검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'KISA'통합검색 결과 입니다. (84건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

구원투수로 나선 KISA..."BoB, 제대로 준비하겠다"

차세대 보안리더 양성 프로그램(Best of the Best·BoB) 운영 주체가 변경되는 과정에서 직원·학생들의 피해가 누적되는 가운데, 새롭게 BoB 사업을 맡게 된 한국인터넷진흥원(KISA)의 향후 운영 방안에 관심이 쏠린다. 1일 보안업계에 따르면 KISA는 현재 BoB 운영 방안을 심도 있게 논의하고 있는 중이다. 지난 14일을 시작으로 BoB 책임 멘토와 세부적인 운영 계획을 비공개로 수립하고 있다. 단발성 회의에 그치는 것이 아니라 현재까지 지속적인 논의를 이어오고 있다는 것이 KISA 설명이다. '일시정지' 상태인 BoB를 다시 재생시키기 위해 KISA가 구원투수로 나선 것이다. KISA 관계자는 "먼저 BoB 14기 학생들에 대해서는 KISA 정보보호 인재 센터 쪽에서 인계받아 14기 마무리 및 새로운 15기를 맞이할 준비를 하고 있다"며 "BoB와 관계된 모든 사람들의 의견을 수렴하고 싶지만, 시간·여건상 불가능하기 때문에 BoB 책임멘토분들과 논의를 이어오고 있다"고 설명했다. 그는 "지속적인 의견 수렴을 통해 효과적이고 효율적인 교육 과정 운영을 위해 어떻게 해야 되는지 의견을 받는 자리를 갖고 있다"며 "2월 중에 결과가 나오면 공개할 것으로 예상한다"고 밝혔다. KISA가 BoB를 운영하기 위한 물밑작업 신호도 곳곳에서 포착된다. 우선 KISA는 지난 20일 경기도 성남시 판교동 BoB 사업을 운영할 기간제근로자(전문계약직) 5명을 채용한다고 밝힌 바 있다. 이들의 입사일자는 3월9일이다. BoB 교육이 7월부터 이듬해 3월까지 개최되는 점을 감안하면, 15기부터 사업을 운영할 구성원을 충원하는 작업으로 보인다. KISA 정보보호 인재 센터 홈페이지에서도 주요 교육 과정에 BoB가 포함돼 있다. 이와 관련, KISA 측은 "이번 채용은 아직 별도 조직이 구성되지 않았지만, 조직 구성과 별개로 BoB 사업을 운영해야 하는 상황이기 때문에 실질적으로 사업을 운영할 전문 계약직을 채용해 차질없이 운영하기 위함"이라며 "BoB 사업이 완전 KISA로 넘어왔기 때문에 어느 정도 교통 정리는 됐다고 보고, 운영 계획 논의에 착수한 것이며 KISA 정보보호 인재 센터 홈페이지에서도 BoB가 포함돼 있는 것을 확인할 수 있다"고 설명했다. KISA는 실전형 사이버훈련장, K-쉴드 등 정보보호 인재 양성 사업을 BoB 이관 전에도 운영한 경험이 있다. K-쉴드는 재직자를 대상으로 고도화된 사이버 위협 대응을 위해 이론과 실무를 겸비한 최고 수준의 보안 전문가를 육성하는 교육과정이다. 실전형 사이버훈련장은 사이버 공격 시나리오를 기반으로 한 모의침투 및 대응 훈련을 통해 보안 위협에 대한 실전 대응 능력을 강화하기 위한 교육과정이다. KISA 관계자는 "인재 교육은 함부로 변경할 수도 없지만 처음 교육을 구성하는 단계에서도 심혈을 기울여야 한다"며 "빠르게 BoB 사업이 재개될 수 있도록 제대로 준비하겠다"고 밝혔다.

2026.02.01 09:55김기찬 기자

"BoB 14기 피해 불가피...늦어지는 대책에 불만"

"멘토들은 차세대 보안리더 양성 프로그램(Best of the Best·BoB)에 본인 업무도 바쁘지만 봉사한다는 마음으로 참여했던 분도 있다. 이 사람들은 여전히 학생들 가르치겠다는 마음이 커서 이관 주체가 한국인터넷진흥원(KISA)으로 바뀌더라도 합류하겠다는 의지를 보였다. 반면 일부 멘토들은 KISA 요청에도 다시 BoB에 합류하지 않겠다는 사람도 적지 않다" 익명을 요구한 BoB 멘토는 29일 지디넷코리아와 통화에서 이같이 밝혔다. 한국정보기술연구원(KITRI) 재정난으로 BoB 사업 운영 기관이 KISA로 이관되는 작업이 진행되고 있는 가운데, 학생·직원 등 활동 주체들이 피해를 입은 상황에서 학생들을 실제 가르치는 멘토들 사이에서도 다시 BoB에 합류하는 것을 두고 의견이 분분한 것으로 알려졌다. BoB는 현업에 종사하고 있는 멘토와 팀을 구성해 실무 중심의 보안 역량을 키워 나가 프로젝트를 완수하는 구조다. 그러나 이번 사태로 BoB센터 직원에 이어 학생들이 피해를 입은 것은 물론, 일부 멘토들은 BoB 이관 이후 합류를 망설이고 있는 상황이다. 그는 이번 사태로 피해를 입은 BoB 14기 학생들 사이에서도 아쉬움이 있다고 설명했다. BoB 14기 학생들은 이번 사태로 교육을 제대로 끝마치지 못했다. 지난해 11월 15일부로 운영 주체가 KITRI에서 KISA로 이관되기로 결정됨에 따라 올해 1~2월로 계획된 3차 교육 등은 수강하지 못한 것이다. 또한 내년 초 예정이던 국제 사이버보안 교육 프로그램에도 참가하지 못하게 됐다. BoB의 성과 지표를 가늠할 수 있는 'BoB Best 10' 선정 역시 모든 교육을 마치고 진행하는 것이 아니라, 2차 교육까지의 결과를 바탕으로 평가될 예정이다. 현재 BoB 14기에서 조만간 'Best 10' 선정을 위한 경연이 준비 중이다. KISA 관계자는 "KISA도 준비가 되지 않은 상태에서 급작스럽게 KITRI로부터 BoB 사업을 인계받았다 보니, 일단은 KISA 사이버보안인재센터에서 14기의 남은 일정을 소화하고 있다"고 설명했다. KISA는 현재 BoB 사업 운영 방안을 두고 대책 회의에 들어간 상태다. BoB 센터 내 교육장, PC 사용 등 시설 이용에도 차질이 생겼다. KISA에서 BoB 운영 방안을 놓고 아직 결론을 내리지 못한 상황이기 때문에 시설 사용이 일시적으로 중단된 것이다. 실제 서울시 금천구에 위치한 KITRI BoB 센터는 현재 완전히 문을 닫은 상태다. 이와 관련, 이 멘토는 "현재 학생들은 3차 교육을 받지 못한 부분에 있어 아쉬워하는 분위기"라며 "교육을 완전히 받지 못한 상태에서 14기 활동을 마무리해야 한다는 점에서 불안과 아쉬움이 공존하고 있다"고 밝혔다. BoB 출신 졸업생도 "14기 BoB 교육생들이 향후 취업할 때 대외적으로 '14기는 실무 교육을 완전히 끝마치지 못한 미완성'이라고 인식될까 불안해하는 분위기도 감지된다"며 "11월 이관 결정이 내려진 이후 아직까지 확실한 결론이 내려지지 않은 상황이 이어지자 학생들은 더욱 혼란스러워 하고 있다"고 말했다. 다른 졸업생은 "KITRI에서 BoB 사업을 지금 위치까지 키워 오고, 사이버 안보를 책임지는 화이트 해커들을 2천명 이상 양성한 점은 변하지 않는다. BoB에서 이번 사태로 인한 여러 잡음이 나오더라도 KITRI의 노고를 폄하하거나 부정하고 싶지는 않다"면서도 "다만 학생, 직원, 멘토까지 여러 이해관계자가 얽혀 있는 상황에서 대책이 빠르게 나오지 않는 상황이 이어지는 것은 답답하다"고 토로했다.

2026.01.30 17:49김기찬 기자

"BoB 센터 직원들 월급·퇴직금 못받고 하루아침에 백수"

지난 27일, 서울 금천구에 위치한 차세대 보안리더 양성 프로그램(Best of the Best·BoB) 센터의 문은 굳게 잠겨 있었다. BoB 사업을 소개하는 영상만이 입구에 비치된 화면을 통해 송출되고 있었다. 보는 사람도, 듣는 사람도 없이 쓸쓸히 같은 영상만 반복되고 있었다. 기자가 찾은 이날, 한국정보기술연구원(KITRI)이 운영하던 BoB센터는 입구는 물론 모든 강의실이 잠긴 상태였다. BoB는 국가 사이버 안보를 책임지는 화이트해커를 육성하는 국내 최대 교육 프로그램이다. 지난 2013년 1기 수료생 60명을 양성한 이후 14기 교육생까지 2천명이 넘는 화이트해커를 양성했다. 이들 BoB 교육생들은 '보안 올림픽'이라 불리는 세계 최대 해킹방어대회인 'DEFCON CTF'에서 4회 우승하는 등의 성과를 냈다. BoB가 '화이트해커 산실'이라고 불리는 이유다. 이런 BoB가 흔들리고 있다. 운영 기관이 기존 KITRI에서 한국인터넷진흥원(KISA)으로 이관됐다. KITRI가 재정난으로 더 이상 사업을 운영할 수 없는 상태까지 치달으면서다. 누적 부채 및 대출 상환 부담 등 재정적 어려움이 지속돼 왔고, 급기야 지난해 11월 오전 은행의 가압류 조치까지 떨어졌다. 이로 인해 법인 계좌가 압류됐고, 자금 집행이 불가능한 상황이다. BoB에 자금을 투입할 여력이 완전히 사라진 것이다. KITRI BoB센터 연구원 "하루아침에 백수돼…노동청 신고" KITRI 재정난으로 BoB센터 사업 운영·관리 실무 직원들은 급여가 밀리거나 퇴직금을 받지 못했다. 게다가 BoB 센터가 문을 닫으면서 사실상 강제적으로 '백수' 신세가 됐다. BoB 센터에서 근무했던 한 연구원은 지디넷코리아와 통화에서 "KITRI는 지난해 10월까지만 해도 30여명의 연구원이 근무하고 있었다. 그러나 회사의 경영난으로 하나둘 퇴사하기 시작하더니 12월 말을 기점으로 경영 부문 1~2명을 제외하고는 모두 퇴사하는 지경에 이르렀다"고 말했다. 그는 "대부분의 연구원들이 퇴직금 자체를 거의 받지 못한 상황이다. 나도 12월 월급도 받지 못한 채 회사를 나왔다"며 "결국 재정 극복이 되지 않으면서 연구원이 문을 닫은 상황인데, 그간 많은 인원들이 스트레스받고 괴로워했다"고 밝혔다. KITRI의 재정난으로 직원들이 입은 피해는 퇴직금 뿐만이 아니다. 1~2년 전부터 경영난으로 급여 지급이 지연됐고, 지난해에는 임금 체불이 수차례 발생하기도 했다. 그는 "2023년 4~5월께부터 급여가 5~7일 밀려서 지급되기 시작했다. 이후 계속해서 급여 지급이 지연되는 상황이 자주 발생했다. 지난해에는 1월, 3월과 4~6월 급여 지급이 지연되기도 했다"고 말했다. 이어 "BoB 센터 직원은 12~13명 정도 됐는데 결국 하루아침에 백수가 됐다. 몇몇 직원과 소통해보면 저 뿐 아니라 대부분 쉬고 있는 상태인 것 같다"며 "현재도 퇴직금은 받지 못한 상태고, 이와 관련해 서울지방노동청에 퇴직금 미지급에 대한 신고를 했다. 현재 조사 중이다"라고 전했다. 앞서 KITRI BoB 센터 직원들은 이같은 상황과 관련, 지난 11월 입장문을 발표한 바 있다. 입장문에서 KITRI BoB 센터 직원들은 "지난 몇 년간 KITRI는 반복적 임금 체불(23·24·25년), 퇴직충당금 미적립 등 중대한 재정·회계 문제를 누적해 왔다"며 "무엇보다 안타까운 것은, 그동안 과기정통부 정보보호인력양성사업을 묵묵히 운영해 온 BoB센터 직원들이 11월 15일 이후 급여를 지급받지 못하고 퇴직금조차 온전히 마련되지 않은 상태에서 향후 고용 환경 조차 불확실한 상황에 놓여 하루아침에 직장을 잃게 된다는 점"이라고 밝혔다. 이어 "현재까지도 인력 보호 방안은 전혀 마련되지 않은 채, BoB 센터 직원들은 각자 생계를 위한 방안을 스스로 찾아야 하는 현실"이라며 "이번 사태가 다시는 반복되지 않도록 정부 산하기관 및 공직유관단체의 운영 투명성과 인력 보호 제도가 보다 강화되기를 진심으로 바란다"고 강조한 바 있다. 한편 사업을 이관받는 KISA도 BoB 사업을 두고 운영 방안 마련을 위한 회의에 돌입했다. KISA에 따르면 BoB 운영 관련 청사진을 내달께 발표할 예정이다.

2026.01.29 21:07김기찬 기자

"해킹 등 사이버상담은 118로"...KISA, 챗봇 도입 서비스 고도화

118상담센터가 있다. 해킹과 바이러스, 개인정보 침해, 불법 스팸 등 국민 생활과 밀접한 사이버 고충에 대해 365일, 24시간 무료로 상담 서비스를 제공하는 대국민 상담 창구다. 한국인터넷진흥원(KISA, 원장 이상중)은 118상담센터 개소 16주년을 맞아 사각지대 없는 디지털 안전망 구축을 위해 118상담서비스를 대대적으로 개편했다고 18일 밝혔다. 118상담센터는 최근 빈번히 발생하고 있는 대규모 개인정보 유출 사고에 대응, 맞춤형 안내로 국민 피해를 예방해 왔다. 이번 개편의 핵심은 ▲실시간 채팅 및 챗봇 상담 서비스 신규 도입 ▲'118내비게이션(118.kr)' 웹페이지 신설이다. 상담 방식을 다각화해 통화가 어려운 취약계층의 접근성을 높이고, 상담·신고·서비스 신청을 '원스톱(One-Stop)'으로 제공해 이용자 편의를 증진했다. 먼저, 실시간 채팅·챗봇 상담 서비스는 기존의 전화 위주 상담에서 새롭게 추가된 상담 방식으로, PC나 모바일에서 118내비게이션 웹페이지에 접속해 이용할 수 있다. 채팅•챗봇 상담 도입으로 이용자는 통화가 어려운 환경에서도 상담받을 수 있게 됐다. 특히 청각장애인, 외국인 등 전화상담이 어려운 취약계층의 접근성이 크게 향상될 것으로 기대된다. 118내비게이션은 여러 사이트에 흩어져 있던 상담·신고·서비스 신청 창구를 한곳에 모은 통합 웹페이지다. 이용자는 118내비게이션에서 ▲상담 방식(전화, 문자ARS, 채팅, 챗봇) ▲신고 창구(개인정보, 불법 스팸, 침해사고 등) ▲관련 서비스(스미싱 확인서비스, 털린 내 정보 찾기 등)를 한눈에 파악하고 활용할 수 있다. 한국인터넷진흥원 이상중 원장은 “AI 대전환으로 사이버 위협이 지능화되는 상황에서 국민의 사이버 고충을 신속하게 해결하는 역할이 더욱 중요해지고 있다”며 ”118상담센터가 국민이 가장 먼저 찾는 사이버 고충 상담 창구로서 더 쉽고 편리한 상담 서비스를 제공할 수 있도록 지속적으로 고도화해 나가겠다“고 밝혔다.

2026.01.19 07:58방은주 기자

KISA, 올해 예산 3552억 투입..."디지털위협 선제 대응"

한국인터넷진흥원(KISA, Korea Internet & Security Agency, 원장 이상중)이 올해 안전한 사이버강국 코리아를 위해 예산 3552억원(정부 지원 3321억+자체 수입 231억)을 투입한다. 작년(3395억 3100만원)보다 4.6% 늘었다. KISA는 최근 열린 과기정통부 산하기관 업무보고(아래 이미지)에서 이 같은 내용을 보고했다. KISA 정원은 809명으로, 현재 751명이 근무하고 있다. 특히 KISA는 오는 9월 설립 30주년을 맞는데, 올해 추진할 주요 추진과제로 ▲안전한 AI기본사회 지원 ▲정보보호 체질 개선 ▲개인정보 보호관리 체계 강화 등을 확정했다. KISA는 안전한 AI기본사회 지원을 위한 방안 4가지도 제시했다. 첫째, AI기반 침해대응 자동화 체계 구축이다. 침해사고 대응 전(全)주기에 생성형AI를 적용, 대응 시간을 단축할 예정이다. 둘째, AI모델 취약점 발굴과 분석, 모의 침투에 힘쓰며 셋째, 스미싱 등 디지털 민생위협 역기능 해소에 주력, AI기반 보이스피싱 공동 대응 플랫폼을 올해 구축하며 넷째, 대규모 침해사고에 신속 대응하기 위해 지능형 포렌식실을 구축하고 사고조사 전담인력 확보에도 나선다. 또 정보보호 체질 개선 과제와 관련해서는 첫째, ISMS와 공시 등 기업 인증 및 점검 제도를 개편하고 둘째, 지역정보보호 생태계 조성 및 사각지대를 해소하며 이를 위해 지역 중소기업정보보호지원센터를 현재 10곳에서 16곳으로 늘리는 한편 정보보호산업육성 지역클러스터도 현재 3곳에서 5곳으로 확대하며 셋째, 블록체인 기반 디지털 신뢰인프라 혁신을 위한 선도 사업을 시행한다. 이외에 개인정보보호 관리 체계 강화를 위해 가명정보 활용 절차 간소화와 우수 사례 발굴에 나서며 AI기술을 적용한 제품 취약점 점검 및 분석으로 개인정보 유출의 사전예방 체계를 강화할 예정이다.

2026.01.18 18:50방은주 기자

개보위 "의료분야 데이터 스크래핑, API로 개선해야"

개인정보보호위원회(개인정보위)와 한국인터넷진흥원(KISA)는 16일 14시 서울시 중구 프레스센터에서 '의료분야 스크래핑 대응 및 안전성 강화 토론회'를 개최했다. 이날 토론회는 의료 분야에서 쓰이는 의료분야 주요 공공기관 홈페이지에 대한 '스크래핑' 대응 및 안전성 강화 방안을 논의하기 위해 마련됐다. 스크래핑(Scraping)은 사용자로부터 ID, 비밀번호, 인증정보 등을 얻어 사용자 대신 홈페이지에 접속해 화면에 표시된 개인정보를 자동화된 프로그램으로 긁어 오는 방식을 말한다. 개인정보위는 마이데이터 본인전송요구권 확대와 본인전송의 안전성·신뢰성을 강화하기 위해 개인정보 보호법 시행령 개정을 추진하고 있다. 시행령이 개정되기 전에도 안전한 마이데이터 전송체계를 마련하기 위해 지난 4월부터 건강보험공단, 심사평가원, 질병관리청 등 스크래핑이 많이 일어나는 의료분야 홈페이지 정보전송자와 합동점검회의를 개최했고, 스크래핑 대응을 위한 홈페이지 안전성 강화 방안을 논의했다. 이번 토론회는 그간 개인정보위와 의료분야 공공기관의 논의 내용 및 추진상황을 공유하는 동시에, 스크래핑의 위험성과 개인정보 침해 가능성을 점검하고, 홈페이지 사용자인 국민의 권리행사 보장 및 안전하게 개인정보를 내려받기 위한 제도·기술적 개선 방안을 논의하기 위해 마련됐다. 패널들은 개인정보 스크래핑이 해킹의 한 방식인 '크리덴셜 스터핑'과 구분하기 어렵고, 자동화된 스크래핑 접속이 한꺼번에 몰리는 경우 다른 사용자의 홈페이지 이용을 방해한다는 점에 공감했다. '크리덴셜 스터핑'은 다크웹 등에 유출된 ID, 비밀번호 등을 자동 대입해 공격하는 해킹 방식이다. 또 개인정보위는 ▲정보주체인 개인이 기업 홈페이지에서 본인정보를 자유롭게 내려받을 수 있어야 하며 ▲이를 대리하는 대리인이 개인정보를 잘 관리할 수 있을지 사전에 확인할 수 있어야 하며 ▲기업 홈페이지 관리자는 대리인 식별 및 어떤 개인정보를 가져갔는지 기록에 남겨야 한다고 강조했다. 이를 위해 개인정보위는 국민건강보험공단, 건강보험심사평가원 등과 함께 관련된 제도 개선을 추진할 방침이라고 설명했다. 개인정보위는 스크래핑이 사용자 동의를 얻었다고 해도 과도한 정보를 수집하거나 인증 정보가 유출될 우려가 있다고 당부했다. 아울러 개인정보의 목적 외 이용 등 정보유출·오남용 위험이 높아 안전한 전송방식으로 전환할 필요가 있다고 강조했다. 개인정보위가 지목한 안전한 전송방식은 'API(어플리케이션 프로그래밍 인터페이스)'다. API는 데이터 제공기관이 사전에 정의한 표준 규격에 따라 인증 및 권한 절차를 거쳐 필요한 정보를 안정적으로 연계·전송하는 방식을 말한다. 스크래핑 방식의 위험 요인과 관련해 발제한 김동범 서울대 혁신융합대학 전문위원은 "스크래핑 방식은 사용자의 ID 및 패스워드를 그대로 받아 사용하기 때문에 목적 외로 사용할 가능성이 굉장히 높다. 이는 A라는 사이트에만 접속을 하는 것이 아니라 동일한 계정정보를 사용하고 있는 B, C 사이트까지도 데이터를 가져올 수 있다"며 "A항목, B항목 등 일부분만 가져오는 것이 수집하는 방법이 기술적으로 나올 수 없기 때문에 인증 정보의 탈취 위험이 크다"고 지적했다. 아울러 "스크래핑 방식은 인증 이중장치와 같은 방어 수단을 회피해서 다음 단계로 진입해 정보를 수집한다. 이 과정에서 서비스 장애 및 인프라 부하가 발생할 수 있고, 과도한 트래픽으로 인해 오류가 생길 우려가 있다"며 "또한 법적 및 관리적 위험성도 있는데, 지적재산법 및 웹사이트 이용약관을 위반할 소지도 있다"고 경고했다. 이 외에도 김 전문위원은 국내외 보건의료정보 관려 법령 비교 및 서비스 현황, 정책 동향 등에 대해 소개했다. 이어진 패널토의에서는 개인정보위를 비롯해 보건복지부, 국세청 등 정부기관과 국민건강보험공단 및 학계, 산업계 관계자들이 참석했다. 이날 토의는 개인 의료정보 스크래핑 위험성과 이를 대체할 API 기반의 안전한 정보 전송 체계 구축 방안을 심도 있게 논의했다. 하승철 개인정보위 마이데이터추진단장은 이날 개회사에서 "스크래핑이나 크롤링 등 이런 기술들이 아주 오래전부터 쓰였던 기술이고, 특히 제도적으로 모호한 분야에서는 비공개된 개인정보까지 끌어보는 형태까지 뿌리내려 있어 개선해야 할 여지가 있다"며 "안전의 측면에서 이번 토론회가 쟁점들을 폭넓게 다루고 좋은 해법들이 마련될 수 있었으면 한다"고 밝혔다.

2026.01.17 07:46김기찬 기자

KISA, 양자내성암호 시범사업 설명회 28일 개최

양자내성암호(PQC)는 미래 양자컴퓨터 환경에서 안전성을 확보할 수 있는 차세대 암호체계다. 현재 금융거래, 행정서비스 등 주요 디지털 서비스에 활용되고 있는 공개키 암호는 양자컴퓨터 기술이 고도화될 경우 보안 위협에 노출될 수 있어 선제적 대비가 필요한 상황이다. 한국인터넷진흥원(원장 이상중, KISA)은 과학기술정보통신부와 함께 '2026년 양자내성암호 시범전환 사업'의 본격적인 추진을 위한 사업 설명회를 오는 28일 서울 FKI타워에서 개최한다고 밝혔다. 한국인터넷진흥원과 과기정통부는 지난해부터 에너지, 의료, 행정 등 국민 생활과 밀접한 주요 산업을 대상으로 양자내성암호 시범전환 사업을 추진해 왔다. 이를 통해 양자내성암호 적용을 위한 기술적 요건과 알고리즘별 성능, 실제 적용 시 제약 사항 등 다양한 실증 데이터를 축적했다. 올해는 지난 성과를 바탕으로 교통, 국방, 금융, 우주, 통신 등 국가 핵심 산업 분야로 시범 전환 대상을 대폭 확대해 사업을 추진한다. 이번 설명회에서는 ▲2026년 사업 추진 방향 ▲기술 및 검증 요구사항 ▲지원 내용 및 참여 절차 등을 종합적으로 안내한다. 특히 호환성 문제, 성능 영향 등 전환 과정에서 발생할 수 있는 주요 이슈에 대한 질의응답도 함께 진행될 예정이다. 설명회 참가 사전 등록은 온라인 링크 또는 안내문 내 큐알 코드를 통해 신청할 수 있다. 자세한 내용은 한국인터넷진흥원 대표 누리집에서 확인할 수 있다.(https://naver.me/FUQCBmRP) 오진영 한국인터넷진흥원 정보보호산업본부장은 “AI, 양자컴퓨터 등 신기술의 급속한 발전으로 정보보안의 중요성이 더 커지고 있다"며 “양자 위협에 선제적으로 대응하고 미래 보안 시장을 선도할 혁신적인 기업과 기관의 많은 관심과 참여를 기대한다”고 말했다.

2026.01.16 08:09방은주 기자

자녀 납치 가장 보이스피싱, '속이는 법' vs '안 속는 법'

자녀 납치를 가장한 보이스피싱이 학부모를 겨냥해 진화하는 가운데, 전문가는 이 같은 범죄의 핵심이 개인정보 자체보다 '부모와 자녀를 분리하는 상황 연출'에 있다고 진단했다. 김은성 KISA 스미싱대응팀장은 “아이 이름과 연락처만으로도 범죄는 충분히 가능하다”며 “초등학생부터 부모까지 함께 교육하지 않으면 피해를 막기 어렵다”고 강조했다. 범죄는 '정보'보다 '상황'을 만든다…아이 납치 보이스피싱의 구조 김은성 팀장은 최근 확산되는 '자녀 납치 가장' 보이스피싱의 공통점으로 부모의 판단력을 무너뜨리는 상황 연출을 꼽았다. 그는 “범죄자들이 일부러 전화를 끊지 않고 쓸데없는 대화를 길게 이어가는 이유는 부모가 경찰에 신고하거나 주변에 확인하지 못하게 하기 위한 것”이라며 “통화가 이어질수록 부모는 실제로 아이와 통화 중이라고 믿게 된다”고 설명했다. 특히 범죄자들은 큰 금액이 아닌 비교적 감당 가능한 액수를 요구해 부모가 '일단 보내고 보자'는 판단을 하도록 유도하는 경우가 많다. 김 팀장은 “납치라는 단어 하나만으로 부모는 극도의 공포 상태에 빠지기 쉽다”며 “이 순간 합리적인 판단은 거의 불가능해진다”고 말했다. 보이스피싱의 표적은 더 이상 성인에 국한되지 않는다. 김 팀장은 “요즘 아이들은 스마트폰과 메신저로 오는 정보를 기본적으로 신뢰한다”며 “전화나 메시지를 의심하지 않고 그대로 응대하는 경우가 많다”고 지적했다. 그는 “친구가 보낸 메시지처럼 보이면 진짜라고 믿고 반응하는데, 이 신뢰 구조가 보이스피싱뿐 아니라 마약·불법 콘텐츠 문제로도 이어지고 있다”고 설명했다. 개인정보 유출과 관련해서는 과도한 추정보다는 일상 속 정보 수집 관행 자체를 경계해야 한다고 강조했다. 김 팀장은 “범죄는 대규모 해킹이 아니라 이름과 전화번호 같은 최소한의 정보만으로도 충분히 실행된다”며 “학교 앞에서 학습지 신청이나 이벤트를 가장해 이름과 연락처를 적게 하는 행위 역시 범죄에 악용될 수 있다”고 경고했다. 이어 “아이와 부모 모두 '이 정도 정보는 괜찮다'는 인식을 버려야 한다”고 덧붙였다. “아이부터 부모까지 함께 배워야”…KISA가 제시한 보이스피싱 대응법 김 팀장은 보이스피싱 예방의 핵심으로 부모와 자녀가 동시에 대응 원칙을 아는 것을 꼽았다. 아이들에게는 “엄마한테 물어볼게요”, “아빠한테 확인할게요”처럼 시간을 끄는 답변을 교육하고, 부모에게는 자녀와 연락이 닿지 않을 경우 반드시 문자나 다른 수단으로 확인하는 습관이 필요하다는 설명이다. 그는 “자녀가 전화를 받지 않는 상황 자체가 범죄자가 설계한 상황일 수 있다”며 “통화가 되지 않는다고 해서 바로 위급 상황으로 단정해서는 안 된다”고 강조했다. KISA는 보이스피싱 예방을 위해 지자체, 통신사, 금융당국, 경찰과 협력해 취약계층 대상 교육을 진행하고 있다. 김 팀장은 “경기도와 업무협약(MOU)을 맺고 초·중·고등학교와 노인복지관까지 찾아가는 교육을 확대하고 있다”며 “연령대별로 노출되는 위험이 다른 만큼 맞춤형 교육이 필요하다”고 역설했다. 또 “학부모들은 뉴스를 통해 정보를 접하는 경우가 많지만, 자녀들은 포털이나 유튜브 알고리즘을 통해서 정보를 접하기 때문에 정작 알아야 할 예방 정보가 충분히 노출되지 않는 현실도 문제"라며 “보이스피싱은 개인의 부주의 문제가 아니라 사회 전체가 함께 대응해야 할 범죄다. 아이부터 부모, 고령층까지 모두가 같은 원칙을 공유해야 피해를 줄일 수 있다”고 말했다.

2026.01.15 14:35안희정 기자

교원그룹, 랜섬웨어 피해 KISA·개보위 신고

교원그룹이 지난 10일 랜섬웨어 공격으로 데이터가 외부로 유출됐고, 이런 정황을 12일 오후 확인해 당국에 신고했다. 13일 교원그룹은 랜섬웨어로 인한 데이터 유출 정황을 확인하고 한국인터넷진흥원(KISA)에 신고를 완료했다고 밝혔다. 아울러 개인정보보호위원회도 13일 교원그룹의 데이터가 유출된 정황을 확인하고 신고를 접수했다고 밝혔다. 교원그룹은 유출 규모와 유출된 데이터에 고객정보가 포함됐는지 여부는 관계 기관 및 외부 전문 보안기관과 함께 면밀히 조사하고 있다. 현재 교원그룹은 이상징후를 발견한 뒤 내부망 접근 차단 조치 등 보안 조치를 완료했다는 입장이다. 또 2차 사고를 예방하기 위해 전사 시스템을 전수조사 중이다. 모니터링도 강화했다. 다만 아직 공격 규모나 공격자 특정 등 별다른 단서가 나오지는 않은 상황이다. 교원그룹 측은 "12일 다수의 외부 전문 보안기관과 함께 진행한 정밀조사 결과, 랜섬웨어 공격으로 인해 일부 데이터가 외부로 유출된 정황을 확인했다"며 "해당 데이터에 고객 정보가 포함됐는지 여부는 현재 확인 중"이라고 밝혔다. 아울러 "KISA 등 당국의 조사에 적극 협조하고 있으며, 추가 조사를 통해 고객 정보 유출이 확인되면 신속하고 투명하게 안내할 것"이라며 "이번 사고를 계기로 보안 체계를 전면 강화하고, 재발 방지와 고객 신뢰 회복을 위해 최선을 다하겠다"고 부연했다.

2026.01.13 14:12김기찬 기자

지미션, KISA 지능형 CCTV 인증 획득…공공안전 기술력 입증

지미션이 실시간으로 이상행동을 감지하는 CCTV 기술력을 입증했다. 지미션은 한국인터넷진흥원(KISA)으로부터 지능형 CCTV 성능 시험 인증 중 '배회' 분야 인증을 획득했다고 9일 밝혔다. 이 인증은 KISA가 주관하는 국내 유일 공인 인증 제도로, 침입·배회·유기 등 다양한 이상상황을 탐지하는 알고리즘 정확도를 평가해 인증한다. 이번 성과는 지미션에서 운영 중인 AX융합연구소 산하 AX랩팀에서 연구개발(R&D)을 진행한 결과다. 그간 AX랩팀은 오탐지율을 최소화하고 정밀 탐지 능력을 향상시키는 데 주력해 왔다. 인증받은 배회 탐지 기술은 지능형 CCTV의 핵심 기능 중 하나로, 특정 구역 내에서 비정상적으로 머무르거나 수상한 행동을 보이는 객체를 정확히 식별해내는 기술이다. 이는 스마트시티, 무인 매장, 산업 현장 등에서 보안 관제 및 위험 예방을 위한 필수 요소 중 하나로 평가된다. 지미션은 해당 알고리즘을 AI 영상 분석 플랫폼 '덱스마(DEXMA)'의 핵심 엔진으로 활용할 예정이다. 이 솔루션은 영상 수집부터 설정·인식·알림·분석까지 전 과정을 인공지능(AI) 기반으로 자동화하며 산업 현장 안전성과 운영 효율성을 동시에 높인다. 지미션은 이번 성과를 바탕으로 화재·낙상·침입 등 복합적인 이상행동 감지 분야까지 적용 범위를 확장하며 스마트시티·공공안전·제조 등 다양한 산업과 협력을 모색할 방침이다. 앞서 지미션은 생성형 AI 기술을 담당하는 AXIOM팀, 물리 기반 AI를 연구하는 AX랩팀, 실증·사업화를 담당하는 AXR&D팀으로 구성된 AX융합연구소를 출범했다. 이를 통해 R&D와 기술 사업화를 통합한 구조를 구축 중이며 B2B 특화 AI 솔루션 기업으로서 입지를 빠르게 확대해 나가고 있다. 한준섭 지미션 대표는 "이번 KISA 인증은 우리가 보유한 AI 영상 분석 기술의 신뢰성과 실효성을 국가 공인 기관으로부터 인정받은 중요한 사례"라며 "AX융합연구소를 중심으로 현실 세계와 연결되는 피지컬 AI 기술을 강화해 보다 안전하고 똑똑한 사회를 만드는 데 기여하겠다"고 말했다.

2026.01.09 16:02한정호 기자

KISA, 대학·병원 등 '연쇄 해킹'에 긴급 보안 점검 당부

지디넷코리아가 지난 5일, 불법 해킹포럼이 병원, 대학 등 소규모 웹사이트에서 탈취한 데이터를 판매하려는 게시글을 업로드했다고 보도한 것과 관련, 한국인터넷진흥원(KISA)이 이에 대한 조치에 나섰다. KISA는 6일 보호나라 보안공지를 통해 "최근 신원 미상의 해커그룹이 해킹 포럼을 통해 국내 웹 사이트에 대한 정보 탈취 등 지속적인 공격을 진행했다"며 "이에 추가 공격에 대비하기 위해 기업 담당자들은 대응방안을 참고해 주요 시스템의 보안 점검 및 대응 강화를 요청한다"고 밝혔다. 앞서 지디넷코리아는 지난 5일 불법 해킹 포럼인 '다크포럼스(Darkforums)'에서 대학, 병원, 쇼핑몰 등의 웹사이트에서 내부 데이터 및 개인정보를 탈취하고, 이를 판매하려는 '애슐리우드2022(Ashelywood2022)'라는 닉네임의 해커의 공격 동향에 대해 보도한 바 있다.(☞[단독] 충북대 등 소규모 웹사이트 17곳 '연쇄 해킹') 이와 관련해 추가 공격이 있을 수 있는 만큼 KISA가 보안 패치 적용, 지원 등에 나선 것으로 풀이된다. KISA는 대응 방안으로 ▲웹 서버 등 주요 시스템에 대한 보안 패치 적용 ▲취약점 점검·보완 ▲웹 관리자 계정 보안 강화 ▲웹 서버 취약점 점검 및 보완 ▲개인정보유출 공격(SQL 가로채기 공격 등) 대응을 위한 보안 강화 ▲시큐어코딩 적용 검토 ▲기타 운영환경의 보안성 점검 등이 필요하다고 당부했다. 구체적으로 사용 중인 OS(운영 시스템) 및 어플리케이션에 대한 최신 보안 업데이트를 적용하고, 관리자 전용 단말을 선정해 접근을 제한하는 등 보안 강화 조치가 필요하다는 것이다. 특히 KISA는 아파치-톰캣 기반의 자바 솔루션(오라클 웹로직, 아틀라시안 컨플루언스, 아파치 스트럿츠2 등)은 반드시 최신 보안 업데이트를 적용해 운영할 필요가 있다고 강조했다. 자세한 내용은 KISA 보호나라 공지사항에서 확인할 수 있다. 아울러 KISA는 공지사항에 이번 공격과 비슷한 사례와 대응 방안을 담은 보고서, 중소기업 보안 취약 사례별 대응 방안 관련 내용도 함께 첨부했다. 한편 KISA는 소프트웨어 보안 취약점을 진단하는 가이드, 자바스크립트의 시큐어코딩 가이드 등 여러 보안 조치를 강화할 수 있는 가이드라인을 제시하고 있다. 뿐만 아니라 보안 역량이 대기업 대비 뒤처지는 중소기업을 위해 서버 원격 보안 점검, 자가진단 도구 배포 등 지원에 나서고 있다. 특히 중소기업 침해사고 피해지원 서비스를 운영하고 있으며, 해킹 공격을 입은 중소기업을 대상으로 직접적인 지원을 하고 있다

2026.01.06 18:57김기찬 기자

이상중 KISA 원장 "올해 랜섬웨어 적극 대응"

AI공격이 갈수록 기승을 부리는 가운데 한국인터넷진흥원(KISA)이 올 한 해 특히 랜섬웨어 공격에 적극 대응한다. 또 침해사고에 효과적으로 대응하기 위해 '특사경' 도입을 상반기 중 마무리하는데 힘을 쏟는다. 이상중 KISA 원장은 이 같은 내용의 시무식 신년사를 5일 페이스북에 올렸다. 이 원장은 작년 한 해를 유난히 정보유출 사고가 많았던 2025년이었다면서 "국민 불안이 커지고 있어, 이에 대응하고 있는 KISA에 대한 사회적 기대와 요구는 더 한층 높아져 그 어느 때보다 무거운 책임감으로 일했던 2025년"이라고 회고하며 "2026년은 '신뢰받는 공공기관, 함께 성장하는 조직'이라는 목표 아래 국민의 기대에 부응하는 KISA를 만들어가겠다. 무엇보다 기업과 조직에 큰 피해를 주는 랜섬웨어 공격에 대한 대응 역량을 체계적으로 강화하겠다"고 강조했다. 기업과 기관의 업무를 마비시키는 랜섬웨어는 작년에 전세계적으로 크게 늘었다. 랜섬웨어 추적 사이트 '랜섬웨어닷라이브'에 따르면 작년 1~10월 전 세계 기업 및 기관을 대상으로 한 랜섬웨어 공격 건수는 누적 6557건으로 집계됐다. 10개월간 누적 공격 건수가 작년 한해 일년치(6천129건)를 훌쩍 넘었다. 국내 기업 및 기관에 대한 랜섬웨어 피해도 잇달았다. 랜섬웨어 대응 강화와 함께 이 원장은 KISA가 지원기관을 넘어 디지털 안전의 중추기관으로 자리매김할 것이라면서 "침해사고에 효과적으로 대응하기 위해 '특사경' 도입을 상반기 중에 마무리하는 데 최선을 다하겠다"고도 말했다. 특사경은 특별사법경찰관을 말한다. 원칙적으로 수사는 경찰과 검찰만 하는데, 전문성이 강한 특정 분야에 경찰처럼 수사권을 주는 걸 말한다. 랜섬웨어 대응 강화와 특사경 도입 마무리에 이어 이 원장은 세번째 내부 목표로 "역할과 전문성이 존중받는 조직 문화와 청렴과 책임감을 바탕으로 한 실효성 있는 내부통제 문화를 정착시키겠다"고 약속했다. 한편 이 원장과 KISA 보직자들은 시무식후 국립 5.18 민주묘지도 참배했다.

2026.01.05 23:09방은주 기자

쿠팡 발표 진실공방..."정부와 조사" vs "사전 협의 없어"

개인정보 유출 사건 조사 과정에서 정부와 협의를 거쳤다는 쿠팡과, 그렇지 않다는 정부 간 진실공방이 이어지고 있다. 쿠팡은 정부 지시에 따라 개인정보 유출 혐의자 자백을 받아내고 유출에 사용된 기기까지 회수했다는 입장이다. 정부가 쿠팡에 정보 유출자로부터 추가 기기를 회수해줄 것을 요청했었다는 주장도 했다. 반면 정부는 쿠팡에게 조사 가이드라인을 제공한 적 없고, 진행 상황을 공유 받지 못했다면서 쿠팡의 단독 조사와 발표였다는 점을 분명히 했다. 26일 쿠팡 개인정보 유출 사건을 조사하는 한국인터넷진흥원(KISA) 위협분석단 관계자는 "민관합동조사단이 요구한 것은 사건 데이터"라며 "쿠팡에게 사건 조사 가이드라인을 제공한 적이 없다"고 말했다. 이어 "쿠팡으로부터 사건 진행 사항을 공유받은 것도 아니고 정보 유출자와 접촉하라고 권유한 적도 없다"고 덧붙였다. 이는 쿠팡이 발표한 입장과는 대치되는 설명이다. 오늘 쿠팡은 지난 25일 발표한 사건 진행 사항에 대해 '자체 조사'가 아니라며, 정부 지시에 따라 몇 주 간에 걸쳐 정부와 긴밀히 협력하며 조사를 진행했다고 주장했다. 그러면서 쿠팡은 지난 2일 정부로부터 유출 사고에 대한 공식적인 공문을 받은 후 정부 지시에 따라 유출자의 완전한 자백을 받아내고 유출에 사용된 기기를 회수했다고 밝혔다. 특히 쿠팡은 정부가 유출자와 접촉할 것을 제안했고 이에 따라 회수한 기기를 정부에 보고, 제공했다고 거듭 강조했다. 쿠팡 측은 당시 정부가 쿠팡에 정보 유출자로부터 추가 기기를 회수해줄 것을 요청했었다는 말을 덧붙이기도 했다. 이번 쿠팡의 입장은 지난 25일 대규모 개인정보 유출 사고 진행 상황 발표 직후, 정부가 확인되지 않은 사항이라며 강력 항의한 것에 대한 반박 내용이다. 25일 쿠팡은 고객 정보를 유출한 전직 직원을 특정했다며 개인정보 유출에 사용된 모든 장치와 하드 드라이브를 회수했다고 알렸다. 회사는 현재까지 소사 결과 유출자는 보안 키를 사용해 3천300만명의 고객 계정 정보에 접근했으나 약 3천개 계정의 정보만 실제 저장했다고 보고했다. 아울러 쿠팡은 유출자가 언론보도를 접한 뒤 저장했던 정보를 모두 삭제해 고객 정보 중 제 3자에게 전송된 데이터는 일체 없었다는 진술까지 했다고 덧붙였다. 그러나 해당 발표가 나간 같은 날 과학기술정보통신부는 "민관합동조사단에서 조사 중인 사항을 쿠팡이 일방적으로 알린 것에 대해 쿠팡에 강력히 항의했다"고 반박했다. 이어 "현재 민관합동조사단에서 정뷰 유출 종류 및 규모, 유출 경위 등에 대해 면밀히 조사 중에 있는 사항으로, 쿠팡이 주장하는 사항은 민관합동조사단에 의해 확인되지 않았다"고 선을 그었다. 26일 범정부 TF에서도 "정부가 공식적으로 발표한 바 없는 사항을 쿠팡이 자체적으로 발표해 국민들에게 혼란을 끼치는 것에 대해 유감스럽게 생각한다"며 "쿠팡이 발표한 내용에 대해서는 조사를 통해 투명하게 결과를 공개토록 하겠다"고 말했다. KISA 측도 "쿠팡의 조사와 민관합동조사단은 별도로 조사를 진행하고 있다"면서 검증 절차 없이 임의대로 사건 진행 상황을 알린 쿠팡에 당혹스럽다는 입장을 견지했다.

2025.12.26 18:39박서린 기자

비즈플레이, 클라우드 보안인증 CSAP 획득…공공시장 확대 발판

비즈플레이(대표 김홍기)가 공공, 금융권을 겨냥한 서비스형소프트웨어(SaaS) 기반 비용관리 서비스 확대에 나선다. 비즈플레이는 클라우드서비스 보안인증(CSAP)을 공식 획득했다고 24일 밝혔다. 회사는 이번 인증을 통해 클라우드 환경에서의 정보보호 관리체계를 국가 공인 수준으로 인정받았다고 설명했다. CSAP는 '클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률'에 근거해 클라우드컴퓨팅서비스의 정보보호 수준을 평가, 인증하는 제도다. 한국인터넷진흥원(KISA)이 제도 소개 페이지에서 관련 법적 근거와 보안인증 체계를 안내하고 있다. 비즈플레이는 기업 지출 전 과정을 자동화하는 비용관리 솔루션을 제공하고 있다. 회사는 bzp 기반의 출장관리 서비스 등 비용 집행, 정산 업무를 통합 관리해 업무 부담과 오류를 줄이는 데 초점을 맞췄다고 설명했다. 비즈플레이는 이번 CSAP 인증을 계기로 공공시장 진출을 확대하고, AI 기반 기능 고도화도 추진할 계획이다. 공공 부문 레퍼런스도 내세웠다. 비즈플레이는 앞서 국가공무원 출장관리 자동화 시스템 개발을 완료했다고 밝히며, 95개 중앙행정부, 지방자치단체 소속 75만 공무원의 출장 업무를 디지털화했다고 소개한 바 있다. 김홍기 대표는 "CSAP 인증은 비즈플레이가 데이터 보호 역량을 국가 차원에서 인정받은 결과"라며 "보안 고도화와 서비스 품질 혁신을 지속해 B2B SaaS 시장에서 신뢰받는 파트너로 자리매김하겠다"고 말했다.

2025.12.24 14:18남혁우 기자

KISA, 운영 기술(OT) 환경서 제로트러스트 적용 안내서 첫 발간

한국인터넷진흥원(KISA, 원장 이상중)이 '운영 기술(OT) 환경의 제로트러스트 적용 안내서'를 국내 최초로 마련, 22일 발표했다. 제로트러스트(Zero Trust)는 정보시스템 등에 대한 접속 요구가 있을 때 네트워크가 이미 침해된 것으로 간주해 “절대 신뢰하지 말고, 항상 검증하라(Never Trust, Always Verify)”는 새로운 보안 개념이며, 운영 기술(OT, Operational Technology)은 산업 설비와 공정을 실시간으로 제어 및 운영하는 기술로, 전력•교통•에너지 등 국가 주요 인프라의 안정적 운영에 핵심적 역할을 수행하고 있다. 과학기술정보통신부와 한국인터넷진흥원은 2023년 7월 제로트러스트 기본개념과 원리, 핵심 원칙 등을 담은 '제로트러스트 가이드라인 1.0'을 마련했고, 2024년 12월 실제 기업에서 제로트러스트 보안 모델을 활용하는 데 도움을 줄 수 있도록 실증사업 결과, 세부 도입 절차 및 방법론 등을 포함한 '제로트러스트 가이드라인 2.0'을 마련했다. 이번에 발표한 '운영 기술(OT) 환경의 제로트러스트 적용 안내서'는 리소스•데이터 접근제어를 위한 지속적인 인증 및 동적 검증 등을 수행하는 기존 정보 기술(IT) 환경에서의 제로트러스트와는 달리 산업 현장 장비의 가용성과 실시간성을 요구하는 운영 기술(OT) 환경의 특성을 고려한 국내 최초 운영 기술(OT) 특화 제로트러스트 적용 방안을 제시했다. 이번 안내서는 운영 기술(OT) 환경에 제로트러스트를 적용하기 위해 정보 기술(IT)과 운영 기술(OT) 네트워크 계층을 구분하는 '퍼듀(Purdue)' 모델을 포괄하면서, 국내 산업 환경에 맞게 '제로트러스트 가이드라인 2.0'의 6대 핵심요소를 기반으로 제로트러스트 요구사항을 제시하고, 추후 추가적인 연구를 통해 단계별 성숙도 모델로 발전시키는 것을 목표로 했다. 운영 기술(OT) 특화 제로트러스트를 위한 핵심 원칙으로는 ▲실시간성•가용성 유지 ▲운영 기술(OT) 장비 독립성 유지 ▲운영 기술(OT)•정보 기술(IT) 전역에서의 침해 가정 ▲지속적 모니터링 이라는 제로트러스트 원칙이 공통적으로 적용돼야 한다. 미국 등 글로벌 선진국도 운영 기술(OT) 보안을 중요하게 여겨 다양한 전략을 수행하고 있어, 이러한 움직임에 발맞추어 국내에서도 기존 제도를 보완함으로써 운영 기술(OT) 보안 강화를 위한 선제적인 실증 연구•대응 방안 마련 등을 지속 추진해 나갈 예정이다. '운영 기술(OT) 환경의 제로트러스트 적용 안내서'는 한국인터넷진흥원 누리집(지식플랫폼 → 법령•가이드라인 → 가이드라인)에서 확인할 수 있다. 이상중 원장은 “이번 안내서가 국내 운영 기술(OT) 보안에 대한 인식을 제고하고, 산업 현장의 운영 기술(OT) 보안 수준을 한 단계 높이는 데 기여하길 바란다”며 “운영 기술(OT) 환경의 제로트러스트 적용 필요성과 적용 방안 등을 정립한 안내서를 개발해 운영 기술(OT) 보안의 패러다임 전환이 필요한 시점이며, 글로벌 선도국 지침을 참고한 세부내용 고도화 보안 안내서를 지속 개발해 나가겠다”고 덧붙였다.

2025.12.22 12:21방은주 기자

"AI 시대, 인터넷은 삶 자체…국제 참여 확대 필요"

"최근 국가들이 데이터 네트워크와 인공지능(AI) 전략에 집중하며 초지능, 자율주행, 모빌리티 등 AI 시대가 본격화되고 있다. 4~5년 후에는 생성형 AI를 넘어선 물리적 로보틱스 AI 등 새로운 형태의 인공지능이 등장할 가능성이 높다. 그리고 인터넷은 이러한 변화를 담아내는 기반이다." 박정섭 한국인터넷진흥원(KISA) 인터넷정보센터장은 8일 AI 시대의 인터넷과 관련해 이같이 강조했다. 그는 "더 이상 인터넷은 고정된 기술이 아니라 시대와 기술 발전에 따라 변화하는 살아있는 인프라로 인식된다"며 "이에 국제적으로도 인터넷 자원에 대한 논의와 협력이 체계적으로 이뤄지고 있다. 한국은 KISA 내 한국인터넷정보센터(KRNIC)에서 인터넷 주소 자원을 관리하고 있다"고 설명했다. KRNIC은 국내 인터넷 주소 자원(IP 주소 등)을 총괄 관리하며, 국제적으로는 한국을 대표하는 공식 기구로다. 국제 협력 역할을 수행하고 있다. 주소자원 운영 뿐 아니라 DNS 보안 등 신뢰성과 보안 확보, 글로벌 정책 및 거버넌스도 주도하고 있다. KRNIC이 없다면 주소 충돌로 인터넷을 사용하지 못하는 상황이 빚어질 수도 있다. 또 DNS 위협으로 보안이 붕괴돼 데이터 탈취 등 공격에도 취약해진다. 게다가 국제 인터넷 거버넌스에서 배제되면서 인터넷 환경이 퇴보할 우려도 나온다. 인터넷이 24시간, 365일 연결되는 데에는 KRNIC의 역할이 크다. 이에 박 센터장은 "인터넷은 단순 서비스가 아닌 참여와 공동 창조 공간으로 인식할 필요가 있다"며 "더욱이 AI 시대가 되면 인터넷은 '삶 자체'가 될 수 있으며, 이 점을 감안하면 인터넷 국제 협력의 관심과 참여가 필요한 부분"이라고 강조했다. 한편 KISA와 KRNIC은 국제 인터넷 거버넌스 리더십을 발위하기 위해 ICANN(국제인터넷주소기구) 등과 공동 프로젝트인 '아시아태평양 지역 인터넷거버넌스 아카데미'를 연 1회 주최하고 있다. APNIC(아시아태평양 지역 IP주소관리기구) 등 5개 국제 기관과도 협력을 이어 나가고 있다.

2025.12.08 14:35김기찬 기자

"해킹 사고, 10월 누적 2천건 육박…작년비 29% 늘어"

민간 분야에서 발생한 침해사고 신고 건수가 올해 10월 기준 1천969건으로 2천건에 육박하는 것으로 나타났다. 이는 전년 동기 대비 29% 늘어난 수치로, 3년간 침해사고 신고 건수는 약 1.7배 늘어났다. 김광연 한국인터넷진흥원(KISA) 종합분석팀장은 지난 4일 개최된 '제29회 해킹방지워크숍'에서 이같이 밝혔다. 이날 워크숍은 한국침해사고대응팀협의회(CONCERT)가 주최·주관한 행사다. 워크숍에서 김 팀장은 '최근 사이버 위협 동향 및 대응 방안'을 주제로 발표했다. 올 한해 발생한 국내 사이버 침해사고에 대해 소개하며 최근 공격자들의 공격 기법 등 공격 전략·기술에 대한 기업의 대응 방안을 다뤘다. 우선 김 팀장은 "일상생활과 밀접한 통신, 금융, 전자상거래 등 사회 전 분야에 걸쳐 침해사고로 많은 국민들의 불안감·생활 불편함이 발생했다"며 "올해 10월 기준 신고된 침해사고 중 45% 정도가 서버 해킹 유형으로 확인이 됐다. 서버 해킹 유형의 대부분은 웹 취약점이나 원격 계정 관리의 취약점을 악용한 공격"이라고 진단했다. 이어 그는 최근 공격자들의 전략에 대해 상세히 설명했다. 우선 최초 침투에는 ▲게이트웨이 장비 ▲계정관리 ▲보안인증 소프트웨어 ▲중앙관리솔루션 등의 취약점을 적극 활용하는 것으로 나타났다. 계정관리의 경우 다크웹 등에서 유출된 계정정보를 해커가 구매해 경계보안장비, 원격·로컬 근무 단말 등을 공격하는 것으로 확인됐다. 내부 전파에 악성코드를 배포할 수 있는 중앙관리솔루션이나 협력사 공급망 취약점을 이용한 '공급망 공격'도 식별됐다. 이 외에도 관리자의 허술한 보안인식 취약점을 공격에 활용하는 경우도 발견됐다. 바탕화면 등에 주요 시스템 접속 계정 정보를 저장해 공격에 악용되는 사례가 여기에 해당된다. 또한 최종단계인 암호화 단계에서 공격자들은 암호화 저장관리(DRM 솔루션)이 미흡한 곳이나, 백업되지 않은 데이터를 공격했다. 아울러 공격 전 단계에 걸쳐 공격하는 악성코드 및 인공지능(AI) 활용이 고도화되는 것으로 나타났다. 김 팀장은 이같은 공격에 대비하기 위한 기업의 대응책으로 ▲내부의 보안 상황을 객관적인 시각으로 재진단 ▲신기술 사용에 따른 위협 대비 ▲일관된 보안정책과 이해관계에 상충하는 보완책 마련 ▲자체대응과 외부 인텔리전스 네트워크를 활용한 대응 역량 강화 ▲중소기업의 경우 KISA 지원을 적극 활용할 것 등을 주문했다.

2025.12.05 20:17김기찬 기자

KISA "ISMS+고영향 AI 새 인증 만들 것"

"인공지능(AI)을 악용한 공격, AI 모델 자체에 대한 공격 등 AI로 인한 보안 환경이 급변하고 있다. AI가 24시간, 365일 해킹을 하고 있다. 방어를 잘하고 있더라도 조금의 허점이 발견되기라도 하면 곧바로 뚫릴 수 있는 환경이 됐다" 정현철 한국인터넷진흥원(KISA) 연구위원은 5일 국회의원회관 제1소회의실에서 개최된 해킹 보안 컨퍼런스 '시큐어 코리아 2025(SecureKorea 2025)'에서 이같이 발표했다. 이날 그의 발표 주제는 'AI 시대의 사이버위협 동향과 대응 전략'이다. 그는 AI를 악용한 공격이 최근 두드러지고 있다고 진단했다. 아울러 취약점 발굴마저도 인간이 발견할 수 있는 취약점의 영역 개념을 넘어서 완전히 새로운 취약점을 AI가 발견하기도 한다고 봤다. 이에 따라 AI를 이용해서 사람을 속이는 피싱 등 공격이 늘어날 것으로 전망했다. 기존의 방어 체계도 우회할 수 있는 악성코드를 무한대로 만들어낼 수 있는 환경도 AI가 조성했다고 강조했다. AI로 인해 보안 환경이 완전히 바뀌었으며, 국내외로도 AI발 공격에 대한 대책을 세우고 있다고 봤다. 그는 미국의 경우 AI의 무분별한 악용을 우려해 안전성, 신뢰, 책임을 강조했고, AI 위험이 국가적 위협으로 작용할 것을 우려해 AI 보안 및 범죄 대응을 강화하고 있다고 밝혔다. 한국은 AI 3대 강국 도약을 목표로 제시하며 관련 R&D, 예산을 확충하고 있는 상황이다. 이런 배경에 그는 KISA가 AI 시대에 증가하는 사이버 위협에 대응하기 위한 전략으로 ▲AI 보안 정책 및 기준 마련 ▲AI 레드팀 운영 ▲AI 취약점 발굴 및 공유 ▲AI 보안 인증 추진 ▲AI 보안 기술 및 산업 육성 ▲AI 기반 탐지 및 대응체계 고도화 등을 제시했다. 구체적으로 AI 보안 정책을 수립해 기업이 보안 취약점을 스스로 찾을 수 있도록 하고, AI 보안 인증, 기술 등을 통해 보안 거버넌스를 갖출 수 있도록 지원하겠다는 것이다. 또한 AI 레드팀, 즉 공격자의 관점에서 AI 모델의 취약점을 찾아내고, 버그바운티 제도를 통해 AI 보안 취약점을 선제적으로 찾아낼 방침이다. 특히 기존 ISMS 인증 체계에 고영향 AI도 평가한 새로운 AI 보안 인증 모델을 구축할 계획이다. AI 기반 탐지·대응체계 고도화를 위해서는 AI 기반 실시간 분석 기능과 사이버 통합 탐지체계를 결합한 사이버공격 대응 역량을 강화할 수 있는 청사진을 제시했다. 기업의 침해사고 신고 절차를 모두 자동화, 침해대응 체계 역시 AI 내재화를 추진한다. 끝으로 그는 "정부가 AI 보안 시장의 마중물 역할을 할 수 있도록 투자 및 사업 확대 지원에 나서겠다"며 "소버린 AI 역시 보안 기능이 탑재돼 있지 않으면 소버린 AI라고 할 수 없는 만큼 안보와 직결되는 소버린 AI 보안 기술도 확보할 것"이라고 강조했다.

2025.12.05 20:11김기찬 기자

보안 인증 받은 쿠팡, 과징금 얼마나 나올까

대한민국 국민 65%에 달하는 개인정보 유출 사고가 발생한 쿠팡의 제재 수위에 대한 관심이 모아지고 있다. 보안의 기본이라고 할 수 있는 퇴사자 권한 관리가 유출사고의 원인으로 지목되고 있는 데다, 정부에서도 엄정 제재, 징벌적 손해 배상에 대한 목소리가 높아지고 있기 때문이다. 현행 기준에 따르면 매출액 기준 최대 3%에 달하는 과징금이 부과될 수 있어 쿠팡은 최대 1조원대 과징금 철퇴를 맞을 가능성도 있다. 2일 업계에 따르면 쿠팡은 최근 3천370만개의 개인정보가 유출되는 사고를 겪고 조사에 임하고 있다. 국회 과학기술정보방송통신위원회 최민희 위원장(더불어민주당) 분석에 따르면 이번 유출사고는 퇴사자 인증키를 퇴사 즉시 수거하지 않고 방치한 데 원인이 있는 것으로 알려졌다. 직원이 퇴사를 하면 회사 내부 데이터나 서버, 네트워크에 접근하지 못하도록 권한을 수거해야 하는데 그렇지 못한 것이 화근이 된 것이다. 다만 현재 회사는 무단 접근 경로를 차단하고 내부 모니터링을 강화하는 조치를 취했다. 개인정보보호위원회(개보위) 등 조사 당국에 따르면 정부는 쿠팡의 대규모 개인정보 유출로 민·관 합동 조사단을 꾸리고 본격적인 조사에 착수한 것으로 알려졌다. 개보위는 보안 조치 의무를 위반한 사실이 확인된 경우에는 엄정한 제재를 적용하겠다고 밝혔다. 이재명 대통령도 이날 쿠팡 개인정보 유출사고와 관련해 "쿠팡 때문에 우리 국민의 걱정이 많다"며 "처음 사건이 발생하고 5개월 동안이나 회사가 유출 자체를 파악하지 못했다는 것이 참으로 놀랍다. 관계 부처는 해외 사례를 참고해 과징금을 강화하고 징벌적 손해배상제도를 현실화하는 등의 대책에 나서달라"고 지시했다. 쿠팡, 최대 1조원 이상 과징금…최대 부과 가능성 낮아 조사 당국과 정부는 쿠팡에 대한 고강도의 제재 수위를 논하는 것으로 알려졌다. 현행법상 개인정보 유출 시 관련 법을 위반한 기업에는 전체 매출액의 3% 이내에서 과징금을 부과할 수 있다. 지난해 쿠팡의 매출액이 41조원이 넘는 만큼 1조원 이상의 과징금이 부과될 수 있다는 계산이 나온다. 다만 과징금 선정 절차는 사고와 관련 없는 매출은 제외하기 때문에 최대 과징금이 부과될 가능성은 낮다. 개보위에 따르면 과징금 선정은 우선 전체 매출액에서 사고와 관련 없는 매출액을 제외한 후, 과징금 선정 기준에 따라 기준금액을 정한다. 특히 기준금액 선정 이후에는 2차례에 걸쳐 조정에 들어간다. 여러 감경 사유를 따져보고 해당 사항이 있는 경우 과징금을 깎아준다. 대표적으로 유효한 정보보호·개인정보보호 관리체계(ISMS-P) 인증을 보유하고 있는 기업의 경우 현행법상 과징금의 최대 50%까지 감경받을 수 있다. 이에 쿠팡은 유효한 정보보호·개인정보보호 관리체계(ISMS-P) 인증을 취득한 기업이기 때문에 과징금을 최대 50% 감경받을 수 있다. 앞서 쿠팡은 지난 2021년 ISMS-P 인증을 획득한 이후 지난해 갱신까지 마친 상태로, 유효한 ISMS-P 인증을 보유하고 있다. 이에 현행법에 따라 과징금 감경 혜택을 받을 수 있는 것이다. 단, 감경 비율은 특정 위반 행위의 내용, 기업의 협조 정도, 시정 노력 등 여러 요소를 종합적으로 고려해 최종 결정된다. 해당 감경 제도로 우리카드는 과거 인천영업센터 가맹점주 개인정보 유용사건으로 부과된 과징금을 50% 감경받아 130억원만 부과된 바 있다. 1차, 2차 조정(감경) 절차 이후에는 중대성 판단을 하게 되는데, 중대성은 매우 중대함, 중대함, 보통, 약함 등 4단계로 구성된다. 가장 높은 '매우 중대함'으로 중대성이 판단된다고 하더라도 기준금액 내에서 과징금이 결정된다. 실제 역대 최대 과징금이 부과된 SK텔레콤 해킹 사태 당시 개보위는 이런 과정을 거쳐 1천348억원의 과징금을 부과했다. SK텔레콤의 무선통신사업 매출 약 13조원을 기준으로 하면 최대 3천831억원의 과징금이 부과될 수 있지만, 기준금액 설정에 따라 제재 수준이 낮아졌다. 그러나 쿠팡의 ▲지난해 매출이 SK텔레콤보다 높은 점 ▲유출 규모가 방대한 점 ▲5개월간 피해 사실을 인지하지 못한 점 등을 고려하면 SK텔레콤보다 높은 역대 최대 규모를 경신할 금액의 과징금이 선정될 가능성이 크다. 개보위 관계자는 "과징금 산정 과정에서 기준금액을 정한 이후 들어가는 감경 절차에 ISMS-P 인증 등이 감경 조항에 포함돼 있다"면서도 "과징금 산정 규모와 관련해서는 예단할 수 없고, 미리 언급할 수 없다"고 일축했다. 염흥열 순천향대 정보보호학과 명예교수는 "현행 과징금 부과 체계는 관련 분야 매출의 3%를 기준으로 산정하지만, 가감하는 조정절차가 있다. 조사 과정에 성실하게 임했는지, 피해자 구제에 적극적으로 했는지 등의 사항을 따져보고 가중하거나 감경해 과징금을 산정한다"며 "다만 정부나 대통령이 얘기하는 징벌적 과징금의 경우는 현재 법 개정 등 논의할 사항이 남아있다. 이번 쿠팡의 경우는 현 절차에 따라 산정되겠지만, 향후에는 개보위 TF에서 논의됐던 과징금 선정 관련 인센티브 제공, 징벌적 과징금 등 가감 조정절차의 방향성에 대해서 인식할 필요는 있다"고 밝혔다.

2025.12.02 18:19김기찬 기자

위대한상상, '사이버 위기 대응 모의훈련' KISA 원장 표창 수상

배달앱 요기요를 운영하는 위대한상상이 지난 26일 서울 중구 명동에서 열린 '2025년 하반기 사이버 위기 대응 모의훈련' 강평회에서 참여 우수기업으로 선정됐다고 밝혔다. 과학기술정보통신부와 한국인터넷진흥원(KISA)이 주관하는 사이버 위기 대응 모의훈련은 기업의 사이버 침해 대응 능력을 점검하고 보안 역량을 강화하기 위해 연 2회 정기적으로 실시되고 있다. 올해 하반기 모의훈련은 해킹 메일 대응, DDoS 공격 점검, 모의 침투, 서버 대상 취약점 탐지 대응 등 총 4개 유형으로 구성됐다. 10월 20일부터 31일까지 약 2주간 훈련별 신청 기업을 대상으로 진행됐다. 이번 훈련에는 총 626개 기업과 약 26만 6천여 명의 임직원이 참여해 전년 대비 44% 증가한 참여율을 보였다. 위대한상상은 적극적인 모의 훈련 참여와 우수한 대응 성과를 통해 한국인터넷진흥원 원장으로부터 2025년 하반기 사이버 위기 대응 모의훈련 우수기업 표창을 수상하고, 대응 사례를 공식 발표했다. 발표에서는 2025년 상·하반기에 걸쳐 임직원을 대상으로 실시한 '해킹 메일 대응 훈련'에서 실제 업무 환경 수준의 보안 대응 체계를 점검하고 임직원들이 보안 인식을 내재화한 사례를 소개했다. 총 2회의 해킹 메일 대응 훈련을 통해 의심 메일을 수신할 경우 적극 신고하고 공유하는 문화를 조성한 결과, 하반기 임직원의 해킹 감염률이 상반기 대비 4.43%p 감소하는 개선 효과를 달성했다. 위대한상상 김택현 CISO는 “지속적으로 고도화되는 사이버 공격 환경에서 실제 상황에 준한 훈련을 통해 전사적 보안 의식을 강화하고 있다”며 “앞으로도 고객이 안심하고 서비스를 이용할 수 있도록 더욱 견고한 정보보호 체계를 구축하겠다”고 말했다.

2025.11.28 14:02백봉삼 기자

Prev 1 2 3 4 5 Next