[파이낸셜뉴스] 과학기술정보통신부는 사이버 침해사고 발생 시 신속한 대응과 재발방지 관련 이행력 확보를 위해 개정한 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'을 이달 14일부터 시행한다고 13일 밝혔다. 이번 정보통신망법 개정은 사고 발생 시 신고 기준 구체화, 정부의 재발방지 조치 이행력 강화 등이 골자다. 우선 침해사고 신고제도를 정비했다. 개정안 시행 이후에는 사이버 침해사고가 발생한 정보통신서비스 제공자는 사고 인지 후 24시간 이내 피해내용, 원인, 대응현황 등을 우선적으로 신고해야 한다. 이후에도 사고와 관련해 추가로 확인된 사항에 대해선 확인된 시점으로부터 24시간 이내 보완 신고하도록 규정했다. 정부의 피해 기업에 대한 대응·재발방지 조치 이행력도 강화한다. 과기정통부가 침해사고 발생 정보통신서비스 제공 사업자에 재발방지 등 필요한 조치의 이행을 현행 '권고'에서 '명령'할 수 있는 근거를 마련했다. 아울러 사업자가 해당 명령을 이행했는지 여부를 점검해 보완이 필요한 사항에 대해선 시정을 명하고, 시정명령을 이행하지 않은 경우 3000만원 이하의 과태료를 부과하도록 했다. 류제명 과기정통부 네트워크정책실장은 "침해사고로 인한 피해확산과 재발을 최소화하기 위해서는 신속한 신고를 바탕으로 한 원인 분석 및 조치가 무엇보다 중요하다"며 "과기정통부는 침해사고 신고·후속조치 체계가 제대로 정착돼 기업들이 다양한 정보보호 기술지원을 받을 수 있도록 노력하겠다"고 말했다. jhyuk@fnnews.com 김준혁 기자
2024-08-13 10:19:15지니언스가 올해 최대 실적을 낼 것이라는 관측이 나왔다. 19일 정보기술(IT) 업계에 따르면 심의섭 NH투자증권 연구원은 “2023년 매출액 453억원, 영업이익 93억원으로 최대 실적을 경신할 전망”이라고 밝혔다. 이는 전년 동기 대비 각각 13.1%, 34.9% 늘어난 수치다. 심 연구원은 “국내 1위 표준 솔루션으로 자리잡은 지니언 NAC의 안정적인 성장과 더불어 차세대 단말 보안 솔루션으로 떠오르고 있는 EDR 사업 또한 고객사 확대가 지속되며 본격적인 성장 궤도에 진입 중”이라며 “매출 성장에 따른 영업레버리지 구간에 진입하며 2025년까지 매년 최대 실적을 경신할 전망”이라고 예상했다. 앞서 지니언스는 지난달 7일 네트워크 보안 솔루션 '지니안 NAC' 최신 버전에서 해킹으로 의심되는 정황을 포착, 이 솔루션을 도입했던 고객사와 침해사고 신고 당국인 한국인터넷진흥원(KISA)에 해당 사실을 알렸다. 이와 관련해 심 연구원은 “침해 사고는 발생했으나 현재까지 지니언스 및 고객사 피해는 확인되지 않았으며 관계당국과 협조를 통해 침해 여부 추가 조사, 장비 교체 등 선제적 기술조치 및 재발방지 대책을 완료한 상황”이라며 “신규 영업 및 사업 영향 또한 미미할 것으로 예상된다”고 분석했다. solidkjy@fnnews.com 구자윤 기자
2023-07-19 08:21:43[파이낸셜뉴스] 개인정보보호위원회(개인정보위)와 한국인터넷진흥원(KISA)이 10월 29일 발생한 이태원 사고와 관련한 개인정보 침해에 대해 집중 단속 기간에 돌입한다. 개인정보위와 KISA는 이번 이태원 사고와 관련해 11월 한달 간 개인정보 침해 상황에 대한 집중 모니터링을 실시한다고 1일 밝혔다. 개인정보위는 개인정보 노출 등 침해 사실을 발견했을 때 12개 주요 사업자 핫라인을 통해 차단·삭제를 실시할 예정이다. 12개 주요 사업자는 구글, 메타, 네이버, 카카오, 트위터, 데일리모션, VK, 타오바오(알리바이), 텐센트, 핀터레스트, MS(Bing), SK컴즈(네이트) 등이다. 아울러 모니터링 중 인지된 개인정보보호법 위반 행위에 대해선 경찰청에 수사를 위뢰할 계획이다. jhyuk@fnnews.com 김준혁 기자
2022-11-01 11:49:12[파이낸셜뉴스] 한국인터넷진흥원(KISA)은 클라우드 서비스의 안전한 이용 환경 조성을 위해 과학기술정보통신부 및 국내 11개 클라우드 사업자와 함께 모의훈련을 실시한다고 10일 밝혔다. 기간은 이달 16일부터 9월 30일까지다. KISA는 국내 클라우드 사업자의 침해 사고 대응 체계 강화를 위해 침해사고 위협모델을 이용한 표준 프레임워크(MITRE ATT&CK)를 기반으로 모의훈련을 수행한다. MITRE ATT&CK란 비영리단체인 MITRE에서 해커그룹의 실제 공격 전술·기술·절차를 분석한 행동기반 침해 모델을 뜻한다. KISA는 클라우드 환경에서 사고 위험도가 높고 지속적으로 발생하는 데이터 유출, 랜섬웨어 분야를 중심으로 훈련을 실시할 예정이다. 이번 모의훈련에서는 △침해사고 발생에 따른 보안 솔루션(방화벽·웹방화벽·백신), 시스템 로그 등의 탐지·방어에 대한 기술적 대응체계 △사고탐지 △초기대응 △침해사고 신고 △사고조사 및 대응 △후속조치의 관리적 대응체계를 점검한다. 이후 훈련 결과에 따라 참여기업별 침해사고 대응체계 개선을 위한 맞춤형 컨설팅도 지원할 예정이다. 최광희 KISA 디지털보안산업본부장은 "KISA는 이번 모의훈련을 통해 클라우드 주요 위협 분야에 대한 대응 역량을 점검한다"며 "훈련 결과를 바탕으로 침해사고 대응체계 개선 방안을 함께 모색함으로써 국내 클라우드 서비스의 안전한 이용 환경 조성에 앞장서겠다"고 말했다. soup@fnnews.com 임수빈 김준혁 기자
2022-08-10 11:04:00정보보호 정책 예산을 수립하는 기업이 늘면서 침해 사고 경험률이 지속적으로 감소하는 것으로 나타났다. 과학기술정보통신부와 한국정보보호산업협회는 '2021년 정보보호 실태 조사' 결과를 14일 발표했다. 이번 조사는 지난해 8월2일부터 10월31일까지 3개월간 네트워크 연결 1인 이상 사업체 7500개와 만 12~69세 인터넷 이용자 4000명을 대상으로 진행됐다. 조사 결과 지난해 기업들의 정보보호 정책 수립률은 27%로 전년보다 3.4%포인트 증가했다. 침해 사고 경험률은 전년대비 1%포인트 감소했다. 침해사고 유형은 '랜섬웨어'(47.7%), '악성코드'(41.9%), '해킹'(11.4%), 'DoS/DDoS 공격'(1.8%) 순으로 나타났다. 개인의 정보 침해 사고 경험률은 11.4%로 전년 대비 8.1%포인트 증가한 것으로 나타났다. '악성코드 감염 등으로 인한 피해', '개인정보 유출 및 사생활 침해', '계정 도용으로 인한 피해' 순으로 높았다. spring@fnnews.com 이보미 기자
2022-04-14 18:07:37[파이낸셜뉴스] 정보보호 정책 예산을 수립하는 기업이 늘면서 침해 사고 경험률이 지속적으로 감소하는 것으로 나타났다. 과학기술정보통신부와 한국정보보호산업협회는 '2021년 정보보호 실태 조사' 결과를 14일 발표했다. 이번 조사는 지난해 8월2일부터 10월31일까지 3개월간 네트워크 연결 1인 이상 사업체 7500개와 만 12~69세 인터넷 이용자 4000명을 대상으로 진행됐다. 조사 결과 지난해 기업들의 정보보호 정책 수립률은 27%로 전년보다 3.4%포인트 증가했다. 예산 편성률은 66.6%로 4.8%포인트 늘었다. 예산 지출 분야는 '정보보호 시스템 유지 보수'(49.3%), '정보보호 제품 구입'(35.7%), '정보보호 서비스 구입'(17.1%) 순으로 나타났다. 침해 사고 경험률은 전년대비 1%포인트 감소했다. 침해사고 유형은 '랜섬웨어'(47.7%), '악성코드'(41.9%), '해킹'(11.4%), 'DoS/DDoS 공격'(1.8%) 순으로 나타났다. 랜섬웨어는 지난해에 이어 올해도 가장 높은 빈도를 보였다. 개인의 '정보보호 중요성 인식률'과 '개인정보보호 중요성 인식률'은 각각 96.3%, 97.8% 수준으로 전년보다 4%포인트, 3.6%포인트 상승했다. 다만 개인정보 침해 사고 경험률은 11.4%로 전년 대비 8.1%포인트 증가한 것으로 나타났다. '악성코드 감염 등으로 인한 피해', '개인정보 유출 및 사생활 침해', '계정 도용으로 인한 피해' 순으로 높았다. spring@fnnews.com 이보미 기자
2022-04-14 14:57:05[파이낸셜뉴스] 금융보안원은 195개 금융회사 및 전자금융업자를 대상으로 2022년도 침해사고 대응훈련을 3월부터 연중 실시할 계획이라고 15일 밝혔다.올해 훈련은 최근 사이버 위협사례 및 사회적 이슈를 반영해 실효성을 높였다. 먼저 디도스(DDoS) 공격 대응훈련에는 최근 빈도가 높아진 증폭·반사 공격을 콘텐츠에 반영했다. 증폭·반사 공격은 인터넷에 노출된 서버를 이용해 적은 요청으로 대량의 데이터를 발생시켜 공격 대상의 네트워크 과부하로 서비스를 마비시키는 공격이다. 또 서버해킹공격 대응훈련에는 파급력이 큰 로그4j 취약점 및 비대면 서비스 관련 취약점을 포함시켰다. APT공격 대응훈련에는 최근 사회적으로 주목받고 있는 메타버스, 블록체인, 코로나19 지원금 지급 등과 관련된 콘텐츠를 개발했 추가했다. 금융보안원은 금융회사에 공격 일시, 방법 등을 사전에 알리지 않고 공격하는 블라인드 훈련을 전체 금융회사로 확대해 현실감 있는 사이버 위협 대응 및 복구훈련 강화할 계획이다. 김철웅 금융보안원 원장은 "팬데믹 이후 디지털 금융의 확대로 고도화·지능화된 새로운 사이버 위협이 증가하고 있는 만큼, 체계적인 침해사고 대응 역량이 더욱 중요해지고 있다"면서, "금융보안원은 최신 사이버 보안 이슈를 적용한 침해사고 대응훈련을 지속적으로 실시해, 금융회사의 보안 경쟁력을 강화하고 안전한 디지털 금융환경을 조성할 수 있도록 지원해 나갈 것"이라고 강조했다. ksh@fnnews.com 김성환 기자
2022-03-15 16:26:52[파이낸셜뉴스] 이글루시큐리티가 사이버 보안에 선제적 대응이 가능한 기반을 마련했다. 이글루시큐리티는 지난해 한국인터넷진흥원(KISA)의 ‘사이버 보안 인공지능 데이터셋(침해사고 분야)’ 구축 사업에 참여해 주요 침해사고를 재현한 1억2000만건의 데이터셋 구축을 완료했다고 26일 밝혔다. 앞서 KISA는 K-사이버방역 추진 전략의 일환으로 악성코드와 침해사고 분야에서 AI 침해 대응에 적용할 수 있는 8억건 이상의 AI 데이터셋을 구축하는 ‘사이버보안 AI 데이터셋 구축 사업’을 추진했다. 민간 개방된 침해사고 데이터셋을 토대로 국내 보안 조직이 신·변종 보안 위협에 선제 대응할 수 있는 기반을 마련하는 것이 사업의 골자다. 사업 중 최신 침해사건 재현 분야는 이글루시큐리티가 담당했다. 이글루시큐리티는 15건의 엄선된 침해사고 시나리오 실행으로 6개 이기종 보안 장비에서 생성된 원시 데이터를 수집했다. 이후 공격의 특징을 추출·선별하고 레이블링 해 AI 학습을 위한 데이터셋 형태로 가공했다. AI 보안 모델을 적용한 사이트에 AI 데이터셋을 적용하며 검증도 완료했다. 이글루시큐리티는 국내 보안 조직들이 웹 애플리케이션 취약점을 이용한 공격, 랜섬웨어 감염 등 다양한 침해사고에 신속 대응할 수 있도록 15건의 침해사고에 대한 ‘플레이북’도 개발했다. 이번에 구축된 데이터셋은 KISA 사이버보안빅데이터센터를 통해 민간에 개방될 예정이다. 이글루시큐리티는 더 많은 국내 보안 조직들이 AI 혜택을 누릴 수 있도록 데이터셋 구축과 더불어 데이터 레이블링 툴 개발에도 집중한다는 계획이다. 이득춘 이글루시큐리티 대표는 “데이터 중심의 AI 역량을 토대로 올해는 기존 보안 사업과 더불어 양질의 학습 데이터 제공을 위한 데이터 사업 강화에도 속도를 내겠다”라고 말했다. welcome@fnnews.com 장유하 기자
2022-01-26 12:58:07[파이낸셜뉴스] "2017년 사이버침해 사고의 98%가 중소기업이었고, 지난해 중소기업과 소상공인의 랜섬웨어 피해율이 68%에 달했다." 중소벤처기업진흥공단 글로벌사업처 박선곤 처장은 13일 서울 글래드 호텔에서 열린 '2020 아시아태평양경제협력체(APEC) 중소벤처기업 정보보안 포럼' 개회사에서 "중소기업의 핵심기술을 보호하고 경영안정성 확보를 위해 사이버 보안에 대한 관심과 투자가 필요한 시점"이라며 포럼 개최 배경을 설명했다. 이번 포럼은 4차 산업혁명과 디지털 시대 중소벤처기업의 정보보안 중요성을 이해하고, 기술보호 역량 강화를 통해 기술경쟁력을 높이기 위한 포럼이다. 박선곤 처장은 한국인터넷진흥원(KISA)의 자료를 인용해 "2017년 한국 기업의 사이버 침해 사고율 조사에서 전체 피해기업 중 98%가 중소기업이었다"고 말했다. 또한 "한국랜섬웨어침해대응센터의 2019년 상반기 랜섬웨어 피해 분석 결과도 중소기업과 소상공인의 피해율이 68%로 나타나 사이버 보안 역량의 부익부 빈익빈 현상을 확인할 수 있었다"고 언급했다. 이어서 박 처장은 중진공이 펼치고 있는 중소기업의 정보보안 역량강화 지원안에 대해 소개했다. 중진공은 제조혁신바우처사업을 통한 정보보안 진단 및 컨설팅을 지원하고 중소기업연수원 온라인 무료 공개강좌를 활용해 정보보호 및 정보보안 교육을 운영하고 있다. 한편, 이번 포럼은 총 3개 세션으로, 첫 번째 세션은 '사이버 시대 보안 트렌드와 기술'이라는 주제 아래 해외 초청연사로 나선 IBM 아태지역 보안사업부 매튜 글리처 총괄 부사장의 기조연설로 시작했다. 이후 산업계, 학계의 국내 보안 전문가 3명이 강연을 이어갔다. 두 번째 세션에서는 21개 회원국 중 11개국에서 14명의 발표자가 각 국의 사이버 보안 실태와 역량강화 사례, 성공 노하우 공유를 통해 'APEC 역내 중소기업 정보보안 역량 강화' 주제를 전달했다. 마지막 세션은 '중기 정보 보호 방법과 정보보안의식 고취 방안'이라는 주제로 미국, 대만, 멕시코, 싱가포르의 패널 5명이 참석해 의견을 교류하는 토론이 진행됐다. monarch@fnnews.com 김만기 기자
2020-11-13 10:46:59[파이낸셜뉴스] 인터넷뱅킹 등 전자금융서비스가 일상화됐지만 '전자금융 침해사고' 역시 끊이지 않는 것으로 나타났다. 5일 국회 정무위원회 소속 홍성국 더불어민주당 의원(세종시갑)이 금융감독원으로부터 제출받은 '전자금융 침해사고 현황'에 따르면, 최근 5년 간(2016년~2020년 8월) 전자금융 침해사고는 37건 발생한 것으로 조사됐다. 한 번 발생하면 해당 금융사는 물론 자본시장 전체에 큰 영향을 미치는 전자금융 침해사고가 한 해 평균 7번 꼴로 발생한 것이다. 전자금융 침해사고는 전자적 침해행위로 인해 전자금융기반시설이 교란·마비되는 등의 사고를 말한다. 일반적으로 금융기관, 쇼핑몰, 포털 등의 해킹을 통한 전자금융 접근매체의 유출, 비정상적인 지불결제나 인터넷뱅킹 이체 사고 등이 해당된다. 전자금융 침해사고를 유형별로 보면, 여러 대의 컴퓨터가 특정사이트를 마비시키려고 한꺼번에 공격을 가하는 해킹 수법인 디도스(DDos) 공격이 23건으로 가장 많았다. 그 뒤를 정보유출 7건, 시스템위변조 5건, 악성코드 감염 2건 순으로 이었다. 올해에는 한국거래소, 케이뱅크, 카카오뱅크, 11번가가 디도스 공격을 받았다. 지지자산운용은 내부정보가 유출됐고, 페퍼저축은행은 인터넷망 웹메일 서버 침해(악성코드)가 발생한 것으로 드러났다. 특히 추석 연휴 중인 10월 2일 우리은행, 하나은행을 대상으로 디도스 공격 시도가 있었으나 준비된 대응절차에 따라 대응해 특별한 피해가 발생하지 않은 것으로 파악됐다. 홍성국 의원은 "전자금융 침해사고가 해당 기업과 금융시장뿐 아니라 금융소비자들의 전자금융거래 안전성과 신뢰성을 크게 훼손한다"며 "전체 금융기관과 감독기관 간 유기적인 공조를 기반으로 침해사고를 예방해야 한다"고 강조했다. juyong@fnnews.com 송주용 기자
2020-10-05 08:55:31