Offcanvas

IAM

‘IAM’ 전략이 수렁에 빠지고 있다는 6가지 징후

‘ID 및 액세스 관리(IAM; Identity and Access Management)’ 시스템 구축 시 발생하는 실수는 지속적인 영향을 미칠 수 있다. 최악의 상황을 파악하고 방지하는 방법을 살펴본다. 기업들은 수십 년 동안 ‘ID 및 액세스 관리(IAM)’ 전략을 개발하고 실행해왔다. IDC의 보안 제품 프로그램 책임자 제이 브레츠만은 “메인프레임 시분할 처리로 시작됐기 때문에 새로운 것은 없다”라고 말했다. 하지만 이 오랜 역사에도 여전히 실수가 발생할 가능성이 있으며, 특히 기업들이 IAM 플랫폼을 업그레이드할 때는 더욱더 그렇다. 여기서는 IAM 전략의 실패 조짐을 알려주는 6가지를 소개한다.    1. 사용자는 애플리케이션에 액세스할 수 없지만 범죄자는 가능하다 IAM 플랫폼의 주된 목적은 합법적인 사용자가 필요한 리소스에 액세스할 수 있도록 하는 동시에, 악의적인 사용자를 차단하는 것이다. 반대 상황이 발생한다면 뭔가 잘못됐다는 뜻이다. 버라이즌의 데이터 침해 사건 보고서(Verizon Data Breach Incident Report)에 따르면 도난당한 자격 증명은 지난해 가장 보편적인 공격 방법이었다. 이는 전체 데이터 침해 사건의 절반 그리고 웹 애플리케이션 침해의 80% 이상과 관련돼 있었다. 기업들이 보통 먼저 시도하는 건 단순한 사용자 이름과 비밀번호 조합에서 벗어나, 문자 메시지로 발송되는 일회용 비밀번호를 추가하는 것이라고 브레츠만은 언급했다. 그는 이것이 큰 도움이 되지 않으며 오히려 사용자의 불편을 초래한다고 지적하면서, “제대로 하기만 한다면 IAM으로 단순한 SSO(Single Sign-On) 및 MFA 이상의 효과를 거둘 수 있다. 이는 IT 시스템 액세스를 요청하는 다양한 사용자를 이해하고 연결 문제를 해결하는 것이다”라고 전했다. 포레스터의 애널리스트 안드라스 씨저에 의하면 엔터프라이즈 IAM 시스템 사용자에는 직원, 비즈니스 파트너, 최종 고객이 포함되며, 모두 다른 접근 방식이 필요하다. ...

ID 및 액세스 관리 IAM 인증 SSO MFA 옥타 애저 액티브 디렉토리

2022.07.07

‘ID 및 액세스 관리(IAM; Identity and Access Management)’ 시스템 구축 시 발생하는 실수는 지속적인 영향을 미칠 수 있다. 최악의 상황을 파악하고 방지하는 방법을 살펴본다. 기업들은 수십 년 동안 ‘ID 및 액세스 관리(IAM)’ 전략을 개발하고 실행해왔다. IDC의 보안 제품 프로그램 책임자 제이 브레츠만은 “메인프레임 시분할 처리로 시작됐기 때문에 새로운 것은 없다”라고 말했다. 하지만 이 오랜 역사에도 여전히 실수가 발생할 가능성이 있으며, 특히 기업들이 IAM 플랫폼을 업그레이드할 때는 더욱더 그렇다. 여기서는 IAM 전략의 실패 조짐을 알려주는 6가지를 소개한다.    1. 사용자는 애플리케이션에 액세스할 수 없지만 범죄자는 가능하다 IAM 플랫폼의 주된 목적은 합법적인 사용자가 필요한 리소스에 액세스할 수 있도록 하는 동시에, 악의적인 사용자를 차단하는 것이다. 반대 상황이 발생한다면 뭔가 잘못됐다는 뜻이다. 버라이즌의 데이터 침해 사건 보고서(Verizon Data Breach Incident Report)에 따르면 도난당한 자격 증명은 지난해 가장 보편적인 공격 방법이었다. 이는 전체 데이터 침해 사건의 절반 그리고 웹 애플리케이션 침해의 80% 이상과 관련돼 있었다. 기업들이 보통 먼저 시도하는 건 단순한 사용자 이름과 비밀번호 조합에서 벗어나, 문자 메시지로 발송되는 일회용 비밀번호를 추가하는 것이라고 브레츠만은 언급했다. 그는 이것이 큰 도움이 되지 않으며 오히려 사용자의 불편을 초래한다고 지적하면서, “제대로 하기만 한다면 IAM으로 단순한 SSO(Single Sign-On) 및 MFA 이상의 효과를 거둘 수 있다. 이는 IT 시스템 액세스를 요청하는 다양한 사용자를 이해하고 연결 문제를 해결하는 것이다”라고 전했다. 포레스터의 애널리스트 안드라스 씨저에 의하면 엔터프라이즈 IAM 시스템 사용자에는 직원, 비즈니스 파트너, 최종 고객이 포함되며, 모두 다른 접근 방식이 필요하다. ...

2022.07.07

깃허브, 깃 리포지토리로 구축된 오픈소스 IAM 솔루션 공개

깃허브가 ‘IAM(Identity and Access Management)’용 프레임워크를 사용하는 새로운 방법을 공개했다.  깃허브가 자체 깃 프레임워크를 활용하여 기업 시스템 액세스를 구문 분석, 추적, 승인하는 새로운 IAM 도구(Entitlements; 이하 인타이틀먼트)를 선보였다. 기본 개념은 전용 깃 리포지토리를 ID 관리 데이터의 중앙집중식 정보센터를 제공하는 방법으로 사용하고, 풀 리퀘스트를 통해 변경하는 것이다. 새로운 승인, 재검증 등 모든 변경 사항을 특정 시스템에 지정된 리포지토리에 수행할 수 있다.   또한 관리자는 메타데이터 태그를 활용하여 시스템 액세스 제어 방법을 세분화할 수 있다. 이를테면 오래된 승인은 필수 재검증 대상이 될 수 있고, 서로 다른 태그가 지정된 사용자에게는 서로 다른 권한이 부여될 수 있다.  아울러 깃을 사용하면 전체 프로세스의 자세한 감사 로그를 제공하여 (예를 들어) 누가 어떤 액세스 권한을 요청했는지, 언제 그리고 누가 부여했는지 등을 추적할 수 있다. 관리자, 지역, 액세스 수준 등으로 구성된 그룹의 세부 목록도 확인할 수 있다고 회사 측은 설명했다.  인타이틀먼트가 오픈소스로 전환됐다고 발표한 깃허브의 공식 블로그에 따르면 깃은 ‘수년 동안’ 내부적으로 해당 시스템을 사용해 왔다. 이는 모든 깃 리포지토리에서 쓸 수 있지만 깃허브닷컴과 함께 활용하면 크론(cron) 작업을 사용하여 검토 및 감사를 자동화하거나 비즈니스 데이터 ‘source-of-truth’를 통해 조직도에서 인타이틀먼트 프레임워크로 업데이트를 푸시하는 등 더 많은 기능을 직접 사용할 수 있다.  이 밖에 깃허브는 다른 오픈소스 프로젝트와 마찬가지로 인타이틀먼트도 지속적으로 개선되고 있다고 밝혔다. “매일 이 시스템을 사용하며, 한 달에 평균 약 2,000건의 커밋을 한다. 계속해서 앱을 향상시키고 더 쉽게 쓸 방법을 모색하고 있다. 다른 사용자가 자신의 IAM 요건에 맞게 구축한...

깃허브 깃 리포지토리 IAM ID 관리 액세스 관리 메타데이터 감사

2022.06.13

깃허브가 ‘IAM(Identity and Access Management)’용 프레임워크를 사용하는 새로운 방법을 공개했다.  깃허브가 자체 깃 프레임워크를 활용하여 기업 시스템 액세스를 구문 분석, 추적, 승인하는 새로운 IAM 도구(Entitlements; 이하 인타이틀먼트)를 선보였다. 기본 개념은 전용 깃 리포지토리를 ID 관리 데이터의 중앙집중식 정보센터를 제공하는 방법으로 사용하고, 풀 리퀘스트를 통해 변경하는 것이다. 새로운 승인, 재검증 등 모든 변경 사항을 특정 시스템에 지정된 리포지토리에 수행할 수 있다.   또한 관리자는 메타데이터 태그를 활용하여 시스템 액세스 제어 방법을 세분화할 수 있다. 이를테면 오래된 승인은 필수 재검증 대상이 될 수 있고, 서로 다른 태그가 지정된 사용자에게는 서로 다른 권한이 부여될 수 있다.  아울러 깃을 사용하면 전체 프로세스의 자세한 감사 로그를 제공하여 (예를 들어) 누가 어떤 액세스 권한을 요청했는지, 언제 그리고 누가 부여했는지 등을 추적할 수 있다. 관리자, 지역, 액세스 수준 등으로 구성된 그룹의 세부 목록도 확인할 수 있다고 회사 측은 설명했다.  인타이틀먼트가 오픈소스로 전환됐다고 발표한 깃허브의 공식 블로그에 따르면 깃은 ‘수년 동안’ 내부적으로 해당 시스템을 사용해 왔다. 이는 모든 깃 리포지토리에서 쓸 수 있지만 깃허브닷컴과 함께 활용하면 크론(cron) 작업을 사용하여 검토 및 감사를 자동화하거나 비즈니스 데이터 ‘source-of-truth’를 통해 조직도에서 인타이틀먼트 프레임워크로 업데이트를 푸시하는 등 더 많은 기능을 직접 사용할 수 있다.  이 밖에 깃허브는 다른 오픈소스 프로젝트와 마찬가지로 인타이틀먼트도 지속적으로 개선되고 있다고 밝혔다. “매일 이 시스템을 사용하며, 한 달에 평균 약 2,000건의 커밋을 한다. 계속해서 앱을 향상시키고 더 쉽게 쓸 방법을 모색하고 있다. 다른 사용자가 자신의 IAM 요건에 맞게 구축한...

2022.06.13

'서비스형 IAM' IDaaS 따라잡기

클라우드 네이티브 생태계와 제로 트러스트(Zero Trust)의 세계에서는 ID가 새로운 경계라고 이야기하는 경우가 많다. ID는 분명 현대 시스템에서 우리가 하는 모든 활동의 중심에 있으며 제로 트러스트 아키텍처와 적절한 액세스 관리를 용이하게 하는 핵심이다. 이 때문에 IAM(Identity and Access Management)을 대규모로 운용하는 것은 쉽지 않은 일이고, 많은 기업이 IDaaS(Identity-as-a-Service) 솔루션을 도입하고 있다. IDaaS는 장단점이 있지만 우선 IDaaS가 무엇인지 알아보자.      IDaaS의 정의 IDaaS는 IAM을 위한 클라우드 기반 소비 모델이다. 오늘날 최신 기술 생태계의 다른 모든 것과 마찬가지로 IAM은 서비스로 제공할 수 있다. 예외가 있기는 하지만 IDaaS는 일반적으로 클라우드를 통해 서비스되며 해당 제공자의 조직적 요건과 역량에 따라 멀티테넌트 또는 전용 모델로써 사용할 수 있다. 가트너는 2022년 말까지 중견 기업과 대기업 중 40%가 전통적인 IAM 대신에 IDaaS를 도입할 것으로 전망했다. 지속적인 클라우드 도입과 재택근무의 확산으로 기업은 IAM을 스스로 호스팅하고 관리하는 대신 서비스로 사용하면서 시장 성장을 촉진하고 있다. 대신 기업은 고객에 가치를 제공하는 핵심 역량에 더 집중할 수 있다.     IDaaS의 이점  IDaaS의 장점으로는 IAM을 호스팅하지 않고 사용할 수 있다는 것, IAM과 관련된 관리 업무 일부를 서비스 제공자에 넘길 수 있다는 것 등이 있다. IAM을 더 강력하고 안전하게 구현하는 여러 기능도 사용할 수 있다. 예를 들어 대부분 IDaaS 업체가 SSO(Single Sign-On)와 MFA(Multi-Factor Authentication) 등 네이티브, 통합 기능을 제공한다. 또한, IDaaS 업체는 클라우드 네이티브에 강점이 있어 이들의 서비스는 클라우드 생태계와 더 쉽...

IDaaS IAM

2022.05.30

클라우드 네이티브 생태계와 제로 트러스트(Zero Trust)의 세계에서는 ID가 새로운 경계라고 이야기하는 경우가 많다. ID는 분명 현대 시스템에서 우리가 하는 모든 활동의 중심에 있으며 제로 트러스트 아키텍처와 적절한 액세스 관리를 용이하게 하는 핵심이다. 이 때문에 IAM(Identity and Access Management)을 대규모로 운용하는 것은 쉽지 않은 일이고, 많은 기업이 IDaaS(Identity-as-a-Service) 솔루션을 도입하고 있다. IDaaS는 장단점이 있지만 우선 IDaaS가 무엇인지 알아보자.      IDaaS의 정의 IDaaS는 IAM을 위한 클라우드 기반 소비 모델이다. 오늘날 최신 기술 생태계의 다른 모든 것과 마찬가지로 IAM은 서비스로 제공할 수 있다. 예외가 있기는 하지만 IDaaS는 일반적으로 클라우드를 통해 서비스되며 해당 제공자의 조직적 요건과 역량에 따라 멀티테넌트 또는 전용 모델로써 사용할 수 있다. 가트너는 2022년 말까지 중견 기업과 대기업 중 40%가 전통적인 IAM 대신에 IDaaS를 도입할 것으로 전망했다. 지속적인 클라우드 도입과 재택근무의 확산으로 기업은 IAM을 스스로 호스팅하고 관리하는 대신 서비스로 사용하면서 시장 성장을 촉진하고 있다. 대신 기업은 고객에 가치를 제공하는 핵심 역량에 더 집중할 수 있다.     IDaaS의 이점  IDaaS의 장점으로는 IAM을 호스팅하지 않고 사용할 수 있다는 것, IAM과 관련된 관리 업무 일부를 서비스 제공자에 넘길 수 있다는 것 등이 있다. IAM을 더 강력하고 안전하게 구현하는 여러 기능도 사용할 수 있다. 예를 들어 대부분 IDaaS 업체가 SSO(Single Sign-On)와 MFA(Multi-Factor Authentication) 등 네이티브, 통합 기능을 제공한다. 또한, IDaaS 업체는 클라우드 네이티브에 강점이 있어 이들의 서비스는 클라우드 생태계와 더 쉽...

2022.05.30

“랜섬웨어 공격 위해 기업 직원에서 접근하는 움직임 뚜렷하다”

펄스와 히타치 ID의 보고서에 따르면 사이버 공격자들이 랜섬웨어 공격을 위해 기업 직원들에게 접근하고 있다. 북미 지역 기업의 약 48%에 속하는 직원들이 이러한 접근을 보고했다. 이번 보고서는 100명의 IT 및 보안 임원을 대상으로 사이버 보안 인프라의 최근 변화, 사이버 공격 대처 능력, 정치의 역할 등을 조사한 결과를 대상으로 작성됐다. 응답자의 대다수(73%)는 10,000 명 이상의 직원을 보유한 기업의 종사자들이었다. 보고서에 따르면, 응답자의 83%가 재택근무로 전환한 이후 그러한 시도가 더욱 두드러졌다고 답했다. 주의태만과 사고를 방지하기 위한 직원 교육  내부접근 시도가 증가한 결과 지난 12개월 동안 69%의 응답자가 사이버보안에 대해 직원 교육을 시작했다고 밝혔으며, 향후 12개월 이내에 실시하겠다고 약속한 비율도 20%에 달했다. 사이버 보안에 대한 직원 교육을 마친 임원의 응답을 살펴보면, 89%는 피싱 공격에, 95%는 보안 암호 생성에, 95%는 이들 암호의 안전 유지에 초점을 맞췄다고 응답했다. 콘스텔레이션 리서치의 애널리스트인 리즈 밀러는 “사이버 보안 교육은 인간적인 실수에 가장 취약한 사람들이나 잘 식별하도록 도울 수 있다. 그러나 불만이나 악의를 가진 직원들로 인한 문제는 막기 어렵다”라고 말했다. 밀러에 따르면, 일부 직원의 악의적인 의도에 의해 유발된 내부자 위협을 처리하는 좋은 방법에는 계정으로부터의 엄청난 트래픽 양, 다중 지리적 로그인을 가진 단일 사용자, 일관되지 않거나 비정상적인 액세스 활동, 직장에서의 노골적으로 부정적인 감정과 같은 지표에 주의하는 것 등이 있다. 목록에서 최우선 순위인 SaaS, 제로 트러스트 및 IAM  거의 모든 보안 전문가들이(99%) 보안 관련 디지털 전환 노력의 일환으로 SaaS로의 이동이 포함된다고 답했으며, 3분의 1 이상(36%)은 그들의 노력 중 절반 이상에 SaaS로의 이동이 포함된다고 답했다. 임원 중 약 86%가 보안이 요구되는 구형 시스템...

랜섬웨어 히타치 펄스 직원 피싱 제로 트러스트 IAM

2021.12.17

펄스와 히타치 ID의 보고서에 따르면 사이버 공격자들이 랜섬웨어 공격을 위해 기업 직원들에게 접근하고 있다. 북미 지역 기업의 약 48%에 속하는 직원들이 이러한 접근을 보고했다. 이번 보고서는 100명의 IT 및 보안 임원을 대상으로 사이버 보안 인프라의 최근 변화, 사이버 공격 대처 능력, 정치의 역할 등을 조사한 결과를 대상으로 작성됐다. 응답자의 대다수(73%)는 10,000 명 이상의 직원을 보유한 기업의 종사자들이었다. 보고서에 따르면, 응답자의 83%가 재택근무로 전환한 이후 그러한 시도가 더욱 두드러졌다고 답했다. 주의태만과 사고를 방지하기 위한 직원 교육  내부접근 시도가 증가한 결과 지난 12개월 동안 69%의 응답자가 사이버보안에 대해 직원 교육을 시작했다고 밝혔으며, 향후 12개월 이내에 실시하겠다고 약속한 비율도 20%에 달했다. 사이버 보안에 대한 직원 교육을 마친 임원의 응답을 살펴보면, 89%는 피싱 공격에, 95%는 보안 암호 생성에, 95%는 이들 암호의 안전 유지에 초점을 맞췄다고 응답했다. 콘스텔레이션 리서치의 애널리스트인 리즈 밀러는 “사이버 보안 교육은 인간적인 실수에 가장 취약한 사람들이나 잘 식별하도록 도울 수 있다. 그러나 불만이나 악의를 가진 직원들로 인한 문제는 막기 어렵다”라고 말했다. 밀러에 따르면, 일부 직원의 악의적인 의도에 의해 유발된 내부자 위협을 처리하는 좋은 방법에는 계정으로부터의 엄청난 트래픽 양, 다중 지리적 로그인을 가진 단일 사용자, 일관되지 않거나 비정상적인 액세스 활동, 직장에서의 노골적으로 부정적인 감정과 같은 지표에 주의하는 것 등이 있다. 목록에서 최우선 순위인 SaaS, 제로 트러스트 및 IAM  거의 모든 보안 전문가들이(99%) 보안 관련 디지털 전환 노력의 일환으로 SaaS로의 이동이 포함된다고 답했으며, 3분의 1 이상(36%)은 그들의 노력 중 절반 이상에 SaaS로의 이동이 포함된다고 답했다. 임원 중 약 86%가 보안이 요구되는 구형 시스템...

2021.12.17

원격 네트워크 접근을 보호하기··· VPN 대안 7가지

한때 원격 근무 직원을 보호하기 위한 대표적인 방법으로 통했던 VPN(Virtual Private Network)은 전통적인 사무실 공간 내에서 작업하는 대다수 직원과 달리 외부에서 연결하는 소수의 인력를 대상으로 기업 데이터 및 시스템에 대한 안전한 접근을 제공하기 위한 목적으로 설계됐다.    그러나 2020년초 코로나 19로 인해 촉발된 대대적인 원격 근무로 인해 상황이 급변했다. 코로나19 이후 많은 기업에서 원격 근무를 표준적인 업무 형태로 사용하기 시작했고, 많은 직원이 아예 사무실에 출근하지 않거나 하더라도 이따금 하는 정도다. VPN은 원격 근무와 하이브리드 환경에서 사용하기에 충분하지 않고, 많은 수의 원격 근무 직원을 보호하기 위해 VPN에 의존할 경우 상당한 위험이 야기되기도 한다. 타이코틱센트리파이(ThycoticCentrify)의 최고 보안 과학자이자 자문역 CISO인 조셉 카슨은 “원래 VPN은 원격으로 작업하면서 특정 시스템에 대한 원격 접근이 필요한 소수의 직원 또는 외부 계약 직원들을 관리하기 위한 목적으로 만들어졌다”면서, 또한 VPN은 늘어난 마찰면으로 인해 직원의 생산성과 사용자 경험에 부정적인 영향을 미친다고 말했다. 네타시아(Netacea)의 위협 연구 책임자인 매튜 그레이시 맥민은 “대규모 클라우드에서 VPN을 사용하는 것은 누구도 예견하지 못한 상황이며, 이로 인해 넓어진 잠재적 공격표면은 IT 팀에는 보안 악몽”이라고 설명했다. 앱게이트(Appgate) 보안 연구원 펠리페 두아르테는 “코로나19 팬데믹으로 인해 대부분의 기업은 완전한 원격 근무 환경에 신속하게 적응해야 했고, 일부는 일반적인 VPN 솔루션을 구축해 직원들이 집에서도 동일한 시스템에 접근할 수 있도록 하고 이들의 기기를 무작정 신뢰하는, 안전하지 않은 방식으로 대처했다”라고 지적했다. 원격 및 하이브리드 업무 방식이 앞으로도 당분간 표준이 될 전망이므로 기업은 원격 근무 시대의 VPN의 단점과 위험을 인지해야 할 뿐만 아...

VPN ZTNA SASE SDP SD-WAN IAM PAM UEM VDI DaaS

2021.10.19

한때 원격 근무 직원을 보호하기 위한 대표적인 방법으로 통했던 VPN(Virtual Private Network)은 전통적인 사무실 공간 내에서 작업하는 대다수 직원과 달리 외부에서 연결하는 소수의 인력를 대상으로 기업 데이터 및 시스템에 대한 안전한 접근을 제공하기 위한 목적으로 설계됐다.    그러나 2020년초 코로나 19로 인해 촉발된 대대적인 원격 근무로 인해 상황이 급변했다. 코로나19 이후 많은 기업에서 원격 근무를 표준적인 업무 형태로 사용하기 시작했고, 많은 직원이 아예 사무실에 출근하지 않거나 하더라도 이따금 하는 정도다. VPN은 원격 근무와 하이브리드 환경에서 사용하기에 충분하지 않고, 많은 수의 원격 근무 직원을 보호하기 위해 VPN에 의존할 경우 상당한 위험이 야기되기도 한다. 타이코틱센트리파이(ThycoticCentrify)의 최고 보안 과학자이자 자문역 CISO인 조셉 카슨은 “원래 VPN은 원격으로 작업하면서 특정 시스템에 대한 원격 접근이 필요한 소수의 직원 또는 외부 계약 직원들을 관리하기 위한 목적으로 만들어졌다”면서, 또한 VPN은 늘어난 마찰면으로 인해 직원의 생산성과 사용자 경험에 부정적인 영향을 미친다고 말했다. 네타시아(Netacea)의 위협 연구 책임자인 매튜 그레이시 맥민은 “대규모 클라우드에서 VPN을 사용하는 것은 누구도 예견하지 못한 상황이며, 이로 인해 넓어진 잠재적 공격표면은 IT 팀에는 보안 악몽”이라고 설명했다. 앱게이트(Appgate) 보안 연구원 펠리페 두아르테는 “코로나19 팬데믹으로 인해 대부분의 기업은 완전한 원격 근무 환경에 신속하게 적응해야 했고, 일부는 일반적인 VPN 솔루션을 구축해 직원들이 집에서도 동일한 시스템에 접근할 수 있도록 하고 이들의 기기를 무작정 신뢰하는, 안전하지 않은 방식으로 대처했다”라고 지적했다. 원격 및 하이브리드 업무 방식이 앞으로도 당분간 표준이 될 전망이므로 기업은 원격 근무 시대의 VPN의 단점과 위험을 인지해야 할 뿐만 아...

2021.10.19

닮은 듯 다른 '보안' 전략··· 클라우드 빅3 비교해보니

클라우드 ‘빅3’인 아마존 웹 서비스, 구글 클라우드 플랫폼, 마이크로소프트 애저는 고객들이 클라우드 자산을 보호할 수 있도록 지원하는 저마다 다른 보안 도구 및 기능을 제공한다. 이를 한번 살펴보도록 하자.    퍼블릭 클라우드의 보안은 ‘공동 책임’이라는 개념을 기반으로 한다. 대형 클라우드 서비스 업체는 안전한 하이퍼스케일 환경을 제공하지만 클라우드에 저장하는 모든 것을 보호하는 건 고객의 몫이다. 이러한 책임의 분리는 기업이 단일 클라우드로 이전할 때 까다로울 수 있겠지만 멀티 클라우드 환경에서는 훨씬 더 복잡해진다.  여기서는 안전하고 회복탄력적인 클라우드 플랫폼을 제공하는 방식에 있어 AWS, 마이크로소프트 애저, 구글 클라우드가 어떤 차이를 보이는지 살펴봤다. 클라우드 자산을 보호하는 데 도움을 주는 최고의 기본 도구를 제공하는 업체는 어디일까?    업계 전문가들은 모든 하이퍼스케일러가 클라우드 자체를 잘 보호한다는 데 동의한다. 무엇보다 안전한 환경을 제공하는 것이 비즈니스 모델의 핵심이기 때문이다.  예산이 한정된 기업들과 달리 클라우드 서비스 업체는 무한한 리소스를 가진 것처럼 보인다. 美 IT 시장조사기관 ‘엔터프라이즈 스트래티지 그룹(Enterprise Strategy Group; ESG)’의 수석 애널리스트 더그 카힐은 “대형 클라우드 업체는 기술적 전문성을 갖추고 있다”라면서, “전 세계에 걸친 가용 영역(AZ), PoP(Points of Presence), 다크 파이버(Dark Fiber) 등을 고려할 때 이들은 매일 엄청난 양의 악의적 활동을 목격하고 있으며, 그런 가시성 수준을 기반으로 방어력을 강화할 수 있는 위치에 있다”라고 말했다.  美 정보보안 자문 회사 시큐로시스(Securosis)의 애널리스트 겸 CEO 리차드 모굴은 “빅3는 내부 프로세스와 절차를 공개하진 않고 있지만 자체 데이터센터의 물리적 보안을 유지하고, 내부자 공격을 방어하며, 애플리케...

클라우드 퍼블릭 클라우드 하이퍼스케일 하이퍼스케일러 아마존 웹 서비스 AWS 구글 클라우드 플랫폼 GCP 마이크로소프트 애저 보안 IAM

2021.06.16

클라우드 ‘빅3’인 아마존 웹 서비스, 구글 클라우드 플랫폼, 마이크로소프트 애저는 고객들이 클라우드 자산을 보호할 수 있도록 지원하는 저마다 다른 보안 도구 및 기능을 제공한다. 이를 한번 살펴보도록 하자.    퍼블릭 클라우드의 보안은 ‘공동 책임’이라는 개념을 기반으로 한다. 대형 클라우드 서비스 업체는 안전한 하이퍼스케일 환경을 제공하지만 클라우드에 저장하는 모든 것을 보호하는 건 고객의 몫이다. 이러한 책임의 분리는 기업이 단일 클라우드로 이전할 때 까다로울 수 있겠지만 멀티 클라우드 환경에서는 훨씬 더 복잡해진다.  여기서는 안전하고 회복탄력적인 클라우드 플랫폼을 제공하는 방식에 있어 AWS, 마이크로소프트 애저, 구글 클라우드가 어떤 차이를 보이는지 살펴봤다. 클라우드 자산을 보호하는 데 도움을 주는 최고의 기본 도구를 제공하는 업체는 어디일까?    업계 전문가들은 모든 하이퍼스케일러가 클라우드 자체를 잘 보호한다는 데 동의한다. 무엇보다 안전한 환경을 제공하는 것이 비즈니스 모델의 핵심이기 때문이다.  예산이 한정된 기업들과 달리 클라우드 서비스 업체는 무한한 리소스를 가진 것처럼 보인다. 美 IT 시장조사기관 ‘엔터프라이즈 스트래티지 그룹(Enterprise Strategy Group; ESG)’의 수석 애널리스트 더그 카힐은 “대형 클라우드 업체는 기술적 전문성을 갖추고 있다”라면서, “전 세계에 걸친 가용 영역(AZ), PoP(Points of Presence), 다크 파이버(Dark Fiber) 등을 고려할 때 이들은 매일 엄청난 양의 악의적 활동을 목격하고 있으며, 그런 가시성 수준을 기반으로 방어력을 강화할 수 있는 위치에 있다”라고 말했다.  美 정보보안 자문 회사 시큐로시스(Securosis)의 애널리스트 겸 CEO 리차드 모굴은 “빅3는 내부 프로세스와 절차를 공개하진 않고 있지만 자체 데이터센터의 물리적 보안을 유지하고, 내부자 공격을 방어하며, 애플리케...

2021.06.16

클라우드에서 민감한 데이터를 보호하는 3가지 베스트 프랙티스

최근 베터클라우드(BetterCloud)의 설문에 따르면, 기업은 협업, 통신, 개발, 계약 및 인사 관리, 서명 인증, 기타 민감한 데이터를 처리하고 저장하는 비즈니스 기능을 지원하기 위해 평균 80가지 서드파티 클라우드 애플리케이션을 사용하는 것으로 나타났다. 또한 애플리케이션과 전체 비즈니스를 PaaS나 IaaS에서 구동하는 기업도 증가하고 있다. 2020년에만 기업의 76%가 AWS에서, 63%가 마이크로소프트 애저에서 애플리케이션을 실행했다.    캐피털 원(Capital One)의 고문이자 전 CISO인 마이클 존슨은 이런 퍼블릭 클라우드 서비스는 모두 필요하고 생산적이며 전통적인 데이터센터보다 더 안전한 환경까지 약속한다고 말했다. 그러나 이렇게 클라우드에서 처리하고 저장하는 민감한 데이터에는 위험이 따르게 되는데, 대부분의 위험은 서비스 설정 및 관리 과정에서 사용자의 실수로 발생한다.  존슨은 2019년 8,000만 명의 개인 기록이 유출된 사고 당시 캐피털 원의 대응을 이끌었다. 당시 사고에서 공격자는 잘못 구성된 서드파티 클라우드 환경을 이용했다. 존슨의 팀은 침해의 확산을 막는 한편, 강력한 대응 계획, 이사회 및 경영진과의 투명한 소통, 이전부터 유지해온 사법 당국과의 관계에 힘입어 데이터가 악용되기 전에 신속하게 범인을 체포하도록 지원했다.  클라우드에 민감한 데이터를 저장하는 데 따르는 위험에 대처하는 대응 계획은 모든 클라우드 보안 정책에 기본적으로 포함되어야 한다. 퍼블릭 클라우드를 위한 데이터 보호 정책을 시작하려면, 퍼블릭 서드파티 클라우드 서비스의 데이터가 어떻게 노출 또는 도난될 수 있는지 아는 것이 중요하다.    클라우드의 데이터는 어떻게 취약해지는가  클라우드 보안 연합(Cloud Security Alliance, CSA)의 연간 위협 보고서에 따르면, 서드파티 클라우드 서비스에서 데이터 침해나 유출이 발생하는 가장 일반적인 원인은 과도한 권한, 기...

클라우드보안 IAM 암호화 서드파티 베스트프랙티스

2021.03.18

최근 베터클라우드(BetterCloud)의 설문에 따르면, 기업은 협업, 통신, 개발, 계약 및 인사 관리, 서명 인증, 기타 민감한 데이터를 처리하고 저장하는 비즈니스 기능을 지원하기 위해 평균 80가지 서드파티 클라우드 애플리케이션을 사용하는 것으로 나타났다. 또한 애플리케이션과 전체 비즈니스를 PaaS나 IaaS에서 구동하는 기업도 증가하고 있다. 2020년에만 기업의 76%가 AWS에서, 63%가 마이크로소프트 애저에서 애플리케이션을 실행했다.    캐피털 원(Capital One)의 고문이자 전 CISO인 마이클 존슨은 이런 퍼블릭 클라우드 서비스는 모두 필요하고 생산적이며 전통적인 데이터센터보다 더 안전한 환경까지 약속한다고 말했다. 그러나 이렇게 클라우드에서 처리하고 저장하는 민감한 데이터에는 위험이 따르게 되는데, 대부분의 위험은 서비스 설정 및 관리 과정에서 사용자의 실수로 발생한다.  존슨은 2019년 8,000만 명의 개인 기록이 유출된 사고 당시 캐피털 원의 대응을 이끌었다. 당시 사고에서 공격자는 잘못 구성된 서드파티 클라우드 환경을 이용했다. 존슨의 팀은 침해의 확산을 막는 한편, 강력한 대응 계획, 이사회 및 경영진과의 투명한 소통, 이전부터 유지해온 사법 당국과의 관계에 힘입어 데이터가 악용되기 전에 신속하게 범인을 체포하도록 지원했다.  클라우드에 민감한 데이터를 저장하는 데 따르는 위험에 대처하는 대응 계획은 모든 클라우드 보안 정책에 기본적으로 포함되어야 한다. 퍼블릭 클라우드를 위한 데이터 보호 정책을 시작하려면, 퍼블릭 서드파티 클라우드 서비스의 데이터가 어떻게 노출 또는 도난될 수 있는지 아는 것이 중요하다.    클라우드의 데이터는 어떻게 취약해지는가  클라우드 보안 연합(Cloud Security Alliance, CSA)의 연간 위협 보고서에 따르면, 서드파티 클라우드 서비스에서 데이터 침해나 유출이 발생하는 가장 일반적인 원인은 과도한 권한, 기...

2021.03.18

블로그ㅣ코로나로 업무환경 변화··· 2021년 ‘계정관리’ 영역 전망은?

코로나19 사태로 인해 ‘계정관리(Identity Management)’는 2020년 IT의 최우선 과제 가운데 하나였다. 이로 인해 2021년에 어떤 변화가 일어날까?  내년도 전망은 꽤나 어렵다. 2020년에 예상했던 일과 전혀 예상치 못했던 일이 모두 일어났기 때문이다. 계정관리 분야의 경우, 여전히 액세스 제어 방법에 중점을 두겠지만 2020년에 이뤄진 모든 변화로 인해 이는 더 복잡해질 전망이다.  계정관리와 관련해 상황이 어떻게 변화할 것인지, 그리고 기업은 어떻게 적합한 사용자가 적절한 장치와 위치에서 적절한 애플리케이션에 액세스할 수 있도록 할 수 있을지 한번 살펴보도록 하자.    예측 #1 - 2021년 업무 환경이 달라질 것이다  이미 너무나도 잘 알고 있겠지만, 내년에는 업무 방식이 바뀔 것이다. 일부는 사무실 정상 출근을 재개하겠지만 많은 직원이 계속해서 재택근무를 하거나, 출근과 재택근무를 병용하는 유연한 근무 형태를 취할 것으로 예상된다.  이는 2021년에 업무 구조 및 관리 방식에 변화를 가져올 것이다. 관리자는 직원의 근무 시간 대신 결과를 평가하게 된다. 직원들은 효율적으로 일하고, 파트너 또는 고객의 의견을 원활하게 파악하기 위해 일련의 협업 및 기타 도구가 필요할 것이다. 이에 따라 표준화가 더 어려워질 것이고, 여러 서비스의 계정을 중앙에서 관리하는 것이 직원의 생산성을 유지하는 데 더욱더 중요해질 것이다.   예측 #2 – 편의성과 이질성에 따라 기술 선택 및 선정이 이뤄질 것이다  지난 10년 동안, 기업에서 사용하는 벤더와 제품은 매우 광범위한 솔루션으로 확장됐다. 이는 클라우드 기반 솔루션이 전통적으로 온프레미스에서 관리했던 기존 솔루션을 대체하는 트렌드를 이끌었다.  오늘날 이를테면 컴퓨팅 및 스토리지를 위한 저렴한 솔루션을 제공하는 AWS와 클라우드 인프라 업체와 협업 앱 및 생산성 도구를 지원하는 구글 워크스페이스(G...

보안 계정관리 ID 관리 IAM 코로나19 원격근무 재택근무 액세스 관리 클라우드 제로 트러스트 인재 채용

2020.12.28

코로나19 사태로 인해 ‘계정관리(Identity Management)’는 2020년 IT의 최우선 과제 가운데 하나였다. 이로 인해 2021년에 어떤 변화가 일어날까?  내년도 전망은 꽤나 어렵다. 2020년에 예상했던 일과 전혀 예상치 못했던 일이 모두 일어났기 때문이다. 계정관리 분야의 경우, 여전히 액세스 제어 방법에 중점을 두겠지만 2020년에 이뤄진 모든 변화로 인해 이는 더 복잡해질 전망이다.  계정관리와 관련해 상황이 어떻게 변화할 것인지, 그리고 기업은 어떻게 적합한 사용자가 적절한 장치와 위치에서 적절한 애플리케이션에 액세스할 수 있도록 할 수 있을지 한번 살펴보도록 하자.    예측 #1 - 2021년 업무 환경이 달라질 것이다  이미 너무나도 잘 알고 있겠지만, 내년에는 업무 방식이 바뀔 것이다. 일부는 사무실 정상 출근을 재개하겠지만 많은 직원이 계속해서 재택근무를 하거나, 출근과 재택근무를 병용하는 유연한 근무 형태를 취할 것으로 예상된다.  이는 2021년에 업무 구조 및 관리 방식에 변화를 가져올 것이다. 관리자는 직원의 근무 시간 대신 결과를 평가하게 된다. 직원들은 효율적으로 일하고, 파트너 또는 고객의 의견을 원활하게 파악하기 위해 일련의 협업 및 기타 도구가 필요할 것이다. 이에 따라 표준화가 더 어려워질 것이고, 여러 서비스의 계정을 중앙에서 관리하는 것이 직원의 생산성을 유지하는 데 더욱더 중요해질 것이다.   예측 #2 – 편의성과 이질성에 따라 기술 선택 및 선정이 이뤄질 것이다  지난 10년 동안, 기업에서 사용하는 벤더와 제품은 매우 광범위한 솔루션으로 확장됐다. 이는 클라우드 기반 솔루션이 전통적으로 온프레미스에서 관리했던 기존 솔루션을 대체하는 트렌드를 이끌었다.  오늘날 이를테면 컴퓨팅 및 스토리지를 위한 저렴한 솔루션을 제공하는 AWS와 클라우드 인프라 업체와 협업 앱 및 생산성 도구를 지원하는 구글 워크스페이스(G...

2020.12.28

2021년의 데이터 통제 방법 5가지

코로나19 사태로 경제, 소비자, 그리고 공급망의 행동 방식이 달라졌다. 이런 모든 변화가 의미하는 것은 상당한 양의 과거 데이터가 더 이상 쓸모 없어졌다는 것이다. 무에서 다시 시작하는 부분도 많다. 데이터 관리 및 이동 도구와 플랫폼, 인프라를 담당하는 CIO들에게 근본적인 데이터 현실은 바뀐 것이 없을지 모른다. 단, 그 범위는 확실히 달라졌다. 팬데믹 와중의 업무 세계를 탈바꿈시키는 데 있어 기술이 중추적인 역할을 하는 가운데, CIO들은 엄청난 양의 데이터 이동과 처리, 보관, 보안 문제 등을 다루고 있다. 2021년을 전망하는 CIO들에게 늘어가는 데이터 책임의 접근 요령 5가지를 소개한다.    데이터 유출 방지와 개인정보 보호에 AI를 활용할 것 조직 내부와 엣지(경계)에서 발생하는 데이터 처리와 이동이 늘어남에 따라 데이터 유출의 위험이 커지고 있으며 데이터 유출을 파악하기도 더욱 어려워지고 있다. 일부 기업은 데이터 유출 검사뿐 아니라 예방에도 AI를 활용 중이다. 2019년 가트너 보안 및 위험 설문조사에 따르면 “개인정보보호 준수 기술의 AI 의존율은 2019년 5%에서 2023년이면 40%를 넘어설 것”으로 예측되고 있다. 자동화된 AI 기반 데이터 유출 방지 도구들은 데이터 접근과 공유를 추적, 제한하고 차단까지 함으로써 원하지 않는 데이터 유출을 미연에 방지할 수 있다. 또한, AI 기반 데이터 보호 도구들은 과거에 일어났고 앞으로 발생할 멀웨어 공격과 데이터 손실 사건으로부터 학습이 가능하다. 학습 내용을 새로운 침입 공격에 적용함으로써 수상쩍은 고객 또는 직원 행동과 같은 위험을 파악할 수 있고 데이터 유출이 발생하기 전에 문제를 완화할 수 있다. ID 및 접근 관리 보안을 우선시할 것 코로나19로 인해 ID 및 접근 관리(IAM) 보안이 약화된 조직이 많다. 원격 근무와 혼합형 근무 형태로 빠르게 전환되면서 ID 및 접근 프로토콜의 감시와 유지관리가 훨씬 더 어려워졌기 때문이다. 권한 있는 계정 접근과...

데이터 통제 재해 복구 IAM SSO 데이터 관리 데이터 제어 엣지

2020.12.07

코로나19 사태로 경제, 소비자, 그리고 공급망의 행동 방식이 달라졌다. 이런 모든 변화가 의미하는 것은 상당한 양의 과거 데이터가 더 이상 쓸모 없어졌다는 것이다. 무에서 다시 시작하는 부분도 많다. 데이터 관리 및 이동 도구와 플랫폼, 인프라를 담당하는 CIO들에게 근본적인 데이터 현실은 바뀐 것이 없을지 모른다. 단, 그 범위는 확실히 달라졌다. 팬데믹 와중의 업무 세계를 탈바꿈시키는 데 있어 기술이 중추적인 역할을 하는 가운데, CIO들은 엄청난 양의 데이터 이동과 처리, 보관, 보안 문제 등을 다루고 있다. 2021년을 전망하는 CIO들에게 늘어가는 데이터 책임의 접근 요령 5가지를 소개한다.    데이터 유출 방지와 개인정보 보호에 AI를 활용할 것 조직 내부와 엣지(경계)에서 발생하는 데이터 처리와 이동이 늘어남에 따라 데이터 유출의 위험이 커지고 있으며 데이터 유출을 파악하기도 더욱 어려워지고 있다. 일부 기업은 데이터 유출 검사뿐 아니라 예방에도 AI를 활용 중이다. 2019년 가트너 보안 및 위험 설문조사에 따르면 “개인정보보호 준수 기술의 AI 의존율은 2019년 5%에서 2023년이면 40%를 넘어설 것”으로 예측되고 있다. 자동화된 AI 기반 데이터 유출 방지 도구들은 데이터 접근과 공유를 추적, 제한하고 차단까지 함으로써 원하지 않는 데이터 유출을 미연에 방지할 수 있다. 또한, AI 기반 데이터 보호 도구들은 과거에 일어났고 앞으로 발생할 멀웨어 공격과 데이터 손실 사건으로부터 학습이 가능하다. 학습 내용을 새로운 침입 공격에 적용함으로써 수상쩍은 고객 또는 직원 행동과 같은 위험을 파악할 수 있고 데이터 유출이 발생하기 전에 문제를 완화할 수 있다. ID 및 접근 관리 보안을 우선시할 것 코로나19로 인해 ID 및 접근 관리(IAM) 보안이 약화된 조직이 많다. 원격 근무와 혼합형 근무 형태로 빠르게 전환되면서 ID 및 접근 프로토콜의 감시와 유지관리가 훨씬 더 어려워졌기 때문이다. 권한 있는 계정 접근과...

2020.12.07

블로그 | 아직도 풀지 못한 클라우드 아키텍처 문제 2가지

모든 클라우드 설계 문제를 해결했다고 생각한다면, 오산이다. 엣지 디바이스와 멀티클라우드 보안은 여전히 교착 상태이다.  2021년이 수평선 위로 떠오르면서 클라우드 전문가 대부분은 행복한 마음으로 2020년을 뒤돌아볼 것이다. 코로나19 팬데믹과 그로 인한 모든 혼란에도 불구하고, 2020년은 클라우드의 해였기 때문이다. 팬데믹을 우려한 많은 기업이 안전과 확장성, 민첩성을 위해 클라우드에 달려들었다.   하지만 아직 해결해야 할 일부 아키텍처 장애물이 남아 있다. 필자의 목록 최상위에 있는 두 가지 아키텍처 문제를 살펴보기에 지금만큼 좋을 때는 없을 것이다.  첫 번째는 엣지 데이터의 계층화 문제이다. 계층화된 아키텍처에 엣지 디바이스가 포함되어 있으면, 데이터의 백엔드를 어디에 두어야 할지 파악하기 위한 베스트 프랙티스와 프로세스가 필요하다. 이 문제는 쉽게 해결할 수 있는 것처럼 보인다. 그저 워크로드의 요구사항을 이해하고 적절한 계층화를 결정하면 된다. 그러나 엣지 디바이스의 수가 폭발적으로 증가하면, 데이터의 유기적인 성장이 엣지 디바이스를 잠식할 것이고, 요구사항은 위기사항이 된다.  이때 필요한 것은 필요한 데이터와 지식 기반을 옮기는 자동화를 사용하는 동적인 접근법이다. 하지만 이런 접근법은 잘못 사용하면 기술 과잉이라는 부정적인 영향을 통해 오히려 더 문제가 될 수 있다. 필자는 현재 이런 측면을 해결하기 위해 노력하고 한다. 두 번째 문제는 진정한 멀티클라우드 보안이다. 클라우드 전반에 걸쳐 적용하는 IAM 솔루션을 해법으로 이야기할 모르지만, 필자가 보기에 이들 솔루션 대부분은 아직 전성기를 맞을 준비가 되어있지 않다. 클라우드 보안 아키텍트는 무엇이 되었든 각 클라우드 서비스 업체에 맞춰 이용할 수 있는 클라우드 네이티브 보안 기술을 사용해야만 하는데, 이 때문에 해법은 더 복잡하고 보안팀이 운영하기 어려워진다. 결과물이 훼손될 위험성도 커진다. 또한, 각 클라우드의 네이티브 디렉토리 서...

2021 엣지디바이스 멀티클라우드 IAM

2020.08.13

모든 클라우드 설계 문제를 해결했다고 생각한다면, 오산이다. 엣지 디바이스와 멀티클라우드 보안은 여전히 교착 상태이다.  2021년이 수평선 위로 떠오르면서 클라우드 전문가 대부분은 행복한 마음으로 2020년을 뒤돌아볼 것이다. 코로나19 팬데믹과 그로 인한 모든 혼란에도 불구하고, 2020년은 클라우드의 해였기 때문이다. 팬데믹을 우려한 많은 기업이 안전과 확장성, 민첩성을 위해 클라우드에 달려들었다.   하지만 아직 해결해야 할 일부 아키텍처 장애물이 남아 있다. 필자의 목록 최상위에 있는 두 가지 아키텍처 문제를 살펴보기에 지금만큼 좋을 때는 없을 것이다.  첫 번째는 엣지 데이터의 계층화 문제이다. 계층화된 아키텍처에 엣지 디바이스가 포함되어 있으면, 데이터의 백엔드를 어디에 두어야 할지 파악하기 위한 베스트 프랙티스와 프로세스가 필요하다. 이 문제는 쉽게 해결할 수 있는 것처럼 보인다. 그저 워크로드의 요구사항을 이해하고 적절한 계층화를 결정하면 된다. 그러나 엣지 디바이스의 수가 폭발적으로 증가하면, 데이터의 유기적인 성장이 엣지 디바이스를 잠식할 것이고, 요구사항은 위기사항이 된다.  이때 필요한 것은 필요한 데이터와 지식 기반을 옮기는 자동화를 사용하는 동적인 접근법이다. 하지만 이런 접근법은 잘못 사용하면 기술 과잉이라는 부정적인 영향을 통해 오히려 더 문제가 될 수 있다. 필자는 현재 이런 측면을 해결하기 위해 노력하고 한다. 두 번째 문제는 진정한 멀티클라우드 보안이다. 클라우드 전반에 걸쳐 적용하는 IAM 솔루션을 해법으로 이야기할 모르지만, 필자가 보기에 이들 솔루션 대부분은 아직 전성기를 맞을 준비가 되어있지 않다. 클라우드 보안 아키텍트는 무엇이 되었든 각 클라우드 서비스 업체에 맞춰 이용할 수 있는 클라우드 네이티브 보안 기술을 사용해야만 하는데, 이 때문에 해법은 더 복잡하고 보안팀이 운영하기 어려워진다. 결과물이 훼손될 위험성도 커진다. 또한, 각 클라우드의 네이티브 디렉토리 서...

2020.08.13

기술력 업! 무료 온라인 교육 과정 사이트 12선

학습 비용이 저렴해졌다. 오늘날 최고의 기술을 배우기에 좋은 12개의 무료 온라인 사이트를 소개한다.   교육에 많은 비용을 들일 필요는 없다. 인터넷 연결과 노트북 또는 스마트폰만 있으면 IT기술을 배울 수 있는 무료 과정이 많다. 여기서 소개하는 12개의 온라인 교육 업체는 거의 모든 기술 분야에서 무료 프로그램 및 교육 과정을 제공한다. 한정적인 노력으로 새로운 분야에 발을 담그거나 업계 동향과 기술 개발에 집중할 수 있는 좋은 방법이다. 경력 수정, 시작, 이력서 강화 또는 기술 동향에 대한 관심 등 어떤 목적이든 아래 12가지 온라인 교육 업체는 도움을 줄 수 있다.  기술 학습을 위한 12개의 무료 온라인 교육 사이트 • 앨리슨닷컴 • 코드아카데미 • 코세라 • 대시 제너럴 어셈블리 • 에드X • 하버드 온라인 러닝 • 칸 아카데미 • 마이크로소프트런 • MIT 오픈코스웨어 • 스킬셰어 • 유다시티 • 우데미 앨리슨닷컴 앨리슨닷컴(Alison.com)은 네트워킹 및 보안, 하드웨어, 소프트웨어 개발, 게임 개발, 소프트웨어 툴, IT관리, 모바일 앱, 소프트웨어 엔지니어링, 데이터 과학, 데이터베이스, 핵심 IT기술력에 대한 광범위한 무료 교육 과정을 제공한다. 짧은 수료증 과정 중에서 선택하거나 좀더 포괄적인 ‘디플로마’ 과정을 선택할 수 있다. 과정은 무료로 참여할 수 있지만, 수료증이나 디플로마 과정 수료 후 인쇄된 인증서나 디지털 인증서를 받으려면 수수료를 내야 한다. 또한 한 달에 약 9달러의 프리미엄 계정에 가입해 비용을 지불하도록 선택할 수 있으며 이를 통해서는 인증서 수수료 할인, 광고 없애기, 이력서 작성 등 더 많은 기능에 접근할 수 있다. 코드아카데미  코드아카데미(Codeacademy)는 파이썬, 루비, 자바, 자바스크립트, 제이쿼리(jQuery), 리액트.js(React.js), 앵귤러JS(AngularJS), HTML, Sass, CSS 등 12개의 프로그래밍 및 마크업 언어로 무료 코...

CIO CISO 강은성 클라우드 보안 Saas IaaS 스타트업 클라우드 사업자 CSP 클라우드 이용기업 CSC 계정 및 권한 관리 IAM KISA 기술지킴서비스 하드웨어 보안모듈 HSM

2020.06.09

학습 비용이 저렴해졌다. 오늘날 최고의 기술을 배우기에 좋은 12개의 무료 온라인 사이트를 소개한다.   교육에 많은 비용을 들일 필요는 없다. 인터넷 연결과 노트북 또는 스마트폰만 있으면 IT기술을 배울 수 있는 무료 과정이 많다. 여기서 소개하는 12개의 온라인 교육 업체는 거의 모든 기술 분야에서 무료 프로그램 및 교육 과정을 제공한다. 한정적인 노력으로 새로운 분야에 발을 담그거나 업계 동향과 기술 개발에 집중할 수 있는 좋은 방법이다. 경력 수정, 시작, 이력서 강화 또는 기술 동향에 대한 관심 등 어떤 목적이든 아래 12가지 온라인 교육 업체는 도움을 줄 수 있다.  기술 학습을 위한 12개의 무료 온라인 교육 사이트 • 앨리슨닷컴 • 코드아카데미 • 코세라 • 대시 제너럴 어셈블리 • 에드X • 하버드 온라인 러닝 • 칸 아카데미 • 마이크로소프트런 • MIT 오픈코스웨어 • 스킬셰어 • 유다시티 • 우데미 앨리슨닷컴 앨리슨닷컴(Alison.com)은 네트워킹 및 보안, 하드웨어, 소프트웨어 개발, 게임 개발, 소프트웨어 툴, IT관리, 모바일 앱, 소프트웨어 엔지니어링, 데이터 과학, 데이터베이스, 핵심 IT기술력에 대한 광범위한 무료 교육 과정을 제공한다. 짧은 수료증 과정 중에서 선택하거나 좀더 포괄적인 ‘디플로마’ 과정을 선택할 수 있다. 과정은 무료로 참여할 수 있지만, 수료증이나 디플로마 과정 수료 후 인쇄된 인증서나 디지털 인증서를 받으려면 수수료를 내야 한다. 또한 한 달에 약 9달러의 프리미엄 계정에 가입해 비용을 지불하도록 선택할 수 있으며 이를 통해서는 인증서 수수료 할인, 광고 없애기, 이력서 작성 등 더 많은 기능에 접근할 수 있다. 코드아카데미  코드아카데미(Codeacademy)는 파이썬, 루비, 자바, 자바스크립트, 제이쿼리(jQuery), 리액트.js(React.js), 앵귤러JS(AngularJS), HTML, Sass, CSS 등 12개의 프로그래밍 및 마크업 언어로 무료 코...

2020.06.09

강은성의 보안 아키텍트 | 클라우드 서비스(SaaS) 개발사가 알아야 할 보안

최근 몇 년간 스타트업이 활성화되는 것에 정부와 투자기관의 자금 지원이 큰 역할을 하고 있지만, 공유 오피스와 다양한 서비스형 소프트웨어(SaaS: Software as a Service)의 기여 또한 무시할 수 없다. 특히 SaaS 덕분에 필요한 소프트웨어를 인터넷에서 쉽게 찾을 수 있고, 신청 즉시 사용할 수 있으며, 사용한 만큼 비용을 지불할 수 있게 되어, 이제 스타트업은 사업모델, 서비스 개발, 마케팅, 팀 구성 등 사업의 핵심 요소에 집중할 수 있게 되었다.  필자가 지난 3년 정도 직간접적으로 참여한 스타트업 역시 클라우드 서비스를 많이 이용하였다. 메시징, 협업, 문서 공유, 이슈 처리, 인사, 회계, 보안 등 다양한 SaaS를 사용하였고, 개발팀 역시 개발과 서비스 운영을 모두 IaaS(Infrastructure as a Service)에서 진행하였다. 1980년 후반의 1차 벤처기업 붐과 1990년대 후반~2000년대 초반까지 있었던 2차 벤처기업 붐 시기를 되돌아보면, 클라우드 덕분에 이제는 업무환경(MIS), 개발환경, 서비스 운영환경이 사업의 장애물이 되지 못한다.  클라우드 사용이 대중화되면서 클라우드 보안 문제에 대한 우려 또한 계속 제기되고 있다. 클라우드 사업자(CSP)나 보안전문가들은 일반 기업보다 클라우드 사업자가 전문성, 투자, 관리 측면에서 보안이 우수하다고 설명한다.   *출처 : LG CNS 블로그(2019.11) 하지만 위 자료를 보면 지난 5년간 서비스 중단, 데이터 파일 삭제, 개인정보 유출 등의 정보보안 사고가 꾸준히 발생하였다. 흥미로운 점은 클라우드 서비스 초기에는 클라우드 사업자의 귀책 사유로 사고가 발생했다면, 최근에는 주로 클라우드 이용기업(CSC)의 귀책 사유로 사고가 발생한다는 점이다.  이용기업 귀책 사유의 사고가 발생하는 것은 이용기업이 ‘책임 공유제’라는 클라우드의 특성과 그것이 제공하는 보안서비스를 제대로 이해하지 못하기 때문이 아닐까 싶다. 클라우...

CIO CISO 강은성 클라우드 보안 Saas IaaS 스타트업 클라우드 사업자 CSP 클라우드 이용기업 CSC 계정 및 권한 관리 IAM KISA 기술지킴서비스 하드웨어 보안모듈 HSM LG CNS

2020.06.09

최근 몇 년간 스타트업이 활성화되는 것에 정부와 투자기관의 자금 지원이 큰 역할을 하고 있지만, 공유 오피스와 다양한 서비스형 소프트웨어(SaaS: Software as a Service)의 기여 또한 무시할 수 없다. 특히 SaaS 덕분에 필요한 소프트웨어를 인터넷에서 쉽게 찾을 수 있고, 신청 즉시 사용할 수 있으며, 사용한 만큼 비용을 지불할 수 있게 되어, 이제 스타트업은 사업모델, 서비스 개발, 마케팅, 팀 구성 등 사업의 핵심 요소에 집중할 수 있게 되었다.  필자가 지난 3년 정도 직간접적으로 참여한 스타트업 역시 클라우드 서비스를 많이 이용하였다. 메시징, 협업, 문서 공유, 이슈 처리, 인사, 회계, 보안 등 다양한 SaaS를 사용하였고, 개발팀 역시 개발과 서비스 운영을 모두 IaaS(Infrastructure as a Service)에서 진행하였다. 1980년 후반의 1차 벤처기업 붐과 1990년대 후반~2000년대 초반까지 있었던 2차 벤처기업 붐 시기를 되돌아보면, 클라우드 덕분에 이제는 업무환경(MIS), 개발환경, 서비스 운영환경이 사업의 장애물이 되지 못한다.  클라우드 사용이 대중화되면서 클라우드 보안 문제에 대한 우려 또한 계속 제기되고 있다. 클라우드 사업자(CSP)나 보안전문가들은 일반 기업보다 클라우드 사업자가 전문성, 투자, 관리 측면에서 보안이 우수하다고 설명한다.   *출처 : LG CNS 블로그(2019.11) 하지만 위 자료를 보면 지난 5년간 서비스 중단, 데이터 파일 삭제, 개인정보 유출 등의 정보보안 사고가 꾸준히 발생하였다. 흥미로운 점은 클라우드 서비스 초기에는 클라우드 사업자의 귀책 사유로 사고가 발생했다면, 최근에는 주로 클라우드 이용기업(CSC)의 귀책 사유로 사고가 발생한다는 점이다.  이용기업 귀책 사유의 사고가 발생하는 것은 이용기업이 ‘책임 공유제’라는 클라우드의 특성과 그것이 제공하는 보안서비스를 제대로 이해하지 못하기 때문이 아닐까 싶다. 클라우...

2020.06.09

호주∙뉴질랜드 CSO의 보안 우선순위는? 운영기술∙IAM

지난해 ICT에 180억 달러 이상을 투자한 호주와 뉴질랜드의 58개 기업 및 기관을 대상으로 조사한 보고서인 CISO 렌즈 벤치마크 2019(CISO Lens Benchmark 2019)에 따르면, 평균 보안 투자 금액은 정규 직원당 평균 2,412호주달러로 집계됐다. 기술기업의 경우 이 직원당 보안 투자가 4,252호주달러며, 금융기업은 3,248호주달러였다.  호주와 뉴질랜드의 CISO포럼인 CISO 렌즈의 전무 제임스 터너는 자본 지출(32%)과 운영 비용(68%) 사이, 그리고 '프로젝트'(40%)와 '평상시와 같은 비즈니스'(60%) 사이의 보안 지출 내역을 구분했다. 터너는 “특히 매우 기술적인 CIO가 운영하는 많은 조직은 툴을 구입하지만 실제로는 시간이 지남에 따라 유지관리가 필요하다는 사실을 잊는다. 즉, 직원은 교육을 받아야 하고 직원이 툴에서 가치를 추출할 시간을 주어야 한다. 그리고 직원이 이직하면 다른 직원을 훈련해야 한다”라고 설명했다.  조사에 응한 2명의 CSO를 제외한 나머지 모든 CSO는 앞으로 12개월 동안 보안에 총 11억 호주달러를 투자한다고 밝혔다. 금액 기준 상위 8명이 전체의 51%를 차지했다. 또한 내년에는 65%가 예산을 늘릴 것으로 예상했으며 평균 증가율은 18%얐다. 보안 예산은 전체 IT예산에서 평균 6.3%를 차지했다.   응답자들이 3가지 우선순위를 선택했기 때문에 응답 %의 총합은 100%가 넘는다. 노랑색 부분은 1순위로 가장 많이 지목된 항목이다. 최우선 과제. 응답자들은 3가지 우선순위를 선택한 결과 IAM(Identity and Access Management) 및 사물인터넷을 포함한 운영기술(OT)이 꼽혔다. OT는 최우선순위 답변이 가장 많았으며 IAM은 두번째로 많았다. 또한 IAM은 두번째 우선순위에서도 가장 높은 응답률을 보였다. CSO 입지. 벤치마크는 주요 발견 중 하나로 회사 계층의 CSO 입지를 파악했다. CSO의 43%가 CEO에게 직접 보고...

CIO CISO 렌즈 벤치마크 2019 보안투자 아마존웹서비스 시스코시스템즈 운영기술 OT ICT 브로드컴 IAM 시만텍 CISO AWS 마이크로소프트 CSO 보안예산

2020.03.13

지난해 ICT에 180억 달러 이상을 투자한 호주와 뉴질랜드의 58개 기업 및 기관을 대상으로 조사한 보고서인 CISO 렌즈 벤치마크 2019(CISO Lens Benchmark 2019)에 따르면, 평균 보안 투자 금액은 정규 직원당 평균 2,412호주달러로 집계됐다. 기술기업의 경우 이 직원당 보안 투자가 4,252호주달러며, 금융기업은 3,248호주달러였다.  호주와 뉴질랜드의 CISO포럼인 CISO 렌즈의 전무 제임스 터너는 자본 지출(32%)과 운영 비용(68%) 사이, 그리고 '프로젝트'(40%)와 '평상시와 같은 비즈니스'(60%) 사이의 보안 지출 내역을 구분했다. 터너는 “특히 매우 기술적인 CIO가 운영하는 많은 조직은 툴을 구입하지만 실제로는 시간이 지남에 따라 유지관리가 필요하다는 사실을 잊는다. 즉, 직원은 교육을 받아야 하고 직원이 툴에서 가치를 추출할 시간을 주어야 한다. 그리고 직원이 이직하면 다른 직원을 훈련해야 한다”라고 설명했다.  조사에 응한 2명의 CSO를 제외한 나머지 모든 CSO는 앞으로 12개월 동안 보안에 총 11억 호주달러를 투자한다고 밝혔다. 금액 기준 상위 8명이 전체의 51%를 차지했다. 또한 내년에는 65%가 예산을 늘릴 것으로 예상했으며 평균 증가율은 18%얐다. 보안 예산은 전체 IT예산에서 평균 6.3%를 차지했다.   응답자들이 3가지 우선순위를 선택했기 때문에 응답 %의 총합은 100%가 넘는다. 노랑색 부분은 1순위로 가장 많이 지목된 항목이다. 최우선 과제. 응답자들은 3가지 우선순위를 선택한 결과 IAM(Identity and Access Management) 및 사물인터넷을 포함한 운영기술(OT)이 꼽혔다. OT는 최우선순위 답변이 가장 많았으며 IAM은 두번째로 많았다. 또한 IAM은 두번째 우선순위에서도 가장 높은 응답률을 보였다. CSO 입지. 벤치마크는 주요 발견 중 하나로 회사 계층의 CSO 입지를 파악했다. CSO의 43%가 CEO에게 직접 보고...

2020.03.13

'1천여개 협력사에 SSO 제공'··· 플렉스의 계정 관리 사례 분석

플렉스(Flex Ltd.)는 세계 최대의 IT 기업을 포함해 1,000곳이 넘는 고객사를 거느린 위탁 제조업체다. 기업 가치가 250억 달러에 달하는 이 기업은 몇 년 전 협력업체가 자사 시스템에 액세스하는 것을 더 안전하게 관리할 방법이 필요했다.   플렉스의 협력업체는 전 세계적으로 수천 곳에 달한다. 지메일 주소 하나가 전부인 소규모 자영 업체부터 글로벌 대기업에 이르기까지 매우 다양하다. 플렉스에 있는 앱에 액세스할 때 복수의 계정과 시스템을 이용하는 업체가 많았고, 플렉스는 비밀번호를 관리하거나, 계정의 프로비저닝 및 디-프로비저닝을 제어하는 중앙화된 방식이 없었다. 또한, 플렉스는 협력업체와 관련된 ID 및 액세스 환경이 매우 산만해서 의심스러운 비정상 활동을 감지할 역량도 모자랐다. IAM 정비 이런 제약은 해커가 한 협력 업체의 네트워크 인증정보를 훔쳐 타깃(Target)에서 대규모로 데이터를 유출한 사건을 떠올리게 했다. 결국 플렉스의 경영진은 ID 및 액세스 관리(IAM) 인프라를 대대적으로 정비하기로 했다. 먼저 플렉스 임원진은 제품의 설계, 제작, 유통을 위탁한 고객사의 중요한 지적 재산과 데이터가 자사 시스템에서 안전하게 유지되기를 원했다. 또한 자사 클라우드 및 온-프레미스 앱에 액세스하는 도급 업체의 경험을 개선하고자 했다. 플렉스의 CISO이자 엔터프라이즈 정보기술 부사장인 프리츠 웨츠닉은 “가시성을 높이고, 협력사에 친화적인 환경을 제공하기 위해 정비가 필요했다”라고 말했다. 이를 위해 플렉스는 협력업체가 자사 시스템에 액세스하는 데 이용하는 복수 계정을 제거하고, 대신 최소 권한 액세스를 허용하는 SSO(Single Sign On) 프로세스를 구현하기로 했다. 웨츠닉은 “또한 액세스 로그에서 가시성과 투명성이 필요했다. 보안 관점에서 볼 때, 액세스 지점이 여러 곳이면 일탈 및 수상한 거동을 파악하기 어렵다. 따라서 중앙 로그를 유지하고자 했다"라고 말했다. 기술적 관점에서 볼 때, 플렉스의 요구는 명확했다....

IAM SSO 플렉스 Flex

2019.12.04

플렉스(Flex Ltd.)는 세계 최대의 IT 기업을 포함해 1,000곳이 넘는 고객사를 거느린 위탁 제조업체다. 기업 가치가 250억 달러에 달하는 이 기업은 몇 년 전 협력업체가 자사 시스템에 액세스하는 것을 더 안전하게 관리할 방법이 필요했다.   플렉스의 협력업체는 전 세계적으로 수천 곳에 달한다. 지메일 주소 하나가 전부인 소규모 자영 업체부터 글로벌 대기업에 이르기까지 매우 다양하다. 플렉스에 있는 앱에 액세스할 때 복수의 계정과 시스템을 이용하는 업체가 많았고, 플렉스는 비밀번호를 관리하거나, 계정의 프로비저닝 및 디-프로비저닝을 제어하는 중앙화된 방식이 없었다. 또한, 플렉스는 협력업체와 관련된 ID 및 액세스 환경이 매우 산만해서 의심스러운 비정상 활동을 감지할 역량도 모자랐다. IAM 정비 이런 제약은 해커가 한 협력 업체의 네트워크 인증정보를 훔쳐 타깃(Target)에서 대규모로 데이터를 유출한 사건을 떠올리게 했다. 결국 플렉스의 경영진은 ID 및 액세스 관리(IAM) 인프라를 대대적으로 정비하기로 했다. 먼저 플렉스 임원진은 제품의 설계, 제작, 유통을 위탁한 고객사의 중요한 지적 재산과 데이터가 자사 시스템에서 안전하게 유지되기를 원했다. 또한 자사 클라우드 및 온-프레미스 앱에 액세스하는 도급 업체의 경험을 개선하고자 했다. 플렉스의 CISO이자 엔터프라이즈 정보기술 부사장인 프리츠 웨츠닉은 “가시성을 높이고, 협력사에 친화적인 환경을 제공하기 위해 정비가 필요했다”라고 말했다. 이를 위해 플렉스는 협력업체가 자사 시스템에 액세스하는 데 이용하는 복수 계정을 제거하고, 대신 최소 권한 액세스를 허용하는 SSO(Single Sign On) 프로세스를 구현하기로 했다. 웨츠닉은 “또한 액세스 로그에서 가시성과 투명성이 필요했다. 보안 관점에서 볼 때, 액세스 지점이 여러 곳이면 일탈 및 수상한 거동을 파악하기 어렵다. 따라서 중앙 로그를 유지하고자 했다"라고 말했다. 기술적 관점에서 볼 때, 플렉스의 요구는 명확했다....

2019.12.04

GE가 7개의 IAM을 하나로 통합한 이유

GE는 과거 파편화되어 있던 신원 및 접근 관리(Identity and Access Management, IAM) 인프라를 중앙에서 통합함으로써 상당한 비용 효율과 실적 혜택을 거두었다. 2014년부터 시작해 거의 5년 동안 GE는 여러 사업부에서 따로 관리했던 7개의 다른 신원 관리 시스템을 하나의 단일 플랫폼으로 통합해 현재 200만 명의 직원 및 협력업체가 GE 애플리케이션에 접근하는 것을 감독하고 있다.    GE의 ID 관리 서비스 총괄인 폴 베일리는 새 시스템이 값비싼 중복을 없앴고, GE가 전사적 애플리케이션 액세스를 위한 표준화된 규칙 세트를 수립할 수 있게 해주었다고 주장했다. 중앙화된 인프라에 의해 GE는 IAM 프로그램을 실행하는데 필요한 인력의 수를 250명으로부터 절반으로 줄였다. 또한 세계적으로 액세스 감사 관리 팀을 25명에서 단 2명으로 줄일 수 있었다.  베일리는 "더 중요한 것은 GE의 새로운 신원 관리 플랫폼은 새로운 애플리케이션을 탑재하고, 이용자 액세스를 허용하고 관리하고 종료하고, 신원이 규제적 요건을 준수하며 관리하는 것을 더욱 쉽게 해뒀다는 점이다"고 말했다.   GE가 신원 관리 인프라를 통합하게 된 배경  GE의 현재 거의 완수된 거대한 작업은 IAM 기능을 진화시켜 변화하는 비즈니스 요구와 여타 경향에 어떻게 보조를 맞출 수 있는지를 보여주는 실례이다.  가트너에 따르면, 클라우드 및 마이크로서비스 아키텍처의 도입, 증가된 디지털화, 그리고 이에 따른 사이버 위협의 급증에 의해 IAM에 대한 진화된 접근법을 이용하는 사례가 급속히 확장되고 있다.  가트너는 IT 리더들이 지난 몇 해 동안 보안 및 사기 검출 시스템과 ID 시스템을 보다 밀접하게 연결하고, IAM 모듈 사이의 통신과 자동화의 수준을 높이고, 고객의 동의를 보다 존중하는 데이터 관리 정책을 구현할 필요가 있음을 알게 되었다고 지적했다.  또한 "현대 ID 환경의 범위와...

IAM GE

2019.07.23

GE는 과거 파편화되어 있던 신원 및 접근 관리(Identity and Access Management, IAM) 인프라를 중앙에서 통합함으로써 상당한 비용 효율과 실적 혜택을 거두었다. 2014년부터 시작해 거의 5년 동안 GE는 여러 사업부에서 따로 관리했던 7개의 다른 신원 관리 시스템을 하나의 단일 플랫폼으로 통합해 현재 200만 명의 직원 및 협력업체가 GE 애플리케이션에 접근하는 것을 감독하고 있다.    GE의 ID 관리 서비스 총괄인 폴 베일리는 새 시스템이 값비싼 중복을 없앴고, GE가 전사적 애플리케이션 액세스를 위한 표준화된 규칙 세트를 수립할 수 있게 해주었다고 주장했다. 중앙화된 인프라에 의해 GE는 IAM 프로그램을 실행하는데 필요한 인력의 수를 250명으로부터 절반으로 줄였다. 또한 세계적으로 액세스 감사 관리 팀을 25명에서 단 2명으로 줄일 수 있었다.  베일리는 "더 중요한 것은 GE의 새로운 신원 관리 플랫폼은 새로운 애플리케이션을 탑재하고, 이용자 액세스를 허용하고 관리하고 종료하고, 신원이 규제적 요건을 준수하며 관리하는 것을 더욱 쉽게 해뒀다는 점이다"고 말했다.   GE가 신원 관리 인프라를 통합하게 된 배경  GE의 현재 거의 완수된 거대한 작업은 IAM 기능을 진화시켜 변화하는 비즈니스 요구와 여타 경향에 어떻게 보조를 맞출 수 있는지를 보여주는 실례이다.  가트너에 따르면, 클라우드 및 마이크로서비스 아키텍처의 도입, 증가된 디지털화, 그리고 이에 따른 사이버 위협의 급증에 의해 IAM에 대한 진화된 접근법을 이용하는 사례가 급속히 확장되고 있다.  가트너는 IT 리더들이 지난 몇 해 동안 보안 및 사기 검출 시스템과 ID 시스템을 보다 밀접하게 연결하고, IAM 모듈 사이의 통신과 자동화의 수준을 높이고, 고객의 동의를 보다 존중하는 데이터 관리 정책을 구현할 필요가 있음을 알게 되었다고 지적했다.  또한 "현대 ID 환경의 범위와...

2019.07.23

'최대 23.5억 달러' 2018~2019년 사이버보안 업계 대규모 M&A 총정리

사이버보안 제품과 서비스 시장이 성장하는 데 발을 맞춰 이를 제공하는 기업들의 가치도 상승하고 있다. 이를 알려주는 증거가 2018년 한 해 동안 벌어진 여러 사이버보안 회사들의 인수합병 거래다. 기술 M&A 컨설팅 회사인 햄플턴 파트너스가 제공한 자료에 따르면, 2018년 한 해 사이버보안 인수합병 거래는 140여 건에 달한다. 이 가운데 미화 5억 달러(5,642억 원)가 넘는 대형 M&A는 9건 이상이다. 10억 달러가 넘었던 거래도 4건이나 있었다.   햄플턴 파트너스의 액셀 브릴 디렉터는 “현재 사이버보안은 기술 산업 곳곳에 위치하고 있다. 모든 것이 연결되면서, 모든 분야와 영역에서 보안 강화에 대한 목소리가 높다”고 말했다. ID 및 액세스 관리(IAM), 네트워크 보안, 금융/트랜젝션(거래) 관련 사이버보안 부문의 규모가 가장 크다. 사이버보안 M&A 컨설팅 회사인 모멘텀 사이버(Momentum Cyber)의 디렉터 디노 부쿠리스는 “제로 트러스트(zero-trust) 방식이 확산되고, 경계선 개념이 퇴색되면서 IAM에 대한 관심이 높아지는 추세다. 하이브리드 클라우드 인프라 도입 속도가 빨라지면서 클라우드 인프라 보안도 크게 성장했다”고 말했다. 다음은 2018년 한 해 가장 규모가 컸던 사이버보안 M&A 거래 9건과 2019년 지금까지의 현황이다. 1위. 시스코가 듀오 시큐리티를 23억 5,000만 달러에 인수 네트워킹 분야의 ‘거인’인 시스코가 제로 트러스트 보안 회사인 듀오 시큐리티(Duo Security)를 23억 5,000만 달러(2조 8,784억 4,000만 원)에 인수, 2018년 한 해 가장 규모가 큰 보안 M&A 거래가 되었다. 이는 모든 것을 적용 대상으로 하는 클라우드 보안이 중요하다는 인식이 높아지고 있음을 보여주는 증거다. 인수 직후 어닝 콜에서 시스코의 CEO 척 로빈스는 듀오 인수로 시스코의 포트폴...

인수 엔드포인트 사모펀드 베라코드 팔로알토 네트웍스 토마 브라보 GDPR 사일런스 바라쿠다 네트웍스 제로 트러스트 듀오 시큐리티 아카마이 스플렁크 M&A 맥아피 시스코 AT&T 블랙베리 CA DDoS 사이버보안 IAM 디도스 렐엑스

2019.03.07

사이버보안 제품과 서비스 시장이 성장하는 데 발을 맞춰 이를 제공하는 기업들의 가치도 상승하고 있다. 이를 알려주는 증거가 2018년 한 해 동안 벌어진 여러 사이버보안 회사들의 인수합병 거래다. 기술 M&A 컨설팅 회사인 햄플턴 파트너스가 제공한 자료에 따르면, 2018년 한 해 사이버보안 인수합병 거래는 140여 건에 달한다. 이 가운데 미화 5억 달러(5,642억 원)가 넘는 대형 M&A는 9건 이상이다. 10억 달러가 넘었던 거래도 4건이나 있었다.   햄플턴 파트너스의 액셀 브릴 디렉터는 “현재 사이버보안은 기술 산업 곳곳에 위치하고 있다. 모든 것이 연결되면서, 모든 분야와 영역에서 보안 강화에 대한 목소리가 높다”고 말했다. ID 및 액세스 관리(IAM), 네트워크 보안, 금융/트랜젝션(거래) 관련 사이버보안 부문의 규모가 가장 크다. 사이버보안 M&A 컨설팅 회사인 모멘텀 사이버(Momentum Cyber)의 디렉터 디노 부쿠리스는 “제로 트러스트(zero-trust) 방식이 확산되고, 경계선 개념이 퇴색되면서 IAM에 대한 관심이 높아지는 추세다. 하이브리드 클라우드 인프라 도입 속도가 빨라지면서 클라우드 인프라 보안도 크게 성장했다”고 말했다. 다음은 2018년 한 해 가장 규모가 컸던 사이버보안 M&A 거래 9건과 2019년 지금까지의 현황이다. 1위. 시스코가 듀오 시큐리티를 23억 5,000만 달러에 인수 네트워킹 분야의 ‘거인’인 시스코가 제로 트러스트 보안 회사인 듀오 시큐리티(Duo Security)를 23억 5,000만 달러(2조 8,784억 4,000만 원)에 인수, 2018년 한 해 가장 규모가 큰 보안 M&A 거래가 되었다. 이는 모든 것을 적용 대상으로 하는 클라우드 보안이 중요하다는 인식이 높아지고 있음을 보여주는 증거다. 인수 직후 어닝 콜에서 시스코의 CEO 척 로빈스는 듀오 인수로 시스코의 포트폴...

2019.03.07

"기업-고객 신뢰의 출발점"··· IAM으로 프라이버시 강화하기

지난 12개월 동안 데이터 프라이버시 관련 굵직한 뉴스가 잇달아 나왔다. 데이터 유출 사고와 데이터 보호 규정 변경 사항 관련 기사가 넘쳐나고 실무자 사이에서도 데이터 프라이버시에 관해 이야기가 분주히 오간다. 너무 과하다는 생각이 들 정도다. 그렇다면 지금 우리는 '프라이버시 보호의 정점'에 도달했을까?  안타깝게도 그렇지 않다. 특히 신원 분야에서는 소비자 영역에 진입하기 전까지 데이터 프라이버시를 제대로 고려한 적이 없었다. 실제로 기업 IAM(Identity and Access Management)의 경우 직원의 개인 정보를 사용하고 있는데도, 프라이버시를 언급한 적이 거의 없다. 기업 시스템의 경계가 흐릿해지고 IAM 서비스를 소비자에게 제공하기 시작한 최근에서야 데이터 프라이버시가 업계 일반의 용어로 쓰이게 됐다. 프라이버시 고려가 중요한 이유 데이터 유출과 프라이버시 위반은 일종의 '디지털 트라우마'로 인식될 수 있다. 7억7,300만 명의 개인정보가 유출된 'Collective #1' 사고 소식을 들었을 때 필자는 당장 "또!"라는 생각이 들었다. HBP(HaveIBeenPwned)를 검색해 필자 역시 이메일 주소가 유출됐음을 확인했지만 이미 둔감해졌기 때문에 큰 걱정이 되지 않았다. 트라우마를 겪은 사람은 둔감해지기 마련이다. 예를 들어, 실제 폭력을 경험한 10대는 자신이 노출되지 않은 상대방의 폭력 행위에 덜 영향을 받는다. 무엇인가를 계속 경험하면 익숙해지는 것이다. 하지만 그렇다고 해서 이를 용인해야 한다는 뜻은 아니다. 지금도 우리의 개인 정보에 영향을 주는 유출 사고가 계속되고 있다. EU의 GDPR은 기업 경영진의 주의를 환기하는 데 도움이 되지만 사이버 범죄자가 개인 정보를 훔치려고 시도하는 것까지 저지하지는 못한다. 법률 기업 DLA 파이퍼(DLA Piper)에 따르면, GDPR이 발효된 이후 유럽 전역에서 5만 9,000건의 개인 정보 유출 사고가...

보안 프라이버시 IAM

2019.02.13

지난 12개월 동안 데이터 프라이버시 관련 굵직한 뉴스가 잇달아 나왔다. 데이터 유출 사고와 데이터 보호 규정 변경 사항 관련 기사가 넘쳐나고 실무자 사이에서도 데이터 프라이버시에 관해 이야기가 분주히 오간다. 너무 과하다는 생각이 들 정도다. 그렇다면 지금 우리는 '프라이버시 보호의 정점'에 도달했을까?  안타깝게도 그렇지 않다. 특히 신원 분야에서는 소비자 영역에 진입하기 전까지 데이터 프라이버시를 제대로 고려한 적이 없었다. 실제로 기업 IAM(Identity and Access Management)의 경우 직원의 개인 정보를 사용하고 있는데도, 프라이버시를 언급한 적이 거의 없다. 기업 시스템의 경계가 흐릿해지고 IAM 서비스를 소비자에게 제공하기 시작한 최근에서야 데이터 프라이버시가 업계 일반의 용어로 쓰이게 됐다. 프라이버시 고려가 중요한 이유 데이터 유출과 프라이버시 위반은 일종의 '디지털 트라우마'로 인식될 수 있다. 7억7,300만 명의 개인정보가 유출된 'Collective #1' 사고 소식을 들었을 때 필자는 당장 "또!"라는 생각이 들었다. HBP(HaveIBeenPwned)를 검색해 필자 역시 이메일 주소가 유출됐음을 확인했지만 이미 둔감해졌기 때문에 큰 걱정이 되지 않았다. 트라우마를 겪은 사람은 둔감해지기 마련이다. 예를 들어, 실제 폭력을 경험한 10대는 자신이 노출되지 않은 상대방의 폭력 행위에 덜 영향을 받는다. 무엇인가를 계속 경험하면 익숙해지는 것이다. 하지만 그렇다고 해서 이를 용인해야 한다는 뜻은 아니다. 지금도 우리의 개인 정보에 영향을 주는 유출 사고가 계속되고 있다. EU의 GDPR은 기업 경영진의 주의를 환기하는 데 도움이 되지만 사이버 범죄자가 개인 정보를 훔치려고 시도하는 것까지 저지하지는 못한다. 법률 기업 DLA 파이퍼(DLA Piper)에 따르면, GDPR이 발효된 이후 유럽 전역에서 5만 9,000건의 개인 정보 유출 사고가...

2019.02.13

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.31