Offcanvas

���������

'IT부서엔 이런 보안 인재가 필요하다' 10가지 역량

점점 더 해커들이 정교해지고 공격이 빈번해지고 있다. 문제는 현재 표적이 됐느냐 안됐느냐가 아니다. 언제 표적이 되는지다. 현실적으로 많은 조직이 보안 노력을 처리하는 방법과 위험을 가능한 한 신속하게 완화하기 위해 희귀 자원을 할당하는 최선의 방법을 다시 평가하게 됐다. 이때 핵심은 보안 기술을 적절히 혼합하는 것이다. IT 인재채용 및 파견기업 몬도(Mondo)의 인재 채용 책임자인 스티븐 자파리노는 “많은 고객이 최선의 상황을 바라면서도 최악의 상황에 대비해야 한다는 사실을 인지하기 시작했다”고 말했다. 이어서 자파리노는 “올해 초, 체이스(Chase)와 홈데포(Home Depot)가 해킹을 당하고 영국의 NHS에 대한 랜섬웨어 공격이 발생하면서 모든 기업과 기관이 방어를 강화할 방법을 찾고자 노력하고 있다”고 설명했다. 다음은 조직이 인재를 채용하거나 보안팀의 기술력을 강화할 때 고려해야 할 10가지 보안 기술력이다. 1. 보안 툴 전문지식 말할 필요도 없겠지만 탄탄한 보안은 툴에 대해 아는 것에서 시작된다. 안타깝게도 많은 조직이 보안 툴을 설치한 후에 방치하고 있으며 그 이유는 보안 툴 노하우가 없기 때문이다. 컴티아(CompTIA)의 제품개발 책임자 제임스 스테인저는 SIEM(Security Infromation and Event Management) 툴을 예로 들었다. 스테인저는 “이 툴이 네트워크와 인프라를 포괄적으로 확인할 수 있을 뿐 아니라 사건을 세부적으로 확인하여 문제 영역을 식별할 수 있기 때문에 훌륭하다”고 강조했다. 이어서 “대부분 사건은 최종 사용자 오류의 결과물인가? 클라우드 이행을 통해 익스플로잇 공격에 악용할 수 있는 보안 결함이 존재하는가? 이제 이런 취약성을 파악하고 해결할 수 있다. 어떻게 하면 사용자들이 첨부 파일을 클릭하지 않도록 할 수 있을까? 민감한 데이터가 취약한 곳에 있지 않도...

CIO 체이스 몬도 홈데포 데브옵스 포렌식 파이썬 분석 해커톤 컴티아 스플렁크 인공지능 사이버보안 소셜 엔지니어링 데이터 과학자 해킹 채용 NHS

2017.10.10

점점 더 해커들이 정교해지고 공격이 빈번해지고 있다. 문제는 현재 표적이 됐느냐 안됐느냐가 아니다. 언제 표적이 되는지다. 현실적으로 많은 조직이 보안 노력을 처리하는 방법과 위험을 가능한 한 신속하게 완화하기 위해 희귀 자원을 할당하는 최선의 방법을 다시 평가하게 됐다. 이때 핵심은 보안 기술을 적절히 혼합하는 것이다. IT 인재채용 및 파견기업 몬도(Mondo)의 인재 채용 책임자인 스티븐 자파리노는 “많은 고객이 최선의 상황을 바라면서도 최악의 상황에 대비해야 한다는 사실을 인지하기 시작했다”고 말했다. 이어서 자파리노는 “올해 초, 체이스(Chase)와 홈데포(Home Depot)가 해킹을 당하고 영국의 NHS에 대한 랜섬웨어 공격이 발생하면서 모든 기업과 기관이 방어를 강화할 방법을 찾고자 노력하고 있다”고 설명했다. 다음은 조직이 인재를 채용하거나 보안팀의 기술력을 강화할 때 고려해야 할 10가지 보안 기술력이다. 1. 보안 툴 전문지식 말할 필요도 없겠지만 탄탄한 보안은 툴에 대해 아는 것에서 시작된다. 안타깝게도 많은 조직이 보안 툴을 설치한 후에 방치하고 있으며 그 이유는 보안 툴 노하우가 없기 때문이다. 컴티아(CompTIA)의 제품개발 책임자 제임스 스테인저는 SIEM(Security Infromation and Event Management) 툴을 예로 들었다. 스테인저는 “이 툴이 네트워크와 인프라를 포괄적으로 확인할 수 있을 뿐 아니라 사건을 세부적으로 확인하여 문제 영역을 식별할 수 있기 때문에 훌륭하다”고 강조했다. 이어서 “대부분 사건은 최종 사용자 오류의 결과물인가? 클라우드 이행을 통해 익스플로잇 공격에 악용할 수 있는 보안 결함이 존재하는가? 이제 이런 취약성을 파악하고 해결할 수 있다. 어떻게 하면 사용자들이 첨부 파일을 클릭하지 않도록 할 수 있을까? 민감한 데이터가 취약한 곳에 있지 않도...

2017.10.10

일부 기업 모바일 앱, 암호화 없이 지불카드 정보 전송

기업의 모바일 앱이 암호화되지 않은 채 지불카드 정보를 전송하는 것으로 파악됐다. 일부 기업들은 전송 중에 지불카드 정보를 암호화하지 못해 사용자를 위험에 빠뜨릴 수 있음을 알고는 자사 모바일 앱에 신속하게 암호화를 추가했다. 클라우드 및 모바일 보안 업체인 완더라(Wandera)에 따르면, 이 앱들은 인터넷으로 전송될 때 데이터를 스크램블하는 암호화 프로토콜인 SSL/TLS(Secure Sockets Layer/Transport Layer Security)를 사용하지 않았다. "많은 데이터 침해 사고와 그로 인한 손해에 대해 이미 언론에 보도됐기 때문에, 데이터를 전송할 때 민감한 트래픽을 암호화하도록 기본적인 예방조치를 하지 못한다고 생각하기는 어렵다"고 완더라의 제품 담당 시니어 매니저인 마이클 J 코빙턴은 밝혔다. 데이터 침해는 기업에 비용을 초래할 수 있으며 타깃, 홈데포 등 유통기업에서 발생한 사고 이후 지불카드 정보를 얼마나 잘 보호하느냐는 매우 큰 문제가 됐다. 완더라는 자사 블로그에서 16개 기업 중 이지젯(easyJet), 클리턴레일웨이(Chiltern Railways), 샌디에고동물원(San Diego Zoo), CN타워(CN Tower), 에어링구스(Aer Lingus) 등 5개 기업의 문제를 해결했다고 이 회사 대변인은 9일 밝혔다. 이들 기업 모두는 완더라로부터 문제가 있다고 통보받았다. 완더라는 자사 모바일 보안 앱과 게이트웨이 기술을 사용해 고객사의 트래픽 흐름을 분석하면서 문제를 발견했다. 로그인 인증 정보, 개인정보, 지불카드 데이터 등의 정보를 전송할 때 SSL/TLS를 사용하는 것은 공격에 대해 데이터를 보호하기 위한 표준적인 방법이다. 암호화된 연결은 일반적으로 자물쇠 아이콘과 http에 의한 브라우저 URL에서 표시된다. 데이터를 암호화하지 않으면 같은 네트워크에 있는, 특히 공용 와이파이 핫스팟에 있는 누군가가 트래픽을 수집하고 텍스트 형식으로 정보를 ...

암호화 모바일 앱 트래픽 전송 타깃 지불카드 홈데포 완더라 Wandera

2015.12.11

기업의 모바일 앱이 암호화되지 않은 채 지불카드 정보를 전송하는 것으로 파악됐다. 일부 기업들은 전송 중에 지불카드 정보를 암호화하지 못해 사용자를 위험에 빠뜨릴 수 있음을 알고는 자사 모바일 앱에 신속하게 암호화를 추가했다. 클라우드 및 모바일 보안 업체인 완더라(Wandera)에 따르면, 이 앱들은 인터넷으로 전송될 때 데이터를 스크램블하는 암호화 프로토콜인 SSL/TLS(Secure Sockets Layer/Transport Layer Security)를 사용하지 않았다. "많은 데이터 침해 사고와 그로 인한 손해에 대해 이미 언론에 보도됐기 때문에, 데이터를 전송할 때 민감한 트래픽을 암호화하도록 기본적인 예방조치를 하지 못한다고 생각하기는 어렵다"고 완더라의 제품 담당 시니어 매니저인 마이클 J 코빙턴은 밝혔다. 데이터 침해는 기업에 비용을 초래할 수 있으며 타깃, 홈데포 등 유통기업에서 발생한 사고 이후 지불카드 정보를 얼마나 잘 보호하느냐는 매우 큰 문제가 됐다. 완더라는 자사 블로그에서 16개 기업 중 이지젯(easyJet), 클리턴레일웨이(Chiltern Railways), 샌디에고동물원(San Diego Zoo), CN타워(CN Tower), 에어링구스(Aer Lingus) 등 5개 기업의 문제를 해결했다고 이 회사 대변인은 9일 밝혔다. 이들 기업 모두는 완더라로부터 문제가 있다고 통보받았다. 완더라는 자사 모바일 보안 앱과 게이트웨이 기술을 사용해 고객사의 트래픽 흐름을 분석하면서 문제를 발견했다. 로그인 인증 정보, 개인정보, 지불카드 데이터 등의 정보를 전송할 때 SSL/TLS를 사용하는 것은 공격에 대해 데이터를 보호하기 위한 표준적인 방법이다. 암호화된 연결은 일반적으로 자물쇠 아이콘과 http에 의한 브라우저 URL에서 표시된다. 데이터를 암호화하지 않으면 같은 네트워크에 있는, 특히 공용 와이파이 핫스팟에 있는 누군가가 트래픽을 수집하고 텍스트 형식으로 정보를 ...

2015.12.11

'보안과 혁신 사이에서' 유통 CIO들의 고민

혁신이 모든 업계 CIO들에게 공통과제가 된 지 오래다. 최근 대규모 고객 정보 유출로 문제가 됐던 미국 유통업계는 고객정보 보안이 큰 과제로 부상하고 있어 CIO들이 혁신과 보안 사이의 균형을 잡는데 분투하고 있다. 이미지 출처t: Thinkstock 2014년 홈데포와 타깃의 구매 시스템에 대규모 보안 유출 사고가 발생했을 때 그 타격은 막대했다. 범죄자들이 수백만 고객의 체크카드와 신용카드 데이터를 훔쳤고 회사들은 과징금과 매출 감소로 수억 달러의 손해를 입은데다 그들의 브랜드 이미지에도 손상을 입었기 때문이다. 비슷한 유출 사고에 대한 공포가 전체 유통업계로 퍼져나갔고, 포레스터의 부회장이자 수석 애널리스트인 조지 로리는 1년이 지난 지금도 여전히 그 여파가 지속되고 있다고 말했다. 2015년 초 미국소매현회(National Retail Federation) 소속 CIO 카운슬의 간부급 회원들과 토론하는 자리에서 그는 유출 사고 때문에 여전히 사람들이 우려하고 있으며 참석자 대부분도 최우선 고려사항으로 데이터 보안을 꼽았다고 밝혔다. “위원회 회원들은 ‘고객 데이터를 보호하는데 들어가는 비용은 아무리 많아도 많은 게 아니다’며 강조했다”고 그는 전했다. 그 토론과 조사 데이터에 기반한 미국소매협회와 포레스터의 보고서에서 로리는 “보안과 거버넌스가 미래의 유출을 방지하면서도 CMO 등의 현업임원들이 도입하고자 하는 모바일 앱과 분석 등의 신기술을 확산시키려는 노력을 함께 하는 게 유통 CIO들의 최우선 고려사항이 되었다”고 밝혔다. 이 보고서에서 CIO들은 과거보다 경쟁이 치열해진 시장 상황에서 최적의 거버넌스를 만들면서 동시에 비즈니스 가치를 생성하는 혁신을 추진하고자 노력하는 것으로 나타났다. “CIO들은 자신들이 ‘무조건 안돼’만을 외치는 사람으로 비춰지는 게 싫겠지만 현재 주어진 업무에서 조정자 역할을 ...

혁신 CIO 유통 포레스터 고민 소매 타깃 홈데포 옴니채널

2015.08.07

혁신이 모든 업계 CIO들에게 공통과제가 된 지 오래다. 최근 대규모 고객 정보 유출로 문제가 됐던 미국 유통업계는 고객정보 보안이 큰 과제로 부상하고 있어 CIO들이 혁신과 보안 사이의 균형을 잡는데 분투하고 있다. 이미지 출처t: Thinkstock 2014년 홈데포와 타깃의 구매 시스템에 대규모 보안 유출 사고가 발생했을 때 그 타격은 막대했다. 범죄자들이 수백만 고객의 체크카드와 신용카드 데이터를 훔쳤고 회사들은 과징금과 매출 감소로 수억 달러의 손해를 입은데다 그들의 브랜드 이미지에도 손상을 입었기 때문이다. 비슷한 유출 사고에 대한 공포가 전체 유통업계로 퍼져나갔고, 포레스터의 부회장이자 수석 애널리스트인 조지 로리는 1년이 지난 지금도 여전히 그 여파가 지속되고 있다고 말했다. 2015년 초 미국소매현회(National Retail Federation) 소속 CIO 카운슬의 간부급 회원들과 토론하는 자리에서 그는 유출 사고 때문에 여전히 사람들이 우려하고 있으며 참석자 대부분도 최우선 고려사항으로 데이터 보안을 꼽았다고 밝혔다. “위원회 회원들은 ‘고객 데이터를 보호하는데 들어가는 비용은 아무리 많아도 많은 게 아니다’며 강조했다”고 그는 전했다. 그 토론과 조사 데이터에 기반한 미국소매협회와 포레스터의 보고서에서 로리는 “보안과 거버넌스가 미래의 유출을 방지하면서도 CMO 등의 현업임원들이 도입하고자 하는 모바일 앱과 분석 등의 신기술을 확산시키려는 노력을 함께 하는 게 유통 CIO들의 최우선 고려사항이 되었다”고 밝혔다. 이 보고서에서 CIO들은 과거보다 경쟁이 치열해진 시장 상황에서 최적의 거버넌스를 만들면서 동시에 비즈니스 가치를 생성하는 혁신을 추진하고자 노력하는 것으로 나타났다. “CIO들은 자신들이 ‘무조건 안돼’만을 외치는 사람으로 비춰지는 게 싫겠지만 현재 주어진 업무에서 조정자 역할을 ...

2015.08.07

美 신용카드 단말기, 1990년대부터 동일한 암호 사용

많은 사용자들이 신용카드 단말기 암호가 독특하다고 생각하며 바꾸지 않은 것으로 파악됐다. 수 천만 건의 신용카드 번호 도난을 초래했던 정보 유출로 유통사들이 분투하는 가운데, 이번 주 미국 샌프란시스코에서 열린 RSA 컨퍼런스에서 신용카드 결제 단말기에 20년 넘게 동일한 암호가 사용되고 있다는 주장이 제기됐다. 이 주장에 따르면, 동일한 암호는 ‘166816’이다. 구글 검색 결과 이는 베리폰(Verifone)이 판매한 신용카드 단말기의 몇몇 모델에 기본으로 설정된 암호로 밝혀졌다. 실리콘밸리에 본사를 둔 이 업체는 2,700만 대의 결제 기기와 연결돼 있고 150개국에서 판매했다. 이 조사를 맡았던 연구원인 데이비드 바이언과 찰스 헨더슨은 자신들이 조상한 단말기 10개 중 9개에서 이 암호가 여전히 쓰이는 있으며 고객들은 그 암호가 자사 기기에만 설정된 고유한 것이라고 생각하기 때문인 것 같다고 말했다. 목요일에 발표된 보도자료에서 베리폰은 현장에 있는 모든 기기들이 동일한 기본 암호를 사용해 왔음을 인정했으며 그 암호는 Z66831이라고 말했다. 수 년 동안 이 암호는 프로그래밍 단말기용 지시와 함께 인터넷에서 찾을 수 있는 것으로 알려졌다고 베리폰은 전했다. "중요한 사실은 이 암호를 알고 있더라도 민감한 결제 정보나 PII(개인 식별 정보)를 알 수는 없다는 것이다"라고 베리폰은 말했다. "암호가 누군가에게 무엇을 할 수 있도록 허용하는 것은 단말기에서 일부 설정을 구성하는 것이다. 실행 가능한 모든 것은 서명된 파일이 필요하며 단순히 암호만 안다고 해서 악성코드를 입력할 수는 없다"고 이 회사는 주장했다. 베리폰은 자신들이 고객들에게 암호를 변경하라고 강력하게 권고했고 신제품의 경우 설치 후 자동으로 만료돼 사용자가 암호를 변경하도록 개발됐다고 말했다. RSA 컨퍼런스는 해마다 열리는 보안 업계의 중요한 연례 행사며 두 연구원의 의견은 더리지스터(The R...

구글 변경 결제 단말기 타겟 홈데포 정보 유출 POS RSA 신용카드 비밀번호 암호 조사 유통 베리폰

2015.04.24

많은 사용자들이 신용카드 단말기 암호가 독특하다고 생각하며 바꾸지 않은 것으로 파악됐다. 수 천만 건의 신용카드 번호 도난을 초래했던 정보 유출로 유통사들이 분투하는 가운데, 이번 주 미국 샌프란시스코에서 열린 RSA 컨퍼런스에서 신용카드 결제 단말기에 20년 넘게 동일한 암호가 사용되고 있다는 주장이 제기됐다. 이 주장에 따르면, 동일한 암호는 ‘166816’이다. 구글 검색 결과 이는 베리폰(Verifone)이 판매한 신용카드 단말기의 몇몇 모델에 기본으로 설정된 암호로 밝혀졌다. 실리콘밸리에 본사를 둔 이 업체는 2,700만 대의 결제 기기와 연결돼 있고 150개국에서 판매했다. 이 조사를 맡았던 연구원인 데이비드 바이언과 찰스 헨더슨은 자신들이 조상한 단말기 10개 중 9개에서 이 암호가 여전히 쓰이는 있으며 고객들은 그 암호가 자사 기기에만 설정된 고유한 것이라고 생각하기 때문인 것 같다고 말했다. 목요일에 발표된 보도자료에서 베리폰은 현장에 있는 모든 기기들이 동일한 기본 암호를 사용해 왔음을 인정했으며 그 암호는 Z66831이라고 말했다. 수 년 동안 이 암호는 프로그래밍 단말기용 지시와 함께 인터넷에서 찾을 수 있는 것으로 알려졌다고 베리폰은 전했다. "중요한 사실은 이 암호를 알고 있더라도 민감한 결제 정보나 PII(개인 식별 정보)를 알 수는 없다는 것이다"라고 베리폰은 말했다. "암호가 누군가에게 무엇을 할 수 있도록 허용하는 것은 단말기에서 일부 설정을 구성하는 것이다. 실행 가능한 모든 것은 서명된 파일이 필요하며 단순히 암호만 안다고 해서 악성코드를 입력할 수는 없다"고 이 회사는 주장했다. 베리폰은 자신들이 고객들에게 암호를 변경하라고 강력하게 권고했고 신제품의 경우 설치 후 자동으로 만료돼 사용자가 암호를 변경하도록 개발됐다고 말했다. RSA 컨퍼런스는 해마다 열리는 보안 업계의 중요한 연례 행사며 두 연구원의 의견은 더리지스터(The R...

2015.04.24

2014년, 최악의 데이터 유출 사고는?

미국 신용도용범죄정보센터(Identity Theft Resource Center)가 지난해 783개의 데이터 침해 사고로 8,561만 1,528건의 정보가 유출됐음을 발견했다. 안타깝게도 이 목록은 업데이트할 때마다 늘고 있다. 벌써 앤썸과 프리메라 정보 유출 사고가 발생한 2015년에도 크게 다르지 않을 것 같다. 2014년 굵직굵직한 데이터 유출 사고들에 대해 알아보자. ciokr@idg.co.kr

해킹 금융 해커 공격 악성코드 JP모건체이스 의료 정보 POS 홈데포

2015.03.30

미국 신용도용범죄정보센터(Identity Theft Resource Center)가 지난해 783개의 데이터 침해 사고로 8,561만 1,528건의 정보가 유출됐음을 발견했다. 안타깝게도 이 목록은 업데이트할 때마다 늘고 있다. 벌써 앤썸과 프리메라 정보 유출 사고가 발생한 2015년에도 크게 다르지 않을 것 같다. 2014년 굵직굵직한 데이터 유출 사고들에 대해 알아보자. ciokr@idg.co.kr

2015.03.30

신간 인터뷰 | "모든 C-레벨의 2015년 화두는 정보보안" 강은성 대표

안랩의 연구소장과 시큐리티대응센터장을 거치고, SK커뮤니케이션즈의 최고보안책임자(CSO)를 역임한 강은성 대표가 새 책 <CxO가 알아야 할 정보보안(한빛미디어, 2015)>을 냈다. 강 대표는 현재 CISO Lab을 설립해 기업 차원의 보안위험 대응 전략을 탐구하여 기업 보안컨설팅과 보안교육을 진행하고 있으며, 이 책은 그 동안 강 대표가 현장에서 경험한 사례들을 바탕으로 C-레벨이라면 꼭 알아야 할 보안 관련 지식과 정보를 담았다. 다음은 강 대표와의 일문일답이다. CIO KR : 먼저 <CxO가 알아야 할 정보보안>을 쓰게 된 동기가 무엇인지? 강은성 대표(이하 강 대표) : 이제 기업에서 보안 위험은 재무, 법률, 평판, 기업 비밀 등 기업의 안정적 성장을 위협하는 중요한 위험 중의 하나가 되었다. 대기업 임원으로서 정보보호최고책임자(CISO)와 개인정보보호책임자(CPO)를 맡아 일하면서 기업 보안을 위해 수많은 일을 해 왔는데, 잘 하고 있는 건지 늘 고민이 많았다. 그러다 외부 기관에서 주관한 CISO 교육을 받고, 유사한 다른 교육을 분석해 보니 그러한 교육의 강점과 한계가 보여 기업의 CEO를 비롯한 임원, 정보보호책임자가 기업의 보안 위험을 최소화하는 데 꼭 필요하면서도 재미있게 읽을 수 있는 책을 쓰고 싶었다. CIO KR : <CxO가 알아야 할 정보보안>의 주요 내용을 간략하게 소개하자면? 강 대표 : 이 책은 필자 개인의 경험과 연구를 바탕으로 전ㆍ현직 정보보호책임자의 경험과 조언을 녹여서 CxO가 정보보안의 큰 그림을 그리면서 구체적인 도움을 얻을 수 있도록 구성하였다. 1장에서 정보보호책임자의 업무를 5가지 영역으로 분류하고, 그것을 2장부터 5장까지 설명했다. 2장에서는 경영적 관점에서 정보보호를 바라 보는 정보보호 거버넌스 영역을 기술했고, 3장에서는 보안위험과 보안대책을 탐구하는 관리체계 영역과 중요자산 보호 영역, 4장에서는 요즘 많은 기업에서 발생하는 정보보호 사건ㆍ...

CSO 홈데포 강은성 타깃 신간 CxO 보안 사고 악성코드 CISO 개인정보 보호 CxO가 알아야 할 정보보안

2015.01.07

안랩의 연구소장과 시큐리티대응센터장을 거치고, SK커뮤니케이션즈의 최고보안책임자(CSO)를 역임한 강은성 대표가 새 책 <CxO가 알아야 할 정보보안(한빛미디어, 2015)>을 냈다. 강 대표는 현재 CISO Lab을 설립해 기업 차원의 보안위험 대응 전략을 탐구하여 기업 보안컨설팅과 보안교육을 진행하고 있으며, 이 책은 그 동안 강 대표가 현장에서 경험한 사례들을 바탕으로 C-레벨이라면 꼭 알아야 할 보안 관련 지식과 정보를 담았다. 다음은 강 대표와의 일문일답이다. CIO KR : 먼저 <CxO가 알아야 할 정보보안>을 쓰게 된 동기가 무엇인지? 강은성 대표(이하 강 대표) : 이제 기업에서 보안 위험은 재무, 법률, 평판, 기업 비밀 등 기업의 안정적 성장을 위협하는 중요한 위험 중의 하나가 되었다. 대기업 임원으로서 정보보호최고책임자(CISO)와 개인정보보호책임자(CPO)를 맡아 일하면서 기업 보안을 위해 수많은 일을 해 왔는데, 잘 하고 있는 건지 늘 고민이 많았다. 그러다 외부 기관에서 주관한 CISO 교육을 받고, 유사한 다른 교육을 분석해 보니 그러한 교육의 강점과 한계가 보여 기업의 CEO를 비롯한 임원, 정보보호책임자가 기업의 보안 위험을 최소화하는 데 꼭 필요하면서도 재미있게 읽을 수 있는 책을 쓰고 싶었다. CIO KR : <CxO가 알아야 할 정보보안>의 주요 내용을 간략하게 소개하자면? 강 대표 : 이 책은 필자 개인의 경험과 연구를 바탕으로 전ㆍ현직 정보보호책임자의 경험과 조언을 녹여서 CxO가 정보보안의 큰 그림을 그리면서 구체적인 도움을 얻을 수 있도록 구성하였다. 1장에서 정보보호책임자의 업무를 5가지 영역으로 분류하고, 그것을 2장부터 5장까지 설명했다. 2장에서는 경영적 관점에서 정보보호를 바라 보는 정보보호 거버넌스 영역을 기술했고, 3장에서는 보안위험과 보안대책을 탐구하는 관리체계 영역과 중요자산 보호 영역, 4장에서는 요즘 많은 기업에서 발생하는 정보보호 사건ㆍ...

2015.01.07

끝나지 않은 데이터 유출… 홈데포, 올 3분기에만 4,300만 달러 지불

지난해 가을 고객 정보 유출 사고를 겪은 홈데포가 아직도 이 때문에 상당한 비용을 지불하고 있으며 향후에도 그러할 것으로 예상했다. 한 단 번의 대규모 고객 정보 유출 사고를 겪은 이후 홈데포는 보안 사고 비용의 본질을 강조하며 올 3분기에만 미화 4,300만 달러를 지불했다고 밝혔다. 홈데포는 화요일에 정부에 정기적으로 보고하는 문서에서 1억 달러의 네트워크 보안과 개인정보 보호 배상 책임 정책에 1,500만 달러의 비용이 들 것으로 예상한다고 전했다. 이 회사는 사건 조사, 소비자에게 ID 도용 보호 서비스 제공, 콜센터 직원 증가, 다른 법률 및 전문 서비스 개선 등에 4,300만 달러를 지불할 예정이다. 해커들은 5,600만 건의 지불 카드 정보를 훔치고, 미국과 캐나다의 4월부터 9월까지의 홈데포 매장에서 쇼핑한 사람들의 5,300만 건의 이메일 주소를 수집했다. 해커들은 홈데포의 협력사 중 한 업체의 로그인 인증 정보를 사용해 홈데포의 네트워크에 접근했다. 홈데포는 앞으로 데이터 침해에 관련된 중요한 법률 및 기타 전문 서비스 비용까지도 지불해야 할 것이라고 전했다. 또한 홈데포는 미국과 캐나다 법원에서 44건의 소송을 진행하고 있다. 이 회사는 앞으로 고객, 지불카드 회사, 은행, 주주들이 소송을 걸 수도 있다고 예상했다. 카드 재발급 과정에서 또다른 위조가 발생할 수 있으며 지불카드 네트워크가 손실에 따른 비용을 회수하려 할 수 있다고 홈데포는 주장했다. 회사의 책임은 정보 유출에 영향을 미친 데이터 보안 표준을 준수했지 여부에 따라 달라질 것이다. 홈데포에 따르면, 독립 감독기관은 지불카드 데이터를 처리하는 네트워크가 2013년 가을 데이터 보안 표준을 준수하고 있는 것으로 알고 있었다. 그러나 홈데포는 2014에 인증받았다고 전했다. "지불카드 네트워크에서 고용된 조사원들은 데이터 유출 사고 당시에 이러한 표준들을 준수하지 않았다고 주장할 지도 모른다"라고 홈데포는 말했다. ...

데이터 유출 유통 소송 고객 정보 유출 규제 준수 지불카드 홈데포 Home Depot

2014.11.27

지난해 가을 고객 정보 유출 사고를 겪은 홈데포가 아직도 이 때문에 상당한 비용을 지불하고 있으며 향후에도 그러할 것으로 예상했다. 한 단 번의 대규모 고객 정보 유출 사고를 겪은 이후 홈데포는 보안 사고 비용의 본질을 강조하며 올 3분기에만 미화 4,300만 달러를 지불했다고 밝혔다. 홈데포는 화요일에 정부에 정기적으로 보고하는 문서에서 1억 달러의 네트워크 보안과 개인정보 보호 배상 책임 정책에 1,500만 달러의 비용이 들 것으로 예상한다고 전했다. 이 회사는 사건 조사, 소비자에게 ID 도용 보호 서비스 제공, 콜센터 직원 증가, 다른 법률 및 전문 서비스 개선 등에 4,300만 달러를 지불할 예정이다. 해커들은 5,600만 건의 지불 카드 정보를 훔치고, 미국과 캐나다의 4월부터 9월까지의 홈데포 매장에서 쇼핑한 사람들의 5,300만 건의 이메일 주소를 수집했다. 해커들은 홈데포의 협력사 중 한 업체의 로그인 인증 정보를 사용해 홈데포의 네트워크에 접근했다. 홈데포는 앞으로 데이터 침해에 관련된 중요한 법률 및 기타 전문 서비스 비용까지도 지불해야 할 것이라고 전했다. 또한 홈데포는 미국과 캐나다 법원에서 44건의 소송을 진행하고 있다. 이 회사는 앞으로 고객, 지불카드 회사, 은행, 주주들이 소송을 걸 수도 있다고 예상했다. 카드 재발급 과정에서 또다른 위조가 발생할 수 있으며 지불카드 네트워크가 손실에 따른 비용을 회수하려 할 수 있다고 홈데포는 주장했다. 회사의 책임은 정보 유출에 영향을 미친 데이터 보안 표준을 준수했지 여부에 따라 달라질 것이다. 홈데포에 따르면, 독립 감독기관은 지불카드 데이터를 처리하는 네트워크가 2013년 가을 데이터 보안 표준을 준수하고 있는 것으로 알고 있었다. 그러나 홈데포는 2014에 인증받았다고 전했다. "지불카드 네트워크에서 고용된 조사원들은 데이터 유출 사고 당시에 이러한 표준들을 준수하지 않았다고 주장할 지도 모른다"라고 홈데포는 말했다. ...

2014.11.27

"은행·유통·의료까지 뚫렸다" 해커들의 진짜 목적은?

은행, 유통사나 의료기관들이 해킹당해 개인정보나 금융정보가 위험해졌다는 뉴스를 귀에 못이 박히도록 듣는 시대가 됐다. 해커들이 신용카드 번호를 훨씬 더 많이 쥐게 됐지만 대부분의 기업들은 이들을 막지 못하고 있는 실정이다.  해커들의 공격은 멈추지 않는다. 미국의 대형 은행 JP모건 체이스와 가정용품 매장인 홈데포(Home Depot)도 최근 몇 주간 뉴스의 헤드라인을 달궈온 연쇄적 거대 사이버 공격을 피해갈 수는 없었다. 이는 8월의 악몽이라는 별명까지 붙은 일련의 사이버 공격에 피해를 입은 은행은 JP모건 체이스 뿐만이 아니다. 사고 발생 수 일 후 크랩스 온 시큐리티(Krebs on Security)는 홈데포에 가해진 공격의 세부 내용들을 분석한 보고서를 발표했다. 공격의 범위는 아직 정확히 파악되지 못한 상태지만 전문가들은 이것이 지난 해 타깃에서 발생한 유출 사고 규모를 능가할 것으로 분석했다. 조사 과정에서 지난 7월 미국 정부 의료 포털(Healthcare.gov)이 해킹당한 사실도 추가로 확인됐다. 이처럼 사회망 전반에서 보안 구멍들이 발견되고 있어 소비자들에게 많은 우려를 안겨주고 있다. 이제 공격자들은 단순히 누군가의 은행 로그인, 신용 카드 정보를 훔치는데 만족하지 않는다. 실제로 홈데포에 대한 공격을 주도한 해커들은 지하 시장에 자신들이 탈취한 정보를 유통시키며 여기에 ‘미국을 제재하기 위하여'라는 꼬리표를 달았다. 연방 정부의 사이버 보안 작업을 지원해온 화이트 햇 해커(white hat hacker) 그룹 아조리안 사이버 시큐리티(Azorian Cyber Security)의 설립자이자 CEO인 샤를 텐델은 “이번 공격은 정치적인 목적으로 이뤄진 핵티비즘(hactivism)이다. 핵티비스트 집단 가운데 다수는 주장하고자 하는 어떠한 내용을 가지고 있다”라고 진단했다. 맥어피의 분석에 따르면, 사이버 범죄의 세계 경제 규모는 연 3,75...

CIO JP모건 체이스 홈데포 금융 정보 정보 유출 포네몬 공격 해커 CISO 금융 유통 맥아피 사이버범죄 개인정보 의료 해킹 CSO 핵티비즘. 핵티비스트

2014.09.18

은행, 유통사나 의료기관들이 해킹당해 개인정보나 금융정보가 위험해졌다는 뉴스를 귀에 못이 박히도록 듣는 시대가 됐다. 해커들이 신용카드 번호를 훨씬 더 많이 쥐게 됐지만 대부분의 기업들은 이들을 막지 못하고 있는 실정이다.  해커들의 공격은 멈추지 않는다. 미국의 대형 은행 JP모건 체이스와 가정용품 매장인 홈데포(Home Depot)도 최근 몇 주간 뉴스의 헤드라인을 달궈온 연쇄적 거대 사이버 공격을 피해갈 수는 없었다. 이는 8월의 악몽이라는 별명까지 붙은 일련의 사이버 공격에 피해를 입은 은행은 JP모건 체이스 뿐만이 아니다. 사고 발생 수 일 후 크랩스 온 시큐리티(Krebs on Security)는 홈데포에 가해진 공격의 세부 내용들을 분석한 보고서를 발표했다. 공격의 범위는 아직 정확히 파악되지 못한 상태지만 전문가들은 이것이 지난 해 타깃에서 발생한 유출 사고 규모를 능가할 것으로 분석했다. 조사 과정에서 지난 7월 미국 정부 의료 포털(Healthcare.gov)이 해킹당한 사실도 추가로 확인됐다. 이처럼 사회망 전반에서 보안 구멍들이 발견되고 있어 소비자들에게 많은 우려를 안겨주고 있다. 이제 공격자들은 단순히 누군가의 은행 로그인, 신용 카드 정보를 훔치는데 만족하지 않는다. 실제로 홈데포에 대한 공격을 주도한 해커들은 지하 시장에 자신들이 탈취한 정보를 유통시키며 여기에 ‘미국을 제재하기 위하여'라는 꼬리표를 달았다. 연방 정부의 사이버 보안 작업을 지원해온 화이트 햇 해커(white hat hacker) 그룹 아조리안 사이버 시큐리티(Azorian Cyber Security)의 설립자이자 CEO인 샤를 텐델은 “이번 공격은 정치적인 목적으로 이뤄진 핵티비즘(hactivism)이다. 핵티비스트 집단 가운데 다수는 주장하고자 하는 어떠한 내용을 가지고 있다”라고 진단했다. 맥어피의 분석에 따르면, 사이버 범죄의 세계 경제 규모는 연 3,75...

2014.09.18

홈데포-로우스, GM-포드, 페덱스-UPS의 IT경쟁력 분석

미국 내 유통, 자동차, 물류 시장에서 불꽃 튀는 경쟁을 펼치는 기업들인 홈데포-로우스, GM과 포드, 페덱스와 UPS가 각각 이 경쟁에서 승리하고자 IT를 어떻게 활용하고 있는지 알아보자. ciokr@idg.co.kr

CIO 홈데포 경쟁자 UPS 물류 포드 온스타 GM 경쟁력 페덱스 유통 자동차 로우스

2014.04.01

미국 내 유통, 자동차, 물류 시장에서 불꽃 튀는 경쟁을 펼치는 기업들인 홈데포-로우스, GM과 포드, 페덱스와 UPS가 각각 이 경쟁에서 승리하고자 IT를 어떻게 활용하고 있는지 알아보자. ciokr@idg.co.kr

2014.04.01

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.13