-
IT·보안
데이터 기본법 시행령, 국무회의 의결
「」 이 년 월 일 국무회의에서 의결되어 월 일부터 시행되었습니다지난 월 일 데이터 산업의 경쟁력 강화를 위해 데이터 산업 진흥 및 이용촉진에 관한 기본법이 제정되었으며이에 따른 후속 조치로 시행령안은 대국민 공청회 등을 포함해 총 차례의 업계 간담회 등의 절차를 거쳐 최종 확정되었습니다이번 시행령의 바탕이 된 「데이터 산업 진흥 및 이용촉진에 관한 기본법」은 다음과 같은 목적을 갖고 제정되었으며데이터와 데이터 산업의 용어에 대해 다음과 같이 정의하고 있습니다 [2021.10.19 ]제조목적 , .제조정의이 법에서 사용하는 용어의 뜻은 다음과 같다 데이터란 다양한 부가가치 창출을 위하여 관찰실험조사수집 등으로 취득하거나 정보시스템 및 「소프트웨어 진흥법」 제조제호에 따른 소프트웨어 등을 통하여 생성된 것으로서 광光또는 전자적 방식으로 처리될 수 있는 자료 또는 정보를 말한다 데이터산업이란 경제적 부가가치를 창출하기 위하여 데이터의 생산유통거래활용 등 일련의 과정과 관련된 행위와 이와 관련되는 서비스를 제공하는 산업을 말한다 이처럼 데이터 기본법은 데이터의 활용범위가 넓어짐에 따라 이제는 경제·사회전반에서 필수요소로 자리잡았기에 데이터 산업 육성을 위해 제정한 법입니다데이터 기본법 시행령안의 주요 내용은 다음과 같습니다 국가데이터 정책의 컨트롤타워국가데이터 정책위원회설립국가데이터 정책위원회는 민간과 공공을 아우르는 범정부 데이터 정책 컨트롤 타워로이의 효율적 운영을 위하여 데이터 정책의 효율적·전문적 심의와 위원회 업무를 체계적으로 지원하는 전문위원회와 사무국의 구성 및 운영 근거 등을 마련하였습니다전문위원회와 사무국은 국가데이터정책위원회가 데이터 산업 진흥 정책 전반의 총괄·조정 역할을 수행하는데 있어다양한 분야의 전문가가 정책 제안 및 수립에 주도적으로 참여하고제시된 아이디어들이 실질적인 정책 집행으로 이루어질 수 있도록 지원하는 핵심 기반이 될 것으로 예상하였습니다 데이터 유통·활용을 촉진하는 데이터 가치평가데이터 거래사수요자와 공급자간 데이터 거래를 중개하는 데이터 거래사의 자격·경력기준과 데이터에 대한 가치평가를 전문적·효율적으로 수행하는 데이터 가치평가 기관에 대한 지정요건도 마련하였습니다 , , , . 3. , ‘’ 한국지능정보사회진흥원과 함께 데이터 산업 전반의 육성을 지원하는 전문 기관 또는 단체를 규정하였습니다이는 향후 기본계획의 수립 지원가치평가 기법 및 체계 마련 참여 등의 역할을 수행함으로써정부와 함께 데이터 산업 기반 조성에 힘쓸 수 있을 것입니다 데이터 사업자의 구심점인 협회설립데이터 거래사 교육 등 수행 50, , . , . , , 1, . “, ”. 출처 및 참고자료 과학기술정보통신부 보도자료, 「데이터 기본법 시행령, 국무회의 의결」
-
- 22.05.09
-
IT·보안
인공지능? 머신러닝? 딥러닝?
2016년 알파고와 이세돌 9단의 바둑 대결을 기억하시나요? 천재 바둑기사 이세돌 9단을 인공지능 알파고가 이겨 대중들에게 큰 충격을 주었죠. 알파고를 시작으로 이제는 자율주행 자동차, 얼굴인식, 챗봇, 스마트홈, 의료진단 등 인공지능이 사용되지 않는 분야를 찾기가 어려울 정도로 인공지능은 수많은 기술에 접목되어 우리 생활에 영향을 미치고 있습니다. 이처럼 인공지능은 다양한 분야에서 활용되고, 지속적으로 발전해 나아가고 있습니다. 인공지능의 핵심기술에는 머신러닝과 딥러닝이 있으며 이들은 비슷하지만 차이점도 존재합니다. 머신러닝(Machine learning) 머신러닝은 인공지능의 분야 중 하나로, 외부에서 주어진 대량의 데이터를 학습한 컴퓨터가 알고리즘을 이용해 이를 분석하고, 결론을 도출합니다. 2020년 방송된 tvn드라마 ‘스타트업’에서 주인공은 알고리즘을 이렇게 설명합니다. “컴퓨터를 타잔이라고 쳐. 이 아인 무인도에서 자라서 여자를 한 번도 본 적이 없어. 그런데 어느 날 갑자기 무인도에 제인이 온 거야. 타잔이 제인에게 돌멩이를 주니까 싫어해. 그런데 꽃을 주니까 좋아해. 그래서 계속 시도를 해. 뱀을 잡아주니 싫어해. 토끼를 주니 좋아해. 소리 치면 싫어하고 웃어주면 좋아해. 그렇게 경험을 많이 하면서 제인의 마음을 얻어가는 법을 배워.” 즉, 머신러닝이란 데이터를 기반으로 기계가 스스로 학습하게 하는 방법이며, 이는 다음과 같이 3가지의 학습방식으로 분류할 수 있습니다. · 지도 학습: 정답이 있는 데이터를 활용하여 학습시키는 과정 · 비지도 학습: 출력 없이 입력만으로 학습하여 결과를 예측하는 과정 · 강화 학습: 현재의 상태에서 어떤 행동을 취하는 것이 최적인지를 스스로 학습하는 과정 아마존에서 제품을 사용자에게 맞춤형으로 추천해주는 기능, 넷플릭스와 유튜브와 같은 플랫폼에서 사용되는 추천기능과 포털사이트에서 검색할 때 사용되는 자동완성 및 연관검색어 기능 또한 머신러닝의 한 부분입니다. 딥러닝(Deep learning) 머신러닝과 유사하지만 한단계 진화한 개념인 딥 러닝은 데이터를 별도로 제공하지 않아도 스스로 결과를 예측하며, 자체적으로 배우고 지능적인 결정을 내릴 수 있는 ‘인공신경망’을 만듭니다. 머신러닝과의 차이점은 머신러닝은 지정된 방식으로 정리된 정보, 즉 정형데이터를 다룹니다. 의사결정에 필요한 데이터를 사람이 정리해 기계에 알려주면 기계는 이를 토대로 판단이나 예측을 하게 됩니다. 반면 딥러닝은 주로 이미지, 비디오, 음성 등의 지정된 방식으로 정리되지 않은 비정형 데이터를 다룹니다. 즉, 딥러닝에서는 머신러닝에 비해 스스로 학습하고 결과를 예측할 수 있으며, 훨씬 많은 데이터가 활용되기 때문에 더욱 세밀한 작업이 가능합니다. 2016년 이세돌 9단과 바둑대결을 펼쳤던 구글의 알파고 또한 딥러닝의 사례이며, 페이스북은 딥러닝 기술을 적용해 ‘딥페이스’라는 얼굴 인식 알고리즘을 개발하였습니다 상담원 대신 고객들의 질문에 답하는 ‘챗봇’ 등의 서비스도 모두 딥러닝 기술이 활용됩니다. 운전자 없는 자동차, 비대면 진료와 같이 공상과학 영화에서 볼 수 있었던 것들이 이미 쓰이고 있거나, 점차 상용화 되어가고 있습니다. 딥러닝의 등장으로 인공지능의 영역은 보다 확장되었고, 앞으로도 무한히 확장될 것입니다. 그러나 관련 법과 규제의 부재, 윤리적 문제, 보안 문제, 책임 전가 문제 등 인공지능의 발달과 함께 해결해야 할 한계점도 함께 지니고 있습니다. 인공지능의 발전으로 보다 편리한 일상을 누릴 수 있는 만큼 인공지능 기술의 한계점을 극복하고 올바르게 활용할 수 있도록 하는 사회적 역할도 중요해질 것입니다.
-
- 22.04.22
-
IT·보안
인공지능의 모든 것! AI EXPO Korea 2022
AI(Artificial Intelligence)는 사람처럼 학습하고 추론할 수 있는 컴퓨터 시스템을 만드는 기술로 4차 산업혁명의 핵심 기술 중 하나로 손 꼽히고 있습니다. 이러한 AI 핵심 기술들과 트렌드를 확인할 수 있는 국내 최대 인공지능(AI) 전시회인 '국제인공지능대전(AI EXPO KOREA 2022)'이 서울 삼성동 코엑스에서 지난 4월 13일부터 15일까지 3일간 개최되었으며, 약 350여개의 관련 기업이 참여하고 400여개의 부스를 통해 인공지능 관련 최신 기술과 솔루션, 플랫폼, 비즈니스 모델등 인공지능의 모든 것을 한눈에 살펴볼 수 있었습니다. 이번 인공지능대전을 통해 인공지능 산업의 트렌드와 어떠한 기술과 융합되어 사용되는지, 나아가 AI의 미래 전망은 어떠할지 살펴보겠습니다. AI+X (인공지능 융합기술) AI+X란 인공지능의 ‘AI’와 모든 학문분야 ‘X’를 뜻하며, 모든 산업에 AI기술이 활용되는 결합시스템 사회를 의미합니다. 즉, AI기술이 기존에 주로 사용되었던 챗봇, AI 스피커와 같은 특정 분야를 넘어 의료, 금융, 보안, 헬스케어 등 다양한 산업에 적용됨으로써 AI의 적용분야와 영향력이 확대되고 있음을 알 수 있습니다. 인공지능 융합기술은 얼굴 감지 및 분석, 비교 등을 통해 정밀한 사용자 식별과 보안인증을 필요로 하는 곳에서 신원인증의 수단으로 사용할 수 있으며, 사용자의 자세를 AI가 인식하여 스포츠 및 자세교정에 도움을 주거나 환자의 움직임을 감지해 간병인의 역할을 대신해주는 등 다양한 분야에 적용될 수 있습니다. 따라서 이제는 AI가 특정 산업 분야가 아닌 모든 산업에 응용되고 있음을 알 수 있었습니다. 특히 AI+X는 정부에서 지정한 ‘디지털 뉴딜’사업의 일환으로 의료, 안전과 같은 정확도와 신속성이 필요한 분야에 활용되고 있는데요. 실제로 코로나 확진 환자의 초기 의료데이터를 AI로 분석하여 중증 이상으로 진행될 확률을 제시하는 등 코로나 의료진의 지원에 사용되기도 했습니다. 이처럼 앞으로 AI를 활용한 다양한 솔루션이 고도화된다면 의료 부담 및 안전 등 국민들의 생활의 질을 높이는 데에 기여할 것으로 기대됩니다. 메타버스 메타버스는 가상세계(VR)보다 한 단계 더 진화한 개념으로, 아바타를 활용해 가상현실뿐만 아니라 실제현실과 같은 사회·문화적인 활동까지 즐길 수 있다는 특징이 있습니다. 이번 엑스포에서는 메타버스와 인공지능을 결합한 서비스를 제공하는 기업들이 참가하였습니다. AI 아나운서, 점원, 은행원 등 각종 직군을 대체하는 AI기술을 선보이기도 했으며 AI가 배우의 연기를 대체하는 모습도 살펴볼 수 있었습니다. 또한 얼굴인식을 통해 개개인의 특성을 갖춘 아바타를 만들어볼 수 있는 체험부스도 마련되어 있었습니다. 메타버스는 인공지능과 융합했을 때 더 큰 시너지효과를 낼 수 있습니다. 메타버스상에서 아바타는 실제 모습을 반영하는 데에는 한계가 있습니다. 그러나 나의 얼굴을 학습한 AI가 내 모습과 흡사한 아바타를 만들어낼 수 있으며 AI기술을 통해 보다 현실감 있는 움직임을 만들어 낼 수 있습니다. 이처럼 메타버스는 인공지능과 융합했을 때 AI를 활용한 다양한 콘텐츠 창출, 물리적 한계의 극복 등 더 큰 시너지를 낼 것으로 기대됩니다. 데이터 서비스 ‘빅데이터’라 불리는 수많은 데이터가 쏟아지는 요즘, 이를 관리하기 위해서는 데이터를 효과적으로 수집 및 분석하는 기술이 필요합니다. 데이터 서비스는 이러한 수많은 데이터를 수집, 가공, 마이닝, 시각화, 정제, 분석, 모니터링, 저장, 관리 등을 행하는 서비스를 뜻합니다. 이번 행사에서는 다양한 부스에서 데이터 서비스 기술을 활용한 서비스를 제공하고 있었습니다. 교통환경 데이터를 분석하여 자율주행 서비스에 도움을 주거나 민원인과의 상담에 AI가 대신 문맥과 상황에 맞는 답변을 제공하거나 패션상품을 AI가 학습하여 입력한 이미지로부터 최적의 패션상품을 추천하는 등 다양한 분야에 데이터 서비스가 활용되고 있었습니다. 특히 데이터 라벨링 기술을 활용한 제품들이 눈에띄었는데요. AI 데이터 라벨링 기술은 에러 발생 가능성이 높은 기존의 직접 라벨링 방식과 달리, 데이터 가공과정부터 AI를 도입해 오류를 줄이고 데이터 품질 정확도를 높이는 기술입니다. 이는 기업들이 보다 간편하고 저렴한 비용으로 데이터를 라벨링할 수 있어 기업에서 업무효율성을 높일 수 있을 것으로 기대되는 기술 중 하나입니다. 2022년 3월 한국 IDC에서 발표한 ‘국내 인공지능(AI) 시장 전망, 2021-2025' 보고서에 따르면 국내 AI시장은 향후 5년간 연평균성장률 15.1%를 기록할 것이며 2025년에는 AI시장규모가 1조원을 돌파하여 2조원 가까이 커질 것으로 전망하였습니다. 이번 국제인공지능 대전에서도 대기업뿐 아니라 중소중견기업에서도 AI기술을 활용한 솔루션을 출시하고 있으며, AI가 활용되는 분야도 점차 확장되고 있음을 알 수 있었습니다. 정부에서도 AI기술 및 산업을 지원하는 정책을 확대하며 국내 AI시장의 확대와 경제효과 창출을 목표로 하고 있음을 밝혔습니다. 이전에는 낯설게 느껴졌던 AI가 우리 삶에 녹아들 날도 멀지 않은 것 같습니다.
-
- 22.04.19
-
IT·보안
KISA, '민간부문 침해사고 대응 안내서' 배포
아침에 일어나서 잠들기 직전까지 인터넷은 우리의 생활에서 필수 불가결한 존재가 되었으며, 인터넷을 기반으로 한 기술이 국가 경쟁력을 좌우하고 있기도 합니다. 그러나 인터넷의 생활화와 함께 해킹, 악성코드, 개인정보 침해, 산업기밀 유출, 사이버 테러 등의 사이버 범죄 유형 또한 갈수록 지능화되어가고 있으며, 경찰청 통계에 따르면 사이버 범죄 발생건수는 매년 증가추세를 보이고 있습니다. 이처럼 사이버 범죄는 이제 개인, 기업의 문제를 넘어서 사회적 이슈가 되고 있으며 피해 규모 또한 점차 증가하고 있습니다. 민간부문 침해사고 대응 안내서 이에 한국인터넷진흥원 KISA에서는 ‘민간부문 침해사고 대응 안내서’를 발간하여 기업에서 알아야 할 사이버 침해사고 대응 방법을 상세히 안내하였습니다. 안내서의 적용범위는 민간부문이며 구체적인 대상은 정보통신서비스 제공자, 인터넷서비스 제공자 및 집적 정보통신시설 사업자, 기업의 정보보호담당자 또는 네트워크 관리자입니다. 그러나 인터넷 침해사고의 신고 방법 등 인터넷 이용에 있어 꼭 필요한 내용을 다루는 만큼 이번 안내서는 대상자뿐만 아니라 인터넷을 사용하는 모든 개인에게 필요한 내용일 것입니다. 사이버 침해사고 신고 ‘침해사고’란 해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스 거부 또는 고출력 전자기파 등의 방법으로 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위를 하여 발생한 사태 「정보통신망법 제2조 제1항 7호」를 의미합니다. 침해사고 의무 대상은 영리를 목적으로 인터넷 서비스를 운영하는 모든 사업자(기업)가 해당되며, 인터넷 상에서 상업적인 목적으로 웹사이트를 개설·운영하거나 인터넷 기반 서비스를 제공하는 경우에도 모두 해당합니다. 침해사고가 발생하였을 시 대응단계는 다음과 같습니다. 출처: KISA, 「민간부문 침해사고 대응 안내서」정보통신서비스 제공자는 해킹, 악성코드, DDOS 등의 사이버 공격으로 인한 침해사고가 발생하거나 이를 인지한 경우 정보통신망 이용촉진 및 정보보호 등에 관한 법률에 의거하여 그 사실을 과학기술정보통신부나 한국인터넷진흥원에 신고하여야 합니다. 신고는 침해사고를 인지한 즉시 이루어져야 하며, 한국인터넷진흥원의 보호나라&KrCERT 홈페이지 또는 118상담센터에 신고 및 신고 후 사고원인 분석 및 조치를 위한 기술지원이 필요할 경우에도 기술지원을 받으실 수 있습니다. 신고에 필요한 절차 및 세부 내용은 안내서에서 자세하게 확인하실 수 있습니다. 침해사고 조치 가이드 침해사고 조치가이드에서는 사이버 침해사고 발생 시 구체적인 대응 절차, 사고 유형별 시스템 점검항목 및 조치 방안, 웹 서버 취약점 조치 방안, DB취약점 조치방안 등의 정보를 제공하고 있습니다. 개인의 경우 사이버 침해사고 조치 방안으로는 정품 소프트웨어 사용, 운영체제 및 소프트웨어에 대한 최신 패치 적용, 백신 소프트웨어 설치, 중요 데이터 백업 수행, 회원가입 사이트마다 별개의 아이디 및 패스워드 사용 이 있습니다. 기업의 경우 웹 서버, 네트워크, DB, 어플리케이션 등 취약한 시스템의 유형별 조치방안이 각각 안내되어 있습니다. 이번 러시아-우크라이나 사태 특징 중 하나는 이전 사태와는 다르게 온라인을 통해 실시간으로 현지 상황을 전달했으며, 국제 해커 집단 Anonymous(어나니머스)가 러시아 언론에 디도스 공격을 시행하기도 했습니다. 이처럼 현대의 전쟁은 사이버 전으로 확대되어 지상전과 동시에 발생하고 있습니다. 이처럼 이제 개인, 기업에 관계없이 사이버 위협에 대한 대응이 필요하며, 중요 데이터 및 정보를 보호하기 위한 철저한 보안조치가 필요할 것입니다. 이번 민간부문 침해사고 대응 안내서 또한 이에 필요한 내용을 담고 있으며, 한국인터넷진흥원 KISA홈페이지에서 다운로드 가능합니다.
-
- 22.04.12
-
IT·보안
개인정보위, 동의 안내서 및 처리방침 작성지침 공개
개인정보의 수집·이용에 동의합니다김OO씨는 배송 서비스를 위해 주소·연락처 등 개인정보 수집·이용에 동의해줄 것을 요청받고는 빠르게 배송 서비스를 이용하기 위해 꼼꼼히 확인하지 않고 동의란에 서명했습니다.앞으로 이와 같은 사례는 동의 내용을 충분히 이해하고 능동적으로 동의여부를 결정할 수 있도록 개선될 전망입니다. 개인정보 보호위원회가 2022년 3월 3일 '알기쉬운 개인정보 처리 동의 안내서와 개인정보 처리방침 작성지침을 공개하였습니다. 개인정보 처리 동의 및 개인정보 처리방침은 그동안 지나치게 형식화되어 실질적인 기능을 하지 못한다는 지적이 많았습니다. 개인정보보호위원회에서는 불필요한 동의요구 관행 및 형식화된 동의를 개선하고 정보주체의 능동적 선택권 보장 등을 이유로 「알기쉬운 개인정보 처리 동의 안내서」 및 「개인정보 처리방침 작성지침」을 발표하였습니다. 이를 통해 읽지 않고 동의하는 관행을 방지하고 개인정보처리를 쉽게 할 수 있을 것으로 예측됩니다. 알기 쉬운 개인정보 처리 동의 안내서「알기 쉬운 개인정보 처리 동의 안내서」는 개인정보자기결정권의 중요한 실현 수단으로써 의의를 가집니다. 개인정보보호법 4조에서는 ‘정보주체의 개인정보 처리에 관한 동의여부를 선택하고 결정할 권리’를 규정하고 있습니다.제4조(정보주체의 권리) 정보주체는 자신의 개인정보 처리와 관련하여 다음 각 호의 권리를 가진다.1.개인정보의 처리에 관한 정보를 제공받을 권리2.개인정보의 처리에 관한 동의여부, 동의 범위 등을 선택하고 결정할 권리개인정보위는 기존 동의 관행 개선을 통한 개인정보 보호 원칙의 실질적인 개선을 목적으로 개인정보 처리 동의 수령 시 준수 사항을 4가지로 나누어 제시하였습니다. 준수사항은 다음과 같습니다.①필요한 최소한의 개인정보 처리: 개인정보 처리 필요성을 예측하여 동의를 포괄적으로 미리 받지 말고, 필요한 시점에, 필요한 최소한의 개인정보 처리에 대해서만 동의를 받아 처리하여야 합니다.②동의내용의 명확한 고지: 개인정보처리자는 개인정보 처리 주체와 처리 내용을 명확히 고지하여야 합니다.③정보주체의 능동적 의사 확인: 개인정보처리자는 정보주체의 능동적 의사를 확인할 수 있도록 누구나 쉽게 이해할 수 있는 언어로 동의 내용을 안내하여야 하며, 정보주체의 동의 의사는 적극적인 동작이나 진술을 통해 분명하게 나타나야 합니다.④정보주체의 선택권 보장: 필요한 최소한 범위를 넘어서는 개인정보 처리에 동의를 거부한다는 이유로 재화·서비스 제공 거부 등 불이익을 주어서는 안 됩니다.개인정보 처리방침 작성 지침「개인정보 처리방침 작성 지침」은 개인정보처리의 투명성을 높이기 위해 개인정보처리자에게 개인정보 처리 내역을 개인정보처리방침에 작성하여 공개하도록 하고 있으나, 개인정보 처리방침이 형식적으로 작성되고 내용도 복잡해 정보주체의 대다수가 개인정보처리방침을 확인하지 않으며 정보주체의 권리 보장에의 한계를 개선하기 위해 작성되었습니다. 주요 항목은 다음과 같습니다.①중요 사항 기재 권장: 개인정보 보호 법령에 따른 개인정보 처리방침 의무 기재 사항과 권장 기재 사항을 구분하는 한편, 개인정보의 국외이전, 긴급상황 시 개인정보 처리 등 개인정보 보호 법령상 의무 기재 사항은 아니지만 중요한 사항을 권장기재사항에 포함시켰습니다.② 핵심사항 기호 공개: 개인정보 처리방침의 핵심사항을 정보주체가 쉽게 알아볼 수 있도록 기호로 구성한 개인정보 처리 표시(라벨링)를 도입하여 처리방침의 앞부분에 요약된 형태로 공개하도록 하였습니다.③ 업종별 작성지침 마련: 일반적으로 적용 가능한 작성지침 외에 의료, 공공기관 등 업종별 특성을 반영한 작성지침을 제시하여 다양한 업종의 개인정보처리자가 참고할 수 있도록 하였습니다.개인정보위는 개인정보처리자와 정보주체를 대상으로 교육 및 홍보와 개인정보보호 포털의 개인정보 처리방침 만들기를 통해 개인정보 처리방침 작성을 지원하고 관련 법령 개정 등을 통해 지속적으로 보완하겠다고 밝혔습니다.윤종인 개인정보위 위원장은 “이번에 공개한 안내서와 작성지침을 통해 데이터 시대에 정보주체가 자기정보 처리를 충분히 이해하고 보호할 수 있는 계기가 되기를 기대한다”면서 “나아가 개인정보 안심사회 구현을 위해 기업의 자발적인 관심과협조를 당부드리고, 개인정보위도 동의를 실질화하고 정보주체의 신뢰를 제고하기 위해 노력할 것”이라고 밝혔습니다. 이번 안내서 및 작성지침은 개인정보위 누리집(www.pipc.go.kr)과 개인정보보호포털 (www.privacy.go.kr)을 통해 확인하실 수 있습니다.출처 및 참고자료개인정보 보호법개인정보보호위원회, 「개인정보 처리방침 작성지침」개인정보보호위원회, 「알기쉬운 개인정보 처리 동의 안내서」
-
- 22.04.08
-
IT·보안
내부회계관리제도 적용 기업의 ITGC 대응 방안 (하)
엄격해진 신외감법의 도입으로 회계감사를 앞둔 기업들의 부담이 가중되고 있다는 점에 대해 앞선 ‘내부회계관리제도 적용 기업의 ITGC 대응 방안 (상)’편에서 안내해드렸는데요, 이처럼 내부회계관리제도 적용 대상 기업들은 정보기술일반통제(ITGC)에 대비해 적절한 IT 보안 통제 제도를 구축해야 할 것입니다. 이번 게시글에서는 기업이 ITGC에 대응하기 위해 필요한 방안으로 신시웨이의 PETRA 보안솔루션을 함께 소개해드리겠습니다. ITGC에 대한 대비가 기업에 필요한 이유는 무엇인가요 내부회계관리제도 통제활동의 원칙11에는 [정보기술 일반통제의 선정과 구축]이 있으며 원칙 달성을 위한 중점 고려사항은 다음과 같습니다. 11-01: 업무 프로세스에서 사용되는 정보기술과 정보기술 일반통제간 의존도 결정 경영진은 프로세스 및 자동통제와 정보기술 일반통제간의 의존성과 연관성을 이해하고 결정한다. 11-02: 정보기술 인프라 통제활동 수립 경영진은 정보처리의 완전성, 정확성 및 이용가능성을 확보하기 위한 정보기술 인프라에 대한 통제활동을 선택하고 구축한다. 11-03: 보안관리 프로세스에 대한 통제활동 수립 경영진은 업무책임에 상응하는 정보기술 접근권한을 허가된 담당자로 제한하고, 외부의 위협으로부터 회사의 자산을 보호하기 위한 보안 관련 통제활동을 선택하고 구축한다. 11-04: 정보기술의 취득, 개발 및 유지보수 프로세스에 대한 통제 수립 경영진은 내부통제 목적 달성을 위하여 정보기술 및 인프라의 취득, 개발, 유지보수 활동에 대한 통제활동을 선정하고 구축한다. 이처럼 회사는 보안관리프로세스에 대한 통제활동을 구축하여 내부회계관리제도 원칙 중 통제활동의 원칙을 준수하여야 합니다. 기업이 내부회계관리제도의 ITGC에 규정된 시스템을 구축하지 못한다면, 회계감사 결과에 따라 상당한 불이익이 발생할 수 있으며 상장사의 경우 2년 연속 비적정 의견을 받으면 상장폐지 대상이 될 수 있습니다. 따라서 기업은 내부회계관리제도 ITGC에 대한 준비가 갖춰져 있어야 할 것입니다. ITGC에 대응하기 위해 기업에서 고려해야 할 사항은 무엇인가요? 정보기술 일반통제는 주로 IT업무 전반에 걸친 통제활동을 의미하며, 이에 대응하기 위해 기업에서 고려해야 할 사항들은 다음과 같습니다. 시스템 도입 및 개발에 대한 정보기술일반통제는 시스템이 최초에 개발될 때와 시스템 구축 이후 자동통제가 적절히 작동하는지에 대해 평가하기 때문에 정보기술 일반통제의 적절한 작동 여부를 확인해야 합니다. 또한 정보기술 일반통제에서는 기업이 정보기술처리의 완전성, 정확성, 이용가능성을 달성할 수 있는 절차 및 통제활동을 구축하고 적용할 수 있는지에 대해 고려합니다. 따라서 정보기술 인프라 통제활동을 알맞게 수립해야 합니다. 애플리케이션 시스템의 거래를 처리할 수 있는 권한을 포함하여 회사의 정보기술에 대한 접근권한을 누가 어떤 수준으로 보유하고 있는지에 대한 프로세스 및 통제활동을 평가하며 승인된 사용자 계정에 기반한 인증 통제활동을 통해 정보기술에 대한 사용자의 접근이 이루어지고 있는지 평가하므로 승인된 계정만 정보기술에 접근할 수 있도록 통제하는 접근제어 환경을 구축해야 합니다. 마지막으로는 정보기술의 취득, 개발, 유지보수 활동과 관련하여 시스템 설계 및 구축, 개발단계에 대한 개요, 문서화 요건, 승인체계, 점검항목에 대한 통제활동이 적절히 이루어지고 있는지 평가하고 있습니다. 따라서 기업에서는 정보기술의 취득, 개발, 유지보수활동과 관련한 항목에 대한 통제활동을 구축해야 합니다. ITGC 평가항목 중 페트라 솔루션을 적용했을 때 어떤 측면에서 활용될 수 있나요? ITGC 적용 기업에서는 내부통제를 위해 관련 없는 자의 접근을 제한하는 사용자 계정 및 접근 권한관리를 통한 보안관리가 필요하며, 이는 PETRA 접근제어 솔루션을 통해 구축할 수 있습니다. PETRA 접근제어에서는 기업의 주요 데이터, 소프트웨어, 하드웨어에의 접근을 관리하기 위한 물리적인 접근통제 및 식별, 인증, 승인 메커니즘 등의 논리적인 접근통제를 수립하고 적용하고 있습니다. 또한 보안활동에 대한 기록, 발생가능한 보안위반 사항에 대한 식별, 이에 대한 전달 및 적시대응 등을 포함한 효과적인 보안체제를 구축하고 있습니다. 이는 ITGC평가항목 중 다음과 같은 항목들에 적용 및 활용될 수 있습니다. -전산시스템과 응용프로그램에 대한 시스템, 사용자의 통제에 대한 적절한 문서화가 이루어진다. -새로운 시스템을 운영환경으로 이전함에 있어 접근통제를 수행한다. -정보보안 정책을 수립하고 있으며, 보안실무를 고려하여 그 적정성을 정기적으로 검토한다. -구성원이 수행하는 업무의 내용 및 직무기술서 등을 고려하여 시스템 접근권한의 적정성 정기적으로 검토한다. -IT자원(하드웨어, 소프트웨어, 데이터)에 대한 접근을 관리하기 위한 물리적인 접근통제 및 논리적인 접근통제(식별, 인증, 승인메커니즘 등)를 수립하고 적용하고 있다. -적시에 사용자 계정을 추가, 수정, 삭제할 수 있는 절차를 수립하고 적용하고 있다. -보안활동에 대한 기록, 발생 가능한 보안위반 사항에 대한 식별 등 효과적인 보안체제를 구축하고 있다. 접근제어 이외에도 ITGC에서 적용 가능한 페트라 솔루션이 있나요? DB 권한결제 솔루션 Petra Sign을 통해 ITGC에 대비할 수 있습니다. Petra Sign은 권한결재 시스템으로 사용자 계정에 대한 권한 부여와 책임 증빙으로 기업의 데이터를 효율적으로 관리할 수 있도록 해줍니다. 이는 ITGC평가항목 중 다음과 같은 항목들에 적용 및 활용될 수 있습니다. -시스템에 대한 변경 요청은 적절한 경영진의 승인을 받는다. -시스템 변경의 영향을 적절히 반영하기 위해 관련 시스템, 사용자, 관련 통제문서 등을 적절히 수정한다. -운영환경에 적용된 시스템은 적절한 관리자의 승인없이 변경되지 않는다. -변경된 시스템과 응용 프로그램을 운영환경으로 이전하기 전에 적절한 관리자가 승인한다. -백업자료에 대한 접근을 승인된 구성원에게만 허용할 수 있는 통제절차가 존재한다. 기업에 페트라 솔루션을 적용했을 때 실제로 어떤 식으로 활용될 수 있나요? 기업에서 Petra 솔루션을 도입할 경우, 다음과 같이 기업 내 인사 시스템에 활용될 수 있습니다. -인사시스템으로부터 자동으로 신규 입사자 목록을 연계·수신하여 접근권한 관리 솔루션에서 접속 계정을 생성할 수 있습니다. -인사 시스템에서 수신받은 부서 및 역할정보에 따라 자동으로 기본 권한이 부여되며, 신규 접근 메뉴가 필요하거나 역할을 조정할 때에는 권한등록요청서 작성을 통해 권한을 부여합니다. -접근권한관리 솔루션 상 권한등록변경 요청 절차를 거치기 위해 요청서를 작성한 후 부서장 결재가 이루어진 후 시스템 소유자 또는 정보보안파트 결재가 이루어집니다. -IT운영담당자는 매월 부서변경 등으로 인해 권한변경이 발생한 임직원의 리스트를 각 부서에 송부하고, 부서장은 변경된 권한의 적정성을 검토합니다. -동일 부서 내 이동의 경우, 역할을 조정하며 타 부서로 이동한 경우에는 기존 사용자 권한을 삭제한 후 새로운 권한으로 재부여 합니다. 신시웨이의 PETRA 솔루션을 통해 내부회계관리제도 ITGC감사 대응을 위한 선제적이고 효율적인 보안 환경을 구축할 수 있을 것입니다. 데이터베이스 보안 관리에 최적화된 신시웨이 PETRA 솔루션은 신시웨이 홈페이지(www.sinsiway.com)에서 보다 자세히 확인하실 수 있습니다.
-
- 22.04.01
-
IT·보안
디지털 트윈, 가상이 현실이 되다.
디지털 트윈이란? 이전에는 소설이나 SF영화 속에서만 가능할 것 같았던 ‘가상세계’의 개념이 이제는 우리의 생활 속에 자리잡은 듯합니다. 가상세계와 현실을 결합하여 메타버스(Metaverse)에 대해서는 많이 들어보셨을 텐데요, 메타버스의 개념 중 현실 측면을 강조한 ‘디지털 트윈(Digital Twin)’도 들어보셨나요? 디지털 트윈은 현실의 사물과 공간을 똑같이 복제한 디지털 가상세계입니다. 현실에 존재하는 사물, 장치 등을 디지털 기술을 활용해 가상공간에서 그대로 구현하며, 이를 통해 실제로 발생할 수 있는 문제를 파악하고 해결하는 데 쓰이기도 합니다. 특히 항공, 건설·제조, 재난안전, 도시계획, 교통, 에너지, 환경, 국방 등 다양한 분야에서 활용될 수 있습니다. 디지털 트윈이 메타버스와의 다른점은 메타버스는 가상세계와 현실이 융합된 세계를 의미하지만, 디지털 트윈은 가상세계 공간에 현실세계를 똑같이 반영하여 이른바 ‘쌍둥이’처럼 서로 동작하도록 하는 기술이라는 점입니다. 미국의 글로벌 시장 조사 기업인 마켓리서치퓨처(Market Research Future)는 코로나19로 인한 디지털 산업의 확대와 온라인 환경의 증가 등을 이유로 들며 전 세계 디지털 트윈 시장은 2016년부터 37%가량 성장하여 2023년에는 150억 달러의 시장을 형성할 것으로 예측하였습니다. 글로벌 디지털 트윈 시장 전망(출처: 마켓 리서치 퓨처) 디지털 트윈, 실제 활용 사례는? 디지털 트윈 기술은 다양한 분야에서 활용되고 있는데요, 특히 국가, 도시행정의 고도화의 필수요소로 주목받으면서 전세계의 여러 도시들이 디지털 트윈을 도입하고 있습니다. 대표적인 사례로 싱가포르의 ‘버추얼 싱가포르(Virtual Singapore)’가 있습니다. 실제 도시의 도로, 주택 등 주요 시설을 가상의 공간에 그대로 옮긴 버추얼 싱가포르는 실제 도시를 실시간으로 모니터링하고 시뮬레이션을 통해 각종 도시의 문제들을 해결하고 있습니다. 우리나라 세종특별자치시에서도 2018년부터 5개년 계획으로 가상 세종디지털트윈을 통한 정책 수립 지원을 목적으로 디지털 트윈 구축 프로젝트를 추진하고 있습니다. 국가의 공공·민간데이터 및 지자체의 실데이터를 기반으로 디지털 트윈 시스템을 개발하여 정책 수립에 도움을 주는 것과, 디지털트윈 가상도시를 통해 데이터, SW, 머싱러닝 등의 기술을 기반으로 현실도시를 묘사하여 도시의 현황 파악, 문제 해결 등을 목적으로 하고 있습니다. 물류분야에서도 디지털 트윈을 활용하고 있습니다. 두바이 제브랄리 항구 컨테이너 터미널의 경우, 터미널의 주문, 각종 장비의 위치 및 상태, 컨테이너 정보 등을 가상화 모델을 제공하며, 터미널의 각종 주요 정보를 3D로 실시간 관제하여 운영을 효율화하고 있습니다. 디지털 트윈 활용을 통해 두바이 터미널은 실제로 운영비용 절감 및 생산성이 65%향상되어 성과를 거두었습니다. 디지털 트윈의 성장가능성과 한계점은? 카카오모빌리티와 네이버 랩스에서는 디지털 트윈 기술을 활용하여 고정밀 지도를 제작하는 등 신기술을 선도하겠다는 포부를 드러내기도 했습니다. 이렇듯 디지털 트윈 기술의 적용은 우리나라 기업에서도 확대되는 추세이며, 시공간의 한계를 극복하고 생산성과 효율성의 확대를 가져오는 등 앞으로의 성장이 기대되는 기술입니다. 현실 세계를 접하지 않고도 현재 상황과 미래를 정확히 예측할 수 있는 기술인만큼 다양한 분야에 활용도가 높아 제조업, 도시계획, 부동산, 금융 등 적용 영역이 계속해서 확대될 것으로 예상되고 있습니다. 그러나 데이터가 복제된다는 점에 있어 개인정보 유출, 해킹 등의 문제가 발생할 수 있으며, 초기에 높은 구축비용이 요구된다는 한계가 존재합니다. 사전에 철저한 보안시스템 구축이 필요하며, 시행착오를 줄여 비용을 절감할 수 있도록 해야 할 것입니다. 출처 및 참고자료 한국 전자통신 연구원, 「디지털트윈 기술의 도시 정책 활용 사례」KB금융지주 경영연구소, 「미래를 이끌 디지털 트윈의 진화와 적용 사례」
-
- 22.03.18
-
IT·보안
NFT열풍과 저작권 이슈
NFT(Non Fungible Token)란 블록체인 암호화 기술을 통해 그림, 영상, 음악 등의 디지털 파일에 고유한 식별 정보를 부여하는 것이며 대체 불가능한 속성을 지니고 있습니다. NFT는 게임, 디지털 아트, 스포츠 등에서의 영향력이 높아지고 국내외 기업들의 NFT 진출이 활발해지면서 미래 핵심 산업으로 떠오르고 있는데요, NFT의 개념에 대해서는 이전 게시글에서 다룬 적이 있습니다. 다만, NFT가 화두가 되는 새로운 산업인 만큼 관련 규제나 법안이 마련되지 않았기 때문에 이에 관한 저작권 이슈도 함께 떠오르고 있습니다. 유명 작품을 NFT로 만들어서 판매할 수 있을까? 국내에서 한 종합광고대행사가 한국 근현대 미술 작가들(이중섭, 김환기, 박수근 등)의 실물 작품을 스캔해 디지털 파일로 만들고, NFT로 발행해 경매로 판매하려 했으나 저작권자의 허락을 받지 않았으며, 이들이 갖고 있는 작품에 대한 위작 논란으로 경매가 중단되었습니다. 또한 세계 최대 NFT거래소 OpenSea에 프랑스 명품 브랜드 에르메스의 대표 제품 ‘버킨백’을 주제로 만든 디지털 작품이 올라와 한화로 약 10억원어치가 팔렸으나, 에르메스 측에서는 자사는 아직 NFT시장에 진출한 적이 없다며 지적 재산권과 상표권을 침해당했음을 주장하였습니다. 이와 같은 문제들은 NFT의 저작권에 관한 현행 법률이 없어 원작자의 저작권을 보호해주지 못하며, 현행법 때문에 발생합니다. NFT를 사면 저작권도 내 몫? NFT 작품을 구매하면 작품에 대한 저작권도 함께 가질 수 있을까요? NFT의 구매자는 소유권은 가질 수 있지만, 저작권은 가질 수 없습니다. ‘민팅’이라는 단어에 대해 알고계신가요? 오프라인에 있는 디지털 파일을 NFT화 하는 것을 민팅(Minting)이라고 합니다. NFT가 거래될 때 민팅 과정을 거친 후 거래를 하게 됩니다. 그러나 민팅 과정에서 오프라인 작품을 NFT화 할 때에는 반드시 저작권자의 동의가 필요하며, 동의 없이 시행했을 경우 저작권법 위반에 따른 형사처벌 대상이 될 수 있습니다. 저작권과 소유권의 문제로도 설명할 수 있는데요. 저작권이란 시, 소설, 음악, 미술, 등과 같은 ‘저작물’에 대해 창작자가 가지는 배타적인 법적 권리이며, 소유권이란 유체물에 대한 절대적이고 배타적인 지배권으로, 그 대상이 되는 유체물이 존재하는 한 존속하는 권리입니다. NFT를 구매하면 NFT에 대한 소유권은 인정되지만, 작품의 저작권은 원칙적으로 창작자에게 있기에 소유주가 창작자의 동의 없이 작품을 복제 및 배포한다면 이는 저작권 침해 문제로 이어질 수 있습니다. 즉, 소유주는 작품을 NFT로 만드는 행위를 할 수 없고, 이를 판매하는 것도 저작권법상 문제로 이어질 수 있습니다. 끊이지 않는 저작권 문제, 앞으로의 과제는? 전 세계적으로 NFT가 주목받으면서 특히 미술, 예술계에서 보다 활발하게 거래가 이루어지고 있지만, NFT의 저작권과 관련한 법적 제도가 미비해 저작권 피해 사례가 발생하고 있습니다. 문화체육관광부에서는 NFT를 판매할 때, 구입할 때의 유의점을 담은 NFT거래 종합 가이드라인을 만들겠다고 발표하기도 했습니다. 또한 특허청에서는 특허권, 상표권 등에 NFT 적용을 통한 지식재산에 대한 거래 활성화와 상표, 디자인 침해에 대한 규정 논의를 실시할 예정이라고 밝혔습니다. 사용자들 또한 작품을 NFT로 발행하고자 하는 경우 작품의 저작권과 소유권을 철저하게 확인한 후 발행해야 합니다. 이처럼 사용자들의 작품에 대한 저작권 의식과 함께 NFT에 관한 법적·제도적 뒷받침으로 원조 창작자의 저작권을 보호해 줄 때 NFT의 활성화와 NFT시장의 바람직한 성장과 대중화가 이루어질 수 있을 것입니다. 출처 및 참고자료 한국 저작권위원회, 「NFT를 둘러싼 최근 이슈와 저작권 쟁점」
-
- 22.03.16
-
IT·보안
포스트 코로나 시대의 재택근무, 철저한 보안은 필수
코로나와 함께 찾아온 재택근무, 업무 효율은?코로나19 팬데믹으로 인해 우리의 일상에 많은 변화가 있는데요, 그중 하나는 재택·원격근무의 확산일 것입니다. 코로나 이후로 많은 기업들이 재택근무 제도 도입과 함께 회식 및 출장 자제, 비대면 온라인 회의 등 대면활동을 최소화하는 방안으로 나아가는 추세입니다. 고용노동부에서 재택근무 실시 현황에 대해 기업 인사담당자와 근로자들을 대상으로 조사한 ‘재택근무 활용실태 설문조사’에 따르면 기업 10곳 중 5곳은 재택근무를 도입하였으며, 재택근무로 인해 업무효율이 높아졌다는 응답이 66.7%이며 근로자의 91.3%가 만족한다고 답변하였습니다. 재택근무에 만족하는 주요 요인으로는 출퇴근 시간 경감, 여가시간 확보, 일·가정 양립 기여 등으로 나타났습니다. 새로운 근무방식으로 자리잡은 재택근무, 보안은?이처럼 이제 재택근무는 기업들이 일하는 방식 중 하나로 자리잡은 것 같은데요. 그러나 보안 위협에 대한 대비를 하지 않은 채 실시하는 재택근무는 해킹, 악성코드 감염 등의 사이버 공격에 취약할 수 있습니다. 실제로 보안에 취약한 근무환경에의 피싱 및 악성코드 감염이 이슈가 되고 있으며, 재택근무에 사용되는 원격 단말기의 해킹 등의 보안위협으로 기업의 랜섬웨어 감염이나 기업의 정보유출을 초래할 수 있습니다. 재택근무 체계를 안전하게 지속적으로 시행하기 위해서는 안전한 보안환경을 구축해야 할 것입니다. 그렇다면 안전하게 재택근무를 하기 위한 보안수칙에는 어떤 것들이 있을까요? KISA 한국인터넷진흥원에서는 재택·원격근무시 지켜야 할 정보보호 6대 실천수칙을 발표하였습니다. 사용자 실천 보안 수칙1.재택 근무 시 개인 PC를 업무에 사용하는 경우 응용프로그램을 최신 상태로 유지하고 주기적인 보안 업데이트를 해주어야 합니다.2.백신프로그램을 설치하여 주기적으로 업데이트 및 바이러스 검사를 해야 합니다. 또한 백신 업데이트설정 및 실시간 검사 기능은 반드시 켜두어야 합니다.3.가정용 인터넷 공유기를 최신 SW로 업데이트 하고 공유기 비밀번호를 유추하기 어렵도록 특수문자 등을 포함하여 설정해야 합니다. 또한 개인 영업장(카페, 식당 등)에 설치된 사설 와이파이 및 공용 PC를 이용한 재택근무는 자제해야 합니다.4.회사에서 제공하는 메일서비스를 사용하는 것이 안전하며, 목적 외 메일은 열람을 자제하고 링크, 파일 등을 함부로 클릭하거나 다운받지 않아야 합니다.5.업무를 위한 웹사이트 이외에 개인적인 목적의 웹사이트 접속은 자제해야 합니다.6.메일 또는 웹브라우저를 통해 파일 다운로드 시 랜섬웨어 감염 가능성이 있으므로 출처가 의심스러운 파일은 다운로드하지 않아야 하며 업무 파일은 별도의 저장장치에 주기적 백업을 실시해야 합니다. 보안관리자 실천 보안 수칙1.사내 보안정책에 따른 VPN사용이 권장되며, VPN미보유 기업의 경우 사내망 접속PC백신 최신화 및 수시 점검을 시행해야 합니다.2.PC 운영체제, 소프트웨어, 백신 최신화, 공유기 패스워드 설정, 웹사이트 이용 자제 등의 재택근무자 대상 보안지침을 마련하여 공지 및 교육을 실시해야 합니다.3.재택근무자의 비밀번호 설정 강화 및 재택근무시 접근권한 최소화 방안을 마련해야 하며 원격근무시스템 접근시 비밀번호 이외 OTP 등 2차 인증수단 적용이 필요합니다.4.재택근무자가 사내 네트워크 접속 후 부재 시 네트워크 접속 차단을 설정하며, 10분~30분 동안 부재 시 차단을 권장합니다5.재택근무자의 사내 네트워크 접속 현황 관리 및 우회 접속 집중 모니터링을 실시합니다.6.개인정보, 기업정보 등 데이터 보안을 위해 데이터 유출 방지대책을 마련하며, 재택근무자의 작업 파일 내부 반입 시 랜섬웨어 감염 여부 등 파일 검사가 필요합니다. 또한 기업의 중요한 데이터는 백업을 권장합니다. 코로나 확산 초기 카카오, 네이버, 삼성 등의 원격근무 환경이 갖추어진 대기업을 시작으로 이제는 중견, 중소규모의 기업들에서도 재택근무가 자리잡고 있습니다. 트위터는 코로나 사태가 종료되더라도 직원이 원하면 영구적으로 재택근무를 도입하겠다고 하였으며, 페이스북도 향후 10년간 재택근무를 중심으로 회사 운영 방식을 재조정한다고 발표하였습니다. 이처럼 코로나 사태를 계기로 앞으로는 재택근무가 새로운 근무방식 중의 하나로 자리잡을 것으로 예상됩니다. 재택근무를 실시하는 기업의 보안관리자는 주기적으로 보안을 점검하고 근로자들이 보안의식을 갖출 수 있도록 가이드라인을 철저하게 공지해야 하며, 업무 환경에 주기적인 보안 강화를 해주어야 할 것입니다. 또한 사용자는 보안에 관심을 갖고 조심하며 가이드라인을 잘 지켜 안전한 재택근무가 이루어질 수 있도록 해야 할 것입니다. 출처 및 참고자료고용노동부, 「재택근무 활용실태 설문조사 결과」 KISA 한국인터넷진흥원, 재택ㆍ원격근무 정보보호 6대 실천 수칙
-
- 22.03.09
-
IT·보안
2030 미래 사회 변화 및 ICT 8대 유망 기술의 사이버 위협 전망
‘ICT’란 Information Communication Technology의 약자로, 정보를 가공· 유통하는 데 통신이 차지하는 중요성이 높아지면서 정보를 뜻하는 IT에 통신의 개념이 추가된 단어로 ‘정보통신기술’을 뜻합니다. 즉, ICT기술은 핸드폰, 스마트 워치, 테블릿 등의 스마트 기기들을 포함한 인공지능, 빅데이터, 클라우드 서비스까지 모든 정보통신기반의 기술을 뜻하며, 이미 우리 생활 깊숙이 들어와 실생활에 많은 영향을 미치고 있습니다. 코로나 팬데믹으로 인해 재택근무, 원격 교육 등의 비대면·비접촉 일상이 증가하면서 ICT기술의 파급력 또한 확산되고 있습니다. 한국인터넷진흥원(KISA)에서는 이러한 ICT기술의 급격한 확산과 파급력으로 인해 디지털 격차, 디지털 기기에의 의존도 증가, 소프트웨어 보안 취약점 노출 등의 사회문제가 발생함을 지적하였습니다. 특히 디지털 환경의 증가에 따른 보안 위협, 개인정보 유출 등 프라이버시 침해 발생 가능성을 높다고 평가하며 이러한 문제에 대비하기 위해 「2030 미래사회 변화 및 ICT 8대 유망기술의 사이버 위협 전망」 보고서를 발표하였습니다. 보고서에서는 2030 미래사회 변화에 가장 영향을 미칠 것이며 중요하다고 전망되는 ICT 8대 유망기술로 ‘AI, IoT, 클라우드, 차세대 네트워크, 빅데이터, 블록체인, 메타버스, 디지털 트윈’을 선정하였습니다. KISA에서는 국내외 사이버위협 전망 보고서 주요내용 분석을 통해 비대면을 통한 사이버 사기, 재택근무, 원격의료 시스템에 대한 악성코드 공격 등의 문제가 있음을 발표하였습니다. 즉, 코로나19를 계기로 산업·경제·일상생활 모든 분야가 디지털화됨에 따라 사이버위협 가능성이 높아지며 이를 위한 분석 프레임워크 기반의 전문가 설문을 실시하였습니다. 다음은 사이버 위협 평가결과를 기반으로 각 기술 별 위협 이슈와 대응준비를 위한 필요사항 등을 분석한 내용입니다.AI(Artificial Intelligence)AI(인공지능)이란 광범위하게 기계 또는 시스템이 하는 인간과 같은 모든 행동을 의미합니다. AI에서 발생하는 사이버위협은 AI자체와 활용하는 시스템에 대한 취약한 보안, AI 학습데이터에 대한 위·변조 또는 탈취와 개인정보유출 등의 위험이 있을 것으로 전망하였습니다. IoT(Internet of Things)IoT란 사물인터넷을 의미하며, 사물에 센서와 통신 기능을 내장하여 인터넷에 연결하여 사용하는 기술입니다. IoT 기기와 시스템의 SW와 운영체제 등의 낮은 버전 사용, 보안 패치 미적용, 이용자의 저사양 기기 사용 등의 원인으로 사이버위협이 발생하며 네트워크로 연결되는 다양한 기기에서 생성·수집되는 정보 중 개인정보, 기업정보 등의 유출 위험이 있을 것으로 전망하였습니다. 차세대 네트워크(5G, 6G)차세대 네트워크란 단일 통합망에서 음성, 데이터, 멀티미디어 등을 모두 수용하는 고도로 지능화된 미래형 네트워크를 뜻합니다. 차세대 네트워크의 상용화에 따라 네트워크 장비, 시스템에 대한 보안 취약점, DDoS 공격 등으로 인한 사이버위협이 지속적으로 증가하여 미래에도 위험도가 높을 것으로 전망하였습니다. 빅데이터(Big-data)빅데이터란 기존의 데이터 처리 능력을 넘어서는 대량의 데이터, 또는 그 데이터를 분석하고 가치를 창출하는 기술입니다. 대량으로 수집·관리되는 시스템, DB, 빅데이터 처리 네트워크 등에 대한 보안 취약점으로 사이버위협이 발생하며, 광범위한 데이터 수집에 따른 정보보호 위험도가 높을 것으로 전망하였습니다. 클라우드(Cloud)클라우드란 기능과 서비스를 물리적인 매체가 아닌 인터넷에 접속하여 사용하는 이용형태를 말합니다. 대부분의 기업에서 클라우드 중심 업무 환경으로의 변화에 따라 외부에서 기업 내부 정보에 접근하는 경우가 발생하여 중요 정보 유출의 위험이 증가할 수 있으며, 오픈소스 기반 클라우드를 대상으로 DDoS 공격, 악성코드 유포 등의 사이버공격이 지속적으로 증가함에 따라 개인정보 유출 및 서비스 마비와 같은 피해가 발생할 수 있음을 전망하였습니다. 블록체인(Block Chain)블록체인이란 데이터 분산 처리기술로, 네트워크에 참여하는 사용자의 거래내역 등의 데이터를 분산, 저장하는 기술을 지칭합니다. 블록체인 기술 덕분에 가상자산을 활용한 경제활동이 증가하였으나 개인 전자지갑과 개인키에 대한 보안 위협 및 오픈소스 기반 블록체인 플랫폼·네트워크 구축에 따른 보안 취약점과 블록체인 네트워크에서 공유되는 데이터 내 악성코드 유포, 합의 알고리즘에 대한 공격 등에 있어 위험도가 높을 것으로 전망하였습니다. 메타버스(Metaverse)메타버스란 현실을 디지털 기반의 가상 세계로 확장하여 가상공간에서 모든 활동을 할 수 있게 만드는 시스템입니다. 게임, 문화, 경제 등 다양한 환경에서의 메타버스 활용을 통해 새로운 경제, 사회적 가치를 창출할 수 있지만, 메타버스를 이용하기 위해 사용되는 AR/VR 기기의 보안 취약점, 무선통신 이용에 따른 패킷 탈취 가능성 증가로 인한 보안 위협 가능성도 있다고 밝혔습니다. 디지털트윈(Digital Twin)디지털 트윈은 실제 장비나 공간을 가상세계에 쌍둥이처럼 똑같이 구현하는 기술입니다. 디지털 트윈의 데이터가 유출될 경우, 개인의 위치나 사생활 등이 침해될 수 있기 때문에 이를 예방하기 위해 철저한 암호화, 마스킹 또는 가명처리를 통한 정보보호가 필요하며, 개인정보 오남용, 데이터 위·변조 등이 발생하지 않도록 수집된 데이터에 대한 접근 통제가 필요함을 강조하였습니다. KISA에서는 ICT기술의 발전과 디지털 중심의 사회변화로 인해 사이버 위협은 점차 국가 시스템, 공급망 등으로 확대되고 있기 때문에 철저한 보안관리 및 모니터링이 필요함을 강조하였습니다. 또한 재택·원격근무가 확산됨에 따라 비대면 업무환경을 대상으로 하는 해킹, 악성코드 유포 등의 사이버위협이 지속될 것으로 전망하였습니다. 따라서 이를 예방하기 위해서는 정보보안기술개발과 함께 기업과 개인의 준비 또한 필요하다고 발표하였습니다. 출처 및 참고자료한국인터넷진흥원(KISA), 「2030 미래사회 변화 및 ICT 8대 유망기술의 사이버 위협 전망」 경찰청(2021), 2020년 사이버범죄 동향 분석 보고서
-
- 22.03.07