 제공한다. 웹 취약점 분석 도구는 웹 애플리케이션 환경에서 발생하는 보안 취약점을 관리하고 프로젝트·사용자 통합 관리, 웹 취약점 분석 등 웹 애플리케이션을 보안한다. 정보 보안 컨설팅은 정보보호 전문가가 취약점을 찾아 대안을 제시하는 서비스다. 모의 해킹이 대표적이다. 운영 시스템 설정 오류, 애플리케이션 오류 및 사용자가 조작해 생길 수 있는 취약성을 안전한 범위에서 공격해 정보기술(IT) 시설 보안 시스템에 접근하려 시도해 취약점을 탐지한다. 정부부처·지방자치단체·검찰·육군·공기업 등 공기관, 삼성물산·SK·LG유플러스·제주항공·금융보안원 등 기업, 유안타증권·한화자산운용·IBK신용정보 등 금융사가 트리니티소프트 제품을 이용한다. 트리니티소프트는 지난해 7월 지란지교그룹에 인수됐다. 지란지교소프트부터 지란지교시큐리티, 에스에스알, 트리니티소프트로 지배구조가 이어진다. 김 대표는 “애써 만든 제품이 잘 팔려야 그 뒤에도 연구개발할 동기가 생긴다”며 “지란지교그룹에 속해 매출이 늘 것”이라고 말했다. 그러면서 “그동안 개념 증명(PoC·Proof of Concept)에서 여러 차례 1등 했지만 납품 못한 적이 많다”며 “지란지교그룹에서 영업력을 보충하겠다”고 강조했다. 김 대표는 한국정보보호산업협회(KISIA) 수석부회장이기도 하다. 그는 “정부가 '인공지능(AI)에 100조원 투자한다'고 한다”며 “10%인 10조원만이라도 사이버 보안에 투자한다면 안전한 한국이 될 수 있다”고 주장했다. 또 “정보 보호에 더 투자하지 않으면 AI로 인한 수준 높은 공격을 감당할 수 없다”며 “하루빨리 최악에 대비해 대규모 모의 해킹을 해 봐야 한다”고 지적했다. 이어 “KISIA가 '정보 보호 예산을 2배로 늘려야 한다'고 하니 비웃는 소리가 들린다”며 “심각한 사고가 나면 '큰돈이 아니구나' 깨달을 것”이라고 덧붙였다. 김 대표는 올해 KISIA에서 자율보안협의체를 꾸려 의장도 맡았다. 그는 “사이버 보안 회사도 스스로 보안 강화해야 한다”며 “자율보안협의체를 중심으로 정보보호 기업이 보안 수준을 높이고, 공기관·공기업·지자체에도 자율 보안 지침을 공유할 것”이라고 설명했다. 김 대표는 트리니티소프트를 2005년 1월 27일 창업했다. 사업한 지 20년 넘었다. 그는 “20년 하고 나면 돈을 굉장히 벌거나 커다란 사옥을 지을 줄 았았지만 사람이 남았다”며 “좋은 사람들과 트리니티소프트에서 일할 수 있어 더없는 영광”이라고 들려줬다. 현재 트리니티소프트 직원은 24명이고, 1~2주 간격으로 2명 더 입사하기로 했다. 트리니티소프트는 입사 5주년, 10주년 등 5년 주기로 직원을 축하한다. 직원도 대표를 평가한다. 김 대표는 “직원들이 '정년까지 다니겠다' 말하고, 대표를 좋게 평가한다”며 서로 존경하는 문화를 소개했다. 올해 초 트리니티소프트는 창립 20주년 행사로 다같이 봉사했다. 버려진 골판지로 도화지를 만들어 사회적기업 러블리페이퍼에 전달했다. 김 대표는 “어르신이 폐지를 고물상에 갖고 가 1㎏에 500원 받는다면 러블리페이퍼는 더 비싸게 사들인다”며 “재활용된 도화지에 재능 기부 받은 그림을 팔아 충당한다”고 전했다. 아래는 김진수 대표 약력 1998.09~2000.05 미국 보스턴대 혁신기술전공 이학석사 한국인터넷진흥원(KISA) 비상임이사 한국정보보호산업협회(KISIA) 수석부회장

2025.05.30 08:13유혜진

윈스테크넷 "폴란드 정부에 디지털 전환·보안 공유"

윈스테크넷은 28일 폴란드 경제개발기술부 대표단이 경기 성남시 윈스테크넷 사옥을 찾아 디지털 전환(DX) 및 보안 협력 사례를 공유했다고 밝혔다. 기획재정부와 한국개발연구원(KDI)이 추진하는 '경제 발전 경험 공유 사업(KSP)' 중 하나다. 윈스테크넷은 일본에 수출한 고성능 침입방지시스템(IPS) 기술을 소개했다. 고속 네트워크 환경에서 대규모 트래픽을 안정적으로 처리하는 고성능 보안 장비다. 인공지능(AI) 기반 위협 탐지 및 실시간 대응 기능을 갖췄다. 윈스테크넷은 보안 관제, 정책 상담, 정부-민간 협력 등 사이버 보안 체계 구축 사례도 전했다. 폴란드 정부는 AI 기반 위협 탐지 기술, 보안 인프라 상담, 디지털 전환과 보안을 동시에 고려한 솔루션을 주목한 것으로 알려졌다. 김보연 윈스테크넷 대표는 “윈스테크넷은 기술 기업을 넘어 한국 보안 모델을 전파하는 역할을 하고 있다”며 “해외 정부·기관과 한국의 디지털 혁신 경험을 공유하고 국제 보안 생태계를 확대하겠다”고 말했다.

2025.05.29 17:28유혜진

"AI 발달로 나도 모르게 개인정보 불법 수집"

'인공지능(AI)이 발달해 나도 모르게 개인정보를 불법으로 수집하게 됐다'는 기업이나 기관 개인정보처리자에게 위법 기준이 제시됐다. 권헌영 고려대 정보보호대학원 교수는 28일 서울 삼성동 코엑스에서 열린 '개인정보 보호 페어(PIS FAIR) 2025'에서 '인공지능과 개인정보 처리의 주요 쟁점 대응 방안'을 발표했다. 권 교수는 “AI 시대에 개인정보 이용 방식도 바뀌고 있다”며 “정보 주체가 누군지 모르는 상황이었지만 AI로 누군지 식별돼 버리면 개인정보처리자는 불법을 저지르게 된다”고 말했다. 그러면서 AI 시대 저절로 수집되는 개인정보를 보호하는 방법을 안내했다. 우선 공개된 개인정보를 수집·이용할 수 있는 기준을 지키면 된다. 공공의 이익, 처리 필요성 등이다. 가명정보도 방안 중 하나지만 실효성은 적다고 평가된다. 권 교수는 “한국에서는 가명정보도 개인정보로 취급해 개인정보보호법으로 규제한다”며 “가명으로 처리하는 이유는 수집 목적 아닌 이유로 쓰려는 것인데, 수집 목적 아닌 이유로 쓰려면 동의 받아야 해서 이 과정이 돌고 돈다”고 짚었다. AI로 세상이 바뀌었지만 관행을 이어가는 일은 올바르지 않다고 봤다. 권 교수는 “첨단 기술을 활용해 개인정보를 쓰면서도 동의서 받는 법적 체계는 옛날식”이라며 “종이로 서명하면 사람이 부인하지 않을 거라 생각하고, 디지털로 서명하면 나중에 부정할까 봐 그러는 것 같다”고 분석했다. 그는 “정보 주체로부터 '당신의 개인정보를 이렇게 쓰겠습니다'라며 수집 동의 받는다”며 “최근 문제는 안 받아도 될 동의까지 받는 점”이라고 지적했다. 이어 “다른 목적으로 쓸 때에만 개인정보 제공 동의를 받으면 된다”며 “버스에 타 교통카드 찍을 때마다 '나는 누구고, 어디서 타서 어디에 내릴 테니 개인정보 내는 데 동의한다'고는 안 한다”고 설명했다.

2025.05.28 15:37유혜진

[현장] "800명 사전 신청 '북적'···정보보호 취업박람회 가보니

“보안 컨설턴트 되는 게 목표거든요. 고객 문제를 찾아내 풀면 뿌듯하잖아요. 대기업은 어떻게 하는지 알고 싶어 SK쉴더스 현장 채용관 앞에 줄 서서 기다리고 있어요.” 순천향대 정보보호학과를 졸업한 고승현씨는 27일 서울 강남구 한국과학기술회관에서 열린 '정보보호 취업박람회'에서 지디넷코리아와 만나 '취업 뽀개기'를 하겠다며 이같이 밝혔다. 국내 대표 정보보호 기업으로 꼽히는 SK쉴더스 현장 채용관에서 취업 요령을 알아보려는 구직자가 10명 남짓 줄을 섰다. 이 가운데 고 씨는 “다른 대학 입학했다가 순천향대 정보보호학과로 편입해 지난 2월 졸업했다”며 “고등학교 3학년 때 보안을 처음 접해 '재미있다' 느껴 돌아왔다”고 말했다. 강남대 공공인재학과를 졸업한 김승현씨는 “지난해 일본에 다른 업계 개발자로 취업했다”면서도 “그만둔 뒤 보안에 관심 생겨서 학원까지 다니고 동기들과 취업박람회에 같이 왔다”고 들려줬다. '현장 채용관'에는 보안기업 22곳이 자리를 잡고 취업준비생에게 회사를 알렸다. ▲한국정보보호산업협회(KISIA) ▲엑스큐어넷 ▲싸이버원 ▲롯데이노베이트 ▲지란지교데이터 ▲컴트루테크놀로지 ▲글로벌에잇 ▲엘에스웨어 ▲한국인터넷진흥원(KISA) ▲잉카인터넷 ▲넷맨 ▲SK쉴더스 ▲지니언스 ▲스틸리언 ▲OE주식회사 ▲엔시큐어 ▲안랩 ▲엔큐리티 ▲윈스테크넷 ▲케이엑스넥스지 ▲센티널테크놀로지 ▲시큐아이가 참여했다. 어느 기업 채용관에서 한 학생은 '포트폴리오를 어떻게 준비하면 좋은지', '정보처리기사 자격증이 취업하는 데 유리한지' 물었다. 업체 인사 담당자는 “자격증이나 포트폴리오가 있으면 좋다”면서도 “필수가 아니거니와 다른 사람과 비슷한 내용은 눈에 띄지 않는다”고 조언했다. 또 다른 회사 채용관에서 누군가 '정량적인 스펙 말고 기업이 취업준비생에게 무엇을 요구하느냐'고 질문하자 “일에 욕심이 있으면 좋겠다”며 “할 일이 남았는데도 오후 6시 됐다고 바로 퇴근하는 사람은 곱게 보이지 않는다”는 답이 돌아갔다. 의자에 앉지 못한 학생들도 인사 담당자 말을 들으려고 바로 뒤에 서 귀를 쫑긋 세웠다. '희망 멘토링관'에서는 보안 컨설팅·관제·개발·기술지원 경력 10년 이상 현직자가 구직자와 마주앉아 1대 1로 멘토링을 했다. '취업 토크' 시간에는 안랩과 금융보안원에 취업한 지 각각 3년 안 된 새내기 직원이 후배에게 취업 요령을 귀띔했다. 한 업체 관계자는 “신입사원이 현장에 바로 나가 배우게 한다”며 “고객에게 쉽게 답하는 모습을 선배가 보여준다”고 설명했다. KISIA는 매년 5월 정보보호 취업박람회를 연다. 2007년 시작했다. 이보연 KISIA 교육기획팀장은 “정기적으로 열리는 정보보호 특화 취업 박람회는 이게 유일하다”며 “SK쉴더스·시큐아이·윈스·롯데이노베이트 등 업계를 대표하는 기업이 해마다 꾸준히 참가한다”고 전했다. OE주식회사와 케이엑스넥스지는 올해 처음 함께했다. 이번 정보보호 취업박람회는 학력·나이 상관없이 누구나 참여할 수 있는데, 아무래도 지만 청년들이 대다수였다. 일부 50대도 눈에 띄었다. 이 팀장은 “당장 취업할 곳을 찾는 대학 재학생과 졸업생이 80%를 차지한다”며 “진로를 탐방하는 고등학생도 종종 온다”고 말했다. 이어 “대학 정보보호학과와 컴퓨터공학과 등에서 단체 등록하고 오는 경우도 많다”며 “보안이 인공지능(AI) 바람을 탄 덕에 지금껏 가장 많은 800명이 올해 미리 신청했다”고 덧붙였다. 한 기업 관계자는 “정보보호 전문 취업박람회가 더 자주 열리기 바란다”며 “중소기업이 협회 지원을 받아 취업박람회에 참가해 회사를 알리고 젊은 인재도 찾을 수 있어 좋다”고 소감을 밝혔다.

2025.05.27 17:19유혜진

[보안 리딩기업] 옥타코 "해킹 걱정 없는 FIDO2 써야"

어딜 가나 무선 공유 인터넷 와이파이(Wi-Fi·Wireless Fidelity)를 전혀 안 써요. 와이파이로 접속했다가는 해커가 마음먹으면 아이디와 비밀번호를 다 알 수 있거든요. 해커가 와이파이에 악성코드 깔아놓고 기다리다가 사용자가 로그인하면 다 들어갈 수 있어요. 제가 한 번 중국 호텔에서 와이파이 썼더니 '중복 접속했다'는 알림이 오더라고요. 이재형 옥타코 대표는 최근 경기 성남시 사무실에서 지디넷코리아와 인터뷰하며 이같이 밝혔다. 옥타코는 국제 온라인 인증 '파이도(FIDO·Fast IDentity Online)' 전문 기업이다. 사용자가 안전하게 계정을 쓰도록 도와준다. 이 대표는 “보안 소프트웨어와 아울러 그게 들어가는 인증 장치도 만든 회사는 옥타코가 세계에서 유일하다”고 말했다. 옥타코 '보안 키'에는 개인정보를 담은 '안전 영역'이 따로 있다. 이 대표는 “일반 생체 인증처럼 지문·홍채·얼굴을 인식하지만, 일반 생체 인증은 그 정보를 어느 기업 서버에 저장하는 반면 옥타코 제품은 보안 키에 넣을 뿐 서버엔 없다는 게 다르다”고 소개했다. 삼성전자를 비롯한 국내외 주요 기업이 옥타코 보안 키를 쓴다. 'FIDO로는 정보가 빠져나갈 가능성 없느냐'는 물음에 이 대표는 “한 단계 진화한 표준화 기술 FIDO2는 해킹된 사례가 없다”고 답했다. 이어 “일반 생체 인증도 자주 해킹당한다”며 “사진을 확대해 지문이나 얼굴 생김새를 떠 갈 수 있다”고 덧붙였다. FIDO2를 쓰면 그 기업이 해킹당해도 소비자는 상관없다는 입장이다. 개인정보를 내 기기 안전 영역에만 넣기에 서버가 해킹돼도 개인정보 유출될 염려가 없다고 했다. 이 대표는 “FIDO2 인증을 사용하면 다양한 속성값을 확인하기 때문에 이동통신사 문자메시지(SMS) 인증이나 일회용비밀번호(OTP) 2차 인증을 우회하는 명의 도용 공격으로부터 소비자를 강력하게 보호할 수 있다”고 강조했다. 옥타코는 '양자 암호 보안 키'도 만들었다. 이 대표는 “'FIDO연합(Alliance)'이 세계에서 유일하게 인증한 양자 암호 FIDO 보안 키”라며 들어 보였다. FIDO얼라이언스는 구글·애플·마이크로소프트(MS)·인텔·퀄컴·아마존·메타(옛 페이스북)·삼성전자 등 세계 280개 회원사 모임이다. 이 대표는 “'기존 인증 체계로는 안전하게 인공지능(AI)을 쓸 수 없다'는 철학에 공감해 옥타코를 2016년 4월 창업하자마자 FIDO얼라이언스에 참여했다”며 “이를 널리 퍼뜨렸다고 2023년 FIDO얼라이언스에서 공로상을 받았다”고 들려줬다. 이 대표는 비밀번호 문제를 2가지 꼽았다. 비밀번호를 아예 쓰지 않는 인증 방식을 옥타코에서 만든 이유이기도 하다. 그는 “첫 번째 문제는 비밀을 둘이 안다는 점”이라며 “예를 들어 나와 네이버, 내가 털려도 네이버가 뚫리고 네이버가 뚫려도 내가 털린다”고 설명했다. 또 “두 번째 문제는 서버 중앙화”라며 “SK텔레콤 한 업체가 해킹당하니 사용자 2천500만명 정보가 모두 유출됐다”고 짚었다. 이 대표는 “영어 대·소문자, 숫자, 특수기호를 섞어봤자 비밀번호라는 구조는 그대로”라며 “시간 문제일 뿐 다 뚫릴 수 있다”고 지적했다. 그러면서 “사용자는 기억하기 불편해 비밀번호를 사용처마다 똑같이 만들고 어디 적어둔다”며 “OTP나 문자 인증을 쓴대도 해커가 미리 악성코드 심어놓으면 해커에게 인증 번호가 간다”고 말했다. 옥타코는 세계적인 회사가 되겠다는 포부를 나타냈다. 직원 30명 가운데 외국인이 4명(15%)이다. 외국인 비중을 30~40%까지 끌어올릴 계획이다. 이 대표는 “한국 업체로 남을 생각 없다”며 “한국에 있는 세계적인 기업이 될 것”이라고 했다. 그러면서 “세계 사이버 보안 시장에서 한국은 2%도 안 된다”며 “98%를 보는 게 당연하지 않느냐”고 되물었다. 실적에 대해서는 “2023년 매출보다 2024년 2배 성장했다”며 “앞으로 5년 동안 2배씩 성장할 것”이라고 기대했다. 흑자는 물론이다. 2027~2028년 상장할 계획도 있다. 미국 나스닥, 한국 코스닥, 싱가포르, 일본 등 주식시장을 검토한다. 아래는 이재형 대표 이력 1976년생 충남대 국제경영 학사 서울과학종합대학원 인공지능융합공학 석사 한국정보보호학회 협력부회장

2025.05.27 07:57유혜진

보안 없이 AI시대 없다···"보안 투자 비율 10% 의무화 필요"

윤석열 전 대통령의 탄핵 이후 들어서는 새 정부는 정치 혼란 속에서도 산업과 기술의 방향을 다시 세울 중대한 책임을 떠안았다. 동시에 세계는 기술의 또 다른 거대한 전환점을 맞고 있다. 인공지능(AI)이 특정 산업의 기술을 넘어, 모든 산업에 스며드는 '기반 인프라'로 자리 잡고 있는 것. 자동차에서 헬스케어, 게임, 미디어, 금융에 이르기까지 AI는 이미 산업 생태계의 기초 체력으로 작동하기 시작했다. 지디넷코리아는 창간 25주년을 맞아 이 격변의 시점에서 AI 기반 산업 대전환기에 진입한 대한민국의 산업 현장을 진단하고, 각 산업 전문가들과 함께 'AI 시대, 새 정부가 해야 할 일'을 짚어본다. [편집자주] SK텔레콤(SKT) 해킹 사태로 온 나라가 떠들썩하다. 이런 사태가 다시 일어나지 않도록 하려면 새 정부는 무얼해야 할까. 산학 보안전문가들은 정보보호에 대한 투자 확대와 정부의 사전 예방 정책을 주문했다. 한국정보보호산업협회(KISIA)에 따르면 2023년 기준 한국 사이버 보안 시장 규모는 세계 10위다. 이를 떠받치는 국내 정보 보안 업체는 814개사다. 이 가운데 최근 3년 평균 매출이 800억원 넘는 중견기업은 안랩·이글루코퍼레이션·윈스 3개사 뿐이다. 사실상 중소기업이 모여 세계 10위가 됐다고 볼 수 있다. 우리나라의 보안 분야 잠재력은 크다고 평가된다. 실제 국내 사이버 보안 산업은 최근 3년 동안 연 평균 11.83% 성장했다. 세계 사이버 보안산업 성장률(11.9%)과 비슷한 수준이다. 같은 기간 국내 소프트웨어(SW) 산업 성장률(7.98%)보다 높다. 우리나라는 북한이라는 세계 최고 수준 해커 국가가 '상수'로 존재한다. 어떻게 대응하는냐에 따라 세계최고 방패국가가 될 수 있는 것이다. 와중에 한국 사이버 보안 역사에 흑역사로 남을 사건이 터졌다. 국내에서 가장 많은 사람이 이용하는 이동통신사 SK텔레콤이 해킹당한 사실이 지난달 알려졌다. 2천600만명의 가입자식별모듈(USIM·유심) 정보가 빠져나갔다. 국가 감독과 대기업 보안을 믿었던 국민 절반이 개인정보 유출로 전전긍긍하고 있다. 산업계는 '사이버 보안 없이 AI 시대는 없다'고 지적한다. 맞는 말이다. 보안이 뒷받침되지 않으면 국민은 마음놓고 AI를 쓸 수 없다. “AI 투자 100조 중 10조원은 정보보호에” 국내 정보보호 산업을 대표하는 KISIA는 인재를 키우고 수출을 늘리면 한국이 세계 3위 사이버 보안 강국이 될 수 있다고 봤다. 정부 투자가 절실하다는 입장이다. 조영철 KISIA 회장(파이오링크 대표)은 “AI에 100조원을 투자하면 10조원 이상 정보보호에 써야 한다”며 “공공·민간 분야가 정보화에 투자할 때 보안 투자 비율을 10% 이상으로 의무화해야 한다”고 주장했다. 배환국 KISIA 수석부회장(소프트캠프 대표)은 “정부가 AI를 위한 보안(Security for AI), 보안을 위한 AI(AI for Security) 둘 다 중요한 정책으로 다루길 바란다”며 “AI 발전이 중요한 만큼 이를 지킬 보안도 더불어 진흥해야 한다”고 강조했다. 그러면서 “성능 좋은 자동차는 엔진·가속페달과 아울러 브레이크 페달도 뛰어나다”며 “보안은 단순한 브레이크가 아니라 안전 장치”라고 들려줬다. 김진수 KISIA 수석부회장(트리니티소프트 대표)은 “정보 보호에 더 투자하지 않으면 AI로 인한 수준 높은 공격을 감당할 수 없다”며 “하루빨리 최악에 대비해 대규모 모의 해킹을 해 봐야 한다”고 지적했다. 그는 “KISIA가 '정보 보호 예산을 2배로 늘려야 한다'고 하니 비웃는 소리가 들린다”며 “심각한 사고가 나면 '큰돈이 아니구나' 깨달을 것”이라고 덧붙였다. “국가, AI보안 챙겨야 북한·중국 맞서” 개별 기업도 국가 차원의 AI 보안 체계를 주문했다. 윤두식 이로운앤컴퍼니 대표는 “국가 차원의 AI 보안 체계를 세워야 한다”며 “적극적으로 예산을 투입해 국가 사이버 보안 콘트롤타워를 설립해야 한다”고 밝혔다. 윤 대표는 “AI 시대가 다가오면서 미국과 중국의 엄청난 AI 기술과 자본에 한국은 밀렸다”며 “이대로는 북한·중국처럼 나라 지원을 받고 공격하는 데 당할 수밖에 없다”고 꼬집었다. 최영철 SGA솔루션즈 부회장은 “새로운 정부는 SK텔레콤 같은 해킹 사태가 다시 생기지 않도록 정보기술(IT) 보안 예산을 크게 늘려 민간·공공·국방 보안 체계를 강하게 할 필요가 있다”며 “여기에 '제로 트러스트(Zero Trust)'처럼 새로운 방법을 빠르게 적용할 기반을 다져야 한다”고 밝혔다. 제로 트러스트는 '절대 믿지 말고 항상 검증하라'는 개념이다. 외부 망은 당연하고 내부 망도, 모든 망은 해킹됐다고 전제하고 접근을 제한한다. 강병탁 AI스페라 대표는 “정부가 서비스형 소프트웨어(SaaS)를 전략적으로 투자할 자산으로 봐야 한다”며 “한국 공공기관이 여전히 구축에만 의존하는 데 반해 해외는 이미 SaaS 중심으로 AI를 도입한다”고 전했다. 이어 “한국은 SaaS를 도입하는 예산을 아예 편성하지 않는다”며 “SaaS를 비용으로 여긴다”고 분석했다. “디지털 안전은 곧 국민의 삶” 학계는 더 다양한 생각을 내놨다. 박영호 한국정보보호학회장(세종사이버대 정보보호학과 교수)은 '디지털 국민복원력 법(가칭)'을 새 정부에 제안했다. SK텔레콤 해킹 사례에서 보듯 사이버 사고는 개인정보 유출을 넘어 온국민이 불편하고 불안해지기 때문이다. 박 교수는 “디지털 안전은 곧 국민의 삶”이라며 “현행 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'과 '전자정부법' 등은 기술과 공공기관 관리를 집중하지, 국민 복지는 뒷전”이라고 짚었다. 이어 그는 “통신·금융·의료 등을 '사이버 공공재'로 지정하고서 사고 피해자에게 금융을 지원하고 대체 서비스를 알리고 심리 상담을 하자”며 “재난 교육처럼 사이버 위기 대응 교육을 정규화하고, 국가 주도로 AI 통합 사이버 관제탑(SOC)을 설치할 필요가 있다”고 제시했다. 염흥열 한국개인정보보호책임자(CPO)협의회장(순천향대 정보보호학과 명예교수)은 “SK텔레콤이 해킹당해 온나라가 손실 입었으니 부문별 위험을 평가하는 게 좋다”며 “국민이 인터넷 세상을 믿을 수 있어야 한다”고 말했다. 염 협의회장은 “AI 보안과 개인정보 보호에 힘쓰는 국가 체계를 확립해야 한다”며 AI 보안 산업 육성, 인력 양성, 국제 표준화 추진을 과제로 꼽았다. 김용대 한국과학기술원(KAIST) 과학치안연구센터장(전기 및 전자공학부 교수)은 “정책으로 '보안하고 싶다'는 동기를 부여해야 한다”며 “한국 보안 정책은 개인·기업·국가가 '보안하고 싶다'고 생각하고 적은 '해킹하지 말아야겠다'는 생각을 하게 하느냐”고 되물었다. 김 교수는 “'석 달에 한 차례 비밀번호를 바꾸라'기에 어딘가 적어두거나 기억하기 쉽게 숫자만 바꿔쓰는 사람이 많고, 회사는 '보안하려면 돈 든다'면서 최소 규제만 충족하려고 몇 가지 보안 장비만 설치한다”며 “과학기술정보통신부에 '침해대응과'는 있지만 '침해예방과'는 없는 현실을 봐도 일 터지고 나야 대응하는 데 급급하다”고 말했다.

2025.05.26 08:58유혜진

코인베이스, 개인정보 유출 고객에게 5500억원 보상

미국 암호화폐 거래소 코인베이스가 개인정보를 유출 당한 이용자에게 4억 달러(약 5500억원)까지 돌려주겠다고 나섰다. 23일(현지시간) 미국 잡지 와이어드에 따르면 코인베이스는 '보상 비용으로 많게는 4억 달러가 들 것'이라고 미국 증권거래위원회(SEC)에 보고했다. 지난주 코인베이스는 해킹당해 소비자 이름, 주소, 이메일 주소, 전화번호, 신분증 정보 등이 빠져나갔다고 밝혔다. 해커가 수집한 고객 정보로 연락해 코인베이스라고 사칭한 뒤 '암호화폐를 나눠주겠다'고 속이려 했다고 코인베이스는 설명했다. 또 해커가 이용자 개인정보를 빼내기 위해 내부 직원을 매수했다며 내부자는 시스템 접근 권한을 악용했다고 전했다.

2025.05.24 08:27유혜진

고학수 개보위원장 "SKT 해킹, 국민이 이미 큰 피해"

고학수 개인정보보호위원장이 SK텔레콤 해킹으로 국민이 이미 큰 피해를 당했다고 일침을 날렸다. 개인정보가 털린 데다 국민이 불안해 가입자식별모듈(USIM·유심)을 바꾸려 새벽부터 몰리는 일 모두 피해 양상이라는 입장이다. 고 위원장은 21일 서울 중구 은행회관에서 열린 '개인정보 정책 포럼' 기자간담회에서 “SK텔레콤은 역대급 사고를 냈다”며 “국민 믿음이 무너지는 매우 중대한 사건”이라고 말했다. 그는 “SK텔레콤 고객과 일반 국민 관점에서 이 사건을 바라봐야 한다”며 “회사를 믿었던 고객 2600만명이 엄청난 피해를 입었다”고 강조했다. 고 위원장은 “'피해를 증명하면~'이라는 단서를 다는 사람이 있지만, 이미 어마어마한 피해가 발생했다는 게 핵심”이라며 “개인정보 나간 것 자체가 피해”라고 지적했다. 그는 “국민이 불안한 게 또 피해”라며 “'내 전화번호 나가서 어떡하지' 불안해하고 유심 바꾸려 새벽부터 줄 서고 시간 쓰고 돈 쓰고 애쓰면서 혼란스러워한다”고 전했다. 그러면서 “이게 피해가 아니면 무엇이 피해냐”며 “자꾸 '정보 유출로 인한 피해가 없다'거나 '복제폰 못 만들어서 피해 없다'고 하지 말라”고 비판했다. 이어 “복제폰 같은 2차 피해가 터져야 피해 생겼다고 말하는 것은 잘못”이라며 “2차 피해는 당연히 이후 감시하고 최소화해야 한다”고 덧붙였다. 고 위원장은 “SK텔레콤이 피해를 막지 못했다”며 “왜 못 막았는지, 어떤 안전 조치를 안 지켰는지 개인정보위가 철저하게 조사해 SK텔레콤이 법을 어겼다면 강력히 제재할 것”이라고 밝혔다. 과징금에 대해서는 “LG유플러스와 차원이 전혀 다른 유례없는 상황”이라고 언급했다. SK텔레콤 고객 정보가 빠져나가 징벌적손해배상도 화두로 떠올랐다. 고 위원장은 “개인정보보호법에 징벌적손해배상 관련 조항이 있다”면서도 “법원이 해석한 관례는 소비자 눈높이와 달라 상당히 아쉽다”고 털어놨다. 또 “법과 제도를 고쳐야 한다고 생각한다”며 “소비자 개인이 당한 피해를 실제로 구제하는 방안을 마련하겠다”고 나섰다. SK텔레콤이 소비자에게 '개인정보가 유출됐다'고 하지 않고 '가능성이 있다'며 빠져나갈 구멍을 만든 데에도 쓴 소리를 했다. 고 위원장은 “개인적으로 굉장히 유감”이라며 “'유출 가능성', '조사 결과 나중에 필요하면 알리겠다'는 식은 개인정보보호법이 요구하는 바가 아니다”라고 주장했다. 그는 “이렇게 큰 회사가 몇 주 지날 때까지 통지하지 않은 것도 잘못”이라며 “법적으로 제때 통지하지 않으면서 그마저도 부실하게 통지했다”고 목소리를 높였다. 다만 “개인정보위는 SK텔레콤이 충실하게 이행하지 않았다고 생각해 '통지가 미흡했다'고 회사에 공문 보냈다”며 “'다시 통지하라'고 하기에는 실익이 떨어져 처분 과정에 이런 통지 내용을 반영할 것”이라고 설명했다.

2025.05.21 22:56유혜진

개인정보위 처벌 세진다···"징벌적 손해배상 수준 높일 것"

SK텔레콤(SKT)에서 2600만 개인정보가 털려 나가자 징벌적손해배상을 해야 한다는 목소리가 커졌다. 고학수 개인정보보호위원장은 21일 서울 중구 은행회관에서 한국개인정보보호책임자(CPO)협의회와 '개인정보 정책 포럼'을 열고 이같이 발표했다. 고 위원장은 “개인정보보호법에 징벌적손해배상 관련 조항이 있다”면서도 “법원이 해석한 관례는 소비자 눈높이와 달라 상당히 아쉽다”고 밝혔다. 또 “법과 제도를 고쳐야 한다고 생각한다”며 “소비자 개인이 당한 피해를 실제로 구제하는 방안을 마련하겠다”고 말했다. 현재 개인정보위는 개인정보유출 기업에 대해 과태료와 과징금만 부과하고 있다. 강대현 개인정보위 조사총괄과장도 “징벌적 손해배상 수준으로 처벌 수위를 높여 정보주체가 당한 피해를 실질적으로 구제하겠다”며 “구체적으로 피해를 보상하는 방안과 과징금을 부과하는 기준을 연계하도록 추진할 것”이라고 강조했다. 고낙준 개인정보위 신기술개인정보과장은 “기업이 정보주체 피해를 보상하면 과징금을 감면하는 방법을 생각하고 있다”며 “과징금과 과태료만으로는 실제 피해를 구제하는 데 한계가 있다”고 지적했다. 그러면서 “SK텔레콤이 개인정보를 암호화하지 않았던 게 문제”라며 “법정 의무 암호화 대상이 아닌 개인정보도 암호로 만들었다면 개인정보가 유출됐다고 해도 과징금을 줄여줄지 검토하고 있다”고 덧붙였다. 개인정보위는 이런 대책에 각계각층 의견을 받아 다음 달 방침을 확정하기로 했다. 아울러 SK텔레콤 사고로 큰 위기를 맞았다고 봤다. 강 과장은 “최근 개인정보 유출 사고는 해킹 같은 사이버 범죄로 규모가 커졌다”며 “작은 물구멍이 커져 댐이 무너지듯 일어난다”고 짚었다. 지난달 국내에서 유출된 개인정보는 SK텔레콤 2500만건에 기타 1100만건을 더한 3600만건으로, 지난해 3배다. 지난해에는 1377만건 빠져나갔다. 고 과장은 “SK텔레콤 고객 정보 유출 사고는 인공지능이 발전하는 시대 핵심인 믿음을 무너뜨린 중대한 사건”이라며 “100만명 이상 개인정보를 취급하는 기업을 중심으로 새로운 기준을 적용하려고 한다”고 설명했다.

2025.05.21 22:55유혜진

"SKT, FDS 있어 불법복제폰 불가능"···보안 전문가 평가는?

과학기술정보통신부가 SK텔레콤 해킹 사고와 관련해 19일 2차 조사 결과를 발표하면서 “복제폰 피해 가능성은 없다”고 다시 한번 강조했다. 이날 류제명 과기정통부 네트워크정책실장은 SK텔레콤 침해 사고 관련 민관합동조사단 중간 조사 결과 브리핑에서 “단말기고유식별번호(IMEI)가 해커에게 공격받은 정황이 발견됐다”면서도 “이를 통해 스마트폰을 복제하는 것은 물리적으로 불가능하다”고 말했다. 제조사가 보유한 15자리 인증 번호 정보가 없으면 복제할 수 없다는 얘기다. 류 실장은 “희박한 가능성으로 복제폰이 만들어졌더라도 SK텔레콤의 비정상인증차단시스템(FDS)으로 네트워크 접속이 완벽히 차단된다”고 덧붙였다. SK텔레콤도 사태 내내 FDS가 있어 복제폰에 따른 개인정보 유출 사고 피해는 없다는 입장이다. 과연 그런지 지디넷코리아가 보안 전문가들에게 물어봤다. SK텔레콤은 FDS를 최고 수준으로 격상해 운영한다고 밝혔다. FDS는 Fraud Detection system 약어다. 직역하면 사기 탐지 시스템이다. 이동통신 부문에서는 비정상 인증을 차단하는 시스템으로 쓴다. 류정환 SK텔레콤 네트워크인프라센터장(부사장)은 19일 서울 중구 삼화타워에서 브리핑을 열고 “기존 'FDS 1.0'이 불법 유심을 막는 서비스라면 'FDS 2.0'은 불법 복제 단말도 차단한다”고 말했다. SK텔레콤은 FDS를 자체 개발한 것으로 알려졌다. 정보보호 전문가들은 SK텔레콤 주장을 믿을 만하다고 봤다. 다만 보안하는 데 '0% 가능성'이나 '100% 안심'은 없다고 했다. SK 정보보호혁신특별위원회 자문위원인 김용대 한국과학기술원(KAIST) 전기및전자공학부 교수는 “SK텔레콤은 FDS를 자체 개발해 2년 이상 운영했다”며 “이동통신망에서 생기는 이상 현상을 탐지하려면 다른 보안 회사 제품으로는 안 된다”고 설명했다. SK 정보보호혁신특별위원회 자문위원은 SK그룹이 정보 보호 활동을 하면서 잘못한 점을 지적하고 기술을 조언하는 역할을 한다. 김용대 교수는 10년 넘게 이동통신 관련 보안 논문을 썼다. 김승주 고려대 정보보호대학원 교수는 “SK텔레콤이 자체적으로 FDS를 만들어 쓰고 있다”며 “수준이 꽤 높다”고 평가했다. 한 보안 회사 대표는 “기업이 어떤 보안 제품을 쓰는지 일반적으로 공개하지 않는다”며 “'해커 먹잇감이 된다'고 생각하기 때문”이라고 전했다. SK텔레콤은 FDS 2.0으로 유심이 복제됐는지 가려낼 수 있다고 주장했다. 김용대 교수는 “SK텔레콤 고유 정보가 있는 유심인지 아닌지 FDS 2.0이 판별한다”며 “복제된 유심은 SK텔레콤 고유 정보를 다 담지 못해 인증을 통과할 수 없다”고 분석했다. 김승주 교수는 “SK텔레콤에 악성 코드가 처음 설치된 게 3년 전이라면 그때부터 정보가 유출되기 시작했다고 봐야 한다”면서도 “그때는 지금처럼 FDS가 고도화하지 않았지만 지난 3년 동안 복제폰으로 인한 금융 계좌 해킹 신고는 접수되지 않은 것으로 안다”고 전했다. 김휘강 고려대 정보보호대학원 교수는 “SK텔레콤이 내부에서 사용하는 FDS 탐지 알고리즘을 외부에 공개하기 어려울 것”이라며 “알고리즘이 노출되는 순간 해커에게 좋은 정보가 된다”고 설명했다. 그래서 “SK텔레콤이 쓰는 FDS 2.0 상세 정보가 없다”며 “안전한지를 판단할 수 없다”고 들려줬다. 순천향대 정보보호학과 명예교수인 염흥열 한국개인정보보호책임자(CPO)협의회장은 “기존 유심 보호 서비스에 기능이 향상된 FDS를 이용하면 불법 복제폰을 차단할 수 있을 것 같다”면서도 “SK텔레콤도 복제폰이 만들어질 가능성이 0은 아니라고 했듯 최악의 경우를 고려해 FDS가 적절히 동작하도록 하고, 유심을 바꾸는 추가 조치가 필요하다”고 강조했다. 세종사이버대 정보보호학과 교수인 박영호 한국정보보호학회장은 “FDS는 사용 양상이 평소와 다른지 살펴 불법 복제폰을 판단하는 기술”이라며 “어느 정도 방어할 수 있지만 완전히 막을 수는 없다”고 분석했다. 또 다른 보안 기업 대표도 “보안 업계에서 100% 막을 수 있다는 말을 할 수 없다”며 “FDS로 보안 확률을 높일 수는 있다”고 말했다.

2025.05.20 16:01유혜진

[보안리더] 이창복 토스 CPO "한국, 개인정보보호 선진국"

토스는 1명이 1개 계정으로 1개 기기에서만 쓸 수 있어요. 기존 비밀번호와 함께 휴대폰 본인 확인 절차로 부정 로그인을 막고요. 앱을 다시 설치하면 신분증, 1원 인증(1원을 입금받으며 표시된 문자를 써 확인하는 인증), 핀번호 인증을 해야 합니다. 이상거래감지시스템(FDS)도 365일 24시간 동작해요. 기기나 비밀번호를 바꿀 때, 큰돈을 보낼 때, 누군가에게 처음 송금할 때, 어딘가에서 처음이나 많이 결제할 때 일단 한 번 막습니다. 요새 화제된 'BPF 도어(Berkeley Packet Filter Door)' 기법에 대응하고, 비슷하게 해킹하려는 시도를 알아채면 그 인터넷프로토콜(IP)을 바로 차단해요. 이창복 토스(운영사 비바리퍼블리카) 개인정보보호책임자(CPO)는 최근 지디넷코리아와 만나 토스의 개인정보 보호 장치를 이같이 밝혔다. CPO(Chief Privacy Officer)는 개인정보보호법에 따라 개인정보 처리 업무를 총괄하는 책임자다. 서비스 기획부터 개인정보 수집, 이용, 보관, 제공, 파기 기준을 세우고 이를 지키는지 관리한다. 개인정보임원으로 CPO 외에 정보보호최고책임자(CISO·Chief Information Security Officer)도 있다. CISO는 CPO보다 더 넓은 개념이다. 전자금융거래법에 따라 개인정보는 물론이고, 경영 정보와 회사 시스템이 안전하도록 해킹 대응, 서버·컴퓨터(PC) 보안, 접근 통제 등을 한다. 이 CPO는 “개인정보 보호 활동과 정보 보호 활동이 겹치기도 해 대부분 회사에서 한 사람이 CISO와 CPO를 모두 맡는다”면서도 “토스는 다양한 서비스를 많은 고객에게 제공하는 만큼 개인정보를 더 철저하게 지키려고 CPO가 따로 있다”고 말했다. 토스는 CPO 조직을 독립해 10명 이상 인력을 뒀다. 토스는 앱 하나로 은행·증권·결제 등 100가지 이상 서비스를 이용하는 종합 모바일 금융 플랫폼, 슈퍼앱이다. 그만큼 서비스마다 개인정보를 관리하는 게 중요하다. 토스 개인정보보호팀은 우선 회사 전체의 개인정보 관리 체계를 관리하는 정책을 만든다. 이후 서비스별 의사결정권자(DRI·Directly Responsible Individual)가 책임지고 일한다. 이창복 CPO는 “토스는 개인정보 보호 솔루션을 직접 기획하고 만든다”며 “회사 실정에 맞는 솔루션을 비교적 빠르게 만들 수 있다”고 설명했다. 그러면서 “다른 회사에서 일할 때에는 외부에서 개인정보 보호 솔루션을 도입해 회사 요건에 맞추려니 원하는대로 나오지 않는 경우가 많았다”며 “그렇더라도 시간이 많이 걸렸다”고 들려줬다. 이 CPO가 토스에 입사한 이유 중 하나는 그의 아이들이다. 이 CPO는 “대학생 2명, 중학생 1명, 이렇게 아이들 셋이 모두 금융앱으로 토스를 쓴다”며 “내가 권하지도 않았는데 모두 똑같이 토스를 쓰기에 '왜 토스 쓰냐' 물으니 '토스가 편해서 친구들도 쓴다'더라”고 했다. 이어 “'전통 금융에 머물러서는 발전에 한계가 있겠다'고 생각했다”며 “미래 세대가 쓰는 회사에서 마침 입사 제안을 받아 옮기게 됐다”고 덧붙였다. 토스 20대 가입자는 556만명이다. 지난 3월 기준 행정안전부 주민등록인구통계와 연령별 토스 가입자 수를 따지면 20대의 94%가 토스를 쓴다. 토스 30대 가입자는 570만명이다. 30대의 86%가 토스를 쓴다. 40대 토스 가입자는 583만명으로, 40대의 75%가 토스를 사용한다. 가족이 서로 지켜주는 서비스도 토스에 있다. '가족 보안 지킴이'다. 가족이 거래하는 게 보이스피싱, 명의 도용, 도박 같은 금융 사기로 의심되면 사고 유형과 발생 일자를 내 토스 앱에서 알려준다. 가족이 사기 의심 계좌에 돈 보내려 하면 송금을 막을 수 있다. 예를 들어 내 스마트폰에 설치한 토스 앱에서 어머니 연락처를 선택해 가족 보안 지킴이를 신청하면 된다. 어머니가 당신 스마트폰에서 수락하면 그 전화기로 일어나는 명의 도용이나 사기 의심 계좌 송금 건이 내 스마트폰 토스 앱으로 공유된다. 가족이 위험한 상황을 빠르게 알아챌 수 있다는 게 장점이다. 이후 경찰 등에 신고해야 한다. 이 CPO는 “토스 가족 보안 지킴이는 알람 기능만 있을 뿐 다른 기기를 통제하지는 못한다”며 “정보가 연쇄 유출될 가능성은 없다”고 강조했다. 금융 서비스를 쓰려면 '내 개인정보를 제공하는 데 동의한다'고 필수로 표시해야 한다. 동의서를 쓰는 게 요식행위란 지적도 나온다. 이 CPO는 이에 대해 “요식행위라고 생각하지 않는다”며 “다만 기업은 동의서를 생성하는 데에서 나아가 개정할 때에도 객관적으로 검토했음을 기록해야 한다”고 주장했다. 또 “언제든 본인이 동의한 내용을 고객이 확인할 수 있게 해야 한다”며 “토스는 동의서를 체계적으로 생성·변경하고, 약관과 개인정보 처리 동의를 통해 본인 동의 현황을 확인할 수 있다”고 안내했다. 소비자는 정보 주인으로서 나서야 한다. 이 CPO는 “그래도 요즘에는 '내 정보를 마케팅에 쓸 수 있다'는 등의 선택 동의를 표시하지 않거나 선택 동의 내용을 꼼꼼하게 읽어보는 금융 소비자가 많아졌다”며 “소비자가 권리를 외치면 기업은 더 철저하게 개인정보를 검토하고 관리할 것”이라고 내다봤다. 한국은 개인정보 보호라면 선진국이라는 입장이다. 이 CPO는 “개인정보보호법, 신용정보법, 정보통신망법 등을 갖췄다”며 “현장에서 개인정보를 지키는 노력이 더해지면 지금보다 강한 나라로 거듭날 것”이라고 기대했다. 아래는 이창복 CPO 약력 1993~2002 중앙대 산업정보학 2024~ 단국대 IT법학 석박통합과정 현대카드·현대캐피탈 정보보호팀장 롯데카드 정보보호실장(CISO·CPO) 한국개인정보보호책임자협의회 운영위원

2025.05.19 22:10유혜진

[보안리더] 조현숙 이사장 "코드게이트, 데프콘처럼 키우고 싶어"

코드게이트는 대한민국을 대표하는 국제 해킹 방어 대회이자 세계적인 정보 보안 행사입니다. 단순한 대회를 넘어 보안 인재를 발굴하고 국내외 보안 산업 발전에 기여하고 있습니다. 조현숙 코드게이트보안포럼 이사장은 최근 경기 성남시 코드게이트보안포럼 사무실에서 지디넷코리아와 만나 이같이 밝혔다. 2008년 김상철 한컴그룹 회장이 세계적인 보안 인재를 양성하겠다는 목표로 코드게이트를 만들었다. 현재 과학기술정보통신부가 주최하고, 코드게이트보안포럼이 주관한다. 조 이사장은 “코드게이트는 세계 3대 해킹 방어 대회”라며 “미국 정부가 지원하는 '데프콘'처럼 키우고 싶다”고 말했다. 올해 17회를 맞은 코드게이트는 오는 7월 10일부터 이틀 동안 서울 삼성동 코엑스에서 열린다. 온라인 예선전에 66개국 2778명이 참가했다. 일반부와 주니어(학생)부 각각 15시간 경합해 40개팀이 본선에 진출했다. 조 이사장은 “일반부에서 한국·중국·베트남·일본 등 아시아가 강했다”며 “상위권 간 점수가 비슷해 본선에서 더 치열하게 경쟁할 것 같다”고 예상했다. 그는 “매년 세계 50개국 이상에서 뛰어난 화이트 해커(white hacker)가 코드게이트에서 실력을 겨룬다”며 “정보 보안 전문가, 기업, 정부, 학계도 지식을 공유해 보안 산업에 긍정적인 영향을 주고 있다”고 설명했다. 화이트 해커는 착한 해커다. 서버 취약점을 연구해 해킹을 막을 법을 찾는다. 나쁜 의도로 해킹해 돈을 요구하는 블랙 해커(black hacker)와 반대된다. 특히 조 이사장은 “세계에서 처음으로 국제 주니어 해킹 방어 대회를 만들었다”며 “코드게이트에서 인정받은 참가자가 국내 사이버 보안 스타트업을 설립하는 하면 여러 기관에서 활약하고 있다”고 강조했다. 그러면서 박찬암 코드게이트 우승자가 스틸리언을, 박세준 코드게이트 최다 우승자가 티오리를 창업했고 신정훈은 신기랩스 대표로 활동한다고 전했다. 2022년 코드게이트 주니어부 우승자는 한국과학기술원(KAIST) 특기자 전형으로 합격했다. 코드게이트 주니어부에는 만 19세 미만이 출전할 수 있다. 올해는 실습 프로그램이 새로 생겼다. 이 가운데 '안드로이드 유저랜드 및 커널 퍼징과 익스플로잇' 과정은 보안 취약점을 어떻게 발견하고 공격에 활용할 수 있는지 배우는 시간이다. 참가자는 '퍼징'이라는 자동화 기법으로 취약점 원리를 이해하고, 여러 취약점을 조합해 실제 공격 흐름을 만들어 볼 수 있다. 침해 사고에 쓰인 악성 코드나 공격 도구를 분석하는 기법도 배울 수 있다. 조 이사장은 “산업계, 학계, 연구계가 코드게이트에서 만나 기술을 교류한다”며 “코드게이트는 국내 보안 소프트웨어 산업이 성장하도록 토대를 다지는 데 기여했다”고 자평했다. 이어 “전문가 뿐 아니라 일반인도 해킹 방어 대회와 해킹 체험 프로그램, 어린이 학교 등에 참여한다”며 “앞으로도 인재 양성에 힘써 사회가 보안에 관심 가지도록 최선을 다하겠다”고 덧붙였다. 아래는 조현숙 이사장 약력 1979 전남대 수학교육 학사 1989 충북대 컴퓨터 석사 2001 충북대 컴퓨터 박사 한국전자통신연구원(ETRI) 사이버보안연구본부장 국가보안기술연구소장

2025.05.18 13:07유혜진

"북한 해커, 위장취업해 北 송금"…메일 1천개 적발

북한 해커가 위장 취업해 번 돈을 북한으로 송금하고 있다. 16일(현지시간) 미국 잡지 와이어드에 따르면 해외 정보보호 기업 디텍스는 최근 북한 해커가 쓴 것으로 확인된 이메일 주소 1천개를 적발했다. 이는 지금까지 알려진 북한 해커 활동 중 가장 큰 규모라고 와이어드는 추정했다. 북한 해커는 세계 정보기술(IT) 산업에서 활발하게 활동하는 것으로 전해졌다. 도용된 신원을 사용하거나 합법적인 것처럼 보이는 가짜 신분을 만들어 외국 회사에 취업한다. 실제로는 북한 군과 정보기관에 속한다. 조사 결과 북한 김정은 정권은 해커에게 수입 할당량을 정해 놨다. 한 달 5천 달러(약 700만원) 벌면 200달러(약 28만원) 가져갈 수 있다. 4%만 손에 쥔다는 얘기다. 나머지 96%는 북한 정권에 넘어간다. 그래도 북한 해커는 북한에서와 비교하면 호화롭게 살 수 있다. 디텍스는 라오스에서 활동한 북한 해커 2명의 신원을 공개했다. 이들은 '나오키 무라노'와 '젠슨 콜린스'라는 가명을 썼다. 이들이 스테이크에 와인을 곁들여 저녁을 먹고, 호화로운 개인 수영장에서 느긋하게 시간을 보내는 사진이 포착됐다. 무라노는 지난해 암호화폐 회사 델타프라임이 당한 600만 달러(약 84억원) 탈취 사건에 연루됐다. 디텍스는 북한의 사이버 작전은 러시아나 중국 같은 나라와 비교할 수 없는 정도라고 분석했다. 북한은 국가가 승인한 범죄 조직으로 운영하기 때문이다. 디텍스는 북한 해커의 모든 활동이 정권 자금 지원, 핵무기 개발, 정보 수집을 위해 이뤄진다고 설명했다. 또 북한이 서양 국가와 기업에 세계에서 가장 정교하고 위험한 사이버 위협을 가한다고 평가했다. 미국 연방수사국(FBI)은 북한이 가상자산 거래소 바이비트에서 15억 달러(약 2조원)를 훔치며 사상 최대 암호화폐 절도를 저질렀다고 지난 2월 발표했다.

2025.05.17 07:07유혜진

[현장] 방진복 입었나 보안경 썼나 AI가 스캔해 "통과"

"검사 통과! 검사가 완료되었습니다. 청정 구역 안으로 입장해 주세요." 방진복을 입은 사람이 검사기 앞에 똑바로 섰다. 카메라로 스캔하더니 화면에 '통과했다'는 말이 나온다. 보안경을 쓰고 방진복을 제대로 입었으니 먼지 한 톨 허용하지 않는 산업 현장에 들어가도 된다는 뜻이다. 국내 인공지능(AI) 기업 씨이랩 직원이 16일 서울 삼성동 코엑스에서 열린 국제인공지능대전(AI엑스포)에서 이렇게 시범을 보였다. 씨이랩은 이번 전시에 '엑스아이바(XAIVA)'와 '엑스아이바 온디바이스(On-Device)'를 들고 나왔다. 이날 직원이 시연한 제품이 엑스아이바 온디바이스다. '기기에 탑재된 AI'라는 의미다. 공장에 들어가기 전 복장을 갖췄는지 AI가 검사한다. 제대로 입었으면 '통과해도 좋다'고 나온다. 그렇지 않으면 '10분 뒤 다시 검사 받기'를 권한다. 한 번 검사 받을 때마다 1초도 채 걸리지 않았다. 이 모든 과정을 기록해 보고서도 써 준다. '어느 직원이 한 번에 통과했다', '누구는 방진복을 제대로 입지 않았다, 몇 시 몇 분 다시 도전해 통과했다', '또 다른 이는 재검사조차 받지 않았다'는 내용이 담긴다. 사진도 포함된다. 최원준 씨이랩 마케팅팀장은 “AI를 안 써 본 사람은 '정말로 사람이 검사하는 일을 대체할 수 있느냐'고 의심한다”며 “씨이랩 엑스아이바 온디바이스 정확도는 98%로, 충분히 보완할 수 있다”고 말했다. 씨이랩은 엑스아이바 온디바이스를 올해 출시했다. 최 팀장은 “지난해 관람객이 'AI 기술이 신기하다'고 돌아갔다면, 올해에는 '실제로 사업에 쓰면 무슨 점이 좋을지' 알아봤다”며 “이번에 처음 선보인 엑스아이바 온디바이스 앞에 서 보는 사람이 많았다”고 전했다. 특히 “바이오 산업 관계자가 엑스아이바 온디바이스에 대해 물어봤다”며 “지방자치단체와 공기관 사람들은 엑스아이바에 관심을 나타냈다”고 들려줬다. 엑스아이바는 AI 기반 지능형 영상 분석 플랫폼이다. 폐쇄회로텔레비전(CCTV)에 들어가는 소프트웨어(SW)다. 작업자가 안전한지 24시간 점검한다. 작업복을 제대로 입었는지, 허가되지 않은 보안 구역을 드나드는지 나타낸다. 최 팀장은 “작업자가 이상한 행동을 하는지 감지하고, 안전 사고나 화재도 예방할 수 있다”고 소개했다. 씨이랩은 국내 기업이라는 장점을 살려 고객 맞춤 제품을 공급하기로 했다. 최 팀장은 “씨이랩 연구소는 현장 환경에 맞춘 제품을 개발할 것”이라며 “현장에서 생기는 위험 상황을 미리 파악해 사고를 막고, 생산성을 높이겠다”고 강조했다.

2025.05.16 15:28유혜진

[현장] 나무 비집고 농약 '칙칙'…'로봇개'는 사람 졸졸

“와! 로봇개다!” 15일 서울 삼성동 코엑스에서 열린 국제인공지능대전(AI엑스포)에서 딱딱거리며 걷는 로봇개가 관람객 눈길을 끌었다. 발길도 따랐다. 사람들은 “로봇개가 신기하다”고 따라가며 사진과 영상을 찍어댔다. 이 로봇개는 국내 인공지능(AI) 기업 마음AI가 개발한 소프트웨어(SW)를 입은 피지컬 AI(Physical AI)다. 피지컬 AI는 몸통이 있는 AI로, 쉽게 말해 로봇이다. 휴머노이드(인간 형태 로봇)와 자율주행 자동차가 대표적이다. 공항에서 마주치던 안내 로봇이나 식당에서 음식을 나르는 서빙 로봇처럼 생긴 로봇 '에이든'도 있었다. 마음AI 직원이 “잔디 밟고 가”라고 명령하자 에이든은 잔디를 밟고 앞으로 나갔다. 반대로 직원이 “잔디 피해 가”라고 하니 이 로봇은 잔디를 피해 옆으로 돌아갔다. 마음AI는 해마다 AI엑스포에서 제품을 소개한다. 올해 처음 들고 나온 제품은 자율주행 농기계다. 이는 과수원에서 나무 사이를 비집고 다니며 농약을 뿌린다. 유태준 마음AI 대표는 “카메라로 찍으면서 나무를 피해 농약을 뿌리는 자율주행 농기계는 우리 제품이 세계 최초”라고 말했다. 유 대표는 “강원 영월군 복숭아 과수원에서 현장 시험 중”이라며 “검증이 끝나면 한국·일본과 동남아시아로 뻗어나갈 것”이라고 강조했다. 그는 “이미 국내 과수원에 100대를 직접 납품하기로 계약했다”며 “인도네시아와도 계약했고, 일본 농기계 회사와는 계약을 추진하고 있다”고 들려줬다. 그러면서 “바퀴는 탱크처럼 생긴 무한궤도”라며 “도랑에 빠지지 않고 질퍼덕거리는 땅에도 걸리지 않는다”고 설명했다. 이어 “마음AI 소프트웨어를 지뢰탐지기에 넣으면 국방에 활용할 수 있다”며 “건설 현장에서도 쓸 수 있다”고 덧붙였다. 마음AI는 '사회적 약자를 위한 무인 정보 단말기(배리어 프리 키오스크·Barrier Free KIOSK)'도 선보였다. 상판에 점자가 있고, 화면에는 수어로 표현하는 캐릭터가 나온다. 휠체어가 다가오면 알아서 높이를 낮춘다. 유 대표는 “공공·의료·교육 현장에서 우선 적용하고 있다”며 세브란스병원을 예로 들었다. 올해 초 장애인차별금지법이 개정돼 100인 미만 사업장도 키오스크를 쓴다면 배리어 프리 제품을 도입해야 한다. 마음AI의 AI콜센터(AICC)는 한국과 일본 최고 자동차 회사가 각각 전시장에서 상담하는 데 쓰고 있다. 손님이 콜센터에 전화해 “무슨 차 색깔 어떤 게 있느냐”고 물으면 “안녕하세요? H사 AI 상담원입니다. 문의하신 차량의 외장 색깔은 무광 검정, 유광 검정, 유광 회색, 흰색이 있습니다. 더 확인하고 싶은 점을 알려주세요.”라고 답한다.

2025.05.15 17:15유혜진

카스퍼스키 "SKT 해킹, 이렇게 하면 막을 수 있었다"

러시아 정보보호 기업 카스퍼스키는 14일 기자간담회를 열고 "SK텔레콤(SKT) 같은 대형 해킹 사고는 발생하기 전 다크웹(Dark web)에서 징조가 나타난다"고 밝혔다. 다크웹은 인터넷을 쓰지만, 접속하려면 특정 프로그램을 사용해야 하는 웹을 가리킨다. 이날 아드리안 히아 카스퍼스키 아시아·태평양지역 사장은 서울 여의도 페어몬트호텔에서 열린 기자간담회에서 “SK텔레콤 사태를 포함해 최근 몇 달 동안 심각한 침해 사고가 한국은 물론이고 일본과 싱가포르에서도 나타났다”며 “카스퍼스키가 날마다 새롭게 찾은 바이러스는 2023년 40만개에서 2024년 47만개로 20% 늘었다”고 말했다. 그는 “이렇게 급증하는 이유는 북한 라자루스 같은 사이버 범죄 집단이 인공지능(AI)을 기반으로 수준 높은 공격을 하기 때문”이라며 “방화벽 하나로 막다가 '위험하다'니까 2개, 3개, 10개로 막는 데만 급급해서이기도 하다”고 지적했다. 카스퍼스키는 고객에게 “왼쪽으로 가라”고 조언한다. 더 앞으로 가서 예방하라는 뜻이다. 히아 사장은 “SK텔레콤처럼 심각한 사고가 터지기 앞서 다크웹을 살펴보면 징조를 미리 알아챌 수 있다”며 “해커를 겨냥한 스파이 역할을 하면 된다”고 조언했다. 그러면서 “카스퍼스키는 사이버 범죄 조직 동향을 알아둔다”며 “라자루스가 요새 무엇을 하는지 끊임없이 추적한다”고 설명했다. 또 “요즘 라자루스는 공격 형태를 바꿨다”며 “고객 환경을 바로 뚫고 들어가려 시도하기보다 공급망에 덫을 놓고 침투한다”고 전했다. 이어 “해커는 새롭게 공격하기 전에 모여서 채팅하고 제안을 주고받는다”며 “이런 침해 징조를 다크웹에서 찾으려고 한다”고 덧붙였다. 이효은 카스퍼스키 한국지사장은 “카스퍼스키에 다크웹을 집중해 살펴보는 '디지털 발자국 전문가'라는 직무가 있다”며 “해킹 징조를 알아보기도 하지만, 해커가 이후 '무엇을 털었다'거나 '현상금 얼마 걸었다'고 자랑하는지도 알 수 있다”고 강조했다. 카스퍼스키는 믿음직한 사이버 보안 기업이 되고자 '글로벌 투명성 이니셔티브(Global Transparency Initiative)'를 추진한다. 서울과 일본 도쿄, 이탈리아 로마, 스위스 취리히, 말레이시아 쿠알라룸푸르 등 세계 13개 도시에서 투명성센터를 운영한다. 고객과 협력사가 카스퍼스키 제품의 소스 코드, 위협 탐지 기술, 업데이트 시스템 등을 직접 검토할 수 있다. 이 지사장은 “러시아에 본사를 뒀다는 지정학적 문제 때문에 미국 같은 외국으로부터 억울하게 왜곡되는 경우가 종종 있다”며 “오해와 편견을 미리 불식시키려고 투명성센터 13곳을 운영한다”고 밝혔다. 그는 “관심있는 누구나 카스퍼스키 소프트웨어 소스 코드를 볼 수 있다”며 “이렇게 자신있고 당당하게 개방한 보안 회사는 세계에 카스퍼스키밖에 없다”고 강조했다. 히아 사장도 “뒷문(Backdoor)이 전혀 없다는 사실을 보여주려고 투명성센터를 세웠다”고 첨언했다. 백도어는 정상적인 보호·인증 절차를 우회해 정보통신망에 접근할 수 있도록 설치되는 프로그램이나 기술적 장치를 의미한다. 카스퍼스키는 러시아 업체라는 점을 오히려 강점으로 내세우기도 했다. 히아 사장은 “카스퍼스키는 세계 모든 지역에서 활동하는 유일한 정보보호 기업”이라며 “러시아와 중국과 북한까지 포함하는 회사는 카스퍼스키밖에 없다”고 소개했다. 그물을 넓게 칠 수 있어 경쟁사보다 탐지 역량이 뛰어나다는 입장이다. 카스퍼스키는 국제형사경찰기구(ICPO·인터폴) 및 각국 법 집행 기관과도 손잡았다. 히아 사장은 “카스퍼스키는 현지 위협에 대응하고 예상하고자 그 지역 인력에 투자한다”며 “삼성과 SK 등도 고객이라 북한 위협을 막고 중요한 자산을 관리하기 위해 한국 정부와도 협력한다”고 언급했다. 히아 사장은 “고객으로부터 '카스퍼스키는 AI를 어떻게 활용하느냐'는 질문을 받곤 한다”며 “14년 전부터 머신러닝 기술로 매일 47만개 넘는 바이러스를 발견·분석·차단한다, 이는 사람이 감당하기 힘든 숫자”라고 부연했다. 카스퍼스키는 1997년 설립 이래 6개 대륙 200개국에 30개 지사를 뒀다. 22만개사 4억명 고객의 10억개 기기를 지켰다. 이 가운데 아시아 33개국에 협력·총판사가 3천개 이상. 한국 협력사는 200개사 넘는다. 카스퍼스키는 엔드포인트 보호를 비롯해 클라우드 보안, 운영기술(OT) 보안, 위협 인텔리전스(Threat Intelligence) 등을 제공한다. 사이버 위협 인텔리전스(CTI), 인공지능(AI), 글로벌 리서치·분석팀(GReAT), 위협 분석, 운영기술(OT) 보안 센터도 운영한다. 지난해 카스퍼스키는 1년 전보다 11% 늘어난 8억2천200만 달러(약 1조1천823억) 매출을 달성했다. 역대 최고 실적이다. 이날 기자간담회는 카스퍼스키 연례 보안 설명회 '사이버 인사이트'를 앞두고 진행됐다. 카스퍼스키는 15일 서울 여의도 콘래드호텔에서 열리는 이 행사에 100개 고객사, 온라인에서도 1천500개사가 참여한다고 내다봤다.

2025.05.14 17:48유혜진

Prev 1 2 3 4 5 6 7 8 9 10 Next