검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'블랙티비 주소'통합검색 결과 입니다. (558건)

영역
기간
- 3개월
- 1년
- 1년 이전

재검색

[현장] '한국피지컬AI협회' 출범 선언…"산업·정책 연결고리 될 것"

언어를 이해하고 데이터를 분석하는 것을 넘어 실제 공간에서 감각하고 판단하며 물리적으로 작동하는 '피지컬 AI'가 본격적인 기술 어젠다로 부상하고 있다. 이를 중심으로 하드웨어(HW)와 소프트웨어(SW)가 융합되고 산업·국방·제조 혁신이 이뤄지는 가운데 국가 피지컬 AI 생태계 활성화를 목표로 산학연이 한자리에 모였다. 30일 권향엽·박민규·서왕진·이해민·정진욱 국회의원이 공동 주최하고 한국피지컬AI협회 창립준비위원회가 주관한 '피지컬 AI 정책 국회 세미나'가 국회 의원회관에서 개최됐다. '산업 전반에 미치는 피지컬 AI의 영향과 AI 정책 방향'을 주제로 열린 이번 세미나는 국내 피지컬 AI 산업의 현주소와 정책적 과제를 논의하는 자리로 진행됐다. 이번 행사에는 국회의원뿐 아니라 산업계·학계·기술 단체가 대거 참석했다. 국내 제조·자율주행·로봇·국방·의료 분야 등 다양한 업종의 기술자와 경영자들이 모여 피지컬 AI가 실제 산업 현장에 어떤 변화를 가져오고 있는지 폭넓게 공유했다. 특히 디지털병리학회·의료메타버스학회·한국드론협회·한국로봇산업협회 등 다수의 유관 단체도 협력 기관으로 참여했다. 이날 가장 큰 주목을 받은 것은 한국피지컬AI협회의 공식 출범이다. 기술을 중심으로 시작된 산업 트렌드가 협회 형태의 조직으로까지 확장되며 정책 제안과 산업 생태계 조성을 민간이 주도하겠다는 의지를 천명한 것이다. 협회의 초대 회장사는 유태준 대표가 이끄는 온디바이스 AI 전문기업 마음AI가 맡게 됐다. 유태준 마음AI 대표는 "AI가 고도화되며 고성능 뉴럴 칩에 집적되고 이를 통해 자율주행차·로봇·가전제품· 국방 시스템 등 다양한 물리 장치에 적용되는 시대가 도래했다"며 "단일 기업 차원이 아닌 산업 전체가 함께 움직여야 할 때"라고 강조했다. 이어 "그래픽처리장치(GPU) 기반 대규모 연산 위주의 AI 정책이 실제 산업으로 이어지지 않는 한계가 있는 만큼 피지컬 AI라는 실공간 중심 기술에 대한 전략적 전환이 필요하다"고 덧붙였다. 이날 축사를 맡은 더불어민주당 정진욱 의원은 피지컬 AI에 대한 정책 아젠다의 부상을 긍정적으로 평가하며 관련된 정부 차원의 대규모 프로젝트가 등장할 가능성이 크다고 전망했다. 조국혁신당 이해민 의원은 "피지컬 AI는 단순한 기술이 아니라 논리적 설계가 실제 공간에서 구현될 때 겪게 되는 문제를 다루는 새로운 차원의 접근법"이라며 "이와 관련해 AI 기본법이 기술을 규제하는 것이 아닌 최소한의 진흥 규범으로 작동할 수 있도록 입법적 기반을 마련하겠다"고 밝혔다. 이어 조국혁신당 서왕진 의원은 "SW 중심의 기존 AI를 넘어 우리나라의 강점 산업인 반도체·로봇·센서와 자연스럽게 연결될 수 있는 결정적 기술이 바로 피지컬 AI"라며 "이제는 기술이 정책을 따라가는 것이 아닌 기술을 기준으로 정책을 새로 짜야 하는 시기"라고 강조했다. 기조 발표는 국민대학교 정구민 교수가 맡았다. 정 교수는 생성형 AI에서 피지컬 AI로의 진화를 패러다임의 전환으로 평가하며 로봇·자율주행·제조업에 적용되는 비전·언어·액션(VLA) 모델의 최신 사례를 소개했다. 정 교수는 "중국은 2025 제조 로드맵과 AI 국가 전략을 결합해 피지컬 AI의 응용 속도를 빠르게 높이고 있으며 미국과 유럽도 자율주행과 휴머노이드 로봇 개발에 막대한 투자를 이어가고 있다"며 "우리 역시 산업과 학계, 정부의 협업을 통해 이 흐름에 발 빠르게 대응해야 한다"고 설명했다. 두 번째 발표자로 나선 손병희 마음AI 연구소장은 피지컬 AI를 단지 기계가 움직이는 것이 아닌 AI가 지닌 지능과 물리 환경이 통합되는 시스템이라고 정의했다. 또 피지컬 AI를 국내 산업의 신성장 동력이라고 평가했다. 손 소장은 "온디바이스 기반의 음성 AI, 시각 기반 자율주행, 다중 모달 로봇 인터페이스가 하나로 융합될 때 비로소 산업이 변화하게 된다"며 "이제는 클라우드 기반의 AI만으론 감당할 수 없는 새로운 산업 수요가 등장하고 있다"고 진단했다. 이어진 종합토론에서는 산업 현장의 실질적 수요와 정책 과제를 중심으로 한 논의가 이어졌다. 문전일 로보케어 대표는 "고령자 돌봄 서비스에서 피지컬 AI의 가능성을 매일 경험하고 있다"며 "독거노인 250만 시대에 들어서며 사회적 책임을 AI와 로봇이 함께 나눠야 하는 시점이 도래한 가운데 규제 개정, 예산 반영, 서비스 표준화 등 다층적 정책 지원이 필요하다"고 말했다. 정구민 교수는 "AI 프로세서 기반 자율주행 교육과정과 피지컬 AI 실습 환경을 대학에서도 구축하려고 한다"며 "산업계와의 연결을 통해 대학 커리큘럼도 빠르게 개편할 수 있도록 정부 지원이 필요하다"고 제언했다. 이날 세미나의 마지막은 유태준 대표의 한국피지컬AI협회 창립 취지문 낭독으로 마무리됐다. 협회는 향후 ▲피지컬 AI 산업 백서 발간 ▲국회 중심 데모데이 개최 ▲산업별 기술 로드맵 제안 ▲정부 부처 대상 정책 브리핑 등을 추진할 계획이다. 유 대표는 "피지컬 AI는 더 이상 먼 미래의 이야기가 아니라 지금 현실 속에서 작동하는 산업 기술"이라며 "이제는 산업과 정부, 학계가 함께하는 실행력 있는 연합이 필요하다"고 강조했다. 이어 "대한민국이 글로벌 경쟁력을 갖춘 피지컬 AI 생태계를 조성하기 위해 민간이 먼저 나서겠다"며 협회가 중심이 돼 정책 제안, 기술 표준화, 수요 생태계 구축에 나서겠다는 의지를 밝혔다.

2025.06.30 17:22한정호

써브웨이서 고객정보 무방비 노출 정황…5개월간 취약점 방치

샌드위치 프랜차이즈 써브웨이에서 고객 개인정보가 누구나 열람 가능한 상태로 노출됐던 정황이 드러났다. 30일 국회 과학기술정보방송통신위원회 최민희 위원장에 따르면, 써브웨이의 온라인 주문 시스템에서 인증 절차 없이 다른 고객의 연락처와 주문 정보 등이 그대로 노출되는 취약점이 발견됐다. 특히 로그인 없이 주문 페이지의 웹주소(URL) 끝자리 숫자만 임의로 바꿔도 타인의 정보가 노출되는 구조였던 것으로 나타났다. 최 위원장에 따르면 최소 5개월간 동일한 방식으로 개인정보가 무방비 상태에 놓였던 것으로 보인다. 개인정보 외부 유출 여부와 규모는 아직 확인되지 않은 상태로, 이번 문제는 써브웨이의 공식 홈페이지와 모바일 앱 모두에서 발생한 것으로 알려졌다. 써브웨이는 본지에 “최근 PC를 통한 웹사이트 온라인 주문 서비스에서 고객 정보와 관련한 제한된 데이터가 노출될 우려가 있는 기술적 문제를 발견했다”며 “즉각적인 조치를 통해 해당 문제를 해결했고, 현재는 정상적으로 운영 중”이라고 밝혔다. 이어 “현재까지 고객 정보가 외부로 유출되거나 오용됐다는 정황은 확인되지 않았으나, 예방적 차원에서 한국인터넷진흥원(KISA)에 신고했고 관계 기관의 조사에 협조 중”이라며 “개인정보 보호는 회사의 최우선 과제로, 추가적인 안전장치 마련에 힘쓸 것”이라고 약속했다.

2025.06.30 13:54류승현

SKT 에이닷, '노트·브리핑' 신규 서비스 2종 베타 출시

SK텔레콤은 AI 서비스 '에이닷'에 '노트'와 '브리핑' 등 신규 서비스의 베타 버전을 출시했다고 30일 밝혔다. 이번에 선보인 신규 서비스 '노트'와 '브리핑'은 생활 밀착형 서비스로, SK텔레콤은 향후 정식 출시될 시 고객들의 편의 향상은 물론 개인 AI 이용 경험이 극대화되는 계기가 될 것으로 기대했다. 에이닷 '노트'는 음성으로 이뤄지는 모든 순간을 AI로 기록하는 서비스다. 회의나 강의, 상담 등 일상에서의 음성을 AI가 실시간으로 기록하고 요약·정리한다. 단순히 음성 인식을 넘어 문맥에 맞춰 자연스러운 문장 형태로 보정하거나 문서의 형태로도 만드는 등 기존 대비 차별화된 경험을 제공한다. 또한, 내용 중 이해가 되지 않는 개념이나 낯선 용어는 별도의 앱이나 검색 서비스를 거치지 않고도 AI를 통한 웹검색으로 정보를 찾아볼 수 있다. 특히, 에이닷 '노트'는 녹음 종료 후 ▲요점 정리 ▲회의록 ▲강의 노트 가운데 원하는 템플릿을 선택하면 해당 형식에 맞춰 중요한 키워드와 주제어를 중심으로 내용을 묶어 정리한다. 강의를 녹음할 경우, 핵심 개념 정리를 포함한 강의 요약과 강의 흐름에 맞춰진 구조화된 정리까지 받아볼 수 있다. 자료 공유도 쉽고 편리하게 개선됐다. '노트'에서 공유 기능을 사용하면 링크 주소가 생성되고, 공유할 대상에게 전달하면 된다. 공유된 노트에는 녹음파일을 제외한 노트 제목, 작성 일시, 녹음 길이, 참석자 정보, 받아쓰기 내용, 실시간 요약 등이 포함된다. 공유 서비스의 보안도 강화했다. 비밀번호 수정은 물론, 공유한 링크의 연결도 제어할 수 있다. SK텔레콤은 에이닷 '노트' 서비스를 에이닷 앱과 PC 웹 환경을 모두 지원한다. 이는 이용자들의 활용 편의를 최대로 높이기 위함이다. 오븐 베타 형태로 제공되는 '노트'는 1회 녹음 당 최대 100분, 월 600분 분량이 제공된다. 에이닷 '브리핑'은 AI 개인 비서라는 에이닷의 정체성을 강화하기 위해 개발됐다. 이 서비스는 사용자의 일상을 종합적으로 분석해 정보를 제공하는 '앰비언트 에이전트'로, 원하는 고객에 한해 직접 요청 없이도 상황과 맥락을 고려해 먼저 정보를 제공하기도 한다. SK텔레콤은 이 서비스의 브리핑 이력과 사용자 반응, 피드백을 바탕으로 보다 정밀하고 개인화된 '나만의 AI' 서비스로 발전시켜 나갈 계획이다. '브리핑' 서비스는 에이닷 이용자 가운데 선착순 2만명을 대상으로 제공한다. SK텔레콤은 올 하반기 중 에이닷 '노트'와 '브리핑' 서비스의 베타 테스트를 진행해 사용자의 반응과 사용 의견 등을 확인·적용해 이르면 올해 내 정식 버전을 출시할 계획이다. 김용훈 SK텔레콤 에이닷 사업부장은 “이번 노트와 브리핑 서비스 베타 버전 추가는 에이닷을 AI 기술로 고객의 일상에 실질적인 가치를 더하는 '생활 밀착형 AI 서비스'로 발전시키기 위한 것”이라며 “앞으로도 음성 기술과 고객 생활 패턴 기반으로 일상에서 혁신적 사용자 경험을 AI 기반으로 제공할 것”이라고 밝혔다.

2025.06.30 11:09진성우

"계약서에 '심슨' 주소 적었다"…앤트로픽, AI 사업 운영 실험 '실패'

앤트로픽이 생성형 인공지능(AI)를 활용해 음료 사업을 운영하는 실험을 진행한 결과 AI가 기본적인 실무는 수행 가능하지만 사업 운영 전반에 대한 판단력은 현저히 부족한 것으로 드러났다. 30일 톰스하드웨어에 따르면 앤트로픽은 AI 안전성 테스트 전문 기관 앤던랩스와 함께 '프로젝트 벤드'라는 이름의 실험을 통해 거대언어모델(LLM) 클로드에게 소형 냉장고 기반 음료 판매 사업의 전권을 맡겼다. 이 실험에서 '클로드'는 공급처 발굴부터 재고 보충, 가격 책정, 고객 응대까지 전 과정을 독립적으로 처리하는 역할을 맡았다. 실험은 약 한 달간 진행됐으나 모델이 운영 전반에서 반복적으로 오류를 보이며 실제 손실을 기록한 것으로 확인됐다. '클로드'는 사업 초반 비교적 안정적인 물류 처리와 고객 요청 대응 능력을 보였지만 가격 정책에서 지속적으로 비정상적 판단을 내렸다. 모든 앤트로픽 직원에게 25% 할인 혜택을 일괄 적용했으며 이는 내부 고객이 전체 매출의 99%를 차지하는 상황에서 곧바로 손실로 이어졌다. 외부의 지적을 받은 뒤 일시적으로 할인율을 수정했지만 다시 기존 정책으로 복귀하며 같은 오류를 반복했다. 보다 직접적인 손해 사례도 있었다. 한 직원이 단순 호기심 차원에서 '텅스텐 큐브' 구매를 요청하자 클로드는 해당 품목을 하나만 사는 것이 아닌 '특수 금속' 재고로 분류해 다량 확보 후 손해를 감수하고 판매하는 방향을 결정했다. 단순 응답 기능을 넘어 '상품 큐레이션' 단계로 착각한 결과다. 이 과정에서 드러난 환각 증세는 단순 오류 수준을 넘어섰다. 갑자기 '클로드'는 존재하지 않는 직원 사라와 재고 보충을 논의했고 누군가 해당 인물의 존재를 의심하자 방어적으로 반응하며 계약 대안을 찾겠다고 답했다. 이후에는 만화 '심슨 가족' 속 주소인 '에버그린 테라스 742번지'에서 계약 체결을 했다고 주장하기도 했다. 종국에 '클로드'는 고객에게 직접 음료를 전달하겠다는 표현까지 사용하며 자신이 물리적으로 존재한다고 믿는 듯한 행태를 보였다. 보안 우려를 감지한 AI는 자체적으로 앤트로픽 보안팀에 이메일을 보내기도 했고 이후 "이 모든 건 만우절 장난이었다"는 논리를 만들어내며 상황을 수습하려 했다. 앤트로픽 측은 실험 종료 후 해당 AI가 일상적인 대응 태스크에서는 높은 효율을 보이지만 복합적인 판단과 손익 예측, 역할 인식 등에서 아직 신뢰할 수 없는 한계가 드러났다고 정리했다. 다만 이러한 실패 사례 역시 자율 에이전트 연구에 있어 중요한 학습 자료가 된다는 입장이다. 벤처비트는 "'클로드'의 엉뚱한 행동은 AI가 아직 완벽과는 거리가 멀다는 것을 보여주나 단점들은 장기적으로 해결될 수 있을 것"이라며 "현재로서는 판단력, 비즈니스 감각, 즉 책에서는 배울 수 없는 실제 환경에서 배우는 것들에서는 처참하게 실패하고 있다"고 분석했다.

2025.06.30 10:55조이환

"파파존스, 8년 6개월동안 개인정보 3730만건 유출"

파파존스가 8년 6개월간 개인정보를 유출시킨 것으로 드러났다. 유출된 건수만 3천730만 건에 이른다. 이름, 연락처, 주소, 이메일, 생년월일을 비롯해 카드번호와 공동현관 비밀번호 등 민감한 개인정보까지 무방비 상태로 유출됐다. 국회 과학기술정보방송통신위원회 최민희 위원장은 이같은 사실을 확인하고 파파존스에 알렸지만 정보유출이 차단되는 데 이틀이 걸렸다고 지적했다. 최민희 의원실이 제보자와 함께 분석한 결과 정보 유출은 2017년 1월1일부터 지난 24일까지 이뤄졌다. 주문정보를 8년 이상 보관했다는 점도 심각한 법 위반 사항이다. 파파존스의 개인정보처리방침에 따르면 전자금융거래에 따른 정보는 최대 5년간 보관토록 규정하고 있다. 보유기간이 지나면 지체없이 개인정보를 파기해야 한다고 규정한 개인정보보호법을 명백히 위반한 행위다. 김승주 고려대 정보보호대학원 교수는 최민희 의원실에 “이 정도로 기본적인 보안조차 마련되지 않은 기업은 처음”이라며 “이는 개인정보보호법 제 29 조의 안전조치 의무 위반 소지가 크다”고 지적했다. 최민희 의원은 “무책임한 태도로 일관하며 사안을 축소하는 데만 치중하고 있는 파파존스는 개보위 조사에 성실히 협조하고, 진심 어린 사과와 피해 보상, 그리고 재발 방지 대책을 마련해야 할 것”이라고 말했다.

2025.06.27 17:37박수형

파파존스, 주문자 정보 노출 사고...개보위 조사 착수

최근 한국파파존스에서 일부 주문자 정보가 외부에 노출되는 사건이 일어나 개인정보보호위원회가 조사에 착수했다. 26일 파파존스는 25일 오후 유출신고를 통해 홈페이지 소스코드 관리 소홀로 2017년 1월부터의 고객 주문정보(이름·전화번호·주소 등)가 온라인상에 노출된 것을 확인했다고 밝혔다. 회사 측은 최근 일부 고객정보가 외부에 노출될 수 있는 보안 취약점이 발견됐으며, 관련 신고가 접수된 즉시 조치에 나섰다고 설명했다. 회사는 이날 입장문을 통해 "일부 고객 정보가 외부에 노출될 수 있는 보안 취약점이 발견됐다"며 "현재 모든 보완 작업을 완료하고 정상 운영 중"이라고 설명했다. 회사에 따르면 노출 가능성이 있었던 항목은 고객명·연락처·주소 등 기본 개인정보이며, 일부 언론에서 언급된 카드정보의 경우 카드번호 16자리 중 일부가 마스킹된 상태로 나타났다. 결제에 필요한 카드 유효기간 및 CVC 번호는 노출되지 않은 것으로 확인됐다. 회사 관계자는 "개인정보가 외부로 유출된 기록은 전혀 없다"며 "관리 소홀로 고객께 심려를 끼쳐드려 무거운 책임감을 느낀다"고 고개를 숙였다. 이어 “유사 사고 방지를 위해 개인정보 관리 체계를 전면 재점검하고, 보안 시스템의 안전성 점검을 강화하겠다”고 밝혔다. 또 현재 진행 중인 조사에 적극 협조하고 있으며, 구체적인 피해 여부가 확인될 경우 해당 고객에게 신속히 안내하고 적절한 보호 조치를 취할 계획이라고 덧붙였다. 이에 개보위는 구체적인 유출 경위 및 피해규모, 기술적·관리적 안전조치 의무 준수 여부 등을 확인하고, 개인정보 처리방침에 따른 개인정보 보유·이용 기간을 초과해 주문정보를 보관한 부분에 대해서도 집중적으로 확인해 법 위반 발견 시 관련 법령에 따라 처분할 예정이다. 개보위 측은 "최근 홈페이지 설계 취약점으로 인해 개인정보가 유·노출되는 사고가 늘어나고 있는 만큼, 각 사업자들은 관리자페이지 접근제한, URL 주소 관리 등 홈페이지 운영에 각별한 주의가 필요하다"고 강조했다.

2025.06.26 14:43류승현

명품 플랫폼 '머스트잇'도 털렸다…"고객 개인정보 유출"

명품 플랫폼 머스트잇에서 고객 개인정보 유출 사고가 발생했다. 머스트잇은 지난 25일 홈페이지에 게시한 입장문을 통해 “지난 23일 한국인터넷진흥원(KISA)을 통해 개인정보 침해 정황을 통보 받았다”며 “자체 점검 결과 5월 6~14일, 6월 9일 등 2차례의 비정상 접근 시도가 있었던 것으로 확인됐다”고 밝혔다. 머스트잇에 따르면 5월 6일부터 14일까지 특정 API에 대한 대량의 비정상 접근 시도가 발생했다. 이어 지난 9일에는 동일한 API 경로를 통한 2차 시도가 감지됐다. 머스트잇은 “해당 API는 별도 인증 없이 개인정보 일부를 조회할 수 있는 구조였으며 사고 인지 즉시 해당 취약점을 차단하고 전면적인 보안 조치를 완료했다”며 “또 즉시 개인정보보보호위원회 및 KISA에 신고했다”고 설명했다. 유출 가능성이 있는 개인정보 항목은 ▲회원정보 ▲아이디 ▲가입일 ▲이름 ▲생년월일 ▲성별 ▲휴대전화번호 ▲이메일 ▲주소 등 최대 9개 항목이다. 탈퇴 회원의 정보는 포함되지 않았다. 정보 유출 여부는 머스트잇 홈페이지에서 확인할 수 있다. 머스트잇은 현재 전체 시스템에 대한 보안 점검을 완료했고 유사한 취약점에 대해서도 일괄적인 보완 작업을 진행 중이다. 인증되지 않은 특정 경로에 대한 API 요청을 제한하고 비정상 접근에 대한 로그 감시 체계도 강화했다. 또 문제가 된 기존 API는 폐기하고 신원 확인을 거친 요청에만 개인정보 열람이 가능하도록 새로운 인증 구조의 API로 교체했다. 해당 방식을 개인정보를 반환하는 전체 API로 확대 적용하고 있다는 설명이다. 머스트잇은 “유출 항목을 확인한 경우 관련 게정의 비밀번호 변경을 권장한다”며 “이번 사고를 무겁게 받아들이고 있으며, 고객님의 개인정보를 더욱 철저히 보호하기 위한 기술적·관리적 보안 강화 조치를 지속적으로 강화해 나갈 것”이라고 강조했다.

2025.06.26 14:37김민아

정부 돈 357억 들인 '국산 VR엔진', 알고 보니 외국산 재탕

정부 예산 수백억 원을 들여 개발한 '국산 가상현실(VR) 엔진'이 사실은 외국산 소프트웨어를 그대로 활용한 것으로 드러났다. 감사 결과 연구 총괄 기관인 한국전자통신연구원(ETRI)의 한 연구원이 연구 성과를 허위로 보고했고 참여 기업은 기존 보유 기술을 '새로 개발한 국산 기술'처럼 제출한 것으로 나타났다. 25일 국가과학기술연구회 감사위원회는 ETRI 종합감사 보고서를 공개했다. 이번 감사는 기관 운영의 건전성과 효율성 확보, 불합리한 관행 개선, 공직기강 확립을 목표로 2021년 1월부터 2024년 6월까지의 업무를 대상으로 실시됐다. 주요 점검 대상은 연구개발(R&D) 관리, 인사, 연구장비 운영, 공사 분야 등이었다. 감사 결과 ETRI에서는 총 7건의 위법·부당 사항이 확인됐다. 가장 핵심이 된 사업은 ETRI가 2015년부터 2022년까지 총 357억 원의 정부 예산을 지원받아 추진한 '국산 VR엔진 개발 과제'다. 이 엔진은 실감형 콘텐츠를 구현하는 핵심 기술로 도서관 등 공공시설에 납품되기도 했다. 그러나 감사위원회는 ETRI가 실제로는 외국산 게임엔진 '유니티(Unity)'를 활용해 콘텐츠를 제작하고도 이를 국산 기술로 포장해 최종 성과물로 제출한 사실을 적발했다. ETRI는 외산 소프트웨어로 실행되는 콘텐츠를 납품하면서도 이를 '자체 개발한 국산 엔진 기반'이라 주장했다. 함께 연구에 참여한 기업은 과제 착수 이전부터 자체적으로 개발한 외산 기반 VR엔진을 보유하고 있었으며 과제 참여 이후 이 엔진을 '새로 개발한 국산 기술'처럼 제출했다. 보고서에 따르면 해당 엔진으로 작동된다고 제출된 콘텐츠들은 모두 유니티 환경에서만 실행됐으며 ETRI가 '국산 엔진'이라 주장한 소프트웨어는 실제로는 작동조차 불가능한 미완성 상태였다. 콘텐츠 내부에는 외산 엔진 로고가 그대로 포함돼 있었으며 ETRI가 운영하던 배포 홈페이지도 현재는 폐쇄된 상태다. 더 큰 문제는 과제가 종료된 이후 해당 참여업체가 이 엔진을 활용해 독자적으로 영업 활동을 하고 있다는 점이다. 정부 지원금으로 개발된 기술임에도 불구하고, ETRI는 해당 기술에 대한 소유권 확보나 관리 조치를 전혀 취하지 않았다. ETRI의 연구 책임자는 이 같은 상황을 인지하고도 콘텐츠가 외국산 기반으로 제작됐다는 사실을 숨긴 채 '국산 성과물'로 인정하고 기술 검수를 통과시켰다. 심지어 용역 계약 대상이었던 업체는 과거 자신이 자택 주소를 제공해 창업을 도왔던 연수생이 설립한 회사였으며 이 업체는 별다른 실적 없이 수천만 원대 용역을 수주했다. 또한 이 책임자는 과제에 참여했던 기업 대표로부터 현금 1천만원을 수령한 사실도 드러났다. 그는 이틀 뒤 해당 금액을 반환했다고 주장했지만 금품 수수 사실을 소속 기관에 전혀 신고하지 않은 점은 청탁금지법 위반에 해당한다. 이외에도 동일한 콘텐츠가 서로 다른 과제의 성과물로 중복 등록돼 실적이 부풀려진 정황도 확인됐다. 보고서에 따르면 국산 엔진으로 작동된다고 보고된 콘텐츠가 실제로는 전부 유니티를 통해서만 구동된 것으로 나타났다. 감사위원회는 이번 사안을 단순한 행정 착오로 보지 않았다. 보고서는 "해당 연구책임자는 연구 부정행위, 윤리 위반, 용역 계약 특혜 제공, 금품 수수 미신고 등 복합적인 위법·부당 행위를 저질렀으며 이는 국가 예산의 낭비와 연구기관의 신뢰 훼손으로 이어졌다"고 판단했다. 이에 따라 감사위원회는 연구책임자에 대해 중징계 조치를 요구했다. 또 공동연구기관의 부당한 연구비 사용과 허위 성과 제출에 대해서도 제재 여부를 관계기관과 협의해 검토하라고 통보했다.

2025.06.25 17:22남혁우

바이낸스, 아시아 가상자산 투자자 보안 의식 성숙

바이낸스(대표 리처드 텅)가 아시아 전역 약 3만여명의 사용자를 대상으로 설문조사를 실시한 결과, 전반적 보안 의식이 크게 성숙해진 것으로 나타났다. 바이낸스에 따르면, 전체 응답자의 80.5%가 계정 보호를 위해 2FA(2단계 인증)를 활용하고 있으며, 73.3%는 송금 전 수취인 주소를 재확인 한다고 답해 거래소 이용자의 상당수가 기본 보호 조치에 적극적인 태도를 보였다. 반면, 피싱 방지 코드(21.5%), 화이트리스트 주소(17.6%) 등의 첨단 보안 툴의 사용률은 생각보다 높지 않았다. 그리고 거래 비밀번호를 인터넷에 연결된 기기에 저장하는 이용자들도 35%에 달해 지속적 개선과 교육이 필요한 것으로 확인됐다. 거래소를 단순한 플랫폼이 아닌 보안 분야의 중요한 파트너로서 기대하는 부분도 커졌다. '거래소에서 가장 강화되었으면 하는 보안 요소'를 묻는 질문에서는 62.5%가 '고위험 거래의 실시간 위협 차단'을 선택했으며, '악성코드 및 감염 기기 경고'(50.4%), '의심 주소 데이터베이스'(49.4%), '생체인증 통합'(47.2%) 등을 답한 이용자들도 많아 보다 다층적인 거래소 보안 대응 체계를 요구했다. 강력한 보안 시스템에 대한 수요는 거래소에만 국한 되지 않고 지갑 부문에서도 동일하게 표출됐다. 탈중앙화 지갑에서 가장 강화되기를 원하는 요소를 묻는 질문에 응답자의 62.8%가 '개인 키 보호 기능 강화'를 꼽았고, 그 뒤를 이어 '안전한 백업 및 복구 옵션'(50.4%), '해킹 공격 보안 알림 및 보호'(48.1%), '피싱 디앱(DApp) 탐지'(47.5%) 등 가상자산의 종합적 안정성을 높일 수 있는 기능을 필요로 했다. 가상자산 스캠 정보를 주로 접하는 채널은 'X'(구 트위터, 57%)와 텔레그램(51.2%), '페이스북'(46.5%)이 가장 많았고, '인스타그램'(28.6%), '틱톡'(27.2%) 등에서 노출되는 경우도 적지 않았다. 인도 등 일부 지역에서는 '왓츠앱' 같은 특정 플랫폼이 우세한 경우도 있어 환경적 특성을 고려한 맞춤형 교육의 중요성도 함께 시사됐다. 보안 교육 관련해서는 응답자의 절반 이상이 전문성을 요하는 일반적인 가상자산 관련 자료들을 이해하는 데에 어려움이 있다고 답했다. 그러면서도 많은 이들이 보안 위협을 보다 구체적인 맥락 속에서 이해할 수 있는 실사례 중심의 교육을 선호한다고 밝혔으며, 전체의 61.3%가 거래소 주도의 사기 방지 시뮬레이션 프로그램에 참여할 의향이 있다고 답해 높은 학습 의지를 보였다. 바이낸스 지미 수 최고보안책임자(CSO)는 “점차 정교해지는 가상자산 이용 범죄를 사전에 차단하고 예방하기 위해서는 단순한 기술 제공을 넘어, 인식 개선을 위한 교육까지 아우르는 종합적 대응이 뒷받침돼야 한다”고 강조했다. 이어 “바이낸스는 설문을 통해 확인된 이용자들의 높은 기대와 교육 수요에 부응하기 위해, 각 지역의 특성과 실제 위협 사례를 반영한 맞춤형 콘텐츠를 확대하고 실시간 위험 감지 시스템을 지속적으로 강화할 계획”이라고 전했다.

2025.06.25 13:59김한준

아마존, 인도에 3천200억원 추가 투자…직원들도 더 챙긴다

아마존이 올해 인도 시장에 2억3천300만 달러(약 3천200억원) 이상을 추가 투자한다. 이번 투자는 인도 전역의 물류 네트워크 확장과 고도화는 물론, 직원과 파트너 복지 향상, 기술 혁신 강화를 목표로 한다. 19일(현지시간) 아마존은 자사 뉴스룸에 이같은 소식을 전했다. 아마존 인도와 호주 오퍼레이션을 총괄하는 아비나브 싱 부사장은 “지난 10년간 인도에서 안전하고 신속하며 신뢰할 수 있는 물류 인프라를 구축해왔다”며 “이번 투자는 풀필먼트, 분류, 배송 네트워크 전반에 걸친 지속적인 확장과 개선을 위한 것”이라고 밝혔다. 아마존은 이번 투자를 통해 인도 전역의 배송 처리 역량과 속도를 개선하고, 전체 운영 효율을 높이겠다는 계획이다. 특히 장애인 접근성이 뛰어난 풀필먼트 센터를 지속적으로 설계하고 있으며, 냉방, 안전 설비, 휴게 공간 등 작업 환경 전반에 걸쳐 개선을 추진하고 있다. 아마존 측은 “기존과 신규 운영 시설에 최신 기술과 에너지 효율적인 설비를 적용해 에너지 소비를 최소화하고 있다”며 “이번 투자는 인도 내 물류 거점을 강화하고 판매자, 소비자, 지역 경제 성장에 기여하기 위한 전략적 조치”라고 설명했다. 물류 업무 직원들 복지 강화 아마존은 물류 인력의 건강과 재정적 안정을 위한 복지 프로그램에도 지속적으로 투자하고 있다. 예를 들어 회사는 아마존 소속 여부와 관계없이 모든 배송기사에게 개방된 휴게 공간으로, 에어컨, 식수, 휴대폰 충전, 화장실 등의 편의시설을 제공한다. 또한 물류 인력과 운전자를 위해 재무 교육이나 개인 재정 지원을 위한 프로그램을 운영한다. 아울러 아마존 협력 직원의 자녀를 위한 장학금 프로그램도 있으며, 트럭 운전자들의 건강 검진 및 치료 지원을 위한 의료 복지 프로그램도 마련돼 있다. 이 외에도 아마존 인도는 모든 물류 인력에게 응급처치 시설과 보험을 제공하며, 2025년 말까지 8만 명 이상의 배송 파트너를 대상으로 전국 무료 건강검진 캠페인을 진행 중이다. AI 기술로 안전·배송 효율↑ 기술 혁신도 중점 투자 분야다. 아마존 인도는 배송 기사의 안전 강화를 위해 위험 속도 감지 및 휴식 알림 기술을 도입하고 있으며, 배송 경로의 난이도를 측정해 공정하게 업무를 분배하는 시스템을 운영 중이다. 또한 신규 드라이버 온보딩 과정을 간소화하고, 수입 투명성과 복지 정보를 개선한 앱을 통해 사용자 경험을 강화하고 있다. 복잡한 주소지 탐색을 위한 내비게이션 기능, 물품 사진·영상 검증 기능 등을 도입해 배송 오류를 줄이고 작업 부담도 경감하고 있다. 최근에는 헬멧 착용 여부를 출발 전 자동 확인하고, 실시간 안전 알림을 제공하는 '헬멧 착용 확인 앱'도 새롭게 도입했다. 아비나브 싱 부사장은 “인도 고객을 더 빠르고 안정적으로 응대하기 위해 기반 인프라를 확장하고 있다”며 “동시에 아마존의 심장이라 할 수 있는 직원, 협력사, 파트너들을 위한 지원도 더욱 강화할 것”이라고 강조했다.

2025.06.20 12:22안희정

"IP 하나로 공공 사이버 위협 해결"···AI스페라, 'K-ASM' 디지털서비스몰 등록

사이버 보안 전문 기업 AI스페라(대표 강병탁)는 공공기관 전용 공격표면관리(ASM) 솔루션 'Criminal IP K-ASM'을 19일 조달청 디지털서비스몰에 정식 등록했다고 밝혔다. 회사에 따르면, 공공기관 대상 해킹 시도가 일평균 160만 건이 넘고, 정부가 사이버 위기 경보를 '주의' 단계로 상향한 가운데, 선제적 보안 대응의 필요성이 어느 때보다 높아졌다. AI스페라는 자사의 글로벌 ASM 솔루션 'Criminal IP ASM'(크리미널 IP ASM)을 국내 공공기관 환경에 맞춰 최적화한 'K-ASM'을 통해 공공부문 보안 수준 향상에 나선다. 이 솔루션은 기관의 IP 주소 하나만으로 24시간 AI 스캐닝을 통해 조직 내부 IT 자산은 물론 VPN, 방화벽, 이메일 서버 등 해커들이 주로 노리는 '네트워크 엣지' 장비까지 자동으로 식별하고 모니터링한다. 또, K-ASM은 고도화된 악성코드 공격에 대비해 위협 탐지와 즉각적 알림 기능을 갖췄다. 보안 관리자는 솔루션을 통해 디지털 자산 노출 위험성을 즉시 확인하고, 자체 취약점 평가 기능으로 5단계 위험 수준 구분 알림을 받아 빠른 의사결정을 내릴 수 있다. 자산별 위험 점수와 함께 취약 자산 목록을 포함한 보고서도 별도 제공해 대응의 우선순위를 쉽게 파악할 수 있다. 공공기관 도입을 위한 신뢰성 확보도 마쳤다. 이번 디지털서비스몰 등록과 함께 K-ASM은 클라우드 보안인증(CSAP)을 완료하는 한편 GS인증, K-PaaS 인증, KACI 클라우드 서비스 확인서 등 다양한 인증을 획득해 공공 서비스로서의 안정성과 신뢰성을 입증했다. 보안 강화 움직임이 가속화되는 가운데, 정부는 과기정통부 주도로 주요 플랫폼 기업 대상 보안 점검을 진행하고 있으며, 산업부도 에너지 분야 사이버보안 설명회를 여는 등 대응에 박차를 가하고 있다. 공격표면관리 기술은 이러한 정부의 방침과 부합하는 형태로, 특히 '신속한 위협 탐지와 즉각적인 신고 체계'라는 정책 방향을 뒷받침할 수 있는 핵심 도구로 주목받고 있다. AI스페라는 이번 등록을 기념해 △IT 자산 리스크 자동 탐지 △민감 정보 유출 탐지 기능이 포함된 무료 체험판도 공개했다. 보안 담당자는 최대 30일간 솔루션을 직접 사용하며 기관의 위협 노출 상태와 제품 성능을 평가할 수 있다. 한편, K-ASM의 기반이 되는 'Criminal IP'는 이미 한국인터넷진흥원, 금융보안원, 한국공항공사, 국방부, 경찰청 등 다수의 공공기관에서 사용되고 있다. 최근에는 국방대학교의 보안 연구 논문에 활용됐고, 글로벌 저널 IEEE Access에서는 신뢰 가능한 인터넷 스캐닝 솔루션 사례로도 언급됐다. AI스페라 강병탁 대표는 "통신, 에너지, 금융 등 국가 핵심 인프라를 겨냥한 해킹이 갈수록 정교해지고, 국가 차원의 해킹 시도가 더욱 증가하면서 공공기관의 사전 예방적 보안 체계 구축이 국가 안보 차원의 필수적 과제가 됐다"며 "K-ASM을 통해 공공기관이 안전하고 효율적으로 IT 자산을 관리할 수 있도록 지속적으로 지원하겠다"고 밝혔다.

2025.06.19 22:42방은주

랜섬웨어 피해, 5월 한달간 전세계 484건...SK실더스 보고서 발간

SK쉴더스는 사이버 위협 분석 보고서 'EQST Insight' 6월호를 통해 올 5월 한 달간 세계적으로 총 484건의 랜섬웨어 피해가 발생했다고 19일 밝혔다. 이는 전월(550건) 대비 약 12% 줄었지만, 주요 랜섬웨어의 소스코드 유출 등으로 변종과 신규 조직의 등장이 잇따르며 공격 위험성은 여전히 크다고 설명했다. . 보고서는 진화하는 랜섬웨어 그룹의 공격 양상을 다각도로 분석했다. 특히 5월 초, 세계 최대 규모 랜섬웨어 조직 중 하나인 록빗(LockBit)의 다크웹 유출 사이트가 역해킹당하는 사건이 발생했다. 해커는 관리 패널까지 침입해 내부 데이터베이스 일부를 유출했고, 이 안에는 가상화폐 지갑 주소와 랜섬웨어 버전 정보, 제휴사 계정, 채팅 기록 등이 포함된 것으로 확인됐다. 눈에 띄는 신규 랜섬웨어 그룹 중 하나는 '데브맨(Devman)'이다. 4월에 처음 등장한 Devman은 케냐의 공공 연금 기구인 'NSSF Kenya'를 공격해 2.5TB 규모의 데이터를 탈취했다고 주장했고, 필리핀 언론사 'GMA Network' 서버를 암호화하는 등의 피해를 입혔다. 이들은 SNS(X, 구 트위터)를 통해 스크린샷과 협박 메시지를 공개하고, 450만 달러(한화 약 61억원)에 달하는 몸값을 요구하는 등 협상 방식도 점차 고도화되고 있다. 5월중 가장 활발하게 활동한 랜섬웨어 그룹은 SafePay로, 총 72건의 공격을 기록했다. 이들은 체코의 공립 고등학교와 호주의 법률회사를 공격해 각각 30GB, 200GB 규모의 민감 데이터를 유출했으며, 학생 정보와 법률 문서, 고객 자료 등이 다크웹에 공개됐다. 이외에도 보고서는 ▲JGroup ▲Imncrew ▲WorldLeaks ▲Direwolf ▲DataCarry ▲Cyberex 등 신규 랜섬웨어 그룹 8곳의 활동도 함께 다뤘다. 이 중 Cyberex는 기존 다크웹 사이트 대신 일반 채팅 플랫폼을 활용해 몸값 협상을 진행하는 이례적인 방식을 사용했고, 신규 조직인 Injection Team은 러시아 해킹 포럼에서 해킹·DDoS·피싱 서비스를 홍보하는 등 활동 반경을 넓히고 있다. SK쉴더스는 이처럼 고도화된 랜섬웨어 공격에 대응하기 위해, 24시간 이상 징후를 탐지하고 보안 전문가가 즉시 대응하는 관리형 탐지·대응(MDR, Managed Detection and Response) 서비스 도입을 권고했다. 구독형 형태로 제공하는 MDR 서비스는 초기 비용 부담이 적어, 내부 보안 인력이 부족한 중소기업이나 기관에서도 부담 없이 도입 가능해 효과적인 보안 대안으로 주목받고 있다. SK쉴더스는 “최근 랜섬웨어는 소스코드 유출로 인해 새로운 변종이 빠르게 생겨나고, 공격 수법도 예측하기 어려운 방향으로 바뀌고 있다”며 “국내 기업과 기관을 겨냥한 랜섬웨어 위협이 지속되는 상황에서, 실시간 탐지와 대응이 가능한 SK쉴더스의 MDR 서비스가 효과적인 대응 수단으로 권장된다”고 밝혔다. 한편 SK쉴더스는 2017년부터 랜섬웨어 동향과 보안 대응 전략을 담은 'EQST Insight'를 매월 발간하고 있다. 이 보고서는 SK쉴더스 공식 홈페이지에서 무료로 확인이 가능하다.

2025.06.19 19:12방은주

'12시간 먹통 논란' 코빗, 고객 자산 보호 위한 내부통제 고도화

가상자산거래소 코빗에 대한 투자자의 신뢰 하락이 우려되고 있는 가운데, 고객 자산 보호 노력이 인정을 받을 수 있을지 주목을 받고 있다. 코빗(대표 오세진)은 고객 자산을 안전하게 보관하기 위해 내부통제를 고도화하고 있다고 18일 밝혔다. 코빗은 이용자보호법에 따라 이용자 원화 예치금의 100% 이상을 은행에 예치하고 있으며, 매월 말 은행의 현장 실사와 분기 말에는 회계법인의 외부 실사를 통해 분리 보관 및 예치 의무 이행 여부를 정기적으로 점검받고 있다. 또한 고객 가상자산의 원화 환산가치 80% 이상을 콜드월렛에 보관하고 있으며 이를 매일 모니터링 중이다. 콜드월렛은 인터넷이 물리적으로 차단된 별도의 공간에 보관되며, 가상자산 이체에 필요한 인증 절차도 오프라인에서 이루어진다. 이 과정은 복수의 승인자가 공동으로 서명해야만 이체가 가능하도록 통제하고 있다고 알려졌다. 이러한 내부통제 체계는 객관적으로도 인정받고 있다는 게 회사 측의 설명이다. 코빗은 재무 내부통제 글로벌 인증인 SOC 1 보고서를 획득한 바 있으며, 월렛 보안과 관련된 운영 절차 또한 지속적으로 개선하고 있다. 여기에 2022년 국내 최초로 보유 가상자산 내역을 공개한 이래, 현재까지 거래소 내 유통량(고객 예치 자산) 및 거래소 보유자산 수량을 지갑 주소까지 포함해 매일 홈페이지에 공시하고 있다. 가상자산 거래지원 모범사례에 따라 임직원들의 내부통제도 강화했다. 지난해 7월 시행된 거래지원 심사 공통 가이드라인(가상자산거래지원 모범사례)에 따라 그간의 운영실태에 대해 점검하고 개선방안을 제안하는 자체 감사를 실시했으며, 거래지원 업무관련 임직원의 내부통제 강화를 위해 타 거래소를 포함한 계좌 신고제 도입 및 주기적인 거래내역 점검 등 관리절차를 강화해 운영하고 있다. 코빗 측이 갑자기 이러한 내부통제와 이용자 자산 보호 등을 안내한 것은 최근 12시간 긴급 서비스 점검에 투자자 등 고객의 불안이 커졌기 때문으로 풀이된다. 코빗은 지난 16일 오후 2시30분부터 약 12시간 시스템 긴급 점검을 진행한 바 있다. 특히 점검 시간이 계속 연장되면서 한때 해킹설이 돌았다. 이에 대해 코빗 관계자는 “최근 있었던 장시간 점검을 계기로 시스템 안정성과 내부통제 체계를 더욱 고도화하고 있다”라며 “고객 자산의 안전한 보관과 편리한 거래 환경 제공을 최우선으로 삼아 기술적·관리적 조치를 강화해 나갈 것”이라고 전했다. 한편, 오세진 코빗 대표는 지난해 12월부터 디지털자산거래소 공동협의체(DAXA) 2대 의장을 맡고 있다. DAXA 회원사로는 코빗을 비롯해 업비트와 빗썸, 코인원, 고팍스가 있다.

2025.06.18 20:35이도원

집요한 사람 찾습니다…'오늘의집', 이색 채용 이벤트 연다

오늘의집은 전국민 대상 쇼핑 기획전 집요한세일을 맞아 이색 채용 이벤트 '집요한 사람을 찾습니다'를 개최한다고 18일 밝혔다. '집요한 사람을 찾습니다' 는 오늘의집을 통해 집요하게 상품을 찾아보고 긍정적인 경험을 만들어내는 고객을 위해 기획됐다. 모집 분야는 총 5개로 ▲집요한 대학생 ▲집요한 자취생 ▲집요한 주부 ▲집요한 신혼부부 ▲집요한 수집가이며 분야별로 가장 적합한 인물을 선정한다. 오는 29일까지 오늘의집 채용 사이트 내 이벤트 공고를 확인한 후 지원자의 집요함을 가장 잘 보여줄 수 있는 자료를 제출하면 된다. 자유 형식으로 SNS 계정 주소, 영상, 사연, 사진 등 집요함을 보여줄 수 있으면 된다. 이와 함께 오늘의집 앱 쇼핑 페이지에서 집요함이 깃든 아이템 3개를 스크랩한 후 캡쳐해서 업로드하면 지원 완료된다. 오늘의집 회원이라면 누구나 참여 가능하며 당첨자는 내달 4일 개별적으로 안내된다. 선발된 '집요한 사람'들은 4주간 500만원의 보상금을 받고 오늘의집 단기 협업 크리에이터로 활동하게 된다. 4~5주간 자신만의 집요함을 보여주는 자유로운 콘텐츠를 기획하고 제작하면 된다. 이외에도 본인이 지원 당시 스크랩한 3가지 물품 중 30만원 이하의 상품 1개를 선물로 제공받는다. 오늘의집은 이번 이색 채용 이벤트를 알리는 맞춤형 홍보물을 서울 소재 대학가 20곳에 설치했다. 오늘의집은 현수막과 포스터를 대학 캠퍼스 내에 설치해 QR코드를 통해 많은 대학생이 '집요한 사람을 찾습니다'에 응모할 수 있도록 했다. 오늘의집 관계자는 “집요한세일을 맞아 고객에게 색다른 재미와 추억을 선사하고자 이색 채용 이벤트를 마련했다”고 말했다.

2025.06.18 09:54박서린

네이버, 스마트스토어 판매자 정보 유출 의혹 부인

스마트스토어 판매자 정보가 다크웹에서 파일 형태로 거래되고 있다는 보도가 나오자 네이버가 해킹 흔적은 전혀 없었다고 해명했다. 17일 네이버는 입장문을 통해 “자사는 통신판매중개업자로서 비슷한 형태의 온라인 커머스 사업자와 마찬가지로 현행법상 스마트스토어 판매자의 사업자 정보를 소비자에게 제공할 법적 의무가 있다”고 밝혔다. 이어 “보도된 스마트스토어 판매자 정보는 법령에 따라 공개된 사업자 정보로서 제3자에 의해 수집된 것으로 보인다”며 “자체 점검 결과 자사 시스템 내 이용자 개인정보 데이터베이스(DB) 침해 정황 등 해킹 흔적은 전혀 없는 것으로 파악됐다”고 강조했다. 또 “이와 같은 제3자에 의한 정보 수집을 막기 위해 판매자 정보 확인 시 자동입력 방지 기능을 도입하고 판매자 정보가 포함된 URL 주소에 무작위 문자열을 삽입하는 등 접근 차단 등의 조치를 시행하고 있다”고 설명했다. 향후 추가적으로 크롤링 탐지 강화, 정보 접근 제어 고도화 등의 조치를 지속적으로 확대하겠다고도 했다. 끝으로 네이버는 “현재까지 해당 정보의 유통으로 인한 피해는 접수된 바 없으나, 개인정보보호위원회와 한국인터넷진흥원(KISA)과 긴밀히 협조해 해당 정보 유통으로 인한 피해가 발생하지 않도록 만전을 기하겠다”고 약속했다.

2025.06.17 20:53박서린

박상규 "보안, 과거와 완전 달라···치과·음식점도 해킹"

"국내 기업의 사이버보안은 너무 복잡하고 일관성도 없습니다. 국산과 외산 섞어서 쓰고, 서로 인터페이스도 안 되고, 유지보수 계약도 다릅니다. 돈은 돈대로 들어가고 보안은 보안대로 안 됩니다. 해외 기업들은 통합을 합니다. 원 플랫폼 또는 싱글 플랫폼으로 사이버보안을 재구축하는게 최근 트렌드입니다. 하지만 한국은 아직 플랫폼화해 통합하는 쪽으로 움직이고 있지 않고 있습니다." 박상규 팔로알토네트웍스코리아(이하 팔로알토 코리아) 대표는 17일 한국정보산업연합회가 서울 삼성동 그랜드 인터컨티넨탈호텔에서 개최한 'CIO포럼'에서 "오늘날의 보안은 과거 보안과 완전히 다르다"며 이 같이 밝혔다. 박 대표는 단순한 데이터 침해를 넘어 비즈니스 마비 시대가 지금 이 순간에도 일어나고 있다며 "새로운 사이버 보안이 필요하다"며 8가지 전략을 제시했다. 첫째, 현재의 레거시 방화벽을 차세대 방화벽(L7)으로 교체 둘째, 원격접속 VPN을 폐지하고 제로트러스트 SASE 도입 셋째, 코드개발부터 운영까지 보호하는 포괄적 클라우드 보안 도입 넷째, 엔드포인트 보호를 XDR로 교체 다섯째, 인력에 의존한 보안관제를 완전 자동화한 SOC로 전환 여섯째, 전사 보안 모니터링을 위한 통합 대시보드 구축 일곱째, AI보안에 대한 철저한 대책 수립 및 실행 여덟째, 전사적 보안 OPEX 점검 및 비용절감 방안 연구 등이다. 박 대표에 따르면, 팔로알토네트웍스(이하 팔로알토)는 글로벌 넘버1 사이버보안 전문기업이다. 임직원이 2천명이 넘고 고객사는 9천곳 이상이다. 올 1월 기준 시총(시가총액)이 160조원으로, 우리나라 SK하이닉스와 버금가는 규모다. 또 포천500에 속한 유일한 사이버보안기업이고, 사이버보안 기업 사상 최대 상장규모를 기록했다. 팔로알토가 설립한 지 20년이 됐고 한국서 비즈니스를 한 건 10년이 넘었다고 소개한 그는 특히 플랫폼화에 따른 통합을 강조했다. 이를 구현하기 위해 팔로알토는 네트워크 보안 플랫폼과 리얼타임 클라우드 보안, AI기반 SOC를 보유하고 있다. 특히 이회사의 보안관제 플랫폼 '코텍스 엑시암(Cortex XSIAM)'은 AI중심의 완전히 자동화한 플랫폼으로 방대한 데이터를 자랑한다. 박 대표는 랜섬웨어 공격에 대한 바람직한 대응 전략도 제시했다. 돈으로 해결하지 말라면서 "엔드포인트 제품(XDR)과 제로트러스트 기반 차세대 방화벽을 설치해 모든 공격을 차단해야 하며 '사건 대응(IR, Incident Response)' 서비스를 통해 감염을 해결하라"고 들려줬다. 이어 "엄청나게 많은 회사들이 해킹을 당하고 있고 고통을 받고 있고 해결을 못해 돈을 주고 해결하고 있다. 이후 다시 해킹을 당하고, 이게 우리나라의 현 주소라고 생각한다"면서 "수억, 수십억 써 미리 방지해 수백억, 수천억의 손해를 막아야 하는 것 아니냐"고 강조했다. 또 "대부분 브라우저를 통해 인터넷에 접속한다. 브라우저는 시큐리티(보안)를 할 수 있는 제일 중요한 엔드 포인트다. 브라우저 레벨에서 시큐리티를 할 수 있는 제품은 팔로알토밖에 없다"고 주장했다. 한국의 열악한 보안 환경도 짚었다. 여러 이유로 한국 기업은 미국 등 선진기업에 비해 사이버보안 준비 태세가 낮으며, 대기업은 사이버보안 투자를 많이 하지만 일정 규모 이하 기업들은 투자거 거의 없다면서 "지금 이 시간에도 해킹 당하고 있다. 해킹은 대기업만 당하는 게 아니다. 치과, 한의원, 음식점이 다 해킹을 당한다"고 목소리를 높였다. 박 대표는 팔로알토가 60일 한시적으로 각 회사의 악성코드를 찾아주는 무료 침해진단 서비스(무료 SPA, Security Posture Assessment)를 시행한다면서 "고객은 비즈니스에 집중하고 보안은 팔로알토가 책임진다"고 강조했다. 또 모든 종류의 사이버 보안 공격과 방어를 다 할 수 있다면서 "감히 말하건데 (팔로알토가) 사이버 보안의 현재와 미래다"고 덧붙였다. 한편 박 대표는 발표 후 이어진 질의응답 시간에 SK테레콤 해킹 사건에 대한 질문을 받고 "상식 선에서 말하겠다. 우리나라 최고 기업이 해킹을 당했다니 충격적이였고 여러분도 그렇게 생각했을 거다. SK텔레콤이 이 정도인데 과연 우리 회사는 괜찮은가? 했을 것 같다. SK텔레콤이 해킹 당한 정확한 데이터를 가지고 있지 않다. SK텔레콤도 일부 우리 솔루션을 사용하지만 해킹 당한 분야에는 우리 제품이 들어가 있지 않다. 사이버 보안이 분야가 너무 많고 복잡하다. 한 군데만 뚫려도 해킹을 당한다. 뭔가 새로운 전략이 필요하다"고 말했다. 박 대표에 이어 팔로알토 본사 사이몬 개머리(Simone Gammeri) 수석부사장도 연사로 나와 AI·클라우드·IoT가 급격히 확산되는 환경에서의 제로 트러스트(Zero Trust) 보안 전략을 구체적으로 소개했다. 개머리 부사장은 “전 세계 데이터가 기하급수적으로 증가하고, AI·클라우드의 도입 속도에 비례해 사이버 공격 역시 그 속도와 정교함이 크게 향상되고 있다”며 “다양한 개별 보안 솔루션이 아닌, AI와 자동화를 접목한 통합 플랫폼 기반의 체계적 보안 전략으로 대응해야 한다”고 밝혔다.

2025.06.17 19:04방은주

S2W, '인터폴 단골' 된 이유는…"다크웹 추적 기술 세계가 주목"

S2W가 인터폴의 초청을 받아 인공지능(AI) 수사 지원 기술을 소개했다. 글로벌 사이버안보 체계 강화 흐름 속에서 민간 기술 기업이 수사 현장에 기여할 수 있는 방안을 제시한 것이다. S2W는 최근 프랑스 리옹 인터폴 본부에서 열린 '인터폴 사이버범죄 전문가 그룹 연례 컨퍼런스'에서 공식 연사로 참석했다고 16일 밝혔다. 이 행사에는 62개국 사이버범죄 수사기관 전문가들이 참여해 수사 전략과 기술을 공유하는 자문 성격의 회의다. S2W는 보안 빅데이터 플랫폼 '자비스(XARVIS)'를 중심으로 AI가 사이버 수사에서 실질적 효율성을 어떻게 끌어올릴 수 있는지를 설명했다. 발표는 컨퍼런스 둘째 날 서현민 이사가 진행했다. 현장에서 소개된 주요 기술은 ▲범죄 데이터를 빠르게 검색해 보여주는 AI 챗봇 '다크챗(DarkCHAT)' ▲유출 데이터를 위험도 기준으로 자동 분석하는 '다크인텔(DarkINTEL)' ▲비트코인 주소와 이메일 등 흩어진 정보를 연결해 범죄 자금 흐름을 추적하는 '멀티도메인 교차분석' 등이 있다. S2W는 이들 기술이 실제로 수사 과정에서 어떤 방식으로 적용됐는지도 시연했다. 다크웹 기반 범죄 수사에 관심이 큰 참석자들 사이에서 주목도가 높았던 것으로 전해졌다. 이 회사는 지난 2020년부터 인터폴과 공동작업을 이어오고 있다. 다크웹 인텔리전스를 제공하며 국제 랜섬웨어 조직 '클롭'과 '콘티' 검거에 협력했고 제33회 파리 올림픽을 앞두고는 위협 분석 정보를 제공해 공식 감사 서한을 받은 바 있다. 또 세계 최초의 다크웹 특화 언어모델 '다크버트(DarkBERT)'를 공개했으며 인터폴이 주관하는 다양한 사이버보안 행사에도 3년 연속으로 초청받아 발표를 이어가고 있다. 서현민 S2W 이사는 "이번 컨퍼런스 발표는 우리 안보 AI 기술력을 향한 국제사회 전문가 그룹의 관심을 재확인하는 뜻깊은 기회였다"며 "향후에도 지속적인 민관 공조와 기술 고도화를 통해 글로벌 사이버범죄 대응 시스템을 첨단화하는 데 기여할 것"이라고 밝혔다.

2025.06.16 15:53조이환

개보위, 한국연구재단 조사...해킹당해 개인정보 12만건 유출

개인정보보호위원회(위원장 고학수)는 해킹에 따른 한국연구재단의 개인정보유출에 대해 조사에 착수했다고 13일 밝혔다. 앞서 한국연구재단은 학술 및 연구개발 활동 지원을 위한 '온라인논문투고시스템'(JAMS, Journal and Article Management system)에서 취약점 해킹 공격으로 약 12만 건의 개인정보 유출이 있었다며 개인정보위에 12일 오후 4시경 신고했다. 유출된 개인정보는 성명, 생년월일, 연락처, 이메일주소, 계정 ID 등이다. JAMS에 등록된 개별 학회는 약 1600여곳이다. 이에 개인정보위는 "자료제출 요구, 현장 조사 등을 통해 구체적인 유출 경위 및 피해 규모, 안전조치 의무 및 유출 통지·신고 의무 등 '개인정보 보호법' 준수 여부를 조사할 것이며 법 위반 사항이 확인되는 경우, 관련 법령에 따라 처분할 예정"이라고 밝혔다. 한국연구재단은 전 학문분야를 아우르는 국가 기초연구지원시스템의 효율화 및 선진화를 목적으로 한국연구재단법에 따라 2009년 6월 26일 설립된 연구관리 전문기관이다. 국내에서 유일하게 인문사회와 이공계를 아우르는 모든 학문 분야를 지원하고 있다. 올 2월 기준 예산은 8조 4천여억원이다. 한국연구재단은 14일 오전 9시 현재 홈페이지에 개인정보 유출 사실을 공지하지 않은 상태다. 보통 민간은 해킹을 당하면 개인정보위에 신고하고, 또 그 사실을 홈페이지에 공지한다. 이에 대해 한국연구재단은 "즉시 JAMS 홈페이지(JAMS PORTAL) 및 JAMS에 등록된 약 1600여개의 개별 학회 홈페이지를 통해 사과문을 공지했다. 이후에는 사과문 알림창을 통해 해킹 피해 조회 서비스도 추가로 제공하고 있다"면서 "JAMS를 이용하는 학회 및 회원에게 보다 신속하고 정확하게 안내하기 위해 재단 홈페이지가 아닌 해당 홈페이지를 통해 즉시 공지했다"고 설명했다. 한편 한국연구재단은 전산실 이전 작업을 오는 7월 18~20일 진행할 예정이다. 이에, 이 시기에 정보시스템 접속 불가와 일부 기능 사용이 불가하다고 홈페이지에 공지해 놓았다.

2025.06.14 09:20방은주

개보위, CSP 대상 첫 개인정보 실태 조사...일부 개선 권고

개인정보보호위원회(위원장 고학수) 11일 전체회의를 열고 클라우드 서비스 제공사업자(Cloud Service Provider, CSP) 3개 사인 아마존(AWS), 마이크로소프트(Azure), 네이버클라우드(Naver Cloud Platform, NCP)에 대한 사전 실태점검 결과를 발표했다. 이들 3개사의 서비스를 이용하는 국내 고객사는 약 65만 곳에 달한다. 공정위 조사자료(2021년)에 따르면 AWS는 국내 CSP시장에서 62%, 애저는 12%, 네이버클라우드는 7%를 차지했다. 이번에 실태점검 결과를 발표한 전승재 개인정보위 조사조정국 조사3팀장은 "CSP를 대상으로 개인정보 실태 조사를 한 건 이번이 처음이며 CSP같은 중간재를 대상으로 개인정보 실태를 조사한 것도 이번이 처음"이라고 밝혔다. 이번 사전 실태점검은 개인정보보호법(제63조의2)에 따른 것이다. 개인정보 보호 취약점을 선제적으로 점검해 침해 위험을 사전에 예방하는 제도다. 법 위반 또는 개선 필요사항 발견 시 시정과 개선을 권고할 수 있다. 개보위는 "이번 실태점검은 클라우드를 기반으로 개인정보처리시스템을 운영하는 이용사업자(중소기업·스타트업·소상공인 포함)들이 클라우드 상 안전조치 기능 미비로 인해 개인정보 보호법(이하 '보호법') 위반 또는 개인정보 유출 위험에 노출되는 것을 선제적으로 예방하기 위해 진행했다"고 설명했다. ■ 점검 결과 점검대상 클라우드 서비스들은 보호법상 필수 안전조치 기능 자체는 제공하고 있지만 ① 일부 기능의 경우 이용사업자가 추가 설정을 해야 하거나 ②별도 솔루션을 구독해야만 하는 경우도 있어 이용사업자들에게 적극적인 안내가 필요한 것으로 조사됐다. ① 기본 안전조치 설정 외 추가 설정이 필요한 기능 개인정보보호법은 개인정보취급자에게 업무 수행에 필요한 최소한의 범위로 개인정보처리시스템의 접근권한을 차등 부여하고 접속계정을 공유하지 않을 것을 요구한다. 이를 위해 필요한 하위계정 발급 및 접근권한 설정 기능은 점검 대상 클라우드 서비스들에서 기본 제공되는데, 이용사업자가 이 기능을 활용하려면 자사 담당자별로 하위계정을 발급하고 각기 접근권한을 부여하는 조치를 추가로 해야만 한다. 또 보호법은 개인정보취급자가 개인정보처리시스템에 접속할 수 있는 범위를 인터넷 프로토콜(이하 IP) 주소 등으로 제한하고, 외부 인터넷에서 접속 시 아이디·비밀번호 이외의 안전한 인증수단(이하 '2차 인증')을 적용할 것을 요구한다. 점검 대상 서비스들은 접속IP 주소 대역 제한 기능을 기본으로 갖추고 있지만, 실제 이용사업자가 자사 환경에 맞게 허용·제한할 IP 주소 대역을 추가로 설정해야만 한다. 2차 인증 기능의 경우 대개 기본 탑재되어 있지만 일부 추가설정이 필요한 부분이 있어 이용사업자의 주의를 요한다. ② 별도 솔루션 서비스 구독 등이 필요한 기능 보호법은 개인정보처리시스템과 관련, 개인정보취급자에게 접근권한을 부여한 기록(log)을 3년간 보존 및 개인정보취급자가 접속한 기록을 1년(일정 규모 이상 개인정보처리자는 2년)간 보존해야 하며, 이 접속기록을 평상시 및 공격을 받을 시를 비롯해 상시 분석함으로써 개인정보 유출 시도(이상행위)를 탐지할 의무를 부여한다. 점검대상 클라우드 서비스들은 기록보존 기능 자체는 기본으로 제공하지만 보존 기간이 대개 수십 일 수준으로 단기에 그치고 있었다. 이용사업자가 1~3년의 보존의무를 이행하려면, 기록을 별도로 장기 보관하는 기능을 자체 구현하면서 필요한 별도 저장용량을 구입하거나, 또는 클라우드사업자가 제공하는 별도 기록 관리 솔루션을 구독해야 한다. 이상행위 탐지와 관련해서는, 기본적인 기능을 기본으로 제공하는 클라우드사업자도 일부 있었으나, 실제 현장에서 필요로 하는 수준의 이상행위 탐지시스템은 대개 별도 구독 솔루션으로 제공하고 있었다. 이 외에 암호 키 관리, 악성프로그램 방지 등의 기능도 별도 솔루션으로 구독해야 하는 경우가 다수 있었다. ■ 개선 권고 개인정보위는 클라우드사업자 3사를 대상으로 이들이 제공하는 안전조치 기능 중 추가 설정 또는 별도 솔루션 구독이 필요한 기능의 존재 및 설정방법을 개발문서(가이드, 설명서 등)를 통해 이용사업자에게 명확히 알릴 것을 개선권고하는 한편, 타 클라우드 사업자 및 이용사업자들을 대상으로도 한국인터넷진흥원 등 전문기관과 함께 적극적으로 계도해 나갈 계획이다. 개보위는 "이번 실태점검 및 후속 개선을 통해 클라우드를 활용하는 국내 다수 개인정보처리자들의 인식과 보호 수준이 향상될 것이 기대한다"고 밝혔다.

2025.06.12 12:00방은주

"25달러에 남의 계좌 털었다"…해커 양산하는 피싱키트, 메신저 거래 '활발'

피싱 공격을 실행할 수 있는 '피싱 키트(Phishing Kit)'가 메신저를 통해 저렴한 가격에 판매되면서 사이버 범죄가 빠른 속도로 확산되고 있는 것으로 나타났다. 악성코드 공격과 데이터 유출 같은 보안 사고가 급증하는 원인으로 지목된 만큼 이에 따른 피해가 커지지 않도록 각별한 주의와 대책 마련이 요구되고 있다. 12일 노드VPN에 따르면 '피싱 키트'는 현재 다크웹이나 텔레그램 같은 메신저 앱에서 25달러(한화 약 3만5천원) 이하로 쉽게 구매할 수 있게 되면서 사이버 범죄자들의 주요 도구로 자리잡았다. 피싱 키트는 드래그 앤 드롭 방식의 웹사이트 제작 도구, 이메일 템플릿, 연락처 리스트 등이 포함된 사전 제작형 악성 패키지다. 전문적인 기술이나 지식이 없어도 실제와 유사한 피싱 사이트를 제작할 수 있어 개인정보를 탈취하거나 데이터를 암호화하고 나아가 랜섬웨어 공격까지 감행할 수 있다. 피싱 키트는 신원 도용, 계좌 탈취, 악성코드 유포 등 다양한 사이버 범죄에 악용되며 감염된 기기는 완전히 통제 당할 수 있다. 최근에는 이러한 공격이 더욱 조직화되면서 '피싱 서비스(PhaaS, Phishing-as-a-Service)' 플랫폼까지 등장하고 있다. PhaaS는 호스팅부터 피해자 타깃팅까지 공격의 전 과정을 대행하는 방식으로, 피싱을 하나의 사업처럼 운영할 수 있게 만들어 사이버 위협을 더욱 확대하고 있다. 노드VPN의 조사에 따르면 2024년 사이버 범죄자들이 가장 많이 사칭한 사이트는 구글, 페이스북, 마이크로소프트였다. 특히 이들 사이트를 모방한 가짜 URL은 계정 정보를 탈취하는 주요 수단으로 활용됐으며 작년 한 해 동안에만 8만5천 건 이상의 가짜 구글 URL이 발견됐다. 황성호 노드VPN 지사장은 "피싱 공격은 민감한 정보에 접근하는 사이버 범죄자들의 가장 흔하고 효과적인 수단 중 하나"라며 몇 가지 예방 수칙을 권장했다. 먼저 의심스러운 링크는 철자나 주소를 꼼꼼히 확인하고 무료 동영상 사이트는 악성코드나 개인정보 추적기가 숨어 있을 수 있어 이용을 자제하는 것이 좋다. 계정 보안을 위해 다중 인증(MFA)을 설정하고, 스팸 메일이나 의심스러운 제안∙긴급 요청이 담긴 이메일은 발신자를 확인한 뒤 신중하게 검토해야 한다. 또 파일을 다운로드 하기 전에는 반드시 악성코드 검사를 실시하고 개인정보 추적을 방지하기 위해 차단 도구를 사용하는 것이 바람직하다. 마지막으로 기기 소프트웨어를 항상 최신 상태로 유지해 보안 취약점을 사전에 차단하는 것이 중요하다. 황 지사장은 "피싱 키트와 PhaaS(서비스형 피싱)는 기술력이 없는 사람도 손쉽게 강력한 사이버 공격을 할 수 있게 만들어 범죄 진입 장벽을 크게 낮췄다"며 "이로 인해 사이버 범죄자는 빠르게 늘어나고 있다"고 강조했다. 이어 "공격 방식 또한 점점 더 다양해지고 있다"며 "소비자들은 이전보다 훨씬 더 경각심을 가지고 보안에 주의해야 한다"고 덧붙였다.

2025.06.12 11:03장유미

Prev 1 2 3 4 5 6 7 8 9 10 Next