Offcanvas

������������

블로그ㅣ정보보안 ‘영웅’은 필요하지 않다

많은 보안 전문가 사이에는 자신이 소속 기업의 ‘수호자’라는 점에서 특별하다는 믿음이 있다. 만약 그렇지 않다면 회사는 끔찍한 방식으로 붕괴되고 불타버릴 것이라고 생각한다. 또 침해가 만연하고 데이터가 곳곳에서 도난당할 것이라고 생각한다. 클라우드 환경은 적으로 가득 차 있다. 엔터프라이즈 시스템은 랜섬웨어에 잠식될 수 있다. 보안 전문가의 영웅적인 노력이 없다면 이런 일은 항상 일어날 것이다!    보안 전문가가 수호자일 수 있지만 보안 전문가만 그런 건 아니다. 데브옵스 팀도 항상 안정성을 방어한다. 변호사도 법적 책임에서 (회사를) 보호한다. 제품 관리팀과 영업팀도 급여를 보호한다(오히려 진정한 영웅이 아닐까?). 영웅 역할이 되려면 다른 역할도 있어야 한다. 이를테면 어떤 사람은 ‘악역’이 돼야 하고(예: 완벽하지 않은 제품을 감히 출시하는 악덕 제품 관리자 또는 모든 구성요소를 패치하면서 기능 파이프라인을 중단하지 않는 부주의한 엔지니어링 관리자 등), 다른 사람은 선택의 여지없이 ‘희생자’가 돼야 한다(예: 링크를 클릭하는 불행한 사용자 또는 리스크 관련 의사결정을 제대로 내리지 못하는 경영진 등).  그리곤 자신이 악역 또는 희생자보다 훨씬 더 많이 알고 있다고 생각하기 때문에 모두를 무시하기 시작한다. 전혀 사실이 아니다. 정보보안 전문가는 고도로 전문화된 지식을 가지고 있긴 하지만 대부분은 여전히 회사가 어떻게 돈을 버는지는 이해하지 못한다. 마지막으로 담당했던 프로젝트를 떠올려보자. 갑자기 기득권도 없고, 이해관계도 없는 누군가가 이상한 조언을 했다고 해보자. 이론적으로 또는 적어도 다른 상황에서는 해당 조언이 효과적일지 몰라도 현 프로젝트에서는 아니었다. 이것이 바로 비즈니스 파트너가 종종 정보보안 전문가를 바라보는 관점이다. 즉, 자신의 조언이 얼마나 유용하지 않은지 판단할 실질적인 경험이 없는 오만한 전문가다.  조력자가 돼라  자신을 영웅으로 생각하는 대신 조력자로 생각할 때다(원...

정보보안 사이버 보안 제품 보안 IT 보안 랜섬웨어

2022.07.05

많은 보안 전문가 사이에는 자신이 소속 기업의 ‘수호자’라는 점에서 특별하다는 믿음이 있다. 만약 그렇지 않다면 회사는 끔찍한 방식으로 붕괴되고 불타버릴 것이라고 생각한다. 또 침해가 만연하고 데이터가 곳곳에서 도난당할 것이라고 생각한다. 클라우드 환경은 적으로 가득 차 있다. 엔터프라이즈 시스템은 랜섬웨어에 잠식될 수 있다. 보안 전문가의 영웅적인 노력이 없다면 이런 일은 항상 일어날 것이다!    보안 전문가가 수호자일 수 있지만 보안 전문가만 그런 건 아니다. 데브옵스 팀도 항상 안정성을 방어한다. 변호사도 법적 책임에서 (회사를) 보호한다. 제품 관리팀과 영업팀도 급여를 보호한다(오히려 진정한 영웅이 아닐까?). 영웅 역할이 되려면 다른 역할도 있어야 한다. 이를테면 어떤 사람은 ‘악역’이 돼야 하고(예: 완벽하지 않은 제품을 감히 출시하는 악덕 제품 관리자 또는 모든 구성요소를 패치하면서 기능 파이프라인을 중단하지 않는 부주의한 엔지니어링 관리자 등), 다른 사람은 선택의 여지없이 ‘희생자’가 돼야 한다(예: 링크를 클릭하는 불행한 사용자 또는 리스크 관련 의사결정을 제대로 내리지 못하는 경영진 등).  그리곤 자신이 악역 또는 희생자보다 훨씬 더 많이 알고 있다고 생각하기 때문에 모두를 무시하기 시작한다. 전혀 사실이 아니다. 정보보안 전문가는 고도로 전문화된 지식을 가지고 있긴 하지만 대부분은 여전히 회사가 어떻게 돈을 버는지는 이해하지 못한다. 마지막으로 담당했던 프로젝트를 떠올려보자. 갑자기 기득권도 없고, 이해관계도 없는 누군가가 이상한 조언을 했다고 해보자. 이론적으로 또는 적어도 다른 상황에서는 해당 조언이 효과적일지 몰라도 현 프로젝트에서는 아니었다. 이것이 바로 비즈니스 파트너가 종종 정보보안 전문가를 바라보는 관점이다. 즉, 자신의 조언이 얼마나 유용하지 않은지 판단할 실질적인 경험이 없는 오만한 전문가다.  조력자가 돼라  자신을 영웅으로 생각하는 대신 조력자로 생각할 때다(원...

2022.07.05

칼럼 | 기업 미래 좌우할 5가지 보안 과제

오늘날 모두가 사이버 보안의 책임을 져야 한다. 보안 문제에 다 같이 협력하면 위험을 크게 줄일 수 있다.   정보 보안은 과거에 새로운 고려 사항으로 시작했지만 현재는 비즈니스의 핵심 영역이다. 나아가 미래에는 산업을 규정하는 기준이 될 기준이 될 터다. 이렇게 중요해진 보안을 확보하려면 물론 산업 전체가 공동으로 노력해야 함은 물론 개개인도 행동에 나서야 한다.   보안의 경제성은 명백하다. "사이버 보안을 확보하지 않고는 재정적 안정성을 담보할 수 없다"라고 미연방은행의 총재이자 CEO인 로레타 메스터가 말했다. 실제로 열악한 사이버 보안 인식은 수많은 문제를 야기했다. 주가와 브랜드 평판의 하락과 시장 점유율 및 매출의 감소로 이어졌다. 심지어 기업이 벌금을 물게 하고, 예기지 않은 법률 비용을 쓰게 하며, 양질의 직원을 고용하는 데 애를 먹게 만들기도 했다. 따라서 미래를 준비하려면 정보 보안을 완벽하게 갖춰야 한다.  미래의 정보 보안에 대비하는 방법을 정리하자면 다음과 같다.  1.    직원 개개인의 사이버 보안 책임과 역할을 인식시키기   2.    정보 과학에 대한 직원의 잘못된 통념을 바로잡기   3.    바람직한 사이버 보안 습관 실천하기  4.    소프트웨어 공급망 주시하기  5.    운영 기술의 기반을 이루는 소프트웨어 컴포넌트의 보안 강화하기  이제 강 건너 불구경은 그만  지금까지의 디지털 시대에서 사이버 보안은 그닥 인기 없는 스포츠 종목과 비슷했다. 직원, 고객, 경영진과 이사회는 정보 감시자들(보안 전문가)이 어둠 속에서 악당들과 싸우는 것을 먼발치 관중석에서 구경하기만 했다.  하지만 이제 정보 보안과 인간과의 거리가 더 가까워저야 한다. 기기를 사용하는 모든 사람은 사이버 보안...

사이버보안 정보보안 보안과학

2022.06.13

오늘날 모두가 사이버 보안의 책임을 져야 한다. 보안 문제에 다 같이 협력하면 위험을 크게 줄일 수 있다.   정보 보안은 과거에 새로운 고려 사항으로 시작했지만 현재는 비즈니스의 핵심 영역이다. 나아가 미래에는 산업을 규정하는 기준이 될 기준이 될 터다. 이렇게 중요해진 보안을 확보하려면 물론 산업 전체가 공동으로 노력해야 함은 물론 개개인도 행동에 나서야 한다.   보안의 경제성은 명백하다. "사이버 보안을 확보하지 않고는 재정적 안정성을 담보할 수 없다"라고 미연방은행의 총재이자 CEO인 로레타 메스터가 말했다. 실제로 열악한 사이버 보안 인식은 수많은 문제를 야기했다. 주가와 브랜드 평판의 하락과 시장 점유율 및 매출의 감소로 이어졌다. 심지어 기업이 벌금을 물게 하고, 예기지 않은 법률 비용을 쓰게 하며, 양질의 직원을 고용하는 데 애를 먹게 만들기도 했다. 따라서 미래를 준비하려면 정보 보안을 완벽하게 갖춰야 한다.  미래의 정보 보안에 대비하는 방법을 정리하자면 다음과 같다.  1.    직원 개개인의 사이버 보안 책임과 역할을 인식시키기   2.    정보 과학에 대한 직원의 잘못된 통념을 바로잡기   3.    바람직한 사이버 보안 습관 실천하기  4.    소프트웨어 공급망 주시하기  5.    운영 기술의 기반을 이루는 소프트웨어 컴포넌트의 보안 강화하기  이제 강 건너 불구경은 그만  지금까지의 디지털 시대에서 사이버 보안은 그닥 인기 없는 스포츠 종목과 비슷했다. 직원, 고객, 경영진과 이사회는 정보 감시자들(보안 전문가)이 어둠 속에서 악당들과 싸우는 것을 먼발치 관중석에서 구경하기만 했다.  하지만 이제 정보 보안과 인간과의 거리가 더 가까워저야 한다. 기기를 사용하는 모든 사람은 사이버 보안...

2022.06.13

칼럼 | 애플, 메타도 정부기관 사칭에 속았다… CISO가 배울 점은?

사이버 범죄자들이 사법 당국으로 위장하여 보낸 허위 요청으로 대기업의 민감한 고객 데이터를 탈취했다. 이 사건을 교훈 삼아 CISO는 정부 기관의 데이터 요청을 승인하는 절차를 재검토해야 한다.    사법 당국임을 사칭한 해커들의 긴급 정보 공유 요청에 애플과 메타(페이스북 모회사)가 속아 넘어가 고객 데이터를 넘겨줬다고 최근 블룸버그가 보도했다. 소셜 엔지니어링 수법에 당한 것이다. 고객 데이터를 수집하는 기업이라면 정부 기관의 데이터 공유 요청을 받을 수 있다. 영장, 소환장 혹은 국가 안보 서신의 형태일 것이다. 기업들은 이러한 정부 요청을 처리하는 업무 프로세스가 존재하는지 확인할 필요가 있다. 특히, 대기업은 매일 수많은 정보 공유 요청을 받기 때문에 이를 모두 상세하게 검토하기 어려울 것이다. 따라서 해커들의 위장 정보 요청에 더 취약했을 수 있다. 메타와 애플은 정부 기관이 기업에 정보를 요청할 때 따라야 하는 가이드라인을 제공한다. 하지만 이 과정은 온라인 폼이나 이메일로만 이뤄져, 관계자들이 직접 만나서 소통할 기회가 없다. 이 두 기업이 정부 기관의 정보 요청을 처리하는 방식을 살펴본다.   메타/페이스북의 긴급 정보 요청 프로세스  메타/페이스북 정보 요청 가이드라인은 다양한 시나리오를 다룬다. 미국법 및 국제법, 계정 진위 및 정보 보존, 아동 안전, 데이터 보존 및 포맷, 사용자 동의 및 개인 통보, 그리고 긴급 요청 등을 포함한다. 메타가 속아 넘어간 ‘긴급 요청’ 가이드라인에는 데이터 이용 규칙 및 부당한 요청의 기소 가능성에 대한 경고문이 기재돼 있다. 다음은 온라인 요청서의 원문이다.   당사는 서비스 약관 및 해당 법률에 따라 계정 기록을 공개합니다.  심각한 신체적 상해 또는 사망의 위험이 있는 긴급 공식 상황을 조사하는 경우에만 증거를 수집할 권한이 있는 법 집행 기관 또는 긴급 구조원이 이 시스템을 통해 페...

정보보안 정보 공개 정부기관 애플 페이스북 정보 요청

2022.04.13

사이버 범죄자들이 사법 당국으로 위장하여 보낸 허위 요청으로 대기업의 민감한 고객 데이터를 탈취했다. 이 사건을 교훈 삼아 CISO는 정부 기관의 데이터 요청을 승인하는 절차를 재검토해야 한다.    사법 당국임을 사칭한 해커들의 긴급 정보 공유 요청에 애플과 메타(페이스북 모회사)가 속아 넘어가 고객 데이터를 넘겨줬다고 최근 블룸버그가 보도했다. 소셜 엔지니어링 수법에 당한 것이다. 고객 데이터를 수집하는 기업이라면 정부 기관의 데이터 공유 요청을 받을 수 있다. 영장, 소환장 혹은 국가 안보 서신의 형태일 것이다. 기업들은 이러한 정부 요청을 처리하는 업무 프로세스가 존재하는지 확인할 필요가 있다. 특히, 대기업은 매일 수많은 정보 공유 요청을 받기 때문에 이를 모두 상세하게 검토하기 어려울 것이다. 따라서 해커들의 위장 정보 요청에 더 취약했을 수 있다. 메타와 애플은 정부 기관이 기업에 정보를 요청할 때 따라야 하는 가이드라인을 제공한다. 하지만 이 과정은 온라인 폼이나 이메일로만 이뤄져, 관계자들이 직접 만나서 소통할 기회가 없다. 이 두 기업이 정부 기관의 정보 요청을 처리하는 방식을 살펴본다.   메타/페이스북의 긴급 정보 요청 프로세스  메타/페이스북 정보 요청 가이드라인은 다양한 시나리오를 다룬다. 미국법 및 국제법, 계정 진위 및 정보 보존, 아동 안전, 데이터 보존 및 포맷, 사용자 동의 및 개인 통보, 그리고 긴급 요청 등을 포함한다. 메타가 속아 넘어간 ‘긴급 요청’ 가이드라인에는 데이터 이용 규칙 및 부당한 요청의 기소 가능성에 대한 경고문이 기재돼 있다. 다음은 온라인 요청서의 원문이다.   당사는 서비스 약관 및 해당 법률에 따라 계정 기록을 공개합니다.  심각한 신체적 상해 또는 사망의 위험이 있는 긴급 공식 상황을 조사하는 경우에만 증거를 수집할 권한이 있는 법 집행 기관 또는 긴급 구조원이 이 시스템을 통해 페...

2022.04.13

"정보보안 일자리, 언제나 전망 밝다" 2021 사이버보안 채용 현황

정보 보안 일자리는 언제나 전망이 밝았다고 말하는 것도 지나치지 않다. 게다가 미국의 경우, 기업들이 코로나19의 제약으로부터 풀려나고 직장의 ‘뉴노멀(normal)’에 마주치면서 구직자에게는 더할 나위 없이 좋은 시절이 도래했다. 다시 말해 높은 구인 수요, 증가하는 급여, 그리고 어디서나 일할 수 있는 기회가 생겨났다.    '어떤 일자리의 수요가 가장 높은지', '구직 기회가 가장 많은 곳은 어디인지'라는 질문에 관한 대답은 둘 다 매우 광범위하다고 컨설트넷(ConsultNet)의 사이버보안 구인 전략가 테럴 TJ 잭슨은 진단했다.  여전히 코로나19 팬데믹의 여파가 정보 보안 취업 시장의 주된 원동력이라는 사실은 부정할 수 없다.  텍사스주 오스틴에 소재한 IT 전문가 네트워크인 스파이스웍스(Spiceworks)의 기술 인사이트 책임자인 피터 차이는 “원격 근무로의 이동은 팬데믹 이전과 비교할 때 인력 수 면에서 2배가 증가했다”면서, “보안 전문가 등 IT 전문가 대다수가 원격 근무로 인해 기기 및 데이터를 보안하는 일이 더 어렵다고 말했다. 본인의 기기를 이용해 가정 네트워크로 연결된 사람의 문제는 말할 것도 없다. 따라서 이들 기기를 보안하는 일만으로도 보안 전문가의 일이 훨씬 더 많아졌다. 이제 공격 표면이 훨씬 더 넓어졌다”라고 설명했다.   차이는 “또한 랜섬웨어는 여러 해 동안 뉴스 첫머리를 장식했지만 공격은 더 증가하고 있다. 요구하는 몸값은 커지고 있고, 표적은 더 중요해지고 있다. 따라서 이는 아마도 보안 전문가의 필요에 대한 최고의 촉매제 역할을 한다”라고 분석했다.  수요가 가장 높은 보안 직무 및 스킬  위협 지형이 극적으로 넓어짐에 따라 정보 보안 분야에서 가장 수요가 높은 일자리가 (구인 게시물 기준으로) 여전히 보안 분석가 직무임은 새삼스러울 게 없다. 그 다음은 취약점 분석가 또는 침투 테스터가 근접하게 뒤를 잇는다. 구직자 분석업체인 버닝 글래스 테...

보안 사이버보안 정보보안 일자리 구인

2021.07.29

정보 보안 일자리는 언제나 전망이 밝았다고 말하는 것도 지나치지 않다. 게다가 미국의 경우, 기업들이 코로나19의 제약으로부터 풀려나고 직장의 ‘뉴노멀(normal)’에 마주치면서 구직자에게는 더할 나위 없이 좋은 시절이 도래했다. 다시 말해 높은 구인 수요, 증가하는 급여, 그리고 어디서나 일할 수 있는 기회가 생겨났다.    '어떤 일자리의 수요가 가장 높은지', '구직 기회가 가장 많은 곳은 어디인지'라는 질문에 관한 대답은 둘 다 매우 광범위하다고 컨설트넷(ConsultNet)의 사이버보안 구인 전략가 테럴 TJ 잭슨은 진단했다.  여전히 코로나19 팬데믹의 여파가 정보 보안 취업 시장의 주된 원동력이라는 사실은 부정할 수 없다.  텍사스주 오스틴에 소재한 IT 전문가 네트워크인 스파이스웍스(Spiceworks)의 기술 인사이트 책임자인 피터 차이는 “원격 근무로의 이동은 팬데믹 이전과 비교할 때 인력 수 면에서 2배가 증가했다”면서, “보안 전문가 등 IT 전문가 대다수가 원격 근무로 인해 기기 및 데이터를 보안하는 일이 더 어렵다고 말했다. 본인의 기기를 이용해 가정 네트워크로 연결된 사람의 문제는 말할 것도 없다. 따라서 이들 기기를 보안하는 일만으로도 보안 전문가의 일이 훨씬 더 많아졌다. 이제 공격 표면이 훨씬 더 넓어졌다”라고 설명했다.   차이는 “또한 랜섬웨어는 여러 해 동안 뉴스 첫머리를 장식했지만 공격은 더 증가하고 있다. 요구하는 몸값은 커지고 있고, 표적은 더 중요해지고 있다. 따라서 이는 아마도 보안 전문가의 필요에 대한 최고의 촉매제 역할을 한다”라고 분석했다.  수요가 가장 높은 보안 직무 및 스킬  위협 지형이 극적으로 넓어짐에 따라 정보 보안 분야에서 가장 수요가 높은 일자리가 (구인 게시물 기준으로) 여전히 보안 분석가 직무임은 새삼스러울 게 없다. 그 다음은 취약점 분석가 또는 침투 테스터가 근접하게 뒤를 잇는다. 구직자 분석업체인 버닝 글래스 테...

2021.07.29

강은성의 보안 아키텍트ㅣ새삼스럽게 돌아보는 정보보안의 목적

“정보보안(Information Security)의 목적(Why, Purpose)은 무엇인가?”  새삼스럽게 혼자 묻고 혼자 답해 보면, 한 마디로 (비즈니스) 정보를 보호하는 것이다*. 그러기 위해 정보의 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)을 확보·보호해야 한다는 세 가지 원칙(목표)을 갖고 있다. 정보보안을 처음 대하는 분들도 줄줄이 꿰고 있는 내용이다. 기밀성, 무결성, 가용성에 인증(Authentication)과 부인방지(Non-repudiation)를 종합하면 웬만한 보안업무는 기술적으로 설명할 수 있다.    *(Security를 ‘보안’이라고 번역하면서 Information Security를 굳이 ‘정보보호’라고 번역하여 보안 분야에서 일하는 사람들의 용어 혼란을 일으켜 왔다. 정보보호를 영어로 번역하면 Information Protection이다. 마찬가지로 개인정보 보호의 영어 표현은 Personal Information Protection이다. 그래서 이미 정보보호라는 용어가 많이 사용됨에도 ‘정보보호’와 ‘정보보안’의 차이를 설명하려는 시도도 있다. Information security는 정보보안이라고 하면서 이미 굳어진 정보보호도 같은 의미로 받아들이면 될 것 같다.) 2007년 RSA 컨퍼런스에서 빌 게이츠가 보안이 '비즈니스를 가능하게 하는 요인’(Business Enabler)'이 될 수 있다고 말한 적이 있다. 당시 보안기업에 근무하면서 가끔 외부에 보안에 관해 강의와 기고를 할 때라 보안의 필요성과 중요성을 어떻게 설명할지 고민을 많이 했는데, 보안을 기술적 관점이 아닌 사업적 관점에서 바라본 이 말이 신선해서 인용하기도 했다. 정보보안 인력들이 회사에서 경영진이나 다른 부서와 소통하기 위해서는 사업적·경영적 관점에서 정보보안을 설명해야 할 상황이 생긴다. 상대방이 이해하기 어려운 기밀성, 무결성, 가용성을 꺼내기 어렵고, ‘B...

강은성 보안 아키텍트 보안 정보보안 기밀성 무결성 가용성 빌 게이츠 위험 관리 정보보호

2021.03.12

“정보보안(Information Security)의 목적(Why, Purpose)은 무엇인가?”  새삼스럽게 혼자 묻고 혼자 답해 보면, 한 마디로 (비즈니스) 정보를 보호하는 것이다*. 그러기 위해 정보의 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)을 확보·보호해야 한다는 세 가지 원칙(목표)을 갖고 있다. 정보보안을 처음 대하는 분들도 줄줄이 꿰고 있는 내용이다. 기밀성, 무결성, 가용성에 인증(Authentication)과 부인방지(Non-repudiation)를 종합하면 웬만한 보안업무는 기술적으로 설명할 수 있다.    *(Security를 ‘보안’이라고 번역하면서 Information Security를 굳이 ‘정보보호’라고 번역하여 보안 분야에서 일하는 사람들의 용어 혼란을 일으켜 왔다. 정보보호를 영어로 번역하면 Information Protection이다. 마찬가지로 개인정보 보호의 영어 표현은 Personal Information Protection이다. 그래서 이미 정보보호라는 용어가 많이 사용됨에도 ‘정보보호’와 ‘정보보안’의 차이를 설명하려는 시도도 있다. Information security는 정보보안이라고 하면서 이미 굳어진 정보보호도 같은 의미로 받아들이면 될 것 같다.) 2007년 RSA 컨퍼런스에서 빌 게이츠가 보안이 '비즈니스를 가능하게 하는 요인’(Business Enabler)'이 될 수 있다고 말한 적이 있다. 당시 보안기업에 근무하면서 가끔 외부에 보안에 관해 강의와 기고를 할 때라 보안의 필요성과 중요성을 어떻게 설명할지 고민을 많이 했는데, 보안을 기술적 관점이 아닌 사업적 관점에서 바라본 이 말이 신선해서 인용하기도 했다. 정보보안 인력들이 회사에서 경영진이나 다른 부서와 소통하기 위해서는 사업적·경영적 관점에서 정보보안을 설명해야 할 상황이 생긴다. 상대방이 이해하기 어려운 기밀성, 무결성, 가용성을 꺼내기 어렵고, ‘B...

2021.03.12

AWS 데이터 익스체인지, ISO 인증 4종 획득 

AWS의 서비스 중 하나인 AWS 데이터 익스체인지(AWS Data Exchange)가 ISO 9001, ISO 27001, ISO 27017 및 ISO 27018 인증을 취득했다고 AWS가 밝혔다. AWS 데이터 익스체인지는 타사 데이터 세트를 검색, 구독, 사용할 수 있도록 지원하는 클라우드 서비스다.   AWS는 평소에도 자사 서비스를 철저하게 감사해 이러한 인증들에 부응하는 것은 물론 정보 보안을 확보할 수 있도록 관리하고 있다고 전했다.    AWS 데이터 익스체인지는 서울, 시드니, 싱가포르, 도쿄를 포함해 해당 서비스가 제공되는 모든 리전에서 ISO 규정을 준수한다.  "국제 표준을 획득하고 관련 법령과 규정을 준수하는 것은 정보 보안에 대한 우리의 노력을 증명하며, AWS 보안 프로그램이 업계 최고 수준의 모범 사례에 부합한다는 증거이기도 하다"라고 AWS는 말했다. 이번 발표는 AWS가 최근 시큐리티 에센셜 (Security Essentials) 과정을 신설한 데 이어 나왔다. 시큐리티 에센셜은 AWS 클라우드에서의 안전한 데이터 처리를 지원하는 교육 과정이다. 기초 수준의 해당 과정은 IT 리더, 현업 부분 전문가, AWS 솔루션 사용자 및 AWS 클라우드의 데이터 보안에 대해 자세히 알고자 하는 사용자를 대상으로 한다. AWS 전문가가 해당 과정을 구성했으며, AWS 소속 정식 강사가 교육한다. 한편 AWS는 4월 2일 호주 및 뉴질랜드의 독립 소프트웨어 공급업체(ISV, Independent Software Vendor)가 전 세계 26만 명의 엔드유저를 확보한 AWS 마켓플레이스를 이용할 수 있도록 개방했다. 다른 리전에 등록되지 않은 호주와 뉴질랜드의 ISV 및 컨설팅 파트너가 AWS 마켓 플레이스와 AWS 데이터 익스체인지에 접근할 수 있게 된 것은 이번이 처음이다. ciokr@idg.co.kr

AWS 정보보안 아마존웹서비스 AWS데이터익스체인지 ISO인증 시큐리티에센셜

2020.04.13

AWS의 서비스 중 하나인 AWS 데이터 익스체인지(AWS Data Exchange)가 ISO 9001, ISO 27001, ISO 27017 및 ISO 27018 인증을 취득했다고 AWS가 밝혔다. AWS 데이터 익스체인지는 타사 데이터 세트를 검색, 구독, 사용할 수 있도록 지원하는 클라우드 서비스다.   AWS는 평소에도 자사 서비스를 철저하게 감사해 이러한 인증들에 부응하는 것은 물론 정보 보안을 확보할 수 있도록 관리하고 있다고 전했다.    AWS 데이터 익스체인지는 서울, 시드니, 싱가포르, 도쿄를 포함해 해당 서비스가 제공되는 모든 리전에서 ISO 규정을 준수한다.  "국제 표준을 획득하고 관련 법령과 규정을 준수하는 것은 정보 보안에 대한 우리의 노력을 증명하며, AWS 보안 프로그램이 업계 최고 수준의 모범 사례에 부합한다는 증거이기도 하다"라고 AWS는 말했다. 이번 발표는 AWS가 최근 시큐리티 에센셜 (Security Essentials) 과정을 신설한 데 이어 나왔다. 시큐리티 에센셜은 AWS 클라우드에서의 안전한 데이터 처리를 지원하는 교육 과정이다. 기초 수준의 해당 과정은 IT 리더, 현업 부분 전문가, AWS 솔루션 사용자 및 AWS 클라우드의 데이터 보안에 대해 자세히 알고자 하는 사용자를 대상으로 한다. AWS 전문가가 해당 과정을 구성했으며, AWS 소속 정식 강사가 교육한다. 한편 AWS는 4월 2일 호주 및 뉴질랜드의 독립 소프트웨어 공급업체(ISV, Independent Software Vendor)가 전 세계 26만 명의 엔드유저를 확보한 AWS 마켓플레이스를 이용할 수 있도록 개방했다. 다른 리전에 등록되지 않은 호주와 뉴질랜드의 ISV 및 컨설팅 파트너가 AWS 마켓 플레이스와 AWS 데이터 익스체인지에 접근할 수 있게 된 것은 이번이 처음이다. ciokr@idg.co.kr

2020.04.13

기고ㅣ20년 경력 IT 헤드헌터로서 말하는 '탁월한 CIO 구분법'

20년 간 IT 임원과 기업을 연결해 온 헤드헌터로서, 모든 기업들이 원하는 CIO의 역량은 다음과 같음을 발견했다.  나이가 공개될 위험이 있긴 하지만, 필자는 20년 이상 CIO들에게 경력 관련 컨설팅 업무를 해왔으며, IT 임원과 기업을 연결해왔다. 또한 10년 동안 CIO 닷컴과 CIO 매거진에 기고를 해왔다.  그 과정에서 많은 CIO를 만났다. 어림잡아도 수천 명은 만났을 것이다. 이를 통해 기능적 CIO와 전략적 CIO, 프로젝트 관리자와 팀 리더, 고립되는 사람과 탁월한 협업자를 구분하는 안목을 키웠다.   또한 IT 임원 전문 헤드헌팅 회사인 헬러 서치(Heller Search)의 CEO로서 원하는 내용을 이끌어내는 적절한 질문이 무엇인지, 그리고 자사의 기업 고객에게 어떤 CIO를 추천하는 것이 적합한지도 배웠다.  이밖에 CIO를 찾는 과정에서 특정 역량(ex_사모주식펀드 기업에서 근무한 경력 혹은 공급망 관리를 최적화했던 성과 등)을 파악하기도 했지만, 일련의 일반적인 역량들도 확인해 왔다.  CIO를 영입할 때 모든 기업이 원하는 역량은 무엇일까? 숙련된 CIO 채용 담당자는 이런 자질을 어떻게 평가할까? 이 질문에 대한 답을 알아보자. 1. 트랜스포메이션 "본인이 주도했던 트랜스포메이션 경험에 대해 말해달라"라고 질문했을 때 후보자가 성공적인 CRM 도입을 이야기한다면, 필자는 "그것은 트랜스포메이션이 아니라 기술 도입이다"라고 답한다. 디지털 기술이 고객의 행동을 바꿔내고 있는 것뿐만 아니라 여러 비즈니스를 빠르게 와해시키고 있다는 점을 고려하자. 일개 기업이 가지는 문화, 프로세스, 행동적 대응 속도를 넘어서는 빠르기로서다. 오늘날의 기업들은 변화하지 않으면 사라질 것이다.  물론 기술 도입도 중요하다(이는 나중에 설명하겠다). 하지만 기업에서 원하는 트랜스포메이션은 IT 환경과 기업 문화에 대한 전략적인 변화이다. 이를테면 레거시 사일로를 탈피해 이를 아우르는 ...

협업 전략적 CIO 비즈니스감각 기능적 CIO 사일로 투명성 벤더관리 트랜스포메이션 정보보안 고용 이직 임원 커뮤니케이션 채용 CIO 데이터 경력 전략적사고

2020.02.27

20년 간 IT 임원과 기업을 연결해 온 헤드헌터로서, 모든 기업들이 원하는 CIO의 역량은 다음과 같음을 발견했다.  나이가 공개될 위험이 있긴 하지만, 필자는 20년 이상 CIO들에게 경력 관련 컨설팅 업무를 해왔으며, IT 임원과 기업을 연결해왔다. 또한 10년 동안 CIO 닷컴과 CIO 매거진에 기고를 해왔다.  그 과정에서 많은 CIO를 만났다. 어림잡아도 수천 명은 만났을 것이다. 이를 통해 기능적 CIO와 전략적 CIO, 프로젝트 관리자와 팀 리더, 고립되는 사람과 탁월한 협업자를 구분하는 안목을 키웠다.   또한 IT 임원 전문 헤드헌팅 회사인 헬러 서치(Heller Search)의 CEO로서 원하는 내용을 이끌어내는 적절한 질문이 무엇인지, 그리고 자사의 기업 고객에게 어떤 CIO를 추천하는 것이 적합한지도 배웠다.  이밖에 CIO를 찾는 과정에서 특정 역량(ex_사모주식펀드 기업에서 근무한 경력 혹은 공급망 관리를 최적화했던 성과 등)을 파악하기도 했지만, 일련의 일반적인 역량들도 확인해 왔다.  CIO를 영입할 때 모든 기업이 원하는 역량은 무엇일까? 숙련된 CIO 채용 담당자는 이런 자질을 어떻게 평가할까? 이 질문에 대한 답을 알아보자. 1. 트랜스포메이션 "본인이 주도했던 트랜스포메이션 경험에 대해 말해달라"라고 질문했을 때 후보자가 성공적인 CRM 도입을 이야기한다면, 필자는 "그것은 트랜스포메이션이 아니라 기술 도입이다"라고 답한다. 디지털 기술이 고객의 행동을 바꿔내고 있는 것뿐만 아니라 여러 비즈니스를 빠르게 와해시키고 있다는 점을 고려하자. 일개 기업이 가지는 문화, 프로세스, 행동적 대응 속도를 넘어서는 빠르기로서다. 오늘날의 기업들은 변화하지 않으면 사라질 것이다.  물론 기술 도입도 중요하다(이는 나중에 설명하겠다). 하지만 기업에서 원하는 트랜스포메이션은 IT 환경과 기업 문화에 대한 전략적인 변화이다. 이를테면 레거시 사일로를 탈피해 이를 아우르는 ...

2020.02.27

그들은 만나야 한다··· ‘IT 전략’에 ‘IT 보안’을 제대로 통합하는 방법

정보 보안이 IT의 필수적인 부분이 되어가면서 조직 또한 융합되는 현상이 점차 많은 기업에서 나타나고 있다.  오늘날 많은 기업들이 IT 보안 전략과 IT 전략을 더욱 긴밀하게 통합하려 시도하고 있다. 여기에는 부서를 혼합하고 리더십 구조를 바꾸며 개발 파이프라인 초기에 보안을 포함시키는 등의 행보가 포함된다. 2019 CIO 현황 설문조사에 따르면 조직 중 약 2/3가 IT 보안 전략과 IT 전략이 긴밀히 통합되어 있다고 밝혔으며 IT 보안이 IT 로드맵 및 프로젝트의 핵심 구성요소로 나타났다.  나아가 앞으로 이 둘을 더욱 구분하기 어려워질 것이며 조직 중 83%는 향후 3년 이내에 IT 보안 전략을 전반적인 IT 전략에 긴밀히 통합할 것으로 예상된다. 보안 컨설팅 기업 모스 아담스(Moss Adams)의 수석 사이버 보안 책임자 네이썬 웬즐러는 "IT와 보안 전략이 한데 어우러질 전망이다. 과거에 본 것과는 다른 방식일 것이다"라고 말했다. 웬즐러는 이어 "흔히 정보 보안을 IT 부서의 부분 집합으로 인식하고 방화벽과 스팸 필터 등의 보안 툴을 관리하는 곳으로 바라보곤 했었다. 그러나 이제는 점차 인포섹 팀들의 참된 모습을 고려하고 있다. 그것은 위험 관리 기능이다"라고 말했다. 현재 IT와 보안 전략이 가장 긴밀하게 정렬되어 있는 분야는 ‘위험 관리 및 완화’다. 보편적인 예가 애플리케이션 보안이다. 오늘날 보안팀들은 개발자의 시험대에서 생산까지 코드를 안전하게 이동하는 방법과 그 과정에서의 적절한 시험 및 통제에 대한 관심이 훨씬 더 크다고 웬즐러가 말했다. 그에 따르면 향후 보안 전략은 인간 오류나 실수에 의해 코드가 해킹 당할 수 있거나 무결성을 상실할 수 있는 영역을 확인하는 한편, 이런 위험을 완화하거나 없애기 위해 할 일에 대한 권고사항을 제공하는 것에 초점 맞춰질 것으로 예상된다. 웬즐러는 "그러면 IT팀이 개입하여 기존 인프라에 어떤 툴이 가장 적합한지 확인하고 기존의 개발 툴 및 프로세스와 통합하며 적절한 ...

정보보안 IT 전략 보안 통합 표준 보안 프레임워크

2019.07.12

정보 보안이 IT의 필수적인 부분이 되어가면서 조직 또한 융합되는 현상이 점차 많은 기업에서 나타나고 있다.  오늘날 많은 기업들이 IT 보안 전략과 IT 전략을 더욱 긴밀하게 통합하려 시도하고 있다. 여기에는 부서를 혼합하고 리더십 구조를 바꾸며 개발 파이프라인 초기에 보안을 포함시키는 등의 행보가 포함된다. 2019 CIO 현황 설문조사에 따르면 조직 중 약 2/3가 IT 보안 전략과 IT 전략이 긴밀히 통합되어 있다고 밝혔으며 IT 보안이 IT 로드맵 및 프로젝트의 핵심 구성요소로 나타났다.  나아가 앞으로 이 둘을 더욱 구분하기 어려워질 것이며 조직 중 83%는 향후 3년 이내에 IT 보안 전략을 전반적인 IT 전략에 긴밀히 통합할 것으로 예상된다. 보안 컨설팅 기업 모스 아담스(Moss Adams)의 수석 사이버 보안 책임자 네이썬 웬즐러는 "IT와 보안 전략이 한데 어우러질 전망이다. 과거에 본 것과는 다른 방식일 것이다"라고 말했다. 웬즐러는 이어 "흔히 정보 보안을 IT 부서의 부분 집합으로 인식하고 방화벽과 스팸 필터 등의 보안 툴을 관리하는 곳으로 바라보곤 했었다. 그러나 이제는 점차 인포섹 팀들의 참된 모습을 고려하고 있다. 그것은 위험 관리 기능이다"라고 말했다. 현재 IT와 보안 전략이 가장 긴밀하게 정렬되어 있는 분야는 ‘위험 관리 및 완화’다. 보편적인 예가 애플리케이션 보안이다. 오늘날 보안팀들은 개발자의 시험대에서 생산까지 코드를 안전하게 이동하는 방법과 그 과정에서의 적절한 시험 및 통제에 대한 관심이 훨씬 더 크다고 웬즐러가 말했다. 그에 따르면 향후 보안 전략은 인간 오류나 실수에 의해 코드가 해킹 당할 수 있거나 무결성을 상실할 수 있는 영역을 확인하는 한편, 이런 위험을 완화하거나 없애기 위해 할 일에 대한 권고사항을 제공하는 것에 초점 맞춰질 것으로 예상된다. 웬즐러는 "그러면 IT팀이 개입하여 기존 인프라에 어떤 툴이 가장 적합한지 확인하고 기존의 개발 툴 및 프로세스와 통합하며 적절한 ...

2019.07.12

"2018년에도 IT기업의 IPO 열풍은 계속" 451 리서치

기술기업이 계속 외부 투자를 추구함에 따라 IPO(Initial Public Offering) 열풍이 시장 내에서 계속될 전망이다. 451 리서치 보고서에 따르면, 최근 10년 동안 더 많은 기술기업이 공개됐다. 451 리서치는 미디어 브리핑에서 "2018년 기업의 IPO 파티는 끝나지 않을 것"이라고 밝혔다. 또한, 거의 40개의 서로 다른 B2B 기술회사가 IPO를 위해 대기 중이다. 보고서는 "견실한 비즈니스 투자로 날개를 단 애플리케이션 및 보안업체는 출범 및 출자 IPO 목록에서 대부분을 차지한다”며 "이미 기업공개한 회사는 거의 성공을 거두었다”고 말했다. "올해 상장된 기업을 제외한 모든 창업기업은 범위 내 또는 그 이상의 가격을 책정한 후 애프터 마켓에서 높은 가격을 매기고 있다"고 보고서는 전했다.  451 리서치에 따르면 성장을 꿈꾸는 투자자들은 전체 기술 산업에 대한 기존 거래보다 새로 상장된 회사에 대한 거래가 2~4배의 수익을 올릴 수 있다고 평가했다. 특히 2018년 상반기에 두 자릿수 가치 평가를 기록한 IPO 기업으로는 Z스케일러(Zscaler), 드롭박스(Dropbox), 주오라(Zuora)가 포함된다. "IPO로 높은 수익을 가져다준 애플리케이션 소프트웨어 및 보안 업체의 중요성은 해당 분야의 견실한 비즈니스 투자 계획과 관련이 있다"고 451 리서치는 언급했다. 451 리서치에 따르면 투자자의 17%는 정보보안(infosec) 제품에 대한 투자를 늘릴 계획이며 12%는 엔터프라이즈 애플리케이션에 더 많이 투자하리라 예측했다. "이러한 동향은 IPO를 기다리는 신생기업에 나타나고 있다"며 451 리서치 연구 결과는 전했다. 2018년 현재까지 데뷔한 소프트웨어 및 보안 업체들은 대체로 매출이 매년 30~60% 증가하고 있다. 결과적으로, 451...

드롭박스 CrowdStrike Anaplan 애너플랜 터보노믹 451 리서치 크라우드스트라이크 성장률 기업공개 정보보안 투자 IPO Turbonomic

2018.09.13

기술기업이 계속 외부 투자를 추구함에 따라 IPO(Initial Public Offering) 열풍이 시장 내에서 계속될 전망이다. 451 리서치 보고서에 따르면, 최근 10년 동안 더 많은 기술기업이 공개됐다. 451 리서치는 미디어 브리핑에서 "2018년 기업의 IPO 파티는 끝나지 않을 것"이라고 밝혔다. 또한, 거의 40개의 서로 다른 B2B 기술회사가 IPO를 위해 대기 중이다. 보고서는 "견실한 비즈니스 투자로 날개를 단 애플리케이션 및 보안업체는 출범 및 출자 IPO 목록에서 대부분을 차지한다”며 "이미 기업공개한 회사는 거의 성공을 거두었다”고 말했다. "올해 상장된 기업을 제외한 모든 창업기업은 범위 내 또는 그 이상의 가격을 책정한 후 애프터 마켓에서 높은 가격을 매기고 있다"고 보고서는 전했다.  451 리서치에 따르면 성장을 꿈꾸는 투자자들은 전체 기술 산업에 대한 기존 거래보다 새로 상장된 회사에 대한 거래가 2~4배의 수익을 올릴 수 있다고 평가했다. 특히 2018년 상반기에 두 자릿수 가치 평가를 기록한 IPO 기업으로는 Z스케일러(Zscaler), 드롭박스(Dropbox), 주오라(Zuora)가 포함된다. "IPO로 높은 수익을 가져다준 애플리케이션 소프트웨어 및 보안 업체의 중요성은 해당 분야의 견실한 비즈니스 투자 계획과 관련이 있다"고 451 리서치는 언급했다. 451 리서치에 따르면 투자자의 17%는 정보보안(infosec) 제품에 대한 투자를 늘릴 계획이며 12%는 엔터프라이즈 애플리케이션에 더 많이 투자하리라 예측했다. "이러한 동향은 IPO를 기다리는 신생기업에 나타나고 있다"며 451 리서치 연구 결과는 전했다. 2018년 현재까지 데뷔한 소프트웨어 및 보안 업체들은 대체로 매출이 매년 30~60% 증가하고 있다. 결과적으로, 451...

2018.09.13

숫자로 보는 '2018년 IT보안의 현 주소'

매해 <CIO>에서는 ‘CIO 현황(State of the CIO)’ 설문조사를 한다. 올해에도 어김없이 조사 결과가 나왔다. 이러한 결과는 오늘날 비즈니스 환경에서 CIO의 역할이 어떻게 발전하고 있으며, 2018년 어젠다는 무엇인지를 알려 준다. 이 설문조사는 다양한 범주의 주제에 대한 의견을 물었는데, 이 기사에서는 그 가운데서도 보안이라는 한 가지 주제에 집중해 보려 한다. 갈수록 데이터 유출 사고에 따르는 비용은 늘어나고, 정보보안이 기업 기술 전략의 핵심이 되어 가는 세태를 반영해서다. 조사에는 큰 그림을 그리는 질문들부터 (과연 IT보안 책임자는 누구고, 이들은 누구의 밑에서 일하며 보고 하는가?) 사소하고 구체적인 질문들까지(보안 예상의 규모는 어느 정도인가?) 다양하게 포함되었다. ->2018 CIO 현황 보고서 | IT-현업의 정렬, 마침내 현실화되다 구체적인 숫자로 조사 결과를 살펴보자. 책임자는 누구인가? 회사가 어떤 사업 분야를 얼마나 중요하게 다루는가를 아는 가장 좋은 방법의 하나는 그 사업을 이끌고 책임질 자리에 얼마나 중요한 사람을 앉혀 놓았는지 보는 것이다. 최고 보안 책임자(CSO), 최고 정보보안 책임자(CISO) 등, 공식적인 직책은 워낙 여러 가지가 있어서 헷갈릴 수 있다. 이들의 직무 요강도 기업에 따라 조금씩 달라질 수 있다. 보통은 CSO가 정보보안과 함께 좀 더 물리적 보안에 대한 책임을 많이 지게 된다. 이렇기 때문에, <CIO>가 설문조사 한 기업들 간에도 조금씩 차이가 있었다. 응답 기업의 25%는 CISO가 있었고, 11%는 CSO가 있었으며, 17%는 다른 명칭의 최고 보안 관리자가 존재했다. 그리고 거의 절반에 가까운 나머지는 보안을 전문으로 책임지고 관리하는 임원이 하나도 없는 상태였다.  책임자의 책임자는 누구인가? 물론, 사내 정치를 조금이라도 경험해 본 사람은...

CIO CSO IT투자 IT예산 CISO 정보보안 사내 정치 기술 전략 GDPR

2018.05.31

매해 <CIO>에서는 ‘CIO 현황(State of the CIO)’ 설문조사를 한다. 올해에도 어김없이 조사 결과가 나왔다. 이러한 결과는 오늘날 비즈니스 환경에서 CIO의 역할이 어떻게 발전하고 있으며, 2018년 어젠다는 무엇인지를 알려 준다. 이 설문조사는 다양한 범주의 주제에 대한 의견을 물었는데, 이 기사에서는 그 가운데서도 보안이라는 한 가지 주제에 집중해 보려 한다. 갈수록 데이터 유출 사고에 따르는 비용은 늘어나고, 정보보안이 기업 기술 전략의 핵심이 되어 가는 세태를 반영해서다. 조사에는 큰 그림을 그리는 질문들부터 (과연 IT보안 책임자는 누구고, 이들은 누구의 밑에서 일하며 보고 하는가?) 사소하고 구체적인 질문들까지(보안 예상의 규모는 어느 정도인가?) 다양하게 포함되었다. ->2018 CIO 현황 보고서 | IT-현업의 정렬, 마침내 현실화되다 구체적인 숫자로 조사 결과를 살펴보자. 책임자는 누구인가? 회사가 어떤 사업 분야를 얼마나 중요하게 다루는가를 아는 가장 좋은 방법의 하나는 그 사업을 이끌고 책임질 자리에 얼마나 중요한 사람을 앉혀 놓았는지 보는 것이다. 최고 보안 책임자(CSO), 최고 정보보안 책임자(CISO) 등, 공식적인 직책은 워낙 여러 가지가 있어서 헷갈릴 수 있다. 이들의 직무 요강도 기업에 따라 조금씩 달라질 수 있다. 보통은 CSO가 정보보안과 함께 좀 더 물리적 보안에 대한 책임을 많이 지게 된다. 이렇기 때문에, <CIO>가 설문조사 한 기업들 간에도 조금씩 차이가 있었다. 응답 기업의 25%는 CISO가 있었고, 11%는 CSO가 있었으며, 17%는 다른 명칭의 최고 보안 관리자가 존재했다. 그리고 거의 절반에 가까운 나머지는 보안을 전문으로 책임지고 관리하는 임원이 하나도 없는 상태였다.  책임자의 책임자는 누구인가? 물론, 사내 정치를 조금이라도 경험해 본 사람은...

2018.05.31

2018년을 지배할 5가지 정보 보안 위협

데이터 침해 측면에서 2017년이 끔찍한 한 해였다고 생각하는가? 그렇다면 2018년에는 좀더 단단히 각오해야 할 지도 모른다. 사이버 보안과 정보 위험 관리를 주로 다루는 정보 보안 포럼(Information Security Forum, ISF)은 기업 조직이 2018년에 직면하게 될 5가지 주요 글로벌 보안 위협으로 인해 데이터 침해 횟수와 파급력이 더욱 증가할 것으로 전망했다. Credit: Getty Images Bank ISF 이사 스티브 더빈은 "정보 보안 위협은 오늘날 가장 신뢰받는 기업들의 평판을 위태롭게 할 정도로 광범위하고 빠르다"면서, "2018년에는 목표물의 약점에 맞춰 또는 현재 구현된 방어에 따라 변형되는 형태의 위협 요소로 인해 전체적인 위협 상황은 더욱 복잡해질 것이다. 요즘 위험은 과거보다 훨씬 더 크다"고 말했다. 더빈은 데이터 침해가 증가하면서 기록 유출 규모도 커지게 될 것이라고 말했다. 이로 인해 2018년 공격은 조직의 규모에 관계없이 지금보다 훨씬 더 큰 비용을 초래하게 된다. 더빈은 이런 비용 중에는 네트워크 정비, 고객 알림과 같은 전통적인 비용도 있지만 다수의 당사자가 얽힌 소송과 같은 새로운 측면의 비용도 발생할 것으로 예상했다. ISF는 화가 난 고객이 더 엄격한 데이터 보호 규제를 마련하도록 정부를 압박하면 이에 수반되는 비용도 발생하게 된다고 말했다. ISF가 예상하는 기업이 2018년에 직면하게 될 5개의 가장 큰 글로벌 보안 위협은 다음과 같다. - 범죄 서비스(Crime as a Service, CaaS) 툴과 서비스가 확산된다. - 사물인터넷(IoT)으로 인해 관리되지 않는 위험이 추가된다. - 공급망은 위험 관리에서 여전히 가장 약한 고리가 될 것이다. - 규제로 인해 중요한 자산 관리가 복잡해진다. - 이사회의 기대를 충족하지 못하는 대규모 사고가 발생하게 된다. 1. CaaS(Crime as a Service)의 확산 ...

정보보안 위협 2018년

2017.12.05

데이터 침해 측면에서 2017년이 끔찍한 한 해였다고 생각하는가? 그렇다면 2018년에는 좀더 단단히 각오해야 할 지도 모른다. 사이버 보안과 정보 위험 관리를 주로 다루는 정보 보안 포럼(Information Security Forum, ISF)은 기업 조직이 2018년에 직면하게 될 5가지 주요 글로벌 보안 위협으로 인해 데이터 침해 횟수와 파급력이 더욱 증가할 것으로 전망했다. Credit: Getty Images Bank ISF 이사 스티브 더빈은 "정보 보안 위협은 오늘날 가장 신뢰받는 기업들의 평판을 위태롭게 할 정도로 광범위하고 빠르다"면서, "2018년에는 목표물의 약점에 맞춰 또는 현재 구현된 방어에 따라 변형되는 형태의 위협 요소로 인해 전체적인 위협 상황은 더욱 복잡해질 것이다. 요즘 위험은 과거보다 훨씬 더 크다"고 말했다. 더빈은 데이터 침해가 증가하면서 기록 유출 규모도 커지게 될 것이라고 말했다. 이로 인해 2018년 공격은 조직의 규모에 관계없이 지금보다 훨씬 더 큰 비용을 초래하게 된다. 더빈은 이런 비용 중에는 네트워크 정비, 고객 알림과 같은 전통적인 비용도 있지만 다수의 당사자가 얽힌 소송과 같은 새로운 측면의 비용도 발생할 것으로 예상했다. ISF는 화가 난 고객이 더 엄격한 데이터 보호 규제를 마련하도록 정부를 압박하면 이에 수반되는 비용도 발생하게 된다고 말했다. ISF가 예상하는 기업이 2018년에 직면하게 될 5개의 가장 큰 글로벌 보안 위협은 다음과 같다. - 범죄 서비스(Crime as a Service, CaaS) 툴과 서비스가 확산된다. - 사물인터넷(IoT)으로 인해 관리되지 않는 위험이 추가된다. - 공급망은 위험 관리에서 여전히 가장 약한 고리가 될 것이다. - 규제로 인해 중요한 자산 관리가 복잡해진다. - 이사회의 기대를 충족하지 못하는 대규모 사고가 발생하게 된다. 1. CaaS(Crime as a Service)의 확산 ...

2017.12.05

보안 전문가들이 감수해야 하는 6가지 불편한 진실

사실상 전세계의 거의 모든 회사는 해커들이 악용할 소지가 있는 취약점 수천 가지를 갖고 있다. IT 분야에 종사하고 있다면 폭탄 발언이 아니란 것쯤을 알 것이다. 누구나 알고 있는, '상식'과 마찬가지의 일이다. 아무리 보안에 투자하더라도 IT의 취약점을 완전무결하게 없애기란 불가능하다. 기업은 해커들이 이런 일상적인 취약점을 악용하지 못하도록 IT 예산의 상당 부분을 컴퓨터 보안에 할당한다. 이렇게 하는 이유는 간단하다. 충분히 많은 보안 계층을 구축해 놓으면 해커들이 더 쉽게 공격할 수 있는 다른 표적을 찾기 때문이다. 컴퓨터 보안 솔루션이 광고에 나온 대로 구현되지 않는다는 것은 공공연한 비밀이다. '완벽하게 공격을 방지하는 지능형 보안 시스템' 모두가 제 기능을 못 할 운명을 타고탔다. 보안업체와 IT가 공유하는 보안에 대한 장밋빛 희망은 꿈같은 계획에 불과하다. 그냥 최선을 다하는 것이 최선이다. 다음의 6가지 불편한 진실은 오늘날 보안 솔루션이 기대에 못 미칠 수밖에 없는 이유, IT 종사자와 산업이 불완전한 보안 솔루션으로 인해 불가피하게 초래될 문제점 가운데 최소한 일부를 감수해야 하는 설명해준다. 방어 기술의 불완전한 배치 업무 환경에서 사용하고 있는 모든 장치에 보안 소프트웨어를 설치할 수 없는 상황으로, 이 때문에 완벽한 방어 체계를 갖추기란 매우 어려운 일이다. 보안 솔루션은 극히 일부의 플랫폼과 버전에서만 제 기능을 발휘한다. 그런데 소비자가 이용하는 플랫폼과 버전은 이보다 훨씬 다양하다. 구형 기기와 일부 운영 시스템을 지원하지 않는 솔루션이 있다. 반대로 가장 최근 출시된 OS와 기기를 지원하지 못하는 수도 있다. 복잡한 BYOD 환경이 구현되면서 네트워크 보안이 힘든 정도를 넘어 불가능한 상태로 변화했다. 보안 업체들이 모든 플랫폼을 지원하는 것도 아니다. 누구도, 심지어는 IT도 네트워크에 연결된 장치를 파악하지 못하고 있다는 것이 불편한 진실이다. 스마...

보안 CSO 정보보안 BYOD

2015.04.30

사실상 전세계의 거의 모든 회사는 해커들이 악용할 소지가 있는 취약점 수천 가지를 갖고 있다. IT 분야에 종사하고 있다면 폭탄 발언이 아니란 것쯤을 알 것이다. 누구나 알고 있는, '상식'과 마찬가지의 일이다. 아무리 보안에 투자하더라도 IT의 취약점을 완전무결하게 없애기란 불가능하다. 기업은 해커들이 이런 일상적인 취약점을 악용하지 못하도록 IT 예산의 상당 부분을 컴퓨터 보안에 할당한다. 이렇게 하는 이유는 간단하다. 충분히 많은 보안 계층을 구축해 놓으면 해커들이 더 쉽게 공격할 수 있는 다른 표적을 찾기 때문이다. 컴퓨터 보안 솔루션이 광고에 나온 대로 구현되지 않는다는 것은 공공연한 비밀이다. '완벽하게 공격을 방지하는 지능형 보안 시스템' 모두가 제 기능을 못 할 운명을 타고탔다. 보안업체와 IT가 공유하는 보안에 대한 장밋빛 희망은 꿈같은 계획에 불과하다. 그냥 최선을 다하는 것이 최선이다. 다음의 6가지 불편한 진실은 오늘날 보안 솔루션이 기대에 못 미칠 수밖에 없는 이유, IT 종사자와 산업이 불완전한 보안 솔루션으로 인해 불가피하게 초래될 문제점 가운데 최소한 일부를 감수해야 하는 설명해준다. 방어 기술의 불완전한 배치 업무 환경에서 사용하고 있는 모든 장치에 보안 소프트웨어를 설치할 수 없는 상황으로, 이 때문에 완벽한 방어 체계를 갖추기란 매우 어려운 일이다. 보안 솔루션은 극히 일부의 플랫폼과 버전에서만 제 기능을 발휘한다. 그런데 소비자가 이용하는 플랫폼과 버전은 이보다 훨씬 다양하다. 구형 기기와 일부 운영 시스템을 지원하지 않는 솔루션이 있다. 반대로 가장 최근 출시된 OS와 기기를 지원하지 못하는 수도 있다. 복잡한 BYOD 환경이 구현되면서 네트워크 보안이 힘든 정도를 넘어 불가능한 상태로 변화했다. 보안 업체들이 모든 플랫폼을 지원하는 것도 아니다. 누구도, 심지어는 IT도 네트워크에 연결된 장치를 파악하지 못하고 있다는 것이 불편한 진실이다. 스마...

2015.04.30

보안담당자가 주목해야 할 2015년 정보보안 트렌드 5가지

사이버범죄자들이 더욱 정교해지고 협업적으로 진화하고 있다. 2015년 이들에 대항하기 위해서는 다음 5가지 흐름을 반드시 숙지해야 한다. 정보 보안 관점에서 2014년은 다사다난한 한 해였다. 각종 사이버 위협은 물론 데이터 유출 사건으로 떠들썩했다. 2014년 달력이 마지막 쪽에 도달한 가운데 새해에도 사이버 위험의 규모, 위험성, 그리고 복합성은 계속해서 증가할 것이라고 인포메이션 시큐리티 포럼(ISF, Information Security Forum)의 매니징 디렉터 스티브 더빈는 예상했다. ISF는 회원들을 대신하여 보안과 리스크 매니지먼트 수준을 평가하는 비영리 협회다. 더빈은 ISF에서 꼽은 2015년 이슈가 될 보안 트렌드가 5가지가 있다며, “사실 이들 중에 전혀 예상치 못한 새로운 트렌드는 없다. 오히려 보안 위협의 정교함이나 복합성이 늘었다는 게 새로운 측면일 것이다”라고 말했다. 1. 사이버범죄, 정교해진 기술과 협력형 특성 점점 더 많은 범죄자, 테러리스트, 정치사회 운동가들이 인터넷을 활동 무대로 삼고 있다. 이들의 목표는 금전적 이익을 취하는 것에서부터 대중의 관심을 끄는 것, 혼란을 초래하는 것, 온라인 공격으로 정부, 기업 업무를 마비시키는 것까지 다양하다. 오늘날 많은 사이버 범죄자들은 주로 예전에 소련 위성국가였던 곳들에서 활동하는 이들이다. 이들은 뛰어난 실력과 최첨단 테크놀로지로 무장하고 있다. 더빈은 이들이 21세기의 기술로 20세기형 시스템을 공격한다고 표현했다. 그는 “특히 2014년에는 사이버 범죄자들 사이에 결속력이 더욱 공고해지고 기술적인 능력도 향상되어 방심하고 있던 많은 기관들에 피해를 입혔다”라며 다음과 같이 조언했다. “새해에는 예상치 못한 공격을 받더라도 대응할 수 있는 역량을 길러야 한다. 온라인 정치, 사회 운동인 핵티비즘(hacktivism)과 마찬가지로 사이버 범죄 역시 증가...

프라이버시 사이버범죄 규제 정보보안 BYO

2014.12.12

사이버범죄자들이 더욱 정교해지고 협업적으로 진화하고 있다. 2015년 이들에 대항하기 위해서는 다음 5가지 흐름을 반드시 숙지해야 한다. 정보 보안 관점에서 2014년은 다사다난한 한 해였다. 각종 사이버 위협은 물론 데이터 유출 사건으로 떠들썩했다. 2014년 달력이 마지막 쪽에 도달한 가운데 새해에도 사이버 위험의 규모, 위험성, 그리고 복합성은 계속해서 증가할 것이라고 인포메이션 시큐리티 포럼(ISF, Information Security Forum)의 매니징 디렉터 스티브 더빈는 예상했다. ISF는 회원들을 대신하여 보안과 리스크 매니지먼트 수준을 평가하는 비영리 협회다. 더빈은 ISF에서 꼽은 2015년 이슈가 될 보안 트렌드가 5가지가 있다며, “사실 이들 중에 전혀 예상치 못한 새로운 트렌드는 없다. 오히려 보안 위협의 정교함이나 복합성이 늘었다는 게 새로운 측면일 것이다”라고 말했다. 1. 사이버범죄, 정교해진 기술과 협력형 특성 점점 더 많은 범죄자, 테러리스트, 정치사회 운동가들이 인터넷을 활동 무대로 삼고 있다. 이들의 목표는 금전적 이익을 취하는 것에서부터 대중의 관심을 끄는 것, 혼란을 초래하는 것, 온라인 공격으로 정부, 기업 업무를 마비시키는 것까지 다양하다. 오늘날 많은 사이버 범죄자들은 주로 예전에 소련 위성국가였던 곳들에서 활동하는 이들이다. 이들은 뛰어난 실력과 최첨단 테크놀로지로 무장하고 있다. 더빈은 이들이 21세기의 기술로 20세기형 시스템을 공격한다고 표현했다. 그는 “특히 2014년에는 사이버 범죄자들 사이에 결속력이 더욱 공고해지고 기술적인 능력도 향상되어 방심하고 있던 많은 기관들에 피해를 입혔다”라며 다음과 같이 조언했다. “새해에는 예상치 못한 공격을 받더라도 대응할 수 있는 역량을 길러야 한다. 온라인 정치, 사회 운동인 핵티비즘(hacktivism)과 마찬가지로 사이버 범죄 역시 증가...

2014.12.12

향후 2년간 우리를 불안하게 할 정보보안 위협 10가지

정보 보안 위협 지형은 계속 진화하고 있다. 소속 회원들을 대신해 보안 및 위험 관리 문제를 평가하는 비영리 단체인 인터넷 시큐리티 포럼(ISF: Internet Security Forum)은 앞으로 2년 동안 직면할 가장 큰 보안 위협에 대한 정보가 담긴 ‘위협 지평(Threat Horizon)’이라는 보고서를 발간하고 있다. 다음은 기업과 단체들이 2016년까지 관리와 경감을 해야 할지 모를 가장 큰 위협 10가지와 ISF의 글로벌 부대표인 스티브 더빈의 조언을 정리했다. ciokr@idg.co.kr

CEO ISF 보안 인식 타깃 위험 NSA 정보보안 공격 해커 CISO 암호화 해킹 인터넷 시큐리티 포럼

2014.04.23

정보 보안 위협 지형은 계속 진화하고 있다. 소속 회원들을 대신해 보안 및 위험 관리 문제를 평가하는 비영리 단체인 인터넷 시큐리티 포럼(ISF: Internet Security Forum)은 앞으로 2년 동안 직면할 가장 큰 보안 위협에 대한 정보가 담긴 ‘위협 지평(Threat Horizon)’이라는 보고서를 발간하고 있다. 다음은 기업과 단체들이 2016년까지 관리와 경감을 해야 할지 모를 가장 큰 위협 10가지와 ISF의 글로벌 부대표인 스티브 더빈의 조언을 정리했다. ciokr@idg.co.kr

2014.04.23

한국IBM, 기업용 정보보안 신제품군 대거 발표

한국IBM이 빅 데이터, 모바일, 클라우드 환경을 구축하고자 하는 기업들이 당면하는 보안상의 최대 걸림돌을 해결하기 위해 데이터 및 개인정보 등을 포괄적으로 보호하는 보안 소프트웨어 신제품군을 국내 시장에 발표했다. IBM의 새로운 보안 소프트웨어 제품군은 기업 고객들이 ▲모바일 정보기기의 보안 통제를 강화하고 ▲기업 내외부의 보안 위협을 완화하며 ▲클라우드 환경의 보안 리스크를 줄이고 ▲데이터베이스 보안을 강화해 하둡(Hadoop)과 같은 빅데이터 환경에서 실시간으로 통찰력을 얻어낼 수 있도록 하며 ▲컴플라이언스 및 데이터 보안을 자동화할 수 있도록 지원한다. IBM은 신제품 ‘IBM 인포스피어 가디엄 포 하둡(InfoSphere Gardium for Hadoop)’을 통해 인포스피어 빅인사이트(BigInsights)나 클라우데라(Cloudera) 등 하둡 기반 빅데이터 시스템의 실시간 모니터링과 자동 컴플라이언스 보고를 제공하는 등, 빅데이터 환경을 위한 보안 인텔리젼스 솔루션을 대폭 강화했다. 또한 IBM은 모바일 사용자들의 접속 제어, 모바일 기기를 통한 위협 방어 및 모바일 정보기기 통제 등 모바일 보안을 대폭 강화하는 신제품들을 내놓았다. 일례로 ‘IBM 시큐리티 액세스 매니저 포 클라우드 앤드 모바일(Security Access Manager for Cloud and Mobile)’은 싱글사인온(Single-Sign-On), 사용자 인증, 그리고 접속자의 위치, 정보기기, 접속 패턴에 따른 리스크 평가 프로세스를 통합해 사용자 접속 보호를 모바일-클라우드 환경으로 확장해 준다. 여기에 보안 패치를 자동으로 관리하며 패치 업데이트 주기를 수 주에서 수 시간으로 줄여 보안 리스크를 덜어주는 ‘IBM 스마트클라우드 포 패치 매니지먼트(SmartCloud for Patch Management)’와 클라우드를 통해 전사 보안 활동에 대한 거시적 통찰력을 제공...

한국IBM 정보보안

2012.11.29

한국IBM이 빅 데이터, 모바일, 클라우드 환경을 구축하고자 하는 기업들이 당면하는 보안상의 최대 걸림돌을 해결하기 위해 데이터 및 개인정보 등을 포괄적으로 보호하는 보안 소프트웨어 신제품군을 국내 시장에 발표했다. IBM의 새로운 보안 소프트웨어 제품군은 기업 고객들이 ▲모바일 정보기기의 보안 통제를 강화하고 ▲기업 내외부의 보안 위협을 완화하며 ▲클라우드 환경의 보안 리스크를 줄이고 ▲데이터베이스 보안을 강화해 하둡(Hadoop)과 같은 빅데이터 환경에서 실시간으로 통찰력을 얻어낼 수 있도록 하며 ▲컴플라이언스 및 데이터 보안을 자동화할 수 있도록 지원한다. IBM은 신제품 ‘IBM 인포스피어 가디엄 포 하둡(InfoSphere Gardium for Hadoop)’을 통해 인포스피어 빅인사이트(BigInsights)나 클라우데라(Cloudera) 등 하둡 기반 빅데이터 시스템의 실시간 모니터링과 자동 컴플라이언스 보고를 제공하는 등, 빅데이터 환경을 위한 보안 인텔리젼스 솔루션을 대폭 강화했다. 또한 IBM은 모바일 사용자들의 접속 제어, 모바일 기기를 통한 위협 방어 및 모바일 정보기기 통제 등 모바일 보안을 대폭 강화하는 신제품들을 내놓았다. 일례로 ‘IBM 시큐리티 액세스 매니저 포 클라우드 앤드 모바일(Security Access Manager for Cloud and Mobile)’은 싱글사인온(Single-Sign-On), 사용자 인증, 그리고 접속자의 위치, 정보기기, 접속 패턴에 따른 리스크 평가 프로세스를 통합해 사용자 접속 보호를 모바일-클라우드 환경으로 확장해 준다. 여기에 보안 패치를 자동으로 관리하며 패치 업데이트 주기를 수 주에서 수 시간으로 줄여 보안 리스크를 덜어주는 ‘IBM 스마트클라우드 포 패치 매니지먼트(SmartCloud for Patch Management)’와 클라우드를 통해 전사 보안 활동에 대한 거시적 통찰력을 제공...

2012.11.29

한국IDC, 올해 IT 투자 성장률 3.2% 전망

한국IDC(www.idckorea.com)가 최근 발간한, ‘2012년 국내 기업 IT 투자 보고서'를 통해 올해 국내 기업 IT 투자가 3.2% 성장할 것으로 전망했다. 보고서에 따르면 대외 경제여건 악화에 따른 수출 증가율 둔화와 내수 경기 하락으로 국내외 주요 기관들은 2012년 국내총생산이 전년 대비 다소 하락할 것으로 예측하고 있다. 이에 따라 기업들은 IT 투자 예산을 보수적으로 책정하는 경향을 나타냈으며, 수치상으로 전년 IT 투자 성장률 4.4% 대비 1.2% 감소한 3.2% 성장률을 기록할 것을 관측된다. 전체적으로 IT 투자 성장이 가장 둔화될 것으로 보이는 업종은 제조와 정부 및 공공 분야였다. 이들 업종의 성장률은 평균 성장률을 밑도는 1%대의 낮은 성장이 예상됐다.   이 밖에 국내 IT 투자 규모 중 가장 비중이 큰 제조의 경우 설비 및 건설 투자 부진과 통신기기의 수출 감소를 시작으로 경기 하락 조짐을 보이기 시작했했다는 분석이 이뤄졌다. 특히 중소 규모의 기업 비중이 큰 업종 특성상 기업 규모가 작아질수록 경기 둔화에 대비해 비용 절감과 기존 시스템 효율성 향상에 초점을 맞춰 IT를 운영할 것이라는 전망이다. 반면, 유통 및 운송과 닷컴에서는 전체 평균 성장률을 웃도는 다소 과감한 IT 투자가 이어질 것으로 관측됐다. 내수경기와 밀접한 관계를 가지는 유통 및 운송업은 내수소비 부진으로 인한 경기불확실성 증가와 대형 유통업체에 대한 정부의 규제로 IT 투자 둔화가 어느정도 예상되나, 지난해부터 계속된 온라인과 오프라인에 걸친 다양한 인수합병과 신규 가맹점 확보 및 점포 확장에 따른 IT 시스템 통합에 대한 수요 증가로 7% 이상의 성장세를 보일 것이라는 기대다.  IDC는 eH 해당 보고서를 통해 정보보안이 2012년 IT 담당자들의 가장 큰 화두가 될 것이라고 예상했다. 2011년 금융권에서의 대형 해킹 사건과 닷컴 기업의 대...

정보보안 한국IDC IT 투자

2012.03.06

한국IDC(www.idckorea.com)가 최근 발간한, ‘2012년 국내 기업 IT 투자 보고서'를 통해 올해 국내 기업 IT 투자가 3.2% 성장할 것으로 전망했다. 보고서에 따르면 대외 경제여건 악화에 따른 수출 증가율 둔화와 내수 경기 하락으로 국내외 주요 기관들은 2012년 국내총생산이 전년 대비 다소 하락할 것으로 예측하고 있다. 이에 따라 기업들은 IT 투자 예산을 보수적으로 책정하는 경향을 나타냈으며, 수치상으로 전년 IT 투자 성장률 4.4% 대비 1.2% 감소한 3.2% 성장률을 기록할 것을 관측된다. 전체적으로 IT 투자 성장이 가장 둔화될 것으로 보이는 업종은 제조와 정부 및 공공 분야였다. 이들 업종의 성장률은 평균 성장률을 밑도는 1%대의 낮은 성장이 예상됐다.   이 밖에 국내 IT 투자 규모 중 가장 비중이 큰 제조의 경우 설비 및 건설 투자 부진과 통신기기의 수출 감소를 시작으로 경기 하락 조짐을 보이기 시작했했다는 분석이 이뤄졌다. 특히 중소 규모의 기업 비중이 큰 업종 특성상 기업 규모가 작아질수록 경기 둔화에 대비해 비용 절감과 기존 시스템 효율성 향상에 초점을 맞춰 IT를 운영할 것이라는 전망이다. 반면, 유통 및 운송과 닷컴에서는 전체 평균 성장률을 웃도는 다소 과감한 IT 투자가 이어질 것으로 관측됐다. 내수경기와 밀접한 관계를 가지는 유통 및 운송업은 내수소비 부진으로 인한 경기불확실성 증가와 대형 유통업체에 대한 정부의 규제로 IT 투자 둔화가 어느정도 예상되나, 지난해부터 계속된 온라인과 오프라인에 걸친 다양한 인수합병과 신규 가맹점 확보 및 점포 확장에 따른 IT 시스템 통합에 대한 수요 증가로 7% 이상의 성장세를 보일 것이라는 기대다.  IDC는 eH 해당 보고서를 통해 정보보안이 2012년 IT 담당자들의 가장 큰 화두가 될 것이라고 예상했다. 2011년 금융권에서의 대형 해킹 사건과 닷컴 기업의 대...

2012.03.06

설문조사 | 보안 투자 요인 '규제보다는 브랜드 가치 보호'

최근 수개월 동안 데이터 누출 사건이 연이어 발생함에 따라 소비자 데이터를 보호하려는 새로운 법안에 대한 움직임이 나타나고 있다. 그러나 최근의 설문조사에 따르면 기업들은 정부 기관에 의한 규제나 벌금보다는 브랜드 및 기업 평판에 대한 손실을 더 두려워하고 있는 것으로 조사됐다. '세이프 데이터 법'이라고 알려진 '전자 데이터 보호 및 방어 법안(The Secure and Fortify Electronic Data Act)이 미 의회에 의해 추진되고 있다. 통과될 경우 정보 보안 및 데이터 방어에 대한 국가 차원의 뼈대가 만들어지게 된다. 그러나 최근 사이버소스(CyberSource)와 트러스트웨이브에 의해 공동 진행된 최근의 설문조사에 따르면, 기업들이 두려워하는 것은 제도나 비용적 처벌이 아니었다. 기업들은 오히려 자사의 평판과 브랜드 손상을 걱정하는 편이었다. 양사는 설문조사 결과에 대한 보도자료를 통해 70%의 응답자들이 정보 보안 및 데이터 보호를 강화하는 주된 요인으로 '브랜드 방어'를 지목했다고 밝혔다. 벌금 회피를 핵심 요인으로 지목한 응답은 26%에 불과했다. 사이버소스의 제품 관리 부문 디렉터 데이나 포드는 "누출 사고는 e커머스 기업에게는 특히 심각한 결과를 가져온다. 회사의 브랜드에 피해를 주고 매출을 감소시키며 소비자 충성도를 낮춘다. 주가에도 영향을 주는 것은 물론이다"라고 말했다. 소비자와 시장 평판의 영향력이 커지고 있다는 qnstjr도 제기됐다. 소비자 충성도가 낮아지고 브랜드 가치가 하락하면 주가 및 매출에 타격을 주는 수준이 높아짐에 따라 기업들이 데이터 보호에 더욱 투자하고 있다는 분석이다. 그러나 대다수의 기업들은 여전히 데이터 누출 사고가 불운했기 때문에 발생했다고 판단하는 경향이 높았으며, 실제 보안 기술 등에 대한 투자의 중요성을 충분히 인식하는 수준은 낮은 것으로 조사됐다. ciokr@idg.co.kr

브랜드 정보보안 데이터보호 누출

2011.07.21

최근 수개월 동안 데이터 누출 사건이 연이어 발생함에 따라 소비자 데이터를 보호하려는 새로운 법안에 대한 움직임이 나타나고 있다. 그러나 최근의 설문조사에 따르면 기업들은 정부 기관에 의한 규제나 벌금보다는 브랜드 및 기업 평판에 대한 손실을 더 두려워하고 있는 것으로 조사됐다. '세이프 데이터 법'이라고 알려진 '전자 데이터 보호 및 방어 법안(The Secure and Fortify Electronic Data Act)이 미 의회에 의해 추진되고 있다. 통과될 경우 정보 보안 및 데이터 방어에 대한 국가 차원의 뼈대가 만들어지게 된다. 그러나 최근 사이버소스(CyberSource)와 트러스트웨이브에 의해 공동 진행된 최근의 설문조사에 따르면, 기업들이 두려워하는 것은 제도나 비용적 처벌이 아니었다. 기업들은 오히려 자사의 평판과 브랜드 손상을 걱정하는 편이었다. 양사는 설문조사 결과에 대한 보도자료를 통해 70%의 응답자들이 정보 보안 및 데이터 보호를 강화하는 주된 요인으로 '브랜드 방어'를 지목했다고 밝혔다. 벌금 회피를 핵심 요인으로 지목한 응답은 26%에 불과했다. 사이버소스의 제품 관리 부문 디렉터 데이나 포드는 "누출 사고는 e커머스 기업에게는 특히 심각한 결과를 가져온다. 회사의 브랜드에 피해를 주고 매출을 감소시키며 소비자 충성도를 낮춘다. 주가에도 영향을 주는 것은 물론이다"라고 말했다. 소비자와 시장 평판의 영향력이 커지고 있다는 qnstjr도 제기됐다. 소비자 충성도가 낮아지고 브랜드 가치가 하락하면 주가 및 매출에 타격을 주는 수준이 높아짐에 따라 기업들이 데이터 보호에 더욱 투자하고 있다는 분석이다. 그러나 대다수의 기업들은 여전히 데이터 누출 사고가 불운했기 때문에 발생했다고 판단하는 경향이 높았으며, 실제 보안 기술 등에 대한 투자의 중요성을 충분히 인식하는 수준은 낮은 것으로 조사됐다. ciokr@idg.co.kr

2011.07.21

IDG 설문조사

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.9