세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
[1월 4주 뉴스쌈] 인텔 CEO “취약점 줄인 CPU 올해 출시”
  |  입력 : 2018-01-28 08:43
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
멜트다운·스펙터 줄인 신제품 출시, 기업 보안의 이상과 현실,
머신러닝 활용한 음성인식 다중인증 툴, 페이스북의 컨펌 인수,
소규모 매장서 사용되는 모바일 카드 리더기 관련 표준 추가


[보안뉴스 오다인 기자] 음식을 배달시키거나 플리마켓에서 카드로 결제할 때, 모바일 카드 리더기의 보안에 대해 항상 궁금했습니다. 요즘 들어 점점 더 많은 사람들이 모바일 포스기를 활용하고 있는 것 같은데요. 그만큼 그 보안도 중요해졌다는 걸 PCI DSS의 새 표준 추가로 다시 한 번 느끼게 됩니다. 1월 4주 뉴스쌈은 인텔 CPU 게이트와 관련한 인텔 CEO의 발언과 함께, 재미있는 외신들을 종합했습니다.

[이미지=iclickart]


인텔 CEO, “멜트다운과 스펙터 취약점 줄인 새 제품, 올해 말에 출시”
인텔의 브라이언 크르자니크(Brian Krzanich) 최고경영자(CEO)가 25일(현지시간) 열린 인텔 수익 결산 회의에서 멜트다운(Meltdown)과 스펙터(Spectre) 취약점을 줄인 새 제품들을 “올해 안에” 출시할 것이라고 애널리스트들에게 말했습니다.

크르자니크 CEO는 “(멜트다운과 스펙터) 익스플로잇으로부터 고객들의 인프라를 보호하기 위해 고품질의 방어 제품들을 제공하는 것이 인텔의 단기 목표가 돼야 할 것”이라고 말했습니다. 또한, 그는 “하드웨어상의 스펙터와 멜트다운 위협들을 직접적으로 다루는 실리콘 기반 변화들을 향후 출시할 제품에 통합하려고 노력하고 있으며, 해당 제품들은 올해 안에(later this year) 확인할 수 있을 것”이라고 설명했습니다.

인텔은 최근 멜트다운과 스펙터라는 하드웨어 취약점이 수면 위로 떠오르면서 엄청난 포격을 받고 있는 중입니다. 이로 인해 총체적 난국이 도래했다는 뜻에서 ‘인텔 CPU 게이트’라고 줄여 부르기도 합니다. 이 와중에 패치와 관련해 ‘서둘러 패치해야 한다’에서 ‘패치하지 마라’로 권고가 우왕좌왕 나오면서 이용자와 업계의 혼란은 점점 더 가중되는 형세입니다.

한편, 인텔 크르자니크 CEO는 “보안은 언제나 인텔의 최우선 순위였다”면서 “이번 사건(CPU 게이트)으로 인해 세계에서 가장 안전한 제품을 개발해야 한다는 인텔의 미션이 더욱 강화된 것”이라고 말하기도 했습니다. 어찌됐건 당분간은 인텔의 대응을 지켜보는 수밖에 없을 것 같습니다.

기업 57%, 엔드포인트와 모바일 기기 보안에 예산 대부분 지출
기업들이 이상적으로 생각하는 보안 운영과 실제 보안 전략 사이에는 불일치가 존재하는 것으로 나타났습니다. 기업 77%는 저장 데이터(data at rest) 보안 툴이 유출 방지에 가장 효과적이라고 응답했으나 실제 보안 지출 우선순위에서 저장 데이터 보안 툴은 하위 40%까지 밀려났습니다.

기업들 57%는 보안 예산 중 상당량을 엔드포인트와 모바일 보안 기술에 지출하고 있었습니다. 상관관계 분석 툴은 50%로 뒤를 이었습니다. 게다가 많은 기업들이 암호화가 중요하다고 응답했으나 정작 암호화 기술에는 많은 예산을 배분하고 있진 않았습니다.

이 같은 연구는 보안업체 탈레스(Thales)의 2018년 데이터 위협 보고서(2018 Data Threat Report)에 따른 것입니다. 이 보고서의 설문조사에는 전 세계 1,200명가량의 보안경영자들이 참여했습니다. 응답자의 94%는 기밀정보를 클라우드, 빅데이터, 사물인터넷, 컨테이너, 블록체인, 모바일 환경 등에서 사용하고 있다고 밝혔습니다. 44%는 정보보안 위협에 대해 ‘매우(very)’ 또는 ‘극도로(extremely)’ 취약하다고 느낀다고 말했습니다.

이밖에 응답자의 42%는 서비스형 소프트웨어(SaaS) 애플리케이션을 50개 이상 사용하고 있으며, 57%는 3개 이상의 서비스형 인프라(IaaS) 업체를 이용하고 있다고 밝혔습니다. 3개 이상의 서비스형 플랫폼(PaaS) 환경을 이용한다고 밝힌 응답자는 53%였습니다.

머신러닝 활용한 음성인식 다중인증 엔진, ‘딥 보이스’ 나왔다
음성인식 보안업체 핀드롭(Pindrop)이 25일(현지시간) ‘딥 보이스(Deep Voice)’와 ‘핀드롭 패스포트(Pindrop Passport)’를 출시한다고 발표했습니다. 딥 보이스는 음성 기반의 새로운 생체인식 엔진으로, 심층 신경망 머신러닝 기술을 활용합니다. 핀드롭 패스포트는 딥 보이스 엔진으로 가동되는 다중인증 제품이라고 하네요.

핀드롭에 따르면, 딥 보이스 엔진은 배경 소음에 관계없이 발신자를 인식할 수 있고, 아주 짧게 말하거나 자동 응답 시스템에 말하더라도 발신자를 인식해낼 수 있다고 합니다. 딥 보이스 엔진은 화이트리스팅(whitelisting), 블랙리스팅(blacklisting), 이상 탐지(anomaly detection) 기술을 사용합니다. 개인별 목소리는 전화를 걸 때마다 분석되기 때문에 전화를 걸수록 신뢰도도 높아진다고 핀드롭은 설명했습니다.

핀드롭 패스포트는 딥 보이스와 기기 인증, 행동 분석을 결합한 제품입니다. 핀드롭 패스포트는 콜센터가 발신자의 신원을 확인할 때 사용할 수 있는 다중인증 솔루션으로 만들어졌다고 하는데요. 개인정보를 요청해 신원을 확인할 경우 추후 정보유출의 위험에 노출될 수 있지만, 핀드롭 패스포트는 음성으로 발신자를 인식함으로써 그런 위험 자체를 제거할 수 있었다고 핀드롭은 강조했습니다.

핀드롭은 핀드롭 패스포트가 전화 응대 시간을 최대 55초까지 줄여줄 수 있으며, 콜센터에는 전화 한 통당 1달러까지 비용을 줄여주는 효과가 있다고 말했습니다. 장난전화나 사기성 전화도 줄여줄 수 있다고 핀드롭은 덧붙였습니다.

페이스북, 신원확인 전문업체 ‘컨펌’ 인수
페이스북이 미국 보스톤의 신원확인 전문업체 ‘컨펌(Confirm)’을 인수합니다. 페이스북과 컨펌 간 계약의 세부사항은 아직 드러나지 않은 상황입니다.

컨펌은 지난 3년간 운전면허증이나 기타 ID의 사진을 활용해 이용자 신원을 확인하는 기술을 개발하는 데 전념해온 업체로 알려졌습니다. 컨펌은 신원확인용 애플리케이션에 통합될 수 있는 API와 SDK를 개발한 바 있습니다.

이번 인수로 컨펌은 미국 메사추세츠 주 캠프리지에 있는 페이스북 사무실로 이전하게 됐습니다. 컨펌 직원 중 몇 명이 페이스북에 합류하게 될지는 미지수로 남아 있습니다.

PCI DSS에 소프트웨어 기반 비밀번호 입력 표준 추가
PCI 보안표준위원회(PCI Security Standards Council)가 새로운 표준을 추가했습니다. 상거래 종사자가 스마트폰이나 태블릿PC 등 상용 기기를 사용해 거래를 진행할 때, 소프트웨어 기반의 비밀번호(PIN) 입력이 필요하다는 표준을 개설한 것입니다.

PCI DSS는 ‘신용카드업계 데이터보안표준(Payment Card Industry Data Security Standard)’의 영문 약자입니다. 앞서 언급한 상용 기기는 간단히 ‘COTS(Commercial off-the-shelf)’라고도 합니다.

이번에 새롭게 추가된 표준은 COTS로 결제할 시 보안성이 높은 비밀번호 입력 애플리케이션을 사용해야 한다는 지침을 담고 있습니다. 최근 소규모 매장들에서 모바일 포스(PoS)기를 이용한 결제가 점점 더 광범위해지고 있는데요. 새 표준을 추가함으로써 모바일 포스 시스템상의 카드 리더기 보안을 강화하려는 차원에서 이뤄진 조치라고 볼 수 있습니다.

이번 조치와 관련해 금융 및 기술 리서치 기업인 에이트 그룹(Aite Group)의 수석 애널리스트인 론 반 위젤(Ron van Wezel)은 “보안성이 강한 비밀번호 입력 애플리케이션을 결제 과정에 추가함으로써 상거래 종사자들이 비용효과적인 소형 카드 리더기와 모바일 기기만 갖고도 안전하게 결제할 수 있도록 했다”고 평가했습니다.
[국제부 오다인 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 5
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)