국가계약법·SW진흥법 개정안 발의계약금 조정 '과업 변경' 추가대기업 예외 사업 '엄격 심사'[사진= 게티이미지뱅크 제공]공공 소프트웨어(SW) 사업 추가 과업에 대한 예산 확보, 대기업참여제한 예외 인정 사업의 심의 강화를 위한 법률 개정이 추진된다.이해민 조국혁신당 의원은 15일 국가계약법 일부 개정안과 SW진흥법 일부 개정안을 대표 발의했다.국가계약법 일부 개정안은 계약금액 조정 사유에 'SW진흥법 제50조(과업심의위원회)에 따른 과업 내용 변경'을 추가하는 것이 골자다.현재 SW 사업 과업심의위원회 의결사항은 국가계약법상 계약금액 조정 사유에 포함되지 않는다. 이에 따라 추가 과업이 있더라도 예산 주무 부처인 기획재정부가 신규 예산을 추가 배정하는 경우가 드물었다.개정안은 과심위 결정 사항이 실제 계약금액 조정까지 이어지도록 한다는 점에서 사업대가 현실화로 이어질 것으로 기대된다.SW진흥법 일부 개정안은 삼성SDS, LG CNS, SK AX 등 상호출자제한 대기업의 참여제한 예외 사업 인정 여부를 과학기술정보통신부 주도로 심의하도록 규정한다.지금은 예외 사업 심의위원회와 결정절차 등이 고시에 규정돼 있는 만큼, 이를 법제화해 더욱 엄격한 심사가 이뤄지도록 하자는 취지다. 중소 SW 기업의 사업 참여를 보장하는 게 목적이다.법률안은 상임위와 본회의 등을 거쳐 이르면 연말께 시행될 가능성이 크다. 여야 간 이견이 없는 상황으로 파악됐다.이해민 의원은 “인공지능(AI)의 근간은 SW이며, SW가 무너지면 AI도 무너진다”며 “SW는 가장 큰 부가가치를 창출해내는 핵심 분야인데 가치를 제대로 인정하지 않는 현재 구조로는 품질과 경쟁력이 악화될 수밖에 없다”고 말했다.이어 “모두가 AI에 집중하는 지금이 SW 생태계를 바로잡을 적기이자 마지막 기회”라며 “개정안을 통해 SW 특성에 맞는 유연한 예산 구조가 마련돼 업계의 고질적인 문제들을 해소할 것으로 기대한다”고 강조했다.류태웅 기자 bigheroryu@etnews.com출처 : 공공 SW 제값받기 현실화 나선다 - 전자신문

사칭메일 공격의 위장 방법과 루트 모식도지난해 12월 '비상계엄 사태'의 혼란 속에 이를 악용한 사칭메일이 정부와 공공기관 종사자에게 대량 유포됐다. '방첩사 작성 계엄 문건 공개'라는 제목의 메일은 계엄 관련 새로운 정보를 공유하는 것처럼 위장하고 악성 파일을 첨부한 상태였다. 북한이 배후로 추정되는 이 사칭메일에 120여명이 속아 개인정보를 탈취당했다.사칭메일은 아는 사람, 사업 거래처, 공공기관, 유명 브랜드 등으로 위장해 개인정보나 돈을 갈취하는 사기 전자메일 공격이다. 기업의 경우 바이러스에 감염시켜 거액을 요구하는 랜섬웨어가 대표적이다. '국세청입니다' '받은 편지함이 꽉 찼습니다' 등 일상 업무나 '계엄 문건'처럼 이슈가 된 사건 관련 정보인 양 제목을 달아 보내기 때문에 속기 쉽다. 일상적 업무 메일인 줄 알고 무심코 또는 호기심에 확인(클릭)하는 순간 돌이킬 수 없는 피해를 본다.가장 최근 알려진 사칭메일 공격은 올해 1월 발생한 '서울시 공무원 사칭 피싱 메일 발송'이다. 해커는 서울시 공무원을 사칭해 대북 전단 살포 견해와 관련 비대면 회의 가능 여부를 묻고, 이를 확인하는 첨부 파일에 악성코드를 심었다. 서울시는 시민 메일 계정으로는 모집이나 참여 업무를 진행하지 않는다며 해당 메일 삭제를 공지했지만 피해 사례나 규모는 정확히 파악되지 않고 있다.2023년 5월 드러난 '네이버·카카오 사칭 해킹 시도'도 대표적 사칭메일 공격 사례다. 당시 국가정보원 설명에 따르면 해커는 수신자가 메일을 열어보도록 발신자명을 포털로 사칭했고, 제목도 '새로운 환경에서 로그인됐습니다' '회원님 계정이 이용 제한됐습니다' 등 계정 보안 문제인 것처럼 위장했다.일명 '국회의원 사칭 메일'은 지난 2022년 4~10월 사이에 대량으로 뿌려져 해당 메일 수신자 가운데 49명이 문서와 주소록 등을 탈취당한 것으로 확인됐다.◇해결 비용 '눈덩이'...사이버 범죄 BEC과학기술정보통신부와 한국정보보호산업협회가 500개 기업을 대상으로 행한 '2024년 기업 정보보호실태조사' 결과 기업이 경험한 정보 침해사고 유형(중복 응답)은 '랜섬웨어 감염'이 51%로 가장 많았다. 이어 외부 비인가 침투(해킹) 46.6%, 바이러스로 인한 시스템 마비 33.8% 순이다. 이러한 기업 정보침해 공격의 주요 공통 경로가 사칭메일이다.하지만 조사 기업의 67.6%는 별다른 침해 대응 조치나 활동을 하지 않고 있는 것으로 나타났다.기업이 경험한 정보 침해사고 유형과 대응 활동 조사 통계(과기정통부, 한국정보보호산업협회)메일 보안 전문기업 리얼시큐가 사칭메일에 대한 경각심을 높이고자 과기정통부, 한국인터넷진흥원(KISA) 조사 및 발표자료를 집계해 연표로 만든 결과 2022년 한해에만 매달 크고 작은 정보 침해 사고가 발생했다. 1월에 조선사 랜섬웨어 감염, 3월 전자업종 기업 임직원 계정 유출, 7월 콜택시 중계사 랜섬웨어 공격, 9월 정부 유튜브 계정 해킹, 11월 이태원 참사 정보 악용 등 사칭메일 공격과 이로 인한 피해가 끊이지 않았다.기업이 가장 두려워하는 사칭메일은 잘 알거나 신뢰하는 거래처(거래 담당자)로 위장한 BEC(Business Email Compromise)다. BEC는 매출, 수출 실적 등 기업 비즈니스의 절박함을 악용해 송금이나 자금 이체를 유도한다. 또 신규 거래를 사칭해 계약서로 위장한 랜섬웨어를 첨부한다. BEC가 해결 비용이 가장 많이 드는 사이버 범죄로 불리는 이유다.실제로 지난해 2월 홍콩의 한 금융사 직원은 BEC에 속아 2억 홍콩달러(약 340억원)를 해커에 송금했다. 놀라운 것은 해커가 정교한 딥페이크 기술을 이용해 금융사 임원을 사칭하고, 사내 이메일과 온라인 화상, 메신저 등 신뢰할만한 모든 수단을 동원해 송금을 독촉했다는 점이다. 해당 직원은 실제 임원의 요청으로 알고 송금했다고 말했다.보안컨설팅기업 프루프포인트 조사에 따르면 매년 글로벌 기업의 76%가량이 BEC 공격을 받고 있다. 공격받은 기업 가운데 64%가 랜섬웨어에 감염됐고, 이 가운데 63%는 해커의 요구대로 비용을 지급했다.미국 연방수사국(FBI)은 BEC 공격으로 인한 글로벌 기업 피해액이 최근 몇년 새 260억달러(약 35조원)를 넘어선 것으로 추정된다고 밝혔다. 국내 기업의 52%가 BEC 공격을 받았고 이 가운데 15%는 금전적 손실을 봤을 것이라는 보고서도 있다.FBI 보고서에 따른 2023년 사칭메일 공격과 피해 증가 현황◇의심하면 믿게 만든다…전화 유도 등 다중 인증까지사칭메일 공격이 끊이지 않고 그 피해 또한 계속 늘어나는 이유는 무엇일까.보안 업계와 전문가들은 사칭메일 공격 기술은 나날이 진화하는 반면 메일보안 기술은 예전 방식에 머물러 있는 것을 가장 큰 이유로 꼽는다.대표적으로 사칭메일의 공격 대상과 사칭메일 방어시스템의 대상이 어긋나 있다(미스매칭)는 점을 지적한다. 사칭메일 공격은 수신자를 속이기 위해 다양한 기술과 방법을 동원하는 데 반해 현재 보안시스템은 메일에 첨부된 악성코드를 탐지하는 데 초점을 맞추고 있다는 것이다. 수단과 방법을 가리지 않고 속이려 덤비는 부동산 전세 사기꾼에게 대응해 계약서만 정확하면 문제없다는 식이다.'방첩사 계엄문건' 사칭메일은 관련 업무 종사자를 타깃으로 했고, 메일 제목과 내용에 당시 최대 관심사였던 '계엄'과 '방첩사'라는 단어를 넣어 수신자를 방심하게 했다.이미 고도화된 사칭메일은 보낸 사람을 시작으로 메일 제목, 내용까지 단계적으로 믿음을 주면서 수신자를 속인다. 보낸 사람을 알거나 제목과 내용이 수신인과 관련된 것이면 대부분 첨부 파일까지 열어보게 된다. 수신인이 제목이나 내용을 의심하면 유무선 전화 사칭(TOAD)을 비롯해 다중인증(MFA)기술까지 동원한다. TOAD는 '가짜 거래처'로 전화를 걸도록 유도해 다중으로 사칭메일을 믿게 만드는 방법이다.문제는 기업이 사용하는 대부분의 메일보안솔루션은 발신자를 추적 검증해 사칭메일을 확인 차단하는 기능을 갖고 있지 않다는 점이다. 해커가 다양한 형태로 활용하는 메일발송기(또는 메일시스템)를 역추적해 확인할 수 있는 보안기술이 없기 때문이다. 메일에 포함된 악성코드나 링크를 탐지해 사칭메일을 차단할 수 있다는 주장은 사칭메일 원천 차단과는 전혀 다른 얘기다.◇사칭메일 차단 솔루션 보급 시급기업 최고정보책임자(CIO)와 보안 담당자의 인식 부족도 사칭메일 피해가 줄지 않는 요인이다.정희수 리얼시큐 대표는 “사칭메일을 스팸메일 정도로 가볍게 여기는 경향이 여전하다. 불특정 다수에게 뿌려지는 광고성 스팸메일은 귀찮기는 해도 큰 피해가 발생하지 않는다. 하지만 피싱, 스피어피싱을 동반한 사칭메일은 열어 본 즉시 엄청난 피해를 안긴다”고 말했다.발신자 역추적 제로트러스트 기반 '리얼메일'의 사칭메일 검증과 차단 프로세스사칭메일 대응은 '출처가 불분명한 메일서버'나 해커가 만든 '사설메일발송기'를 추적해 진위를 확인하고 차단하는 방법뿐이다.리얼시큐가 개발한 '리얼메일'은 발신정보를 역추적해 메일발송기를 검증하고 사칭메일을 차단하는 제로 트러스트 기반 메일보안솔루션이다. 출시 후 국정원 인증까지 받았지만 이를 도입한 기업·기관은 소수에 불과하다.정부 부처의 소극적 대응 문제도 빼놓을 수 없다.과기정통부와 관계 기관은 4년 전인 2021년에 '랜섬웨어 대응 강화 방안'을 발표했다. 요지는 랜섬웨어 대부분이 이메일로 전달되고, 그 출처는 '불분명한 메일서버' 또는 '사설메일발송기'라는 것을 파악했으며, 따라서 발송 근원지를 추적하는 기술을 개발해 대응하겠다는 것이었다.하지만 발송 근원지를 추적해 차단할 수 있는 제품이 이미 상용화됐음에도 정부 차원의 가시적 조치는 없다. 기업 부담, 공급 실적, 경쟁 제품이 없다는 것을 이유로 들었다. 최근 SK텔레콤 유심 해킹 사건이 일파만파로 확산하고 있다. 지난달 27일 과기정통부와 KISA는 '유심 무상 교체' '유심보호서비스'를 내세워 피싱 사이트 접속을 유도하는 사이버 침해 공격을 적발했다며 사이트 주소 확인과 출처 불분명 경유 도메인의 클릭 자제를 당부했다. 피싱 사이트 유도에 이어 유심 교체나 유심 보호로 위장한 사칭메일이 대거 뿌려질 것으로 예상돼 대응책이 요구된다.부산=임동식 기자 dslim@etnews.com출처 : https://www.etnews.com/20250507000400

AI+ 인증과 민간클라우드 기반 공공부문 ERP 전문기업 씨앤에프시스템이 지난 27일 정부세종컨벤션센터에서 열린 '제3회 SW Market Fair'에 참여했다.박정수 씨앤에프시스템 대표는 “정부의 디지털 대전환 정책과 맞물려 적재적소에 대응할 수 있는 솔루션을 제공할 수 있도록 만반의 준비와 더불어 성공적인 디지털 전환과 안정적인 운영이 지속될 수 있도록 아낌없이 지원할 것”이라고 말했다.김지선 기자 river@etnews.com

'코리아 나라장터 엑스포 2025' 씨앤에프시스템 부스.박정수 씨앤에프시스템 대표는 “이번 엑스포 행사를 통해 ALL#(올샵) ERP를 포함해 신규개발 된 'ALLI(올리)'를 통해서 공공부문 발전에 기여할 수 있는 기술적 가치를 널리 알릴 수는 뜻 깊은 자리였다”며 “앞으로도 정부의 공공클라우드 전환과 가속화 되고 있는 디지털 기술 혁신 가운데 우리 씨앤에프시스템이 중추적인 역할을 함으로써 공공부문 서비스 향상에 노력하겠다”고 밝혔다.김정희 기자 jhakim@etnews.com

ⓒ게티이미지뱅크전화·문자·메일을 활용한 각종 피싱 범죄 수법이 교묘해지는 가운데 정보보호기업이 피싱 피해 예방을 위한 솔루션을 고도화하고 있다.한국인터넷진흥원(KISA)은 올해 들어 세 차례 보안 공지를 통해 피싱 공격에 주의해달라고 당부했다. 이달 20일엔 카드 배송 사칭 피싱을, 8일엔 설연휴 기간을 노린 스미싱 공격을 주의해야 한다고 강조했다. 또 지난달 31일엔 기업 문자발송 시스템 해킹을 통한 스미싱 위협이 커졌다며 피싱 주의보를 내린 바 있다.이처럼 피싱 공격이 횡행하면서 국내 정보보호기업은 피싱 공격에 대응하기 위한 솔루션을 갈고 닦고 있다.안랩은 스미싱부터 보이스피싱까지 예방하는 모바일 보안 솔루션을 제공한다. V3 모바일 플러스(Mobile Plus), V3 모바일 시큐리티(Mobile Security)는 수집한 대량 문자 메시지 데이터에 대한 머신런닝(ML)을 바탕으로 문자 속 스미싱 인터넷주소(URL)와 보이스피싱 목적의 문자 텍스트를 탐지해 사용자에게 알려준다. 특히 V3 모바일 플러스는 조작된 수신·발신 전화번호로 지인을 사칭하는 보이스피싱 행위를 탐지한다. 또 V3 모바일 시큐리티는 최근 텔레그램을 악용한 개인정보 유출이 늘어남에 따라 2차 피해를 막기 위한 유출된 계정 정보 조회 기능을 제공한다.시큐리온도 온앱스캔(OnAppScan)을 통해 보이스피싱·스미싱에 대응한다. 온앱스캔은 시큐리온이 독자 개발한 인공지능(AI) 탐지 시스템을 이용해 분석 대상 애플리케이션이나 URL의 위험도를 자동으로 판정하고, 정보 유출지 등 앱 연관 정보를 파악해 공격자 그룹 프로파일링이 가능하도록 지원한다. 수동 분석 의존도를 최소화해 분석 업무 효율성을 높인 게 특징이다. 또 보이스피싱 디텍터 기능을 탑재해 악성 앱에 포함된 주요 파일을 휴리스틱 방식으로 분석해 악성 여부를 판정한다.지란지교시큐리티는 이메일을 통한 피싱 공격을 방지한다. 이메일은 해커가 공격을 시도하는 시작점으로, 예방책이 필수적이다. 지란지교시큐리티의 이메일 통합 보안 솔루션 '스팸스나이퍼'는 독자 기술인 메일 유사도 필터링 기술을 통해 신고된 스팸메일을 분석, 70% 이상 유사한 변종 스팸을 자동으로 차단한다. 또 콘텐츠무해화(CDR) 기술을 탑재해 첨부파일의 악성 매크로와 위협요소를 제거하고 알려지지 않은 위협까지 차단한다. 여기에 파이어아이(FireEye), MDS 등 주요 지속위협공격(APT) 솔루션과 연동을 지원해 고도화된 위협에 대한 통합 관리를 제공한다. 스팸스나이퍼는 지난해 약 20억건 이상의 피싱 메일과 악성 위협 메일을 잡아냈다.라온시큐어는 '스마트안티피싱'을 앞세워 피싱 대응에 주력하고 있다. 스마트안티피싱은 스마트폰에서 피싱 의심 데이터를 확보하고, 스미싱, 악성앱, 보이스피싱 등을 사전 탐지해 차단하는 서비스다. 피싱이 의심되면, 제휴 금융사 이상금융거래탐지시스템(FDS)으로 정보를 전달해 계좌이체나 대출 실행 등 금융거래 직전에 금융사기 범죄 여부를 판단하고 대응한다. AI를 활용해 패턴 데이터 분석으로 피싱 탐지율을 높이고 있으며, 2022년 하반기 론칭 이후 현재까지 200만건 이상의 피싱 의심 사례를 탐지했다.지니언스의 엔드포인트탐지·대응(EDR) 솔루션은 피싱 공격 예방에도 효과적이다. 우선 공개된 침해지표(IoC)를 활용해, 피싱 공격과 관련된 URL 접근 이력을 조회할 수 있으며, 필요 시 탐지 정책을 추가 관리할 수 있다. 또 EDR 관리자가 등록한 악성 사이트로 접속 시도 시, 사용자에게 탐지위협 알림을 표시하는 등 조건에 따른 다양한 대응 정책을 설정도 가능하다.조재학 기자 2jh@etnews.com출처 : https://www.etnews.com/20250226000270

게티이미지뱅크 제공디지털정부 발전과 산업 진흥을 지원하기 위한 '디지털정부협회'가 다음달 출범한다.인공지능(AI) 시대를 맞아 디지털정부 역시 변화를 모색하는 가운데 협회가 중심이 돼 정부 정책을 지원하고 산업 성장을 뒷받침하는 게 설립 목표다.12일 업계에 따르면 디지털정부협회가 내달 중순께 창립총회를 열고 활동을 시작한다.신기술을 통한 정부 혁신이 가속화되고 차세대 대형 시스템도 잇따라 개통됐지만 일부 시스템의 경우 장애가 발생하는 등 디지털정부 생태계 혁신이 필요하다는 게 협회 출범 배경이다. 이를 위해서는 기술과 현장 이해도가 높은 산업계와 정부의 적극 소통이 필요한데, 업계 전문가가 주축이 된 협회가 이 역할을 담당할 예정이다.강동석 디지털정부협회 설립준비위원회 위원장(전 국가정보자원관리원장)은 “디지털정부 관련 다양한 정부 정책에 맞춰 구심적 역할을 할 수 있는 민간 조직이 필요하다는 의견이 많았다”면서 “산업계와 정부 간 가교역할을 하면서 디지털정부 산업 관련 건전한 생태계 조성에 주력할 것”이라고 말했다.디지털정부협회는 내달 디지털정부 주무 부처인 행정안전부에 설립허가(비영리 사단법인)를 신청할 계획이다.다음달 총회를 통해 주요 사업과 초대 회장 선임 등 안건이 통과되면 이를 바탕으로 설립허가 절차를 마무리한다. 창립총회를 기점으로 회원사 100여곳이 합류할 것으로 예상된다. 주요 정보기술(IT)서비스 기업을 비롯해 중소 소프트웨어(SW) 기업 등 디지털정부 관련 다양한 기업이 참여 의사를 밝혔다. 협회를 이끌 초대 회장으로는 강동석 위원장이 추대될 것으로 보인다.협회는 출범 후 다양한 사업을 진행할 방침이다.△디지털정부 진흥을 위한 제도 조사연구 △디지털정부 도입 기술 관련 검증 △디지털정부 관련 정책방향 조사 및 신기술 보급 △정부·지방자치단체·공공기관 등 대정부 건의 △디지털정부 확산에 필요한 정부 연구개발(R&D) 사업 발굴 △회원사와 연계한 인력양성 사업 및 교육시설 운영 등 디지털정부 생태계 전반에 필요한 영역을 중심으로 사업을 진행한다.현재 행안부 산하 등록된 IT 관련 협단체는 정보시스템감리협회, 한국PMO협회 등이 있지만 일부 분야만을 대표한다는 한계가 있다. 새 협회는 디지털정부 전반을 아우르는 단체를 표방한다. 행안부 관계자는 “정부가 추진하는 사업과 정책 관련 개선사항이나 좋은 정책을 협회를 통해 적극 제안해주길 바란다”고 말했다.디지털정부협회 개요김지선 기자 river@etnews.com출처 : https://www.etnews.com/20250212000286