Offcanvas

���������

본지 칼럼니스트 강은성 대표, 정보보호 조직의 유기적 운영방안 교육

<CIO Korea>의 칼럼니스트인 CISO 랩(CISO Lab) 강은성 대표가 오는 9월 15일부터 16일까지 총 16시간 동안 정보보호 조직의 유기적 운영방안에 대해 강의할 예정이다. 이번 교육은 지난 7월 열렸던 한국침해사고대응팀협의회(CONCERT)의 1기 정보보호 조직 운영역량 강화교육에 이어 2기로 진행되며 특히 정보보호 조직의 유기적 운영방안을 중점적으로 다룬다.  강 대표는 이번 교육에서 정보보호조직 운영의 기본부터 보안위협과 위기관리, 보안업무 추진과 협업, 보안 문화 등 현실적인 내용들을 다룰 예정이다. 이번 교육은 1기 교육 수료자들의 의견을 반영해 개선한 것으로 사고발생시 기업 내부 대응체계 구축, 대 언론 대응절차, 대 고객 대응절차, 대수사관 대응절차 등의 생생한 경험과 조언을 듣는 자리가 될 것이다. 이 교육에 대한 자세한 사항은 한국침해사고대응팀협의회(CONCERT)에서 참고할 수 있다. ciokr@idg.co.kr  

CSO CISO 보안 교육 노하우 강은성 사고 대응 CISO Lab

2015.09.09

<CIO Korea>의 칼럼니스트인 CISO 랩(CISO Lab) 강은성 대표가 오는 9월 15일부터 16일까지 총 16시간 동안 정보보호 조직의 유기적 운영방안에 대해 강의할 예정이다. 이번 교육은 지난 7월 열렸던 한국침해사고대응팀협의회(CONCERT)의 1기 정보보호 조직 운영역량 강화교육에 이어 2기로 진행되며 특히 정보보호 조직의 유기적 운영방안을 중점적으로 다룬다.  강 대표는 이번 교육에서 정보보호조직 운영의 기본부터 보안위협과 위기관리, 보안업무 추진과 협업, 보안 문화 등 현실적인 내용들을 다룰 예정이다. 이번 교육은 1기 교육 수료자들의 의견을 반영해 개선한 것으로 사고발생시 기업 내부 대응체계 구축, 대 언론 대응절차, 대 고객 대응절차, 대수사관 대응절차 등의 생생한 경험과 조언을 듣는 자리가 될 것이다. 이 교육에 대한 자세한 사항은 한국침해사고대응팀협의회(CONCERT)에서 참고할 수 있다. ciokr@idg.co.kr  

2015.09.09

강은성의 보안 아키텍트 | '해킹팀'은 보안업체가 아니다

한 정보보안업체에서 연구소장으로 일할 때다. 외부인 대상으로 특강을 할 때 악성코드(컴퓨터 바이러스)를 직접 만들어 배포하지 않느냐는 질문을 받은 적이 있다. 안티바이러스(백신) 제품이 더 잘 팔리게 하기 위해 그럴 수 있지 않느냐는 질문이었다. 답변은 간단했다. 당연히 아니다. 첫째, 보안업체가 굳이 악성코드를 만들지 않아도 대응해야 하는 악성코드가 엄청나게 많고, 둘째, 무엇보다도 보안업체는 고객의 '신뢰'를 먹고 살기 때문에 악성코드를 혹시 제작, 배포했다가 알려지면 회사가 그대로 망할 수밖에 없다. 셋째, 불법이다. 따라서 그런 일은 생각조차 할 수 없다. 어떤 보안업체도 마찬가지 입장일 것이다. 2007년 9월에 한 물리보안업체의 직원이 자신의 담당지역 고객의 집을 턴 강도 사건이 발생했을 때, 이에 책임을 지고 그 회사 사장과 해당 지역 책임을 맡은 전무가 동시에 사임하였다. 직원이 수천 명인 회사에서 사장이 어떻게 한 직원의 일탈까지 책임질 수 있겠느냐마는 고객의 재산과 생명을 지켜야 할 회사로서는 치명적인 일이기 때문에 이러한 강수를 두지 않았나 싶다. 보안회사에서는 개인의 실수나 일탈을 예방하기 위해 직원들을 늘 교육하고 여러 수단과 체계를 운영하지만 각 개인의 행동을 완벽히 통제하는 것은 사실상 어렵다. 그래서 시스템을 갖추는 일뿐 아니라 사람을 뽑는 것이 매우 중요하다는 결론에 이른다. 다른 이들을 돕기 좋아하고, 그들의 생명과 재산을 지키는 것을 자신의 즐거움으로 여기는 사람들이라면 실수로라도 범죄를 저지를 가능성은 훨씬 줄어들기 때문이다. ->한국IDG 보안 컨퍼런스 나 역시 보안업체에 있으면서 악성코드 대응ㆍ분석 인력을 채용할 때에 늘 그 사람의 전력에 관심을 가졌다. 그 바닥이 좁아서 조금 (나쁜) 활동을 했다고 하면 어렵지 않게 알 수 있었다. 해킹 경력이 있으면 보안업체 취직에 도움이 될 거라는 망상을 가진 사람들을 가끔 봤으나 현실은 정반대다. 아무리 뛰어난 기술이 있는 사람이라 하더라도...

CSO CISO 비즈니스 모델 신뢰 강은성 해킹팀 CISO Lab Hacking Team 보안 업체

2015.07.27

한 정보보안업체에서 연구소장으로 일할 때다. 외부인 대상으로 특강을 할 때 악성코드(컴퓨터 바이러스)를 직접 만들어 배포하지 않느냐는 질문을 받은 적이 있다. 안티바이러스(백신) 제품이 더 잘 팔리게 하기 위해 그럴 수 있지 않느냐는 질문이었다. 답변은 간단했다. 당연히 아니다. 첫째, 보안업체가 굳이 악성코드를 만들지 않아도 대응해야 하는 악성코드가 엄청나게 많고, 둘째, 무엇보다도 보안업체는 고객의 '신뢰'를 먹고 살기 때문에 악성코드를 혹시 제작, 배포했다가 알려지면 회사가 그대로 망할 수밖에 없다. 셋째, 불법이다. 따라서 그런 일은 생각조차 할 수 없다. 어떤 보안업체도 마찬가지 입장일 것이다. 2007년 9월에 한 물리보안업체의 직원이 자신의 담당지역 고객의 집을 턴 강도 사건이 발생했을 때, 이에 책임을 지고 그 회사 사장과 해당 지역 책임을 맡은 전무가 동시에 사임하였다. 직원이 수천 명인 회사에서 사장이 어떻게 한 직원의 일탈까지 책임질 수 있겠느냐마는 고객의 재산과 생명을 지켜야 할 회사로서는 치명적인 일이기 때문에 이러한 강수를 두지 않았나 싶다. 보안회사에서는 개인의 실수나 일탈을 예방하기 위해 직원들을 늘 교육하고 여러 수단과 체계를 운영하지만 각 개인의 행동을 완벽히 통제하는 것은 사실상 어렵다. 그래서 시스템을 갖추는 일뿐 아니라 사람을 뽑는 것이 매우 중요하다는 결론에 이른다. 다른 이들을 돕기 좋아하고, 그들의 생명과 재산을 지키는 것을 자신의 즐거움으로 여기는 사람들이라면 실수로라도 범죄를 저지를 가능성은 훨씬 줄어들기 때문이다. ->한국IDG 보안 컨퍼런스 나 역시 보안업체에 있으면서 악성코드 대응ㆍ분석 인력을 채용할 때에 늘 그 사람의 전력에 관심을 가졌다. 그 바닥이 좁아서 조금 (나쁜) 활동을 했다고 하면 어렵지 않게 알 수 있었다. 해킹 경력이 있으면 보안업체 취직에 도움이 될 거라는 망상을 가진 사람들을 가끔 봤으나 현실은 정반대다. 아무리 뛰어난 기술이 있는 사람이라 하더라도...

2015.07.27

본지 칼럼니스트 강은성 대표, 정보보호 조직 운영역량 강화교육

오는 7월 6일부터 7일까지 총 16시간 동안 정보보호 조직 운영역량 강화교육이 진행될 예정이며 여기에 <CIO Korea>의 칼럼니스트인 CISO 랩(CIOS Lab) 강은성 대표가 강의를 맡는다. 강 대표는 안랩 연구소장과 시큐리티대응센터장을 거쳐 SK커뮤니케이션즈에서 최고보안책임자(CSO)를 지냈다. 이번 교육에서 강 대표는 보안조직의 운영과 업무, 협업, 동기부여 등 정보보호 조직 운영 전반에 대해 강의할 계획이다. 이 교육은 팀장, 파트장, 그룹장 등 정보보호조직 운영자와 실무책임자를 대상으로 한다. 특히 정보보호 조직의 위상을 높이고 타 부서와의 협업을 잘 이끌어 내는데 중요한 커뮤니케이션 역량, 보안문화 형성, 이밖에 보안실무자 개인의 경력개발 등에 초점을 맞춰 진행된다. 정보보호 조직 운영역량 강화교육은 기술 중심의 교육이 아니라, 조직 운영과 사람에 초점을 맞춘다는 게 기존의 교육들과의 차별점이다. 기타 교육에 대한 자세한 사항은 한국침해사고대응팀협의회(CONCERT)에서 참고할 수 있다. ciokr@idg.co.kr  

CSO 교육 CISO 강은성 한국침해사고대응팀협의회 CONCERT 보안 조직 운영

2015.06.23

오는 7월 6일부터 7일까지 총 16시간 동안 정보보호 조직 운영역량 강화교육이 진행될 예정이며 여기에 <CIO Korea>의 칼럼니스트인 CISO 랩(CIOS Lab) 강은성 대표가 강의를 맡는다. 강 대표는 안랩 연구소장과 시큐리티대응센터장을 거쳐 SK커뮤니케이션즈에서 최고보안책임자(CSO)를 지냈다. 이번 교육에서 강 대표는 보안조직의 운영과 업무, 협업, 동기부여 등 정보보호 조직 운영 전반에 대해 강의할 계획이다. 이 교육은 팀장, 파트장, 그룹장 등 정보보호조직 운영자와 실무책임자를 대상으로 한다. 특히 정보보호 조직의 위상을 높이고 타 부서와의 협업을 잘 이끌어 내는데 중요한 커뮤니케이션 역량, 보안문화 형성, 이밖에 보안실무자 개인의 경력개발 등에 초점을 맞춰 진행된다. 정보보호 조직 운영역량 강화교육은 기술 중심의 교육이 아니라, 조직 운영과 사람에 초점을 맞춘다는 게 기존의 교육들과의 차별점이다. 기타 교육에 대한 자세한 사항은 한국침해사고대응팀협의회(CONCERT)에서 참고할 수 있다. ciokr@idg.co.kr  

2015.06.23

강은성의 보안 아키텍트 | 망 분리는 만병통치약인가(2)

이번 칼럼을 시작하기 전에 앞 칼럼에서 봤던 개념도를 다시 인용한다. <그림> 물리적ㆍ논리적 망 분리 방식의 개념도 출처: 다우기술, "데스크탑 가상화 활용 사례 : 금융권 망분리 이야기 첫 번째", Shared IT. 망 분리 방법의 핵심 개념을 명확하게 보여주는 탁월한 그림이다. 위 그림의 ①이 ‘물리적 망 분리’이다. 그림에서 보는 바와 같이 업무시스템을 접근하는 네트워크와 인터넷을 접근하는 네트워크를 분리한다. 네트워크 자체를 물리적으로 분리하기 때문에 망 분리 방식 중 보안 수준이 가장 높다. 하지만, 주로 일정 규모 이상의 기업이 망 분리를 하므로, 한 건물의 여러 층이나 여러 건물을 사용하는 경우 스위치 같은 네트워크 장비의 추가 비용이 상당히 들어간다. 그래서 물리적 망 분리를 하려다가 ‘물리적 PC 분리’만 하는 경우가 생긴다. 즉 망 분리 대상자에게 PC를 2대 지급하여 한 대는 ‘업무 접근망’에 접속하고, 다른 하나는 ‘인터넷 접근망’에 접속하도록 하는 것이다. (업무 접근망과 인터넷 접근망에 관해서는 바로 앞 칼럼을 읽어 보시기 바란다) 이 경우에 인터넷 접근망과 업무 접근망은 보안장비를 통해 논리적으로 분리되기 때문에 네트워크 단에서는 논리적 망 분리와 유사한 구성이 된다. 물리적 PC 분리는 논리적 망 분리에 비해 PC가 하나 더 추가되므로 비용 상의 단점이 있는 반면에 PC의 성능이 중요한 회사에서는 고려할 만한 선택지일 수 있다. 수사기관에 따르면 망 분리한 회사에서도 해킹 범죄가 발생한다고 한다. 망 분리를 해서 전반적인 보안 수준이 높아진 것은 분명하나 완전하지는 않다는 점은 실제 망 분리를 수행해 본 보안실무자들은 다 안다. 물리적 방식이든 논리적 방식이든 업무 접근망과 인터넷 접근망 사이의 데이터 이동, 정책적ㆍ관리적ㆍ기술적 문제로 인한 업무 접근망 PC의 인터넷 접속이 발생할...

CSO 망 분리 시큐리티 아키텍트 보안 아키텍트 강은성 공격 CISO 규제 PC 예외

2015.06.22

이번 칼럼을 시작하기 전에 앞 칼럼에서 봤던 개념도를 다시 인용한다. <그림> 물리적ㆍ논리적 망 분리 방식의 개념도 출처: 다우기술, "데스크탑 가상화 활용 사례 : 금융권 망분리 이야기 첫 번째", Shared IT. 망 분리 방법의 핵심 개념을 명확하게 보여주는 탁월한 그림이다. 위 그림의 ①이 ‘물리적 망 분리’이다. 그림에서 보는 바와 같이 업무시스템을 접근하는 네트워크와 인터넷을 접근하는 네트워크를 분리한다. 네트워크 자체를 물리적으로 분리하기 때문에 망 분리 방식 중 보안 수준이 가장 높다. 하지만, 주로 일정 규모 이상의 기업이 망 분리를 하므로, 한 건물의 여러 층이나 여러 건물을 사용하는 경우 스위치 같은 네트워크 장비의 추가 비용이 상당히 들어간다. 그래서 물리적 망 분리를 하려다가 ‘물리적 PC 분리’만 하는 경우가 생긴다. 즉 망 분리 대상자에게 PC를 2대 지급하여 한 대는 ‘업무 접근망’에 접속하고, 다른 하나는 ‘인터넷 접근망’에 접속하도록 하는 것이다. (업무 접근망과 인터넷 접근망에 관해서는 바로 앞 칼럼을 읽어 보시기 바란다) 이 경우에 인터넷 접근망과 업무 접근망은 보안장비를 통해 논리적으로 분리되기 때문에 네트워크 단에서는 논리적 망 분리와 유사한 구성이 된다. 물리적 PC 분리는 논리적 망 분리에 비해 PC가 하나 더 추가되므로 비용 상의 단점이 있는 반면에 PC의 성능이 중요한 회사에서는 고려할 만한 선택지일 수 있다. 수사기관에 따르면 망 분리한 회사에서도 해킹 범죄가 발생한다고 한다. 망 분리를 해서 전반적인 보안 수준이 높아진 것은 분명하나 완전하지는 않다는 점은 실제 망 분리를 수행해 본 보안실무자들은 다 안다. 물리적 방식이든 논리적 방식이든 업무 접근망과 인터넷 접근망 사이의 데이터 이동, 정책적ㆍ관리적ㆍ기술적 문제로 인한 업무 접근망 PC의 인터넷 접속이 발생할...

2015.06.22

강은성의 보안 아키텍트 | 망 분리는 만병통치약인가? (1)

2011년 3월 전 세계를 덮친 후쿠시마 원자력 발전소 사고의 공포가 아직 생생하던 작년 12월, 에너지 공기업 H사의 해킹 사태가 온 나라를 강타했다. 일반 국민은 전혀 몰랐던 원전에 관한 고급 정보를 여러 차례 인터넷에 공개하면서 해킹을 통해 원전을 중단시키겠다는 범인들의 협박으로 인근 주민뿐 아니라 많은 국민이 불안해 하던 때에 H사가 '망 분리'가 되어 있기 때문에 원전이 해킹으로부터 안전하다고 설명하여 ‘망 분리’가 사회적 관심사가 되었다. '망 분리'는 2007년 국가정보원의 주도로 정부기관의 시범사업으로 처음 시작했다. “해킹 등 주요 사이버 공격으로부터 국가 기밀 등 중요 자료의 유출을 근본적으로 차단"(국정원 등, 국가기관 망 분리 구축 가이드, 2008.5)하기 위한 목적으로 시작된 망 분리는 지금은 주요 공기업까지 광범위 하게 적용되었다. 민간기업에서 대규모 개인정보 유출 사건이 발생하면서 "전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일 평균 100만 명 이상이거나 정보통신서비스 부문 전년도 매출액이 100억 원 이상"인 정보통신서비스 사업자의 망 분리를 의무화한 정보통신망법이 2013년 2월에 시행됨으로써 망 분리는 이후 민간기업으로 확대되었다. 2013년 3월 20일에 금융회사와 언론사에 대한 대규모 해킹 사태가 발생한 뒤 금융위원회에서는 같은 해 7월에 ‘금융전산 보안강화 종합대책’을 발표하며 금융회사의 망 분리에 나섰다. 전산센터의 망 분리는 2014년 말까지 완료하고, 본점과 영업점은 은행은 2015년 말, 그 외 2016년 말까지 단계적으로 추진하는 것으로 추진 일정을 잡았다. 이에 따라 망 분리는 공공ㆍ금융ㆍ민간부문 모두에서 핵심적인 보안수단으로 자리잡았다. 물리적ㆍ논리적 망 분리 방식의 개념도 출처: 다우기술, "데스크탑 가상화 활용 사례 : 금융...

CSO 원자력발전소 망분리 시큐리티 아키텍트 보안 아키텍트 강은성 공격 CISO 공공 정부 해킹 정보통신망법

2015.06.04

2011년 3월 전 세계를 덮친 후쿠시마 원자력 발전소 사고의 공포가 아직 생생하던 작년 12월, 에너지 공기업 H사의 해킹 사태가 온 나라를 강타했다. 일반 국민은 전혀 몰랐던 원전에 관한 고급 정보를 여러 차례 인터넷에 공개하면서 해킹을 통해 원전을 중단시키겠다는 범인들의 협박으로 인근 주민뿐 아니라 많은 국민이 불안해 하던 때에 H사가 '망 분리'가 되어 있기 때문에 원전이 해킹으로부터 안전하다고 설명하여 ‘망 분리’가 사회적 관심사가 되었다. '망 분리'는 2007년 국가정보원의 주도로 정부기관의 시범사업으로 처음 시작했다. “해킹 등 주요 사이버 공격으로부터 국가 기밀 등 중요 자료의 유출을 근본적으로 차단"(국정원 등, 국가기관 망 분리 구축 가이드, 2008.5)하기 위한 목적으로 시작된 망 분리는 지금은 주요 공기업까지 광범위 하게 적용되었다. 민간기업에서 대규모 개인정보 유출 사건이 발생하면서 "전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일 평균 100만 명 이상이거나 정보통신서비스 부문 전년도 매출액이 100억 원 이상"인 정보통신서비스 사업자의 망 분리를 의무화한 정보통신망법이 2013년 2월에 시행됨으로써 망 분리는 이후 민간기업으로 확대되었다. 2013년 3월 20일에 금융회사와 언론사에 대한 대규모 해킹 사태가 발생한 뒤 금융위원회에서는 같은 해 7월에 ‘금융전산 보안강화 종합대책’을 발표하며 금융회사의 망 분리에 나섰다. 전산센터의 망 분리는 2014년 말까지 완료하고, 본점과 영업점은 은행은 2015년 말, 그 외 2016년 말까지 단계적으로 추진하는 것으로 추진 일정을 잡았다. 이에 따라 망 분리는 공공ㆍ금융ㆍ민간부문 모두에서 핵심적인 보안수단으로 자리잡았다. 물리적ㆍ논리적 망 분리 방식의 개념도 출처: 다우기술, "데스크탑 가상화 활용 사례 : 금융...

2015.06.04

강은성의 보안 아키텍트 | APT 공격, 어떻게 막을까?(2)

지난 3월 25일에 CONCERT Forecast 2015가 열렸다. 이 행사는 320여 개 기업 정보보호조직이 가입해 있는 한국침해사고대응팀협의회(CONCERT)가 회원사 설문 조사를 통해 선정한 올해 사업계획과 고민에 대한 대책을 찾는 자리다. 올해 계획에는 표적 공격(APT: Advanced Persistent Threat), 고민에는 사람이 선정되었다고 한다. 표적 공격의 대상은 고객정보(개인정보, 금융정보 등), 산업기밀, 군사기밀, 국가기밀 등 다양하지만, 사회적 파장이 큰 고객정보가 데이터베이스에 대량으로 저장되어 있다고 가정하면, 고객 DB에 대한 범행은 크게 계정 및 권한이 있는 경우와 그렇지 않은 경우로 구분할 수 있다. 서버나 DB에 관한 권한이 없다 하더라도 고객 DB를 짧은 시간에 대량으로 훔칠 수 있는 지점이 바로 웹 서비스다. SQL 삽입공격과 같이 쉽게 사용할 수 있는 범행도구가 많아서 '탁월한 실력'을 갖추지 않더라도 웹을 통한 고객정보 범행이 가능하므로 보안실무자들이 늘 경계를 늦추지 말아야 한다. 권한을 갖고 범행을 저지르는 경우는 정당한 권한을 갖고 있거나 정당한 권한을 획득한다. 회사 외부나 사내 PC, USB, 서버 등 어디에서 접근하든 사내에 있는 여러 IT 인프라를 통해 DB까지 도달한다. 결국 네트워크 단에서 회사 침입을 막는 경계선 방어와 함께 이미 그 경계를 뚫고 들어왔거나 아예 회사 안에서 시작한 공격을 찾아내어 예방하는 내부망 보안이 표적 공격 방어의 핵심이라 할 수 있다. DB에 대한 최후의 방어막인 DB보안 솔루션은 잘 활용하면 여전히 중요한 역할을 하지만 별도의 제품 분류이므로 여기에서 다루지 않는다. 이런 관점에서 기업에서 활용할 만한 APT 대응솔루션을 검토해 보자. APT 대응솔루션으로 시장에 가장 많이 알려져 있는 것은 파이어아이(FireEye)이다. 파이어아이는 한국 시장에서 기업보안 책임자에게 처음 역접속(reverse connection)을 보여주어 ...

CSO CONCERT Forecast 2015 CONCERT 한국침해사고대응팀협의회 Security Architect 보안 아키텍트 강은성 파이어아이 안랩 APT CISO 나루시큐리티

2015.04.10

지난 3월 25일에 CONCERT Forecast 2015가 열렸다. 이 행사는 320여 개 기업 정보보호조직이 가입해 있는 한국침해사고대응팀협의회(CONCERT)가 회원사 설문 조사를 통해 선정한 올해 사업계획과 고민에 대한 대책을 찾는 자리다. 올해 계획에는 표적 공격(APT: Advanced Persistent Threat), 고민에는 사람이 선정되었다고 한다. 표적 공격의 대상은 고객정보(개인정보, 금융정보 등), 산업기밀, 군사기밀, 국가기밀 등 다양하지만, 사회적 파장이 큰 고객정보가 데이터베이스에 대량으로 저장되어 있다고 가정하면, 고객 DB에 대한 범행은 크게 계정 및 권한이 있는 경우와 그렇지 않은 경우로 구분할 수 있다. 서버나 DB에 관한 권한이 없다 하더라도 고객 DB를 짧은 시간에 대량으로 훔칠 수 있는 지점이 바로 웹 서비스다. SQL 삽입공격과 같이 쉽게 사용할 수 있는 범행도구가 많아서 '탁월한 실력'을 갖추지 않더라도 웹을 통한 고객정보 범행이 가능하므로 보안실무자들이 늘 경계를 늦추지 말아야 한다. 권한을 갖고 범행을 저지르는 경우는 정당한 권한을 갖고 있거나 정당한 권한을 획득한다. 회사 외부나 사내 PC, USB, 서버 등 어디에서 접근하든 사내에 있는 여러 IT 인프라를 통해 DB까지 도달한다. 결국 네트워크 단에서 회사 침입을 막는 경계선 방어와 함께 이미 그 경계를 뚫고 들어왔거나 아예 회사 안에서 시작한 공격을 찾아내어 예방하는 내부망 보안이 표적 공격 방어의 핵심이라 할 수 있다. DB에 대한 최후의 방어막인 DB보안 솔루션은 잘 활용하면 여전히 중요한 역할을 하지만 별도의 제품 분류이므로 여기에서 다루지 않는다. 이런 관점에서 기업에서 활용할 만한 APT 대응솔루션을 검토해 보자. APT 대응솔루션으로 시장에 가장 많이 알려져 있는 것은 파이어아이(FireEye)이다. 파이어아이는 한국 시장에서 기업보안 책임자에게 처음 역접속(reverse connection)을 보여주어 ...

2015.04.10

강은성의 Security Architect | APT 공격, 어떻게 막을까?(1)

이번 칼럼의 제목은 상당히 선정적이다. 지난 몇 년 동안 전 세계적으로 보안 분야에서 화두가 되고 있는 보안위협인 APT(Advanced Persistent Threat) 공격을 막아보겠다는 제목이니 말이다. APT는 우리 말로 지능형 지속위협, 또는 표적 공격 등으로 번역된다. 가트너는 이것을 지능형 표적 공격(ATA, Advanced Targeted Attack)이라고 부른다. APT가 미국 정부에서 처음 쓰면서 중국을 연상시키는 용어여서 ATA를 쓰겠다고 설명했지만 '표적'이 이 공격의 핵심을 잘 나타낸다는 의미에서 나는 가트너의 용어에 더 마음이 간다. 가트너에서는 표적 공격을 방어하는 5가지 방식이 있다고 설명한다. 1. 네트워크 트래픽 분석: 정상 트래픽 패턴을 구축하고, 공격 당한 환경에서의 비정상 패턴을 실시간으로 찾아내는 방식 2. 네트워크 포렌식: 네트워크 트래픽을 저장하여 분석하는 방식 3. 페이로드(Payload) 분석: 네트워크 단에서 샌드박스(Sandbox) 기술을 활용해 표적 공격을 탐지하는 방식 4. 엔드포인트(Endpoint) 행위 분석: 엔드 포인트에서 응용 프로그램과 파일을 가상 환경에서 분리함으로써 엔드포인트를 보호하는 방식 5. 엔드포인트 포렌식: 엔드 포인트의 데이터를 수집하고 분석하는 도구를 제공하는 방식 그리고 각각에 해당하는 솔루션들도 예를 들어줬다. 2013년 10월 자료이긴 하지만 가트너의 명성에 걸맞게 시장에 나온 제품을 잘 분석, 분류하여 여전히 유효한 분류 방법으로 보인다. 요즘 표적 공격에 대한 방어에서 종종 나오는 용어 중 하나가 '사이버 킬체인'(Cyber Kill Chain)이다. 이 용어는 세계적인 군수업체 록히드마틴의 등록상표이기도 한데, 이 회사는 미국 국방부에서 적의 침입을 모형화할 때 사용한 '킬체인(Kill Chain) 개념을 이용하여 다음과 같이 사이버 킬 체인을 구성하였다. (1) 정찰(Reconnaissance...

CSO 가트너 CISO 공격 APT 강은성 시큐리티 아키텍트

2015.03.03

이번 칼럼의 제목은 상당히 선정적이다. 지난 몇 년 동안 전 세계적으로 보안 분야에서 화두가 되고 있는 보안위협인 APT(Advanced Persistent Threat) 공격을 막아보겠다는 제목이니 말이다. APT는 우리 말로 지능형 지속위협, 또는 표적 공격 등으로 번역된다. 가트너는 이것을 지능형 표적 공격(ATA, Advanced Targeted Attack)이라고 부른다. APT가 미국 정부에서 처음 쓰면서 중국을 연상시키는 용어여서 ATA를 쓰겠다고 설명했지만 '표적'이 이 공격의 핵심을 잘 나타낸다는 의미에서 나는 가트너의 용어에 더 마음이 간다. 가트너에서는 표적 공격을 방어하는 5가지 방식이 있다고 설명한다. 1. 네트워크 트래픽 분석: 정상 트래픽 패턴을 구축하고, 공격 당한 환경에서의 비정상 패턴을 실시간으로 찾아내는 방식 2. 네트워크 포렌식: 네트워크 트래픽을 저장하여 분석하는 방식 3. 페이로드(Payload) 분석: 네트워크 단에서 샌드박스(Sandbox) 기술을 활용해 표적 공격을 탐지하는 방식 4. 엔드포인트(Endpoint) 행위 분석: 엔드 포인트에서 응용 프로그램과 파일을 가상 환경에서 분리함으로써 엔드포인트를 보호하는 방식 5. 엔드포인트 포렌식: 엔드 포인트의 데이터를 수집하고 분석하는 도구를 제공하는 방식 그리고 각각에 해당하는 솔루션들도 예를 들어줬다. 2013년 10월 자료이긴 하지만 가트너의 명성에 걸맞게 시장에 나온 제품을 잘 분석, 분류하여 여전히 유효한 분류 방법으로 보인다. 요즘 표적 공격에 대한 방어에서 종종 나오는 용어 중 하나가 '사이버 킬체인'(Cyber Kill Chain)이다. 이 용어는 세계적인 군수업체 록히드마틴의 등록상표이기도 한데, 이 회사는 미국 국방부에서 적의 침입을 모형화할 때 사용한 '킬체인(Kill Chain) 개념을 이용하여 다음과 같이 사이버 킬 체인을 구성하였다. (1) 정찰(Reconnaissance...

2015.03.03

강은성의 Security Architect | 보안관제 100% 활용하기(2)

보안관제 업체를 선정할 때 브랜드가 좀 있는 회사는 비싸고, 가격이 너무 싼 회사의 관제 품질은 미덥지 못한 것이 다수 발주회사의 고민일 것이다. 지난 칼럼에서 보안관제를 활용할 때 기업의 정보보호 대책이나 전략의 일부로서 위치시키고 자체 요구사항을 명확히 하는 것이 중요하다고 했는데, 업체 선정에도 그대로 적용된다. 정보보호시스템 운영과 보안 위험의 예방, 보안 사건ㆍ사고의 징후 모니터링, 발생 시 긴급대응 방안, 필요로 하는 정보 제공 등에서 발주사가 중요하게 생각하는 부분을 정리한다. 그것이 제안요청서(RFP)와 업체 선정 기준의 근간이 되고, 이후 서비스수준협약(SLA), 월간 리뷰, 운영 개선의 주요 기준이 된다. 그 밖에도 업체 선정 시 검토할 만한 사항을 몇 가지 적어 보면 다음과 같다. 우선 보안관제 업체 기술력의 핵심은 분석 역량이므로 가능하면 제안 발표 때 담당 분석(CERT) 인력을 참석하게 하여 질의ㆍ응답을 해 본다. 분석 역량 못지 않게 중요한 것은 모니터링 요원의 역량과 프로세스이다. 집중력이 떨어지고 주위에 도와 줄 사람도 거의 없는 새벽 2, 3시에 한두 명의 모니터링 요원의 판단에 대형 보안사고의 예방 여부가 걸려 있을 수도 있으니 말이다. 하지만 일반적으로 모니터링 요원의 역량은 충분하지 못한 게 시장과 업계의 현실이다. 또한 보안관제 업체의 공통적인 고민이기도 모니터링 요원의 잦은 이직(교체)은 담당자 업무 미숙으로 사고 가능성을 높일 수 있기 때문에 발주사 입장에서 보면 상당한 위험 요인이다. 관제 요원의 안정적 근무를 확보하는 일, 모니터링 요원의 교체와 역량의 문제를 프로세스와 솔루션으로 보완하는 일 또한 보안관제 회사의 실력이기도 하다. 따라서 징후를 발견했을 때부터 긴급 조치를 취하기까지의 업무 및 협업 프로세스를 몇 가지 보안 공격을 가정하여 질의ㆍ응답을 하면 업체를 판단하는 데 도움이 된다. 관제업무의 기본이 되는 일이다. 원격관제의 경우 보안관제 업체의 보안운영센터를 방문하여 질의ㆍ응답을 하는 것...

CSO CISO CPO 강은성 보안관제 개인정보보호책임자

2015.02.09

보안관제 업체를 선정할 때 브랜드가 좀 있는 회사는 비싸고, 가격이 너무 싼 회사의 관제 품질은 미덥지 못한 것이 다수 발주회사의 고민일 것이다. 지난 칼럼에서 보안관제를 활용할 때 기업의 정보보호 대책이나 전략의 일부로서 위치시키고 자체 요구사항을 명확히 하는 것이 중요하다고 했는데, 업체 선정에도 그대로 적용된다. 정보보호시스템 운영과 보안 위험의 예방, 보안 사건ㆍ사고의 징후 모니터링, 발생 시 긴급대응 방안, 필요로 하는 정보 제공 등에서 발주사가 중요하게 생각하는 부분을 정리한다. 그것이 제안요청서(RFP)와 업체 선정 기준의 근간이 되고, 이후 서비스수준협약(SLA), 월간 리뷰, 운영 개선의 주요 기준이 된다. 그 밖에도 업체 선정 시 검토할 만한 사항을 몇 가지 적어 보면 다음과 같다. 우선 보안관제 업체 기술력의 핵심은 분석 역량이므로 가능하면 제안 발표 때 담당 분석(CERT) 인력을 참석하게 하여 질의ㆍ응답을 해 본다. 분석 역량 못지 않게 중요한 것은 모니터링 요원의 역량과 프로세스이다. 집중력이 떨어지고 주위에 도와 줄 사람도 거의 없는 새벽 2, 3시에 한두 명의 모니터링 요원의 판단에 대형 보안사고의 예방 여부가 걸려 있을 수도 있으니 말이다. 하지만 일반적으로 모니터링 요원의 역량은 충분하지 못한 게 시장과 업계의 현실이다. 또한 보안관제 업체의 공통적인 고민이기도 모니터링 요원의 잦은 이직(교체)은 담당자 업무 미숙으로 사고 가능성을 높일 수 있기 때문에 발주사 입장에서 보면 상당한 위험 요인이다. 관제 요원의 안정적 근무를 확보하는 일, 모니터링 요원의 교체와 역량의 문제를 프로세스와 솔루션으로 보완하는 일 또한 보안관제 회사의 실력이기도 하다. 따라서 징후를 발견했을 때부터 긴급 조치를 취하기까지의 업무 및 협업 프로세스를 몇 가지 보안 공격을 가정하여 질의ㆍ응답을 하면 업체를 판단하는 데 도움이 된다. 관제업무의 기본이 되는 일이다. 원격관제의 경우 보안관제 업체의 보안운영센터를 방문하여 질의ㆍ응답을 하는 것...

2015.02.09

강은성의 Security Architect | 보안관제 100% 활용하기(1)

정말 다사다난했던 2014년이 지나고 새로운 한 해가 시작되었다. 정보보호 업무를 하는 분들이 업무의 보람과 함께 스스로 성장했다고 느끼는 한 해가 되기를 바란다. 이 맘 때쯤이면 보안관제 업체를 새로 선정한 회사에서는 새로 관제 체계를 구축하기 위해 동분서주할 것이다. 국내에 보안관제 업체가 많지 않고 관제 업무가 대동소이할 것 같지만 실제로 부딪혀 보면 할 일이 많다. 어떤 회사의 경영진은 보안관제를 하면 보안이 다 될 줄로 생각하기도 한다. 비용도 꽤 들고 이름 있는 정보보호전문업체에서 보안관제를 하고 있으니 그렇게 생각할 수도 있겠다. 하지만 대규모 개인정보 도난사고가 터진 회사들 역시 보안관제 서비스를 받고 있었던 점을 보면 보안관제로 모든 보안위험을 예방할 수 없다는 점은 분명해 보인다. 정반대로 보안관제 무용론도 있다. 어차피 사고가 터지는데 보안관제를 받는 것은 소용이 없다는 것이다. 실제 보안관제의 효과는 이 양 극단 사이의 어디쯤엔가 있을 것이다. 보안관제의 출발은 회사가 보안관제의 목표와 범위를 명확히 하는 것에서부터 시작하게 된다. 우리 회사가 맞닥뜨린 보안위험과 위험 요인(보안위협과 보안취약점)을 분석하고, 그에 대한 정보보호대책을 수립할 때 그 대책 중 하나가 보안관제이기 때문이다. 당연히 보안관제에서 포괄하지 못하는 위험 요인이 있다. 따라서 회사의 정보보호 대책 또는 정보보호 전략의 일부로서 보안관제를 위치시키고 다른 정보보호 대책과 긴밀하게 연관시켜 회사 전체의 보안위험을 방어하는 것이 중요하다. 보안관제 업체는 전문성을 갖고 비용 효율적인 방식으로 그 역할을 수행하는 것이다. 보안관제 업체를 통해 얻을 수 있는 정보보호 효과는 크게 4가지 영역으로 나눌 수 있다. 첫째, 예방 영역이다. 네트워크 방화벽, 웹 방화벽, DB접근제어 등 정보보호시스템의 세부 규칙(Rule)을 통해 보안위협을 사전에 차단하거나 보안취약점 진단을 통해 문제를 사전에 발견하여 제거함으로써 보안위험을 예방하는 업무이다. 예방 영역...

CSO CISO 강은성 보안관제

2015.01.14

정말 다사다난했던 2014년이 지나고 새로운 한 해가 시작되었다. 정보보호 업무를 하는 분들이 업무의 보람과 함께 스스로 성장했다고 느끼는 한 해가 되기를 바란다. 이 맘 때쯤이면 보안관제 업체를 새로 선정한 회사에서는 새로 관제 체계를 구축하기 위해 동분서주할 것이다. 국내에 보안관제 업체가 많지 않고 관제 업무가 대동소이할 것 같지만 실제로 부딪혀 보면 할 일이 많다. 어떤 회사의 경영진은 보안관제를 하면 보안이 다 될 줄로 생각하기도 한다. 비용도 꽤 들고 이름 있는 정보보호전문업체에서 보안관제를 하고 있으니 그렇게 생각할 수도 있겠다. 하지만 대규모 개인정보 도난사고가 터진 회사들 역시 보안관제 서비스를 받고 있었던 점을 보면 보안관제로 모든 보안위험을 예방할 수 없다는 점은 분명해 보인다. 정반대로 보안관제 무용론도 있다. 어차피 사고가 터지는데 보안관제를 받는 것은 소용이 없다는 것이다. 실제 보안관제의 효과는 이 양 극단 사이의 어디쯤엔가 있을 것이다. 보안관제의 출발은 회사가 보안관제의 목표와 범위를 명확히 하는 것에서부터 시작하게 된다. 우리 회사가 맞닥뜨린 보안위험과 위험 요인(보안위협과 보안취약점)을 분석하고, 그에 대한 정보보호대책을 수립할 때 그 대책 중 하나가 보안관제이기 때문이다. 당연히 보안관제에서 포괄하지 못하는 위험 요인이 있다. 따라서 회사의 정보보호 대책 또는 정보보호 전략의 일부로서 보안관제를 위치시키고 다른 정보보호 대책과 긴밀하게 연관시켜 회사 전체의 보안위험을 방어하는 것이 중요하다. 보안관제 업체는 전문성을 갖고 비용 효율적인 방식으로 그 역할을 수행하는 것이다. 보안관제 업체를 통해 얻을 수 있는 정보보호 효과는 크게 4가지 영역으로 나눌 수 있다. 첫째, 예방 영역이다. 네트워크 방화벽, 웹 방화벽, DB접근제어 등 정보보호시스템의 세부 규칙(Rule)을 통해 보안위협을 사전에 차단하거나 보안취약점 진단을 통해 문제를 사전에 발견하여 제거함으로써 보안위험을 예방하는 업무이다. 예방 영역...

2015.01.14

신간 인터뷰 | "모든 C-레벨의 2015년 화두는 정보보안" 강은성 대표

안랩의 연구소장과 시큐리티대응센터장을 거치고, SK커뮤니케이션즈의 최고보안책임자(CSO)를 역임한 강은성 대표가 새 책 <CxO가 알아야 할 정보보안(한빛미디어, 2015)>을 냈다. 강 대표는 현재 CISO Lab을 설립해 기업 차원의 보안위험 대응 전략을 탐구하여 기업 보안컨설팅과 보안교육을 진행하고 있으며, 이 책은 그 동안 강 대표가 현장에서 경험한 사례들을 바탕으로 C-레벨이라면 꼭 알아야 할 보안 관련 지식과 정보를 담았다. 다음은 강 대표와의 일문일답이다. CIO KR : 먼저 <CxO가 알아야 할 정보보안>을 쓰게 된 동기가 무엇인지? 강은성 대표(이하 강 대표) : 이제 기업에서 보안 위험은 재무, 법률, 평판, 기업 비밀 등 기업의 안정적 성장을 위협하는 중요한 위험 중의 하나가 되었다. 대기업 임원으로서 정보보호최고책임자(CISO)와 개인정보보호책임자(CPO)를 맡아 일하면서 기업 보안을 위해 수많은 일을 해 왔는데, 잘 하고 있는 건지 늘 고민이 많았다. 그러다 외부 기관에서 주관한 CISO 교육을 받고, 유사한 다른 교육을 분석해 보니 그러한 교육의 강점과 한계가 보여 기업의 CEO를 비롯한 임원, 정보보호책임자가 기업의 보안 위험을 최소화하는 데 꼭 필요하면서도 재미있게 읽을 수 있는 책을 쓰고 싶었다. CIO KR : <CxO가 알아야 할 정보보안>의 주요 내용을 간략하게 소개하자면? 강 대표 : 이 책은 필자 개인의 경험과 연구를 바탕으로 전ㆍ현직 정보보호책임자의 경험과 조언을 녹여서 CxO가 정보보안의 큰 그림을 그리면서 구체적인 도움을 얻을 수 있도록 구성하였다. 1장에서 정보보호책임자의 업무를 5가지 영역으로 분류하고, 그것을 2장부터 5장까지 설명했다. 2장에서는 경영적 관점에서 정보보호를 바라 보는 정보보호 거버넌스 영역을 기술했고, 3장에서는 보안위험과 보안대책을 탐구하는 관리체계 영역과 중요자산 보호 영역, 4장에서는 요즘 많은 기업에서 발생하는 정보보호 사건ㆍ...

CSO 홈데포 강은성 타깃 신간 CxO 보안 사고 악성코드 CISO 개인정보 보호 CxO가 알아야 할 정보보안

2015.01.07

안랩의 연구소장과 시큐리티대응센터장을 거치고, SK커뮤니케이션즈의 최고보안책임자(CSO)를 역임한 강은성 대표가 새 책 <CxO가 알아야 할 정보보안(한빛미디어, 2015)>을 냈다. 강 대표는 현재 CISO Lab을 설립해 기업 차원의 보안위험 대응 전략을 탐구하여 기업 보안컨설팅과 보안교육을 진행하고 있으며, 이 책은 그 동안 강 대표가 현장에서 경험한 사례들을 바탕으로 C-레벨이라면 꼭 알아야 할 보안 관련 지식과 정보를 담았다. 다음은 강 대표와의 일문일답이다. CIO KR : 먼저 <CxO가 알아야 할 정보보안>을 쓰게 된 동기가 무엇인지? 강은성 대표(이하 강 대표) : 이제 기업에서 보안 위험은 재무, 법률, 평판, 기업 비밀 등 기업의 안정적 성장을 위협하는 중요한 위험 중의 하나가 되었다. 대기업 임원으로서 정보보호최고책임자(CISO)와 개인정보보호책임자(CPO)를 맡아 일하면서 기업 보안을 위해 수많은 일을 해 왔는데, 잘 하고 있는 건지 늘 고민이 많았다. 그러다 외부 기관에서 주관한 CISO 교육을 받고, 유사한 다른 교육을 분석해 보니 그러한 교육의 강점과 한계가 보여 기업의 CEO를 비롯한 임원, 정보보호책임자가 기업의 보안 위험을 최소화하는 데 꼭 필요하면서도 재미있게 읽을 수 있는 책을 쓰고 싶었다. CIO KR : <CxO가 알아야 할 정보보안>의 주요 내용을 간략하게 소개하자면? 강 대표 : 이 책은 필자 개인의 경험과 연구를 바탕으로 전ㆍ현직 정보보호책임자의 경험과 조언을 녹여서 CxO가 정보보안의 큰 그림을 그리면서 구체적인 도움을 얻을 수 있도록 구성하였다. 1장에서 정보보호책임자의 업무를 5가지 영역으로 분류하고, 그것을 2장부터 5장까지 설명했다. 2장에서는 경영적 관점에서 정보보호를 바라 보는 정보보호 거버넌스 영역을 기술했고, 3장에서는 보안위험과 보안대책을 탐구하는 관리체계 영역과 중요자산 보호 영역, 4장에서는 요즘 많은 기업에서 발생하는 정보보호 사건ㆍ...

2015.01.07

강은성의 Security Architect | Software Architect? Security Architect!

미국의 CNN Money에서 발표한 ‘2013년 미국의 100대 좋은 직업’(Best Jobs In America 2013)에 따르면 3위가 소프트웨어 아키텍트(Software Architect), 7위가 소프트웨어 개발자, 8위가 IT 형상관리자(Configuration Manager)다. 이 밖에도 IT 관련 직업이 50위 안에 다수 포진하고 있어서 IT 산업으로 엄청난 부를 벌어 들이는 미국 산업의 특징을 반영한 것 같다. 특히 2012년 발표에서도 소프트웨어 아키텍트가 3위에 선정된 것을 보면 이 직업은 미국에서 정말 최고의 직업 중 하나로 꼽히는 듯하다. 소프트웨어 분야에서는 소프트웨어 아키텍트가 최고의 기술 직책이라고 생각한다. 소프트웨어의 스펙 작성과 설계를 주도하면서 개발자의 실질적인 리더 역할을 하기 때문이다. 상세한 설계를 담당하기도 있지만 주로 시스템의 식별, 구조 정의, 상호 연계, 시스템 내 모듈의 식별, 구조 정의, 상호 연계 등 설계의 큰 그림을 그리는데 주력한다. 물론 모듈 내의 세부적인 내용에 정통해야 할 수 있는 일이다. 따라서 적절한 경력과 경험, 뛰어난 설계 역량 없이 아키텍트의 역할을 맡을 수 없다. <CIO>에 보안 관련 칼럼을 쓰기로 하면서 제목을 ‘Security Architect’로 잡았다. 정보보호 대책을 수립할 때 주요 보안 시스템의 식별, 구조 정의, 상호 연계, 시스템 내 보안 모듈의 식별, 구조 정의, 상호 연계 등 큰 그림이 필요하고 그것을 주도할 아키텍트가 핵심적인 역할을 한다고 보기 때문이다. 그런데 Security Architect는 소프트웨어 아키텍트의 역할을 넘어 선다. 정보보호 대책은 기술적인 것만으로 가능하지 않기 때문이다. 이미 보안 분야에서는 기술적 영역을 넘어서서 관리적 영역의 중요성이 부각된 지 오래되었다. IT 영역뿐 아니라 인사 제도, 구매 지침 등 비IT 영역에서의 보안 역시 중요하다. 법규 변화에도 민감하다. ...

CSO 소프트웨어 아키텍트 시큐리티 아키텍트 정보보호최고책임자 강은성 보안 인력 손해배상 통신 근무 환경 손실 위상 CISO 금융 보안 부서

2014.12.18

미국의 CNN Money에서 발표한 ‘2013년 미국의 100대 좋은 직업’(Best Jobs In America 2013)에 따르면 3위가 소프트웨어 아키텍트(Software Architect), 7위가 소프트웨어 개발자, 8위가 IT 형상관리자(Configuration Manager)다. 이 밖에도 IT 관련 직업이 50위 안에 다수 포진하고 있어서 IT 산업으로 엄청난 부를 벌어 들이는 미국 산업의 특징을 반영한 것 같다. 특히 2012년 발표에서도 소프트웨어 아키텍트가 3위에 선정된 것을 보면 이 직업은 미국에서 정말 최고의 직업 중 하나로 꼽히는 듯하다. 소프트웨어 분야에서는 소프트웨어 아키텍트가 최고의 기술 직책이라고 생각한다. 소프트웨어의 스펙 작성과 설계를 주도하면서 개발자의 실질적인 리더 역할을 하기 때문이다. 상세한 설계를 담당하기도 있지만 주로 시스템의 식별, 구조 정의, 상호 연계, 시스템 내 모듈의 식별, 구조 정의, 상호 연계 등 설계의 큰 그림을 그리는데 주력한다. 물론 모듈 내의 세부적인 내용에 정통해야 할 수 있는 일이다. 따라서 적절한 경력과 경험, 뛰어난 설계 역량 없이 아키텍트의 역할을 맡을 수 없다. <CIO>에 보안 관련 칼럼을 쓰기로 하면서 제목을 ‘Security Architect’로 잡았다. 정보보호 대책을 수립할 때 주요 보안 시스템의 식별, 구조 정의, 상호 연계, 시스템 내 보안 모듈의 식별, 구조 정의, 상호 연계 등 큰 그림이 필요하고 그것을 주도할 아키텍트가 핵심적인 역할을 한다고 보기 때문이다. 그런데 Security Architect는 소프트웨어 아키텍트의 역할을 넘어 선다. 정보보호 대책은 기술적인 것만으로 가능하지 않기 때문이다. 이미 보안 분야에서는 기술적 영역을 넘어서서 관리적 영역의 중요성이 부각된 지 오래되었다. IT 영역뿐 아니라 인사 제도, 구매 지침 등 비IT 영역에서의 보안 역시 중요하다. 법규 변화에도 민감하다. ...

2014.12.18

4인의 멘토에게 듣는다 'CIO·CSO가 되는 전략과 전술'

IT분야에 몸담고 있는 사람이라면 한번쯤 꿈꿔봤을 IT 최고 의사결정권자인 CIO. 오는 9월 25일 한국IDG가 개최하는 교육 프로그램인 ‘Pathway to CIO’에서 실제 CIO•CSO들이 연사로 나서 현장의 이야기를 들려줄 예정이다. 특히 전현직 CIO•CSO가 직접 워크샵을 진행하며 참석자들과 고민을 나누고 자신들만의 해법도 제시할 것으로 알려졌다. 이날 워크샵을 진행할 세아제강 박승남 CIO, 동부제철 정철환 CIO, 케이사이트컨설팅 왕영철 부사장(전 GS리테일 CIO), SK커뮤니케이션즈 강은성 CSO 등 4인의 멘토들이 미래 CIO를 꿈꾸는 IT전문가들에게 조언을 전했다. CIO KR : 우선‘Pathway to CIO’의 워크숍 내용에 대한 간략한 소개 부탁한다. 세아제강 박승남 CIO : 현장에서 겪고 느꼈던 리더십에 대한 내용이다. 20년 넘게 IBM, 시스코와 같은 외국계 벤더에서 일하다가, CIO가 되었을 때 여러 어려운 부분이 많았지만 특히 사람과의 관계, 즉 부서원을 어떻게 이끌 것인가가 큰 화두였다. 나름 노력과 시행착오를 거쳐서 만들어온 리더십에 대한 생각을 워크숍에 담았다. 직원들과의 관계, 현실적인 리더십에 대하여 고민하는 사람들에게 도움이 되리라 생각한다. 동부제철 정철환 CIO : 워크샵의 내용은 강연을 통해 발주처의 입장에서 IT프로젝트를 관리하는 전략에 대해 습득한 내용을 바탕으로 모의 프로젝트에 대한 단계별 수행 전략 및 리스크 도출 작업을 팀을 구성하여 협의를 통해 진행해 보는 과정이다. 이미 IT기획부서에 속한 사람들이 참석한다면 익숙한 작업이겠으나 아직 발주처의 입장에 처해 보시지 못했던 사람들이 참석한다면 새로운 시각으로 프로젝트 수행에 대해 고민해 보는 시간이 될 것으로 생각된다. 케이사이트 컨설팅 왕영철 부사장(전 GS리테일 CIO) : IT를 하면서 SW, HW 등 장비, 솔루션, 제도, 운영, 개발 등 모두 중요하지만 ...

CIO CSO 커뮤니케이션 리더십 정철환 박승남 Pathway to CIO 왕영철 강은성

2013.09.16

IT분야에 몸담고 있는 사람이라면 한번쯤 꿈꿔봤을 IT 최고 의사결정권자인 CIO. 오는 9월 25일 한국IDG가 개최하는 교육 프로그램인 ‘Pathway to CIO’에서 실제 CIO•CSO들이 연사로 나서 현장의 이야기를 들려줄 예정이다. 특히 전현직 CIO•CSO가 직접 워크샵을 진행하며 참석자들과 고민을 나누고 자신들만의 해법도 제시할 것으로 알려졌다. 이날 워크샵을 진행할 세아제강 박승남 CIO, 동부제철 정철환 CIO, 케이사이트컨설팅 왕영철 부사장(전 GS리테일 CIO), SK커뮤니케이션즈 강은성 CSO 등 4인의 멘토들이 미래 CIO를 꿈꾸는 IT전문가들에게 조언을 전했다. CIO KR : 우선‘Pathway to CIO’의 워크숍 내용에 대한 간략한 소개 부탁한다. 세아제강 박승남 CIO : 현장에서 겪고 느꼈던 리더십에 대한 내용이다. 20년 넘게 IBM, 시스코와 같은 외국계 벤더에서 일하다가, CIO가 되었을 때 여러 어려운 부분이 많았지만 특히 사람과의 관계, 즉 부서원을 어떻게 이끌 것인가가 큰 화두였다. 나름 노력과 시행착오를 거쳐서 만들어온 리더십에 대한 생각을 워크숍에 담았다. 직원들과의 관계, 현실적인 리더십에 대하여 고민하는 사람들에게 도움이 되리라 생각한다. 동부제철 정철환 CIO : 워크샵의 내용은 강연을 통해 발주처의 입장에서 IT프로젝트를 관리하는 전략에 대해 습득한 내용을 바탕으로 모의 프로젝트에 대한 단계별 수행 전략 및 리스크 도출 작업을 팀을 구성하여 협의를 통해 진행해 보는 과정이다. 이미 IT기획부서에 속한 사람들이 참석한다면 익숙한 작업이겠으나 아직 발주처의 입장에 처해 보시지 못했던 사람들이 참석한다면 새로운 시각으로 프로젝트 수행에 대해 고민해 보는 시간이 될 것으로 생각된다. 케이사이트 컨설팅 왕영철 부사장(전 GS리테일 CIO) : IT를 하면서 SW, HW 등 장비, 솔루션, 제도, 운영, 개발 등 모두 중요하지만 ...

2013.09.16

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.6