■삼성전자7월-애플9월신제품출시▲갤럭시워치8클래식1.5인치디스플레이·회전베젤혈압·심전도헬스케어기능강화▲애플워치울트라3IT전문매체“6가지기능추가”보급형‘SE3’도함께선보일듯中샤오미·화웨이도후속작예고브랜드마다건강초점고급센서삼성전자와애플이올하반기스마트워치대전(大戰)을앞두고있다.삼성전자는오는7월열릴갤럭시언팩에서신제품‘갤럭시워치8시리즈’,애플은9월쯤‘애플워치울트라3’등을각각공개할예정이다.양사모두프리미엄제품에는‘울트라’라는이름을고수할것으로예상되며전작과동일하게가볍고내구성이높은티타늄소재를적용할것으로보인다.특히해외정보기술(IT)매체등을통해일부유출된제품정보를종합하면,기존대비헬스케어기능을한층강화한점이특징이다.2일관련업계에따르면삼성전자의이번시리즈에는회전베젤이적용된‘갤럭시워치8클래식’모델이1년만에부활할전망이다.약1.5인치디스플레이와435mAh(밀리암페어시)배터리를탑재한47㎜단일모델이유력한것으로알려졌다.혈압및심전도측정기능등건강관리기능이한층강화되고,차세대‘갤럭시인공지능(AI)’과의연동범위도대폭확대될것으로점쳐진다.IT전문매체등을통해유출된제품예상도에따르면,갤럭시워치울트라와유사한사각프레임에원형디스플레이가결합된형태인‘스퀘어클’디자인을갖췄다.애플이9월공개할것으로전망되는‘애플워치울트라3’역시기존과마찬가지로스포츠시계이용자들을겨냥해제작될것으로예상된다.디자인상큰변화는없을것으로보이나IT매체맥루머스는“새로운기능6가지가추가될전망”이라고전했다.특히고혈압감지기능이최초로도입될것으로전해졌다.정확한수축·이완기혈압측정값을제공하지는않지만,사용자의혈압이상승추세인지추적해고혈압이감지되면알림을보내는방식이다.애플은기본애플워치(시리즈11)와보급형인SE3도함께선보일것으로알려졌다.시장조사업체카날리스에따르면올해1분기글로벌세계웨어러블워치출하량은4660만대로전년동기대비13%늘었다.특히샤오미가애플을제치며출하량1위를탈환하고,화웨이도3위를유지하는등중국업체들의선전이돋보였다.샤오미는출하량870만대로전년대비44%증가했다.레드미밴드5판매량급증에힘입은결과로시장점유율은19%수준이다.샤오미는광범위한포트폴리오와하이퍼(Hyper)OS를통한제품간통합에힘입어지난2021년2분기이후가장많은웨어러블밴드를출하했다.3위에이름을올린화웨이의출하량은같은기간710만대로36%늘었다.시장점유율은15%수준이다.워치GT,핏(Fit)시리즈를통해거둔성과와더불어화웨이헬스앱의글로벌출시가속화로중국을넘어글로벌시장으로생태계를확장하는추세다.올하반기에도샤오미는건강관리에초점을맞춘‘미밴드’후속작을,화웨이는워치GT후속작을각각선보일것으로예상된다.삼성전자가지난해출시한‘갤럭시워치울트라’(위)제품과애플‘애플워치SE2세대’(중간),화웨이‘워치핏4프로’(아래)모습.각사제공데이비드나란조카운터포인트리서치부사장은“안드로이드와iOS스마트워치모두더많은AI기능과고급센서를통합해건강데이터에대한더깊은통찰력을제공할것으로예상된다”며“고급센서의경우스마트워치는심방세동·수면무호흡증·고혈압·당뇨병에초점을맞춘건강추적과같은신체신호를측정하는센서를통합할것으로보인다”고예상했다.이어“각브랜드는새로운스마트워치모델에대한규제승인을받고,새로운건강기능을통합해시장에서의입지를유지하는데중점을둘것”이라고덧붙였다.김성훈·김호준기자Copyright©문화일보.무단전재및재배포금지.

결제인프라개발하고,각국결제서비스추진[이데일리강민구기자]블록체인인프라기업DSRV가아시아스테이블코인산업핵심인프라구축을목표로싱가포르의스트레이츠엑스(StraitsX)와전략적업무협약(MOU)을체결했다.StraitsX는싱가포르에기반을둔디지털결제인프라기업으로,싱가포르달러,미국달러,인도네시아루피아에연동된스테이블코인인XSGD,XUSD,XIDR를발행하고있다.이들은각각의법정화폐와1:1로연동되며,이더리움,폴리곤등7개블록체인네트워크에서운영중이다.StraitsX는지난2020년싱가포르통화청의규제샌드박스를통해XSGD발행을시작했고,이후주요결제기관라이선스를받아스테이블코인발행과운영을하고있다.현재StraitsX는알리페이플러스,그랩과파트너십을통해싱가포르국내및국경간거래에서스테이블코인을활용한결제솔루션을확대하고있다.한국의네이버,카카오,토스등주요간편결제앱을통해싱가포르의그랩페이가맹점에서결제하면StraitsX가발행한XSGD로정산이이뤄져스테이블코인을통해동남아시아결제시장을혁신하고있다는평가를받고있다.StraitsX의CEO텐웨이리우는“이번협업은아시아에서스테이블코인결제인프라개발을가속화하고규제친화적인결제생태계확장에중요한첫걸음이될것”이라며“DSRV와의협력이글로벌결제솔루션에큰변화를가져올것”이라고말했다.DSRV는StraitsX와함께△법정화폐기반스테이블코인의발행·상환기술개발△국경간리테일결제인프라구축△규제당국과의정책정합성확보와관련해협력할계획이다.단순한기술연계를넘어각국의결제시스템을실제로연결하는실사용기반인프라를구현할계획이다.특히DSRV는자사의스테이블코인발행·체인간브릿지기술을기반으로싱가포르의스테이블코인과상호연동가능한블록체인결제인프라를개발하고,각국지역결제서비스제공업체간상호연동을통해국경간실시간결제를가능하게할예정이다.김지윤DSRV대표는“기술만이아닌규제기반인프라의중요성이커지고있는시점에서DSRV는기술력과제도정합성모두를갖춘아시아스테이블코인생태계의중심축으로도약하고자한다”며“앞으로도규제정합성을기반으로인프라구축에집중하며,글로벌결제생태계의지속가능한연결고리가되기위해협업을강화하겠다”고말했다.강민구([email protected])Copyright©이데일리.무단전재및재배포금지.

KAIST"키보드입력훔쳐보기·인증서노출우려…의무화바꿔야"KAIST·고려대·성균관대·티오리공동연구팀윗줄왼쪽부터김용대교수,윤인수교수,김형식교수,김승주교수,아랫줄왼쪽부터윤태식연구원,이용화연구원,정수환연구원[KAIST제공.재판매및DB금지](대전=연합뉴스)박주영기자=국내금융보안프로그램의설치의무화가오히려사이버공격위험성을높인다는연구결과가나왔다.한국과학기술원(KAIST)전기·전자공학부김용대·윤인수교수공동연구팀은고려대김승주교수팀,성균관대김형식교수팀,보안전문기업티오리와공동으로한국금융보안소프트웨어를분석,설계상구조적결함과취약성을발견했다고2일밝혔다.연구팀은북한의사이버공격사례에서한국의보안소프트웨어가왜주요표적이되는지에주목했다.국내주요금융기관과공공기관에서사용중인7종의주요보안프로그램(KoreaSecurityApplications,이하KSA)을분석해총19건의심각한보안취약점을발견했다.주요사례별로보면,일부KSA는키보드입력내용을암호화해웹사이트에전달하지만,해킹웹사이트가해당기능을이용할경우사용자의키보드입력을훔쳐보거나저장할수있다는문제가있다.공인인증서를보호하겠다고만들어진일부KSA는응용프로그램인터페이스(API)를통해인증서를제공하는데,이때사용자이름등개인정보가암호화되지않은상태로노출될수있다.이밖에중간자공격(MITM·Man-in-the-middle),원격코드실행(RCE),사용자식별·추적등의취약점이지적됐다.이는국내금융보안소프트웨어들이보안을유지하기위해민감정보에대한접근을제한하는웹브라우저의보안구조를우회하는방식을사용하기때문이라고연구팀은지적했다.이런액티브X(ActiveX)방식의보안플러그는취약성과기술적한계로지원이중단됐지만,실제로는실행파일(.exe)을사용한비슷한구조로대체되면서여전히보안위험이지속되고있다.문제는한국에서는금융·공공서비스이용시이러한보안프로그램의설치를의무화하고있다는점이다.연구팀이전국400명을대상으로실시한온라인설문조사결과,97.4%가금융서비스이용을위해KSA를설치한경험이있다고답했다.이중59.3%는'무엇을하는프로그램인지모른다'고응답했다.실제사용자PC48대를분석한결과,1인당평균9개의KSA가설치돼있었다.일부취약점은연구팀의제보로패치됐으나,여전히근본적인설계취약점은해결되지않은상황이라고연구팀은전했다.김용대교수는"보안소프트웨어가사용자의안전을위한도구가되어야함에도오히려공격의통로로악용될수있다"며"비표준보안소프트웨어들을강제로설치시키는방식이아니라,웹표준과브라우저보안모델을따르는방향으로전환해야한다"고제언했다[email protected]▶제보는카톡okjeboCopyright©연합뉴스.무단전재-재배포,AI학습및활용금지

High-endDX플랫폼기반협력…몽골·중앙아시아디지털전환본격진출DX플랫폼전문기업윤커뮤니케이션즈(대표윤여주)는몽골의대표IT기업게르게시스템즈(GeregeSystemsLLC)와디지털전환플랫폼장기수출계약을체결했다고밝혔다.이번계약은일회성납품에그치지않고,지속적인기술지원과서비스확장을전제로한장기적협력기반의수출계약으로,향후안정적인매출과공동비즈니스확대의토대를마련했다.양사는지난5월23일,윤커뮤니케이션즈본사에서수출계약체결을기념하는세레머니를개최하고본격적인협력의시작을알렸다.이번계약은자체플랫폼을기반으로한디지털전환서비스의첫수출사례이자,대한민국디지털기술의글로벌경쟁력을입증한의미있는성과로평가된다.윤커뮤니케이션즈가수출하는'홍익인간CMS'는'High-endDX플랫폼'으로공공및민간전반의디지털전환을신속하게구현할수있도록설계된고도화된통합플랫폼이다.다양한서드파티솔루션과의자유로운연동및모듈기반커스터마이징이가능하며,이미대한민국내주요중앙부처,지방자치단체,공공기관등에서그안정성과확장성을입증한바있다.게르게시스템즈는몽골정부의전자정부플랫폼'E-Mongolian'구축을포함해디지털인프라고도화및공공서비스디지털화를주도하고있는현지대표ICT기업이다.'E-Mongolian'은대한민국'정부24'에해당하는서비스로,몽골시민들은아파트관리비,주차요금등민간서비스까지게르게시스템즈의키오스크를통해One-Stop으로이용할수있다.이번계약은게르게시스템즈가보유한공공IT프로젝트수행역량과윤커뮤니케이션즈의기술력이결합되어,몽골을시작으로카자흐스탄,우즈베키스탄,키르기스스탄등중앙아시아주요국가들의디지털전환정책에적용가능한핵심플랫폼으로발전할것으로기대된다.우선,양사는각사의보유솔루션을통합하고지속적으로고도화하여기술적시너지를극대화할방침이다.또한협력사업추진에필요한정보교류,대외홍보및공동영업활동을통해시장내경쟁력을강화할계획이다.특히,몽골및중앙아시아정부서비스의디지털화를촉진하고,행정서비스의접근성과효율성을높이기위해플랫폼통합및공동활용이추진된다.이와더불어학습관리시스템(LMS)과디지털교과서를연계하여온라인교육환경개선및교육기회확대에도협력할예정이다.디지털신원및문서관리분야에서도협력이진행된다.전자서명,전자계약,문서관리솔루션을통합해보안성과신뢰성을갖춘디지털신원및문서관리시스템을구축하며,마이크로론및핀테크솔루션을비즈니스플랫폼과통합하여금융서비스의접근성과이용편의성향상에도기여할예정이다.나아가양사는몽골을넘어대한민국과중앙아시아전역을포함한공동사업기회를모색하며,기술및서비스확장을위한협력방안을마련해나갈계획이다.윤여주윤커뮤니케이션즈대표는"게르게시스템즈와의협력을통해몽골을비롯한글로벌시장에서디지털전환을가속화하겠다"며,"다양한분야에서상호협력하며지속가능한디지털생태계를함께구축해나갈것"이라고밝혔다.에르데네바트첸도르지(ErdenebatTs.)게르게시스템즈회장은"한국이지난10~20년사이에정부및공공디지털서비스를성공적으로통합했듯,이번계약을통해몽골도디지털선진국으로발전하고싶다"며,"이번협업이한국과몽골의대표IT기업이만나좋은성과를낸선례로기억되길바란다"고전했다.노희근기자[email protected]©디지털타임스.무단전재및재배포금지.

연구팀,국내7종프로그램서19건심각한취약점확인“웹보안철학에반하는설계…보안생태계전환시급”KASIT.ⓒ데일리안DB한국과학기술원(KAIST)은금융필수보안소프트웨어가해킹을악용할수있다는가능성을확인했다고2일밝혔다.김용대·윤인수KAIST전기및전자공학부교수공동연구팀은김승주고려대교수팀,김형식성균관대교수팀,보안전문기업티오리(Theori)소속연구진이공동연구를통해,한국금융보안소프트웨어의구조적취약점을체계적으로분석한연구결과를설명했다.연구진은북한의사이버공격사례에서왜한국의보안소프트웨어가주요표적이되는지에주목했다.분석결과,해당소프트웨어들이설계상의구조적결함과구현상취약점을동시에내포하고있음이드러났다.특히문제는,한국에서는금융및공공서비스이용시이러한보안프로그램의설치를의무화하고있다는점이다.이는전세계적으로도유례가없는정책이다.연구팀은국내주요금융기관과공공기관에서사용중인7종의주요보안프로그램을분석해총19건의심각한보안취약점을발견했다.주요취약점은▲키보드입력탈취▲중간자공격(MITM)▲공인인증서유출▲원격코드실행(RCE)▲사용자식별및추적이다.일부취약점은연구진의제보로패치됐으나,전체보안생태계를관통하는근본적설계취약점은여전히해결되지않은상태다.연구진은"이러한보안소프트웨어는사용자의안전을위한도구가돼야함에도오히려공격의통로로악용될수있다”며,보안의근본적패러다임전환이필요하다고강조했다.연구팀은국내금융보안소프트웨어들이웹브라우저의보안구조를우회해민감한시스템기능을수행하도록설계됐다고지적했다.브라우저는원칙적으로외부웹사이트가시스템내부파일등민감정보에접근하지못하도록제한하지만,KSA는키보드보안,방화벽,인증서저장으로구성된이른바‘보안3종세트’를유지하기위해루프백통신,외부프로그램호출,비표준API활용등브라우저외부채널을통해이러한제한을우회하는방식을사용하고있다.이러한방식은2015년까지는보안플러그인ActiveX를통해이뤄졌지만,보안취약성과기술적한계로ActiveX지원이중단되면서근본적인개선이이뤄질것으로기대됐다.그러나실제로는실행파일(.exe)을활용한유사한구조로대체되면서,기존의문제를반복하는방식으로이어졌다.이로인해브라우저보안경계를우회하고,민감정보에직접접근하는보안리스크가여전히지속되고있다.이러한설계는▲동일출처정책(Same-OriginPolicy,SOP)▲샌드박스▲권한격리등최신웹보안메커니즘과정면으로충돌한다.연구팀은실제로이러한구조가새로운공격경로로악용될수있음을실증적으로확인했다.연구팀이전국400명을대상으로실시한온라인설문조사결과,97.4%가금융서비스이용을위해KSA를설치한경험이있었으며,이중59.3%는‘무엇을하는프로그램인지모른다’고응답했다.실제사용자PC48대를분석한결과,1인당평균9개의KSA가설치돼있었고다수는2022년이전버전이었다.일부는2019년버전까지사용되고있었다.김용대교수는“문제는단순한버그가아니라,‘웹은위험하므로보호해야한다’는브라우저의보안철학과정면으로충돌하는구조”라며“이처럼구조적으로안전하지않은시스템은작은실수도치명적인보안사고로이어질수있다”고강조했다.이어“이제는비표준보안소프트웨어들을강제로설치시키는방식이아니라,웹표준과브라우저보안모델을따르는방향으로전환해야한다”며,“그렇지않으면KSA는향후에도국가차원의보안위협의중심이될것”이라고덧붙였다.Copyright©데일리안.무단전재및재배포금지.

오전8시와오후5~6시스트리밍데이터분석출근길엔발라드,록·메탈,퇴근길엔댄스장르인기[서울=뉴시스]지드래곤.(사진=MBCTV'굿데이'제공)[email protected].*재판매및DB금지[서울=뉴시스]윤정민기자=멜론이용자들이올해출퇴근시간대에지드래곤,데이식스(DAY6),에스파음악을자주듣는것으로나타났다.카카오엔터테인먼트뮤직플랫폼멜론은지난달30일데이터랩을통해올해평일출퇴근시간대데이터를분석한결과를공개했다고2일밝혔다.출근,퇴근별로구분했을때지드래곤이모두1위를차지했다.데이식스,에스파도각각2위,3위로같았다.출근길4·5위는아이유와아이브(IVE),퇴근시간에는아이브와아이유로순서가뒤바뀌었다.멜론측은퇴근시간대에보다빠른템포의음악이더많은선택을받고있는것이라고해석했다.퇴근시간에감상자수가두드러지게증가한아티스트는베이비몬스터,뉴진스,키스오브라이프등걸그룹이주를이뤘다.출근시간에감상자수가더많이증가한아티스트는정은지,테이,손디아,스탠딩에그등잔잔하고따뜻한감성의음악을들려주는이들이었다.이들모두출근시간감상자수가퇴근보다10%이상많았다.출근과퇴근시간모두에서많은사랑을받은곡은지드래곤의'홈스윗홈'과우즈(WOODZ)의'드우닝(Drowning)'이었다.[서울=뉴시스]키스오브라이프.(사진=S2엔터테인먼트제공)[email protected]*재판매및DB금지퇴근길엔최예나(YENA)의댄스곡'네모네모'가출근길대비50%이상더많은이용자의선택을받으며강세를보였다.키스오브라이프의'이글루(Igloo)',에스파'드라마',아일릿(ILLIT)의'체리쉬(Cherish)'는출근시간대비퇴근시간에감상자수가각각45%증가했으며베이비몬스터의'쉬시(SHEESH)'와'드립'도약40%의증가율을보였다.멜론은퇴근길에상대적으로빠른템포의신나는걸그룹음악이선호된다는점을보여준다고설명했다.[서울=뉴시스]카카오엔터테인먼트뮤직플랫폼멜론은지난달30일데이터랩을통해올해평일출퇴근시간대데이터를분석한결과를공개했다고2일밝혔다.(사진=카카오엔터테인먼트제공)*재판매및DB금지평일에는일반적인출퇴근시간인오전8시와오후5~6시에스트리밍이가장높게나타났다.일전체스트리밍양의약19%를차지했다.하루24시간중8분의1에불과한시간에5분의1가까운스트리밍이집중됐다.이시간대재생된곡은총285만9000곡에달했다.누적재생횟수는12억5269만회로곡당평균3분의재생시간을기준으로환산하면약6263만시간에이른다.발라드와록·메탈은출근시간에상대적으로더많이재생됐고댄스는퇴근시간에더큰비중을차지했다.감상자수로보면퇴근시간일렉트로니카장르의청취가눈에띄게늘었다.출근때대비해외일렉트로니카는31%,국내일렉트로니카는29%로감상자수가늘었다.☞공감언론뉴시스[email protected]©뉴시스.무단전재및재배포금지.

차별화된팬경험제공노력(지디넷코리아=안희정기자)카카오엔터테인먼트(대표권기수,장윤중)는보이그룹크래비티(세림,앨런,정모,우빈,원진,민희,형준,태영,성민)에이어걸그룹아이브(안유진,가을,레이,장원영,리즈,이서)도글로벌K컬처팬플랫폼‘베리즈(Berriz)’에글로벌팬커뮤니티를열고전세계팬들과한층소통을강화할계획이라고2일밝혔다.지난달30일베리즈에글로벌팬커뮤니티를연크래비티는전세계러비티(LUVITY,크래비티팬덤명)와다방면소통중이다.지난2020년데뷔후독창적인콘텐츠와청량한라이브,탄탄한퍼포먼스로'퍼포비티''보컬비티'로글로벌팬들을사로잡은크래비티는최근에홍콩,마카오등아시아주요도시에서팬콘서트를열고완성도높은무대로팬들과호흡했다.퍼포먼스뿐아니라멤버개개인이음악방송과토크쇼MC,예능등다양한분야에서활발하게하고있는만큼베리즈에서팬들과유쾌한만남을이어가눈길을끌고있다.아이브-크래비티크래비티9명의멤버들은베리즈와의첫만남을'베리네컷'에기록하며"크래비티의글로벌팬커뮤니티가오픈되었습니다.앞으로러비티와더자주소통하고,베리즈에서만만날수있는다양한콘텐츠로찾아뵐테니우리더달달하게만나요"라고영상으로인사를전했다.전세계팬들은팬커뮤니티오픈즉시"비티들안녕!우리베리즈에서도추억많이만들자""베리즈화이팅""신기하다,앞으로도잘부탁해""베리즈X크래비티사랑해""여기서도새로운추억을쌓아보자""러비티는항상너희곁에있다는걸기억해"라며뜨거운반응을쏟아냈고멤버들은팬커뮤니티오픈직후직접인사말과근황사진을남기며팬들과실시간소통했다.2일오후2시에는아이브도베리즈에글로벌팬커뮤니티를연다.그동안공식팬카페와SNS를통해전세계다이브(DIVE,아이브팬덤명)와활발히소통해온아이브는새로운온라인보금자리에서또다른챕터를이어갈예정이다.공식팬카페의기록들은베리즈에순차적으로이관된다.베리즈는아이브의커뮤니티오픈에맞춰아이브를사랑하는전세계다이브와함께"너의최애아이브순간을보여줘!"이벤트를진행한다.오는8일까지내가가장좋아하는아이브의순간을#IVE_in_Berriz해시태그와함께이미지와이유를적어포스팅하면추첨을통해선물을증정하는것.이번이벤트는글로벌다이브가아이브의새로운여정에직접참여하고신선한방식으로베리즈를함께경험할수있도록기획돼베리즈만의차별화된팬경험을제공할것으로보인다.더불어멤버들의일상을실시간으로만나거나공식팬클럽에가입한팬들을위한다양한독점콘텐츠를함께나누는특별한공간도마련된다.베리즈를통해24시간초밀착소통이가능한만큼그동안남다른팬사랑을보여온아이브와다이브는베리즈에서새로운에피소드를쌓으며더욱가깝게교감할예정이다.지난2021년데뷔한아이브는싱글앨범'일레븐(ELEVEN)'을시작으로'키치(Kitsch)''러브다이브(LOVEDIVE)''애프터라이크(AfterLIKE)''IAM'(아이엠)등연달아히트,독보적인비주얼과다양한스타일의음악,강렬한퍼포먼스로전세계팬들을매료시키며단숨에K팝중심에섰다.지난2월발매한미니3집앨범‘아이브엠파시(IVEEMPATHY)’로5연속밀리언셀러에등극한아이브는지난해성공적인월드투어로19개국28개도시에서42만명의관객을만났다.올해도일본주요4개도시에서일본현지팬10만명과만났으며,오는7월롤라팔루자베를린과파리에연이어출격한다.지난해롤라팔루자시카고참석에이어K팝걸그룹최초로롤라팔루자3회출연이라는기록을쓰며글로벌인기를입증하고있다.베리즈는IP와팬덤의특성,니즈에따라서비스를선택적으로선보이는팬친화적플랫폼으로,각IP에특화된서비스를제공하고있다.아티스트별주요콘텐츠및특징과소통방식을다각도로반영해커뮤니티구성방식으로달리하고있는것.실제아티스트와팬덤의친밀도를반영,아이유'UAENAZONE',몬스타엑스'MONground',정승환'USLetter'크래비티'VITYBOARD’등게시판에서팬들과뜨겁게교감하고있다.카카오엔터테인먼트는“전세계에강력한팬덤을구축하고있는아이브와크래비티가,베리즈를통해글로벌팬들과한층더가깝게다가갈수있을것”이라며"베리즈는앞으로도다양한아티스트와콘텐츠IP의글로벌팬들이함께즐길수있는진정한놀이공간으로자리잡을수있도록새로운시도를이어갈계획”이라고말했다.안희정기자([email protected])Copyright©지디넷코리아.무단전재및재배포금지.

연구진들.윗줄왼쪽부터시계방향으로김용대교수,윤인수교수,김형식교수,김승주교수,정수환연구원,이용화연구원,윤태식연구원.우리나라는유일한금융보안소프트웨어(SW)설치의무국인데,이게오히려보안취약점이된다는연구결과가나왔다.한국과학기술원(KAIST·총장이광형)은김용대·윤인수전기및전자공학부교수팀이김승주고려대교수팀,김형식성균관대교수팀,보안전문기업티오리와이같은연구결과는내놨다고2일밝혔다.연구진은왜우리보안SW가북한사이버공격표적이되는지주목했는데,해당SW들이설계상구조적결함,구현상취약점을모두가진것이드러났다.국내금융·공공기관에서사용중인주요설치의무화보안프로그램(KSA프로그램)7종에서△키보드입력탈취△중간자공격(MITM)△공인인증서유출△원격코드실행(RCE)△사용자식별및추적등보안취약점총19건을발견했다.일부는연구진제보로패치됐는데,근본취약점은해결되지않았다.연구팀은해당SW가웹브라우저보안을우회해,민감한시스템내부파일에접근하는것을문제로지적했다.브라우저는원칙적으로외부웹사이트의민감정보접근을막는데,KSA는'보안3종세트(키보드보안,방화벽,인증서저장)'를유지하고자루프백통신,외부프로그램호출,비표준API활용등외부채널로이를우회한다.이런구조는오래전지원중단된보안플러그'엑티브X'로이뤄졌는데,이후에도실행파일(.exe)을활용한유사구조로대체됐다.취약점이계속유지되는것이다.이는출처가다른웹페이지간데이터접근을제한하는'동일출처정책(SOP)',시스템내실행코드·프로그램활동을제한하는'샌드박스',프로세스등을나눠최소권한만부여하는'권한격리'등최신웹보안메커니즘과상반된다.연구팀은이런구조가실제공격경로로악용될수있음을실증했다.400명대상설문조사에서97.4%가KSA설치경험이있었으며,이중59.3%는'무엇을하는프로그램인지모른다'고답했다.실제PC48대를분석했는데,평균9개KSA가설치돼있었고다수는2022년이전,일부는2019년버전이었다.김용대교수는“문제는브라우저보안철학과정면으로충돌하는구조로,안전하지않은시스템구조는작은실수도치명적인보안사고로이어질수있다”며“웹표준과브라우저보안모델을따르게전환하지않으면KSA는국가차원보안위협중심이될것”이라고밝혔다.논문은'유즈닉스시큐리티2025'에채택됐고,윤태식티오리(KAIST)연구원이논문1저자다.정수환(엔키화이트햇·KAIST),이용화(티오리)연구원도참여했다.연구는정보통신기획평가원(IITP)지원을받아수행됐다.김영준기자[email protected]©전자신문.무단전재및재배포금지.

-KAIST,금융보안소프트웨어설치,보안위협취약-일부취약점패치됐지만근본적인설계문제여전-웹표준과브라우저보안모델‘근본적전환’필요[게티이미지뱅크][헤럴드경제=구본혁기자]우리나라는금융보안소프트웨어설치를의무화한유일한국가다.하지만이것이오히려보안위협에취약해해킹악용가능성이크다는우려가제기됐다.KAIST전기및전자공학부김용대·윤인수교수공동연구팀은고려대,성균관대,보안전문기업티오리와함께한국금융보안소프트웨어의구조적취약점을체계적으로분석한연구결과를발표했다.연구진은북한의사이버공격사례에서왜한국의보안소프트웨어가주요표적이되는지에주목했다.분석결과,해당소프트웨어들이설계상의구조적결함과구현상취약점을동시에내포하고있음이드러났다.더큰문제는한국에서는금융및공공서비스이용시이러한보안프로그램의설치를의무화하고있다는점이다.연구팀은국내주요금융기관과공공기관에서사용중인7종의주요보안프로그램(KSA프로그램)을분석해총19건의심각한보안취약점을발견했다.주요취약점은▷키보드입력탈취▷중간자공격(MITM)▷공인인증서유출▷원격코드실행(RCE)▷사용자식별및추적이다.일부취약점은연구진의제보로패치됐으나,전체보안생태계를관통하는근본적설계취약점은여전히해결되지않은상태다.키보드입력탈취에대한데모영상.[KAIST제공]연구진은“이러한보안소프트웨어는사용자의안전을위한도구가되어야함에도오히려공격의통로로악용될수있다”며보안의근본적패러다임전환이필요하다고강조했다.또국내금융보안소프트웨어들이웹브라우저의보안구조를우회해민감한시스템기능을수행하도록설계됐다고지적했다.브라우저는원칙적으로외부웹사이트가시스템내부파일등민감정보에접근하지못하도록제한하지만,KSA는키보드보안,방화벽,인증서저장으로구성된이른바‘보안3종세트’를유지하기위해루프백통신,외부프로그램호출,비표준API활용등브라우저외부채널을통해이러한제한을우회하는방식을사용하고있다.이러한방식은2015년까지는보안플러그인액티브X를통해이뤄졌지만,보안취약성과기술적한계로액티브X지원이중단되면서근본적인개선이이뤄질것으로기대됐다.그러나실제로는실행파일(.exe)을활용한유사한구조로대체되면서,기존문제를반복하는방식으로이어졌다.이로인해브라우저보안경계를우회하고,민감정보에직접접근하는보안리스크가여전히지속되고있다.이러한설계는▷동일출처정책▷샌드박스▷권한격리등최신웹보안메커니즘과정면으로충돌한다.연구팀은실제로이러한구조가새로운공격경로로악용될수있음을실증적으로확인했다.KAIST전기및전자공학부김용대(왼쪽)·윤인수교수.[KAIST제공]연구팀이전국400명을대상으로실시한온라인설문조사결과,97.4%가금융서비스이용을위해KSA를설치한경험이있었으며,이중59.3%는‘무엇을하는프로그램인지모른다’고응답했다.실제사용자PC48대를분석한결과,1인당평균9개의KSA가설치돼있었고다수는2022년이전버전이었다.김용대교수는“문제는단순한버그가아니라,‘웹은위험하므로보호해야한다’는브라우저의보안철학과정면으로충돌하는구조”라면서“이처럼구조적으로안전하지않은시스템은작은실수도치명적인보안사고로이어질수있다”고강조했다.이어“이제는비표준보안소프트웨어들을강제로설치시키는방식이아니라,웹표준과브라우저보안모델을따르는방향으로전환해야한다”며“그렇지않으면KSA는향후에도국가차원의보안위협의중심이될것”이라고덧붙였다.Copyright©헤럴드경제.무단전재및재배포금지.

KAIST등공동연구팀,근본적전환필요[아이뉴스24정종오기자]“KSA는법과제도,업계관행이만들어낸‘합법적위협’이되고있다.여러금융기관과보안업체가독자적으로구현한소프트웨어가사실상표준이되는구조에서벗어나지않는한,이문제는반복될수밖에없다.”(김승주고려대교수)일부KSA(KoreaSecurityApplications)프로그램이오히려해킹의가능성을높이고있다는지적이나왔다.구체적사례도언급됐다.KSA의키보드보안이오히려키입력도청가능성을높였다.일부KSA프로그램은키보드입력내용을암호화해웹사이트에전달한다.만약해킹웹사이트가해당기능을이용하면이용자의키보드입력을훔쳐보거나저장할수있었다.공인인증서를보호하겠다고만들어진일부KSA는API를통해인증서를제공하는데이때이용자이름등개인정보가암호화되지않은상태로노출될수있다.우리나라의금융보안소프트웨어가오히려해킹악용가능성을높이고있다는지적이나왔다.[사진=Unsplash]전문가들은안전한금융환경을위해서는웹표준과브라우저보안모델을따르는‘근본적대전환’이필요하다고주문했다.우리나라는금융보안소프트웨어설치를의무화한유일한국가다.한국과학기술원(KAIST)연구팀은안전한금융환경을위한현재의복잡하고위험한보안프로그램을강제로설치하는방식대신웹사이트와인터넷브라우저에서원래설정한안전한규칙과웹표준을따르는‘대전환’이필요하다고설명했다.KAIST(총장이광형)는전기및전자공학부김용대·윤인수교수공동연구팀이고려대김승주교수팀,성균관대김형식교수팀,보안전문기업티오리(Theori)소속연구팀과공동연구를통해한국금융보안소프트웨어의구조적취약점을체계적으로분석한연구결과를2일발표했다.연구팀은북한의사이버공격사례에서왜우리나라의보안소프트웨어가주요표적이되는지에주목했다.분석결과해당소프트웨어들이설계상의구조적결함과구현상취약점을동시에내포하고있음이드러났다.우리나라에서는금융과공공서비스를이용할때이러한보안프로그램의설치를의무화하고있다.이는전세계적으로도유례가없는정책이다.연구팀은국내주요금융기관과공공기관에서사용중인7종의주요보안프로그램(KoreaSecurityApplications,KSA프로그램)을분석해총19건의심각한보안취약점을발견했다.주요취약점으로키보드입력탈취를비롯해△중간자공격(MITM)△공인인증서유출△원격코드실행(RCE)△이용자식별과추적등이었다.일부취약점은연구팀의제보로패치됐는데전체보안생태계를관통하는근본적설계취약점은여전히해결되지않은상태다.연구팀은"이러한보안소프트웨어는이용자의안전을위한도구가돼야함에도오히려공격의통로로악용될수있다”며보안의근본적패러다임전환이필요하다고강조했다.연구팀은국내금융보안소프트웨어들이웹브라우저의보안구조를우회해민감한시스템기능을수행하도록설계됐다고지적했다.브라우저는원칙적으로외부웹사이트가시스템내부파일등민감정보에접근하지못하도록제한한다.KSA는키보드보안,방화벽,인증서저장으로구성된이른바‘보안3종세트’를유지하기위해루프백통신,외부프로그램호출,비표준API활용등브라우저외부채널을통해이러한제한을우회하는방식을사용하고있다.이러한방식은2015년까지는보안플러그인ActiveX를통해이뤄졌다.보안취약성과기술적한계로ActiveX지원이중단되면서근본적개선이이뤄질것으로기대됐다.실제로는실행파일(.exe)을활용한유사한구조로대체되면서기존의문제를반복하는방식으로이어졌다.이로인해브라우저보안경계를우회하고민감정보에직접접근하는보안리스크가여전히지속하고있다.이러한설계는최신웹보안메커니즘과정면으로충돌한다.연구팀은실제로이러한구조가새로운공격경로로악용될수있음을실증적으로확인했다.연구팀이전국400명을대상으로실시한온라인설문조사결과97.4%가금융서비스이용을위해KSA를설치한경험이있었던것으로파악했다.이중59.3%는‘무엇을하는프로그램인지모른다’고응답했다.실제이용자PC48대를분석한결과1인당평균9개의KSA가설치돼있었고다수는2022년이전버전이었다.일부는2019년버전까지사용되고있었다.김용대교수는“문제는단순한버그가아니라‘웹은위험하므로보호해야한다’는브라우저의보안철학과정면으로충돌하는구조”라며“이처럼구조적으로안전하지않은시스템은작은실수도치명적보안사고로이어질수있다”고강조했다.이어“이제는비표준보안소프트웨어들을강제로설치시키는방식이아니라웹표준과브라우저보안모델을따르는방향으로전환해야한다”며“그렇지않으면KSA는앞으로도국가차원의보안위협의중심이될것”이라고덧붙였다.KAIST김용대·윤인수교수,고려대김승주교수,성균관대김형식교수가관련연구(논문명:TooMuchofaGoodThing:(In-)SecurityofMandatorySecuritySoftwareforFinancialServicesinSouthKorea)를주도했고제1저자인윤태식연구원(티오리/KAIST)을비롯해정수환(엔키화이트햇/KAIST),이용화(티오리)연구원이참여했다.국제보안학회중하나인‘유즈닉스시큐리티2025(USENIXSecurity2025)’에관련논문이채택됐다./정종오기자([email protected])Copyright©아이뉴스24.무단전재및재배포금지.

노딧밸리데이터노드공식노출사용자리워드·글로벌인지도확대기대[이데일리김현아기자]블록체인전문기업람다256(두나무자회사)은앱토스(Aptos)블록체인기반최대유동성스테이킹플랫폼암니스파이낸스(AmnisFinance)와전략적파트너십을체결했다고2일밝혔다.이번협업을통해양사는공동마케팅을전개하고,암니스파이낸스플랫폼내에노딧(Nodit)의앱토스밸리데이터(Validator)노드를공식노출하기로했다.이를통해사용자들은암니스파이낸스에서노딧의검증노드를선택해손쉽게스테이킹할수있으며,노딧은앱토스생태계내에서가시성을크게높일수있게된다.또한노딧의밸리데이터노드를통해스테이킹하는이용자는암니스파이낸스생태계에서진행되는다양한캠페인을통해추가리워드도획득할수있다.람다256측은“이번협업이사용자혜택을강화하는동시에양사간시너지를극대화할수있는기반이될것”이라고전망했다.암니스파이낸스는앱토스블록체인기반으로구축된최대유동성스테이킹플랫폼으로,사용자가자산을스테이킹하면서도다양한탈중앙화금융(DeFi)서비스와연동해유동성을유지할수있도록지원한다.현재45만명이상의예치유저와2억달러이상의자산을운용중이며,앱토스네트워크에서APT토큰의자본효율성을높이는핵심프로토콜로자리매김하고있다.특히렌딩플랫폼,탈중앙화거래소(DEX),일드파밍프로토콜등다양한파트너십을통해폭넓은금융서비스를제공중이다.베트남,중국,대만등아시아시장에서빠르게영향력을확대하고있으며,전년대비1,800%성장률을기록하는등유동성스테이킹분야에서가장빠르게성장중인프로젝트중하나로평가받고있다.양사는이번파트너십의일환으로트위터와텔레그램등SNS를통한공동프로모션을진행하고,오는8월베트남에서열리는GMVietnam행사기간동안암니스파이낸스가주최하는‘앱토스클럽하우스하노이’행사에도노딧이공식스폰서로참여할예정이다.노딧은이를통해현지웹3커뮤니티와의접점을넓히고글로벌브랜드인지도를강화한다는계획이다.김재홍노딧사업리드는“앱토스생태계내핵심스테이킹플랫폼인암니스파이낸스와의파트너십을통해밸리데이터노드의접근성과신뢰도를높일수있게됐다”며“앞으로도글로벌파트너들과긴밀히협력해노딧의글로벌인지도를제고하고밸리데이터사업을확장할계획”이라고말했다.에릭응우옌(EricNguyen)암니스파이낸스공동창립자겸CEO는“노딧과의이번파트너십은암니스파이낸스의혁신적인스테이킹서비스를한국APT보유자에게소개하는중요한마일스톤”이라며“양사의협업을통해사용자에게실질적인가치를제공하는캠페인을선보이고,앱토스커뮤니티의성장을함께도모하고자한다”고강조했다.김현아([email protected])Copyright©이데일리.무단전재및재배포금지.

“플랫폼경쟁력강화취지왜곡"콘텐츠산업발전가로막지말라”[이데일리김현아기자]온라인스트리밍플랫폼(OTT)산업을둘러싼정치권의공방이거세지고있다.업계는“이번논란이국내OTT시장구조에대한몰이해에서비롯된것”이라며“정치적논란보다산업현실을정확히짚고정책방향성을논의해야한다고지적한다.안정상한국OTT포럼회장(중앙대겸임교수,전더불어민주당정보통신·방송미디어수석전문위원)발단은지난5월31일,더불어민주당이재명대선후보가평택유세현장에서“넷플릭스에다주는바람에우리는약간만건졌다.OTT같은플랫폼도정부가지원해서우리것을만들어야한다”고발언한데서비롯됐다.이에대해개혁신당이준석대선후보는SNS를통해“국유화발상”이라고강도높게비판했다.그는“엔비디아같은기업을만들자는주장에이어이번에는OTT플랫폼까지국유화하려한다”며“잼비디아에이어잼플릭스”라는표현으로조롱했다.개혁신당선대본도“제2의대장동을OTT로정했나”라는논평을내며공세를이어갔다.이에대해중앙대커뮤니케이션대학원안정상겸임교수(한국OTT포럼회장·전더불어민주당정보통신·방송미디어수석전문위원)는“이번발언의본질은국내OTT플랫폼의경쟁력을강화해콘텐츠산업의구조를개선하자는취지”라며“국유화와는전혀무관하다”고반박했다.안교수는“현재국내제작사들은넷플릭스와같은글로벌플랫폼에종속돼제작비만받고IP(지식재산권)와부가수익대부분을넘기는구조”라며“정부지원으로플랫폼파워를강화해야산업전반이선순환구조로전환될수있다”고강조했다.실제로국내1위OTT사업자티빙과3위웨이브는플랫폼경쟁력강화를위해M&A절차를진행중이다.그러나지금까지정부지원은콘텐츠제작지원에국한돼플랫폼역량강화측면은상대적으로소홀했던것이사실이다.정치적논란의모순도지적된다.윤석열정부국정과제에도‘민관협업을통한국내OTT의글로벌진출지원’이포함돼있었기때문이다.안정상교수는“정작윤정부도같은방향성을명시했으면서이번발언을두고정치공세로몰아가는것은산업발전취지를왜곡하는것”이라고꼬집었다.논란은한국OTT포럼까지번졌다.개혁신당선대본은논평에서“K-OTT포럼회장이20년넘게민주당당직자로활동한인물”이라며,국유화추진과연결될수있다고주장했다.이에대해안정상교수는“개혁신당이K-OTT포럼으로오기한한국OTT포럼은정치적색채가없는순수연구단체로포럼의고문은현국민의힘에서활동한분”이라며“일방적인국유화논란에포럼과본인을거론해명예가훼손됐다.법적책임을묻겠다”고강경대응을예고했다.그는“이재명후보의언급은민간플랫폼을국유화하겠다는것이아니라,국내OTT플랫폼을지원해플랫폼파워를강화시켜국내콘텐츠의국내시장및해외시장진출의통로가되도록해서콘텐츠의가치를충분히보상받고플랫폼매출도향상시켜야한다는의미”라며“정치적정쟁보다산업적관점에서논의를전환해야할시점”이라고강조했다.김현아([email protected])Copyright©이데일리.무단전재및재배포금지.