세종컨벤션센터에서 진행된 '제8회 전자정부의 날' 행사 씨앤에프시스템 부스에서 회사 관계자들이 관람객에게 ALL#(올샵) ERP 기반 맞춤형 AI 'ALLI(올리)'를 설명하고 있다.공공분야 전사자원관리(ERP) 솔루션 전문기업 씨앤에프시스템이 전자정부의 날을 맞이해 인공지능(AI)·디지털정부 구현에 앞장선다.씨앤에프시스템은 '공공 AX 서비스 혁신을 지원하는 기업'으로 지난 25일 세종컨벤션센터에서 진행된 '제8회 전자정부의 날' 행사에 참여해 행안부 고위관계자와 다수의 내빈 들에게 ALL#(올샵) ERP 기반 맞춤형 AI 'ALLI(올리)'를 전시 및 소개했다고 29일 밝혔다.'제8회 전자정부의 날' 기념행사는 기념식을 비롯해 'AI 정부혁신 국정 아젠다' 및 'AI 시대 정부혁신 방향' 발표로 개최됐다. 또한 현장에서 디지털정부협회 회원사로서 AI·디지털정부 구현 솔루션·제품 기업전시 투어와 디지털정부학회 주관으로 'CIO와 함께하는 공공 AX 방향' 토론회가 열렸다.이번 기념행사에 참여한 씨앤에프시스템은 한국디지털정부협회 회원사로서 공공부문 AI 전환을 위한 서비스 혁신 솔루션으로 공공 특화 ERP(ALL#)에 탑재된 RAG 기반 AI 시스템인 'ALLI(올리)'를 전시 및 시연했다. 'ALLI(올리)'는 클라우드 기반 ALL#(올샵) ERP에 탑재된 RAG(검색증강생성)기반 AI 시스템으로 한국표준협회 AI+ 인증을 획득한 제품이다. 공공기관 업무의 특징 반영한 내·외부 자료와 정보를 통해서 정확한 검색과 답변을 제공하는 혁신적 공공 AX 서비스 제공으로 업무 효율성 증대와 안정적 운영을 담보할 것으로 전망되고 있다.또한, 'ALLI(올리)'가 탑재되는 'ALL#(올샵) ERP'는 공공기관 업무에 특화되어 전사자원관리가 가능한 솔루션이다. 공공기관의 다양한 업무 범위와 사용자의 요구사항을 반영한 '공공기관 ERP 솔루션'으로 그룹웨어, 전자결재, 메신저, 근태관리 등 타 정보시스템과의 연계와 확장성이 용이하다. 또한, 조달청·e나라도움 연계 등을 통해 해당 기관의 분산된 내·외부 업무별 시스템을 하나로 통합 운영, 모니터링이 가능하게 함으로써 사용자의 편리성·효율성 향상뿐만 아니라 정책환경 변화에 능동적으로 대응하여 운영에 소요되는 예산 절감의 효과를 가져오는 공공부문에 최적화된 솔루션이다.박정수 씨앤에프시스템 대표는 “ALL#(올샵) ERP에 탑재한 'ALLI(올리)'가 공공부문의 IT 업적을 확인하는 '전자정부의 날' 기념행사에서 공공부문 혁신 서비스로 참가 한 것은 'ALLI(올리)'의 역량을 크게 알릴 수 있는 의미 있는 자리”라며 “지속적으로 정부 정책과 소통·공유하며 AI·디지털정부 구현을 위한 중추적인 역할을 함으로써 공공부문 서비스 혁신과 활성화 향상에 최선을 다하겠다”고 밝혔다.김정희 기자 jhakim@etnews.com출처 : https://www.etnews.com/20250627000188

박정수 씨앤에프시스템 대표가 'AI를 활용한 통합정보시스템 활용'을 주제로 강연하고 있다. [사진= 씨앤에프시스템 제공]씨앤에프시스템이 지방 공기업의 디지털 역량을 높이기 위해 인공지능(AI) 교육에 나섰다.씨앤에프시스템은 지난 21일 한국지능정보사회진흥원(NIA)과 한국지방공기업정책포럼이 공동 개최한 '공공기관 AI 활용 정책 교육'에 참여해서 지방 공기업 직원 대상으로 강연을 진행했다. 지방공사·공단에서 100여명 이상 직원이 참석했다.교육은 AI 등 신기술 도입 확산에 발맞춰 공공 부문의 디지털 전환을 촉진하기 위해 기획됐다. '공공기관 AI 활용 정책 방향', '개인정보 보호와 AI 활용', 'AI 기반 통합정보시스템 활용' 등 3개 주제로 구성됐다.씨앤에프시스템은 통합 업무 정보시스템 '올샵(ALL#) 전사자원관리(ERP)'와 맞춤형 AI 솔루션 '올리(ALLI)'를 소개했다.올샵 ERP는 그룹웨어, 전자결재, 메신저, 지문 출퇴근 등 다양한 기능을 통합했다. 공공기관 업무에 최적화됐다. 특히 국고보조금 통합 관리시스템 'e나라도움'과 연동할 수 있다. 분산된 정보를 통합 관리할 수 있는 점이 강점으로 꼽힌다.올샵 ERP에 접목된 올리는 AI 기능을 통해 공공 기관의 자료 요청과 업무 지원 효율을 대폭 높인다.특히 검색증강생성(RAG) 기술을 적용해서 원하는 정보를 신속하게 제공할 수 있다. 씨앤에프시스템 측은 업무 효율성을 90% 이상 개선하는 효과가 기대된다고 강조했다.올리는 한국표준협회로부터 AI+ 인증을 획득, 기술력과 안정성을 입증했다.박정수 씨앤에프시스템 대표는 “이번 교육을 통해 AI 기반 업무 혁신 사례를 공유하게 돼 뜻깊게 생각한다”며 “공공부문 디지털 전환을 위한 기술 개발에 지속해 힘쓸 것”이라고 말했다.류태웅 bigheroryu@etnews.com출처 : https://www.etnews.com/20250523000010

국가계약법·SW진흥법 개정안 발의계약금 조정 '과업 변경' 추가대기업 예외 사업 '엄격 심사'[사진= 게티이미지뱅크 제공]공공 소프트웨어(SW) 사업 추가 과업에 대한 예산 확보, 대기업참여제한 예외 인정 사업의 심의 강화를 위한 법률 개정이 추진된다.이해민 조국혁신당 의원은 15일 국가계약법 일부 개정안과 SW진흥법 일부 개정안을 대표 발의했다.국가계약법 일부 개정안은 계약금액 조정 사유에 'SW진흥법 제50조(과업심의위원회)에 따른 과업 내용 변경'을 추가하는 것이 골자다.현재 SW 사업 과업심의위원회 의결사항은 국가계약법상 계약금액 조정 사유에 포함되지 않는다. 이에 따라 추가 과업이 있더라도 예산 주무 부처인 기획재정부가 신규 예산을 추가 배정하는 경우가 드물었다.개정안은 과심위 결정 사항이 실제 계약금액 조정까지 이어지도록 한다는 점에서 사업대가 현실화로 이어질 것으로 기대된다.SW진흥법 일부 개정안은 삼성SDS, LG CNS, SK AX 등 상호출자제한 대기업의 참여제한 예외 사업 인정 여부를 과학기술정보통신부 주도로 심의하도록 규정한다.지금은 예외 사업 심의위원회와 결정절차 등이 고시에 규정돼 있는 만큼, 이를 법제화해 더욱 엄격한 심사가 이뤄지도록 하자는 취지다. 중소 SW 기업의 사업 참여를 보장하는 게 목적이다.법률안은 상임위와 본회의 등을 거쳐 이르면 연말께 시행될 가능성이 크다. 여야 간 이견이 없는 상황으로 파악됐다.이해민 의원은 “인공지능(AI)의 근간은 SW이며, SW가 무너지면 AI도 무너진다”며 “SW는 가장 큰 부가가치를 창출해내는 핵심 분야인데 가치를 제대로 인정하지 않는 현재 구조로는 품질과 경쟁력이 악화될 수밖에 없다”고 말했다.이어 “모두가 AI에 집중하는 지금이 SW 생태계를 바로잡을 적기이자 마지막 기회”라며 “개정안을 통해 SW 특성에 맞는 유연한 예산 구조가 마련돼 업계의 고질적인 문제들을 해소할 것으로 기대한다”고 강조했다.류태웅 기자 bigheroryu@etnews.com출처 : 공공 SW 제값받기 현실화 나선다 - 전자신문

사칭메일 공격의 위장 방법과 루트 모식도지난해 12월 '비상계엄 사태'의 혼란 속에 이를 악용한 사칭메일이 정부와 공공기관 종사자에게 대량 유포됐다. '방첩사 작성 계엄 문건 공개'라는 제목의 메일은 계엄 관련 새로운 정보를 공유하는 것처럼 위장하고 악성 파일을 첨부한 상태였다. 북한이 배후로 추정되는 이 사칭메일에 120여명이 속아 개인정보를 탈취당했다.사칭메일은 아는 사람, 사업 거래처, 공공기관, 유명 브랜드 등으로 위장해 개인정보나 돈을 갈취하는 사기 전자메일 공격이다. 기업의 경우 바이러스에 감염시켜 거액을 요구하는 랜섬웨어가 대표적이다. '국세청입니다' '받은 편지함이 꽉 찼습니다' 등 일상 업무나 '계엄 문건'처럼 이슈가 된 사건 관련 정보인 양 제목을 달아 보내기 때문에 속기 쉽다. 일상적 업무 메일인 줄 알고 무심코 또는 호기심에 확인(클릭)하는 순간 돌이킬 수 없는 피해를 본다.가장 최근 알려진 사칭메일 공격은 올해 1월 발생한 '서울시 공무원 사칭 피싱 메일 발송'이다. 해커는 서울시 공무원을 사칭해 대북 전단 살포 견해와 관련 비대면 회의 가능 여부를 묻고, 이를 확인하는 첨부 파일에 악성코드를 심었다. 서울시는 시민 메일 계정으로는 모집이나 참여 업무를 진행하지 않는다며 해당 메일 삭제를 공지했지만 피해 사례나 규모는 정확히 파악되지 않고 있다.2023년 5월 드러난 '네이버·카카오 사칭 해킹 시도'도 대표적 사칭메일 공격 사례다. 당시 국가정보원 설명에 따르면 해커는 수신자가 메일을 열어보도록 발신자명을 포털로 사칭했고, 제목도 '새로운 환경에서 로그인됐습니다' '회원님 계정이 이용 제한됐습니다' 등 계정 보안 문제인 것처럼 위장했다.일명 '국회의원 사칭 메일'은 지난 2022년 4~10월 사이에 대량으로 뿌려져 해당 메일 수신자 가운데 49명이 문서와 주소록 등을 탈취당한 것으로 확인됐다.◇해결 비용 '눈덩이'...사이버 범죄 BEC과학기술정보통신부와 한국정보보호산업협회가 500개 기업을 대상으로 행한 '2024년 기업 정보보호실태조사' 결과 기업이 경험한 정보 침해사고 유형(중복 응답)은 '랜섬웨어 감염'이 51%로 가장 많았다. 이어 외부 비인가 침투(해킹) 46.6%, 바이러스로 인한 시스템 마비 33.8% 순이다. 이러한 기업 정보침해 공격의 주요 공통 경로가 사칭메일이다.하지만 조사 기업의 67.6%는 별다른 침해 대응 조치나 활동을 하지 않고 있는 것으로 나타났다.기업이 경험한 정보 침해사고 유형과 대응 활동 조사 통계(과기정통부, 한국정보보호산업협회)메일 보안 전문기업 리얼시큐가 사칭메일에 대한 경각심을 높이고자 과기정통부, 한국인터넷진흥원(KISA) 조사 및 발표자료를 집계해 연표로 만든 결과 2022년 한해에만 매달 크고 작은 정보 침해 사고가 발생했다. 1월에 조선사 랜섬웨어 감염, 3월 전자업종 기업 임직원 계정 유출, 7월 콜택시 중계사 랜섬웨어 공격, 9월 정부 유튜브 계정 해킹, 11월 이태원 참사 정보 악용 등 사칭메일 공격과 이로 인한 피해가 끊이지 않았다.기업이 가장 두려워하는 사칭메일은 잘 알거나 신뢰하는 거래처(거래 담당자)로 위장한 BEC(Business Email Compromise)다. BEC는 매출, 수출 실적 등 기업 비즈니스의 절박함을 악용해 송금이나 자금 이체를 유도한다. 또 신규 거래를 사칭해 계약서로 위장한 랜섬웨어를 첨부한다. BEC가 해결 비용이 가장 많이 드는 사이버 범죄로 불리는 이유다.실제로 지난해 2월 홍콩의 한 금융사 직원은 BEC에 속아 2억 홍콩달러(약 340억원)를 해커에 송금했다. 놀라운 것은 해커가 정교한 딥페이크 기술을 이용해 금융사 임원을 사칭하고, 사내 이메일과 온라인 화상, 메신저 등 신뢰할만한 모든 수단을 동원해 송금을 독촉했다는 점이다. 해당 직원은 실제 임원의 요청으로 알고 송금했다고 말했다.보안컨설팅기업 프루프포인트 조사에 따르면 매년 글로벌 기업의 76%가량이 BEC 공격을 받고 있다. 공격받은 기업 가운데 64%가 랜섬웨어에 감염됐고, 이 가운데 63%는 해커의 요구대로 비용을 지급했다.미국 연방수사국(FBI)은 BEC 공격으로 인한 글로벌 기업 피해액이 최근 몇년 새 260억달러(약 35조원)를 넘어선 것으로 추정된다고 밝혔다. 국내 기업의 52%가 BEC 공격을 받았고 이 가운데 15%는 금전적 손실을 봤을 것이라는 보고서도 있다.FBI 보고서에 따른 2023년 사칭메일 공격과 피해 증가 현황◇의심하면 믿게 만든다…전화 유도 등 다중 인증까지사칭메일 공격이 끊이지 않고 그 피해 또한 계속 늘어나는 이유는 무엇일까.보안 업계와 전문가들은 사칭메일 공격 기술은 나날이 진화하는 반면 메일보안 기술은 예전 방식에 머물러 있는 것을 가장 큰 이유로 꼽는다.대표적으로 사칭메일의 공격 대상과 사칭메일 방어시스템의 대상이 어긋나 있다(미스매칭)는 점을 지적한다. 사칭메일 공격은 수신자를 속이기 위해 다양한 기술과 방법을 동원하는 데 반해 현재 보안시스템은 메일에 첨부된 악성코드를 탐지하는 데 초점을 맞추고 있다는 것이다. 수단과 방법을 가리지 않고 속이려 덤비는 부동산 전세 사기꾼에게 대응해 계약서만 정확하면 문제없다는 식이다.'방첩사 계엄문건' 사칭메일은 관련 업무 종사자를 타깃으로 했고, 메일 제목과 내용에 당시 최대 관심사였던 '계엄'과 '방첩사'라는 단어를 넣어 수신자를 방심하게 했다.이미 고도화된 사칭메일은 보낸 사람을 시작으로 메일 제목, 내용까지 단계적으로 믿음을 주면서 수신자를 속인다. 보낸 사람을 알거나 제목과 내용이 수신인과 관련된 것이면 대부분 첨부 파일까지 열어보게 된다. 수신인이 제목이나 내용을 의심하면 유무선 전화 사칭(TOAD)을 비롯해 다중인증(MFA)기술까지 동원한다. TOAD는 '가짜 거래처'로 전화를 걸도록 유도해 다중으로 사칭메일을 믿게 만드는 방법이다.문제는 기업이 사용하는 대부분의 메일보안솔루션은 발신자를 추적 검증해 사칭메일을 확인 차단하는 기능을 갖고 있지 않다는 점이다. 해커가 다양한 형태로 활용하는 메일발송기(또는 메일시스템)를 역추적해 확인할 수 있는 보안기술이 없기 때문이다. 메일에 포함된 악성코드나 링크를 탐지해 사칭메일을 차단할 수 있다는 주장은 사칭메일 원천 차단과는 전혀 다른 얘기다.◇사칭메일 차단 솔루션 보급 시급기업 최고정보책임자(CIO)와 보안 담당자의 인식 부족도 사칭메일 피해가 줄지 않는 요인이다.정희수 리얼시큐 대표는 “사칭메일을 스팸메일 정도로 가볍게 여기는 경향이 여전하다. 불특정 다수에게 뿌려지는 광고성 스팸메일은 귀찮기는 해도 큰 피해가 발생하지 않는다. 하지만 피싱, 스피어피싱을 동반한 사칭메일은 열어 본 즉시 엄청난 피해를 안긴다”고 말했다.발신자 역추적 제로트러스트 기반 '리얼메일'의 사칭메일 검증과 차단 프로세스사칭메일 대응은 '출처가 불분명한 메일서버'나 해커가 만든 '사설메일발송기'를 추적해 진위를 확인하고 차단하는 방법뿐이다.리얼시큐가 개발한 '리얼메일'은 발신정보를 역추적해 메일발송기를 검증하고 사칭메일을 차단하는 제로 트러스트 기반 메일보안솔루션이다. 출시 후 국정원 인증까지 받았지만 이를 도입한 기업·기관은 소수에 불과하다.정부 부처의 소극적 대응 문제도 빼놓을 수 없다.과기정통부와 관계 기관은 4년 전인 2021년에 '랜섬웨어 대응 강화 방안'을 발표했다. 요지는 랜섬웨어 대부분이 이메일로 전달되고, 그 출처는 '불분명한 메일서버' 또는 '사설메일발송기'라는 것을 파악했으며, 따라서 발송 근원지를 추적하는 기술을 개발해 대응하겠다는 것이었다.하지만 발송 근원지를 추적해 차단할 수 있는 제품이 이미 상용화됐음에도 정부 차원의 가시적 조치는 없다. 기업 부담, 공급 실적, 경쟁 제품이 없다는 것을 이유로 들었다. 최근 SK텔레콤 유심 해킹 사건이 일파만파로 확산하고 있다. 지난달 27일 과기정통부와 KISA는 '유심 무상 교체' '유심보호서비스'를 내세워 피싱 사이트 접속을 유도하는 사이버 침해 공격을 적발했다며 사이트 주소 확인과 출처 불분명 경유 도메인의 클릭 자제를 당부했다. 피싱 사이트 유도에 이어 유심 교체나 유심 보호로 위장한 사칭메일이 대거 뿌려질 것으로 예상돼 대응책이 요구된다.부산=임동식 기자 dslim@etnews.com출처 : https://www.etnews.com/20250507000400

AI+ 인증과 민간클라우드 기반 공공부문 ERP 전문기업 씨앤에프시스템이 지난 27일 정부세종컨벤션센터에서 열린 '제3회 SW Market Fair'에 참여했다.박정수 씨앤에프시스템 대표는 “정부의 디지털 대전환 정책과 맞물려 적재적소에 대응할 수 있는 솔루션을 제공할 수 있도록 만반의 준비와 더불어 성공적인 디지털 전환과 안정적인 운영이 지속될 수 있도록 아낌없이 지원할 것”이라고 말했다.김지선 기자 river@etnews.com

'코리아 나라장터 엑스포 2025' 씨앤에프시스템 부스.박정수 씨앤에프시스템 대표는 “이번 엑스포 행사를 통해 ALL#(올샵) ERP를 포함해 신규개발 된 'ALLI(올리)'를 통해서 공공부문 발전에 기여할 수 있는 기술적 가치를 널리 알릴 수는 뜻 깊은 자리였다”며 “앞으로도 정부의 공공클라우드 전환과 가속화 되고 있는 디지털 기술 혁신 가운데 우리 씨앤에프시스템이 중추적인 역할을 함으로써 공공부문 서비스 향상에 노력하겠다”고 밝혔다.김정희 기자 jhakim@etnews.com