2015.08.25

IDG 보안 컨퍼런스 2015 | 메이요클리닉 짐 넥스 CISO가 전하는 '21세기 헬스케어 분야의 보안'

Brian Cheon | CIO KR
보안 위협이 나날이 진화하고 있다는 사실에는 이견이 없다. 기업 내 보안의 우선순위 및 논의수준이 지속적으로 점증되고 있는 이유다. 그렇다면 업종별로는 어떤 차이가 있을까? 전통적으로 보안에 민감했던 금융 분야 외에 다른 업종에서는 어떻게 대처해야 할까?

월드뱅크 CISO를 역임한 바 있는 짐 넥스 메이요 클리닉 CISO는 헬스케어, 의료 분야의 데이터가 금융 정보의 그것보다 더 민감할 수 있다고 강조한다. 그럼에도 불구하고 금융 섹터와 비교해 덜 통제되고 덜 관리되고 있다고 지적하고 있다.

한국IDG 시큐리티 월드 2015 컨퍼런스에 앞서 짐 넥스 CISO와의 일문일답을 정리했다. 짐 넥스 CISO는 오는 27일 백범김구 기념관에서 개최되는 시큐리티 월드 2015에서 금융 산업 및 헬스케어 산업에서의 사이버보안 위협 및 21세기 정보 리스크 관리 방안에 대해 발표한다.

Q. 기업 분야의 디지털 보안 지형이 향후 어떻게 변화할 것으로 전망하는가? 한국IDG Security world에서 발표할 예정인 ‘21세기 정보 리스크’란 무엇인가?
정보보안은 모든 기업에게 최상위 리스크 요인으로 떠올랐다. 악의를 가진 적들이 존재하며, 그들은 공격 기법을 나날이 진화시켜가고 있다. 아울러 점점 더 많은 정보가 외부 접근을 위해 온라인으로 이전되고 있으며 점점 더 많은 거래가 소비자 소유 기기를 통해 디지털로 처리되고 있는 상황이다.

즉 비즈니스 환경과 정보 기술의 근본적 변화로 인해 디지털 자산 보호는 이제 IT 보안 이슈가 아닌, 기업이나 기관 전체의 전략적 이슈로 간주되고 있다.

Q. 그에 맞춰 CISO와 IT 보안 전문가들이 스스로 개발하고 팀원들을 육성시켜야 할 역량이 있다면?
인포메이션 애널리틱스 ; 위협 인텔리전스(Threat Intelligence)에 주목하고 있다. 보안 분야 관련자들이 육성해야 할 역량이라고 본다.

Q. 그에 맞춰 조직은 어떻게 변화해야 할까?

사물 인터넷의 대두와 데이터 볼륨의 증가로 인해 양상이 변화하고 있다. 전통적인 보안 메커니즘의 효과가 떨어지고 있다. 기술 이상의 대응이 필요한 이유다.

Q. 월드뱅크 CSIO를 역임한 것으로 알고 있다. 정보보안의 최우선 순위나 CISO의 역할을 볼 때 금융과 의료에서 차이점이 있다면 무엇인가?
금융 분야와 헬스케어 분야의 차이점들이 있다 : 1) 금융 섹터의 데이터는 고도로 통제되고 있는 반면 의료 데이터는 그렇지 않다. 2) 의약은 고도의 복잡성 기술을 보유하고 있다. 3) 헬스케어 분야에서는 인간의 실수로 인한 데이터 누출 비율이 훨씬 높다.

Q. 개인의 의료 정보는 개인의 금융 정보보다 훨씬 더 민감할 수 있다. 과장을 보태자면, 장기 이식이 필요한 사람의 의료 정보는 누군가에게 계좌 정보나 비밀 번호를 아는 것 이상으로 훨씬 더 금전적인 가치가 있을 것이고 이를 악용할 경우 그 피해도 훨씬 더 클 것이다. 이에 대해 당신의 견해를 듣고 싶다.

블랙마케에서 헬스케어 정보의 가치는 금융 데이터 가치의 100배에 달한다. 금융 데이터는 변하는 반면 사용자 헬스케어 데이터는 변화하지 않기 때문이다. 의료 데이터 사고의 심각성을 간과하지 않아야 할 이유다.

Q. 이제 CISO 직종 전반에 대해 묻겠다. 만약 당신이 CEO라면 어떤 CISO를 뽑겠는가?
현업 경험과 관련 지식에 주목하겠다. 나라면 CISO와 비즈니스 경험의 조합을 모두 보유한 이를 고용할 것이다.

Q. 당신이 다른 기업의 보안 전략을 총괄하려 이직한다면, CEO의 어떤 특징이나 조직의 어떤 특징을 감안하겠는가?
변화에 대한 태도, 변화를 수용하는 기업 문화를 중점적으로 살펴보겠다. 여기에는 최고 경영진의 지원 수준도 포함된다.

Q. 메이요 클리닉 CISO를 제안할 때, 메이요 클리닉 측은 당신에게 무엇을 기대했는가?
정보 보안 문제를 비즈니스 문제처럼 다루고 해결할 것을 요구했다. 기술적인 문제로 한정해 다루면 한계가 있다는 사실을 메이요 클리닉은 이미 알고 있었다.  ciokr@idg.co.kr



2015.08.25

IDG 보안 컨퍼런스 2015 | 메이요클리닉 짐 넥스 CISO가 전하는 '21세기 헬스케어 분야의 보안'

Brian Cheon | CIO KR
보안 위협이 나날이 진화하고 있다는 사실에는 이견이 없다. 기업 내 보안의 우선순위 및 논의수준이 지속적으로 점증되고 있는 이유다. 그렇다면 업종별로는 어떤 차이가 있을까? 전통적으로 보안에 민감했던 금융 분야 외에 다른 업종에서는 어떻게 대처해야 할까?

월드뱅크 CISO를 역임한 바 있는 짐 넥스 메이요 클리닉 CISO는 헬스케어, 의료 분야의 데이터가 금융 정보의 그것보다 더 민감할 수 있다고 강조한다. 그럼에도 불구하고 금융 섹터와 비교해 덜 통제되고 덜 관리되고 있다고 지적하고 있다.

한국IDG 시큐리티 월드 2015 컨퍼런스에 앞서 짐 넥스 CISO와의 일문일답을 정리했다. 짐 넥스 CISO는 오는 27일 백범김구 기념관에서 개최되는 시큐리티 월드 2015에서 금융 산업 및 헬스케어 산업에서의 사이버보안 위협 및 21세기 정보 리스크 관리 방안에 대해 발표한다.

Q. 기업 분야의 디지털 보안 지형이 향후 어떻게 변화할 것으로 전망하는가? 한국IDG Security world에서 발표할 예정인 ‘21세기 정보 리스크’란 무엇인가?
정보보안은 모든 기업에게 최상위 리스크 요인으로 떠올랐다. 악의를 가진 적들이 존재하며, 그들은 공격 기법을 나날이 진화시켜가고 있다. 아울러 점점 더 많은 정보가 외부 접근을 위해 온라인으로 이전되고 있으며 점점 더 많은 거래가 소비자 소유 기기를 통해 디지털로 처리되고 있는 상황이다.

즉 비즈니스 환경과 정보 기술의 근본적 변화로 인해 디지털 자산 보호는 이제 IT 보안 이슈가 아닌, 기업이나 기관 전체의 전략적 이슈로 간주되고 있다.

Q. 그에 맞춰 CISO와 IT 보안 전문가들이 스스로 개발하고 팀원들을 육성시켜야 할 역량이 있다면?
인포메이션 애널리틱스 ; 위협 인텔리전스(Threat Intelligence)에 주목하고 있다. 보안 분야 관련자들이 육성해야 할 역량이라고 본다.

Q. 그에 맞춰 조직은 어떻게 변화해야 할까?

사물 인터넷의 대두와 데이터 볼륨의 증가로 인해 양상이 변화하고 있다. 전통적인 보안 메커니즘의 효과가 떨어지고 있다. 기술 이상의 대응이 필요한 이유다.

Q. 월드뱅크 CSIO를 역임한 것으로 알고 있다. 정보보안의 최우선 순위나 CISO의 역할을 볼 때 금융과 의료에서 차이점이 있다면 무엇인가?
금융 분야와 헬스케어 분야의 차이점들이 있다 : 1) 금융 섹터의 데이터는 고도로 통제되고 있는 반면 의료 데이터는 그렇지 않다. 2) 의약은 고도의 복잡성 기술을 보유하고 있다. 3) 헬스케어 분야에서는 인간의 실수로 인한 데이터 누출 비율이 훨씬 높다.

Q. 개인의 의료 정보는 개인의 금융 정보보다 훨씬 더 민감할 수 있다. 과장을 보태자면, 장기 이식이 필요한 사람의 의료 정보는 누군가에게 계좌 정보나 비밀 번호를 아는 것 이상으로 훨씬 더 금전적인 가치가 있을 것이고 이를 악용할 경우 그 피해도 훨씬 더 클 것이다. 이에 대해 당신의 견해를 듣고 싶다.

블랙마케에서 헬스케어 정보의 가치는 금융 데이터 가치의 100배에 달한다. 금융 데이터는 변하는 반면 사용자 헬스케어 데이터는 변화하지 않기 때문이다. 의료 데이터 사고의 심각성을 간과하지 않아야 할 이유다.

Q. 이제 CISO 직종 전반에 대해 묻겠다. 만약 당신이 CEO라면 어떤 CISO를 뽑겠는가?
현업 경험과 관련 지식에 주목하겠다. 나라면 CISO와 비즈니스 경험의 조합을 모두 보유한 이를 고용할 것이다.

Q. 당신이 다른 기업의 보안 전략을 총괄하려 이직한다면, CEO의 어떤 특징이나 조직의 어떤 특징을 감안하겠는가?
변화에 대한 태도, 변화를 수용하는 기업 문화를 중점적으로 살펴보겠다. 여기에는 최고 경영진의 지원 수준도 포함된다.

Q. 메이요 클리닉 CISO를 제안할 때, 메이요 클리닉 측은 당신에게 무엇을 기대했는가?
정보 보안 문제를 비즈니스 문제처럼 다루고 해결할 것을 요구했다. 기술적인 문제로 한정해 다루면 한계가 있다는 사실을 메이요 클리닉은 이미 알고 있었다.  ciokr@idg.co.kr

X