검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'해커'통합검색 결과 입니다. (185건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

한국엡손, '2024 엡손 이노베이션 챌린지' 해커톤 진행

한국엡손은 지난 29일 롯데월드타워 SKY31 컨벤션에서 프로그래밍 교육 단체 멋쟁이사자처럼과 함께 '2024 엡손 이노베이션 챌린지' 데모데이를 개최했다고 밝혔다. 2024 엡손 이노베이션 챌린지는 '내일의 성장을 위한 오늘의 도전'(Challenge for today, Growth of tomorrow)을 주제로 엡손 클라우드 프린팅 서비스 '엡손 커넥트'를 활용한 솔루션 개발 경연으로 진행됐다. 29일 열린 데모데이에는 1차 기획서 심사를 통과한 총 30팀이 참석해 커넥트 API에 AI 개발 도구 및 LLM(거대언어모델) 등 최신 기술을 접목한 새로운 서비스를 제시하고, 고도화된 솔루션을 선보였다. 심사위원으로는 요시다 준키치 세이코엡손 프린팅 솔루션 사업부 최고운영책임자(COO), 후지이 시게오 한국엡손 대표, 나성영 멋쟁이사자처럼 대표, 박은경 한국소프트웨어산업협회 본부장, 이원석 연세대 컴퓨터과학과 교수 등 업계와 학계 IT 전문가들이 참여했다. 최우수상은 AI를 활용해 원하는 도안을 생성하고 출력까지 가능한 교육용 서비스를 선보인 '칠하다'(Chillin) 팀에게 돌아갔다. 해당 프로젝트는 음성인식 서비스를 통해 도안을 자유롭게 제작할 수 있는 기술이 활용됐다. 1차 경연을 통해 선정된 10팀에게는 2차 PT 기회가 주어졌으며, 최종 4팀의 수상팀 선정, 총 2천만원의 상금이 수여됐다. 챌린지 심사에 참여한 요시다 준키치 세이코엡손 COO는 "이번 해커톤은 사용자 경험 향상을 위한 새로운 시각과 혁신적인 아이디어를 발굴할 수 있었고 이를 아시아, 그리고 세계로 나아갈 수 있는 솔루션으로 발전시키는 데 다방면으로 힘쓰겠다"고 밝혔다. 엡손은 기술의 성숙도, 적합성 검토를 거쳐 향후 자사 비즈니스 솔루션 개발과 관련한 다양한 협력 모델을 논의할 계획이다.

2024.07.03 10:31권봉석

"韓 사이버 공격, 금융업서 가장 많아…VPN·라우터 취약점 노려"

"올해 상반기 금융업을 노린 사이버 공격이 가장 많았습니다. 유형별로는 VPN과 라우터 등 네트워크 장비 취약점을 노린 사고가 빈번했습니다. 국내 산업계는 네트워크 장비를 시급히 보완해야 합니다." SK쉴더스 이재우 전무는 2일 서울 중구 포럼타워서 개최한 간담회에서 올해 상반기 주요 보안 트렌드를 소개하며 이같이 강조했다. 이재우 전무는 국내 화이트해커 그룹 이큐스트가 직접 경험한 해킹 사고 사례와 연구 결과 내용 바탕으로 발표했다. 이 전무는 올해 상반기 가상자산 탈취와 딥페이크 해킹 공격 등이 가장 화제였다고 밝혔다. 올해 1월에는 전세계적으로 사용되는 '아이반티VPN' 솔루션에서 제로제이 취약점이 발견돼 다양한 산업 분야에서 피해 입었다고 설명했다. 2월에는 중국 정부 지원을 받는 것으로 알려진 볼트 타이푼이 미국 주요 인프라 내부망 공격을 했다는 것도 전해졌다. 딥페이크로 구현된 화상회의에 속아 340억원의 거금을 송금한 사례가 있었다. 3월에는 오픈소스 XZ 유틸즈에서 백도어가 발견됐다. 4월에는 거대언어모델(LLM)에 의해 작성된 악성 스크립트를 활용한 악성 메일 공격이 일어났고, 5월에는 블록체인 기반 게임 플랫폼이 해킹돼 300억원 가상자산을 도난 당하는 사건이 발생했다. 국내 금융업 분야 대상 공격 20.6%로 가장 많아 이재우 전무는 국내에서 사이버 공격을 가장 많이 받은 산업을 금융업으로 꼽았다. 금융업 대상으로 한 침해 사고가 20.6%인 것으로 전해졌다. 그는 "비트코인 ETF 승인 등 이슈로 가상 자산 가치가 상승했기 때문"이라며 "이를 노린 해킹 공격이 꾸준히 이어졌다"고 덧붙였다. 유형별 사고 발생 통계로는 취약점 공격이 45%로 가장 빈번했다고 밝혔다. 주로 VPN, 라우터 등 네트워크 장비를 통한 지능형지속위협(APT) 공격이 자주 발생했기 때문이다. 이 외에 사람 심리를 이용해 기밀을 탈취하는 수법인 '소셜 엔지니어링' 공격이 26%로 뒤를 이었다. 이재우 전무는 올해 상반기 네트워크 장비 취약점을 노린 공격이 성행했다고 밝혔다. 이는 지난해 상반기와 비교했을 때 2배 이상 증가한 수치라고 했다. 이 외에도 보안 패치가 발표되긴 했지만 패치를 적용하지 않은 상태를 노린 원데이 취약점을 악용하거나 합법적 도구를 활용한 랜섬웨어 공격이 일어났다는 점도 알렸다. 이재우 전무는 "최근 랜섬웨어 공격자들이 보안 솔루션 탐지를 피하고자 RMM을 타깃하거나 LotL 방식을 사용한다"고 설명했다. RMM은 원격으로 IT 시스템과 네트워크를 모니터링하고 관리하는 기술과 서비스다. LotL은 악성코드 사용을 최소화하고 서버 내 설치된 정상 프로그램을 악의적으로 활용하는 기법이다. 이 전무는 "이에 대한 체계적인 대비가 필요하다"며 "네트워크 장비 보완과 보안 컨설팅 등에 각별히 신경 써야 한다"고 당부했다.

2024.07.02 12:51김미정

마이크로소프트 계정, 해커에 탈탈 털렸다…배후는?

마이크로소프트 시스템에 침투한 러시아 해커들이 고객들의 이메일까지 해킹했다는 사실이 추가로 공개됐다. 특히 이 중에는 미국 정부 기관 이메일 계정도 다수 포함돼 있는 것으로 드러났다. 29일(현지시간) 블룸버그 등 외신에 따르면 마이크로소프트가 지난 1월 해킹 사고 때 텍사스 주 교통부, 노동위원회 등 10여 개 주 기관과 공립대학의 이메일 계정도 해킹당했다고 공개했다. 텍사스 주 사이버보안국 관계자도 이같은 사실을 인정했다고 외신들이 전했다. 마이크로소프트 이메일 시스템 해킹 사건은 지난 1월 처음 공개됐다. 당시 러시아 해킹 단체들이 마이크로소프트 시스템 계정에 침입, 고위 임원들의 이메일을 해킹했다. 그런데 당시 해커들은 마이크로소프트 임원 뿐 아니라 이들과 소통한 고객들의 이메일까지 해킹한 것으로 드러났다. 이날 마이크로소프트가 그 때 해킹당한 피해자 중에 텍사스 주 정부 관계자들도 대거 포함됐다고 공개하면서 러시아발 해킹 사건의 파문이 커지고 있다. 외신들에 따르면 텍사스 주 정부 관계자는 "해킹 당한 계정 중엔 텍사스 주 메일 계정도 포함됐다"고 설명했다. 마이크로소프트는 이번 해킹 사건 배후로 미드나잇 블리자드라는 러시아 정보국 소속 해커 그룹을 지목하고 있다. 이들은 지난 코로나19 팬데믹 당시에도 백신 연구를 해킹한 조직으로 지목됐다. 다만 러시아 해커들이 이 계정에 어떻게 접근했는지 파악하지 못했다. 마이크로소프트 보안팀은 미드나잇 블리자드가 '패스워드 스프레이' 공격 방식을 사용한다고 설명했다. 패스워드 스프레이란 사용자가 사용할 법한 비밀번호 조합을 만들어 최대한 많은 수의 계정을 공격하는 수법이다. 이어 보안팀은 패스워드 스프레이로부터 계정을 보호하기 위해 비밀번호 수시 변경, 마이크로소프트 엔트라 아이디 프로텍션 사용 등을 조언했다.

2024.07.01 16:36양정민

"IT 관심있는 청년 모여”...SBA '2024 새싹 해커톤' 개최

서울경제진흥원(대표 김현우, SBA)이 IT 기술 분야에 관심있는 기획자·디자이너·개발자 청년들이 모여 서울의 미래를 바꿀 아이디어를 기획하고 서비스로 구현하는 해커톤 '2024년 새싹해커톤'을 개최한다고 28일 밝혔다. 2023년 첫 선을 보인 새싹해커톤은 Chat-GPT가 쏘아올린 '생성형 AI'의 시대 트렌드에 맞춰 생성형 AI를 활용한 서울시 약자와의 동행 구현을 목표로 한다. '2024 새싹 잡 페스티벌'의 행사 중 하나인 새싹 해커톤은 IT 기술분야에 관심있는 청년들이 모여 총 상금 1천500만원을 두고 서울의 미래를 바꿀 아이디어를 기획하고 서비스로 구현하는 대회다. 올해 새싹 해커톤의 주제는 '생성형 AI를 활용한 약자와의 동행'이다. 해커톤은 15세 이상 39세 이하의 기술과 혁신에 대한 열정을 가진 모든 참가자들에게 열려 있으며, 창의적인 아이디어와 기술력을 겨루는 장이 될 것으로 기대된다. 7월12일 오후 6시까지 참가자를 모집한다. 새싹 해커톤 참가자 전원에게는 한달 여 동안 아이디어 기획 및 구현을 위해 생성형 AI 관련 전문교육을 제공된다. 프로젝트 과제의 완성도를 높이도록 적극 지원할 예정이며, 참여만 해도 실력이 성장되는 '경험이 실력이 되는 새싹 해커톤 프로그램'을 지향한다. 또 수상팀에게는 수상 이외에도 청년취업사관학교 새싹(SeSAC) 운영교육 우선 수강기회 제공 및 서울창업허브 공덕 입주 추천을 통한 입주 우대지원 혜택도 함께 주어진다. 참가신청은 6월7일부터 7월12일까지 새싹 해커톤 홈페이지를 통해서 가능하다. 모집대상은 15세 이상 39세 이하 청년 3~5인으로 구성된 팀 또는 개인(지역제한 없음)으로 7월12일 오후 6시까지 참가신청서를 새싹 해커톤 홈페이지에서 접수하면 된다. 세부일정은 ▲팀 빌딩(7월15일) ▲아이디어 개발 및 교육 수료(7월15~22일) ▲예선 평가(7월30일) ▲본행사 오리엔테이션(8월5일) ▲무박 2일 본·결선 평가(8월5~6일) ▲시상(8월6일)으로 진행된다. 최광식 서울경제진흥원 교육본부장은 “2024 새싹 해커톤은 젊은 인재들이 생성형 AI의 힘을 활용해 우리 사회의 약자를 지원하는 의미 있는 솔루션을 개발하는 대회”라며 “이번 대회를 통해 개발자를 꿈꾸는 청년들의 역량 발산과 서울시의 사회적 가치를 창출하길 기대한다”고 말했다.

2024.06.28 08:34백봉삼

"韓 고객 1천200명 카드정보 탈탈 털렸다"…호텔스컴바인 과징금 얼마?

한국 고객 1천200명 이상의 이름, 카드정보 등을 유출한 호텔 예약 플랫폼 호텔스컴바인이 총 1억원이 넘는 과징금과 과태료를 부과받았다. 개인정보보호위원회는 26일 전체회의를 열고 호텔스컴바인에 과징금 9천450만원, 과태료 1천600만원을 부과하기로 의결했다. 호텔스컴바인은 2013년 호텔예약 플랫폼 개발 당시 '예약정보'만 조회 가능한 접근 권한만으로 '카드정보'까지 조회 가능한 계정을 추가로 생성할 수 있도록 시스템을 잘못 설계한 것으로 드러났다. 이 틈을 노린 해커는 피싱 수법으로 아이디와 비밀번호를 탈취해 호텔스컴바인 시스템에 접속했고 카드정보까지 접근할 수 있는 계정을 생성했다. 그 결과 2019년에 한국 이용자 1천246명의 이름과 이메일주소, 호텔 예약정보, 카드정보가 유출됐다. 당시 적용된 옛 개인정보보호법은 개인정보 유출을 알게 된 후 24시간 이내에 위원회에 신고하고, 이용자에게도 통지해야 한다고 규정했다. 하지만 호텔스컴바인 측은 이 기한을 넘겨 관련 사실을 뒤늦게 신고·통지했다. 개인정보위는 "SQL 인젝션 공격 방지를 위한 입력값 검증 등의 조치를 일부 누락하고 개인정보취급자가 아이디와 비밀번호만으로 외부에서 관리자 페이지에 접속할 수 있도록 운영하는 등 안전조치 의무를 준수하지 않은 것으로 밝혀졌다"며 "탈퇴한 회원의 정보를 파기하지 않고 보관한 사실과 개인정보 유출 통지를 지연한 사실도 확인됐다"고 설명했다.

2024.06.27 17:21장유미

美 자동차 판매 마비시킨 해킹단체, 정체는?

미국 자동차 소프트웨어 제공업체 CDK글로벌 시스템을 공격한 해킹단체가 랜섬웨어 공격조직인 '블랙수트'인 것으로 드러났다. 25일 블룸버그통신 등 외신에 따르면 보안업체 레코디드퓨처 알란 리스카 분석가는 "CDK에 대한 사이버 공격의 배후에는 블랙수트가 있다"고 밝혔다. 블랙수트는 2023년 5월 등장한 랜섬웨어 조직이다. 러시아-우크라이나 전쟁 후 와해된 러시아 사이버 범죄 조직 '콘티'를 계승한 것으로 알려졌다. 이 조직은 데이터 파일을 암호화해 사용할 수 없도록 만들고 암호 해독법을 제공하는 대가로 금전을 요구하는 랜섬웨어 수법을 이용한다. 피해자와의 협상이 결렬될 경우 갈취한 데이터를 유출하는 식이다. 블랙수트는 이달 19일부터 20일까지 CDK를 랜섬웨어 공격해 전산망을 마비시킨 후 수 천만 달러를 요구했다. CDK 관계자는 블룸버그와의 인터뷰에서 "CDK는 요구받은 금전을 지불할 계획"이라고 말했다. 알란 리스카 분석가는 "블랙수트가 사이버 공격 피해자 목록을 업데이트하는 웹사이트에 아직 CDK가 기재되지 않은 것으로 보인다"며 "CDK는 블랙수트와 협상 중이거나 이미 수 천만 달러를 지불했을 것"이라고 예측했다. 블랙수트은 랜섬웨어식 공격을 잇달아 진행했다. 지난 5월 미국 캔자스시 경찰서 시스템을 공격해 금전을 요구한 바 있다. 협상에 실패하자 수사 관련 기밀, 범죄 기록 등 데이터를 유출했다. 지난 4월에는 혈장 기부 회사 옥타파타 플라즈마를 랜섬웨어 공격해 환자, 직원, 재무 등 데이터를 빼내기도 했다. 이에 최근 미국 보건복지부는 "블랙수트를 위협으로 면밀히 감시해야 한다"고 경고했다. 현재 CDK는 랜섬웨어의 여파로 업무 전산망 가동이 중단된 상태다. CDK의 프로그램을 이용하는 약 1만5천 개의 자동차 딜러사도 큰 혼란을 겪고 있다. CDK의 핵심 상품인 대리점 관리 시스템(DMS)는 판매, 부품, 서비스 등 딜러사 운영에 필요한 대부분의 요소에 이용되고 있다. DMS가 제대로 작동하지 않으면 해당 프로그램을 사용하던 딜러의 업무 또한 중단될 수밖에 없다. 딜러사 소닉 오토모티브는 "사이버 공격으로 인한 업무 중단은 시스템이 복구될 때까지 딜러사 운영에 부정적 영향을 미칠 가능성이 높다"고 내다봤다. CDK 리사 피니 대변인은 "앞으로 며칠 내로 서비스를 복구할 예정"이라며 "법 집행 기관과 협력하고 있다"고 밝혔다.

2024.06.25 14:19조수민

"韓 보안 제품 노리는 北"…국정원, 사이버 위협 동향 이례적 공유

국정원이 국내 보안 제품을 대상으로 한 신종 소프트웨어(SW) 공급망 공격 사례를 설명하는 자리를 가졌다. 국정원은 지난 17일 판교 기업지원허브에서 한국정보보호산업협회(KISIA) 소속 정보보호업계 관계자들을 초청해 '북한의 사이버 위협 동향 및 공격사례 분석 설명회'를 개최했다고 18일 밝혔다. 국정원은 이 자리에서 국내 보안 제품을 대상으로 한 북한의 해킹 공격 증가 동향을 비롯해 보안업체 서버에 침투해 소스코드를 탈취한 후 취약점을 발굴·공격하는 사례를 안내했다. 또 침해사고 예방조치 및 대응 절차, 인증제품 관리 방법 등도 설명했다. 특히 타깃 기관을 직접 공격하지 않고 개발사나 업데이트 서버를 은밀히 공격해 악성코드를 광범위하게 유포시키는 등 한층 진화된 SW공급망 공격 방식도 공개했다. 또 정보보호업계가 보안제품의 안전성뿐만 아니라 SW공급망 보안 강화에 적극 협조해 줄 것을 당부했다. 국가사이버안보센터장은 "북한의 사이버 공격 기술이 날로 지능화·고도화되면서 민간기업은 물론 국가기관·핵심기반시설에 침투하는 SW공급망 공격이 확대 되고 있다"며 "사이버 보안의 1차 관문을 지키고 있는 보안업체가 우수한 보안 솔루션을 개발·보급하는 것이 매우 중요하다"고 강조했다. 조영철 한국정보보호산업협회 회장은 "국정원이 정보보호업체들을 위해 직접 찾아 설명회를 개최해 준 것은 이례적인 일"이라며 "국정원이 설명한 북한의 최신 공격기법은 업체들이 보다 안전한 제품을 개발하는데 큰 도움이 될 것"이라고 밝혔다.

2024.06.18 14:49장유미

경기도, '메타버스 해커톤' 참가 모집

경기도는 메타버스, XR(확장현실) 산업 활성화와 전문인력 양성을 위한 '경기 메타버스 해커톤' 참가자 모집을 시작했다고 17일 밝혔다. 해커톤(Hackathon)은 해킹(Hacking)과 마라톤(Marathon)의 합성어로, 제한 시간 내 주제에 맞는 서비스를 개발하는 대회다. 과학기술정보통신부와 경기도가 주최하고 정보통신산업진흥원과 경기콘텐츠진흥원이 주관하는 '경기 메타버스 해커톤'은 4차 산업의 핵심기술인 실감기술을 활용해 공공 문제 및 글로벌 기업의 과제를 해결하는 콘텐츠를 개발한다. 지난해 해커톤은 87점(100점 만점)의 높은 만족도와 함께 총 23개의 콘텐츠를 개발했다. 올해 '경기 메타버스 해커톤'은 더 샌드박스 코리아, HD현대사이트솔루션, 티맥스메타에이아이 3개사 협약으로 대회 분야 및 참가자 대상 멘토링을 제공한다. 대회 분야는 총 4개로, ▲공공문제해결을 위한 XR콘텐츠 ▲경기도 공익 메타버스 관광 콘텐츠 ▲VR 기반 협업 콘텐츠 제작 ▲몰입도 높은 3D 웹사이트로 구성된다. 올해는 다음 달 31일부터 8월 2일까지 3일간 예선을 진행한다. 이후 예선에서 선발된 팀은 8월 12일부터 14일까지 경기과학기술대학교에서 결선을 진행한다. 사업참여 자격은 경기도 내 개발자나 관련 산업 종사자, 도내 대학 재학생이라면 누구나 3~5인으로 팀을 이뤄 참가할 수 있으며, 도는 ▲콘텐츠 품질 ▲기술 전문성 ▲실행 가능성 ▲문제해결역량을 중점으로 평가할 예정이다. 예선 및 결선을 거쳐 선정된 8개 우수팀에게는 총 1천600만 원 상당의 상금과 부상이 제공된다. 참가신청은 온오프믹스 누리집 행사공고를 확인한 후 다음 달 10일까지 온라인 접수하면 된다. 자세한 사항은 공고를 참고하거나 경기 메타버스 해커톤 운영사무국으로 문의하면 된다. 김태근 디지털혁신과장은 “메타버스 기업과 협력하여 최신 동향을 반영한 전문 인력 역량 강화와 메타버스 산업 활성화에 힘쓸 것”이라고 전했다. 한편, 정부는 2026년까지 메타버스 전문인력 4만 명 양성을 목표로 하는 메타버스 신산업 선도전략을 추진하고 있다. 이에 따라 경기도는 2016년부터 인재양성 교육을 통해 2천여 명의 수료생을 배출했으며, 2020년에는 과학기술정보통신부와 함께 경기 메타버스 지원센터를 설립한 바 있다.

2024.06.17 16:40이도원

팀스파르타, 'AI와 100인의 용사들' 해커톤 개최

퇴근 시간을 사수하기 위한 100인의 용사들이 한데 모인다. IT스타트업 팀스파르타(대표 이범규)가 전국민 AI 일상화 프로젝트의 일환으로 'AI와 100인의 용사들' 해커톤을 개최한다고 11일 밝혔다. AI와 100인의 용사들은 15일부터 16일까지 서울시 용산구 이태원 '케이브하우스'에서 무박 2일간 열린다. 팀스파르타는 개발이나 AI 관련 지식 유무와 상관없이 직장인, 프리랜서, 1인 창업가 등 다양한 직군의 참가자들이 모여 AI를 접하고 이를 활용해 직무 생산성과 효율성을 높일 수 있는 서비스 개발의 장을 마련하기 위해 이번 행사를 기획했다. "퇴근 시간을 놓친 OOO을 구하라"라는 참신한 모집 공고도 눈길을 끈다. 참가자들은 퇴근 시간을 놓친 마케터, 디자이너, CX매니저 등 빈칸 안에 들어갈 수 있는 각양각색 직무들을 위한 참신한 AI 서비스를 개발해야 한다. 해커톤에는 약 700명 이상의 지원자가 몰렸으며, 팀스파르타는 만 20세 이상 성인 참가자 100명을 선발, 4인 1팀으로 구성된 25개의 팀 배정까지 완료했다. 팀스파르타는 보다 원활한 서비스 개발을 위해 참가자 대상의 AI 및 코딩 기초 교육을 실시할 계획이다. 행사 당일, 학습 교재와 온라인 강의를 제공해 AI 전반에 관한 이해도를 높이고 서비스 개발에 앞선 별도의 교육 세션도 운영해 팀별 결과물의 질적 수준도 끌어올린다는 목표다. 동시에, 팀별 튜터도 배정해 개발이 종료되는 2일차 아침까지 참가자 개인의 눈높이에 맞춘 튜터링을 지원할 예정이다. 참가자들은 행사 1일차 저녁부터 팀별 회의를 통해 AI 서비스 구현을 위한 아이디어를 구체화한 이후 익일 아침까지 본격적인 개발에 매진, 직장인들의 퇴근 시간을 앞당길 창의적인 AI 서비스 결과물을 내놓는다. 팀스파르타는 각 팀별 서비스 구현 및 발표를 종합적으로 평가해 ▲최우수팀부터 ▲AI특공대상 ▲불의 용사상 ▲평화의 용사상 등을 시상하고 상금과 수상 상품을 전달할 예정이다. 이외에도 팀스파르타는 참가자 전원에게 AI 학습과 개발에 충분히 몰입할 수 있도록 돕는 스페셜 굿즈와 간식박스 등을 제공한다. 또 참가자 1명을 추첨해 1천700만원 상당의 '스파르타코딩클럽' 1년 무제한 수강권과 맥북 에어를 증정하는 럭키드로우 이벤트도 진행한다. 이범규 팀스파르타 대표는 "IT직군 뿐만 아니라 전산업군에 걸쳐 파급력과 영향력을 미치고 있는 AI가 모든 직장인들에게 무궁무진한 가능성을 열어주는 새로운 도구로 인지될 수 있도록 이번 행사를 기획했다"며 "지원 과정에서의 열기만큼, 참가자들의 특색 있는 아이디어들이 직장인들의 업무에 실질적인 도움을 줄 실제 서비스로 많이 발굴되기를 기대하고 있다"고 말했다.

2024.06.11 08:11백봉삼

세상을 안전하게 만드는 글로벌 B2B SaaS 기업으로

“세상을 안전하게 만드는 기술를 종합한 B2B SaaS 기업으로 나아갑니다.” 티오리는 2016년 박세준 대표가 창업한 사이버 보안 기업이다. 미국 텍사스 오스틴에 본사를 두고 한국 법인을 운영한다. 박세준 대표는 글로벌 해킹대회인 데프콘에서 수차례 우승한 카네키멜론대 PPP 출신이다. PPP는 최고 해커 그룹으로 유명하다. 대학 시절부터 오펜시브 보안분야 연구해 집중하던 박대표는 티오리 설립 후 글로벌 B2B SaaS 기업이 되려는 목표를 세웠다. 창업 8년차에 접어든 박 대표는 그동안 쌓은 노하우를 SaaS로 구현하는데 집중하고 있다. 글로벌 시장에서 팔리는 SaaS를 완성한다는 계획이다. 티오리는 5월 초 미국 샌프란시스코에서 열린 RSA컨퍼런스에서 보안 위협을 탐지하고 대응하는 보안태세관리자동화 솔루션 진트(Xint)를 선보였다. 기업의 모든 보유 자산을 지속적으로 검점해 취약점을 탐지하고 해결방안을 자동화해 제공하는 서비스다. 생성AI 사용이 확대되면서 이로 인한 사이버 위협도 증가한다. 티오리는 AI의 공격을 사람이 대응하는데 한계가 있는 점에 주목한다. AI를 활용해 쉬지 않고 기업의 보안 취약점을 찾아내야 한다. 진트는 클라우드 기반 시스템과 인트라를 지속 모니터링해 보안 상태 가시성을 확보한다. 클라우드 뿐만 아니라 기업의 모든 외부 자산을 확인하고 분석해 위협을 방지한다. 진트에는 티오리의 오펜시브 사이버 보안 연구와 인공지능을 결합한 '오펜시브 시큐리티 AI엔진'이 들어있다. 박 대표는 “보안 취약점부터 각종 규제 리스크, 구성 오류 등의 위험을 신속히 식별해 클라우드 환경의 안전성을 확보한다"면서 “도메인과 API, IP, 웹사이트에서 탐지된 취약점을 기반으로 기업 보안 수준을 파악하고 향상시킬 수 있다"고 설명했다. 티오리는 기업이나 기관이 자체적인 핵심 기능을 안전하게 수행하게 지원하는 회사다. 진트를 필두로 해커의 노하우를 편리하게 사용할 수 있는 SaaS를 늘려나갈 예정이다. 티오리는 블록체인 보안 감사 서비스 '체인라이트 시큐리티 오딧(ChainLight Security Audit)', 디지털 자산 통합 위험 관리 플랫폼 'DART' 등 웹3 보안 분야도 진출했다. 블록체인 프로젝트에 대한 위험을 지속적으로 감시하고 대응하는 서비스다. 박 대표는 “지난해를 기점으로 생성AI가 확대되면서 이를 악용한 정교한 사이버 위협이 늘어났다. 생성AI 모델을 공격하는 프롬프트인젝션 등으로 인한 피해가 확산 될 것”이라고 예측했다.

2024.06.03 15:17김인순

우아한형제들, 사내 해커톤 열어 우수 아이디어 발굴했다

배달의민족(이하 배민) 운영사 우아한형제들(대표 이국환)은 사내 해커톤 '우아톤2024'를 진행했다고 3일 밝혔다. 우아톤은 프로그래머, 기획자, 디자이너 등 다양한 직군의 우아한형제들 구성원 3~5명이 한 팀을 이뤄 기획부터 개발까지 수행해 주제에 맞는 서비스를 24시간 내 프로토타입으로 구현하는 행사다. 우아한형제들은 지금까지 시도하지 못했던 새로운 아이디어를 구성원들이 자발적으로 제안하고, 업무, 서비스, 사업에 실제로 연계할 수 있는 우수한 아이디어를 발굴하기 위해 지난 2019년부터 우아톤을 운영해왔다. 지난해 우아톤에서는 개발 업무 시 코드 작성 없이 데이터를 추출하고 시각화할 수 있는 아이디어를 제안한 팀이 1등을 차지했다. 해당 아이디어는 현재 사내 태스크포스(TF)에서 비공개 베타 테스트를 진행 중에 있다. 올해 5회차를 맞은 우아톤은 '새로운 고객 경험을 찾아서'를 주제로, 배달, 탐색, 추천, 할인 등 배민 서비스에 혁신적인 고객 경험을 제안하라는 문제가 제시됐다. 이번 우아톤은 구성원 총 61명, 13개 팀이 참여한 가운데 지난달 30일과 31일 무박 2일에 걸쳐 서울 송파구 우아한형제들 본사에서 열렸다. 참가자 오리엔테이션, 기획 및 개발, 프로젝트 발표회, 온오프라인 심사 등을 진행한 결과, 1등 수상작에는 배민B마트 등 커머스 서비스에서 생성AI와 리뷰 데이터를 활용해 상품 리뷰를 3개의 간결한 문장으로 요약해 제공하는 아이디어가 선정됐다. 예를 들어 배민B마트에서 판매하는 돈까스 상품의 리뷰를 분석해 에어프라이어 조리 가능, 간편함, 바삭함 등의 특징을 상품 페이지에 노출한다. 해당 아이디어는 고객이 원하는 정보를 빠르게 얻어 상품을 쉽게 찾을 수 있게 해 사용자 경험을 향상시켰다는 점에서 높은 점수를 받았다. 그 밖에도 서로 다른 음식 메뉴를 직관적으로 비교해 고객 메뉴 선택을 돕는 아이디어, 게임 요소를 활용해 사용자가 자연스럽게 배민 앱을 탐색하고 앱의 사용성을 높이는 아이디어 등이 좋은 평가를 받았다. 수상팀에게는 상금과 함께 미래 지향성, 실현가능성, 완성도 등을 고려해 실제 사업과의 연계 기회가 제공된다. 우아한형제들 송재하 최고기술책임자는 "우아톤은 전문영역이 다른 구성원들이 만나 서로 교류하고 아이디어를 주도적으로 만들어 낼 수 있는 뜻깊은 행사"라며 "우아톤을 통해 나온 아이디어들이 제안에 그치는 것이 아니라 서비스 여러 요소에 반영돼 시너지를 낼 수 있도록 내실 있게 운영해 나가겠다"고 말했다.

2024.06.03 14:25백봉삼

"IT 지식·경력 없었다"…AI로 랜섬웨어 개발한 日 20대 남성, 체포된 이유는?

일본에서 생성형 인공지능(AI)을 활용해 컴퓨터 바이러스를 제작한 20대 남성이 경찰에 체포됐다. 컴퓨터 관련 지식이 거의 없지만 AI로 랜섬웨어를 개발해 돈을 빼돌리려 했다는 점에서 'AI 안전성'에 대한 우려가 더욱 짙어지는 분위기다. 29일 요미우리신문에 따르면 일본 경찰청은 가와사키에 사는 무직 하야시 류키(25) 씨를 부정지령 전자적 기록 작성 혐의로 체포했다. AI를 활용한 바이러스 제작으로 체포된 첫 사례다. 체포된 남성은 IT에 대한 전문적인 지식이 없는 인물로 알려졌다. 지난해 3월 자신의 컴퓨터, 스마트폰으로 생성형 AI를 통해 입수한 부정 프로그램 정보를 조합, 바이러스를 만든 것으로 드러났다. 이 과정에서 암호화나 대가 요구 등 필요한 설계 정보를 AI에게 물어본 것으로 파악됐다. 하야시가 활용한 AI는 챗GPT 등 대기업이 제공하는 서비스가 아니라 작성자를 알 수 없는 상태로 인터넷에 공개된 복수의 대화형 AI인 것으로 알려졌다. 용의자가 만든 랜섬웨어로 인한 피해는 확인되지 않았다. 소셜미디어(SNS)를 통해 지인의 핸드폰에 랜섬웨어를 전송했지만, 작동하지 않은 것으로 전해졌다. 하야시는 "랜섬웨어로 편하게 돈을 벌고 싶었다"며 "AI에 물어보면 무엇이든 할 수 있다고 생각했다"고 경찰에 진술했다. 이를 두고 업계에선 AI 발달로 누구나 첨단기술을 악용해 범죄를 저지를 수 있다는 우려가 현실화되고 있다고 봤다. AI는 범죄에 대한 직접적인 질문에는 대답하지 않지만 악용할 수 있는 간접 정보를 얻을 수 있어 범죄에 쓰일 소지가 높다고 평가된다. 요미우리는 "랜섬웨어는 기업이나 단체의 네트워크에 침입해 데이터를 암호화하고 돈을 요구하거나, 훔친 데이터를 공개하겠다고 협박하는 형태로 활용된다"며 "질문에 제한이 없거나 느슨한 AI를 사용하면 랜섬웨어의 설계도나 감염시키고 싶은 컴퓨터에 침입하는 방법을 얻을 수 있다"고 밝혔다.

2024.05.29 10:05장유미

"2분 만에 60억 피해, 글로벌 1경 규모…사이버공격 위협"

"한 건당 2분 7초만에 끝나는 해킹으로 발생하는 피해 규모가 평균 60억 원에 달합니다. 내년이면 전 세계 피해 규모가 1경4천조원에 달할 전망입니다. 이러한 사이버공격을 막기 위해 노력 중인 화이트해커들이 우리 곁에 숨어있는 영웅들입니다." 박세준 티오리 대표는 28일 강남구 코엑스에서 개최한 닷핵컨퍼런스 2024에서 기조강연에서 이 같이 말하며 컨퍼런스의 의의를 강조했다. ■ 급증하는 사이버위협…부족한 보안인재 대응 필요 사이버 보안 관련 조사에 따르면 데이터 침해 사고 당 평균 피해 비용은 약 60억원 규모에 달하는 것으로 알려졌다. 또 클라우드와 인공지능(AI) 등을 활용해 공격을 수행하는 시간이 짧아지면서 약 2분 7초 만에 정보탈취나 악성코드 설치 등의 행위가 이뤄지는 것으로 나타났다. 이런 추세라면 내년이면 사이버 범죄로 인한 피해 규모가 전 세계적으로 1경4천조원에 달하는 막대한 피해가 발생할 것으로 예측되고 있다. 박 대표는 조직과 개인이 사이버 위협에 이렇게 취약해진 이유로 AI나 블록체인 클라우드 등 새로운 기술과 환경의 등장으로 발생한 복잡성과 함께 사이버 보안 전문 인력의 부족을 지목했다. 박 대표는 닷핵컨퍼런스를 통해 사이버 보안 전문 인력 간에 기술을 공유하며 기술 발전을 도모하고 다음 세대를 양성할 수 있는 기반을 마련하기 위함이라고 밝혔다. 그는 "지금 우리 세대도 너무 잘하고 최선을 다하고 있지만 인재가 부족하고 앞으로는 더 부족해질 예정인 만큼 다음 세대를 준비해야 한다”며 “왜냐하면 공격자들은 멈추지 않고 공격자들은 기회가 있을 때면 계속해서 공격을 시도할 것인 만큼 차세대 화이트 해커를 육성하고 올바른 해킹 윤리를 전파하는 것에 앞장서야 한다고 생각한다”며 이번 컨퍼런스를 개최한 이유를 밝혔다. 더불어 업계를 넘어 보안의 중요성을 알려 사이버 공격으로 인한 피해를 줄이고 기관이나 정부부처와의 협력을 통해 범국가적인 공격에 대한 대비도 갖춰야 한다고 강조했다. ■ 해커를 위한 닷핵컨퍼런스 2024 박세준 대표는 닷핵컨퍼런스 2024에 대해 해커를 응원하고 축하하기 위한 해커들만의 컨퍼런스를 만들려 했다고 밝혔다. 박 대표는 “최근 지속해서 열리던 보안 관련 컨퍼런스가 해당 기업의 사정으로 인해 열리지 못하는 것을 보았다”며 “해당 기업의 사정이 어쩔 수 없다는 것을 알고 있기에 보안 업계 그리고 해커들을 위한 행사가 마련됐으면 좋겠다는 생각이 들어서 이렇게 준비하게 됐다”며 계기를 설명했다. 닷핵컨퍼런스 2024 총 4개의 보안 기술 세션으로 마련됐다. 테크 세션은 각 분야별 전문가들을 통해 최신 보안 노하우가 마련됐으며 주니어 세션은 해커를 꿈꾸는 중고등학생들이 연구한 내용을 발표하는 자리다. 이와 함께 실패와 도전 과정을 공유하는 세션과 기업 보안 수준 향상을 위한 실질적 제로트러스트를 주제로 한 토론 세션이 마련됐다. 주니어 세션과 실패 사례를 공유하는 사례를 마련한 이유에 대해 박 대표는 미숙하거나 도전하면서 어려웠던 과정을 당당히 공유하면서 서로 실패를 최소화하고 더 나은 방안을 모색할 수 있는 계기를 제시하기 위함이라고 밝혔다. 닷핵컨퍼런스 2024에서는 세션 외에도 보안 관련 다양한 즐길 거리가 보안 민속촌이라는 행사장에 마련됐다. 사이버 보안과 함께 물리적인 보안을 체험해볼 수 있도록 실제 자물쇠를 열어보는 락피킹 체험을 비롯해 보안취약점을 파악하기 위한 틀린코드 찾기 이벤트도 마련돼 있다. 또 이모지를 보고 어떤 보안 용어를 맞추는 퀴즈를 비롯해 몇 가지 단서를 이용해 기억을 잃은 주인공의 정체를 밝히는 추리 문제와 포토존 등도 체험할 수 있다. 박세준 대표는 사이버 보안 대회인 드림핵 해킹방어대회를 동시가 아닌 전날 진행한 것도 참가자를 배려한 것이라고 밝혔다. 10시간 이상 장기간 진행하는 대회 특성상 대회 참가자는 컨퍼런스에 참가할 수 없기 때문에 완전히 나눠서 실시한 것이라는 설명이다. 또 일반적으로 24시간 진행하는 기존대회의 경우 피로도가 너무 커서 나눠서 하루 먼저 끝나더라도 다음날 활동이 어렵기 때문에 12시간으로 대회 시간을 제한했다고 설명했다. ■ 사이버 위협 인식 저변과 협력 확대해야 박세준 대표는 사이버 위협이 커지고 있는 만큼 이에 대한 인식을 보안 업계를 넘어 전방위에 걸쳐 이를 알리고 이에 대한 협력을 강화해야 한다고 강조했다. 이러한 비전을 위해 개방적인 소통하고 사이버보안에서 서로 협력하고 혁신할 수 있는 연례행사로 닷핵컨퍼런스가 자림 매김하길 바란다고 포부를 밝혔다. 그는 "국가안보 차원에서 이제 사이버 보안을 빼놓을 수 없는 영역이 됐는데 정부부처를 비롯해 기업조직과 일반 대중에게도 보안이 왜 중요하고 일상생활에서 어떻게 필요한지 적극적으로 알릴 수 있도록 함께하길 바란다”며 “세상을 안전하게 만드는 그 과정은 결코 쉽지 않지만 현명한 해커들이 이렇게 함께 머리를 맞대고 또 고민한다면 충분히 극복 가능한 영역이라고 생각한다”고 강조했다.

2024.05.28 15:28남혁우

'금융사 앱·HTS 보안 취약점 찾아라'…버그바운티 운영

금융사 애플리케이션(앱)·홈트레이딩시스템(HTS)·웹사이트의 알려지지 않거나 조치방안이 없는 보안 취약점을 해결하기 위해 화이트해커 등을 대상으로 버그바운티를 운영한다. 금융감독원은 금융보안원과 오는 6월부터 8월 31일까지 대한민국 거주자 대상으로 집중신고 기간을 운영한다고 28일 밝혔다. 취약점 탐지 대상으로 은행·증권·보험 등 총 21개 금융회사가 참가하며 취약점을 찾는 공격자는 화이트해커·학생·그 외 일반인 등 대한민국 국민 누구나 참가 신청 및 승인 후에 참여할 수 있다. 신고된 취약점은 전문위원들의 평가를 거쳐 최대 1천만원의 포상금이 지급될 예정이며, 위험도가 높고 파급력이 큰 취약점의 경우 금융회사에 신속하게 전파해 보완할 계획이다. 금감원과 금보원은 앞으로 버그바운티를 지속 확대해 나간다. 보다 많은 금융회사들이 참여할 수 있도록 취약점 분석평가 업무 시 인센티브 부여 등 관련 내용도 함께 검토한다는 계획이다. 금감원 이복현 원장은 “버그바운티는 나날이 고도화 되어가는 사이버 위협에 대비할 수 있는 새로운 형태의 보안역량 강화 프로그램"이라며 "이번 기회를 통해 금융권의 보안 수준이 한층 더 강화되는 계기가 됐으면 한다"고 말했다.

2024.05.28 09:20손희연

"6만5천명 정보 유출"…과징금 151억 '철퇴' 맞은 카카오, 행정소송 검토

최근 이틀 연속 '카카오톡' 먹통 사태로 곤욕을 치른 카카오가 이번엔 오픈채팅방 개인정보 유출 사태로 개인정보보호위원회로부터 철퇴를 맞았다. 이용자 정보에 대한 점검과 보호 조치 등을 소홀히 해 약 6만5천 건의 개인정보를 유출한 것으로 드러나면서 국내업체 중 역대 최대 과징금을 물게 됐다. 개인정보위는 지난 22일 '제9회 전체회의'를 열고 개인정보보호 법규를 위반한 카카오에 대해 총 151억4천196만원의 과징금과 780만원의 과태료를 부과하고 시정명령과 처분결과를 공표하기로 의결했다고 23일 밝혔다. 카카오에 부과된 과징금은 이제까지 역대 최대 과징금이었던 골프존의 75억여원보다 두 배 이상 많은 금액이다. 개인정보위는 지난해 3월 카카오톡 오픈채팅 이용자의 개인정보가 불법 거래되고 있다는 언론보도에 따라 개인정보 보호법 위반 여부를 조사했다. 그 결과 해커는 오픈채팅방의 취약점을 이용해 오픈채팅방 참여자 정보를 알아내고, 카카오톡의 친구추가 기능 등을 이용해 일반채팅 이용자 정보를 알아냈다. 이 정보들을 '회원일련번호'를 기준으로 결합해 개인정보 파일을 생성, 판매한 것으로 확인됐다. 개인정보위가 확인한 카카오의 위반 사실은 ▲안전조치의무 위반 ▲유출 신고·통지 의무 위반 등 크게 두 가지다. 먼저 카카오는 익명채팅을 표방하며 오픈채팅을 운영하면서 일반채팅에서 사용하는 회원일련번호와 오픈채팅방 정보를 단순히 연결한 임시ID를 만들어 암호화 없이 그대로 사용했다. 하지만 이에 대해 카카오는 크게 반발했다. 카카오는 "회원일련번호와 임시ID는 메신저를 포함한 모든 온라인 및 모바일 서비스 제공을 위해 반드시 필요한 정보"라며 "이는 숫자로 구성된 문자열로, 그 자체로는 어떠한 개인정보도 포함하고 있지 않고 이것으로 개인 식별이 불가능하다"고 설명했다. 이어 "사업자가 생성한 서비스 일련번호는 관련법상 암호화 대상이 아니므로 이를 암호화하지 않은 것은 법령 위반으로 볼 수 없을 것"이라고 항변했다. 개인정보위는 지난 2020년 8월부터 카카오가 오픈채팅방 임시ID를 암호화했으나, 기존에 개설됐던 일부 오픈채팅방에서 암호화가 되지 않은 임시ID가 그대로 사용됐다는 점도 파악했다. 또 이 오픈채팅방에서 암호화된 임시ID로 게시글을 작성하면 암호화를 해제한 평문 임시ID로 응답하는 취약점도 확인했다. 또 해커는 이러한 취약점 등을 이용해 암호화 여부와 상관없이 모든 오픈채팅방의 임시ID와 회원일련번호를 알아낼 수 있었고 회원일련번호로 다른 정보와 결합해서 판매한 것으로 드러났다. 개인정보위 관계자는 "개발자 커뮤니티 등에 공개된 카카오톡 API 등을 이용한 각종 악성행위 방법이 이미 공개돼 있었는데도 카카오는 이를 통한 개인정보 유출 가능성 등에 대한 점검과 조치를 제대로 하지 않았다"며 "관련 사실은 확인됐다"고 말했다. 그러나 카카오는 개인정보위의 주장은 사실과 다소 다르다고 강조했다. 카카오는 "임시 ID는 숫자로 구성된 문자열이자 난수로서 여기에는 어떠한 개인정보도 포함돼 있지 않고 그 자체로는 개인 식별이 불가능해 개인정보라고 판단할 수 없다"며 "그럼에도 불구하고 자사 오픈채팅 서비스 개시 당시부터 해당 임시 ID를 난독화해 운영 및 관리했고, 이에 더해 2020년 8월 이후 생성된 오픈채팅방에는 더욱 보안을 강화한 암호화를 적용한 바 있다"고 피력했다. 그러면서 "개인정보위가 언급한 '해커가 결합해 사용한 '다른 정보'란 자사에서 유출된 것이 아니다"며 "이는 해커가 불법적인 방법을 통해 자체 수집한 것으로, 자사의 위법성을 판단할 때 고려돼서는 안 된다고 생각한다"고 덧붙였다. 하지만 개인정보위는 카카오가 2023년 3월 언론보도 및 개인정보위 조사과정에서 카카오톡 오픈채팅방 이용자의 개인정보가 유출되고 있다는 사실을 인지했음에도 유출 신고와 이용자 대상 유출 통지를 하지 않아 개인정보 보호법을 위반했다고도 봤다. 이에 개인정보위는 이용자 개인정보가 유출된 카카오에 대해 안전조치의무 위반으로 과징금을 부과하고, 안전조치의무와 유출 신고·통지의무 위반에 대해 과태료를 부과하기로 결정했다. 또 카카오에 이용자 대상 유출 통지를 할 것을 시정명령하는 동시에 개인정보위 홈페이지에 처분 결과를 공표하기로 결정했다. 개인정보위 관계자는 "이번 처분으로 카카오톡 같이 대다수 국민이 이용하는 서비스는 잘 알려진 보안 취약점을 점검‧개선하는 것도 중요하지만, 설계·개발 과정에서 발생할 수 있는 개인정보 침해 가능성에 대한 지속적인 점검과 노력도 중요하다는 인식이 자리잡는 계기가 되기를 바란다"고 밝혔다. 하지만 카카오는 이를 납득할 수 없다는 입장이다. 이번 사건을 인지한 즉시 선제적 신고를 하고 수사에도 적극 협조했음에도 개인정보위가 이 같은 결정을 내려 향후 행정소송을 포함해 다양한 조치 및 대응을 두고 적극 검토할 것임을 강조했다. 카카오 관계자는 "개인정보보호법 위반으로 보기 어렵다고 판단했음에도 지난해 상황을 인지한 즉시 경찰에 선제적으로 고발하고 KISA와 과학기술정보통신부에도 신고를 했다"며 "경찰 조사에 적극적으로 협조하고 관계 기관에도 소명을 진행해 왔고, 지난해 3월 13일에는 전체 이용자 대상으로 주의를 환기하는 서비스 공지를 카카오톡 공지사항에 게재한 바 있다"고 반박했다. 그러면서 "행정소송을 포함한 다양한 법적 조치 및 대응을 적극 검토할 예정"이라며 "앞으로도 이용자들이 안전하게 카카오톡을 이용할 수 있도록 최선을 다할 것"이라고 덧붙였다.

2024.05.23 12:00장유미

[유미's 픽] "北에 탈탈 털려도 몰랐다"…방만한 공공기관 보안 의식, 처벌은 솜방망이?

북한 해킹 조직이 우리나라 법원 전산망을 침투해 최소 1TB(테라바이트)가 넘는 자료를 빼간 것으로 드러나면서 공공부문의 보안수준에 대한 문제가 수면 위로 떠올랐다. 민간 기업에는 책임성을 강화하기 위해 제재 수위를 높이고 있는 반면, 공공부문은 솜방망이 처벌에만 그친다는 지적이 나오면서 정부 차원의 대대적인 종합대책을 마련해야 한다는 지적도 나온다. 15일 더불어민주당 윤영덕 의원이 개인정보보호위원회로부터 제출 받은 자료에 따르면 부처에 신고된 공공기관 개인정보 유출건수는 2019년 5만2천 건에서 지난해 8월 기준 339만8천 건으로 크게 늘었다. 공공기관의 유출 건수가 민간기업을 넘어선 것은 지난해가 처음이다. 그러나 공공기관당 평균 과징금 및 과태료가 부과된 것은 2022년부터 지난해 8월까지 민간기업의 7% 수준인 달랑 700만원에 불과했다. 매출액이 없거나 매출액을 산정하기 힘든 공공기관 등에 부과되는 최대 과징금은 20억원으로 제한했기 때문이다. 하지만 민간기업들에게 부과되는 과징금은 갈수록 증가하고 있다. 기업의 개인정보 보호 책임성을 강화하기 위해 지난해 9월부터 개인정보보호법 개정안을 시행한 탓이다. 이전까지는 과징금 상한액을 '위법행위와 관련된 매출액의 3%'로 했지만, 개정된 이후에는 '전체 매출액의 3%'로 조정하되 위반행위와 관련 없는 매출액은 제외하도록 했다. 관련 없는 매출액을 증명해야 하는 책임이 기업에게 주어졌다는 점에서 과징금 부담은 결국 더 무거워졌다는 평가다. 이로 인해 골프존은 지난 8일 관리 소홀로 221만여 명의 이름과 전화번호 등을 유출했다는 이유로 과징금 75억400만원과 540만원의 과태료가 부과됐다. 역대 국내기업 최대 과징금으로, 공공기관당 평균 과태료(700만원)의 약 1천73배에 달했다. 개인정보 유출 사고 후 '부실 대응'으로 논란은 있었으나, 공공기관에 비하면 과도한 제재라는 평가도 나왔다. 여기에 앞으로 골프존보다 더 많은 과징금이 부과될 가능성이 높아졌다는 점에서 기업들의 불안감은 커지고 있다. 하지만 공공기관들은 개인정보 유출 문제가 터져도 제재 수위가 높지 않은 탓에 크게 개의치 않는 분위기다. 지난 1월 '워크넷'은 23만여 명, 장학재단은 3만2천 명의 개인정보를 유출했으나 각각 과태료 840만원과 '개선 권고'만 받았다. 공공기관들의 낮은 보안 의식 수준도 문제다. 북한 해커 조직 '라자루스'가 법원 자료를 2년이 넘도록 해킹해 국민 개인정보를 빼돌렸음에도 어떤 내용의 자료들이 유출됐는지 조차 알아차리지 못했다는 것이 이를 방증한다. 특히 법원 신고가 늦어져 조사가 빨리 이뤄지지 못하면서 피해를 더 키웠다. 앞서 법원행정처는 지난해 2월 사법부 전산망 공격 사태를 인지하고도 수사당국에 신고하지 않고 자체 보안조치를 취했다. 지난해 11월 말 해킹 사실이 보도되자 12월 초 경찰청·국정원·검찰청이 합동조사에 착수했다. 그 사이 서버에 남아있던 유출자료들이 지워졌다. 정부가 유출 내용을 확인한 것은 전체 피해의 약 0.5%(5천171개)에 불과하다. 여기에 해킹 당한 법원 서버에 주민등록번호, 은행 거래 내역, 병력 기록 등 개인 정보가 상당량 포함됐다는 점에서 향후 전화금융사기(보이스피싱)나 대포통장 개설 등에 악용될 우려도 큰 상태다. 업계 관계자는 "사법부의 독립성도 중요하지만 북한의 공격에 맞서 국가 안보를 지키기 위한 관계 기관의 협력이 더욱 중요하다는 점을 간과한 듯 하다"며 "그 사이 외부 서버에 남아 있던 유출 자료 대부분이 삭제되면서 해킹 경로나 목적도 확인하지 못했다는 점은 매우 아쉽다"고 지적했다. 김승주 고려대 정보보호대학원 교수는 "해외는 데이터 중요도 중심의 망분리를 하고 있는 반면, 한국식 망분리는 모든 시스템을 인터넷과 단절시켰다는 차이가 있다"며 "해커들이 넘기에 보안 장벽이 높을 수 있겠지만, 넘었을 경우에는 외국보다 기밀 안전 위협이 더 크다는 점에서 개선이 반드시 필요해 보인다"고 밝혔다. 공공부문의 보안 및 책임의식 역시 하루 빨리 높여야 한다는 주장도 나왔다. 최소한의 기본적인 투자만으로 충분하다는 낮은 인식 수준 탓에 공공부문의 정보 유출 문제가 계속 불거지고 있다는 지적이다. 공공기관의 개인정보보호책임자(CPO)가 갖춘 전문성이 현저히 떨어진다는 의견도 있다. 공공기관에서 근무하는 CPO는 관련 경력이 없어도 급수만 충족된다면 누구나 맡을 수 있다는 점 때문이다. 반면 민간기업은 다르다. 개인정보보호법에 따르면 방대한 개인정보를 다루는 대형병원이나 기업, 대학 등은 전문성과 독립성 등을 갖춘 CPO를 의무적으로 지정해야 한다. 이 CPO들은 개인정보보호 경력 2년 이상을 포함해 개인정보보호·정보보호·정보기술 경력을 4년 이상 쌓았거나 관련 학위를 갖춰야 한다. 정보통신망법도 민간기업에 대한 규제는 명확하다. 일정 규모 이상의 정보통신서비스 업체는 사업주나 대표자 등을 개인정보를 총괄하고 책임지는 '정보보호 최고책임자(CISO)'로 지정해야 한다. 하지만 공공부문과 관련된 법은 국회에서 꿀잠을 자고 있다. 2021년 1월 민주당 이해식 의원이 공공기관에도 정보보호와 보안대책을 총괄하는 CISO를 지정하는 내용이 담긴 '전자정부법' 개정안을 발의했으나, 국회에 계류 중이다. 김승주 고려대 정보보호대학원 교수는 "공공부문에선 컨트롤타워가 없어 이런 일이 계속 벌어지고 있다고 주장하지만, 과거부터 CISO가 없는 부분에 대해 업계가 지적했음에도 시정되지 않았다"며 "관련 법 문제도 권한만 있고 책임에 대한 얘기가 없어 실효성 있게 논의되지도 않았다"고 꼬집었다. 업계에선 공공부문과 민간기업의 제재 형평성 문제가 하루 빨리 시정돼야 한다고 목소리를 높였다. 이에 개인정보보호위원회는 설명 자료를 통해 "공공부문의 개인정보 보호 강화 대책을 세우고, 공공기관 개인정보 관리 수준 평가를 강화하는 등 다양한 대책을 추진하고 있다"며 "위법행위를 한 공공기관과 공무원에 대한 처벌도 강화했다"고 피력했다. 그러면서 "향후 대규모 민감정보를 처리하는 공공부문에 더욱 강화된 안전조치 의무를 부여할 계획"이라며 "중장기적으로는 기관별 개인정보 전담 인력을 배치하도록 권고하고, 시스템 기능 개선도 단계적으로 추진하겠다"고 강조했다. 일각에선 갈수록 사이버 해킹 문제가 심각해지고 있는 만큼, 정부에서 지난 2009년 7·7 디도스 사태 이후 '국가 사이버위기 종합대책'을 수립한 것처럼 종합적인 대책을 하루 속히 마련해야 한다고 강조했다. 당시 정부는 민관 합동 범정부 대책기구를 구성해 위협분석 및 경보발령, 외국과의 공조체계 가동 등을 총괄하도록 했고 언론 창구는 방송통신위원회로 일원화하는 등 위기관리체계를 정비했다. 업계 관계자는 "이제 사이버전 대응 역량은 국가 안보의 필수 조건으로 떠올랐다"며 "허술한 대비로 해킹 공격에 허점을 보인다면 유사 시 심각한 피해가 발생하는 만큼 총체적인 점검과 대책 마련이 시급하다"고 밝혔다.

2024.05.15 09:05장유미

"2년 넘게 몰랐다"…北에 1TB 정보 털린 대법원, 내용 파악 '0.5%' 불과

북한 해커 조직 '라자루스'가 국내 법원 전산망을 2년 넘게 해킹해 빼간 개인정보 등 자료가 1TB(테라바이트)가 넘는 것으로 드러났다. 정부가 유출 내용을 확인한 것은 전체 피해의 약 0.5%(5천171개)에 불과한데 주민등록등본, 혼인 관계 증명서, 진단서 등 개인 정보가 대부분인 것으로 파악됐다. 나머지 99.5%에 반도체 등 주요 산업 기술이나 탈북민의 개인정보 등이 포함됐을 가능성이 있어 향후 피해 규모는 더 커질 것이란 분석이 나온다. 13일 경찰청 국가수사본부와 국가정보원, 검찰청 등에 따르면 라자루스가 2021년 6월부터 지난해 1월까지 법원행정처 전산망에 악성코드를 심어 외부로 빼돌린 자료는 총 1천14GB(기가바이트)로 확인됐다. 이는 A4 용지(2천자 기준) 약 26억2천100만 장에 해당하는 분량이다. 법원의 재판 기록이 북한 해킹으로 유출된 것은 이번이 처음으로, 전체 중 99.5%의 기록이 삭제돼 어떤 내용을 북한이 해킹해 갔는지 확인할 수 없는 상태로 알려졌다. 라자루스는 북한의 대남 공작을 총괄하는 정찰총국 산하에 있다. 이들이 초반에 빼돌린 자료들은 국내 서버 4대를 거쳐 전송했지만, 나중에는 미국 아마존이 운영하는 클라우드 서버 등 해외 서버 4개로 직접 전송한 것으로 밝혀졌다. 경찰이 0.5%에 해당하는 4.7GB의 내용을 파악한 결과, 이번엔 주민등록번호와 진단서, 자필 진술서, 채무 자료, 혼인관계증명서 등 개인정보가 포함된 개인회생 관련 자료 등 5천171개의 문서가 유출된 것으로 확인됐다. 지난 3월 대법원이 자료 유출을 사과하며 "개인정보가 담긴 PDF 파일도 26건 유출됐다"고 밝혔는데 그 규모가 최소 200배 넘게 늘어난 셈이다. 경찰 측은 라자루스의 최초 해킹 시점을 2021년 1월 7일이라고 봤다. 또 공격자가 이 시점 이전부터 법원 전산망에 침입해 있었을 수도 있다고 봤다. 당시 보안 장비의 상세한 기록이 이미 삭제돼 최초 침입 시점과 원인을 밝힐 수 없었기 때문이다. 즉 북한의 법원 전산망 해킹이 얼마나 오래 전부터 이뤄진 것인지 모른다는 뜻으로 해석된다. 법원 신고가 늦어져 조사가 빨리 이뤄지지 못했던 것도 이번 피해를 더 키운 원인으로 지목됐다. 특히 해킹 당한 법원 서버에는 주민등록번호, 은행 거래 내역, 병력 기록 등 개인 정보가 상당량 포함됐다는 점에서 향후 전화금융사기(보이스피싱)나 대포통장 개설 등에 악용될 우려가 큰 것으로 알려졌다. 이에 경찰은 피해를 막기 위해 유출된 파일 5천171개를 지난 8일 대법원 법원행정처에 제공하고 유출 피해자들에게 통지하도록 했다. 법원행정처는 11일 홈페이지에 개인 정보가 유출됐다는 내용의 안내문을 올리면서 "명의 도용, 보이스피싱 등 혹시 모를 2차 피해 방지를 위해 주의를 기울여 달라"고 밝혔다. 법원에서 해킹 신고를 접수한 개인정보보호위원회는 조사에 나섰다. 개보위는 관련 법에 따라 법원의 전산망 운용이 부실했는지를 파악할 예정이다. 일례로 대법원 전산망 관리자 계정 일부 비밀번호는 수 년째 'P@sswOrd', '123qwe'와 같은 단순 배열이었던 것으로 전해졌다. 또 개보위는 법원의 사후 조치에 문제가 없었는지도 조사해 과태료나 과징금 부과 등 행정처분 여부를 결정할 계획이다. 업계 관계자는 "국민들의 세밀한 개인 정보가 담긴 대법원 전산망은 국가안보 차원에서 보호되고 관리돼야 한다"며 "정부 기관의 취약한 전산망 보안 수준이 이번에 드러난 것"이라고 비판했다.

2024.05.13 10:38장유미

타이푼콘2024 개최 '해커의 관점을 배워라'

해커의 관점으로 보안 문제를 찾고 대응하는 방법을 논의하는 장이 열린다. 글로벌 보안 기업 SSD시큐어 디스클로저(SSD Secure Disclosure, 이하 SSD)는 27일부터 31일까지 서울 목시 명동 호텔에서 오펜시브 보안 컨퍼런스 '타이푼콘2024'를 개최한다. 6회를 맞은 타이푼콘2024는 공격자의 관점에서 보안 취약점을 찾고 이를 대응하는 방법을 논의하는 자리다. 타이푼콘은 보안 취약점 발견과 고급 공격 기술, 리버스 엔지니어링 등 주제의 강연과 실습으로 구성된다. 컨퍼런스에서는 '윈도 파일 공유 및 관리 시스템에서 버그 사냥 및 악용 방법', 'NFT공격벡터' 등을 다룬다. 트레이닝 세션에서는 임베디드 운용체계를 사용해 장치를 분석하고 퍼즈 테스트(fuzz test)하는 법을 강의한다. 지적재산권을 보호하는 코드 난독화와 리버스 엔지니어링을 위한 디버깅 방법 등의 실습이 마련됐다. 타이푼콘에서 '플레이스테이션4 커널 RCE'와 '안드로이드 생태계 디버그 모듈 공격' 등도 들을 수 있다. SSD는 트레이닝 참가자에게 컨퍼런스를 50% 할인된 가격에 제공한다. 타이푼콘의 후원사인 SSD 시큐어 디스클로저는 네트워크, 소프트웨어, 웹 애플리케이션의 보안 취약점을 테스트하고 방어하는 솔루션을 개발하는 글로벌 보안 기업이다. 관련 연구와 결과를 업계 관계자들과 공유하기 위해 타이푼콘을 시작했다.

2024.05.08 10:59김인순

"개막식도 오지 말라고?"…파리 올림픽 '찬밥' 신세에 러시아 사이버 공격 우려 ↑

100년 만에 파리에서 열리는 올림픽이 90여 일 앞으로 다가온 가운데 러시아 해커들의 파리 올림픽을 향한 사이버 공격 가능성이 커질 것이란 전망이 나왔다. 국제올림픽위원회(IOC)가 우크라이나 침공을 이유로 러시아와 벨라루스 선수들의 파리 올림픽 참가 자격을 국가대표가 아닌 '개인 중립' 자격으로만 출전시키기로 했기 때문이다. 24일 구글 보안 계열인 맨디언트에 따르면 러시아 해커들은 파리 올림픽 기간을 전후해 사이버 공격을 감행할 가능성이 높은 것으로 파악됐다. 파리 올림픽 조직 위원회는 4년 전 도쿄 올림픽 때보다 8배에서 최대 12배 많은 사이버 공격이 들어올 것으로 전망했다. 교도통신에 따르면 지난 2020 도쿄 올림픽 대회 기간 중 공식사이트와 조직위원회 시스템을 표적으로 약 4억5천만 회의 사이버 공격이 있었다. 특히 러시아 해커들은 그간 관련 조직의 사기를 꺾고 행사를 방해하기 위해 반복적으로 올림픽을 공격해왔다. 여기에 이번 파리 올림픽에서 IOC가 개인 중립 자격으로 출전하는 러시아와 벨라루스 선수들을 개막식 행진에서 제외하키로 하면서 불만을 품고 있다. 존 헐트퀴스트 구글 클라우드 맨디언트 위협 인텔리전스 총괄은 "올림픽이 매우 상징적인 행사인 만큼 실질적으로 제한된 공격이라도 심리적으로 미치는 영향력은 크다"며 "러시아 해커들이 대규모 웹사이트 위조 작전인 '도플갱어'와 같은 일들을 벌여 항의 표시와 함께 프랑스의 개최국 역할을 퇴색시킬 것으로 예상된다"고 말했다. 전문가들은 해커들이 단순히 컴퓨터와 인터넷망을 공격하는 것이 아니라 티켓팅 시스템, 이벤트 타이밍 시스템까지 무력화시킬 수 있다는 점에서 우려하고 있다. 2018년 평창 동계 올림픽이 대표적 사례로, 개회식 도중 메인 프레스센터의 인터넷 연결 TV가 꺼지고 조직위원회 홈페이지에서 오류가 발생해 문제가 됐다. 또 일반 사람들은 티켓과 필수 교통 정보가 담긴 앱이 작동하지 않아 경기장에 들어가지 못하는 피해가 발생했다. 이후 사이버 보안 담당자들은 결함을 수정해 올림픽은 정상적으로 마무리 됐다. 미국 법무부는 당시 러시아 선수단이 정부 주도 도핑 시도로 러시아 국기를 담고 참가하는 게 금지되자, 러시아군 정보기관이 보복 공격한 것으로 판단했다. 헐트퀴스트 총괄은 "주최기관, 후원사 및 올림픽과 관련된 기타 단체들 또한 러시아 정보총국이나 정치적 목적을 가진 핵티비스트의 표적이 될 수 있다"며 "러시아 정보총국은 이전에도 평창 동계올림픽 개막식을 방해하려고 시도했고, 프랑스 선거를 공격 타겟으로 삼은 전력이 있다"고 밝혔다. 그러면서 "핵티비스트가 가장 우려되는데, 이들의 자원과 능력이 제한적이라 하더라도 적절한 시기에 공격을 시도한다면 목표를 달성할 가능성이 있기 때문"이라며 "최근 프랑스에서 탐지된 디도스 공격과 같은 활동은 제한적이긴 하지만 사람들의 이목을 끌어 중대한 공격이라는 인식을 형성하는 데 활용될 수 있다"고 덧붙였다. 파리 올림픽 조직위원회의 사이버 보안팀을 이끄는 프란츠 레글은 뉴욕타임즈에 "지금까지는 심각한 방해로 추정되는 것은 없었다"면서도 "그러나 올림픽 개막까지 남은 날짜와 시간이 줄어들면서 해킹 시도 건수와 위험 수준이 기하급수적으로 증가할 것이란 점을 알고 있다"고 말했다.

2024.04.24 10:53장유미

"순식간에 털린다"…韓서 유출된 쿠키, 동아시아서 가장 많다

국내에서 유출된 쿠키 개수가 동아시아에서 가장 많은 것으로 나타나 인터넷 이용자들의 주의가 요구된다. 17일 글로벌 인터넷 보안 업체 노드VPN가 최근 연구한 결과에 따르면 다크 웹에서 거래된 쿠키 540억 개 중 약 1억8천600만 개의 쿠키가 한국 것으로 밝혀졌다. 인터넷 쿠키, 웹 쿠키 또는 HTTP 쿠키라고도 불리는 '쿠키'는 웹사이트와 사용자의 상호 작용에 관한 데이터가 포함된 작은 텍스트 파일이다. 이 기록 파일에 담긴 정보는 인터넷 사용자가 동일한 웹사이트를 방문할 때마다 읽히며 수시로 새로운 정보로 바뀐다. 쿠키는 웹사이트 사용자가 인터넷 이용 상태를 파악할 수 있게 도와주며 이를 기반으로 사용자에게 적합한 서비스 제공을 가능하게 해준다. 쿠키에는 활성 쿠키와 비활성 쿠키가 있다. 활성 쿠키는 현재 사용자의 세션에서 사용되며 로그인 상태를 유지하거나 세션 정보를 추적하는 데에 쓰인다. 반면 비활성 쿠키는 이전 세션에서 생성됐거나 현재 필요하지 않은 쿠키로, 일반적으로 사용자의 활동을 추적하는 데에 사용되지 않는다. 그러나 비활성 쿠키 역시 사용자의 개인 정보를 포함하고 있을 수 있다. 이는 해커들에게 접근할 수 있는 중요한 정보를 제공한다. 해커가 비활성 쿠키를 훔쳐갈 경우 사용자의 개인 정보를 악용하거나 민감한 데이터에 접근하는 데 사용할 수 있다. 노드VPN 관계자는 "쿠키가 주는 장점도 있지만, 인터넷 정보 기술이 발달하고 인터넷 사용자에 대한 광고 및 타겟 마케팅에 대한 수요가 급증함에 따라 쿠키 기술을 응용 또는 악용해 개인에 대한 정보를 수집하는 현상은 점차 증가하고 있다"며 "이렇게 수집된 쿠키 정보는 철저히 보호돼야 마땅하지만, 때로는 해커들로 인해 불법적인 경로로 거래돼 금전적 이득을 취하려는 범죄자들에 의해 악용되는 사례도 많다"고 지적했다. 쿠키를 빼내기 위해 사용된 악성 소프트웨어는 12개에 달하는 것으로 드러났다. 이런 방식으로 국내에서 유출된 쿠키는 약 1억8천600만 개로, 이 중 약 33%는 활성 쿠키였다. 이는 전 세계 평균 17%를 훨씬 웃도는 수치다. 또 한국에서 유출된 쿠키 개수는 전 세계 244개국에서 30위, 동아시아에서 1위를 기록한 수치다. 2위는 9천400만 개의 대만, 3위는 8천600만 개의 일본 순으로, 인구 수 대비 확연히 높은 비율로 쿠키가 유출된 것으로 나타났다. 다크 웹에서 거래된 540억 개의 전체 쿠키 중 약 25억 개는 구글에서 유출된 것으로 조사됐다. 이어 6억9천200만 개의 쿠키는 유튜브에서, 마이크로소프트와 빙에서는 약 5억 개의 쿠키가 유출된 것으로 집계됐다. 또 유출돼 다크 웹에서 거래된 쿠키는 사람들의 이름, 위치, 방향, 크기 등과 같은 다른 민감한 정보를 담고 있었다. 이는 개인의 금융 정보는 물론 안전에도 심각한 위협이 될 수 있다는 점에서 매우 주의해야 한다. 아드리아누스 바르멘호벤 노드VPN 사이버 시큐리티 전문가는 "쿠키 유출로 인한 피해를 완벽히 막을 수 있는 방법은 없지만, 개인의 작은 노력으로도 충분히 큰 피해를 막을 수 있다"며 "자주 방문하는 웹사이트에서 주기적으로 쿠키를 삭제하고, 믿을 수 있는 보안 솔루션을 활용하는 것이 중요하다"고 밝혔다.

2024.04.17 14:50장유미

Prev 1 2 3 4 5 6 7 8 9 10 Next