“보안은 영원히 싸워야 하는 영역이다.” 김용대 카이스트 ICT 석좌교수가 강조한 말이다. 이코노미스트는 24일 오후 서울 중구 명동 ‘커뮤니티하우스 마실’에서 테크 포럼(Tech Forum)을 개최했다. 이날 포럼에 강연자로 참석한 김용대 카이스트 ICT 석좌교수는 한국 보안의 현주소와 나아갈 방향을 진단했다.이코노미스트 테크 포럼은 올해로 12회째를 맞았다. 이번 포럼은 ‘AI 시대의 새로운 보안 패러다임’을 주제로 열렸다. 김 교수는 ‘AI 시대 보안, 공격과 방어의 끝없는 전쟁’을 주제로 포럼의 포문을 열었다.김 교수는 “AI가 보안의 속도를 바꾸고 있다”고 강조하며, 과연 한국 보안은 준비가 돼 있는지 반문했다. 그가 한국 보안을 두고 가장 우려한 부분은 ‘제도’였다. 규제와 인증 중심의 제도가 과연 제대로 작동하고 있느냐는 것이다.규제·인증 중심 제도의 한계김 교수는 “지난해는 규제와 인증 중심의 제도가 가진 한계를 잘 보여준 한 해”라며 “SK텔레콤, KT, 롯데카드, 쿠팡 등 여러 기업을 대상으로 한 대형 사고가 한 해에 집중됐다”며 “이들은 모두 보안 관련 규제를 따르고 인증을 받은 기업들”이라고 지적했다.이어 “그럼에도 불구하고 이들 기업 모두 보안 사고를 막지 못했다”며 “그렇다면 규제와 인증 중심의 제도가 과연 제대로 작동하고 있는지 우리는 다시 살펴봐야 한다”고 말했다. 이어 “한국 보안의 가장 큰 문제는 규제 중심이라는 점”이라고 꼬집었다.한국의 침해 사고 관련 대응 방식에 대해서도 비판했다. 한국은 침해 사고 이후 복구에 대한 관심이 크다는 게 그의 진단이다. 김 교수는 한국의 경우 정작 침해를 미리 예방하고, 취약점을 줄이는 체계는 상대적으로 약하다고 주장했다.김 교수는 “한국은 공격이 오면 당한 뒤 대응하는 쪽에 가깝다”며 “예방을 해야 피해를 줄일 수 있는데, 그 부분이 약하다. 더 큰 문제는 취약점을 발견해 제보해도 화이트해커가 보호받기 어렵다는 점”이라고 말했다. 이어 “취약점을 알려준 사람에게 되레 명예훼손이나 각종 법적 문제를 거론하며 압박하는 경우도 있다”고 지적했다.계속해서 “제보를 받아도 고치지 않는 사례도 적지 않다. 한국의 경우 이런 취약점을 선제적으로 고친다고 해서 칭찬받는 구조도 아니고, 안 고친다고 해서 불이익을 받는 구조도 아니다”라며 “그렇기 때문에 취약점이 방치된다”고 문제를 짚었다.정보통신망법 48조 1항이라는 ‘독소조항’에 대해서도 지적했다. 정보통신망법 제48조 1항은 정당한 접근권한 없이 혹은 허용된 접근 권한을 넘어 정보통신망에 침입하는 행위를 금지하고 있다.이를 두고 그는 “정보통신망법 48조 1항처럼 원하지 않는 트래픽을 보내면 불법이 될 수 있는 조항 때문에, 국내에서는 웹사이트 취약점을 점검하는 행위 자체가 위축되는 측면이 있다”며 “해외 공격자들은 그런 제약을 받지 않는다. 결국 외부 공격자는 우리 시스템을 마음껏 탐색하는데, 정작 우리는 우리 시스템의 문제를 제대로 파악하지 못하는 상황이 생긴다”고 말했다.이어 “예스24는 랜섬웨어에 두 번 감염됐고, 롯데카드도 각종 인증을 통과했다고 강조한 직후 해킹 사고를 겪었다. 업비트, 쿠팡 등 대형 유출 사고를 겪은 기업들도 모두 보안 인증을 받은 곳들이었다. 이런 사례를 보면 ‘인증을 받았느냐’보다 ‘실제로 안전하냐’를 봐야 한다”고 강조했다. 커지는 취약점 공개 제도 중요성보안 영역에 있어 ‘취약점 공개 제도’(VDP)의 중요성도 짚었다. VDP는 조직과 기업의 시스템과 서비스에서 발견된 취약점을 외부 연구자나 화이트해커가 제보할 수 있도록 마련된 공식 창구다. 단순 제보 창구 역할을 넘어 접수된 취약점에 대해 ▲제보 ▲검토 ▲조치 ▲피드백 등 일련의 과정을 거쳐 체계적으로 해결하는 관리 체계를 뜻한다.김 교수는 VDP를 두고 “윤리적인 해커나 학생들이 취약점을 찾고 제보하면, 이를 받은 기관이나 기업이 검증하고 패치한 뒤 적절한 시점에 공개하는 체계가 필요하다. VDP는 제보자를 보호하고, 취약점이 실제로 줄어들도록 만드는 제도”라고 말했다. 이어 “한국에서도 이런 VDP 도입 논의가 진행 중인데, 반드시 필요하다고 본다”고 덧붙였다.이어 “최근 정보보호 2차 종합대책을 살펴보면 한국도 규제 중심에서 선제적 보안 역량 강화 쪽으로 옮겨가려는 움직임은 보인다”고 평가하면서도 “다만 아직 구체성이 부족하고, 실제로 얼마나 작동할지는 더 지켜봐야 한다. 특히 금융 보안 소프트웨어 의무화 같은 낡은 규제는 여전히 남아 있다”고 지적했다.그는 “반복해서 문제를 일으키는 소프트웨어를 왜 계속 국민 PC에 깔게 해야 하는지 근본적인 재검토가 필요하다”며 “공인인증서와 유사한 방식의 규제를 20년 넘게 유지해 왔지만, 이런 모델은 해외에서 경쟁력을 인정받지 못했다. 아무도 원하지 않는 모델이기 때문이다. 한국식 보안 규제가 세계 표준이 되지 못하는 이유를 돌아봐야 한다”고 꼬집었다.발표 말미에 그는 “AI 활용이 폭발적으로 증가하는 상황에서 기존의 느린 보안 검토 절차만으로는 대응이 어렵다. 특히 LLM 기반 서비스는 모델 업데이트 주기가 매우 짧기 때문에, 예전 방식의 정적인 검증만으로는 한계가 있다. 단순히 검토 절차를 줄이고 축소할 것이 아니라, 더 현대적이고 지능화된 보안 체계로 넘어가야 한다”고 조언했다.이어 “앞으로 필요한 인재는 AI를 잘 쓰는 사람”이라면서도 “동시에 AI가 아직 하지 못하는 문제를 다룰 수 있어야 한다”고 말했다. “인재 개발의 영역에선 AI가 잘하는 영역과 정면으로 경쟁하기보다, AI가 아직 대체하지 못하는 분야로 가는 것이 더 나은 전략일 수 있다”고 덧붙였다.

경기창조경제혁신센터의 ‘창업도약패키지 지원사업’은 ‘데스밸리’(죽음의 계곡)를 겪는 3~7년 사이의 스타트업을 지원한다. 이 사업에 선정된 스타트업 창업가의 생생한 이야기는 후배 창업가들의 성장에 도움을 줄 것이다. 그를 만나러 가는 길에는 의문이 따랐다. 한때 증강현실(AR)·가상현실(VR) 등 확장현실(XR) 기술은 산업 전반을 변화시킬 것으로 평가받았다. 게임 및 교육 등 다양한 분야에서 XR 기술을 활용한 서비스를 내놨지만 한여름밤의 꿈처럼 어느 순간 사그라들었다. 하드웨어의 편의성 부족과 상용화의 한계로 기대만큼 대중화되지 못했다. 그런데 그 시장에서 그의 기업은 조용하고 묵직하게 성장하고 있다. 그 이유가 궁금했고 확인을 해보고 싶었다. 그는 20년 넘게 3D 게임 엔진 개발자로 살며 가상 세계를 조율해 온 베테랑 엔지니어였다. 수많은 게임을 성공시키고 수익을 내는 삶이 당연하게 여겨지던 때, 그의 인생을 바꾼 결정적인 사건이 일어났다. 2014년 발생한 세월호 참사였다. 그는 당시의 충격을 회고하며 "내가 가진 기술은 있지만, 사회에 빛과 소금이 되지는 못하고 있다는 생각이 들었다"고 말했다. 기술로 누군가의 생명을 구하고 사회 안전망을 강화할 수 있는 방법은 없을까 하는 고민이 시작된 지점이다.그는 단순히 돈을 벌기 위한 수단이 아닌, 사회 공헌을 실천할 수 있는 모델을 찾아 나섰다. 게임 엔진 기술을 교육과 훈련, 특히 위험한 현장에 투입되는 전문가들의 가상 훈련 시스템으로 전환하기로 결심했다. 그렇게 2019년 3월, ‘인터랙트’라는 이름의 스타트업을 창업했다. 이름 그대로 가상과 실제 세계 사이의 완벽한 ‘상호작용’을 통해 생명을 구하는 기술을 구현하겠다는 의지를 담았다.이번 경기창조경제혁신센터의 창업도약패키지 사업에 선정된 권남혁 인터랙트 대표는 게임 업계의 화려한 조명을 뒤로하고, 소방·군·경찰 등 공공 안전의 최전선을 지키는 ‘XR(확장현실) 훈련의 어도비(Adobe)’를 꿈꾸고 있다.죽어가는 XR 시장에서 ‘훈련’이라는 생존법 찾아권 대표는 과거 메타버스와 XR에 쏠렸던 시장의 관심이 하락한 현 상황을 냉철하게 진단했다. 그는 “엔터테인먼트나 게임 분야의 XR은 글로벌 시장에서도 성과가 정체되어 있으나, 교육 훈련 분야는 수요가 확실하다”고 분석했다. 고비용 혹은 고위험 훈련을 가상 공간에서 반복 수행할 수 있다는 실용적 가치 때문이다.인터랙트는 ▲공군 기지 방어 훈련 시스템 ▲소방 훈련 시스템 ▲경찰청 가상(VR) 운전능력 평가 시스템 등 주요 B2G(기업-정부 간 거래) 프로젝트를 수주하며 입지를 다졌다. 충북 옥천에 구축한 XR 훈련 센터는 가상 공간의 벽과 실제 공간의 물리적 패널 위치를 동기화했다. 이를 통해 훈련생이 가상의 벽을 걷어차거나 기대는 등 실감 나는 동작이 가능하도록 설계되었다.공공 기관의 기준을 충족할 수 있었던 핵심은 자체 ‘엔진’ 보유에 있다. 유니티(Unity)나 언리얼(Unreal) 등 글로벌 상용 엔진은 라이선스 비용 외에도 전문 개발자의 코딩이 필수적이라는 한계가 있다. 반면 인터랙트가 개발한 노코드(No-Code) 엔진 ‘ETXR’은 비전문가인 소방관이나 군 교관이 수일 내의 교육만으로 직접 훈련 시나리오를 구성하고 수정할 수 있는 환경을 제공한다. 권 대표는 이를 “그림을 편집해주는 외주 회사가 아니라 도구(포토샵 등)를 개발하는 회사”라고 설명했다. 국경을 넘는 안전 기술, 키르기스스탄에서 두바이까지인터랙트의 기술은 해외 시장에서 성과를 내고 있다. 키르기스스탄 비상상황부(MOES) 프로젝트를 통해 한국형 XR 소방 훈련 시스템을 수출했다. 베트남과 중국에서도 시스템 도입 계약을 체결했다. 매출 지표도 성장세를 보이고 있다. 2019년 설립 당시 3억 원이었던 매출은 지난해 40억 원으로 증가했다. 올해 목표치는 100억 원에서 160억 원 사이로 설정했으며, 매출의 60% 이상이 해외에서 발생할 것으로 전망하고 있다. 권 대표는 3년 연속 CES에 참가하며 글로벌 네트워크를 확장해왔다.향후 목표는 2030년 나스닥(Nasdaq) 상장이다. 권 대표는 기술 기업으로서의 가치를 국제적으로 평가받기 위해 이미 미국 로펌과 계약하여 IFRS 국제회계기준 도입 및 ESG 경영 구조 구축 등 상장 준비에 착수했다.법률 자문부터 기숙사까지... "직원이 행복해야 기술도 빛나"인터랙트는 임직원 및 직계 존비속을 대상으로 한 법률 자문 서비스와 지방 출신 사원을 위한 기숙사 운영 등 사내 복지를 시행 중이다. 직원의 생활 안정이 업무 집중도와 기술의 진정성으로 이어진다는 권 대표의 경영 철학이 반영된 결과다.기술적으로는 생성형 AI를 접목한 자동 모델링 기술 도입을 준비하고 있다. 현재의 템플릿 방식에서 나아가, 종이에 그린 평면도를 촬영하면 AI가 즉각 3D 훈련 공간으로 변환하는 시스템을 구축할 계획이다.권 대표는 인터뷰를 마치며 예비 창업자들에게 실질적인 조언을 전했다. 그는 "정책 자금에 의존하기보다 린(Lean) 스타트업 방식으로 시장 반응을 신속히 검증하며 점진적으로 규모를 키워야 한다"고 강조했다.

인공지능(AI) 기업 솔트룩스가 자사 주주를 대상으로 자회사 ‘구버’(Goover)의 AI 에이전트 서비스를 무상 제공하는 이벤트를 진행한다.솔트룩스는 주주들이 자사의 기술력을 직접 체험하도록 하고, 여기서 발생하는 피드백을 서비스 고도화에 활용하기 위해 이번 행사를 기획했다고 밝혔다. 제공 혜택은 연간 구독료 24만원 상당의 ‘구버 프로’(Goover Pro)’ 플랜 1년 이용권이다.이벤트 참여 대상은 솔트룩스 주식을 1주 이상 보유한 주주 전원이다. 신청 희망자는 4월 30일까지 솔트룩스 홈페이지 내 이벤트 배너를 통해 증권사 애플리케이션 또는 홈트레이딩시스템(HTS)의 보유 주식 화면 캡처 본을 제출하면 된다. 이용권은 5월 1일 일괄 부여될 예정이다.구버는 솔트룩스의 초거대언어모델(LLM) ‘루시아(LUXIA) 3.5’를 기반으로 한 AI 에이전트 서비스다. 주요 기능으로는 ▲추론 AI 기반 딥리서치 ▲실시간 이슈 탐지 ▲리포트 및 팟캐스트 생성 ▲슬라이드 자동 생성 등이 포함되어 있다.솔트룩스는 이번 이벤트를 통해 수집되는 주주들의 사용 경험과 의견을 향후 기능 개선 및 신규 서비스 개발의 기초 자료로 활용할 방침이다. 이를 위해 프로모션 안내 페이지 등에 피드백 접수용 이메일 주소를 상시 운용한다.이경일 솔트룩스 대표는 "주주들이 자회사 AI 서비스를 직접 경험할 기회를 마련했다"며 "사용자 피드백이 서비스 발전에 중요한 자료가 될 것"이라고 말했다.

인공지능(AI) 기업 이스트소프트의 자회사 라운즈(ROUNZ)가 전국 가맹 안경원을 통해 AI 스마트 안경 및 AR 선글라스 판매를 시작한다고 19일 밝혔다. 온라인 예약 후 오프라인 안경원에서 제품을 체험하고 도수 렌즈까지 맞춤 제작할 수 있는 옴니채널 유통 모델을 국내 안경원 최초로 도입한 사례다.라운즈는 아이웨어 전문 AI 서비스 기업으로 자사 온라인 쇼핑몰에 ‘AI 안경’ 전용 메뉴를 신설했다. 소비자들은 온라인에서 제품 정보를 확인한 뒤, 가까운 가맹 안경원을 방문해 무료 시착 서비스를 이용할 수 있다. 특히 스마트 안경의 특성상 시력 교정이 필요한 사용자를 위해 안경사의 전문 검안과 도수 렌즈 가공 서비스를 원스톱으로 제공한다.이번에 출시된 제품군은 '로키드(Rokid) AI 안경'과 '레이네오(RayNeo) Air 4 AR 선글라스' 2종이다. 로키드 AI 안경은 챗GPT를 탑재해 음성으로 실시간 정보 검색과 90개국 언어 번역을 지원하며, 상대방의 음성을 렌즈 디스플레이에 자막으로 표시하는 기능을 갖췄다. 레이네오 AR 안경은 스마트 기기와 연결해 대형 가상 스크린을 구현하는 디스플레이 특화 기기다.라운즈 관계자는 “스마트 안경은 얼굴에 직접 착용하는 제품인 만큼 안경사의 세밀한 상담과 피팅이 필수적”이라며 “온라인의 편의성과 오프라인의 전문성을 결합해 AI 스마트 안경 대중화를 앞당기겠다”고 밝혔다.글로벌 스마트 안경 시장은 스마트폰을 잇는 차세대 개인 컴퓨팅 플랫폼으로 급부상하고 있다. 시장조사기관 스마트 애널리틱스 글로벌에 따르면 2026년 글로벌 스마트 안경 매출은 전년 대비 4배 이상 증가한 56억달러(약 8조2000억원)을 기록했다.

페이스북·인스타그램 운영사인 메타플랫폼(메타)이 자사 가상현실(VR) 헤드셋 '퀘스트'에서 메타버스 서비스 '호라이즌 월드' 운영을 중단한다고 블룸버그 통신이 보도했다.블룸버그에 따르면 메타는 오는 6월 15일부터 퀘스트 VR 헤드셋으로 '호라이즌 월드'에 접속할 수 없다고 17일(현지시간) 발표했다. '호라이즌 월드'는 이용자들이 만화풍의 가상현실 세계에서 아바타로 서로 교류하고 게임 등을 할 수 있는 메타버스 플랫폼이다.회사 측은 호라이즌 월드의 PC 버전 서비스와 스마트폰 서비스는 계속 운영할 계획이다.메타는 마크 저커버그 창업자 겸 최고경영자(CEO) 주도로 VR 헤드셋 기반의 3차원 가상현실 서비스를 핵심 전략으로 추진해왔지만, 작년 스마트 안경을 중심으로 사업을 재편하기로 하면서 관련 인력과 투자를 대폭 줄이고 있다.올해 1월에는 VR 기술과 서비스를 개발하는 '리얼리티랩' 부서에서 약 1000명을 내보내고 VR 게임 및 콘텐츠 스튜디오를 폐쇄했다.저커버그 CEO는 사회관계망서비스의 미래가 '메타버스'라는 믿음 아래 2021년 사명을 '페이스북'에서 '메타플랫폼'으로 바꾸고 VR 기기 및 서비스 개발에 막대한 투자를 해왔다.그러나 메타버스 기술의 대중화가 지연되면서 수백억달러의 영업손실이 쌓이자 결국 작년 11월 메타버스 전략의 전면 수정을 결정했다.

풀스택 AI 전문 기업 솔트룩스는 자사의 생성형 AI 어플라이언스 '루시아 온'(LUXIA-ON)이 한국정보통신기술협회(TTA)로부터 GS(Good Software) 인증 1등급을 획득했다고 17일 밝혔다.GS인증 1등급은 소프트웨어의 기능성, 신뢰성 등 전 평가 항목에서 최고 수준을 충족한 제품에 부여되는 국가 공인 인증이다. 솔트룩스는 앞서 인증을 받은 검색 솔루션 '루시아 A.RAG'에 이어 일체형 장비인 루시아 온까지 1등급을 획득하며 제품군 전반의 안정성을 입증했다.루시아 온은 GPU 서버에 AI 소프트웨어를 사전 탑재한 올인원 제품이다. 전원을 켜는 즉시 생성형 AI 기능을 업무에 적용할 수 있도록 설계됐다. 특히 하드웨어 도입 비용만으로 AI 플랫폼까지 구축할 수 있어, 소프트웨어 별도 구매에 따른 비용 부담을 낮춘 것이 특징이다.해당 제품은 모든 데이터가 내부에서 처리되는 온프레미스(On-premise) 방식을 채택해 외부 유출 우려를 차단했다. 또한 시큐리티 가드레일을 적용해 민감 정보나 개인정보의 입출력을 필터링하는 등 보안 기능을 강화했다.기능적으로는 MCP(Model Context Protocol) 기반 연동 기능과 에이전트 스튜디오가 탑재됐다. 자체 개발한 '루시아 LLM'과 연계해 단순 검색을 넘어 이해, 요약, 생성 등 통합적인 지능형 업무 환경을 제공한다. 향후에는 서치 스튜디오, 문서 AI 등 다양한 애드온(Add-on)을 지원하는 확장형 플랫폼으로 고도화될 예정이다.현재 루시아 온은 공공기관과 기업 현장에서 복잡한 문서 기반의 지식 탐색 및 상담 업무에 활용되고 있다. 특히 공공기관 경영평가 항목인 '안전 일터 조성'과 'AI 활용 혁신'을 동시에 충족할 수 있어 공공 부문의 수요가 높을 것으로 전망된다.이경일 솔트룩스 대표는 "이번 인증은 일체형 AI 어플라이언스의 품질과 신뢰성을 국가 공인 기관으로부터 검증받은 성과"라며 "전문 인력 없이도 안심하고 사용할 수 있는 AI 환경을 제공해 국내외 AI 인프라 표준을 제시하겠다"고 밝혔다.

KAIST 연구진이 이러한 한계를 넘어 사용자의 말투와 취향, 감정까지 실시간으로 배우고 닮아가는, 이른바 ‘영혼의 단짝’ 같은 인공지능 반도체를 세계 최초로 개발했다.KAIST는 인공지능반도체대학원 유회준 교수 연구팀이 사용자의 특성에 맞춰 스스로 진화하는 개인 맞춤형 거대 언어 모델(LLM) 가속기‘소울메이트(SoulMate)’를 개발했다고 17일 밝혔다.이번 기술은 기존의 ‘모두를 위한 AI’를 넘어 사용자의 대화 스타일과 선호도를 학습해 반응하는 ‘나만을 위한 초개인화 AI’ 시대를 앞당길 핵심 반도체 기술로 평가된다.연구팀이 개발한 ‘소울메이트’의 핵심은 외부 서버(클라우드)를 거치지 않고 기기 자체에서 데이터를 처리하는 온디바이스(On-Device) AI 기술이다. 연구팀은 기억된 대화 내용을 바탕으로 맞춤형 답변을 생성하는 검색증강생성(RAG) 기술과 사용자의 피드백을 즉각 반영해 학습하는 로우 랭크 미세조정(LoRA) 기술을 반도체 내부에 직접 구현했다.이를 통해 ‘소울메이트’는 0.2초(216.4ms) 라는 경이로운 속도로 사용자에게 응답하며 동시에 학습까지 수행하는 실시간 개인화 AI 시스템을 구현했다.또한 정보의 중요도에 따라 처리 방식을 최적화하는 혼합 랭크(Mixed-Rank) 아키텍처를 적용해 전력 소모를 획기적으로 줄였다. 해당 반도체는 스마트폰 프로세서 소비전력의 1/500 수준인 단 9.8밀리와트(mW)의 초저전력으로도 복잡한 학습과 추론을 동시에 수행할 수 있어 스마트폰 등 모바일 기기에서도 배터리 걱정없이 구동될 수 있다.특히 모든 개인 데이터가 외부 서버로 전송되지 않고 기기 내부에서만 처리되는 ‘보안 완결형 AI’ 구조를 구현해 개인정보 유출 우려를 근본적으로 차단했다. 연구팀은 이 기술이 향후 스마트폰, 웨어러블 기기, 개인형 AI 디바이스 등 차세대 플랫폼과 결합해 진정한 개인화 인공지능 서비스 시대를 열 것으로 기대하고 있다.유회준 교수는 “이번 연구는 사람들이 서로 우정을 쌓아가는 과정을 모방해 AI가 사용자의 진정한 동반자로 발전할 수 있는 기술적 기반을 마련한 것”이라며 “미래의 인공지능은 단순한 도구를 넘어, 개인의 프라이버시를 완벽히 보호하면서도 언제 어디서나 나를 가장 잘 이해하는 ‘베프(Best Friend)’와 같은 존재가 될 것”이라고 말했다.홍성연 박사과정 연구원이 제1 저자로 참여한 이번 연구는 지난 2월 16일부터 미국 샌프란시스코에서 열린 국제고체회로설계학회(ISSCC)에서 ‘하이라이트 논문(Highlight Paper)’으로 선정되며 전 세계 학계의 주목을 받았다.연구팀은 학회 현장에서 실제 반도체 칩을 활용해 사용자의 반응에 따라 답변 스타일이 실시간으로 변화하는 시연에 성공하며 한국 AI 반도체 기술의 우수성을 입증했다. ‘소울메이트’AI반도체는 교원 창업기업인‘(주)온뉴로AI’를 통해 2027년경 제품화할 예정이다.서지영 기자

북한 인권 관련 이메일로 위장해 사용자가 바로가기(링크)를 누르면 악성 코드를 뿌려 PC를 감염시키는 사례가 확산돼 주의가 당부된다. 특히 감염된 PC는 PC 버전 카카오톡을 통해 카카오톡 친구들에게 다시 악성 코드를 보내는 것으로 밝혀졌다.16일 사이버 보안 기업 지니언스 시큐리티 센터가 발표한 위협 인텔리전스 분석 보고서에 따르면, 코니 조직은 최근 이 같은 방식의 지능형 지속 위협(APT) 공격을 감행하고 있다.이 공격은 '북한 인권 강사 위촉 안내'로 위장한 스피어피싱 이메일에서 시작된다.스피어피싱은 특정인을 노려 실제 업무 연락처럼 위장한 이메일이나 메시지를 보내 악성코드를 심는 사이버 공격이다.공격자는 이메일에 첨부된 압축파일 안에 악성 바로가기(링크) 파일을 포함시켜 사용자가 실행하도록 유도한다. 사용자가 문서를 열기 위해 해당 링크 파일을 더블클릭하는 순간, 내부에 숨겨진 악성 스크립트가 실행되며 PC가 감염되는 구조다.이번 공격의 특징은 감염된 단말기에 설치된 카카오톡 PC 버전을 공격 확산의 매개체로 활용했다는 점이다.공격자는 피해자의 PC에 장기간 잠복하며 계정 정보 등을 탈취한 뒤, 이를 기반으로 카카오톡 PC 버전 세션에 비인가 방식으로 접근한 것으로 파악됐다.이후 피해자의 친구 목록 중 일부를 선별해 '북한 관련 영상 기획안' 등으로 위장한 악성파일을 다시 전송하는 방식으로 공격을 이어갔다.이는 기존 피해자와의 신뢰 관계를 이용하기 때문에 수신자가 별다른 의심 없이 파일을 열어볼 가능성이 매우 높다.지니언스는 이를 단순한 정보 탈취를 넘어선 '계정 기반 재확산'의 위험 모델로 평가하며, 신뢰 관계를 악용한 다단계 공격 구조가 형성되고 있다고 분석했다.보안 업계 전문가는 "무작위 공격이 아닌 소수 인원만 타기팅해 정교하게 공격하는 방식"이라며 "1차 피해자의 컴퓨터로 원격 접속해 이미 로그인된 카카오톡을 악용하는 것이기 때문에 '해외 접속' 표시도 뜨지 않게 된다"고 설명했다.지니언스는 문서 아이콘으로 위장한 바로가기 파일이나 공문 형식을 가장한 첨부파일에 대해 사용자가 경계심을 가질 수 있도록 교육을 강화해야 한다고 강조했다.지니언스 시큐리티 센터 관계자는 "이번 공격은 기존 피해자를 추가 공격의 매개체로 악용한다는 점에서 위협성이 매우 높다"며 "실시간 행위 기반 탐지가 가능한 보안 플랫폼을 통해 초기 침투부터 장기 잠복 행위까지 전 과정을 맥락 기반으로 파악하고 대응해야 한다"고 전했다.

금융보안원의 지난 2024년 ‘디지털금융 보안 인식 조사’에 따르면 전체 응답자의 90.6%는 ‘금융 자산 보호를 위해 일정 수준의 불편을 감수할 수 있다’고 응답했다. 결제 등 디지털 금융서비스 이용률이 높아지고 있지만 여전히 소비자들의 최우선 기준은 ‘보안’이라는 의미다.또한 응답자들은 디지털 금융서비스의 편의성(27%)보다 보안성(73%)을 더욱 중시하는 것으로 나타났다. 비대면 거래 시 인증 방식에 대해서도 편의성이 다소 떨어지더라도 ‘인증을 강화해야 한다’는 응답이 72.3%로 가장 많았다. 결국 안전이 담보되지 않은 편의성은 큰 의미가 없다고 보는 것이다.간편결제 시장은 계속 진화하고 있다. 과거 보안과 불편함의 상징으로 여겨졌던 공인인증서 제도는 이미 폐지됐고, 각종 페이(Pay) 서비스는 클릭 몇 번이면 결제가 완료될 정도로 편의성이 높아졌다. 이런 상황에서 토스는 아예 카드나 스마트폰 조작 없이 얼굴 인식만으로 결제할 수 있는 서비스를 내놓기에 이르렀다. 다만 국내에서는 아직 생체인증 결제의 안전성이 충분히 검증되지 못한 것 아니냐는 우려도 존재한다. 과연 토스의 얼굴 결제 서비스가 보안을 유독 중시하는 한국 소비자들의 신뢰를 얻을 수 있을지 관심이 모인다.토스 “얼굴 원본 데이터 파기”토스의 ‘페이스페이’는 스마트폰이나 카드 없이 얼굴 인식만으로 결제가 가능한 서비스로 간편결제의 다음 단계로 평가된다. 실제 페이스페이 가맹점에서 서비스를 이용하면 약 1초 만에 결제가 완료된다. 기존 토스 앱에 결제 카드를 등록해 두면 얼굴 인식만으로 결제가 가능해 편의성이 높다는 평가다.가입자도 빠르게 늘고 있다. 페이스페이 가입자는 3월 초 기준 353만명을 넘어섰다. 지난해 9월 서비스 정식 출시 이후 가파른 속도로 이용자가 증가하는 추세다.하지만 생체 정보가 결제에 활용된다는 점에서 소비자들의 우려도 적지 않다. 실제 서비스 도입 초기 소비자들 사이에서는 ‘얼굴 정보가 유출되는 것 아니냐’, ‘얼굴 정보가 기록된다는 사실 자체가 불편하다’는 우려가 제기되기도 했다.결제 과정에서 단말기에 정보가 남는지 여부에 대한 우려는 과거 마그네틱 카드 결제 시절부터 제기돼 온 문제다. 카드 단말기에 신용카드를 긁으면 카드 정보가 단말기에 남아 도용될 수 있다는 우려가 있었다. 토스의 페이스페이 역시 결제에 얼굴 정보가 활용되는 만큼 ‘내 얼굴 정보가 저장되거나 도용되는 것 아니냐’는 우려가 자연스럽게 제기되는 상황이다.지난해 9월 토스가 페이스페이 출시 간담회를 열었을 때도 가장 많이 나온 질문 역시 보안 문제였다. 당시 최준호 토스 페이스페이 TPO(테크니컬 프로덕트 오너)는 중앙 서버 해킹 가능성에 대해 “얼굴 이미지 원본 자체는 저장하지 않는다”고 설명했다. 만약 해킹이 발생하더라도 실제 얼굴 이미지 데이터가 저장돼 있지 않기 때문에 피해 가능성을 최소화할 수 있다는 것이다.토스 측은 얼굴 결제 과정에서 얼굴 이미지 원본을 저장하지 않고, 얼굴 특징을 수치화한 ‘템플릿(암호화) 데이터’로 관리한다고 설명했다. 인증을 위한 일부 데이터만 암호화된 형태로 관리되고 원본 이미지는 즉시 파기된다는 얘기다.토스 관계자는 “이런 템플릿 데이터 중 일부는 즉시 파기하고, 일부는 분쟁 대응 등을 위한 거래 관련 데이터로 활용하기 위해 최대 1년까지 보관된다”고 설명했다. 이어 “결제하지 않았는데 결제가 됐다고 주장하는 경우나 부정 결제 발생 가능성 등을 확인하기 위한 최소한의 조치”라고 덧붙였다.또한 얼굴 인식 단계에서는 사진이나 영상 등을 이용한 위조를 막기 위해 ‘라이브니스’(Liveness) 기술이 적용된다. 이는 눈 깜빡임이나 얼굴 움직임 등을 분석해 실제 사람인지 여부를 판단하는 방식이다. 여기에 24시간 이상거래탐지시스템(FDS)을 가동해 부정 거래 여부를 실시간으로 감시하고 있다.아울러 토스의 페이스페이는 서비스 출시 전 보안 알고리즘이나 데이터 처리 방식 등을 정부가 검토하는 절차인 개인정보보호위원회의 ‘사전적정성 검토’를 받았다. 김승주 고려대 정보보호대학원 교수는 “‘사전적정성 검토’를 받았다는 것만으로도 토스의 페이스페이는 일정 수준 이상의 기술적 검증은 받은 셈”이라고 설명했다. 강력한 보안 기준·보상책 마련 중요토스가 페이스페이 보안에 특히 공을 들일 수밖에 없는 이유는 국내 상점에서 본격적으로 도입되는 첫 얼굴 기반 결제 서비스이기 때문이다. 만약 이 과정에서 보안 문제가 발생할 경우 단순히 페이스페이 서비스의 실패에 그치는 것이 아니라 토스가 운영하는 다른 금융 서비스 신뢰도에도 악영향을 미칠 수 있다는 점에서 신중한 접근이 불가피하다.이미 중국에서는 2017년부터 알리페이와 위챗페이를 중심으로 각종 상점에서 얼굴 결제가 상용화된 상태다. 다만 2019년 온라인 플랫폼을 통해 수십만 건의 얼굴 정보가 거래됐다는 보도가 나오면서 사회적 논란이 크게 확산된 바 있다. 이후 얼굴 결제 보안과 관련해 대형 사고는 발생하지 않으면서 현재는 비교적 안정적인 흐름을 보이고 있다는 평가가 나온다.이 사건을 계기로 중국 정부는 개인정보보호법을 시행해 얼굴 정보와 같은 생체 데이터를 민감 개인정보로 규정하고 보다 엄격한 보호 규정을 도입했다. 특히 얼굴 정보 수집 시 이용 목적을 명확히 고지하고 이용자의 동의를 받도록 했으며, 과도한 데이터 수집을 금지하는 내용도 포함됐다.결제업계 관계자는 “국내에서도 생체인증 결제가 자리 잡기 위해서는 보다 강력한 보안 기준과 제도적 논의가 필요하다”며 “특히 결제 서비스 사업자가 정보 유출 사고 발생 시 피해자에게 확실한 보상을 제공할 수 있는 체계를 마련하는 것이 중요하다”고 말했다.

국내 인공지능(AI) 사용자들이 가장 많이 사용하는 AI는 '챗GPT'지만 가장 추천하고 싶은 AI는 '제미나이'라는 조사가 나왔다.12일 컨슈머인사이트가 공개한 최근 '주례 생성형 AI 소비자 동향조사' 보고서에 따르면 지난 1월부터 성인 2400명을 대상으로 진행한 조사에서 가장 많이 이용하는 AI는 오픈AI의 챗GPT로 나타났다.월간 활성 이용률(MAU) 기준으로 챗GPT는 46%를 기록하며 구글의 제미나이(36%)를 10%포인트 앞섰다.'주로 쓰는 AI 서비스'(주이용률) 비중에서도 챗GPT는 60%로, 제미나이(26%)를 크게 웃돌았다.그러나 AI 추천 의향 점수에서는 제미나이와 노트북LM이 각각 78점으로 공동 1위에 올랐다.노트북LM은 월간 이용률이 2%에 그쳤지만 추천 의향에서는 제미나이와 함께 공동 1위를 차지해 눈길을 끌었다.그 다음으로 챗GPT가 74점으로 3위를 차지했다.이어 클로드와 캔바(각 73점), 나노바나나(72점), 퍼플렉시티(71점) 등이 뒤를 이었다.챗GPT 이용자는 '무료 기능 범위가 충분하다'는 응답이 많아 접근성이 강점으로 꼽혔고, 제미나이 사용자는 답변 정확성과 신뢰도, 한국어 이해 능력 등 성능 측면에서 더 높은 점수를 줬다.컨슈머인사이트는 "이용률이 현재의 선택을 반영한다면 추천 의향은 미래의 선택을 예고한다"며 "이용자 수 확대 못지않게 기존 이용자의 만족도 관리도 중요한 과제"라고 분석했다.