Offcanvas

보안/CSO

비파괴적 마스킹, 활용성도 높여준다··· ‘데이터 토큰화’가 뜨는 이유

팬데믹이라는 전례 없는 상황에서 많은 기업이 생존 방법을 모색하느라 바빴다. 하지만 다른 한편에서는 증가한 데이터 취약성, 데이터 준법감시의 부재에 주목하는 시선도 존재했다. 새로운 작업 스타일과 기술이 대거 확산되면서 GDPR(General Data Protection Regulation) 등의 보안 규정에 대응하기란 쉽지 않았으며, 상대적으로 데이터 유출 대응 태세가 약화됐기 때문이다. 실제로 ‘IBM의 보고서’에 따르면 현재 데이터 유출로 인해 기업들이 사고당 평균 424만 달러를 지출하고 있으며, 이는 해당 보고서의 17년 역사상 가장 높은 비용이다. 오늘날 기업에게는 데이터의 익명화 및 잠재적인 데이터 보안 유출 방지를 위해 탄탄한 데이터 보안 전략이 필요하다. 데이터 토큰화는 비교적 새로운 종류의 데이터 보안 전략이며, 이를 제대로 활용하면 기업들은 효율적이며 안전하게 운영하면서 데이터 규정 준수를 유지할 수 있다.  토큰화란 민감한 데이터의 모든 필요 정보를 고유의 식별 기호로 교환하는 프로세스이다. 같은 형식의 완전 무작위 문자를 생성하여 데이터를 대체한다고 표현할 수 있다.이를 통해 보안을 저해하지 않으면서도 데이터 활용성을 높일 수 있다.   데이터 토큰화 활용법 토큰화는 민감한 데이터를 고유한 식별 데이터로 마스킹 또는 대체하지만, 데이터에 대한 필수적인 정보를 유지한다. 이런 동등한 고유 대체 데이터를 토큰이라 부른다. 즉 토큰화는 비파괴적인 형태의 데이터 마스킹이며, 원본 데이터는 고유 대체 데이터, 즉 토큰을 통해 복구할 수 있다. 2가지의 주된 접근방식을 통해 데이터 토큰화를 통한 데이터 암호화가 가능하다. 1. 금고 기반 토큰화 2. 무금고 토큰화 첫번째 경우에 토큰 금고는 민감한 데이터 값의 사전으로 작용하며 이를 토큰 값에 맵핑하여 데이터베이스 또는 데이터 스토어에 있는 원본 데이터 값을 대체한다. 따라서 애플리케이션 또는 사용자는 사전에 있는 원본 데이터를 반전시킬 수 있는 관련된 토큰으로 액세스할...

프라이버시 개인 정보 데이터 마스킹 데이터 토큰화 GDPR 컴플라이언스

2022.07.27

팬데믹이라는 전례 없는 상황에서 많은 기업이 생존 방법을 모색하느라 바빴다. 하지만 다른 한편에서는 증가한 데이터 취약성, 데이터 준법감시의 부재에 주목하는 시선도 존재했다. 새로운 작업 스타일과 기술이 대거 확산되면서 GDPR(General Data Protection Regulation) 등의 보안 규정에 대응하기란 쉽지 않았으며, 상대적으로 데이터 유출 대응 태세가 약화됐기 때문이다. 실제로 ‘IBM의 보고서’에 따르면 현재 데이터 유출로 인해 기업들이 사고당 평균 424만 달러를 지출하고 있으며, 이는 해당 보고서의 17년 역사상 가장 높은 비용이다. 오늘날 기업에게는 데이터의 익명화 및 잠재적인 데이터 보안 유출 방지를 위해 탄탄한 데이터 보안 전략이 필요하다. 데이터 토큰화는 비교적 새로운 종류의 데이터 보안 전략이며, 이를 제대로 활용하면 기업들은 효율적이며 안전하게 운영하면서 데이터 규정 준수를 유지할 수 있다.  토큰화란 민감한 데이터의 모든 필요 정보를 고유의 식별 기호로 교환하는 프로세스이다. 같은 형식의 완전 무작위 문자를 생성하여 데이터를 대체한다고 표현할 수 있다.이를 통해 보안을 저해하지 않으면서도 데이터 활용성을 높일 수 있다.   데이터 토큰화 활용법 토큰화는 민감한 데이터를 고유한 식별 데이터로 마스킹 또는 대체하지만, 데이터에 대한 필수적인 정보를 유지한다. 이런 동등한 고유 대체 데이터를 토큰이라 부른다. 즉 토큰화는 비파괴적인 형태의 데이터 마스킹이며, 원본 데이터는 고유 대체 데이터, 즉 토큰을 통해 복구할 수 있다. 2가지의 주된 접근방식을 통해 데이터 토큰화를 통한 데이터 암호화가 가능하다. 1. 금고 기반 토큰화 2. 무금고 토큰화 첫번째 경우에 토큰 금고는 민감한 데이터 값의 사전으로 작용하며 이를 토큰 값에 맵핑하여 데이터베이스 또는 데이터 스토어에 있는 원본 데이터 값을 대체한다. 따라서 애플리케이션 또는 사용자는 사전에 있는 원본 데이터를 반전시킬 수 있는 관련된 토큰으로 액세스할...

2022.07.27

“사이버 교전을 유도해 해커의 전술을 파악한다” 마이터 인게이지 살펴보기

사이버 보안은 마치 군사 경쟁처럼 적의 다음 행보, 전략, 동기를 파악하는 것이 중요하다. 마이터의 자료를 이용하면 사이버 전투에 필요한 자료를 확보할 수 있다.    마이터(MITRE Corp)는 미 연방정부에게 자금을 받는 비영리 단체로 공공 및 민간 기업과 파트너십을 맺고 보안 전문가에게 필요한 정보를 제공한다. 특히 올해 초 공개된 '마이터 인게이지(MITRE Engage)' 프레임워크는 사이버 교전, 기만, 거부 활동을 계획하고 수행할 때 쓸 수 있어 주목할 만하다. 여기서 말하는 인게이지란 해커의 공격 즉 사이버 교전을 유발시킨다는 뜻이다.  마이터 최고정보보안책임자 빌 힐은 “사이버 교전은 적군의 전투 계획을 살펴보는 과정과 유사하다”라며 “싸움 상대는 총명하다. 그저 한 가지 방어책만 정해 놓고 모든 공격을 막을 수 있을 것이라 기대하면 안 된다. 적의 다음 행동을 알아야 한다”라고 설명했다. 해커와 교전을 벌이면 공격자와 방어자 모두 진화된 전투 기술을 활용하며 새로운 공격 양상을 확인할 수 있다. 힐에 따르면, 사이버 교전 기법에서 방어자는 공격받는 환경을 자체적으로 통제하면서 공격을 유도해 해커의 행동과 전술을 관찰한다.  힐은 “교전 기법은 위협 사냥(threat hunting)과 비슷하면서도 다르다. 위협 사냥은 이미 네트워크 내에 있는 적을 찾아내 제거한다. 반면 교전은 좀 더 선제적이고 의도적이다. 가령 적의 공격 방식을 알아내겠다는 목표를 세우고, 의도적으로 공격을 주고받는 상황을 만든다”라고 설명했다. 방어자가 이런 의도적인 교전을 활용하면 초기 공격 이후 해커가 어떤 일을 하는지 알아낼 수 있다. 힐은 “공격 시작과 관련해서는 많은 것이 알려져 있다. 보안 전문가는 첫 공격 정보를 기반으로 역공학을 하면서 해커의 기법을 분석한다. 하지만 첫 공격은 전체 공격 중 빙산의 일각에 불과하다. 만일 적이 네트워크에 침투하면 그다음에는 어떤 일이 벌어질까? 적이 두 번째로 하는 일은 무엇인가...

마이터

2022.07.27

사이버 보안은 마치 군사 경쟁처럼 적의 다음 행보, 전략, 동기를 파악하는 것이 중요하다. 마이터의 자료를 이용하면 사이버 전투에 필요한 자료를 확보할 수 있다.    마이터(MITRE Corp)는 미 연방정부에게 자금을 받는 비영리 단체로 공공 및 민간 기업과 파트너십을 맺고 보안 전문가에게 필요한 정보를 제공한다. 특히 올해 초 공개된 '마이터 인게이지(MITRE Engage)' 프레임워크는 사이버 교전, 기만, 거부 활동을 계획하고 수행할 때 쓸 수 있어 주목할 만하다. 여기서 말하는 인게이지란 해커의 공격 즉 사이버 교전을 유발시킨다는 뜻이다.  마이터 최고정보보안책임자 빌 힐은 “사이버 교전은 적군의 전투 계획을 살펴보는 과정과 유사하다”라며 “싸움 상대는 총명하다. 그저 한 가지 방어책만 정해 놓고 모든 공격을 막을 수 있을 것이라 기대하면 안 된다. 적의 다음 행동을 알아야 한다”라고 설명했다. 해커와 교전을 벌이면 공격자와 방어자 모두 진화된 전투 기술을 활용하며 새로운 공격 양상을 확인할 수 있다. 힐에 따르면, 사이버 교전 기법에서 방어자는 공격받는 환경을 자체적으로 통제하면서 공격을 유도해 해커의 행동과 전술을 관찰한다.  힐은 “교전 기법은 위협 사냥(threat hunting)과 비슷하면서도 다르다. 위협 사냥은 이미 네트워크 내에 있는 적을 찾아내 제거한다. 반면 교전은 좀 더 선제적이고 의도적이다. 가령 적의 공격 방식을 알아내겠다는 목표를 세우고, 의도적으로 공격을 주고받는 상황을 만든다”라고 설명했다. 방어자가 이런 의도적인 교전을 활용하면 초기 공격 이후 해커가 어떤 일을 하는지 알아낼 수 있다. 힐은 “공격 시작과 관련해서는 많은 것이 알려져 있다. 보안 전문가는 첫 공격 정보를 기반으로 역공학을 하면서 해커의 기법을 분석한다. 하지만 첫 공격은 전체 공격 중 빙산의 일각에 불과하다. 만일 적이 네트워크에 침투하면 그다음에는 어떤 일이 벌어질까? 적이 두 번째로 하는 일은 무엇인가...

2022.07.27

인터뷰 | 서비스형 DB 시장, “불황 속에도 거액의 기회 있다”… 뉴타닉스 CEO

VM웨어의 핵심 인력이었던 라지브 라마스와미는 경쟁사 뉴타닉스로 이직하며 화제를 모았다. 전 VM웨어 COO이자 현재는 뉴타닉스 CEO를 맡고 있는 라마스와미를 만나 이야기를 나눠봤다.   <IDG 커넥트>는 2020년 12월 뉴타닉스의 CEO로 취임한 란지브 라마스와미를 최근 런던에서 만나 인터뷰했다.  대화의 첫 번째 화두는 역시나 미화 76조원에 달하는 브로드컴(Broadcom)과 VM웨어(VMWare)의 인수합병이었다. 라마스와미는 뉴타닉스로 이직하기 전 VM웨어 클라우드 사업부의 COO로 재직했고, 이제 VM웨어는 경쟁사이기 때문에 이 소식을 얘기하지 않을 수 없었다. 그는 이 소식을 어떻게 받아들였을까?    인수 발표 후 한달이 채 지나지 않았을 때, 브로드컴은 VM웨어의 가상화 사업을 유지할 계획이라고 공식 성명에서 밝혔다. 하지만 2019년 시만텍이 겪은 '브로드컴 인수 잔혹사'를 생각하면 과연 이 계획이 지켜질지 알 수 없다. 브로드컴이 몇 달 지나지 않아 시만텍의 핵심이었던 사이버보안 서비스 사업을 매각하고, 오히려 자사의 주력 사업에 더 매진했기 때문이다. 그렇다면, 라마스와미는 VM웨어의 매각를 뉴타닉스의 기회로 여기고 있지 않을까?  그는 일단 “[매각이] 예상 밖이었다”라고 답했다. 이어 “VM웨어는 훌륭한 제품과 탄탄한 고객 기반을 갖춘 회사다. 하지만 동시에 미래에는 소비자가 더 다양한 대안 업체를 모색할 것이라 생각한다. 벤더가 다른 기업을 인수할 때마다, 그 벤더의 기업 고객은 항상 ‘회사에는 어떤 영향을 미칠까?’라는 질문을 던지기 마련이다. 브로드컴은 수익성에 중점을 맞출 예정이라고 밝혔다. 이것은 분명 [VM웨어라는 회사가 추구했던 기존의 지향점과는] 다른 모델이다”라고 말했다.  라마스와미의 이직은 법정 공방으로 이어지긴 했지만 그는 양사가 합리적인 방식으로 협력할 수 있으리라는 낙관적인 전망을 내비쳤다. 겹치는 고객층이 있어 특정 제...

2022.07.22

VM웨어의 핵심 인력이었던 라지브 라마스와미는 경쟁사 뉴타닉스로 이직하며 화제를 모았다. 전 VM웨어 COO이자 현재는 뉴타닉스 CEO를 맡고 있는 라마스와미를 만나 이야기를 나눠봤다.   <IDG 커넥트>는 2020년 12월 뉴타닉스의 CEO로 취임한 란지브 라마스와미를 최근 런던에서 만나 인터뷰했다.  대화의 첫 번째 화두는 역시나 미화 76조원에 달하는 브로드컴(Broadcom)과 VM웨어(VMWare)의 인수합병이었다. 라마스와미는 뉴타닉스로 이직하기 전 VM웨어 클라우드 사업부의 COO로 재직했고, 이제 VM웨어는 경쟁사이기 때문에 이 소식을 얘기하지 않을 수 없었다. 그는 이 소식을 어떻게 받아들였을까?    인수 발표 후 한달이 채 지나지 않았을 때, 브로드컴은 VM웨어의 가상화 사업을 유지할 계획이라고 공식 성명에서 밝혔다. 하지만 2019년 시만텍이 겪은 '브로드컴 인수 잔혹사'를 생각하면 과연 이 계획이 지켜질지 알 수 없다. 브로드컴이 몇 달 지나지 않아 시만텍의 핵심이었던 사이버보안 서비스 사업을 매각하고, 오히려 자사의 주력 사업에 더 매진했기 때문이다. 그렇다면, 라마스와미는 VM웨어의 매각를 뉴타닉스의 기회로 여기고 있지 않을까?  그는 일단 “[매각이] 예상 밖이었다”라고 답했다. 이어 “VM웨어는 훌륭한 제품과 탄탄한 고객 기반을 갖춘 회사다. 하지만 동시에 미래에는 소비자가 더 다양한 대안 업체를 모색할 것이라 생각한다. 벤더가 다른 기업을 인수할 때마다, 그 벤더의 기업 고객은 항상 ‘회사에는 어떤 영향을 미칠까?’라는 질문을 던지기 마련이다. 브로드컴은 수익성에 중점을 맞출 예정이라고 밝혔다. 이것은 분명 [VM웨어라는 회사가 추구했던 기존의 지향점과는] 다른 모델이다”라고 말했다.  라마스와미의 이직은 법정 공방으로 이어지긴 했지만 그는 양사가 합리적인 방식으로 협력할 수 있으리라는 낙관적인 전망을 내비쳤다. 겹치는 고객층이 있어 특정 제...

2022.07.22

'어렵지만 필요한 작업'··· 미사용·이동 데이터 보안 따라잡기

안전한 애플리케이션을 만들기 위해서는 수많은 보호 장치가 필요하다. 무엇보다 중요한 것은 애플리케이션에 저장된 데이터를 보호하는 것이다. 물론 가장 어려운 일이기도 하다.   애플리케이션에서 반드시 보호해야 하는 데이터는 미사용 데이터(Data at rest)와 이동 데이터(Data in motion) 2가지 유형으로 나뉜다. 미사용 데이터 vs. 이동 데이터 미사용 데이터는 데이터 저장소, 데이터베이스, 캐시, 파일 시스템 및 리포지토리에 저장된 데이터다. 애플리케이션의 데이터베이스, 로그 파일, 시스템 구성 파일, 백업 및 아카이브에 이르는 모든 것을 포함한다. 간단한 예는 SaaS(Software-as-a-Service) 애플리케이션의 사용자 프로필이다. 이 프로필에는 사용자 이름, 비밀번호, 프로필 사진, 이메일 주소, 실제 주소 및 기타 연락처 정보가 포함될 수 있다. 또한 사용자가 애플리케이션을 어떻게 사용하고 있는지에 대한 애플리케이션 정보도 포함될 수 있다. 로컬 환경에서는 컴퓨터에 저장된 스프레드시트, 워드, 프레젠테이션, 사진, 비디오와 같은 모든 파일을 포함한다.  이동 데이터는 애플리케이션에서 활발하게 접근하고 사용하는 데이터다. 클라이언트와 서버 사이, 또는 서로 다른 2가지 애플리케이션 및 서비스 사이와 같이 애플리케이션의 한 부분에서 다른 부분으로 이동한다. SaaS 애플리케이션 로그인 시 입력하는 사용자 이름과 비밀번호가 대표적인 이동 데이터다. 해당 정보는 사용자의 컴퓨터, 태블릿 또는 스마트폰에서 SaaS 애플리케이션의 백엔드 서버로 전송되는데, 이 과정에서 데이터가 이동한다. 키보드로 입력하거나, 이메일 혹은 문자 메시지, 혹은 API 요청으로 보내는 모든 데이터가 이동 데이터다. 미사용 데이터와 이동 데이터는 그 특성이 다른 만큼 보호하는 기술에도 큰 차이가 있다.  미사용 데이터의 보안 미사용 데이터를 보호하는 가장 중요한 2가지 전략은 데이터 저장 시스템 보호와 ...

이동데이터 미사용데이터 보안

2022.07.21

안전한 애플리케이션을 만들기 위해서는 수많은 보호 장치가 필요하다. 무엇보다 중요한 것은 애플리케이션에 저장된 데이터를 보호하는 것이다. 물론 가장 어려운 일이기도 하다.   애플리케이션에서 반드시 보호해야 하는 데이터는 미사용 데이터(Data at rest)와 이동 데이터(Data in motion) 2가지 유형으로 나뉜다. 미사용 데이터 vs. 이동 데이터 미사용 데이터는 데이터 저장소, 데이터베이스, 캐시, 파일 시스템 및 리포지토리에 저장된 데이터다. 애플리케이션의 데이터베이스, 로그 파일, 시스템 구성 파일, 백업 및 아카이브에 이르는 모든 것을 포함한다. 간단한 예는 SaaS(Software-as-a-Service) 애플리케이션의 사용자 프로필이다. 이 프로필에는 사용자 이름, 비밀번호, 프로필 사진, 이메일 주소, 실제 주소 및 기타 연락처 정보가 포함될 수 있다. 또한 사용자가 애플리케이션을 어떻게 사용하고 있는지에 대한 애플리케이션 정보도 포함될 수 있다. 로컬 환경에서는 컴퓨터에 저장된 스프레드시트, 워드, 프레젠테이션, 사진, 비디오와 같은 모든 파일을 포함한다.  이동 데이터는 애플리케이션에서 활발하게 접근하고 사용하는 데이터다. 클라이언트와 서버 사이, 또는 서로 다른 2가지 애플리케이션 및 서비스 사이와 같이 애플리케이션의 한 부분에서 다른 부분으로 이동한다. SaaS 애플리케이션 로그인 시 입력하는 사용자 이름과 비밀번호가 대표적인 이동 데이터다. 해당 정보는 사용자의 컴퓨터, 태블릿 또는 스마트폰에서 SaaS 애플리케이션의 백엔드 서버로 전송되는데, 이 과정에서 데이터가 이동한다. 키보드로 입력하거나, 이메일 혹은 문자 메시지, 혹은 API 요청으로 보내는 모든 데이터가 이동 데이터다. 미사용 데이터와 이동 데이터는 그 특성이 다른 만큼 보호하는 기술에도 큰 차이가 있다.  미사용 데이터의 보안 미사용 데이터를 보호하는 가장 중요한 2가지 전략은 데이터 저장 시스템 보호와 ...

2022.07.21

2023년 사이버보안 예산 계획에 고려할 5가지

2023년도 보안 예산을 준비하는 CISO라면 “어디서부터 시작하나?”라는 고민에 빠질 수 있다. 기업 사이버 위협 방어는 그 양상이 워낙 다양하고 빠르게 변하고 있어서 어떤 위험에 가장 주목해야 하는지를 가리는 일이 벅차게 느껴지기 마련이다.   그래도 보안 리더는 얼마의 자금이 필요하고 어떻게 예산을 할당할지에 대한 고민을 시작해야 한다. 컨설팅 회사 웨스트 몬로(West Monroe) 사이버보안 책임자 데이빗 채독은 “CISO가 거시적인 수준에서 보안에 대한 전략 목표를 규정하고 예산을 수립할 때 현상 유지를 하면 앞으로 보안 리더들에게 운영 및 신규 이니셔티브 관리에 제한된 불가능한 임무를 남길 가능성이 높다는 사실을 알아야 한다”라고 지적했다.   채독은 “성숙했거나 사이버공격을 받은 적이 있는 기업은 변화의 가치를 깨닫고 대비가 되었을지 모르지만, 대다수의 기업은 여전히 전통적인 예산으로 수요를 맞추기에 급급하고 보안의 필요성은 늘기만 하고 있는 것이 안타까운 현실”이라고 덧붙였다. 내년 예산에 필요한 자금은 다음 5개 범주로 나눌 수 있다. •    변화하는 위협 지형 •    경제 동향과 경제 동향이 위협 행위자 행동에 미치는 영향 •    러시아-우크라이나 전쟁과 같은 지정학적 사건 •    변화하는 정부 및 기타 규제와 지침 •    변화하는 사이버 보험 요건 CISO은 소속 기업의 안전 유지를 위한 최선의 방법을 고민하는 과정에서 이를 명심해야 한다.   1. 변화하는 위협 지형 사이버보안 위협 지형은 신종 랜섬웨어 위협의 등장, 클라우드로의 전환 가속, 변화하는 사무실 모델 등에 맞는 속도로 계속 변화하고 있다. 그리고 디지털 기업이 되려는 목표를 세운 기업도 많다.   가트너 선임 조사 책임자 루게로 콘투는 “디지털 트랜스포메이션 이니셔티브는 악성 행위자가 표...

보안예산 ciso 사이버위협 규정준수 웨스트몬로 러시아

2022.07.19

2023년도 보안 예산을 준비하는 CISO라면 “어디서부터 시작하나?”라는 고민에 빠질 수 있다. 기업 사이버 위협 방어는 그 양상이 워낙 다양하고 빠르게 변하고 있어서 어떤 위험에 가장 주목해야 하는지를 가리는 일이 벅차게 느껴지기 마련이다.   그래도 보안 리더는 얼마의 자금이 필요하고 어떻게 예산을 할당할지에 대한 고민을 시작해야 한다. 컨설팅 회사 웨스트 몬로(West Monroe) 사이버보안 책임자 데이빗 채독은 “CISO가 거시적인 수준에서 보안에 대한 전략 목표를 규정하고 예산을 수립할 때 현상 유지를 하면 앞으로 보안 리더들에게 운영 및 신규 이니셔티브 관리에 제한된 불가능한 임무를 남길 가능성이 높다는 사실을 알아야 한다”라고 지적했다.   채독은 “성숙했거나 사이버공격을 받은 적이 있는 기업은 변화의 가치를 깨닫고 대비가 되었을지 모르지만, 대다수의 기업은 여전히 전통적인 예산으로 수요를 맞추기에 급급하고 보안의 필요성은 늘기만 하고 있는 것이 안타까운 현실”이라고 덧붙였다. 내년 예산에 필요한 자금은 다음 5개 범주로 나눌 수 있다. •    변화하는 위협 지형 •    경제 동향과 경제 동향이 위협 행위자 행동에 미치는 영향 •    러시아-우크라이나 전쟁과 같은 지정학적 사건 •    변화하는 정부 및 기타 규제와 지침 •    변화하는 사이버 보험 요건 CISO은 소속 기업의 안전 유지를 위한 최선의 방법을 고민하는 과정에서 이를 명심해야 한다.   1. 변화하는 위협 지형 사이버보안 위협 지형은 신종 랜섬웨어 위협의 등장, 클라우드로의 전환 가속, 변화하는 사무실 모델 등에 맞는 속도로 계속 변화하고 있다. 그리고 디지털 기업이 되려는 목표를 세운 기업도 많다.   가트너 선임 조사 책임자 루게로 콘투는 “디지털 트랜스포메이션 이니셔티브는 악성 행위자가 표...

2022.07.19

인터뷰ㅣ'현실에 안주하면 끝이다'··· 존슨앤드존슨 CISO의 임무

존슨앤드존슨(Johnson & Johnson)의 CISO 마렌 앨리슨은 다가올 상황을 예측하고, 신속하게 전환할 수 있는 로드맵이 중요하다고 강조했다.  현재 글로벌 제약 및 소비재 기업에서 사이버 보안을 이끌고 있는 앨리슨은 지금 하고 있는 일이 몇 년 전 그가 FBI에서 했던 일과 동일한 원칙을 따른다고 밝혔다. 존슨앤드존슨의 CISO로 12년 넘게 일해온 앨리슨은 " 사이버 세계에서 회사의 안전을 도모하고 보장하는 것이 임무다"라고 말했다. 그는 "인간의 건강과 의료를 다루는 회사의 안전을 보호하는 중차대한 일을 맡고 있다는 것에 무거운 책임감을 느낀다. 하루도 빠짐없이 이 임무에 충실하는 자세를 유지하고자 노력하는 이유다”라고 전했다.   그는 웨스트포인트 미국 육군 사관학교를 졸업한 첫 여성 기수이며, 과학 학사 학위를 받았다. 현재도 웨스트포인트 여성 이사회와 뉴저지주의 육군사관학교 연락 장교 및 의회 코디네이터직을 맡으며 육군사관학교와의 인연을 이어 나가고 있다. 그리고 사기업의 세계에 발을 들여놓기 전, FBI에서 특별 요원으로 활동했다. 뉴저지주의 마약 조직범 검거와 샌디에이고 테러 사건의 잠입수사에 참여한 경험이 있다.   FBI 요원에서 존슨앤드존슨의 사이버 수호자로  지난 12년 동안 앨리슨은 존슨앤드존슨의 글로벌 정보 기술 시스템과 비즈니스를 보호하는 데 주력해 왔다. 책임이 막중한 업무다.   136년 된 이 미국 회사는 타이레놀 진통제, 반창고, 리스테린, 아비노 바디 로션과 같은 유명한 소비자 제품부터 정형외과용 임플란트와 의료기기까지 제조하고 판매하는, 이름만 대면 알 만한 대중적인 브랜드다. 또한 2019년 코로나19 팬데믹 기간 동안 이 회사는 코로나 백신(얀센)을 개발해 전 세계 헤드라인을 장식했다.  의료 회사의 정보 시스템, 데이터 및 직원을 모두 안전하게 보호하는 데는 그 나름대로의 어려움이 있다. 게다가 보안 업무는 더욱 골치 아파졌다고 앨리슨...

CISO 존슨앤드존슨 얀센백신

2022.07.18

존슨앤드존슨(Johnson & Johnson)의 CISO 마렌 앨리슨은 다가올 상황을 예측하고, 신속하게 전환할 수 있는 로드맵이 중요하다고 강조했다.  현재 글로벌 제약 및 소비재 기업에서 사이버 보안을 이끌고 있는 앨리슨은 지금 하고 있는 일이 몇 년 전 그가 FBI에서 했던 일과 동일한 원칙을 따른다고 밝혔다. 존슨앤드존슨의 CISO로 12년 넘게 일해온 앨리슨은 " 사이버 세계에서 회사의 안전을 도모하고 보장하는 것이 임무다"라고 말했다. 그는 "인간의 건강과 의료를 다루는 회사의 안전을 보호하는 중차대한 일을 맡고 있다는 것에 무거운 책임감을 느낀다. 하루도 빠짐없이 이 임무에 충실하는 자세를 유지하고자 노력하는 이유다”라고 전했다.   그는 웨스트포인트 미국 육군 사관학교를 졸업한 첫 여성 기수이며, 과학 학사 학위를 받았다. 현재도 웨스트포인트 여성 이사회와 뉴저지주의 육군사관학교 연락 장교 및 의회 코디네이터직을 맡으며 육군사관학교와의 인연을 이어 나가고 있다. 그리고 사기업의 세계에 발을 들여놓기 전, FBI에서 특별 요원으로 활동했다. 뉴저지주의 마약 조직범 검거와 샌디에이고 테러 사건의 잠입수사에 참여한 경험이 있다.   FBI 요원에서 존슨앤드존슨의 사이버 수호자로  지난 12년 동안 앨리슨은 존슨앤드존슨의 글로벌 정보 기술 시스템과 비즈니스를 보호하는 데 주력해 왔다. 책임이 막중한 업무다.   136년 된 이 미국 회사는 타이레놀 진통제, 반창고, 리스테린, 아비노 바디 로션과 같은 유명한 소비자 제품부터 정형외과용 임플란트와 의료기기까지 제조하고 판매하는, 이름만 대면 알 만한 대중적인 브랜드다. 또한 2019년 코로나19 팬데믹 기간 동안 이 회사는 코로나 백신(얀센)을 개발해 전 세계 헤드라인을 장식했다.  의료 회사의 정보 시스템, 데이터 및 직원을 모두 안전하게 보호하는 데는 그 나름대로의 어려움이 있다. 게다가 보안 업무는 더욱 골치 아파졌다고 앨리슨...

2022.07.18

'싸고 긴 3년, 유연한 1년'··· 보안 벤더 계약, 적정 기간은?

보안 비즈니스의 세계는 변화무쌍하다. 민첩성, 안정성 그리고 비용 사이에서 적절한 균형을 찾는 방법에 대해 여러 보안 전문가가 전한 조언을 들어보자.    스테파니 베노이트 커츠는 이전 회사에서 CISO로 일할 때, 한 서비스형 취약성 관리 제공업체와 3년 계약을 체결했다. 당시만 해도 괜찮은 거래라고 생각했다. 그는 회사의 보안 운영 팀이 기능을 십분 활용할 것이라고 생각하면서 계약을 체결했다. 하지만 그는 이내 팀이 사용하는 기능의 비율은 60%에 그친다는 사실을 발견했다.  큰 곤경이었다. 회사에 적합하지 않은 제품에 비용은 계속 나가고 있었고, 계약을 끝낼 방법은 없었던 것이다.  현재 피닉스대학교(University of Phoenix)의 CIST(College of Information Systems&Technology)에서 책임 교원을 맡고 있는 베노이트 커츠는 “업체를 찾아가 ‘이 모듈이 필요 없으니 환불을 받을 수 있는가?’라고 말하기가 어려웠다”라고 회상했다. 대화 자체를 원치 않는 것 같았다”라고 그는 말했다. 그는 이런 일화에서 크게 배웠다고 말했다. 이처럼 초기에 비용을 조절하기 위해 협상하고, 기업의 미래 상태를 살펴 벤더의 서비스가 정말 적합한지 판단하는 법을 배우는 것은 매우 중요하다.   또한 그는 이런 경험을 통해 최적의 계약 기간을 결정하는 게 얼마나 어려운지 깨달을 수 있었다고 전했다. 일반적으로 계약 기간이 길어질수록 비용이 내려가지만, 민첩성, 유연성 등 회사의 상황에 맞게 그때그때 수정할 권한을 타협해야 하므로 까다로운 의사결정 과정이 될 수밖에 없다고 그는 설명했다.   섬세한 문제 적절한 업체를 선택하고, 최상의 계약 조건과 기간을 협상해내는 것은 모두에게 매우 어려운 일이다. 하지만 특히 보안 임원들은 이런 일을 처리할 때 다른 부서의 리더들보다 더 어려움을 겪는 경우가 많으며, 적절한 계약 기간을 결정해야 할 때 더욱 그렇다.  ...

계약기간 CISO 보안솔루션

2022.07.14

보안 비즈니스의 세계는 변화무쌍하다. 민첩성, 안정성 그리고 비용 사이에서 적절한 균형을 찾는 방법에 대해 여러 보안 전문가가 전한 조언을 들어보자.    스테파니 베노이트 커츠는 이전 회사에서 CISO로 일할 때, 한 서비스형 취약성 관리 제공업체와 3년 계약을 체결했다. 당시만 해도 괜찮은 거래라고 생각했다. 그는 회사의 보안 운영 팀이 기능을 십분 활용할 것이라고 생각하면서 계약을 체결했다. 하지만 그는 이내 팀이 사용하는 기능의 비율은 60%에 그친다는 사실을 발견했다.  큰 곤경이었다. 회사에 적합하지 않은 제품에 비용은 계속 나가고 있었고, 계약을 끝낼 방법은 없었던 것이다.  현재 피닉스대학교(University of Phoenix)의 CIST(College of Information Systems&Technology)에서 책임 교원을 맡고 있는 베노이트 커츠는 “업체를 찾아가 ‘이 모듈이 필요 없으니 환불을 받을 수 있는가?’라고 말하기가 어려웠다”라고 회상했다. 대화 자체를 원치 않는 것 같았다”라고 그는 말했다. 그는 이런 일화에서 크게 배웠다고 말했다. 이처럼 초기에 비용을 조절하기 위해 협상하고, 기업의 미래 상태를 살펴 벤더의 서비스가 정말 적합한지 판단하는 법을 배우는 것은 매우 중요하다.   또한 그는 이런 경험을 통해 최적의 계약 기간을 결정하는 게 얼마나 어려운지 깨달을 수 있었다고 전했다. 일반적으로 계약 기간이 길어질수록 비용이 내려가지만, 민첩성, 유연성 등 회사의 상황에 맞게 그때그때 수정할 권한을 타협해야 하므로 까다로운 의사결정 과정이 될 수밖에 없다고 그는 설명했다.   섬세한 문제 적절한 업체를 선택하고, 최상의 계약 조건과 기간을 협상해내는 것은 모두에게 매우 어려운 일이다. 하지만 특히 보안 임원들은 이런 일을 처리할 때 다른 부서의 리더들보다 더 어려움을 겪는 경우가 많으며, 적절한 계약 기간을 결정해야 할 때 더욱 그렇다.  ...

2022.07.14

API라는 ‘거대 공격 표면’ 이해하기

클라우드 컴퓨팅, 모바일 기기, 마이크로서비스의 세계라 할 만하다. 우리가 상호작용하는 거의 모든 애플리케이션이 여러 API에 의해 구동된다. 첨단 CSP, 모바일 애플리케이션, 마이크로서비스 환경을 다룰 때는 특히 그렇다. 이는 API가 결정적인 공격 표면이라는 의미로 이어진다.   아카마이(Akamai)는 대략 83%의 인터넷 트래픽이 API 기반인 것으로 추정한다. 솔트 시큐리티(Salt Security) 등의 연구에 따르면 API 공격은 2021년부터 2022년까지 600% 이상 증가했고, 가트너는 90%의 웹 지원 애플리케이션이 노출된 API로 인해 더 넓은 공격 표면을 가질 것으로 예측한다. 임페르바(Imperva)의 최신 연구는 취약한 API가 연간 400~700억 달러의 비용을 조직들에게 발생시킨다고 주장한다. API 공격 표면 증가의 주요 배경 중 하나는 쿠버네티스와 마이크로서비스의 도입이다. 한 연구는 최근 38만개 이상의 노출된 쿠버네티스 API 서버를 발견했다. 이는 쿠버네티스 API 서버가 컨테이너 전개의 핵심적인 제어 평면 컴포넌트임을 감안할 때 우려할 만한 일이다. 그러나 API가 현대 디지털 생태계를 묶는 현실에도 불구하고 API 보안에 대한 관심은 그리 높지 않다. API는 데이터에 접근하고 데이터에 대해 질의할 뿐 아니라 데이터 보강, 데이터 수정 등의 활동을 수행하는 데 사용된다. 이는 API를 통해 흐르는 데이터뿐 아니라 API 자체가 보호되어야 함을 의미한다.  이러한 현실로 인해 API를 이용함에 있어 애플리케이션 및 데이터 보안 모범 준칙이 절실히 필요하다. 애석하게도 대다수의 조직은 API 목록을 만드는 단순한 작업도 힘들어한다. 어떤 API를 가지고 있고 어떤 API와 상호작용하는지, 그리고 공격 표면과 연관된 API가 무엇인지에 관한 가시성이 대부분 없다는 의미다. 리서피스 랩(Resurface Labs), 트레이서블 AI(Traceable AI) 등의 기업이 이 문제에 주목하기 시작...

API 공격표면 API 보안

2022.07.13

클라우드 컴퓨팅, 모바일 기기, 마이크로서비스의 세계라 할 만하다. 우리가 상호작용하는 거의 모든 애플리케이션이 여러 API에 의해 구동된다. 첨단 CSP, 모바일 애플리케이션, 마이크로서비스 환경을 다룰 때는 특히 그렇다. 이는 API가 결정적인 공격 표면이라는 의미로 이어진다.   아카마이(Akamai)는 대략 83%의 인터넷 트래픽이 API 기반인 것으로 추정한다. 솔트 시큐리티(Salt Security) 등의 연구에 따르면 API 공격은 2021년부터 2022년까지 600% 이상 증가했고, 가트너는 90%의 웹 지원 애플리케이션이 노출된 API로 인해 더 넓은 공격 표면을 가질 것으로 예측한다. 임페르바(Imperva)의 최신 연구는 취약한 API가 연간 400~700억 달러의 비용을 조직들에게 발생시킨다고 주장한다. API 공격 표면 증가의 주요 배경 중 하나는 쿠버네티스와 마이크로서비스의 도입이다. 한 연구는 최근 38만개 이상의 노출된 쿠버네티스 API 서버를 발견했다. 이는 쿠버네티스 API 서버가 컨테이너 전개의 핵심적인 제어 평면 컴포넌트임을 감안할 때 우려할 만한 일이다. 그러나 API가 현대 디지털 생태계를 묶는 현실에도 불구하고 API 보안에 대한 관심은 그리 높지 않다. API는 데이터에 접근하고 데이터에 대해 질의할 뿐 아니라 데이터 보강, 데이터 수정 등의 활동을 수행하는 데 사용된다. 이는 API를 통해 흐르는 데이터뿐 아니라 API 자체가 보호되어야 함을 의미한다.  이러한 현실로 인해 API를 이용함에 있어 애플리케이션 및 데이터 보안 모범 준칙이 절실히 필요하다. 애석하게도 대다수의 조직은 API 목록을 만드는 단순한 작업도 힘들어한다. 어떤 API를 가지고 있고 어떤 API와 상호작용하는지, 그리고 공격 표면과 연관된 API가 무엇인지에 관한 가시성이 대부분 없다는 의미다. 리서피스 랩(Resurface Labs), 트레이서블 AI(Traceable AI) 등의 기업이 이 문제에 주목하기 시작...

2022.07.13

강은성의 보안 아키텍트ㅣ랜섬웨어와 랜섬웨어 ‘산업’에 대응하려면

올해 상반기에도 랜섬웨어 피해에 관한 뉴스가 줄을 이었다. 2월 미국의 글로벌 물류업체 익스피다이터스(Expeditors)가 랜섬웨어 공격을 받아 약 3주간 서비스를 하지 못해 미화 6,000만 달러(한화 약 7,440억 원) 이상의 손실을 봤고, 3월에는 미국의 글로벌 타이어 기업 브리지스톤(Bridgestone)이 러시아 랜섬웨어 갱단 록빗(Lockbit) 2.0의 공격으로 10일 동안 생산이 중단됐다. 4월에는 러시아 랜섬웨어 갱단 콘티(Conti)가 코스타리카 재무부를 공격하여 정부가 국가 비상사태를 선포했고, 5월에는 페루 정보기관을 해킹하기도 하였다.  블록체인 데이터 분석 기업 체이널리시스(Chainalysis)는 2021년에 몸값으로 지급된 가상자산만 6억 200만 달러(약 7,250억 원)로 파악됐다고 밝혔고, 사이버 경제 분석 기업 사이버시큐리티 벤처스(Cybersecurity Ventures)는 「2019 Official Annual Cybercrime Report」에서 2021년 랜섬웨어 피해를 20억 달러(약 2조 4,000억 원)로 추정하였다. 엄청난 규모다.   국내 피해도 증가하는 추세다. 올해 2월 과학기술정보통신부에 따르면, 2021년 랜섬웨어 피해 신고 건수는 223건으로 2020년 대비 76%로 급증했고, 1월 신고 건수 역시 19건으로 2020년 11건에서 많이 증가했다. 랜섬웨어용 보안솔루션은 아직 시장에 나와 있지 않다. 지난 5월 한국침해사고대응팀협의회가 주최한 ‘랜섬웨어 대응 콘테스트’에 나온 보안기업들도 주로 기존 보안솔루션의 기능을 활용하여 랜섬웨어에 대응하는 방법을 소개하였다. 결국 각 기업이 사업과 업무, IT 인프라와 보안솔루션을 고려하여 랜섬웨어 대응 전략을 짜고 구현해야 하는 상황이다. 랜섬웨어는 악성코드의 일종이고, 지능형 표적(APT) 공격 방식으로 많이 배포되므로, 이를 예방하기 위한 방법은 악성코드 및 APT 공격에 대한 대책과 그리 다르지 않다(“APT 공격, 어떻게 ...

랜섬웨어 록빗 콘티 악성코드 지능형 표적 공격 랩서스 비즈니스 연속성 서비스형 랜섬웨어 레빌 클롭 사이버 범죄 강은성 강은성의 보안 아키텍트

2022.07.11

올해 상반기에도 랜섬웨어 피해에 관한 뉴스가 줄을 이었다. 2월 미국의 글로벌 물류업체 익스피다이터스(Expeditors)가 랜섬웨어 공격을 받아 약 3주간 서비스를 하지 못해 미화 6,000만 달러(한화 약 7,440억 원) 이상의 손실을 봤고, 3월에는 미국의 글로벌 타이어 기업 브리지스톤(Bridgestone)이 러시아 랜섬웨어 갱단 록빗(Lockbit) 2.0의 공격으로 10일 동안 생산이 중단됐다. 4월에는 러시아 랜섬웨어 갱단 콘티(Conti)가 코스타리카 재무부를 공격하여 정부가 국가 비상사태를 선포했고, 5월에는 페루 정보기관을 해킹하기도 하였다.  블록체인 데이터 분석 기업 체이널리시스(Chainalysis)는 2021년에 몸값으로 지급된 가상자산만 6억 200만 달러(약 7,250억 원)로 파악됐다고 밝혔고, 사이버 경제 분석 기업 사이버시큐리티 벤처스(Cybersecurity Ventures)는 「2019 Official Annual Cybercrime Report」에서 2021년 랜섬웨어 피해를 20억 달러(약 2조 4,000억 원)로 추정하였다. 엄청난 규모다.   국내 피해도 증가하는 추세다. 올해 2월 과학기술정보통신부에 따르면, 2021년 랜섬웨어 피해 신고 건수는 223건으로 2020년 대비 76%로 급증했고, 1월 신고 건수 역시 19건으로 2020년 11건에서 많이 증가했다. 랜섬웨어용 보안솔루션은 아직 시장에 나와 있지 않다. 지난 5월 한국침해사고대응팀협의회가 주최한 ‘랜섬웨어 대응 콘테스트’에 나온 보안기업들도 주로 기존 보안솔루션의 기능을 활용하여 랜섬웨어에 대응하는 방법을 소개하였다. 결국 각 기업이 사업과 업무, IT 인프라와 보안솔루션을 고려하여 랜섬웨어 대응 전략을 짜고 구현해야 하는 상황이다. 랜섬웨어는 악성코드의 일종이고, 지능형 표적(APT) 공격 방식으로 많이 배포되므로, 이를 예방하기 위한 방법은 악성코드 및 APT 공격에 대한 대책과 그리 다르지 않다(“APT 공격, 어떻게 ...

2022.07.11

“양자 위협에의 선제적 대응”··· NIST, 새 포스트-퀀텀 암호화 표준 발표

퍼블릭 키 암호화 1개와 디지털 서명 알고리즘 3개가 결정됐다. 보안 분야의 새로운 발전을 촉진하는 계기일 수 있다.    양자 컴퓨터의 위력에 맞서 안전한 미래로 가는 길이 조금이나다 더 확실해졌다. 이번 주, 미국 국립표준기술원(National Institute of Standards and Technology, NIST)는 PQC(Pos-Quantum Cryptography) 표준을 위한 3차 콘테스트에서 선택된 알고리즘들을 발표했다. NIST는 여러 가지를 발표했다. 그 핵심에는 디지털 서명을 위한 키와 CRYSTALS-Dilithium을 규명하기 위한 CRYSTALS-Kyber라는 메인 알고리즘의 선택이 있었다. 둘 다 이론적으로 같은 접근방식을 사용한다. 동시에 구현하기가 더 간단할 수 있는 셈이다. NIST는 또한 디지털 서명 알고리즘 팔콘(Falcon)과 SPHINCS+를 표준화할 것이라고 발표했다. 또한 다른 여러 알고리즘을 지속적으로 연구할 것이며 4차 콘테스트에서 추가적으로 표준화될 수 있다고 전했다. NIST는 당초 결과가 2022년 초에 발표될 것이라고 약속했던 바 있다. 그러나 이후 기술 외적인 이유로 인해 결과가 지연됐다. 참고로 이 콘테스트는 2016년에 시작되었으며 서서히 발전하고 있다. 몇 년에 걸쳐 새 알고리즘의 약점이 드러날 수 있으며, 때로는 잠재적인 문제가 수십 년 동안 드러나지 않는다. NIST가 2명의 우승자를 선택한 가운데, 다수의 차점자를 지명한 배경이다. 2020년, 2차 대회 종료 후 NIST는 7개의 알고리즘을 결승 출전자로 선택하고 8개를 추가 연구용 대안으로 지정했다. 그 이후로 학계와 전문가들은 알고리즘을 조사하고 약점을 조사했으며 잠재적인 공격을 조사했다. NIST는 또한 NSA 같은 정부기관에게 평가를 요청했다. 이 콘테스트는 오늘날 보편적인 알고리즘 중 일부가 양자 컴퓨터의 등장으로 인해 위협받을 수 있다는 우려로 인해 시작됐다. RSA나 ‘Dif...

양자 컴퓨터 퀀텀 컴퓨터 NIST 보안 알고리즘 암호화 알고리즘 PQC

2022.07.08

퍼블릭 키 암호화 1개와 디지털 서명 알고리즘 3개가 결정됐다. 보안 분야의 새로운 발전을 촉진하는 계기일 수 있다.    양자 컴퓨터의 위력에 맞서 안전한 미래로 가는 길이 조금이나다 더 확실해졌다. 이번 주, 미국 국립표준기술원(National Institute of Standards and Technology, NIST)는 PQC(Pos-Quantum Cryptography) 표준을 위한 3차 콘테스트에서 선택된 알고리즘들을 발표했다. NIST는 여러 가지를 발표했다. 그 핵심에는 디지털 서명을 위한 키와 CRYSTALS-Dilithium을 규명하기 위한 CRYSTALS-Kyber라는 메인 알고리즘의 선택이 있었다. 둘 다 이론적으로 같은 접근방식을 사용한다. 동시에 구현하기가 더 간단할 수 있는 셈이다. NIST는 또한 디지털 서명 알고리즘 팔콘(Falcon)과 SPHINCS+를 표준화할 것이라고 발표했다. 또한 다른 여러 알고리즘을 지속적으로 연구할 것이며 4차 콘테스트에서 추가적으로 표준화될 수 있다고 전했다. NIST는 당초 결과가 2022년 초에 발표될 것이라고 약속했던 바 있다. 그러나 이후 기술 외적인 이유로 인해 결과가 지연됐다. 참고로 이 콘테스트는 2016년에 시작되었으며 서서히 발전하고 있다. 몇 년에 걸쳐 새 알고리즘의 약점이 드러날 수 있으며, 때로는 잠재적인 문제가 수십 년 동안 드러나지 않는다. NIST가 2명의 우승자를 선택한 가운데, 다수의 차점자를 지명한 배경이다. 2020년, 2차 대회 종료 후 NIST는 7개의 알고리즘을 결승 출전자로 선택하고 8개를 추가 연구용 대안으로 지정했다. 그 이후로 학계와 전문가들은 알고리즘을 조사하고 약점을 조사했으며 잠재적인 공격을 조사했다. NIST는 또한 NSA 같은 정부기관에게 평가를 요청했다. 이 콘테스트는 오늘날 보편적인 알고리즘 중 일부가 양자 컴퓨터의 등장으로 인해 위협받을 수 있다는 우려로 인해 시작됐다. RSA나 ‘Dif...

2022.07.08

블로그ㅣ정보보안 ‘영웅’은 필요하지 않다

많은 보안 전문가 사이에는 자신이 소속 기업의 ‘수호자’라는 점에서 특별하다는 믿음이 있다. 만약 그렇지 않다면 회사는 끔찍한 방식으로 붕괴되고 불타버릴 것이라고 생각한다. 또 침해가 만연하고 데이터가 곳곳에서 도난당할 것이라고 생각한다. 클라우드 환경은 적으로 가득 차 있다. 엔터프라이즈 시스템은 랜섬웨어에 잠식될 수 있다. 보안 전문가의 영웅적인 노력이 없다면 이런 일은 항상 일어날 것이다!    보안 전문가가 수호자일 수 있지만 보안 전문가만 그런 건 아니다. 데브옵스 팀도 항상 안정성을 방어한다. 변호사도 법적 책임에서 (회사를) 보호한다. 제품 관리팀과 영업팀도 급여를 보호한다(오히려 진정한 영웅이 아닐까?). 영웅 역할이 되려면 다른 역할도 있어야 한다. 이를테면 어떤 사람은 ‘악역’이 돼야 하고(예: 완벽하지 않은 제품을 감히 출시하는 악덕 제품 관리자 또는 모든 구성요소를 패치하면서 기능 파이프라인을 중단하지 않는 부주의한 엔지니어링 관리자 등), 다른 사람은 선택의 여지없이 ‘희생자’가 돼야 한다(예: 링크를 클릭하는 불행한 사용자 또는 리스크 관련 의사결정을 제대로 내리지 못하는 경영진 등).  그리곤 자신이 악역 또는 희생자보다 훨씬 더 많이 알고 있다고 생각하기 때문에 모두를 무시하기 시작한다. 전혀 사실이 아니다. 정보보안 전문가는 고도로 전문화된 지식을 가지고 있긴 하지만 대부분은 여전히 회사가 어떻게 돈을 버는지는 이해하지 못한다. 마지막으로 담당했던 프로젝트를 떠올려보자. 갑자기 기득권도 없고, 이해관계도 없는 누군가가 이상한 조언을 했다고 해보자. 이론적으로 또는 적어도 다른 상황에서는 해당 조언이 효과적일지 몰라도 현 프로젝트에서는 아니었다. 이것이 바로 비즈니스 파트너가 종종 정보보안 전문가를 바라보는 관점이다. 즉, 자신의 조언이 얼마나 유용하지 않은지 판단할 실질적인 경험이 없는 오만한 전문가다.  조력자가 돼라  자신을 영웅으로 생각하는 대신 조력자로 생각할 때다(원...

정보보안 사이버 보안 제품 보안 IT 보안 랜섬웨어

2022.07.05

많은 보안 전문가 사이에는 자신이 소속 기업의 ‘수호자’라는 점에서 특별하다는 믿음이 있다. 만약 그렇지 않다면 회사는 끔찍한 방식으로 붕괴되고 불타버릴 것이라고 생각한다. 또 침해가 만연하고 데이터가 곳곳에서 도난당할 것이라고 생각한다. 클라우드 환경은 적으로 가득 차 있다. 엔터프라이즈 시스템은 랜섬웨어에 잠식될 수 있다. 보안 전문가의 영웅적인 노력이 없다면 이런 일은 항상 일어날 것이다!    보안 전문가가 수호자일 수 있지만 보안 전문가만 그런 건 아니다. 데브옵스 팀도 항상 안정성을 방어한다. 변호사도 법적 책임에서 (회사를) 보호한다. 제품 관리팀과 영업팀도 급여를 보호한다(오히려 진정한 영웅이 아닐까?). 영웅 역할이 되려면 다른 역할도 있어야 한다. 이를테면 어떤 사람은 ‘악역’이 돼야 하고(예: 완벽하지 않은 제품을 감히 출시하는 악덕 제품 관리자 또는 모든 구성요소를 패치하면서 기능 파이프라인을 중단하지 않는 부주의한 엔지니어링 관리자 등), 다른 사람은 선택의 여지없이 ‘희생자’가 돼야 한다(예: 링크를 클릭하는 불행한 사용자 또는 리스크 관련 의사결정을 제대로 내리지 못하는 경영진 등).  그리곤 자신이 악역 또는 희생자보다 훨씬 더 많이 알고 있다고 생각하기 때문에 모두를 무시하기 시작한다. 전혀 사실이 아니다. 정보보안 전문가는 고도로 전문화된 지식을 가지고 있긴 하지만 대부분은 여전히 회사가 어떻게 돈을 버는지는 이해하지 못한다. 마지막으로 담당했던 프로젝트를 떠올려보자. 갑자기 기득권도 없고, 이해관계도 없는 누군가가 이상한 조언을 했다고 해보자. 이론적으로 또는 적어도 다른 상황에서는 해당 조언이 효과적일지 몰라도 현 프로젝트에서는 아니었다. 이것이 바로 비즈니스 파트너가 종종 정보보안 전문가를 바라보는 관점이다. 즉, 자신의 조언이 얼마나 유용하지 않은지 판단할 실질적인 경험이 없는 오만한 전문가다.  조력자가 돼라  자신을 영웅으로 생각하는 대신 조력자로 생각할 때다(원...

2022.07.05

‘공갈·협박·사칭’까지… 보안연구원이 전하는 살벌한 경험담

사이버 범죄자를 비롯해 정부의 지원을 받는 해커 조직을 수사하는 일은 많은 위험을 감수해야 하는 직무다. 일부 보안 연구자들은 신변을 보호하려 거주지의 보안까지 신경 쓸 만큼 일상에서도 위협에 시달린다.    사이버 공격이 점점 더 교묘해지고 다양해지는 추세다. 이처럼 위험한 디지털 세상을 안전하게 지키고자 매일 악전고투하고 있는 집단이 있다. 바로 사이버 보안 연구원들이다.  이들은 때때로 신변의 위협을 받는다. 이 분야에 오래 종사한 사람이라면 누구나 어떤 정보 보안 전문가가 협박받았다는 이야기를 우연히 접했거나 직접 경험한 적이 있을 것이다. 가족을 이유로 익명을 요구한 한 보안 전문가는 "몇몇 사이버 범죄 수사자는 지난 몇 년 동안 살해 협박을 받았다"라고 밝혔다. (연결어) 일부는 잠적했거나 다른 직업으로 전향했다. 이들은 자식이 "부모님이 보안 연구원이라서 항상 조심하면서 살아야 해"라고 말하는 것을 들으면서까지 이 일을 하고 싶지 않다며 심정을 털어놓았다고 그는 전했다.    정보 보안 트위터와 컨퍼런스에서 연구원들은 이런 사건을 공유하고, 스스로를 보호하는 방법에 대해 이야기하곤 한다. 그들은 경찰이나 FBI에 연락하는 것은 거의 도움이 되지 않는다고 말했다. 시타델 잠금 툴스(Citadel Lock Tools)의 보안 전문가 매트 스미스는 "연방 사법기관이 도움을 줄 수 있다고, 현지 경찰서에 연락하라고 말하고 싶지만 내가 경험한 바로는 아무런 효과가 없다"라고 말했다. 그는 "한 사건의 용의자를 체포하는 것만 해도 수개월이 걸린다. 사실상 아예 잡히지 않는 경우가 수두룩하다"라고 하소연했다.  몇몇 연구원은 이러한 위협을 명예의 표시로 삼는다. 또한 자신의 신변을 보호하기 위해 온갖 방법을 동원한다. 디지털 발자국을 최소화하고, 소셜 미디어를 통해 접근하는 사람의 배경 조사를 실시한다. 또한 이메일 대신 편지를 사용하며, 온라인에서 가족과 연관될 수 있는 어떤 것도 게시하지 않는...

보안 랜섬웨어 정부지원조직 사이버 범죄 버그헌터

2022.06.24

사이버 범죄자를 비롯해 정부의 지원을 받는 해커 조직을 수사하는 일은 많은 위험을 감수해야 하는 직무다. 일부 보안 연구자들은 신변을 보호하려 거주지의 보안까지 신경 쓸 만큼 일상에서도 위협에 시달린다.    사이버 공격이 점점 더 교묘해지고 다양해지는 추세다. 이처럼 위험한 디지털 세상을 안전하게 지키고자 매일 악전고투하고 있는 집단이 있다. 바로 사이버 보안 연구원들이다.  이들은 때때로 신변의 위협을 받는다. 이 분야에 오래 종사한 사람이라면 누구나 어떤 정보 보안 전문가가 협박받았다는 이야기를 우연히 접했거나 직접 경험한 적이 있을 것이다. 가족을 이유로 익명을 요구한 한 보안 전문가는 "몇몇 사이버 범죄 수사자는 지난 몇 년 동안 살해 협박을 받았다"라고 밝혔다. (연결어) 일부는 잠적했거나 다른 직업으로 전향했다. 이들은 자식이 "부모님이 보안 연구원이라서 항상 조심하면서 살아야 해"라고 말하는 것을 들으면서까지 이 일을 하고 싶지 않다며 심정을 털어놓았다고 그는 전했다.    정보 보안 트위터와 컨퍼런스에서 연구원들은 이런 사건을 공유하고, 스스로를 보호하는 방법에 대해 이야기하곤 한다. 그들은 경찰이나 FBI에 연락하는 것은 거의 도움이 되지 않는다고 말했다. 시타델 잠금 툴스(Citadel Lock Tools)의 보안 전문가 매트 스미스는 "연방 사법기관이 도움을 줄 수 있다고, 현지 경찰서에 연락하라고 말하고 싶지만 내가 경험한 바로는 아무런 효과가 없다"라고 말했다. 그는 "한 사건의 용의자를 체포하는 것만 해도 수개월이 걸린다. 사실상 아예 잡히지 않는 경우가 수두룩하다"라고 하소연했다.  몇몇 연구원은 이러한 위협을 명예의 표시로 삼는다. 또한 자신의 신변을 보호하기 위해 온갖 방법을 동원한다. 디지털 발자국을 최소화하고, 소셜 미디어를 통해 접근하는 사람의 배경 조사를 실시한다. 또한 이메일 대신 편지를 사용하며, 온라인에서 가족과 연관될 수 있는 어떤 것도 게시하지 않는...

2022.06.24

보안 리더가 흔히 범하는 ‘취약성 관리’ 실수 10가지

신용 보고 기관 에퀴팩스(Equifax)에서 발생한 2017년의 대규모 데이터 유출을 비롯해, 다수의 유출 사고가 패치 되지 않은 취약성으로 인해 발생했다. 2019년 트립와이어(Tripwire)의 조사에 따르면 전체 유출 중 27%는 패치 되지 않은 취약성에 의해 발생했으며, 2018년 포네몬(Ponemon)의 조사에서는 60%라는 엄청난 수치를 기록했다. 보안 전문가에게는 전혀 놀라운 이야기가 아닐 것이다. 지난 7년 동안 매년 확인되는 취약성의 수가 증가했다. 이와 동시에 보안팀들은 안전한 재택근무를 지원하고 다른 팬데믹 관련 필요를 해결하면서 인재 채용 문제까지 처리하느라 매우 바쁜 상황이다. 즉 취약성 관리 프로그램 개선이 최우선순위가 아닌 시절이었다. 베테랑 보안 책임자들은 보편적인 실수가 이어지는 가운데 해결할 방안이 있다고 조언하고 있다. 보안 리더가 자주 범하는 10가지 실수를 살펴본다.   임원의 지원 확보 실패 좋은 취약성 관리 프로그램에는 보안팀만으로는 부족하다. 위험 관련 결정에는 임원의 참여가 필요하며, 패치는 IT 전문지식이 필요하다. 업데이트로 인한 다운타임은 여러 비즈니스 기능에 영향을 미친다. 즉 이 작업을 잘 수행하기 위해서는 조직 내 여러 구성원의 지원이 필요하며, 그들은 기업 내 최상위 리더들로부터 이런 노력을 위한 지원을 확보할 때 지원을 받을 가능성이 높다고 관리형 서비스 제공자 쓰라이브(Thrive)의 CTO 마이클 그레이가 말했다. 취약성 관리 노력에 대한 임원 수준의 지원을 받지 못한 CISO는 IT 및 비즈니스 부서의 반발로 인해 방해를 받을 수 있다. 하지만 좋은 소식도 있다. 사이버 보안이 이사회 수준의 우려사항이 되면서 CISO들이 점차 필요한 임원 지원을 확보하고 있다. 실제로 가트너의 2021년 임원 설문조사에 따르면, 이사회 중 88%가 현재 사이버 보안을 비즈니스 위험으로 보고 있었다. 공동 책임감 조성하지 않기 언더 아머(Under Armour)의 CISO 알렉스 아투말릴리...

취약성 취약점 관리 VM CISO

2022.06.16

신용 보고 기관 에퀴팩스(Equifax)에서 발생한 2017년의 대규모 데이터 유출을 비롯해, 다수의 유출 사고가 패치 되지 않은 취약성으로 인해 발생했다. 2019년 트립와이어(Tripwire)의 조사에 따르면 전체 유출 중 27%는 패치 되지 않은 취약성에 의해 발생했으며, 2018년 포네몬(Ponemon)의 조사에서는 60%라는 엄청난 수치를 기록했다. 보안 전문가에게는 전혀 놀라운 이야기가 아닐 것이다. 지난 7년 동안 매년 확인되는 취약성의 수가 증가했다. 이와 동시에 보안팀들은 안전한 재택근무를 지원하고 다른 팬데믹 관련 필요를 해결하면서 인재 채용 문제까지 처리하느라 매우 바쁜 상황이다. 즉 취약성 관리 프로그램 개선이 최우선순위가 아닌 시절이었다. 베테랑 보안 책임자들은 보편적인 실수가 이어지는 가운데 해결할 방안이 있다고 조언하고 있다. 보안 리더가 자주 범하는 10가지 실수를 살펴본다.   임원의 지원 확보 실패 좋은 취약성 관리 프로그램에는 보안팀만으로는 부족하다. 위험 관련 결정에는 임원의 참여가 필요하며, 패치는 IT 전문지식이 필요하다. 업데이트로 인한 다운타임은 여러 비즈니스 기능에 영향을 미친다. 즉 이 작업을 잘 수행하기 위해서는 조직 내 여러 구성원의 지원이 필요하며, 그들은 기업 내 최상위 리더들로부터 이런 노력을 위한 지원을 확보할 때 지원을 받을 가능성이 높다고 관리형 서비스 제공자 쓰라이브(Thrive)의 CTO 마이클 그레이가 말했다. 취약성 관리 노력에 대한 임원 수준의 지원을 받지 못한 CISO는 IT 및 비즈니스 부서의 반발로 인해 방해를 받을 수 있다. 하지만 좋은 소식도 있다. 사이버 보안이 이사회 수준의 우려사항이 되면서 CISO들이 점차 필요한 임원 지원을 확보하고 있다. 실제로 가트너의 2021년 임원 설문조사에 따르면, 이사회 중 88%가 현재 사이버 보안을 비즈니스 위험으로 보고 있었다. 공동 책임감 조성하지 않기 언더 아머(Under Armour)의 CISO 알렉스 아투말릴리...

2022.06.16

‘펜데믹이 끝이 아니었다’··· IT가 직면한 11가지 이슈

경제와 시장이 급변하고 지구 곳곳의 분쟁이 격화됨에 따라 CIO 아젠다 또한 격렬하게 요동치고 있다.  CIO는 빠른 변화에 익숙하다. 새로운 기술이 등장하고 비즈니스 요구 상황이 변화해왔다. 그러나 오늘날 CIO들이 직면한 격동은 과거의 수준을 한참 넘어선다. 전염병 요인과 지정학정 불안성, 경제적 변동성이 가세했기 대문이다.  이러한 역동으로 인해 IT 리더 다수는 올해 우선순위 목록을 재구성하고 있다. 현재 IT 리더들이 좀 더 주목하고 있는 대상들을 살펴본다.    트랜스포메이션에 대한 요구 증가 업계의 여러 CIO, 연구원, 임원 자문가들이 확인한 주요 문제 중 하나는 IT 부문의 업무량 관리다. 슈나이더 일렉트릭(Scheneider Electric)의 CIO 엘리자베스 하켄슨은 “기업 전반에 걸쳐 동시다발적으로 디지털 역량에 대한 수요가 증가하고 있다”라고 말했다. 하켄슨은 “과거에는 HR 또는 영업 부문에 디지털 전환 [이니셔티브]가 있었던 형태다. 하지만이제는 모든 부문에서 E2E(End to End) 디지털 전환이 나타나고 있으며 지금도 가속화되고 있다”라고 설명했다. 이런 수요 증가는 기업들이 팬데믹에 대응하여 지난 2년 동안 수행한 각종 디지털화의 결과물이라고 그녀가 말했다. 더욱 발전된 전환의 기초가 마련됨에 따라 새로운 후속 기회가 생겨났으며, 이로 인해 조직들은 이 기회를 잡아야 한다는 압박을 느끼고 있다. 하켄슨은 “또한 우리는 이 모든 것이 연결되어 있다는 것을 배우고 있다”라고 말하면서 영업 등 한 영역에서의 디지털 전환 이니셔티브에는 공급망 등 지원 영역의 전환이 수반되어야 한다는 사실을 기업 내 많이 이들이 깨닫고 있다고 전했다. “그래서 ‘횡적 전환’(transversal transformation)에 집중하고 있다”라고 그녀는 덧붙였다. 고객 경험 시장 압력으로 인해 고객 경험이 최고의 CIO 우려사항이 되고 있다고 경영 컨설팅 기업 맥킨지(McKinsey & Co...

팬데믹 전쟁 고객 경험 우선순위 스플린터넷 공급망 인플레이션 스태그플레이션 채용

2022.06.15

경제와 시장이 급변하고 지구 곳곳의 분쟁이 격화됨에 따라 CIO 아젠다 또한 격렬하게 요동치고 있다.  CIO는 빠른 변화에 익숙하다. 새로운 기술이 등장하고 비즈니스 요구 상황이 변화해왔다. 그러나 오늘날 CIO들이 직면한 격동은 과거의 수준을 한참 넘어선다. 전염병 요인과 지정학정 불안성, 경제적 변동성이 가세했기 대문이다.  이러한 역동으로 인해 IT 리더 다수는 올해 우선순위 목록을 재구성하고 있다. 현재 IT 리더들이 좀 더 주목하고 있는 대상들을 살펴본다.    트랜스포메이션에 대한 요구 증가 업계의 여러 CIO, 연구원, 임원 자문가들이 확인한 주요 문제 중 하나는 IT 부문의 업무량 관리다. 슈나이더 일렉트릭(Scheneider Electric)의 CIO 엘리자베스 하켄슨은 “기업 전반에 걸쳐 동시다발적으로 디지털 역량에 대한 수요가 증가하고 있다”라고 말했다. 하켄슨은 “과거에는 HR 또는 영업 부문에 디지털 전환 [이니셔티브]가 있었던 형태다. 하지만이제는 모든 부문에서 E2E(End to End) 디지털 전환이 나타나고 있으며 지금도 가속화되고 있다”라고 설명했다. 이런 수요 증가는 기업들이 팬데믹에 대응하여 지난 2년 동안 수행한 각종 디지털화의 결과물이라고 그녀가 말했다. 더욱 발전된 전환의 기초가 마련됨에 따라 새로운 후속 기회가 생겨났으며, 이로 인해 조직들은 이 기회를 잡아야 한다는 압박을 느끼고 있다. 하켄슨은 “또한 우리는 이 모든 것이 연결되어 있다는 것을 배우고 있다”라고 말하면서 영업 등 한 영역에서의 디지털 전환 이니셔티브에는 공급망 등 지원 영역의 전환이 수반되어야 한다는 사실을 기업 내 많이 이들이 깨닫고 있다고 전했다. “그래서 ‘횡적 전환’(transversal transformation)에 집중하고 있다”라고 그녀는 덧붙였다. 고객 경험 시장 압력으로 인해 고객 경험이 최고의 CIO 우려사항이 되고 있다고 경영 컨설팅 기업 맥킨지(McKinsey & Co...

2022.06.15

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.13