[파이낸셜뉴스] 포스코이앤씨는 고객 정보보안 신뢰도를 높이기 위해 국내 최고 수준의 보안관리체계 인증인 ISMS-P 를 획득했다고 10일 밝혔다. 이 인증은 사이버 침해 위협에 효과적으로 대응할 수 있는지, 기업의 정보보호 체계와 고객의 개인정보보호 관리체계가 적합하게 운영되는지를 심사하는 제도다. 과학기술정보통신부와 개인정보보호위원회의 공동 고시 기준에 따라 한국인터넷진흥원에서 인증한다. ISMS-P 인증을 획득하기 위해서는 △정책의 수립·운영·개선을 의미하는 관리체계 분야 △자산관리 및 보안시스템 등 기술적 보호조치 분야 △개인정보의 수집·이용·파기 등 개인정보 라이프 사이클 별 보호조치 분야를 비롯해 101개 항목에 대한 적합성 평가를 모두 통과해야 한다. 포스코이앤씨는 현재 정보보호 국제표준인 정보보안경영시스템(ISO27001) 인증을 보유하고 있다. 이에 더해 ISMS-P 인증을 추가로 획득하게 되면서 국내 최고 수준의 정보보호 및 개인정보보호 체계를 갖출 수 있게 됐다. 포스코이앤씨는 매년 정기 및 수시로 사내외 모든 시스템을 모의해킹 함으로써 강도 높은 보안 점검을 하고 있다. 특히 '더샵'의 고객정보를 수탁하는 협력사에 대한 교육 및 점검 또한 강화해 나갈 계획이다. 포스코이앤씨 관계자는 "최근 개인정보 유출에 대한 우려가 커짐에 따라 고객들이 안심할 수 있도록 관리적·기술적 보안 수준을 높였다"며 "앞으로 고객정보를 함께 관리하는 협력사에 대한 교육 및 점검 또한 강화하여 높은 수준의 정보보안 체계를 구축해 갈 것"이라고 말했다. ming@fnnews.com 전민경 기자

현대오토에버가 모빌리티 보안을 강화하기 위해 최근 '사이버 시큐리티 사업부'를 출범했다고 7일 밝혔다. 지난 7월 합류한 최원혁 상무(사진)가 보안총괄임원(CISO)을 맡아 200여명의 인력을 이끌며 모빌리티 보안 영역의 경쟁력을 극대화한다는 방침이다. 최원혁 상무는 "인공지능(AI)을 이용한 해커들의 공격이 증가하는 추세"라며, "커넥티드카, 클라우드, 스마트팩토리 등 다양한 영역에서 예상되는 공격에 대한 최선의 방어책을 도출해 고객사에게 글로벌 수준의 보안 서비스를 제공할 것"이라고 강조했다. 최 상무는 정보·데이터 보호 분야에서 22년의 경력을 보유한 보안 전문가다. 현대오토에버는 신임 CISO 선임과 함께 지난 두 달간의 촘촘한 보안조직 정비 과정을 진행했다. 현대오토에버는 글로벌 톱 수준의 '보안 서비스 사업자'라는 지향점을 내세워, 기존에 있던 정보보안센터를 '사이버 시큐리티 사업부'로 격상했다. 사업부 내부에 '서비스 보안실'도 새롭게 만들었다. 서비스 보안실은 모의해킹 훈련시 공격을 담당하는 레드(Red)팀과 방어조 블루(Blue)팀 등을 한데 모아 시너지를 강화한다. monarch@fnnews.com 김만기 기자

[파이낸셜뉴스] 한국조폐공사는 21일 국산 반도체 칩을 적용해 자체 개발한 칩 운영체제(COS·Chip Operation System)인 'JK72'가 정부기관으로부터 최고 수준의 보안인증인 'CC EAL5+'를 획득했다고 밝혔다.  이에 따라 현재 외국산 칩과 국산 운영체제로 제작되고 있던 우리나라 국가신분증들을 국산 칩과 새로 개발된 국산 운영체제로 대체할 수 있게됐다.  COS는 컴퓨터의 윈도우와 같은 핵심 기능을 하는 프로그램으로 신분증과 금융, 교통 및 통신카드 등 스마트 카드에 내장된 집적회로(IC)칩을 종합 관리하는 운영체제다.  CC(Common Criteria) 인증은 정보기술(IT) 보안제품의 보안성을 보장해주는 국제 보안성 기준으로, 국가신분증에 공급되는 IC칩과 COS는 반드시 CC인증을 받아야 한다.  조폐공사가 개발한 JK72는 국가신분증 데이터에 대한 위·변조를 원천적으로 막는데 개발 방향을 맞췄다.  성창훈 조폐공사 사장은 "국가신분증용 보안칩을 국산화해 외화유출을 방지하고, 국가신분증 사업을 안정·독자적으로 운영하게 됐다"면서 "국민이 더욱 안심하고 편리하게 사용할 수 있는 서비스를 제공하겠다"고 말했다.  우리나라 국가신분증은 디지털시대에 부응하기 위해 지갑 속 카드형에서 스마트폰 속 모바일 신분증으로 빠르게 진화하고 있다. 조폐공사는 정부정책과 연계한 7대 국가신분증의 모바일화를 추진 중이다. kwj5797@fnnews.com 김원준 기자

부산교통공사는 시민의 개인정보와 주요 업무정보 등 디지털 자산이 안전하게 신뢰성을 갖추고 관리되도록 글로벌 수준의 정보보안 및 개인정보보호 관리체계 인증(ISO27001·ISO27701)을 동시에 획득했다고 1일 밝혔다. ISO27001과 ISO27701은 국제표준화기구와 국제전기기술위원회가 제정한 정보보호 분야 최고 권위의 국제표준 인증이다. 정보보안(ISO27001) 35개 요구사항과 114개 기준요건, 개인정보보호(ISO27701) 8개 요구사항과 49개 기준요건을 심사해 요건을 충족한 기업에 발급된다. 공사는 부산시 산하 공공기관 최초로 ISO27001과 ISO27701 인증을 동시 획득해 국제적 수준의 정보보안 및 개인정보보호 역량을 인증받았다는 평가다. 이병진 공사 사장은 "최근 공공기관 개인정보 보호 의무가 강화되고 있다"며 "디지털 대전환 시대 안전한 디지털 메트로 환경을 조성하여 개인정보 보호와 정보보안에 힘쓰겠다"고 밝혔다. 권병석 기자

[파이낸셜뉴스]  항체의약품 개발 전문기업 에이프로젠이 자사 오송공장이 글로벌 최고 수준의 퍼퓨전 기술과 cGMP 조건을 충족하는 품질관리 시스템으로 해외시장 수혜가 기대된다고 8일 밝혔다. 특히 오송공장은 데이터 위변조 및 누락을 원천적으로 차단하는 데이터 자동 기록 시스템 등도 갖추고 있다. 과거 퍼퓨전 배양 방식으로 생산된 대표적인 바이오의약품은 존슨앤존슨의 레미케이드(Remicade), 화이자의 레팍토(Refacto), 바이엘의 코제네이트(Kogenate) 등이 있다. 그러나 당시 퍼퓨전 배양 방식의 핵심 과정인 세포는 배양기 내에 가두고 배양액만 외부로 추출하는 장비 중 상업적 적용이 가능한 것은 스핀필터(spin-filter)가 유일했다. 이 장비는 세포 보다 작은 구멍이 뚫린 스테인리스 통 형태로 배양기 내부 중앙에 설치돼 가동되면서 배양액만 내보내는 장비다. 이는 50리터 또는 100리터 이하의 배양기에서만 효과적으로 운용이 가능하다. 이로 인해 퍼퓨전 배양은 다수의 장점에도 불구하고 산업계에서는 그동안 널리 쓰이지 못했으나 2000년대 중반 미국 리파인 테크놀로지가 ATF(Alternative tangential-flow Filters) 시스템을 출시하면서 변화가 시작됐다. 그 후 리파인 테크놀로지를 인수한 레플리젠이 해당 장비의 필터구조 등을 개선했고 2010년대 중반부터 바이오제약 업계에서 퍼퓨전 배양 방식을 채택하는 기업이 빠르게 증가하는 새로운 전기가 마련됐다. 이 장비는 기존 스핀필터 대비 10배 이상의 성능으로 500리터 이상의 배양기로도 퍼퓨전 배양이 가능하다. 최근에는 전세계적으로 퍼퓨전 방식을 채용한 바이오 의약품 개발이 급증하고 있다. 에이프로젠은 리플리젠이 리파인 테크놀로지를 인수하기 전인 2000년대 중반에 대용량 퍼퓨전 배양의 핵심인 ATF 시스템을 국내에서 최초로 도입했다. 이 회사는 약 17년에 걸친 퍼퓨전 배양 기술 개선과 기술 축척으로 국내 뿐만 아니라 해외 시장에서도 독보적인 역량을 확보하고 있다. 오송공장은 글로벌시장에서 유일하게 2000리터급 퍼퓨전 방식 배양기로 상업스케일 생산에 성공했으며 리터 당 100그램 이상의 항체의약품 생산성을 실현한 cGMP 시설이다. 또 에이프로젠 오송공장은 우수한 상업 스케일 생산 뿐만 아니라 품질관리 시스템 구축에도 집중하고 있다. 회사 관계자는 “자사 오송공장은 품질관리와 품질보증 인력만 120여명에 달하고 GMP 설비 관리 인력은 60명 이상을 보유하고 있다”며 “배양, 정제, 완제 등의 생산 인력을 제외하고 품질시스템과 제조환경을 유지하기 위한 인력이 삼성바이오로직스, 셀트리온을 제외하고 국내 타 회사의 단일 바이오공장 전체 인력과 비슷한 수준”이라고 설명했다. 더욱이 오송공장은 바이엘, 듀퐁, 삼성바이오로직스 등이 사용중인 글로벌 최고 수준의 실험실정보관리시스템(LIMS; Laboratory Information Management System)인 스타림스(STARLIMS)를 갖추고 있다. 최근 글로벌 바이오의약품 전문매체에 따르면 퍼퓨전 배양을 통한 바이오의약품 개발은 전세계적으로 빠르게 증가하고 있다. 글로벌 최대 배양기 제조업체 사토리우스의 마켓 전략 책임자 프랑카 겁타 박사는 지난 2021년 미국 생물의약품 전문매체와의 인터뷰에서 보다 많은 기업이 동물세포 배양에 퍼퓨전 방식을 채택하는 추세라고 밝힌 바 있다. 또 글로벌 생물의약품 생산공정 CMO로 성장한 후지필름 미국법인 최고 사업책임자 에릭 베센 박사는 지난달 발표된 유러피안 파마슈티컬 리뷰를 통해 ‘퍼퓨전을 적극적으로 고려해야 될 때’라는 기고문을 게재하기도 했다. 국내에서는 이미 LG화학이 엔브렐 바이오시밀러를 퍼퓨전 방식으로 생산해서 일본에 판매하고 있다. 삼성바이오에피스는 복수의 제품을 해당 방식으로 개발했거나 개발 중이라고 알려져 있다. 해외에서는 중국 우시바이오 로직스, 아일랜드 알보텍, 영국 디오씬쓰 바이오테크놀로지 등이 최근에 500리터 또는 1,000리터 배양기를 이용해 제품 개발을 완료했거나 개발하고 있다. 특히 우시바이오로직스는 퍼퓨전 생산 플랫폼인 우시업(WuxiUP)을 대대적으로 홍보하고 관련 시설을 대폭 확장하고 있다. 에이프로젠 관계자는 “이러한 추세에 따라 미국 생물보안법이 통과될 경우에 세계에서 유일하게 2000리터 배양기를 이용한 퍼퓨전 방식으로 리터당 100그램에 달하는 초고생산성의 상업스케일 생산 실현에 성공한 오송공장은 타사와는 차별화된 수혜를 입을 것”이라며 “품질시스템 컨설팅 비용으로만 500억원 이상을 투자하고 국내에서는 드물게 스타림스 시스템으로 데이터 완결성 보증까지 확보하는 등 cGMP 기준을 충족하고 있어 경쟁력을 확보하고 있다”고 설명했다. 그는 “자사는 글로벌시장에서 가파르게 증가하는 퍼퓨전 생산 수요에 대응 가능한 최적의 기업으로 자리매김할 것으로 확신한다”고 강조했다. kakim@fnnews.com 김경아 기자

[파이낸셜뉴스] 최근 기업의 디지털 전환 가속화와 클라우드 도입, 원격근무 확대 등으로 사이버보안 침해 위협이 갈수록 증가하고 있지만 지역기업의 대비 수준은 취약한 것으로 나타났다. 사이버보안 침해사고 발생 시 핵심 기밀유출 등의 심각한 피해를 초래하는 만큼 이에 대한 대비책 마련이 시급해 보인다. 부산상공회의소가 지역 매출액 상위 500개 기업을 대상으로 조사해 7일 발표한 ‘지역기업의 사이버보안 침해 현황과 대응 실태 조사’ 결과를 보면 응답기업의 77.2%는 사이버보안의 중요성을 인식하고 있었지만 실제 대비수준을 분석한 결과 44.8%의 기업이 취약수준인 C~D등급에 속한 것으로 나타났다. A등급(우수)에 속하는 기업은 17.2%에 불과했으며 B등급(보통)도 38.0%로 중요성 인식에 비해 대비 수준은 전반적으로 낮게 나타났다. 지역기업의 보안 취약성은 실제 침해사고로도 이어졌는데 조사기업의 8.8%가 해킹, 랜섬웨어 등 사이버 보안 침해를 경험한 적 있다고 응답했다. 지난 2021년 조사에서 국내기업의 1.0%가 사이버보안 침해를 경험한 것을 감안하면 매우 높은 수준이다. 침해사고 발생 기업의 업종을 보면 제조업이 63.6%로 가장 많았다. 이어서 도소매업 18.2%, 서비스업 9.1%, 건설업 9.1% 순으로 조사됐다. 이들 업종은 IT, 금융업 등의 업종 대비 보안 투자가 취약한데 특히 제조업은 스마트 공정 도입 등으로 보안침해 루트가 다양화되면서 사이버공격에 노출되는 빈도가 늘어난 것으로 분석된다. 지역기업들이 가장 많이 경험한 보안침해 유형은 스팸메일에 의한 피싱 피해가 전체의 36.0%를 차지했다. 이어서 침해 발생 시 복구에 많은 비용이 수반되는 랜섬웨어(24.0%)와 해킹(20.0%) 등의 피해를 경험한 기업도 상당수 확인됐다. 사이버보안 침해가 증가하는 이유에 대해 지역기업들은 피싱과 악성코드를 비롯한 침해 방법의 고도화(41.0%), 모바일기기 사용 확대(18.3%), 인공지능(AI) 등 기술 발전(12.8%), 클라우드 활용 증가(12.3%) 등을 주요 요인으로 꼽았다. 결국 기술적으로 진화하고 있는 사이버보안 침해를 막기 위해서는 이에 대응하는 시스템 구축을 위한 적극적인 투자가 필요한 상황이다. 그럼에도 응답기업의 81.6%가 보안 강화를 위해 별다른 투자계획이 없는 것으로 나타났다. 주된 이유로는 비용부담이 42.3%로 가장 많은 비중을 차지했다. 이어 업무효율성 침해(17.9%), 전담인력 부족(15.4%), 인식 부족(12.8%), 투자성과 예측 어려움(11.5%) 순으로 조사됐다. 지역기업이 가장 필요로 하는 지원책으로는 보안시스템 구축 지원이 50.0%로 가장 비중을 차지했다. 다음으로는 보안서비스 비용 지원(18.8%), 인건비 지원(16.8%), 교육 및 훈련 지원(7.6%), 보안컨설팅 지원(6.8%) 순이었다. 부산상공회의소 기업동향분석센터 한 관계자는 “사이버보안에 있어 침해사고가 발생하면 기업기밀 유출과 공정 중단 등 심각한 위험이 발생한다는 것을 누구나 알고 있지만 직접적인 피해가 발생하기 전까지는 이를 간과하는 경향이 크다”면서 “기밀유출은 기업의 생존과도 직결되는 중요한 사안인 만큼 사이버보안 이라는 명백한 위협을 분명히 인지하고, 이를 예방하기 위한 적절한 시스템을 구축하려는 노력이 필요한 시점이다”라고 강조했다. defrost@fnnews.com 노동균 기자

【파이낸셜뉴스 대구=김장욱 기자】 공구유통사 크레텍이 공구업 고객보호를 위해 최고 보안 서비스를 획득했다. 8일 크레텍에 따르면 공구유통 전자상거래 서비스 최초로 정부가 주관하는 정보보호관리체계(ISMS, Information Security Management System) 인증을 획득했다고 밝혔다. 이에 따라 공구유통의 정보관리와 보안 수준을 끌어올림은 물론 크레텍 고객들은 더욱 안전하게 주문 거래를 하고 정보보호를 받을 수 있게 됐다. ISMS 제도는 과학기술정보통신부와 개인정보보호위원회가 고시하는 정보보호인증제로, 정보자산을 안전하게 관리하기 위한 위험관리, 대책, 사후관리, 조직 등 총 80개 세부기준에 대한 평가를 통과해야만 인증이 부여된다. 김진용 경영정보실 상무는 "앞으로도 정보보호에 지속 힘써 고객이 안전하고 편리하게 이용할 수 있는 서비스를 제공하겠다"라고 밝혔다. 최근 인터넷 은행 토스, 국내최대 온라인편집숍 무신사 등에서 이 인증을 받은 바 있다. 인증 의무대상은 인터넷서비스제공사(ISP), 인터넷데이터센터(IDC), 정보통신서비스 부문 매출액 100억원 이상, 정보통신서비스 일일평균 이용자 수 100만명 이상 사업자 등이 해당되며, 의무대상이 아니어도 자율신청이 가능하다. 한편 크레텍은 이번 인증을 통해 공구업 보안 수준을 크게 향상시킨 것으로 평가받고 있다. 크레텍의 온라인주문시스템(CTX)과 홈페이지, 공구포털 등 모든 온라인 시스템에 안전성과 신뢰성이 강화됐다. gimju@fnnews.com 김장욱 기자

[파이낸셜뉴스] 국내 가상자산 거래소 빗썸은 플랫폼 서비스의 보안 취약점을 개선하기 위한 ‘버그바운티(Bug bounty)’ 제도를 국내 가상자산 업계 최초로 도입했다고 19일 밝혔다. 버그바운티란 기업이 제공하는 상품이나 서비스의 보안 취약점을 발견한 화이트해커에게 포상금을 지급하는 제도다. 기업들은 버그바운티를 통해 누수가 발생할 수 있는 서비스 보안을 선제적으로 차단하는 효과를 갖는다. 올해 미국 경제 전문지 포브스가 발표한 기사에 따르면 글로벌 가상자산 거래소 상위 10곳 중 9개사가 버그바운티 프로그램을 운영하고 있다. 빗썸은 국내 가상자산 사업자(VASP) 가운데 처음으로 버그바운티 제도를 도입하며 플랫폼 보안 누수를 원천 차단하겠다는 입장이다. 원활한 프로그램 운영을 위해 국내 정보보호 전문 업체 '시큐아이', 버그바운티 플랫폼 운영 회사 '파인더갭’과 컨소시엄도 구축했다. 지난 3월 빗썸은 포브스가 선정한 국내 가상자산 거래소 1위로 선정된 바 있다. 특히 ‘보안성’ 부문에서 국내 VASP 중 유일하게 만점을 받으며 안정적인 플랫폼 운영 능력을 인정받았다. 이번 버그바운티 도입은 기존 빗썸의 강력한 보안 수준을 한 단계 더 높이기 위한 조치다. 빗썸 관계자는 “버그바운티 프로그램은 다양한 시나리오 기반 취약점을 도출해 사전적으로 보안 위협을 개선할 수 있다”며 “앞으로도 빗썸은 투자자가 안전하게 거래할 수 있는 보안 환경을 구축하기 위해 선제적으로 노력하겠다”고 말했다.   sjmary@fnnews.com 서혜진 기자

잡코리아가 한국인터넷진흥원(KISA)의 '정보보호 및 개인정보보호 관리체계(ISMS-P)' 인증을 획득했다. 잡코리아를 이용하는 구직자와 기업은 더욱 안전하게 정보를 제공받을 수 있게 됐다. 25일 잡코리아는 정보보호 관리체계 수립 및 운영, 보호 대책 요구사항, 개인정보 처리 단계별 요구사항 등 3개 영역에서 총 102개의 인증 기준 및 384개의 점검 항목별 보호대책에 대해 인증기관의 적합성 심사를 통과했다고 밝혔다. ISMS-P 인증은 정보보호 관리체계(ISMS)와 개인정보보호 관리체계(PIMS) 인증 등을 하나로 통합한 인증 제도로, 과학기술정보통신부 및 개인정보보호위원회가 고시하는 국내 최고 권위의 인증이다. 잡코리아의 인증 범위는 온라인 리크루팅 서비스로 잡코리아와 알바몬, 게임잡, 캠퍼스몬, 채용솔루션 등이 해당된다. 인증 유효기간은 2025년 1월 18일까지다. 지난 2013년 '정보보호 관리체계(ISMS)' 인증을 획득한 이후 지속적으로 고객 개인정보 관리를 강화해 취업 플랫폼 최초로 ISMS-P 인증을 받았다. 잡코리아 관계자는 "온라인 리크루팅 서비스의 개인정보 보안에 대한 신뢰성을 한층 높일 수 있게 됐다"면서 "앞으로도 구인기업과 구직자가 안심하고 서비스를 이용할 수 있도록 정보 보안 수준을 지속적으로 강화해 나가겠다"고 말했다. wonder@fnnews.com 정상희 기자

[파이낸셜뉴스]  사립학교교직원연금공단(이하 사학연금)이 교육부가 주관하는 ‘2021년 정보보안 수준진단 평가’에서 6년 연속 최고 등급인 ‘매우우수’등급을 달성했다. 8일 사학연금에 따르면 이번 평가는 정보보호 수준 향상을 위해 교육기관의 정보보호 관리체계와 침해예방 활동 등을 진단·평가하며, 평가항목으로는 정보보안 정책, 정보자산 보안관리, 인적 보안, 사이버위기 관리, 전자정보 보안, 정보시스템 보안, 정보시스템 개발 보안, 위험 및 재해복구 8개 분야 35개 지표이다. 특히 사학연금은 사이버위기 관리를 효율적으로 수행하기 위한 다양한 노력을 인정받아 ‘사이버 위기관리’ 평가항목에서 만점을 받았고, △정보자산 보안관리 △인적 보안 △전자정보 보안 △위험관리·재해복구 분야 등에서도 우수한 성과를 인정받아 6년 연속 최우수 등급을 받았다. 앞서 사학연금은 지난해 중장기 정보보안 마스터플랜 수립을 통해 내ㆍ외부 사이버 위협으로부터 정보자산, 데이터 등 중요자원의 체계적인 관리와 정보보안 업무추진에 대한 당위성과 신뢰성을 확보한 바 있다. 또한, 코로나19 확산 등에 따른 재택근무와 비대면 업무 증가로 사이버공격의 거점으로 활용될 사용자 단말기에 대한 보안강화의 필요성이 대두됨에 따라‘단말 기반 지능형 위협 탐지 및 대응 솔루션(EDR, Endpoint Detection and Response)’을 선제적으로 도입하는 등 정보보안 패러다임 변화에 능동적으로 대응하고 있다고 전했다. 주명현 이사장은 “사학연금은 사이버 위기 대응 체계를 강화할 뿐만 아니라, 지속적으로 증가하고 있는 랜섬웨어 등 지능과 고도화된 사이버 침해(해킹)로부터 사학연금의 소중한 자산인 고객 정보를 안전하게 보호하기 위해 정보보안 강화에 최선을 다하겠다”고 말했다. 한편 교육부가 주관하는 정보보안 수준진단 평가는 「전자정부법」 제56조 및 동법 시행령 제69조ㆍ제70조, '공공기록물 관리에 관한 법률 시행령' 제5조, '국가사이버안전관리규정' 제9조 등에 따라 정보보안 수준향상을 위해 ‘정보보안 수준진단 평가’를 매년 실시하고 있다. kakim@fnnews.com 김경아 기자