[소만사 판교 신사옥 이전 안내]

고객 여러분께 알립니다. 

개인정보보호 전문기업 소만사는 창립 28년 만에 새로운 도약을 위해

‘한국의 실리콘밸리’ 판교 테크노밸리로 신사옥을 이전하게 되었습니다.

이번 이전을 계기로 더 나은 서비스와 혁신을 제공할 것을 약속드립니다.

 

📍 이전 장소: 경기도 성남시 수정구 금토로 59
📅 이전 일정: 2025년 2월 13일(목) ~ 2월 14일(금)
🔹 정상 운영일: 2025년 2월 17일(월)

 

이전 기간 동안 일시적으로 연락이 원활하지 않을 수 있습니다.

긴급한 사항이 있으신 경우, 담당 엔지니어 또는 담당 AM에게 연락해 주시면 신속히 대응하겠습니다.

 

 

 

새로운 공간에서 더욱 발전된 모습으로 찾아뵙겠습니다. 앞으로도 많은 관심과 성원 부탁드립니다.

 

감사합니다.
소만사 드림

“기술력과 고객 신뢰 바탕으로 데이터보안, EDR, VDI 시장 확대…매년 10% 이상 안정적 성장”

 소만사(대표 김대환)가 2024년 발생한 주요 개인정보보호 이슈를 요약공개했다.

 

소만사가 발표한 7대 이슈는

△크라우드스트라이크發 전산마비 사태 △금융권 망분리 규제 개선안 발표 △공공기관 다층보안체계(MLS) 전환 발표

△페이스북(메타) 216억 과징금 처벌 △개인정보유출 과징금 전체매출 3% 부과 처분

△개인정보의 안전성 확보조치 기준 안내서 발간 △SBOM(소프트웨어 자재명세서)과 오픈소스 취약점 점검 투자 강화이다.

소만사가 발표한 2024년 개인정보보호 7대 이슈 세부내용은 다음과 같다.

 

 

▲ 미 보안기업 크라우드스트라이크 發 전세계 전산마비 사태  

2024년 소프트웨어 공급망 전산사고의 대표적인 사례로,

크라우드스트라이크의 ‘팰컨 센서’ 업데이트 버전이 MS 클라우드 서비스 ‘애저(Azure)’와 충돌하면서 발생했다.

이로 인해 전세계 항공, 금융, 행정, 의료 방송 등 2만9천곳의 업무가 마비되었으며 피해규모는 최소 10억 달러(한화 약 1조4천억원)으로 추산되었다.

이후 크라우드스트라이크는 9월 미 의회 청문회에 소환되어 공식 사과하였으며,

델타항공은 크라우드스트라이크를 상대로 10월 5억 달러(한화 약 6천5백억원) 규모의 손해배상 소송을 제기했다.

 

▲ 금융권 망분리 개선안 발표

금융당국에서 금융기관의 생성형AI 활용과 SaaS 이용범위 확대를 발표했다.

이에 따라 금융기관은 안전한 활용을 실현할 수 있도록 접속 단말의 보안을 강화해야 한다.

업무상 허용된 단말로만 해당 서비스를 활용할 수 있도록 통제해야 하며, 단말과 생성형AI, SaaS 서비스 간 감사로그를 확보해야 한다.

마지막으로 단말과 SaaS 서비스 간 개인정보 및 신용정보 전송 등 이상행위를 통제하여 조직 생산성 향상과 IT신기술 부작용을 최소화할 수 있도록 명시했다.

 

▲ 공공기관 대상 다층보안체계(MLS) 망분리 개선 로드맵 발표

정부 사이버 안보정책방향이 공개됐다. 중요도에 따라 개인정보를 차등적으로 통제하는 다층보안체계 로드맵과

인터넷 단말에 생성형 AI, 업무용 소프트웨어, 인터넷 사용을 점진적으로 확대하는 계획을 발표했다.

해당 계획은 2025년 초까지 시범사업 수행 후 확대 적용될 예정이다.

 

▲ 페이스북(메타) 216억 과징금 부과

개인정보보호위원회에서 페이스북에 216억의 과징금을 부과했다.

페이스북은 국내 98만명 이용자를 대상으로 종교, 정치, 동성과의 결혼여부 등 민감정보를 수집하였으며,

수집된 정보는 4천여 광고주에 의해 동성애, 트랜스젠더, 북한이탈주민 등 민감한 주제로 타깃광고에 이용됐다.

금번 과징금 부과는 2020년 67억 과징금 부과이후 다섯번째 제재이며,

개인정보보호법 위반으로 누적 합산된 페이스북의 과징금은 현재 약 729억원이다.

 

▲ 개인정보 유출 과징금 전체매출 3% 부과처분 시작

220만명 개인정보 유출사고가 발생한 G사에 과징금 75억원이 부과됐다.

2023년 9월 개인정보보호법에서 개정된 ‘전체매출 3% 과징금 부과’ 규정 첫 적용사례이다.

기존법령에 따라 개인정보가 유출되었어도 안전성 확보에 필요한 조치를 다 한 경우에는 처벌을 면할 수 있으나

G사는 개인정보 유출통제 기술적 보호조치 미흡, 주민등록번호처리 및 파기의무를 위반하여 위와 같은 과징금을 처벌받았다.

 

▲ 개인정보의 안전성 확보조치 기준 안내서 발간

2023년 9월 개정이후 변경 내용을 반영한 ‘개인정보의 안전성 확보조치 기준 안내서’가 발간됐다.

이번 안내서에서는 FTP, 백업서버 등 공용 파일처리시스템을 개인정보 처리시스템으로 분류했으며,

클라우드 컴퓨팅 서비스 기반의 개인정보 처리시스템도 기술적 보호조치 대상임을 명시했다.

크리덴셜 스터핑 공격을 이용한 홈페이지 해킹사고를 개인정보 유출사고 범위에 포함하여

개인정보보호법의 적용을 받는 기업과 기관은

해당 규정을 준수할 수 있도록 기술적 보호조치를 취하도록 안내했다.  

 

▲ SBOM과 오픈소스 취약점 점검 투자 강화

2월 Linux XZ Utils 백도어, 7월 크라우드스트라이크, 11월 세일즈포스 전산마비 등

소프트웨어 공급망관련 전산사고가 지속적으로 발생하고 있다.

과기정통부는 ‘SW공급망 보안 가이드라인’을,

금보원도 ‘금융회사대상 SW공급망 자율점검 체크리스트’를 공개하며 공급망 보안에 집중하고 있다.

아울러 바이든 정부에 이어 트럼프 정부도 공급망 보안 위험관리 대표방안인 SBOM을 강화할 것으로 전망되며,

국내정부도 SW수출 활성화를 위해 SBOM 의무화를 가속화할 것으로 예상한다.

 

소만사는 “2024년은 개인정보보호법 개정에 따른

수십~수백억대 과징금 부과처분 시작, 공공/금융기관 망분리 환경개선 로드맵을 통한

IT 신기술 적용 등 보안규제의 변화가 다방면에서 시작된 해”라며

“크라우드스트라이크 전산마비 등 대형 사건들을 통해 SW공급망 보안 중요성이 부각되었으며

악성코드 및 보안취약점을 선제적으로 차단하고 대응할 수 있는 솔루션이 2025년 주된 관심사가 될 것으로 보인다”고 말했다.

이어 “소만사는 달라진 업무환경과 변화된 컴플라이언스에 부합하는 솔루션을 지속적으로 개발, 안정화시켜

보안위협으로부터 정보자산을 안전하게 지킬 수 있도록 노력하겠다”고 말했다.

▶소만사의 차세대 안티바이러스 솔루션 Privacy-i EDR

 

 

EDR과 엔드포인트 보안 에이전트를 통합한 ‘싱글에이전트’ 솔루션으로

악성코드·랜섬웨어 감염부터 정보유출까지 모두 통제

 

 

“상반기 최대 개인정보보호&정보보안 컨퍼런스 G-PRIVACY 2024가

3월 12일 1,400여 명의 공공, 금융, 기업 정보보호 책임자 및 실무자가 참석한 가운데

더케이호텔서울 가야금홀에서 성황리 개최됐다.

 

이날 김대환 소만사 대표는 ‘효과적인 랜섬웨어 통제 방법(NGAV+PC 가상화)’를 주제로 키노트 강연을 진행했다.

이번 키노트 강연에서는 ‘기존 안티 바이러스가 잡지 못하는 악성코드 감염과 실시간 복구’ 중심으로 발표했다.

 

패턴기반 차단방식의 안티바이러스는 가장 대중적인 보안 솔루션이지만

파일리스 공격, 제로데이어택, 신변종 바이러스 차단 부분에 있어서는 실시간 대응이 어렵다.

 

최근 생성형 AI 기술을 악용해 신변종 바이러스를 손쉽게 만들어내며 취약점 등 공격 침투경로를 찾는다.

AI 공격 도구를 제작하는 등 이전보다 사이버 보안 위협이 거세지고 있다.

또한소만사는 이에 맞서는 솔루션으로 Privacy-i EDR이 있다.

 

차세대 안티바이러스 솔루션 Privacy-i EDR은 패턴기반 정적분석과 행위기반 동적분석이 동시에 진행되는 솔루션이다.

 

패턴기반엔진으로 1차 필터링, 행위기반엔진으로 2차 필터링을 수행하여

더욱 정교한 보안위협을 탐지하여 기업과 기관을 보호한다.

 

EDR은 프로세스, 레지스트리, 파일생성 등 실제 행위정보를 토대로 수집하기 때문에

악성행위에 대한 정확도가 높다.

따라서 변종 식별능력과 제로데이 대응능력이 높은 편이다.

조직 내의 엔드포인트에서 발생하는 위협행위를 탐지하고 이에 대해 빠르게 대응할 수 있다.

 

보안 위협행위가 일어나면 자동으로 격리하거나 종료시킨다.

그럼에도 감염되는 경우, 파일백업과 자동복원이 가능하다.

 

랜섬웨어에 감염되어 파일이 손상되었을 때 자동으로 실시간 복구 기능을 제공하여

정상적인 파일로 복구시킨다.

소만사는 행위기반엔진과 패턴기반엔진이 통합된 ‘EDR’과 엔드포인트 보안 에이전트를 통합한

‘싱글에이전트’ 솔루션으로 차별화하고자 한다.

 

개인정보/컨텐츠 분석기술을 토대로 주요정보부터 우선 식별하여 악성코드/랜섬웨어 감염부터

정보유출까지 모두 통제하고자 한다.

 

▶[기사보기] “‘싱글에이전트’ 솔루션으로 효과적인 랜섬웨어 차단”

▶소만사의 논리적 망분리 PC 가상화 솔루션 VD-i

 

 

“커지는 외산SW 리스크, 이제는 국산이 더 합리적”

인수합병으로 인한 라이선스·기업 운영 정책 변경 국내 기업 대응 어려워

 

 

“많은 기업에서 안정성과 합리성을 외산 소프트웨어(SW)를 선호해왔다.

하지만 지난 십 수년 간의 히스토리를 보면 오히려 그렇지 않은 모습이 자주 목격된다.

기술력을 많이 축적한 지금은 오히려 국산 제품이 여러 방면에서 합리적일 가능성이 크다.”

 

VM웨어의 라이선스 정책 변경을 지켜본 김대환 소만사 대표는 국산 SW 제품에 대한 인식이 이제 바뀔 필요가 있다고 강조했다.

지난해 말 VM웨어는 SW제품의 영구 라이선스 판매를 중단하고 구독제로 전환했다.

기존 영구 라이선스 고객사 위한 어떠한 대안도 제시되고 있지 않아 비판이 일고 있다.

또한, 단독으로 사용할 수 있던 제품 옵션이 패키지로 전환되며 기업의 특성에 따라 효율적으로 비용을 조절할 수도 없게 됐다.

 

이와 함께 한국 지사 인력을 줄이고 있어 VM웨어 고객사들은 비용은 높아진 반면 서비스의 질은 낮아질 것을 우려하고 있다.

 

이러한 행보는 VM웨어를 인수한 브로드컴이 단시간 내에 수익을 달성하기 위한 것으로 업계에서는 분석하고 있다.

브로드컴은 이전에도 시만텍과 CA테크놀로지스를 인수해 비슷한 행보를 보인 바 있다.

 

김대환 대표는 “전세계적으로 클라우드와 인공지능(AI)의 인기가 폭발적인 만큼

이와 관련된 핵심적인 기술을 가진 VM웨어는 다를 것이란 기대도 있었지만 예상은 틀리지 않았다”며

“해외 기업 간의 거래로 인해 국내 기업들은 저항도 못하고 피해를 보게 됐다”고 토로했다.

 

이어서 김 대표는 기존에는 제품의 성능과 안정성 등의 이유로

외산 기업을 선호하는 인식이 있었지만 이제는 바뀌어야 할 때가 됐다고 강조했다.

 

인수합병이 자주 일어나는 글로벌 기업 특성상 안정적으로 보이는 기업이라도 언제 대기업이나

사모펀드 등에 인수되어 기업의 라이선스 정책이나 운영 방식이 바뀔지 모른다는 지적이다.

 

가상화 전문기업 시트릭스 역시 지난 2022년 사모펀드에 매각되어 국내 지사를 축소하는 등

기술 고도화보다 수익성에 더욱 집중하는 모습을 보인 바 있다.

 

김대환 대표는 “이미 국내에도 20년 이상 SW를 개발해오며 안정성과 기술력을 인증 받은 기업들이 상당수 포진하고 있다”며

“이제는 오히려 이런 기업들의 제품들이 기술력을 비롯해 가격이나 기술지원, 안정성 등을 생각하면 당연히 합리적이라고 생각한다”고 말했다.

 

이어서 “무엇보다 국산 SW 제품은 국내 환경에 최적화됐다는 것이 가장 중요하다”며

“기업의 요청이나 장애 등에 즉시 반응해 서비스를 제공하는 것은 외산 제품은 따라갈 수 없는 장점”이라고 강조했다.

 

소만사는 1997년부터 27년간 정보유출방지(DLP), 데이터베이스(DB) 접근제어 등 보안 솔루션을 집중적으로 개발해온 보안전문 기업이다.

최근에는 급증하는 기업 대상 사이버공격에 대응하기 위해 정보유출을 원천적으로 차단하기 위해

논리적 망분리 PC 가상화 솔루션과 엔드포인트 탐지 및 대응(EDR) 서비스를 연계한 통합 보안솔루션 등을 선보이고 있다.

 

소만사의 VDI는 모바일 테더링 환경에서 실행 후 접속까지 6초 내외, 60메가짜리 엑셀 파일을 12초 만에 여는 등

외산 기업 못지 않은 빠른 속도와 높은 보안성을 강점으로 내세우고 있다.

 

김 대표는 “25년 이상 보안 서비스를 제공해 오고 있는데 대략 5년 주기로 당시 대세라고 할 수 있는

외산 기업들이 시장에서 사라지는 현상이 반복되고 있다”며 “우리는 이러한 행보와 달리 앞으로도 꾸준히 보안 분야에서

기업들에게 최선의 서비스를 제공할 수 있도록 노력하겠다”고 포부를 밝혔다.

 

▶[기사보기] “커지는 외산SW 리스크, 이제는 국산이 더 합리적”

▶임병철 기술서비스국장(오른쪽 첫번째)이 5일 상용소프트웨어 제조업체를 방문해 소프트웨어 도입 확대 방안에 대해 논의하고 있다.

 

 

조달청, 상용소프트웨어 공공 구매 확대 방안 논의

조달청, 소프트웨어제조업체 ㈜소만사 방문, 기술개발 독려 및 정책적 지원

 

 

소만사는 1997년 창립한 개인정보보호 전문기업으로 개인정보영향평가·모의해킹 등

정보보호 컨설팅 및 PC내개인정보보호솔류션 ‘Privacy-i’ 등 정보보호를 위한 다양한 소프트웨어를 조달청 디지털서비스몰*을 통하여 판매하고 있다.

* 디지털서비스몰(https://digitalmall.g2b.go.kr) : 클라우드, 상용SW, 공개SW, 데이터 거래, IT전문가 지원 서비스 등 IT 상품의 공공구매를 종합적으로 지원하는 IT 상품·서비스 전용 공공조달 플랫폼 (‘22.4.14. 개통, ‘23년 구매공급실적 약 108백 억원 상당)

 

소만사는 “조달청이 개인정보보호 및 정보보안 제품의 발전을 위해 지원하고 있는 점에 감사드린다”면서

“중소기업제품이 공공기관 등에 보다 많이 판매될 수 있도록 적극적인 홍보를 요청드린다”고 했다.

임병철 조달청 기술서비스국장은 “나라장터엑스포 등 다양한 전시행사를 통해 중소기업 소프트웨어 제품 홍보를 강화하고

상용소프트웨어 직접구매가 확대되도록 적극 노력하고 있다”며

“소프트웨어 기업이 기술개발에 전념할 수 있는 기반이 조성되도록 지원해 나가겠다”고 말했다.

* 문의: 정보기술계약과 이해정 사무관(042-724-7299)

 

▶[기사보기] 조달청, 소만사 방문해 상용소프트웨어 공공 구매 확대 방안 논의

KISA, 미래전략 추진단 출범…조직개편 예고

한국인터넷진흥원(KISA)이 100일 프로젝트로 ‘미래전략 추진단’을 출범한다고 27일 밝히면서 조직개편을 예고했다.

KISA는 “역할과 책임(R&R)을 재정비해 전사적인 조직개편을 실시할 예정”이라며 “내부 조직역량을 강화해
디지털 안전 전문기관으로서의 역할을 다지고, <정보보호·디지털 특화 전문인력을 육성하기 위한 성장 플랫폼 구축 등도 이뤄진다"고 했다.
이어 “개인정보 유출, 스팸, 스미싱 등 민생침해 사이버 범죄에 대한 대응력을 강화한다”며
“유관부처·국회와의 공감대 형성과 법 개정을 통해 실행력을 확보하겠다”고 덧붙였다.

KISA는 추진단에서 논의한 내용을 2025년까지 시행한다는 목표를 세웠다.
이를 위해 이기주 CISO 협의회 회장, 정수봉 법무법인 태평양 변호사, 전길수 김앤장법률사무소 고문,
김대환 소만사 대표, 신용태 숭실대 교수, 채상미 이화여대 교수 등을 외부 전문가로 초빙했다고 설명했다.
이상중 KISA 원장은 “극심한 사이버 범죄로 인한 사이버 환경오염과격변하는 디지털 대전환 속에서
국민과 기업이 안심할 수 있는 디지털 사회를 구현하기 위해 다각적으로 노력하겠다”고 말했다.

 

KISA, 미래전략 추진단 출범…조직개편 예고

개인정보 전문기업 소만사에서 데스크탑 가상화 솔루션 ‘VD-i(브이디아이)’의 개방형OS 버전을 새롭게 출시했다.

윈도우OS만 지원했던 ‘VD-i’ 게스트OS를 개방형OS(리눅스)까지 확대한 것이다.

 

‘개방형OS’는 과학기술정보통신부와 국가보안기술연구소 등이 행정/공공기관을 대상으로 마이크로소프트 윈도우OS 종속성을 탈피하기 위해 개발한 개방형 플랫폼이다.

소만사는 정부 클라우드 전환전략에 발 맞추어 정보통신산업진흥원(NIPA) ‘개방형OS를 위한 가상 데스크톱 인프라 소프트웨어 전환 개발’사업을 통해 고도화를 진행하였으며,

최근 안정화 테스트를 거쳐 상용화 단계에 이르렀다.

 

‘VD-i’ 기술개발을 총괄하는 임환철 상무이사는 “공공기관은 업무망과 인터넷망이 분리되어 직원1인이 PC 2대를 사용할 수밖에 없었다.

그러나 ‘온북’이 도입될 경우 노트북 1대로 업무처리가 가능해지고 공간제약이 해소된다. “고 말했다.

 

이어 “소만사의 ’VD-i’는 출시 2년 만에 대기업 민간시장에서 외산 솔루션을 7회 이상 윈백한 제품으로

비용뿐만 아니라 기술측면에서 모두 외산제품보다 우위에 선 평가를 받았다”며

“은행 등 민간시장은 공공시장에서 요청되는 것보다 매우 높은 수준의 제품 완성도를 요구하는 만큼,

공공고객에게도 자사 제품의 뛰어난 품질을 통해 국산 데스크탑 가상화 솔루션 품질 우려를 불식시킬 수 있을 것“이라고 말했다.

 

‘VD-i’는 국내 3대 은행 중 하나인 A금융, 세계1위 디스플레이 제조 B기업, C증권사 등에서 운용되고 있으며,

국정원 ‘보안기능 확인서’를 획득한 제품이다.

 

 

 

1997년 창립된 ‘소만사(소프트웨어를 만드는 사람들)’는

개인정보보호 솔루션 전문기업으로 개인정보를 보호하는 제품들을 개발 판매해 왔다.

엔드포인트 위협탐지 및 대응, 내부정보 유출방지(DLP·Data Loss Prevention),

유해사이트 차단, DB접근제어, 논리적 망분리 솔루션 등이 소만사 제품이다.

소만사 김대환(52세) 대표이사는 금융위원회가 지난 10월 24일 주최한 제8회 금융의 날 기념식에서

안전한 금융전산 환경 구축에 기여한 공로로 철탑산업훈장(혁신금융)을 받았다.

지난 10월 31일 김 대표를 만나 우리나라 보안 산업의 현주소와 문제점에 대해 의견을 들었다.

– 소만사는 주로 어떤 의뢰를 받나. “우리는 고객들을 보호하기 위해 일한다. 고객사가 랜섬웨어에 걸려 돈을 뜯기는 것과 같은 피해를 막는다. 고객사를 랜섬웨어로 공격하는 그룹 중에는 국가 단위의 해킹그룹도 있다.”

– 해외 고객도 있나. “아직 많지 않다. 하지만 삼성, LG, SK, 현대, 포스코 등 국내 기업이 이미 글로벌 기업이 됐다. 글로벌화된 국내 기업 고객들을 잘 확보만 해도 글로벌화하는 것이라고 생각한다. 국내 보안 소프트웨어 회사들은 대부분 공공기관을 상대로 영업한다. 민간 분야에서는 외국산 제품과 1 대 1로 경쟁해야 하는데 그 경쟁 자체가 매우 어렵다.”

– 최근 인공지능 챗GPT를 통한 기업 정보 유출을 우려하는 목소리도 크다. “챗GPT 같은 경우 질문 프롬프트와 답변 기능에서 사람들이 올리는 데이터들을 모아 학습하게 되는데 문제는 기업 문서내용 중 외부로 유출되면 안 되는 정보들도 있다는 점이다. 예를 들어 챗GPT에 100만건의 개인정보를 입력하고 특정 성별과 나이대, 지역을 선정해 정리된 표를 요청했을 때 내가 얻을 답변과 함께 개인정보 100만건이 챗GPT에 학습된다. 챗GPT가 이 정보들을 잘못 가공해 쓸 수 있는 것이다. 그래서 챗GPT에 올리지 말아야 하는 정보들을 회사 내에서 필터링할 수 있도록 답변 내용에 대한 감사록을 만들고, 회사의 업무 방침에서 벗어난 정보가 챗GPT에 유출됐다는 점을 기업이 알고 있어야 사고가 크게 나는 것을 막을 수 있다. 소만사는 챗GPT와 같은 새로운 프로그램이 등장하는 상황에서의 보안 문제 방지책도 구축한다.”

– 소만사가 제공하는 ‘웹키퍼SG’에는 개인정보 유출차단 기능이 탑재된 것으로 알고 있다. 이를 챗GPT에 적용한다면 어떻게 작동하는가. “웹키퍼SG는 PC에 깔아놓는 프로그램이 아니라 네트워크에서 중간에 중개하는 기능이다. 사용자가 챗GPT에 물어봤던 질문을 웹키퍼SG가 받아서 채팅창에 게시하고 해당 결괏값도 받아놓는 중간다리 역할을 한다. 어떤 질문과 답변이 오갔는지 다 아는 상태에서 내용을 저장해 놓고 ‘감사로그’로 데이터를 잠가놓는다. 추후 정보유출 등 사고가 발생했을 때 파악할 수 있다. 개인정보를 1000만건 이상 대용량으로 처리하는 기업 또는 바이오 생명공학, 에너지 이차전지, 반도체 등 경쟁 기업에 순간적으로 기술이 유출돼 버리면 안 되는 기업들의 의뢰가 많다. 개개인이 필요로 하는 경우는 없다.”

 

https://weekly.chosun.com/news/articleView.html?idxno=29941