【드래곤 스포츠】 보증업체놀이터추천홍보 : 프로그램제작판매제작의뢰 : 스포츠분석 : 무료스포츠중계tv : 섹시bj움짤 : 뉴스 : 안구정화

로그인

글쓰기

[IT뉴스]“온라인 사기로 세계 GDP 1% 증발…물리적 보안 키가 안전”

온카뱅크관리자

2025-10-03 06:07:30

<div id="layerTranslateNotice" style="display:none;"></div> [Interview] 데이브 클라이더마허 구글 플랫폼 보안 및 프라이버시 담당 부사장 
 <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
 <section dmcf-sid="b2uH4qEQch">
 <figure class="figure_frm origin_fig" contents-hash="7062cd6281c08cdd13ad1d3f62d0ef797766a265c6ff9a1db34584950cb4b434" dmcf-pid="KV7X8BDxjC" dmcf-ptype="figure">
 <img alt="/ 이코노미조선" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202510/03/chosunbiz/20251003060139851toja.jpg" data-org-width="1072" dmcf-mid="zZDspXdzov" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202510/03/chosunbiz/20251003060139851toja.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 / 이코노미조선
 </figcaption>
 </figure>
 “요즘 해커는 기업보다 보안이 약한 개인을 집중적으로 노린다. 많은 이가 ‘설마 내가 당하겠나’라고 생각하지만, 실제로는 주변 5명 중 1명이 피싱 공격의 피해자가 된다.”
 데이브 클라이더마허(Dave Kleider-macher) 구글 플랫폼 보안 및 프라이버시 담당 부사장은 최근 인터뷰에서 개인 사용자를 겨냥한 사이버 공격의 위험성에 대해 이렇게 말했다. 그는 피싱을 근본적으로 차단하려면 비밀번호에 의존하는 대신 장기적으로 물리적 보안 키 같은 인증 수단 도입이 필요하다고 강조했다. 실제로 구글이 2017년 물리적 보안 키를 도입한 이후 지금까지 임직원 10만 명 가운데 계정 탈취가 보고된 사례가 없었다고 한다. 다음은 일문일답.
 최근 한국에선 해킹을 비롯해 각종 사이버범죄가 끊이질 않고 있다.
 “이른바 ‘온라인 사기(online scam)’는 전 세계에 유행병처럼 번지고 있다. 그 피해로 세계 국내총생산(GDP)의 약 1%가 사라질 정도다. 특히 한국은 온라인 사기에 따른 금융 손실이 국민 1인당 연간 약 400만원에 달하는 것으로 집계되기도 했다.”
 플랫폼의 보안 수준도 중요하다. 구글은 정말 안전한가.
 “내가 구글에 있어서 하는 말이 아니다. 구글에 보안은 오랫동안 최우선 과제였고, 이 분야에서 최상위에 있다. 다만 한국 사용자가 주의할 점은 구글 인프라의 취약점이 아니다. 외부 해킹 세력은 기업 인프라를 직접 공격하는 대신 개별 사용자를 직접 노린다. 이번 방한 목적도 바로 한국 정부와 협력해 개인 모바일 사용자의 안전을 강화하기 위해서다.”
 개인 사용자가 자신을 지키는 방법은.
 “우선 개인을 노린 가장 흔한 공격은 피싱이다. 범죄자가 메시지를 보내 사용자가 클릭하고 로그인하도록 유도한 뒤 비밀번호를 탈취하는 식이다. 많은 이가 ‘설마 내가 당하겠나’라고 생각하지만, 실제로는 5명 중 1명이 이런 수법에 속는다. 여기서 가장 큰 위험요인은 이미 유출된 비밀번호를 여러 계정에 반복 사용하는 습관이다. 따라서 강력한 인증 수단을 활용해야 한다.”
 강력한 인증 수단이라면.
 “바로 물리적 보안 키다. 구글은 이를 기반으로 한 ‘피싱 불가능 인증’이라는 개념을 만들어 사내에 먼저 적용했다. 원리는 단순하다. 물리적 보안 키가 곧 인증 수단이 되기 때문에 사용자가 직접 소지하고 있지 않으면 누구도 계정에 접근할 수 없다. 구글은 2017년 이 방식을 공식 도입한 뒤 지난 8년간 임직원 10만 명 가운데 계정 탈취 사례가 단 한 건도 보고되지 않았다. 이후 이 기술을 일반 사용자에게로 확대했다. 비밀번호를 외울 필요도 없다. 보안 키 하나만 있으면 된다. 최근에는 스마트폰에 내장해 더 편리하게 쓸 수도 있다.”
 과거보다 개인 사용자의 보안 인식이 높아졌는데도 피싱 공격에 쉽게 당하나.
 “한 가지 사례를 들겠다. 구글에 오기 전 블랙베리에서 최고보안책임자(CSO)로 근무할 때 첫 출근 날 직원을 대상으로 모의 피싱 테스트를 했다. 보안에 민감한 기업인 블랙베리조차 15~20%의 임직원이 메시지 링크를 실제로 클릭했다. 이 경험은 보안 의식이 높은 기업에서도 사람이 얼마나 쉽게 속을 수 있는지를 잘 보여준다.”
 최근 중국산 로봇 청소기가 해킹에 취약하다는 보도가 있었다. 실제로 사물인터넷(IoT) 기기는 외부 해킹에 취약한가.
 “안타깝지만 IoT 기기 전반의 보안 수준은 높지 않다. 이건 특정 국가에서 만들었기 때문만은 아니다. 진짜 문제는 제품 내부에 어떤 보안장치가 들어 있는지 소비자가 알 수 없다는 점이라고 본다. 제조사 입장에서도 보안을 강화할 유인이 크지 않다. 소비자가 제품을 선택할 때 보안 성능보다는 가격과 브랜드만 보고 고르기 때문이다. 이는 식품에 나트륨 함유량 표시가 없는 것과 같다. 표시가 없다면 소비자는 비교할 기준이 없다. 지금의 IoT 시장도 마찬가지다.”
 <figure class="figure_frm origin_fig" contents-hash="20c1caac4ea164deb7f3873025767886c30aa314208d87a7fda7d894ce5fc868" dmcf-pid="HZvDtWxpcg" dmcf-ptype="figure">
 <img alt="구글이 고안한 물리적 보안 키. /구글 블로그 / 이코노미조선" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202510/03/chosunbiz/20251003060141130cend.jpg" data-org-width="1024" dmcf-mid="qNR9jJHEjS" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202510/03/chosunbiz/20251003060141130cend.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 구글이 고안한 물리적 보안 키. /구글 블로그 / 이코노미조선
 </figcaption>
 </figure>
 구글의 IoT 기기는 어떤가.
 “구글은 정부 요구 기준을 넘어 업계 최고 수준의 보안을 유지하려 노력하고 있다. 제삼자 인증을 받고, 보안 업데이트 정책도 투명하게 공개한다. 그러나 다른 제조사는 이런 노력을 기울이지 않는 경우가 많다는 게 문제다. 예를 들어 구글 홈을 사용하면 다양한 제조사 기기와 연결되는데, 그 보안 수준은 제각각이다. 그래서 구글의 목표는 자사 제품만이 아니라 생태계 전반의 보안 성능을 투명하게 공개하고, 이를 꾸준히 업그레이드하는 것이다. 만약 식품의 영양 성분 표처럼 IoT 기기의 보안 수준을 표시하는 제도, 일명 ‘보안 표시제’가 도입된다면, 전체 보안 수준이 크게 개선될 것이라고 본다. 현재는 싱가포르에서 부분적으로 시행하고 있다.”
 결국 공급망이 중요한 것 같다.
 “그렇다. IoT 기기 보안은 공급망 관리가 핵심이다. 해커가 특정 기업 제품만 노리는 것이 아니라 납품 업체까지 공격하기 때문이다. 따라서 부품이든 소프트웨어든 공급망 전체의 안전성을 확보하는 게 무엇보다 중요하다. 이는 특정 국가의 부품을 배제하는 문제가 아니다. 하드웨어와 소프트웨어가 어디에서 오든 철저히 검증하는 것이 관건이다.”
 인공지능(AI)이 빠르게 진화하고 있는데, 해킹에 활용될까 우려스럽다.
 “이미 AI를 활용한 온라인 사기 사례가 보고되고 있다. 대표적인 것이 딥페이크다. AI가 목소리를 모방하거나 사람을 3D 이미지로구현해 가족이나 지인으로 속이는 방식이다.”
 이를 막기 위해 AI를 활용할 수도 있나.
 “물론이다. 구글은 고도화된 AI 기술을 다양한 보안 위협 대응에 적용하고 있다. 대표적으로 안드로이드용 ‘구글 플레이 프로텍트’는 악성 코드와 앱을 탐지·차단하는 기능을 제공하는데, 타사 보안 프로그램보다 50배 높은 성능을 보인다. 피싱 대응에도 AI를 적극 활용한다. 기기 내 AI 기술을 통해 문자와 음성 등 여러 채널에서 의심스러운 신호를 사전에 탐지하고, 합성된 목소리로 걸려 온 전화라면 스캠 가능성을 경고한다.”
 한국처럼 디지털 의존도가 높은 국가는 어떤 사이버 보안 정책이 필요한가.
 “첫째, 기업이 보안에 투자할 수 있도록 경제적 유인과 투명성을 확보해야 한다. 단순히 수많은 요건을 충족하도록 하는 방식이 아니라, 기업이 보안 정책을 얼마나 지키고 있는지를 투명하게 공개하도록 유도해야 한다. 무엇을 하고 있고, 무엇을 하지 않고 있는지를 명확히 드러내는 것이 중요하다.
 둘째, ‘시큐어 바이 디폴트(Secure by De-fault)’, 즉 기본 설정 자체가 안전해야 한다. 새로운 제품일수록 처음부터 안전한 기본값을 적용하는 것이 핵심이다.
 셋째, 민관 협력 강화다. 정부는 구글처럼 첨단 보안 기술과 AI 역량이 있는 기업과 협력해, 이용자와 사회 전체를 더 안전하게 보호할 수 있는 체계를 만들어야 한다.”
 Plus Point싱가포르, IoT 기기 보안 1~4단계 칼로리 함량처럼 제품 포장에 표시
 <figure class="figure_frm origin_fig" contents-hash="990c2eb3488d0319fd68270923e31f7176ec307affcaa612e863edd2f9604dc9" dmcf-pid="q3GOUZJqo8" dmcf-ptype="figure">
 <img alt="싱가포르는 IoT 기기의 보안 수준에 따라 1~4단계 등급을 매긴다. 사진 속 IP 카메라는 1단계 등급을 받은 제품으로, 가장 기본적인 보안 요건을 충족했음을 의미한다. /싱가포르 사이버보안청(CSA) / 이코노미조선" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202510/03/chosunbiz/20251003060142345vkry.jpg" data-org-width="744" dmcf-mid="BEuH4qEQAl" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202510/03/chosunbiz/20251003060142345vkry.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 싱가포르는 IoT 기기의 보안 수준에 따라 1~4단계 등급을 매긴다. 사진 속 IP 카메라는 1단계 등급을 받은 제품으로, 가장 기본적인 보안 요건을 충족했음을 의미한다. /싱가포르 사이버보안청(CSA) / 이코노미조선
 </figcaption>
 </figure>
 클라이더마허 구글 보안 책임 부사장이 언급한 ‘보안 표시제’는 IoT 기기의 보안 수준을 소비자가 직접 확인할 수 있게 한 제도다.
 싱가포르는 2020년부터 ‘사이버 보안 라벨링 제도(Cybersecurity Labelling Scheme)’를 시행해 IoT 기기에 1~4단계 보안 등급을 부여하고 있다. 1단계는 기본 비밀번호 금지와 업데이트 가능 등 가장 기본적인 보안 요건을 충족한 제품을 의미하며, 2~4단계로 갈수록 국제 표준 준수, 침투 테스트 같은 고급 검증 항목이 추가된다.
 보안 등급은 제품 포장이나 설명서에 표시돼 있어 소비자가 직접 확인할 수 있고, 싱가포르 사이버보안청(CSA) 홈페이지에서도 조회가 가능하다.
 - Copyright ⓒ 조선비즈 &amp; Chosun.com -
 </section> 
 </div> 
 Copyright © 조선비즈. 무단전재 및 재배포 금지.

댓글 총 0개

이번주 포인트랭킹

매주 일요일 밤 0시에 랭킹을 초기화합니다.

14,000상품권
23,000상품권
32,000상품권

업체홍보/구인 더보기

놀이터홍보 더보기

지식/노하우 더보기

판매의뢰 더보기

포토 더보기