Offcanvas

������������

칼럼 | 애플, 메타도 정부기관 사칭에 속았다… CISO가 배울 점은?

사이버 범죄자들이 사법 당국으로 위장하여 보낸 허위 요청으로 대기업의 민감한 고객 데이터를 탈취했다. 이 사건을 교훈 삼아 CISO는 정부 기관의 데이터 요청을 승인하는 절차를 재검토해야 한다.    사법 당국임을 사칭한 해커들의 긴급 정보 공유 요청에 애플과 메타(페이스북 모회사)가 속아 넘어가 고객 데이터를 넘겨줬다고 최근 블룸버그가 보도했다. 소셜 엔지니어링 수법에 당한 것이다. 고객 데이터를 수집하는 기업이라면 정부 기관의 데이터 공유 요청을 받을 수 있다. 영장, 소환장 혹은 국가 안보 서신의 형태일 것이다. 기업들은 이러한 정부 요청을 처리하는 업무 프로세스가 존재하는지 확인할 필요가 있다. 특히, 대기업은 매일 수많은 정보 공유 요청을 받기 때문에 이를 모두 상세하게 검토하기 어려울 것이다. 따라서 해커들의 위장 정보 요청에 더 취약했을 수 있다. 메타와 애플은 정부 기관이 기업에 정보를 요청할 때 따라야 하는 가이드라인을 제공한다. 하지만 이 과정은 온라인 폼이나 이메일로만 이뤄져, 관계자들이 직접 만나서 소통할 기회가 없다. 이 두 기업이 정부 기관의 정보 요청을 처리하는 방식을 살펴본다.   메타/페이스북의 긴급 정보 요청 프로세스  메타/페이스북 정보 요청 가이드라인은 다양한 시나리오를 다룬다. 미국법 및 국제법, 계정 진위 및 정보 보존, 아동 안전, 데이터 보존 및 포맷, 사용자 동의 및 개인 통보, 그리고 긴급 요청 등을 포함한다. 메타가 속아 넘어간 ‘긴급 요청’ 가이드라인에는 데이터 이용 규칙 및 부당한 요청의 기소 가능성에 대한 경고문이 기재돼 있다. 다음은 온라인 요청서의 원문이다.   당사는 서비스 약관 및 해당 법률에 따라 계정 기록을 공개합니다.  심각한 신체적 상해 또는 사망의 위험이 있는 긴급 공식 상황을 조사하는 경우에만 증거를 수집할 권한이 있는 법 집행 기관 또는 긴급 구조원이 이 시스템을 통해 페...

정보보안 정보 공개 정부기관 애플 페이스북 정보 요청

2022.04.13

사이버 범죄자들이 사법 당국으로 위장하여 보낸 허위 요청으로 대기업의 민감한 고객 데이터를 탈취했다. 이 사건을 교훈 삼아 CISO는 정부 기관의 데이터 요청을 승인하는 절차를 재검토해야 한다.    사법 당국임을 사칭한 해커들의 긴급 정보 공유 요청에 애플과 메타(페이스북 모회사)가 속아 넘어가 고객 데이터를 넘겨줬다고 최근 블룸버그가 보도했다. 소셜 엔지니어링 수법에 당한 것이다. 고객 데이터를 수집하는 기업이라면 정부 기관의 데이터 공유 요청을 받을 수 있다. 영장, 소환장 혹은 국가 안보 서신의 형태일 것이다. 기업들은 이러한 정부 요청을 처리하는 업무 프로세스가 존재하는지 확인할 필요가 있다. 특히, 대기업은 매일 수많은 정보 공유 요청을 받기 때문에 이를 모두 상세하게 검토하기 어려울 것이다. 따라서 해커들의 위장 정보 요청에 더 취약했을 수 있다. 메타와 애플은 정부 기관이 기업에 정보를 요청할 때 따라야 하는 가이드라인을 제공한다. 하지만 이 과정은 온라인 폼이나 이메일로만 이뤄져, 관계자들이 직접 만나서 소통할 기회가 없다. 이 두 기업이 정부 기관의 정보 요청을 처리하는 방식을 살펴본다.   메타/페이스북의 긴급 정보 요청 프로세스  메타/페이스북 정보 요청 가이드라인은 다양한 시나리오를 다룬다. 미국법 및 국제법, 계정 진위 및 정보 보존, 아동 안전, 데이터 보존 및 포맷, 사용자 동의 및 개인 통보, 그리고 긴급 요청 등을 포함한다. 메타가 속아 넘어간 ‘긴급 요청’ 가이드라인에는 데이터 이용 규칙 및 부당한 요청의 기소 가능성에 대한 경고문이 기재돼 있다. 다음은 온라인 요청서의 원문이다.   당사는 서비스 약관 및 해당 법률에 따라 계정 기록을 공개합니다.  심각한 신체적 상해 또는 사망의 위험이 있는 긴급 공식 상황을 조사하는 경우에만 증거를 수집할 권한이 있는 법 집행 기관 또는 긴급 구조원이 이 시스템을 통해 페...

2022.04.13

'사기·부패 사건 문서 분석을 AI에게'··· 영국 수사청

영국 중대범죄수사청이 RAVN 로봇을 활용해 롤스로이스 사건 관련 문서 3,000만 건을 분석했으며, 이는 사람이 검토할 때보다 무려 비용의 80%를 절감한 것으로 알려졌다. 영국 중대범죄수사청(SFO:Serious Fraud Office)의 CTO 벤 데니슨(왼쪽 사진)은 금융 비리 범죄자들을 추적하고자 처리하는 상당량의 법률 문서 검토를 돕기 위해 AI 로봇을 도입했다. SFO는 주요 사기 및 부패 사건 조사 과정에서 연간 1억 건이 넘는 문서를 분석한다. 최근 롤스로이스(Rolls-Royce)를 상대로 한 데이터 유출에 대한 뇌물 수수 청구에서 범죄 행위에 대해 영국 역사상 최대 규모의 벌금이 부과된 일이 있었다. 관련 정보를 파악할 때 전문가 기소 당국(Specialist Prosecuting Authority)에 수백만 파운드의 비용과 수천 시간이 소요될 수 있다. LPP(Legal Professional Privilege) 로봇 도입으로 사람이 하던 검토 작업을 1/5로 비용을 줄일 수 있게 됐다. 데니슨은 <CIO UK>와의 인터뷰에서 "특히 기업을 조사하는 과정에서 엄청난 양의 정보를 얻게 된다”고 밝히며 다음과 같이 말을 이었다. “로봇은 우리가 사용할 수 없는, LPP가 다루는 자료를 식별할 수 있도록 돕는다. 이를 통해 우리는 기술을 활용하여 이 자료를 식별할 수 있으며 이를 통해 과정이 더욱 빨라지며 비용이 절감된다. 롤스로이스 사건에서 우리는 이를 활용하여 사람이 검토할 때 비용의 80%를 절감했다.” 데이터양 확장 전문가 기소 당국이 시행하는 조사는 파나마 페이퍼스(Panama Papers) 탈세 사건처럼 수 년 동안 계속되며 여러 대륙에 거쳐 진행될 수 있다. 해당 사건으로 1,150만 건의 문서가 작성됐으며, 이는 SFO의 기준으로 볼 때 평균 수준이다. 롤스로이스 조사 당시 문서는 3,000만 건에 달했다. 이 때문에 70명의 조사관이 4년...

CIO RAVN Systems 레이븐 시스템즈 수사 파나마 페이퍼스 분석 법률 롤스로이스 로봇 범죄 비리 인공지능 정부기관 CTO 페이퍼 컴퍼니

2018.01.05

영국 중대범죄수사청이 RAVN 로봇을 활용해 롤스로이스 사건 관련 문서 3,000만 건을 분석했으며, 이는 사람이 검토할 때보다 무려 비용의 80%를 절감한 것으로 알려졌다. 영국 중대범죄수사청(SFO:Serious Fraud Office)의 CTO 벤 데니슨(왼쪽 사진)은 금융 비리 범죄자들을 추적하고자 처리하는 상당량의 법률 문서 검토를 돕기 위해 AI 로봇을 도입했다. SFO는 주요 사기 및 부패 사건 조사 과정에서 연간 1억 건이 넘는 문서를 분석한다. 최근 롤스로이스(Rolls-Royce)를 상대로 한 데이터 유출에 대한 뇌물 수수 청구에서 범죄 행위에 대해 영국 역사상 최대 규모의 벌금이 부과된 일이 있었다. 관련 정보를 파악할 때 전문가 기소 당국(Specialist Prosecuting Authority)에 수백만 파운드의 비용과 수천 시간이 소요될 수 있다. LPP(Legal Professional Privilege) 로봇 도입으로 사람이 하던 검토 작업을 1/5로 비용을 줄일 수 있게 됐다. 데니슨은 <CIO UK>와의 인터뷰에서 "특히 기업을 조사하는 과정에서 엄청난 양의 정보를 얻게 된다”고 밝히며 다음과 같이 말을 이었다. “로봇은 우리가 사용할 수 없는, LPP가 다루는 자료를 식별할 수 있도록 돕는다. 이를 통해 우리는 기술을 활용하여 이 자료를 식별할 수 있으며 이를 통해 과정이 더욱 빨라지며 비용이 절감된다. 롤스로이스 사건에서 우리는 이를 활용하여 사람이 검토할 때 비용의 80%를 절감했다.” 데이터양 확장 전문가 기소 당국이 시행하는 조사는 파나마 페이퍼스(Panama Papers) 탈세 사건처럼 수 년 동안 계속되며 여러 대륙에 거쳐 진행될 수 있다. 해당 사건으로 1,150만 건의 문서가 작성됐으며, 이는 SFO의 기준으로 볼 때 평균 수준이다. 롤스로이스 조사 당시 문서는 3,000만 건에 달했다. 이 때문에 70명의 조사관이 4년...

2018.01.05

데이터 유출로 인한 비용은 총 얼마나 들까?

최근 IBM의 한 연구에 따르면, 데이터 침해에 따른 평균 비용이 2015년 미화 380만 달러에서 지난해 400만 달러로 늘어났다. 데이터 침해에 따른 비용에 영향을 미칠 수 있는 요소는 수없이 많지만, 실제 비용이 얼마나 들지 정확히 예측하는 것은 사실상 불가능하다. 데이터 유출 계산기를 사용해 대략 얼마 정도 들지를 예측할 수도 있지만, 한가지 도구만으로는 부족하다.  보안 업체 비트사이트(BitSight)는 향후 데이터 침해 사고에 따른 실제 비용을 계산할 때 기업들이 염두에 두어야 할 여러 가지 요소를 다음과 같이 정리했다. 지역이 어디인가? 어떤 화폐를 사용하나? 회사 규모는?  기업이 주로 사용하는 통화의 환율과 같은 간단한 것조차도 정보보안 위반 비용에 영향을 미칠 수 있다. 제한된 고객 데이터를 취급하는(또는 고객 데이터를 전혀 취급하지 않는) 소규모 상점의 경우 데이터 침해에 따른 비용은 대기업이 경험할 수 있는 것보다 현저히 적을 수 있다. 어떤 유형의 데이터나 기록물을 보관하고 있나? 업종은?  데이터 침해 사고가 발생해 손실되는 데이터의 유형에 따라 비용이 달라져 이는 비용이 많이 드는 가장 큰 요인 중 하나가 된다. 전자메일 주소만 잃어버렸다면 개인식별정보(PII), 민감한 고객 데이터(사회보장 번호 등), 지불카드 정보, 개인건강정보(PHI) 등을 유출해 버리는 것처럼 지급금이 크게 늘어나지 않을 것이다. 기록의 민감도가 높을수록 그에 따른 비용은 더 많이 든다. 예를 들어, 지불카드 정보를 분실한 경우 영향을 받는 사람들에게 무료 신용 모니터링을 제공해야 할 수 있다. 또는 고객의 건강 데이터를 손상시킨 경우 정부기관의 규제를 받을 수 있다. 데이터 침해의 근본 원인은?  데이터 침해의 근본적인 원인은 유실 기록의 수나 유형에 영향을 줄 수 있으므로 비용과 관련이 있다. 포네몬 인스티튜트(Ponemon Institute)의 최근 연구에 따르면, 제 3자의 조직과 관련된 ...

CSO 수사기관 비트사이트 매각 정부기관 CISO FBI 협상 비용 금융 소송 IBM M&A 데이터 유출 인수 제재

2017.01.16

최근 IBM의 한 연구에 따르면, 데이터 침해에 따른 평균 비용이 2015년 미화 380만 달러에서 지난해 400만 달러로 늘어났다. 데이터 침해에 따른 비용에 영향을 미칠 수 있는 요소는 수없이 많지만, 실제 비용이 얼마나 들지 정확히 예측하는 것은 사실상 불가능하다. 데이터 유출 계산기를 사용해 대략 얼마 정도 들지를 예측할 수도 있지만, 한가지 도구만으로는 부족하다.  보안 업체 비트사이트(BitSight)는 향후 데이터 침해 사고에 따른 실제 비용을 계산할 때 기업들이 염두에 두어야 할 여러 가지 요소를 다음과 같이 정리했다. 지역이 어디인가? 어떤 화폐를 사용하나? 회사 규모는?  기업이 주로 사용하는 통화의 환율과 같은 간단한 것조차도 정보보안 위반 비용에 영향을 미칠 수 있다. 제한된 고객 데이터를 취급하는(또는 고객 데이터를 전혀 취급하지 않는) 소규모 상점의 경우 데이터 침해에 따른 비용은 대기업이 경험할 수 있는 것보다 현저히 적을 수 있다. 어떤 유형의 데이터나 기록물을 보관하고 있나? 업종은?  데이터 침해 사고가 발생해 손실되는 데이터의 유형에 따라 비용이 달라져 이는 비용이 많이 드는 가장 큰 요인 중 하나가 된다. 전자메일 주소만 잃어버렸다면 개인식별정보(PII), 민감한 고객 데이터(사회보장 번호 등), 지불카드 정보, 개인건강정보(PHI) 등을 유출해 버리는 것처럼 지급금이 크게 늘어나지 않을 것이다. 기록의 민감도가 높을수록 그에 따른 비용은 더 많이 든다. 예를 들어, 지불카드 정보를 분실한 경우 영향을 받는 사람들에게 무료 신용 모니터링을 제공해야 할 수 있다. 또는 고객의 건강 데이터를 손상시킨 경우 정부기관의 규제를 받을 수 있다. 데이터 침해의 근본 원인은?  데이터 침해의 근본적인 원인은 유실 기록의 수나 유형에 영향을 줄 수 있으므로 비용과 관련이 있다. 포네몬 인스티튜트(Ponemon Institute)의 최근 연구에 따르면, 제 3자의 조직과 관련된 ...

2017.01.16

미 정부, SW 공유 웹사이트 'Code.gov' 개설··· 13기관 오픈소스 프로젝트 50건 공개

미국 정부가 자체 개발 소프트웨어 코드를 공유하고자 지난주에 ‘Code.gov’라는 웹사이트를 개설하고 여러 정부기관의 오픈소스 프로젝트 약 50건을 공개했다. 워싱턴DC에 있는 백악관. 2009년 6월 9일. Credit: Chuck Kennedy/White House 이러한 움직임은 업무 중복과 비용 낭비를 막고자 지난 8월 연방정부 등 정부기관이 만든 새로운 소스 코드 재사용 장려를 목적으로 백악관이 발표한 연방정부 소스코드 정책을 따른 것이다. 정부기관들도 오픈소스 라이선스 아래 소프트웨어의 일부를 공식 활용하도록 요구해 왔다. 연방정부 CIO인 토니 스캇은 3일 블로그에서 "오픈소스로 새로 만들어진 Code.gov에는 이미 10 이상 기관들의 오픈소스 프로젝트 50여 개가 소개돼 있다. 우리는 이 숫자가 다음달에는 연방 소스 코드 정책을 도입한 정부기관 수만큼 증가할 것으로 예상한다"고 밝혔다. 오픈소스 프로젝트를 공개한 정부기관으로는 소비자 금융 보호국(Consumer Financial Protection Bureau), 상무성(departments of commerce), 에너지, 노동, 재무, 농업, 재향군인, NASA, 비서실, 환경보호국, 총무처 등 13개가 있다. 연방정부 소스코드 정책은 Code.gov 웹사이트가 범정부 차원으로 재사용할 수 있는 코드를 발견하기 위한 도구나 오픈소스 소프트웨어를 제안하는 것이지 자체 개발 코드를 소유하려는 것은 아니다. 또 정부 자금을 사용해 개발한 코드를 투명하게 공개해야 한다는 의미다. 각 기관의 이름은 Code.gov에 있고, 해당 코드를 연방정부가 재사용할 수 있는지, 오픈소스 소프트웨어로서 공식적으로 이용할 수 있는지, 정책에 허용된 특별한 경우에만 이용할 수 있는지 등의 여부가 나타나 있다. 새로운 정책 아래 오픈소스 시범 프로그램은 이를 의뢰한 기관이 최소 3년 동안은 오픈소스로 일반에 코드의 20%를 공개해야 한...

CIO 소프트웨어 개발 코드 정부기관 미국 연방정부 오픈소스 프로젝트 Code.gov

2016.11.07

미국 정부가 자체 개발 소프트웨어 코드를 공유하고자 지난주에 ‘Code.gov’라는 웹사이트를 개설하고 여러 정부기관의 오픈소스 프로젝트 약 50건을 공개했다. 워싱턴DC에 있는 백악관. 2009년 6월 9일. Credit: Chuck Kennedy/White House 이러한 움직임은 업무 중복과 비용 낭비를 막고자 지난 8월 연방정부 등 정부기관이 만든 새로운 소스 코드 재사용 장려를 목적으로 백악관이 발표한 연방정부 소스코드 정책을 따른 것이다. 정부기관들도 오픈소스 라이선스 아래 소프트웨어의 일부를 공식 활용하도록 요구해 왔다. 연방정부 CIO인 토니 스캇은 3일 블로그에서 "오픈소스로 새로 만들어진 Code.gov에는 이미 10 이상 기관들의 오픈소스 프로젝트 50여 개가 소개돼 있다. 우리는 이 숫자가 다음달에는 연방 소스 코드 정책을 도입한 정부기관 수만큼 증가할 것으로 예상한다"고 밝혔다. 오픈소스 프로젝트를 공개한 정부기관으로는 소비자 금융 보호국(Consumer Financial Protection Bureau), 상무성(departments of commerce), 에너지, 노동, 재무, 농업, 재향군인, NASA, 비서실, 환경보호국, 총무처 등 13개가 있다. 연방정부 소스코드 정책은 Code.gov 웹사이트가 범정부 차원으로 재사용할 수 있는 코드를 발견하기 위한 도구나 오픈소스 소프트웨어를 제안하는 것이지 자체 개발 코드를 소유하려는 것은 아니다. 또 정부 자금을 사용해 개발한 코드를 투명하게 공개해야 한다는 의미다. 각 기관의 이름은 Code.gov에 있고, 해당 코드를 연방정부가 재사용할 수 있는지, 오픈소스 소프트웨어로서 공식적으로 이용할 수 있는지, 정책에 허용된 특별한 경우에만 이용할 수 있는지 등의 여부가 나타나 있다. 새로운 정책 아래 오픈소스 시범 프로그램은 이를 의뢰한 기관이 최소 3년 동안은 오픈소스로 일반에 코드의 20%를 공개해야 한...

2016.11.07

미 연방 정부의 오픈소스 사용에 관한 '사실과 오해'

점점 더 많은 미국 연방 정부기관들이 오픈소스로 옮겨가고 있는데, 그로 인해 더 많은 취약점에 노출될 수도 있다. Credit: Flickr/Phil Richards 미국의 많은 연방 정부기관들이 오픈소스 소프트웨어 개발 승인을 받은 공용 저장소를 이용하는 것으로 알려졌다. GSA(General Services Administration) 기트허브(GitHub) 대시보드에 따르면, 236개 연방 정부기관이 총 5,254개 프로젝트 저장소를 이용하고 있다. 오픈소스 소프트웨어를 이용하거나, 개발해 IT 목적을 달성하는 연방 정부기관들이 증가하는 추세다. 더 많은 오픈소스 프로젝트를 효과적으로 준비하기 위해, 연방 정부기관은 공용 저장소와 관련한 오해와 잘못된 통념에서 사실을 가려낼 수 있어야 한다. 연방 정부기관의 오픈소스 사용을 유도하는 주요 동인은 공유 플랫폼을 이용한 비용 절감 효과다. 그러나 사피엔트 거번먼트 서비스(Sapient Government Services)의 기술 디렉터인 제이 자이프라카쉬는 "오픈소스로의 변화를 수용하려면 몇 가지를 고려해야 한다. 소프트웨어를 성공적으로 도입할 수 있도록 만드는 문화, 혁신, 아키텍처가 여기에 해당한다"고 말했다. 연방 정부기관의 보안 담당자들은 밴드왜건 효과(bandwagon effect of propaganda)에서 넘어가서는 안 된다. 유행을 좇아 오픈소스를 도입하기 전에, 자신이 소속된 기관을 이해하는 것이 아주 중요하다. 자이프라카쉬는 "정부기관은 문화와 혁신에 맞춰, 새로운 아이디어를 보상하는 방법부터 제대로 된 정책 수립까지 올바른 환경을 발전시켜야 한다. 거버넌스 부서와 보안 부서가 서로 협력하고 전문성을 공유하는 것이 최신 아이디어에서 새로운 개선에 이르기까지 모든 사람에게 도움이 되도록 만들어야 한다"고 강조했다. 자이프라카쉬의 설명에 따르면, 오픈소스는 비용 측면의 이익도 있지만 그 밖에도 특정 업체의 제품과 업그...

CSO 허트블리드 기트허브 오픈소스 프로젝트 연방 정부 베라코드 GSA 블랙덕 정부기관 취약점 CISO 밴드왜건 효과

2016.09.06

점점 더 많은 미국 연방 정부기관들이 오픈소스로 옮겨가고 있는데, 그로 인해 더 많은 취약점에 노출될 수도 있다. Credit: Flickr/Phil Richards 미국의 많은 연방 정부기관들이 오픈소스 소프트웨어 개발 승인을 받은 공용 저장소를 이용하는 것으로 알려졌다. GSA(General Services Administration) 기트허브(GitHub) 대시보드에 따르면, 236개 연방 정부기관이 총 5,254개 프로젝트 저장소를 이용하고 있다. 오픈소스 소프트웨어를 이용하거나, 개발해 IT 목적을 달성하는 연방 정부기관들이 증가하는 추세다. 더 많은 오픈소스 프로젝트를 효과적으로 준비하기 위해, 연방 정부기관은 공용 저장소와 관련한 오해와 잘못된 통념에서 사실을 가려낼 수 있어야 한다. 연방 정부기관의 오픈소스 사용을 유도하는 주요 동인은 공유 플랫폼을 이용한 비용 절감 효과다. 그러나 사피엔트 거번먼트 서비스(Sapient Government Services)의 기술 디렉터인 제이 자이프라카쉬는 "오픈소스로의 변화를 수용하려면 몇 가지를 고려해야 한다. 소프트웨어를 성공적으로 도입할 수 있도록 만드는 문화, 혁신, 아키텍처가 여기에 해당한다"고 말했다. 연방 정부기관의 보안 담당자들은 밴드왜건 효과(bandwagon effect of propaganda)에서 넘어가서는 안 된다. 유행을 좇아 오픈소스를 도입하기 전에, 자신이 소속된 기관을 이해하는 것이 아주 중요하다. 자이프라카쉬는 "정부기관은 문화와 혁신에 맞춰, 새로운 아이디어를 보상하는 방법부터 제대로 된 정책 수립까지 올바른 환경을 발전시켜야 한다. 거버넌스 부서와 보안 부서가 서로 협력하고 전문성을 공유하는 것이 최신 아이디어에서 새로운 개선에 이르기까지 모든 사람에게 도움이 되도록 만들어야 한다"고 강조했다. 자이프라카쉬의 설명에 따르면, 오픈소스는 비용 측면의 이익도 있지만 그 밖에도 특정 업체의 제품과 업그...

2016.09.06

클라우드 SLA 베스트 프랙티스 10선

“클라우드 서비스를 도입할 때 무엇보다 중요한 것은 SLA(Service Level Agreement)를 작성하고 실행하는 것이다.” 최근 미국 회계 감사원(GAO)의 연방 감시 단체가 발표한 보고서에서 내린 최종 결론이다. GAO는 보고서에서 "공급업체를 통해 IT 서비스를 구매하면 정부 기관은 그러한 서비스를 제공하는 데 일반적으로 필요한 하드웨어, 소프트웨어, 네트워크와 같은 모든 자산에 대한 비용 지출을 피할 수 있다. 이 방법은 연방 정부 기관에게 과거에 해왔던 방법보다 더 빠르고 저렴하게 서비스를 구매할 수 있는 수단을 제공한다. 이러한 잠재적 혜택을 활용하기 위해 정부 기관들은 2016 회계연도에 클라우드 컴퓨팅에 20억 달러 이상을 투자할 계획이라고 보고했다"고 밝혔다. GAO는 이 보고서를 작성하면서 정부 및 개인 사용자와 관련된 SLA를 위한 10가지 핵심 사항을 정리했다. 1. SLA와 관련된 모든 당사자(최소한 기관과 클라우드 제공업체를 포함)의 역할과 책임을 명시한다. 예를 들어 계약과 감사, 성능 관리, 유지보수, 보안을 책임지는 사람을 정해야 한다. 활성화 날짜, 성능을 포함한 핵심 조건을 정의하고 클라우드 컴퓨팅 용어 정의에서 모호한 부분을 찾아 확인한다. 2. 날짜 및 성능과 같은 핵심 요소를 정의한다. 성능 측정을 누가 책임지는지를 포함한 클라우드 서비스의 성능 척도를 정의한다. 이러한 척도에는 클라우드 서비스의 가용성, 클라우드에 동시 접속 가능한 사용자 수, 고객 거래를 처리하기 위한 응답 시간 등이 포함된다. 3. 서비스 업체의 성능에 대한 명확한 척도를 정의한다. 성능 측정 책임을 어느 쪽이 맡을지도 명시해야 한다. 이러한 척도의 예에는 다음이 포함된다. - 클라우드 서비스의 용량과 기능(예: 클라우드에 동시에 접속 가능한 최대 사용자 수, 더 많은 사용자를 수용하도록 서비스를 확장할 수 있는 제공업체의 역량). - 응답 시간(예: 고객이 입력한 거...

SLA 정부기관 GAO 베스트프랙티스

2016.05.10

“클라우드 서비스를 도입할 때 무엇보다 중요한 것은 SLA(Service Level Agreement)를 작성하고 실행하는 것이다.” 최근 미국 회계 감사원(GAO)의 연방 감시 단체가 발표한 보고서에서 내린 최종 결론이다. GAO는 보고서에서 "공급업체를 통해 IT 서비스를 구매하면 정부 기관은 그러한 서비스를 제공하는 데 일반적으로 필요한 하드웨어, 소프트웨어, 네트워크와 같은 모든 자산에 대한 비용 지출을 피할 수 있다. 이 방법은 연방 정부 기관에게 과거에 해왔던 방법보다 더 빠르고 저렴하게 서비스를 구매할 수 있는 수단을 제공한다. 이러한 잠재적 혜택을 활용하기 위해 정부 기관들은 2016 회계연도에 클라우드 컴퓨팅에 20억 달러 이상을 투자할 계획이라고 보고했다"고 밝혔다. GAO는 이 보고서를 작성하면서 정부 및 개인 사용자와 관련된 SLA를 위한 10가지 핵심 사항을 정리했다. 1. SLA와 관련된 모든 당사자(최소한 기관과 클라우드 제공업체를 포함)의 역할과 책임을 명시한다. 예를 들어 계약과 감사, 성능 관리, 유지보수, 보안을 책임지는 사람을 정해야 한다. 활성화 날짜, 성능을 포함한 핵심 조건을 정의하고 클라우드 컴퓨팅 용어 정의에서 모호한 부분을 찾아 확인한다. 2. 날짜 및 성능과 같은 핵심 요소를 정의한다. 성능 측정을 누가 책임지는지를 포함한 클라우드 서비스의 성능 척도를 정의한다. 이러한 척도에는 클라우드 서비스의 가용성, 클라우드에 동시 접속 가능한 사용자 수, 고객 거래를 처리하기 위한 응답 시간 등이 포함된다. 3. 서비스 업체의 성능에 대한 명확한 척도를 정의한다. 성능 측정 책임을 어느 쪽이 맡을지도 명시해야 한다. 이러한 척도의 예에는 다음이 포함된다. - 클라우드 서비스의 용량과 기능(예: 클라우드에 동시에 접속 가능한 최대 사용자 수, 더 많은 사용자를 수용하도록 서비스를 확장할 수 있는 제공업체의 역량). - 응답 시간(예: 고객이 입력한 거...

2016.05.10

'정부기관을 공략할 때' 클라우드 영업 팁 5가지

정부기관에 클라우드 서비스를 판매하는 것은 매우 까다로운 프로세스를 의미한다. 비단 문서만이 아니다. 여기 미 연방정부의 클라우드 인증 프로세스 베터랑이 말하는 몇 가지 팁을 소개한다. 미 연방 정부는 매년 800억 달러의 IT 예산을 집행하고 있다. 여기서 클라우드 서비스 업체에 돌아가는 예산 비중이 증가하는 추세다. 때문에 크고 작은 클라우드 업체들이 미국의 최대 IT구매자와 계약을 맺기 위해 줄을 서 있는 실정이다. 게다가 클라우드에 대한 미 연방 정부의 시각과 태도가 바뀌고 있다. 페드램프(FedRAMP)의 이사 마리아 로트는 "과거에는 랙 등 내부 기반 기술만 고집했는데 이제는 '탄력적인 사용량에 기반을 둔 기술'을 옹호하는 사람들이 늘어나고 있다"고 밝혔다. 연방 인증 및 위험 관리 프로그램(Federal Risk and Authorization Management Program)의 약칭인 페드램프(FedRAMP)는 민간 업체의 클라우드 제품과 서비스를 평가하는 중앙 정부 산하 보안 인가 프로그램이다. 로트는 "이 프로그램을 통해 클라우드가 안전하다는 사실이 입증됐다. 변화가 시작되면서 문화와 인식이 바뀌고 있다"고 말했다. 그러나 업계 표현을 빌자면 정부를 상대로 하는 사업에는 턴키 방식이 적용되지 않는다. 또 여전히 상대적으로 생소한 프로세스 때문에 혼란이 초래되기도 한다. 최근 업계와 정부 관계자들이 워싱턴에 모여 페드램프 프로세스를 위한 베스트 프랙티스와 잘못 알려진 사실을 공개했다. 대 정부 사업을 제대로 이해하라 기존의 B2B 업체 중에는 정부를 상대하는 사업에 어려움을 겪을 수 있는 회사가 있다. 정부의 평가 과정을 통과한 경험이 있는 리더들은 정부 사업에 새로 뛰어드는 회사들은 기대치를 적절히 정해야 한다고 강조했다. 협상이 불가능하거나 보증이 되지 않는 사항이 있다. 또 평가 과정에 많은 시간과 돈이 필요할 수 있다. 페드램프의 평가 과정을 통...

영업 CIO 구글 IT예산 공공기관 정부기관 페드램프

2014.03.06

정부기관에 클라우드 서비스를 판매하는 것은 매우 까다로운 프로세스를 의미한다. 비단 문서만이 아니다. 여기 미 연방정부의 클라우드 인증 프로세스 베터랑이 말하는 몇 가지 팁을 소개한다. 미 연방 정부는 매년 800억 달러의 IT 예산을 집행하고 있다. 여기서 클라우드 서비스 업체에 돌아가는 예산 비중이 증가하는 추세다. 때문에 크고 작은 클라우드 업체들이 미국의 최대 IT구매자와 계약을 맺기 위해 줄을 서 있는 실정이다. 게다가 클라우드에 대한 미 연방 정부의 시각과 태도가 바뀌고 있다. 페드램프(FedRAMP)의 이사 마리아 로트는 "과거에는 랙 등 내부 기반 기술만 고집했는데 이제는 '탄력적인 사용량에 기반을 둔 기술'을 옹호하는 사람들이 늘어나고 있다"고 밝혔다. 연방 인증 및 위험 관리 프로그램(Federal Risk and Authorization Management Program)의 약칭인 페드램프(FedRAMP)는 민간 업체의 클라우드 제품과 서비스를 평가하는 중앙 정부 산하 보안 인가 프로그램이다. 로트는 "이 프로그램을 통해 클라우드가 안전하다는 사실이 입증됐다. 변화가 시작되면서 문화와 인식이 바뀌고 있다"고 말했다. 그러나 업계 표현을 빌자면 정부를 상대로 하는 사업에는 턴키 방식이 적용되지 않는다. 또 여전히 상대적으로 생소한 프로세스 때문에 혼란이 초래되기도 한다. 최근 업계와 정부 관계자들이 워싱턴에 모여 페드램프 프로세스를 위한 베스트 프랙티스와 잘못 알려진 사실을 공개했다. 대 정부 사업을 제대로 이해하라 기존의 B2B 업체 중에는 정부를 상대하는 사업에 어려움을 겪을 수 있는 회사가 있다. 정부의 평가 과정을 통과한 경험이 있는 리더들은 정부 사업에 새로 뛰어드는 회사들은 기대치를 적절히 정해야 한다고 강조했다. 협상이 불가능하거나 보증이 되지 않는 사항이 있다. 또 평가 과정에 많은 시간과 돈이 필요할 수 있다. 페드램프의 평가 과정을 통...

2014.03.06

美 뉴욕주 공공기관 IT, 클라우드로 빠르게 통합 중

미국에서 3번째로 인구 밀도가 높은 주인 뉴욕주의 30개 이상의 공공기관에는 12만 명 이상의 공무원들이 일하고 있다. 이 기관들은 모두 각각의 IT업무를 운영하고 있는데, 이 모든 것이 변화할 예정이다. 수 년 동안, 뉴욕주는 50군데의 데이터센터를 건립했으며 센터들의 IT 프랙티스에는 일관성 없는 것으로 알려졌다. 공공기관들은 자신들의 IT를 각각 다른 단계에서 바꿔 나갔다. 일부 기관들은 화상회의 기능을 가지고 있지만 다른 곳들은 아직도 테이프 백업을 사용하고 있었다. 이메일 시스템은 그룹와이즈(GroupWise), 노츠(Notes), 익스체인지(Exchange) 등이 혼재돼 있었다. 그 결과 사용자 경험은 일정하지 않았고 이는 협업을 방해했다. 게다가 단일 IT 예산도 없었다. 9개월 전, 주지사 앤드류 M. 쿠오모는 먼저 정보기술서비스 사무국(OITS)을 만들고 37개 정부 기관에 흩어져 있는 IT전문가 3,300명 이상을 OITS에 배치시켰다. 이 모든 것을 총괄하는 새로운 CIO로 브라이언 디그맨이 임명됐다. 그는 현재 바쁜 시간을 보내고 있다. 뉴욕주는 최근 50개의 데이터센터를 2개로 통합할 계획을 발표했으며 이 작업을 새로운 데이터센터 중 하나의 건립이 완료된 후인 2015년 초까지 마무리하겠다고 밝혔다. 또한 뉴욕주는 전 직원의 업무를 올해 말까지 오피스 365로 이전할 계획이라고 지난 주에 발표했다. 뉴욕주는 오피스 365 마이그레이션으로 연간 경상비를 약 300만 달러 절감하고 모든 주 공무원 주소록과 전 부서의 협업 기능 같은 업무 생산성을 달성할 것으로 기대하고 있다. 이메일 서비스 문제는, 일부 주 정부 기관들이 정전 때문에 이메일에 접속하지 못했던 허리케인 샌디가 미 동부를 강타했을 때 극명하게 드러났다. OITS가 갖는 접근 방법이 새로운 것은 아니다. 연방 정부를 포함한 주정부들은 비슷한 이유로 데이터센터를 통합하고 있다. 미 정부기관들은 구글과 마이크로소프트의 클라우드 기반의 업무 ...

구글 뉴욕주 퍼블릭 클라우드 오피스 365 정부기관 공공 IT서비스 통합 마이크로소프트 헤리케인 캔디

2013.08.19

미국에서 3번째로 인구 밀도가 높은 주인 뉴욕주의 30개 이상의 공공기관에는 12만 명 이상의 공무원들이 일하고 있다. 이 기관들은 모두 각각의 IT업무를 운영하고 있는데, 이 모든 것이 변화할 예정이다. 수 년 동안, 뉴욕주는 50군데의 데이터센터를 건립했으며 센터들의 IT 프랙티스에는 일관성 없는 것으로 알려졌다. 공공기관들은 자신들의 IT를 각각 다른 단계에서 바꿔 나갔다. 일부 기관들은 화상회의 기능을 가지고 있지만 다른 곳들은 아직도 테이프 백업을 사용하고 있었다. 이메일 시스템은 그룹와이즈(GroupWise), 노츠(Notes), 익스체인지(Exchange) 등이 혼재돼 있었다. 그 결과 사용자 경험은 일정하지 않았고 이는 협업을 방해했다. 게다가 단일 IT 예산도 없었다. 9개월 전, 주지사 앤드류 M. 쿠오모는 먼저 정보기술서비스 사무국(OITS)을 만들고 37개 정부 기관에 흩어져 있는 IT전문가 3,300명 이상을 OITS에 배치시켰다. 이 모든 것을 총괄하는 새로운 CIO로 브라이언 디그맨이 임명됐다. 그는 현재 바쁜 시간을 보내고 있다. 뉴욕주는 최근 50개의 데이터센터를 2개로 통합할 계획을 발표했으며 이 작업을 새로운 데이터센터 중 하나의 건립이 완료된 후인 2015년 초까지 마무리하겠다고 밝혔다. 또한 뉴욕주는 전 직원의 업무를 올해 말까지 오피스 365로 이전할 계획이라고 지난 주에 발표했다. 뉴욕주는 오피스 365 마이그레이션으로 연간 경상비를 약 300만 달러 절감하고 모든 주 공무원 주소록과 전 부서의 협업 기능 같은 업무 생산성을 달성할 것으로 기대하고 있다. 이메일 서비스 문제는, 일부 주 정부 기관들이 정전 때문에 이메일에 접속하지 못했던 허리케인 샌디가 미 동부를 강타했을 때 극명하게 드러났다. OITS가 갖는 접근 방법이 새로운 것은 아니다. 연방 정부를 포함한 주정부들은 비슷한 이유로 데이터센터를 통합하고 있다. 미 정부기관들은 구글과 마이크로소프트의 클라우드 기반의 업무 ...

2013.08.19

미 정부기관이 고심하는 빅 데이터 문제들

미 정부기관들이 방대한 데이터를 수집하고 있지만 이 데이터를 저장하고 효율, 정확도, 예측 등을 개선하기 위해 독자적으로 분석하는 데 고군분투하고 있다. 의사 결정의 속도, 효율성, 정확성을 향상시키고 예측 능력을 강화하는 등 빅 데이터에는 정부기관의 업무에 변화를 가져다 줄 힘이 있다. 하지만 동전의 양면처럼, 정부기관들에 새로운 고민도 안겨줬다. 메리토크(MeriTalk)가 최근 발표한 ‘빅 데이터 갭(The Big Data Gap)’ 보고서에 따르면, 정부기관들이 빅 데이터 활용에 필요한 데이터 스토리지, 접근 역량, 컴퓨팅 파워, 인력 등이 부족한 상황이라 지적했다. 메리토크는 연방기업위원회(Federal Business Council)와 연방관리자협회(Federal Managers Association), 거브루프(GovLoop), 재무성 노조(National Treasury Employees Union), 미 위문협회(USO), WTOP.WFED 라디오 간의 제휴를 통해 구성된 정부 IT개발 커뮤니티 네트워크(community network)다. 메리토크에 이 연구를 의뢰한 넷앱의 공공 부문 본부장 마크 웨버는 “정부는 데이터의 금광을 가지고 있다. 문제는 이 데이터들을 발굴하고 고급 정보로 가공해 효율성을 증대 시키고 의사 전달 체계를 개선하는데 있다. 기관들은 데이터에 접속하고 이를 처리, 분석, 관리하는 과정을, 그리고 이를 통해 업무를 수행하는 과정을 좀더 효율적으로 바꿔줄 빅 데이터 솔루션을 필요로 하고 있다”라고 말했다.   --------------------------------------------------------------- 빅 데이터 인기기사 > 칼럼 | 빅데이터의 위력 -> 빅 데이터 구축과 활용 ‘사례 속의 교훈들’ ->기업 미래 좌우할 빅 데이터, 어떻게 준비할 것인가? -...

스토리지 넷앱 정부기관

2012.06.15

미 정부기관들이 방대한 데이터를 수집하고 있지만 이 데이터를 저장하고 효율, 정확도, 예측 등을 개선하기 위해 독자적으로 분석하는 데 고군분투하고 있다. 의사 결정의 속도, 효율성, 정확성을 향상시키고 예측 능력을 강화하는 등 빅 데이터에는 정부기관의 업무에 변화를 가져다 줄 힘이 있다. 하지만 동전의 양면처럼, 정부기관들에 새로운 고민도 안겨줬다. 메리토크(MeriTalk)가 최근 발표한 ‘빅 데이터 갭(The Big Data Gap)’ 보고서에 따르면, 정부기관들이 빅 데이터 활용에 필요한 데이터 스토리지, 접근 역량, 컴퓨팅 파워, 인력 등이 부족한 상황이라 지적했다. 메리토크는 연방기업위원회(Federal Business Council)와 연방관리자협회(Federal Managers Association), 거브루프(GovLoop), 재무성 노조(National Treasury Employees Union), 미 위문협회(USO), WTOP.WFED 라디오 간의 제휴를 통해 구성된 정부 IT개발 커뮤니티 네트워크(community network)다. 메리토크에 이 연구를 의뢰한 넷앱의 공공 부문 본부장 마크 웨버는 “정부는 데이터의 금광을 가지고 있다. 문제는 이 데이터들을 발굴하고 고급 정보로 가공해 효율성을 증대 시키고 의사 전달 체계를 개선하는데 있다. 기관들은 데이터에 접속하고 이를 처리, 분석, 관리하는 과정을, 그리고 이를 통해 업무를 수행하는 과정을 좀더 효율적으로 바꿔줄 빅 데이터 솔루션을 필요로 하고 있다”라고 말했다.   --------------------------------------------------------------- 빅 데이터 인기기사 > 칼럼 | 빅데이터의 위력 -> 빅 데이터 구축과 활용 ‘사례 속의 교훈들’ ->기업 미래 좌우할 빅 데이터, 어떻게 준비할 것인가? -...

2012.06.15

미 의회, 정부기관 클라우드 확산 정책에 의문 제기

오바마 행정부에 의해 강력하게 추진되고 있는 미 정부기관의 클라우드 컴퓨팅 도입이 의도하지 않은 보안 문제와 여러 가지 골치거리를 만들어 낼 수 있다는 지적이 일부 미국 국회의원들에 의해 제기됐다.   미국 하원 국방위원회의 사이버 보안 소위원회 소속 일부 의원들은 청문회를 통해 정부기관의 클라우드 컴퓨티이 도입이 비용을 절감하는 반면, 공공기관 데이터에 대한 통제권, 데이터의 이동성, 그리고 클라우드 업체가 사이버 범죄의 주요 공격대상이 될 수 있다는 점 등의 문제를 야기할 수 있다고 지적했다.   소위원회 의장인 댄 렁그렌 하원의원은 “우리가 우려하는 바는 클라우드가 해커와 범죄자, 테러리스트, 해적 국가들에게 좋은 공격대상이 된다는 점이다”라며, “사이버 첩보활동이 모든 산업 분야에 영향을 미치고 있는 상황에서 중요한 정보를 한 곳에 모아두는 것은 당연히 보안 상의 우려가 된다”고 강조했다.   이에 대해 CA의 보안 담당 최고 아키텍트인 티모시 브라운은 많은 클라우드 서비스 업체가 이런 위험을 줄이기 위해 데이터를 여러 서버와 여러 데이터센터에 분산시켜 놓는다고 설명했다. 브라운은 “사용자 데이터의 작은 조각이 전세계에 흩어져 있는 서버들의 한 부분에 저장된다. 따라서 범죄자들이 이를 제대로 된 조각으로 재구성할 수 없다”고 덧붙였다.   해외 클라우드 업체의 서비스 이용 여부와 클라우드 업체가 사업을 중단했을 때 정부기관의 데이터는 어떻게 되는지에 대한 질문도 쏟아졌다. 렁그렌은 지난 2월 오바마 정부가 IT 배치에 대해 ‘클라우드 우선’ 전략을 내세운 후, 국회가 클라우드 컴퓨팅의 이점과 위험을 점검할 필요가 있다고 말했다.   이번 청문회에 증인으로 나온 7명 중 5명은 클라우드 컴퓨팅을 옹호했는데, 비용을 절감할 수 있다는 점과 최신 기술로 더 빨...

클라우드 보안 공공기관 정부기관 의회 청문회

2011.10.07

오바마 행정부에 의해 강력하게 추진되고 있는 미 정부기관의 클라우드 컴퓨팅 도입이 의도하지 않은 보안 문제와 여러 가지 골치거리를 만들어 낼 수 있다는 지적이 일부 미국 국회의원들에 의해 제기됐다.   미국 하원 국방위원회의 사이버 보안 소위원회 소속 일부 의원들은 청문회를 통해 정부기관의 클라우드 컴퓨티이 도입이 비용을 절감하는 반면, 공공기관 데이터에 대한 통제권, 데이터의 이동성, 그리고 클라우드 업체가 사이버 범죄의 주요 공격대상이 될 수 있다는 점 등의 문제를 야기할 수 있다고 지적했다.   소위원회 의장인 댄 렁그렌 하원의원은 “우리가 우려하는 바는 클라우드가 해커와 범죄자, 테러리스트, 해적 국가들에게 좋은 공격대상이 된다는 점이다”라며, “사이버 첩보활동이 모든 산업 분야에 영향을 미치고 있는 상황에서 중요한 정보를 한 곳에 모아두는 것은 당연히 보안 상의 우려가 된다”고 강조했다.   이에 대해 CA의 보안 담당 최고 아키텍트인 티모시 브라운은 많은 클라우드 서비스 업체가 이런 위험을 줄이기 위해 데이터를 여러 서버와 여러 데이터센터에 분산시켜 놓는다고 설명했다. 브라운은 “사용자 데이터의 작은 조각이 전세계에 흩어져 있는 서버들의 한 부분에 저장된다. 따라서 범죄자들이 이를 제대로 된 조각으로 재구성할 수 없다”고 덧붙였다.   해외 클라우드 업체의 서비스 이용 여부와 클라우드 업체가 사업을 중단했을 때 정부기관의 데이터는 어떻게 되는지에 대한 질문도 쏟아졌다. 렁그렌은 지난 2월 오바마 정부가 IT 배치에 대해 ‘클라우드 우선’ 전략을 내세운 후, 국회가 클라우드 컴퓨팅의 이점과 위험을 점검할 필요가 있다고 말했다.   이번 청문회에 증인으로 나온 7명 중 5명은 클라우드 컴퓨팅을 옹호했는데, 비용을 절감할 수 있다는 점과 최신 기술로 더 빨...

2011.10.07

IDG 블로그 | 미 연방정부가 클라우드를 기피하는 3가지 이유

기업들이 비용 절감과 유연성 확보를 위해 클라우드 컴퓨팅으로 발빠르게 움직이고 있는 가운데, 미 연방정부는 예산과 인력 손실, 그리고 통제에 대한 지나친 욕망의 늪에 빠져 허우적거리고 있다.   미 연방정부의 클라우드 도입에 대한 뉴욕타임즈의 기사는 문제의 핵심을 정확하게 짚어냈다고 보기 힘들다. 뉴욕타임즈는 “새로운 인터넷 기술에 대한 격찬은 실리콘 밸리에서는 일상적인 것일지 모르지만, 연방정부 내에서는 매우 드문 일이다”라고 전했다.   최근에는 클라우드 컴퓨팅을 회피하는 손쉬운 변명을 대는 경우를 쉽게 볼 수 있다. 예를 들어, 올해 봄과 여름에 이어진 외부로부터 내부 정부 시스템에 대한 공격이 좋은 이유이다. 지난 7월 미 국방부는 해커들이 2만 4,000건의 기밀 파일을 손에 넣을 때 대규모 정보 유출로 어려움을 겪고 있다고 밝혔다.   필자는 최근의 해킹 공격과 같은 것이 예외적인 상황이 아니라 점점 더 일상화되지 않을까 생각하고 있으며, 따라서 클라우드로 이전할 수 없는 변명은 언제나 마련되어 있을 것이다. 물론 필자는 클라우드 기반 시스템이 본질적으로 덜 안전하다는 주장에 반대하는 입장이다.   이것은 어디까지나 시큐리티 베스트 프랙티스와 기술을 어떻게 사용하느냐의 문제이지 서버를 어디에 두느냐의 문제가 아니기 때문이다. 물론 정부 기관의 기밀이 아마존 웹 서비스에 지금 당장 올라가야 한다고 말하는 것은 아니다. 하지만 정부기관이 관리하는 다른 정보의 대부분은 클라우드에 올려도 괜찮은 것들이다.   도입이 저조한 이유는 분명하다. 다시 한 번 말하지만 정부의 클라우드 도입이 더딘 이유는 세 가지이다. 돈과 재능, 그리고 통제이다.   먼저 돈이다. 대부분의 정부기관은 지금 당장 클라우드로 이전할 수 있는 자금이 없다. 이전 비용은 매우 높으며, 예산은 부족하고, 때문에 기존에 있던 시스템...

클라우드 보안 인력 정부기관

2011.08.26

기업들이 비용 절감과 유연성 확보를 위해 클라우드 컴퓨팅으로 발빠르게 움직이고 있는 가운데, 미 연방정부는 예산과 인력 손실, 그리고 통제에 대한 지나친 욕망의 늪에 빠져 허우적거리고 있다.   미 연방정부의 클라우드 도입에 대한 뉴욕타임즈의 기사는 문제의 핵심을 정확하게 짚어냈다고 보기 힘들다. 뉴욕타임즈는 “새로운 인터넷 기술에 대한 격찬은 실리콘 밸리에서는 일상적인 것일지 모르지만, 연방정부 내에서는 매우 드문 일이다”라고 전했다.   최근에는 클라우드 컴퓨팅을 회피하는 손쉬운 변명을 대는 경우를 쉽게 볼 수 있다. 예를 들어, 올해 봄과 여름에 이어진 외부로부터 내부 정부 시스템에 대한 공격이 좋은 이유이다. 지난 7월 미 국방부는 해커들이 2만 4,000건의 기밀 파일을 손에 넣을 때 대규모 정보 유출로 어려움을 겪고 있다고 밝혔다.   필자는 최근의 해킹 공격과 같은 것이 예외적인 상황이 아니라 점점 더 일상화되지 않을까 생각하고 있으며, 따라서 클라우드로 이전할 수 없는 변명은 언제나 마련되어 있을 것이다. 물론 필자는 클라우드 기반 시스템이 본질적으로 덜 안전하다는 주장에 반대하는 입장이다.   이것은 어디까지나 시큐리티 베스트 프랙티스와 기술을 어떻게 사용하느냐의 문제이지 서버를 어디에 두느냐의 문제가 아니기 때문이다. 물론 정부 기관의 기밀이 아마존 웹 서비스에 지금 당장 올라가야 한다고 말하는 것은 아니다. 하지만 정부기관이 관리하는 다른 정보의 대부분은 클라우드에 올려도 괜찮은 것들이다.   도입이 저조한 이유는 분명하다. 다시 한 번 말하지만 정부의 클라우드 도입이 더딘 이유는 세 가지이다. 돈과 재능, 그리고 통제이다.   먼저 돈이다. 대부분의 정부기관은 지금 당장 클라우드로 이전할 수 있는 자금이 없다. 이전 비용은 매우 높으며, 예산은 부족하고, 때문에 기존에 있던 시스템...

2011.08.26

아마존, 보안 강화한 정부기관용 서비스 GovCloud 발표

아마존이 자사 클라우드 서비스의 보안과 액세스 기능을 한층 강화해 정부기관을 고객으로 모시기 위한 노력을 기울이고 있다.   아마존은 8월 17일 ITAR(International Traffic in Arms Regulation)을 만족하는 클라우드 서비스인 AWS GovCloud를 발표했다. ITAR은 정부기관이 데이터 보호를 포함해 어떻게 민감한 데이터를 관리하고 저장해야 하는지를 규정하고 있다.   ITAR의 적용을 받는 정부긱관이 사용하는 클라우드 서비스는 반드시 미국 시민권자만이 액세스할 수 있어야 한다. AWS GovCoud는 미국 시민권자만이 액세스할 수 있고, 기타 ITAR의 요구사항을 만족하기 때문에 미국 정부기관이 이 서비스를 통해 데이터를 저장하고 관리할 수 있다는 것이 아마존의 설명이다.   아마존의 클라우드 서비스는 기존에도 정부의 규제에 부합하는 서비스를 제공해 왔는데, 연방정보보안관리법이나 연방 정보처리표준 등이 대표적이다. 이 때문에 미국 정부기관의 상당수가 아마존의 서비스를 이용해 왔다.   NASA의 제트추진연구소나 경기회복 및 책임투명성 위원회 등의 연방 기관도 AWS를 사용하고 있다. 이번에 발표된 GovCloud는 다른 민간 기업을 위한 AWS 서비스와 비교해 비용이 조금 더 비싸다.   한편 아마존은 마이크로소프와 구글이 정부 클라우드 서비스 시장을 놓고 벌이고 있는 경쟁에서 한걸음 떨어져 있는 상황. 두 업체가 호스팅 기반의 이메일을 비롯한 다양한 기업용 서비스 시장을 놓고 경쟁하는 반면, 아마존은 컴퓨팅 및 스토리지 클라우드 서비스 영역에서 입지를 굳히고 있기 때문이다.  editor@itworld.co.kr

클라우드 보안 아마존 ITAR 정부기관

2011.08.17

아마존이 자사 클라우드 서비스의 보안과 액세스 기능을 한층 강화해 정부기관을 고객으로 모시기 위한 노력을 기울이고 있다.   아마존은 8월 17일 ITAR(International Traffic in Arms Regulation)을 만족하는 클라우드 서비스인 AWS GovCloud를 발표했다. ITAR은 정부기관이 데이터 보호를 포함해 어떻게 민감한 데이터를 관리하고 저장해야 하는지를 규정하고 있다.   ITAR의 적용을 받는 정부긱관이 사용하는 클라우드 서비스는 반드시 미국 시민권자만이 액세스할 수 있어야 한다. AWS GovCoud는 미국 시민권자만이 액세스할 수 있고, 기타 ITAR의 요구사항을 만족하기 때문에 미국 정부기관이 이 서비스를 통해 데이터를 저장하고 관리할 수 있다는 것이 아마존의 설명이다.   아마존의 클라우드 서비스는 기존에도 정부의 규제에 부합하는 서비스를 제공해 왔는데, 연방정보보안관리법이나 연방 정보처리표준 등이 대표적이다. 이 때문에 미국 정부기관의 상당수가 아마존의 서비스를 이용해 왔다.   NASA의 제트추진연구소나 경기회복 및 책임투명성 위원회 등의 연방 기관도 AWS를 사용하고 있다. 이번에 발표된 GovCloud는 다른 민간 기업을 위한 AWS 서비스와 비교해 비용이 조금 더 비싸다.   한편 아마존은 마이크로소프와 구글이 정부 클라우드 서비스 시장을 놓고 벌이고 있는 경쟁에서 한걸음 떨어져 있는 상황. 두 업체가 호스팅 기반의 이메일을 비롯한 다양한 기업용 서비스 시장을 놓고 경쟁하는 반면, 아마존은 컴퓨팅 및 스토리지 클라우드 서비스 영역에서 입지를 굳히고 있기 때문이다.  editor@itworld.co.kr

2011.08.17

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.9