경기도-경과원, 도민이 직접 참여하는 ‘AI 실증 아이디어 수요조사’ 시행

생활 속 불편 해소, 공공서비스 혁신, 사회문제 해결 등 3개 분야 수요조사

[보안뉴스 박미영 기자] 경기도와 경기도경제과학진흥원(이하 경과원)은 도민들의 일상생활 속 불편 사항을 인공지능(AI) 기술을 활용해 해결하는 ‘AI 실증 아이디어 발굴’ 수요조사를 오는 24일까지 진행한다.

[포스터=경기도]

이번 수요조사는 도민들이 직접 참여하고 직접 평가하는 AI 실증 지원과제다. 공공 영역에서 도민이 체감할 수 있는 AI 기술 실증을 통해 공공서비스를 혁신하고 다양한 사회문제 해결에 접목할 수 있는 아이디어를 발굴하기 위해 마련됐다.

조사 분야는 △생활 속 불편 해소 △공공서비스 혁신 △사회문제 해결 등 3개 과제에 대한 아이디어를 모집한다. 접수된 아이디어는 전문가로 구성된 민·관 협업 솔루션 위원회에서 검토해 AI 실증 지원 사업의 과제로 선정할 예정이다.

도민들이 제안한 아이디어는 지역 시·군 및 공공기관에서 활용하고 있는 공공 인프라를 통해 구현할 예정이다. 또한 도민이 ‘AI 체험평가단’으로서 AI 실증과제에 직접 참여해 AI 기술에 대한 도민들의 체감도와 이해도를 증진하는데 기여할 예정이다.

강성천 경과원장은 “도민이 겪는 사회문제를 AI 기술을 활용해 실질적으로 해결하고, 그 과정에 도민이 직접 참여함으로써 AI 기술에 대한 이해도와 체감도를 높이는 기회가 될 것”이라며, “도민이 실생활에서 체감할 수 있는 혁신적인 AI 실증 아이디어가 많이 제안되면 좋겠다”고 밝혔다.

이번 수요조사는 경기도민 누구나 참여 가능하며, 참여 신청은 이지비즈를 통해 신청하면 된다. 자세한 내용은 경과원 AI산업팀으로 문의하면 안내받을 수 있다.
[박미영 기자([email protected])]

산림청, 산림과학기술 분야에 1,320억원 투자한다

2024년 제1회 산림과학기술위원회 개최

[보안뉴스 박미영 기자] 산림청은 지난 1일 산림과학기술 발전을 위해 제9기 산림과학기술위원회를 구성하고 첫 회의를 개최했다고 밝혔다.

[사진=산림청]

산림과학기술위원회에는 산림연구, 국가 연구개발(R&D), 신기술, 임업인·임산업체 등 분야별 전문가 18명이 포함돼 있다. 이번 회의에서는 2024년도 산림과학기술 시행계획과 2025년도 예산 투자 방향에 대해 심도있는 논의를 했으며, 산림 분야 연구개발 정책 방향에 대한 정책제언도 아끼지 않았다.

한편, 산림청은 2024년도에 소속 연구기관(국립산림과학원, 국립수목원)을 중심으로 기초·응용 연구를 지속적으로 추진한다. 국산 목재를 활용한 중고층 목구조물 기술개발, 고성능 목재 수확 기계장비 개발, 산림산업 현장 맞춤형 인재 양성 등 산림과학기술 분야에 총 1,320억원을 투자할 계획이다.

임상섭 위원장(산림청 차장)은 “글로벌 산림강국을 이룩하기 위해서는 다양한 분야의 전문가 의견이 중요하다”며, “앞으로 산림과학기술 정책에 현장의 의견을 적극적으로 반영하도록 노력할 것”이라고 말했다.
[박미영 기자([email protected])]

국정원, 北 사이버 위협 대비 ‘기반시설 사이버안보 강화 설명회’ 개최

전력망 등 기반시설 노린 공격 시도 위협 고조에 따른 선제적 조치
3월 25일부터 29일까지 서울, 대전 등 지역별 기반시설 대상 위협실태·대응방안 공유

[보안뉴스 박은주 기자] 국가정보원은 사이버 위협 대응 차원의 전국 주요 정보통신기반시설 정보보호담당자 대상 설명회를 3월 25일부터 29일까지 개최한다.

▲대전지역 주요정보통신기반시설 담당자 회의 현장[사진=국정원]

이번 설명회는 최근 북한 등 우리 국민이 사용하는 보안·인증 SW 취약점을 악용해 해킹하려는 시도가 지속 포착되고 있어 선제적으로 기반시설을 보호하기 위해 마련됐다.

특히, 지난 19일 ‘제30차 정보통신기반보호위’에서 다가오는 선거를 겨냥한 사이버 도발 가능성에 보안 공백이 발생하지 않도록 민간과 공공의 역량을 결집해야 한다는 논의가 이뤄진 바 있다.

미국 역시 올해 대선을 앞두고 미국의 사이버보안 전담기관(CISA)을 중심으로 해킹 공격 및 허위정보 방지 캠페인 등 선거 위협에 적극적으로 대응하고 있다. 국정원은 설명회에서 △북한 등 사이버위협세력의 사이버 도발 징후 및 실태 △주요 시스템 해킹 및 장애 대비 점검방안 △특이사항 발생 시 신속 보고 등 비상대비체계를 공유하고 애로사항 등 의견을 교환했다.

설명회는 서울시·한국은행·한국전력 등 287개 기반시설이 전국에 산재돼 있는 점을 고려해 서울(3월 28일), 대전·대구(3월 27일) 등 12개 지역별로 개최하고 있다.

국정원 관계자는 “최근 북한이 대남 도발 수위를 높이고 있어 교통·통신 등 주요 정보통신기반시설 해킹을 비롯한 사이버 도발이 우려된다”며 “정보보호책임자들은 긴장감을 가지고 철저히 대응하기로 했다”고 전했다.
[박은주 기자([email protected])]

[ISEC 2022] 소프트캠프, 수요자 관점의 선제적인 공급망 공격 대응방안

▲전익찬 소프트캠프(레드펜소프트) 부사장이 ‘수요자 관점의 선제적인 공급망 공격 대응 방안’ 주제로 강연하고 있다[사진=보안뉴스]

ISEC 2022 첫째 날인 18일 C트랙에서 전익찬 소프트캠프(레드펜소프트) 부사장이 ‘수요자 관점의 선제적인 공급망 공격 대응 방안’을 주제로 강연을 진행했다.

전익찬 부사장은 “공급자의 SBOM(소프트웨어 자재 부품표) 제출을 의무화한 미국의 행정명령(EO14028) 및 오픈소스를 악용한 공급망 공격의 증가로 SBOM과 오픈소스는 공급망 공격의 대응에서 핵심 키워드로 부상했다”며 “그러나 SW 공급망은 공급자와 수요자의 책임과 역할 및 이해관계가 복잡하게 얽혀 있는 가치 사슬로, SBOM은 공급자와 수요자 간에 소통을 위한 프로토콜 정도로 이해해야 한다. 또한, 소스코드가 제공되지 않는 3rd Party Software의 경우 오픈소스 분석을 위해서는 바이너리 기반의 분석 기술이 요구된다”고 설명했다.

그러면서 그는 “공급망 공격에 실질적이고 전면적으로 대응하기 위해서는 소프트웨어의 개발 및 전달과 운영에 이르는 전 라이프사이클에서 공급자 관점뿐만 아니라 수요자 관점의 공급망 대응체계를 선제적으로 구축해야만 한다”고 강조했다.

10월 18일과 19일 양일간 서울 코엑스에서 열린 ‘제16회 국제 시큐리티 콘퍼런스(ISEC 2022)’는 대한민국을 넘어 아시아 최대 보안 콘퍼런스로 자리잡았다. 올해로 16회 째를 맞이한 ISEC 2022는 그랜드볼룸과 콘퍼런스룸(북)에서 열리던 예년과 달리 코엑스 전시장(Hall C)과 콘퍼런스룸(남, 3F)으로 확장 개최되면서 더욱 많은 기업이 참여하고, 더욱 풍성한 강연이 진행됐다.
[김경애 기자([email protected])]

2024년 3월 랜섬웨어 공격 사례 집계해보니… 록빗과 플레이로 가장 큰 피해

록빗 43건, 플레이 34건, 블랙바스타 29건 유출 사례 기록
잉카인터넷 시큐리티대응센터, 2024년 3월 랜섬웨어 동향 보고서 발표

[보안뉴스 김영명 기자] 2024년 3월 한 달간 전 세계 랜섬웨어 해킹그룹의 공격을 분석한 결과 ‘록빗(LockBit)’ 랜섬웨어가 43건으로 가장 많은 데이터 유출을 기록했다. 이어 ‘플레이(Play)’ 랜섬웨어가 34건, ‘블랙바스타(BlackBasta)’ 랜섬웨어가 29건의 유출 사례를 기록했다.

[이미지=gettyimagesbank]

잉카인터넷 시큐리티대응센터는 최근 2024년 3월의 랜섬웨어 공격 사례를 분석한 보고서를 발표했다. 이번 보고서는 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 35곳의 정보를 취합한 결과다.

▲2024년 3월 진단명별 데이터 유출 현황[자료=잉카인터넷 시큐리티대응센터]

해당 보고서를 분석해보면 전 세계 데이터 유출 건을 국가별로 비교했을 때 미국이 54%로 가장 높았고, 캐나다가 9%로 그 뒤를 이었다. 다음으로 독일(6%), 영국(6%), 스웨덴(2%), 이탈리아(2%), 기타(20%) 등이었다.

▲2024년 3월 국가별 데이터 유출 비율[자료=잉카인터넷 시큐리티대응센터]

2024년 3월 1일부터 3월 31일까지 한 달 사이에 발생한 데이터 유출 사건을 산업별로 비교했을 때 제조·공급 분야가 가장 많은 공격을 받았다. 이어 의료·제약 분야, 기술·통신 분야, 건설·부동산 분야, 기술·통신 분야, 도소매업·전자상거래, 금융 서비스, 유통·무역·운송, 법률, 정부·공공기관, 교육 서비스 분야가 그 뒤를 따랐다.

▲2024년 3월 산업별 데이터 유출 현황[자료=잉카인터넷 시큐리티대응센터]

국내외 주요 랜섬웨어 피해 사례 살펴보니
올해 3월 한 달간 랜섬웨어 동향을 살펴보면 영국 북부의 스코틀랜드 국립 보건서비스가 ‘INC Ransom’ 조직의 공격으로 데이터가 유출된 정황이 발견됐다. 또한 스위스 정부와 일본의 자동차 제조업체 닛산(Nissan)에서 각각 ‘플레이’와 ‘아키라(Akira)’ 랜섬웨어의 공격으로 유출된 데이터 정보를 공개했다. 미국의 콜로라도주 국선 변호인실과 온타리오주 해밀턴시 행정기관은 올해 2월에 발생한 랜섬웨어 공격의 복구 작업을 진행 중인 소식이 전해졌다.

올해 3월 초, 스위스 정부에서 ‘플레이’ 랜섬웨어 공격의 영향으로 유출된 데이터의 분석 결과를 발표했다. ‘플레이’ 측은 지난해에 스위스 정보통신 업체를 공격해 탈취한 데이터를 유출 사이트에 공개했다. 당시 스위스 정부는 피해 업체가 여러 정부기관에 서비스를 제공하고 있어 공격의 영향을 받을 우려가 있다고 언급했다. 그 이후 진행된 사건 조사에서 유출된 데이터 중 약 6만 5,000개가 정부 데이터라는 걸 확인했다고 전했다. 여기에는 기술 정보와 기밀 정보 외에도 이름과 주소 등의 개인정보가 포함됐다고 덧붙였다. 피해 정부기관 측은 3월 말까지 행정 조사를 마무리할 예정이라고 공지했으며 이후 추가된 내용은 확인되지 않고 있다.

일본의 자동차 제조업체 닛산(Nissan)은 ‘아키라’ 랜섬웨어 피해 사례에 대해 공지했다. 닛산 측은 오스트레일리아와 뉴질랜드에 위치한 센터가 공격받으면서 일부 데이터가 유출된 정황을 언급했다. 당시 아키라 측에서는 자신들이 센터를 공격해 100GB의 데이터를 탈취했다고 주장하는 글을 게시했다. 그 이후 피해 업체는 유출된 데이터를 조사해 고객과 직원의 개인정보가 포함된 사실을 확인했다고 전했다. 또한 이번 랜섬웨어 공격으로 영향을 받는 10만여명에게 관련 내용을 전할 예정이며, 개인이 수신하는 모든 통신의 발신자를 확인할 것을 권고했다.

스코틀랜드 국립 보건 서비스는 INS 랜섬(INC Ransom) 피해 사례를 공지했다. 해당 기관은 사건 조사 과정에서 환자 정보의 일부가 외부로 유출된 사실을 확인해 관련 당사자에게 연락할 예정이라고 공지했다. 또한 유출된 정보의 규모를 파악하기 위한 조사를 진행 중이며, 더 많은 정보가 유출될 가능성도 배제할 수 없다고 언급했다. 한편, INC 랜섬웨어 그룹 측은 자신들이 피해 기관을 공격해 3TB에 달하는 데이터를 탈취했다고 주장하는 글을 게시했다. 이에 대해 피해 기관은 랜섬웨어 조직의 주장을 인지하고 있으며 정보의 공유를 제한하기 위해 노력할 것이라고 전했다.

미국 콜로라도주 국선 변호인실이 랜섬웨어 공격을 받아 개인정보가 유출된 정황을 공지했다. 피해 기관은 올해 2월 초에 내부 시스템이 공격받아 암호화돼 운영을 제한한다고 발표했다. 그 이후 사건 경위를 조사하면서 홈페이지를 통해 피해 복구 현황을 업데이트했다. 한편 사실 조사 과정에서 이름, 사회보장번호 및 의료 정보 등이 저장된 파일이 유출된 사실을 발견했다고 언급했다. 이에 따라 개인에게 신원 도용 및 사기 사건에 대한 경각심을 유지할 것을 권고했다.

올해 2월 말, 미국 온타리오주 해밀턴시 행정기관이 랜섬웨어 피해를 받았으며, 3월 말에는 이와 관련된 피해 복구 현황을 공지했다. 피해 기관은 지난 2월 말에 발생한 랜섬웨어 공격으로 일부 시스템의 운영이 중단되는 사태가 발생했다고 밝혔다. 이에 대해 중단된 서비스는 직원이 수동으로 대응했으며, 대중교통과 응급 서비스 등의 주요 서비스는 정상적으로 운영되고 있다고 전했다. 현재는 피해 확산 방지를 위한 격리 조치가 완료돼 시스템 복구에 중점을 두고 작업 중이라고 발표했다. 이번 사건의 공격 조직은 알려진 바가 없으며, 피해 기관의 홈페이지에서 복구 현황을 확인할 수 있다.
[김영명 기자([email protected])]

[주말판] 데이터 관리 전략을 수립할 때 고려해야 할 4가지

데이터 관리는 어려운 일이다. 그래서 아무나 할 수 없고, 성과를 내기 어렵다. 하지만 해낸다면 어마어마한 가치를 되돌려주는 일이기도 하다.

[보안뉴스=존 에드워즈 IT 칼럼니스트] 데이터 관리란 무엇일까? 데이터를 수집하고, 보호하고, 조직하고, 저장해 분석이 용이하도록 만드는 것을 말한다. 그리고 이 분석을 통해 보다 정확한 결정을 내릴 수 있도록 하는 게 데이터 관리의 진짜 의의라고 할 수 있다. 하지만 이런 ‘진짜 의의’을 제대로 살린다는 건 대단히 어려운 일이다. 특히 데이터의 분량이 많아지고 있기 때문에 데이터 관리의 난이도는 숨가쁘게 높아지는 중이다.

[이미지 = gettyimagesbank]

그렇다고 벌써부터 포기할 필요는 없다. 어렵긴 해도 불가능의 영역에 있는 건 아니기 때문이다. 데이터 관리의 기본을 안다면, 어렵지만, 얼마든지 데이터를 관리할 수 있게 된다. 그래서 데이터 관리에 관한 몇 가지 기본 사항 혹은 고려 사항을 총 네 가지로 요약해 여기에 적어놓고자 한다.

데이터에 대한 접근성
데이터라는 건 원래 여러 곳에서부터 날아들어온다. 출처가 다양하다는 것이다. 그렇기 때문에 그 모든 데이터를 한 눈에 열람하여 전체 현황을 파악한다는 건 불가능에 가깝다. 물류 업체 워너엔터프라이즈(Werner Enterprises)의 CIO 다라 마혼(Daragh Mahon)은 “데이터 관리의 업무 프로세스나 전체 전략이 적절한지, 효과가 어느 정도를 내는지 등을 평가하는 게 어렵다는 뜻”이라고 해석한다. “전체 그림을 제대로 보지 못하니 데이터를 제대로 활용하기도 어렵고, 데이터를 분석했을 때의 결과도 불완전할 수밖에 없습니다.”

회사 내 각 부서들이 알아서, 따로따로 데이터를 확보해 활용한다면 이러한 문제는 해결될 수 없다. 마혼은 “대량의 데이터를 저장하되, 접근과 활용이 쉬우면서 또 안전할 수 있도록 하는 게 중요하다”고 말한다. “어디서 온 데이터이며, 누가 구해놓은 데이터이든, 누구나 접근하여 분석할 수 있고 공유할 수 있게 해서 진정한 협업이 일어나도록 유도하는 게 좋습니다. 이를 좀 더 구체적으로 설명하자면, ‘클라우드 퍼스트’ 전략을 채택하는 게 유리하다는 겁니다. 클라우드에 데이터를 저장해두고, 여러 가지 설정을 조정해 관리한다면 모두가 데이터를 한껏 활용하면서도 안전하게 관리할 수 있습니다.”

데이터의 복잡함
현대의 조직들은 수천 개의 테이블과, 수백 개의 열을 포함하고 있는 대량의 데이터 스키마 때문에 골머리를 앓고 있다. 방대한 분량인데다가 복잡하기까지 하니 보고만 있어도 머리가 지끈지끈하다. “이렇게 복잡하고 방대한 데이터는, 데이터 엔지니어가 새로운 SQL 쿼리를 작성하려고 할 때 문제가 됩니다. 어떤 테이블과 어떤 열에 자신들이 필요로 하는 것이 있는지 알 수도 없고, 안다 한들 찾기도 어렵습니다.” 펜실베이니아대학 공학 교수 수잔 데이비슨(Susan Davidson)의 설명이다.

이 문제는 어떤 식으로 해결해야 할까? 데이비슨은 “아직 완전하지는 않지만 생성형 인공지능이 SQL 쿼리를 일반 영어로 작성하는 데 매우 능숙하다”는 점을 짚는다. “일반 언어로 말할 수 있는 생성형 인공지능을 적당히 활용한다면 데이터 복잡성을 어느 정도 완화시킬 수 있을 겁니다. 다만 매우 큰 스키마의 경우 생성형 인공지능도 오류를 냅니다. 더 연구가 진행된다면 상황이 나이질 수 있겠지만 지금 당장은 아닙니다.”

데이터의 과부하
수년 동안 조직들은 언젠가 가치가 있을지도 모르는 경우를 대비해 가능한 많은 데이터를 수집하도록 권장받았다. 불행히도 이로 인해 명명 규칙, 위치 또는 데이터 거버넌스 등 기본적인 전략이 없는, 그러므로 구조화도 되지 않은 대량의 데이터가 축적되었다. 클라우드 업체 미션클라우드(Mission Cloud)의 CSO인 라이언 라이즈(Ryan Ries)는 “진주와 쓰레기가 섞여 있는 형국”이라고 지금의 상황을 묘사한다. “게다가 그런 ‘진주+쓰레기’ 데이터가 축적되는 동안 담당자들도 계속 바뀌었죠. 그러니 데이터 전략이라는 것 자체도 희미하거나 아예 사라진 곳이 많습니다.”

이런 과부하 문제를 해결하려면 “언젠가 모든 데이터를 전량 파악해 골라내는 작업을 해야 한다”고 라이즈는 말한다. “하지만 그런 대규모 작업을 하루 이틀 안에 다 해낼 수는 없습니다. 조직에 따라 수년이 걸리는 일일 수도 있습니다. 그렇기 때문에 일단은 더 이상 진주와 쓰레기가 섞이지 않도록 쌓는 것이 중요합니다. 그러려면 ‘저장하고 있는 데이터가 무엇인지’와 ‘그 데이터의 가치는 무엇인지’를 깊이 이해해야 합니다. 데이터를 단순하게 보고서는 가치를 판단할 수 없기 때문입니다. 언젠가는 청소를 해야 하는데, 일단 그 언젠가가 될 때까지 쓰레기를 더 늘리지 않는다는 게 중요하다는 겁니다.”

데이터의 품질 하락
데이터 관리의 목적은 결국 올바른 데이터 분석 결과를 도출하는 데에 있다고 강조했었다. 그렇다는 건 ‘데이터의 품질 관리’ 역시 ‘양적으로 충분한 데이터 확보’만큼 중요하다는 뜻이 된다. 품질이 낮은 데이터란, 부정확하거나, 일관성이 없거나, 중복되어 있거나, 결측되어 있는 데이터다. 이런 문제들 중 하나라도 나타난다면, 그 데이터는 좋은 데이터라고 할 수 없다.

품질이 좋지 않은 데이터는 비용 낭비를 초래한다. 게다가 분석 결과가 부정확해지게 만든다. 따라서 기업의 사업적 결정을 오염시킬 수 있다는 잠재적 위험 요소가 되기도 한다. 한 마디로 시한폭탄과 같은 존재다. 데이터의 내용만이 아니라 메타데이터의 수준 모두에서 일관성과 정확성을 높게 유지하는 게 중요하다.

데이터 품질을 보장하기 위한 헌신은 품질을 핵심 전략 목표로 삼는 것에서부터 시작한다. “효과적인 접근법은 데이터 품질에 책임을지는 실행 임원 리더를 지정하고 그들에게 성공하기 위한 예산 및 자원을 제공하는 것”이라고 라이즈는 조언한다. “포괄적인 데이터 평가를 수행하고 데이터 거버넌스 전략 및 규칙을 수립하며 초기 승리를 얻기 위해 가장 중요한 데이터 영역에 중점을 두고 시간이 경과함에 따라 진행을 추적하고 관리하기 위한 측정 가능한 지표와 목표를 설정하는 것을 추천합니다.”

글 : 존 에드워즈(John Edwards), IT 칼럼니스트
[국제부 문정후 기자([email protected])]

가변예치의무제도 – passrell.com경제 키워드 트렌드 · 금리인하 기대감 · 금리인하 시점 · 금리인하 전망 · 연내 금리인하 · 금리인하 횟수 · 통화 정책 전환 · 일본은행 금리 · 비트코인현물ETF.