검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'fbi'통합검색 결과 입니다. (4건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

염흥열 교수, FBI와 손잡고 신원검증 시스템 국제표준 제정

국내 대학 연구진이 미국 연방수사국(FBI)과 협력해 분산형 신원 검증 시스템(DIVS,Decentralized Identity Verification system) 관련 국제 표준을 제정했다. 주인공은 염흥열 순천향대 정보보호학과 명예교수. 1일 염 교수는 지디넷코리아와 인터뷰에서 "지난해 12월 국제전기통신연합 전기통신표준화부문(ITU-T) 정보보호연구반(SG17) 회의에서 '검증 가능한 데이터에 기반한 탈중앙 DIVS의 근거와 초기 접근 방식'이라는 국제표준을 제정했다"며 "물리적 세계의 신원 보증과 법적 보호 수준을 디지털 환경으로 확장하기 위한 분산 신원 확인 시스템의 방향성을 국제 표준을 통해 공유 및 합의하기 위한 기반을 제공한다"고 설명했다. 보통 사용자의 신원을 확인할 때, 중앙 서버에서 데이터를 조회하고 확인하는 일련의 절차를 거친다. 하지만 이런 문제는 중앙 서버가 외부로부터 침투당하거나 데이터센터의 화재 등으로 제기능을 하지 못하는 상황이 되면 신원 확인 절차가 완전히 멈춘다는 한계가 있다. 반면 중앙 서버측 데이터를 사용자에게 전부 통제 권한을 넘긴 형태의 '탈중앙' 신원 관리 시스템은 신원 확인 과정에서 중앙 서버와 연결할 필요가 없다. 데이터가 분산 저장되기 때문에 외부 위협으로부터 자유롭고, 중앙 서버에 이상이 생겨도 정상적으로 신원 확인이 가능하다. 이에 미국도 FBI를 중심으로 온라인 범죄 대응을 위해 디지털 신원 관련 국제 표준화 필요성에 공감, 염 교수 연구팀에 국제표준화 공동 추진을 2023년부터 제안한 것으로 알려졌다. 염 교수는 "지난 2023년 12월 FBI 측으로부터 DIVS 국제 표준화를 추진하자는 제의를 받았고, 미국 측 제안을 기반으로 표준화 작업에 착수했다"며 "2024년 2월 국제전기통신연합 전기통신 표준화 부문(ITU-T) SG17 국제표준화 회의에서 해당 아이템이 신규 워크 아이템(기술보고서)으로 채택되며 본격적인 표준화의 시작을 알렸다"고 설명했다. 그는 "이어 2024년 7월, 9월 및 지난해 5번의 회의 끝에 지난해 말 최종 레퍼런스로 채택됐다"고 제정 과정을 들려줬다. . DIVS 관련 국제 표준이 제정되면서 우리나라가 앞서 있는 탈중앙 신원 관리 분야의 대외 확산도 훈풍을 맞을 전망이다. 이미 국내에는 모바일 운전면허증이나 모바일 신분증 등 DID(분산 신원 증명) 기술이 널리 사용되고 있어 실사용 경험이 축적돼 있고, 금융·보험 데이터 제공 시 전자서명 및 인증 수단 활용 중이다. DIVS가 상정한 구조와 유사한 실제 구현 사례가 다수 존재하는 것이다. 이로써 실제 서비스에서 검증된 데이터 구조 및 항목 구성을 가지고 있기 때문에 이를 참고한 DIVS 표준을 전 세계적으로 따르게 되면, 국외 서비스에서도 '실제 검증된 포맷'을 바로 활용이 가능하다. 특히 국내 솔루션 및 플랫폼의 해외 진출에도 유리하다. 염 교수는 "유럽같은 경우는 블록체인 등 분산형 기반의 신원 확인이 아닌, PKI(공개 키 기반 구조) 인증 체계다. 일반적으로 PKI는 2세대라고 본다면 블록체인 기반의 DIVS는 3세대 기술로 보고 있다. 이런 부분에서 한국은 탈중항 신원 관리 영역에서 수준급"이라고 평가하며 "유럽의 경우 디지털 신원 지갑에 운전면허, 학위 등 정보를 DIVS와 거의 동일한 수준으로 공공 및 민간 서비스에 적용하는 대규모 시범 사업을 하고 있다. 영국도 재사용 가능한 디지털 신원 인프라를 도입하는 실제 서비스 및 파일럿들을 분석·검토하는 등 해외에서도 DIVS에 관심이 높다"고 밝혔다. 염 교수는 "이번 표준 제정으로 국내 모바일 면허증 등 DIVS 기반 기술들이 국제 표준과 자연스럽게 호환되도록 만드는 기술적 기반이 될 수 있다. 국제적으로 상호 연동이 가능한 신원관리 시스템을 구현할 수 있다"며 "가령 우리나라에서 발행한 모바일 신분증이 외국에서도 상호 연동되는 구조가 안착될 수 있는 것"이라고 설명했다. 또한 그는 "아울러 한국이 앞서 운영해 온 모바일 운전면허증 모델이 국제표준 채택되면 우리나라가 만든 제도가 세계 표준의 기준 사례로 인정받는 효과가 있고, 향후 국내 솔루션·플랫폼의 해외 진출에도 유리하다"며 "만약 어떤 제품이나 서비스가 국제 표준에 근거한다고 하면 해외 기업이나 해외 기관에서도 신뢰 있는 기술이나 시스템으로 본다. 독자적인 기술에 의해서 만들어진 것이 아니라 국제 표준에 기반한다고 하면 신뢰 수준은 당연히 올라간다"고 말했다. 끝으로 염 교수는 FBI와 향후 표준 확대 방안과 관련해 "현재 FBI와 함께 개발하고 있는 표준들이 4개 정도 있다. 매월 한 번 이상 정례 온라인회의를 통해 계속해서 표준 논의를 이어갈 것"이라며 "앞으로는 에이전틱 AI의 신원관리 시스템을 어떻게 할지에 대한 논의도 FBI와 추가적으로 연구 및 국제적 활동을 추진할 계획"이라고 밝혔다. 한편 염 교수에 따르면 FBI 측에서 국제 표준 제정을 추진한 제안자는 케네스 페더링(Kenneth Featherling)으로, ITU-T 표준화 참여 경험을 갖춘 전문가다. 페더링은 지난 2024년 작고해 그의 후임자인 브래들리 스나이더(Bradley SNYDER)가 염 교수와 표준화 작업을 마무리했다.

2026.02.01 21:11김기찬 기자

美, 미성년 이민자 DNA 범죄 DB에 저장

미국 정부가 13만명이 넘는 미성년 이민자의 유전 정보(DNA)를 국가 범죄 데이터베이스(DB)에 저장한 것으로 나타났다고 미국 과학기술 잡지 와이어드가 최근 보도했다. 저장 대상 중에는 4세 아동도 포함돼 있었다. 와이어드에 따르면, 미국 관세국경보호청(CBP)은 올해 초 이러한 정보를 조용히 공개했다. 잡지는 이를 두고 "정부가 이주 아동의 생체 정보를 얼마나 깊숙이 감시하고 있는지를 처음으로 보여준 사례"라고 짚었다. 와이어드에 따르면 CBP은 2020년 10월부터 지난해 말까지 150만명 이상의 뺨을 면봉으로 긁어 유전자를 채취했다. 어린이와 청소년은 13만3천539명 포함됐다. 미국 정부는 연방수사국(FBI)이 관리하는 DNA 색인 시스템에 이들의 DNA 정보를 등록했다. 범죄 현장이나 유죄 판결에서 수집된 DNA를 대조해 용의자를 가리는 데 쓰기 위해서다. 미국 법무부는 DNA를 수집해 이민자가 대중에게 미칠 잠재적 위험을 평가한다고 밝혔다. 이와 관련 전문가들은 아이들의 유전 정보가 무기한 보관될 것이라며 이를 제한하지 않으면 DNA 수집망이 광범위한 프로파일링에 악용될 수 있다고 우려했다.

2025.05.31 08:00유혜진 기자

미국 사이버 보안 과학자 실종…FBI 급습 전 무슨 일?

미국에서 사이버 보안 과학자가 실종된 것으로 알려졌다. 미국 잡지 와이어드는 3일(현지시간) 미국 인디애나 대학에서 오랫동안 컴퓨터 과학을 가르친 샤오펑 왕 교수가 아내와 함께 실종됐다고 보도했다. 이어 미국 연방수사국(FBI)이 그의 집을 급습했다고 전했다. 이에 앞서 인디애나 대학 사이트에서 교수 전화번호와 이메일 주소를 비롯한 프로필이 지워졌다. 와이어드는 이 교수가 20년 동안 암호화, 개인정보, 사이버 보안에 대한 학술 논문을 발표한 저명한 컴퓨터 과학자라고 소개했다. 연락이 끊긴 이유는 아무도 모른다고 설명했다. 다만 한 소식통은 “교수가 실종되기 전 중국 자금 조사에 직면했다”고 말했다.

2025.04.05 08:00유혜진 기자

FBI-CISA, 버퍼 오버플로 취약점 경고…"용서할 수 없는 결함"

미국 정부 기관이 버퍼오버플로(buffer overflow) 취약점을 '용서할 수 없는 결함(unforgivable flaw)'이라고 규정하며 전 세계 개발자들에게 '보안 중심(Secure-by-Design)' 원칙을 적극 도입할 것을 촉구했다. 미국 연방수사국(FBI)과 국토안보부 산하 사이버보안·인프라보안국(CISA)는 '보안 설계 경고 : 버퍼 오버플로 취약점 제거'라는 보안 지침을 16일 발표했다. 버퍼 오버플로는 애플리케이션이 처리 가능한 메모리 범위를 초과하는 양의 데이터를 입력받아 발생하는 취약점이다. 공격자는 이를 악용해 임의 코드를 실행하거나 관리자 권한을 탈취해 시스템 전반을 장악하는 등 심각한 피해를 유발할 수 있다. 이 문제는 1990년대부터 지적돼 온 고전적인 결함이지만, 현재까지도 C·C++ 등 메모리를 직접 관리하는 언어를 비롯해 다양한 환경에서 빈번하게 발생한다. FBI와 CISA는 이번 공식 발표에서 "단순히 오래된 취약점이 아니라 오늘날에도 공격의 길을 활짝 열어주는 '취약점 중의 취약점'"이라며 그 위험성을 강조했다. 두 기관은 버퍼 오버플로가 이미 수많은 시스템 및 애플리케이션에서 악용된 바 있고 핵심 인프라를 노린 사이버 공격에 활용될 경우 국가 안보 차원의 위협이 된다는 점을 강하게 경고했다. 특히 미국 정부 기관이 버퍼 오버플로를 명시적으로 용서할 수 없는 결함이라고 강하게 비판한 것은 그동안 업계 전반에 널리 알려진 문제임에도 근본적인 개선 조치가 부족했음을 질타한 것으로 풀이된다. FBI와 CISA는 "버퍼 오버플로는 조금만 주의를 기울이면 막을 수 있는 결함이지만, 많은 개발 조직이 여전히 미흡한 보안 관리로 인해 시스템 전체를 심각한 위험에 노출시키고 있다"고 비판했다. 두 기관이 제시하는 핵심 해법은 소프트웨어 개발 라이프사이클 전반에서 보안을 우선적으로 고려하는 '보안 중심 설계'다. 이는 설계 단계부터 보안 요구사항을 명확히 설정하고, 구현 과정에서는 코드 검수와 테스트가 반복적으로 이뤄져야 한다는 뜻이다. FBI와 CISA는 특히 메모리 접근이 까다로운 C·C++ 프로젝트를 계속 사용할 수밖에 없다면, 경계 검사(bounds checking)나 안전 함수(safe function) 활용을 의무화하는 등 개발 조직 차원의 규율이 필수라고 지적했다. 더불어 러스트, 고(Go) 등 메모리 안전성(memory safety)이 강화된 언어로의 전환을 검토해야 한다고도 밝혔다. 이와 함께 자동화된 정적·동적 분석 도구를 활용해 코드 내 잠재적인 오버플로 가능성을 조기에 발견·제거하는 작업이 필수라고 강조했다. 개발 단계에서 상용 보안 툴을 이용해 정적 분석(Static Analysis)을 진행하고, 테스트 환경에서 동적 분석(Dynamic Analysis)을 병행하면 문제점을 훨씬 정확하게 파악할 수 있다는 것이다. BI와 CISA는 "지속적 통합·배포(CI/CD) 파이프라인에 보안 점검 기능을 삽입해 취약점이 발견되면 빌드가 자동으로 차단되는 방식을 전면 도입해야 한다"고 주문했다. 버퍼 오버플로 취약점이 클라우드나 사물인터넷(IoT) 등 분산 환경에서 파급력을 더욱 키울 수 있다는 우려도 제기된다. 물리적으로 연결된 수많은 기기가 하나의 대형 네트워크를 형성하는 상황에서, 단 한 지점의 취약점이 전체 시스템으로 확산될 위험이 존재하기 때문이다. 이에 마이크로소프트, 아마존, 구글 등 주요 글로벌 IT기업들은 이미 기존 시스템에 러스트를 도입하거나, 자체적인 보안 프로세스를 강화하는 방향으로 전환하고 있다. FBI와 CISA는 개발사와 기업에 "상시 모니터링 체계를 구축해 프로세스 이상 여부나 메모리 사용량 패턴 등 거동을 실시간으로 관찰하고 침해사고 발생 시 신속하게 대응할 수 있어야 한다"고 강조했다.

2025.02.16 11:00남혁우 기자