Offcanvas

������

안드로이드 앱 권한을 스마트하게 유지하는 방법

안드로이드와 개인정보보호에 있어 일정한 경향이 있음을 우리는 이미 잘 알고 있다. 즉, 새로운 안드로이드 버전이 나올 때마다 개인 정보가 어떻게 사용되는지 이해하고 관리하기가 더 쉬워지고 있다. 이를 지능적으로 처리할 수 있는 더 많은 툴이 늘어나고 안드로이드 내부적으로도 개선이 이뤄지고 있다. 그런데 최근 구글이 안드로이드 개인 정보 보호에 적용한 새로운 변화는 매우 당혹스럽다. 스마트폰 속 정보가 어떻게 쓰이는지 관심이 많은 사람에게는 보안의 퇴보이자 매우 해로운 변화다. 구체적으로 설명하면, 구글은 최근 플레이 스토어 인터페이스를 업데이트했는데, 앱을 설치하기 전에 어떤 권한이 필요한지 정확히 확인할 수 있는 옵션을 없애버렸다. 필자는 며칠 전에 그런 변화를 확인하고 머리가 멍해지는 기분이었다. 이는 현재 모든 앱에 의무화된 플레이스토어의 새로운 데이터 안전 섹션 출시와 관련이 있는 것으로 보인다. 의심할 여지 없이 구글은 일반적인 안드로이드 사용자 대부분이 앱 권한에 대한 더 상세하고 기술적인 설명을 자주 확인하지 않는다는 데이터를 확인하고 이렇게 변경했을 것이다. 하지만 설사 그렇다고 해도 앱이 사용자 기기에서 하고자 하는 모든 것에 대해 쉽게 접근할 수 있는 객관적인 개요를 가질 수 있는 기능을 없애버린 것은 분명히 잘못된 방향이다. 그렇다면 이에 맞서 안드로이드 기기 사용자가 해야 할 일은 무엇일까? 구글이 정신을 차리고 다시 이 기능을 부활시키기를 기다리는 것 말고 말이다.   플레이스토어와 안드로이드 권한의 변화 일단 구체적인 방법을 알아보기 전에 이번 구글의 보안 기능 삭제가 정확히 어떤 의미인지 살펴보자. 기존까지 모든 플레이스토어 앱 목록에는 연결된 앱이 사용자 스마트폰에서 필요로 하는 전체 권한 목록을 볼 수 있는 링크가 있었다. 즉, 앱이 상호 작용하고자 하는 데이터 유형과 스마트폰의 영역을 정확히 인지한 다음, 이 모든 것이 합리적인지 판단해 앱 설치 여부를 결정할 수 있었다. 하지만 이제는 다르다. 개인 정보 관련 ...

안드로이드 구글 플레이스토어 권한 개인정보

2022.07.26

안드로이드와 개인정보보호에 있어 일정한 경향이 있음을 우리는 이미 잘 알고 있다. 즉, 새로운 안드로이드 버전이 나올 때마다 개인 정보가 어떻게 사용되는지 이해하고 관리하기가 더 쉬워지고 있다. 이를 지능적으로 처리할 수 있는 더 많은 툴이 늘어나고 안드로이드 내부적으로도 개선이 이뤄지고 있다. 그런데 최근 구글이 안드로이드 개인 정보 보호에 적용한 새로운 변화는 매우 당혹스럽다. 스마트폰 속 정보가 어떻게 쓰이는지 관심이 많은 사람에게는 보안의 퇴보이자 매우 해로운 변화다. 구체적으로 설명하면, 구글은 최근 플레이 스토어 인터페이스를 업데이트했는데, 앱을 설치하기 전에 어떤 권한이 필요한지 정확히 확인할 수 있는 옵션을 없애버렸다. 필자는 며칠 전에 그런 변화를 확인하고 머리가 멍해지는 기분이었다. 이는 현재 모든 앱에 의무화된 플레이스토어의 새로운 데이터 안전 섹션 출시와 관련이 있는 것으로 보인다. 의심할 여지 없이 구글은 일반적인 안드로이드 사용자 대부분이 앱 권한에 대한 더 상세하고 기술적인 설명을 자주 확인하지 않는다는 데이터를 확인하고 이렇게 변경했을 것이다. 하지만 설사 그렇다고 해도 앱이 사용자 기기에서 하고자 하는 모든 것에 대해 쉽게 접근할 수 있는 객관적인 개요를 가질 수 있는 기능을 없애버린 것은 분명히 잘못된 방향이다. 그렇다면 이에 맞서 안드로이드 기기 사용자가 해야 할 일은 무엇일까? 구글이 정신을 차리고 다시 이 기능을 부활시키기를 기다리는 것 말고 말이다.   플레이스토어와 안드로이드 권한의 변화 일단 구체적인 방법을 알아보기 전에 이번 구글의 보안 기능 삭제가 정확히 어떤 의미인지 살펴보자. 기존까지 모든 플레이스토어 앱 목록에는 연결된 앱이 사용자 스마트폰에서 필요로 하는 전체 권한 목록을 볼 수 있는 링크가 있었다. 즉, 앱이 상호 작용하고자 하는 데이터 유형과 스마트폰의 영역을 정확히 인지한 다음, 이 모든 것이 합리적인지 판단해 앱 설치 여부를 결정할 수 있었다. 하지만 이제는 다르다. 개인 정보 관련 ...

2022.07.26

랜섬웨어 피해자가 되는 7가지 경로와 대비책

랜섬웨어 공격자를 도와주지 말자. 지금 윈도우 네트워크의 취약점을 확인해 보면, 깜짝 놀랄 것이다. 랜섬웨어가 다시 기승을 부리기 시작했다. 보도에 따르면, 공격자는 의료기관을 노리고 회의 초대나 송장으로 위장한 피싱 공격을 사용한 것으로 드러났다. 이런 초대장에는 구글 문서 링크가 포함되어 있는데, 링크의 PDF는 다시 프리뷰나 테스트 같은 이름의 실행 파일로 연결된다. 일단 랜섬웨어가 시스템에 진입하면, 공격자는 피해자의 네트워크에 남겨진 그야말로 쉽게 딸 수 있는 열매를 따먹고, 옆으로 이동해 더 많은 피해를 입힌다.   이렇게 쉽게 문이 열리는 것은 막을 수 있는 일이며, 오래되고 잊힌 설정이나 구식 정책의 결과물일 수도 있다. 여기서는 7가지 흔한 윈도우 네트워크 취약점을 점검해 랜섬웨어 침입자를 막는 방법을 소개한다.   그룹 정책 등록정보에 저장된 패스워드 그룹 정책 등록정보에 패스워드를 저장해 본 적이 있는가? 2014년 MS14-025 패치는 그룹 정책 등록정보에 안전하지 않은 방법으로 패스워드를 저장하는 기능을 삭제했다. 하지만 기존 패스워드를 삭제하지는 않았다. 랜섬웨어 공격자는 파워셸 스크립트 Get-GPPPassword를 사용해 남아있는 패스워드를 획득했다. 그룹 정책 등록정보를 이런 식으로 패스워드를 저장한 적이 있는지 확인하기 바란다. 이외에도 자격 증명을 스크립트나 배치 파일에 남겨둔 적은 없는지 생각해보라. 관리 프로세스를 점검해 패스워드가 노트패드 파일처럼 보호되지 않는 파일에 남아있지 않은지도 확인해야 한다.   원격 데스크톱 프로토콜 사용 아직도 안전하지 않은 RDP(Remote Desktop Protocol)를 사용하는가? 여전히 공격자가 무작위 대입 공격으로 자격 증명을 수집해 웹에 열려 있는 RDP로 침입했다는 보도가 나온다. 원격 데스크톱으로 서버나 가상머신, 심지어 애저 서버를 구축하는 것은 매우 쉽다. 특정 IP 주소에만 액세스를 허용하거나 다중 인증을 사용하는 등 최소한의 보호 ...

랜섬웨어 취약점 패스워드 권한 RDP

2020.11.23

랜섬웨어 공격자를 도와주지 말자. 지금 윈도우 네트워크의 취약점을 확인해 보면, 깜짝 놀랄 것이다. 랜섬웨어가 다시 기승을 부리기 시작했다. 보도에 따르면, 공격자는 의료기관을 노리고 회의 초대나 송장으로 위장한 피싱 공격을 사용한 것으로 드러났다. 이런 초대장에는 구글 문서 링크가 포함되어 있는데, 링크의 PDF는 다시 프리뷰나 테스트 같은 이름의 실행 파일로 연결된다. 일단 랜섬웨어가 시스템에 진입하면, 공격자는 피해자의 네트워크에 남겨진 그야말로 쉽게 딸 수 있는 열매를 따먹고, 옆으로 이동해 더 많은 피해를 입힌다.   이렇게 쉽게 문이 열리는 것은 막을 수 있는 일이며, 오래되고 잊힌 설정이나 구식 정책의 결과물일 수도 있다. 여기서는 7가지 흔한 윈도우 네트워크 취약점을 점검해 랜섬웨어 침입자를 막는 방법을 소개한다.   그룹 정책 등록정보에 저장된 패스워드 그룹 정책 등록정보에 패스워드를 저장해 본 적이 있는가? 2014년 MS14-025 패치는 그룹 정책 등록정보에 안전하지 않은 방법으로 패스워드를 저장하는 기능을 삭제했다. 하지만 기존 패스워드를 삭제하지는 않았다. 랜섬웨어 공격자는 파워셸 스크립트 Get-GPPPassword를 사용해 남아있는 패스워드를 획득했다. 그룹 정책 등록정보를 이런 식으로 패스워드를 저장한 적이 있는지 확인하기 바란다. 이외에도 자격 증명을 스크립트나 배치 파일에 남겨둔 적은 없는지 생각해보라. 관리 프로세스를 점검해 패스워드가 노트패드 파일처럼 보호되지 않는 파일에 남아있지 않은지도 확인해야 한다.   원격 데스크톱 프로토콜 사용 아직도 안전하지 않은 RDP(Remote Desktop Protocol)를 사용하는가? 여전히 공격자가 무작위 대입 공격으로 자격 증명을 수집해 웹에 열려 있는 RDP로 침입했다는 보도가 나온다. 원격 데스크톱으로 서버나 가상머신, 심지어 애저 서버를 구축하는 것은 매우 쉽다. 특정 IP 주소에만 액세스를 허용하거나 다중 인증을 사용하는 등 최소한의 보호 ...

2020.11.23

'주의!' 윈도우 마이그레이션 후 권한을 감사하는 방법

랜섬웨어는 흔히 해킹된 관리자 또는 로컬 관리자 비밀번호를 이용해 네트워크 전체에 액세스하거나, 네트워크 전체를 아우르는 권한을 설정해 공격자에게 액세스를 허용한다. 따라서 윈도우에서 권한을 세심하게 관리하는 것이 중요하다. 예를 들어 새 버전으로 마이그레이션 중이거나 최근 윈도우 7이나 서버 2009 R2에서 마이그레이션을 완료했다고 하자. 일반적으로 파일을 복사하고, 데이터를 옮기고, 서버를 이전하는 기본 권한을 변경해야 한다. 그러나 마이그레이션 완료 후 이러한 과도한 권한을 되돌렸는가? 혹시 공격자를 위해 문을 열어두고 있는 상황은 아닌가? 마이그레이션 전에 권한 설정 점검하기 Get-Acl은 기본 파워셸 명령어다. 리소스 보안에 대한 정보를 제공한다. 구식 네트워크에서 NT 파일 시스템(NTFS) 권한은 느슨하게 설정된 경우가 흔했다. 이들을 점검하는 것이 중요하다. 만약 구식 운영체제로부터 마이그레이션 중이라면 권한은 최근 보안 상식에 맞게 설정해야 한다. 마이그레이션 과정을 시작하기 전에, 먼저 권한이 설정된 현황을 점검하라. 파워셸 Get-Acl 명령으로 NTFS 권한이 어떻게 설정되어 있는지 확인한다. 네트워크 내 모든 이용자 또는 이용자 집단의 권한을 일일이 검사하려면 ‘NTFS 디렉터리 유효 권한 감사(NTFS Directory Effective Permissions Audit, NTFS)’를 실행하면 된다. 가상머신을 내보내기 할 때의 권한 가상머신(VMs)을 내보내기 할 때에는 흔히 마이그레이션을 위해 권한을 변경해야 한다. 권한을 변경하지 않은 경우, “Failed to copy file from ‘VHD file>’ to ‘’: General access denied error (0x80070005)”라는 오류 메시지가 뜬다. 하이퍼-V 호스트의 시스템 계정이 내보내기를 실행하기 때문에 하이퍼-V 호스트는 네트워크 공유 권한을 가지고 있지 않다. 따라서 시스템이 상호 액세스할 수 있도록 권한을 변경하는 것이 좋다. ...

윈도우 권한

2019.10.25

랜섬웨어는 흔히 해킹된 관리자 또는 로컬 관리자 비밀번호를 이용해 네트워크 전체에 액세스하거나, 네트워크 전체를 아우르는 권한을 설정해 공격자에게 액세스를 허용한다. 따라서 윈도우에서 권한을 세심하게 관리하는 것이 중요하다. 예를 들어 새 버전으로 마이그레이션 중이거나 최근 윈도우 7이나 서버 2009 R2에서 마이그레이션을 완료했다고 하자. 일반적으로 파일을 복사하고, 데이터를 옮기고, 서버를 이전하는 기본 권한을 변경해야 한다. 그러나 마이그레이션 완료 후 이러한 과도한 권한을 되돌렸는가? 혹시 공격자를 위해 문을 열어두고 있는 상황은 아닌가? 마이그레이션 전에 권한 설정 점검하기 Get-Acl은 기본 파워셸 명령어다. 리소스 보안에 대한 정보를 제공한다. 구식 네트워크에서 NT 파일 시스템(NTFS) 권한은 느슨하게 설정된 경우가 흔했다. 이들을 점검하는 것이 중요하다. 만약 구식 운영체제로부터 마이그레이션 중이라면 권한은 최근 보안 상식에 맞게 설정해야 한다. 마이그레이션 과정을 시작하기 전에, 먼저 권한이 설정된 현황을 점검하라. 파워셸 Get-Acl 명령으로 NTFS 권한이 어떻게 설정되어 있는지 확인한다. 네트워크 내 모든 이용자 또는 이용자 집단의 권한을 일일이 검사하려면 ‘NTFS 디렉터리 유효 권한 감사(NTFS Directory Effective Permissions Audit, NTFS)’를 실행하면 된다. 가상머신을 내보내기 할 때의 권한 가상머신(VMs)을 내보내기 할 때에는 흔히 마이그레이션을 위해 권한을 변경해야 한다. 권한을 변경하지 않은 경우, “Failed to copy file from ‘VHD file>’ to ‘’: General access denied error (0x80070005)”라는 오류 메시지가 뜬다. 하이퍼-V 호스트의 시스템 계정이 내보내기를 실행하기 때문에 하이퍼-V 호스트는 네트워크 공유 권한을 가지고 있지 않다. 따라서 시스템이 상호 액세스할 수 있도록 권한을 변경하는 것이 좋다. ...

2019.10.25

M&A 혼란을 틈탄 사이버공격 주의해야 <ACSC>

호주 사이버보안 센터에 따르면, 사이버범죄자들이 M&A라는 변화의 시기를 노리는 것으로 파악됐다.    호주 사이버보안 센터(ACSC)는 인수 및 합병 과정에 있는 한 조직에 사이버보안 자문을 제공하며 이같은 조언을 전했다. 이러한 변화의 시기는 "정상적인 비즈니스 흐름에 중대한 격변과 혼란을 야기하며 사이버범죄자들이 이를 노린다"고 센터는 전했다. 대대적인 변화가 진행되는 동안 혼란은 두 회사의 임직원이 서로 알게 되고, 데이터가 마이그레이션되며, 새로운 연결이 만들어지고, 사용 권한이 설정되며, 다양한 보안 상태가 수정되면서 사이버범죄자에게 기회를 창출한다. ACSC는 직원들이 불확실한 환경, 모호한 보고 체계, 시간 압박의 환경에서 조직이 운영돼 우왕좌왕할 수 있다고 덧붙였다.  센터는 이밖에 ‘인적 요소’도 가장 큰 위험 중 하나로 꼽았다. "주요 조직 변화 중에 직원들은 알지 못하는 사람들로부터 데이터, 지불 또는 접근 요청을 승인해야 한다는 압박을 받게 되는데 문제는 이들의 신원과 권한을 쉽게 확인할 수 없다는 데 있다. 공격자들은 업무용 이메일 손상 및 CXO 위장 같은 기술을 성공적으로 사용할 가능성을 높이기 위해 이러한 압박감을 악용한다”라고 센터는 말했다.  직원은 자신이 제기한 위험에 대해 적절하게 설명해야 하며 요청자의 신원(직접 또는 알려진 전화번호를 통해)과 권한을 확인할 수 있을 때까지 접근, 지불 또는 데이터에 대한 요청을 거부하도록 해야 한다. ACSC는 가능한 한 서둘러 조직을 구성해야 하며, 직원은 자신이 누구와 함께 일하는지 알고 있어야 한다고 밝혔다. ACSC의 조언은 정부기구(MoG) 변경에도 적용되며 APSC(Australian Public Service Commission) MoG 지침을 보완하기도 한다. "사이버범죄자들은 중대한 변화가 혼란을 가져오고 랜섬웨어, 업무용 이메일 손상, 급여 사기, 피싱 캠페인 같은 소셜 엔지니어링 공격으로 쉽게 직원을 속이...

인수 ACSC 사칭 CxO 권한 합병 통합 이메일 정부 M&A 호주 사이버보안 센터

2019.08.02

호주 사이버보안 센터에 따르면, 사이버범죄자들이 M&A라는 변화의 시기를 노리는 것으로 파악됐다.    호주 사이버보안 센터(ACSC)는 인수 및 합병 과정에 있는 한 조직에 사이버보안 자문을 제공하며 이같은 조언을 전했다. 이러한 변화의 시기는 "정상적인 비즈니스 흐름에 중대한 격변과 혼란을 야기하며 사이버범죄자들이 이를 노린다"고 센터는 전했다. 대대적인 변화가 진행되는 동안 혼란은 두 회사의 임직원이 서로 알게 되고, 데이터가 마이그레이션되며, 새로운 연결이 만들어지고, 사용 권한이 설정되며, 다양한 보안 상태가 수정되면서 사이버범죄자에게 기회를 창출한다. ACSC는 직원들이 불확실한 환경, 모호한 보고 체계, 시간 압박의 환경에서 조직이 운영돼 우왕좌왕할 수 있다고 덧붙였다.  센터는 이밖에 ‘인적 요소’도 가장 큰 위험 중 하나로 꼽았다. "주요 조직 변화 중에 직원들은 알지 못하는 사람들로부터 데이터, 지불 또는 접근 요청을 승인해야 한다는 압박을 받게 되는데 문제는 이들의 신원과 권한을 쉽게 확인할 수 없다는 데 있다. 공격자들은 업무용 이메일 손상 및 CXO 위장 같은 기술을 성공적으로 사용할 가능성을 높이기 위해 이러한 압박감을 악용한다”라고 센터는 말했다.  직원은 자신이 제기한 위험에 대해 적절하게 설명해야 하며 요청자의 신원(직접 또는 알려진 전화번호를 통해)과 권한을 확인할 수 있을 때까지 접근, 지불 또는 데이터에 대한 요청을 거부하도록 해야 한다. ACSC는 가능한 한 서둘러 조직을 구성해야 하며, 직원은 자신이 누구와 함께 일하는지 알고 있어야 한다고 밝혔다. ACSC의 조언은 정부기구(MoG) 변경에도 적용되며 APSC(Australian Public Service Commission) MoG 지침을 보완하기도 한다. "사이버범죄자들은 중대한 변화가 혼란을 가져오고 랜섬웨어, 업무용 이메일 손상, 급여 사기, 피싱 캠페인 같은 소셜 엔지니어링 공격으로 쉽게 직원을 속이...

2019.08.02

기고 | 역할 기반 접근 관리를 구현하는 5단계

RBAC은 조직에서 자신의 역할에 따라 사용자에게 시스템 접근 권한을 할당하는 개념이다. 모든 직원에게 동일한 시스템 접근 권한이 주어질 필요한 게 아니라는 점을 기억하는 것이 중요하다. 오늘날 사이버보안에서 목격하는 온갖 고도화된 공격 시나리오에 아랑곳없이, 여전히 사소한 것들 때문에 무너지는 사례가 계속되고 있다.    2017년 버라이즌 데이터 침해 사건 조사 보고서(2017 Verizon Data Breach Investigations Report)에 따르면 81%의 해킹 관련 보안 침해는 훼손된 인증 정보와 연관이 있었다. 게다가, 2018년의 크라우드스트라이크 침입 서비스 사례 책자(Crowdstrike Intrusion Services Casebook 2018)에 나온 것처럼 사소한 실패가 시스템 전체에 영향을 줄 수 있다. 이 책자에서는 거대 다국적 의류 회사 이용자가 커피숍에 앉아 공공 네트워크에서 작업한 사례를 서술했다. 이 이용자의 인증 정보는 훼손되었고, 이는 회사 인프라 전체의 훼손으로 이어졌다.  간단해 보이는 접근 관리가 왜 이렇게까지 어려운 것일까? 아마도 이는 그냥 겉으로만 단순해 보이기 때문일 것이다. 예를 들어, 직원 20명과 5대의 시스템을 가진 회사를 생각해보자. 각 시스템에 대해 어떤 이용자는 파일을 읽기만 하고, 어떤 사용자는 파일을 읽고 쓸 수 있으며, 어떤 사용자는 관리자 접근 권한을 갖고, 어떤 사용자는 접근 권한이 아예 없을 수 있다. 이런 소규모 환경에서도 접근 설정의 변수는 어마어마하다.  게다가 일반 소기업에서 접근 권한 관리는 기껏해야 형식적이고, 심지어 일부 기업에서는 ‘하나로 통일된’ 경우도 있다. 이 단순한 문제는 사실 전혀 단순하지 않다. 그러나, 이를 제대로 하지 못하면 시스템을 적당히 안전하게 유지할 가능성조차 아주 희박해진다.  이 문제에 대한 해법은 전혀 새롭지 않다. 이는 정보 보안이 그렇게 주목받지 않았던 197...

컴플라이언스 CSO 규제 권한 RBAC 역할 기반 접근 관리

2019.01.09

RBAC은 조직에서 자신의 역할에 따라 사용자에게 시스템 접근 권한을 할당하는 개념이다. 모든 직원에게 동일한 시스템 접근 권한이 주어질 필요한 게 아니라는 점을 기억하는 것이 중요하다. 오늘날 사이버보안에서 목격하는 온갖 고도화된 공격 시나리오에 아랑곳없이, 여전히 사소한 것들 때문에 무너지는 사례가 계속되고 있다.    2017년 버라이즌 데이터 침해 사건 조사 보고서(2017 Verizon Data Breach Investigations Report)에 따르면 81%의 해킹 관련 보안 침해는 훼손된 인증 정보와 연관이 있었다. 게다가, 2018년의 크라우드스트라이크 침입 서비스 사례 책자(Crowdstrike Intrusion Services Casebook 2018)에 나온 것처럼 사소한 실패가 시스템 전체에 영향을 줄 수 있다. 이 책자에서는 거대 다국적 의류 회사 이용자가 커피숍에 앉아 공공 네트워크에서 작업한 사례를 서술했다. 이 이용자의 인증 정보는 훼손되었고, 이는 회사 인프라 전체의 훼손으로 이어졌다.  간단해 보이는 접근 관리가 왜 이렇게까지 어려운 것일까? 아마도 이는 그냥 겉으로만 단순해 보이기 때문일 것이다. 예를 들어, 직원 20명과 5대의 시스템을 가진 회사를 생각해보자. 각 시스템에 대해 어떤 이용자는 파일을 읽기만 하고, 어떤 사용자는 파일을 읽고 쓸 수 있으며, 어떤 사용자는 관리자 접근 권한을 갖고, 어떤 사용자는 접근 권한이 아예 없을 수 있다. 이런 소규모 환경에서도 접근 설정의 변수는 어마어마하다.  게다가 일반 소기업에서 접근 권한 관리는 기껏해야 형식적이고, 심지어 일부 기업에서는 ‘하나로 통일된’ 경우도 있다. 이 단순한 문제는 사실 전혀 단순하지 않다. 그러나, 이를 제대로 하지 못하면 시스템을 적당히 안전하게 유지할 가능성조차 아주 희박해진다.  이 문제에 대한 해법은 전혀 새롭지 않다. 이는 정보 보안이 그렇게 주목받지 않았던 197...

2019.01.09

사이버 위협을 알리는 10가지 징후

사이버 위협 추적은 사냥과 비슷하다. 인내심, 일관성, 예리한 시각이 필요하며, 제대로 한다면 아주 신나고 보람찬 일이 될 것이다. 위협 활동자들은 모든 것을 동원해 네트워크 안에서 유령이 되고자 하기 때문에 디지털 가디언(Digital Guardian)의 사이버 보안 이사 팀 반도스는 보안 전문가가 ‘유령 잡는 사람(Ghostbuster)’이 돼야 한다고 말했다. 찾기 어려운 표적을 추적하고 포획하기 위해 위협 사냥꾼은 적절한 기술과 도구를 갖춰야 한다. 우선 사이버 위협 지식을 쌓고 중요한 로깅 데이터를 중앙으로 모은다. 다음은 반도스가 설명한 위협을 알리는 일반적인 10가지 징후다. 낮고 느린 연결 사냥을 시작하기에는 프록시 로그가 안성맞춤이며 무엇인가 잘못되었음을 알 수 있는 표식들이 여실히 드러난다. 22번 포트의 트래픽이 프록시 서버나, 심지어 방화벽을 통과하고 있는가? 물론, 이런 평문 프로토콜을 제한할 수 있는 좋은 연습이 되지만 무너뜨릴 수 없다면 데이터에서 서서히 빠져나가는 패턴을 찾아보자. 같은 수의 유입/유출 바이트 네트워크 연결에서 유입 및 유출 바이트가 매일 같은 패턴을 보이는가? 몇 년 전에는 좀 더 성행했었지만 요즈음의 악성코드도 여전히 이 신호 기법을 이용해 주인에게 침투에 성공했다는 신호를 보낸다. 동일한 양의 바이트가 자주 증가했다가 감소한다면 의심스러운 활동의 조짐일 수 있으니 모니터링하자. 의심스러운 사이트 엔드포인트 기기로 방문하는 모든 동적 DNS 사이트 목록을 확인하고 조직 전체 중에서 튀는 부분을 구체적으로 찾아보자. 2만 개 중 3개 기기만 1개의 특정 사이트를 방문했다 해도 명령 및 제어 인프라에 문제가 생겼을 수 있다. 다른 설명도 있을 수 있지만 추가로 조사할 만한 가치가 있다. 로그온 시도 실패 확실하게 들릴 수 있지만 복수의 계정을 이용한 연속적인 접속 시도 실패가 발견되면 큰 문제가 있음을 암시할 수 있다. 계정당 1회의 시도 실패에 집중하...

CSO 디지털 가디언 사이버 위협 백도어 엔드포인트 방화벽 크리덴셜 권한 사이버보안 비밀번호 CISO 로그온

2017.05.29

사이버 위협 추적은 사냥과 비슷하다. 인내심, 일관성, 예리한 시각이 필요하며, 제대로 한다면 아주 신나고 보람찬 일이 될 것이다. 위협 활동자들은 모든 것을 동원해 네트워크 안에서 유령이 되고자 하기 때문에 디지털 가디언(Digital Guardian)의 사이버 보안 이사 팀 반도스는 보안 전문가가 ‘유령 잡는 사람(Ghostbuster)’이 돼야 한다고 말했다. 찾기 어려운 표적을 추적하고 포획하기 위해 위협 사냥꾼은 적절한 기술과 도구를 갖춰야 한다. 우선 사이버 위협 지식을 쌓고 중요한 로깅 데이터를 중앙으로 모은다. 다음은 반도스가 설명한 위협을 알리는 일반적인 10가지 징후다. 낮고 느린 연결 사냥을 시작하기에는 프록시 로그가 안성맞춤이며 무엇인가 잘못되었음을 알 수 있는 표식들이 여실히 드러난다. 22번 포트의 트래픽이 프록시 서버나, 심지어 방화벽을 통과하고 있는가? 물론, 이런 평문 프로토콜을 제한할 수 있는 좋은 연습이 되지만 무너뜨릴 수 없다면 데이터에서 서서히 빠져나가는 패턴을 찾아보자. 같은 수의 유입/유출 바이트 네트워크 연결에서 유입 및 유출 바이트가 매일 같은 패턴을 보이는가? 몇 년 전에는 좀 더 성행했었지만 요즈음의 악성코드도 여전히 이 신호 기법을 이용해 주인에게 침투에 성공했다는 신호를 보낸다. 동일한 양의 바이트가 자주 증가했다가 감소한다면 의심스러운 활동의 조짐일 수 있으니 모니터링하자. 의심스러운 사이트 엔드포인트 기기로 방문하는 모든 동적 DNS 사이트 목록을 확인하고 조직 전체 중에서 튀는 부분을 구체적으로 찾아보자. 2만 개 중 3개 기기만 1개의 특정 사이트를 방문했다 해도 명령 및 제어 인프라에 문제가 생겼을 수 있다. 다른 설명도 있을 수 있지만 추가로 조사할 만한 가치가 있다. 로그온 시도 실패 확실하게 들릴 수 있지만 복수의 계정을 이용한 연속적인 접속 시도 실패가 발견되면 큰 문제가 있음을 암시할 수 있다. 계정당 1회의 시도 실패에 집중하...

2017.05.29

모두가 싫어하는 IT 부서 관리자가 되는 10단계

자신이 신뢰하는 개발자를 관리자로 승진시킨 CIO가 결국 뛰어난 개발자를 잃고 골칫거리 책임자를 얻게 되었다는 농담은 유명하다. 관리의 핵심은 완벽한 팀을 꾸리거나 팀원 모두를 성공으로 이끌거나, 기술적 문제를 해결하는 것이 아니다. 관리자의 역할은 팀의 모든 업무를 기업 전체와 조화시키고, 또 기업 전체의 일을 팀의 일처럼 바라보는 시각을 갖는 것이다. 이제 막 매니저가 된 이들에게, 매니저로써 실패가 확실시 되는 10가지 행동을 소개한다. 1단계. 처음 맛보는 권력을 즐겨라 인생은 짧다. 좋은 건 즐겨야 한다. 예전에는 팀에 피자 한 판 돌리는 데 필요한 돈도 눈치를 보며 써야 했지만, 이제는 아니다! 관리자가 되면서 이제 무려 ‘예산’을 운용할 수 있게 됐다. 이제 피자 정도는 누구의 눈치도 보지 않고 대인배처럼 쏠 수 있게 되었다! 하지만 자신의 권위가 진짜 빛을 발하는 순간은 따로 있다. 자신에게 보고하는 다른 팀 프로젝트 매니저가 팀에 피자를 돌리기 위해 결재를 필요로 할 때, 그 때가 바로 관리자의 권한을 행사할 때이다. 그런 지출 요구에 대해 깐깐하게 검토하고 보고를 요구함으로써 권위를 세울 수 있다. 2단계. 코칭 그렇다고 무조건 안 된다고 퇴짜를 놓으라는 얘기는 아니다. 그렇게 덮어놓고 퇴짜를 놓으면 ‘갑질한다’는 소리를 듣기 딱 좋다. 앞서 이야기한 것과 같은 지출 요구가 있을 때는, 이를 기회 삼아 피가 되고 살이 되는 교훈의 말을 해 줄 수 있어야 한다. 프로젝트 매니저를 사무실로 부른 뒤, 단 둘이 있는 상황에서, 조곤조곤한 어조로 왜 임의 지출에 대한 깐깐한 검토가 필요한지를 설명해 주어야 한다. 상대방은 열심히 일한 팀원들에게 피자 한 판 쏘는 것조차도 깐깐하게 굴어야 하는지 이해하지 못할 수도 있기 때문이다. 어째서 꼼꼼하게 지출 검토를 하는 것이 중요한지 잘 설명할 말이 생각나지 않는다면, 다음과 같은 몇 가지 이유를 들 수 ...

경력 리더십 책임 승진 권한 관리자 팀원

2017.03.21

자신이 신뢰하는 개발자를 관리자로 승진시킨 CIO가 결국 뛰어난 개발자를 잃고 골칫거리 책임자를 얻게 되었다는 농담은 유명하다. 관리의 핵심은 완벽한 팀을 꾸리거나 팀원 모두를 성공으로 이끌거나, 기술적 문제를 해결하는 것이 아니다. 관리자의 역할은 팀의 모든 업무를 기업 전체와 조화시키고, 또 기업 전체의 일을 팀의 일처럼 바라보는 시각을 갖는 것이다. 이제 막 매니저가 된 이들에게, 매니저로써 실패가 확실시 되는 10가지 행동을 소개한다. 1단계. 처음 맛보는 권력을 즐겨라 인생은 짧다. 좋은 건 즐겨야 한다. 예전에는 팀에 피자 한 판 돌리는 데 필요한 돈도 눈치를 보며 써야 했지만, 이제는 아니다! 관리자가 되면서 이제 무려 ‘예산’을 운용할 수 있게 됐다. 이제 피자 정도는 누구의 눈치도 보지 않고 대인배처럼 쏠 수 있게 되었다! 하지만 자신의 권위가 진짜 빛을 발하는 순간은 따로 있다. 자신에게 보고하는 다른 팀 프로젝트 매니저가 팀에 피자를 돌리기 위해 결재를 필요로 할 때, 그 때가 바로 관리자의 권한을 행사할 때이다. 그런 지출 요구에 대해 깐깐하게 검토하고 보고를 요구함으로써 권위를 세울 수 있다. 2단계. 코칭 그렇다고 무조건 안 된다고 퇴짜를 놓으라는 얘기는 아니다. 그렇게 덮어놓고 퇴짜를 놓으면 ‘갑질한다’는 소리를 듣기 딱 좋다. 앞서 이야기한 것과 같은 지출 요구가 있을 때는, 이를 기회 삼아 피가 되고 살이 되는 교훈의 말을 해 줄 수 있어야 한다. 프로젝트 매니저를 사무실로 부른 뒤, 단 둘이 있는 상황에서, 조곤조곤한 어조로 왜 임의 지출에 대한 깐깐한 검토가 필요한지를 설명해 주어야 한다. 상대방은 열심히 일한 팀원들에게 피자 한 판 쏘는 것조차도 깐깐하게 굴어야 하는지 이해하지 못할 수도 있기 때문이다. 어째서 꼼꼼하게 지출 검토를 하는 것이 중요한지 잘 설명할 말이 생각나지 않는다면, 다음과 같은 몇 가지 이유를 들 수 ...

2017.03.21

'비직속 용병 직원'들을 잘 관리하려면... 전문가 2인이 귀뜸하는 8가지

직접적인 권한 없이 프로젝트에 참여한 팀원들을 관리해야 하는 상황은 오늘날 비즈니스 환경에 그리 낯설지 않다. 조직에서 관리 업무를 사람들은 직속 부하가 아닌 '비직속 부하 직원들(Indirect reports)'을 관리하는 여러 시나리오에 직면하게 된다. 이런 상황이 생소하다면, 당황해 실패를 떠올리기 쉽다. 비직속 부하들 또한 프로젝트 목표를 함께 추구하지만, 프로젝트 리더와 '실선'이 아닌 '점선'으로 연결되어 있다. 하지만 이를 통해 값지고 소중한 것들을 배울 수 있다. 이론이 아닌 현실에서, 비직속 부하를 효과적으로 관리하는 방법은 무엇일까? 우리는 이를 알아보기 위해, 비직속 부하 관리 경험이 풍부한 전문가 2명과 이야기를 나눴다. 첫 번째 전문가는 프로젝트 매니저로 15년 넘게 가상 팀과 코로케이티드(Collocated) 팀을 관리했으며, 현재 헬스케어 서비스 회사인 카디널 헬스(Cardinal Health)에 재직하고 있는 수잔 레그 맥킨리다. 두 번째 전문가는 해병대 복무 후 교사, 변호사로 일한 다음에 IBM에서 인수와 관련된 모든 조달 업무를 총괄하고 있는 프랭크 자마치 선임 인수 스페셜리스트(Senior Acquisition Specialist)이다. 자마치는 30년 넘게 비직속 부하를 통솔한 경험을 갖고 있다. 다음은 이들의 '성공 비결'을 정리한 내용이다. Image Credit : Getty Images Bank 커뮤니케이션 채널을 늘 열어 놓는다 이들이 먼저 강조한 것은 커뮤니케이션 '발송인'의 책임이다. 발송인에게는 '수신인'이 커뮤니케이션을 수령해 이해하도록 만들 책임을 갖고 있다는 것이다. 프로젝트나 관계의 성패를 좌우하는 가장 중요한 요소 중 하나이며, 이를 위해서는 이 원칙을 누구나 지킬 필요가 있다고 자마치와 맥킨리는 설명했다. 이들은 이어 '열린' 정책을 유지하고, 프로젝트 참여자가 ...

HR PM 커뮤니케이션 프로젝트 관리 권한 직원 권위

2016.10.27

직접적인 권한 없이 프로젝트에 참여한 팀원들을 관리해야 하는 상황은 오늘날 비즈니스 환경에 그리 낯설지 않다. 조직에서 관리 업무를 사람들은 직속 부하가 아닌 '비직속 부하 직원들(Indirect reports)'을 관리하는 여러 시나리오에 직면하게 된다. 이런 상황이 생소하다면, 당황해 실패를 떠올리기 쉽다. 비직속 부하들 또한 프로젝트 목표를 함께 추구하지만, 프로젝트 리더와 '실선'이 아닌 '점선'으로 연결되어 있다. 하지만 이를 통해 값지고 소중한 것들을 배울 수 있다. 이론이 아닌 현실에서, 비직속 부하를 효과적으로 관리하는 방법은 무엇일까? 우리는 이를 알아보기 위해, 비직속 부하 관리 경험이 풍부한 전문가 2명과 이야기를 나눴다. 첫 번째 전문가는 프로젝트 매니저로 15년 넘게 가상 팀과 코로케이티드(Collocated) 팀을 관리했으며, 현재 헬스케어 서비스 회사인 카디널 헬스(Cardinal Health)에 재직하고 있는 수잔 레그 맥킨리다. 두 번째 전문가는 해병대 복무 후 교사, 변호사로 일한 다음에 IBM에서 인수와 관련된 모든 조달 업무를 총괄하고 있는 프랭크 자마치 선임 인수 스페셜리스트(Senior Acquisition Specialist)이다. 자마치는 30년 넘게 비직속 부하를 통솔한 경험을 갖고 있다. 다음은 이들의 '성공 비결'을 정리한 내용이다. Image Credit : Getty Images Bank 커뮤니케이션 채널을 늘 열어 놓는다 이들이 먼저 강조한 것은 커뮤니케이션 '발송인'의 책임이다. 발송인에게는 '수신인'이 커뮤니케이션을 수령해 이해하도록 만들 책임을 갖고 있다는 것이다. 프로젝트나 관계의 성패를 좌우하는 가장 중요한 요소 중 하나이며, 이를 위해서는 이 원칙을 누구나 지킬 필요가 있다고 자마치와 맥킨리는 설명했다. 이들은 이어 '열린' 정책을 유지하고, 프로젝트 참여자가 ...

2016.10.27

기고 | 크리덴셜 부정 사용 찾아내는 '사용자 행동 분석'

*본 기고문은 벤더가 작성한 것으로 네트워크 월드 편집진의 수정을 거쳤다. 그러나 벤더의 시각이 일부 남아 있을 수 있다. 이미지 출처 : Thinkstock 거의 모든 데이터 누출 사건은 정상적인 로그온 크리덴셜(Credential)을 사용해 이뤄진다. 이런 ‘내부자 위협’을 막으려면 도난 당한 크리덴셜을 범죄자들이 사용할 때 이를 감지할 수 있는 능력이 필요하다. 안타깝게도 전통적인 네트워크 보안 툴은 이런 위협을 식별하거나 완화하는데 효과적이지 못하다. 이런 목적을 위해 새로운 사용자 행동 분석 솔루션이 개발됐으며 실효성이 입증되고 있다. ‘내부자 위협’이라는 말을 들으면, 일반적으로 기업 데이터 접근 권한이 있는 악의적인 직원이나 범죄 의도가 있는 계약직, 또는 협력사 등을 떠올리게 된다. 하지만 이 말은 넓은 의미로 볼 때 정상적인 직원 및 내부자의 로그온 크리덴셜이나 권한을 악용하는 위협과 공격을 의미한다. 직원이나 다른 내부자의 데이터 누출은 대부분 추적할 수 있다. 반면, 외부의 해커, 범죄 조직, 반대 정부, 경쟁사, 핵티비스트(Hacktivist)에 의해 발생한 데이터 누출 사고의 경우 대개 좀더 심각해진다. 이런 범죄자들의 경우 내부자는 아니더라도 관리 권한을 항상 가질 수 있는 내부자의 로그온 크리덴셜을 탈취해 시도할 수 있다. 이 목표를 달성하고 나면 권한을 가진 내부자로 위장해 시스템에 침투한 다음 원하는 정보를 복사한다. 외부자건 내부자건 누구의 소행인지간에 불법적이거나 부주의한 내부자 로그온 크리덴셜 또는 권한 사용은 거의 모든 사이버범죄의 공통 분모라 할 수 있다. 또 관련된 모든 위험을 내부자 위협으로 볼 수 있다. --------------------------------------------------------------- 내부자 위협 인기기사 ->기고 | 가장 큰 보안 위협은 내부에 있다? ->내부...

해킹 사용자 행동 내부자 위협 내부자 분석 데이터 누출 크리덴셜 권한 공격 유출 해커 부정 사용

2016.01.29

*본 기고문은 벤더가 작성한 것으로 네트워크 월드 편집진의 수정을 거쳤다. 그러나 벤더의 시각이 일부 남아 있을 수 있다. 이미지 출처 : Thinkstock 거의 모든 데이터 누출 사건은 정상적인 로그온 크리덴셜(Credential)을 사용해 이뤄진다. 이런 ‘내부자 위협’을 막으려면 도난 당한 크리덴셜을 범죄자들이 사용할 때 이를 감지할 수 있는 능력이 필요하다. 안타깝게도 전통적인 네트워크 보안 툴은 이런 위협을 식별하거나 완화하는데 효과적이지 못하다. 이런 목적을 위해 새로운 사용자 행동 분석 솔루션이 개발됐으며 실효성이 입증되고 있다. ‘내부자 위협’이라는 말을 들으면, 일반적으로 기업 데이터 접근 권한이 있는 악의적인 직원이나 범죄 의도가 있는 계약직, 또는 협력사 등을 떠올리게 된다. 하지만 이 말은 넓은 의미로 볼 때 정상적인 직원 및 내부자의 로그온 크리덴셜이나 권한을 악용하는 위협과 공격을 의미한다. 직원이나 다른 내부자의 데이터 누출은 대부분 추적할 수 있다. 반면, 외부의 해커, 범죄 조직, 반대 정부, 경쟁사, 핵티비스트(Hacktivist)에 의해 발생한 데이터 누출 사고의 경우 대개 좀더 심각해진다. 이런 범죄자들의 경우 내부자는 아니더라도 관리 권한을 항상 가질 수 있는 내부자의 로그온 크리덴셜을 탈취해 시도할 수 있다. 이 목표를 달성하고 나면 권한을 가진 내부자로 위장해 시스템에 침투한 다음 원하는 정보를 복사한다. 외부자건 내부자건 누구의 소행인지간에 불법적이거나 부주의한 내부자 로그온 크리덴셜 또는 권한 사용은 거의 모든 사이버범죄의 공통 분모라 할 수 있다. 또 관련된 모든 위험을 내부자 위협으로 볼 수 있다. --------------------------------------------------------------- 내부자 위협 인기기사 ->기고 | 가장 큰 보안 위협은 내부에 있다? ->내부...

2016.01.29

시스템 관리자가 저지르는 보안 실수 10가지

보안은 기술적인 문제인 동시에 사람과 관련된 문제이다. 기술보다는 사람과 관련된 실수가 많다. 게다가 시스템 관리자를 비롯한 IT 담당 직원 등 알만한 사람들이 실수를 저지르는 경우가 많다. 인터미디어(Intermedia)의 2015년 내부 위험(Insider Risk) 보고서에 따르면, 보안과 관련해 '위험한' 실수를 가장 많이 저지를 수 있는 사람들은 IT 종사자들이다. 비밀번호와 로그인 정보를 공유하고, 업무용 애플리케이션에 개인 비밀번호를 사용하고, 개인 계정의 인증서를 다른 사람에게 주는 행위 등을 예로 들 수 있다. 이는 일반 사용자보다 더 큰 위험을 초래할 수 있다. 시스템 관리자는 네트워크에 '신과 같은 영향력'을 행사하기 때문이다. IT 담당자들은 사용자만큼이나 피싱, 맬웨어 등의 공격에 취약하다. 그리고 시스템 관리자의 인증서를 도난 당하면, 예외 없이 더 심각한 보안 침해 사고가 발생한다. 다음은 시스템 관리자와 IT 담당자가 가장 많이 범하는 실수 10가지를 정리한 내용이다. 실수 1. 'Sudo(수퍼 유저)' 권한 남용 루트 로그인을 하면 완벽한 권한을 갖게 된다. 이는 아주 위험한 상황을 초래할 수 있다. 해커가 인증서를 훔쳐, 자신이 원하는 일을 맘껏 할 수 있기 때문이다. 윈도우 환경에서 관리자 권한의 작업이 필요 없다면, 굳이 관리자로 로그인할 필요가 없다. 시스템에 루트 로그인하는 대신 개인 계정을 통해 로그인해야 한다. 그리고 필요한 경우에만 'Sudo'를 이용한다. 주의하지 않으면, 다시 실수를 저지르기 쉽다. 명령 중 하나에 'Sudo'가 필요해 스크립트에 문제가 발생한다. 이제 모든 것을 다시 시작해야 한다. 고급 권한이 필요한 명령, 필요 없는 명령을 추적 기록하지 않으면, 모든 것을 다시 'Sudo'로 처리해야 한다. 실수 2. 출처가 확인되지 않은 스크립트 실행 서드파티 리눅스 애...

보안 트러블슈팅 무차별 공격 sudo 루트 로그인 내부 위험 인터미디어 네트워크 보안 사이버 보안 시스템 관리자 관리자 권한 실수 해킹 계정 보안

2015.11.23

보안은 기술적인 문제인 동시에 사람과 관련된 문제이다. 기술보다는 사람과 관련된 실수가 많다. 게다가 시스템 관리자를 비롯한 IT 담당 직원 등 알만한 사람들이 실수를 저지르는 경우가 많다. 인터미디어(Intermedia)의 2015년 내부 위험(Insider Risk) 보고서에 따르면, 보안과 관련해 '위험한' 실수를 가장 많이 저지를 수 있는 사람들은 IT 종사자들이다. 비밀번호와 로그인 정보를 공유하고, 업무용 애플리케이션에 개인 비밀번호를 사용하고, 개인 계정의 인증서를 다른 사람에게 주는 행위 등을 예로 들 수 있다. 이는 일반 사용자보다 더 큰 위험을 초래할 수 있다. 시스템 관리자는 네트워크에 '신과 같은 영향력'을 행사하기 때문이다. IT 담당자들은 사용자만큼이나 피싱, 맬웨어 등의 공격에 취약하다. 그리고 시스템 관리자의 인증서를 도난 당하면, 예외 없이 더 심각한 보안 침해 사고가 발생한다. 다음은 시스템 관리자와 IT 담당자가 가장 많이 범하는 실수 10가지를 정리한 내용이다. 실수 1. 'Sudo(수퍼 유저)' 권한 남용 루트 로그인을 하면 완벽한 권한을 갖게 된다. 이는 아주 위험한 상황을 초래할 수 있다. 해커가 인증서를 훔쳐, 자신이 원하는 일을 맘껏 할 수 있기 때문이다. 윈도우 환경에서 관리자 권한의 작업이 필요 없다면, 굳이 관리자로 로그인할 필요가 없다. 시스템에 루트 로그인하는 대신 개인 계정을 통해 로그인해야 한다. 그리고 필요한 경우에만 'Sudo'를 이용한다. 주의하지 않으면, 다시 실수를 저지르기 쉽다. 명령 중 하나에 'Sudo'가 필요해 스크립트에 문제가 발생한다. 이제 모든 것을 다시 시작해야 한다. 고급 권한이 필요한 명령, 필요 없는 명령을 추적 기록하지 않으면, 모든 것을 다시 'Sudo'로 처리해야 한다. 실수 2. 출처가 확인되지 않은 스크립트 실행 서드파티 리눅스 애...

2015.11.23

기업을 위험하게 하는 '1% 직원'에 집중하라

클라우드와 관련된 기업 보안의 위험성 중 75%는 1%에 불과한 직원들로 인한 것이라는 연구 결과가 등장했다. 기업은 추가 비용을 조금만 들여 이러한 직원들에게 별도의 주의를 기울임으로써 보안 위험성에 대한 노출을 급격하게 줄일 수 있다는 권고다. 2분기 중 1,000만 명의 행동을 분석한 클라우드락이 최근 발표한 조사에 따르면 기업을 위험으로 이끄는 직원은 소수에 불과했다. 이들은 단순한 비밀번호를 사용하고, 파일을 공유하며, 실수로 맬웨어를 내려 받거나, 피싱 사이트를 클릭하고, 위험한 애플리케이션을 사용하며, 같은 비밀번호를 계속 쓰고, 그 밖의 위험한 일에 연루됨으로써 기업 보안을 위협하고 있었다. 이러한 1%의 직원들은 자동화된 업무를 수행하는 회계용 기기 이용자, 소프트웨어 개발자, 고위급 임원에서 평사원에 이르기까지 기업 내에 폭 넓게 분포하고 있었다. Credit: Yellowstone National Park 최근 버라이즌이 발표한 정보유출 보고서에 따르면, 정보유출의 하위 영역 중 가장 큰 비중을 차지하고 있는 두 영역은 정보도용과 피싱이었던 바 있다. 작년 발생한 전체 정보유출 중 2/3 이상이 이에 해당됐다. 클라우드락의 고객 통찰 및 분석 부문 총괄인 아이셰 카야 프랏은 "사이버 범죄자들은 접속 보안이 가장 취약하고 허술한 곳을 노린다. 직원들은 악의적인 의도를 전혀 품지 않았을 수도 있다. 이들은 그저 게임을 하거나 음악을 듣고 싶었을 수 있지만, 사이버 범죄자들에게 접근 통로를 열어주고 있다"라고 말했다. 또한 문제 직원 상위 1%의 81%는 파일 공유와 관련해, 62%는 애플리케이션 설치와 관련해 문제 행동을 하고 있었다. 범주에 따라 달라질 수는 있지만 하나의 문제 행동을 하는 직원이 다른 문제 행동을 하는 경향성이 높다는 의미다. 프랏은 "대부분의 경우 공통점이 많았다. 이 밖에 발생 빈도가 역동적이며 계속해서 변화하기 때문에 이를 꾸준히 감시할 역동적인 ...

보안 계정 권한 직원 클라우드락

2015.08.27

클라우드와 관련된 기업 보안의 위험성 중 75%는 1%에 불과한 직원들로 인한 것이라는 연구 결과가 등장했다. 기업은 추가 비용을 조금만 들여 이러한 직원들에게 별도의 주의를 기울임으로써 보안 위험성에 대한 노출을 급격하게 줄일 수 있다는 권고다. 2분기 중 1,000만 명의 행동을 분석한 클라우드락이 최근 발표한 조사에 따르면 기업을 위험으로 이끄는 직원은 소수에 불과했다. 이들은 단순한 비밀번호를 사용하고, 파일을 공유하며, 실수로 맬웨어를 내려 받거나, 피싱 사이트를 클릭하고, 위험한 애플리케이션을 사용하며, 같은 비밀번호를 계속 쓰고, 그 밖의 위험한 일에 연루됨으로써 기업 보안을 위협하고 있었다. 이러한 1%의 직원들은 자동화된 업무를 수행하는 회계용 기기 이용자, 소프트웨어 개발자, 고위급 임원에서 평사원에 이르기까지 기업 내에 폭 넓게 분포하고 있었다. Credit: Yellowstone National Park 최근 버라이즌이 발표한 정보유출 보고서에 따르면, 정보유출의 하위 영역 중 가장 큰 비중을 차지하고 있는 두 영역은 정보도용과 피싱이었던 바 있다. 작년 발생한 전체 정보유출 중 2/3 이상이 이에 해당됐다. 클라우드락의 고객 통찰 및 분석 부문 총괄인 아이셰 카야 프랏은 "사이버 범죄자들은 접속 보안이 가장 취약하고 허술한 곳을 노린다. 직원들은 악의적인 의도를 전혀 품지 않았을 수도 있다. 이들은 그저 게임을 하거나 음악을 듣고 싶었을 수 있지만, 사이버 범죄자들에게 접근 통로를 열어주고 있다"라고 말했다. 또한 문제 직원 상위 1%의 81%는 파일 공유와 관련해, 62%는 애플리케이션 설치와 관련해 문제 행동을 하고 있었다. 범주에 따라 달라질 수는 있지만 하나의 문제 행동을 하는 직원이 다른 문제 행동을 하는 경향성이 높다는 의미다. 프랏은 "대부분의 경우 공통점이 많았다. 이 밖에 발생 빈도가 역동적이며 계속해서 변화하기 때문에 이를 꾸준히 감시할 역동적인 ...

2015.08.27

기고 | 퇴사를 부르는 3가지 유형의 리더

우리 중 대부분은 사람들이 직장을 그만두는 주된 이유가 연봉 때문이라고 생각한다. 근로자 100만 명 이상을 대상으로 한 갤럽의 조사에 따르면 그렇지 않다. 사람들이 직장을 떠나는 주된 이유는 바로 나쁜 상사 때문인 것으로 나타났다. 그렇다면, 독자 여러분의 상사는 제대로 된 방향으로 가고 있는 걸까? 다음의 3가지 기준에 맞춰 판단해 보길 바란다. 1 리더는 직원들에 대해 얼마나 알고 있나? 최고로 똑똑한 인재들을 유치해 유지하려면, 리더는 자신의 사람들을 수용하고 그들 스스로가 가장 가치 있는 회사 자산임을 느끼도록 해야 한다. 대부분의 리더는 자기 사람들에 대해 잘 모른다. 하지만 그 사람들은 리더에 대해 많이 알고 있다. 리더가 무엇을 놓치고 있다고 생각하나? 리더들은 직원들이 무엇에 동참해서 행복하다고 생각하는지 알까? 우리가 생각하는 것은 우리가 정말 가치있다고 여기는 것에 영향을 받으며 우리 모두 각자 다른 동기부여를 받는다. 리더는 직원들이 무엇을 원하고 필요로 하는지, 그들이 어떤 사람이고 무엇이 그들을 움직이게 하는지에 대해 좀더 배우는데 시간을 투자해야 한다. 2 직원들에게 권한을 위임하나? 성공적인 기업은 직원들이 스스로 의사 결정을 내리며, 전통적으로 경직된 분위기를 피하도록 하기 위해 좀더 유연한 조직 구조로 변화하고 있다. 직원들이 더 간소한 승인 및 확인 절차를 가지고 업무를 수행하도록 권한을 부여받을 때 이들은 적극적으로 일하게 된다. 직원들에게 더 많은 책임을 갖도록 하고 그들 스스로 핵심 권한을 만들게 하며 결과에 대해서도 핵임을 지도록 만들어라. 수평한 문화는 솔직한 의견과 아이디어를 공유하도록 독려하면서 직원들의 단결과 신뢰를 촉진시켜 줄 것이다. 독재자 스타일의 운영은 직원을 떠나게 만드는 가장 효과적인 방법이다. 3 관행적인 리더십을 이어가나? 관행적인 리더십은 계속되고 있으며 그것은 실행에 대한 모든 것이기도 하다. 신뢰는 하루 아침에 쌓을...

조직관리 권한 문화 리더 상사 갈등 책임 이직 CIO 퇴사

2014.10.22

우리 중 대부분은 사람들이 직장을 그만두는 주된 이유가 연봉 때문이라고 생각한다. 근로자 100만 명 이상을 대상으로 한 갤럽의 조사에 따르면 그렇지 않다. 사람들이 직장을 떠나는 주된 이유는 바로 나쁜 상사 때문인 것으로 나타났다. 그렇다면, 독자 여러분의 상사는 제대로 된 방향으로 가고 있는 걸까? 다음의 3가지 기준에 맞춰 판단해 보길 바란다. 1 리더는 직원들에 대해 얼마나 알고 있나? 최고로 똑똑한 인재들을 유치해 유지하려면, 리더는 자신의 사람들을 수용하고 그들 스스로가 가장 가치 있는 회사 자산임을 느끼도록 해야 한다. 대부분의 리더는 자기 사람들에 대해 잘 모른다. 하지만 그 사람들은 리더에 대해 많이 알고 있다. 리더가 무엇을 놓치고 있다고 생각하나? 리더들은 직원들이 무엇에 동참해서 행복하다고 생각하는지 알까? 우리가 생각하는 것은 우리가 정말 가치있다고 여기는 것에 영향을 받으며 우리 모두 각자 다른 동기부여를 받는다. 리더는 직원들이 무엇을 원하고 필요로 하는지, 그들이 어떤 사람이고 무엇이 그들을 움직이게 하는지에 대해 좀더 배우는데 시간을 투자해야 한다. 2 직원들에게 권한을 위임하나? 성공적인 기업은 직원들이 스스로 의사 결정을 내리며, 전통적으로 경직된 분위기를 피하도록 하기 위해 좀더 유연한 조직 구조로 변화하고 있다. 직원들이 더 간소한 승인 및 확인 절차를 가지고 업무를 수행하도록 권한을 부여받을 때 이들은 적극적으로 일하게 된다. 직원들에게 더 많은 책임을 갖도록 하고 그들 스스로 핵심 권한을 만들게 하며 결과에 대해서도 핵임을 지도록 만들어라. 수평한 문화는 솔직한 의견과 아이디어를 공유하도록 독려하면서 직원들의 단결과 신뢰를 촉진시켜 줄 것이다. 독재자 스타일의 운영은 직원을 떠나게 만드는 가장 효과적인 방법이다. 3 관행적인 리더십을 이어가나? 관행적인 리더십은 계속되고 있으며 그것은 실행에 대한 모든 것이기도 하다. 신뢰는 하루 아침에 쌓을...

2014.10.22

권력 이동 : IT는 CMO으로, 디지털 마케팅은 CIO로!

3년 전 가트너는 2017년이 되면 CIO보다 CMO가 IT에 더 많은 돈을 쓸 것이라고 예언했다. 그리고 2014년 현재 이러한 변화의 증후들이 여기저기서 나타나기 시작했다. 가트너는 CIO들이 깜짝 놀랄 보고서를 발표했다. 향후 5년 이내, 마케터들이 IT보다 더 많은 기술 예산을 집행할 것이라는 전망이 담긴 보고서였다. CMO들은 현재 가트너가 3년 전 발표한 보고서의 전망대로 가고 있다. '권력 이양'이 완성 단계에 가까워진 것이다. 보고서가 발표된 시점 이후, 이른바 마테크(Martech)라는 마케팅 기술을 소개하는 IT업체들의 수가 급증했다. 현재 약 3,000개의 업체들이 이 활동을 펼치고 있으며, 매년 300~500개 업체가 증가하는 추세다. 대다수는 CIO를 따돌리고 싶어하는 CMO를 상대로 직접 제품과 서비스를 판매한다. 수십 년 동안 CIO와 돈독한 관계를 유지해 온 엔터프라이즈 소프트웨어 업계의 거인 오라클도 이런 급격한 시대 변화상을 보여주고 있다. 오라클은 지난 몇 년간 매달 평균 1개 회사를 인수하는 등 마테크 관련 인수에 30억 달러를 쏟아 부었다. 한때 CIO의 강력한 후원자였던 오라클은 CMO를 직접 '설득'할 계획을 세웠다. CMO가 CIO를 대신할 수 있을까? 이런 변화에 친숙한 CIO들은 많다. 이미 CMO에게 보고하는 CIO가 증가하고 있다. CIO의 기업 내 서열이 낮아지고 있는 것이다. CIO들은 개인적으로는 자신의 역할이 '전략'이 아닌 '지원'으로 강등됐음을 인정하고 있다. 반대로 CMO는 CEO처럼 기업 활동을 주도하기를 바라고 있다. CIO들이 암담한 상황에 처했다는 이야기로 들릴 것이다. 그렇다면 정확히 들은 것이다. 하지만 이런 권력 이동을 받아들이는 CIO들에게는 희망이 있다. 마케팅의 디지털화, 데이터 중심화가 유례없이 가속화됐다는 것은 좋은 소식이다. CIO가 마케팅 분야에서 자연스레 역량을 발휘할 수 있기 ...

CIO 마테크 마케팅 기술 주도권 콘텐츠 마케팅 카펙스 오펙스 고객 경험 권한 광고 CMO IT예산 OPEX CAPEX 역할 오라클 Martech

2014.10.15

3년 전 가트너는 2017년이 되면 CIO보다 CMO가 IT에 더 많은 돈을 쓸 것이라고 예언했다. 그리고 2014년 현재 이러한 변화의 증후들이 여기저기서 나타나기 시작했다. 가트너는 CIO들이 깜짝 놀랄 보고서를 발표했다. 향후 5년 이내, 마케터들이 IT보다 더 많은 기술 예산을 집행할 것이라는 전망이 담긴 보고서였다. CMO들은 현재 가트너가 3년 전 발표한 보고서의 전망대로 가고 있다. '권력 이양'이 완성 단계에 가까워진 것이다. 보고서가 발표된 시점 이후, 이른바 마테크(Martech)라는 마케팅 기술을 소개하는 IT업체들의 수가 급증했다. 현재 약 3,000개의 업체들이 이 활동을 펼치고 있으며, 매년 300~500개 업체가 증가하는 추세다. 대다수는 CIO를 따돌리고 싶어하는 CMO를 상대로 직접 제품과 서비스를 판매한다. 수십 년 동안 CIO와 돈독한 관계를 유지해 온 엔터프라이즈 소프트웨어 업계의 거인 오라클도 이런 급격한 시대 변화상을 보여주고 있다. 오라클은 지난 몇 년간 매달 평균 1개 회사를 인수하는 등 마테크 관련 인수에 30억 달러를 쏟아 부었다. 한때 CIO의 강력한 후원자였던 오라클은 CMO를 직접 '설득'할 계획을 세웠다. CMO가 CIO를 대신할 수 있을까? 이런 변화에 친숙한 CIO들은 많다. 이미 CMO에게 보고하는 CIO가 증가하고 있다. CIO의 기업 내 서열이 낮아지고 있는 것이다. CIO들은 개인적으로는 자신의 역할이 '전략'이 아닌 '지원'으로 강등됐음을 인정하고 있다. 반대로 CMO는 CEO처럼 기업 활동을 주도하기를 바라고 있다. CIO들이 암담한 상황에 처했다는 이야기로 들릴 것이다. 그렇다면 정확히 들은 것이다. 하지만 이런 권력 이동을 받아들이는 CIO들에게는 희망이 있다. 마케팅의 디지털화, 데이터 중심화가 유례없이 가속화됐다는 것은 좋은 소식이다. CIO가 마케팅 분야에서 자연스레 역량을 발휘할 수 있기 ...

2014.10.15

CIO-CMO 불통의 원인 '같은 단어, 다른 의미'

디지털 소비자의 시대에는 CIO-CMO 관계가 핵심이다. 두 C-레벨 임원이 힘을 합치는 것이 그 어느 때보다도 중요한 시기라는 의미다. 그런데 왜 이들은 소통하지 못하는 걸까? 이러한 조사 결과는 CIO매거진, EPAM 시스템스(EPAM Systems), 더 CMO 클럽(The CMO Club) CIO-CMO 옴니채널(CIO-CMO Omnichannel)이 진행한 연구 CIO-CMO 옴니채널(CIO-CMO Omnichannel)에 실렸다. CIO매거진은 약 400명의 CIO와 CMO들에게 설문조사를 실시하고 1:1 인터뷰를 통해 CIO와 CMO의 관계에 대해 더 자세히 알아보았다. 디지털 소비자가 먼저다 이번 연구는 참으로 시기 적절하다고 할 만 하다. 전통적으로 불편했던 CIO와 CMO의 관계는 디지털 소비자가 늘어나는 시대에 매우 중요해 질 것이기 때문이다. 이들 두 경영진들이 힘을 합쳐 디지털 소비자를 만족시킬 방법을 찾는 것이 시급하다. -> CIO-CMO를 갈등관계로 몰아가는 10가지 효과적이고 효율적인 소통은 양측이 대화의 키워드에 대해 같은 정의를 내리고 이해하고 있어야만 가능하다. 단순한 얘기 같지만, 테크놀로지 관련 용어로 대화를 하다 보면 이것이 쉽지만은 않은 일임을 알게 된다. CIO-CMO 옴니채널 연구는 이러한 키워드들의 예를 제시하고 CIO와 CMO가 이들 단어를 각각 어떻게 다르게 해석하는지 설명했다. 디지털 제품(Digital Product): CIO에게 디지털 제품이란, CIO 와 IT부서의 핵심 비즈니스 역량으로 CIO와 IT부서가 만들고 관리해 기업에 배포한 ‘자체 개발 소프트웨어’를 말한다. 반면 CMO에게 디지털 제품이란, 비즈니스 요구사항을 충족시킬 소프트웨어나 구매한 (SaaS또는 PaaS) 솔루션을 말한다. 플랫폼(Platform): CIO들에게 플랫폼이란 빠르게 디지털 제품을 만들기 위해 사용될 수 있는, 혹은 사용돼야만 하는 일련의 선으로 구성...

CIO 충돌 디지털 소비자 권한 CMO 모바일 앱 소통 커뮤니케이션 CIO-CMO 옴니채널 연구

2014.08.05

디지털 소비자의 시대에는 CIO-CMO 관계가 핵심이다. 두 C-레벨 임원이 힘을 합치는 것이 그 어느 때보다도 중요한 시기라는 의미다. 그런데 왜 이들은 소통하지 못하는 걸까? 이러한 조사 결과는 CIO매거진, EPAM 시스템스(EPAM Systems), 더 CMO 클럽(The CMO Club) CIO-CMO 옴니채널(CIO-CMO Omnichannel)이 진행한 연구 CIO-CMO 옴니채널(CIO-CMO Omnichannel)에 실렸다. CIO매거진은 약 400명의 CIO와 CMO들에게 설문조사를 실시하고 1:1 인터뷰를 통해 CIO와 CMO의 관계에 대해 더 자세히 알아보았다. 디지털 소비자가 먼저다 이번 연구는 참으로 시기 적절하다고 할 만 하다. 전통적으로 불편했던 CIO와 CMO의 관계는 디지털 소비자가 늘어나는 시대에 매우 중요해 질 것이기 때문이다. 이들 두 경영진들이 힘을 합쳐 디지털 소비자를 만족시킬 방법을 찾는 것이 시급하다. -> CIO-CMO를 갈등관계로 몰아가는 10가지 효과적이고 효율적인 소통은 양측이 대화의 키워드에 대해 같은 정의를 내리고 이해하고 있어야만 가능하다. 단순한 얘기 같지만, 테크놀로지 관련 용어로 대화를 하다 보면 이것이 쉽지만은 않은 일임을 알게 된다. CIO-CMO 옴니채널 연구는 이러한 키워드들의 예를 제시하고 CIO와 CMO가 이들 단어를 각각 어떻게 다르게 해석하는지 설명했다. 디지털 제품(Digital Product): CIO에게 디지털 제품이란, CIO 와 IT부서의 핵심 비즈니스 역량으로 CIO와 IT부서가 만들고 관리해 기업에 배포한 ‘자체 개발 소프트웨어’를 말한다. 반면 CMO에게 디지털 제품이란, 비즈니스 요구사항을 충족시킬 소프트웨어나 구매한 (SaaS또는 PaaS) 솔루션을 말한다. 플랫폼(Platform): CIO들에게 플랫폼이란 빠르게 디지털 제품을 만들기 위해 사용될 수 있는, 혹은 사용돼야만 하는 일련의 선으로 구성...

2014.08.05

멀티벤더 아웃소싱, 책임 분쟁을 막는 8가지 방법

여러 벤더와 IT 서비스 계약을 체결하는 멀티소싱이 가장 일반화된 IT 아웃소싱 전략으로 자리를 잡았다는 데에는 다들 동의한다. 그렇다면 책임 소재가 분명하지 않은 문제가 발생했을 경우 어떻게 해야 할까? 아웃소싱 컨설팅 회사인 ISG(Information Service Group)의 로이스 코트니 파트너는 "여러 벤더와 체결한 아웃소싱 계약은 서비스끼리 서로 연결돼 있기 때문에 아주 복잡해진다. 서비스 공급자는 이런 위험 때문에 '상업적 언어'를 사용해 책임을 지지 않을 부분을 만들어둔다"라고 말했다. 아웃소싱 및 기술 거래 전문 로펌인 K&L 게이츠(K&L Gates)의 숀 햄스 파트너는 "법적 책임에 관한 시장 기준이 없다. 치열하게 경쟁하는 서비스 공급자들 모두가 동일한 조건에 동의를 하도록 만들기 위해서는 많은 시간과 노력이 필요하다"라고 지적했다. 같은 고객을 두고 경쟁하는 기업들이 서로 협력하도록 만들기란 쉽지 않다. 서비스 전달과 관련해서는 더 까다로운 문제가 발생할 위험이 있다. 네트워크 운영, 서버 및 미드 레인지 장비 유지보수, 애플리케이션 유지 벤더들이 제 각각인 상황에서 비즈니스 사용자가 업무에 필요한 툴을 이용하지 못했을 때 누구에게 책임을 물어야 할까? 글로벌 소싱 전문 로펌인 필스버리(Pilsbury) 워싱턴 사무소 책임자인 마리오 도토리는 "이론적으로는 멀티소싱 전략을 활용한다고 해도 책임 소재가 복잡해지지 않아야 한다. 고객이 각 공급업체와 체결하는 계약서를 통해 계약 당사자 각각의 책임을 규정할 수 있기 때문이다. 그러나 운영 관점에서 현실적으로 살펴보면 법적 책임을 질 대상이 확실하지 않은 경우가 많다"고 지적했다. 메이어 브라운(Mayer Brown)의 브래드 피터슨 파트너는 상세히 법적 책임을 할당함으로써 갈등을 막을 수 있다고 조언했다. 하지만 서비스 공급자들에게 지나친 법적 책임을 요구하는 ...

아웃소싱 책임 분쟁 권한 멀티벤더 OLA

2014.02.25

여러 벤더와 IT 서비스 계약을 체결하는 멀티소싱이 가장 일반화된 IT 아웃소싱 전략으로 자리를 잡았다는 데에는 다들 동의한다. 그렇다면 책임 소재가 분명하지 않은 문제가 발생했을 경우 어떻게 해야 할까? 아웃소싱 컨설팅 회사인 ISG(Information Service Group)의 로이스 코트니 파트너는 "여러 벤더와 체결한 아웃소싱 계약은 서비스끼리 서로 연결돼 있기 때문에 아주 복잡해진다. 서비스 공급자는 이런 위험 때문에 '상업적 언어'를 사용해 책임을 지지 않을 부분을 만들어둔다"라고 말했다. 아웃소싱 및 기술 거래 전문 로펌인 K&L 게이츠(K&L Gates)의 숀 햄스 파트너는 "법적 책임에 관한 시장 기준이 없다. 치열하게 경쟁하는 서비스 공급자들 모두가 동일한 조건에 동의를 하도록 만들기 위해서는 많은 시간과 노력이 필요하다"라고 지적했다. 같은 고객을 두고 경쟁하는 기업들이 서로 협력하도록 만들기란 쉽지 않다. 서비스 전달과 관련해서는 더 까다로운 문제가 발생할 위험이 있다. 네트워크 운영, 서버 및 미드 레인지 장비 유지보수, 애플리케이션 유지 벤더들이 제 각각인 상황에서 비즈니스 사용자가 업무에 필요한 툴을 이용하지 못했을 때 누구에게 책임을 물어야 할까? 글로벌 소싱 전문 로펌인 필스버리(Pilsbury) 워싱턴 사무소 책임자인 마리오 도토리는 "이론적으로는 멀티소싱 전략을 활용한다고 해도 책임 소재가 복잡해지지 않아야 한다. 고객이 각 공급업체와 체결하는 계약서를 통해 계약 당사자 각각의 책임을 규정할 수 있기 때문이다. 그러나 운영 관점에서 현실적으로 살펴보면 법적 책임을 질 대상이 확실하지 않은 경우가 많다"고 지적했다. 메이어 브라운(Mayer Brown)의 브래드 피터슨 파트너는 상세히 법적 책임을 할당함으로써 갈등을 막을 수 있다고 조언했다. 하지만 서비스 공급자들에게 지나친 법적 책임을 요구하는 ...

2014.02.25

팀원들을 '의사결정자'로 만들기··· '나무 프레임워크 활용법'

팀원들이 매번 지시나 명령만 기다리기보다는 스스로 더 많은 일을 하고, 더 적극적으로 판단을 내려 행동하기를 대부분의 관리자들은 원한다. 당신 또한 이런 결과를 원하는 관리자인가? 그렇다면 4개의 '성장하는 나무'를 닮은 간단한 툴인 '나무 의사결정 권리 ‘(Tree Decision Rights) 모델을 사용해보기 바란다. 이 간단한 의사결정 권한 모델을 사용하면 2가지 혜택이 있다. 첫째, 팀원들에게 각자의 역할을 위해 할 수 있어야 하는 일을 하도록 권한을 줄 수 있다. 둘째, 모든 사람에게 '누가 무엇을 책임지고', '누가 어떤 형태의 결정을 내릴 권한을 갖고 있는지' 명확히 할 수 있다. 또 다른 의사결정 권한 모델로는 RACI를 들 수 있다. 이 프로세스 기반 모델에서 RACI는 '책임(Responsible)', '의무(Accountable)', '협의(Consulted)', '정보(Informed)'라는 4가지 핵심 역할을 의미한다. RACI 프레임워크는 의사결정 프로세스에 아주 유용한 모델이다. 그러나 사람과 관련된 의사결정 권한의 경우에는 좀더 간단한 프레임워크가 더 적합할 수 있다. 그 결정이 미치는 영향, 결정을 수정할 수 있는 유연성 있는 프레임워크가 훨씬 유용할 수 있기 때문이다. ‘나무 의사결정 권리’ 프레임워크가 무엇인지, 이를 어떻게 적용할 수 있는지 살펴본다. 의사결정 '형태'와 관련된 프레임워크 이 프레임워크는 나무에 비유할 수 있다. 토대 역할을 하는 뿌리, 지지대 역할을 하는 줄기, 종속적 구조라고 할 수 있는 가지, 이 가지에 매달린 잎을 가진 나무를 비유한 프레임워크이다. 우리 또한 뿌리, 줄기, 가지, 잎을 가지고 있다. 영향 측면에서 보면, 나뭇잎이 떨어지는데 따른 영향은 사소하다. 그렇다면 어떤 의사결정을 나...

조직관리 CIO 의사결정 권한 나무 프레임워크 RCAI 하우투

2013.05.08

팀원들이 매번 지시나 명령만 기다리기보다는 스스로 더 많은 일을 하고, 더 적극적으로 판단을 내려 행동하기를 대부분의 관리자들은 원한다. 당신 또한 이런 결과를 원하는 관리자인가? 그렇다면 4개의 '성장하는 나무'를 닮은 간단한 툴인 '나무 의사결정 권리 ‘(Tree Decision Rights) 모델을 사용해보기 바란다. 이 간단한 의사결정 권한 모델을 사용하면 2가지 혜택이 있다. 첫째, 팀원들에게 각자의 역할을 위해 할 수 있어야 하는 일을 하도록 권한을 줄 수 있다. 둘째, 모든 사람에게 '누가 무엇을 책임지고', '누가 어떤 형태의 결정을 내릴 권한을 갖고 있는지' 명확히 할 수 있다. 또 다른 의사결정 권한 모델로는 RACI를 들 수 있다. 이 프로세스 기반 모델에서 RACI는 '책임(Responsible)', '의무(Accountable)', '협의(Consulted)', '정보(Informed)'라는 4가지 핵심 역할을 의미한다. RACI 프레임워크는 의사결정 프로세스에 아주 유용한 모델이다. 그러나 사람과 관련된 의사결정 권한의 경우에는 좀더 간단한 프레임워크가 더 적합할 수 있다. 그 결정이 미치는 영향, 결정을 수정할 수 있는 유연성 있는 프레임워크가 훨씬 유용할 수 있기 때문이다. ‘나무 의사결정 권리’ 프레임워크가 무엇인지, 이를 어떻게 적용할 수 있는지 살펴본다. 의사결정 '형태'와 관련된 프레임워크 이 프레임워크는 나무에 비유할 수 있다. 토대 역할을 하는 뿌리, 지지대 역할을 하는 줄기, 종속적 구조라고 할 수 있는 가지, 이 가지에 매달린 잎을 가진 나무를 비유한 프레임워크이다. 우리 또한 뿌리, 줄기, 가지, 잎을 가지고 있다. 영향 측면에서 보면, 나뭇잎이 떨어지는데 따른 영향은 사소하다. 그렇다면 어떤 의사결정을 나...

2013.05.08

CMO가 IT예산 권한을 가져갈 수 없는 이유

CIO들이 그 어느 때보다 CMO들과 협력하고 있다. 하지만 CIO들은 CMO들이 요구를 기다려 주지 않고 있다. 필자가 하고자 하는 말은 ‘고객을 알아가는 것도 CIO들의 임무 중 하나’라는 것이다. CIO-CMO 협력이라는 주제는 요즘 핫이슈다. 가트너에 따르면, 2017년에는 CMO가 CIO보다 IT예산을 더 많이 쓸 것이라고 한다. 물론, 현업 임원이 IT의사 결정권자로 등극한다는 말이 처음 나온 것은 아니다. 하지만 그것은 비즈니스를 주도하기보다 ROI, TCO, 비용 억제 같은 ‘비용’에 더 초점을 맞추는 일이다. 클라우드 같은 파괴적인 기술과 IT를 거치고 않고 바로 마케팅 부서에 분석툴과 다른 고객 참여 툴을 판매하는 IT업체들이 늘어나면서 CMO들이 기업 IT에서 좀더 막강한 힘을 갖게 된 것만은 분명하다. 그렇다고 CIO들이 멍하니 서 있는 것은 아니다. 최근 CIO닷컴의 설문 조사에 따르면, 핵심 기술보다 모바일, 클라우드, 소셜 같은 첨단 기술에 IT예산을 28% 할당한 것으로 나타났다. 이 비율은 2015년에 39%로 늘어날 전망이다. 비즈니스 의제를 주도하는 우선 순위로 매출 신장과 고객 참여를 꼽은 IT임원은 응답자 188명 가운데 75% 이상으로 집계됐다. CIO닷컴의 최근 조사 결과 역시 CIO들이 점점 더 적극적으로 고객들에게 다가가고 있음을 보여주고 있다. CIO들 중 1/3은 지금 고객들을 만나기 위해 움직이고 있다고 답했으며 2년 전만해도 이 비중은 18%에 불과했다. 물론, CMO와 강력한 파트너십을 구축하는 것은 현명한 일이다. 하지만 누군가는 이러한 첨단 기술들이 적재 적소에 배치되는 지를 확인하는 일을 해야 한다. CMO가 신기술이 전사 IT 아키텍처에 매핑하여 기존 백 오피스와 통합되는지를 확인할 수 있을까? 마케팅 수장이 모든 보안과 규제가 준수되는지를 확인할 수 있을까? 이제 갓 출범한 신생벤처에게 일을 맡겼을 때, 18개월 안에 문제가...

협업 CIO 가트너 협력 책임 IT예산 CMO 파트너십 권한

2013.02.27

CIO들이 그 어느 때보다 CMO들과 협력하고 있다. 하지만 CIO들은 CMO들이 요구를 기다려 주지 않고 있다. 필자가 하고자 하는 말은 ‘고객을 알아가는 것도 CIO들의 임무 중 하나’라는 것이다. CIO-CMO 협력이라는 주제는 요즘 핫이슈다. 가트너에 따르면, 2017년에는 CMO가 CIO보다 IT예산을 더 많이 쓸 것이라고 한다. 물론, 현업 임원이 IT의사 결정권자로 등극한다는 말이 처음 나온 것은 아니다. 하지만 그것은 비즈니스를 주도하기보다 ROI, TCO, 비용 억제 같은 ‘비용’에 더 초점을 맞추는 일이다. 클라우드 같은 파괴적인 기술과 IT를 거치고 않고 바로 마케팅 부서에 분석툴과 다른 고객 참여 툴을 판매하는 IT업체들이 늘어나면서 CMO들이 기업 IT에서 좀더 막강한 힘을 갖게 된 것만은 분명하다. 그렇다고 CIO들이 멍하니 서 있는 것은 아니다. 최근 CIO닷컴의 설문 조사에 따르면, 핵심 기술보다 모바일, 클라우드, 소셜 같은 첨단 기술에 IT예산을 28% 할당한 것으로 나타났다. 이 비율은 2015년에 39%로 늘어날 전망이다. 비즈니스 의제를 주도하는 우선 순위로 매출 신장과 고객 참여를 꼽은 IT임원은 응답자 188명 가운데 75% 이상으로 집계됐다. CIO닷컴의 최근 조사 결과 역시 CIO들이 점점 더 적극적으로 고객들에게 다가가고 있음을 보여주고 있다. CIO들 중 1/3은 지금 고객들을 만나기 위해 움직이고 있다고 답했으며 2년 전만해도 이 비중은 18%에 불과했다. 물론, CMO와 강력한 파트너십을 구축하는 것은 현명한 일이다. 하지만 누군가는 이러한 첨단 기술들이 적재 적소에 배치되는 지를 확인하는 일을 해야 한다. CMO가 신기술이 전사 IT 아키텍처에 매핑하여 기존 백 오피스와 통합되는지를 확인할 수 있을까? 마케팅 수장이 모든 보안과 규제가 준수되는지를 확인할 수 있을까? 이제 갓 출범한 신생벤처에게 일을 맡겼을 때, 18개월 안에 문제가...

2013.02.27

IDG 설문조사

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.31