2022년도 어김없이 대규모의 사이버 공격이 끊이지 않고 전 세계를 괴롭혔다. 히스콕스(Hiscox)가 발간한 2022년 사이버 준비태세 보고서에 따르면 전 세계에 걸쳐 사이버 공격으로 인해 발생한 평균 피해액은 약 17,000불로 작년에 비해 29%나 증가했다.  러-우 전쟁으로 시작된 러시아의 사이버공격, 코스타리카의 콘티 랜섬웨어, 랩서스 그룹의 해킹, 주요 의료기관 해킹 등이 대표적이다. 중요한 것은 막대한 피해를 입은 공격 대다수가 활용한 공격 수법이 그다지 새롭지 않았다는 점이다. 모두 이미 널리 알려진 취약점을 악용했다. 즉, 아는 데도 막지 못한 것이다.  주요 원인은 사이버보안이 중요한 것을 알면서도 투자할 여력이 없다는 현실이다. 공격에 가장 큰 피해를 받는 기관은 대부분 구식 컴퓨터 시스템을 사용하고 있다. 따라서 세계경제포럼은 2022년 세계 사이버보안 전망 보고서에서 정부와 민간 부문이 협력하는 것이 매우 중요하다고 강조했다.  이에 2022년에도 어김없이 여러 국가가 발 벗고 나서 기업을 지원하고, 표준을 확립하고, 법안을 도입했다. 싱가포르, 이스라엘, 호주, 영국, 미국, 독일, 프랑스, 스코틀랜드, 벨기에, 핀란드, 그리고 유럽연합 등 10개의 국가가 올해 2월부터 9월까지 선보인 22가지의 사이버보안 이니셔티브에 대해 알아본다.    2월 1. 이스라엘: 라틴아메리카, 카리브 지역 IDB 사이버보안 이니셔티브  이스라엘 정부가 중남미(LAC) 지역의 사이버보안 역량 강화를 위해 200만 달러를 투자하며 미주개발은행(IDB)에 가입하겠다고 밝혔다. 해당 지역의 정부가 최신 보안 관행과 기법을 익힐 수 있도록 지원하는 것이 목표다. 이스라엘 IDB 이사회의 마탄 레브-아리 대표는 "이번 사이버보안 이니셔티브는 중남미 카브리 지역의 국가가 안전하게 디지털 전환을 달성할 수 있는 길을 열어주는 셈이다. 특히 이 국가들은 성장 잠재력이 아주 크다"라고 말했다.   ...

7일 전

사이버보안 전문가의 수요가 지난 10년간 급증하고 있다. 사이버보안 교육 및 인증 협회 (ISC)²의 ‘2021년 사이버보안 인력 조사(2021 Cybersecurity Workforce Study)’에 따르면, 전 세계 사이버보안 전문가는 2020년 70만 명에서 2021년 419만 명으로 늘었다. 하지만 사이버보안 인력 부족을 호소하는 기업은 여전히 많다.    IT 컨설팅 업체 부즈 알렌(Booz Allen)에서 사이버 기업을 위한 인재 전략 전문가로 활동 중인 에린 와이스 카야는 “사이버보안 업계는 새로운 위협 행위자, 신기술, 5G의 진화 등 위협의 변화가 거의 매일 일어나는 곳이다. 현재 공급에 비해 수요가 훨씬 많아서 실업률은 여전히 0%다”라고 말했다. 사이버보안 업체 라이파스(LIFARS) CEO이자 디지털 과학수사 및 윤리적 해킹 전문가 온드레이 크레헬은 증가 일로가 예상되는 사이버보안 업계의 규모와 위험을 감안할 때 기업들이 기술 격차를 메우기 위한 정책 실행과 인재 유치에 당장 나서야 한다고 강조했다. 또한 “점점 똑똑하고 빨라지는 해커들의 추세에 맞춰 기업도 강력한 사이버보안팀을 구축하고 인력 부족을 겪지 않도록 해야 한다”라고 덧붙였다. 적임자 구인의 어려움 그러나 적합한 사이버보안 기술을 보유한 인재를 찾아 유치하는 일은 만만하지 않다. 오늘날에는 말단 사이버보안직에 요구되는 IT 기술도 매우 많다. 크레헬은 ‘말단’ 사이버보안직에 타 업계 중견 고위직 수준으로 과도한 보안 자격증을 요구하는 경우가 많으며 “기준이 비현실적으로 높다”라고 지적했다. 또한 카야는 민첩성, 유연성과 같은 일반적인 기술은 측정하기도, 채용 기준으로 삼기도 어렵지만 IT 기술 못지않게 절실히 필요하다면서 “필요한 기술은 기술적 도구가 아니라 도구를 배포하고 데이터를 실제로 해석하는 능력이다”라고 설명했다. 이런 기술 보유자를 찾으려면 채용 전략을 개선해야 한다. 카야는 “업계가 사이버 분야에 대한 비선형적인 진입점을 아직...

2022.09.28

지난 9월 7일부터 9일까지 미국, 캐나다, 영국, 독일 그리고 이스라엘 정부의 사이버보안 기관 리더들이 2022 빌링턴 사이버보안 정상회의(2022 Billington Cybersecurity Summit)에 모여 범국가적 사이버 위협에 대비하기 위한 협심을 다짐했다.     사이버 공격은 국경을 넘나드는 전 세계적 위협 중 하나다. 온라인 사칭 사기부터 랜섬웨어까지 다양한 공격 기법이 핵심 인프라를 무너뜨릴 기회를 호시탐탐 엿보고 있다. 세계가 대규모의 경제적, 사회적 재난 사태에 빠지지 않게 하려면 범국가 차원에서 사이버보안 협력이 이루어져야 한다.   미국이 워싱턴에서 주최하는 연례 빌링턴 사이버보안 정상회의(Billington Cybersecurity Summit)에서 각 국가의 지도자들이 모여 국제적 사이버보안 협력에 대해 논의했다. 사회의 모든 구성 요소가 디지털화되면서 공공 부문과 민간 부문 모두 사이버 공격에 노출되고 있다. 각국은 이미 사이버보안 정책에 박차를 가하고 있지만 리더들은 이를 넘어 국제적 대안이 필요하다는 점에 동감했다.    첩보 커뮤니티, 국제 협력을 이끌다 국경을 넘나드는 사이버보안 협력의 밑바탕은 국가 정보기관 커뮤니티였다. 조지 반스 미 국가안보국(NSA) 부국장은 “미국은 이미 여러 자매 국가와 긴밀한 협력관계를 구축했으며, 앞으로도 이런 관계는 점점 더 많아지고 다양해질 전망이다”라며 “국가 정보기관 종사자와 사이버보안 종사자가 자연스럽게 어울리면서 국제 사이버보안 협력의 초석을 단단히 다지게 됐다”라고 설명했다. 영국, 미국, 캐나다, 호주, 뉴질랜드 5개국이 맺은 파이브 아이즈(Five Eyes) 첩보 동맹 네트워크가 가장 대표적인 국제 협력이지만 그는 훨씬 더 다양한 협력 관계가 있다고 말했다. “유럽과도 오랜 기간 관계를 맺고 있지만 이제 동아시아 국가와 협력 관계를 구축하는 데 집중하고 있다. 서로 도움이 필요하다. 우리도 그들의 시야를 넓...

2022.09.20

글로벌 여성 사이버보안 종사자를 위한 비영리 단체 ‘포르테 그룹(Forte Group)’이 출범했다. 이 단체를 이루는 90명 이상의 여성 사이버보안 종사자들은 여성 사이버 보안 전문가를 육성하고 권리를 보장하는 것이 목표라고 밝혔다. 본부는 캘리포니아에 있지만, 전 세계 여성 사이버보안 종사자 누구나 가입할 수 있다고 단체 측은 전했다.   그룹에 따르면 사실 이 단체는 팬데믹 초기에 비공식적으로 결성됐다. 그때부터 구성원들은 매달 때쯤 만나 서로의 경험을 공유하며 변화를 만드는 방법에 대해 논의했다. 포르테 그룹의 부회장이자 미국에 있는 퍼블릭 분산 원장 플랫폼 헤데라 해시그래프(Hedera Hashgraph)에서 커뮤니케이션 부서를 이끄는 제노비아 갓샤크는 “소통을 할수록 더 많은 여성 사이버보안 종사자들이 뭉치면 더 큰 변화를 만들 수 있으리라는 느낌이 들었다. 이제 공식 단체가 설립된 덕에 본격적인 활동에 필요한 자금을 모을 수 있게 됐다. 이전부터 몇몇 기업과 조직이 단체의 미션을 후원하고 싶다는 의사를 밝혀왔으므로 정식으로 힘을 모을 방법을 마련했다”라고 말했다. 여성 사이버보안 종사자 지원 활동 이 그룹은 커뮤니케이션 기법, 연봉 및 성과금 협상, 엔젤 투자, 랜섬웨어 모범 사례와 같은 주제에 대한 전문가로 이루어져 있다. 사이버보안 업계의 성비 불균형 문제에 대한 의식을 퍼뜨리고, 고위직 전문가을 설득해 점차 몇몇 관행을 바꿔 나가는 것이 목표다.  국제 정보 시스템 보안 인증 컨소시엄 ISC²가 2018년 북미, 중남미, 아시아-태평양에서 일하는 1,452명의 사이버보안 종사자를 대상으로 실시한 조사에 따르면 여성의 비율은 24%로 드러났다. 사이버보안 업계의 성비 불균형 문제는 사이버보안 업계의 다양성에 대해 논의를 하는 자리 같은 곳에서 드러난다고 단체 측은 주장했다. 다양성 컨퍼런스에 오직 남성 종사자들만 참여하게 되는 경우가 드물지 않으며, 단체는 이런 컨퍼런스를 위한 행위 강령을 수립...

2022.09.01

미국 비영리 사이버보안 기구 IST(Institute for Security and Technology)는 40가지의 보안 권고사항을 담은 새 보안 지침서가 중소기업을 보호하는 데 큰 도움이 될 것이라 전했다.    IST가 최근 중소기업을 위한 ‘랜섬웨어 대비 지침서(Blueprint for Ransomware Defense)’를 공개했다. 중소기업이 랜섬웨어를 비롯한 일반적인 사이버 공격에 대응할 수 있도록 지원하는 것이 목표라고 기구는 밝혔다.    지침은 대체로 미국 국립기술표준원(National Institute of Standards and Technology)의 사이버보안 프레임워크인 ‘식별, 보호, 탐지, 대응, 복구’의 형식을 따른다. 다만 탐지 기능은 지침에 포함되지 않는다. 보고서는 탐지 기능을 외주 사이버보안 업체와 협력하라고 추천했다. IST는 총 14개의 기본 지침과 행동 지침을 제시했다.  식별 지침  네트워크에서 보호해야 할 항목을 식별하는 데 도움이 될 기본 보안 조치는 다음과 같다.   세부적인 기업 자산 인벤토리를 설정하고 유지한다.  소프트웨어 인벤토리를 구축하고 관리한다.  데이터 관리 프로세스를 수립한다. 계정 관리 목록을 만들고 관리한다.  이를 시작으로, 중소기업은 컴퓨터 및 소프트웨어에 수반되는 위험을 파악하기 위한 추가적인 방안을 모색해야 한다고 지침서는 당부했다.  예를 들면 중요한 LOB(또는 현업) 애플리케이션 때문에 아직 구식 기술을 계속 쓰는 중소기업이 많다. 따라서 자산 인벤토리화만 해서는 부족하다. 중소기업은 구식 네트워크 구성 요소와 소프트웨어가 일으킬 수 있는 위협도 고려해야 한다. 이 밖에 취약점을 식별하기 위한 행동 지침으로 기구는 소프트웨어를 항상 최신으로 유지하길 당부했다.  보호 지침  그 다음 네트워크 구성 요소 보안을 강화하려면 다음과 같은...

2022.08.22

오늘날 모두가 사이버 보안의 책임을 져야 한다. 보안 문제에 다 같이 협력하면 위험을 크게 줄일 수 있다.   정보 보안은 과거에 새로운 고려 사항으로 시작했지만 현재는 비즈니스의 핵심 영역이다. 나아가 미래에는 산업을 규정하는 기준이 될 기준이 될 터다. 이렇게 중요해진 보안을 확보하려면 물론 산업 전체가 공동으로 노력해야 함은 물론 개개인도 행동에 나서야 한다.   보안의 경제성은 명백하다. "사이버 보안을 확보하지 않고는 재정적 안정성을 담보할 수 없다"라고 미연방은행의 총재이자 CEO인 로레타 메스터가 말했다. 실제로 열악한 사이버 보안 인식은 수많은 문제를 야기했다. 주가와 브랜드 평판의 하락과 시장 점유율 및 매출의 감소로 이어졌다. 심지어 기업이 벌금을 물게 하고, 예기지 않은 법률 비용을 쓰게 하며, 양질의 직원을 고용하는 데 애를 먹게 만들기도 했다. 따라서 미래를 준비하려면 정보 보안을 완벽하게 갖춰야 한다.  미래의 정보 보안에 대비하는 방법을 정리하자면 다음과 같다.  1.    직원 개개인의 사이버 보안 책임과 역할을 인식시키기   2.    정보 과학에 대한 직원의 잘못된 통념을 바로잡기   3.    바람직한 사이버 보안 습관 실천하기  4.    소프트웨어 공급망 주시하기  5.    운영 기술의 기반을 이루는 소프트웨어 컴포넌트의 보안 강화하기  이제 강 건너 불구경은 그만  지금까지의 디지털 시대에서 사이버 보안은 그닥 인기 없는 스포츠 종목과 비슷했다. 직원, 고객, 경영진과 이사회는 정보 감시자들(보안 전문가)이 어둠 속에서 악당들과 싸우는 것을 먼발치 관중석에서 구경하기만 했다.  하지만 이제 정보 보안과 인간과의 거리가 더 가까워저야 한다. 기기를 사용하는 모든 사람은 사이버 보안...

2022.06.13

‘RSA 컨퍼런스(RSA Conference)’는 기업들이 최신 사이버보안 제품을 선보일 수 있는 기회다. 여기서는 RSA 컨퍼런스 2022에서 가장 흥미로웠던 신제품 14가지를 살펴본다.  매년 글로벌 보안 벤더들은 세계 최대 규모의 사이버보안 박람회 ‘RSA 컨퍼런스(RSAC)’를 통해 새로운 제품 및 기능을 소개한다. 지난 2021년 팬데믹 여파로 온라인에서 개최됐던 이 박람회는 올해 (가상 요소가 포함된) 대면 이벤트로 돌아왔다.  6월 6일부터 9일까지 진행된 RSAC 2022의 신제품 쇼케이스에서는 ID 및 액세스 보안, SaaS 서비스 및 보안운영센터(SOC) 개선사항이 주를 이뤘다. 이번 박람회에서 흥미로웠던 신제품들을 알아본다.   ‘앱게이트(AppGate)’: SDP 6.0 SDP 6.0은 앱게이트 제로 트러스트 네트워크 액세스(ZTNA; Zero Trust Network Access) 솔루션의 최신 버전이다. 이 버전에는 사용자가 기존 엔터프라이즈 보안 도구의 가치와 범위를 확장하여 제로 트러스트 배포를 간소화하고 가속화할 수 있도록 설계된 새로운 위험 모델 기능이 있다.  앱게이트 SDP 6.0의 새 위험 모델 기능을 통해 고객은 특정 워크로드 및 리소스에 고/중/저 민감도 수준을 지정할 수 있다. 이는 기업이 이미 보유하고 있는 보안 도구를 사용해 액세스하려는 리소스의 민감도와 관련해 로그인 시 사용자/기기 위험을 측정할 수 있는 간단하고 유연한 방법을 제공한다. 아울러 위험 모델은 위험 점수에 따라 액세스 권한을 동적으로 조정한다. ‘아미스(Armis)’: AVM 아미스 자산 취약점 관리(Armis asset Vulnerability Management; AVM)는 IT, OT(운영 기술), ICS(사고 지휘 시스템), IoMT(의료 사물인터넷), IIoT(산업 사물인터넷) 전반에 걸쳐 완화를 지원하고 우선순위를 지정하는 엔드투엔드 자산 취약점 라이프사이클 관리 솔루션이다. 이번 RSA 컨...

2022.06.10

금융기관이 여전히 랜섬웨어 공격에 시달리고 있는 가운데, 단순히 계좌 거래를 탈취하는 데 그쳤던 금융기관 해킹이 기밀 산업 정보까지 노리는 차원으로 발전하고 있다. 기업이 계속 진화하는 사이버 공격에 어떻게 대비해야 할지 알아본다.    랜섬웨어가 기승을 부리면서 금융기관이 골머리를 앓고 있다. 이와 더불어 해커 카르텔의 수법이 다른 차원으로 발전하면서 예년에 비해 금융기관이 점점 더 큰 위협에 직면하고 있다고 VM웨어가 모던 뱅크 헤이스트(Modern Bank Heists) 보고서에서 밝혔다. 사이버범죄 카르텔의 공격 수법이 최근 계좌 거래 탈취를 넘어 특정 시장 공략, 중개 계좌 탈취, ‘아일랜드 호핑(island-hoping)’등으로 진화한 것이다. VM웨어는 북미, 유럽, 아시아 태평양, 중남미, 아프리카 등의 지역에 있는 130명의 금융 부문 CIO 및 보안 책임자를 대상으로 설문조사를 실시했다. 보고서의 결과는 다른 보안 전문가의 의견과 일맥상통했다. 제러미 셰리던 전 미국 비밀경호국 부국장은 "금융 수사 과정에서 복잡한 사이버 사기가 진화하고 증가하고 있는 것을 경험했다"라며 "인터넷에 연결된 모든 시스템의 보안 체계는 미흡하다. 해커가 공격할 취약점을 남기기 마련이다"라고 경고했다.  만연한 콘티(Conti) 랜섬웨어  설문에 응한 보안 책임자의 74%가 지난해 한 번 이상의 공격을 경험했다고 전했다. 63%는 결국 랜섬을 지불하기까지 했다. 랜섬웨어 중 콘티(Conti) 랜섬웨어가 가장 흔한 것으로 나타났다.  응답자의 63%는 사이버 범죄자가 은행의 데이터와 침입 정보를 삭제하는 '파괴적 공격'이 증가했다고 답했다. 이는 지난해보다 17% 증가한 수치다.  이런 식의 사이버 공격은 모두 피해자의 시스템을 파괴, 중단 또는 저하하는 악성코드를 이용한다. 대표적으로 암호화, 데이터 삭제, 하드 드라이브 파괴, 연결 종료 또는 악성 코드 실행과 같은 작업을 통해 이루어진다. ...

2022.04.21

소프트웨어 개발 플랫폼 깃허브(GitHub)가 ‘자문 데이터베이스(Advisory Database)’를 커뮤니티 컨트리뷰터에 개방했다. 이를 통해 누구나 보안 취약점에 관한 인사이트와 인텔리전스를 제공하여 소프트웨어 공급망 보안을 개선할 수 있다.  회사에 따르면 해당 데이터베이스의 전체 내용은 크리에이티브 커먼즈(Creative Commons) 라이선스에 따라 자유롭게 액세스할 수 있는 새로운 퍼블릭 리포지토리에 게시된다. 업계 전문가들은 이러한 종류의 데이터 공유가 소프트웨어 공급망 보안을 개선하고, 소프트웨어 관련 위험을 해결하는 데 중요하다고 입을 모았다.    무료 및 공개 데이터를 활용할 수 있게 된 보안 커뮤니티 수백만 명의 개발자와 기업들이 소프트웨어를 빌드, 배포, 유지관리하기 위해 깃허브를 사용한다. 깃허브는 자문 데이터베이스를 커뮤니티에 개방함으로써 보안 연구진, 관련 학계 등이 보안 권고(security advisories)에 관한 커뮤니티의 이해와 인식을 높일 수 있도록 추가적인 정보와 맥락을 제공, 공유, 활용할 수 있다고 말했다.  이어서 “무료 및 공개 보안 데이터는 업계 전반에서 소프트웨어 공급망을 보호하는 데 매우 중요하다고 본다. 깃허브 자문 데이터베이스는 소프트웨어 종속성 내 취약점에 관한 세계 최대의 데이터베이스다. 더 쉽게 기여하고 사용할 수 있도록 함으로써 더 많은 경험을 제공하고 모든 소프트웨어의 보안을 개선하는 데 더욱더 도움이 되길 바란다”라고 회사 측은 전했다.  아울러 깃허브는 컨트리뷰션을 위한 사용자 인터페이스를 구축했으며, 깃허브 보안 랩(GitHub Security Lab) 연구진이 이를 검토했다. 컨트리뷰터는 패키지, 영향을 받는 버전 및 생태계에 관한 변경사항을 제안하거나 맥락을 제공할 수 있으며, 컨트리뷰션이 수락되면 깃허브 프로필에 공개 크레딧을 받게 된다. 깃허브는 OSV(Open-Source Vulnerabilities) 형식이 해당 리포지토...

2022.02.23

케이사인이 자회사 위협 인텔리전스 전문 기업 ‘샌즈랩’ 및 안티바이러스 전문기업 ‘이스트시큐리티’와 4억 건의 사이버보안 AI 학습용 데이터셋을 구축 완료했다고 2월 11일 밝혔다. 한국인터넷진흥원(KISA)은 지난해 과학기술정통부의 ‘K-사이버방역 추진전략’의 일환으로 ‘사이버보안 AI 데이터셋 구축사업’을 진행했다. 이번 과제는 사이버 침해대응 분야 민관 전문가가 협력해 사이버보안 AI 데이터셋 구축의 선순환 환경을 조성하고, 국내 보안기술을 지능화해 급증하는 신·변종 보안 위협에 선제적으로 대응할 수 있는 기반을 마련하는 것을 목표로 한다. 케이사인 컨소시엄은 해당 사업에서 3억 건 이상의 정상/악성파일 및 300종 이상의 악성코드 패밀리를 분류하고, 즉시 활용할 수 있는 ‘사이버보안 인공지능(AI) 데이터셋(악성코드 분야)’ 구축했다. 악성코드 AI 특징정보 추출에 대한 전문적 노하우와 클라우드 기반의 페타급 대용량 데이터셋 이관 방법론으로 최적의 데이터셋을 구축하고, 이관 및 검증 체계를 마련하며 업계의 주목을 받았다.   케이사인 컨소시엄은 샌즈랩에서 운영하는 멀웨어즈닷컴(malwares.com)에서 분석한 20억 건의 악성코드 분석 데이터 가운데 대표성을 띈 3억 개의 악성코드를 추출하고, 악성코드 특징 정보를 바탕으로 300여 종의 패밀리로 분류했다. 회사에 따르면 구축된 데이터셋은 총 150여 종의 메타정보 및 원시데이터를 포함한다. 또한 공격그룹, 공격기법, 유포방법 등 악성코드 속성정보에 대한 고차원으로 연관관계 분석을 실시해 1억 건의 악성코드 분석 데이터도 함께 마련했다. 정적/동적 분석만으로 도출할 수 없는 심층정보를 속성으로 생성해 유사도 분석을 수행하고, 클러스터링한 결과를 기반으로 데이터셋을 구축하며 기술을 우수성을 인정받았다. 구축한 데이터셋은 다수의 기관으로부터 다양한 AI 모델을 통해 실증을 수행했다. 또한 악성코드 전문 인력과 품질 검증을 위해 각 분야 전문가 10인의 자문을 받아 데이터셋의 질적 향상을...

2022.02.11

2022년은 IT 리더에게 흥미롭고도 도전적인 한 해가 될 전망이다. 올 한 해 동안 IT에서 최대의 가치를 얻으려면 다음의 8가지 이니셔티브에 주력해야 한다.  1월은 잠시 멈춰서 올해에 집중해야 할 우선순위를 정해야 하는 시기다. IT 리더들이 바쁜 일정을 소화하려면 우선순위가 높은 문제를 식별해야 하고, 그러려면 시간, 인사이트, 적절한 직관이 필요하다. 여기서는 아젠다의 최상위에 있어야 할 8가지 핵심 영역을 살펴본다.    1. 사이버보안 역량 강화 데이터센터 및 코로케이션 제공업체 사익스테라(Cyxtera)의 CISO 레오 타데오는 “CIO가 CISO 및 기타 엔터프라이즈 리더와 협력하여 사이버보안 인재 문제를 해결하고, 심층 인재풀 개발 및 교육을 2022년 해야 할 일 목록의 맨 위에 둬야 한다”라고 말했다. 이어서 그는 “단순히 돈만 쓰는 게 아니라 인재 확보와 배치, 유지에 시간과 비용을 쏟아야 한다”라고 덧붙였다.  사이버보안 인재 부족은 많은 공공 및 민간 부문 기업들을 괴롭히는 문제다. 오늘날의 기술 인재는 민첩하고, 유연하며, 빠르게 움직일 수 있는 기업에서 일하길 원한다. 타데오는 “채용 속도가 느리면 유능한 인재를 잃게 될 것”이라고 지적했다.  2. ‘디지털 역량(Digital Dexterity)’ 향상  IT팀은 생산성을 높일 수 있도록 수동 프로세스에서 벗어나야 한다. 애널리틱스 소프트웨어 회사 SAS의 CIO 제이 업처치는 “이를테면 중요한 계약서를 가지고 복도를 걸어 내려가 동료에게 물리적인 서명을 받는 시대는 끝났다. 이제 문서를 디지털화 및 공유하여 지구 반대편에 있는 사람들도 서명할 수 있도록 해야 한다”라며, “또 CIO는 프로세스를 간소화해야 한다. 기업을 빠른 속도로 운영하기 위해서는 디지털 효율성과 보안이 그 어느 때보다 중요하다”라고 전했다.  전자부품 공급업체 디지-키 일렉트로닉스(Digi-Key Electronics)의 CIO 라메시...

2022.01.20

지난 9월 개인정보보호위원회는 개인정보보호법 개정안(이하 ‘2차 개정안’)을 국회에 제출했다. 지난달 칼럼(개인정보보호법 2차 개정에서 개정할 것들(1))에 이어 2차 개정에 포함됐으면 하는 사항을 검토한다. 셋째, CEO 및 CPO의 징계 규정(개인정보보호법 제65조 제2항) 개정 개인정보보호법에는 개인정보보호 관련 법규 위반으로 개인정보 유출 사고가 발생했을 때 CEO와 개인정보보호책임자(CPO)를 징계할 수 있는 규정이 있다.   ② 보호위원회는 이 법 등 개인정보 보호와 관련된 법규의 위반행위가 있다고 인정될 만한 상당한 이유가 있을 때는 책임이 있는 자(대표자 및 책임 있는 임원을 포함한다)를 징계할 것을 해당 개인정보처리자에게 권고할 수 있다. 이 경우 권고를 받은 사람은 이를 존중하여야 하며 그 결과를 보호위원회에 통보하여야 한다. 개인정보보호법 제65조(고발 및 징계권고) 제2항 개인정보보호법으로 통합되면서 없어졌지만, 정보통신망법에도 이와 비슷한 규정이 있었다.   ② 방송통신위원회는 개인정보 보호와 관련하여 이 법을 위반한 정보통신서비스 제공자 등에게 책임이 있는 자(대표자 및 책임 있는 임원을 포함한다)를 징계할 것을 권고할 수 있다. 이 경우 권고를 받은 사람은 이를 존중하여야 하며 그 결과를 방송통신위원회에 통보하여야 한다. 정보통신망법 제69조의2(고발) 제2항 2017년 3월 발생한 W사의 개인정보 유출 사고에 대해 방송통신위원회가 정보통신망법의 위 조문을 근거로 최초로 ‘CEO와 책임 있는 임원’의 징계를 권고하였고, 같은 해 10월 발생한 H사의 개인정보 유출 사고에 대해 행정안전부도 CEO와 CPO에 대해 징계를 권고하였다.  비슷한 목적으로 만들어졌고, 비슷한 상황에 적용된 두 조문은 겉으로 보기에는 별 차이가 없어 보이지만, 실제 내용은 상당히 다르다. 정보통신망법에서는 징계 기준 법규를 정보통신망법으로 한정하...

2021.11.11

오스터만 리서치 보고서에 따르면, 여러 개의 자회사를 보유한 글로벌 기업이 자회사가 더 적거나 없는 기업에 비해 사이버 보안 위협에 더 많이 노출되고 위험 관리에 어려움을 겪고 있다.   이번 연구는 최소 10곳의 자회사 및 3,000명의 직원을 보유하거나 연간 수익이 10억 달러인 기업201곳을 대상으로 시행됐다. 응답 기업의 약 67%가 효과적인 자회사 리스크 관리 운영에 대해 매우 자신만만해 하지만, 자회사를 겨냥한 사이버 공격을 당했거나 이런 위협 가능성을 배제할 수 있는 능력이나 정보가 부족하다고 답했다. 설문 응답자의 절반 가량은 내일 당장 사이버 해킹이 발생해도 놀라지 않을 것이라고 인정했다. 응답자는 사이버 보안 및 규정 준수 또는 위험 관리 직무를 담당했다. 조사 대상에 포함된 모든 기업은 자회사 리스크를 모니터링하는 전담 인력을 보유하고 있었다. 오스터만 리서치 선임 애널리스트 미셸 삼손은 "기업이 막 인수한 자회사보다 업력이 수년 이상 되는 자회사를 보유한 기업이 직면한 위협과 리스크를 파악하고자 했다. 또한, 사이버 보안 문제와 리스크가 계속 변하고 있다는 점을 고려하면 기업이 사이버 공격이 없는, 깨끗한 환경을 유지해도 새로운 취약점이 발견되거나 부각되면 시간이 지남에 따라 또다시 상황은 악화될 것이라고 확신한다”라고 말했다. 삼손은 자회사가 알지 못하는, 혹은 모회사에게 알리지 않은 자산과 데이터 소스가 노출될 경우, 취약점이 간과돼 추후 중대한 문제로 번질 수 있다고 경고했다.   다양한 사이버 보안 위협에 직면한 자회사 보고서는 보안을 어기는 컴플라이언스와 복잡한 온보딩 프로세스, 뜸하고 긴 리스크 관리 프로세스, 수동 툴 남용, 수정 및 결과 지연에 중점을 두는 관행이 자회사 리스크 관리를 방해하는 주요 장애물로 강조했다. 보고서에 따르면, 기업을 둘러싼 거시적 트렌드와 환경이 실제 보안 운영에 영향을 미치고 있다. 예컨대 자회사의 가장 중요한 관심사에 대해 팬데믹으로 인한 디지털 트렌스포메이션이라고...

2021.11.03

“美 정부의 사이버보안 행정명령을 간과하는 CIO는 위험을 감수해야 한다.” 미국 사이버보안 및 인프라 보안국(Cybersecurity and Infrastructure Security Agency; CISA) 前 국장 크리스 크렙스가 ‘가트너 IT 심포지엄/엑스포(Gartner IT Symposium/Xpo)’ 기조연설에서 강조한 내용이다. 크렙스는 지난 5월 발표된 바이든 행정부의 사이버보안 행정명령을 언급하면서, “CIO가 이 행정명령의 기본 규정 준수를 우려하기보다는 향후 예상되는 공격 증가와 추가적인 사이버보안 명령에 대비해 인프라를 최대한 강화해야 한다”라고 말했다.    이어서 그는 “미국 경제의 연속성과 밀접한 관련이 있는 중요 산업들이 위험에 처해 있다. 또 지난 몇 년간의 사건을 본다면 이러한 컴플라이언스 체제는 강화될 것이라고 예상한다”라면서, “보안 프로그램에 들어가는 비용을 지출하고 있기 때문에 체크리스트 기반의 접근법만 사용하는 환경을 원하지 않을 것이다”라고 전했다. 작년 말 美 전역을 뒤흔든 솔라윈즈 해킹 사건부터 올해 미국 송유관 업체 콜로니얼 파이프라인과 정육 업체 JBS에서 랜섬웨어 공격으로 각각 미화 440만 달러, 1,100만 달러의 몸값을 지불해야 했던 사건까지 사이버보안 문제가 계속 심각해지면서 바이든 행정부는 긴급 조치에 나섰다.  지난 5월 소프트웨어 조달 및 MFA 아키텍처 도입 의무화에 관한 새로운 명령과 공공 및 민간 자산을 보호하기 위한 일련의 요구사항을 포함하는 행정명령을 발표한 것이다. 크렙스는 모든 사이버 공격이 국가 안보를 위협하기 때문에 CISA는 CIA, FBI, 국가안보국(NSA), 국가안전보장회의(NSC)와 함께 민관 협력을 조정하고, 확대하며, 행정명령을 시행하고 있다고 밝혔다. 공공 및 민간 부문의 CIO들도 인프라 보안에 앞다퉈 나서고 있다.  포브스 CIO 넥스트(Forbes CIO Next) 행사에서 나사(NASA)의 CIO 제프 시튼은...

2021.11.01

마이크로포커스 CyberRes 사업부가 온라인 안전과 사생활에 대한 인식을 증진하기 위해 매년 10월 개최하는 '사이버 보안 인식의 달'에 대한 약속을 13일 발표했다. 회사 측에 따르면 '사이버 보안 인식의 달' 챔피언 프로그램은 '사이버 보안 인식의 달' 테마에 전념하는 기업, 정부 기관, 대학, 협회, 비영리 단체 및 개인 간의 협업 활동이다. '사이버 보안 인식의 달'은 보안 취약점을 조명하는 동시에 자신과 조직을 보호하기 위해 누구나 취할 수 있는 행동에 대한 실행 가능한 지침을 제공하는 것을 목표로 한다고 회사 측은 설명했다. 올해 '사이버 보안 인식의 달'의 주요 내용은 ▲기본적인 사이버 위생(Cyber Hygiene) 이해 및 구현 ▲피싱 시도 인식 및 보고 ▲온라인 세계를 보호하는 사명에 동참 ▲제품 및 프로세스를 ‘설계로 안전하게’ 만들고 사이버 보안을 우선시 하는 것 등이다.   마이크로포커스 CyberRes 사업부는 미국 국토안보부의 국가사이버보안연합과 사이버보안인프라청(CISA)이 공동으로 주도하는 광범위한 온라인 안전 의식과 교육 이니셔티브를 지원한다. 또 CyberRes 데이터 개인 정보 보호 및 보호 솔루션은 엔엔터프라이즈 데이터 보호에 대한 엔드 투 엔드 데이터 중심 접근 방식을 제공하여 조직이 사이버 복원력을 강화할 수 있도록 지원한다. CyberRes 보안 담당 수석 부사장인 John Delk (존 델크) 는 "'사이버보안 인식의 달'은 우리에게 강력한 사이버 복원력 프레임워크를 도입하는 것이 일년 내내 업계의 우선순위가 되어야 한다는 것을 상기시켜준다"라며, "'사이버 보안 인식의 달' 챔피언으로서 CyberRes는 고객이 현재 ID, 애플리케이션 및 데이터를 보호하고 위협을 탐지하여 미래에 지능적으로 적응하고 발전할 수 있도록 지원함으로써 복원력을 강화하는 것을 목표로 한다"라고 밝혔다. 2021년 사이버 보안 인식의 달과 다양한 활동에 참여하는 방법은 사이트를 방문하거나, 공식 해시태그 #Be...

2021.10.13

사이버 보안 기업 맨디언트가 SaaS 기반의 ‘액티브 브리치&인텔 모니터링(Active Breach&Intel Monitoring)’과 ‘랜섬웨어 디펜스 밸리데이션(Ransomware Defense Validation)’을 출시했다고 13일 밝혔다. 이번 신제품은 맨디언트의 고도화된 최신 위협 인텔리전스의 활용을 가속화하고 조직의 보안 제어가 랜섬웨어 공격을 경고, 방지, 차단할 수 있는지 검증함으로써 맨디언트 어드밴티지(Mandiant Advantage) 플랫폼의 멀티 벤더 XDR(Extended Detection and Response) 기능을 강화한다고 업체 측은 설명했다. 두 솔루션은 사이버 위협에 대한 방어 및 대응 태세를 갖춰 보안 효율성을 강화하고자 하는 다양한 규모의 조직이 사용할 수 있으며, 2022년 1월부터 제공될 예정이다. 업체에 따르면 SaaS 기반의 ▲액티브 브리치&인텔 모니터링과 ▲랜섬웨어 디펜스 밸리데이션은 가장 정확하고 관련성이 높은 위협 인텔리전스를 활용해 조직 환경의 침해지표(IOC)를 확인하고 최신 랜섬웨어 공격에 대한 대비 상태를 테스트할 수 있도록 지원한다. 맨디언트의 글로벌 보안 침해 사고 대응 경험과 포괄적인 위협 인텔리전스 연구로 얻은 인사이트 기반의 액티브 브리치&인텔 모니터링은 실제 전 세계 액티브 침해 조사로부터 얻은 최신 정보를 바탕으로 조직의 IT 환경 내에서 관련 IOC를 식별할 수 있다. 액티브 브리치&인텔 모니터링 모듈은 이러한 정보를 기반으로 현재 시점부터 이전 30일 이상의 기간 동안의 조직의 IOC를 조회할 수 있다고 업체 측은 설명했다. 맨디언트 액티브 브리치&인텔 모니터링은 SaaS 기반으로 제공되고, IOC 조회 결과를 즉시 확인해 우선 순위를 정한다. 이 과정에서 보안 담당자가 최우선 경보에 집중할 수 있도록 단순 조회 결과만을 확인하는 것이 아니라 데이터 사이언스 기반 점수와 지표 유형을 포함한 다양한 컨텍스트 정보를 사용해 IOC를 분...

2021.10.13

시스코 시스템즈가 아태 지역의 기업 비즈니스 및 IT 담당자들을 대상으로 기업 사이버 보안 실태와 인식에 대해 조사한 ‘중소기업 사이버 보안: 아시아 태평양 디지털 방어 보고서(Cybersecurity for SMBs: Asia Pacific Businesses Prepare for Digital Defense)’를 10월 6일 발표했다. 이번 보고서는 한국을 포함한 아태지역 14개국 3,700명 이상의 기업 사이버 보안을 담당하는 비즈니스 및 IT 담당자들을 대상으로 조사한 결과를 담고 있다. 보고서에 따르면 지난 1년 아태지역 중소기업들이 사이버 공격으로 인한 피해를 겪으면서 사이버 보안에 대한 민감도가 높아졌으며 이는 보안 투자 증가로 이어졌다.   보고서에 따르면 56%의 아태지역 중소기업은 최근 1년 내 사이버 공격을 겪었다고 답했다. 이에 비해 한국은 33%를 기록해 상대적으로 사이버 보안 사고가 적었던 것으로 나타났다. 아태지역에서 발견된 주요 공격 유형으로는 멀웨어 85%, 피싱 70% 순으로 조사됐다. 사이버 보안 사고로 인한 데이터 유출 피해도 발생했는데, 유출된 데이터로 고객정보(75%), 내부 이메일(62%), 직원 정보(61%), 지적재산권(61%), 재무 정보(61%) 등이 포함됐다. 응답자 51%는 사이버 공격에 따른 손실로 한화 약 5억 원 이상, 13%는 약 10억 원 이상의 비용이 들었다고 밝혔다. 보고서는 피해 기업 중 62%는 사이버 공격으로 인해 운영에 지장이 있었다고 답했으며, 기업 이미지 훼손(66%), 고객 신뢰도 하락(57%) 등의 피해도 나타났다고 전했다. 사이버 보안 사고의 원인으로는 ‘사이버 보안 솔루션 기능이 공격을 탐지하거나 방지하기에 충분하지 않다(39%)’는 응답과, ‘사이버 보안 솔루션의 부재(33%)’가 꼽히며 미흡한 보안 솔루션이 사고의 주 원인으로 나타났다. 응답자의 75%는 ‘1년 전보다 사이버 보안 공격에 대한 우려가 높아졌다’고 답했으며, 84%는 ‘사이버 위협에 노출되어 ...

2021.10.06