Offcanvas

������������������������������������������������������

지금 인기 있는 PM 자격증 11선

성공한 IT프로젝트 뒤에는 항상 전문성이 아주 뛰어난 프로젝트 관리자가 있다. 하드웨어 및 소프트웨어 업데이트부터, 지속적인 보안 패치, 애플리케이션 개발, 소프트웨어 배포까지, 프로젝트 관리자는 팀이 과업과 생산성을 유지하도록 만든다. 따라서 대부분의 IT 분야 종사자들은 자신이 가진 IT 자격증 목록에 프로젝트 관리 자격증을 추가시키는 것이 좋다. IT우선순위를 계획하고, 이에 대한 일정과 예산을 수립하며, 이를 이행해 전달한 후 보고하는 노하우가 있음을 보여줄 수 있기 때문이다. 이에 CIO닷컴은 올해 '기술'을 연마하고, '부가가치'를 창출해 줄 가장 인기 있는 프로젝트 관리 자격증을 소개한다. PMP: Project Management Professional 프로젝트 관리의 '황금률' 역할을 하는 PMP(Project Management Professional) 자격증은 PM의 3대 난관인 '시간', '비용', ‘범위'에 대한 지식과 전문성을 입증하는 데 필요한 모든 것을 다루는 엄격한 '테스트'다. 이는 PMI(Project Management Institute)가 제공하는 자격증이다. PMI는 자격증의 중요성을 높이기 위해, 지속해서 기업계 및 학계와 협력하고 있다. 주관: PMI(Project Management Institute) 비용: 컴퓨터를 이용한 시험은 PMI 회원과 비회원이 각각 405달러 및 555달러다. 그리고 종이 시험은 각각 250달러 및 400달러다. 자격 요건: 미국 고등학교 졸업 학력, 3년간의 프로젝트 관리 경력, 4,500시간의 프로젝트 통솔 및 주도 경력, 35시간의 프로젝트 관리 교육 또는 고등학교 졸업 학력, 5년 동안의 프로젝트 관리 경력, 7,500시간의 프로젝트 통솔 및 주도 경력, 35시간의 프로젝트 관리 교육 CAPM: Certified...

자격증 PMP MPM 컴티아 프로젝트+ CSM PRINCE2 Foundation PRINCE2 Practitioner CPMP EC-카운슬 CPD MPC 일정 애자일 CIO PM IT프로젝트 PPM APM 프로젝트 관리 인증 예산 GAQM

2017.07.31

성공한 IT프로젝트 뒤에는 항상 전문성이 아주 뛰어난 프로젝트 관리자가 있다. 하드웨어 및 소프트웨어 업데이트부터, 지속적인 보안 패치, 애플리케이션 개발, 소프트웨어 배포까지, 프로젝트 관리자는 팀이 과업과 생산성을 유지하도록 만든다. 따라서 대부분의 IT 분야 종사자들은 자신이 가진 IT 자격증 목록에 프로젝트 관리 자격증을 추가시키는 것이 좋다. IT우선순위를 계획하고, 이에 대한 일정과 예산을 수립하며, 이를 이행해 전달한 후 보고하는 노하우가 있음을 보여줄 수 있기 때문이다. 이에 CIO닷컴은 올해 '기술'을 연마하고, '부가가치'를 창출해 줄 가장 인기 있는 프로젝트 관리 자격증을 소개한다. PMP: Project Management Professional 프로젝트 관리의 '황금률' 역할을 하는 PMP(Project Management Professional) 자격증은 PM의 3대 난관인 '시간', '비용', ‘범위'에 대한 지식과 전문성을 입증하는 데 필요한 모든 것을 다루는 엄격한 '테스트'다. 이는 PMI(Project Management Institute)가 제공하는 자격증이다. PMI는 자격증의 중요성을 높이기 위해, 지속해서 기업계 및 학계와 협력하고 있다. 주관: PMI(Project Management Institute) 비용: 컴퓨터를 이용한 시험은 PMI 회원과 비회원이 각각 405달러 및 555달러다. 그리고 종이 시험은 각각 250달러 및 400달러다. 자격 요건: 미국 고등학교 졸업 학력, 3년간의 프로젝트 관리 경력, 4,500시간의 프로젝트 통솔 및 주도 경력, 35시간의 프로젝트 관리 교육 또는 고등학교 졸업 학력, 5년 동안의 프로젝트 관리 경력, 7,500시간의 프로젝트 통솔 및 주도 경력, 35시간의 프로젝트 관리 교육 CAPM: Certified...

2017.07.31

강은성의 보안 아키텍트 | ISMS/PIMS 인증과 IoT 보안인증

기업에서 많이 받는 인증 중에 ISO 9001(품질경영시스템) 인증이 있다. 한국표준협회에서는 ISO 9001 인증은, “모든 산업 분야 및 활동에 적용할 수 있는 품질경영시스템의 요구사항”인 ISO 9001 국제 표준을 “제품 또는 서비스의 실현 시스템이 충족하고 유효하게 운영하고 있음을 제3자가 객관적으로 인증”해 주는 것이라고 설명하고 있다. 즉 인증은 제정된 ‘요구사항’을 ‘충족’하는지 여부를 공신력 있는 제3자가 ‘검증’해 주는 것이다. 보안컨설팅 기업이 사전 컨설팅도 하고, 인증심사도 하고, 확인증도 부여하는 구조적 문제를 포함해 부실하다는 비판을 받았던 ‘정보보호 안전진단’이 전면 폐지되면서, 2012년 정보통신망법 제47조(정보보호 관리체계의 인증)를 근거로 정보보호 관리체계(ISMS) 인증이 도입되었다. ‘정보보호 관리체계 인증 등에 관한 고시’(미래창조과학부 고시)에서는 ISMS 인증기준으로 13개 통제분야, 92개 통제항목을 정의하였다. ISO 9001 인증에서의 ‘요구사항’에 해당된다. 같은 법 제47조의3에서 규정한 개인정보보호 관리체계(PIMS) 인증 역시 ‘개인정보보호 관리체계 인증 등에 관한 고시’(방송통신위원회 고시)에서 9개 영역, 최대 86개 항목의 인증기준을 설정하였다. 2014년 국정감사에서 유승희 의원은 PIMS 인증을 받은 24개 기업 중 5개 기업에서 ‘개인정보 및 비밀번호 유출사고’가 발생하였다고 하면서 그 이유로 인증심사원의 역량 부족과 획일적 심사기간에 따른 심사의 부실화라고 짚었다. 보완해야 할 점이 있을 것이다. 다만 본질적으로 이런 질문을 할 수 있을 것 같다. 위 문제를 해결하는 수준으로 인증을 강화하면 PIMS 인증 취득기업에는 개인정보 유출사고가 발생하지 않을 것인가? 또는 PIM...

CSO 개인정보 인증 PIPL ISO 9001 인증 품질경영시스템 강은성 사물인터넷 PIMS KISA 인증 취약점 CISO 사물인터넷 정보보호로드맵

2017.07.14

기업에서 많이 받는 인증 중에 ISO 9001(품질경영시스템) 인증이 있다. 한국표준협회에서는 ISO 9001 인증은, “모든 산업 분야 및 활동에 적용할 수 있는 품질경영시스템의 요구사항”인 ISO 9001 국제 표준을 “제품 또는 서비스의 실현 시스템이 충족하고 유효하게 운영하고 있음을 제3자가 객관적으로 인증”해 주는 것이라고 설명하고 있다. 즉 인증은 제정된 ‘요구사항’을 ‘충족’하는지 여부를 공신력 있는 제3자가 ‘검증’해 주는 것이다. 보안컨설팅 기업이 사전 컨설팅도 하고, 인증심사도 하고, 확인증도 부여하는 구조적 문제를 포함해 부실하다는 비판을 받았던 ‘정보보호 안전진단’이 전면 폐지되면서, 2012년 정보통신망법 제47조(정보보호 관리체계의 인증)를 근거로 정보보호 관리체계(ISMS) 인증이 도입되었다. ‘정보보호 관리체계 인증 등에 관한 고시’(미래창조과학부 고시)에서는 ISMS 인증기준으로 13개 통제분야, 92개 통제항목을 정의하였다. ISO 9001 인증에서의 ‘요구사항’에 해당된다. 같은 법 제47조의3에서 규정한 개인정보보호 관리체계(PIMS) 인증 역시 ‘개인정보보호 관리체계 인증 등에 관한 고시’(방송통신위원회 고시)에서 9개 영역, 최대 86개 항목의 인증기준을 설정하였다. 2014년 국정감사에서 유승희 의원은 PIMS 인증을 받은 24개 기업 중 5개 기업에서 ‘개인정보 및 비밀번호 유출사고’가 발생하였다고 하면서 그 이유로 인증심사원의 역량 부족과 획일적 심사기간에 따른 심사의 부실화라고 짚었다. 보완해야 할 점이 있을 것이다. 다만 본질적으로 이런 질문을 할 수 있을 것 같다. 위 문제를 해결하는 수준으로 인증을 강화하면 PIMS 인증 취득기업에는 개인정보 유출사고가 발생하지 않을 것인가? 또는 PIM...

2017.07.14

오는 6월 클라우드 파운드리 개발자 인증 출시된다

클라우드 파운드리 재단이 오는 6월 출시를 목적으로 새로운 인증 프로그램을 발표했다. 은행, 유통, 제조 등 업종을 망라하고 현재 기업들이 경쟁우위를 확보하고자 디지털 서비스에 투자하고 있다. 현대적인 개발 툴과 관행에 관한 경험 있는 직원을 채용하는 일은 오늘날 모든 유형의 조직에서 필수인 시대가 됐다. 그러나 오픈소스 클라우드 파운드리 플랫폼을 서비스 생태계로 지원하는 비영리 단체인 클라우드 파운드리 재단의 이사 애비 컨즈는 관련 전문 지식을 가진 개발자를 모이는 일이 어렵다고 말했다. 컨즈는 "작년에 발표한 보고서에서 기술력 부족을 확인했다”며 “이러한 현상이 대기업에서만 증가하고 있다. 사람들은 클라우드에 있는 애플리케이션을 사용하고 개발하는 방법을 알고 있는 개발자를 찾고 있다"고 이야기했다. 클라우드 파운드리는 이른바 '클라우드 기반' 애플리케이션을 구축하고 운영할 수 있는 프레임워크를 제공한다. 이는 일반적인 '모노리식(monolithic)' 애플리케이션에 비해 향상된 탄력성과 유연성을 제공하는 마이크로서비스 소프트웨어 아키텍처를 채택하는 게 아니라 개발 프로세스를 단순화하는 컨테이너 같은 툴을 활용한다는 의미다. 이 재단은 오는 6월 출시할 새로운 분야의 인증을 발표했다. 클라우드 파운드리 개발자 인증 프로그램에는 온라인 학습 과정, 교육 파트너 프로그램, 성과 기반 시험을 통과한 사람을 위한 자격증이 포함돼 있다. 이 프로그램을 통해 개발자는 다양한 공인 클라우드 파운드리 배포에 관한 지식을 갖췄음을 인정받을 수 있다. 여기에는 화웨이 퓨전 스테이지(Huawei FusionStage), IBM 블루믹스 클라우드 파운드리, 피보탈 클라우드 파운드리, SAP 클라우드 플랫폼, 스위스컴 애플리케이션 클라우드(Swisscom Application Cloud)가 포함된다. 컨즈는 이 인증의 목적에 관해 "클라우드 파운드리를 사용하는 ...

자격증 아마존 웹 서비스 소매 넷플릭스 제조 인증 은행 고용 마이크로소프트 채용 클라우드 파운드리 재단

2017.04.04

클라우드 파운드리 재단이 오는 6월 출시를 목적으로 새로운 인증 프로그램을 발표했다. 은행, 유통, 제조 등 업종을 망라하고 현재 기업들이 경쟁우위를 확보하고자 디지털 서비스에 투자하고 있다. 현대적인 개발 툴과 관행에 관한 경험 있는 직원을 채용하는 일은 오늘날 모든 유형의 조직에서 필수인 시대가 됐다. 그러나 오픈소스 클라우드 파운드리 플랫폼을 서비스 생태계로 지원하는 비영리 단체인 클라우드 파운드리 재단의 이사 애비 컨즈는 관련 전문 지식을 가진 개발자를 모이는 일이 어렵다고 말했다. 컨즈는 "작년에 발표한 보고서에서 기술력 부족을 확인했다”며 “이러한 현상이 대기업에서만 증가하고 있다. 사람들은 클라우드에 있는 애플리케이션을 사용하고 개발하는 방법을 알고 있는 개발자를 찾고 있다"고 이야기했다. 클라우드 파운드리는 이른바 '클라우드 기반' 애플리케이션을 구축하고 운영할 수 있는 프레임워크를 제공한다. 이는 일반적인 '모노리식(monolithic)' 애플리케이션에 비해 향상된 탄력성과 유연성을 제공하는 마이크로서비스 소프트웨어 아키텍처를 채택하는 게 아니라 개발 프로세스를 단순화하는 컨테이너 같은 툴을 활용한다는 의미다. 이 재단은 오는 6월 출시할 새로운 분야의 인증을 발표했다. 클라우드 파운드리 개발자 인증 프로그램에는 온라인 학습 과정, 교육 파트너 프로그램, 성과 기반 시험을 통과한 사람을 위한 자격증이 포함돼 있다. 이 프로그램을 통해 개발자는 다양한 공인 클라우드 파운드리 배포에 관한 지식을 갖췄음을 인정받을 수 있다. 여기에는 화웨이 퓨전 스테이지(Huawei FusionStage), IBM 블루믹스 클라우드 파운드리, 피보탈 클라우드 파운드리, SAP 클라우드 플랫폼, 스위스컴 애플리케이션 클라우드(Swisscom Application Cloud)가 포함된다. 컨즈는 이 인증의 목적에 관해 "클라우드 파운드리를 사용하는 ...

2017.04.04

"심박 데이터, 패스워드로 활용될 수 있다" 빙햄턴 대학 연구진

뉴욕 빙햄턴 대학 연구진이 심박 데이터를 개인 데이터 보안에 활용할 방안을 제시했다. 심장의 전기적 활동이 개인마다 고유하다는 특성을 이용한 것이다. 기본 아이디어는 다음과 같다. 미래에 모든 환자는 특정 웨어러블 기기를 착용한다. 이 기기는 환자의 각종 생리적 데이터를 수집해 의자에게 보낸다. 이 데이터는 이미 수집된 각 환자의 심전도(ECG) 신호를 통해 자동으로 분류되고 접근할 수 있게 된다. 이를 통해 비용과 컴퓨팅 자원을 절약할 수 있게 한다는 개념이다. '탄탄하고 재활용 가능한 e헬스 시스템용 ECG-기반 인증 및 데이터 암호화 계획안'(A Robust and Reusable ECG-based Authentication and Data Encryption Scheme for eHealth Systems)이라는 논문의 공동 저자 잔펭 진은 "시중에는 성숙한 암호화 기술이 다수 존재한다. 그러나 문제는 이들 암호화 기술들이 복잡한 산술적 계산과 무작위 키 생성을 필요로 한다는 것"이라고 말했다. 그는 이어 "모바일 기기나 웨어러블 기기에 이러한 종류의 암호화를 적용하면 배터리가 이내 소진되게 된다"라고 설명했다. 진은 그러나 ECG를 인증 열쇠로 이용하는 방안에는 단점이 있다면서, 다른 생체 신호에 비해 예민하고 취약한 특성이 그것이라고 덧붙였다. 가령 신체 활동 상태나 정서 상태에 따라 가변성이 크다는 점이 그것이다. 연령이나 건강 상태에 따라서도 달라질 수 있다. 그는 "ECG가 독립적인 생태 인증 수단으로 활용되기는 어렵다. 단 2차 인증을 위한 용도로는 대단히 효율적일 수 있다"라고 말했다. ciokr@idg.co.kr 

의료 인증 헬스케어 심박 ECG

2017.01.23

뉴욕 빙햄턴 대학 연구진이 심박 데이터를 개인 데이터 보안에 활용할 방안을 제시했다. 심장의 전기적 활동이 개인마다 고유하다는 특성을 이용한 것이다. 기본 아이디어는 다음과 같다. 미래에 모든 환자는 특정 웨어러블 기기를 착용한다. 이 기기는 환자의 각종 생리적 데이터를 수집해 의자에게 보낸다. 이 데이터는 이미 수집된 각 환자의 심전도(ECG) 신호를 통해 자동으로 분류되고 접근할 수 있게 된다. 이를 통해 비용과 컴퓨팅 자원을 절약할 수 있게 한다는 개념이다. '탄탄하고 재활용 가능한 e헬스 시스템용 ECG-기반 인증 및 데이터 암호화 계획안'(A Robust and Reusable ECG-based Authentication and Data Encryption Scheme for eHealth Systems)이라는 논문의 공동 저자 잔펭 진은 "시중에는 성숙한 암호화 기술이 다수 존재한다. 그러나 문제는 이들 암호화 기술들이 복잡한 산술적 계산과 무작위 키 생성을 필요로 한다는 것"이라고 말했다. 그는 이어 "모바일 기기나 웨어러블 기기에 이러한 종류의 암호화를 적용하면 배터리가 이내 소진되게 된다"라고 설명했다. 진은 그러나 ECG를 인증 열쇠로 이용하는 방안에는 단점이 있다면서, 다른 생체 신호에 비해 예민하고 취약한 특성이 그것이라고 덧붙였다. 가령 신체 활동 상태나 정서 상태에 따라 가변성이 크다는 점이 그것이다. 연령이나 건강 상태에 따라서도 달라질 수 있다. 그는 "ECG가 독립적인 생태 인증 수단으로 활용되기는 어렵다. 단 2차 인증을 위한 용도로는 대단히 효율적일 수 있다"라고 말했다. ciokr@idg.co.kr 

2017.01.23

회사마다 꼭 있는 '아몰랑 보안' 유형··· 혹시 당신도?

모든 임직원을 대상으로 보안 교육을 한다 해도, 패치를 업데이트하지 않고, 수년 째 같은 비밀번호를 고수하며, 포스트잇에 비밀번호를 적어두는 사람들은 꼭 있다. 사소해 보이지만, 기업 보안의 위협이 될 수도 있는 임직원들의 행동을 유형별로 정리했다.  Credit: GettyImages IT분야에 오래 종사했다면, 생태학적으로 특정 틈새에 부합하는 특정 유형의 사람들을 분류할 수 있을 것이다. 필자는 몇 년 전 IT 종사자들에게 업무와 관련해 만났던 '최악'인 사람들의 유형을 예로 설명해 달라고 요청했다. IT 종사자들은 여기에 적극적으로 대답했다. 이번에는 정보보안 종사자들이 '서버'와 기업을 보호하기 위해 극복해야만 했던 '안전하지 못한' 직원들의 유형을 알아봤다. 보안 담당자라면 여기서 소개한 유형에 공감할 것이다. 이 글을 읽는 독자 여러분은 이런 유형에 해당되지 않기를 기대한다. 무조건 클릭하고 보는 사람 팝업 창이 해가 되지 않는다고 생각하는 사람들이 있다. 스크리블르스닷컴(Scribblrs.com)을 창업한 에릭 브랜트너는 "예를 들어, '뉴스 사이트'는 매력적이지만 짜증 나는 팝업이 뜬다. 그리고 일부는 이 팝업을 거리낌 없이 클릭해, 컴퓨터가 스파이웨어에 감염되는 사고를 초래한다. 이메일도 마찬가지다"고 말했다. 화이트햇 시큐리티(WhiteHat Security) 산하 위협 연구소(Threat Research Center)의 라이언 오리어리 부사장은 "대부분 사람들이 '피싱'이 무엇인지 안다. 그러나 재미있는 고양이 동영상 링크, 구글 비밀번호가 유출됐다는 가짜 위협에 넘어가는 사람들이 있다"고 밝혔다. 링크를 클릭해 피해자가 되고, 악성코드가 설치되면 전체 회사 네트워크가 침해를 당한다. 어설픈 기술 전문가 기술을 잘 안다고 자부하는 직원들이 안전하지 못한 행동을 할 때가 많다. 스크리...

CSO USB 메신저 BYOD 업데이트 패치 비밀번호 인증 CISO IT아웃소싱 이메일 페이스북 포스트잇

2016.11.09

모든 임직원을 대상으로 보안 교육을 한다 해도, 패치를 업데이트하지 않고, 수년 째 같은 비밀번호를 고수하며, 포스트잇에 비밀번호를 적어두는 사람들은 꼭 있다. 사소해 보이지만, 기업 보안의 위협이 될 수도 있는 임직원들의 행동을 유형별로 정리했다.  Credit: GettyImages IT분야에 오래 종사했다면, 생태학적으로 특정 틈새에 부합하는 특정 유형의 사람들을 분류할 수 있을 것이다. 필자는 몇 년 전 IT 종사자들에게 업무와 관련해 만났던 '최악'인 사람들의 유형을 예로 설명해 달라고 요청했다. IT 종사자들은 여기에 적극적으로 대답했다. 이번에는 정보보안 종사자들이 '서버'와 기업을 보호하기 위해 극복해야만 했던 '안전하지 못한' 직원들의 유형을 알아봤다. 보안 담당자라면 여기서 소개한 유형에 공감할 것이다. 이 글을 읽는 독자 여러분은 이런 유형에 해당되지 않기를 기대한다. 무조건 클릭하고 보는 사람 팝업 창이 해가 되지 않는다고 생각하는 사람들이 있다. 스크리블르스닷컴(Scribblrs.com)을 창업한 에릭 브랜트너는 "예를 들어, '뉴스 사이트'는 매력적이지만 짜증 나는 팝업이 뜬다. 그리고 일부는 이 팝업을 거리낌 없이 클릭해, 컴퓨터가 스파이웨어에 감염되는 사고를 초래한다. 이메일도 마찬가지다"고 말했다. 화이트햇 시큐리티(WhiteHat Security) 산하 위협 연구소(Threat Research Center)의 라이언 오리어리 부사장은 "대부분 사람들이 '피싱'이 무엇인지 안다. 그러나 재미있는 고양이 동영상 링크, 구글 비밀번호가 유출됐다는 가짜 위협에 넘어가는 사람들이 있다"고 밝혔다. 링크를 클릭해 피해자가 되고, 악성코드가 설치되면 전체 회사 네트워크가 침해를 당한다. 어설픈 기술 전문가 기술을 잘 안다고 자부하는 직원들이 안전하지 못한 행동을 할 때가 많다. 스크리...

2016.11.09

"2017년 IoT 역량 문제 심화···모든 IT 직무 영향권" 포레스터

최근 시장의 화두 중 하나는 IoT다. 기업들이 사물, 비즈니스 프로세스를 연결해 새로운 가치를 발굴하는데 관심과 역량을 집중하고 있으며, 이에 대응하는 솔루션이 대거 출현하고 있다.  문제는 이 IoT라는 개념을 구현하는 기술 및 활용 사례의 폭이 매우 폭넓으며, 벤더 생태계 역시 정신차리기 어려운 속도로 변화하고 있다는 점이다. 이에 더해 포레스터는 IoT 역량(데이터 애널리틱스, 보안, 무선 네트워킹 등)의 공급 부족 역시 IT 팀들을 괴롭히는 문제로 대두될 것이라고 예측했다. Image Credit : Getty Images Bank IoT는 비즈니스 혁신, 데이터 과학, 사이버보안, 산업 자동화 등 새로운 기회를 창출할 도구다. 그러나 동시에 새로운 네트워크 프로토콜, 하드웨어, 전문 소프트웨어, 그리고 배치 이슈까지, 다양한 과제를 안겨주는 존재이기도 하다. 포레스터는 새로 발간한 보고서를 통해 “고객 관계를 개선하고 비즈니스 성장을 주도할 도구로서 IoT가 지닌 가능성이 주목받고 있다. IoT는 향후 기업들의 비즈니스 전략에, 그리고 CIO 산하 IT 조직의 모든 역할에 변화를 초래할 용인이다. 하지만 그러한 가치 발굴 과정은 절대 녹록하지만은 않을 것”이라고 설명했다. 그 가운데서도 보안은 특히 민감한 주제다. 이와 관련해서는 크게 두 가지 이슈가 논의되고 있다. 첫째는 IoT 기기 보급으로 인한 공격 지점의 확대 문제고, 둘째는 기기의 취약점이 해커들이 여타 공격을 개시하는데 이용될 수 있다는 점이다. 포레스터는 '진단 2017: 보안 및 인력 이슈가 IoT의 성장에 미치는 부정적 영향'이라는 제목의 보고서를 통해 “IoT 기기를 도입함에 있어 보안 이슈를 사후 조치 정도의 차원으로 다루는 것은 매우 위험한 태도다”라고 지적했다. 네트워킹 노하우 역시 까다로운 문제라고 포레스터는 경고했다. IoT 생태계 배치를 지원하는데 요구되는 와이어리...

자격증 인재 포레스터 역량 인증 프로토콜 IoT

2016.11.08

최근 시장의 화두 중 하나는 IoT다. 기업들이 사물, 비즈니스 프로세스를 연결해 새로운 가치를 발굴하는데 관심과 역량을 집중하고 있으며, 이에 대응하는 솔루션이 대거 출현하고 있다.  문제는 이 IoT라는 개념을 구현하는 기술 및 활용 사례의 폭이 매우 폭넓으며, 벤더 생태계 역시 정신차리기 어려운 속도로 변화하고 있다는 점이다. 이에 더해 포레스터는 IoT 역량(데이터 애널리틱스, 보안, 무선 네트워킹 등)의 공급 부족 역시 IT 팀들을 괴롭히는 문제로 대두될 것이라고 예측했다. Image Credit : Getty Images Bank IoT는 비즈니스 혁신, 데이터 과학, 사이버보안, 산업 자동화 등 새로운 기회를 창출할 도구다. 그러나 동시에 새로운 네트워크 프로토콜, 하드웨어, 전문 소프트웨어, 그리고 배치 이슈까지, 다양한 과제를 안겨주는 존재이기도 하다. 포레스터는 새로 발간한 보고서를 통해 “고객 관계를 개선하고 비즈니스 성장을 주도할 도구로서 IoT가 지닌 가능성이 주목받고 있다. IoT는 향후 기업들의 비즈니스 전략에, 그리고 CIO 산하 IT 조직의 모든 역할에 변화를 초래할 용인이다. 하지만 그러한 가치 발굴 과정은 절대 녹록하지만은 않을 것”이라고 설명했다. 그 가운데서도 보안은 특히 민감한 주제다. 이와 관련해서는 크게 두 가지 이슈가 논의되고 있다. 첫째는 IoT 기기 보급으로 인한 공격 지점의 확대 문제고, 둘째는 기기의 취약점이 해커들이 여타 공격을 개시하는데 이용될 수 있다는 점이다. 포레스터는 '진단 2017: 보안 및 인력 이슈가 IoT의 성장에 미치는 부정적 영향'이라는 제목의 보고서를 통해 “IoT 기기를 도입함에 있어 보안 이슈를 사후 조치 정도의 차원으로 다루는 것은 매우 위험한 태도다”라고 지적했다. 네트워킹 노하우 역시 까다로운 문제라고 포레스터는 경고했다. IoT 생태계 배치를 지원하는데 요구되는 와이어리...

2016.11.08

암호 재사용부터 결제 보호까지··· 최신 보안 핀테크 사례 3가지

신생 핀테크 업체들은 오늘날 보안 과제 중 가장 중요한 문제에 도전하고 있다. 최근 주목 받고 있는 신생 핀테크 업체 세 곳이 보안을 기반으로 어떻게 경쟁하고 있는지 살펴보자. Image Credit: Getty Images Bank KYC(Know Your Client) 개인의 신원을 밝히는 것이 금융 산업 보안의 핵심이다. 주요 금융 기관에게 계좌를 개설하려면 직접 방문해야 하고 정부가 발행한 신원 서류에 서명하고 나서 수 시간 또는 수 일을 기다려야 한다. 하지만 오늘날 고객은 계좌 개설을 포함해 더 빠른 서비스를 요구한다. 2010년에 설립된 트룰리우(Trulioo)는 신원을 확인하는 새로운 접근방식을 개발해, 이베이, 킥스타터, 스퀘어, 페이팔 등을 고객으로 확보했다. 일반적으로 금융 기관은 몇몇 신원 서류에 의존하지만, 트룰리우는 재산 파일, 유틸리티 데이터, 신용 이력, 경계 사항 목록, 건강보험 등록번호, 직접 마케팅 데이터 등 더 광범위한 데이터 소스를 활용해 신원을 확인한다. 이를 통해 수 초 안에 '검증' 또는 '미검증' 등급을 결정한다. 트룰리우의 CEO 존 존스는 "우리가 확인하는 핵심 정보는 이름, 주소, ID 번호, 생년월일 등 KYC(Know Your Client) 컴플라이언스에 핵심이 되는 속성이지만 휴대폰과 이메일까지 확장할 수 있다. 각 기업 고객의 상황에 맞춰 데이터 소스를 조정한다"고 말했다. 이어 "고객 신원에 대한 높은 수준의 신뢰성 확보가 점점 더 중요해지고 있다. 우리의 다음 목표는 전통적이지 않은 데이터 세트를 더 많이 활용해 고객 결제 기록 등의 신원을 파악하는 것이다"라고 덧붙였다. 긍정적인 의미의 비밀번호 재사용 보안 인증은 언제나 사용자에게 부담스러운 것이다. 그래서 캐나다의 인증 서비스 업체인 시큐어키 테크놀로지(SecureKey Technologies)는 이를 스펙트럼으로 분할하는 방법을 고안했다....

컴플라이언스 인증 패스워드 핀테크 KYC 금융보안

2016.08.19

신생 핀테크 업체들은 오늘날 보안 과제 중 가장 중요한 문제에 도전하고 있다. 최근 주목 받고 있는 신생 핀테크 업체 세 곳이 보안을 기반으로 어떻게 경쟁하고 있는지 살펴보자. Image Credit: Getty Images Bank KYC(Know Your Client) 개인의 신원을 밝히는 것이 금융 산업 보안의 핵심이다. 주요 금융 기관에게 계좌를 개설하려면 직접 방문해야 하고 정부가 발행한 신원 서류에 서명하고 나서 수 시간 또는 수 일을 기다려야 한다. 하지만 오늘날 고객은 계좌 개설을 포함해 더 빠른 서비스를 요구한다. 2010년에 설립된 트룰리우(Trulioo)는 신원을 확인하는 새로운 접근방식을 개발해, 이베이, 킥스타터, 스퀘어, 페이팔 등을 고객으로 확보했다. 일반적으로 금융 기관은 몇몇 신원 서류에 의존하지만, 트룰리우는 재산 파일, 유틸리티 데이터, 신용 이력, 경계 사항 목록, 건강보험 등록번호, 직접 마케팅 데이터 등 더 광범위한 데이터 소스를 활용해 신원을 확인한다. 이를 통해 수 초 안에 '검증' 또는 '미검증' 등급을 결정한다. 트룰리우의 CEO 존 존스는 "우리가 확인하는 핵심 정보는 이름, 주소, ID 번호, 생년월일 등 KYC(Know Your Client) 컴플라이언스에 핵심이 되는 속성이지만 휴대폰과 이메일까지 확장할 수 있다. 각 기업 고객의 상황에 맞춰 데이터 소스를 조정한다"고 말했다. 이어 "고객 신원에 대한 높은 수준의 신뢰성 확보가 점점 더 중요해지고 있다. 우리의 다음 목표는 전통적이지 않은 데이터 세트를 더 많이 활용해 고객 결제 기록 등의 신원을 파악하는 것이다"라고 덧붙였다. 긍정적인 의미의 비밀번호 재사용 보안 인증은 언제나 사용자에게 부담스러운 것이다. 그래서 캐나다의 인증 서비스 업체인 시큐어키 테크놀로지(SecureKey Technologies)는 이를 스펙트럼으로 분할하는 방법을 고안했다....

2016.08.19

'회사와 고객을 구하는' 강력한 인증 플랫폼… 6가지 체크리스트

인증 플랫폼만 잘 구축해도 IT부서의 부담을 줄일 수 있다. 보안 분야가 변화하면서 기업이 직면하는 비즈니스 문제도 바뀌고 있다. 데이터 유출 및 정보 도난이 발생하면서 원치 않는 제 3자로부터 데이터를 보호하는 것이 더욱 중요해졌다. 시만텍의 연례 인터넷 보안 위협 보고서(Internet Security Threat Report)에 따르면, 강력한 인증으로 데이터 유출을 최대 80%까지 없앨 수 있는 것으로 나타났다. 강력한 인증으로 어떤 기기를 사용하든, 어디에 있든 상관없이 안전하게 작업하고 IT 부담을 줄이며 비용을 관리하고 고객의 데이터 접근을 보호할 수 있다. 다음은 시만텍 정보보호팀이 기업 데이터 보호와 관련된 보편적인 비즈니스 문제를 해결하기 위해 제시한 체크리스트다. ciokr@idg.co.kr  

CSO 인터넷 보안 위협 보고서 사물인터넷 BYOD 이중인증 비밀번호 인증 시만텍 CISO 규제 다중인증

2016.08.05

인증 플랫폼만 잘 구축해도 IT부서의 부담을 줄일 수 있다. 보안 분야가 변화하면서 기업이 직면하는 비즈니스 문제도 바뀌고 있다. 데이터 유출 및 정보 도난이 발생하면서 원치 않는 제 3자로부터 데이터를 보호하는 것이 더욱 중요해졌다. 시만텍의 연례 인터넷 보안 위협 보고서(Internet Security Threat Report)에 따르면, 강력한 인증으로 데이터 유출을 최대 80%까지 없앨 수 있는 것으로 나타났다. 강력한 인증으로 어떤 기기를 사용하든, 어디에 있든 상관없이 안전하게 작업하고 IT 부담을 줄이며 비용을 관리하고 고객의 데이터 접근을 보호할 수 있다. 다음은 시만텍 정보보호팀이 기업 데이터 보호와 관련된 보편적인 비즈니스 문제를 해결하기 위해 제시한 체크리스트다. ciokr@idg.co.kr  

2016.08.05

칼럼 | 더 안전한 세상을··· 새 IoT 보안 인증의 목표

미국 보험협회 안전시험소(UL:Underwriters Laboratories)의 새로운 사이버보안 인증 프로그램(CAP)은 사물인터넷 제품에 관한 인증이다. 컬럼니스트 롭 엔덜은 이 CAP가 IoT 보안을 개선하고 CIO가 안심할 수 있도록 해줄 것으로 내다보고 있다. 미국 보험협회 안전시험소(UL:Underwriters Laboratories)가 보안 인증에서 부족한 부분을 메운다고 하면, 누가 관심이나 있을까? 잘 정립된 제품이나 서비스에는 이런 문제가 자주 발생한다. 어떤 기업이나 기관이 새로운 분야에 뛰어들 경우, 사람들은 알지 못하거나 해당 조직이 그만한 능력이 없다고 생각하곤 한다. 이는 사실이 아니라 인식과 관련된 부분이다. 미국인 대다수는 UL이 어떤 일을 하는지 잘 알고 있지만, UL이 ‘보안’까지 관여한다고 여기지는 않는다. 하지만 UL은 실제로 꽤 괜찮은 검증 프로그램을 보유하고 있으며, 심지어 이 프로그램은 IT에서 사물인터넷(IoT) 관련해 어떤 참사가 일어날 수 있는지 정의하려는 유일한 시도이기도 하다. IoT 세계에서 보안 제품을 인증하고 CIO들이 잠을 설치는 일이 없도록 돕는 UL의 CAP(Cybersecurity Assurance Program)에 관해 이야기해 보자. IoT는 보안 악몽이다 우리는 보안 사고로 어떤 일이 일어날지 알지 못한 채 IoT의 긍정적인 면만을 이야기하고 있다. 센서, 카메라, 장비, HVAC시스템, 엘리베이터, 자동차 등이 점차 연결되겠지만 그중 대다수가 보안 소프트웨어를 구동하지 않고 있다. 즉, 누군가 나쁜 마음을 먹고 이런 기기에서 유입되는 데이터를 취하거나 오염시킬 수 있으며 원격으로 조종하고 강제로 고장 낼 수도 있다. 예를 들어, 몇 년 전 맥아피는 안드로이드 휴대전화를 원격으로 조종하여 과열시켜 파괴하는 기술을 선보였다. 크라이슬러는 인포테인먼트(Infotainment)와 운전 시스템을 분리하지 않았고, 한 해커는 차량을 원격으로 탈취...

CIO 사이버보안 인증 프로그램 Underwriters Laboratories UL 미국 보험협회 안전시험소 크라이슬러 IoT 보안 Rob Enderle 사물인터넷 인증 맥아피 CAP

2016.05.24

미국 보험협회 안전시험소(UL:Underwriters Laboratories)의 새로운 사이버보안 인증 프로그램(CAP)은 사물인터넷 제품에 관한 인증이다. 컬럼니스트 롭 엔덜은 이 CAP가 IoT 보안을 개선하고 CIO가 안심할 수 있도록 해줄 것으로 내다보고 있다. 미국 보험협회 안전시험소(UL:Underwriters Laboratories)가 보안 인증에서 부족한 부분을 메운다고 하면, 누가 관심이나 있을까? 잘 정립된 제품이나 서비스에는 이런 문제가 자주 발생한다. 어떤 기업이나 기관이 새로운 분야에 뛰어들 경우, 사람들은 알지 못하거나 해당 조직이 그만한 능력이 없다고 생각하곤 한다. 이는 사실이 아니라 인식과 관련된 부분이다. 미국인 대다수는 UL이 어떤 일을 하는지 잘 알고 있지만, UL이 ‘보안’까지 관여한다고 여기지는 않는다. 하지만 UL은 실제로 꽤 괜찮은 검증 프로그램을 보유하고 있으며, 심지어 이 프로그램은 IT에서 사물인터넷(IoT) 관련해 어떤 참사가 일어날 수 있는지 정의하려는 유일한 시도이기도 하다. IoT 세계에서 보안 제품을 인증하고 CIO들이 잠을 설치는 일이 없도록 돕는 UL의 CAP(Cybersecurity Assurance Program)에 관해 이야기해 보자. IoT는 보안 악몽이다 우리는 보안 사고로 어떤 일이 일어날지 알지 못한 채 IoT의 긍정적인 면만을 이야기하고 있다. 센서, 카메라, 장비, HVAC시스템, 엘리베이터, 자동차 등이 점차 연결되겠지만 그중 대다수가 보안 소프트웨어를 구동하지 않고 있다. 즉, 누군가 나쁜 마음을 먹고 이런 기기에서 유입되는 데이터를 취하거나 오염시킬 수 있으며 원격으로 조종하고 강제로 고장 낼 수도 있다. 예를 들어, 몇 년 전 맥아피는 안드로이드 휴대전화를 원격으로 조종하여 과열시켜 파괴하는 기술을 선보였다. 크라이슬러는 인포테인먼트(Infotainment)와 운전 시스템을 분리하지 않았고, 한 해커는 차량을 원격으로 탈취...

2016.05.24

강은성의 보안 아키텍트 | ISMS 인증제도와 심사 대비

지난 3월 23일에 1천 석 규모의 코엑스 오디토리움홀이 정보보호 분야에서 일하는 사람들로 가득 찼다. 한국인터넷진흥원(KISA)에서 주최한 '정보보호 관리체계(ISMS) 인증제도 설명회' 자리였는데. 참석자들의 관심을 반영하듯 질문도 수십 개가 쏟아졌다. 이토록 설명회가 성황을 이룬 것은 작년 12월에 개정된 정보통신망법 덕분이다. 여기에서 ISMS 인증의무 대상을 "전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자"(제47조 제2항)라고 넓혀 정보통신망을 이용하는 비영리법인인 학교나 병원, 단순 홍보나 채용 목적으로 홈페이지를 운영하는 오프라인 업체도 해당될 수 있는 근거를 마련했고, 기존 "정보통신서비스 부문 전년도 매출액 100억 원 이상" 외에 "연간 매출액 또는 세입 등이 1,500억 원 이상"(제47조 제2항 제3호)을 추가함으로써 인증의무 대상이 크게 늘었다.              [그림] ISMS 인증 마크 지난 2월에 발표된 이 법의 시행령 개정안에서는 인증의무 대상을 개정법의 기준을 충족하면서 (1) 「의료법」 제3조 제2항에 따른 의료기관 (2) 「전자금융거래법」 제2조의3에 따른 금융회사 (3) 전년도 말 기준 직전 3개월간의 하루 평균 이용자 수가 1만 명 이상의 세 조건 중 하나에 해당하는 사업자로 제한하였다. 이에 따르면 매출액 1,500억 원 이상인 병원이나 금융회사는 인증의무 대상자가 된다. 3번 기준은 직관적으로 읽히는 '순방문자 수'(UV: Unique Visitor)가 아니라 설명회에서 밝힌 대로 '페이지 열람 수'(PV: Page View)라고 한다면 홈페이지가 있는 매출액 1,500억 원 이상인 많은 회사들이 이에 해당할 것으로 보인다. 게다가 법인에서 운영하는 모든 사이트의 PV를 합산한다고 하니 ...

CSO ISMS 정보통신망법 보안 아키텍트 강은성 한국인터넷진흥원 심사 대비 KISA 인증 CISO 규제 정보보호 관리체계

2016.04.14

지난 3월 23일에 1천 석 규모의 코엑스 오디토리움홀이 정보보호 분야에서 일하는 사람들로 가득 찼다. 한국인터넷진흥원(KISA)에서 주최한 '정보보호 관리체계(ISMS) 인증제도 설명회' 자리였는데. 참석자들의 관심을 반영하듯 질문도 수십 개가 쏟아졌다. 이토록 설명회가 성황을 이룬 것은 작년 12월에 개정된 정보통신망법 덕분이다. 여기에서 ISMS 인증의무 대상을 "전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자"(제47조 제2항)라고 넓혀 정보통신망을 이용하는 비영리법인인 학교나 병원, 단순 홍보나 채용 목적으로 홈페이지를 운영하는 오프라인 업체도 해당될 수 있는 근거를 마련했고, 기존 "정보통신서비스 부문 전년도 매출액 100억 원 이상" 외에 "연간 매출액 또는 세입 등이 1,500억 원 이상"(제47조 제2항 제3호)을 추가함으로써 인증의무 대상이 크게 늘었다.              [그림] ISMS 인증 마크 지난 2월에 발표된 이 법의 시행령 개정안에서는 인증의무 대상을 개정법의 기준을 충족하면서 (1) 「의료법」 제3조 제2항에 따른 의료기관 (2) 「전자금융거래법」 제2조의3에 따른 금융회사 (3) 전년도 말 기준 직전 3개월간의 하루 평균 이용자 수가 1만 명 이상의 세 조건 중 하나에 해당하는 사업자로 제한하였다. 이에 따르면 매출액 1,500억 원 이상인 병원이나 금융회사는 인증의무 대상자가 된다. 3번 기준은 직관적으로 읽히는 '순방문자 수'(UV: Unique Visitor)가 아니라 설명회에서 밝힌 대로 '페이지 열람 수'(PV: Page View)라고 한다면 홈페이지가 있는 매출액 1,500억 원 이상인 많은 회사들이 이에 해당할 것으로 보인다. 게다가 법인에서 운영하는 모든 사이트의 PV를 합산한다고 하니 ...

2016.04.14

구글, '폰으로 비밀번호 대체' 테스트 중

구글이 비밀번호 퇴출에 한걸음 더 다가섰다. 스마트폰을 사용하는 방식이다. 한 레딧 사용자가 게재한 게시글에 따르면, 스마트폰으로 계정에 로그인하는 방식이 일부 사용자를 대상으로 테스트되고 있다. 스마트폰을 계정 정보와 연계시키면, 이후부터는 이메일 주소를 입력하는 것만으로 접속할 수 있는 것이 골자다. 로힛 폴 테스터가 레딧에 게재한 화면. 비밀번호를 입력하는 단계가 없다. 이 스마트폰 로그인 방식을 어디에 이용할 수 있는지에 대한 세부정보가 공개되지 않고 있다는 점에서 테스트 초기 단계인 것으로 관측된다. 구글은 대규모 공개에 앞서 소수의 사용자 그룹을 대상으로 테스트를 진행하는 방식을 즐겨 이용하고 있다. ciokr@idg.co.kr 

구글 인증 비밀번호 패스워드

2015.12.23

구글이 비밀번호 퇴출에 한걸음 더 다가섰다. 스마트폰을 사용하는 방식이다. 한 레딧 사용자가 게재한 게시글에 따르면, 스마트폰으로 계정에 로그인하는 방식이 일부 사용자를 대상으로 테스트되고 있다. 스마트폰을 계정 정보와 연계시키면, 이후부터는 이메일 주소를 입력하는 것만으로 접속할 수 있는 것이 골자다. 로힛 폴 테스터가 레딧에 게재한 화면. 비밀번호를 입력하는 단계가 없다. 이 스마트폰 로그인 방식을 어디에 이용할 수 있는지에 대한 세부정보가 공개되지 않고 있다는 점에서 테스트 초기 단계인 것으로 관측된다. 구글은 대규모 공개에 앞서 소수의 사용자 그룹을 대상으로 테스트를 진행하는 방식을 즐겨 이용하고 있다. ciokr@idg.co.kr 

2015.12.23

슈나이더 일렉트릭, ISASecure SDLA 인증 획득

슈나이더 일렉트릭이 ISASecure ISO 17065 인증 기관인 엑시다(Exida)로부터 ISASecure SDLA(Security Development Lifecycle Assurance) 인증을 획득했다고 밝혔다. ISASecure SDLA는 산업자동화 분야 보안 인증으로, 국제 사이버보안 표준에 맞춰 산업자동화 및 제어시스템(IACS) 업계의 사이버보안의 개선을 촉진하기 위해 개발되었다. 슈나이더 일렉트릭의 미국 폭스보로, 영국 워딩, 인도 하이데라바드 공정 자동화 제품 개발 센터가 이번 인증을 받았다. 슈나이더 일렉트릭은 고객들이 연결된 세상에서 더 적은 자원으로 더 많은 성과를 낼 수 있도록 돕는다는 비전 하에, 사이버보안 분야에서도 다양한 연구개발 활동을 진행해왔다. 이번에 인증을 획득한 3곳의 슈나이더 일렉트릭 개발 센터에서는 제품 개발 라이프사이클 전반에 걸쳐 사이버보안을 중요하게 고려하는 것이 문화로 자리 잡았으며, 체계적인 절차를 통해 보안에 안전한 산업자동화와 제어시스템을 개발하기 위해 노력하고 있다. 슈나이더 일렉트릭의 라자 맛차 공정 자동화 사업부 연구개발 부사장은 “사이버보안 위협을 해소하기 위해서는 공동의 노력이 필요하며, 이를 위해 앞으로도 계속 ISASecure, 엑시다와 같은 인증 평가 기관과 협업하겠다”고 말했다. ciokr@idg.co.kr

인증 슈나이더 일렉트릭 ISASecure SDLA

2015.12.18

슈나이더 일렉트릭이 ISASecure ISO 17065 인증 기관인 엑시다(Exida)로부터 ISASecure SDLA(Security Development Lifecycle Assurance) 인증을 획득했다고 밝혔다. ISASecure SDLA는 산업자동화 분야 보안 인증으로, 국제 사이버보안 표준에 맞춰 산업자동화 및 제어시스템(IACS) 업계의 사이버보안의 개선을 촉진하기 위해 개발되었다. 슈나이더 일렉트릭의 미국 폭스보로, 영국 워딩, 인도 하이데라바드 공정 자동화 제품 개발 센터가 이번 인증을 받았다. 슈나이더 일렉트릭은 고객들이 연결된 세상에서 더 적은 자원으로 더 많은 성과를 낼 수 있도록 돕는다는 비전 하에, 사이버보안 분야에서도 다양한 연구개발 활동을 진행해왔다. 이번에 인증을 획득한 3곳의 슈나이더 일렉트릭 개발 센터에서는 제품 개발 라이프사이클 전반에 걸쳐 사이버보안을 중요하게 고려하는 것이 문화로 자리 잡았으며, 체계적인 절차를 통해 보안에 안전한 산업자동화와 제어시스템을 개발하기 위해 노력하고 있다. 슈나이더 일렉트릭의 라자 맛차 공정 자동화 사업부 연구개발 부사장은 “사이버보안 위협을 해소하기 위해서는 공동의 노력이 필요하며, 이를 위해 앞으로도 계속 ISASecure, 엑시다와 같은 인증 평가 기관과 협업하겠다”고 말했다. ciokr@idg.co.kr

2015.12.18

블로그 | 비밀번호 없는 로그인, 스마트폰이 곧 신원인 시대

지난 주 야후는 혁신적인 개념을 로그인에 도입했다. 비밀번호 없이 야후 이메일 계정에 접속할 수 있는 시스템이다. 도대체 비밀번호란 뭘까? 곰곰이 생각해 보면, 비밀번호란 개인을 인증하는 수단이다. 자기 자신만 알고 있는 한 묶음의 지식을 무작위로 생성하는 것이다. 나중에 정말 자기 자신이라는 것을 입증하기 위해서는 그 지식에 완전히 통달해있다는 것을 증명해야 한다. 오직 본인만이 특정한 질문에 대한 답이 “핫도그658”인 이유를 알고 있다. 그러므로 인증을 통과해 접속할 수 있는 사람은 본인 한 명뿐인 것이다. 비밀번호는 최소한 타인이 훔치거나 추측해서 알아맞추기 전까지는 훌륭한 인증 방식이다. 어카운트 키라는 이름의 야후 메일 접속 시스템은 이렇게 작동한다. 어카운트 키 모바일 앱을 설치하고, 사용자 명과 비밀번호를 입력해 로그인한다. 프로필 아이콘을 두드린 후 설정에서 어카운트키를 선택하고 활성화 한다. 바로 여기서 비밀번호 인증이 휴대폰 기기 인증으로 변한다. 이제 비밀번호 없이도 휴대폰에서 야후 메일에 접속할 수 있다. 야후에 따르면, 어떤 다른 기기나 데스크톱 컴퓨터에서 야후 메일을 확인하려고 할 때마다 정말 사용자 본인이 맞는지를 확인하는 알림이 스마트폰으로 발송된다. 이는 곧 야후가 생각하기로는, ‘사용자 본인’은 더 이상 자신에 대한 온갖 관련 정보를 파악하고 있는 사람이 아닌 것이다. ‘본인’이라고 할 수 있는 사람은 자신의 스마트폰에 물리적으로 접촉 가능한 사람뿐이다. 즉 사용자 본인의 확인 수단으로 스마트폰을 쓸 뿐 아니라, 사용자 자체가 스마트폰으로 인식되기 시작한 것이다. 인증된 개인이란 곧 인증된 스마트폰에 접속할 수 있는 사람인 것이다. 새로운 정체성의 세계에 온 것을 환영한다. 비밀번호, 사인, 집 주소 등을 중요하게 생각하지 않는 기업이 점점 더 늘어나고 있다. 인증된 스마트폰을 가지고 있는 사람이 본인인 것이다. 주소없이 배달...

야후 아우디 온 디맨드 부메랑 샤이프 어카운트 키 지문인식 패스워드 로그인 비밀번호 인증 스쿠트

2015.10.30

지난 주 야후는 혁신적인 개념을 로그인에 도입했다. 비밀번호 없이 야후 이메일 계정에 접속할 수 있는 시스템이다. 도대체 비밀번호란 뭘까? 곰곰이 생각해 보면, 비밀번호란 개인을 인증하는 수단이다. 자기 자신만 알고 있는 한 묶음의 지식을 무작위로 생성하는 것이다. 나중에 정말 자기 자신이라는 것을 입증하기 위해서는 그 지식에 완전히 통달해있다는 것을 증명해야 한다. 오직 본인만이 특정한 질문에 대한 답이 “핫도그658”인 이유를 알고 있다. 그러므로 인증을 통과해 접속할 수 있는 사람은 본인 한 명뿐인 것이다. 비밀번호는 최소한 타인이 훔치거나 추측해서 알아맞추기 전까지는 훌륭한 인증 방식이다. 어카운트 키라는 이름의 야후 메일 접속 시스템은 이렇게 작동한다. 어카운트 키 모바일 앱을 설치하고, 사용자 명과 비밀번호를 입력해 로그인한다. 프로필 아이콘을 두드린 후 설정에서 어카운트키를 선택하고 활성화 한다. 바로 여기서 비밀번호 인증이 휴대폰 기기 인증으로 변한다. 이제 비밀번호 없이도 휴대폰에서 야후 메일에 접속할 수 있다. 야후에 따르면, 어떤 다른 기기나 데스크톱 컴퓨터에서 야후 메일을 확인하려고 할 때마다 정말 사용자 본인이 맞는지를 확인하는 알림이 스마트폰으로 발송된다. 이는 곧 야후가 생각하기로는, ‘사용자 본인’은 더 이상 자신에 대한 온갖 관련 정보를 파악하고 있는 사람이 아닌 것이다. ‘본인’이라고 할 수 있는 사람은 자신의 스마트폰에 물리적으로 접촉 가능한 사람뿐이다. 즉 사용자 본인의 확인 수단으로 스마트폰을 쓸 뿐 아니라, 사용자 자체가 스마트폰으로 인식되기 시작한 것이다. 인증된 개인이란 곧 인증된 스마트폰에 접속할 수 있는 사람인 것이다. 새로운 정체성의 세계에 온 것을 환영한다. 비밀번호, 사인, 집 주소 등을 중요하게 생각하지 않는 기업이 점점 더 늘어나고 있다. 인증된 스마트폰을 가지고 있는 사람이 본인인 것이다. 주소없이 배달...

2015.10.30

"생체 기술, 일상에서의 남용은 위험"

지문 정보와 같은 생체 정보가 지나치게 널리 일상적으로 수집되고 있다고 보안 기업 프로티그리티 USA(Protegrity USA)가 지적했다. 이 기업의 수니 먼샤니 CEO는 "일례로 오늘날 많은 금융 기관들이 모바일 기기에서의 로그인 과정에 생체 정보를 이용하고 있다"라며, 일부 편리할 수는 있겠지만 지나치게 일상적으로 활용되는 현상에는 문제가 있다고 진단했다. 그는 "생체 정보는 훨씬 더 신중하게 활용되는 것이 맞다고 본다"라고 덧붙였다. 가트너에 따르면 2016년까지 전체 스마트폰의 40%가 바이오 센서를 내장할 것으로 예상되고 있다. 이러한 가운데 지난 블랙햇 컨퍼런스에서는 파이어파이 타오 웨이와 율롱 장이 모바일 기기들로부터 지문을 대규모로 수집하는 시연을 진행해 눈길을 끌었던 바 있다. 당시 웨이와 장은 "모든 벤더들이 지문을 안전하게 저장하고 있는 것은 아니다"라며, "몇몇 벤더들은 사용자 지문을 암호화해 저장한다고 주장하지만, 실제로는 평범한 텍스트로 접근 가능한 공간에 저장하고 있었다"라고 경고했다. 일례로 HTC 원 맥스는 사용자 지문을 접근이 쉬운 공간에 가독 가능한 형식으로 저장하고 있었다고 그들은 설명했다. 생체 정보 도난은 이미 일어나고 있는 일이기도 하다. 지난 9월 말에는 미 인사국이 총 560만 건의 지문을 도난 당했다고 인정했다. 여기에는 비밀 접근 권한을 보유한 연방 정부 공무원들의 지문도 포함돼 있었다. 지문과 같은 생체정보의 유출은 비밀번호보다 심각한 문제를 일으킬 수 잇다. 비밀번호처럼 손쉽게 재설정할 수 없기 때문이다. 즉 한번 입수하면 두고두고 가치를 지닐 수 있으며, 이로 인해 해커들이 더욱 눈독을 들일 수 있다. 먼샤니 CEO는 생체정보를 적합하게 이용하는 방법은 2차 수단으로 저장하는 것이라고 주장했다. 그는 "생체 데이터는 유일무이성을 지니고 있다. 비밀번호 대체나 접근 제어용으로 이용되...

인증 생체 바이오 프로티그리티

2015.10.23

지문 정보와 같은 생체 정보가 지나치게 널리 일상적으로 수집되고 있다고 보안 기업 프로티그리티 USA(Protegrity USA)가 지적했다. 이 기업의 수니 먼샤니 CEO는 "일례로 오늘날 많은 금융 기관들이 모바일 기기에서의 로그인 과정에 생체 정보를 이용하고 있다"라며, 일부 편리할 수는 있겠지만 지나치게 일상적으로 활용되는 현상에는 문제가 있다고 진단했다. 그는 "생체 정보는 훨씬 더 신중하게 활용되는 것이 맞다고 본다"라고 덧붙였다. 가트너에 따르면 2016년까지 전체 스마트폰의 40%가 바이오 센서를 내장할 것으로 예상되고 있다. 이러한 가운데 지난 블랙햇 컨퍼런스에서는 파이어파이 타오 웨이와 율롱 장이 모바일 기기들로부터 지문을 대규모로 수집하는 시연을 진행해 눈길을 끌었던 바 있다. 당시 웨이와 장은 "모든 벤더들이 지문을 안전하게 저장하고 있는 것은 아니다"라며, "몇몇 벤더들은 사용자 지문을 암호화해 저장한다고 주장하지만, 실제로는 평범한 텍스트로 접근 가능한 공간에 저장하고 있었다"라고 경고했다. 일례로 HTC 원 맥스는 사용자 지문을 접근이 쉬운 공간에 가독 가능한 형식으로 저장하고 있었다고 그들은 설명했다. 생체 정보 도난은 이미 일어나고 있는 일이기도 하다. 지난 9월 말에는 미 인사국이 총 560만 건의 지문을 도난 당했다고 인정했다. 여기에는 비밀 접근 권한을 보유한 연방 정부 공무원들의 지문도 포함돼 있었다. 지문과 같은 생체정보의 유출은 비밀번호보다 심각한 문제를 일으킬 수 잇다. 비밀번호처럼 손쉽게 재설정할 수 없기 때문이다. 즉 한번 입수하면 두고두고 가치를 지닐 수 있으며, 이로 인해 해커들이 더욱 눈독을 들일 수 있다. 먼샤니 CEO는 생체정보를 적합하게 이용하는 방법은 2차 수단으로 저장하는 것이라고 주장했다. 그는 "생체 데이터는 유일무이성을 지니고 있다. 비밀번호 대체나 접근 제어용으로 이용되...

2015.10.23

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.6