sehee

목차
1. [보도참고] 대한민국 디지털 전략 발표 (220927)
2. 경찰청-KT-금융보안원 전기통신금융사기 방지 협력 (220928)
3. 보이스피싱 대응 성과 및 대책 (220929) 

1. [보도참고] 대한민국 디지털 전략 발표 (220927)

(출처: 과학기술정보통신부, 보도자료, 정보통신정책관 정보통신정책총괄과 홍성완 과장(044-202-6120), 이재호 사무관(044-202-6124))

• 과기정통부, 윤석열 대통령 주재 제8차 비상경제 민생회의에서 세계 디지털 혁신 모범국가를 향한 『대한민국 디지털 전략』발표
• (투자방향) '23년부터 ①인공지능, ②인공지능 반도체, ③5·6세대 이동통신, ④양자, ⑤확장가상세계, ⑥사이버보안 등 6대 혁신기술 분야에 대한 연구개발 집중 투자

2. 경찰청-KT-금융보안원 전기통신금융사기 방지 협력 (220928)

(출처: 경찰청, 보도자료, 국가수사본부 수사국 경제범죄수사과 김종민 총경(02-3150-2037), 유지훈 경정(02-3150-2763))

• 경찰청과 KT, 금융보안원은 9월 27일(화) 서울 서대문구 경찰청에서 전기통신금융사기(보이스 피싱 등) 근절을 위한 업무협약 체결
• KT 네트워크관제본부장 박종호 상무는 “KT는 고객들의 전기통신금융사기 피해 예방에 최선을 다하고 있으며, 국내 최고 수준의 네트워크 보안 시설과 기술 역량을 바탕으로 경찰청의 범죄 단속에 적극적으로 협력하겠다.”라고 밝혔다.
  

3. 보이스피싱 대응 성과 및 대책 (220929)

(출처: 과학기술정보통신부, 보도자료, 국무조정실 행정관리총괄과 송헌규 과장(044-200-2082), 이인배 경정(044-200-2085))

• 정부, 올해 전화금융사기(보이스피싱) 범죄자 1만 6천여명 검거
• 정부, 명의도용휴대전화(대포폰)·통장 등 11만 5천여개 범행수단 차단

통신분야 대책

통신서비스 부정이용 방지를 통한 사전 예방

1. 명의도용휴대전화 근절

• 명의도용휴대전화 대량 개통을 막기 위해 개통 가능한 회선수를 대폭 제한(10월)
• 불법행위 이력이 있는 명의자의 경우에는 일정기간 동안 이통사들이 휴대전화 신규 개통을 제한
• 휴대전화 개통시 이용자 본인확인 절차와 시스템 강화

2. 전자금융사기 문자 근절

• 정상적인 문자를 수신자가 쉽게 확인할 수 있도록 '안심마크(인증마크+안심문구) 표시' 서비스 도입('22.10월 시범)
• 불법 전화번호 목록을 문자사업자 간에 공유

3. 국제전화 사칭 근절

• 통신사는 음성으로 국제전화임을 안내
• 주요 단말기 제조사와 협의하여 전화번호 일부분만 일치해도 저장된 이름을 표기하는 문제 개선

범죄에 사용된 전화·문자의 신속한 이용 중지

• 전화번호를 변조 및 발신하는 변작 중계기(SIM박스*)에 대해서도 통신 사용을 차단
• 전자금융사기문자를 보다 신속히 추적‧차단(7→2일)할 수 있도록 인터넷 발송문자 관리시스템을 보완(식별코드* 삽입)

* SIM박스: 다량(최대 256개)의 유심을 장착하여 해외 인터넷전화번호를 국내 이동전화번호(010)로 변경하는데 사용

전화금융사기 간편 신고 및 대응역량 고도화

• 전화금융사기 의심 문자 수신 시, 단말기에서 쉽고 간편하게 신고할 수 있도록 불법문자 신고절차 개선
• 인공지능과 빅데이터를 활용하여 대응역량을 고도화 할 수 있도록 연구개발 추진

 ※ (1단계) 의심문자 수신시 ‘스팸’ 신고창이 바로 확인되도록 단말기 기능 개선

       (2단계) 스팸문자 신고 외에도, 전자금융사기 신고채널(경찰청 통합신고대응센터) 추가 도입

목차
1. 윤석열 대통령, 필즈상 수상자 허준이 교수 접견 (220926)
2. 전사적 자원 관리 시스템에 대한 내부자 위협 탐지 기술 동향 (220921)

1. [보도참고] 윤석열 대통령, 필즈상 수상자 허준이 교수 접견 (220926)

(출처: KDI 경제정보센터, 경제정책정보 > 정책자료, 과학기술정보통신부 미래인재정책국 미래인재양성과)

(출처: 과학기술정보통신부, 보도자료, 미래인재정책국 미래인재양성과 강호원 과장(044-202-4830), 이현우 사무관(044-202-4832))

• 허준이 교수: 미국 프린스턴대 교수이자 한국 고등과학원 석학 교수
• 지난 7월 '22년 세계수학자대회(International Congress of Mathematicians, ICM)에서 필즈상 수상

* 필즈상(Fields Medal): 수학계에 중요한 공헌을 한 40세 미만의 수학자에게 수여

• 허준이 교수의 연구분야는 조합 대수기하학(combinatorial algebraic geometry)
• 대수기하학(algebraic geometry)을 통해 조합론(combinatorics)의 문제를 해결하는 비교적 새로운 분야

2. 전사적 자원 관리 시스템에 대한 내부자 위협 탐지 기술 동향 (220921)

(출처: 정보통신기획평가원, 주간기술동향 2064호, King's College London 유종민 연구원(+44-7507750642, jongmin.yu@kcl.ac.uk))

• 기업의 국제화와 규모의 거대화로 기업의 관리 자원 규모가 증가하고 속성이 다양해짐
• 기업 환경의 변화로 전산화를 촉진하였으며, 이를 통해 개발된 것이 전사적 자원 관리(Enterprise resource planning: ERP) 시스템

* ERP 시스템: 기업에서 회계, 조달, 프로젝트 관리, 위험 관리 및 규정 준수, 공급망 운영과 같은 일상적인 비즈니스 활동을 관리하는 것에 사용하는 소프트웨어

기계 학습 방법을 사용한 내부자 이상 행위 방법 도출 과정

일반적인 시스템 사용자 로그 수집 및 데이터 전처리 → 로그 분석을 통한 사용자의 일반적 행위 모델링 → 내부자 이상 행위 검출

목차
1. 2022년 8월 정보통신기술 수출입 동향(220916)
2. 공격 표면 관리 개념과 최소화 방안 동향(220914)
3. 과학기술&ICT 정책·기술 동향 222호 (220916)

1. 2022년 8월 정보통신기술 수출입 동향 (220916)

(출처: 과학기술정보통신부, 보도자료, 정보통신산업정책관 정보통신산업정책과 김민표 과장(044-202-6220), 김미정 주무관(044-202-6228))

• 글로벌 경기 여건 악화로 인한 IT 수요 둔화가 지속되며 주요 품목인 반도체, 디스플레이, 컴퓨터‧주변기기, 휴대폰은 동시 감소
• 주요 5개국 중 유럽연합은 증가, 중국(홍콩 포함), 베트남, 미국, 일본은 글로벌 경제성장 둔화 및 IT 기기 생산 축소 등의 영향으로 감소

2. 공격 표면 관리 개념과 최소화 방안 동향 (220914)

(출처: 정보통신기획평가원, 주간기술동향 2063호, 국방통합데이터센터 국경완 실장(070-4872-6200, kugstone@naver.com))

• 디지털 트렌스포메이션(digital transformation)은 클라우드의 전환을 가속화
• 가트너 보고서에 의하면 공격 표면 위험관리(attack surface risk management)가 잠재적 기술의 상용화 가능에 대한 관심이 큼

가트너가 발표한 "Innovation Insight for Attack Surface Management" 보고서에 따르면, "공개 디지털 자산의 확장과 클라우드 인프라의 사용 증가로 인해 기업 IT가 더욱 분산됨에 따라 조직의 공격 표면 관리를 시각화하고 우선순위를 지정하는 새로운 방법이 필요"하다고 언급함

공격 표면 최소화 방안

• 제로 트러스트 모델(Zero Trust Model)
• 공격 표면 가시성 증가(Increase your attack surface visibility)
• 복잡성 제거(Complexity Elimination): 최소 권한 액세스 원칙 사용
• 지속적이고 가속화된 정찰(Continuous & Accelerated Reconnaissance)
• 네트워크 세분화(Network Segmentation): 특정 영역 주위에 경계를 설정하고 타 섹션으로의 액세스 제한
• 직원 교육(Employee Training & Education): 사이버 보안 인식 교육

3. 과학기술&ICT 정책·기술 동향 222호 (220905)

(출처: 글로벌 과학기술정책정보 서비스 S&T GPS, 과학기술&ICT 정책·기술 동향 222호)

• 미국, 전력 그리드망 보호를 위한 사이버보안 기술 투자 방안 발표
• 미국, 반도체 및 과학법 추진을 위한 행정명령 발표
• 디지털 경제·사회 디딤돌 될 '디지털플랫폼정부' 이행 본격화
• 중저가 반도체 및 EDA 툴 투자 확대하는 중국, ‘반도체 굴기’ 가속

목차
1. 과기정통부, 소프트웨어 역량검정을 통해 디지털 인재 성장 지원(220907)
2. 2022 서울안보대화 사이버워킹그룹 회의 개최 (220906)
3. 과학기술&ICT 정책·기술 동향 221호 (220905)

1. 과기정통부, 소프트웨어 역량검정을 통해 디지털 인재 성장 지원 (220907)

(출처: 과학기술정보통신부, 보도자료, 소프트웨어정책관 소프트웨어정책과 남철기 과장(044-202-6320), 김종순 사무관(044-202-6325))

• 제18회 소프트웨어 역량검정 정기평가 시행(10.29.(토)) / 성적발표(11.28.(월))
• 디지털 전환 촉진과 소프트웨어 실무인재 부족 해소 지원
• 입문·초급자의 소프트웨어 역량평가가 가능하도록 평가제도 개편을 추진

2. 2022 서울안보대화 사이버워킹그룹 회의 개최 (220906)

(출처: 대한민국 국방부, 보도자료, 국방정책실 사이버전자기정책과 하대봉 국장(02-748-6700), 김신애 과장(02-748-5980))

• "미래 사이버 전 양상의 진화와 사이버 군사전략의 방향"이란 주제로 「2022 서울안보대화 사이버워킹그룹(Cyber Working Group)」을 역대 최대규모로 개최
• 사이버 공간에서의 불법적인 행위에 대해 초국가적으로 공유하고 공동대응하는 것을 제안

3. 과학기술&ICT 정책·기술 동향 221호 (220905)

(출처: 글로벌 과학기술정책정보 서비스 S&T GPS, 과학기술&ICT 정책·기술 동향 221호)

가트너, 2022년 유망(Emerging)기술 하이프 사이클 발표

• 기술 성장주기는 ①기술 출현(Technology Trigger) ②기대 정점(Peak of Inflated Expectations) ③환상 소멸(Trough of Disillusionment) ④기술 성숙(Slope of Enlightenment) ⑤안정 단계(Plateau of Productivity)로 구분
• 신기술 도입 시기와 포트폴리오 구축, 새로운 비즈니스 창출, 신성장동력 발굴 시 고려해야 할 기술과 트렌드를 업계 관점에서 제시하는 것이 특징

안현배의 예술수업
안현배 작가: 예술사학자, 사회학 및 역사의 관계 속에서 살피는 예술수업

• 인상파의 승리와 다양성의 탄생. 19세기 새로운 예술의 시대
• 오르세 미술관 인상파와 예술사
• 혁신의 요구, 변화의 시작 - 마네의 무한도전

에두라르 마네(1832년 1월 23일 ~ 1883년 4월 30일)
프랑스의 인상주의 화가
19세기 현대적인 삶의 모습에 접근하려 했던 화가들 중 하나
시대적 화풍이 사실주의에서 인상파로 전환되는 데 중추적 역할
낭만주의(Romanticism): 19세기 전반(1820~1830), 합리주의에 반대, 개인의 낭만/관심사를 중요시함, 귀족적 취향이 고려되지 않음
사실주의(Realism): 19C 이전, 구스타브 쿠르베, 도미에, 구체적인 현실에 대한 묘사, 당시 서민의 삶 속에서 작품의 주제를 찾음
인상주의: 프랑스 중심의 근대 예술운동, 빛에 따른 색의 변화라는 새로운 시각적 현실의 묘사에 관심

Le Déjeuner sur l'herbe, 1863
풀밭위의 점심 식사

Olympia, 1863
올랭피아

La naissance de vénus - Alexendre Cabanel(산드로 보티첼리)
비너스의 탄생

• 모더니즘의 시작이 왜 마네 부터일까?
• 인상주의와 모더니즘

모더니즘: 전통적인 기반에서 급진적으로 벗어나려는 20세기 서구 문학, 예술상의 경향
산업혁명과 역사: 사회와 환경의 변화, 그리고 새로운 세대의 시작

• 해돋이의 인상 클로드 모네
• 투쟁과 설득, 관점의 변화
• 스테판 말라르메
• 우리는 시대와 상관 없이 상징의 발달을 추적하고 싶다. 그것이 순전히 꿈이더라도,
• 우리는 개성을 위하여, 그리고 행동의 중앙에 있기 위하여,
• 광장과 거리의 장식을 쫓아다니기보다는 관념의 투쟁을 보완하고 싶다.
• 우리 예술의 근본적 목적은 객관을 주관화하는 것이 아니라 주관을 객관화 시키기 위한 것이다.
• 화상과 비평, 예술가
• 르느와르 물랭 들 라 걀레뜨
• Daughters of Catulle Mendes, 1888
• 다양한 시도와 창의성, 예술의 길 / 상징주의
• 테오도르 샤세리오 터키탕
• 상징주의의 등장과 다양성에 대한 고민, Le reve
• 페르낭 크누프 애무
• Ecole de platon 1898, 260 x 605 cm
• 제임스 앙소르 가면들
• 레르미트 추곡수매
• "우리는 지나간 시대를 어떤 방법으로 이해할 수 있을까?"

끌로드 모네(Claude Monet, 1840~1926)
에두아르 마네(Edouard Manet, 1832~1883)
공통점: 인상주의 개척, 전통적인 미술 거부
차이점: 모네는 검은색을 사용하지 않음(그림자 표현: 파란색과 보라색)

목차
1. 과기정통부 2023년도 정부 예산(안) 확정 (220831)
2. 오늘부터 스마트폰 이심(eSIM) 이용이 가능합니다! (220831)
3. 추석 명절, 택배와 금융거래 사칭 문자사기 주의! (220831)
4. 과기정통부, 소속·산하기관 대상 민간 보안전문가(화이트 해커)를 활용한 사이버 모의 침투훈련 실시 (220902)
5. 2022년 상반기 악성코드 은닉사이트 탐지 동향 보고서 (220830)
6. TTPs #8: Operation GWISIN - 맞춤형 랜섬웨어 공격 전략 분석 (220902)

1. 과기정통부 2023년도 정부 예산(안) 확정 (220831)

(출처: 과학기술정보통신부, 보도자료, 정책기획관 기획재정담당관 재정팀 이주헌 팀장(044-202-4430), 장일해 서기관(044-202-4431))

과기정통부, 기술패권경쟁 시대 초격차 전략기술 확보와 국가 디지털 혁신에 집중

2023년 과기정통부 예산안, 금년 추경 대비 2.3% 증액된 18.8조 규모

• 미래 혁신기술 선점
• 인재양성 및 기초연구 지원
• 디지털 혁신 전면화
• 모두가 행복한 기술 확산에 중점 투자

2023년 정부연구개발(R&D) 예산안, '22 대비 3.0% 증액된 30.7조원 편성

• 초격차 전략기술
• 미래 기술
• 디지털 전환
• 탄소중립
• 인력양성 등 국가전략기술 및 미래 성장잠재력 확충에 중점 투자

2. 오늘부터 스마트폰 이심(eSIM) 이용이 가능합니다! (220831)

(출처: 과학기술정보통신부, 보도자료, 통신정책관 통신이용제도과 이정순 과장(044-202-6650), 김성희 사무관(044-202-6651))

9월 1일부터 이통3사(SKT, KT, LGU+) 및 알뜰폰사에서 스마트폰 이심(eSIM)을 이용하여 서비스 가입이 가능

* 이심(eSIM): 유심(USIM)과 동일한 역할을 하며, 칩을 스마트폰에 삽입하여 이용하는 유심(USIM)과 달리 단말에 내장된 칩에 가입자 정보를 다운로드 받아 이용하는 형태의 가입자 식별 모듈(SIM)

• 이심(eSIM)이 내장된 스마트폰은 유심(USIM)과 이심(eSIM)을 이용하여 하나의 스마트폰으로 두 개의 전화번호를 개통하는 것도 가능(듀얼심)
• 두 개의 전화번호를 개통하는 경우 통신사를 달리하여 가입하는 것도 가능
• 선택약정 요금할인도 각각의 개통 건에 적용 가능

3. 추석 명절, 택배와 금융거래 사칭 문자사기 주의! (220831)

(출처: 과학기술정보통신부, 보도자료, 정보보호네트워크정책관 사이버침해대응과 설재진 과장(044-202-6460), 김승열 사무관(044-202-6461))

택배 배송과 금융 지원 안내 등을 사칭한 문자결제사기(스미싱*), 지인 명절인사 등으로 위장한 메신저 피싱 증가로 인한 이용자의 피해 주의 당부

* 스미싱: 문자메시지(SMS)와 피싱(Phishing)의 합성어, 악성 앱 주소가 포함된 휴대폰 문자메시지를 전송하여 이용자 유도 및 금융·개인정보 탈취

4. 과기정통부, 소속·산하기관 대상 민간 보안전문가(화이트 해커)를 활용한 사이버 모의 침투훈련 실시 (220902)

(출처: 과학기술정보통신부, 보도자료, 정책기획관 정보보호담당관 김태영 과장(044-202-4480), 박순재 사무관(044-202-4483))

• 과학기술정보통신부는 최근 전 세계적인 사이버 공격 증가 추세에 따라 소속·산하기관의 위기대응 역량제고를 위해 '2022년 과기정통부 사이버 모의침투 대응훈련' 실시
• 민간 보안 전문기업·전문 연구기관 간의 협력

5. 2022년 상반기 악성코드 은닉사이트 탐지 동향 보고서 (220830)

(출처: 한국인터넷진흥원 KISA 인터넷보호나라 & KrCERT, 자료실 > 보고서, 탐지대응팀)

한국인터넷진흥원 사이버침해대응본부는 악성코드 은닉사이트 탐지 시스템(MCF, Malicious Code Finder)을 통해 국내 전체 홈페이지를 대상으로 악성코드 은닉 여부를 점검하고 있음

* 악성코드 은닉사이트: 악성코드 자체 또는 악성코드를 유포하는 주소(URL)를 숨기고 있는 홈페이지

• 악성코드 경유지 주요 업종 '제조, 건강/의학, 교육/학원'
• IoT 악성코드(Mozi) 관련 유포지 탐지 지속
• 이모텟(Emotet) 악성코드 관련 유포지 탐지
• 정보유출 악성코드 지속 유포
• 폴리나(Folina) 취약점을 이용한 악성코드 유포 탐지
• 가상화폐 채굴 악성코드 탐지

* 이모텟(Emotet) 악성코드: 금융정보 탈취를 위한 악성코드, 2014년에 최초 탐지

* 폴리나(Folina) 취약점: Microsoft Office에 존재하는 제로데이 취약점을 악용하여 Word에서 URL 프로토콜을 사용해 마이크로소프트 지원진단도구(MSDT)를 호출할 때 원격 코드가 실행되는 취약점

6. TTPs#8: Operation GWISIN - 맞춤형 랜섬웨어 공격 전략 분석 [Ver.KOR] (220902)

(출처: 한국인터넷진흥원 KISA 인터넷보호나라 & KrCERT, 자료실 > 보고서, https://thorcert.notion.site/TTPs-8-Operation-GWISIN-c3483353d20241b3a313fa4a8726302a)

• 사이버보안에서 유명한 고통의 피라미드(The Pyramid of Pain)
• 방어자가 TTP(Tactic, Technique, Procedure)와 같은 공격자의 전략과 전술, 그리고 그 과정을 이해하고 방어 체계를 운영하는 것이 가장 효과적임을 표현

목차
1. 인공지능 기술 활용을 위한 안드로이드 악성코드(악성앱) 특징정보(220816)
2. 차세대 네트워크(6G) 산업 기술개발사업 공청회 개최 (220824)
3. 자동차 사이버보안 표준 및 보안 기술 동향 (220824)
4. 과학기술&ICT 정책·기술 동향 (220819)

1. 인공지능 기술 활용을 위한 안드로이드 악성코드(악성앱) 특징정보 (220816)

(출처: 한국인터넷진흥원 KISA 인터넷보호나라 & KrCERT, 자료실 > 보고서, 종합분석팀(jjw@kisa.or.kr))

인공지능 기술 활용을 위한 "안드로이드 악성코드(악성앱) 특징정보" (6개 카테고리의 43가지 특징정보)

• 메타데이터(Metadata) : 기본적인 애플리케이션 정보
• 정적정보(Static Info) : 함수, API, 서비스 정보, 문자열 등 코드 내에서 확인 가능한 정보
• 동적정보(Dynamic Info) : 파일 접근/삭제 등 악성앱 실행 시 동작하는 주요 행위 정보
• 네트워크(Network) : 악성앱 실행 시 접속 시도 및 파일/메모리 내 포함된 URL/IP 정보
• ATT&CK Matrix : 악성앱을 전략, 전술별(TTPs) 행위를 기술단위 별로 추출한 정보
• 기타 정보(ETC) : 악성앱의 Bytecode, 분류 정보 등 기타 정보

2. 차세대 네트워크(6G) 산업 기술개발사업 공청회 개최 (220824)

(출처: 과학기술정보통신부, 보도자료, 정보보호네트워크정책관 네트워크정책과 심규열 팀장(044-202-6415), 도하림 사무관(044-202-6426))

• 우리나라는 작년부터 차세대 네트워크(6G) 원천기술개발을 추진 중
• 하지만 경쟁국 대비 작은 투자 규모로 세계 주도권 경쟁에 뒤처질 우려가 있는 만큼 투자를 확대해야 함
• 차세대 네트워크(6G)는 미래 정보기술 산업의 틀을 새롭게 바꿀 수 있는 디지털 시대의 핵심 기반이자 국제 경쟁의 향방을 가를 필수전략기술인 만큼, 관심 필요

3. 자동차 사이버보안 표준 및 보안 기술 동향 (220824)

(출처: 정보통신기획평가원, 주간기술동향 2060호, MDS 인텔리전스 고의석 매니저(031-627-3053, nkm@mdsit.co.kr))

• 기존 자동차의 가장 큰 이슈인 안전(Safety)
• 정보보안전문가가 자동차에 탑재된 ECU(Electronic Control Unit)의 취약점을 이용하여 해킹에 성공한 사례
• 완성차 제조업체는 CSMS(Cyber Security Management System) 인증과 각 차종에 대한 형식승인을 받아야 함(두 가지 표준 준수)

ISO 27001 대응을 위한 공급망에 대한 보안 기술

암호 키 관리 시스템

• 개발 및 양산 시스템과 물리적으로 분리된 안전한 공간에 보관해야 함
• 암호 키에 대한 표준 프로토콜인 KMIP(Key Management Interoperability Protocol)을 준수해서 전달해야 함

사설 인증 시스템

• 자동차 공급망 전 과정에 상호 인증을 통해 보안을 제공하는 시스템
• 사설 인증 시스템과 암호 키 관리 시스템을 결합하면, 자동차 공급망 전 과정에 안전한 암호 키 및 기밀 데이터 공유가 가능

분리 기법

• 주요 정보 접근 인원 및 시스템을 최소화하여 보안을 제공하는 기법
• 방화벽과 같은 망 분리나 비밀 취급 인가 등급에 따른 정보 접근 등의 방법을 통해 분리 기법 적용이 가능
• 자동차 생산 환경: 암호 키를 기준으로 분리(개발용 암호 키, 양산용 암호 키)

4. 과학기술&ICT 정책·기술 동향 (220819)

(출처: 글로벌 과학기술정책정보 서비스 S&T GPS, 과학기술&ICT 정책·기술 동향 220호)

• OECD, 우주 경제를 측정하는 방안의 과제와 해결책 제시, 우주 경제에 대한 평가를 개선하기 위한 정책 제언을 담은 안내서 발표('22.7)
• 일본, 블록체인 기반 환경을 전담할 '웹3.0 정책추진실' 출범

목차
1. 온라인 수학·과학 가상실험실(VlabON) 개관 (220815)
2. 디지털 안전 융합으로 일터·생활·재난 안전 등 국민안전 3대분야 사각지대를 해소한다 (220817)
3. 보안 규제개선으로 혁신적 신기술 서비스 공공도입 촉진 (220818)
4. 디지털 시대의 주인공이 될 100만 인재를 양성합니다. (220819)
5. 경제안보 시대, 우리기술 유출방지 대책 마련 (220819)
6. 개인정보보호 중심 설계(Privacy by Design) 인증제도 동향 및 국내 도입 방안 검토 (220817)

1. 온라인 수학·과학 가상실험실(VlabON) 개관 (220815)

(출처: 과학기술정보통신부, 보도자료, 미래인재양성과 책임자 강호원 과장(044-202-4830), 담당자 이현우 사무관(044-202-4832))

• 웹(Web) 기반의 삼차원 시뮬레이션 가상실험실 구축
• 올해는 기업·대학 연구소 등에서 폭넓게 활용되는 에디슨(EDISON*) 시뮬레이션 소프트웨어와 연계

* EDISON(EDucation-research Integration through Simulation On the Net): 이공계 전문 응용 분야의 교육·연구를 위해 온라인 환경에서 시뮬레이션 가능한 SW 등을 활용할 수 있는 플랫폼

2. 디지털 안전 융합으로 일터·생활·재난 안전 등 국민안전 3대분야 사각지대를 해소한다 (220817)

(출처: 과학기술정보통신부, 보도자료, 네트워크안전기획과 책임자 구본준 과장(044-202-6430), 담당자 송창종 사무관(044-202-6431))

사각지대 없는 생활 속 디지털 안전망 구현

• 기지국, 와이파이(WiFi), 블루투스 등 다양한 신호를 활용한 '실내정밀측위 구축, 고도화' 추진
• 1단계: 와이파이(WiFi) 및 초광대역무선기술(UWB) 신호탐지기를 통해 경찰・소방 현장 수색능력을 강화

3. 보안 규제개선으로 혁신적 신기술 서비스 공공도입 촉진 (220818)

(출처: 과학기술정보통신부, 보도자료, 정보보호네트워크정책관 정보보호산업과 책임자 정은수 과장(044-202-6450), 담당자 곽을경 사무관(044-202-6453))

주요 내용

• (위성정보) 국가 위성정보 해상도 규제 완화(4m→1.5m) 등으로 위성정보 활용 산업 활성화
• (클라우드 보안) 보안인증을 3등급으로 구분, 등급별 차등화된 보안기준 적용
• (정보보호제품 인증) 신속확인제 도입으로 신기술 제품을 2~3개월 내 도입 가능
• (무선영상 전송) 공공기관용 무선영상전송장비 시험인증 서비스 개시

클라우드 보안인증제도 개선

• 등급제 도입 및 평가기준 완화

등급제 도입

• 기존의 획일적 보안인증 체계에서 클라우드로 사용될 시스템의 중요도 기준으로 3등급 구분
• 등급별로 차등화된 보안인증기준을 적용하여 사이버 안보가 저해되지 않도록 도입

평가기준 완화

• 민감정보 등을 다루는 클라우드에 대해서는 보안성을 높임
• (보안 위험이 상대적으로 낮은) 공개데이터를 다루는 클라우드에 대해 부담을 완화

4. 디지털 시대의 주인공이 될 100만 인재를 양성합니다. (220819)

(출처: 과학기술정보통신부, 보도자료, 소프트웨어정책과 정준욱 사무관(044-202-6321) 외 9인)

• 디지털 인재: 디지털 신기술을 개발‧활용‧운용하는 데 필요한 지식과 역량을 갖춘 인재
• 디지털 신기술: 인공지능, 일반 SW(블록체인 포함), 빅데이터, 메타버스(AR, VR 포함), 클라우드, 사물

100만 디지털 인재양성을 위한 주요 정책

"100만"은 전문 인재 양성뿐만 아니라 전 국민이 삶과 전공 분야에서 디지털 기술을 자유롭게 적용할 수 있도록 지원한다는 상징적 목표이면서 동시에 향후 5년간(2022~2026)의 인재양성 목표

1) 고도화된 디지털 전문인재

•  (선도대학) ‘디지털 혁신공유대학’(~2026. 21개 분야 목표), ‘소프트웨어(SW)중심대학’ (2027. 100개교 목표), ‘신산업특화 전문대학’(~2026. 21개 분야 목표)
• 사업을 확대해 디지털 선도대학을 육성하고 디지털 첨단분야 전공자를 지속해서 확대할 계획

2) 전공(도메인) 분야에 디지털 기술을 적용하는 인재

• (융합과정) 인문‧사회 등 다양한 전공과 디지털 기술의 융합역량 향상 지원을 위해 대학-민간 연계 집중 연계 교육과정(부트캠프)을 도입(2023~)
• 융복합 능력 배양, 학사제도 유연화를 위한 대학 혁신을 지원

3) 일상에서 디지털 기술을 활용하는 인재

• (대학 수준의 디지털 교양과정) 대학혁신지원사업을 통해 대학의 자율적인 디지털 혁신(교양교육, 인공지능(AI)튜터링 등)을 지원
• 한국형 온라인 공개강좌(K-MOOC) 내 디지털 등 신기술 분야 강좌를 제공(2022. 138개)

5. 경제안보 시대, 우리기술 유출방지 대책 마련 (220819)

(출처: 특허청, 보도자료, 산업재산보호협력국 산업재산보호정책과 책임자 김일규 과장(042-481-5213), 담당자 류정현 사무관(042-481-5070))

• (예방) 반도체 등 핵심산업에 대해 기술유출 방지 집중지원
• (대응) 기술유출에 신속･효율적 대응을 위한 부처협업 강화
• (기반) 일벌백계를 통한 재발방지를 위해 법적기반 마련

최근 미･중 패권경쟁, 우크라이나 사태 등으로 인해 반도체 등 핵심 기술은 반드시 필요한 전략자산으로 대두됨

기술을 확보하기 위한 각국의 경쟁이 치열해지면서, 단기간 내 기술격차를 줄이기 위한 방법으로 영업비밀 유출 시도 증가(e.g. 핵심인력 빼가기, 산업스파이, 사이버해킹)

특허청은 핵심적인 기술정보인 영업비밀을 보호하기 위한 종합대책으로 3대 전략, 9개 과제 수립

• [전략 1] 영업비밀 유출 방지를 위해 사전예방 강화
• [전략 2] 영업비밀 유출에 대한 전방위적 대응역량 제고
• [전략 3] 새로운 환경변화에 대응하여 영업비밀 보호기반 구축
• [부정경쟁방지] 공정한 겅쟁질서 확립을 위해 부정경쟁행위 근절

6. 개인정보보호 중심 설계(Privacy by Design) 인증제도 동향 및 국내 도입 방안 검토 (220817)

(출처: 정보통신기획평가원, 주간기술동향, 한국인터넷진흥원 최혜미 주임연구원(061-820-1947, hmchoi@kisa.or.kr), 오용석 연구위원)

개인정보보호위원회, 한국인터넷진흥원, "자동처리 되는 개인정보 보호 가이드라인", 2020. 12.

목차
1. 순서 보존 암호 최신 연구 동향 (220810)
2. [2022년 7월] 인터넷·정보보호 법제동향 제178호 (220805)

1. 순서 보존 암호 최신 연구 동향 (220810)

(출처: 정보통신기획평가원 IITP, 주간기술동향 2058호, 한국전자통신연구원 이영경 연구원, 조남수 책임연구원)

순서 보존 암호(Order-Preserving Encryption)

• 데이터 보호와 활용성 모두를 동시에 제공, 높은 효율성을 가진 실용화 가능성이 큰 기술
• 정의에 따라 데이터의 크기 순서를 노출하는 암호 기법

• 빈도수 감춤 기법을 사용하지 않아도 되는 경우: 중복이 거의 발생하지 않는 데이터(e.g. 주민등록번호, 일련번호)
• 추론 공격에 위험한 경우: 암호화하려는 데이터셋이 공개되어 있는 데이터셋과 유사한 분포를 가지고, 빈도수 숨김이 없는 암호화

2. [2022년 7월] 인터넷·정보보호 법제동향 제178호 (220805)

(출처: 한국인터넷진흥원, 지식플랫폼 > 동향분석 > 인터넷·정보보호 법제 동향, 법제연구팀 김홍빈(061-820-1704))

공포된 법령

• 「산업 디지털 전환 촉진법 시행령」 제정령 공포 (2022. 7. 4.)
• 「전자정부법 시행령」 일부개정령 공포 (2022. 7. 11.)
• 「인터넷주소자원에 관한 법률 시행령」 일부개정령 공포 (2022. 7. 11.)
• 「디지털플랫폼정부위원회의 설치 및 운영에 관한 규정」 제정령 공포 (2022. 7. 1.)산업 디지털 전환 촉진법 시행령 제정령 공포

목차
1. 과학기술&ICT 정책·기술 동향 (220729)
2. 해양 선박 사이버보안 동향 (220803)

1. 과학기술&ICT 정책·기술 동향

(출처: 글로벌 과학기술정책정보 서비스 S&T GPS, 과학기술&ICT 정책·기술 동향 219호)

NFT 최근 산업동향과 시사점

• 나만의 자산, NFT(Non-Fungible Token)의 등장
• 고유한 정보, 상호 교환 불가, 분할이 되지 않는 특성
• 디지털상에 존재하는 유･무형 자산에 소유권을 부여하는 것이 핵심
• NF와 FT 특성 비교: 대체 불가능한 고유값(정보)으로 디지털 자산을 '가치화'하여 투자자산으로서 거래할 수 있도록 환경을 구축한 것이 NFT의 핵심 가치

블록체인 기술의 변화 과정

크립토펑크(Cryptopinks) 프로젝트

• '17년 뉴욕 소프트웨어 회사 라바랩스가 개발한 이더리움 기반의 프로젝트
• 현재 NFT 프로젝트 중 가장 오래된 프로젝트(NFT의 시초)
• 가로·세로 24픽셀로 이루어진 얼굴 이미지의 아바타 총 10,000개를 발행
• 아바타들은 서로 다른 외모, 성격, 스타일을 지니며 그 특성이 희귀할수록 높은 가치로 평가
• 크립토펑크는 남자 6,039개, 여자 3,840개, 좀비 88개, 유인원 24개, 외계인 9개로 구성

대표 NFT 담보 대출 거래 플랫폼 NFTfi

• NFTfi: NFT 자산을 담보로 스마트 계약을 통해 거래 당사자 간에 P2P 방식으로 거래되는 플랫폼

2022년 상반기 국내외 주요 기업의 AI반도체 개발 동향

• KT: 하드웨어와 소프트웨어를 동시에 제공하는 풀스택 사업자로 도약하기 위해 AI 스타트업과 협력을 확대하며 반도체 생태계 구축 박차

KT AI 반도체 풀 스택 확보 전략

2. 해양 선박 사이버보안 동향

(출처: 글로벌 과학기술정책정보 서비스 S&T GPS, 과학기술&ICT 정책·기술 동향 219호)

• 해양 선박 네트워크 보안에서의 대응방안: MAC(Media Access Control) 주소 기반의 통제
• MAC 주소는 제품이 생산되는 단계에서 할당되어 원칙적으로 변경이 불가하므로 IP 주소 기반 통제보다 좀 더 강력한 접근통제가 가능

해양 선박 네트워크 위협에 대한 보안장비 구성

목차
1. 공개 소프트웨어 연구개발 실무 가이드라인 배포 (220727)
2. 과기정통부, 5세대 이동통신 28㎓ 대역 민ㆍ관 실무단 첫 회의 개최 (220728)
3. 랜섬웨어 최신 기술 동향 (220727)
  1) 랜섬웨어 유포 방식
    (1) 원격 데스크톱 프로토콜
    (2) 피싱메일
    (3) 소프트웨어 취약점 - Log4j 취약점
  2) 랜섬웨어 암호화 방식
    (1) 랜섬웨어 암호화 과정
4. SMP Admin Share를 활용한 내부망 이동 전략분석 (220725)
5. 비대면 서비스 개발‧운영 환경 주요 보안 취약 사례별 대응방안 (220801)
  1) 네트워크 보안
    (1) 독립 서버 운영
    (2) 네트워크 영역 분리 운영
    (3) 네트워크 접근통제

1. 공개 소프트웨어 연구개발 실무 가이드라인 배포 (220727)

(출처: 과학기술정보통신부, 보도자료, 소프트웨어정책관 소프트웨어산업과 조민영 과장(010-2725-9598), 강형석 사무관(044-202-6334))

• 공개 소프트웨어는 제3자가 소스코드를 사용·복제·수정·배포할 수 있도록 공개한 소프트웨어
• 최신 기술의 신속한 도입, 개발 기간 단축 등 효율적 개발 지원, 다양한 사용자 확보 등의 장점
• 연구자가 활용할 수 있는 도구 및 연구자들을 위한 과제 점검표(체크리스트) 제시

공개SW R&D 실무 수행 가이드라인

(출처: 과학기술정보통신부, IITP 정보통신기획평가원)

• 깃허브 배포 주소: http://github.com/IITP2022/OpenSourceRnD

단계별 가이드라인 주요 내용

2. 과기정통부, 5세대 이동통신 28㎓ 대역 민ㆍ관 실무단 첫 회의 개최 (220728)

(출처: 과학기술정보통신부, 보도자료, 통신정책관 통신정책기획과 마재욱 과장(044-202-6620), 심주섭 서기관(044-202-6625))

• 28㎓ 대역 5세대(5G) 추진방향 마련을 위한 논의 착수
• 참여: 과기정통부, 통신3사, 단말기ㆍ장비 제조사(삼성전자), 한국전자통신연구원(ETRI), 한국정보통신기술협회(TTA), 한국방송통신전파 진흥원(KCA) 등
• 논의 내용: 실무단 구성ㆍ운영 방안, 28㎓ 대역 5세대(5G) 국내ㆍ외 추진 현황

3. 랜섬웨어 최신 기술 동향 (220727)

(출처: 정보통신기획평가원, 주간기술동향 2056호, 국민대학교 김소람 연구원, 김종성 교수(02-910-5750))

• 랜섬웨어(Ransomware)란 몸값 'Ransom'과 소프트웨어 'Software'의 합성어로, 파일 암호화를 통해 금전을 요구하는 악성코드

1) 랜섬웨어 유포 방식

원격 데스크톱 프로토콜

• RDP: Microsoft에서 개발한 프로토콜, 다른 컴퓨터에 연결할 수 있는 기능 제공
• 유효한 자격 증명은 brute force 공격을 통해 획득
• 다크웹 사이트 등을 통해 대량의 자격 증명 구입

피싱 메일

• 랜섬웨어 유포 시 가장 많이 사용되는 방식
• 공정거래위원회, 경찰청 및 은행 등을 사칭하거나 입사지원서로 위장하여 랜섬웨어가 첨부된 메일을 유포

피싱 메일로 인한 랜섬웨어 감염 경로

소프트웨어 취약점

Log4j 취약점

• Apache 소프트웨어 재단에서 개발한 JAVA 기반 로깅 유틸리티
• Log4Shell(CVE-2021-44228)은 임의코드 실행을 허용하는 Log4h 제로데이 취약점
• 중국 알리바바 클라우드 보안팀이 2021년 11월 24일 최초 발견

2) 랜섬웨어 암호화 방식

• 공개키 알고리즘과 대칭키 알고리즘을 동시에 사용해서 파일 암호화를 수행하는 하이브리드 시스템 사용이 대부분
• 대량의 파일 암호화를 위해, 속도가 빠른 대칭키 알고리즘 이용

랜섬웨어 암호화 과정

가. 공격자가 공개키 알고리즘 쌍 생성 후, 공개키는 랜섬웨어 실행 파일에 탑재

공개키는 평문으로 저장하거나 base64 인코딩 또는 rc4 암호화/AES 암호화를 통해 가공한 값 저장

나. 파일 암호화를 위한 대칭키 생성

다. 파일 암호화 종료 후에는 파일 암호화에 사용한 대칭키(파일 암호키)를 공격자의 공개키로 암호화해서 보관

4. SMP Admin Share를 활용한 내부망 이동 전략분석 (220725)

(출처: 한국인터넷진흥원 인터넷침해대응센터(KrCERT/CC), 자료실 > 보고서, 침해사고분석단 종합분석팀 김동욱 선임, 이슬기 선임, 이태우 선임, 이재광 팀장)

• TTPs: Tactics, Techniques, Procedures
• 주요 침해사고에서 공통으로 사용되는 핵심 기법: 'SMP/Admin Share'를 이용한 내부전파(Lateral Movement)

5. 비대면 서비스 개발‧운영 환경 주요 보안 취약 사례별 대응방안 (220801)

(출처: 한국인터넷진흥원 인터넷침해대응센터(KrCERT/CC), 자료실 > 가이드 및 매뉴얼, 사이버방역단 방역점검팀 김대완 선임, 고은혜 선임, 배승권 팀장)

• 목적: 비대면 서비스의 안전한 개발‧운영 환경 구축, 비대면 서비스 개발‧운영 기업의 침해사고 예방 및 서비스 이용자의 피해 최소화

네트워크 보안

1) 독립 서버 운영

• Web 서비스와 WAS, DB와 같은 중요 서비스를 하나의 서버에서 운영하는 경우

2) 네트워크 영역 분리 운영

• (e.g. 소스코드 버전관리 솔루션 외부 노출, 서버 내부 파일 유출)

3) 네트워크 접근통제

• 접근통제 미흡으로 인해, 서버 내부 정보가 유출되거나 무작위 대입 공격(Brute Force Attack)으로 인해 서버 제어권이 탈취될 수 있음

목차
1. 한국 제안 5세대 이동통신, 양자암호통신기술 등 관련 국제전기통신연합 국제표준(안) 5건 채택 (220718)
2. 신규 가상자산사업자 시장진입 디딤돌 마련을 위해 정보보호 관리체계(ISMS) 예비인증 제도 도입 (220720)
3. 국내 IT 제조기업의 스마트 팩토리 활성화 방향 (220720)
4. 이스트시큐리티 보안동향보고서 (220725)

1. 한국 제안 5세대 이동통신, 양자암호통신기술 등 관련 국제전기통신연합 국제표준(안) 5건 채택 (220718)

(출처: 과학기술정보통신부, 보도자료, 국립전파연구원 국제기구협력팀 이경희 팀장(061-338-4460), 박문철 사무관(061-338-4480))

• 국립전파연구원은 7월 4일부터 15일까지 스위스 제네바에서 개최된 "국제전기통신연합 전기통신표준화 부문(ITU-T) 미래네트워크 연구반(SG13)" 회의에서 5세대(5G), 클라우트컴퓨팅, 양자암호통신 분야의 관련한 국제표준(안) 5건이 사전 채택

5세대 이동통신(IMT-2020) 대규모 네트워크에서의 지터* 상한 보장 프레임워크

* 지터: 송·수신 하는 데이터의 지연 시간의 변화량

• 중~대규모 네트워크에서의 jitter를 보장하기 위한 프레임워크 정의
• 대규모 네트워크에서 데이터 지연 방지
• 5G, 인터넷, 메타버스 등에서 초저지연 서비스와 관련된 산업의 활성화에 기여할 것으로 기대

멀티클라우드* 기능 요구사항

* 멀티클라우드: 두 개 이상의 클라우드 사업자가 제공하는 클라우드 서비스를 동시에 사용하는 환경

• 멀티클라우드 개념 정의, 멀티클라우드 관리를 위한 기능 요구사항 정의
• 한국 주도로 멀티클라우드 기술 표준을 세계 최초로 개발한 성과

분산 클라우드* 글로벌 관리 프레임워크

* 분산 클라우드: 중앙서버가 아닌, 서비스 사용자와 가까운 네트워크에 클라우드를 형성

• 지리적으로 분산된 클라우드 환경을 통합하고 효율적으로 관리하기 위한 프레임워크 정의
• 5세대(5G)의 핵심 응용기술인 분산 클라우드의 요구사항 정의

양자키분배네트워크(QKDN) 네트워크 품질 보장 기능 구조

• 양자암호통신 네트워크 품질을 보장하기 위한 기능 구조 설계
• 구조별 기능 요소 및 동작절차 정의

머신러닝 기반 QKDN 네트워크 품질 보장 요구사항

• 미래 보안통신 기술로 주목받고 있는 양자암호통신 네트워크 품질 보장을 위한 기술
• 기계학습 기반의 양자암호통신 네트워크 품질 보장 요구사항 정의, 기계학습을 양자암호통신에 적용한 최초의 표준

2. 신규 가상자산사업자 시장진입 디딤돌 마련을 위해 정보보호 관리체계(ISMS) 예비인증 제도 도입 (220720)

(출처: 과학기술정보통신부, 보도자료, 정보보호네트워크정책관 사이버침해대응과 설재진 과장(044-202-6460), 김순권 연구관(044-202-6463))

• 예비인증 취득 후, 3개월 내 금융정보분석원(이하, FIU)에 신고 필요
• FIU 신고 수리 후, 6개월 내 정보보호 관리체계(ISMS) 본인증 취득 필요
• 일반 이용자는 본인증 취득 전까지 가상자산사업자 서비스 이용에 주의 필요

3. 국내 IT 제조기업의 스마트 팩토리 활성화 방향 (220720)

(출처: 한국전자통신연구원, 주간기술동향 2055호, 박종현 책임연구원, 김문구 책임연구원)

• 국내외 스마트 팩토리 동향과 전망

국내외 정책 동향

국내외 기업 동향

4. 이스트시큐리티 보안동향보고서 (220725)

(출처: ESTsecurity 기업, 보안동향보고서 No.154)

ESRC*에서 선정한 2022년 2분기 주목할 랜섬웨어

* ESRC: Economic and Social Research Council, 경제·사회 연구위원회

목차
1. 더 빠르고 쾌적한 공공와이파이가 온다! (220708)
2. 2022년 국가연구개발 우수성과 100선 선정 추진 (220711)
3. 가상융합경제 안전한 성장을 위해 보안업계 맞손 (220714)
4. 무인기 기반의 안전한 데이터 수집을 위한 클러스터 헤드 선출 보안 기술 동향 (220713)
4. 2022년 상반기 KISA 사이버 위협 동향 보고서 (220715)

1. 더 빠르고 쾌적한 공공와이파이가 온다! (220708)

(출처: 과학기술정보통신부, 보도자료, 정보보호네트워크정책관 네트워크안전기획과 구본준 과장(044-202-6430), 송창종 사무관(044-202-6431))

• 22년 7월 시내버스 4,200대부터 5세대(5G) 백홀 와이파이로 단계적 전환
• 올해는 신기술인 와이파이 6E*를 활용하여 공공와이파이를 구축할 예정

* ’21년 하반기 제품 출시된 와이파이 규격으로, 2.4㎓, 5㎓만 활용하는 기존의 와이파이 6에 비해 6㎓ 대역을 추가 사용하여 체감속도 및 동시접속 안정성 향상

2. 2022년 국가연구개발 우수성과 100선 선정 추진 (220711)

(출처: 과학기술정보통신부, 보도자료, 성과평가정책국 성과평가정책과 이은영 과장(044-202-6920), 성인제 사무관(044-202-6922))

• 국가연구개발사업을 통해 창출된 전년도 연구성과 중 기술 분야별 가장 우수한 성과를 선정하는 대한민국 유일의 범부처급 국가연구개발 우수성과 선정제도

[사례1] 다양한 나노물질에서의 광반응 현상 연구

• 핵심 연구성과: 초극단시간 분해 분광 실험장비의 개발 및 최적화

[사례2] 간암치료를 목적으로 비수술적 치료법인 동맥화학색전술에 사용되는 미세구체의 개발

• 핵심 연구성과: 부작용은 줄이고 사용은 편리한 국산제품 상용화

[사례3] 세노바메이트, 미국 FDA 시판허가 및 유럽지역 기술 수출 계약

• 핵심 연구성과: 우리나라 최초로 신약 후보물질 발굴부터 글로벌 임상 개발, 판매 허가까지 전 과정을 독자적으로 진행하여 미국 FDA 승인 및 진출에 성공한 뇌전증 치료제 개발

[사례4] 고 에너지밀도 전지 제조를 위한 핵심 원천 기술 개발 및 지식 재산권 확보

• 핵심 연구성과: 순수 우리 기술로 만든 전기자동차용 양극재 개발

3. 가상융합경제 안전한 성장을 위해 보안업계 맞손 (220714)

(출처: 과학기술정보통신부, 보도자료, 정보보호네트워크정책관 정보보호기획과 신대식 과장(044-202-6440), 김장호 서기관(044-202-6441))

• 과학기술정보통신부와 한국인터넷진흥원은 가상융합경제의 확산에 따라 「확장가상세계(메타버스)‧대체불가토큰(NFT) 보안협의체」 발대식 개최
• 사이버보안 패러다임 변화에 대응하여, 제로트러스트, 공급망 보안 등 보안체계를 기반시설에 적용하기 위한 '사이버보안 패러다임 대응 연구반' 운영

4. 무인기 기반의 안전한 데이터 수집을 위한 클러스터 헤드 선출 보안 기술 동향 (220713)

(출처: 정보통신기획평가원, 주간기술동향 2054호, 한국전자통신연구원 왕기철 책임연구원(062-970-6531), 김재인 선임연구원, 김성창 책임연구원)

• 무인기 기반의 IoT 네트워크에서 효율적인 데이터 수집 및 분배를 위해서는 클러스터 구조의 활용이 필요
• 데이터 수집을 안전하게 하기 위해서는 클러스터 헤드(Cluster Head: CH)들의 선출을 안전하게 수행하는 것이 필수적

5. 2022년 상반기 KISA 사이버 위협 동향 보고서 (220715)

(출처: 한국인터넷진흥원 인터넷침해대응센터(KISA 인터넷보호나라&KrCERT), 보고서, 침해사고분석단 종합분석팀)

(출처2: (220725) 한국인터넷진흥원, 지식플랫폼 > 동향분석 > 사이버 위협 동향, 침해사고분석단 종합분석팀, https://www.kisa.or.kr/20205/form?postSeq=1022&page=1#fndoDocumentPreview)

• 요약: 랜섬웨어 갱단의 활발한 활동과 가상자산의 공격 피해

• 랩서스(Lapsus$): 가장 활발하게 활동한 랜섬웨어 갱단, 2021년 12월 브라질 보건부 해킹을 시작으로 올해 마이크로소프트, 엔비디아, 옥타(Okta) 등 글로벌 보안 전문기업 해킹
• 블랙캣(BlackCat): 2022년 상반기 새로 모습을 드러낸 랜섬웨어 갱단
• + 콘티(Conti), 락빗(Lockbit), ...

국내외 사이버 위협 동향

1. 세계 주요 기업 Lapsus$ 공격으로 인해 피해 발생

2. 러시아-우크라이나 하이브리드 전쟁, 또 하나의 전쟁터가 된 사이버 공간

3. 사이버 공격 하는 북한, 사이버 공격 받는 북한

• 북한 연계 피싱 공격 지속: 2월, 국내 군사 연구 및 동북아 평화 협회인 것처럼 위장해 외교·안보·국방분야 전문가를 겨냥해 프로필을 보내달라면서 프로필 양식 문서로 위장한 MS 워드 악성 파일을 첨부한 피싱 메일 발송

4. 여전히 기업 비즈니스의 큰 위협인 랜섬웨어

5. 블록체인 브리지, 해킹으로 대규모 가상자산 피해 잇따라 발생

• 블록체인 브리지에서 사고가 나는 이유: 복잡한 요구사항을 처리하고, 많은 가상자산을 보유해 주요 공격 대상이 됨
• 다양한 가상자산을 처리하는 크로스체인 DeFi에서 브리지를 많이 사용

6. 비밀번호 해킹과 피싱으로 피해가 계속되는 NFT

7. 클레이튼 기반 DeFi KLAYswap, 해킹으로 약 22억 원 피해

• 국내 대형 DeFi 중 하나인 클레이스왑(KLAYswap)에 대한 공격은 BGP 하이재킹 이용

8. 공격 대상을 정부로 넓혀가는 러시아 사이버범죄 집단 - Conti, Lockbit2.0, Killnet

취약점 동향

1. 오픈소스 보안 라이브러리 잠재적 위협 - OpenSSL 취약점

• 2014년 4월 OpenSSL 라이브러리에 HeartBleed 취약점 발견
• 2022년 3월 OpenSSL 내 BN_mod_sqrt() 함수에서 연산시 무한루프가 발생하는 서비스 거부 취약점(CVE-2022-0778) 발견
• 2022년 5월 OpenSSL 내 명령 주입 취약점(CVE-2022-1292), 인증 오류 취약점(CVE-2022-1343), 비밀번호 오류 취약점(CVE-2022-1434), 서비스 거부 취약점(CVE-2022-1473) 발표

2. 방심이 불러온 취약점의 부활 - 사파리 취약점

• 특정 버전 이하의 소프트웨어를 사용하는 이용자 단말에서 악의적으로 제작된 웹 컨텐츠를 처리하면 임의의 코드를 실행할 수 있으며, 권한을 탈취하고 정보를 유출할 수 있음
• 대응방법: Zero-day 공격에 노출되어 있어, 보안패치 및 업데이트 발표시 최신 버전으로 적용

* macOS Monterey 12.2.1, iOS 15.3.1 and iPadOS 15.3.1, Safari 15.3(v. 16612.4.9.1.8 and 15612.4.9.1.8)

3. 협업의 도구의 숨은 위협 - 아틀라시안 컨플루언스 취약점

• End-Point에 사용자가 계정을 만들어 가입하도록 허용되어 있는 경우 관리자가 아닌 사용자 또는 인증되지 않은 사용자가 컨플루언스 또는 데이터센터 인스턴스에서 html 필드를 대상으로 임의의 코드 실행을 통해 원격 명령어의 실행을 통한 이용자에 대한 2차 공격 및 등록된 자료의 유출이 가능함
• 공격자가 제공한 URI가 네임스페이스로 변환되어 OGNL 표현식 평가로 이어져 공격자가 임의의 명령어를
  수행할 수 있음

* Atlassian: 소프트웨어 개발 및 협업 도구

[참고] Log4j 위협 대응 보고서 v1.0

21년 12월, 全 세계를 공포로 몰아넣을 만한 심각한 취약점 공격 기법이 Github에 공개되었다. 당시 공개된 공격
기법은 Log4j라는 오픈소스 프로그램이 가지고 있는 취약점을 악용하는 것이었다.

목차
1. 허준이 교수, 필즈상(Fields Medal) 수상 (220705)
2. 2022년 공개소프트웨어 개발자대회 참가자 모집 (220704)
3. 과기정통부, 7월 한 달간 제11회 정보보호의 달 운영 (220704)
4. 1차관, 주요 공공기관 사이버보안 대응태세 점검 (220701)
5. [2022년 6월] 인터넷·정보보호 법제동향 제177호 (220707)
6. 과학기술&ICT 정책·기술 동향 217호 (220701)

1. 허준이 교수, 필즈상(Fields Medal) 수상 (220705)

(출처: 과학기술정보통신부, 보도자료, 미래인재정책국 미래인재양성과 강호원 과장(044-202-4830), 이현우 사무관(044-202-4832))

• '22년 세계수학자대회(International Congress of Mathematicians, ICM)에서 수학계에 중요한 공헌을 한 40세 미만의 수학자에게 수여하는 ‘필즈상 (Fields Medal)’을 허준이 교수(美 프린스턴대 및 韓 고등과학원)가 수상
• 허교수는 조합 대수기하학을 통해 조합론의 난제를 해결하고 대수기하학의 토대가 더욱 확장되도록 새 지평을 연 공로를 인정받아, 한국계 최초로 필즈상 수상의 쾌거를 이룩

허교수의 연구분야

조합 대수기하학(combinatorial algebraic geometry)

• 대수기하학(algebraic geometry)*을 통해 조합론(combinatorics)**의 문제를 해결하는 비교적 새로운 분야

* 대수기하학: 1·2차 다항식으로 직선·평면·타원·쌍곡선을 표현·분석하는 것처럼 대수학으로 기하를 연구하는 학문

** 조합론: 유한·가산적 대상들에 대하여, 주어진 성질을 만족시키거나 극대화하는 것을 연구하는 학문

해결한 다수의 난제(conjecture)

리드 추측

• 여러 개의 꼭짓점들을 선분으로 연결하고, 연결된 점들까지는 다른 색으로 칠하는 경우의 수를 사용된 색의 개수에 관한 함수로 표현할 때, 함수는 다항식이 되는데 그 다항식의 계수들의 커지고 작아지는 경향을 추측

국제수학연맹(IMU)에서 한국의 수학 국가등급을 최고등급으로 상향

• ‘22. 2월 한국의 수학 국가등급을 최고등급(4그룹 → 5그룹)으로 상향
• '81년 1그룹 국가로 IMU 가입 이후, 회원국 중 최단기간 內 최고등급(5그룹)으로 상향

- (現 5그룹) 한국, 독일, 러시아, 미국, 브라질, 영국, 이스라엘, 이탈리아, 일본, 중국, 캐나다, 프랑스

2. 2022년 공개소프트웨어 개발자대회 참가자 모집 (220704)

(출처: 과학기술정보통신부, 보도자료, 소프트웨어정책관 소프트웨어산업과 조민영 과장(010-3188-9598), 손진철 사무관(044-202-6331))

• 총 상금 6,600만원, 과기정통부장관상 등 총 23점 시상
• 공개소프트웨어 개발 역량 향상 및 온라인 교육, 멘토링 기회 제공
• 참가 접수: 2022년 7월 4일(월) - 8월 3일(수), 출품작 접수: 2022년 9월 15일(목)

* 대회 문의

1) '2022년 공개소프트웨어 개발자대회' 운영 사무국(02-599-7917/contest@oss.kr)

2) 카카오톡 '공개소프트웨어 개발자대회' 채널

3. 과기정통부, 7월 한 달간 제11회 정보보호의 달 운영 (220704)

(출처: 과학기술정보통신부, 보도자료, 과학기술정보통신부 정보보호기획과)

• '튼튼한 사이버안보, 안전한 디지털강국'을 주제로 7월 한 달 동안 제11회 정보보호의 달 운영
• 정보보호의 날 기념행사: 기념식, 정보보호 국제 컨퍼런스, 정보보호 제품 전시회
• 정보보호의 달 연계행사: 정보보호 인력양성 간담회, 지역 정보보호 생태계 조성 간담회, 융합산업XSecurity 밋업데이, 메타버스·대체불가토큰(NFT) 보안 협의체 발대식 등(정보보호의 달 기념 누리집(www.secuday.kr)에서 확인 가능)
• 국민과 함께하는 7월: 국민 참여 이벤트, 정보보호 실천 교육

4. 1차관, 주요 공공기관 사이버보안 대응태세 점검 (220701)

(출처: 산업통상자원부, 보도자료, 정보보호담당관 박지운 과장(044-203-5590))

• 최근 세계적으로 러시아-우크라이나 전쟁의 여파가 사이버영역까지 확대되고, 특정 대상을 목표로 한 랜섬웨어(Ransomware) 공격*과 소프트웨어 취약점**을 이용하여 불특정 다수를 공격하는 사례가 빈번해지는 등 사이버위협이 증대되고 있음

* 랜섬웨어 공격: 컴퓨터 내 파일을 암호화한 후 금전을 요구하는 형태로 ‘21. 5월 美 송유관 기업(콜로니얼 파이프라인)을 대상으로 송유관 제어설비를 마비시켜 6일간 美 동남부 휘발유 공급이 중단된 사례가 있음

** 제로데이 공격: 소프트웨어 취약점이 발견된 후 보안업데이트가 배포되기 전까지 해당 소프트웨어가 적용된 서버, PC 등을 집중적으로 공격하는 형태로 ‘21. 12월 로그 관리용 소프트웨어인 Log4j의 취약점 공격이 대표 사례

• 올해 3월 21일 공공기관 사이버위기경보 단계가 관심에서 주의로 격상, 산업부는 사이버안전 위기대응 매뉴얼에 따라 보안관제를 강화하고 긴급대응반을 운영해 오고 있음

* 사이버위기경보 발령단계: 정상 → 관심 → 주의 → 경계 → 심각

5. [2022년 6월] 인터넷·정보보호 법제동향 제177호 (220707)

(출처: 한국인터넷진흥원, 인터넷·정보보호 법제동향, 법제연구팀 김홍빈(061-820-1704))

▸ 국내 입법 동향 <공포된 법령> 

• 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 일부개정법률 공포 (2022. 6. 10.)
• 「정보통신기반 보호법」 일부개정법률 공포 (2022. 6. 10.)
• 「전기통신사업법」 일부개정법률 공포 (2022. 6. 10.)
• 「산업재해보상보험법」 일부개정법률 공포 (2022. 6. 10.)
• 「이러닝(전자학습)산업 발전 및 이러닝 활용 촉진에 관한 법률」 일부개정법률 공포 (2022. 6. 10.)

6. 과학기술&ICT 정책·기술 동향 217호 (220701)

(출처: 과학기술정보통신부 · 한국과학기술기획평가원(KISTEP), S&T GPS)

• EU와 유럽 주요국 연구개발시스템 동향
• 주요 동향: 과학기술

미국, 핵융합 에너지 기술개발과 상업화 병행 방안

• 백악관 과학기술정책실(OSTP)은 핵융합 에너지 기술의 개발과 상업화를 병행하여 추진하는 방안 발표*('22.6)

* Parallel Processing the Path to Commercialization of Fusion Energy

미국, 스테이블코인의 법적 이슈와 규제적 대응 방안

• 미국 의회조사국(CRS)은 스테이블코인 기술과 관련한 미국 내 법적 이슈와 정부와 의회의 규제적 대응 방안 발표*('22.6)
• 스테이블코인(Stablecoins) 기술은 가격 변동성이 너무 크다는 암호화폐의 한계를 극복하고자 개발
• 암호화폐는 일반적인 화폐로의 기능에는 한계(∵ 가격 변동성) → 법정화폐나 자산을 담보로 발행되거나 알고리즘을 바탕으로 가치를 일정하게 유지하도록 설계

* Stablecoins: Legal Issues and Regulatory Options

미국, 국가별 첨단 산업의 경쟁력 평가 발표

• 정보기술혁신재단(ITIF)은 국가･지역별 첨단 산업의 경쟁력 분석 결과를 바탕으로 미국의 산업 경쟁력 강화 방안 보고서* 발표(’22.6)

* The Hamilton Index: Assessing National Performance in the Competition for Advanced Industries