검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'【카톡 : 𝘀𝗽𝘆𝟳𝟵𝟳𝟵】👀해킹 카톡 해킹【카톡 : 𝘀𝗽𝘆𝟳𝟵𝟳𝟵】 카톡 해킹👀카톡 해킹👀카톡 해킹👀해킹 카톡 해킹'통합검색 결과 입니다. (1081건)

영역
기간
- 3개월
- 1년
- 1년 이전

재검색

NSHC, 日 '시큐리티 데이즈' 참가…국내 보안 우수성 입증

NSHC가 일본 도쿄에서 열린 사이버 보안 전시회 '시큐리티 데이즈 폴 2024'에 참가해 다양한 주제의 세미나를 진행했다. NSHC는 지난 22일부터 나흘간 도쿄에서 열리는 이 행사에 참가해 다섯 번의 세미나를 개최했다고 25일 밝혔다. NSHC는 정보보안 분야에 특화된 국내 기업으로, 지난 2008년 설립 이후 모바일 보안 솔루션 개발과 보안 컨설팅 서비스를 주력으로 제공하고 있다. 이번에 NSHC가 참가한 '시큐리티 데이즈'는 매년 일본의 주요 도시에서 열리는 사이버 보안 전시회로, 최신 사이버 공격 동향과 대책을 공유하는 자리다. 이번 전시회에서는 사물인터넷(IoT) 보안, 클라우드 보안, 랜섬웨어 대응 등 다양한 주제가 다뤄지고 있다. 첫째 날에는 NSHC가 '일본 가상자산 해킹 사고의 최전선'과 '다크웹에 숨겨진 비즈니스 위험'을 주제로 두 개의 세미나를 진행했다. 이어 둘째 날에는 APT 그룹과 랜섬웨어 갱단을 주제로 일본 내 사이버 공격 동향에 대해 발표했다. 셋째 날에는 '스마트시티'와 '보안 전문가를 대상으로 한 운영기술(OT)' 보안 교육 세미나가 진행됐다. 이 세미나는 스마트시티 및 OT 보안에 대한 높은 관심을 반영한 내용으로 구성됐다. 마지막 날인 25일에는 모빌리티, 자동차, 드론 보안 전문가를 위한 교육 세미나가 진행됐다. 이 세미나는 산업 전반에 걸친 OT 보안의 중요성을 강조하며 자동차 및 드론 기술과 관련된 보안 문제를 다뤘다. 최병규 NSHC 대표는 이번 행사를 통해 그동안의 연구개발 성과를 인정받아 의미 있는 시간이었다"며 "일본 시장에서 입지를 더욱 확고히 하겠다"고 밝혔다.

2024.10.25 17:12조이환

北에 털린 법원 전산망, 개인정보 유출 피해 1만8000명…향후 규모 더 커질 듯

북한 해킹 조직이 우리나라 법원 전산망을 침투해 최소 1TB(테라바이트)가 넘는 자료를 빼간 것으로 드러나면서 공공부문의 보안수준에 대한 문제가 수면 위로 떠올랐다. 이 해킹으로 개인정보 유출 피해자 수는 현재 1만8천 명에 달하는데, 아직 유출 자료에 대한 파악이 완전히 이뤄지지 않았다는 점에서 향후 피해규모가 더 커질 것이란 분석이 나온다. 24일 국민의힘 주진우 의원실이 대법원 법원행정처로부터 받은 자료에 따르면 사법부 전산망 해킹 사건으로 현재까지 유출이 확인된 문건에 기재된 개인은 총 1만7천998명으로 나타났다. 앞서 라자루스는 2021년 1월 7일 이전부터 2023년 2월 9일까지 국내 법원 전산망에 침투해 2년 넘게 개인정보 등이 포함된 총 1천14GB(기가바이트) 규모의 자료를 빼돌린 것으로 알려졌다. 법원행정처는 지난해 2월 사법부 전산망 공격 사태를 인지하고도 수사당국에 신고하지 않고 자체 보안조치를 취했다. 지난해 11월 말 해킹 사실이 보도되자 12월 초 경찰청·국정원·검찰청이 합동조사에 착수했다. 그 사이 서버에 남아있던 유출자료들이 지워졌다. 정부가 유출 내용을 확인한 것은 전체 피해의 약 0.5%(5천171개)에 불과하다. 일단 대법원 법원행정처는 정보 유출 피해자 4천830명을 특정해 지난 5월 유출 사실에 대해 개별 통보했다. 유출이 확인된 문서는 모두 회생 사건 관련 자료다. 이후 대법원은 유출과 관련된 개인들 중 1만3천177명에게도 개별 통지를 시행했다. 연락처를 알 수 없는 4천821명에게는 홈페이지 게시 방식으로 통지를 마친 것으로 파악됐다. 현재까지 내용이 확인된 정보 유출 규모는 4.7GB 분량의 문서에 불과한 것으로 전해졌다. 나머지 약 1천 GB 분량의 유출 자료에 대해서는 피해규모 등에 대한 파악이 끝나지 않아 실제 피해는 더 클 것으로 관측된다. 대법원은 '보안강화 종합대책 방안'을 마련해 추가적인 해킹을 예방하고 향후 재발 방지에 나선다는 방침이다. 주요 대책은 ▲전산정보관리국을 사법정보화실로 확대 개편 ▲USB 사용관리 방안의 전국 법원 시행 ▲보안 전문가 공개 채용 ▲정보보호조직 강화 등이다. 하지만 법원의 정보보호 업무를 담당하는 법원행정처 사법정보화실 정보보호담당관실 내 전담 인력은 올해 8월 기준 9명으로, 2020년 1월 기준 6명에서 고작 3명 증가했다. 특히 라자루스 논란이 커지기 전인 올해 1월에는 6명으로 4년 전과 동일했다. 국회 법제사법위원회 소속 박준태 국민의힘 의원은 "법원이 다수의 국민 개인정보를 다루는 만큼 신속히 유출 내역을 파악해 2차 범죄로 악용되는 것을 막아야 한다"고 지적했다.

2024.10.24 15:14장유미

[유미's 픽] "아날로그 시대 끝"…DX 속도 내는 日, 韓 SW 기업 진출 '러시'

도장, 팩스 등 소위 '아날로그' 문화 중심에 섰던 일본이 최근 인공지능(AI) 기술을 접목해 디지털 사회로 빠르게 전환하려는 시도가 이어지며 국내 기업들의 새로운 '기회의 땅'이 되고 있다. 디지털 전환(DX)을 넘어 AI 전환(AX)에 나서려는 기업들이 잇따르면서 국내 시장에서 성장 한계를 느낀 기업들이 올 들어 속속 일본을 찾는 분위기다. 24일 업계에 따르면 일본 정부는 최근 생산 인구 감소에 따른 산업생산성, 효율성 저하에 대응하기 위해 기업들의 AI 도입을 지원하고 있다. 특히 경영상 어려움을 겪는 중소기업들이 디지털 인프라 도입에 부담을 덜 수 있도록 설비자금 일부를 보조해주거나 전문가와의 상담 지도를 지원하고 있다. 또 디지털 첨단 기술이 국가경쟁력과 경제안보에 관련됐다고 판단할 경우 대기업에도 보조금을 지원하고 있다. 경제산업성이 소프트뱅크그룹의 생성형 AI 개발에 필요한 슈퍼컴퓨터 구입 등에 53억 엔의 보조금을 지원한 사례가 대표적인 예다. 최근에는 미국 빅테크 기업이 주도하는 AI 기술 개발 확보보다 AI 소프트웨어·서비스 개발 및 활용에 주도권을 확보하기 위해서도 나서고 있다. 이를 위해 일본 정부는 '이노베이션 박스 세제'를 신설하고 AI 소프트웨어(SW) 개발기업의 IP사업화와 저작권 수익을 인정해 최대 30%의 법인세 공제를 추진한다는 방침을 정했다. 하지만 디지털 경쟁력은 아직 현재까지 우리나라가 일본에 비해 다소 앞서 있다는 평가가 많다. 지난해 스위스 국제경영개발대학원(IMD)의 '세계 디지털 경쟁력 평가'에서 한국은 64개국 가운데 6위를 기록해 상승세를 이어갔으나, 일본은 32위로 역대 최저를 기록했다. 다만 2010년대 후반부터 진행된 일본의 DX 정책의 효과로 현지기업의 디지털 기술 도입과 성과는 점차 가시화되고 있다. 과거 아날로그 방식의 규제를 폐지하거나 AI 등 첨단 디지털 기술을 도입하는 기업을 향한 정부의 정책적 지원이 큰 몫을 하고 있다는 평가다. 이 같은 분위기 탓에 국내 기업들은 일본 시장을 새로운 먹거리로 삼고 있다. 일본의 디지털 전환과 AI 제품·서비스의 비즈니스 도입 가속화로 현지에서 매출 확대의 기회가 있을 것으로 여겨서다. 일본 소프트웨어 시장이 우리나라보다 훨씬 크다는 점도 매력적인 요소로 꼽힌다. 글로벌 IT 시장분석기관인 IDC에 따르면 지난해 4월 기준 일본 소프트웨어 시장 규모는 985억 달러(약 113조9천억원)로 세계 4위를 기록했다. 세계 16위인 우리나라(163억 달러)의 6배가 넘는 시장이다. 글로벌 시장조사기관 그랜드 뷰 리서치는 일본 IT 서비스 시장 규모가 올해부터 2030년까지 연평균 9.8%로 성장할 것으로 예상했다. 2030년 시장 규모는 1천351억1천만 달러(약 185조원)까지 커질 것으로 관측했다. 이에 국내 기업 상당수가 올 들어 일본 시장 본격 진출을 공식화 했다. LG CNS는 지난 8월 일본에서 300여 개 직영 어학원을 운영하는 교육업체 이온과 업무협약(MOU)을 맺고 일본 공교육 시장 공략에 나섰다. 양사는 공교육용 영어회화 애플리케이션(앱)인 'AI 튜터'를 개발하고 온라인 학습 운영 플랫폼을 고도화 한다. 이달에는 실거래 데이터 기반의 자동 테스팅 솔루션 '퍼펙트윈 ERP 에디션'을 앞세워 일본 SAP ERP(전사적자원시스템) 시장에도 도전장을 내밀었다. 미국에 이은 두 번째 글로벌 시장 진출로, 일본 시장에서 '퍼펙트윈 ERP 에디션'과 '퍼펙트윈'을 모두 제공할 계획이다. LG CNS는 '퍼펙트윈' 솔루션 라인업 공급 확대를 위해 바르테스 등 일본 IT 기업들과 파트너십도 강화하고 있다. 한글과컴퓨터는 지난 17일 일본법인 설립 절차를 모두 완료하고 현지 시장 진출을 본격화 했다. 일본법인장은 현재 현지에서 채용하기 위해 절차를 진행 중으로, 인력 구성이 완료되면 기업용 AI 시장을 본격 공략할 계획이다. 김연수 한컴 대표도 일본 시장에 대한 관심이 높다. 특히 오는 26일까지 일본 도쿄 마쿠하리 메세에서 열리는 일본 최대 규모 IT 전시회 '2024 재팬 IT 위크 어텀'에 참여해 한컴 부스를 둘러보고 현지 파트너들과 협업 방안을 논의하기도 했다. 한컴은 이 행사에서 ▲AI 기반 자동 문서 작성 도구 '한컴어시스턴트' ▲AI 학습용 데이터 추출 SDK '한컴데이터로더' ▲AI 검색 및 질의응답 설루션 '씽크프리 리파인더' 등 다양한 AI 서비스를 선보인다. 더불어 최근 투자를 완료한 스페인 기업 페이스피의 AI 생체인식 설루션도 소개한다. 한컴이 일본 시장을 주목하는 이유는 현지 기업들이 생성형 AI를 업무에 활용하려는 의지가 최근 높아진 것과 무관치 않다. 일본 정보경제사회추진협회(JIPDEC)가 일본기업 983개사를 대상으로 실시한 '기업 IT 이용·활용 동향조사 2024'에 따르면, 응답기업 중 69.5%가 '생성형 AI를 업무에 활용하고 있거나 도입을 추진 중'인 것으로 조사됐다. 올해 일본지사를 설립한 무하유도 현지 AI 시장을 공략하기 위해 'GPT킬러' 일본어 버전을 '재팬 IT 위크 어텀'에서 처음 선보였다. 앞서 지난 2020년 현지 파트너사와 합작 법인을 설립해 일본어 전용 AI 표절 검사 서비스 '카피 모니터'를 앞세워 일본 시장에 진출했으나, 올해부터는 직접 진출로 방향을 틀었다. 뤼튼테크놀로지스는 지난해 11월 일본에 지사를 설립하고 생성형 AI 시장에서 영향력을 키우고 있다. 이곳에서 오픈AI 등 거대언어모델(LLM) 기반의 생성형 AI 서비스 웹 버전을 베타 형식으로 제공해왔던 뤼튼은 올 상반기에 일본어 버전의 iOS 앱도 출시하며 고객 확보에 주력하고 있다. 보안기업들도 올 들어 일본 시장으로 화력을 집중시키고 있다. 스틸리언은 올해 6월 일본 지사 설립을 완료하고 올해 초 나온 '매크로 블락'을 현지 공략 주력 제품으로 내세웠다. 이 제품은 매크로앱을 통한 피해를 막고 악의적 이익 취득을 방지하는 솔루션이다. SGA솔루션즈는 지난 3월 현지 IT 인프라 기업 투모로우넷과 총판 계약을 체결하며 일본 보안 시장 공략에 본격 나섰다. 이곳은 투모로우넷의 일본 시장 네트워크를 활용해 서버 보안 솔루션 레드캐슬 등을 공급하고 있다. 레드캐슬은 서버 해킹 공격을 방어하는 보안 솔루션이다. 지란지교는 그룹 차원에서 일본 SW 시장을 글로벌 전초 기지로 삼고 있다. 올해는 창립 30주년 기념 기자 간담회에서 현지에서의 성과를 토대로 도쿄 주식시장에도 상장하겠다는 목표를 밝히기도 했다. 현재 지란지교 그룹사 중 일본 시장에서 가장 두각을 나타내고 있는 곳은 지란지교시큐리티다. 이곳은 지난 2020년 일본 시장에 '머드픽스'를 선보인 후 현지 요구사항을 반영해 서비스형 보안(SECaaS) 형태로 서비스를 고도화 했다. 이를 통해 현지 악성 이메일 모의훈련 시장에 빠르게 안착했다. 이 외에도 국내 SW 기업들은 '재팬 IT 위크' 등 현지 전시회에 적극 참여해 고객 접점 확대에 적극 나서고 있다. 올 초 진행된 '재팬 IT 위크 스프링'에는 안랩, 파이오링크, 이글루코퍼레이션, 스패로우 등이 참여해 주목 받았고, 이번 '재팬 IT 위크 어텀'에는 알서포트, 딥파인 등 국내 IT 90개 업체가 참가한 상태다. 알서포트는 이번에 소프트웨어 방식 원격제어 서비스 '리모트뷰', 하드웨어 방식 '리모트뷰박스'와 함께 AI 기반 신제품 '알리포토(AI:repoto)'를 처음 전시했다. '알리포토'는 최대 20명이 참여한 회의의 대화 내용을 요약·정리해주는 서비스다. 업계 관계자는 "일본 시장은 보수적이고 까다로운 편이지만, 한국과 지리적으로 가까워 빠른 협업이 가능하다는 이점이 있다"며 "현지에서 개최되는 전시회 및 콘퍼런스에 적극 참가해 제품을 소개하고 브랜드 인지도를 향상하며 인맥을 구축하려는 노력이 우선돼야 성공 가능성을 높일 수 있다"고 말했다. 이어 "인력 부족, 생산설비·인프라 노후화, 지방 소멸 등 많은 사회적 과제를 안고 있는 일본은 이러한 과제 해결을 위한 솔루션에 목말라 있다"며 "일본 시장에서 한국은 소프트웨어와 디지털 기술에 강점을 가지고 있다는 평가를 받고 있는 만큼 현지의 디지털화 수요를 기회로 인식하고 시장 진출에 적극 나서야 할 것"이라고 덧붙였다.

2024.10.24 12:28장유미

에버스핀, '에버세이프·페이크파인더'로 아프리카 보안 시장 진출

인공지능(AI) 보안기업 에버스핀이 아프리카 사이버보안 시장에 진출한다. 에버스핀(대표 하영빈)은 지난 22일 남아프리카공화국 아프리코 홀딩스 PTY LTD와 파트너십 계약을 체결하고 에버스핀과 페이크파인더 등 보안 솔루션을 아프리카 전역에 공급하기로 합의했다고 24일 밝혔다. 에버스핀 관계자는 “이번 파트너십은 아프리카 대륙의 사이버보안 수요 증가와 에버스핀의 글로벌 확장 전략이 맞물려 성사됐다”고 설명했다. 아프리코는 요하네스버그에 본사를 둔 정보기술(IT) 솔루션 제공업체로, 남아공 정부·금융기관·의료기관 등 다양한 산업 분야에 걸쳐 빅데이터·사물인터넷(IoT)·네트워크 장비 등을 공급하고 있다. 아프리코는 남아공뿐만 아니라 아프리카 대륙 전체에 걸쳐 사업을 확대하는 한편, 이번 파트너십을 계기로 사이버보안 시장에도 진출할 수 있는 발판을 마련했다. 에버스핀은 이번 파트너십을 통해 에버세이프와 페이크파인더를 우선적으로 아프리카 시장에 공급할 예정이다. 안티해킹 솔루션 에버세이프는 MTD(Moving Target Defense) 기반 AI 기술을 적용해 실시간 위협 탐지와 차단을 제공한다. 웹과 모바일 환경 모두에 적용할 수 있다. 스스로 변화하는 보안모듈로 서비스를 보호하는 것이 핵심이다. 페이크파인더는 보이스피싱에 활용하는 악성앱을 탐지해 피해를 예방하는 솔루션이다. 피싱방지 분야에서 가장 고도화된 화이트리스트 기술로 국내 금융권 점유율 1위를 기록하고 있다. 에버스핀 관계자는 “최근 남아공을 비롯한 아프리카 대륙 전역에서 금융과 IT 인프라가 빠르게 발전하면서 사이버 위협도 함께 증가하고 있다”며 “에버스핀의 진출은 아프리카 현지 기업과 공공기관의 보안 강화에 중요한 역할을 할 것”으로 내다봤다. 이 관계자는 “아프리카 시장은 빠르게 디지털화하고 있고 사이버보안 수요도 급격히 증가하고 있다”며 “이번 파트너십을 통해 에버스핀의 글로벌 리더십을 강화하고, 현지 사정에 알맞은 보안을 제공할 계획”이라고 덧붙였다. 에버스핀은 앞으로 아프리코와 긴밀하게 협력해 아프리카 시장에서 입지를 다진다는 계획이다. 한편, 에버스핀은 ▲KB국민은행▲카카오뱅크 ▲NH농협은행▲IBK기업은행▲케이뱅크▲삼성카드▲삼성화재▲삼성생명▲한화손해보험▲한국투자증권▲KB증권▲저축은행중앙회▲손해보험협회▲생명보험협회 ▲코스콤 등 국내 80여 곳의 주요 금융사를 고객사로 두고 있으며 일본·인도네시아·베트남 등에도 보안 솔루션을 공급하고 있다.

2024.10.24 10:55주문정

수학보다 어려운 직장 내 고민·갈등, '흑백HR 멘토단'이 푼다

"일 때문에 스트레스 받는데, 쿠팡플레이 SNL 'MZ오피스'처럼 도저히 납득할 수 없는 직장 동료들 때문에 너무 힘들어요." "누가 저희 회사 팀장님 좀 말려주세요. 밤늦게 카톡 보내고 본인이 해야될 일 같은데 월요일 아침까지 해오라며 일거리를 던져주네요." 세대 차, 생각 차, 입장 차 등 다양한 이유로 직장 내 갈등이 커지는 분위기다. 서로 배려하고 이해하려 노력하지만, 좀처럼 그 간극은 줄지 않는다. 이런 직장인들의 어려움과 고민을 조금이라도 덜어주고자 국내 최고 HR(인적자원) 플랫폼 기업들이 멘토단으로 나선다. 지디넷코리아(대표 김경묵)는 직장 내 갈등을 해소하고 보다 건강하고 효율적인 조직 문화를 위한 '흑백HRer: 오피스 멘토 대전' 기획 특집을 진행한다. 이 특집은 최근 넷플릭스 오리지널 예능 프로그램인 '흑백 요리사: 요리 계급 전쟁'과 같이 국내 대표 HR 기업들의 전문가들이 팀을 나눠 하나의 주제를 놓고, 각자의 솔루션을 제시하는 방식이다. 예를 들어 '업무 시간에 이어폰을 끼고 일하는 직원 어떻게 바라봐야 할까요'라는 고민을 두고, 두 전문가가 멘토로서 여러 경험과 사례 등을 종합해 최선의 해결책을 제시한다. 흑백HRer 참여 기업으로는 각 팀별 가나다 순으로 ▲사람인 ▲인크루트 ▲잡코리아(백팀), ▲원티드랩 ▲잡플래닛 ▲진학사 캐치(흑팀)다. 흑백 팀으로 나눠진 각 기업 담당자는 한 번씩 돌아가며 상대팀과 같은 주제를 놓고 멘토 경연을 펼친다. 독자들은 하나의 고민, 두 개의 해결책을 확인한 뒤 자신에게 도움이 되고 공감이 되는 글에 추천(쏠쏠정보·흥미진진·공감백배·분석탁월·후속강추)을 누르거나, 댓글을 통해 응원 메시지를 보내면 된다. 지디넷코리아는 일정 기간 독자들의 반응을 취합해, 내년 중순 경 '최고의 HRer'를 선정, 시상과 'HR테크 커넥팅 데이즈' 세미나의 오프닝 강연 기회를 제공할 계획이다. 지디넷코리아 김태진 편집국장은 "국내 최고의 HR 플랫폼 기업들의 참여로 HRer 흑백 대전 기획 특집을 진행하게 됐다"며 "모두에게 꼭 맞는 정답이 아니더라도 사회에서 일 때문에, 또는 사람 때문에 고민하고 어려움을 겪는 현직자들에게 흑백HRer가 조금이나마 도움이 되고 힘이 되는 기획이 되길 바란다"고 말했다. 또 “단순히 흥미를 위한 콘텐츠가 아니라, 모두가 더 나은 삶, 보다 행복한 일상을 누리자는 취지에서 기획된 콘텐츠인 만큼 어렵게 참여를 결정한 HR 기업 멘토단들에게도 많은 공감과 응원을 부탁드린다”고 덧붙였다. 흑백HRer 첫 콘텐츠는 이달 26일 오전 8시부터 지디넷코리아 웹사이트와 네이버·다음 등 지디넷코리아 뉴스를 통해 공개되며, 격주로 총 9회에 걸쳐 연재된다. 추후 팀전, 서바이벌 대전 등으로 이어질 수도 있다. 네이버 독자는 기사 맨 하단에 나온 '이 기사를 추천합니다'와 댓글창을 통해, 지디넷코리아 독자는 뉴스 하단 엄지척 아이콘과 댓글창을 통해 본인의 의견을 남기고 해당 멘토에 응원을 보낼 수 있다.

2024.10.24 10:20백봉삼

시옷 "AI 시대 기업 정보 흐름, '위즐'로 모두 감시·기록"

"기업 내 정보 유출 사례가 늘고 있습니다. 특히 중소·중견 기업은 이를 막을 수 있는 인력·비용이 부족합니다. '위즐(Weasel)'은 간편하고 낮은 비용으로 기업 정보 흐름을 감시해 유출 사고를 예방합니다. 특히 망분리 완화 후 AI 서비스에서 발생할 수 있는 정보 움직임까지 관리할 것입니다." 박현주 시옷 대표는 23일 삼성동 신라스테이에서 기자간담회를 열고 기업 데이터 이동 감지와 유출 탐지를 돕는 내부자 정보유출 감지솔루션(DLD) 위즐 특장점을 이같이 소개했다. 위즐은 유출로 발전할 수 있는 기업 정보 이동을 기록하고 증거를 실시간 수집하는 솔루션이다. 이를 통해 내부자 정보 유출을 실시간 감지할 수 있다. 작동 방식도 간단하다. 기업 관계자가 내부 문서나 정보를 이메일이나 타사 웹사이트, 디바이스 등으로 전송했을 때 위즐이 유출 경로를 기록하는 식이다. 이를 통해 내부 문서·데이터가 어떤 방식으로 유출됐는지 바로 보여준다. 서비스형 소프트웨어(SaaS)나 온프레미스 형태 모두 이용 가능하다. 박 대표는 위즐 솔루션이 중소·중견 기업을 겨냥해 만들었다고 밝혔다. 중소·중견 기업 내부서 정보 유출 사례가 늘어나고 있지만 이에 대한 대책 마련이 부족하다는 이유에서다. 최근 경찰청이 발표한 올해 상반기 정보 유출 현황에 따르면 올 상반기 기술유출 사고 총 47건 중 38건이 중소기업에서 발생했다. 주요 유출 주체는 내부인 소행이다. 사고 예방을 위해 소수 기업은 내부자 정보 유출을 막는 보안 솔루션을 도입하기 시작했다. 그러나 다수 기업은 보안인력 부족과 높은 운영 비용 문제로 대책 마련에 엄두를 내지 못하는 실정이다. 박 대표는 "위즐은 기업 내부에 전문 보안 인력이나 대규모 인프라 없이 구축 가능하다"며 "사용하기 간편하고, 가볍고, 저렴한 솔루션"이라고 강조했다. 실제 위즐은 중앙장치(CPU)와 메모리 사용량이 타사 탐지 솔루션에 비해 적게 든다. 스텔스 모드를 통해 모니터링 정확도도 높다. 여러 정보 전송 채널에서 발생하는 데이터 이동을 효율적으로 감시할 수 있는 이유다. 박 대표는 위즐이 기존 솔루션과 다르다고 강조했다. 보통 감지 솔루션은 정보 흐름을 차단하는 기능에 초점 맞춘다. 이를 통해 데이터나 정보가 유출되는 것을 막아야 하기 때문이다. 반면 위즐은 기업 데이터와 정보 흐름을 차단하지 않는다. 정보가 어떤 목적으로 어떻게 사용되는지에 대한 기록과 종적 남기기에 집중한다. 기업은 정보 유출 발생 시 위즐 기록을 통해 강력한 법적 대응을 할 수 있다. 박 대표는 "위즐은 통제가 아닌 감시와 관리에 초점 맞췄다"며 "정보 흐름을 자유롭게 하되 흔적을 확실히 남긴다"고 말했다. 망분리 완화 코 앞…"AI 사용 데이터 흐름도 관리" 시옷은 곧 시행될 망분리 완화에 따른 보안 강화 요구도 위즐을 통해 충족할 수 있다고 밝혔다. 향후 망분리가 완화되면 공공기관과 금융기관은 서비스형 소프트웨어(SaaS) 솔루션이나 생성형 AI 서비스 등을 업무 기기에서 활용할 수 있다. 공무원도 오픈AI 챗GPT를 업무에 활용할 수 있는 셈이다. 이에 일각에선 망분리 완화에 따라 발생할 수 있는 보안 취약점에 대비가 시급하다고 입을 모았다. 망분리가 완화되는 만큼 클라우드나 생성형 AI 서비스에서 발생할 수 있는 해킹이나 스캠 등에 대비해야 하기 때문이다. 박 대표는 위즐이 기업 내부 문서나 폴더뿐 아니라 클라우드·생성형 AI 서비스 내 데이터까지 관리까지 할 수 있다고 강조했다. 그는 "이 솔루션은 챗GPT 사용 시 유출될 수 있는 기업 문서나 비정형 데이터, 정보 활용 경로를 모두 기록한다"고 설명했다. 이어 "망분리 완화 후 AI로 인한 정보 유출 우려를 해소할 수 있을 것"이라며 "시장에서 큰 호응이 예상된다"고 덧붙였다.

2024.10.23 14:14김미정

SK쉴더스 "글로벌 무대서 사이버보안 기술력 입증할 것"

SK쉴더스가 자사 화이트해커 그룹의 기술력과 연구 역량을 해외서 인정 받은 것을 앞세워 사이버보안 인재 양성과 지속가능경영(ESG) 활동에 박차를 가한다. SK쉴더스는 자사 화이트해커 그룹 이큐스트(EQST)가 지난 22일부터 나흘간 룩셈부르크에서 열리는 글로벌 사이버보안 컨퍼런스인 '핵.엘유(hack.lu) 2024'에 참가한다고 23일 밝혔다. 이번 컨퍼런스는 전 세계 사이버보안 전문가들이 모여 최신 보안 기술을 공유하는 자리로, 이호석 EQST 랩 팀장은 '자바스크립트 엔진 V8 취약점'을 주제로 발표를 진행한다. 'V8 엔진'은 구글 크롬과 같은 다양한 애플리케이션에서 사용되며 취약점 발생 시 원격 명령 실행과 같은 치명적인 공격에 악용될 수 있다. 이번 발표를 통해 SK쉴더스는 V8 엔진의 구조와 동작 방식, 디버깅 방법, 익스플로잇 수행에 대한 심도 있는 분석을 제기할 예정이다. 특히 이 팀장은 초보자도 V8의 잠재적 결함을 찾고 분석할 수 있도록 단계별 교육을 제공할 예정이다. 이를 통해 V8의 보안 취약점을 활용한 해킹 기술을 학습할 수 있는 기회를 제공하는 것이 목표다. SK쉴더스는 행사 참가를 통해 글로벌 보안 커뮤니티에서 자사의 기술력을 검증받고 국내외 사이버보안 인재 양성에도 기여할 계획이다. 이곳은 이미 모의해킹 교육 프로그램인 '이큐스트 엘엠에스(EQST LMS)'를 통해 체계적인 보안 교육을 제공하며 ESG 활동의 일환으로 기술 공유와 교육에 힘쓰고 있는 것으로 알려졌다. 김병무 SK쉴더스 정보보안사업부장은 "컨퍼런스 참가로 글로벌 수준의 기술력과 연구 역량을 인정받게 돼 기쁘다"며 "앞으로도 사이버보안 인재 양성과 ESG 활동을 강화해 나갈 것"이라고 말했다.

2024.10.23 09:54조이환

"화이트해커 나선다"…금융보안원, 제2금융권 사이버 보안 강화 훈련 돌입

금융보안원이 진화하는 사이버 위협에 대응해 제2금융권의 사이버 보안 역량을 강화하기 위해 나섰다. 금융보안원은 오는 28일부터 다음달 8일까지 '블라인드 사이버 모의해킹(공격‧방어) 훈련'을 진행한다고 22일 밝혔다. 증권·보험·카드사 등 제2금융권을 대상으로 한 이번 훈련은 해킹 공격에 대한 금융권의 실질적인 대응 능력을 강화하기 위해 기획됐다. 사전 협의 없이 불시에 진행돼 금융회사는 해킹 일정에 대해 미리 통보받지 않는다. 이번 훈련에서는 금융보안원의 레드 아이리스(RED IRIS)팀이 가상의 공격자로 나서 서버 해킹과 디도스(DDoS) 공격을 시도하고 금융회사는 공격 탐지 및 방어 활동을 통해 대응 역량을 점검한다. 동시에 금융회사들이 가상의 디도스 공격을 탐지한 후 비상대응센터로 트래픽을 전환하는 훈련도 진행할 예정이다. 이 훈련을 통해 금융권은 비상 상황에서 금융 서비스의 연속성을 보장하는데 필요한 역량을 기를 수 있다. 또 이번 훈련에는 최근 발표된 '금융분야 망분리 개선 로드맵'에 포함된 생성 AI 관련 보안 대책 점검도 포함된다. 이는 신기술 도입으로 발생할 수 있는 사이버 위협에 대비해 금융 IT 환경의 안전성을 확보하려는 목적이다. 훈련을 통해 금융감독원과 금융보안원은 금융회사의 사이버 보안 시스템의 취약점을 파악하고 필요한 대응 절차를 개선할 예정이다. 특히 금융보안원은 훈련 이후 이행 점검을 통해 개선 사항을 지속적으로 모니터링할 계획이다. 김철웅 금융보안원장은 "디지털 시대의 금융 안전성은 철저한 사이버 보안 대비에서 시작된다"며 "이번 블라인드 모의해킹 훈련은 금융권의 사이버 복원력을 한층 더 강화하는 계기가 될 것"이라고 밝혔다.

2024.10.22 16:13조이환

韓 향한 사이버공격 '빈번'…10건 중 8건은 北 소행

최근 우리나라를 대상으로 한 사이버공격이 빈번해진 가운데 10건 중 8건이 북한의 소행인 것으로 파악됐다. 22일 로그프레소가 아홉 번째 발간한 사이버 위협 인텔리전스(CTI, Cyber Threat Intelligence) 리포트에 따르면 국가정보원은 지난해 우리나라 공공기관을 대상으로 한 사이버공격이 일평균 162만 건 정도 발생한 것으로 파악했다. 이 중 80% 정도를 북한발 해킹으로 분류했다. 로그프레소는 북한발 사이버 공격 사례와 실제 해커의 이메일 정보를 분석해 실제 북한의 소행인지 이번에 분석했다. 현재 북한은 아시아 태평양 네트워크 정보센터(APNIC, Asia-Pacific Network Information Centre)에서 공식적으로 할당받은 IP 대역과 러시아 및 중국 통신사가 제공하는 IP 대역을 사용 중이다. 북한에서도 인터넷을 이용하고 있으나 극히 제한적인 사용자만 외부 인터넷에 접속할 수 있다. 로그프레소는 전 세계에서 수집한 OSINT(Open Source Intelligence)를 활용해 공격자에 대한 분석을 시행했다. 과거 한국의 주요 공공기관을 공격했던 악성코드를 분석한 결과, 사이버 공격자가 북한과 직접적으로 연관된 특정 이메일 계정과 IP 대역을 이용했음을 확인할 수 있었다. 또 로그프레소는 미국 연방수사국(FBI)이 공소장에 공개한 북한 해커 박진혁의 이메일 주소를 확보해 이를 분석했다. 해당 정보를 근간으로 실제 북한 해커들이 사용했던 이메일 계정과 패스워드를 확인했으며 북한에 할당된 IP 대역을 통해 공격한 사실을 공개했다. 과거에는 악성코드를 분석해 공격 그룹을 조사했으며 C2 서버 관련 계정, IP 및 도메인 등을 활용해 추가 공격을 방어했다. 그러나 최근 들어 공격자들이 악성코드 정보에 다른 사람이나 집단의 정보를 사칭하는 위장 전술을 사용하면서 공격 그룹을 특정하기 위해서는 다각적인 분석 방법이 필요해지고 있다. 장상근 로그프레소 연구소장은 "사이버 공격이 첨예화되면서 이에 대응하기 위한 분석 기술 또한 고도화되고 있다"며 "사이버 공격과 공격자 집단을 효과적으로 연구하기 위해서는 OSINT 관점도 활용해야 할 것"이라고 말했다. 이번 CTI 리포트에서는 최근 발생했던 국내 대학교의 개인정보 유출 사고 사례도 함께 다뤘다. 대다수 기업과 기관들이 담당자를 채용해 보안관리 업무를 수행하고 있음에도 불구하고 즉각적인 조치가 어려운 이유와 기존 보안솔루션의 한계를 개선하기 위한 방안을 함께 소개했다. 로그프레소 관계자는 "근무 시간 외에 주말과 새벽, 공휴일 등에 이루어지는 공격에도 효과적으로 대응하기 위해서는 SOAR(Security Orchestration, Automation and Response) 도입을 추천한다"며 "보안 운영 업무를 자동화하고 표준화해 사이버 공격에 대응하는 평균 시간 'MTTR(Mean Time To Respond)'을 줄이는 것이 핵심"이라고 설명했다.

2024.10.22 16:07장유미

메타, 12월부터 얼굴 인식기술 시범 도입...투자 사기 광고 막는다

메타가 오는 12월부터 페이스북, 인스타그램 등 자사 플랫폼에 '얼굴 인식 기술'을 시범 도입한다. 유명인의 얼굴을 도용한 사기성 광고를 제재하기 위해서다. 21일(현지시간) 가디언 등 외신에 따르면, 메타는 12월부터 전 세계 유명인, 공인 등 5만 명을 대상으로 얼굴 인식 기술을 시범 도입한다고 밝혔다. 해당 기술은 페이스북, 인스타그램 등 플랫폼에 게재된 광고가 사기일 가능성이 있는 경우, 광고 이미지와 유명인의 플랫폼 공식 프로필 사진을 비교해 불일치할 시 해당 광고를 삭제한다. 데이비드 아그라노비치 메타 보안 정책 책임자는 "광고 삭제 과정은 실시간으로 이뤄지며 인간의 검토보다 훨씬 빠르고 정확하기 때문에 메타의 시행 정책을 신속하게 적용하고 사용자를 사기로부터 보호할 수 있다"고 말했다. 메타는 소규모 그룹을 대상으로 한 초기 테스트에서 얼굴 인식 기술이 사기 광고 감지 속도와 효율성 측면에서 유의미한 결과를 보였다고 밝혔다. 메타는 해당 기술을 사용해 계정을 해킹당한 이용자가 비디오 셀카를 업로드해 계정을 복구할 수 있도록 하는 기능도 마련할 예정이다. 아그라노비치 보안 정책 책임자는 "수집된 얼굴 데이터는 사기 광고 등과 실제 프로필 사진의 일치 여부 확인이 완료되면 즉시 삭제되며 다른 용도로 사용되지 않는다"고 강조했다. 최근 페이스북, 인스타그램 등 플랫폼에는 석유 재벌 데이비드 코흐, 광산 재벌 지나 라인하드, 호주 총리 앤서니 알바니즈 등 유명인의 딥페이크 사진을 실은 사기성 광고가 문제가 되고 있다. 이번 얼굴 인식 기술 도입은 최근 전 세계 규제기관이 메타에게 유명인의 딥페이크 이미지를 악용한 투자 사기를 감시·감독하라는 압박을 가한 데 따른 것으로 분석된다. 메타는 딥페이크 사진을 제재하지 못한 혐의로 광산 재벌 앤드류 포레스트로부터 소송을 당하고 있다. 또 같은 혐의로 호주경쟁및소비자위원회가 제기한 소송이 진행 중이다.

2024.10.22 10:42조수민

금융보안원, 금융권 사이버 침해 방지 앞장선다

금융보안원이 금융회사들의 사이버 침해 위협을 방지하기 위해 팔을 걷어 부쳤다. 금융보안원은 금융권에서 발생한 사이버 침해사고 사례를 종합·분석한 금융권 침해대응 인텔리전스 플랫폼 구축 완료해 전 사원기관을 대상으로 본격적인 서비스를 시작했다고 21일 밝혔다. 인텔리전스 플랫폼은 금융보안원이 직접 조사한 침해사고 사례를 분석해 상호 통신, URL-IP 연결 등 침해지표 간의 관계를 시각적으로 제공한다. 침해지표(IoC)는 공격그룹, 악성코드, IP, URL 등으로 구성되며 각 지표 간 연관성을 분석하여 사내 보안정책 등에 적용할 수 있다. 이를 통해 보안담당자가 보안정책 및 대응체계를 강화할 수 있도록 기관별로 맞춤형 인사이트를 제시함으로써 유사 사고를 미리 예방하고 신속하게 대응할 수 있다. 데이터베이스화된 침해지표 등 모든 데이터는 STIX(Structured Threat Information expression) 표준 방식으로 관리되고 사고와 관련된 구체적인 정보는 모두 비식별화돼 참여하는 누구든 활용할 수 있다. 플랫폼 서비스는 그간 설명회와 시범운영을 통해 현장 의견을 적극 수렴해 기능을 최적화하는 과정을 거쳤다. 또 다양한 오픈소스를 활용해 금융권에 적합하게끔 신속하게 구축됐다. 금융보안원은 최신 위협에 대응하기 위해 플랫폼 서비스를 지속적으로 업데이트할 예정이다. 김철웅 금융보안원장은 "금융회사들이 인텔리전스 플랫폼을 적극 활용하면 사이버 침해 위협 발생 시 보다 용이하고 신속하게 대응할 수 있을 것"이라며 "앞으로 침해위협에 대한 분석을 국내외로 확장해 국가배후 해킹조직에 의한 고도화·지능화된 금융권 사이버 위협에도 선제적으로 대응하도록 만전을 기하겠다"고 밝혔다.

2024.10.21 16:39장유미

"생성형 AI 도입 전 사이버 공격 표면 확인…보안위협 지속 관리"

"사이버 보안팀은 방어를 넘어 끊임없이 위협을 찾아내 능동적으로 대처해야 합니다. 수동적인 방어를 넘어 공격적인 대응으로 보안의 패러다임이 이동했습니다." 오펜시브 보안 전문 기업 엔키화이트햇은 지난 8월 기업이 능동적으로 보안 상황을 점검하고 대응할 수 있는 구독형 침투테스트서비스 '오펜 PTaaS'를 공개했다. 엔키화이트햇의 첫번째 서비스로서소프트웨어(SaaS)다. 기존에 해커들이 주축이된 회사는 주로 컨설팅 사업에 집중해왔다. 엔키화이트햇은 글로벌 수준의 화이트햇 해커 노하우를 기업 보안 담당자들이 편리하게 빌려 쓸 수 있는 서비스로 개발했다. 해킹 기술력에 제품 구현력까지 갖춘 기업으로 발돋움했다. 엔키화이트햇은 글로벌 해킹 대회에서 실력을 인정받은 보안 전문가들이 모인 스타트업이다. 이성권 대표는 “일회성으로 끝나는 모의해킹으로 급변하는 위협환경에서 보안 수준이 유지 되지 않는다”면서 “침투테스트 컨설팅하며 쌓은 노하우를 기업 보안 담당자들이 보다 편리하게 이용하면서 능동적으로 대처하는 방법을 고민했다”고 설명했다. 오펜 PTaaS는 기업 보안팀이 복잡한 컨설팅 계약 과정을 간소화하면서 지속적으로 화이트햇 해커 기술력을 빌려쓰는 서비스다. 기업 보안팀은 오펜 PTaaS를 구독해 내부 공격 표면이나 침투경로, 보안 취약점을 지속적으로 식별하고 관리할 수 있다. 기업 보안팀이 원하는 시기에 침투테스트를 주기적으로 하고 대응책도 수립한다. 이 대표는 “최근 생성형AI와 클라우드 사용이 증가하면서 기업이 신기술 채택에 따른 사이버 공격 표면이나 취약점을 어떻게 찾아야할지 고민한다"면서 “오펜 PTaaS는 각종 IT인프라 운영 미숙이나 설정 오류, 솔루션 취약점, 해커의 공격 루트를 찾아 대응책을 제시한다"고 설명했다. 이어 “최근 관심이 높은 제로 트러스트(Zero Trust) 아키텍쳐 준수 여부 진단도 가능하다”면서 “침투테스트를 받은 후 PTaaS를 구독해 전문 화이트해커와 신속히 커뮤니케이션하며 보안 상태를 유지하는 기업이 늘고 있다"고 덧붙였다. 오펜 PTaaS는 레드(RED)/블루(BLUE)/퍼플(PURPLE)로 구성됐다. 레드는 조직의 공격 표면・침투 경로・보안 취약점을 식별・관리하는 영역이다. 블루는 심층 위협 분석・대응에 활용 가능한 악성코드 분석 서비스와 공격자 TTPs 기반 탐지 규칙을 제공하는 분야다. 퍼플은 실전형 사이버 공방 훈련과 보안팀 강화 교육을 제공해 조직과 제품의 전 주기 지속적인 보안에 활용할 수 있다. 오펜 PTaaS를 지속해 사용하면 기업과 기관의 과거와 현재 보안 수준의 비교 평가가 가능하다.

2024.10.21 13:26김인순

안랩 "北 해커, 지원 끝난 IE 틈새 노려…보안 패치 업데이트 필수"

안랩이 북한 해킹 조직의 사이버 공격 정황을 포착했다. 안랩과 국가사이버안보센터(NCSC)는 북한 해킹 조직이 마이크로소프트 인터넷 익스플로러(IE)의 새로운 제로데이 취약점을 악용한 공격에 대한 합동 분석 보고서를 공개했다고 20일 밝혔다. 보고서 내용에 따르면 북한 해킹 조직 'TA-레드앤트(RedAnt)'가 지원 종료된 IE 모듈을 사용하는 '토스트(Toast)' 광고 실행 프로그램을 악용해 악성코드를 유포한 것으로 드러났다. 마이크로소프트는 2022년 6월 IE 지원을 종료한 바 있다. 이에 사이버 공격자들은 여전히 IE 모듈을 사용하는 일부 윈도우 애플리케이션을 노리고 있는 것으로 알려졌다. 공격자는 특정 토스트 광고 프로그램이 광고 콘텐츠를 다운로드할 때 취약한 IE 모듈을 사용한다는 점을 노렸다. 이를 위해 국내 광고 대행사 서버를 해킹해 권한을 획득한 후 해당 서버의 광고 콘텐츠 스크립트에 취약점 코드를 삽입했다. 이를 통해 토스트 광고 프로그램은 서버에서 콘텐츠를 다운로드하고 렌더링하는 과정에서 IE의 자바스크립트 엔진(jscript9.dll)에 오류를 유발함으로써 사용자 PC에 악성코드를 감염시켰다. 안랩과 NCSC는 해당 취약점을 즉시 마이크로소프트에 신고했다고 밝혔다. 마이크로소프트는 8월 13일 정기 패치를 통해 해당 취약점(CVE-2024-38178, CVSS 7.5)에 대한 보안 업데이트를 배포했다. 안랩 김준석 ASEC 분석팀 선임연구원은 "이번 사례는 취약한 IE 모듈을 사용하는 토스트 광고 프로그램을 악용해 대규모 피해가 발생할 수 있었다"며 "사용자들은 운영체제(OS)나 소프트웨어(SW)의 보안 업데이트를 정기적으로 진행하는 등 기본 보안 수칙 준수가 매우 중요하다"고 강조했다. 또 "피해 예방을 위해 사용자는 OS와 SW 보안 패치를 수시로 업데이트해야 한다"며 "SW 제조사는 제품 개발 시 보안에 취약한 라이브러리·모듈 사용을 지양해야 한다"고 당부했다.

2024.10.20 09:19김미정

AI 로봇, 인류 위협 '터미네이터' 될 수도…어떻게?

인공지능(AI)으로 무장한 로봇 플랫폼이 많은 사람들의 관심이 쏠리고 있다. 특히 챗GPT를 비롯한 대규모 언어모델(LLM) 기반 AI 시스템은 인간을 뛰어넘는 실력을 과시하면서 엄청난 각광을 받고 있다. 그런데 AI 로봇을 해킹할 경우 인간에게 해를 끼칠 수 있다는 연구 결과가 발표돼 눈길을 끌고 있다. 미국 펜실베니아 공과대학 연구진들이 여러 AI 기반 로봇 플랫폼에서 그 동안 알려지지 않았던 보안 취약점을 발견했다고 IT매체 디지털트렌드를 비롯한 외신들이 17일(현지시간) 보도했다. 연구진들은 이 같은 내용을 담은 '대규모 언어모델(LLM)로 통제하는 로봇 탈옥하기'란 제목의 논문을 발표했다. 논문 교신 저자인 조지 파파스(George Pappas) 펜실베니아 공대 연구부문 부학장은 "우리 연구는 LLM이 물리적 세계와 통합됐을 때 충분히 안전하지 않다는 것을 보여준다”고 밝혔다. 파파스가 이끄는 연구진은 LLM 제어 로봇을 탈옥하도록 설계된 최초의 알고리즘 '로보페어'(RoboPAIR)를 개발했다. 이 알고리즘은 LLM이 탑재된 로봇 플랫폼에 유해한 신체적 행동을 유도하도록 특별히 제작됐다. 로보페어는 ▲다양한 응용분야에서 사용되는 사족보행 로봇 유니트리의 고(Go)2 로봇 ▲학술 연구에 자주 사용되는 바퀴 달린 클래어패스 로보틱스의 자칼 ▲엔비디아가 설계한 자율주행 시뮬레이터 돌핀스 LLM 시뮬레이터 등 3개의 로봇 플랫폼을 탈옥하는 데 100% 성공했다. 해당 알고리즘이 AI 로봇 시스템에 접근해 불과 며칠 만에 100% 탈옥에 성공한 것으로 알려졌다. 그 결과 로봇의 제어권을 탈취해 자율주행 차량이 교차로에서 정지하지 않고 그대로 통과하는 등 위험한 행동을 취하도록 지시할 수 있었다고 연구진은 설명했다. 또, 연구진은 “문제 해결을 위해 필요한 것은 '소프트웨어 패치'보다는 AI를 물리적 시스템에 통합하는 방식을 전면적으로 재평가하는 것”이라며, "현실 세계에 AI 기반 로봇을 배치하기 전에 본질적인 취약성을 해결해야 한다"고 인류에 재앙을 초래할 수 있는 로봇 해킹의 위험성을 경고했다. 연구진은 “사회적 규범에 부합하는 행동만 하는 로봇 시스템과 이를 보장하는 검증 프레임워크를 개발 중”이라고 덧붙였다.

2024.10.18 16:28이정현

이복현 금감원장 "무선 백도어 해킹 방어 수단 마련하겠다"

최근 금융회사가 망분리한 상태에서도 해킹할 수 있는 '무선 백도어 해킹'이 증가하고 있어, 금융당국에서도 이에 대한 방안을 마련키로 했다. 17일 국회 정무위원회 국정감사에서 강명구 국민의힘 의원은 한국은행 자료를 토대로 지난 1년간 97건에 달하는 해킹 시도가 있었다면서, 디도스 공격도 빈번했다고 지적했다. 강 의원은 "해킹 수법이 나날이 진화하고 있다"며 "최근에는 망 분리 상태에서도 해킹이 가능한 무선 백도어 해킹이라는 게 늘고 있다"고 말했다. 이어 "예전에는 소프트웨어 통해 백도어 해킹을 했다면 이제는 아예 전자기기의 무선 스파이칩을 심어 해킹하는 백도어 해킹이 대두돼 경각심이 높아지고 있다"고 덧붙였다. 이에 이복현 금융감독원장은 신종 해킹 수법과 관련해 관계기관과 방어수단을 마련 중이라고 입장을 밝혔다. 이 원장은 "지금 계속 신종 수법이라든가 온오프라인상 다양한 이슈들을 금융보안원, 각 금융회사와 함께 방어수단을 마련하려고 노력 중"이라며 "대형 금융사, 중소형 금융사 간의 IT 대응 역량과 관련해 속도 차이가 있는 것이 현실이지만, 대응에 최선을 다하겠다"고 강조했다. 해외에서도 무선 백도어 해킹에 대한 우려가 점차 커지고 있다. 올해 초 미국 행정부는 항만을 장악한 중국산 크레인이 국가 안보를 위태롭게 할 수 있다며 대대적으로 교체한 바 있다. 미국의 한 항구에서 사용 중인 중국 회사의 크레인 부품에서 12개 이상의 셀룰러 모뎀이 발견됐기 때문이다. 보안업계에선 무선 백도어 해킹을 우려한 미국 행정부의 조치로 해석했다. 이처럼, 무선 백도어 해킹에 대한 위협이 증가하면서 국내 보안전문 업체인 지슨이 주목 받고 있다. 이를 대비할 수 있는 시스템을 유일하게 갖고 있기 때문. 무선 백도어는 서버에 침투한 무선 스파이칩을 통해 불법 무선 연결 통로를 확보한 뒤 외부 해커와 통신하는 해킹 방식이다. 무선 주파수 통신으로 목표 시스템에 원격으로 접속해 데이터를 훔치거나 시스템을 붕괴시키는 신종 해킹 수법으로, 기존 망분리 정책(Air-Gap)을 무력화시키는 것으로 알려져 있다. 지슨의 무선 백도어 해킹 탐지 시스템인 '알파에이치(Alpha-H)'는 위치 추정 기술을 통해 보호 대상 공간에 이상 전파 신호가 나타나면 해당 위치를 추정한다. 그 다음 실시간으로 관제실에 알람을 울려 즉시 확인하고 선제 대응할 수 있도록 돕는다. 우리은행은 지난해 8월 금융업계 최초로 지슨 '알파-H'를 도입했다. 지난 2022년 1월부터 약 1년6개월간의 파일럿 테스트도 거쳤다. 우리은행은 기존의 유·무선 네트워크 보안 시스템으로는 방어가 어려운 신종 해킹 위협에 대한 대비책 마련이 필요하다는 판단에 따라 초도 물량을 도입한 것으로 전해졌다. 이 외에 신한은행, 국민은행도 지슨 '알파-H'를 적용한 것으로 알려졌다. 한동진 지슨 대표는 "무선 백도어 해킹은 금융권을 비롯해 군, 검경, 외교, 대기업 등 외부로부터 접속이 어렵고 보안이 강력한 내부망을 해킹하는데 사용되는 첨단 해킹 방식"이라며 "무선 백도어 해킹에 대응하는 탐지 시스템은 국내에서 자사 '알파-H'가 유일하다"고 밝혔다.

2024.10.18 10:46장유미

SDT, 외산 카메라 '백도어' 문제 완벽 해결한 양자 솔루션 공개

양자표준기술 전문기업 SDT(대표 윤지원)가 오는 23부터 26일까지 나흘간 인천 송도 컨벤시아에서 열리는 '2024 국제치안산업대전'에서 양자 기술 기반 스마트폴리스 기술장비를 선보인다고 18일 밝혔다. SDT는 보안 위협을 원천 차단하고 화재나 재난사고 등에 대한 경찰작전 수행을 효과적으로 지원하는 양자난수발생(QRNG)과 양자점(Quantum Dot) 기술 기반 카메라 솔루션을 소개한다. QRNG, 암호학적으로 가장 완벽…해킹 완벽 차단 이번 전시회에서 소개하는 QRNG 카메라 '노드브이'(NodeV)는 이미지 생성부터 영상 전송까지 전 과정을 양자난수발생(Quantum Random Number Generation, QRNG) 기술로 보호하는 양자암호보안 IP 카메라다. 양자역학적 특성을 이용, 예측 불가능한 순수 난수를 생성해 암호학적으로 가장 완벽한 보안을 제공하기 때문에 해킹을 원천 차단할 수 있다. 특히 별도의 난수발생 장비나 모듈을 사용하지 않고 대부분 카메라에 탑재되는 일반적인 이미지 센서의 다크샷노이즈(Dark Shot Noise)를 양자 엔트로피의 원천으로 활용해 난수를 생성하기 때문에 개발기간 단축은 물론 상용화의 큰 걸림돌이었던 개발비용에 대한 부담도 크게 낮췄다는 것이 SDT측 설명이다. 높은 정보 보안성을 보유하면서 중앙 서버로 데이터를 옮길 필요 없이 현장에서 실시간 데이터 분석이 가능하다. 윤지원 대표는 "KIST에서 고속으로 순수 난수를 생성하는 양자 응용 핵심 원천기술을 이전 받았다"며 "외산 카메라 백도어 문제와 데이터 유출 등으로 고민하는 국가기관이나 중요 시설 등 높은 보안 수준이 요구되는 현장에서 빠르게 대응할 수 있을 것"으로 기대했다. SDT는 지난 2022년 과학기술정보통신부와 경찰청, 과학기술사업진흥원이 진행한 '과학치안 공공연구성과 실용화 촉진 시범사업'에 컨소시엄으로 참여했다. 이 사업에는 한국과학기술연구원(KIST), 국민대학교, 드림시큐리티와 함께 양자암호로 이미지 생성부터 영상 전송까지 모든 과정을 양자기술로 보호해해킹을 원천 차단하는 IP카메라 개발을 진행해 왔다.SDT는 ▲IP카메라 내 완결형 에지 컴퓨팅 플랫폼 ▲보안 솔루션 ▲카메라 시스템 인증을 담당했다. KIST는 ▲양자난수발생기 ▲양자암호시스템 ▲이미지 센서 등을 위한 양자 응용 핵심 원천기술을 개발했다. 국민대학교 염용진 교수 연구팀과 드림시큐리티는 각각 ▲난수발생기 설계/분석/검증 및 최적화 ▲KCMVP(한국암호모듈검증제도) 암호모듈 검증 패키지 개발과 장치 인증, 키 관리, 통신 암호 등 보안 솔루션 제품화 등을 개발했다. SDT는 이와함께 육안으로 감지가 불가능한 상황에서도 뛰어난 가시성 제공하는 양자점 SWIR(단파장적외선) 카메라도 선보인다. 양자점 SWIR 카메라는 열화상 카메라에 양자점을 활용한 기술이 적용된 양자센싱 솔루션을 탑재했다. 이미지 기반으로 방대한 영역의 온도 측정이 가능한 비전 카메라다. 400~1,700㎚ 파장대를 흡수할 수 있어 높은 투과성을 지닌다. 어두운 장소나 악천후, 연기 등으로 시야가 가로막혀 육안으로 감지가 불가능한 상황에서도 뛰어난 가시성을 발휘한다. 윤 대표는 "비슷한 용도의 기존 인듐 갈륨 비소(InGaAs) 카메라 대비 훨씬 합리적인 가격으로 비슷한 성능을 갖고 있다"며 "소형·경량화가 가능해 농업, 생명과학, 통신 등 다양한 산업현장 외 화재나 재난사고 등에 대한 감시 및 대응 작전에 효과적으로 활용될 수 있을 것"이라고 말했다. 윤 대표는 "QRNG 카메라는 스마트폴리스 기술 개발에 대한 경찰청의 강력한 의지와 지원의 결과물"이라며 "범죄 및 보안 위협에 대한 선제적인 대응책을 마련하는 중요한 발걸음이 될 것”이라고 덧붙였다.

2024.10.18 09:38박희범

"수조원 규모 랜섬웨어 피해"…백악관, 해킹 대책 제시한다

백악관에서 랜섬웨어 공격으로 인한 수 조원에 달하는 손실과 생명의 위협을 저지하기 위해 전 세계적으로 몸값 지불을 중단할 것을 촉구했다. 16일 파이낸셜타임스 등 외신에 따르면 백악관은 제4회 연례 반랜섬웨어 이니셔티브 회의를 개최다고 밝혔다. 68개 회원국, 국제기구 및 산업 리더을 초청해 진행한 이번 행사는 랜섬웨어 방지를 위한 새로운 접근 방식을 모색하기 위해 마련됐다. 이 자리에서 백악관은 백업 유지 및 테스트, 데이터 암호화, 네트워크 모니터링 및 다중 요소 인증 배포를 포함해 랜섬웨어 공격의 성공 가능성과 그것을 제어할 가능성에 영향을 미치는 실천 방안을 제시했다. 먼저 다중 인증 요소, 엔드포인트 감지 및 대응, 암호화 시스템을 구축하고 정기적인 테스트를 수행하며 오프라인 환경에 백업 환경을 마련할 것을 권했다. 이어 운영 체제와 앱, 펌웨어의 보안을 유지하기 위해 시스템을 항상 업데이트 및 패치해 최신 버전으로 유지하고 더불어 사고 대응 계획을 지속적으로 테스트하며 취약점을 개선할 필요가 있다고 설명했다. 더불어 소프트웨어 공격에 대비하고 엔드포인트의 취약점을 노린 공격을 방지하기 위해 네트워크를 세분화하고, 각 구역별 접근을 제한할 것을 강조했다. 이와 함께 보험 회사에서 사이버 공격에 대한 몸값을 보상하는 서비스를 중단한 할 것을 요청했다. 백악관은 사이버범죄 조직에게 몸 값을 지불하는 것은 사이버 범죄 생태계를 부양하는 우려스러운 관행이라고 지적했다. 백악관의 사이버 책임자 앤 노이버거는 제시한 실전 방향을 각 기업과 조직에서 명문화하고 실행할 것을 권했다. 미국은 이번 회의를 통해 논의된 내용을 바탕으로 산업 및 회원을 통해 확보한 보안 기금을 출범시켜 사이버 보안 역량을 강화할 예정이다. 해당 기금은 랜섬웨어 방지를 위한 기술, 정책 및 대응 절차를 개선에 활용된다. 백악관에 따르면 작년 한 해 미국 연방수사국(FBI)는 랜섬웨어 감염 신고를 2천825건 접수했으며 손실액은 5천960만 달러를 넘어섰다. 올해는 미국 건강 보험 대기업에 대한 공격으로 병원과 약국이 몇 주 동안 운영을 중단했으며, 8억 7천200만 달러의 손실을 입었으며, 일본 최대 항만인 나고야 항구도 이틀 동안 폐쇄된 바 있다. 전 세계적으로 피해자 수와 금전적 손실이 계속 늘어나면서 점점 더 많은 사이버 보안 전문가와 법 집행 기관이 몸값 지불을 전면 금지 할 것을 요구하고 있다. 사이버범죄자 공격을 일으키는 재정적 동기를 차단하기 위함이다. 특히 랜섬웨어를 일으키는 범죄조직의 상당수가 러시아, 북한 정권의 산하 조직으로 추정되면서 이러한 의견이 늘어나고 있다. 하지만 랜섬웨어로 인해 병원 환자의 목숨이 위험에 처하는 등의 상황이 발생하고 있어 이를 그대로 실천하기는 어렵다는 것이 업계의 지적이다. 랜섬웨어 방지 전문 기업인 불월의 미국 부사장인 스티브 한은 "금지령으로 인해 사이버범죄가 중요 인프라를 향할 가능성도 커진다"며 "장기적으로 랜섬웨어를 방지하기 위해선 백악관에서 제시한 실천방안 처럼 인프라 전반에 걸쳐 우수한 사이버위생 환경을 구축하는 것이 가장 중요하다"고 말했다.

2024.10.16 15:16남혁우

금보원이 제시한 생성형 AI 시대 금융보안 트렌드는

정부가 생성형 인공지능(AI) 시대의 금융환경 변화와 대응방안을 모색하는 장을 마련했다. 금융보안원은 내달 7일 여의도 콘래드서울 호텔에서 금융정보보호 컨퍼런스(FISCON) 2024'를 개최한다고 15일 밝혔다. FISCON 2024는 디지털 기술 발전과 규제 환경 등 혁신 속에서 안전과 신뢰를 기반으로 한 지속 가능한 비즈니스 전략을 모색하는 자리다. 디지털금융과 금융보안에 관심 있는 누구나 이달 15일부터 금보원 홈페이지에서 사전등록 하거나 당일 현장에서 신청하면 된다. FISCON 2024는 ▲오프닝 행사 ▲주제강연・비공개세션 ▲시상식 ▲정보보호 산업 전시로 구성된다. 이날 황성우 삼성SDS 대표가 기조강연을 진행한다. 생성형 AI 시대에 기술혁신이 가져올 금융환경 변화와 대응방안을 살필 방침이다. 미국·일본 금융 정보통신기반시설보호(ISAC) 전문가도 행사에 참석한다. 국제 사이버 보안 공조 강화를 위해 최신 정보보안 이슈, 각국 사이버 위협 동향 정보 등을 공유하는 시간을 가진다. 주제강연은 디지털금융을 비롯한 금융보안 전략·기술·대응 분야 3개 트랙으로 이뤄졌다. 총 15개의 주제 강연이 진행된다. 전략 부문 트랙은 금융보안의 원칙중심 규제를 위해 도입한 책무구조도, 자율보안 프레임워크를 통한 금융보안 선진화 전략 등 금융 비즈니스 환경 변화에 따른 보안전략을 다룬다. 기술 트랙은 금융 제로트러스트, 양자내성암호 전환 동향 등 금융권에 도입되는 디지털금융 혁신 기술의 현황과 트렌드를 다룬다. 대응 트랙은 AI기반 취약점 탐지, 금융 클라우드 보안 대응 등 고도화되는 디지털금융 위협에 대한 대응방안을 논의한다. 비공개 세션에서는 금보원 대의원사 보안담당자 대상으로 모의해킹 주요 취약점 사례 등 금융보안 주요 현안·이슈를 공유한다. 이 외에도 금보원은 '제8회 금융보안원 논문공모전'을 비롯한 '금융권 사이버 침해위협 분석대회' 'AI 경진대회 및 아이디어 공모전' 수상작 시상식과 전시도 연다. 김철웅 금보원 원장은 "어느 때보다 큰 변화가 일어나고 있는 IT 및 금융 비즈니스 환경에서 적응하기 위해 글로벌 금융보안 트렌드를 살펴보며 새로운 대응 전략을 마련할 필요가 있다"면서 "이번 행사가 거대한 변화 속에서 지속가능한 금융보안 전략을 모색하고, 빠르게 진화하는 사이버 위협에 대한 해결방안을 함께 나눌 수 있는 교류의 장이 되길 바란다"고 밝혔다.

2024.10.15 17:35김미정

유니온커뮤니티, 패스워드 보안취약 보완기술 확보

유니온커뮤니티(대표 신요식)가 패스워드 인증 방식의 취약점을 보완하기 위한 기술을 확보했다. 유니온커뮤니티는 글로벌 온라인 생체인증 표준화 기구인 ' 신속한 온라인 인증(FIDO)'으로부터 FIDO2 서버 인증을 획득했다고 15일 밝혔다. FIDO2 인증은 기존 온라인 환경에서의 패스워드 인증 방식의 취약점을 보완하기 위해 개발된 국제표준 기술로 공개 키 구조(PKI)를 활용해 사용자와 서버 간 상호 인증을 통해 보안성을 강화한다. FIDO 인증은 금융, 공공기관, 의료 등 다양한 산업에서 보안 표준으로 자리 잡고 있으며, 인증된 제품의 신뢰성을 확인하는 중요한 기준으로 활용되고 있다. 유니온커뮤니티는 이번 FIDO2 서버 인증 획득을 통해 ▲ 서버와 사용자 간 상호 인증으로 해킹 및 피싱 위협을 방지 ▲사용자 편의성: 비밀번호 없이 생체 정보(지문, 홍채 등)를 이용해 쉽게 인증, ▲확장성: 다양한 기기와 환경에서 일관된 보안성 유지 등 비밀번호 없이 보안성이 높고 더욱 편리한 생체인식 인증 환경을 제공할 수 있게 되었다. 유니온커뮤니티는 생체인식 기반 서버인증 솔루션인 유바이오 이지패스(UBio-ezPass)에 FIDO2 서버 인증을 적용하여 더욱 강력한 보안성을 제공할 예정이다. 이번 인증 기술을 통해 생체인식 기반의 보안 솔루션을 업그레이드하여, 다양한 산업에서 더욱 신뢰할 수 있는 보안 환경을 제공할 수 있을 것으로 기대하고 있다. 신요식 유니온커뮤니티 대표이사는 "이번 FIDO2 서버 인증은 당사의 보안 솔루션이 글로벌 표준을 충족함을 입증한 것”이라며 “유니온커뮤니티는 신뢰할 수 있는 생체인식 보안 솔루션을 제공하는 선도 기업으로서의 위치를 공고히 할 것"이라고 말했다.

2024.10.15 15:28남혁우

[기고] 클라우드 시대에 맞는 사이버 보안 운영 모델 구축법

퍼블릭 클라우드 서비스 도입은 이제 표준으로 여겨진다. 가트너 설문조사에 따르면 조직의 94%가 퍼블릭 클라우드를 디지털 비즈니스 이니셔티브의 중요 요소로 꼽기도 했다. 그러나 클라우드 마이그레이션의 많은 장점에도 불구하고 이는 사이버 보안 운영에 상당한 어려움을 야기하는 원인이 되기도 한다. 이제 공통 도메인과 클러스터를 포함한 사이버 보안의 대부분 측면을 클라우드에서 구현해야 하지만, 기존의 사이버 보안 모델과 기술 세트는 클라우드가 아닌 온프레미스 환경에 맞춰져 있는 것이 현실이다. 최고정보보호책임자(CISO)를 비롯한 사이버 보안 리더는 클라우드 도입의 불가피성과 이에 따른 변화를 무시할 수 없다. 그렇기에 클라우드 시대를 맞이한 비즈니스 환경에 맞게 팀 구조, 커뮤니케이션 채널, 기술 등 운영 모델 전반을 조정해야 한다. 나아가 CISO는 효과적인 사이버 보안 프로그램을 구축해야 하는 책임이 있다. 비즈니스 위험을 최소화하면서 클라우드로의 전환을 실현하기 위해 다음과 같은 지침을 참고할 필요가 있다. 가트너에 따르면 클라우드 지출은 2027년까지 연평균 17% 이상의 성장률을 유지할 것으로 전망된다. 이는 클라우드로 이전되는 워크로드와 애플리케이션의 수가 증가하고, 효과적인 워크로드 보호에 대한 중요성 또한 높아질 것임을 의미한다. 이러한 워크로드는 AWS, 마이크로소프트 애저, 구글 클라우드와 같은 하이퍼스케일 클라우드 공급업체 중 하나 또는 그 이상의 업체에서 호스팅될 수 있다. 이에 따라 조직은 이러한 새로운 환경에 적응하기 위해 팀을 구성하고 팀의 역량을 조정해야 한다. 조직 내에서 클라우드 보안 전담팀의 필요성은 클라우드 기술의 중요도, 도입 프로세스의 복잡성, 각 사업 부서에서 제공하는 셀프 서비스 수준과 같은 요소들을 고려해 조직의 클라우드 기술 사용 방식에 따라 결정된다. 조직은 다양한 클라우드 운영 모델을 채택하지만, 클라우드 보안 모델은 특정 클라우드 운영 모델에 맞춤화돼야 한다. 클라우드 도입 초기 단계에는 조직에 별도의 '클라우드팀'이 없는 경우가 많다. 대신 다양한 부서의 기술 인력이 모여 클라우드 위원회, 타이거팀(해킹 전문가팀), 파일럿팀 또는 클라우드 역량 센터를 구성한다. 이러한 그룹들은 일반적으로 비공식적이며 각 구성원들의 노력에 의존하여 운영된다. 이에 따라 클라우드에 대한 책임은 기존에 온프레미스 운영 책임이 있는 부서에 할당되는 경우가 많다. 조직은 클라우드 거버넌스를 담당하는 엔터프라이즈 아키텍처 기능으로서 클라우드 혁신 센터(CCoE)를 설립하고, 클라우드 기술 구현을 담당하는 클라우드 플랫폼 운영(CPO) 기능을 함께 구축할 것을 권장한다. CPO 기능은 애플리케이션 팀을 대신해 내부 관리 서비스 공급자(MSP)와 같은 역할을 수행하며 컨설팅 기능, 플랫폼 기능, 일상적 운영을 제공한다. 또 다른 모델로는 애플리케이션팀이 클라우드 리소스를 포함한 전체 애플리케이션 스택의 인프라, 운영, 보안을 전적으로 책임지는 방식이 있다. 이러한 극단적인 '데브옵스(Extreme DevOps)' 또는 '데브섹옵스(DevSecOps)' 모델은 규제가 없는 초기 클라우드 도입 환경이나 성숙한 디지털 조직에서 흔히 볼 수 있다. 클라우드 혁신 센터(Cloud Center of Excellence, CCoE)를 설립하는 것 역시 클라우드를 위한 조직 구성의 중요한 측면이다. CCoE는 협의의 중심점으로서 혼란을 관리하고 거버넌스를 확립하는 데 도움을 준다. 적절한 클라우드 거버넌스는 클라우드 기술 도입에 따른 위험을 완화하는 데 매우 중요하다. CCoE는 클라우드 거버넌스 범위를 넘어서는 책임이 있기 때문에 일반적으로 경영진의 지원을 받는다. 보통 클라우드 엔터프라이즈 아키텍트가 담당하여 운영하며 자문형 엔터프라이즈 아키텍처로 기능한다. 조직의 클라우드 컴퓨팅 자문 위원회(CCAC)는 CCoE에 전략 및 정책 피드백을 제공한다. 보안 및 위험 관리(SRM)는 대부분의 경우 한 명 이상의 담당자가 있으며 CCoE에 영향을 미칠 수 있는 공식적인 권한을 갖는다. 클라우드 보안은 기존 보안과 결과적으로는 다르지 않지만 제공되는 방식은 다른 경우가 많기 때문에 온프레미스 보안과 동일한 보안 클러스터가 필요하다. 이러한 클러스터는 조직에 따라 담당하는 팀이 다를 수 있지만 구성 및 운영 방식은 조직이 선택한 클라우드 운영 모델과 일치돼야 한다. 보안 운영에 대한 의사결정은 부분적으로 기술과 성숙도에 따라 이루어진다. 조직이 클라우드 여정을 진행하면서 기존 보안팀은 클라우드 기능을 통합할 것이며 보안 운영 센터(SOC)는 클라우드 사고 처리, 클라우드 환경에서의 위협 탐지 감독, 위협 인텔리전스를 비롯한 클라우드 공급업체의 추가 서비스를 관리하게 될 것이다. 클라우드 도입을 방해하고 부정적인 결과를 초래하는 몇 가지 분명한 안티패턴도 있다. 조직은 ▲클라우드 이니셔티브에서 사이버 보안팀을 완전히 배제 ▲사이버 보안팀이 비즈니스 또는 운영팀과의 협업 없이 모든 것을 전담 ▲보안, 클라우드 엔지니어링, CCoE 간의 협업 부족 ▲클라우드 보안과 거버넌스의 혼동 등과 같은 안티패턴으로 클라우드팀을 구성하는 것을 피해야 한다: 클라우드 보안에는 온프레미스 환경과 동일한 보안 구성 요소가 모두 포함된다. 그러나 이를 성공적으로 구현하는 것은 클라우드 보안 전담팀을 구성하는 것만큼 쉽지 않다. 클라우드 보안팀을 구성하는 방법에 정답은 없지만 피해야 할 안티패턴은 존재한다. 이러한 패턴을 피하는 것 외에도 선택한 클라우드 운영 모델에 맞게 조직을 구성해야 최적의 결과를 얻을 수 있다. 퍼블릭 클라우드 서비스를 도입하는 기업이 증가함에 따라 사이버 보안 리더의 역할은 점점 더 중요해지고 있다. 팀 구조 재평가부터 보안 모델 조정, 클라우드 혁신 센터 구축 등 일련의 과정을 수행함과 동시에 안티패턴을 파악해 부정적인 영향을 최소화하는 것이 보안을 강화하고 클라우드의 혁신 잠재력을 충분히 활용할 수 있는 길이다.

2024.10.15 14:39최윤석

Prev 21 22 23 24 25 26 27 28 29 30 Next