2025.04.04 금요일
검색
'보안 취약점' 검색결과
기간검색
-
~
검색영역
검색어
-
국내 최대 해킹 컨퍼런스 '닷핵 2025' 4월 코엑스서 개최 [이코노믹데일리] 국내외 사이버 보안 전문가들이 한자리에 모여 최신 기술과 정보를 공유하는 ‘닷핵 컨퍼런스 2025(.HACK Conference 2025, 이하 닷핵 2025)’가 내년 4월 8일(화)부터 9일(수)까지 서울 코엑스에서 성대하게 개최된다. 사단법인 프로젝트 플라즈마가 주최하고 두나무, 티오리, 네이버, 광운대학교가 후원하는 이번 ‘닷핵 2025’는 올해 2회째를 맞이하며 ‘Hack the Future, No Limits’라는 주제 아래 미래 보안 위협에 대한 심도 깊은 논의를 펼칠 예정이다. 행사 첫날인 4월 8일에는 총상금 1400만원 규모의 ‘드림핵 해킹방어대회(Dreamhack Invitational)’가 열려 국내 최고 수준의 해커들이 실력을 겨루는 장이 마련된다. 이어 9일에는 기조강연을 시작으로 다양한 분야의 컨퍼런스 세션이 진행된다. 컨퍼런스 둘째 날의 막을 여는 기조강연은 고려대학교 이상근 교수가 맡아 ‘Do not Disturb: Hacked AI vs. Secure AI’라는 주제로 인공지능(AI) 시대의 보안 위협과 대응 방안에 대한 심도 있는 발표를 진행한다. 이 외에도 ‘닷핵 2025’는 △기술 세션(Tech Session) △실패 공유 세션(Lessons Learned Session) △주니어 세션(Junior Session) △직무 소개 세션(Career Session) △패널 토론(Fireside Chat) 등 다채로운 프로그램으로 구성되어 참가자들에게 폭넓은 지식과 경험을 제공할 예정이다. 특히 ‘기술 세션(Tech Session)’에서는 LLM(대규모 언어 모델) 보안, 취약점 분석 자동화, 클라우드 보안, 리눅스 커널 보안, 보안 컴플라이언스 등 최신 보안 트렌드를 망라하는 전문가들의 깊이 있는 발표가 예정되어 있다. 또한 특별 세션으로 마련된 ‘패널 토론(Fireside Chat)’에서는 최근 금융권의 뜨거운 감자인 ‘금융권 망분리 규제 개선에 따른 보안 리스크 관리’를 주제로 법조계, 금융계, 학계 전문가들이 참여하여 열띤 토론을 벌일 것으로 기대된다. 행사 기간 동안 진행되는 ‘드림핵 해킹방어대회(Dreamhack Invitational)’는 국내 최정상 해커 30명이 참가하여 개인전 방식으로 진행되며 총 1400만원의 상금을 놓고 치열한 경쟁을 펼칠 예정이다. ‘닷핵(.HACK)’이라는 행사 명칭은 인터넷의 기본 구조인 도메인과 IP 주소를 구성하는 ‘dot(점)’과 ‘hack(해킹)’을 결합하여 사이버 보안의 중요성을 강조하고자 만들어졌다. 네트워크에 ‘dot(점)’이 늘어날수록 사이버 보안의 중요성이 더욱 커지는 것처럼 ‘닷핵 2025’는 끊임없이 변화하는 사이버 위협 환경 속에서 보안 전문가들의 통찰력과 도전 정신을 고취하는 무대가 될 것으로 보인다.2025-03-24 09:12:52
-
개인정보위, 모두투어, '웹셸 공격'에 306만명 정보 '줄줄'…과징금 7.5억 '철퇴' [이코노믹데일리] 개인정보보호위원회가 개인정보보호 법규를 위반한 모두투어네트워크에 역대급 '철퇴'를 내렸다. 모두투어가 웹사이트 파일 업로드 과정의 보안 취약점을 악용한 해커의 공격에 306만명이 넘는 고객 개인정보를 유출, 개인정보위로부터 과징금 7억4700만원과 과태료 1020만원, 공표 명령 및 개선 권고 처분을 받았다. 개인정보위에 따르면 신원 미상의 해커는 지난해 6월 모두투어네트워크 웹페이지의 파일 업로드 취약점을 파고들어 다수의 웹셸 파일을 무단으로 업로드했다. 웹셸 공격은 웹사이트의 파일 업로드 기능 취약점을 악용, 악성코드를 삽입·실행하여 관리자 권한을 탈취하고 개인정보를 빼내는 대표적인 해킹 수법이다. 해커는 웹셸 공격을 통해 고객 정보 데이터베이스(DB)에 침투, 회원 및 비회원 총 306만3285명의 개인정보를 탈취하는 데 성공했다. 유출된 개인정보는 한글 이름, 영문 이름, 생년월일, 성별, 휴대전화번호 등 민감 정보가 대거 포함됐다. 개인정보위 조사 결과 모두투어는 웹셸 공격을 막기 위해 파일 확장자 검증, 실행 권한 제한 등 보안 취약점 점검 및 예방 조치를 제대로 이행하지 않은 것으로 드러났다. 또한 개인정보 유출 시도 탐지 및 대응을 위한 접근 통제 시스템 역시 미흡했던 것으로 밝혀졌다. 더욱 심각한 문제는 모두투어가 2013년 3월부터 수집한 비회원 개인정보 316만여 건(중복 포함)을 법정 보유 기간이 지났음에도 불구하고 파기하지 않고 장기간 보관, 이번 대규모 개인정보 유출 피해를 키웠다는 점이다. 개인정보위는 모두투어가 지난해 7월 개인정보 유출 사실을 인지하고도 정당한 사유 없이 2개월이나 지난 9월에야 피해 사실을 고객에게 통지한 점도 문제 삼았다. 늑장 대응으로 인해 2차 피해 확산 및 고객 불안을 가중시켰다는 지적이다. 개인정보위는 "이번 모두투어 개인정보 유출 사고의 주요 원인인 웹셸 공격은 이미 널리 알려진 웹 취약점 공격"이라며 "DB 접근 권한 탈취를 통해 심각한 피해를 초래할 수 있는 만큼 기업들은 웹셸 공격을 포함한 개인정보 탈취 위협에 대한 사전 탐지 및 차단 정책 강화, 파일 업로드 취약점 점검 및 조치 등 보안 강화에 만전을 기해야 한다"고 강력히 경고했다. 이번 개인정보위의 과징금 및 과태료 부과는 모두투어의 허술한 개인정보 관리 실태에 대한 강력한 경고 메시지로 풀이된다. 모두투어는 이번 처분을 계기로 개인정보 보호 시스템을 전면 재점검하고 재발 방지를 위한 특단의 대책 마련에 나서야 할 것으로 보인다.2025-03-13 14:07:21
-
에스코어, 오픈소스 국제 표준 ISO/IEC 5230 인증 획득…신뢰성 UP [이코노믹데일리] IT 컨설팅 및 소프트웨어 기술 서비스 전문 기업 에스코어(대표 김장현)가 오픈소스 컴플라이언스 국제 표준인 ‘ISO/IEC 5230:2020’ 인증을 획득했다고 27일 발표했다. 이번 인증 획득은 에스코어가 국제 표준에 부합하는 오픈소스 관리 체계를 구축했음을 공식적으로 인정받은 것으로 고객에게 더욱 신뢰받는 기업으로 발돋움하는 계기가 될 전망이다. ISO/IEC 5230:2020은 국제표준화기구(ISO)와 국제전기기술위원회(IEC)가 공동 제정한 국제 표준으로 오픈체인(OpenChain) 프로젝트에서 개발한 오픈소스 라이선스 준수 관련 기준이다. 기업이 오픈소스를 안전하게 활용하기 위한 관리 체계 정립을 목표로 하며 인증 획득은 기업의 오픈소스 관리 능력을 객관적으로 입증하는 지표로 활용된다. 에스코어는 이번 인증을 통해 고객 및 협력사에 신뢰성 높은 오픈소스 거버넌스를 제공할 수 있는 역량을 입증하며 IT 컨설팅 및 소프트웨어 기술 서비스 분야에서의 전문성을 더욱 강화했다. 에스코어는 오픈소스 소프트웨어 활용 증가 추세에 발맞춰 선제적으로 오픈소스 관리 체계를 강화해왔다. 기업의 법적 리스크를 최소화하고 안전한 소프트웨어 개발 환경을 조성하기 위한 노력의 일환이다. 특히 에스코어는 오픈소스 기반 구축 및 개발 역량을 바탕으로 전문 조직을 운영하며 △오픈소스 도입 및 전환 마이그레이션 △오픈소스 활용 전문 기술 서비스 △오픈소스 거버넌스 컨설팅 등 고객 맞춤형 원스톱 서비스를 제공하고 있다. 서성한 에스코어 오픈소스사업부 사업부장은 “오픈소스 소프트웨어는 이미 전 산업 분야에서 필수적인 요소로 자리매김했다”며 “이번 오픈체인 인증 획득을 통해 에스코어가 보유한 오픈소스 전 영역에 대한 노하우를 적극적으로 공유하고 기업 및 개발자들이 더욱 안전하고 효율적으로 오픈소스를 활용할 수 있도록 지원하여 오픈소스 생태계 발전에 기여하겠다”고 밝혔다. 에스코어는 향후 오픈소스 보안 관리 강화를 위한 ‘ISO/IEC 18974:2023’ 인증 취득도 추진할 계획이다. 오픈소스 보안 취약점 관리 역량을 더욱 강화하고 오픈소스 활용이 확대되는 글로벌 시장에서 경쟁 우위를 확보한다는 전략이다. 이번 ISO/IEC 5230 인증 획득은 에스코어가 글로벌 시장에서 경쟁력을 강화하고 오픈소스 기반 IT 서비스 선도 기업으로 도약하는 중요한 발판이 될 것으로 기대된다.2025-02-27 13:28:41
-
LG유플러스, MWC서 자체 개발 AI '익시젠'… 글로벌 무대서 'AI 보안' 자신감 과시 [이코노믹데일리] LG유플러스가 자체 개발한 인공지능(AI) 모델 ‘익시젠(ixi-GEN)’의 강력한 보안 및 신뢰성을 글로벌 무대에서 검증받는다. LG유플러스는 내달 스페인 바르셀로나에서 열리는 MWC(모바일월드콩그레스) 2025 기간 중 세계이동통신사업자연합회(GSMA)가 주관하는 ‘레드팀 챌린지(Red Team Challenge)’에 참여한다고 20일 밝혔다. ‘레드팀 챌린지’는 GSMA가 주최하는 권위 있는 AI 검증 대회로 전 세계 통신사들이 개발한 AI 모델의 안전성과 신뢰성을 객관적으로 평가하는 것을 목표로 한다. MWC25 현장에서 진행될 예정인 이번 챌린지에는 80명에서 100명에 달하는 대규모 평가단이 ‘해커’ 역할을 수행하며 AI 모델의 △편향성(Bias) △환각(Hallucination) △기타 보안 취약점 등을 집중적으로 파고든다. 자체 개발 AI 모델의 보안 및 안정성에 대한 확고한 자신감이 있는 기업만이 ‘레드팀 챌린지’에 참여하는 것이 일반적이다. 챌린지 과정에서 AI의 취약점이 노출될 수 있는 위험을 감수하면서까지 참여하는 것은 그만큼 자사 AI 모델의 기술력과 안전성에 대한 확신이 있다는 방증이다. 평가단이 발견한 취약점은 심사위원단의 엄정한 평가를 거쳐 점수화되며 최종 결과는 외부에 공개되지 않는다. LG유플러스는 LG AI연구원의 ‘엑사원(EXAONE)’을 기반으로 자체 제작한 소형언어모델(sLLM) ‘익시젠(ixi-GEN powered by EXAONE)’으로 이번 챌린지에 당당히 도전장을 던졌다. ‘익시젠’은 LG유플러스가 지난해 공개한 통신 특화 AI 모델로 LG AI연구원의 초거대 AI ‘엑사원’을 기반으로 통신 및 플랫폼 데이터를 심층 학습하여 탄생했다. 현재 LG유플러스는 ‘익시젠’을 네트워크(NW) 업무 에이전트, 챗 에이전트, 모바일 매장 어드바이저 등 다양한 AI 서비스에 적용하며 AI 혁신을 가속화하고 있다. 이번 ‘레드팀 챌린지’ 참여를 통해 LG유플러스는 자체 AI 모델 ‘익시젠’의 뛰어난 성능과 견고한 안전성을 글로벌 시장에 널리 알리고 챌린지 과정에서 발견될 수 있는 잠재적 취약점을 보완하여 AI 모델을 한층 더 고도화한다는 계획이다. 한편 LG유플러스의 선도적인 AI 기술력은 이미 GSMA의 공식 보고서를 통해 인정받았다. GSMA가 MWC25에 앞서 발간할 예정인 ‘Telco AI: State of the Market’ 리포트에는 LG유플러스의 AI 솔루션 ‘익시오(ixiO)’와 ‘익시젠’ 기반 ‘업무 에이전트’의 혁신적인 기능과 성과를 상세히 소개하는 내용이 담길 예정이다. 리포트는 ‘익시오’의 핵심 기능인 △AI 통화 응답 △실시간 채팅 △보이스피싱 탐지 기능과 ‘업무 에이전트’의 네트워크 운영 자동화 및 딥러닝 기반 유지보수 기능 등을 중점적으로 다룰 것으로 알려졌다. 이혜진 LG유플러스 기술전략담당은 “고객이 안심하고 신뢰할 수 있는 AI 서비스를 제공하기 위해 글로벌 통신 사업자들이 참여하는 ‘레드팀 챌린지’ 참여를 결정했다”며 “향후에도 글로벌 최고 수준의 보안 역량을 확보하기 위해 LG AI연구원과 긴밀히 협력하여 ‘익시젠’을 지속적으로 발전시켜 나갈 것”이라고 강조했다.2025-02-20 11:27:02
-
과기정통부, 정보보호산업 지원센터 '확대 개편' [이코노믹데일리] 과학기술정보통신부(과기정통부)가 국내 정보보호 및 물리보안 산업 육성을 위해 정보보호산업 지원센터를 대폭 확대 개편한다고 19일 밝혔다. 한국인터넷진흥원(KISA)과 협력하여 진행되는 이번 개편은 정보보호 기업들의 기술 경쟁력 강화에 초점을 맞추고 있다. 이번에 새롭게 문을 연 정보보호산업 지원센터는 그동안 고가의 시험 장비 및 테스트 환경 부족으로 어려움을 겪던 영세 정보보호 기업과 연구기관을 지원해왔다. 센터는 고성능 시험 장비, 맞춤형 테스트 환경, 기술 컨설팅 및 교육 등을 무상으로 제공하며 정보보호 업계의 성장을 뒷받침해왔다. 센터 이용 기업은 국내 정보보호 기업의 약 10%인 150여 개사에 달할 정도로 수요가 높았으나 제한적인 시험 공간, 장비 부족, 시설 노후화 등으로 인해 기업들의 불편함이 꾸준히 제기되어 왔다. 특히 시험 공간 부족으로 인한 예약 대기 시간 증가는 기업들의 애로사항으로 지적됐다. 이에 과기정통부는 정보보호 기업들의 의견을 수렴하여 테스트랩을 기존 8실에서 18실로 대폭 확대하고 시험 장비 확충, 서버 가상화 환경 구축, 노후 시설 개선 등 대대적인 시설 고도화 사업을 2024년 하반기에 완료했다. 정보보호 분야 테스트랩은 6실에서 12실로 물리보안 분야 전용 랩실은 2실에서 6실로 각각 증설되었다. 더불어 시간과 장소에 제약 없이 시험 장비를 이용할 수 있도록 테스트 환경 가상화 시스템을 구축하고 가상화 기반의 제품 성능 측정 장비를 추가 도입하여 센터 자원의 효율성을 극대화하고 기업들의 이용 편의성을 높였다. 한편 정보보호산업 지원센터는 국내 기업 전반의 보안 수준 강화를 위해 정보보호 점검 서비스도 확대 제공한다. 기존 정보보호 기업뿐만 아니라 일반 소프트웨어 개발 기업 등 타 분야 기업도 센터의 점검 서비스를 이용할 수 있게 된다. 특히 소프트웨어 개발 단계부터 보안 취약점을 제거할 수 있도록 보안 취약점 진단 도구, 소프트웨어 공급망 보안 대응 도구 등을 새롭게 도입하여 제품 개발 전 과정에 걸친 보안 강화 체계를 구축했다. 과기정통부는 소프트웨어 관련 협단체와의 협력을 통해 다양한 기업들이 센터 시설을 활용하여 제품 보안성을 강화할 수 있도록 적극적으로 홍보할 계획이다. 과기정통부는 이번 센터 고도화를 통해 정보보호 기업들의 제품 개발 및 테스트에 소요되는 비용과 시간을 획기적으로 절감하고 센터 이용 기업 수도 2배 이상 증가할 것으로 기대하고 있다. 강도현 과기정통부 제2차관은 “정보보호산업지원센터는 그동안 국내 정보보호 기업 성장에 핵심적인 역할을 수행해왔으나 시설 노후화로 인해 기업들의 불편이 있었다”며 “새롭게 단장한 정보보호산업지원센터를 통해 우리 기업들이 기술 경쟁력을 더욱 강화하고 글로벌 정보보호 시장을 선도하는 유니콘 기업으로 성장해 나가기를 바란다”고 밝혔다.2025-02-20 10:53:57
많이 본 뉴스
영상
Youtube 바로가기
![[기자수첩] 손바닥으로 하늘 가리는 GM](https://image.ajunews.com/content/image/2025/03/20/20250320182759531950_518_323.jpg)