검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'【카톡 : 𝘀𝗽𝘆𝟳𝟵𝟳𝟵】 까똑 해킹👀해킹 까똑【카톡 : 𝘀𝗽𝘆𝟳𝟵𝟳𝟵】👀까똑 해킹👀까똑 해킹👀해킹 까똑'통합검색 결과 입니다. (1091건)

영역
기간
- 3개월
- 1년
- 1년 이전

재검색

"보안 통제 항목, 다 만들었다…이제 구현할 때"

국내 정보보호 기업 SGA솔루션즈의 최영철 대표는 “과거 보안 통제 항목을 만들었다면 이제는 이를 구현할 때”라고 말했다. 최 대표는 18일 서울 삼성동 코엑스에서 열린 '제31회 정보통신망 정보보호 학술대회(NetSec-KR)'에서 이같이 밝혔다. 넷섹은 한국정보보호학회가 초고속 정보통신망 구축 사업이 시작된 1995년부터 개최한 국내 최대 정보보호 학술대회다. 최 대표는 '국가망보안체계(N2SF) 기반 제로 트러스트(Zero Trust) 적용 방법에 대한 고찰'을 주제로 발표했다. 제로 트러스트는 '절대 믿지 말고 항상 검증하라'는 개념이다. 최 대표는 “미국 연방정부가 지켜야 할 보안 통제 항목은 2005년부터 만들어졌다”며 “통제 항목이 1천개로 굉장히 많지만 무엇을 우선할지, 어떻게 지켜야 할지 명확하다”고 설명했다. 이어 “미국 국방부는 제로 트러스트 개념이 나오자마자 이를 어떻게 적용할지 계획을 세웠다”고 전했다. 최 대표는 “SGA솔루션즈는 제로 트러스트 오버레이(overlay)를 취했다”며 “제로 트러스트 오버레이로 중복 투자를 막고 통제 항목끼리 충돌하지 않게 해 효과적으로 제로 트러스트를 도입할 수 있다”고 강조했다.

2025.04.18 16:04유혜진

TRM 랩스 "북한 해커, 멕시코 마약 카르텔...중국 블랙마켓 통해 가상자산 세탁"

북한 해커, 멕시코 마약 카르텔, 러시아 조직폭력배, 사기꾼 등 범죄자가 중국 블랙마켓을 통해 수십억 달러 규모 가상자산 자금 세탁을 진행하고 있다고 미국 가상자산 매체 디크립트가 17일 보도했다. 블록체인 보안 기업 TRM랩스(TRM)는 보고서를 통해 "대규모 범죄 조직의 자산 운용은 중국의 조직적 자금세탁 네트워크 없이는 불가능하다"고 주장했다. 미국 재무부 및 연방검찰 출신인 TRM 아리 레드보드 글로벌 정책 책임자는 "펜타닐은 마약범죄, 북한은 사이버범죄, 피싱 사기는 금융사기로 따로 구분하는 기존 관점은 잘못됐다"며 "이 모든 범죄를 가능케 하는 중국의 자금세탁 네트워크를 하나의 연결된 위협으로 인식해야 한다"고 강조했다. TRM 측은 지난 2월 발생한 바이비트 이더리움 탈취 사건을 사례로 들었다. 이 사건은 북한이 역대 최대 규모에 달하는 약 14억 달러 상당의 이더리움(ETH)을 탈취한 사건이다. 당시 국제사회는 북한의 사이버 해킹 능력에 주목했지만 정작 해킹 자금을 세탁한 주체는 북한이 아닌 중국의 자금세탁 조직이었다고 TRM은 지적했다. TRM 닉 칼슨 수석 조사관은 "토르체인 같은 서비스를 통해 이더리움을 비트코인으로 바꾼 주체는 북한이 아니라 중국의 돈세탁 브로커들이다"이라며 "이들은 탈취 자금을 현금화하는 고도화된 서비스를 운영하고 있다"고 말했다. TRM에 따르면 이들 브로커는 중국 범죄조직인 삼합회가 운영하는 비공식 은행망을 기반으로 활동한다. 닉 칼슨 조사관은 브로커가 범죄 조직의 가상자산을 받아 중국 부유층이 자산을 해외로 반출할 수 있도록 달러 등 실물화폐로 전환해주는 역할을 맡는다고 말했다. 특히 TRM은 멕시코 시날로아 카르텔 같은 조직이 테더(USDT) 등 스테이블코인을 중국에서 세탁하는 구조에 깊이 의존하고 있다며 “만약 이 네트워크가 차단된다면 카르텔 입장에서는 치명타가 될 것”이라고 분석했다. 이 같은 자금세탁망은 현재 캄보디아 등 동남아 국가의 역외 거점을 기반으로 운영되고 있으며 TRM은 미국의 제재 대상 지정 등을 통해 실질적 제재가 가능하다고 제안했다.

2025.04.18 08:04김한준

최우혁 과기정통부 국장 "올해 보안 R&D 1049억 투입"

과기정통부가 미래보안기술 확보를 위해 올해 연구개발(R&D) 투자를 1049억원 투입한다. 또 사이버보안 인재 양성 지원 예산도 확대, 올해 283억원을 사용한다. 최우혁 과기정통부 정보보호네트워크정책관(국장)은 17일 서울 코엑스 그랜드볼륨 1층에서 열린 '제 31회 정보통신망 정보보호 컨퍼런스 2025(NetSet-KR 2025)'에서 기조강연자로 나서 올해 과기정통부의 정보보호 정책 방향을 설명하며 이 같이 밝혔다. 이날 최 국장은 "AI의 영향력이 모든 분야로 확장하는 AI혁명시대가 도래했다. 반면 사이버공격도 AI와 함께 양적, 질적 진화를 하고 있다"고 짚었다. 이어 여러 사건을 업급하며 "진화하는 사이버공격이 전 경제, 사회 영역을 위협하고 있다"고 우려했다. 실제, 2023년 해커가 국내 IP카메라를 해킹해 4500개 이상 영상이 텔레그램을 통해 유포됐다. 또 올해만해도 '연말정산' '게엄 정보공유' 등의 위장된 악성코드 메일이 불특정 다수에 발송됐다. 기업의 랜섬웨어 공격도 증가세다. 금융권의 경우 랜섬웨어 공격이 2021년 34%에서 2024년 65%로 1.9배 많아졌다. 전세계도 예외가 아니다. 2023년 기준 전세계 기반시설 공격이 전년보다 30% 늘었다. 지역도 최근 3년 지자체 통신망에 대한 사이버위협 건수가 약 30% 증가했다. 최 국장은 "생성AI 기술 발전, 클라우드 전환 확대, 오픈소스 생태계 활성화 등 AI기술 확산이 보안 패러다임 전환을 가속화하고 있다"면서 "미국 등 주요국은 정보보호 법안 마련 등 사이버보안을 강화하는 추세"라고 진단했다. 미국의 경우 2021년 5월 국가 사이버안보 향상에 관한 행정명령을 시행했고, 이어 올 1월에는 AI를 활용해 사이버 방어 연구와 랜섬웨어 등 악성 사이버 활동을 제재하는 '국가 사이버보안 강화 및 혁신 촉진에 관한 행정명령'도 가동에 들어갔다. 유럽연합(EU)은 2022년 9월 사이버 회복탄력성법을 만들어 제조, 유통, 수입업체 등 공급망에 포함된 기업들을 대상으로 S봄(S BOM) 의무화를 제시했고, 2024년 8월에는 AI법도 제정했다. 또 일본도 2022년 신사이버보안 전략을 마련한데 이어 2024년 사이버보안 정책을 새로 선보였다. 영국 역시 2022년 국가사이버 전략에 이어 2024년 사이버 보안 복원력 법안을 마련했다. 이날 최 국장은 과기정통부의 올해 6대 정보보호 정책인 ▲AI기반 침해 대응 ▲미래 보안기술 확보 ▲사이버보안 인재 양성 ▲정보보호 산업 해외진출 지원 ▲기업 정보보호 강화 ▲지역내 협력체계 구축을 각각 소개했다. 최 국장은 "AI기반 침해 대응 체계를 고도화하고 있다"면서 "위협 IoC 정보 및 AI 데이터셋이 23억건에 달한다"고 말했다. 올해 투입하는 1049억원의 미래 보안기술 연구개발 규모에 대해서는 "미래산업 경쟁력을 선제적으로 확보하기 위한 도전적 분야와 글로벌 기술 주도권 및 수출경쟁력 확보가 필요한 분야(양자내성암호, 프라이버시 강화 기술), 국가 안보 및 국민안전과 연관한 핵심기술로 지속 투자가 필요한 분야(공격억지, 선제면역, 회복탄력)에 사용한다"고 말했다. 특히 사이버보안 인재양성과 관련해 "최정예 사이버 인력 양성으로 안전한 AI강국 구현에 기여하겠다"고 강조했다. 이를 위해 과기정통부는 특성화대학교와 융합보안대학원 등 정규 교육 지원을 확대하는 한편 융합보안인력양성과정, 보안관제인력양성과정, S개발자 과정, 차세대보안리더양성(BoB) 등의 중단기 보안 교육을 확대한다. 군과 협력해 사이버탈피오트와 사이버전문사관제도 운영하고 있다. 여기에 세계 유수 대학에 석박사 및 포닥 파견을 지원한다. 정보보호산업 해외 진출도 적극 지원하고 있다. 이와 관련해 최 국장은 "한국정보보호 모델과 침해대응 체계 모델, 물리보안과 개인정보보호 등 분야별 특화 모델, 인재양성 모델 등 4대 정보보호 모델을 해외에 전파하는데 힘쓰고 있다"고 힘줘 말했다. 과기정통부는 정보보호 투자 활성화도 힘쓰고 있다. 이에, 정보보호최고책임자(CISO)가 2022년 2만4846명에서 2024년 2만9500명으로 늘었다. 또 공시기업의 정보보호 투자액도 2022년 1조5072억에서 2024년 2조1196억으로 많아졌다. 정보보호인증제는 ISMS, IoT, CSAP 등 3종류를 시행하고 있다. 지역내 협력체계도 구축, 2017년부터 판교에 정보보호클러스터를 운영하고 있는데 2023년 동남지역에도 이를 조성했고, 올해도 신규 지역에 새로 조성, 대경과전라, 충청권 중 한 곳을 선정할 예정이다. 이외에 지역별 정보보호 수요 발굴 등의 업무를 하는 지역정보보호 지원센터를 전국 10곳에 설치, 운영하고 있다. 최 국장은 그동안의 주요 성과로 사이버 글로벌 선도국 도약, 세계 최고 수준 보안 인재 확보, 정보보호 산업 지속 성장을 들며 "그동안 민관이 함께 구축한 정보보호 기반 위에서 AI시대에도 세계에서 가장 안전한 국가를 완성하기 위한 전략을 함께 고민할 시점"이라고 밝혔다.

2025.04.17 19:44방은주

사진으로 본 '넷섹 2025'···AI보안 등 큰 관심

'제31회 정보통신망 정보보호 학술대회(NetSec-KR)'가 17일 서울 삼성동 코엑스에서 열렸다. 넷섹은 한국정보보호학회가 초고속 정보통신망 구축 사업이 시작된 1995년부터 개최한 국내 최대 정보보호 학술대회다. 넷섹은 18일까지 이틀 동안 이어진다. 학회는 산·학·연 관계자 1천300명이 넘게 모인다고 전했다. '넷섹(NetSec-KR)' 이모저모를 사진으로 살펴봤다. ◆ 영예의 수상자들

2025.04.17 17:58유혜진

"폰화면·종이에 찍은 건 신분증 아닙니다"

가상자산거래소를 비롯해 금융사 고객 확인 제도가 엄격하다. 소비자는 신분증 원본으로 실명을 인증해야 한다. 신분증을 인쇄한 종이, 또는 신분증을 사진 찍어 스마트폰이나 모니터 화면으로 보여줘도 소용없다. 17일 서울 삼성동 코엑스에서 열린 '제31회 정보통신망 정보보호 학술대회(NetSec-KR)'에서 이런 사례가 알려졌다. 넷섹은 한국정보보호학회가 초고속 정보통신망 구축 사업이 시작된 1995년부터 개최한 국내 최대 정보보호 학술대회다. 진창환 코빗 변호사는 '금융권 고객 확인(KYC·Know Your Customer) 문제와 전망'을 다뤘다. 진 변호사는 “코빗은 한국 최초 가상자산거래소”라고 소개했다. 그는 “모니터에 출력된 신분증이나 종이에 인쇄된 신분증 등은 실물이 아니다”라며 “비실물신분증은 사본의 사본이기에 법원은 사본의 사본을 인정하지 않는다, 즉 법원은 원본만 인정한다”고 말했다. 진 변호사는 “금융회사는 단순히 실제 거래자 명의로 금융 거래하는지 확인하는 데 그쳐선 안 된다”며 “금융 사고를 막으려 노력했음을 담보할 수 있는 수준의 본인 확인 조치를 취해야 한다”고 강조했다. 그러면서 “고객 위험 등급에 따라 1~3년마다 실제 고객인지 확인한다”며 “이름·국적·주민등록번호·성별·주소·전화번호와 자금 세탁 방지를 위해 직업이 무엇인지, 자금을 실제 소유한 사람인지 등을 따진다”고 예를 들었다. 김선미 한국인터넷진흥원(KISA) 단장은 '디지털 전환 시대, 보안 인증 점검 제도'로 정보보호 및 개인정보보호 관리 체계(ISMS-P·Personal Information & Information Security Management system) 인증을 꼽았다. ISMS-P는 기업이 보안 수준을 높이고 개인정보 유출을 막도록 보호 체계를 갖췄는지 심사하고 인증하는 제도다. 정보통신망 서비스를 제공하는 기업이나 정보통신 서비스 매출액이 100억원 이상인 업체는 의무적으로 인증을 취득해야 한다. 인증 받으려면 시스템운영팀과 정보보안팀, 개인정보보호팀 같은 조직을 꾸려야 한다. 시스템 운영 장소와 설비도 필요하다. 유정각 금융보안원 팀장은 '공격자의 시선에서 바라본 금융 보안'을 전했다. 이에 따르면 공격자는 시설을 파괴하거나 무단 침입하고 신분증을 복제한다. 공항처럼 중요 시설에서 일하는 직원 가족을 협박하고, 돈으로 꾀어 내부 정보를 요구하기도 한다. 피싱 메일을 보내는 일도 허다하다. 유 팀장은 “공격자는 무턱대고 나서지 않는다”며 “정찰-무기화-전달-악성코드 실행-설치-명령-제어 단계를 거쳐 목표를 달성한다”고 평가했다. 이어 “시스템 취약점을 자주 살펴봐야 한다”며 “우리 방어 체계가 제대로 작동하는지 시험해야 한다”고 덧붙였다.

2025.04.17 16:52유혜진

보안 상장사 작년 매출 보니…안랩, 1등 아니네

금융감독원 전자공시시스템에 따르면 보안 전문기업 드림시큐리티는 연결 재무제표 기준 지난해 매출액 2천688억원을 달성했다. 코스닥시장에 상장한 한국정보보호산업협회(KISIA) 임원 21개사 중 가장 많은 매출액이다. 또 코나아이는 영업이익 334억원으로, KISIA 임원 21개사 중 제일 많은 영업이익을 기록했다. 매출액 1천억원 이상 보안 상장사 중 지난해 영업이익률 1위는 20.06%의 윈스다. 안랩 매출액은 2천606억원으로 2등이였다. 안랩은 영업이익도 277억원으로 2등이다. 영업이익률은 10.62%로, 3등이다. 강석균 안랩 대표는 지난해 실적을 공시한 직후 “창립 30주년을 맞은 올해에는 국내는 물론이고 해외에서도 의미있는 성과를 낼 것”이라고 말한 바 있다. 지난해에도 사우디아라비아 합작법인 '라킨(Rakeen)' 덕에 해외 매출 비중이 커졌다고 설명했다. 보안 상장사 가운데 시가총액은 안랩이 이날 9천46억원으로 압도적이다. 코나아이가 4천617억원으로 뒤를 이었다. 다음으로 이스트소프트(2천592억원), 드림시큐리티(1천632억원), 윈스(1천417억원), 오픈베이스(811억원), 이글루(586억원) 순이다. 안랩은 안철수 국민의힘 의원이 창업해, 대표적인 정치 테마주다. 지난해 말 기준 안 의원이 지분 16.72%를 보유한 최대주주다. 안 의원은 6·3 제21대 대통령선거 국민의힘 예비경선 후보로 최근 등록했다. 코나아이는 이재명 테마주로 꼽힌다. 이재명 더불어민주당 대선 경선 후보가 경기도지사이던 2019년 경기지역화폐 사업을 추진하면서 운영 업체로 뽑혔다.

2025.04.17 16:08유혜진

파수, 고객행사서 AI 전략 소개한다

정보보호 기업 파수는 22일 서울 여의도 페어몬트앰버서더호텔에서 고객 행사 'FDI 2025 심포지움(Fasoo Digital Intelligence 2025 Symposium)'을 연다. '생성형 인공지능(AI) 혁명: AI가 기업에 가져올 변화'가 주제다. 생성형 AI 기술을 살펴보고, 경량 대형 언어 모델(sLLM)을 조직에 어떻게 맞출지 짚어준다. 악성 메일로 인한 취약점을 진단하고 관리하는 법, AI와 클라우드 시대 정보 보안 경향, 소프트웨어(SW) 공급망 보안과 소프트웨어 자재 명세서(SBOM·Software Bill of Materials)를 만들고 검증하는 요령, 사이버 물리 보안(CPS)도 설명한다. 조규곤 파수 대표는 "생성형 AI로 사업 환경이 바뀌었다"며 "보안 전문가가 놓치지 말아야 할 내용을 공유하겠다"고 말했다. 현장에 참석하면 파수 주요 상품을 볼 수 있다. 예약하면 1대 1 상담도 한다. 파수 고객인 기업·기관의 정보보호최고책임자(CISO), 정보기술(IT) 담당자 등이 참여하기로 했다.

2025.04.16 15:37유혜진

美 횡단보도에 머스크·저커버그 목소리가…이유는

미국 실리콘밸리 일대 횡단보도 신호등 음성 시스템이 해킹 당해 일론 머스크 테슬라 최고경영자(CEO)와 마크 저커버그 메타 CEO 목소리가 흘러나와 주변을 깜짝 놀라게 했다. 14일(현지시간) 테크크런치 등 외신에 따르면 미국 캘리포니아주 멜로라크, 팔로알토, 레드우드시티 일대 횡단보드 음성 지원 버튼을 누르면 안내 메시지 대신 머스크와 저커버그 목소리가 흘러나오는 일이 발생했다. 일부 버튼을 누르면 "우리가 AI를 의식의 모든 측면에 강제로 삽입하는 과정에서 불편함을 느끼거나 침해당했다고 느끼는 것은 정상적인 일"이라는 저커버그 목소리가 나왔다. 다른 버튼을 눌렀더니 일론 머스크의 목소리로 “젠장, 나는 너무 외로워”라는 음성이 들렸다고 외신들이 전했다. 외신들은 관련 시스템이 해킹당했을 가능성을 제기하고 있다. 이번 해킹은 지난 금요일에 발생했을 가능성이 높은 것으로 알려지고 있다. 이 사건을 가장 먼저 보도한 지역 매체 팔로알토 온라인은 레드우드 시 관계자의 말을 인용해 시 당국이 "문제를 적극적으로 조사하고 가능한 한 빨리 해결하기 위해 노력하고 있다"고 밝혔다. 횡단보도 오디오 지원 버튼은 시각 장애인 등이 횡단보도를 안전하게 건널 수 있도록 도와주는 것으로 국내 뿐 아니라 미국 전역에서 널리 사용되고 있다.

2025.04.15 17:35이정현

[보안리더] 김휘강 "해커 출신 교수 1호···게임 논문 등으로 명성"

제가 해커 출신 교수 1호일 거예요. 한국과학기술원(KAIST·카이스트) 해킹 동아리 '쿠스(KUS)' 회장으로서 모의 해킹을 많이 해 봤거든요. 이 경험을 살려 학생에게 네트워크 보안을 가르치고 있습니다. 꿈이 있다면 2~3년 안에 AI스페라가 상장하기 바랍니다. 거인과 어깨를 나란히 하는 회사가 돼 더 큰 자본과 싸우고 싶어요. 김휘강 고려대 정보보호대학원 교수는 지난 11일 서울 성동구 AI스페라 사무실에서 지디넷코리아와 만나 이같이 밝혔다. 그는 고려대 정보보호대학원 해킹대응기술연구실에서 함께 연구하던 강병탁 대표와 같이 2017년 10월 AI스페라를 창업했다. 인터넷프로토콜(IP) 주소를 수집해 2023년 4월 '크리미널(Criminal) IP'를 선보였다. IP 주소를 검색하면 불법인지 알려주기에 'IP 범죄 기록부'라 불린다. 김 교수는 “IP를 추적하면 수법과 해커가 남긴 악성코드를 분석해 누가 해킹했는지 알 수 있다”며 “사이버 위협 정보로 모든 것을 알지는 못해도 수사관이 단서를 얻을 수 있다”고 말했다. AI스페라는 외국에서 더 유명하다. 영어로 시작해 한국어·일본어·프랑스어·아랍어로 서비스 언어를 늘렸다. 김 교수는 “한국이 사이버 강국이 되려면 회사를 만들 때부터 해외 사업을 하겠다는 목표를 잡아야 한다”며 “그렇게 출발한 AI스페라도 우여곡절이 많다”고 밝혔다. 그는 “한국 기업이 해외에서 성공하려면 현지 법과 제도를 알아야 하고, '몇 년은 손실 본다'는 생각으로 돈을 써야 된다”며 “한국에서보다 훨씬 많은 인건비를 쓰면서 버틸 수 있는 회사가 많지 않다”고 지적했다. 이어 “정부는 창업기업이 해외 벤처캐피털(VC)과 만날 수 있게 이어주면 좋겠다”며 “기업과 아울러 정부와 자본시장도 해외 진출 전문성을 길러야 한다”고 덧붙였다. 김 교수는 국내 보안 컨설팅 기업 에이쓰리시큐리티컨설팅도 세운 바 있다. 그는 “은행 인터넷뱅킹과 증권사 홈트레이딩시스템(HTS)을 모의 해킹해 '이런 취약점을 고치라' 권했다”며 “취약점 자동 진단 도구도 만들었다”고 전했다. 국내 유명 게임회사도 거쳤다. 엔씨소프트 정보보안실장이었다. 김 교수는 “누가 게임 '리니지' 회원으로 가입하려 보니 '이미 가입한 주민등록번호였다' 하더라”며 “주민번호 생성기가 유행하던 때”라고 회상했다. 이후 “2006년 엔씨소프트는 모바일 일회용비밀번호(OTP) 생성기 '린OTP'를 국내에서 처음으로 모든 사용자에게 무료로 줬다”며 “대부분 스마트폰 기종에서 쓰게끔 시험했다”고 설명했다. 고려대로 온 건 2010년이다. 게임 생태계 폐단을 논문으로 알려 유명해졌다. 비트코인 같은 게 나오기 전 게임머니가 가상화폐 역할을 했다. 김 교수는 “'작업장'이란 곳에서 무료 계정 수백개를 모으는 조직, 이 계정이 게임에서 자동으로 사냥하게 시키는 조직, 이렇게 번 게임머니를 중국으로 보내 환전하는 조직이 마약 조직처럼 일한다”고 지적했다. 이를 포함해 온라인 게임과 자동차 보안 논문을 여럿 썼다. 김 교수는 “고려대 정보보호대학원 해킹대응기술연구실의 침입 탐지 시스템 연구 성과는 세계 자동차 보안 연구 자료로 널리 활용된다”며 “지난 2월 미국 스탠포드대와 논문 정보 분석 기업 엘스비어가 세계 상위 2% 연구자로 뽑는 영예를 안았다”고 말했다. 이들 기관은 5편 이상 논문을 발표한 세계 연구자 중 논문이 얼마나 많이 인용됐는지 등을 평가한다. 이밖에 2022년 6월 한국과학기술단체총연합회 제32회 과학기술우수논문상, 2023년 5월 고려대 석탑국제협력상과 석탑연구상, 2024년 9월 개인정보보호유공 및 개인정보보호위원장 표창, 2024년 11월 사이버치안대상 대통령 표창 등을 받았다. 아래는 김휘강 교수 주요 이력. 대전과학고 카이스트 산업경영학과 학사 카이스트 산업공학과 석사 카이스트 산업공학과 박사 1999.8~2004.4 에이쓰리시큐리티컨설팅 창업 및 대표컨설턴트 2004.5~2010.2 엔씨소프트 정보보안실장 2010.3~현재 고려대 정보보호대학원 교수 2017.11~현재 AI스페라 공동창업자

2025.04.15 16:35유혜진

노드VPN, 출퇴근길 공공 와이파이 주의…"해커들의 놀이터"

노드VPN이 한국의 출퇴근길 공공 와이파이 사용 실태에 대해 경고를 발표하며 사이버 보안의 중요성을 강조했다. 노드VPN은 한국과 일본을 포함한 국가별 성인 1천명을 대상으로 진행한 설문조사를 공개했다고 15일 밝혔다. 조사 결과에 따르면 한국인의 81%는 매일 또는 주 2회 이상 대중교통을 이용하며 이 중 93%는 이동 중 전자기기를 사용한다. 이들 중 88%는 스마트폰을 통해, 79%는 인터넷에 연결된 상태로 이용하는 것으로 나타났다. 일본은 대중교통 이용률이 68%, 전자기기 사용률이 70%로 한국보다 다소 낮은 수치를 보였다. 한국인의 79%는 이동 중 공공 와이파이를 사용하고 있으며, 이는 사이버 보안 위협에 노출될 수 있는 중요한 경로가 될 수 있다. 그러나 응답자의 22%는 데이터를 보호하기 위한 별도의 보안 조치를 전혀 취하지 않고 있다고 응답했다. 이외에도 일부 이용자는 ▲소프트웨어 업데이트(42%) ▲민감한 정보 입력 회피(39%) ▲강력한 비밀번호 사용(37%) ▲개인정보 보호 필름 사용(21%) 등으로 보안을 강화하고 있는 것으로 조사됐다. 노드VPN은 조사 결과를 바탕으로, 한국인의 이동 중 인터넷 사용이 매우 활발하지만 보안 인식은 그에 미치지 못한다고 지적했다. 설문에 따르면 32%의 이용자는 스마트폰이나 태블릿을 사용하느라 정류장을 지나친 경험이 있다고 밝혔다. 음악을 듣고, 메시지를 확인하며, 소셜미디어를 이용하는 등 출퇴근 시간은 사실상 '화면을 보는 시간'이지만, 다수는 온라인 연결로 인한 보안 위협에 대해서는 무감각한 상태다. 또한, 21%는 대중교통에서 다른 사람이 자신의 화면을 엿보는 '숄더 서핑(Shoulder Surfing)'을 목격했다고 응답했다. 이는 오프라인 공간에서도 비밀번호, 금융정보 등 민감한 정보가 노출될 수 있음을 시사한다. 노드VPN의 아드리안누스 워멘호벤 사이버 보안 전문가는 "공공 와이파이는 해커들의 놀이터이다. 항상 이중 인증을 활성화하고 장치를 최신 상태로 유지해 사이버 위협에 한 발 앞서야 한다"고 강조했다. 이어 "개인정보와 데이터를 보호하기 위해 정기적인 소프트웨어 업데이트, 강력한 비밀번호 사용, VPN 활용은 필수적인 첫 번째 방어선"이라며 "이와 함께 장치를 잠그고 공공 와이파이에 자동 연결되는 기능은 반드시 비활성화해야 한다"고 덧붙였다.

2025.04.15 10:06남혁우

[인터뷰] "기성 세대는 크롬, Z세대는 오페라…AI로 웹 브라우저 시장 변화"

"한국은 오페라 브라우저 이용자 수가 많지 않은 시장이지만 꼭 진입하고 싶은 나라입니다. e스포츠 강국인 한국에서 '오페라 GX'로 게이머뿐 아니라 일반 사용자들도 오페라 브라우저의 매력을 알 수 있길 바랍니다." 크리스티안 콜론드라(Krystian Kolondra) 오페라 데스크톱·게이밍 부문 수석 부사장은 최근 지디넷코리아와의 인터뷰에서 한국 e스포츠 시장에 대해 긍정적으로 평가하며 '오페라 GX'를 시작으로 국내 브라우저 시장 공략에 적극 나서겠다는 의지를 밝혔다. 오페라는 1995년 노르웨이에서 출발한 브라우저로, 2013년 크로미움 기반으로 전환된 이후 글로벌 시장으로 영역을 확장했다. 현재 게임 시장을 겨냥한 '오페라 GX'를 포함해 모바일 버전인 '오페라 미니', '오페라 원', '오페라 에어' 등 다양한 콘셉트의 브라우저를 선보이며 구글 '크롬', 마이크로소프트(MS) '엣지' 등과 경쟁하고 있지만, 글로벌 점유율은 미미한 수준이다. 15일 웹 분석업체 스탯카운터에 따르면 올해 3월 기준 오페라의 글로벌 시장 점유율은 약 2.9%에 불과했다. 주력 시장인 유럽에서도 약 4.7%, 아시아 지역에선 1.83%로 아직 미미한 상황이다. 국내에서도 오래 전부터 다양한 서비스를 활용할 수 있는 기반을 마련해뒀지만 점유율은 약 0.6% 수준으로 굉장히 낮다. 그러나 인공지능(AI) 시대를 맞아 한국 시장이 글로벌 업체들에게 테스트 베드로 높게 평가되자 오페라도 새로운 기회를 모색하고 나섰다. 자체 개발한 AI '아리아'를 적용해 기능을 고도화시켰을 뿐 아니라 전 세계에서 가장 인기 있는 게임인 '리그 오브 레전드(LoL)'과 손잡고 '오페라 GX' 브라우저 이용자 수 확보에 속도를 내고 있다. 한국은 세계 최대 'LoL' 시장으로, 약 390만 명의 이용자를 보유하고 있다. 콜론드라 부사장은 "한국은 독특한 PC방 문화가 있는 데다 e스포츠에 두각을 나타내는 곳"이라며 "한국 시장을 조사하고 분석한 결과 'LoL' 운영사인 라이엇게임즈와 파트너십을 맺는 것이 한국 시장 진출에 가장 효과적인 것으로 판단했다"고 설명했다. 그러면서 "이번 일을 통해 일단 빠른 시일 내에 한국 시장에서 '오페라 GX'가 'LoL'에 가장 맞는 브라우저라는 인식을 가지게 하는 것이 목표"라며 "'LoL' 외에도 스트리밍 플랫폼 등 다른 업체들과의 협업도 추진해 한국에서 좀 더 입지를 다지고 싶다"고 강조했다. 앞서 오페라는 지난 달 10일 '오페라 GX'의 'LoL e스포츠 모드'를 한국에 공식 출시했다. 올해 신설된 LoL e스포츠 국제 대회인 '퍼스트 스탠드 토너먼트' 시작에 맞춰 공개한 것으로, LoL 팬들을 위한 맞춤형 기능인 '라이엇 코너'가 도입돼 눈길을 끈다. '라이엇 코너'는 실시간 토너먼트 경기와 통계, 리그 일정 등 최신 게임 정보를 손쉽게 파악할 수 있는 LoL 전용 허브 역할을 한다. 또 라이엇 게임즈 공식 스트리머 75명의 실시간 중계를 시청할 수 있는 '공동 스트리머 허브'도 함께 제공된다. 구글 '크롬', MS '엣지' 등과 달리 이용자의 취향에 맞게 브라우저 커스터마이징을 할 수 있는 것도 '오페라 GX'의 매력 요소다. 이곳에선 리 신, 레나타, 레넥톤, 바루스, 카사딘과 같은 인기 챔피언을 테마로 한 공식 모드를 비롯 9천 개 이상의 커뮤니티 제작 모드를 통해 무한한 커스터마이징이 가능하다. 더불어 브라우저 시작 페이지에는 네이버 스트리밍 플랫폼 '치치직(CHZZK)'과 라이브 스트리밍 플랫폼 '숲(SOOP)' 스피드 다이얼을 배치해 별도로 탭을 전환하거나 웹을 검색할 필요 없이 간편하고 빠르게 스트리밍 플랫폼에 접근할 수 있도록 한 것도 특징이다. 이는 '오페라 GX' 이용자들의 체험을 더 향상시키기 위한 조치다. 콜론드라 부사장은 "대부분의 사용자들은 노트북 등 기기 자체에 탑재된 크롬, 엣지 등 메인 스트림의 브라우저를 주로 사용하고 있다"며 "브라우저 자체에 큰 관심을 갖는 이들이 아직 많지 않다"고 말했다. 이어 "우리가 메인 스트림 시장에서 전체 유저를 공략하는 것은 추구하는 방향이 아닌 것 같다"며 "시장 점유율 목표를 세우고 숫자 달성에 연연하기 보다 오페라를 인식하고 이용하고자 하는 e스포츠 팬들이나 젊은 'Z세대(1990년대 중반~2000년대 초반 출생)'를 겨냥하고자 한다"고 덧붙였다. 그러면서 "'Z세대'를 기반으로 하면 8% 정도의 시장 점유율을 확보할 수 있을 것으로 추산이 되고 있다"며 "기성 세대들은 브라우저를 선택해서 써야 한다는 생각을 가지지 않았지만, 앞으로 젊은 층일수록 자신의 성향에 맞게 브라우저 환경을 만들어 쓰려는 이들이 많아지면서 우리에게 기회가 될 것으로 보인다"고 예상했다. 최근 글로벌 웹 브라우저 시장에 오픈AI, 퍼플렉시티 등 AI 기업들이 속속 진입하며 경쟁 구도에 점차 변화가 생기는 것과 관련해선 오페라에게 기회 요소가 될 것으로 봤다. 현재 오페라는 자체 개발 AI 챗봇' 아리아'를 자사 브라우저에 적용해 이용자들의 편의성을 대폭 향상시켰다는 평가를 받고 있다. 특히 '오페라 GX'의 '탭 명령어' 기능을 조만간 업데이트 해 자연어 명령어로도 쉽게 탭 단기, 고정, 그룹화, 북마크 저장을 할 수 있도록 한다는 방침이다. 콜론드라 부사장은 "이번 AI 업데이트를 통해 오페라 브라우저 이용자들은 업무뿐 아니라 개인적인 여행 스케줄 등을 관리할 때도 상당한 시간을 단축할 수 있게 될 것"이라며 "여행을 한다면 '아리아'를 통해 자동적으로 숙박업소를 비교하고 가격을 흥정해 간편하게 예약할 수 있을 것"이라고 설명했다. 이어 "'아리아'도 AI 에이전트로 점차 진화하고 있지만, 경쟁사들과 달리 브라우저에 내장된 AI이기 때문에 디바이스를 벗어나도 데이터가 계속 보호된다는 것이 강점"이라며 "랜더링한 다음 AI가 분석을 해 결과값을 내놓는 다른 AI 업체들과 달리 브라우저에 내장된 AI를 활용하기 때문에 보안도 훨씬 더 철저하게 관리된다는 것이 차별점"이라고 부연했다. 그러면서 "다른 경쟁사들은 AI 서비스를 제공하는 것에 상당한 자금이 들어 구독료도 비싸다"며 "우리는 브라우저 기반인 덕에 이용자들이 AI를 무료로 사용할 수 있다는 것도 강점"이라고 강조했다. 또 콜론드라 부사장은 국내뿐 아니라 전 세계 시장에서도 지역별 특색에 맞게 오페라의 다양한 제품들을 선보여 이용자 확대에 본격 나설 것이란 계획도 드러냈다. 각 나라별로 오페라를 인지하고 이용하는 고객들의 특성이 다른 탓이다. 실제 폴란드에선 오페라가 브라우저 시장에서 20%의 시장 점유율을 차지하며 우위에 올라섰지만, 독일에선 6~7% 수준에 불과하다. 또 브라질 등 남미에선 2~3위, 아프리카에선 '오페라 미니' 등을 기반으로 가장 많이 사용되는 브라우저이지만, 아시아에선 인지도가 굉장히 낮다. 콜론드라 부사장은 "20년 전만 하더라도 삼성의 최초 스마트폰에 우리 브라우저가 내장됐던 것처럼 기업간거래(B2B)를 중심으로 사업을 진행해왔다"며 "우리가 소비자 시장에 진입한 지 얼마되지 않아 대형 브라우저 업체들과 달리 글로벌하게 진출을 하진 못했지만, 한국에 '오페라 GX'를 선보이는 것처럼 시장 맞춤식으로 공략해 영역을 넓히길 원한다"고 밝혔다. 또 지난 2016년 중국 선전 증시에 상장된 공기업인 쿤룬테크가 오페라의 최대 주주로 올라선 만큼 보안과 관련한 일각의 우려에 대해선 "우리는 노르웨이 회사로, 오슬로에 본사를 두고 20년 동안 근무했던 이들이 아직까지 근무하고 있을 만큼 (중국의) 영향을 받고 있지 않다"며 "미국 나스닥에 상장된 데다 유럽 개인정보보호규정(GDPR) 등 엄격한 글로벌 기준에 맞춰 독립적인 경영을 하고 있는 만큼 우려하지 않아도 된다"고 선을 그었다. 그러면서 "중국 투자자들은 구글, MS 등에도 최근 들어 투자를 많이 하고 있는 상황으로, 우리는 중국 시장에 진출해 있지도 않고 중국 시장도 잘 모르는 데다 그곳에서 살아남을 자신도 없다"며 "오페라 브라우저는 데이터를 보관하지 않기 때문에 해킹에 대한 위험도 개인정보들을 수집하는 다른 브라우저들과 달리 낮다는 점을 꼭 알아줬으면 한다"고 강조했다.

2025.04.15 09:09장유미

"AI시대 안전한 정보 활용 돕는 CPO 모여라"

“한국개인정보보호책임자(CPO)협의회는 인공지능(AI) 시대 정보를 안전하게 활용할 수 있게 CPO 위상을 높일 것입니다. 개인정보보호처리자를 비롯한 산업계와 학계, 정부가 다함께 발전하도록 역할을 다하겠습니다.” 윤수영 CPO협의회 사무국장은 지난 8일 서울 여의도에서 지디넷코리아와 만나 이같이 밝혔다. CPO(Chief Privacy Officer)는 조직에서 개인정보 보호 계획을 세우고 시행하는 책임을 진다. 개인정보 처리 실태를 조사하고, 개인정보가 새어 나가지 않도록 내부 통제 시스템을 만든다. 기업과 공공기관 등에서 개인정보 처리를 책임질 CPO를 정해야 한다. 소상공인기본법에 따른 소상공인은 사업주나 대표가 CPO다. CPO협의회는 지난해 9월 출범했다. 111개 기업과 기관의 CPO들이 개인정보 보호 정책을 나누며 활동하고 있다. 부회장사는 21개다. LG유플러스, 우아한형제들(배달의민족), 카카오, 쿠팡, 삼성서울병원, 국립암센터, SK텔레콤, 한국전력공사, 삼성전자, 기아, 비바리퍼블리카(토스), KB국민은행, 국민건강보험공단, 넷마블, 한국교통안전공단, LG전자, 현대자동차, 삼성화재, 메타코리아(페이스북), KT, 한국인터넷진흥원이다. 이들 부회장사는 분기마다 당국 고위관계자와 만나 주요 정책을 공유한다. 올해에는 한전KPS·한국여성인권진흥원·신한금융지주·전북은행이 새로운 회원으로 발을 들였다. 회장은 염흥열 순천향대 정보보호학과 명예교수가 맡았다. 윤 국장은 한국 규제가 복잡한 만큼 협의회에 가입하면 정보를 얻을 수 있다고 소개했다. 그는 “개인정보처리자 이익을 대변해 개인정보보호위원회와 제도를 개선할 것”이라며 “2023년 개인정보보호법이 개정된 뒤 개인정보보호위원회 설립 허가를 받은 협의회는 한국CPO협의회가 최초이자 유일하다”고 말했다. 협의회는 CPO 전문성을 키우고자 지난 2월과 이달 초 KPPI(KCPO Prime Privacy Insight) 설명회를 열었다. 각각 '개인정보 처리 통합'과 '개인정보 안전성 확보 조치 기준'을 안내했다. 이달 말부터는 브릿지포럼을 열고 네트워크를 강화할 참이다. 오는 30일 '공공기관 개인정보 보호 수준 평가 대응 전략'을 다룬다. '주요 과징금 처분 사례 및 방지 방안'과 '전 분야 마이데이터 제도 시행 대응 전략'도 상반기 논의하기로 했다. 윤 국장은 “협의회 CPO 현황을 조사해 올해 처음 발표하려고 한다”며 “개인정보를 적극적으로 지킨 회원이 9월 30일 개인정보보호의 날을 기념해 유공자 표창을 받을 수 있도록 개인정보보호위원회와 협의할 것”이라는 계획을 전했다. 협의회는 최근 서울여대와 개인정보보호 분야 협약서(MOU)를 썼다. 산학 연계 교육 과정을 개발하고 공동 연구 과제를 수행하기로 했다. 윤 국장은 “서울여대는 국내 대학 가운데 처음 개인정보보호전공을 만들어 2024학년도부터 신입생을 뽑았다”며 “협의회가 인재를 기르는 데에도 한몫하겠다”고 강조했다. 윤 국장은 서울대 소비자학과에서 학·석·박사 학위를 받았다. 이베이와 필립모리스 한국지사에서 CPO를 지냈다. 그는 “소비자 지키는 방법을 생각하다 25년 동안 개인정보 보호하는 일을 했다”며 “소비자와 기업을 잇는 CPO 모임을 만들겠다”고 밝혔다.

2025.04.14 16:10유혜진

정부, 사이버 위기대응 모의훈련 실시···작년 2066곳 참여

정부가 국내 기업들의 보안인식을 제고하고, 디도스 등 사이버위기 상황 발생시 신속하게 대처할 수 있게 도와주는 '사이버 위기대응 모의훈련'을 다음달 19~30일 2주간 진행한다. 중소기업과 중견기업, 대기업, 비영리기업 등 누구나 신청할 수 있다. ▲해킹메일 대응 ▲분산 서비스 거부(DDoS) 공격 및 대응 점검 ▲기업 누리집 대상 모의침투 ▲취약점 탐지·대응 훈련 등을 교육해 준다. 13일 과학기술정보통신부(과기정통부)와 한국인터넷진흥원(KISA, 원장 이상중)은 민간분야 사이버 위기 대응역량을 강화 지원을 위해 이달 14일(월)부터 다음달 2일(금)까지 약 3주간 '2025년 상반기 사이버 위기대응 모의훈련 참여기업'을 모집한다고 밝혔다. 과기정통부와 KISA는 급변하는 디지털 환경에 따라 날로 증가하는 보안위협 속에서 우리 기업들의 보안인식을 제고하고, 디도스 등 사이버위기 상황 발생시 신속하게 대처할 수 있게 연 2회(상·하반기) 이번 '사이버 위기대응 모의훈련'을 실시하고 있다. 매년 훈련 참여 기업과 인원수가 증가하는 추세다. 작년(2024년)에는 2066개사, 57만 1천여 명이 참여해 우리 기업들의 정보보호의 중요성에 대한 인식과 대응능력 향상을 위한 관심·노력 등이 계속 높아지고 있음을 알 수 있다. 작년 2066개사 중 정기 및 특별훈련이 897개사(44.8만여 명), 상시훈련이 1169개사(12.3만여 명)에 달했따. 신청은 기업규모·업종 등에 상관없이 할 수 있다. 중소·중견·대기업 뿐 아니라 비영리기업 등도 제한없이 누구나 신청할 수 있다. 다양한 민간분야의 보안수준 향상을 지원하기 위해서다. 훈련기간은 다음달 19일(월)부터 30일(금)까지 2주간이다. 훈련 내용은 ▲해킹메일 대응 ▲분산 서비스 거부(DDoS) 공격 및 대응 점검 ▲기업 누리집 대상 모의침투 ▲취약점 탐지·대응 훈련 등을 진한다. 이중 '취약점 탐지·대응 훈련'은 종전에는 기업이 보유한 보안장비의 취약점 탐지 가능 여부를 점검하는 훈련으로, 기업 내에 방화벽과 IPS(Intrusion Prevention system, 각종 바이러스, 악성 트래픽 등을 식별·탐지·차단하는 보안시스템) 등 보안장비나 보안 솔루션이 있어야 신청할 수 있었지만, 이번부터는 외부 공개 서버의 보안 취약점을 탐지하고 대응하는 방식으로 기업 의견을 반영해 개선, 서버를 운용하는 기업은 누구나 참여할 수 있다. 한편 KISA는 참여기업들에게 훈련 분야별 대응 가이드, 침해사고 최근동향 자료 등을 제공, 기업들의 침해사고 대응체계 개선 및 보안역량 강화에 활용할 수 있게 지원한다. 참여기업은 정보보호 공시제도의 정보보호 활동 현황에 이번 모의훈련 내용을 기재할 수 있다. 정보보호 공시제도는 '정보보호산업의 진흥에 관한 법률' 제13조, 또 같은 법 시행령 제8조에 따라 정보보호 투자와 인력, 인증, 활동 등 기업의 정보보호 현황을 국민에게 공개하는 것을 말한다. 모의훈련 종료 이후에는 훈련결과 및 분석, 모범사례 등을 발표하는 강평회를 개최, 참여기업들에 게 훈련 노하우와 사이버공격 대응 방법, 위협동향 등을 공유할 예정이다. 한편 이번 정기 훈련에 참여하기 어려운 중소기업들은 자사 환경에 맞춰 원하는 일정, 시나리오에 따라 훈련이 가능한 상시훈련 체계인 '사이버 시큐리티 훈련 플랫폼'에 참여가 가능하다.정기훈련 및 상시훈련 신청방법 등 자세한 내용은 KISA 보호나라 누리집에서 확인하면 된다. (KISA 인터넷 보호나라&KrCERT(www.boho.or.kr)>정보보호 서비스>서비스 신청하기) 최우혁 과기정통부 정보보호네트워크정책관은 "이번 훈련을 통해 우리 중소기업과 비영리 기관들이 보안 중요성에 대한 인식을 더욱 높이고, 위기대응 노하우를 한층 고도화하는 계기가 되기를 바란다”며 “앞으로도 효과적인 프로그램과 반복적인 훈련 등을 독려해 기업들의 보안역량 강화에 더욱 노력하겠다"고 말했다.

2025.04.13 12:42방은주

AI챗봇과 역할 놀이?…성적 대화 유출

인공지능(AI) 챗봇과 성적인 대화를 주고받은 내용이 인터넷에 퍼지는 것으로 나타났다. 성적인 환상을 채우는 역할 놀이를 하려고 설계된 AI 챗봇이 실시간으로 사용자와의 대화 내용을 인터넷에 유출하고 있다고 미국 잡지 와이어드는 11일(현지시간) 보도했다. 미국 정보보호 업체 업가드는 지난달 보안 취약점을 찾다가 인터넷에 노출된 AI 시스템을 400개 발견했다. 이 가운데 117개의 인터넷 프로토콜(IP) 주소에서 대화 내용이 새고 있었다. 유출된 내용을 보면 일부 사용자는 아동 성적 학대를 자세히 그리는 대화를 했다. 미리 설정한 AI 캐릭터와 역할 놀이를 했다. 예를 들어 A라는 한 사람은 학교 기숙사에서 다른 여성 3명과 함께 살고, 내성적인데 종종 슬퍼 보인다는 10대 여성으로 묘사됐다. 업가드 연구원은 “모든 대화가 성적으로 노골적인 역할 놀이였다”며 “일부는 어린이와의 성관계를 얘기했다”고 말했다. 업가드는 어떤 사이트나 서비스에서 정보가 빠져나갔는지는 알아내지 못했다. 다만 기업이 아닌 개인이 쓰는 AI 챗봇에서 일어난 것으로 짐작했다. 대화한 사용자 이름이나 개인정보는 빠져나가지 않은 것으로 알려졌다.

2025.04.12 10:13유혜진

포블, 전 임직원 대상 사이버 보안 교육 실시…실전 대응 통해 전사 보안 강화

가상자산 거래소 포블게이트(포블)는 고도화되는 사이버 위협에 효과적으로 대응하고자 전 임직원을 대상으로 사이버 보안 교육을 진행했다고 10일 밝혔다. 이번 교육은 김철희 정보보호최고책임자의 주도로 단순한 이론 학습이 아닌 실제 보안 위협을 예방하고 대응할 수 있는 실질적인 역량을 키우기 위한 과정으로 마련됐다. 실시간 업무로 인해 전 임직원이 동시에 참석하기 어려운 점을 고려해 동일한 내용을 두 차례에 나눠 실시했으며 전사 보안 역량의 균일한 향상을 목표로 진행됐다. 교육 내용은 2025년도 사이버 위협 전망, 가상자산 해킹 위협 동향 분석, 이메일 피싱 대응 방법, 개인정보 보호 수칙 등 실무에 바로 적용 가능한 항목들로 구성됐다. 이를 통해 임직원 개개인의 정보보호 인식을 제고하고 보안 수칙 이행 능력을 강화하는 계기로 삼겠다는 방침이다. 포블은 교육 외에도 지난 4월 초 실전 상황에 대비한 보안 대응 역량 점검을 위해 사전 공지 없이 전 임직원을 대상으로 해킹 메일을 활용한 모의 침투 훈련을 실시했다. 해당 훈련은 실제 해킹 시나리오를 바탕으로 구성됐으며 이메일 침해 시도에 대한 임직원의 경각심을 높이고 전사 대응 프로세스를 점검하는 데 초점을 맞췄다. 김철희 정보보호최고책임자는 "사이버 보안은 IT 부서만의 과제가 아니라 전 임직원이 함께 실천해야 할 필수 요소"라며, "앞으로도 다양한 실전형 교육과 보안 훈련을 지속적으로 추진해 조직 전반의 보안 수준을 끌어올릴 것"이라고 밝혔다.

2025.04.10 14:54김한준

[보안리더] 지정호 토스 CISO "강력 보안, 편한 금융"

토스 목표는 '보안은 강력하고, 사용은 편리하게'입니다. 토스는 정보보호선언문도 발표했어요. 첫줄에 '토스는 편리하고 안전한 토스 서비스를 제공하기 위해 정보 보호에 최선을 다할 것이다'라고 썼습니다. 안전하면서도 편리한 것은 상충하기에 사실 힘들어요. 그래서 토스는 보안 위협을 평가하고 그 수준에 맞춰 자동 대응하려고 노력한답니다. 지정호 토스(운영사 비바리퍼블리카) 정보보호최고책임자(CISO)는 지난주 서울 강남구 토스 사무실에서 지디넷코리아와 만나 이같이 밝혔다. 지 CISO는 “금융 혁신을 목적으로 삼은 핀테크 회사가 세계 최고 보안팀을 만든다고 해서 2017년 토스에 입사했다”며 “자율 근무 같은 수평적인 기업 문화도 궁금했다”고 말했다. 컴퓨터 학도가 금융사에서 일하는 이유다. 핀테크 업체가 살아남는 비결이기도 하다. 핀테크(FinTech)는 금융(Finance)과 기술(Technology)의 합성어다. 토스는 개인정보보호책임자(CPO)와 CISO를 따로 두고 있다. CISO는 회사 전반 정보 보호를 책임지고, CPO는 그 중에서도 개인정보 보호를 맡는다. 토스 CISO 조직에 CPO 조직이 속했다. 지 CISO는 “토스는 전자금융 거래 매출 비중이 큰 전자금융업자”라며 “'겸직 금지를 예외로 해달라' 신청할 수 있었으나 보안 수준을 높이고자 CISO와 CPO를 각각 뒀다”고 강조했다. 지 CISO는 토스가 앞장선 정보 보호 사례를 여럿 언급했다. “2018년 업계에서 처음으로 정보 보호 공시 제도에 참여했다”며 “비교적 많이 투자한다”고 말했다. 토스는 2023년 정보 보호에 125억6천만원 투자했다. 전체 투자액의 10.5%를 정보 보호에 썼다. 토스 보안 인력은 45명으로, 이 또한 10.3%다. 토스는 2021년 정보 보호 공시 우수 기업으로 뽑혔다. ▲2020년 5월 앱 보안 솔루션 '토스가드' ▲2020년 7월 '토스 안심 보상제' ▲2020년 10월 사기 의심 계좌 알림 ▲2022년 3월 '피싱 제로' ▲2023년 토스 보안 설명회 '가디언스' 개최 등도 토스가 금융권에서 최초로 한 일로 꼽았다. 지 CISO는 국내 정보보호 기업 AI스페라가 지난달 서울 삼성동 그랜드인터컨티넨탈서울파르나스호텔에서 연 '공격 표면 관리(ASM·Attack Surface Management)와 위협 인텔리전스(TI·Threat Intelligence) 설명회'에서도 “사기 친 적 있는 계좌로 토스 사용자가 돈 보내려 하면 경고해 알려준다”며 “첫 피해자는 못 막더라도 두 번째부터는 막아야 한다”고 소개한 바 있다. 온라인 중고 거래에서 사기꾼이 '토스로 보내지 말고 다른 계좌로 보내라'고 한다는 이야기도 전했다. 피싱 제로는 피싱에 쓰는 악성 앱이 휴대전화에 있다면 토스를 실행했을 때 알려 지우도록 돕는 서비스다. 토스 가디언스는 다른 회사 보안 담당자에게 토스 보안 성과와 요령을 알리는 행사다. 올해 3회째로, 지난해보다 많은 사람을 하반기 부르기로 했다. 토스는 보안 취약점을 신고한 사람에게 상을 주는 버그 바운티(Bug Bounty)도 2022년부터 시행하고 있다. 지 CISO는 “비교할 수 없을 만큼 안전한 금융을 만들겠다는 다짐”이라며 “누구나 토스 서비스와 홈페이지뿐만 아니라 토스 계열사 홈페이지 보안 취약점을 제보하면 위협 수준에 따라 한 건에 3천만원까지 준다”고 설명했다. 지 CISO는 정보 보호 전문 기업과 게임·엔터테인먼트 업체를 거쳐 토스에서 일하고 있다. 그는 “정보 보호 기업에서 새로운 보안법을 연구해 국가 사이버 안보에 기여한다는 보람을 느꼈다”며 “이제는 회사 자산과 소비자를 지키는 성취감을 얻는다”고 웃었다. 아래는 지정호 토스 CISO 주요 경력. 2021 고려대 금융보안학과 석사 2006.02~2007.04 엘림넷 정보기술(IT) 부문 2007.04~2010.12 아프리카티비 보안 부문 2011.01~2015.06 윈스 보안 부문 2015.06~2017.06 넥슨코리아 보안 부문 2017.06~2021.02 비바리퍼블리카 보안 부문 2021.03~2024.12 토스증권 CISO 2024.12~현재 비바리퍼블리카 CISO

2025.04.09 15:42유혜진

유의종목 지정 위믹스, 해제 가능성은..."신뢰회복 평가 중요"

위믹스가 국내 주요 가상자산 거래소에서 유의종목으로 지정된 가운데 해당 조치 해제 가능성을 두고 시장의 관심이 쏠리고 있다. 명확한 예측은 어려운 상황이지만 위믹스의 신뢰 회복을 위한 최근 행보에 주목하며 조심스레 해제 가능성을 점쳐보는 시각도 조금씩 늘고 있다. 앞서 위믹스는 지난 3월 발생한 해킹 피해로 인한 자산 탈취 사건 이후 거래 유의종목으로 지정됐다. 거래소 측은 투자자 보호 조치를 이유로 해당 결정을 내렸고 위믹스 측은 사고 발생 직후부터 피해 자산 추적, 유동성 확보, 커뮤니티와의 소통 등 다각적 대응을 이어왔다. 이후 위믹스는 탈취 자산 전량 회수 및 투명한 대응 보고서 공개, 지갑 관리 체계 재점검 등 일련의 조치들을 통해 투자자 보호와 재발 방지 노력을 병행해 왔다. 또한 커뮤니티 대상 AMA와 블로그 등을 통한 정기적 공지를 통해 정보 비대칭 해소에도 주력하고 있다. 디지털자산 거래소 공동협의체인 DAXA는 4월 3주차 중 위믹스에 대한 최종 판단을 내릴 예정이다. 유의종목 해제 여부가 이 시점에 발표될 예정이며 위믹스의 개선 이행 수준과 신뢰 회복 조치가 중점 평가 대상이 될 것으로 보인다. 업계에서는 유의종목 해제까지는 시간이 어느 정도 필요할 수 있다는 전망이 우세하다. 거래소마다 상장 심사 및 위험요소 평가 프로세스가 상이하기 때문이다. 다만 단순한 기술적 복구보다 투자자 신뢰 회복 여부에 더 높은 비중을 둘 필요가 있다는 목소리가 차츰 힘을 얻고 있는 점은 눈길을 끈다. 가상자산 업계의 한 관계자는 "거래소는 단순히 자산 회수 여부만이 아니라 해당 프로젝트의 전반적인 신뢰도와 시장과의 소통 능력을 포함해 평가한다"며 "자산 탈취 사고 이후 위믹스가 대응 과정에서 개선된 점은 분명히 있다. 다만 금융당국이 이를 어떻게 평가하느냐가 중장기적으로 더 중요하게 작용할 것으로 본다"라고 말했다. 위믹스 거래 유의종목 지정 해제가 단순히 한 프로젝트의 회복 여부를 넘어 전체 시장의 규제 신뢰도와 자율심사체계의 유연성에도 영향을 줄 수 있는 사안으로 바라보는 시선도 있다. 특히 규제 기관의 직접적 개입은 없지만, 금융당국이 신뢰 회복 조치 전반을 어떤 시선으로 바라보는지에 따라 거래소 판단도 영향을 받을 수 있다는 분석이 제기된다. 또 다른 업계 관계자는 "자산 탈취는 그 자체로 위험 요소다. 하지만 어떻게 대응하느냐에 따라 오히려 신뢰를 회복하는 계기가 될 수도 있다"며"지금은 위믹스가 개선의기회를 얻을 수 있을지 가늠하는 시점이기도 하다"라고 말했다.

2025.04.09 10:16김한준

"중고거래, 피해는 사용자 몫"…개인 보안 솔루션 갖춰야

온라인 중고 거래가 일상화되면서 이에 따른 사기 피해도 빠르게 증가하고 있다. 하지만 대다수의 중고 거래 커뮤니티는 이러한 피해를 예방하거나 사용자를 보호하기 위한 실질적인 보안 장치가 부족한 상황이다. 그 결과, 피해 사례는 줄어들지 않고 오히려 더 확산되는 추세를 보이고 있다. 특히 포털 기반의 거래 환경에서는 플랫폼이 단순 연결만을 제공하는 데 그치고 있어, 사용자 스스로 보안을 책임져야 하는 현실이 고스란히 이어지고 있다. 이에 따라 개인이 직접 실효성 있는 보안 대책을 마련해야 한다는 지적이 점차 힘을 얻고 있다. 8일 관련 업계에 따르면 노드VPN의 '위협 보호 프로(Threat Protection Pro)' 같이 피싱 사이트 차단·악성 링크 필터링·광고 추적기 제거 등 사용자 보호 기능을 갖춘 보안 솔루션들이 주목받고 있다. 포털 기반 중고 거래 커뮤니티는 많은 사용자가 찾는 대표적 거래 창구다. 거래 사기로부터 사용자를 보호하기 위한 에스크로 시스템, 안전결제 모듈 등 기본적인 보호 시스템은 구축돼 있지만 사기 범죄는 이미 이런 시스템을 우회해 이뤄지고 있다. 대표적인 사기 방식으로는 페이크페이지(fakepage)라는 기법이 알려졌다. 거래 과정 중 안전거래 페이지와 거의 동일하게 꾸민 가짜 사이트 링크를 상대에게 보내 돈을 입금하도록 유도한 후 결제가 이뤄지면 잠적하는 방식이다. 가짜 사이트는 실제와 거의 유사하게 만들었을 뿐 아니라 주소도 포털 사이트와 유사하게 만들어져 한눈에 알아차리기 어렵다. 특히 최근엔 간편결제 등의 발전으로 전체 거래 과정 자체이 몇 분만에 완료될 정도로 빠르게 진행되기 때문에 중간에 알아차리기 쉽지 않다는 문제가 있다. 이상함을 감지하더라도 이미 입금까지 진행된 경우가 상당 수다. 문제는 외부 SNS나 웹페이지로 유도해 발생하는 범죄는 포털 내부 생태계에서 발생하는 것이 아니기 때문에 대처가 어렵다는 것이 대형 포털의 입장이다. 이로 인해 거래 과정에서의 위험은 결국 소비자 개인이 떠안아야 하며, 사기 피해 발생 시 포털은 법적·운영적 책임에서 자유로운 상황이다. 다만 거래의 시작은 커뮤니티 내부 메신저 등을 통해 이뤄지는 만큼 외부 사이트나 SNS로 사용자를 유도할 경우 이에 대한 알람이나 경고 메시지를 제공할 필요가 있다는 목소리가 높아지고 있다. 더불어 이러한 사이버 보안 사각지대를 극복하기 위해선 사용자 스스로가 보안을 생활화하는 '디지털 위생' 개념을 실천하는 것이 필수적이라는 지적도 제기된다. 이에 악성 사이트 차단, 추적 방지, 가짜 결제 페이지 탐지 기능을 갖춘 보안 도구들도 다양하게 등장하고 있다. 대표적인 예로는 노드VPN의 위협 보호 프로(Threat Protection Pro) 기능이 있다. 악성 사이트에 접속하려고 하면 사전에 차단해 보이스 피싱이나 악성코드 감염으로부터 사용자를 보호한다. 특히 몇 분만에 이뤄지는 가입이나 결제 과정에서 현재 무슨 일이 벌어지고 있는지 생각할 수 있는 간극을 마련해 피해 확률을 대폭 줄일 수 있도록 돕는다. 또한 광고와 추적기를 차단해 개인정보의 노출을 차단하고 악성코드 같은 위험 요소가 시스템에 침투하는 것을 방지한다. 실제로 사용 중 불필요한 광고나 악성코드 설치를 유도하는 사이트를 노드VPN이 자동으로 막아주는 만큼 보다 쾌적하게 인터넷을 이용할 수 있다. 다만 보안환경이 제공되지 않는 모든 사이트가 차단될 수 있는 만큼 거래 과정에만 임시적으로 활용하는 것도 추천된다. 한 노드시큐리티 관계자는 "이제 온라인 쇼핑은 전 세계 소비의 57%를 차지할 만큼 가장 보편적인 쇼핑방식으로 자리잡았다"며 "하지만 그만큼 사용자를 노린 사기나 사이버 범죄도 급증하고 있다"고 말했다. 이어 "따라서 최신 인터넷 동향과 해커들의 수법을 파악하고 자신을 보호하는 방법을 아는 것이 매우 중요하다"며 "이러한 보안 지식과 개인 보안 프로그램을 결합하면 거래를 비롯한 일상적인 인터넷 사용 중에도 사기 피해의 위험을 최소화할 수 있을 것"이라고 조언했다.

2025.04.08 16:13남혁우

중소기업, 80% 비용 받고 클라우드 쓰세요

지란지교시큐리티는 '2025 중소기업 클라우드 서비스 보급·확산 사업'의 공급기업으로 뽑혔다고 7일 밝혔다. 지란지교시큐리티 보안 서비스를 쓰려면 18일까지 클라우드서비스지원포털 홈페이지에서 신청하면 된다. 중소기업 클라우드 서비스 보급·확산 사업은 중소기업이 클라우드로 업무 효율성을 높이도록 서비스 상담과 이용료를 80%까지 정부가 지원하는 사업이다. 과학기술정보통신부와 정보통신산업진흥원이 주관한다. 지란지교시큐리티는 '지란더클라우드(이메일 보안)', '머드픽스(악성 이메일 모의 훈련)', '다큐원(문서 중앙화)', '오피스하드 클라우드(보안 파일 서버)' 4가지를 공급한다. 지란더클라우드는 이메일 보안 '스팸스나이퍼'의 클라우드판이다. 스팸·바이러스 메일을 막고 스캠 방지, 수·발신 인증, 메일 이력을 관리한다. 머드픽스는 최신 메일 위협이 반영된 훈련 양식으로 사내 보안 수준을 파악할 수 있는 대시보드와 훈련 보고서를 준다. 다큐원은 컴퓨터(PC)에 문서를 저장할 수 없게 한다. 기업 중요 정보를 중앙 서버로 옮긴다. 오피스하드 클라우드는 부서·외부업체 간 안전하게 문서를 공유할 수 있게 한다.

2025.04.08 15:21유혜진

ISMS-P 인증 뭐기에…의무도 아닌데, 하겠단 금융사

금융 정보보호 및 개인정보보호 관리 체계(ISMS-P·Personal Information & Information Security Management system) 인증을 받으려는 금융사가 해마다 늘고 있다. 의무도 아닌데 스스로 까다로운 심사를 통과하겠다고 나선다. 금융 ISMS-P는 금융권에 맞춘 ISMS-P 인증이다. 전자금융거래법, 신용정보법 등 금융 정보보호 및 개인(신용)정보 보호 관련 법령을 반영한다. 금융권은 다른 산업보다 민감한 개인(신용)정보와 금융 정보를 많이 다루기 때문에 침해 사고나 개인정보 유출 사고가 터지면 충격이 상당하다. 보다 높은 수준의 보안과 규제가 요구되는 이유다. 8일 금융보안원에 따르면 금융 ISMS-P 인증은 2015년 27건으로 시작해 지난해 128건으로 5배 성장했다. 금융보안원이 금융권에 알맞은 ISMS-P를 인증한다. 나머지 산업이나 전반적인 인증 품질은 한국인터넷진흥원(KISA)이 관리한다. 오중효 금융보안원 상무는 지난달 27일 서울 여의도 금융투자협회에서 열린 'ISMS-P 인증 설명회'에서 “인공지능이나 가상자산 환경이 바뀌면서 인증 수요가 더 늘 것”이라고 말했다. 의무 아니지만 “이만큼 잘해요” 금융회사는 법적으로 ISMS-P 인증 의무가 아닌데도 은행·증권·카드·보험사 뿐만 아니라 핀테크 기업도 자발적으로 인증 받으려는 사례가 늘고 있다고 금융보안원은 전했다. 최지훈 금융보안원 선임심사원은 지난달 설명회에서 “금융권은 ISMS-P 인증이 의무가 아니다”라면서도 “디지털 금융과 자율 보안이 확산돼 인식 수준이 높아졌다”고 분석했다. 핀테크∙오픈뱅킹, 마이데이터, 간편결제 등 디지털 금융이 자리잡으며 보안을 강화할 필요가 있어서다. 이런 환경에서 '우리 회사가 이만큼 금융 보안에 신경쓴다'고 소비자에게 증명할 수 있다. 금융회사가 자율적인 보안 활동을 하되 결과에 대한 책임은 무거워진 점도 내부 보안 관리 체계를 높이는 이유로 꼽힌다. 금융권 형님답게 은행이 선도 금융보안원은 은행이 금융권 디지털 전환을 이끌면서 ISMS-P 인증도 선도하고 있다고 평가했다. 주요 시중은행은 인터넷뱅킹 말고도 마이데이터, 금고 시스템, 전자 서명 인증 등 주요 서비스에 맞는 인증서 2~4개를 취득∙유지하는 것으로 알려졌다. 최근에는 다른 업권보다 디지털 전환이 조금 늦은 면이 있는 생명보험사도 인증을 취득하고 있다며 금융투자, 카드∙캐피털사가 인증 받는 사례도 늘어나는 추세라고 금융보안원은 설명했다. 실제로 기자가 지난달 27일 금융투자협회에서 열린 설명회에 갔더니 대부분 금융투자회사 담당자들이 참석한 모양새였다. 수집-이용-파기 단계별 정보 보호 금융보안원은 특히 전자금융감독규정과 신용정보업감독규정 등 금융권에 특화한 심사 항목으로 금융 보안 규제 준수 여부를 심사한다. 금융사가 세운 (개인)정보 보호 정책과 지침, 절차 등을 체계적으로 시행하는지 따진다. 개인(신용)정보를 수집-보유∙이용-제공-파기하는 단계별로 보호 조치를 적절하게 하는지, 수탁사 같은 외부 위탁 관리 실효성은 있는지도 확인한다. 최 심사원은 “지난해 128건 심사하면서 기업당 결함을 평균 9개씩 발견했다”며 “기업은 결함 개수에 연연하지 말고, 이 결함이 나온 원인과 재발 방지 대책을 신경써야 한다”고 강조했다. 개발자와 운영자, 개인정보 취급자 직무별로 시스템에 접속하는 방식이 다르면서도 시스템 흐름도를 보면 이런 사실을 알 수 없는 경우가 지적받았다. 정보보호 운영 인력이 정보보호 예외 정책을 스스로 승인해도 잘못이다. 개인정보 열람 요구서와 위임장 등에 주민등록번호를 요구해서도 안 된다. '내 정보 잘 지키나' 소비자 선택 기준 금융소비자 입장에서는 (개인)정보 보호 관리 체계를 제대로 갖췄는지 금융사 선택 기준으로 ISMS-P를 삼을 수 있다. 보안 사고를 예방하고, 사고가 나더라도 빠르게 복구하는 금융사를 이용하면 피해가 최소화될 것으로 금융보안원은 기대했다.

2025.04.08 15:09유혜진

Prev 11 12 13 14 15 16 17 18 19 20 Next