-
IT·보안
2025년 사이버 위협 전망
사이버 보안이란 컴퓨터, 네트워크, 소프트웨어 등을 대상으로 하는 데이터의 도난, 손상 등으로부터 보호하는 행위를 뜻합니다. 미국 시장조사 기관 스페리컬 인사이트에 따르면 글로벌 사이버 보안시장 규모는 2021년도에 2205억달러에서 2030년에는 5016억달러까지 확대될 것으로 전망하였습니다. 이처럼 사이버 보안시장은 기술이 발전함에 따라 지속적으로 확대되고 있습니다. 과학기술정보통신부와 한국인터넷진흥원에서는 2024년도에 발생한 사이버 위협 사례를 선정, 분석하고 2025년에 발생할 수 있는 사이버 위협을 전망하는 「2025년 사이버 위협 전망」을 발표하였습니다. 이를 통해 기업 및 기관들은 점차 강화되어가는 사이버 위협에 체계적으로 대응할 수 있습니다. 년 사이버 위협 사례 분석1. 사이버 사기로 인한 국민 불편 및 금융피해 지속2024년도에는 주식 투자, 티몬·위메프·환불, 유명 연예인 콘서트환불 등 사회적 이슈를 악용한 불법스팸, 스미싱, 큐싱 등 사이버 사기 피해가 지속되었습니다. 특히 상반기에는 스팸과 스미싱이 급격하게 증가하였고, 신종 사이버 사기수법인 QR코드를 사용하여 악성 앱 설치를 유도하는 ‘큐싱 사기’가 성행하기도 했습니다. QR코드가 주로 사용되는 공유형 킥보드에 큐싱스티커를 덧붙이거나 피싱 메일에 삽입하여 피해가 발생하였습니다. 이에 11월 과학기술정보통신부와 방송통신위원회는 불법스팸 발송 차단 강화, 스팸 차단 거버넌스 구축 등의 추진전략을 발표하며 불법스팸 근절과 방지 전략을 마련하기도 했습니다.2. SW공급망 공격은 기본, 복합적인 공격 전술 사용SW공급망 공격은 소프트웨어와 업데이트체계를 악용하여 공급망 전단계에서 광범위하게 악성코드를 유포하는 공격입니다. 또한 여러 공격기법을 결합한 복합적인 사이버 공격이 이어지기도 했습니다. 1월에는 건설 관련 홈페이지의 보안 프로그램 설치파일이 변조되어 악성코드가 유포된 사건이 발생하기도 했습니다.3. 랜섬 공격기법 고도화, 고객 정보 빌미로 삼중 갈취 공격 지속랜섬웨어 공격은 데이터나 컴퓨터 시스템에 대한 접근을 차단 혹은 암호화한 다음 정상적인 작동을 대가로 금품을 요구하는 방식입니다. 2024년도 상반기에 랜섬웨어로 인한 피해 비용은 평균 20억으로, 랜섬웨어에 대한 진입장벽은 낮아지고, 방식은 고도화되었습니다. 특히 최근 랜섬웨어는 피해 컴퓨터나 네트워크에 이미 설치된 여러 자원을 악용하여 공격하는 기법을 사용하고 있습니다.년 사이버 위협 전망1. 공격자의 생성형 인공지능 활용 본격화AI기술의 빠른 발전으로 다양한 생성형 AI모델과 서비스가 널리 보급되고 있습니다. AI는 혁신과 편리함을 제공하지만, 악의적으로 활용될 수 있습니다. 특히 딥페이크가 피해자 협박에 사용될 수 있으며, ChatGPT와 같은 서비스를 활용하여 피싱메일을 작성하거나 공격도구를 개발하는 등의 악용사례가 증가할 것으로 예측됩니다. 이처럼 생성형 AI를 통한 보안 위협이 증가하고 있기 때문에 기업들은 보안 및 모니터링체계 구축을 통해 지속적으로 관리해야 합니다2. 디지털 융복합 시스템에 대한 사이버 위협 증가 예상디지털전환이 가속화되면서 정보통신기술이 다양한 산업, 기술과 결합한 디지털 융복합 시스템 및 서비스가 확산되고 있습니다. 이에 따른 보안 위협이 함께 증가할 것으로 보입니다.. 4. 무차별 디도스(DDoS)공격 예상디도스(DDoS)공격은 악성코드에 감염된 단말기를 이용하여 대규모 트래픽을 통해 기업의 서버나 웹사이트를 마비시키는 공격입니다. 디도스 공격으로 인해 기업의 서비스 중단 시 신뢰도 하락 및 금전적인 피해가 발생하곤 합니다. 2024년 한국인터넷진흥원에 신고 접수된 디도스 공격 침해사고 건수는 작년 대비 23% 증가하였으며, 2025년도에도 지속적인 증가 추세가 이어질 것으로 보입니다.
-
- 25.01.13
-
IT·보안
온라인에서 개인을 식별하는 방법, CI
은행에서 시행하는 마이데이터(MyData)란 개인의 동의하에 여러 금융사에 흩어진 금융 내역을 통합 관리할 수 있는 서비스입니다. 마이데이터 서비스에서는 어떻게 다른 은행의 정보를 가져올 수 있을까요? 어떤 데이터를 통해 다른 기관에서 한 개인을 특정지을 수 있을까요? 정답은 CI에 있습니다.CI(연계정보)란?연계정보를 뜻하는 CI란 Connecting Information의 약자로 온라인상 이용자 식별과 데이터 연계 및 개인정보를 효율적으로 관리하기 위해 사용되는 고유식별자를 의미합니다. 온라인 주민등록번호라고 볼 수 있기도 한데요. 서로 다른 인터넷 업체 간 동일인을 식별하기 위해 사용되며 온라인상에서 주민등록번호의 유출, 남용 등의 사고를 방지하고, 주민등록번호의 수집 및 이용을 최소화하기 위해 만들어진 대체 수단입니다. CI(연계정보)는 온라인 서비스상에서 이용자를 식별해야하는 다양한 상황에 활용되고 있습니다. 특히 은행, 카드, 보험, 증권 등 다양한 금융회사 간 동일 고객을 식별하고 데이터를 전송하는 과정에서 활용됩니다. CI 생성과정, 출처: KISACI(연계정보)는 주민등록번호를 일방향 암호화하여 생성되는 개인식별용 고유한 범용 Key값입니다. 개인별로 고유하게 생성된 주민등록번호를 일방향 암호화하기 때문에 원래의 데이터로 복원이 불가능하다는 특징이 있습니다. CI(연계정보)는 본인확인기관에 의해서 생성됩니다. 본인확인기관이란 가입자를 대신하여 정보를 제공하는 기관으로, 이용자의 주민등록번호를 사용하지 않고 대체수단을 제공하는 기관입니다. 특히 온라인·비대면 사회에서 이용자를 식별하기 위해 회원가입, 아이디 및 비밀번호 찾기, 금융거래 및 결제 등 다양한 분야에서 본인확인 서비스가 활용되고 있으며, 이용자는 주민등록번호를 사용하지 않더라도 본인을 식별하고 인증하는 서비스를 제공받습니다. CI 발급과정, 출처: KISA정부는 이용자의 주민번호를 사용하지 않고 본인을 확인하는 방법(대체수단)을 제공하는 본인확인기관을 방송통신위원회가 지정하도록 하였습니다. 방송통신위원회는 이용자의 개인정보를 안전하게 보호하기 위해 매년 적합성 심사를 통해 본인확인기관을 지정하고 있습니다. 대체수단으로는 아이핀, 휴대폰, 신용카드, 인증서가 있으며, 이를 제공하는 본인확인기관으로는 아이핀 기관, 이동통신3사, 신용카드사 등이 있습니다. 본인확인기관에서는 대체수단을 통해 확인되어 CI가 포함된 본인확인결과를 온라인 사업자에게 제공합니다.「정보통신망 이용촉진 및 정보보호 등에 관한 법률」방송통신위원회는 온라인에서 연계정보를 활용한 서비스가 안전하게 운영될 수 있도록 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 개정안을 마련하였습니다.개정안에서는 본인확인기관이 CI를 생성, 처리하는 경우 안전성 확보를 위한 물리적, 기술적, 관리적 조치를 의무화하였습니다. 이를 위반하는 경우 최대 3천만원 이하의 과태료를 부과하도록 하였습니다.제9조의 12(본인확인기관의 물리적·기술적·관리적 보호조치 등)① 본인확인기관은 법 제23조의6제1항에 따른 연계정보 생성ㆍ처리의 안전성 확보를 위하여 다음 각 호의 물리적ㆍ기술적ㆍ관리적조치를 해야 한다.1. 제9조의3제1항제1호 각 목에서 정한 사항2. 법 제23조의5제1항제4호에 따른 연계정보 생성·처리를 위한내부규정 수립 및 시행3. 연계정보의 안전한 생성·처리를 위한 보호조치4. 연계정보 생성 및 처리 사실확인자료의 기록ㆍ보관5. 그 밖에 방송통신위원회가 정하여 고시하는 사항② 연계정보 이용기관은 법 제23조의6제2항에 따른 다음 각 호의안전조치를 취해야 한다.1. 연계정보의 안전한 처리를 위한 내부규정의 수립 및 시행2. 목적 범위 내 연계정보 처리3. 연계정보와 주민등록번호의 분리보관 조치4. 연계정보를 안전하게 저장·전송할 수 있는 암호화 기술의 적용5. 이용자 보호 및 불만처리에 관한 계획의 수립 및 시행6. 연계정보의 수집 출처, 수집 시기 등에 관한 자료의 기록·보관7. 그 밖에 방송통신위원회가 정하여 고시하는 사항CI vs DICI와 비교되는 개념으로는 DI(Duplicated Joining Information)가 있습니다. DI는 ‘중복가입 확인정보’라고도 하며, CI와 마찬가지로 본인확인기관에서 대체수단을 통한 본인확인의 경우에 생성됩니다. DI는 하나의 서비스 안에서 사용자의 중복 가입을 막기 위한 고유 값입니다. DI는 특정 서비스 내에서만 유효하며, 같은 사용자가 여러 계정을 만들지 못하도록 중복을 방지하는 목적으로 사용됩니다. 인증 업체마다 같은 개인이라도 다르게 발급되기 때문에 서로 다른 서비스에서 공유할 수 없습니다. DI 또한 CI와 마찬가지로 영어대소문자와 숫자로 이루어져 있으나, CI는 88byte키값으로 구성되어 있는 반면 DI는 66byte로 구성되어 있다는 차이점이 있습니다. 또한 CI는 어느 웹사이트에서든 동일한 값이 제공되는 반면, DI는 웹사이트별로 다른 값이 생성됩니다. 따라서 CI는 온라인에서 서로 다른 사이트 간 동일인을 식별하기 위해 사용되지만, DI는 인증 업체마다 다르게 발급되기 때문에 서로 다른 사이트에서 공유할 수 없습니다.CI와 DI의 차이점, 출처:KISA온라인서비스에서 이용자를 식별해야하는 경우에 CI가 활용되는 경우가 많습니다. 특히 개인의 금융정보를 통합 및 관리하여 주는 금융 마이데이터 서비스에 적극 활용되고 있습니다. 마이데이터 서비스는 시행 이후 2년만에 1억 1,787만명의 가입자를 돌파하는 등 국민들의 일상에 정착되어 있습니다. 개인정보보호위원회는 마이데이터 선도서비스 지원사업으로 의료, 통신 등 여러 분야를 선정하였으며, 이에 따라 마이데이터의 활용 범위를 점진적으로 확대할 계획임을 밝혔습니다. 이처럼 마이데이터 사업이 더욱 확장됨에 따라 CI의 활용도도 더욱 높아질 것으로 예상됩니다. 출처 및 참고자료방송통신위원회, ‘연계정보’, 활용성과 안전성 동시에 잡는다 KISA 한국인터넷진흥원, CI에 대한 현황 및 논의 필요사항
-
- 25.01.03
-
IT·보안
AI 열풍, 이젠 보안까지?
ChatGPT의 부상으로 인공지능(AI)은 현재 기술분야에서 가장 화두가 되고 있는 주제 중 하나입니다. AI의 발전에 따라 이를 악용한 공격이 증가하고 있습니다. 그러나 AI를 다양한 보안기술에 활용한다면, 각종 사이버 위협으로부터 보다 안전할 수 있습니다. AI는 피싱탐지, 사용자 행동분석, 악성코드 탐지, 이상 탐지 등에 활용될 수 있습니다. 해외뿐만 아니라 국내에서도 AI를 보안기술에 적용하려는 움직임이 있는데요. 과연 AI를 보안기술에 어떻게 활용할 수 있을까요? 전통 사이버 보안 VS AI 사이버 보안우선 사이버 보안이란 사이버 공격을 예방하거나 완화하기 위한 모든 기술, 관행, 정책을 뜻합니다. 사이버 보안은 랜섬웨어, 피싱사기, 데이터 유출 등의 사이버 위협으로부터 컴퓨터 시스템, 데이터 및 자산 등을 보호하는 것을 목표로 합니다. 전통 사이버보안은 사이버 위협에 대한 탐지, 대응 등을 뜻하며 수동적이라는 특징이 있습니다. 기업 네트워크의 경계에서 외부의 위협을 차단하는 방식으로 방화벽, 소프트웨어, VPN 등을 사용하여 네트워크 내부를 보호합니다.AI 사이버 보안은 자동화 매커니즘을 통해 인간의 개입을 최소화하고 위협 탐지 정확도를 높일 수 있습니다. 사이버보안에 AI를 활용함으로써 기존의 보안체계에 있었던 단점을 보완하고 악성공격에 보다 효율적으로 대응할 수 있습니다.AI를 활용한 보안 기술1. 이상 탐지이상 탐지란 일반적인 데이터의 정상 패턴에서 벗어난 데이터를 식별하기 위한 것을 뜻합니다. AI를 통해 정상적인 패턴과는 다른 비정상적인 행동을 식별하고 경고를 줄 수 있습니다. 이상탐지는 다양한 산업에서 활용되고 있습니다.금융·보험·증권사에서는 이상거래탐지시스템을 업무 전반에 적용하여 효율성과 정확성을 높이고 보안사고를 방지하고 있습니다. 이상거래탐지시스템(FDS, Fraud Detection System)은 전자금융거래시 단말기 정보와 거래정보 등을 수집 및 분석하여 이상 금융거래를 차단하는 기술입니다. 은행에서는 이상거래탐지시스템을 통해 신용카드 거래 데이터에서 일반적이지 않은 패턴을 발견하여 카드 사기 행위를 탐지할 수 있습니다.국내 의료산업에서도 적극 활용되고 있는데요. 국내의 한 병원에서는 AI로 낙상 이상징후를 탐지하는 시스템을 구축하여 의료진이 낙상 사고 발생 후 현장에 도착하는 시간을 앞당겼습니다. 또한 환자의 병원 내 위치를 추적하여 환자가 의료진의 동행 없이 낙상 고위험 지역으로 이동시 담당 의료인에게 알람이 울려 빠른 대응이 가능하도록 하였습니다. 2. AI 피싱 탐지보이스피싱을 비롯한 각종 피싱을 AI를 통해 탐지할 수 있습니다. 우리나라 이동통신사에서는 지능화되고있는 보이스피싱의 피해예방을 위해 AI 보안 연구를 더욱 강화하고 있습니다. 이동통신사 K사에서는 보이스피싱탐지 AI에이전트를 통해 통화음성을 실시간으로 텍스트로 바꾸고 이를 AI소형언어모델이 금융 사기와 연관된 문맥을 탐지하는 기술입니다. L사에서는 실시간 통화내용에서의 문장과 의도를 분석하여 보이스피싱 상황으로 의심될 경우 경고하는 통화비서를 출시하기도 했습니다.3. 사용자 행동 분석AI기반 행동분석은 AI를 통해 사용자의 행동 데이터를 수집하고 분석하는 것을 뜻하며, 이를 통해 비정상적인 행동을 탐지할 수 있습니다. 사용자 행동 분석을 통해 사용자가 비정상적으로 행동하는 것을 탐지하여 내부자 위협, 도용된 계정 등을 포착할 수 있습니다. 또한 데이터를 기반으로 사용자의 행동을 연구, 해석, 예측하기 위해 AI를 사용할 수 있습니다. AI를 보안에 활용한다면 갈수록 지능화되어가는 사이버 위협에 효과적으로 대응할 수 있습니다. 그러나 AI를 보안기술에 활용 시 고려해야 할 점들이 있습니다. 우선 데이터의 품질과 양을 고려해야 합니다. AI가 효과적으로 작동하기 위해서는 신뢰할 수 있는 양질의 데이터가 필요합니다. 데이터의 출처를 꼼꼼히 검토하고 검증할 수 있는 데이터인지 확인해야 합니다. 또한 AI를 통해 개인정보 등 중요 데이터를 처리할 때 부적절하게 사용되거나 유출되지 않도록 주의해야 하며, AI 모델의 성능을 지속적으로 모니터링하고, 업데이트하는 작업도 필요합니다.
-
- 24.12.20
-
IT·보안
모든 것을 의심하라, 제로 트러스트(Zero Trust)
‘절대 신뢰하지 말고 항상 검증하라(Never Trust, Always Verify)’라는 뜻의 제로트러스트에 대해 들어보셨나요? 제로트러스트는 명확한 인증을 거치기 전까지는 모든 사용자, 기기를 신뢰하지 않고 신뢰성을 검증하여 기업의 정보를 보호하는 보안모델입니다. 세계 3개 리서치 기업 중 하나인 포레스터 리서치의 존 킨더백(John Kindervag) 수석 애널리스트가 최초로 제안하였으며, 최근 사이버 보안업계에서 가장 화두가 되고 있기도 합니다.전통적인 보안모델에서는 조직의 내·외부를 구분하여 내부자를 신뢰하였습니다. 그러나 제로트러스트는 내·외부 모두 공격자가 존재할 수 있다고 보며 모든 접근을 잠재적 보안 위협으로 바라보는 방식입니다. 따라서 내부 사용자 및 보안 시스템을 통과한 단말기라도 신뢰하지 않는다는 것이 기본 전제입니다. 제로트러스트 도입 현황가트너에서 실시한 ‘2024년 제로트러스트 도입 현황’에 관한 설문조사 따르면 전세계 기업의 63%가 제로트러스트 전략을 완전히 혹은 부분적으로 도입한 것으로 나타났습니다. 제로트러스트는 세계 각국에서 새로운 보안 패러다임으로 자리잡고 있으며, 이를 가장 빠르게 구현하고 있는 국가는 미국입니다. 미국은 2014년과 2015년도에 두차례 연방정부 인사관리처에서 발생한 대량 개인정보 유출사고를 계기로 제로트러스트 보안 모델을 도입하였습니다. 2019년도에는 미국의 국립표준기술연구소(NIST)에서 제로트러스트의 정의, 원칙 등을 기술한 제로트러스트 아키텍처를 발표하였습니다. 2021년도에 바이든 정부의 행정명령을 통해 연방 부처와 기관에게 제로트러스트 모델을 도입하도록 하며 도입을 본격화하였습니다.싱가포르는 ‘싱가포르 사이버 보안 전략 2021’을 통해 사이버 보안 현대화 전략으로 제로트러스트 도입원칙을 발표하였습니다. 영국은 2021년 7월 제로트러스트 아키텍처 설계 원칙을 발표하였으며, 일본은 2022년 6월 제로트러스트 아키텍처 적용 정책을 발표하였습니다. 제로트러스트 가이드라인이처럼 세계 주요 국가에서 적극적으로 제로트러스트의 도입방안을 마련하고 있으며, 우리나라에서도 도입을 위한 가이드라인을 발표하였습니다. 과학기술정보통신부·한국인터넷진흥원(KISA)·한국제로트러스트포럼에서는 이번 12월 가이드라인 2.0을 공개하였습니다. 지난해 7월 공개된 제로트러스트 가이드라인1.0에서는 제로트러스트의 기본 개념과 원리, 핵심 원칙 등에 대한 설명을 통해 도입 필요성을 강조하였습니다. 이번에 발표된 가이드라인2.0에서는 도입을 위한 세부절차, 구체적 방법론 등 기업에서 제로트러스트 도입 시 실질적인 도움이 될 수 있는 내용들로 구성하였습니다. 제로트러스트 아키텍처기업에서 제로트러스트 도입을 통해 달성하고자 하는 최종적인 목표는 기업망 및 내부 리소스에 대한 보호입니다. 제로트러스트 가이드라인에서는 제로트러스트 아키텍처의 기본 원리를 다음과 같이 정리하고 있습니다.제로트러스트 아키텍처제로트러스트 아키텍처 보안모델을 구성하는 논리구성요소인 정책결정지점(정책 엔진 및 관리자), 정책시행지점, 정책정보지점의 기능과 역할은 다음과 같습니다.정책관리자(PA)는 정책엔진과 함께 정책결정지점(PDP)을 구성하며, PEP에 명령하여 접근주체와 리소스 사이의 통신 경로를 생성하거나 폐쇄합니다. 또한 세션에 대한 인증·인가 토큰을 생성하여 접근주체가 기업 리소스에 접근하는데 사용하도록 합니다. 정책시행지점(PEP)은 접근주체와 기업 리소스를 연결하고 모니터링하며 최종적으로 연결을 종료하는 논리 구성 요소입니다. 정책정보지점(PIP)은 신뢰도 판단에 도움이 될 수 있는 정보를 생성하는 시스템을 뜻합니다. 제로트러스트 아키텍처를 실행하는 기업이 접근 결정을 위해 활용할 수 있는 정보를 생성·전달하는 요소로, 기업 내부에서 운영하는 시스템과 외부 시스템 모두 가능합니다.제로트러스트 아키텍처 보안 모델 및 논리 구성 요소기업이 제로트러스트를 도입해야 하는 이유제로트러스트 가이드라인에서는 기업이 제로트러스트를 도입해야 하는 이유에 대해서 다음과 같이 설명하고 있습니다.안전한 비즈니스 목표 달성기업에서는 보안성을 유지하면서도 새로운 비즈니스 모델에 유연한 제로트러스트 아키텍처를 설계·도입함으로써 안전한 비즈니스 목표를 달성할 수 있습니다. 지속적으로 변화하는 IT환경, 원격·재택근무의 증가, 클라우드환경의 확대 등의 급변하는 상황에서 보안을 유지하는 것은 중요합니다. 제로트러스트 아키텍처를 통해 안전한 환경을 제공하면서도 비즈니스 목표를 달성할 수 있도록 도움을 줄 수 있습니다.비용 절감 효과 및 ROI(투자 대비 수익)기업에 제로트러스트 아키텍처를 도입하는 경우 초기에는 투자 및 관리비용이 필요합니다. 그러나 장기적인 관점으로 볼 때 기업의 중요한 정보 및 디지털자산을 보호하고 보안사고를 대비할 수 있을 뿐만 아니라 인적자원 및 보안 관리비용을 절감할 수 있습니다.현재 보안 환경의 취약점 및 한계 개선을 통한 위험 관리미국 연방정부에서는 연방 인사관리처의 개인정보 유출 사고를 계기로 지속적인 검증을 통해 대응 능력을 강화하는 보안체계가 필요함을 확인하였습니다. 제로트러스트 아키텍처는 내부시스템이 공격받더라도, 접근에 대한 접속IP주소, 접속시간 등을 분석하여 비정상적 접근을 차단할 수 있습니다. 이러한 방식으로 제로트러스트는 기존의 보안체계의 한계를 보완할 수 있으며, 미래에 발생할 수 있는 보안사고에 대한 대응이 가능합니다.IT환경 변화에 대한 적응력제로트러스트는 기업이 다른 환경에 빠르게 적응하고 변화할 수 있는 환경을 만들어줄 수 있습니다. 제로트러스트에서는 데이터에 대한 접근제어, 접근 기록 유지, 지속적 모니터링 등을 중요시하기 때문에, 이를 통해 법적 규제 및 보안 통제에서의 요구사항을 준수할 수 있습니다. 개인정보보호와 데이터 보안 규제들이 강화되고 있는 상황에서 규제 및 법에 대한 기업의 적응력과 신뢰성을 높일 수 있습니다.기업 이미지 개선기업은 제로트러스트 아키텍처를 도입함으로써 주요 정보를 보호할 수 있을 뿐만 아니라 이를 통해 기업에 대한 고객 신뢰도를 강화하고 긍정적인 이미지를 구축할 수 있습니다. 마치며클라우드, 빅데이터, AI, IoT 등 핵심 IT기술들의 발전에 따라 보안의 중요성도 함께 확대되고 있습니다. 특히 비대면, 원격접속, 클라우드의 등장으로 보안 경계가 확대되었고, 검증된 대상에게만 최소 권한을 허용하는 제로 트러스트가 주목받고 있습니다. 제로트러스트 보안모델은 등장한지 14년이 지났지만 여전히 중요성이 확대되고 있으며, 사이버보안 분야에서 가장 주목받고 있는 개념입니다. 세계 주요 국가뿐만 아니라 우리나라에서도 기업·기관들의 제로트러스트의 적용을 권하고 있습니다. 기업에서는 제로트러스트의 적용을 통해 보안문제 해결 뿐만 아니라 비용절감과 비즈니스 목표까지 달성할 수 있을 것입니다.출처 및 참고자료국회입법조사처, 제로트러스트 새로운 보안 패러다임으로의 전환 과학기술정보통신부, KISA한국진흥원, 제로트러스트 가이드라인2.0
-
- 24.12.16
-
IT·보안
2024년 국내정보보호산업 실태조사 살펴보기
정보보호산업이란?정보보호산업법 제2조에서는 정보보호산업을 ‘정보보호를 위한 기술 및 정보보호기술이 적용된 제품을 개발, 생산 또는 유통하거나 이에 관련한 서비스를 제공하는 산업’으로 정의하고 있습니다. 4차산업혁명의 등장과 코로나 이후로 언택트 산업의 확장으로 디지털 전환이 가속화되면서 사이버 위협도 함께 정교해지고 있습니다. 따라서 정보보호산업의 중요성은 커지고 있으며, 시장규모 또한 확대되고 있습니다.정부에서는 2020년 제2차 정보보호산업 진흥계획(2021~2025)을 수립하였으며, ‘디지털 전환에 따른 정보보호 신시장 창출’, ‘민간 주도 사이버 복원력 확보를 위한 투자지원 확대’, ‘지속성장 가능한 정보보호 생태계 조성’을 중점으로 추진하고 있습니다. 이처럼 정보보호산업의 중요성이 증대되면서, 과학기술정보통신부와 한국정보보호산업협회(KISIA)는 매년 국내정보보호산업 실태조사 결과를 발표하고 있습니다. 국내정보보호산업 실태조사를 통해 국내 정보보호산업의 동향을 파악하고, 향후 전망을 예측할 수 있으며, 기업에서는 이를 바탕으로 향후 전략을 세우는 데에 중요한 지표가 될 수 있습니다. 정보보호산업은 크게 정보보안, 물리보안, 융합보안으로 구분할 수 있으며, 이번 글에서는 데이터보안기업 신시웨이가 속한 정보보안산업에 대해 주로 알아보도록 하겠습니다.정보보호산업 주요 현황국내 소재 정보보호 기업은 정보보안 814개, 물리보안 894개로 총 17,08개로 조사되었으며, 2022년도에 비해 7.2% 증가하였습니다.국내 정보보호산업의 매출액은 매년 성장하고 있습니다. 2023년 전체 정보보호산업 매출액은 총 16.8조원으로 2022년 대비 4.0% 증가하였습니다. 정보보안 매출액은 약 6조로 전년대비 9.4% 증가하였으며, 물리보안 매출액은 약 10조로 전년대비 1.2% 증가하였습니다. 정보보안제품에서는 네트워크 보안 솔루션이, 정보보안 관련 서비스에서는 보안시스템 유지관리/보안성 지속 서비스의 매출 비중이 높은 것으로 나타났습니다. 한편 정보보호산업의 전체 수출액은 약 1조 6800억원으로 전년대비 16.4% 감소하였습니다. 정보보안은 약 1478억원, 물리보안은 약1조5322억원으로 각각 전년 대비 4.8%, 17.2% 감소하였습니다. 수출 비중은 일본이 49.7%정도를 차지하고 있으며, 중국, 미국, 유럽 등의 국가들이 차지하고 있었습니다. 또한 정보보호산업의 인력은 2022년대비 2023년에 7% 감소하였습니다. 정보보안 기업의 80%는 정보보안 제품(솔루션)을 취급하고 있으며, 정보보안 관련 서비스를 취급하는 기업은 전체의 50%인 것으로 조사되었습니다. 제품별로는 네트워크보안, 데이터보안, 클라우드보안 등 다양한 품목들을 취급하고 있습니다. 정보보안관련 서비스는 보안시스템 유지관리/보안성 지속 서비스와 보안컨설팅에 주로 분포되어 있었습니다.정보보안제품(솔루션)분야와 서비스의 업종별 매출 비중은 일반기업이 가장 높았으며, 다음으로는 공공기관, 금융기관 순으로 나타났습니다. 공공기관과 금융기관은 민감한 개인정보, 금융정보 등 중요 정보들이 포함되어있기 때문에 정보보안제품이 반드시 필요한 기관이기도 합니다.한편 정보보안산업 기업의 34%는 매출이 전년도 대비 호전되었다고 응답하였으며, 20.5%는 악화되었다고 응답하였습니다. 매출 악화 이유로는 경기 위축을 가장 큰 요인으로 선정하였습니다. 그외에도 동일 업종간 경쟁심화, 신규 시장 부족 등을 선정하였습니다.정보보안산업 기술개발 및 동향정보보안기업에서 기업부설연구소를 운영하는 기업은 71%, 연구개발 전담부서만 운영하는 기업은 7.7%, 둘다 운영하는 기업은 7.7%로 나타나 80%가 넘는 기업들이 자체적인 기술개발 및 연구를 하고 있는 것으로 조사되었습니다.정보보안 기업의 기술개발 시 애로사항으로는 기술개발 인력 확보 및 유지 및 자금조달이 가장 높게 나타났으며, 정보보안산업의 시장 확대를 위해 자금지원 및 세제혜택, 전문인력 양성, 기술개발 지원 등의 정부지원이 필요하다고 응답하였습니다. 기술개발 인력 및 자금지원 부문에서 기업들은 어려움을 겪고 있으며, 이에 대한 적극적인 정부지원이 필요함을 알 수 있었습니다.또한 기업들의 해외진출이 어려운 요인으로는 판로개척의 어려움이 가장 높다고 응답하였으며 자금 유동성부족, 인력부족, 현지 법·제도 정보 부족 등이 있었습니다. 아직까지는 우리나라 보안기업들이 해외진출을 하는데에 어려움을 겪고 있으며, 판로개척·자금·인력 등의 문제가 해결되어야 할 것으로 보입니다. 마치며이제 정보보호는 우리 일상에서 빼놓을 수 없는 분야이며, 제로트러스트의 도입과 클라우드 서비스 확산 등으로 보안 패러다임이 변화하고 있다고 합니다. 또한 코로나 이후로 비대면 서비스 확산과 디지털 전환이 가속화되었고, 사이버 위협도 함께 증가하였습니다. 정보보호산업은 기술의 혁신과 인적자원의 고도화 등을 통해 IT산업분야에서의 입지와 파급력이 확대될 것입니다. 정보보호 기업들은 국내정보보호산업 실태조사를 통해 정보보안산업의 현황을 파악함으로써 기업들은 향후 산업의 방향을 물색하고 해외진출에도 한발짝 더 다가갈 수 있습니다. 출처 및 참고자료 한국정보보호산업협회, 2024년 국내 정보보호산업 실태조사 보고서
-
- 24.12.12
-
IT·보안
개인정보위, 개인정보의 안전성 확보조치기준 안내서 발간
개인정보의 안전성 확보조치 기준 안내서 발간개인정보의 안전성 확보조치 기준은 기업, 공공기관 등의 개인정보처리자가 개인정보를 안전하게 관리하기 위해 취해야 하는 기술적·관리적·물리적 보호조치를 규정하고 있는 기준입니다. 개인정보 처리자라면 개인정보보호 관련 규정을 완벽하게 이해하여 실무에 적용해야 하지만 부가적인 설명 없이는 이해하기 어려운 경우가 많습니다. 개인정보보호위원회에서는 안전성 확보조치 기준 안내서를 발간하여 보다 쉽게 해석하고 이해할 수 있도록 돕고 있습니다. 또한 이전에는 정보통신서비스 제공자는 개인정보의 기술적·관리적 보호조치 기준을 적용받고, 그 외 개인정보 처리자는 개인정보의 안전성 확보조치 기준을 적용받았습니다. 그러나 지난해 9월 개인정보보호법 개정으로 인해 법령의 대상이 모든 개인정보처리자로 통일됨에 따라 개인정보의 기술적·관리적 보호조치 기준이 폐지되고 개인정보의 안전성 확보조치 기준(행정 규칙)으로 통합되었습니다. 통합으로 인해 기존 두가지 법령을 숙지해야 했던 개인정보처리자들은 일원화된 법령으로 보다 쉽고 명확하게 보호 조치 기준을 이해할 수 있게 되었습니다. 개인정보의 안전성 확보조치 기준 안내서개인정보의 안전성 확보조치 제5조① 개인정보처리시스템에 대한 접근 권한을 개인정보취급자에게만 업무 수행에 필요한 최소한의 범위로 차등 부여하여야 한다.② 개인정보 처리자는 개인정보취급자 또는 개인정보 취급자의 업무가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근 권한을 변경 또는 말소하여야 한다.③ 개인정보처리시스템 접근 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관하여야 한다.④ 개인정보처리시스템에 접속할 수 있는 사용자 계정은 사용자 별로 발급하고 다른 개인정보취급자와 공유되지 않도록 하여야 한다.⑤ 개인정보취급자 또는 정보주체의 인증수단을 안전하게 적용하고 관리하여야 한다.⑥ 일정 횟수 이상 인증에 실패한 경우 개인정보처리 시스템에 대한 접근을 제한하는 등 필요한 조치를 하여야 한다.① 개인정보처리자는 개인정보처리시스템에 대한 접근 권한을 개인정보 취급자에게만 업무 수행에 필요한 최소한의 범위로 차등 부여하여야 한다.*개인정보의 안전성 확보조치기준 해설* 개인정보의 안전성 확보조치 기준 제5조에 따르면, 개인정보처리시스템에 대한 접근 권한은 개인정보를 처리하는 개인정보취급자에게만 부여하여야 합니다. 권한을 차등화 한다는 것은 업무를 수행하기 위한 권한을 등급별로 나누어 개별적으로 접근 권한을 부여하는 것을 말합니다.② 개인정보처리자는 개인정보취급자 또는 개인정보취급자의 업무가 변경되었을 경우 지체없이 개인정보처리시스템의 접근권한을 변경 또는 말소하여야 한다.*개인정보의 안전성 확보조치기준 해설*개인정보취급자의 퇴직, 휴직, 인사이동이 발생하여 개인정보취급자가 변경되었을 경우에는 지체없이 계정 또는 접근권한을 변경·회수하는 등의 필요한 조치를 하여야 합니다. 또한 조직변경 등으로 인해 개인정보취급자의 업무가 변경되었을 경우에도 접근 권한을 회수하는 등의 조치가 필요합니다. ③ 개인정보처리자는 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관하여야 한다.*개인정보의 안전성 확보조치기준 해설*제1항 및 제2항에 의한 접근 권한 부여, 접근 권한 변경, 말소시에는 접근권한의 발급 과정과 이력 등을 확인할 수 있는 정보를 포함하여 기록하여야 합니다. ④ 개인정보처리자는 개인정보처리시스템에 접근할 수 있는 계정을 발급하는 경우 정당한 사유가 없는 한 개인정보취급자별로 계정을 발급하고 다른 개인정보취급자와 공유하지 않도록하여야 한다.*개인정보의 안전성 확보조치기준 해설*‘정당한 사유’란 기술적으로 계정의 개별 발급이 불가능한 경우를 말합니다. 그러나 이러한 경우에도 접근제어 시스템 도입 등 기술적 통제를 적용하여 실제 개인정보처리시스템에 접속한 자를 식별할 수 있어야 합니다. 또한 다수의 개인정보취급자가 하나의 계정을 공유하지 않도록 취급자별로 계정을 발급하여 사용하여야 하며, 개인정보 처리내역에 대한 책임추적성을 확보해야 합니다. ⑤ 개인정보처리자는 개인정보취급자 또는 정보주체의 인증수단을 안전하게 적용하고 관리하여야 한다.*개인정보의 안전성 확보조치기준 해설*개인정보처리자는 환경에 맞는 인증수단을 적용하여 개인정보취급자 또는 정보주체를 인증하여야 합니다. 여기서 인증수단은 개인정보보호를 위해 필요한 개인정보처리시스템, 접근통제시스템 등에 적용하여야 하며, 비인가자가 접근할 수 없도록 관리하여야 합니다. 인증수단의 예시로는 비밀번호, 일회용 비밀번호(OTP), 생체인증 등이 있습니다. ⑥ 개인정보처리자는 정당한 권한을 가진 개인정보취급자 또는 정보주체만이 개인정보처리시스템에 접근할 수 있도록 일정 횟수 이상 인증에 실패한 경우 개인정보처리시스템에 대한접근을 제한하는 등 필요한 조치를 하여야 한다.*개인정보의 안전성 확보조치기준 해설*개인정보처리자는 권한이 없는 자의 접근을 방지하기 위해 인증에 실패한 경우 접근을 제한하는 조치를 취해야 하며, 인증 실패 횟수는 개인정보처리시스템의 특성 등을 고려하여 정할 수 있습니다. 인증에 실패하여 접근이 제한된 이후 접근을 재부여하는 경우에는 타당 여부를 확인한 후 재부여해야 합니다.개인정보의 안정성 확보조치 제6조① 개인정보처리시스템에 대한 접속 권한을 인터넷 프로토콜(IP) 주소 등으로 제한하여 인가받지 않은 접근을 제한 개인정보처리시스템에 접속한 인터넷프로토콜(IP) 주소 등을 분석하여 개인정보 유출 시도 탐지 및 대응④ 개인정보취급자가 일정시간 이상 업무 처리를 하지 않을 때에는 자동으로 접속이 차단되도록 하는 등 필요한 조치를 하여야 한다.① 개인정보처리자는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각호의 안전조치를 하여야 한다.1. 개인정보처리시스템에 대한 접속 권한을 인터넷 프로토콜(IP) 주소 등으로 제한하여 인가받지 않은 접근을 제한2. 개인정보처리시스템에 접속한 인터넷 프로토콜(IP) 주소 등을 분석하여 개인정보 유출시도 탐지 및 대응*개인정보의 안전성 확보조치기준 해설*여기서 말하는 IP주소에는 IP주소, 포트 그 자체뿐만 아니라 이상행위(과도한 접속성공 및 실패, 부적절한 명령어 등 패킷)을 포함합니다. 불법적인 접근 및 침해사고 방지를 위해서는 침입차단 및 침입차단 기능을 포함하는 안전조치를 실시해야 하며, 개인정보처리시스템에 접속한 이상행위 대응, 로그 훼손 방지 등의 관리가 필요합니다. ④ 개인정보처리자는 개인정보처리시스템에 대한 불법적인 접근 및 침해사고 방지를 위하여개인정보취급자가 일정시간 이상 업무처리를 하지 않는 경우에는 자동으로 접속이 차단되게하는 등 필요한 조치를 하여야 한다.*개인정보의 안전성 확보조치기준 해설* 접속차단이란 개인정보처리시스템의 연결이 완전히 차단되어 정보의 송수신이 불가능한 상태를 뜻하며, 컴퓨터의 화면보호기 등은 접속차단에 해당하지 않습니다. 또한 개인정보처리시스템에 다시 접속할 때의 방법·절차는 처음 차단되었을때의 방법·절차와 동일한 수준 이상이 되도록 조치를 취해야 합니다.개인정보의 안정성 확보조치 제8조① 개인정보처리자는 개인정보처리시스템에 대한 접속기록을 1년이상 보관·관리하여야 하며, 5만명 이상의 개인정보를 처리하는 등의 경우에는 2년 이상 보관·관리하여야 한다.② 개인정보의 오‧남용, 분실, 도난, 유출 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 월
-
- 24.11.22
-
IT·보안
가트너, 2025년 10대 전략 기술 트렌드 발표
기술 혁신은 그 어느때보다 빠르게 진행되고 있으며, 기업들의 디지털 전환 또한 빨라지고 있습니다. 글로벌 IT 컨설팅 기업 가트너에서는 매년 기술 트렌드에 대해 예측한 보고서를 통해 CIO와 IT기업이 앞으로의 전략을 세우는 데 필요한 지침을 제공하고 있습니다. 보고서를 통해 기업들은 앞으로의 기술적 전략을 짜거나 비즈니스모델을 만들어가는데에 도움을 줄 수 있습니다. 가트너에서 이번에 발표한 ‘2025년 10대 전략 기술 트렌드’는 크게 ‘인공지능(AI)필수요소와 위험 관리’, ‘컴퓨팅의 새로운 경계’, ‘인간-기계의 협력강화’로 나눌 수 있습니다. (출처: 가트너 홈페이지)인공지능(AI)필수요소와 위험 관리에이전틱 AI(Agentic AI)챗GPT와 같은 ‘생성형’AI’는 인간을 대신하여 글을 쓰고, 그림을 그리는 등 빠른 속도로 발전해왔습니다. 그러나 이제는 생성형 AI를 넘어 에이전틱 (Agentic AI)의 시대가 온다고 합니다. 에이전틱 AI(Agentic AI)는 사용자의 목표와 의도에 맞춰 스스로 계획을 세우고 시행하는 자율형 인공지능 시스템으로 데이터기반의 생성형 AI의 한계점을 극복할 수 있을 것으로 기대되고 있습니다. 가트너에 따르면 현재 에이전틱AI에 의해 이루어지는 업무는 거의 없지만 2028년에는 업무의 약 15%가 에이전틱AI를 통해 이루어질 것으로 예측하였습니다. AI 거버넌스 플랫폼(AI Governance Platforms)AI가 다양한 산업에서 활용되면서 이에 따라 윤리적, 사회적 문제 등이 발생하기도 합니다. AI 거버넌스 플랫폼은 기업이 AI시스템의 법적, 윤리적 성과를 관리할 수 있는 AI시스템의 위험 및 보안 관리 프레임워크의 일부입니다. 기업에서는 AI거버넌스 플랫폼을 통해 AI관련 윤리적 사고를 줄이는 데 기여할 수 있습니다. 가트너에서는 AI거버넌스 플랫폼을 적용한 기업은 AI 관련 윤리적 사고 발생이 그렇지 않은 기업에 비해 40% 적을 것으로 전망하였습니다. 컴퓨팅의 새로운 경계허위 정보 보안(Disinformation Security)허위 정보 보안은 잘못된 정보나 조작된 정보가 유포되는 것을 방지하고, 정보의 기밀성, 무결성, 가용성을 보장하기 위한 정보 보안의 한 부분입니다. 가트너는 허위 정보 보안에 특화된 제품, 서비스, 기능을 도입하는 기업이 2024년 5% 미만에서 2028년에는 50%까지 급격히 증가할 것으로 예측하였습니다. 또한 AI를 악의적인 목적으로 활용함에 따라 발생하는 허위 정보 사고도 증가할 것으로 예상하였습니다. 포스트 양자 암호화 (Post-Quantum Cryptogrphy)포스트 양자 암호화란 양자컴퓨팅에 대응하는 새로운 암호화 기법을 뜻합니다. 현재 대부분의 데이터는 일반적인 암호화 방식을 적용하고 있으나, 양자컴퓨팅 기술을 사용하여 기존 암호화 방식을 쉽게 해독할 수 있습니다. 가트너는 2029년까지 양자컴퓨팅의 발전으로 인해 기존의 비대칭 암호화 방식이 안전하지 않게 될 것이라고 예측하고 있습니다. 따라서 기업들은 양자암호화 기술을 통해 데이터 보호를 강화해야 하며, 미래에는 포스트양자 암호화 기술이 필수 요소가 될 것입니다. 앰비언트 인비저블 인텔리전스(Ambient Invisible Intelligence)앰비언트 인비저블 인텔리전스는 다양한 사물과 환경의 위치 및 상태를 추적하기 위해 태그와 센서를 활용하는 기술입니다. 이를 통해 초저가의 소형 스마트 태그와 센서를 통해 대규모 추적 및 감지가 가능하며, 특히 재고관리와 물류 최적화를 위해 활용할 수 있습니다. 앰비언트 인비저블 인텔리전스는 사용자의 생활을 보다 편리하고 효율적으로 만들어주는 기술로 앞으로 다양한 산업에서 활용될 것으로 전망됩니다. 에너지 효율적 컴퓨팅에너지 효율적 컴퓨팅은 에너지 소비를 줄이고 지속가능한 기술 발전을 위한 중요한 요소입니다. 에너지 효율적 컴퓨팅을 통해 기업에서 발생하는 불필요한 에너지 소비를 줄일 수 있습니다. 구글, 마이크로소프트, 엔비디아 등 글로벌 IT기업들은 데이터 센터의 에너지 소비를 줄이고 재생가능 에너지를 사용하여 전력을 공급하는 등의 방식으로 에너지 효율적 컴퓨팅을 실현하고 있습니다. 가트너는 AI최적화와 같은 특수목적의 작업을 위해 광학, 뉴로모픽 등 새로운 컴퓨팅 기술이 등장할 것이며, 이는 훨씬 적은 에너지를 사용하여 에너지 효율을 향상할 것으로 예측하였습니다. 하이브리드 컴퓨팅하이브리드 컴퓨팅은 CPU, GPU, 엣지컴퓨팅 등 다양한 컴퓨팅 자원을 결합하여 문제를 해결하는 방식으로, 단일 컴퓨팅 환경에서 달성하기 어려운 성능을 제공하고 비용과 에너지효율성을 높입니다. AI 및 빅데이터 분석, 실시간 데이터 처리 등의 응용분야에서 활용될 수 있습니다. 또한 기업은 하이브리드 컴퓨팅 도입을 통해 비용 절감, 보안 강화, 데이터 관리의 효율성을 높일 수 있습니다. 인간-기계의 협력강화공간 컴퓨팅(Spatial Computing)공간 컴퓨팅은 사용자가 있는 물리적 공간에서 디지털 정보를 활용하여 상호작용하는 기술입니다. 공간 컴퓨팅은 증강 현실(AR)과 가상 현실(VR)을 통해 물리적 세계와 가상 환경을 융합시키고 다양한 방식으로 상호작용할 수 있도록 합니다. 가트너에서는 공간컴퓨팅을 통해 워크플로우를 간소화하여 향후 5~7년 내에 기업의 효율성을 높일 것이며, 2023년 1,100억 달러에서 2033년까지 1조 7,000억 달러 규모로 성장할 것으로 예측하였습니다. 다기능 로봇(Polyfunctional Robots)다기능 로봇은 하나 이상의 작업을 수행할 수 있는 스마트 로봇으로, 단일 작업을 반복적으로 수행하도록 맞춤 설계된 작업 전용 로봇을 대체합니다. 다기능 로봇을 통해 다양한 작업을 자동화하고 인공지능과의 통합으로 더욱 발전할 수 있습니다. 가트너에서는 현재는 스마트 로봇의 사용 비율이 10% 미만이지만, 2030년에는 80%의 인간이 매일 스마트 로봇을 사용할 것으로 예측하였습니다. 신경학적 향상(Neurological Enhancement)신경학적 향상은 뇌 활동을 읽고 해독하는 기술입니다. 인간의 뇌를 읽기 위해 단방향 또는 양방향 뇌-기계 인터페이스(Bidirectional Brain-Machine Interface, BBMI)를 사용할 수 있으며, 주로 인력 업스킬링과 마케팅에서 폭넓게 활용될 수 있습니다. 소비자의 생각과 감정을 파악하고 최적의 결과물을 도출하는데에 도움을 줄 수 있습니다. 가트너에서는 AI의 부상에 따라 신경학적 향상 기술을 사용하는 인구가 2024년에는 1% 미만에서 2030년에는 30% 이상 증가할 것으로 전망하였습니다. 지금까지 가트너에서 제시한 2025년에 기업에서 주목해야 할 10대 전략 기술 트렌드에 대해 알아보았습니다. 가트너에서 2024년도에 제시한 10의 트렌드 중 3개가 AI와 연관되었고, 실제로 AI가 노벨 물리학상과 화학상을 수상하며 AI의 시대가 오고있음을 알렸습니다. 이번 보고서에서도 ‘AI 에이전트’를 시작으로 10대 기술 중 9개가 AI와 관련된 기술로 구성되어있을 정도로 AI는 여전히 중요한 기술임을 알 수 있었습니다. 가트너의 수석 VP애널리스트 진 알바레즈(Gene Alvarez)는 “이번 연도의 주요 기술 트렌드는 기업의 AI 활용 방향, 컴퓨팅 진화, 인간과 기계의 융합을 다룬다. 이러한 트렌드를 면밀히 추적하면 기업의 미래를 책임감 있고 윤리적으로 설계할 수 있으며, 이 기술들은 C레벨 임원들이 반드시 주목해야 할 중요한 요소"라고 말하며 IT 리더들에게 미래를 준비할 수 있는 전략적 로드맵의 필요성을 강조했습니다. 출처 및 참고자료 Gartner, 「Gartner Top 10 Strategic Technology Trends for 2025」, Gartner 홈페이지, https://www.gartner.com/en/articles/top-technology-trends-2025
-
- 24.11.13
-
IT·보안
진짜 같은 가짜 딥페이크
딥페이크를 활용한 범죄가 최근 사회적으로 크게 문제가 되고 있습니다. 딥페이크를 악용하여 여성을 대상으로 한 성적 합성물이 텔레그램 메신저를 통해 무차별적으로 유포되었습니다. 피해자는 초·중·고교생의 미성년자를 비롯한 교사, 군인까지 포함된 것으로 알려졌으며, 내 주변 친구나 가족의 사진이 이용된 것은 아닐까 하는 불안감이 생기기도 합니다. 딥페이크란 무엇이며 최근 딥페이크로 인해 발생하고 있는 문제와 이에 대한 대응 방안에는 어떤 것들이 있을까요? 딥페이크(Deepfake)란 컴퓨터가 스스로 외부 데이터를 조합, 분석하여 학습하는 기술인 딥러닝(Deep learning)과 가짜를 뜻하는 페이크(Fake)의 합성어입니다. 즉, 인공지능 기술을 이용하여 진위 여부를 구별하기 어려운 가짜 이미지나 영상물을 뜻합니다. 생성형 AI가 발달하면서 이제는 진짜 영상과 딥페이크로 만든 가짜 영상을 구별하기가 어려울 정도로 정교해지고 있습니다. 딥페이크는 원본 영상에서 얼굴 부분을 추출한 후 합성하고자 하는 얼굴 데이터를 학습시킨 후 GAN기술을 이용하여 원본 영상의 얼굴을 대상의 얼굴로 대체합니다. 이후 자연스러운 연결을 위해 세부적인 조정 작업을 거치면 실제 인물이 말하는 것처럼 보이는 영상이 완성됩니다. GAN(Generative Adversarial Network) 기술은 생성적 적대 신경망’이라는 딥러닝 알고리즘으로 진위를 감별하는 알고리즘과 새로운 이미지를 만드는 알고리즘이 경쟁을 통해 학습하며 실제에 가까운 거짓 데이터를 만드는 기술입니다. 딥페이크 기술을 목적에 맞게 사용한다면 긍정적인 사례로 활용할 수 있습니다. 역사적 인물을 재현함으로써 생생한 역사교육을 진행할 수 있으며, 영상제작 비용을 절감할 수 있습니다. 딥페이크를 통한 영상으로 감동을 주었던 사연도 있었습니다. 드라마 전원일기에 출연했던 故박윤배 배우를 대역을 맡은 사람에게 얼굴과 목소리를 합성하여 가상인간으로 구현하였습니다. 출연 배우들은 가상인물임을 알면서도 지난 시간을 회상하고 생전에 하지 못했던 말들을 하며 위로를 나누었고, 이 모습은 대중들에게 큰 감동을 주었습니다.그러나 딥페이크 기술과 음성 복제 기술이 발전함에 따라 이를 악용하는 사례들이 점점 많아지고 있습니다. 딥페이크 기술을 나체 영상 등 음란물에 불법 합성하여 유통하는 범죄에 사용하면서 논란이 되고 있습니다. 딥페이크 성범죄 사태는 인하대 및 서울대에서 여학생의 얼굴을 음란물에 합성한 딥페이크 영상물이 텔레그램에서 유포한 사건이 알려지면서 시작되었습니다. 이후에 전국적으로 수천명이 참여하고 있는 사실이 알려졌고, 기술의 발전으로 인해 디지털 성범죄가 증가한다는 논란이 확대되기도 했습니다.이처럼 계속해서 증가하는 딥페이크 피해를 방지하기 위해 세계 각국에서는 다양한 노력을 기울이고 있는데요. 대표적으로 논의되고 있는 방안 중 하나는 워터마크 의무화입니다. AI워터마크는 AI기술로 제작한 콘텐츠에 삽입되는 표식입니다. 눈에 띄는 표식을 넣을수도 있고, 보이지 않는 정보를 심는 방법도 있습니다. 실제와 구분하기 어려운 이미지와 영상, 음성을 동원한 가짜뉴스가 범람하고 성착취물 피해가 커지면서 세계 각국은 AI워터마크 도입을 검토하고 있습니다. 우리나라에서도 지난 5월 ‘새로운 디지털 질서 정립 추진계획’의 일환으로 AI생성물 워터마크 의무화를 논의하기도 했습니다. 또한 지난 6월 AI로 만든 음향, 영상, 이미지 등 콘텐츠에 가상 정보임을 명확하게 표시하도록 의무화하는 정보통신망법 개정안을 발의하였습니다. 개정안에서는 위반 시 정보제공자에게 1,000만원 이하의 과태료 및 플랫폼 기업은 표시 없는 AI생성물 삭제 의무를 부과하도록 하였습니다.최근 미국, 유럽 등에서는 딥페이크 성범죄에 대한 경각심이 커지면서 관련 법안이 만들어지고 있습니다. 미국 캘리포니아주에서는 딥페이크 성착취물을 배포·소지한 이들도 처벌할 수 있게 하는 법안이 추진중입니다. 호주, 영국 등에서도 최대 2년형의 징역형을 부과할 수 있는 법안이 제정되기도 했습니다.우리나라에서는 지난 9월 25일, 아동·청소년을 대상으로 한 딥페이크 성범죄 처벌을 강화하는 ‘딥페이크 성범죄 방지법’이 국회에서 의결되기도 했습니다. 이 법안은 딥페이크를 이용한 디지털 성범죄에 대한 처벌 강화를 골자로 한 법으로, 불법 딥페이크 성 착취물을 소지, 구입, 저장, 시청만 하더라도 징역 3년이하 또는 3,000만원 이하의 벌금형 등의 형사처벌을 받게 됩니다. 딥페이크를 이용한 범죄가 사회적 문제로 대두되면서 이를 막기위한 예방과 처벌도 중요하지만, 때문에 이러한 영상을 퍼뜨리지 못하게 막는 것 또한 중요합니다. 딥페이크의 순기능을 강화하면서 긍정적인 사례로 활용한다면 예술, 의료 등 다양한 분야에서 혁신적인 변화를 가져올 수 있을 것입니다. 딥페이크 기술을 악용하는 사례는 엄중히 처벌하고, 긍정적으로 활용할 수 있는 방안을 더 모색해보는 것은 어떨까요?
-
- 24.10.11
-
IT·보안
9월 15일, 강화된 개인정보 안전성 확보조치 시행
지난해 9월 개인정보보호법 시행령과 개인정보의 안전성 확보조치기준의 개정안이 시행되었습니다. 23년도 개정안에서는 정보주체의 권리 확대, 불합리한 동의제도 완화 등 국민의 권리를 실질적으로 보장하기 위한 제도들이 개선되었습니다. 기존에 개인정보처리자와 개인정보의 기술적·관리적 보호조치 기준에 따른 정보통신서비스 제공자를 별도로 구분하였으나 개인정보처리자로 통합되기도 했습니다. 또한 온·오프라인 사업자에게 각각 다르게 적용되었던 개인정보 안전조치 기준을 일원화하여 모든 개인정보처리자를 대상으로 적용하게 되었습니다. 그러나 확대 적용되는 대상자에게는 1년간 적용을 유예하여 9월 15일, 강화된 개인정보 안전성 확보조치가 시행될 예정입니다.이번 개인정보 안전성 확보조치 기준 시행으로 인해 주요 개인정보 처리시스템을 보유·운영하고 있는 정부부처와 산하 공공기관은 기존 안전조치 의무 이외에 추가적인 안전조치 의무를 준수해야 합니다. 공공분야의 개인정보보호 의무 강화주요 개인정보를 대량으로 보유하고 있는 공공기관에서는 개인정보 유출사고가 발생할 경우 큰 피해로 이어질 수 있습니다. 개정된 개인정보 안전성 확보조치 기준에는 공공기관의 개인정보 유출을 방지하기 위한 내용들이 담겨있습니다.개인정보 보유량 100만건 이상, 개인정보 취급자 200명 이상, 민감·고유식별정보 등을 처리하는 공공시스템을 운영하는 주요 공공기관은 개인정보보호 책임자 외에도 해당 시스템별로 개인정보보호 책임자를 추가로 두어야 합니다. 또한 인사정보 자동연계를 통해 권한 없는 자의 시스템 접근을 원천 차단하는 조치를 취해야 합니다. 계정별 이용 권한은 업무 분장에 맞게 최소한으로 부여할 수 있도록 하였으며, 접속기록에 대한 점검 강화 등 추가적인 안전조치 의무를 수행해야 합니다. 이외에도 공무원이 개인정보 고의 유출 또는 부정 이용으로 국민에게 중대한 2차 피해를 야기할 경우 한번이라도 바로 파면·해임 가능하도록 하였으며, 형사처벌도 가능하게 하였습니다. 또한 개인정보 보호 전담인력 및 시스템을 확충하도록 하여 공공기관에서 개인정보보호를 위한 노력들이 적극적으로 이어질 것으로 예상됩니다.강화된 개인정보 안전성 확보조치개인정보 안전성 확보조치 기준에서는 공공기관·오프라인 개인정보처리자에게만 적용되었던 사항들이 전체 개인정보처리자로 확대 적용되었습니다.특히 일정 횟수 이상 인증 실패시 개인정보처리시스템 접근을 제한하는 것과, 개인정보처리시스템 접속기록 월 1회 이상 점검 의무가 전체 개인정보처리자로 확대되어 모든 개인정보 처리자들의 주의가 필요합니다. 제5조 (접근권한의 관리)6. 개인정보처리자는 권한 있는 개인정보취급자만이 개인정보처리시스템에 접근할 수 있도록 계정정보 또는 비밀번호를 일정 횟수 이상 잘못 입력한 경우 개인정보처리시스템에 대한 접근을 제한하는 등 필요한 기술적 조치를 하여야 한다. 제8조 (접속기록의 보관 및 점검)2. 개인정보처리자는 개인정보의 오·남용, 분실·도난·유출·위조·변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 월1회 이상 점검하여야 한다. 특히 개인정보를 다운로드한 것이 발견되었을 경우에는 내부관리계획으로 정하는 바에 따라 그 사유를 반드시 확인하여야 한다. 또한 그동안 정보통신서비스 제공자에게만 적용되었던 인터넷망 구간으로 개인정보 전송 시 안전한 암호화 조치 의무와 개인정보가 포함된 인쇄물, 복사된 외부 저장매체 등을 안전하게 관리하기 위한 보호조치 마련 의무가 개인정보처리자에게 적용되었습니다. 제7조 (개인정보의 암호화)4. 개인정보처리자가 내부망에 고유식별정보를 저장하는 경우에는 다음 각 호의 기준에 따라 암호화의 적용여부 및 적용범위를 정하여 시행할 수 있다. 1. 법 제33조에 따른 개인정보 영향평가의 대상이 되는 공공기관의 경우에는 해당 개인정보 영향평가의 결과 2. 암호화 미적용시 위험도 분석에 따른 결과 제12조 (재해·재난 대비 안전조치)2. 개인정보처리자는 재해·재난 발생 시 개인정보처리시스템 백업 및 복구를 위한 계획을 마련하여야 한다. 이외에도 암호키관리 절차 수립·시행 및 재해·재난 대비 위기대응 매뉴얼 마련 및 개인정보처리시스템 백업·복구 계획을 포함하는 안전조치 등의 의무가 10만명이상의 개인정보를 처리하는 대기업·공공기관, 100만명 이상의 개인정보를 처리하는 중소기업의 개인정보처리자에게 적용됩니다. 신시웨이의 DB보안 솔루션 이처럼 전체 개인정보처리자로 대상이 확대됨에 따라 개인정보를 취급하는 기업에서는 의무규정을 위반하지 않도록 철저하게 대비해야 합니다. 신시웨이의 DB접근제어 솔루션 페트라(PETRA)와 DB암호화 솔루션 페트라 사이퍼(PETRA CIPHER)를 통해 기업에서는 개인정보보호법 등 관련 법률에 대비할 수 있습니다. DB접근제어 솔루션 페트라(PETRA)는 DB에 대한 불법적인 차단을 막고 데이터를 안전하게보호하여 개인정보보호법과 개인정보의 안전성 확보조치기준에 대비할 수 있는 솔루션입니다. 페트라는 DB사용자 인증, SQL데이터 마스킹, 완벽한 감사 및 로그관리 등의 차별화된 기능과 성능으로 완벽한 DB접근제어 통제를 제공합니다. 또한 다양한 환경에서의 최적화된 구성을 위해 Gateway, Sniffing, Agent, Hybrid 방식을 지원하며, 내부 업무 환경 변화에 따라 구성 변경을 지원합니다.[DB접근제어 솔루션 페트라(PETRA)]개인정보의 안전성 확보조치기준 제7조에서는 개인정보처리자의 개인정보의 암호화 의무에 대해 정의하고 있습니다. 신시웨이의 DB암호화 솔루션 페트라 사이퍼(PETRA CIPHER)는 기업이 보유한 개인정보를 다양한 방식으로 암호화하여 안전하게 보호하고, 이를 통해 법적 신뢰수준을 향상시킬 수 있는 솔루션입니다.[DB암호화 솔루션 페트라사이퍼(PETRA CIPHER) Plug - In방식][DB암호화 솔루션 페트라사이퍼(PETRA CIPHER) API방식]기업과 기관들은 보안 강화와 함께 안정적인 서비스와 성능을 고려하고 있습니다. 플러그 인 방식은 프로그램의 소스코드 변경을 최소화할 수 있다는 장점을 갖고는 있지만 데이터베이스 안에서 많은 절차를 거치기 때문에 API 방식 암복호화 속도가 느리고 관리 요소도 증가하게 되며, DB서버의 리소스를 사용하기 때문에 안정적인 서비스 운영을 고려하여 현재 플러그 인 방식은 많이 사용하지 않는 추세입니다. 따라서 암호화 구축에는 인프라 환경과 서비스 환경을 고려하여 각각의 방법(Pulg-in, SQL API, Language API, Hybrid)에 맞게 구축하는 것이 무엇보다 중요합니다. 개인정보 유·노출 사고 등 기업에서 발생한 보안사고 관련 뉴스를 종종 접할 수 있습니다. 개인정보 유·노출 사고로 인해 기업들은 수많은 과태료 혹은 과징금을 부과하게 되기도 합니다. 특히 공공기관이나 금융기관 등 다량의 개인정보를 처리하는 기업은 개인정보를 안전하게 보호하기 위한 기술적 조치가 필요합니다. 신시웨이의 DB보안 솔루션을 통해 소중한 개인정보들을 지켜나갈 수 있습니다.
-
- 24.09.05
-
IT·보안
어려운 개인정보보호법, 사례집으로 쉽게 알아보기
온라인 서비스의 발달로 각종 서비스를 이용하기 위해서는 개인정보의 수집 및 이용에 동의할 수밖에 없습니다. 따라서 개인정보를 수집 및 이용하는 개인정보 처리자와 개인정보를 보유한 사업장에서 개인정보보호법을 준수하는 것이 중요합니다. 또한 개인정보를 제공하는 정보주체도 개인정보를 신중하게 제공해야 합니다. 그러나 잦은 법령 개정과 어려운 법률 내용으로 인해 개인정보보호법을 올바르게 준수하고 있는지 판단하기 어려운 경우가 많습니다. 따라서 개인정보보호위원회에서는 개인정보보호법의 원활한 해석을 돕기 위해 매년 개인정보보호법 해석 사례집을 발간하고 있습니다. 이번 개인정보보호법 해석 사례집에서는 개인정보의 정의, 공공서비스, 민간서비스 등의 분야로 나누어 개인정보보호에 관련한 해석을 돕고 있습니다.정의ID와 결제상품정보가 개인정보에 해당하나요?개인정보보호법에 따른 개인정보의 정의는 다음과 같습니다. 제2조(정의) 이 법에서 사용하는 용어의 뜻은 다음과 같다.가. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보다. 가목 또는 나목을 제1호의2에 따라 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용ㆍ결합 없이는 특정 개인을 알아볼 수 없는 정보(이하 “가명정보”라 한다)제29조(안전조치의무)<개인정보의 안전성 확보조치기준>1. 개인정보처리자는 고유식별정보, 비밀번호, 바이오정보를 정보통신망을 통하여 송신하거나 보조저장매체 등을 통하여 전달하는 경우에는 이를 암호화하여야 한다.5. 개인정보처리자는 제1항, 제2항, 제3항 또는 제4항에 따라 개인정보를 암호화하는 경우 안전한 암호알고리즘으로 암호화하여 저장하여야 한다.민간 사업자민간의 일반회사는 개인정보파일 보유기간을 어떻게 정해야 하나요?민간기업은 공공기관과 달리 개인정보파일 보유기간을 별도로 규정하지 않고 있습니다. 개인정보보호법 제16조에 따라 수집목적에 필요한 최소한으로만 보유기간을 정하며, 입증책임은 개인정보처리자에게 있습니다.사례집에서는 아래와 같은 대표적인 사례를 참고사항으로 제시하고 있습니다.1. 홈페이지 회원가입의 경우 해당 사업자, 단체 회원탈퇴 시까지2. 홈페이지 이용과정에서 채권, 채무관계가 발생한 경우 해당 채권 채무관계 정산 시까지3. 재화 또는 서비스 제공의 경우 재화 또는 서비스 공급완료, 요금결제, 정산완료 시까지4. 관계 법령 위반에 따른 수사, 조사 등이 진행 중인 경우에는 해당 수사, 조사 등의 종료 시까지5. 「전자상거래 등에서의 소비자 보호에 관한 법률 시행령」 제6조 제1항에 따라 표시·광고에 관한 기록은 6개월, 소비자의 불만 또는 분쟁처리에 관한 기록은 3년, 계약 또는 청약철회, 대금결제, 재화 등의 공급기록은 5년 보존회원가입에 필요한 개인정보를 동의 없이 수집해도 되나요?기존의 개인정보보호법에서는 법에서 정한 특별한 경우를 제외하고는 정보주체의 동의를 얻은 경우에만 개인정보를 수집·이용할 수 있도록 규정하고 있어 대부분의 사업자는 이용자에게 동의를 받고 개인정보를 처리하고 있었습니다. 대부분의 경우 동의가 필요했기 때문에 이용자는 이에 대한 피로감을 느낄 수 있었습니다.그러나 개정된 개인정보보호법에서는 제 15조가 아래와 같이 개정되었습니다.4. 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우개정 전 개인정보보호법에서는 ‘불가피하게 필요한 경우’에만 정보주체의 동의없이 처리가 가능했습니다. 개정된 개인정보보호법에서는 이러한 단서를 삭제하여 계약 체결 및 이행을 위한 경우에는 동의를 받지 않고 개인정보의 수집 및 이용이 가능해졌습니다. 이처럼 개인정보보호법은 정보주체의 개인정보를 보호하기 위한 법이지만 올바르게 이해하지 못한다면 법을 올바르게 지키기가 어려울 것입니다. 사례집을 통해 개인정보보호법에 대한 어려움을 해소하고 정보주체와 개인정보처리자 모두 개인정보보호법을 준수할 수 있을 것입니다. 보다 많은 개인정보보호법 사례는 개인정보보호위원회 홈페이지에 기재된 개인정보보호법 해석 사례집(https://url.kr/z683ec)에서 확인하실 수 있습니다.출처 및 참고자료개인정보보호위원회, 개인정보보호법 해석 사례집
-
- 24.08.05