상조회사 보람상조가 개인정보 유출 사고로 과징금을 부과받았다. 개인정보보호위원회는 13일 전체회의를 열고 개인정보보호법규 위반 혐의로 보람상조개발 등 보람상조 7개 사업자에 대해 과징금 5억 4250만원과 과태료 1140만원을 부과했다고 14일 밝혔다. 7개 사업자는 보람상조개발(주), 보람상조리더스(주), 보람상조라이프(주), 보람상조피플(주), 보람상조애니콜(주), 보람상조실로암(주), 보람상조플러스(주)다. 해커는 보람상조 홈페이지 취약점을 이용해 지난 2024년 5월 데이터베이스에서 아이디와 비밀번호, 이름, 이메일 등 개인정보 2만 7882건을 빼갔다. 조사 결과 보람상조개발은 다른 6개 계열사로부터 온라인 고객 상담 등 고객관계관리(CRM) 업무를 위탁받아 수행하면서 홈페이지를 통해 수집된 개인정보를 통합 관리하는 데이터베이스를 운영해 왔다. 그러나 데이터베이스에 대한 접근제어 등 안전성 확보 조치는 소홀히했다. 해커는 웹 애플리케이션상 보안 취약점을 이용해 악의적인 SQL 구문을 입력하는 ‘에스큐엘 인젝션(SQL Injection)’ 공격을 해 개인정보를 탈취했다. 개인정보위는 보람상조개발이 유출 사실 인지 후 법정 기한이 지나 뒤늦게 관계당국에 신고했으며, 보유 기간이 지난 개인정보를 파기하지 않은 사실도 고려해 과징금을 부과했다. 개인정보위 관계자는 “계열회사 등 다수 기업이 관련된 복잡한 개인정보 처리 환경에서 개인정보 처리가 불투명하게 운영될 경우 보안 사각지대가 발생할 수 있다”고 경고했다.

서버 94대·악성코드 103종 감염문자·통화 내용까지 유출될 위험정부, 전 이용자 위약금 면제 요구KT, 오늘 고객 보상안 논의 예정‘서버 폐기 정황’ LGU+ 경찰 수사 정부가 지난 9월 공개된 KT 해킹 사건의 최종 조사 결과를 29일 발표하며 전 이용자를 대상으로 중도 해지 위약금을 전액 면제하라고 요구했다. KT는 “고객 보상안을 조속히 발표하겠다”고 밝혔다. 과학기술정보통신부가 이날 발표한 ‘KT 침해 사고 최종 조사 결과’에 따르면 KT 서버 3만 3000대를 점검한 결과 서버 94대가 BPF도어, 루트킷, 분산 서비스 거부(디도스) 공격형 코드 등 악성코드 103종에 감염된 것으로 확인됐다. 앞서 역대급 통신사 해킹 사건이 일어났다던 SK텔레콤은 28대 서버에서 BPF도어 계열 27종을 포함해 모두 33종의 악성코드 감염이 확인됐다. SKT보다 KT의 감염 범위가 더 광범위했던 것이다. 다만 개인정보 유출 규모 측면에선 SKT 2300만명, KT 2만 2000여명으로 SKT가 압도적으로 컸다. 서버 감염과 별도로 불법 초소형 기지국(펨토셀)이 통신망에 무단 접속해 국제이동가입자식별정보(IMSI), 국제단말기식별번호(IMEI), 전화번호가 유출된 이용자는 2만 2227명, 무단 소액결제 피해자는 368명, 피해액은 2억 4300만원으로 중간 조사 결과와 같았다. 민관합동조사단은 경찰이 무단 소액결제범들로부터 확보한 불법 펨토셀을 포렌식 분석한 결과 결제 인증 정보가 탈취된 사실을 파악하는 한편 이용자의 문자메시지와 통화 내용까지 빼내는 것이 가능하다는 점을 확인했다. 조사단은 “KT의 펨토셀 관리 체계가 전반적으로 부실해 불법 펨토셀이 KT 내부망에 언제 어디서든 접속할 수 있었다”면서 “인증 서버 IP의 주기적 변경과 대외비 관리 등 보안 관리 개선책을 마련하라”고 요구했다. 과기정통부는 문자메시지와 음성 통화가 제삼자에게 새 나갈 위험성은 소액결제 피해를 본 일부 이용자에 국한된 것이 아닌 전체 이용자에 해당한다고 판단하고, KT 측에 모든 이용자를 대상으로 위약금을 면제할 것을 주문했다. KT는 30일 이사회를 열고 위약금 면제 범위와 고객 보상안을 논의해 발표할 예정이다. 한편 LG유플러스는 허위 자료 제출과 서버 폐기 정황이 드러나 경찰 수사를 받게 됐다. 조사단은 통합 서버 접근제어 솔루션(APPM)과 연결된 정보가 유출된 것을 확인했으나, 익명 제보자가 제공한 자료와 회사가 제출한 자료가 서로 달랐다. 여기에 서버 운영체계(OS)를 폐기한 정황까지 드러나 조사단은 LG유플러스를 공무집행방해 혐의로 경찰에 수사를 의뢰했다.

전북대학교가 120억원을 투입해 대규모 정보화 혁신 프로젝트에 돌입한다. ‘With AI 시대’를 선언하고 학사와 행정, 포털, 모바일 서비스 등 대학 운영 전반에 AI를 도입하겠다는 취지다. 전북대는 16일 대학 구성원들이 참석한 가운데 ‘차세대 통합정보시스템 1단계 구축 사업 착수보고회’를 개최했다고 밝혔다. 차세대 통합정보시스템은 룰 기반 학사행정시스템 및 유연한 인프라 구축, 정보보호 강화, 학생 편의 강화한 비교과 통합관리 및 모바일 이용 시스템 구축 등에 AI를 접목하는 게 목적이다. 전북대 양오봉 총장은 취임 이후 ‘The Best AI University’라는 비전과 함께 ▲All Digital ▲Data Driven ▲Intelligent Service ▲Cloud First ▲Trusted System 등의 5대 목표를 통한 정보화 분야의 담대한 혁신을 약속했다. 지난 15년간 사용해 온 노후 정보시스템으로는 급변하는 교육 환경에 효과적으로 대응할 수 없다는 판단에서다. 이에 전북대는 정보혁신처를 중심으로 시스템 구축을 기획했고, 지난해 정보화전략계획(ISP) 수립 사업을 완료해 정보화 중장기 비전 및 단계적 실행 방안을 마련하는 등 이번 사업을 위해 준비에 나섰다. 착수보고회에서 양 총장은 “인공지능과 빅데이터 등 최신 기술이 빠르게 발전하는 시대에 정보화 분야 혁신을 이루기 위해선 ‘새 포도주는 새 부대에 담아야 한다’는 말처럼 새로운 정보시스템 구축이 필요하다”고 강조했다. 전북대는 이번 프로젝트를 통해 데이터 표준관리체계를 수립하고 메타데이터관리시스템을 구축해 통합정보시스템의 데이터를 표준화할 방침이다. 또 학사 업무 전반을 처리하는 학사정보서비스도 개발하고, 학생들이 본인의 비교과 활동 내역을 한 번에 조회할 수 있도록 부서별로 분산된 비교과 데이터도 통합할 예정이다. 아울러 전북대는 국립대 최초로 룰 기반의 업무 규칙 관리 솔루션을 적용하고, 정보보안 강화를 위해 차세대 방화벽시스템 및 네트워크 위협탐지 솔루션을 도입하고, 개인정보보호를 위해 데이터암호화 솔루션, 2단계 인증 솔루션, 데이터베이스 접근제어 솔루션, DB이력관리 솔루션 등도 적극 도입하기로 했다. 양오봉 총장은 “차세대 통합정보 시스템 구축 사업은 전북대가 글로컬대학에 걸맞게 한 단계 더 도약하는 중요한 전환점이 될 것”이라며 “학생과 교직원 모두 더욱 편리하고 효율적으로 이용할 수 있는 환경을 조성하고, 대학의 글로벌 경쟁력을 강화하는 데 크게 기여할 것으로 기대한다”고 밝혔다.

금융감독원이 은행연합회, 국내은행과 함께 금융사고 예방 및 내부통제 개선을 추진하고 있는 가운데 생체인증 수단 중 얼굴인식 기술 적용 움직임이 활발해지고 있다. 최근 몇 년간 내부 직원에 의한 정보유출 등의 대형 금융사고가 잇따라 발생함에 따라 기존 내부 통제 시스템을 강화하기로 한 것이다. 금융감독원은 지난 해 11월 ‘국내 은행 내부통제 혁신방안’을 발표, 비밀번호를 대체하는 인증방식으로 생체인증 등을 통해 내부 인증 시스템 고도화를 추진하기로 했다. 13일 얼굴인식 AI 전문기업 메사쿠어컴퍼니에 따르면 생체인증 기술은 얼굴, 지문, 장정맥, 홍채 등 개인 고유의 생체특성을 정보화해 본인여부를 확인하는 보안기술이다. 이중 얼굴인식은 타 생체인증과 달리 카메라 외 별도의 인식장치가 필요 없고, 서버에 안전하게 보관된 얼굴정보를 여러 채널에서 활용할 수 있다는 것이 장점이다. 이에 따라 기존 국내 대형은행을 중심으로 얼굴인식 도입 및 검토가 확산되고 있다. 하나은행과 신한은행은 업계에서 국내 최초로 모바일 앱 및 영업점에 얼굴인식 솔루션을 발빠르게 적용했고, 내부 접근 인증수단에도 기 도입 및 오픈 예정이다. 두 은행 모두 메사쿠어컴퍼니의 얼굴인식 엔진을 도입해 적용 중이다. 얼굴인식 인증방식은 카메라가 탑재된 모바일, PC, ATM 등에서 한번의 등록으로 여러 매체에서 활용이 가능해 타 생체인증 수단보다 도입비용이 합리적이다. 또한 직원 출입통제 및 내부 접근제어 등 내부 통제 시스템 등까지 확산이 용이하다는 장점이 있다. 대형은행에서 디지털 혁신의 일환으로 얼굴인식 기술을 적극 도입하면서, 제2금융권과 지방은행까지 빠르게 확산되고 있다. 이와 더불어 최근 ‘e-KYC’(비대면 신원확인) 관련 기술이 각종 신원도용 사고의 예방 및 차단으로 진화하고 있다. 타인의 신분증과 휴대폰을 활용한 신분도용의 허점방지를 위해 신분증 진위여부를 확인하고 사용자의 실제 얼굴과 신분증 사진을 비교하는 방식으로 적용된다. 얼굴인식 AI 전문기업 메사쿠어컴퍼니 관계자는 “세계적인 수준으로 성장해 있는 국내 얼굴인식 기술은 현재 관련분야의 대규모 데이터베이스 확보를 통한 AI학습이 매우 중요한데, 정부차원의 데이터바우처 지원사업도 진행되고 있다. 그러나 더 큰 데이터베이스 확보를 위해서는 다수의 사용자 데이터베이스를 확보한 대형은행 및 공공기관 등에서 얼굴인식 기술을 도입하고 고도화시킬 경우, 국내 관련산업 발전에 긍정적인 영향을 줄 것으로 예상된다”고 밝혔다.

부산항만공사(BPA)는 최근 감천항과 부산항 국제여객터미널에서 최첨단 디지털 항만 안전ㆍ보안 시스템인 ‘3S 보안 허브 플랫폼’의 실증 시험을 수행했다고 5일 밝혔다. 3S 보안 허브 플랫폼은 BPA, 부산대학을 포함한 4개 기관ㆍ기업이 3년에 걸쳐 구축했다. 부산항 인프라 및 데이터에 대한 3S를 강화해 항만의 보안성과 효율성을 증대시키고자 개발됐다. 3S는 보안(Securtiy), 안전(Safety), 보호(Safeguard)를 뜻한다. 주요 기능은 비정상 행동 탐지, 실시간 음영지역 감시, 보안구역 접근제어, 데이터 신뢰성 보장 등이다. 또 항만 내 보안 및 안전사고를 방지하고, 플랫폼 이용자 간 안전한 데이터 교환 지원 등을 포함한다. 이번 테스트에서는 항만구역 모니터링 정확도, 데이터 수집ㆍ분석 능력을 실증하였으며, 위치 추적 오차 범위를 전년 대비 10분의 1수준으로 줄였다. 모니터링 정확도를 크게 향상하는 등 플랫폼의 기능을 강화했다. 앞으로 3S 보안 허브 플랫폼은 사물인터넷(IoT) 인프라 구축 사업, 블록체인 플랫폼 사업 등 타 사업과의 연계해 기능을 강화하고, 적용 범위를 부산항 전체로 확대할 계획이다.

물리·정보 보안 분야 산·학·연 전문가들로 구성된 시큐리티어워드코리아위원회(위원장 최정식)가 주최하고, 보안뉴스·시큐리티월드가 주관한 ‘2018 시큐리티 어워드 코리아(Security Award Korea 2018)’ 시상식이 18일 한국프레스센터 20층 국제회의장에 성황리에 개최됐다. ‘2018 시큐리티 어워드 코리아’는 한 해 동안 탁월한 경영과 우수한 제품 경쟁력을 바탕으로 보안산업 발전에 공로가 큰 유공자와 기술, 제품 및 솔루션을 선정하여 시상함으로써 우리 사회전반에 걸쳐 보안 수준 제고에 기여하기 위해 올해 처음으로 제정됐다. ‘산업발전 공로상’의 경우 보안 관련 법안 추진과 보안산업 발전에 적극 뒷받침한 공로를 인정받아 △노웅래 더불어민주당 의원(국회 과학기술정보방송통신위원회 위원장) △이종걸 더불어민주당 의원(국회 과학기술정보방송통신위원회 위원) △이상민 더불어민주당 의원(국회 과학기술정보방송통신위원회 위원) △정우택 자유한국당 의원(국회 산업통상자원중소벤처기업위원회 위원) △김규환 자유한국당 의원(국회 산업통상자원중소벤처기업위원회 위원) △송희경 자유한국당 의원(국회 과학기술정보방송통신위원회 위원) △이민수 회장(한국정보보호산업협회)이 수상자로 선정되었다. ‘공공부문 대상’의 경우 기업지원, 기술지원, 산업발전, 시장개척, 성과창출, 민원해결 등의 평가 요소를 합산해 수상자를 선정했다. 그 결과, 지자체로는 △서울특별시 △대전광역시가 수상했으며, 공기업에서는 △인천국제공항공사 △부산항보안공사가 공공부문에서의 보안 수요 창출과 보안문화 조성에 기여한 공로를 인정받아 ‘2018 시큐리티 어워드 코리아’ 수상의 영예를 안았다. 기업대상 보안기업 부문에서는 경쟁력, 혁신성, 성장예측, 지속가능성, 기업문화, 고객만족 등의 평가 요소를 합산한 결과, △한화테크윈이 ‘브랜드대상’ △에스원이 ‘산업선도대상’ △ADT캡스가 ‘기업혁신대상’을 각각 수상했으며, 기업대상 일반기업 부문의 경우 CEO, 보안조직/인력, 보안관리/운영, 보안교육/문화, 기타 등의 항목을 평가해 △KB국민은행(은행부문) △아모레퍼시픽(코스메틱부문) △롯데정보통신(SI부문) △코스콤(IT서비스부문) △티몬(소셜커머스부문) △넥슨(게임부문)이 각 부문별 수상자로 선정됐다. 마지막으로 솔루션대상 부문에서는 △아이디스(영상보안 통합솔루션) △HIKVISION KOREA(영상보안 AI솔루션) △Dahua Technology Co., Ltd(영상보안 분석솔루션) △대명코퍼레이션 웹게이트 (DVR) △원우이엔지(줌카메라) △트루엔(IP카메라) △엔토스정보통신(센서카메라) △웨스턴디지털 (스토리지) △쿠도커뮤니케이션(지능형관제) △이노뎁(데이터매니지먼트) △인콘(지능형화재감시) △한국하니웰(스마트빌딩) △코맥스(홈네트워크) △슈프리마(지문인식) △테크스피어(정맥인식) △세환엠에스(시큐리티게이트) △안랩(EDR) △이글루시큐리티(보안관제) △지란지교시큐리티(모바일보안) △지니언스(네트워크접근제어) △위즈코리아(개인정보접속이력관리) △시큐어가드테크놀러지(패스워드관리) △한국쓰리엠(비주얼해킹) △모니터랩(웹방화벽) 등 24개 기업이 각 부문별로 올해 두각을 나타내면서 영예의 ‘솔루션대상’ 기업으로 선정됐다. 시큐리티어워드코리아위원회 최정식 위원장은 “최근 보안 분야는 산업간 경계를 뛰어넘어 다른 영역과 결합하는 추세로 가고 있다”며 “시큐리티 어워드 코리아는 각 산업에 적용되는 보안 기술과 제품 및 솔루션을 발굴·시상함으로써 융합보안의 성공적인 사례를 소개하고, 국내 보안산업에 가치 있는 기업과 기술, 비즈니스를 발굴하는 새로운 플랫폼으로써의 역할을 담당하겠다”고 전했다. 온라인뉴스부 iseoul@seoul.co.kr

16년간 통합인증, 무선인증 분야에서 그 기술력을 인정받아 1만 3천여 고객사를 확보하고 있는 인증 및 보안 솔루션 전문기업 에어큐브(대표 김유진)가 생체인증기능을 추가한 지문OTP, 지문 출입 등록 카드를 출시했다. 2018년에 에어큐브는 FIDO인증 얼라이언스 가입과 함께 제품의 FIDO인증을 획득하였고, 생체인증 분야에 적극 투자하고 있다. 최근에는 필리핀에어라인, 시큐리티 뱅크 등 해외 수출 경로까지 확보해 그 기술력을 인정 받았다. 또한 지난해 FIDO의 보드멤버이며, 미국의 인증분야에 유명기업인 유비코(Yubico) 사와 간편터치 인증 Yubikey 및 HSM(Hardware Security Module) 한국 내 총판계약을 취득해 사업을 진행 중이다. 대만의 지문인식 모듈 개발업체와 공동으로 출시한 지문 OTP는 지문이 맞는 사용자에게만 OTP 키가 발생되도록 개발됐다. 이를 통해 내부 시스템(VPN, 가상화, 클라우드, PC로그인, 서버/네트워크 관리자, 웹로그인 등) 인증 강화용으로 마케팅을 진행하고 있다. 또한 물리보안 영역인 출입증에 지문OTP를 추가하고, NFC, 블루투스 기능이 내장된 지문형 출입증 및 지문OTP를 출시해 에스원, ADT캡스 NSOK, KT텔레캅 등 물리보안 시장에 진출했다. 해당 제품은 출입 시 지문이 맞는 사용자만 출입증을 사용할 수 있고, 회사 내부나 매장 내에서는 지문OTP키를 활용해 POS나 내부 시스템 접속용으로 사용할 수 있다. 현재 보안시장은 커넥티드 Car, 지능형 자율주행차, 빅데이터, IoT, 홈오토메이션 등으로 자동화와 함께 확장되고 있는 추세다. 이에 맞춰 개인의 영역, 집의 영역, 회사영역에 접속/접근 시 사용자를 정확하고 빠르게 인증/접근제어 하는 것이 중요하다. 에어큐브는 추가인증(MFA) 기반의 통합인증 아키텍처를 제품에 구현해 집안, 회사 내, 가입자 내 다양한 서비스들이 인터넷/네트워크 접속을 통해 제공될 수 있도록 노력하고 있다. 온라인뉴스부 iseoul@seoul.co.kr

유해정보차단 및 인터넷사용관리 솔루션 개발기업인 플러스기술㈜(대표 이승석 www.plustech.co.kr)이 18일부터 20일까지 일산 킨텍스(KINTEX)에서 개최하는 전자정부 솔루션 페어 2015(eGISEC 2015)에 참가해 신제품 ‘이워커(eWalker) SSL’을 선보인다. 이번 전시회에서는 주력 상품인 인터넷 접속 관리 솔루션 ‘이워커 시큐리티’와 신규 솔루션인 ‘이워커 SSL’을 중점으로 소개할 예정이다. 이번 전시회를 통해 처음으로 선보이는 ‘이워커 SSL’은 암호화 통신 환경에서 통신 내용에 대한 복호화 기능을 제공해 감시하기 어려운 콘텐츠의 필터링 제약을 제어하는 솔루션이다. ‘이워커 SSL’은 차단, 관리 정책 수립이 용이하며 관리자의 UX를 고려한 화면 구성과 함께 다양한 인터넷 브라우저와 소프트웨어를 지원한다. 그리고 한국어와 영어를 동시에 지원하여 고객의 선택폭을 넓혔다. 이번 전시회 기간 동안 문의하는 기업 중 상담을 통해 ‘이워커 SSL’을 비롯한 신규 솔루션에 대해 무상으로 일정기간 동안 사용해 볼 수 있는 기회도 제공할 예정이다. 온라인뉴스부 iseoul@seoul.co.kr

최근 카드사 정보유출을 비롯해 보안 관리자로 인한 해킹 피해가 속출하면서 ‘직접접근제어’가 화두가 되고 있다. 직접접근제어란 말 그대로 관리자가 보안실에 직접 접근해 수행하는 작업을 제어하여 혹여나 일어날 수 있는 보안 사고를 예방하는 보안 시스템을 말한다. 그동안 기업들의 보안 시스템을 지속적으로 강화했음에도 불구하고 각종 개인정보유출 사고가 끊이지 않는 것은 네트워크를 통한 원격접근에 초점을 맞춰왔기 때문이다. 정작 내부 소행에 의한 직접접근에 대해서는 효율적으로 대응하지 못한 것이다. 이에 보안솔루션 전문기업 ㈜에스엠프로(대표 유재은)와 보안시스템 개발 업체 ㈜비젯(대표 장건)이 선보인 직접접근제어시스템 ‘에스닥(SDAC)’이 눈길을 끌고 있다. 에스닥은 안전행정부의 정부통합전산센터(NCIA)가 ‘e-안시성’ 프로젝트를 통해 구축한 솔루션을 업그레이드한 것으로, 전산실 방문 작업 혹은 콘솔실(컴퓨터나 전자, 통신기기 따위의 각종 스위치를 한곳에 모아 제어할 수 있도록 한 조정용 장치실) 작업과 같이 작업자의 직접접근에 의한 해킹 피해를 막는 데 초점을 맞춘 솔루션이다. 외주인력이 전산실 혹은 콘솔실에서 작업할 때 승인된 작업만 할 수 있도록 작업 내용을 통제하고 작업 내용을 기록하여 피해를 원천적으로 예방하는 기술이다. 관리자가 지정한 보안 정책에 따라 4가지 큰 기능인 작업 승인 관리, 접근 통제 관리, 작업 환경 통제, 작업 로그 관리의 기능이 가능하다. 이 과정에서 핵심적인 역할을 하는 것은 작은 감시자 ‘S-토큰’이다. S-토큰은 사용자 인증장치로, 전산실 혹은 콘솔실에 작업하는 인력은 반드시 이 토큰을 PC와 연결하고 로그인에 성공해야 작업할 수 있다. 따라서 작업자는 지정된 PC에서 S-토큰에 기록된 지정 보안정책에 따라서만 작업하게 되며, S-토큰 미인증 시 지정된 PC 로그인 자체가 불가하다. 또한 콘솔실과 전산실에서 작업할 경우 작업 전용노트북인 S-BOOK 또는 SDAC 에이전트인 S-AGENT가 설치된 PC로만 작업이 가능하게 하는 작업환경 통제를 수행한다. 이 밖에도 작업자에게 대상 장비에 대한 어떠한 접속정보(ID, PW, IP 등)도 제공하지 않으며, 작업자는 임의로 서버와 네트워크 장비에 접속할 수 없다. 즉, 임의의 장비에 대한 접속과 작업자 임의적인 명령어 입력, 악성 프로그램 실행, 서버 내 자료 무단복제 등의 행위가 사전에 차단되기 때문에 더욱 안전하다. ㈜에스엠프로 유재은 대표는 “기업들의 대규모 개인정보유출 사고로 인해 외주 인력 작업에 대한 통제의 필요성이 커지고 있다”며 “에스닥은 콘솔실 작업, 전산실 방문 작업 시 작업자의 작업을 근본적으로 통제할 수 있어 직접접근에 의한 보안사고를 효과적으로 예방할 수 있을 것으로 기대된다”고 전했다. 나우뉴스부 nownews@seoul.co.kr

개인정보유출로 인해 개인뿐 아니라 기업의 피해도 늘고 있다. 최첨단 정보화 시대를 살고 있는 요즘이지만 정보보안에 있어서는 개인과 기업 모두 피해를 보고 있는 것이다. 대부분 정보유출은 외주업체 관리소홀에 의해 발생하지만 위로 올라가 보면 무분별한 개인정보 수집에서부터 시작된다. 은행 통장을 하나 만들 때도, 개인이 운영하는 인터넷 쇼핑몰에 가입하려 해도 필수적으로 적게 되어있는 것이 개인정보이다. 하지만 개인이나 기업체가 수집한 국민의 신상정보는 안녕하지 못해 보인다. 최근 이슈였던 대형 카드사의 고객정보 유출사태만 해도 그렇다. 사건의 발단은 카드사에 파견된 신용평가사 직원이 고객의 개인정보를 외부로 들고 나간 것에서 시작됐다. 이 사건으로 국내 주요 카드사 세 곳의 고객 정보가 유출되면서 국민 2명 중 1명의 신상이 노출됐다. 카드사는 신상정보 유출에 의한 직접적인 피해 사례는 없다고 밝혔다. 하지만 고객 대다수는 카드를 재발급 받거나 해지하는 등 스스로 개인정보 유출에 의한 2차 피해를 막기 위해 동분서주해야 했다. 재발급을 받기 위해 은행에서 몇 시간씩 대기해야 하는 불편을 감수해야 했으며, 내 정보가 언제 어디서 악용될지 모른다는 불안에 시달렸다. 기업 입장에서도 피해는 막대하다. 신용으로 먹고 사는 카드사의 기업신뢰도가 바닥을 치는 한편, 카드 해지∙재발급 등으로 상당한 비용을 들여야 했다. 직원들 역시 휴일근무와 연장근무로 피곤에 시달렸다. 몇 년 전에 일어났던 ‘금융권 전산망 마비 사건’도 잊을 수 없는 사건 중 하나다. 이 사건은 서버 유지보수를 맡은 외주업체 직원이 노트북으로 악성 코드에 감염된 영화를 내려 받은 것이 문제였다. 이로 인해 금융권 전산망이 좀비 컴퓨터로 변해 악성 코드로부터 공격을 받아 전산망 마비 사태가 발생했다. 앞서 설명한 두 사건을 살펴보면, 모두 서버 보안유지를 위한 외주업체 직원의 관리소홀에서 비롯됐다는 것을 알 수 있다. 따라서 기업의 정보보안을 위해서는 서버 관리 시 주요 정보에 대한 철저한 접근 통제가 무엇보다 중요하다. 이에 보안업계에서는 인재에 의한 피해를 줄이고 기업과 고객의 불편함을 덜어줄 솔루션 개발에 힘쓰고 있다. 원격제어시스템의 한계를 보완한 솔루션이 등장하는가 하면 직접제어를 통해 모든 정보를 관리하는 솔루션도 등장했다. 특히 최근 보안솔루션 업체가 개발한 직접접근제어 시스템 에스닥(SDAC)은 전산실이나 서버실에서 이뤄지는 방문 작업에 관한 작업 통제와 접근 통제, 로그 수집 및 감사를 목적으로 하는 시스템으로 외주인력이 전산 시스템에 직접 접속할 경우 4단계에 걸친 사용자 인증으로 휴먼 에러 및 악의적 목적에 의한 사고를 사전에 방지하는 데 도움을 줄 것으로 기대된다. ㈜에스엠프로 유재은 대표는 “직접접근제어 솔루션은 원격제어 솔루션의 보완책으로서, 사람에 의한 사고를 방지하는 데 효과적일 것”이라며 “더는 정보유출로 국민의 정서를 불안하게 해서는 안 된다는 책임의식을 가지고 보안 관리를 위해 지속적으로 노력할 것”이라고 말했다. 나우뉴스부 nownews@seoul.co.kr

보안솔루션 전문기업 ㈜에스엠프로(대표 유재은)가 ㈜비젯(대표 장건)과 직접접근제어 시스템 ‘에스닥(SDAC)’의 보안 및 관리기능을 보강한 업그레이드 제품을 선보인다고 12일 밝혔다. 직접접근제어 솔루션 에스닥(SDAC)은 금융권 전산망 마비 및 올해 초 발생한 대규모 개인정보 유출 사태 등에서 여실히 드러난 원격접근제어시스템의 한계점을 보완하기 위해 개발됐다. 두 사건 모두 사상 최악의 보안사고로 평가되는데, 사고 원인은 서버 유지보수를 수행하는 외주업체 직원관리, 즉 정보시스템의 직접접근에 대한 관리 부재로 밝혀졌다. 직접접근제어시스템 에스닥(SDAC)은 안전행정부의 정부통합전산센터(NCIA)가 ‘e-안시성’ 프로젝트를 통해 구축한 솔루션이기도 하다. 이에 기존의 NCIA에서 사용되던 에스닥(SDAC)에 다양한 기능을 업그레이드하여 새롭게 출시한 것. 원격접근제어시스템은 모든 단말기가 게이트웨이를 통해서만 접속할 수 있어 온라인 접속에 대한 통제만 가능하다. 반면, 에스닥 솔루션은 외주인력이 전산시스템에 직접 접속하는 경우 4단계에 걸친 사용자 인증 과정에서 전용 단말기를 사용하도록 하므로 모든 IT 정보시스템의 접속 내용 감시와 통제가 가능하다. 즉, 휴먼에러로 인한 보안사고를 미연에 방지할 수 있는 것이다. 유재은 에스엠프로 대표이사는 “금융권 전산망 마비 사태와 카드사 개인정보 유출 사고에서 드러나듯 보안 사고의 90%는 사람에 의해 일어난다”며 “서버실에 출입하는 인력에 의한 보안 사고 예방에 초점을 맞춘 직접접근제어시스템이 필요한 시점”이라고 말했다. 나우뉴스부 nownews@seoul.co.kr

강북구가 개인 정보와 각종 행정 정보를 담고 있는 행정 PC의 보안강화에 나섰다. 구는 네트워크접근제어시스템(NAC:Network Access Control)을 구축하고 6월부터 본격 가동한다고 20일 밝혔다. 네트워크접근제어시스템은 안정성이 검증된 컴퓨터만이 네트워크에 접속할 수 있도록 하는 차세대 보안제품으로 지난해 Ddos 대란의 주 원인인 좀비 PC 차단에도 효과적인 것으로 알려졌다. 현재 구가 보유한 보안제품은 네트워크 보안 위주로 각각 PC에 대해 제품 설치를 강제화할 수 없어 정보 유출에 대한 우려가 높다. 하지만 이 제어시스템을 활용하면 네트워크 접근을 막을 수 있다. NAC시스템이 가동되면 바이러스 백신 미설치, 방화벽 미설정, 불법소프트웨어 설치, 패스워드 미설정 등 보안이 제대로 되지않은 PC는 인터넷 접근이 어려워 내부정보 유출을 막게 된다. 또한 행정인턴, 희망근로, 유지보수 용역 직원 등 외부 인원이 사용하는 컴퓨터는 일상적인 인터넷 사용은 가능한 대신 행정포털, 전자결제 등 행정망 접근 권한에 차등을 둬 관리할 수 있는 장점이 있다. 특히 구가 보유하고 있는 각종 소프트웨어의 라이선스 현황을 자동으로 통계·조회할 수 있기 때문에 불법 소프트웨어 사용도 없앨 수 있다. 강동삼기자 kangtong@seoul.co.kr

국내 생체인식산업이 비약적인 성장을 거듭하고 있다.일반인들에게는 생소했던 생체인식산업은 ‘패스21’(지문인식업체)사건이 터지면서 널리 알려지는 계기가 됐다.하지만 기술력이 떨어지는 기업이 ‘로비’를 통해 사업을 확장했다고 해서 업계 전체에 대해 부정적인 시각이 퍼졌던 것도 사실이다.그러나 실상은 좀 다르다.미국 등 선두주자에 비해 출발은10년 가까이 늦었지만 현재 국내업계의 기술력은 선진국에 1∼2년 뒤지는 수준까지 쫓아갔다.원천기술을 지닌 업체도 날로 늘고 있고 수출비중도 절반 가까이나 된다.연평균 200%이상의 매출 성장세도 지속하고 있다. ■생체인식시스템이란?= 사람마다 고유한 신체의 특정부위를인식해 보안장치로 활용하는 것을 말한다.별도의 암호를 외울 필요도 없고 신분증을 분실하거나 위·변조를 걱정하지않아도 되는 것이 장점이다.기업체의 출·퇴근관리 시스템,아파트의 도어록장치,온라인 뱅킹 등 실생활에 적용되는 분야는 무궁무진하다. 대표적인 것이 지문인식이며,그밖에 얼굴,눈동자,손,혈관,음성인식을 비롯,냄새,체온 등 응용분야가 넓다. 최근에는 ‘지문＋눈동자’,‘지문＋음성’ 등 두 가지 이상의 기술이 결합되는 추세다. ■선진국에 비해 기술은 뒤져= 국내 생체인식업체는 95년부터 생겨나기 시작해 현재 50여개사에 이른다.본격적으로 시장이 상용화되기 시작한 것은 2000년 이후이며 업체별로 매출이나 기술력 차이가 크다.현재는 지문인식분야의 니트젠과휴노테크놀로지 등 4개 정도의 기업이 시장을 주도하고 있다. 지문인식분야가 전체 국내 시장의 60%이상을 차지하며 세계적으로도 이 분야가 전체의 45%로 가장 많다. 생체인식분야에서 가장 앞섰다는 평가를 받는 미국과의 기술격차를 줄이기 위해 노력하고 있는 정도지만,정맥인식 분야는 독보적인 기술력을 갖춘 국내 기업이 생겨나고 있어 본격적으로 상용화에 들어가면 전망이 특히 밝다. ■매출 성장세 지속= 국내 업체는 연간 매출액 규모면에서 2배 이상의 성장을 해오고 있다.업체 평균 매출액은 98년 3억9000만원,99년 8억8000만원,2000년 18억9000만원으로 해마다 빠른 성장세를 보이고 있다.전체 매출액은 올해는 1835억원,내년은 3627억원 정도를 예상하고 있다. 국내 비중보다 수출에 주력해 올해안에 수출비중이 50%를넘어설 전망이다. ■왜 뜨나?= 출입 통제,근태 관리를 비롯,컴퓨터 보안,원격교육,전자상거래,정보 보안 등과 같이 적용분야가 많다.이용자 측면에서는 무엇보다 편리하기 때문이다. 예를 들어 자동차에 앉자마자 얼굴인식 등을 통해 운전자에 맞추어 백 미러나 의자가 자동으로 조절된다거나,등록되지않은 사용자의 경우 시동이 걸리지 않게 하는 등 ‘도난방지’ 역할도 가능하다. 그동안은 도어록 등 출입통제 시스템과 관련된 물리적 보안에 주로 쓰였지만 최근에는 컴퓨터 부분에 적용 비율이 높아지고 있다.98년 8%에 불과했던 컴퓨터 부분의 적용 비율은지난해 32%로 높아졌고 올해는 물리적 접근제어 분야를 앞설 것으로 예측된다. ■옥석가리기 필요= 유망한 분야이기 때문에 국내 시장에도새로 뛰어드는 업체들이 많이 늘었지만 반대로 한해에도 3∼4곳씩 문을 닫는 곳이 생기고 있다.업체별로 기술수준도 천차만별이라 수요자 입장에서는 시스템을 구입하려고 결심해도 망설여지는 게 사실이다.패스21의 경우도 여러 차례 언론에 보도되면서 스포트라이트를 받았지만 실제 매출은 늘지않아 업계에서는 의아하게 생각할 정도였다. 정보통신부 관계자는 “업체마다 기술력에 대해 ‘세계 최초…’운운하며 ‘뻥튀기’가 심한 것은 사실이지만 원천기술도 밝히지 않는 상황이라 진위를 밝히기도 쉽지 않다.”고 말했다.한국전자통신연구원(ETRI)은 이런 지적이 계속나오는 점을 감안해 올해안에 생체인식 업체들의 기술력수준을검사해 등급을 매기는 식으로 확실한 ‘옥석가리기’에 나설 계획이다. ■잠재 가능성은 높다= 생체인식업계는 2000년부터 붐이 일었고 지난해 미국 ‘9·11테러’로 보안의식이 높아지면서 호황을 기대했다.그러나,지난 연말 국내에서 터진 ‘윤태식게이트’ 파문으로 다소 위축된 상태다. 다만 올 들어서는 지문센서 등의 가격이 10만원대로 떨어지는 등 가격경쟁력을 갖추고 있어 수요는 늘어날 것으로 기대하고 있다.원천기술개발은 늦었지만 상용화기술에서는앞서있다는 자신감도 갖고 있다. ETRI 생체인식 연구팀 정용화 팀장은 “미국이나 유럽에 비해 시작은 늦었지만 끈기있게 연구해야 하는 특성이 한국인의 기질에 잘 맞는 만큼 잠재적인 성장 가능성은 높다.”고말했다. 김성수기자 sskim@