Offcanvas

������ ������

보안 예산은 얼마가 적절할까?

한 기업이 보안에 얼마나 비용을 사용해야 할까? 간단히 대답하자면 좀더 중요한 질문이 따로 있다.  회사가 영위하는 사업의 종류, 그 회사가 취급하는 개인 또는 민감한 데이터나 지적 재산의 유형, 회사가 직면하는 규제 요건, 그 회사의 IT 인프라 복잡성, 그것이 공격의 대상이 될 가능성, 그리고 다른 요소들과 같은 요인들이 작용하게 된다. 더 중요한 질문은 아마도 다음과 같을 것이다. "보안에 얼마를 지출해야 하는지를 결정하는 문제에 대해 기업은 어떻게 접근해야 하는가?" 기업들이 보안에 대한 적절한 지출 수준을 파악하기 위해 거쳐야 하는 과정이야말로 시스템과 데이터를 효과적으로 보호하는 데 매우 중요할 수 있기 때문이다.   보안 지출을 야기하는 많은 요인들 최근의 연구 보고서들은 조직이 보안에 얼마나 많은 비용을 지출하고 있는 지의 측면에서 약간의 맥락을 제공한다. 2018년 11월에 실시한 CIO의 2019년 CIO 현황 조사에서는 전 세계 683명의 IT 임원들에게 자사의 총 IT 예산 중 IT 보안이 차지하는 비율을 물었다. 평균은 15%였다. 전체 조직의 거의 4분의 1(23%)이 IT 예산의 20% 이상을 보안에 할애하고 있다. 중소기업이 IT 예산에서 평균적으로 대기업만큼의 비율을 보안에 사용하는 것으로 볼 때 기업의 규모는 유의미한 요인으로 보이지는 않는다. 업계로 보자면, 예산에서 최고 비중을 보안에 할애하는 업종은 전문 서비스, 금융 서비스, 첨단 기술 분야들이다. 2019년에 각자의 회사에서 IT 투자를 추진하는 데 있어 어떤 비즈니스 이니셔티브가 가장 중요할지를 묻는 질문에 IT 임원의 40%가 사이버 보안 보호 강화의 필요성을 언급했다. 이는 가장 일반적인 대응을 위한 운영 효율성 향상과 연계되었으며, 고객 경험 향상, 비즈니스 성장, 기존 비즈니스 프로세스 전환 및 수익성 향상보다 앞선 것으로 나타났다. IDG 커뮤니케이션즈가 전 세계에서 664명의 보안에 중점을 둔 전문가들을 대상으로 실시한 또 다...

보안 예산 보안 지출 보안 평가

2019.08.22

한 기업이 보안에 얼마나 비용을 사용해야 할까? 간단히 대답하자면 좀더 중요한 질문이 따로 있다.  회사가 영위하는 사업의 종류, 그 회사가 취급하는 개인 또는 민감한 데이터나 지적 재산의 유형, 회사가 직면하는 규제 요건, 그 회사의 IT 인프라 복잡성, 그것이 공격의 대상이 될 가능성, 그리고 다른 요소들과 같은 요인들이 작용하게 된다. 더 중요한 질문은 아마도 다음과 같을 것이다. "보안에 얼마를 지출해야 하는지를 결정하는 문제에 대해 기업은 어떻게 접근해야 하는가?" 기업들이 보안에 대한 적절한 지출 수준을 파악하기 위해 거쳐야 하는 과정이야말로 시스템과 데이터를 효과적으로 보호하는 데 매우 중요할 수 있기 때문이다.   보안 지출을 야기하는 많은 요인들 최근의 연구 보고서들은 조직이 보안에 얼마나 많은 비용을 지출하고 있는 지의 측면에서 약간의 맥락을 제공한다. 2018년 11월에 실시한 CIO의 2019년 CIO 현황 조사에서는 전 세계 683명의 IT 임원들에게 자사의 총 IT 예산 중 IT 보안이 차지하는 비율을 물었다. 평균은 15%였다. 전체 조직의 거의 4분의 1(23%)이 IT 예산의 20% 이상을 보안에 할애하고 있다. 중소기업이 IT 예산에서 평균적으로 대기업만큼의 비율을 보안에 사용하는 것으로 볼 때 기업의 규모는 유의미한 요인으로 보이지는 않는다. 업계로 보자면, 예산에서 최고 비중을 보안에 할애하는 업종은 전문 서비스, 금융 서비스, 첨단 기술 분야들이다. 2019년에 각자의 회사에서 IT 투자를 추진하는 데 있어 어떤 비즈니스 이니셔티브가 가장 중요할지를 묻는 질문에 IT 임원의 40%가 사이버 보안 보호 강화의 필요성을 언급했다. 이는 가장 일반적인 대응을 위한 운영 효율성 향상과 연계되었으며, 고객 경험 향상, 비즈니스 성장, 기존 비즈니스 프로세스 전환 및 수익성 향상보다 앞선 것으로 나타났다. IDG 커뮤니케이션즈가 전 세계에서 664명의 보안에 중점을 둔 전문가들을 대상으로 실시한 또 다...

2019.08.22

공격 늘고, 예산 늘었지만 CISO 위상은... <영국 2019 CIO 100>

침입 횟수가 늘면서 기업의 보안 예산이 꾸준히 증가했지만 CISO직이 비슷한 속도로 증가하지 않은 것으로 파악됐다.    <CIO UK>의 2019 CIO 100에 따르면, 압도적인 수의 CIO가 늘어나는 사이버 위협에 대처하고자 보안 관련 예산을 증액할 것으로 예상했다.  2019 CIO 100 보고서에서 최근 몇 년 동안 추세를 보면 사이버 공격의 증가에 따라 보안 예산의 증가가 발생했음을 알 수 있다. 그러나 공격 건수와 보안 예산이 증가했는데도 CISO가 CIO의 동료라는 답변은 2018 CIO 100과 비교하면 거의 늘지 않았다.  보안 투자는 꾸준히 상승 보안 위협은 지속해서 확대되고 있으며, 기업의 보안 유지와 관련된 문제는 계속되고 있고, 지난 12개월 동안 사이버 침입을 탐지했다고 보고한 기업은 2018년의 56%에서 올해 59%로 다소 늘었다.  GDPR은 2017년부터 2018년까지 기업이 보안 예산을 늘리는 원동력이다. 하지만 영국항공, 노르 스크 하이드로(Norsk Hydro), 볼티모어시(Baltimore City) 등에서 발생했던 지능적인 공격이 알려지면서 이사회는 보안 투자 증액을 서둘러 승인하게 됐다. 2019 CIO 100에서 조직의 83%는 성장하는 사이버 위협에 대처하기 위해 보안 관련 예산 증액을 기대하는 것으로 나타났다. 이러한 응답은 2018년과 2017년에 각각 81%와 82%다. CISO의 위상은? 보안 예산 증액과 계속되는 공격 건수에도 CISO의 위상은 크게 달라지지 않은 것으로 조사됐다. CIO 100 보고서에서는 CIO가 CISO를 동료로 생각한다는 응답은 12%에 그쳤다.  2018 CIO 보고서에서는 CIO와 CISO가 동등한 관계라는 응답이 16%로 2017 CIO 보고서의 5%에 비해 많이 늘어났다. 올해 보고서에서는 CIO의 약 8%만이 ‘자신을 명시적으로 CISO’라고 밝혔으며 이 같은 답변은 2018년 CIO 1...

CIO GDPR KPMG 침입 보안 예산 위상 공격 CISO CSO CISO-as-a-Service

2019.06.27

침입 횟수가 늘면서 기업의 보안 예산이 꾸준히 증가했지만 CISO직이 비슷한 속도로 증가하지 않은 것으로 파악됐다.    <CIO UK>의 2019 CIO 100에 따르면, 압도적인 수의 CIO가 늘어나는 사이버 위협에 대처하고자 보안 관련 예산을 증액할 것으로 예상했다.  2019 CIO 100 보고서에서 최근 몇 년 동안 추세를 보면 사이버 공격의 증가에 따라 보안 예산의 증가가 발생했음을 알 수 있다. 그러나 공격 건수와 보안 예산이 증가했는데도 CISO가 CIO의 동료라는 답변은 2018 CIO 100과 비교하면 거의 늘지 않았다.  보안 투자는 꾸준히 상승 보안 위협은 지속해서 확대되고 있으며, 기업의 보안 유지와 관련된 문제는 계속되고 있고, 지난 12개월 동안 사이버 침입을 탐지했다고 보고한 기업은 2018년의 56%에서 올해 59%로 다소 늘었다.  GDPR은 2017년부터 2018년까지 기업이 보안 예산을 늘리는 원동력이다. 하지만 영국항공, 노르 스크 하이드로(Norsk Hydro), 볼티모어시(Baltimore City) 등에서 발생했던 지능적인 공격이 알려지면서 이사회는 보안 투자 증액을 서둘러 승인하게 됐다. 2019 CIO 100에서 조직의 83%는 성장하는 사이버 위협에 대처하기 위해 보안 관련 예산 증액을 기대하는 것으로 나타났다. 이러한 응답은 2018년과 2017년에 각각 81%와 82%다. CISO의 위상은? 보안 예산 증액과 계속되는 공격 건수에도 CISO의 위상은 크게 달라지지 않은 것으로 조사됐다. CIO 100 보고서에서는 CIO가 CISO를 동료로 생각한다는 응답은 12%에 그쳤다.  2018 CIO 보고서에서는 CIO와 CISO가 동등한 관계라는 응답이 16%로 2017 CIO 보고서의 5%에 비해 많이 늘어났다. 올해 보고서에서는 CIO의 약 8%만이 ‘자신을 명시적으로 CISO’라고 밝혔으며 이 같은 답변은 2018년 CIO 1...

2019.06.27

부족한 보안 예산, 짜임새 있게 집행하려면?

정보보안 예산은 규모가 작고 대부분 IT예산에 포함돼 있어, CISO나 CSO는 부족하다고 불평하는 경우가 많다. Credit:GettyImages 꾸준히 논란의 대상이었던 보안 예산은 CISO가 기업과 자산을 얼마나 잘 보호하는지 그리고 솔직히 얼마나 자신의 임무에 충실한지(결과적으로 얼마나 그 자리를 지킬 수 있는지)에 간접적인 영향을 끼친다. 하지만 완전히 비관적이라는 뜻은 아니다. 현명한 CISO/CSO와 CIO는 요즘처럼 경제적으로 어려운 상황에서 더욱 신중하게 자원을 제공해야 한다는 사실을 알고 있다. CISO의 입장에서는 돈을 더욱 효과적으로 지출하는 것과 이미 보유하고 있는 솔루션을 활용하여 정말로 중요한 자산을 보호하는 것이 포함된다. 또한 직원의 기술 강화 및 비용 효율적인 보안 인식 캠페인이 수반될 수 있다. --------------------------------------------------------------- 보안 예산 인기기사 -> CFO에게 보안 문제가 기업 리스크라고 어떻게 설득할까? -> 보안 인식에 대한 5가지 오해 -> 보안 전문가들이 실패하는 이유 (그리고 대책) -> 인터뷰 | IT 보안의 총위험비용(TCOR)은 얼마일까? -> “2016년 전세계 보안 투자 규모 860억 달러” 가트너 -> 보안을 클라우드로 바꾸면 비용 ↓ -> "IT보안 이슈, 이사회 안건으로"••• IBM 조사 --------------------------------------------------------------- 거대한 블록홀을 주의하라 IT보안 예산은 자신이 신뢰하는 사람과 보안을 정의하는 방식에 따라 다르지만, 대략 IT전체 예산의 약 5~15%를 차지한다. 가트너는 이번 달 초 발표한 보고서에서 이 수치를 약 5%로 추정했으며 ‘...

CSO 야후 파이낸스 JP모건 보안 예산 BoA 이사회 CISO IT예산 금융 뱅크오브아메리카 시티은행 액센츄어 커뮤니케이션 웰스파고

2016.12.23

정보보안 예산은 규모가 작고 대부분 IT예산에 포함돼 있어, CISO나 CSO는 부족하다고 불평하는 경우가 많다. Credit:GettyImages 꾸준히 논란의 대상이었던 보안 예산은 CISO가 기업과 자산을 얼마나 잘 보호하는지 그리고 솔직히 얼마나 자신의 임무에 충실한지(결과적으로 얼마나 그 자리를 지킬 수 있는지)에 간접적인 영향을 끼친다. 하지만 완전히 비관적이라는 뜻은 아니다. 현명한 CISO/CSO와 CIO는 요즘처럼 경제적으로 어려운 상황에서 더욱 신중하게 자원을 제공해야 한다는 사실을 알고 있다. CISO의 입장에서는 돈을 더욱 효과적으로 지출하는 것과 이미 보유하고 있는 솔루션을 활용하여 정말로 중요한 자산을 보호하는 것이 포함된다. 또한 직원의 기술 강화 및 비용 효율적인 보안 인식 캠페인이 수반될 수 있다. --------------------------------------------------------------- 보안 예산 인기기사 -> CFO에게 보안 문제가 기업 리스크라고 어떻게 설득할까? -> 보안 인식에 대한 5가지 오해 -> 보안 전문가들이 실패하는 이유 (그리고 대책) -> 인터뷰 | IT 보안의 총위험비용(TCOR)은 얼마일까? -> “2016년 전세계 보안 투자 규모 860억 달러” 가트너 -> 보안을 클라우드로 바꾸면 비용 ↓ -> "IT보안 이슈, 이사회 안건으로"••• IBM 조사 --------------------------------------------------------------- 거대한 블록홀을 주의하라 IT보안 예산은 자신이 신뢰하는 사람과 보안을 정의하는 방식에 따라 다르지만, 대략 IT전체 예산의 약 5~15%를 차지한다. 가트너는 이번 달 초 발표한 보고서에서 이 수치를 약 5%로 추정했으며 ‘...

2016.12.23

정보보안 전문가들의 2016년 소원 목록

정보 보안은 가장 빠르게 성장하고 IT 영역에서 가장 역동적인 분야 가운데 하나다. 이 분야는 지능적 공격이 빠르게 증가하면서 정보보안 전문가들을 새로운 도전에 임하게 만드는 점이 흥미롭다. 2016년이 다가오면서 여러 보안 전문가들에게 자신의 정보보안 부문 소원이 무엇인지 물어보았다. 새해를 맞이해 전문가들은 '세계 평화'에 상응하는 사이버 안전을 희망했지만, 어떤 이들은 자신만을 위한 디지털 레드 라이더 공기총을 바라기도 했다. editor@itworld.co.kr

CIO 생체 인증 정보 보안 보안 예산 CISO 암호화 시트릭스 해킹 데이터 유출 CSO 보안 PEBKAC

2015.12.23

정보 보안은 가장 빠르게 성장하고 IT 영역에서 가장 역동적인 분야 가운데 하나다. 이 분야는 지능적 공격이 빠르게 증가하면서 정보보안 전문가들을 새로운 도전에 임하게 만드는 점이 흥미롭다. 2016년이 다가오면서 여러 보안 전문가들에게 자신의 정보보안 부문 소원이 무엇인지 물어보았다. 새해를 맞이해 전문가들은 '세계 평화'에 상응하는 사이버 안전을 희망했지만, 어떤 이들은 자신만을 위한 디지털 레드 라이더 공기총을 바라기도 했다. editor@itworld.co.kr

2015.12.23

'단 몇 초 만에 데이터 유출 발견' 美 기업 4%에 불과… 나머지는?

기업의 68%가 데이터 유출에 대비하고 있지만 75%가 사고가 한 번 발생한 후 이를 알기까지 짧게는 수 시간, 수 일, 심지어 수 주가 걸리는 것으로 조사됐다. 이미지 출처 : Thinkstock 이 조사는 오스터먼 리서치(Osterman Research)가 미국 캘리포니아에 있는 보안 업체인 프루프포인트(Proofpoint)의 의뢰를 받아 진행했으며, 오스터먼은 225개의 중견 및 대기업에게 데이터 유출과 데이터 손실 방지에 대해 어떤 자세를 취하고 어떤 프로세스를 정립했는지에 대해 질문했다. 조사에 응한 기업의 6%만이 데이터 유출에 대해 매우 잘 대비하고 있다고 답했으며 27%는 잘 대비한 편이라고 말했다. 35%는 준비하고 있다고 밝혔다. 또다른 18%는 조금 준비했다고 답했으며 나머지 14%는 잘 준비하지 않았거나 준비가 부족하거나 전혀 준비돼 있지 않다고 말했다. 하지만 실제로 사고가 났을 때 이를 수 초 이내에 탐지할 수 있다고 답한 기업은 4%에 불과했으며 20%는 탐지하는 데까지 수 분이 걸린다고 밝혔다. 탐지에 수 시간이 걸린다는 응답자는 37%였으며 심지어 수 일이 걸린다는 답변도 21%나 됐다. 나머지 17%는 수 주 이상이 걸리거나 얼마나 걸릴지 모른다고 답했다. “사고 탐지에 이 정도 시간이 걸린다는 것은 제대로 대응하는 것도 아니고 데이터 유출을 막지도 못한다는 뜻이다”라고 프루프포인트에서 지능형 보안 및 거버넌스를 담당하는 부사장인 케빈 엡스타인은 지적했다. "그건 그냥 대응이 발생하고 있다는 것을 인지하는 정도다. 그리고 요즘 같은 세상에 데이터 유출이 얼마나 빠르게 확산되는지를 감안하면 이미 중요 정보들은 회사 밖으로 나가 버릴 수도 있다. 양동이에 구멍이 하나가 있으면 그 구멍으로 데이터가 빠져 나간다”라고 그는 설명했다. 그리고 최근 일어난 고급 정보 유출 사고들을 감안한다면, 기업들은 데이터 유출 사실을 확인하는데 걸리는 시간을 지나치게 ...

CSO 발견 경고 대응 탐지 대기업 보안 예산 중견기업 CISO 조사 데이터 유출 프루프포인트

2015.03.27

기업의 68%가 데이터 유출에 대비하고 있지만 75%가 사고가 한 번 발생한 후 이를 알기까지 짧게는 수 시간, 수 일, 심지어 수 주가 걸리는 것으로 조사됐다. 이미지 출처 : Thinkstock 이 조사는 오스터먼 리서치(Osterman Research)가 미국 캘리포니아에 있는 보안 업체인 프루프포인트(Proofpoint)의 의뢰를 받아 진행했으며, 오스터먼은 225개의 중견 및 대기업에게 데이터 유출과 데이터 손실 방지에 대해 어떤 자세를 취하고 어떤 프로세스를 정립했는지에 대해 질문했다. 조사에 응한 기업의 6%만이 데이터 유출에 대해 매우 잘 대비하고 있다고 답했으며 27%는 잘 대비한 편이라고 말했다. 35%는 준비하고 있다고 밝혔다. 또다른 18%는 조금 준비했다고 답했으며 나머지 14%는 잘 준비하지 않았거나 준비가 부족하거나 전혀 준비돼 있지 않다고 말했다. 하지만 실제로 사고가 났을 때 이를 수 초 이내에 탐지할 수 있다고 답한 기업은 4%에 불과했으며 20%는 탐지하는 데까지 수 분이 걸린다고 밝혔다. 탐지에 수 시간이 걸린다는 응답자는 37%였으며 심지어 수 일이 걸린다는 답변도 21%나 됐다. 나머지 17%는 수 주 이상이 걸리거나 얼마나 걸릴지 모른다고 답했다. “사고 탐지에 이 정도 시간이 걸린다는 것은 제대로 대응하는 것도 아니고 데이터 유출을 막지도 못한다는 뜻이다”라고 프루프포인트에서 지능형 보안 및 거버넌스를 담당하는 부사장인 케빈 엡스타인은 지적했다. "그건 그냥 대응이 발생하고 있다는 것을 인지하는 정도다. 그리고 요즘 같은 세상에 데이터 유출이 얼마나 빠르게 확산되는지를 감안하면 이미 중요 정보들은 회사 밖으로 나가 버릴 수도 있다. 양동이에 구멍이 하나가 있으면 그 구멍으로 데이터가 빠져 나간다”라고 그는 설명했다. 그리고 최근 일어난 고급 정보 유출 사고들을 감안한다면, 기업들은 데이터 유출 사실을 확인하는데 걸리는 시간을 지나치게 ...

2015.03.27

국내 중견중소기업 70%, 올해 보안 예산 증액

한국IDG의 조사에 따르면, 올해 국내 중견중소기업의 69.6%가 보안 예산을 늘릴 계획으로 파악됐다. 이 조사는 한국IDG의 테크 서베이에서 2014년 11얼 24일부터 약 2주 동안 진행됐으며, 임직원 수 1,000명 이하의 중견중소기업 종사자 362명이 여기에 참여했다. <완벽한 방어는 없지만 최선의 예방은 있다>라는 제목으로 발행된 보고서에서 중견중소기업의 보안 예산 증가율을 보면, 5% 미만이 가장 많은 26.8%를 차지했으며 다음으로는 5~10% 증가가 22.9%였다. 이밖에 30% 이상 보안 예산을 늘리겠다는 답변은 3.3%였다. 중견중소기업이 보안을 강화하려는 이유 이미지 출처 : 한국IDG, 2015.1 중견중소기업들이 보안 예산을 적극적으로 늘리는 가장 큰 이유는 ‘개인정보 유출’로 나타났다. 실제로 지난해 동안 개인정보 유출을 경험했다고 밝힌 중견중소기업은 18.2%였지만, 가장 위협적인 공격으로 개인정보 유출을 꼽은 응답자는 44.2%로 가장 많았다. 올해 보안 투자에서 중점을 둘 분야는 고객 및 직원을 포함한 개인정보 보호(53.3%)와 내부정보 유출 방지(55.8%)로 조사됐다. 또 보안 고민을 해결하기 위해 IT부서나 보안부서만이 이 문제에 관여하는 게 아니라 타 부서와의 공조도 이뤄질 것으로 파악됐다. 조사에 따르면, 올해 계획중인 보안프로젝트 중, 타 부서와 공동으로 추진할 경우 해당 부서로 R&D 부서(36.7%)가 가장 많았고 다음으로는 마케팅/영업부서(30.1%)로 집계됐다. 이밖에 인사부서(22.9%)와 법무부서(10.5%)도 있었다. 보안 프로젝트 공동 추진 부서 출처 : 한국IDG, 2015.1 한편 한국IDG는 이 조사에 앞서 2014년 10월 중견중소기업들의 IT고민을 조사했는데, 여기에서 2015년 IT예산을 동결하겠다고 답한 응답자는 39%였으며 삭감하겠다는 응답자는 24%였다. 이 조사에서 주목할 만한 결과는 IT예산 ...

개인정보 보호 조사 IT예산 SMB 투자 보안 예산 중견중소기업 2015년

2015.01.23

한국IDG의 조사에 따르면, 올해 국내 중견중소기업의 69.6%가 보안 예산을 늘릴 계획으로 파악됐다. 이 조사는 한국IDG의 테크 서베이에서 2014년 11얼 24일부터 약 2주 동안 진행됐으며, 임직원 수 1,000명 이하의 중견중소기업 종사자 362명이 여기에 참여했다. <완벽한 방어는 없지만 최선의 예방은 있다>라는 제목으로 발행된 보고서에서 중견중소기업의 보안 예산 증가율을 보면, 5% 미만이 가장 많은 26.8%를 차지했으며 다음으로는 5~10% 증가가 22.9%였다. 이밖에 30% 이상 보안 예산을 늘리겠다는 답변은 3.3%였다. 중견중소기업이 보안을 강화하려는 이유 이미지 출처 : 한국IDG, 2015.1 중견중소기업들이 보안 예산을 적극적으로 늘리는 가장 큰 이유는 ‘개인정보 유출’로 나타났다. 실제로 지난해 동안 개인정보 유출을 경험했다고 밝힌 중견중소기업은 18.2%였지만, 가장 위협적인 공격으로 개인정보 유출을 꼽은 응답자는 44.2%로 가장 많았다. 올해 보안 투자에서 중점을 둘 분야는 고객 및 직원을 포함한 개인정보 보호(53.3%)와 내부정보 유출 방지(55.8%)로 조사됐다. 또 보안 고민을 해결하기 위해 IT부서나 보안부서만이 이 문제에 관여하는 게 아니라 타 부서와의 공조도 이뤄질 것으로 파악됐다. 조사에 따르면, 올해 계획중인 보안프로젝트 중, 타 부서와 공동으로 추진할 경우 해당 부서로 R&D 부서(36.7%)가 가장 많았고 다음으로는 마케팅/영업부서(30.1%)로 집계됐다. 이밖에 인사부서(22.9%)와 법무부서(10.5%)도 있었다. 보안 프로젝트 공동 추진 부서 출처 : 한국IDG, 2015.1 한편 한국IDG는 이 조사에 앞서 2014년 10월 중견중소기업들의 IT고민을 조사했는데, 여기에서 2015년 IT예산을 동결하겠다고 답한 응답자는 39%였으며 삭감하겠다는 응답자는 24%였다. 이 조사에서 주목할 만한 결과는 IT예산 ...

2015.01.23

기고 | 보안 사고 느는데, 관련 예산 왜 줄었나?

PwC/CSO 글로벌 정보보안 현황 조사 결과, 탐지된 정보 유출과 관련 비용이 상승한 것으로 나타났다. 그렇다면, 정보보안 예산은 어떤가? 동반상승한 것 같지는 않다. 지난해 글로벌 정보보안 현황 조사(Global Information Security Survey)가 발표된 이후 최근 올해의 정보보안 상황 조사가 발표됐는데, 상황이 나아질 기미가 보이지 않는다. 오히려 우울할 정도다. 미국 대형 마트인 타깃과 홈디포를 강타한 지불카드 보안 위협은 그 규모가 실로 엄청났다. 피해자만 해도 수 억 명에 달했다. 데이터 위협은 또 어떠한가. 바람 잘 날 없다. 가장 최근만 해도 미국 샌드위치 체인인 지미 존스(Jimmy John’s)가 보안 틈새 알림을 발표했다. 지불카드만 위험에 노출된 게 아니다. 의료 서비스 기업인 커뮤니티 헬스 시스템즈(Community Health Systems Inc.)는 지난 여름 동안 450만 명의 환자 정보를 도난당했다고 밝혔다. <CSO>의 보안 팀도 심각한 결과를 초래할 수 있는 소프트웨어 결함과 씨름해야 했다. 최근에는 배쉬버그(Bash) 또는 셸쇼크(Shellshock)로 알려진 GNU 원격 코드 실행 취약점으로 많은 기업들이 긴장해야 했다. 배쉬를 사용하는 앱이나 기기가 많기 때문에 셸쇼크 취약점은 클라이언트와 서버 간 오픈SSL 암호화 데이터 트래픽에서 발견되던 하트블리드보다 더 심각한 보안 위협으로 간주되기도 한다. 커뮤니티 헬스 시스템즈를 공격한 것은 하트블리드로 밝혀졌다. 점점 더 보안위협이 늘고 있는 가운데 CSO와 프라이스워터하우스쿠퍼스(PwC)가 공동으로 제 12회 연간 글로벌 정보보안 현황 조사 2015를 실시했다. 결과 중 일부는 예상했던 대로였지만 일부는 놀라운 것들도 있었다. 예를 들어, 이런 일련의 공격 및 고위험군 취약점들에도 장점이 있다면 기업 이사회에서 점점 더 IT보안에 많은 관심을 갖게 해주었다는 것이다. 이건 그다지 놀라운 사실은 ...

CSO 빅데이터 CISO 보안 예산 PwC 정보 유출 분석 글로벌 조사 글로벌 정보보안 현황 조사

2014.10.06

PwC/CSO 글로벌 정보보안 현황 조사 결과, 탐지된 정보 유출과 관련 비용이 상승한 것으로 나타났다. 그렇다면, 정보보안 예산은 어떤가? 동반상승한 것 같지는 않다. 지난해 글로벌 정보보안 현황 조사(Global Information Security Survey)가 발표된 이후 최근 올해의 정보보안 상황 조사가 발표됐는데, 상황이 나아질 기미가 보이지 않는다. 오히려 우울할 정도다. 미국 대형 마트인 타깃과 홈디포를 강타한 지불카드 보안 위협은 그 규모가 실로 엄청났다. 피해자만 해도 수 억 명에 달했다. 데이터 위협은 또 어떠한가. 바람 잘 날 없다. 가장 최근만 해도 미국 샌드위치 체인인 지미 존스(Jimmy John’s)가 보안 틈새 알림을 발표했다. 지불카드만 위험에 노출된 게 아니다. 의료 서비스 기업인 커뮤니티 헬스 시스템즈(Community Health Systems Inc.)는 지난 여름 동안 450만 명의 환자 정보를 도난당했다고 밝혔다. <CSO>의 보안 팀도 심각한 결과를 초래할 수 있는 소프트웨어 결함과 씨름해야 했다. 최근에는 배쉬버그(Bash) 또는 셸쇼크(Shellshock)로 알려진 GNU 원격 코드 실행 취약점으로 많은 기업들이 긴장해야 했다. 배쉬를 사용하는 앱이나 기기가 많기 때문에 셸쇼크 취약점은 클라이언트와 서버 간 오픈SSL 암호화 데이터 트래픽에서 발견되던 하트블리드보다 더 심각한 보안 위협으로 간주되기도 한다. 커뮤니티 헬스 시스템즈를 공격한 것은 하트블리드로 밝혀졌다. 점점 더 보안위협이 늘고 있는 가운데 CSO와 프라이스워터하우스쿠퍼스(PwC)가 공동으로 제 12회 연간 글로벌 정보보안 현황 조사 2015를 실시했다. 결과 중 일부는 예상했던 대로였지만 일부는 놀라운 것들도 있었다. 예를 들어, 이런 일련의 공격 및 고위험군 취약점들에도 장점이 있다면 기업 이사회에서 점점 더 IT보안에 많은 관심을 갖게 해주었다는 것이다. 이건 그다지 놀라운 사실은 ...

2014.10.06

보안 예산 최적화, '4대 방안'

보안 시장에 좋은 소식과 나쁜 소식 하나씩 있다. 좋은 소식은 보안 예산이 전반적으로 증가하고 있다는 것이다. 그렇다면 나쁜 소식은 무엇일까? 공격 성공률도 함께 증가하고 있다. 이 때문에 올해 예산은 지난 해의 그것보다 51%나 증가한 평균 430만 달러로 2010년에 지출한 220만 달러와 비교해 약 두 배에 가까운 수치다. 이 모든 결과는 PwC가 최근에 실시한 국제 정보 보안 설문조사(Global Information Security Survey)로부터 얻은 결과다. 문제는 바로 그 이유다 보안 예산이 오르고 있지만 기업들이 여전히 바라는 결과를 얻지 못하는 이유는 무엇일까? 블랙스톤 그룹(The Blackstone Goup) CISO 제이 릭은 "많은 기관들이 자체 보안 상황에 상관 없이 최신 트렌드에 따라 제품 구매에 열을 올리고 있기 때문"이라고 말했다. 9,600명의 임원을 대상으로 진행한 제 11회 국제 정보 보안 설문조사에서도 사고당 1,000만 달러 이상의 손실을 기록한 많은 기관들이 2년 전에 비해 75%나 증가한 것으로 나타났다. 이렇게 해킹으로 인한 비용도 증가하고 있으며 데이터 해킹은 2012년과 비교해 2013년에 9%나 증가했다. 한 가지 확실한 것은 기관들이 악성코드 분석(51%), 네트워크에서 반출되는 트래픽 점검(41%), 악성 기기 스케일링(Scaling)(34%), 심도 깊은 패킷 검사(27%), 위협 모델 수립 (21%) 등 진화한 공격자들을 찾는데 도움이 되는 적절한 기술과 역량에는 투자하고 있지 않다는 점이다. 이 모든 것을 고려할 때, 이렇게 증가된 예산이 적절하게 사용되고 있다고 볼 수 있을까? 보안 예산 최적화 No.1 적절한 인력 배치 우선, 보안 인력이 적절히 배치되어 있는지 확인한다. SANS 인스티튜트(SANS Institute)의 신규 보안 트렌드 담당 이사 존 페스케이터는 "인력이 과한지 부족한 지를 판단하기란 쉽지 않다&qu...

최적화 보안 예산 인력 배치

2014.05.14

보안 시장에 좋은 소식과 나쁜 소식 하나씩 있다. 좋은 소식은 보안 예산이 전반적으로 증가하고 있다는 것이다. 그렇다면 나쁜 소식은 무엇일까? 공격 성공률도 함께 증가하고 있다. 이 때문에 올해 예산은 지난 해의 그것보다 51%나 증가한 평균 430만 달러로 2010년에 지출한 220만 달러와 비교해 약 두 배에 가까운 수치다. 이 모든 결과는 PwC가 최근에 실시한 국제 정보 보안 설문조사(Global Information Security Survey)로부터 얻은 결과다. 문제는 바로 그 이유다 보안 예산이 오르고 있지만 기업들이 여전히 바라는 결과를 얻지 못하는 이유는 무엇일까? 블랙스톤 그룹(The Blackstone Goup) CISO 제이 릭은 "많은 기관들이 자체 보안 상황에 상관 없이 최신 트렌드에 따라 제품 구매에 열을 올리고 있기 때문"이라고 말했다. 9,600명의 임원을 대상으로 진행한 제 11회 국제 정보 보안 설문조사에서도 사고당 1,000만 달러 이상의 손실을 기록한 많은 기관들이 2년 전에 비해 75%나 증가한 것으로 나타났다. 이렇게 해킹으로 인한 비용도 증가하고 있으며 데이터 해킹은 2012년과 비교해 2013년에 9%나 증가했다. 한 가지 확실한 것은 기관들이 악성코드 분석(51%), 네트워크에서 반출되는 트래픽 점검(41%), 악성 기기 스케일링(Scaling)(34%), 심도 깊은 패킷 검사(27%), 위협 모델 수립 (21%) 등 진화한 공격자들을 찾는데 도움이 되는 적절한 기술과 역량에는 투자하고 있지 않다는 점이다. 이 모든 것을 고려할 때, 이렇게 증가된 예산이 적절하게 사용되고 있다고 볼 수 있을까? 보안 예산 최적화 No.1 적절한 인력 배치 우선, 보안 인력이 적절히 배치되어 있는지 확인한다. SANS 인스티튜트(SANS Institute)의 신규 보안 트렌드 담당 이사 존 페스케이터는 "인력이 과한지 부족한 지를 판단하기란 쉽지 않다&qu...

2014.05.14

"英 금융기업들, 올해 사이버보안 예산 증액" PwC

점점 더 많은 기업들이 보안 위험을 인식하는 가운데 글로벌 금융 기업들이 올해 사이버 방어에 대한 예산을 늘릴 계획으로 조사됐다. CBI/PwC의 조사에 따르면, 약 2/5에 해당하는 38%의 금융 기업들이 커지는 위협에 대처하고자 사이버보안 예산을 증액하겠다고 주장했다. 영국의 은행, 보험, 기타 금융 87개사를 대상으로 한 이 조사에서 사이버보안에 대한 투자를 줄이겠다고 답한 곳은 4%에 불과했다. 디도스 공격 같은 위협은 일반화되고 있으며 사이버범죄는 최근 몇 년 동안 은행 등 금융 기업들에 큰 영향을 미쳤다. 예를 들어 냇웨스트(Natwest)는 지난해 12월 디도스 공격 대상이 됐고, 뱅크오브잉글랜드(Bank of England)는 이전에 사이버범죄가 유로존 위기보다 영국 재무 안정성 에 큰 위험을 초래할 수 있다고 경고했다. PwC의 보고서에 따르면 2014년 투자에서 가장 큰 증가는 과거에 이 분야 투자에서 더딘 행보를 보였던 금융 서비스의 세부 업종에서 나타날 것이다. 투자관리 회사의 76%와 증권사의 약 60%가 보안 관련 예산을 늘릴 계획으로 조사됐다. 투자관리와 증권은 2013년 보안 투자가 상대적으로 낮은 성장률을 보였던 세부 업종이다. 그러나 은행의 경우 8%만이 보안에 더 많이 투자할 계획으로 나타났다. 이는 지난해 실질 투자를 집행했고 현재 나머지 금융 업종들이 현재 소매은행이 투자 증가를 따라가는 추세라고 PwC는 분석했다. "이러한 조사 결과는 영국 금융 기업들이 사이버보안을 심각하게 생각한다는 것을 보여준다"라고 PwC 사이버보안 파트너 리처드 혼은 말했다. "점점 더 많은 사기꾼들이 자신의 주요 범죄 툴을 기술로 사용하면서 사이버범죄는 영국 금융 서비스 기업들에 큰 위협이 된다”라고 혼은 덧붙였다. 보안 예산 증액과 지속적인 보안 투자를 요구하는 이유 중 하나는 고도의 사이버공격 스트레스 테스트 때문이다. 특히 웨이킹 샤크(Waking Shark)와 웨이킹 ...

은행 금융 조사 보안 예산 PwC 증액 사이버보안 디도스 증권

2014.04.17

점점 더 많은 기업들이 보안 위험을 인식하는 가운데 글로벌 금융 기업들이 올해 사이버 방어에 대한 예산을 늘릴 계획으로 조사됐다. CBI/PwC의 조사에 따르면, 약 2/5에 해당하는 38%의 금융 기업들이 커지는 위협에 대처하고자 사이버보안 예산을 증액하겠다고 주장했다. 영국의 은행, 보험, 기타 금융 87개사를 대상으로 한 이 조사에서 사이버보안에 대한 투자를 줄이겠다고 답한 곳은 4%에 불과했다. 디도스 공격 같은 위협은 일반화되고 있으며 사이버범죄는 최근 몇 년 동안 은행 등 금융 기업들에 큰 영향을 미쳤다. 예를 들어 냇웨스트(Natwest)는 지난해 12월 디도스 공격 대상이 됐고, 뱅크오브잉글랜드(Bank of England)는 이전에 사이버범죄가 유로존 위기보다 영국 재무 안정성 에 큰 위험을 초래할 수 있다고 경고했다. PwC의 보고서에 따르면 2014년 투자에서 가장 큰 증가는 과거에 이 분야 투자에서 더딘 행보를 보였던 금융 서비스의 세부 업종에서 나타날 것이다. 투자관리 회사의 76%와 증권사의 약 60%가 보안 관련 예산을 늘릴 계획으로 조사됐다. 투자관리와 증권은 2013년 보안 투자가 상대적으로 낮은 성장률을 보였던 세부 업종이다. 그러나 은행의 경우 8%만이 보안에 더 많이 투자할 계획으로 나타났다. 이는 지난해 실질 투자를 집행했고 현재 나머지 금융 업종들이 현재 소매은행이 투자 증가를 따라가는 추세라고 PwC는 분석했다. "이러한 조사 결과는 영국 금융 기업들이 사이버보안을 심각하게 생각한다는 것을 보여준다"라고 PwC 사이버보안 파트너 리처드 혼은 말했다. "점점 더 많은 사기꾼들이 자신의 주요 범죄 툴을 기술로 사용하면서 사이버범죄는 영국 금융 서비스 기업들에 큰 위협이 된다”라고 혼은 덧붙였다. 보안 예산 증액과 지속적인 보안 투자를 요구하는 이유 중 하나는 고도의 사이버공격 스트레스 테스트 때문이다. 특히 웨이킹 샤크(Waking Shark)와 웨이킹 ...

2014.04.17

CFO에게 '통'하는 보안 예산 설득법 10선

미 LA 공항 CIO 도미닉 네시는 보안에 필요한 재원을 확보하기 위해 이사회와 재무팀을 설득하는 10가지 팁을 소개했다. 사이버 보안 전문가들에게 가장 큰 도전이 뭔지 물어보기 바란다. 네트워크 보안 강화, 내부 위협 관리, 사이버 스파이 방지 등 다양한 대답들을 할 것이다. 그러나 더 자세히 조사하면 사이버 보안 담당자들은 하나 같이 자신들이 직면하는 가장 큰 도전은 보안 프로그램 이행에 필요한 재원을 확보하는 것이라고 대답할 것이다. 매일 계속되는 위협에 대처하는 방법을 소개한 자원과 기술 지원 정보는 넘쳐난다. 보안에 대한 베스트 프랙티스를 배울 기회도 많다. 그러나 탄탄한 보안 역량을 유지하기 위해 재원이 필요할 때, 예산 관련 회의를 준비하는데 필요한 정보는 극히 제한적이다. 필자는 미국 국립공원청(U.S. National Park Service)와 LA 국제공항에 사이버 보안 프로그램을 도입하면서 여러 재무 부서 사람들과 많은 대화를 나눈 경험이 있다. 탄탄한 보안 프로그램을 수립해 이행하는데 필요한 재원을 마련하는데 가장 중요한 성공 요소는 바로 '소통(Communication)'이다. 대부분의 예산 요청에서 빠지지 않는 것이 투자수익(ROI) 분석이다. 재무 부서 사람들이 가장 편안하게 이해하는 개념이 이 ROI이다. ROI는 투자에 따른 손실과 이익을 가감해 구한다. 그러나 사이버 보안 예산은 정량화가 어렵다는 특징이 있다. 보안 관련 ROI는 보안 투자 금액과 보안 침해 사고가 일어났을 때 책임을 추정해 산출하게 된다. 건물이나 장비 같은 재산 보험과 관련해 금전적 이익을 산출할 때와 유사하다. 예산 관련 논의를 시작하기 위해서는 이익보다는 비용 회피를 강조해야 한다. 또 기업에 미치는 영향과 관련 비용을 설명하는 증거를 제시해야 한다. 흥미롭게도, 재무 부서 담당자들은 보안 부서에는 아주 중요한 위험의 성격에는 큰 관심을 두지 않는다. 이들은 기업에 미치는 재무적 파급에 주안점을 둔다. 즉 경영진이 사...

CIO CSO CISO 설득 보안 예산 재무부서 재원

2013.04.23

미 LA 공항 CIO 도미닉 네시는 보안에 필요한 재원을 확보하기 위해 이사회와 재무팀을 설득하는 10가지 팁을 소개했다. 사이버 보안 전문가들에게 가장 큰 도전이 뭔지 물어보기 바란다. 네트워크 보안 강화, 내부 위협 관리, 사이버 스파이 방지 등 다양한 대답들을 할 것이다. 그러나 더 자세히 조사하면 사이버 보안 담당자들은 하나 같이 자신들이 직면하는 가장 큰 도전은 보안 프로그램 이행에 필요한 재원을 확보하는 것이라고 대답할 것이다. 매일 계속되는 위협에 대처하는 방법을 소개한 자원과 기술 지원 정보는 넘쳐난다. 보안에 대한 베스트 프랙티스를 배울 기회도 많다. 그러나 탄탄한 보안 역량을 유지하기 위해 재원이 필요할 때, 예산 관련 회의를 준비하는데 필요한 정보는 극히 제한적이다. 필자는 미국 국립공원청(U.S. National Park Service)와 LA 국제공항에 사이버 보안 프로그램을 도입하면서 여러 재무 부서 사람들과 많은 대화를 나눈 경험이 있다. 탄탄한 보안 프로그램을 수립해 이행하는데 필요한 재원을 마련하는데 가장 중요한 성공 요소는 바로 '소통(Communication)'이다. 대부분의 예산 요청에서 빠지지 않는 것이 투자수익(ROI) 분석이다. 재무 부서 사람들이 가장 편안하게 이해하는 개념이 이 ROI이다. ROI는 투자에 따른 손실과 이익을 가감해 구한다. 그러나 사이버 보안 예산은 정량화가 어렵다는 특징이 있다. 보안 관련 ROI는 보안 투자 금액과 보안 침해 사고가 일어났을 때 책임을 추정해 산출하게 된다. 건물이나 장비 같은 재산 보험과 관련해 금전적 이익을 산출할 때와 유사하다. 예산 관련 논의를 시작하기 위해서는 이익보다는 비용 회피를 강조해야 한다. 또 기업에 미치는 영향과 관련 비용을 설명하는 증거를 제시해야 한다. 흥미롭게도, 재무 부서 담당자들은 보안 부서에는 아주 중요한 위험의 성격에는 큰 관심을 두지 않는다. 이들은 기업에 미치는 재무적 파급에 주안점을 둔다. 즉 경영진이 사...

2013.04.23

EU, 2020년까지 사이버보안 예산 14%만 늘린다

유럽위원회가 사이버범죄와의 전쟁에 대해 비중있게 다루고 있지만, 2020년까지 사이버보안 예산을 14%까지만 늘리 계획이라는 발표했다. 이에 대해 한 보안 전문가는 ‘턱없이 부족한 예산’이라고 지적했다. 위원회는 2007년부터 2013년까지 사이버보안 연구에 3억 5,000만 유로(미화 4억 5,400만달러)만 할당했으며 2013년부터 2020년까지 매년 충당하기 위해 5000만 유로만 추가했다고 발표했다. 트렌드마이크로 보안 연구 및 커뮤니케이션 담당 이사 릭 퍼거슨 14% 증액에 대해 얼마 ‘안되는 규모’라고 말하면서 “보안 업계는 이미 비영리 조직과 공조하고 있으며, 정부는 사이버범죄에서 많은 위험을 겪었다. 적절한 투자가 필요한 시점이다"라고 밝혔다. 사이버범죄에 할당된 4억 유로 전체는 5개 이상의 프로젝트 기금으로 쓰일 예정이다. 여기에는 위협과 취약성을 예측하는 방법을 개발하는 유럽 차원의 네트워크인 시스섹(Syssec), 보안 서비스 아키텍처를 개발하고 보안 서비스를 디자인하는 네소스(Nessos), 모든 보안 문제에 대한 소프트웨어의 새로운 부분을 테스트하는 시큐어체인지(SecureChange) 프로젝트, 신뢰할 수 있는 클라우드를 구축할 것을 목적으로 하는 T클라우드(Tclouds) 등이 있다. 디지털 서명을 위한 좀더 강력한 알고리즘과 개선 툴을 개발하도록 32개 연구 기관, 대학, 기업들이 참여하는 에크립트 II(Ecrypt II) 프로젝트에 대한 예산도 늘려야 한다. 위원회에 따르면, 약 15만 개의 바이러스나 악성 코드가 매일 100만 건 이상을 감염시키며 인터넷에서 돌아다니고 있다. 안티 바이러스 업체 맥아피는 매일 전송되는 모든 이메일 가운데 1/3에 스팸 메일을 보내는 봇넷과 함께 자사 데이터베이스에 7,500만 개의 악성 코드가 있다고 추산하고 있다. 위원회에 따르면, 사이버범죄 때문에 전세계적으로 개인과 기업들은 시간 낭비, 사업 기회 손...

맥아피 보안 예산 증액 EU 봇넷 유럽집행위원회 안티 바이러스

2012.11.27

유럽위원회가 사이버범죄와의 전쟁에 대해 비중있게 다루고 있지만, 2020년까지 사이버보안 예산을 14%까지만 늘리 계획이라는 발표했다. 이에 대해 한 보안 전문가는 ‘턱없이 부족한 예산’이라고 지적했다. 위원회는 2007년부터 2013년까지 사이버보안 연구에 3억 5,000만 유로(미화 4억 5,400만달러)만 할당했으며 2013년부터 2020년까지 매년 충당하기 위해 5000만 유로만 추가했다고 발표했다. 트렌드마이크로 보안 연구 및 커뮤니케이션 담당 이사 릭 퍼거슨 14% 증액에 대해 얼마 ‘안되는 규모’라고 말하면서 “보안 업계는 이미 비영리 조직과 공조하고 있으며, 정부는 사이버범죄에서 많은 위험을 겪었다. 적절한 투자가 필요한 시점이다"라고 밝혔다. 사이버범죄에 할당된 4억 유로 전체는 5개 이상의 프로젝트 기금으로 쓰일 예정이다. 여기에는 위협과 취약성을 예측하는 방법을 개발하는 유럽 차원의 네트워크인 시스섹(Syssec), 보안 서비스 아키텍처를 개발하고 보안 서비스를 디자인하는 네소스(Nessos), 모든 보안 문제에 대한 소프트웨어의 새로운 부분을 테스트하는 시큐어체인지(SecureChange) 프로젝트, 신뢰할 수 있는 클라우드를 구축할 것을 목적으로 하는 T클라우드(Tclouds) 등이 있다. 디지털 서명을 위한 좀더 강력한 알고리즘과 개선 툴을 개발하도록 32개 연구 기관, 대학, 기업들이 참여하는 에크립트 II(Ecrypt II) 프로젝트에 대한 예산도 늘려야 한다. 위원회에 따르면, 약 15만 개의 바이러스나 악성 코드가 매일 100만 건 이상을 감염시키며 인터넷에서 돌아다니고 있다. 안티 바이러스 업체 맥아피는 매일 전송되는 모든 이메일 가운데 1/3에 스팸 메일을 보내는 봇넷과 함께 자사 데이터베이스에 7,500만 개의 악성 코드가 있다고 추산하고 있다. 위원회에 따르면, 사이버범죄 때문에 전세계적으로 개인과 기업들은 시간 낭비, 사업 기회 손...

2012.11.27

최신 보안 수단 ‘화이트리스팅’이 뜬다

피싱(Pishing), 스피어 피싱(Spear Pishing), 트로이의 목마 등 서로 다른 방식의 해킹들이 늘어나고 있을 뿐만 아니라 정교해지고 있다. 올해 세상을 떠들썩하게 만든 RSA, 록히드(Lockheed), 시티콥(Citicorp) 해킹 사건 이후 이러한 추세는 더욱 뚜렷해 졌다. 이는 빙산의 일각에 불과하다. 포네몬 인스터튜트(Ponemon Institute)의 최근 설문에 따르면, 미국과 유럽의 기업 보안 전문가 581명 중 90%는 지난해 최소 한차례, 56%는 2차례 이상 해킹 공격을 받았다고 답한 것으로 나타났다. 다행히 좋은 소식도 있다. ABI 리서치(ABI Research)는 2007년에서 2010년 보안 예산이IT 투자의 7%에서 14%로 증가했다고 전했다. 거시적으로 보면, 이러한 추세는 고무적인 현상이다. 그러나 자세히 들여다 보면, 그다지 희망적이지 않다. 과거에는 보안 솔루션 자체에 대해 준비가 안돼 있었으나 현재는 CIO들이 살펴보고 비용을 지출할 솔루션으로 부각되고 있다. 이러한 접근은 애플리케이션 화이트리스팅(Whitelisting), 또는 애플리케이션 컨트롤이라는 방법이다. 이와 관련해, IT 서비스 공급업체인 카루셀 인더스트리스(Carousel Industries)의 보안 인프라 설계자 토르스텐 베렌스는 “화이트리스팅이 새로운 보안 수단일 뿐 아니라 보안에 대한 새로운 사고 방식”이라고 설명했다. 보안에 대한 새로운 사고 방식 스팸 방지나 백신 소프트웨어와 같은 툴들은 블랙리스팅(Blacklisting)을 이용해 해킹 공격을 방어한다. 특정 사용자나 프로그램의 접근을 불허하고 내모는 툴들이다. 그러나 블랙리스팅을 활용하려면 누가 '악당'인지 알아야 한다. 또 자주 업데이트해야 한다. 이렇게 하더라도 허점이 있다. 패치를 발행해 설치할 때까지 틈이 있을 수 있고, 아예 패치가 발행되지 않는 경우도 있다. 화이트리스팅은 ...

CIO 보안 해킹 차단 해커 화이트리스팅 블랙리스팅 보안 예산

2011.07.11

피싱(Pishing), 스피어 피싱(Spear Pishing), 트로이의 목마 등 서로 다른 방식의 해킹들이 늘어나고 있을 뿐만 아니라 정교해지고 있다. 올해 세상을 떠들썩하게 만든 RSA, 록히드(Lockheed), 시티콥(Citicorp) 해킹 사건 이후 이러한 추세는 더욱 뚜렷해 졌다. 이는 빙산의 일각에 불과하다. 포네몬 인스터튜트(Ponemon Institute)의 최근 설문에 따르면, 미국과 유럽의 기업 보안 전문가 581명 중 90%는 지난해 최소 한차례, 56%는 2차례 이상 해킹 공격을 받았다고 답한 것으로 나타났다. 다행히 좋은 소식도 있다. ABI 리서치(ABI Research)는 2007년에서 2010년 보안 예산이IT 투자의 7%에서 14%로 증가했다고 전했다. 거시적으로 보면, 이러한 추세는 고무적인 현상이다. 그러나 자세히 들여다 보면, 그다지 희망적이지 않다. 과거에는 보안 솔루션 자체에 대해 준비가 안돼 있었으나 현재는 CIO들이 살펴보고 비용을 지출할 솔루션으로 부각되고 있다. 이러한 접근은 애플리케이션 화이트리스팅(Whitelisting), 또는 애플리케이션 컨트롤이라는 방법이다. 이와 관련해, IT 서비스 공급업체인 카루셀 인더스트리스(Carousel Industries)의 보안 인프라 설계자 토르스텐 베렌스는 “화이트리스팅이 새로운 보안 수단일 뿐 아니라 보안에 대한 새로운 사고 방식”이라고 설명했다. 보안에 대한 새로운 사고 방식 스팸 방지나 백신 소프트웨어와 같은 툴들은 블랙리스팅(Blacklisting)을 이용해 해킹 공격을 방어한다. 특정 사용자나 프로그램의 접근을 불허하고 내모는 툴들이다. 그러나 블랙리스팅을 활용하려면 누가 '악당'인지 알아야 한다. 또 자주 업데이트해야 한다. 이렇게 하더라도 허점이 있다. 패치를 발행해 설치할 때까지 틈이 있을 수 있고, 아예 패치가 발행되지 않는 경우도 있다. 화이트리스팅은 ...

2011.07.11

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.5