Offcanvas

CCPA

CIO가 조심해야 할 컴플라이언스 실수 7가지

컴플라이언스는 거의 모든 기업에게 피할 수 없는 현실이다. 특히 의료, 금융서비스, 정부 등 규제가 엄격한 산업에서는 더욱 그렇다. 컴플라이언스를 법률, 컴플라이언스, 위험 관리, 기타 부서가 담당하는 경우가 많지만 IT 또한 분명 조직의 컴플라이언스 노력에 개입돼 있다. CIO와 다른 기술 임원들은 데이터, 프라이버시, 보안, 기타 기술 요소가 포함된 모든 규정을 인지해야 한다. 그들은 조직이 미준수로 인해 엄청난 벌금을 선고받지 않도록 하는 데 중요한 역할을 할 수 있다. 의료 및 관련 분야의 IT 임원들은 오랫동안 전자 의료 정보의 보안 및 프라이버시를 의무화하는 HIPAA 등의 영향에 대응해야 했다. 하지만 규제 환경이 점차 복잡해졌고, EU의 GDPR과 CCPA 등 데이터 프라이버시에 관한 너무나 많은 새로운 규칙이 등장하면서 상황이 좀더 심각해졌다. 수십 개의 국가 및 미국의 주정부들은 개인 정보를 보호하기 위해 유사한 규정을 따르고 있다. 가트너는 2023년 말까지 현대의 프라이버시 법률이 전 세계 인구의 75%의 개인 정보에 적용될 것으로 전망했다. IT시스템, 네트워크, 장치, 데이터와 관련된 규제 컴플라이언스는 오늘날 기업들이 피할 수 없는 현실이며, CIO들에게 상당한 우려를 유발하고 있다. 핵심은 문제를 유발하지 않으면서 컴플라이언스 노력을 돕는 것이다. 전문가들이 말하는 피해야 할 실수에 관해 알아본다.   감사를 적으로 취급하기 방어적인 자세를 취하지 않는 것이 쉽지 않다고 미들필드 뱅킹(Middlefield Banking)의 CIO 개리 컨이 말했다. 감사자와 조사자가 IT 이니셔티브와 컴플라이언스에 대한 영향에 관해 질문할 때 특히 그렇다. 그는 “잘 수립된 전략을 들쑤시고, 이에 대해 의견을 이야기할 것이다”라고 말했다. 하지만 마찰은 도움이 되지 않는다. 컨은 “항상 면대면으로 논의하고 그들의 관점에 관해 대화하며 그것이 환경을 개선할 수 있는 가능성에 관해 고민하는 것이 더 좋다. 컴플라이언스 규칙을 만...

컴플라이언스 규제준수 감사 프라이버시 데이터 보안 데이터 보호 GDPR CCPA 거버넌스

2021.11.25

컴플라이언스는 거의 모든 기업에게 피할 수 없는 현실이다. 특히 의료, 금융서비스, 정부 등 규제가 엄격한 산업에서는 더욱 그렇다. 컴플라이언스를 법률, 컴플라이언스, 위험 관리, 기타 부서가 담당하는 경우가 많지만 IT 또한 분명 조직의 컴플라이언스 노력에 개입돼 있다. CIO와 다른 기술 임원들은 데이터, 프라이버시, 보안, 기타 기술 요소가 포함된 모든 규정을 인지해야 한다. 그들은 조직이 미준수로 인해 엄청난 벌금을 선고받지 않도록 하는 데 중요한 역할을 할 수 있다. 의료 및 관련 분야의 IT 임원들은 오랫동안 전자 의료 정보의 보안 및 프라이버시를 의무화하는 HIPAA 등의 영향에 대응해야 했다. 하지만 규제 환경이 점차 복잡해졌고, EU의 GDPR과 CCPA 등 데이터 프라이버시에 관한 너무나 많은 새로운 규칙이 등장하면서 상황이 좀더 심각해졌다. 수십 개의 국가 및 미국의 주정부들은 개인 정보를 보호하기 위해 유사한 규정을 따르고 있다. 가트너는 2023년 말까지 현대의 프라이버시 법률이 전 세계 인구의 75%의 개인 정보에 적용될 것으로 전망했다. IT시스템, 네트워크, 장치, 데이터와 관련된 규제 컴플라이언스는 오늘날 기업들이 피할 수 없는 현실이며, CIO들에게 상당한 우려를 유발하고 있다. 핵심은 문제를 유발하지 않으면서 컴플라이언스 노력을 돕는 것이다. 전문가들이 말하는 피해야 할 실수에 관해 알아본다.   감사를 적으로 취급하기 방어적인 자세를 취하지 않는 것이 쉽지 않다고 미들필드 뱅킹(Middlefield Banking)의 CIO 개리 컨이 말했다. 감사자와 조사자가 IT 이니셔티브와 컴플라이언스에 대한 영향에 관해 질문할 때 특히 그렇다. 그는 “잘 수립된 전략을 들쑤시고, 이에 대해 의견을 이야기할 것이다”라고 말했다. 하지만 마찰은 도움이 되지 않는다. 컨은 “항상 면대면으로 논의하고 그들의 관점에 관해 대화하며 그것이 환경을 개선할 수 있는 가능성에 관해 고민하는 것이 더 좋다. 컴플라이언스 규칙을 만...

2021.11.25

잇단 보안 침해 사건으로 주목 '클라우드 보안 형상 관리'

최근 캐피탈원에서 발생한 보안 침해 사건으로 새로운 보안 소프트웨어에 대한 관심이 높아지고 있다. 이 새로운 기술은 클라우드 보안 형상 관리(Cloud Security Posture Management, CSPM)라고 알려져 있고, 클라우드 환경을 상세히 조사하고, 대부분 인간 오류에서 기인하는 구성 문제 및 컴플라이언스 위험을 인간에게 경고한다.  과거 아마존웹서비스(AWS)에서 일했던 직원이 캐피탈원의 웹 애플리케이션 방화벽(WAF)의 구성 오류를 악용해 데이터를 탈취하여 기트허브에 저장한 사건이 있었다. 캐피탈원은 AWS에서 호스팅 되는 업무를 목적으로 WAF를 이용 중이었다. 2018년에는 월마트의 한 협력사와 고대디(GoDaddy)가 AWS스토리지 인스턴스를 인터넷에서 접근할 수 있도록 방치하며 위험에 노출된 적이 있다.    고객의 오류 구성이 문제  대다수 CIO는 데이터가 클라우드에서 더 안전하다고 말한다. 그러나 인간 오류는 아무리 견고한 컴퓨터 네트워크라도 공격에 취약하게 만든다. 가트너의 애널리스트인 닐 맥도널드에 따르면 취약점은 부분적으로 다양한 허가 및 액세스 포인트 때문이다. 가트너는 2025년 실제 99%의 클라우드 보안 실패가 고객의 실수로 발생할 것으로 예측했다.  맥도널드는 “기업이 가장 우려하는 문제는 이들을 위험에 노출시키는 오류 구성이나 실수”라고 지적했다.  랜드 오레이크스(Land O’Lakes)의 CISO인 토니 테일러는 데브옵스 개발자가 마감 시한에 쫓겨 서둘러 새 가상 머신을 가동하다가 무심코 네트워크를 위험에 노출시킨다고 예를 들어 설명했다.  일반적으로, 오류 구성 실수는 클라우드 스토리지 폴더와 데이터 전송 프로토콜을 노출시켜 인터넷에서 접근할 수 있도록 만든다. 아울러 이용자 계정에 과도한 접근 권한을 주는 것도 문제다. 과거에는, 직원이 수작업으로 이러한 허점을 검사했고, 심지어 취약점을 검출하기 위해 자동화된 스크립트를 작성하기도 ...

CIO 디비 클라우드 Divvy Cloud CSPM Cloud Security Posture Management CCPA GDPR 보안 침해 캐피탈원 아마존웹서비스 팔로알토 네트웍스 클라우드 보안 AWS 맥아피 가트너 클라우드 보안 형상 관리

2020.03.03

최근 캐피탈원에서 발생한 보안 침해 사건으로 새로운 보안 소프트웨어에 대한 관심이 높아지고 있다. 이 새로운 기술은 클라우드 보안 형상 관리(Cloud Security Posture Management, CSPM)라고 알려져 있고, 클라우드 환경을 상세히 조사하고, 대부분 인간 오류에서 기인하는 구성 문제 및 컴플라이언스 위험을 인간에게 경고한다.  과거 아마존웹서비스(AWS)에서 일했던 직원이 캐피탈원의 웹 애플리케이션 방화벽(WAF)의 구성 오류를 악용해 데이터를 탈취하여 기트허브에 저장한 사건이 있었다. 캐피탈원은 AWS에서 호스팅 되는 업무를 목적으로 WAF를 이용 중이었다. 2018년에는 월마트의 한 협력사와 고대디(GoDaddy)가 AWS스토리지 인스턴스를 인터넷에서 접근할 수 있도록 방치하며 위험에 노출된 적이 있다.    고객의 오류 구성이 문제  대다수 CIO는 데이터가 클라우드에서 더 안전하다고 말한다. 그러나 인간 오류는 아무리 견고한 컴퓨터 네트워크라도 공격에 취약하게 만든다. 가트너의 애널리스트인 닐 맥도널드에 따르면 취약점은 부분적으로 다양한 허가 및 액세스 포인트 때문이다. 가트너는 2025년 실제 99%의 클라우드 보안 실패가 고객의 실수로 발생할 것으로 예측했다.  맥도널드는 “기업이 가장 우려하는 문제는 이들을 위험에 노출시키는 오류 구성이나 실수”라고 지적했다.  랜드 오레이크스(Land O’Lakes)의 CISO인 토니 테일러는 데브옵스 개발자가 마감 시한에 쫓겨 서둘러 새 가상 머신을 가동하다가 무심코 네트워크를 위험에 노출시킨다고 예를 들어 설명했다.  일반적으로, 오류 구성 실수는 클라우드 스토리지 폴더와 데이터 전송 프로토콜을 노출시켜 인터넷에서 접근할 수 있도록 만든다. 아울러 이용자 계정에 과도한 접근 권한을 주는 것도 문제다. 과거에는, 직원이 수작업으로 이러한 허점을 검사했고, 심지어 취약점을 검출하기 위해 자동화된 스크립트를 작성하기도 ...

2020.03.03

비자, 핀테크 업체 인수··· '개인정보 재사용' 우려

건강, 금융 등 사용자가 개인정보 수집 및 이용을 동의해야 하는 서비스들이 있다. 이러한 서비스 업체가 대기업에 인수된다면? 거대 기업들의 인수합병 과정에서 데이터 관련 이슈가 늘어나고 있다. 인수 기업이 피인수 기업의 데이터를 어떻게 활용할지에 대한 우려가 커지고 있다.  비자는 2020년 1월 핀테크 스타트업 플레이드(Plaid)를 인수한다고 발표했다. 인수 금액은 미화 53억 달러(한화 약 6조 원)이다. 미국 샌프란시스코에 본사를 둔 플레이드는 트랜스퍼와이즈 (Transferwise), 벤모 (Venmo) 등 다양한 핀테크 앱과 사용자의 은행 계좌를 연결하는 네트워크 인프라를 개발했다.  언뜻 보기에 이번 인수는 비자가 디지털 시대에 맞는 포트폴리오를 구축하고, 전통적인 수익원이었던 카드 거래를 넘어서 디지털 결제 시장에 대응하려는 전략으로 풀이된다. 그러나 플레이드의 기존 고객들은 이 거래의 진짜 의미를 알고 있을까?    비자가 얻는 것은 무엇인가?  테크놀로지 애널리스트 벤 톰슨은 “비자와 플레이드는 비슷한 측면이 있다. 특히 비자의 초기 네트워크와 비슷하다. 플레이드는 비자가 인수한 핀테크 스타트업이다”라고 말하며 다음과 같이 설명을 시작했다.   그에 따르면 또 다른 핀테크 스타트업인 스프라이트(Stripe)처럼 플레이드는 디지털 파이프라인을 제공한다. 이 파이프라인을 통해 소프트웨어 개발자들은 자신들의 앱과 고객의 은행 계좌 정보를 바로 연결할 수 있다. 금융 정보를 얻기 위해 일일이 각 은행과 제휴를 맺을 필요가 없다.  그런데 미국의 경우 오픈뱅킹과 관련한 정책이 부재해 은행들은 표준화된 API를 가지고 있지 않다고 그는 언급했다. 여기서 플레이드는 사용자의 은행 계좌와 제3의 앱을 연결하는 중개 역할을 한다. 즉 플레이드는 사용자의 로그인 인증 정보를 복사하고, 안전한 거래를 중개한다. 이는 스크린 스크래핑(Screen scraping)으로 알려져 있다. ...

데이터 캘리포니아주개인정보보호법 유럽연합개인정보보호법 스크린스크래핑 디지털자산 CCPA 트랜스퍼와이즈 벤모 디지털결제 GDPR 핀테크 비자 개인정보보호 개인정보 플레이드

2020.01.22

건강, 금융 등 사용자가 개인정보 수집 및 이용을 동의해야 하는 서비스들이 있다. 이러한 서비스 업체가 대기업에 인수된다면? 거대 기업들의 인수합병 과정에서 데이터 관련 이슈가 늘어나고 있다. 인수 기업이 피인수 기업의 데이터를 어떻게 활용할지에 대한 우려가 커지고 있다.  비자는 2020년 1월 핀테크 스타트업 플레이드(Plaid)를 인수한다고 발표했다. 인수 금액은 미화 53억 달러(한화 약 6조 원)이다. 미국 샌프란시스코에 본사를 둔 플레이드는 트랜스퍼와이즈 (Transferwise), 벤모 (Venmo) 등 다양한 핀테크 앱과 사용자의 은행 계좌를 연결하는 네트워크 인프라를 개발했다.  언뜻 보기에 이번 인수는 비자가 디지털 시대에 맞는 포트폴리오를 구축하고, 전통적인 수익원이었던 카드 거래를 넘어서 디지털 결제 시장에 대응하려는 전략으로 풀이된다. 그러나 플레이드의 기존 고객들은 이 거래의 진짜 의미를 알고 있을까?    비자가 얻는 것은 무엇인가?  테크놀로지 애널리스트 벤 톰슨은 “비자와 플레이드는 비슷한 측면이 있다. 특히 비자의 초기 네트워크와 비슷하다. 플레이드는 비자가 인수한 핀테크 스타트업이다”라고 말하며 다음과 같이 설명을 시작했다.   그에 따르면 또 다른 핀테크 스타트업인 스프라이트(Stripe)처럼 플레이드는 디지털 파이프라인을 제공한다. 이 파이프라인을 통해 소프트웨어 개발자들은 자신들의 앱과 고객의 은행 계좌 정보를 바로 연결할 수 있다. 금융 정보를 얻기 위해 일일이 각 은행과 제휴를 맺을 필요가 없다.  그런데 미국의 경우 오픈뱅킹과 관련한 정책이 부재해 은행들은 표준화된 API를 가지고 있지 않다고 그는 언급했다. 여기서 플레이드는 사용자의 은행 계좌와 제3의 앱을 연결하는 중개 역할을 한다. 즉 플레이드는 사용자의 로그인 인증 정보를 복사하고, 안전한 거래를 중개한다. 이는 스크린 스크래핑(Screen scraping)으로 알려져 있다. ...

2020.01.22

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2023 International Data Group. All rights reserved.

10.5.0.9