한국인터넷진흥원(KISA)이 과학기술정보통신부와 협력하여 국내 중소 정보보호제품 개발 기업을 대상으로 성능 평가 및 CC(공통평가기준) 인증 컨설팅을 무료로 제공한다고 발표했다. 이는 정보보호 제품의 성능과 보안성을 향상시키고, 국내 기술의 경쟁력을 강화하기 위한 조치이다. 정보보호제품 성능평가는 유해 트래픽의 탐지 및 차단율, 네트워크 처리율 등을 측정하는 제도로, 성능평가 및 CC 인증을 통과한 제품은 정부 및 공공기관의 보안 적합성 검증체계에 따라 도입이 가능해진다. KISA는 신청 기업의 규모, 평가 준비 상태, 제도 이해도 등을 종합적으로 고려하여 총 12개의 정보보호 제품을 선정, 6월부터 11월까지 총 6개월 간 맞춤형 컨설팅을 제공할 계획이다. 특히, 성능평가에 선정된 기업에는 컨설팅뿐만 아니라 확인서도 발급된다. 신청은 4월 25일부터 5월 17일까지 KISA 누리집과 정보보호산업진흥포털을 통해 가능하며, 지난해 수혜 기업을 대상으로 한 설문조사에서는 약 92.8%가 성능 향상 및 보안성 개선에 도움을 받았다고 응답했다. 또한 성능평가에 참여한 제품은 악성코드 탐지 및 차단율이 이전 대비 25.6% 증가한 것으로 확인됐다. 이성재 KISA 보
CJ올리브네트웍스가 한국인터넷진흥원 및 파인더갭과 함께 중소 및 중견기업의 정보보호 역량 강화 지원을 위한 ‘화이트햇 투게더 시즌3’에 참가할 기업과 정보보안 전문가를 꿈꾸는 대학생들을 모집한다. CJ올리브네트웍스는 2020년부터 사회공헌 프로그램 CJ화이트햇을 운영하며 다년간 쌓아온 정보보호 역량과 경험을 보유, 이를 기반으로 모의해킹, 개인정보 컴플라이언스 점검, 정보보호 교육 등 고객 맞춤형 컨설팅을 무료로 제공하며 ESG 경영 실천에 앞장서고 있다. 최근 개인정보 침해 사고가 증가하고 사이버공격 수법이 고도화되면서 CJ올리브네트웍스와 KISA, 파인더갭은 정보보호의 중요성을 공감, 민·관·학이 함께 협력하여 기업의 정보보호 역량 강화와 건강한 사이버 환경을 위한 콜렉티브 임팩트 프로젝트 화이트햇 투게더를 운영하고 있다. 올해로 시즌3를 맞은 화이트햇 투게더는 과학기술정보통신부 및 한국정보호학회가 후원하고, CJ올리브네트웍스, KISA, 파인더갭, 한국교육학술정보원이 공동 주최·주관하며 오는 11월까지 진행된다. 화이트햇 투게더는 중소 및 중견기업의 정보보호 컨설팅을 무료로 제공하며, 정소기업을 대상으로 맞춤형 보안 솔루션을 지원한다. 특히 이번 시즌3
과학기술정보통신부, 국가정보원, 디지털플랫폼정부위원회와 한국인터넷진흥원(KISA)은 18일 서울 광화문에서 간담회를 열어 '소프트웨어(SW) 공급망 보안 가이드라인'의 주요 내용을 공유하고 확산 방안을 논의했다. 모든 디지털 제품과 서비스가 네트워크로 연결되면서 SW 보안 취약점을 악용하거나 공급망에 침투해 악성코드를 삽입하는 등 SW 공급망 공격에 대한 우려가 커짐에 따라 정부는 범부처 협력을 통해 보안 가이드라인 제정을 추진 중이다. 가이드라인은 ▲디플정위의 공급망 보안 정책방향 ▲국내 전문가들의 연구 결과 ▲국산 SW에 대한 '소프트웨어 구성 명세서'(SBOM) 실증 및 SW 공급망보안포럼 논의 결과 ▲SW 공급망 보안 테스트베드 시범운영 및 민관 정책협의체 논의 결과 등 4개 장으로 구성된다. 미국과 유럽 등 주요국에서 SBOM 기반의 SW 공급망 보안 제도화를 추진하고 있다는 점에서 한국도 SBOM을 원활하게 유통·공유할 수 있는 관리체계를 마련해 확산할 필요가 있다고 명시할 예정이다. 이를 위해 SBOM 국제 표준을 소개하고, 공공기관과 민간 기업이 활용할 수 있는 'SW 개발 생명주기에 따른 SBOM 관리방안'과 국가적 차원의 'SW 공급망 보안
사이버 침해 사고가 늘어나는 가운데 피해가 주로 중소기업에 집중된 것으로 나타났다. 1일 한국인터넷진흥원(KISA)에 따르면 사이버 침해 사고 신고 건수는 2020년 630건, 2021년 640건, 2022년 1142건, 2023년 1227건으로 상승 곡선을 그리고 있다. 2년 만에 2배 가까이 불어난 셈이다. 이중 디도스(DDoS·분산서비스거부) 공격은 2020년 213건, 2021년 123건, 2022년 122건으로 감소 흐름을 보이다 지난해 다시 213건으로 늘었다. 통신사와 웹호스팅 사를 대상으로 한 디도스 공격이 과반인 51.5%로, 전년(9.8%)보다 급증했다. 랜섬웨어(악성 소프트웨어로 데이터나 PC 등을 암호화한 뒤 이를 풀려면 보상을 요구하는 형태의 공격) 피해 신고는 지난해 258건으로 전년보다 30% 가까이 줄었지만, 중소기업이 피해 기업의 78%를 차지했다. 중소기업은 랜섬웨어를 포함한 전체 사이버 침해사고 건수의 81%를 차지한 것으로도 조사됐다. 임진수 KISA 침해예방단장은 공격 대상은 "(해커들이) 뚫기 쉬운 중소기업부터 공격하고 거기에서 금전적 이득을 챙기고 있다"고 말했다. 해커들이 중소기업을 주로 겨냥하는 것은 기업 규모가
KISA-부산광역시-부산테크노파크, ‘블록체인 특화 클러스터’ 조성 추진 부산 해운항 물류 실시간 정보 공유 플랫폼 구축·실증 한국인터넷진흥원(KISA)과 과학기술정보통신부, 그리고 부산광역시 및 부산테크노파크가 지난 13일, 부산에서 블록체인 기술 기반의 특화 클러스터 조성을 위한 업무협약을 체결했다. 이번 사업은 부산 지역의 블록체인 기반 선순환 생태계 구축을 통해 지역의 균형발전을 목표로 한다. KISA에 따르면, 이번 블록체인 특화 클러스터 조성 사업은 지난해 12월부터 올해 2월까지의 공모 및 평가 과정을 거쳐 최종적으로 부산테크노파크를 사업 수행 기관으로 선정했다. 정부는 이 사업을 통해 총 62억 원(국비 31억 원, 시비 31억 원)을 지원할 예정이며, 지역 특화산업과 블록체인 기술의 융합을 위한 실증 프로젝트, 블록체인 기업 대상의 투자유치 및 사업화 지원 프로그램 운영 등을 진행할 계획이다. KISA 이상중 원장은 "이번 클러스터 조성 사업을 통해 부산 지역의 산업 생태계가 디지털 중심으로 재편되어, 청년 창업 촉진 및 일자리 창출 등 지역 경제에 새로운 활력을 불어넣을 것으로 기대한다"고 전했다. 해당 사업은 부산을 블록체인 산업의 중심지
한국인터넷진흥원(KISA)은 최근 자동 로그인 기능을 악용한 계정 정보 탈취 범죄가 급증함에 따라 8일 과학기술정보통신부와 함께 브라우저 자동 로그인 기능에 대한 사용주의 권고를 발표했다. 대부분의 브라우저는 사용자 편의를 위해 여러 홈페이지의 로그인 정보(아이디와 패스워드)를 일괄 저장하고, 해당 사이트 방문 시 자동으로 로그인할 수 있는 기능을 제공한다. 그러나 KISA 조사 결과 구글 크롬, 마이크로소프트(MS) 엣지, 모질라 파이어폭스 등 주요 브라우저에서 사용자 정보 탈취가 가능한 것으로 드러났다. 사용자의 여러 로그인 정보가 PC에 저장되기 때문에 해당 PC가 악성코드에 감염될 경우 로그인 정보가 한꺼번에 유출될 수 있다는 것이다. 유출된 로그인 정보는 다크웹에서 사이버 범죄를 목적으로 거래되거나, 해커가 이 정보를 악용해 온라인 쇼핑몰이나 가상자산 거래소에 부정 로그인한 뒤 자산을 탈취하는 '크리덴셜 스터핑' 공격 등 2차 피해로 이어질 가능성이 크다. 특히 공용 PC에서 자동 로그인 기능을 사용하면 사용자의 계정 정보가 PC에 자동으로 저장돼 더욱 쉽게 유출될 수 있다. 이에 따라 KISA는 ▲ 사용 중인 PC에서 자동 로그인 기능을 비활성화하
엘리스그룹은 '엘리스LXP'가 AI 코스웨어 최초로 클라우드 서비스 보안인증(CSAP) SaaS 표준등급을 획득했다고 14일 밝혔다. CSAP는 한국인터넷진흥원이 안전성 및 신뢰성이 검증된 민간 클라우드 서비스를 국가·공공기관에게 공급하기 위해 시행하는 인증 제도다. 민간 기업이 정부 또는 공공기관에 클라우드 서비스를 제공하려면 반드시 갖춰야 하는 인증으로, 클라우드(SaaS) 기반 웹 서비스 형태로 개발되는 AI 디지털교과서 역시 중 등급 이상 인증 보유가 필수 요건이다. 지난 6일 CSAP의 상·중 등급 평가항목 및 기준에 대한 개정안 행정예고가 실시됨에 따라 이후 본격적으로 등급제가 시행된다면 엘리스그룹이 획득한 SaaS 유형의 표준등급은 중 등급으로 인정받게 된다. 엘리스LXP는 AI 코스웨어 최초 CSAP 표준등급 인증을 획득해 보안에 대한 신뢰성을 인정받은 것에 더불어 GS인증 1등급도 취득해 우수한 플랫폼 기술력도 입증했다. 이에 대해 엘리스그룹 관계자는 "인프라부터 플랫폼까지 통합적으로 제공하는 AI 디지털교과서 개발사로서 강력한 경쟁력을 확보했다"고 강조했다. 김재원 엘리스그룹 대표는 "AI 코스웨어 최초로 안전한 보안 환경에 대한 신뢰성을
이글루코퍼레이션이 인공지능(AI) 보안 서비스 개발 및 보안 운영 효율성 향상을 위한 데이터 및 가공 서비스를 확대 제공한다. AI 기반 보안 운영·분석 플랫폼 기업 이글루코퍼레이션은 '2024년 데이터바우처 지원사업'의 공급 기업으로 3년 연속 선정돼 수요기업을 모집한다고 밝혔다. 과학기술정보통신부와 한국데이터산업진흥원이 주관하는 데이터바우처 지원사업은 데이터 거래 활성화 및 데이터 기반 혁신 생태계 조성을 목적으로 하고 있다. 전문인력 부재, 비용 등의 이유로 데이터 활용에 어려움을 겪고 있는 중소기업, 소상공인, 예비창업자 등을 대상으로 사업에 필요한 데이터 구매 또는 가공 서비스를 바우처 형식으로 지원한다. 이글루코퍼레이션은 보안 솔루션 개발 및 위협 탐지모델 구축과 한국인터넷진흥원(KISA)의 '사이버보안 AI 데이터셋' 사업 수행을 통해 검증된 데이터 수집·가공 역량을 토대로 고품질의 AI 학습·보안 데이터를 지원한다. 올해 이글루코퍼레이션은 AI 탐지모델 개발을 위한 학습 데이터와 위협 IP 평판 데이터·위협 URL 평판 데이터·침입 방지 시스템(IPS) 데이터·웹 방화벽(WAF) 데이터 등 5종의 데이터를 제공한다. 또한 AI 탐지모델 개발을
국정원, 기술 유출 방지 지침 배포 지난해 사이버 공격에 의한 피해가 중소기업에 집중된 것으로 나타났다. 26일 한국인터넷진흥원(KISA) 자료에 따르면 작년 사이버 공격으로 피해를 본 기업 가운데 92%가 중소기업이었다. 중소기업은 보안에 투자하거나 보안 책임자를 둘 여력이 없는 사각지대에 있기 때문이라고 국가정보원은 분석했다. 이에 따라 국정원 산업기밀보호센터는 한국산업기술보호협회와 함께 중소기업이 해킹에 의한 기술 유출 피해를 당하지 않도록 정보기술(IT) 보안 지침을 발간·배포했다고 이날 밝혔다. 지침은 중소기업에서 많이 사용 중인 IT 장비와 소프트웨어를 대상으로 국내외에 발간된 수십 종의 중소기업 기술 보호 자료를 분석한 뒤 최신 보안 조치 방안을 담았다. IT 전공자가 아니라도 지침이 제시한 내용을 따라 하기만 하면 보안 조치가 이뤄지도록 사용자 중심으로 쉽게 구성했다고 국정원은 소개했다. 국정원 산업기밀보호센터는 첨단 기술의 해외 불법 유출을 차단하기 위해 2003년 10월에 설립됐으며 산업 스파이 색출과 산업 보안 교육 등의 기술 유출 예방 활동을 수행하고 있다. 헬로티 김진희 기자 |
단장급 보임: ▲ 안전경영단장 오용석 ▲ 침해예방단장 임진수 ▲ 보안기술단장 황보성 ▲ 보안인증단장 이성재 팀장급 보임: ▲ 정보보안팀장 정갑진 ▲ 운영지원팀장 김주일 ▲ 사고분석2팀장 임정호 ▲ 마이데이터팀장 박창민 ▲ 위치정보팀장 이준 헬로티 김진희 기자 |
한국인터넷진흥원(KISA)은 과학기술정보통신부와 함께 신종 랜섬웨어 '리시다'(Rhysida)의 복구 도구를 세계 최초로 개발해 배포한다고 22일 밝혔다. 리시다 랜섬웨어는 지난 5월 처음 발견돼 의료·제조·교육· 정보기술 등 다양한 산업 분야에 걸쳐 피해 사례가 나타났다. 주로 가상사설망(VPN)의 취약점을 이용하거나 피싱 등을 통해 데이터를 암호화하고, 파일 확장자를 '.rhysida'로 변경한다. '몸값'을 지급하지 않으면 유출한 데이터를 외부로 공개하겠다고 협박하기 때문에 각별한 주의가 필요하다고 KISA는 전했다. 이에 KISA는 국민대 DF&C 연구실과 공동으로 리시다 랜섬웨어 복구 도구를 개발하고, 미국 연방수사국(FBI)과의 국제 협력을 통해 검증을 완료했다. KISA에서 배포하는 리시다 랜섬웨어 복구 도구는 누구라도 기술적 제약 없이 손쉽게 사용할 수 있도록 국문과 영문으로 작성한 사용자 매뉴얼을 함께 제공한다. 복구 도구와 사용자 매뉴얼은 KISA 암호 이용 활성화 누리집에서 다운받을 수 있다. 헬로티 김진희 기자 |
정부·보안업계, 올해 사이버 위협 분석·내년 전망서 밝혀 내년 생성 인공지능(AI)을 활용한 사이버 공격이 늘어나고 국가 주도 해커그룹이 총선과 미국 대선 등을 노린 사이버 테러를 일으킬 수 있다는 전망이 나왔다. 과학기술정보통신부와 한국인터넷진흥원(KISA)은 안랩, 지니언스, 마이크로소프트, 맨디언트 등이 참여하는 '사이버 위협 인텔리전스 네트워크'와 공동으로 2023년 사이버 보안 위협 분석과 2024년 사이버 보안 위협 전망을 17일 발표했다. 올해 주요 사이버 보안 위협으로는 보안 프로그램 취약점과 소프트웨어 개발자 대상 공급망 공격 확대, 개인정보를 노린 메신저 사칭 공격과 피해 재확산, 랜섬웨어 공격과 산업 기밀 공개를 빌미로 한 금전 협박 등이 꼽혔다. 3월 북한 연계 해커그룹 '라자루스' 소행으로 추정되는 보안 인증 프로그램 취약점을 노린 해킹 공격이 확인됐고, 오픈소스 커뮤니티에 악성코드가 숨겨진 패키지를 배포하는 공급망 공격도 지속해 발생했다. 포털, 메신저 등에서 탐지·차단된 피싱사이트는 7천534건으로 전년(4천206건) 대비 약 1.8배 증가했으며, 택배 배송, 교통범칙금, 지인부고 등을 사칭한 스미싱 문자도 약 37만 건 차단됐다.
과학기술정보통신부와 한국인터넷진흥원(KISA)은 14일 싱가포르 사이버보안청(CSA)에서 한국-싱가포르 간 사물인터넷(IoT) 보안인증 제도 상호인정을 위한 양해각서(MOU)를 체결했다. 양국은 앞으로 6개월간 두 나라의 IoT 보안인증 제도를 비교·분석하는 등 동등성 평가를 추진하고, 내년 하반기에 'IoT 보안인증 제도 상호인정서'에 서명할 계획이다. 상호인정 효과가 발효되면 앞으로 한국에서 IoT 보안인증서를 받은 제품은 싱가포르에서 별도 인증서를 받지 않아도 현지에 수출할 수 있어 다른 나라 경쟁 제품에 비해 가격, 품질, 소비자 신뢰 등에서 우위를 점할 것으로 예상된다. 싱가포르가 이미 독일, 핀란드 등 다른 나라들과 IoT 보안 인증제도 상호인정을 맺고 있다는 점에서 싱가포르와의 협력을 계기로 한국 IoT 보안 인증제도에 대한 국제 신뢰도가 높아지는 것은 물론 독일, 핀란드 등 유럽 국가와도 상호인정 가능성이 높아질 전망이다. 이에 따라 현재 아파트 월패드 등 주택 분야 위주였던 국내 IoT 보안인증 신청이 앞으로 가전, 교통, 제조, 금융, 스마트 도시, 의료, 통신 등 다양한 분야로 늘어날 것이라는 관측이 나온다. 이번 MOU로 양국 인증기관인
24개 중소·중견기업에 총 5억 원 규모 무료 취약점 진단, 정보보호 컨설팅 및 보안 솔루션 지원 CJ올리브네트웍스가 한국인터넷진흥원(KISA) 파인더갭과 함께 올해 총 24개 중소·중견기업에 대한 정보보호 컨설팅을 성공적으로 마치고 ‘화이트햇 투게더 결과공유회’를 개최했다고 밝혔다. 화이트햇 투게더는 정보보호 전문인력과 예산투자 여력이 부족한 중소·중견기업의 보안 역량 강화를 위해 보안 컨설팅 및 솔루션, 교육 서비스를 무료로 제공하는 프로그램이다. CJ올리브네트웍스는 2020년부터 ESG 프로그램 ‘CJ화이트햇’을 운영하며 중소기업 대상 무료 정보보호 컨설팅을 제공해 왔다. 지난해부터 KISA와 보안 스타트업 파인더갭과 협업해 정부와 기업, 시민이 함께 협력하는 콜렉티브 임팩트 형식으로 화이트햇 투게더로 프로그램을 고도화했다. 특히 올해는 더 많은 기업이 혜택을 받을 수 있도록 지원 대상을 중소기업에서 중견기업까지 확대하고 ▲버그바운티 참여 ▲정보보호 컨설팅 ▲컨설팅 및 솔루션 제공을 참가기업이 선택할 수 있도록 했다. 기업별로 최대 5백만 원까지 보안 솔루션 도입 비용을 지원했고 프로그램 운영 예산 규모도 총 5억 원으로 전년 대비 3배가량 확대 운영했
글로벌 AI 보안 행사서 ‘안전과 신뢰의 시대, AI 기술의 활용과 책임’ 주제로 발표 진행 구글 클라우드는 한국인터넷진흥원(KISA)과 과학기술정보통신부가 6일 주최한 ‘글로벌 AI 보안 컨퍼런스(AISEC2023)’에 마크 존스톤(Mark Johnston) 구글 클라우드 아시아 태평양 지역 최고정보보호책임국 총괄이 참석해 근본적 보안 과제 해결을 위한 생성형 AI 기술 활용의 중요성을 강조했다고 밝혔다. ‘더 안전한 AI, 더 풍부한 기회(The safer AI, The richer opportunity)’를 주제로 진행된 글로벌 AI 보안 컨퍼런스는 인공지능(AI) 보안 산업 진흥 및 유망 AI 보안 기업들의 역량을 제고하기 위해 개최됐다. 존스톤 총괄은 ‘안전과 신뢰의 시대, AI 기술의 활용과 책임’을 주제로 기조연설을 진행하며 광범위하고 근본적인 보안 문제와 폭발적으로 증가하는 위협, 원하는 결과를 달성하기 위해 보안 팀이 감내해야 하는 과중한 업무, 만성적인 보안 인력 부족 등을 생성형 AI를 활용해 해결하는 방법을 소개했다. 존스톤 총괄은 “인공지능은 오랫동안 보안 생태계 구축에 막대한 영향을 미쳤으며, 향후 글로벌 보안과 안정성을 강화하는 데