▲ CSWA 2024 현장[출처=파수]파수(대표 조규곤, Fasoo)에 따르면 2024년 10월9일~10일까지 양일간 싱가포르 마리나 베이 샌즈에서 개최되는 CSWA(Cyber Security World Asia) 2024에 참가했다.CSWA 2024에서 문서 관리 플랫폼 ‘랩소디(Wrapsody)’와 DSPM (Data Security Posture Management) 솔루션을 중점적으로 소개하고 다양한 환경에서 데이터 관리 및 보호를 강화할 수 있는 전략을 제시했다.파수는 CSWA에서 세션 발표와 함께 단독 부스를 운영하고 통합 데이터 보안 전략을 제시했다. APAC 지역 영업 대표인 차성하 파수 과장이 문서 관리 플랫폼 랩소디를 중심으로 ‘AI 시대의 데이터 관리 및 보안(AI-Ready Data Management and Security)’에 대해 세션 발표를 진행했다.파수의 ‘AI-Ready Data’ 전략의 핵심 솔루션인 랩소디는 문서 작업 후 저장만으로도 문서자산화, 분류, 버전 관리, 권한 관리 기능을 제공해 AI 활용을 위한 데이터 관리에 최적화돼 있다.파수의 DSPM(Data Security Posture Management) 솔루션은 온프레미스와 클라우드 환경에서 제로 트러스트 아키텍처를 기반으로 기업의 민감 데이터를 실시간으로 모니터링하고 보호하는 데 중점을 둔다.핵심 솔루션인 ‘파수 데이터 레이더(Fasoo Data Radar, FDR)’는 모든 중요 데이터를 식별하고 민감 정보를 실시간으로 검출하며 암호화, 분류, 격리, 권한 통제를 통해 데이터를 안전하게 관리한다.FDR은 기업의 잠재적 취약점을 사전에 식별하고 보안 사고를 예방하는 데 중요한 역할을 한다는 점에서 많은 참관객들의 시선을 끌었다.최신 보안 트렌드와 기술을 공유하는 이번 행사에서 파수는 다양한 산업의 기업들에게 자사의 데이터 보안 솔루션을 소개했다.특히 파수는 멀티 클라우드 환경에서

▲ 인피니온(Infineon)의 홍보자료 [출처=홈페이지]독일 반도체 기업 인피니온(Infineon)은 최근 자동차 사이버 보안 국제 표준 ISO/SAE 21434 인증을 획득했다고 밝혔다. 인증은 인증 전문 기관인 TÜV Nord에 의해 수행됐다. 11월 21일 커넥티드 자동차의 사이버 보안에 대한 UN R155 규정이 유엔유럽경제위원회(UNECE)에 의해 도입됐기 때문이다.R155 규정하에서 차량 제조업체는 각 차량 유형에 적용되는 사이버 보안 관리 시스템(CSMS)에 대한 유효한 규정 준수 인증서를 구비해야 한다.또한 공급망 전반에 걸쳐 사이버 보안을 구현하고 차량 수명 주기 전반에 걸쳐 전반적인 공격 위험을 줄여야 한다.이에 따라 곧 출시될 AURIX™ TC4xx 마이크로컨트롤러 제품군은 새롭고 혁신적인 사이버 보안 아키텍처를 특징으로 한다.제품군은 ISO/SAE 21434 국제 표준에 따라 제품 인증이 획득될 예정이다. PSoC™ 마이크로 컨트롤러, EMPER™ 보안 플래시 메모리, OPTIGA™ 하드웨어 보안 모듈을 포함한 광범위한 제품에 자동차 사이버 보안이 적용된다.보안 제품 및 시스템에 대한 잠재적 위협은 ISO/SAE 21434 준수 제품 보안 사고 대응 프로세스를 기반으로 평가 및 완화될 수 있다.이와 같은 모니터링 및 사고 대응 기능을 통해 인피니온과 고객은 위험 관리 프로그램 및 관련 규정에 따라 제품 보안 위험을 신속하게 식별하고 완화할 수 있을 것으로 전망된다.

▲ 지멘스가 제작해 달리고 있는 열차 이미지[출처=지멘스 모빌리티 코리아 홈페이지]독일 지멘스 모빌리티(Siemens Mobility)는 중요 인프라에 대해 국제 사이버보안 표준 IEC 62443을 충족하기 위해 독일 TÜV SÜD로 부터 새로운 3가지 인증을 받았다.새로운 인증은 고속열차, 지역열차, 지하철, 트램, 기관차뿐 아니라 철도 차량 구성 요소를 포함해 철도 차량 및 철도 인프라 사업부와 관련된 제품과 솔루션에 적용된다.또한 주요 인프로 솔루션에 설치된 첫 번째 제품에도 적용되며 이러한 측면에서 보면 IEC 62443에 의해 인증된 것은 전세계적으로 가장 범위가 넓다. 지멘스 모빌리티가 TÜV SÜD로 부터 인증 받은 3가지는 다음과 같다.△표준 IEC 62443-2-4, IEC 62443-3-3을 준수하는 철도차량의 청사진에 대한 보안 프로그램△표준 IEC 62443-4-1, IEC 62443-4-2을 준수하는 철도 IT 보안 게이트웨이△표준 IEC 62443-4-1, IEC 62443-4-2을 준수하는 코어실드 데이터캡처장치(CoreShield Data Capturing Unit), DCU Version 2.6 및 그 이상지멘스 모빌리티는 최근 모빌리티 시스템의 전체 개발, 생산, 운영 라이프사이클을 보호하기 위해 ISO 27001 인증을 획득했다.ISO 27001 인증은 9000명 이상의 직원이 있는 20개 지멘스 모빌리티 사업장을 포함한다. 해당 사업장은 철도 차량, 철도 인프라, 턴키 시스템, 고객 서비스 등의 업무를 담당하고 있다.ISO 27001은 조직이 정보 보안을 관리하는 방법에 대한 사이버 보안 요구 사항을 특정하는 국제적으로 인정된 표준이다.

▲ 쥬스테크놀로지(Juice Technology)의 홍보자료[출처=홈페이지]스위스 전기자동차 충전 솔루션 업체인 쥬스테크놀로지(Juice Technology)에 따르면 충전소 사이버 보안에 대한 국제 표준 ISO/SAE 21434 인증을 획득했다.ISO 표준 채택은 2021년 주스 세계 충전의 날(Juice World Charging Day)에서 발표한 전기 이동성 보안에 대한 3단계 개념을 구현하는 것으로 평가된다.특히 사어비 보안 표준은 주문자 상표 부착 생산(OEM)을 위한 강력한 파트너로서 집중하기 위해 필요하다. 사이버 보안 표준이 아직 자동차 제조업체의 공급업체에 필수는 아니지만 조만간 전체 산업에서 필수가 될 것으로 예상된다.차량, 충전소, 에너지 관리 시스템 및 네트워크 운영자 간 상호운용성이 증가하기 때문이다. 특히 충전 인프라의 경우 설계 및 개발 단계에서 보안이 확고하게 확립돼 있어야 한다.하드웨어 구성 요소, 소프트웨어 설계 및 모든 통신 프로세스가 포함된다. 전반적으로 인정되는 코딩 표준, 코드 분석 도구 및 코드 검토는 위험 감소에 기여할 수 있다.ISO 21434 표준에 정의된 조치는 제품 개발자, OEM 및 해당 공급업체에게 더 큰 보안을 제공한다. ISO/SAE 21434 표준은 2021년 8월에 발표됐으며 생산 차량용 부품, 예비 부품 및 액세서리에 적용된다.개발에서 생산, 운영 및 유지 보수, 재활용에 이르기까지 차량 수명주기의 모든 단계가 포함된다. 차량 외부의 인프라는 실제 표준이 적용되지 않지만 전기자동차 인프라와 떼려야 뗄 수 없는 관계인 충전 인프라는 직접적인 영향을 받는다. 

미국 선도적 글로벌 임상시험 수탁기관(CRO) 바이오아질리틱스(BioAgilytix Labs, LLC)에 따르면 2022년 7월 21일 정보 보안 관리 시스템(ISMS)의 ISO 270001:2013 인증을 획득했다.바이오아질리틱스는 의약품 개발의 모든 단계에서 제약 및 생명공학 파트너를 지원하는데 초점을 맞추고 있는 선도적 글로벌 임상시험수탁기관(Contract Research Organization, CRO)이다.IT 시스템과 프로세스의 안전성을 인증받았으며 국제 정보보안 모범 사례에 부합함이 입증된 것이다. ISO 27001은 보안 조치에 관한 높은 인증 기준으로 바이오아질리틱스의 수많은 노력으로 인증 목표를 달성하게 됐다.특히 회사가 관리하는 독점 클라이언트 데이터의 기밀성과 무결성, 가용성을 보장하기 위한 노력의 일환이다. 바이오아질리틱스의 현재 환경에서 고객 데이터뿐 아니라 회사 인프라를 보호하기 위해 보호 장치를 마련했다.또한 임상시험 수탁기관으로서 최고의 IT 보안 및 개인 정보 보호 표준을 지속적으로 충족할 수 있게 됐다. 바이오아질리틱스는 제품 출시 테스트, 안정성 테스트 등 GMP 품질 관리 테스트를 진행한다.더불어 GLP, GLP, GCP에 따른 분석 개발, 검증, 샘플 분석 등을 제공하고 있다. 그리고 CLIA 인증, CAP 인증을 서비스하고 보스턴 실험실에서는 진단 테스트도 진행 중이다.바이오아질리틱스는 미국 노스캐롤라이나주 RTP(North Carolina’s Research Triangle Park), 메사추세츠주 캠버리지(Cambridge, Massachusetts), 캘리포니아주 샌디에고(San Diego, California)에 실험실을 운영 중이다.그리고 해외 실험실은 오스트레일리아 벨버른과 버리즈번(Melbourne and Brisbane, Australia), 독일 함부르크(Hamburg, Germany) 등에 있다.▲ 바이오아질리틱스(BioAgilytix Labs, LLC) 홈페이지

스위스 제네바에 본부를 둔 국제표준화기구(International Organization for Standardization, ISO)에 따르면 국제전기표준회의(International Electronical Commission, IEC)와 공동으로 정보 보안 및 사이버 보안, 프라이버시 보호 등에 관한 ISO/IEC 27400:2022 표준을 발표했다.ISO/IEC 27400:2022 표준은 사이버보안-사물인터넷(IoT) 보안 및 개인정보 보호-지침 등에 관한 표준이다. IoT 보안 및 개인 정보 보호를 위한 위험, 원칙, 통제에 대한 지침을 제공한다.네트워크 연결 시 보안이 취약한 장치는 조직 전체에 위험을 초래한다. 취약한 암호 인증에서 버그가 넘쳐나는 취약한 소프트웨어까지 보안에 대한 우려는 매우 다양하다.따라서 ISO/IEC 27400:2022는 조직이 네트워크 전체에 연결된 모든 장치의 보안 문제를 해결하는데 도움이 된다.ISO/IEC 27400은 IoT 시스템이 고도로 분산돼 있고 다수의 다양한 실체를 수반하기 때문에 정보 보안을 위한 특별한 과제를 제시하고 있다.표준 문서의 보안 및 개인 정보 보호 통제는 IoT 시스템 환경의 이해 당사자를 위해 개발됐다. IoT 시스템 수명 주기 동안 각 IoT 이해 당사자에 의해 활용된다.개인정보보호 또는 개인 식별 가능 정보(personally identifiable information, PII) 보호는 일부 유형의 IoT 시스템의 중요한 관심사항이다.IoT 시스템이 PII를 취득하거나 사용하는 경우는 일반적으로 PII의 취득, 저장, 처리에 적용되는 법률과 규정이 있다.참고로 IoT는 '다른 디바이스와 시스템과 연결되거나 데이터를 교환하는 센서, 소프트웨어, 기타 기술과 같이 연결된 물리적 객채'로 정의된다. 통신을 위해 인터넷이나 기타 통신 네트워크를 활용한다.▲ 국제전기표준회의(International Electronical Commission, IEC) 홈페이지

국제전기기술위원회(International Electrotechnical Commission, IEC)와 국제표준기구(International Organization for Standards, ISO)에 따르면 최근 사이버보안 표준을 발표했다.새로운 표준은 건강 소프트웨어 및 건강 IT 사이버보안을 위한 의료 기기 소프트웨어 개발 표준에 관한 것이다. 기기 및 비기기 건강 소프트웨어 관련 기업의 사업에 상당한 영형을 미칠 수 있다.발표된 표준은 IEC 81001-5-1:2021로 일련의 IEC 81001 건강 소프트웨어 표준이 될 것으로 예상된다. 표준의 범위는 건강 관련 사용을 위해 특별히 고안된 하드웨어의 일부인 소프트웨어, 의료 기기로서의 소프트웨어, 기타 건강 관련 용도를 위한 소프트웨어 전용 제품 등 의료 기기 소프트웨어이다.새로운 표준의 가장 중요한 특징은 IEC 62304:2006과 AMD1:2015(Medical device software – software life cycle processes) 표준을 활동 및 결과물의 기초로 사용하고 각 IEC 62304 프로세스 단계에 사이버보안 요구사항을 포함한 것이다.의료기기 제조사들 사이에는 흔한 일이지만 IEC 62304 표준은 회사가 이전에 고려하지 않았을 수 있는 비기기 건강 소프트웨어 회사에 일련의 수명주기활동을 부과할 수 있다.IEC 81001-5-1:2021의 부록 A에  IEC 62304을 따르는 것이 IEC 81001-5-1:2021을 준수하기 위한 요구사항이 아니라고 명시돼 있다.하지만 IEC 81001-5-1의 준수시 IEC 62304 표준과 일치하지 않을 경우 출처를 알 수 없는 소프트웨어, 소프트웨어 아키텍처 설계, 안전 위험 관리, 문제해결, 요구사항 및 아키텍처, 설계에 대한 문서화된 고정된 검토에 관한 요구 사항 등에서 문제의 소지가 있을 수 있다.새로운 표

국제자동차기술자협회(SAE International)에 따르면 2021년 9월 국제표준화기구(ISO)와 협력해 표준 'ISO/SAE 21434™ Standard: Road Vehicles – Cybersecurity Engineering'을 발표했다.ISO/SAE 21434 표준은 업계가 사이버 보안이 시스템, 구성요소 소프트웨어, 외부 장치 또는 네트워크의 연결 등을 포함한다. 도로차량의 설계에 사이버 보안이 통합되도록 구조화된 프로세스를 정의하는데 도움이 된다.표준운 제품 개발, 생산, 운영, 유지관리를 포함한 비지니스 분야 요구사항, 프로세스, 목표 등 사이버 보안의 기본 사항에 중점을 두고 있다.위협 분석과 위험 평가(TARA)는 도로 이용자가 위협 시나리오에 의해 영향을 받을 수 있는 정도를 결정하는 방법을 설명한다.제품 개발은 사이버 보안 요건 및 아키텍처 설계 사양을 제품개발에 설명한다. 업계 전반에 걸쳐 광범위하게 사용되는 시스템 엔지니어링 V 모델 접근 방식에 결합한다.ISO/SAE 21434 표준은 엔지니어링, 제품개발 분야, 사이버 보안 학자 등 14개국 100명 이상의 전문가들이 개발 그룹에 참여했다.또한 세계 최초 자동차 사이버 보안 표준인 사이버-물리적 차량 시스템을 위한 'SAE J3061™ Standard: Cyber Security Guidebook'의 원리를 기반으로 했다.SAE는 TÜV SÜD Division Mobility와 협력해 ISO/SAE 21434의 통합을 고려하는 사이버보안 전문가들을 지원하기 위해 Automotive Cybersecurity Certification를 제공했다.▲ SAE▲ 국제자동차기술자협회(SAE International) 홈페이지

영국 편의점 체인운영기업인 스파(Spar)에 따르면 2021년 12월 둘째주 북부 전역 300개 이상의 스파 편의점이 사이버 공격을 당한 것으로 드러났다. 이에 따라 일부 매장은 문을 닫아야 했다.이번 사이버 공격은 스파의 금전 등록기와 IT 시스템을 운영하는 랭커셔주 프레스턴에 위치한 제임스 홀 앤 컴퍼니(James Hall & Company)를 목표로 했다.상점들은 카드 결제를 진행할 수 없고 영업 중인 상점들은 현금만 받았다. 국가사이버보안센터(National Cyber Security Centre)와 랭커셔 경찰(Lancashire Police)이 조사하고 있는 중이다.스파는 고객에게 불편을 끼쳐드린 점을 사과하며 가능한 한 신속하게 현재 상황을 해결하기 위해 노력할 방침이다. ▲스파(Spar) 홈페이지

싱가포르 정부기관인 사이버안보청(Cyber Security Agency of Singapore)에 따르면 2020년 사이버 위협 관련 사건 수는 총 9080건으로 집계됐다. 이는 2019년 8491건, 2018년 4977건에 비해 대폭 증가한 것이다. 사이버 범죄는 전체 범죄에서 43%를 차지할 정도로 많아졌다.2020년 연초부터 중국발 코로나-19 팬데믹으로 재택근무가 늘어난 것도 영향을 미쳤다. 해커들이 집이나 사무실의 IP를 집중적으로 공격했다.국내 IP 주소를 공격하는 악성 프로그램의 숫자는 2019년 1일 2300건에서 2020년 1일 6600건으로 확대됐다. 2020년 허위 웹사이트로 사용자를 유도하는 범죄는 2019년에 비해 43% 줄어들었다.▲CSA(Cyber Security Agency of Singapore) 로고