2013.08.14

CSO들이 말하는 진짜 보안 고민들

Joan Goodchild | CSO
올 해 초, 와이즈게이트(Wisegate) 소속 CSO 및 CISO들이 모인 비즈니스 소셜 네트워킹 그룹의 웨비나가 개최됐다. 이 웨비나에서는 주로 ‘향후 주목해야 할 IT 보안 위협’에 대해 논의됐다. ‘과장 혹은 현실'이라는 부제가 붙은 이 웨비나에서는 보안, 클라우드 컴퓨팅, BYOD/BYOx, 보안 인식, 카운터 어택 해커(counter-attacking hacker) 등의 주제도 다뤄졌다.

그리고 얼마 전 와이즈게이트는 다음의 질문들을 통해 회원 CISO 및 CSO들에게 최근 주목을 끌고 있는 보안 동향들에 관한 그들의 견해와 전망을 물었다. 여기 와이즈게이트가 수집한 의견들을 소개하겠다.

Q. 지난 와이즈게이트 웨비나에서 논의된 ‘가장 과장된' 2013년의 주요 IT 보안 위협들 가운데, 8월 현 시점에서 가장 현실화된 이슈, 또는 고민은 무엇인까?

앨버타 주 정부 CISO 팀 맥크레이트 : 많은 기업들에서 클라우드 컴퓨팅과 관련한 문제들이 현실화되고 있다. 클라우드 컴퓨팅은 세미나에서 우리가 논의한 다른 주제들을 실제적인 문제로 만드는 역할을 했다. 클라우드 컴퓨팅이 담보하는 경제적 가치, 혹은 그것이 현업 임원진에게 제시하는 정보의 규모가 기저의 주된 원인일 것이다. 또한 IT업계 ‘빅 플레이어'들의 클라우드 전략 확충 경향도 주목할 필요가 있다. 클라우드 오퍼링을 공개하거나 관련 계획을 발표하는 주요 업체들이 속속 나오고 있다. 이러한 경향은 현업 팀들에겐 일면 부담으로 다가오기도 할 것이다. 관련 활동의 타당성을 입증할 가치 제안이 요구되기 때문이다.

브라운 대학 CSO 데이빗 셰리: 사실 개인적으론 ‘가장 과장된' 보안 위협이라고 부르는 것들이 모두 어느 정도 타당하다고 보는 입장이지만, 그 가운데서도 특히 클라우드 컴퓨팅과 관련된 보안 및 프라이버시 문제는 더 현실적인 고민들이라고 생각한다. 클릭수 동의를 통한 통제권 상실, 부적절한 공유 결정으로 인한 중요 데이터 노출, 미들웨어 혹은 앱 동의를 통한 통제 허용, 그리고 고아 계정(orphaned accounts) 및 데이터까지, 클라우드는 많은 부분에서 지속적으로 당신의 주의를 요할 것이다. 정책이나 계약, 인식, 대안 등 기본적으로 툴킷의 일부로 확보하는 것만으론 충분치 않다. 클라우드 기술의 진화와 채택으로 집중과 지속적인 평가가 요구될 것이기 때문이다.

롱 텀 헬스케어 파트너스(Long Term Healthcare Partners) 등 여러 선진 기업에서 CISO를 역임한 캔디 알렉산더 : 클라우드 컴퓨팅과 관련해 우리가 주목해야 할 핵심은 ‘진짜' 통제권을 보유한 집단, 다시 말해 서비스 공급자의 보안 수준과 리스크 경감 프로세스 및 역량을 확인하는 것이다. 확인 이후에는 계약 과정에서 서비스 수준 협약(SLA)과 업무 기술서(Statements of Work)를 포함시키는 노력도 중요하다. 누군가는 내가 너무 간략히 설명하고 있다고 생각할지도 모르겠지만, 어쨌건 핵심은 이 두 단계다.

보안 인식으로 주제를 옮겨보자면, 이는 컴퓨터가 탄생한 이래로 지속적으로 고민했던 문제라고 말하고 싶다. 이는 우리가 매 순간 신경써야 하는(그리고 해결해야 하는) 불변의 문제라 할 수 있다.

---------------------------------------------------------------
CSO/CISO 인기 기사
->CISO가 알아야 할 4가지 기술들
-> 성공하는 CISO의 3가지 공통점
->'보안 임원의 역할, 급격히 변화 중" IBM
-> 기고 | CSO의 8가지 고민, 그리고 해답
-> 기고 | 첨단 CSO의 조건 '비즈니스와 커뮤니케이션'
---------------------------------------------------------------
 

카운터 어택 해커들의 경우에는 좀 까다로운 문제다. 윤리적, 법적, 기술적 측면을 모두 고려해 볼 때, 개인적으론 대부분의 기관들에겐 이것이 어찌할 수 없는 문제라 생각된다. 한 번 솔직해져 보자. 그들은 다수고, 우리는 그들과 비교하면 절대적으로 소수다. 게다가 그들의 지식, 기술, 자원 공유 체계는 그 어떤 테크니컬 그룹보다 뛰어나다. 그들에겐 기술적, 지리적, 문화적 장벽 그 어느 것도 존재하지 않는다. 이것이 내가 여러 동료들을 남겨둔 채 이 문제에서 손을 뗀 이유다.




2013.08.14

CSO들이 말하는 진짜 보안 고민들

Joan Goodchild | CSO
올 해 초, 와이즈게이트(Wisegate) 소속 CSO 및 CISO들이 모인 비즈니스 소셜 네트워킹 그룹의 웨비나가 개최됐다. 이 웨비나에서는 주로 ‘향후 주목해야 할 IT 보안 위협’에 대해 논의됐다. ‘과장 혹은 현실'이라는 부제가 붙은 이 웨비나에서는 보안, 클라우드 컴퓨팅, BYOD/BYOx, 보안 인식, 카운터 어택 해커(counter-attacking hacker) 등의 주제도 다뤄졌다.

그리고 얼마 전 와이즈게이트는 다음의 질문들을 통해 회원 CISO 및 CSO들에게 최근 주목을 끌고 있는 보안 동향들에 관한 그들의 견해와 전망을 물었다. 여기 와이즈게이트가 수집한 의견들을 소개하겠다.

Q. 지난 와이즈게이트 웨비나에서 논의된 ‘가장 과장된' 2013년의 주요 IT 보안 위협들 가운데, 8월 현 시점에서 가장 현실화된 이슈, 또는 고민은 무엇인까?

앨버타 주 정부 CISO 팀 맥크레이트 : 많은 기업들에서 클라우드 컴퓨팅과 관련한 문제들이 현실화되고 있다. 클라우드 컴퓨팅은 세미나에서 우리가 논의한 다른 주제들을 실제적인 문제로 만드는 역할을 했다. 클라우드 컴퓨팅이 담보하는 경제적 가치, 혹은 그것이 현업 임원진에게 제시하는 정보의 규모가 기저의 주된 원인일 것이다. 또한 IT업계 ‘빅 플레이어'들의 클라우드 전략 확충 경향도 주목할 필요가 있다. 클라우드 오퍼링을 공개하거나 관련 계획을 발표하는 주요 업체들이 속속 나오고 있다. 이러한 경향은 현업 팀들에겐 일면 부담으로 다가오기도 할 것이다. 관련 활동의 타당성을 입증할 가치 제안이 요구되기 때문이다.

브라운 대학 CSO 데이빗 셰리: 사실 개인적으론 ‘가장 과장된' 보안 위협이라고 부르는 것들이 모두 어느 정도 타당하다고 보는 입장이지만, 그 가운데서도 특히 클라우드 컴퓨팅과 관련된 보안 및 프라이버시 문제는 더 현실적인 고민들이라고 생각한다. 클릭수 동의를 통한 통제권 상실, 부적절한 공유 결정으로 인한 중요 데이터 노출, 미들웨어 혹은 앱 동의를 통한 통제 허용, 그리고 고아 계정(orphaned accounts) 및 데이터까지, 클라우드는 많은 부분에서 지속적으로 당신의 주의를 요할 것이다. 정책이나 계약, 인식, 대안 등 기본적으로 툴킷의 일부로 확보하는 것만으론 충분치 않다. 클라우드 기술의 진화와 채택으로 집중과 지속적인 평가가 요구될 것이기 때문이다.

롱 텀 헬스케어 파트너스(Long Term Healthcare Partners) 등 여러 선진 기업에서 CISO를 역임한 캔디 알렉산더 : 클라우드 컴퓨팅과 관련해 우리가 주목해야 할 핵심은 ‘진짜' 통제권을 보유한 집단, 다시 말해 서비스 공급자의 보안 수준과 리스크 경감 프로세스 및 역량을 확인하는 것이다. 확인 이후에는 계약 과정에서 서비스 수준 협약(SLA)과 업무 기술서(Statements of Work)를 포함시키는 노력도 중요하다. 누군가는 내가 너무 간략히 설명하고 있다고 생각할지도 모르겠지만, 어쨌건 핵심은 이 두 단계다.

보안 인식으로 주제를 옮겨보자면, 이는 컴퓨터가 탄생한 이래로 지속적으로 고민했던 문제라고 말하고 싶다. 이는 우리가 매 순간 신경써야 하는(그리고 해결해야 하는) 불변의 문제라 할 수 있다.

---------------------------------------------------------------
CSO/CISO 인기 기사
->CISO가 알아야 할 4가지 기술들
-> 성공하는 CISO의 3가지 공통점
->'보안 임원의 역할, 급격히 변화 중" IBM
-> 기고 | CSO의 8가지 고민, 그리고 해답
-> 기고 | 첨단 CSO의 조건 '비즈니스와 커뮤니케이션'
---------------------------------------------------------------
 

카운터 어택 해커들의 경우에는 좀 까다로운 문제다. 윤리적, 법적, 기술적 측면을 모두 고려해 볼 때, 개인적으론 대부분의 기관들에겐 이것이 어찌할 수 없는 문제라 생각된다. 한 번 솔직해져 보자. 그들은 다수고, 우리는 그들과 비교하면 절대적으로 소수다. 게다가 그들의 지식, 기술, 자원 공유 체계는 그 어떤 테크니컬 그룹보다 뛰어나다. 그들에겐 기술적, 지리적, 문화적 장벽 그 어느 것도 존재하지 않는다. 이것이 내가 여러 동료들을 남겨둔 채 이 문제에서 손을 뗀 이유다.


X