Offcanvas

������������������

컴플라이언스 관리, AI·자동화로 '효율성·비용 절감' 다 잡는다

AI를 사용하면 컴플라이언스 관리의 효율성을 높이는 한편 비용도 절감할 수 있다. 규제가 심한 산업의 CIO에게 이것이 의미하는 바는 다음과 같다. 규제는 소비자와 시장을 보호하기 위해 만들어졌지만 복잡하고, 비용이 많이 들며, 준수하기 어려운 경우가 많다. 금융, 생명과학 등 규제가 엄격한 산업은 컴플라이언스 비용 부담이 상당하다. 딜로이트에 따르면 지난 2008년 금융위기 이후 은행의 컴플라이언스 비용은 60% 증가한 것으로 추정되며, 위험 관리 협회(Risk Management Association)는 금융기관의 50%가 수익의 6~10%를 컴플라이언스에 지출하는 것으로 조사됐다고 밝혔다.   RPA, NLP 등의 인공지능 및 지능형 자동화 프로세스를 활용하면 컴플라이언스를 충족하는 데 있어 효율성을 높이는 한편 비용도 절감할 수 있다. 그 방법은 아래와 같다. 1. RPA 및 NLP를 사용한 규제 변경 관리 금융기관은 한 해에만 최대 3억 페이지의 새로운 규정을 처리해야 할 수 있다(이는 여러 채널을 통해 주, 연방 또는 시 당국에서 배포된다). 이러한 변경 사항을 ‘수동’으로 수집, 분류, 확인하여 적절한 비즈니스 영역에 매핑하는 작업은 매우 많은 시간이 소요된다. 여기서 RPA를 사용하면 규제 변경 사항을 자동으로 수집할 수 있다. 더 나아가 규제를 이해하고 비즈니스 프로세스에도 적용하려면 정교한 OCR(광학 문자 인식), NLP, AI 모델이 필요하다. • OCR은 규제 텍스트를 기계가 읽을 수 있는 텍스트로 변환할 수 있다. • 그다음 NLP는 텍스트 처리, 즉 복잡한 문장과 규제 용어를 이해하는 데 사용된다. • AI 모델은 해당 결과물을 활용하여 ▲유사한 과거 사례를 기반으로 정책 변경 옵션을 제공하고, ▲새로운 규제를 필터링하여 비즈니스와 관련된 규제에 플래그를 지정할 수 있다. 이러한 모든 기능을 통해 애널리스트는 상당한 시간을 절약할 수 있기 때문에 비용을 절감할 수 있다. 2. 규제 보고 간소화 규제 보고에서 ...

AI RPA NLP 로봇 프로세스 자동화 자동화 컴플라이언스 지능형 자동화 OCR

2022.05.26

AI를 사용하면 컴플라이언스 관리의 효율성을 높이는 한편 비용도 절감할 수 있다. 규제가 심한 산업의 CIO에게 이것이 의미하는 바는 다음과 같다. 규제는 소비자와 시장을 보호하기 위해 만들어졌지만 복잡하고, 비용이 많이 들며, 준수하기 어려운 경우가 많다. 금융, 생명과학 등 규제가 엄격한 산업은 컴플라이언스 비용 부담이 상당하다. 딜로이트에 따르면 지난 2008년 금융위기 이후 은행의 컴플라이언스 비용은 60% 증가한 것으로 추정되며, 위험 관리 협회(Risk Management Association)는 금융기관의 50%가 수익의 6~10%를 컴플라이언스에 지출하는 것으로 조사됐다고 밝혔다.   RPA, NLP 등의 인공지능 및 지능형 자동화 프로세스를 활용하면 컴플라이언스를 충족하는 데 있어 효율성을 높이는 한편 비용도 절감할 수 있다. 그 방법은 아래와 같다. 1. RPA 및 NLP를 사용한 규제 변경 관리 금융기관은 한 해에만 최대 3억 페이지의 새로운 규정을 처리해야 할 수 있다(이는 여러 채널을 통해 주, 연방 또는 시 당국에서 배포된다). 이러한 변경 사항을 ‘수동’으로 수집, 분류, 확인하여 적절한 비즈니스 영역에 매핑하는 작업은 매우 많은 시간이 소요된다. 여기서 RPA를 사용하면 규제 변경 사항을 자동으로 수집할 수 있다. 더 나아가 규제를 이해하고 비즈니스 프로세스에도 적용하려면 정교한 OCR(광학 문자 인식), NLP, AI 모델이 필요하다. • OCR은 규제 텍스트를 기계가 읽을 수 있는 텍스트로 변환할 수 있다. • 그다음 NLP는 텍스트 처리, 즉 복잡한 문장과 규제 용어를 이해하는 데 사용된다. • AI 모델은 해당 결과물을 활용하여 ▲유사한 과거 사례를 기반으로 정책 변경 옵션을 제공하고, ▲새로운 규제를 필터링하여 비즈니스와 관련된 규제에 플래그를 지정할 수 있다. 이러한 모든 기능을 통해 애널리스트는 상당한 시간을 절약할 수 있기 때문에 비용을 절감할 수 있다. 2. 규제 보고 간소화 규제 보고에서 ...

2022.05.26

CIO가 조심해야 할 컴플라이언스 실수 7가지

컴플라이언스는 거의 모든 기업에게 피할 수 없는 현실이다. 특히 의료, 금융서비스, 정부 등 규제가 엄격한 산업에서는 더욱 그렇다. 컴플라이언스를 법률, 컴플라이언스, 위험 관리, 기타 부서가 담당하는 경우가 많지만 IT 또한 분명 조직의 컴플라이언스 노력에 개입돼 있다. CIO와 다른 기술 임원들은 데이터, 프라이버시, 보안, 기타 기술 요소가 포함된 모든 규정을 인지해야 한다. 그들은 조직이 미준수로 인해 엄청난 벌금을 선고받지 않도록 하는 데 중요한 역할을 할 수 있다. 의료 및 관련 분야의 IT 임원들은 오랫동안 전자 의료 정보의 보안 및 프라이버시를 의무화하는 HIPAA 등의 영향에 대응해야 했다. 하지만 규제 환경이 점차 복잡해졌고, EU의 GDPR과 CCPA 등 데이터 프라이버시에 관한 너무나 많은 새로운 규칙이 등장하면서 상황이 좀더 심각해졌다. 수십 개의 국가 및 미국의 주정부들은 개인 정보를 보호하기 위해 유사한 규정을 따르고 있다. 가트너는 2023년 말까지 현대의 프라이버시 법률이 전 세계 인구의 75%의 개인 정보에 적용될 것으로 전망했다. IT시스템, 네트워크, 장치, 데이터와 관련된 규제 컴플라이언스는 오늘날 기업들이 피할 수 없는 현실이며, CIO들에게 상당한 우려를 유발하고 있다. 핵심은 문제를 유발하지 않으면서 컴플라이언스 노력을 돕는 것이다. 전문가들이 말하는 피해야 할 실수에 관해 알아본다.   감사를 적으로 취급하기 방어적인 자세를 취하지 않는 것이 쉽지 않다고 미들필드 뱅킹(Middlefield Banking)의 CIO 개리 컨이 말했다. 감사자와 조사자가 IT 이니셔티브와 컴플라이언스에 대한 영향에 관해 질문할 때 특히 그렇다. 그는 “잘 수립된 전략을 들쑤시고, 이에 대해 의견을 이야기할 것이다”라고 말했다. 하지만 마찰은 도움이 되지 않는다. 컨은 “항상 면대면으로 논의하고 그들의 관점에 관해 대화하며 그것이 환경을 개선할 수 있는 가능성에 관해 고민하는 것이 더 좋다. 컴플라이언스 규칙을 만...

컴플라이언스 규제준수 감사 프라이버시 데이터 보안 데이터 보호 GDPR CCPA 거버넌스

2021.11.25

컴플라이언스는 거의 모든 기업에게 피할 수 없는 현실이다. 특히 의료, 금융서비스, 정부 등 규제가 엄격한 산업에서는 더욱 그렇다. 컴플라이언스를 법률, 컴플라이언스, 위험 관리, 기타 부서가 담당하는 경우가 많지만 IT 또한 분명 조직의 컴플라이언스 노력에 개입돼 있다. CIO와 다른 기술 임원들은 데이터, 프라이버시, 보안, 기타 기술 요소가 포함된 모든 규정을 인지해야 한다. 그들은 조직이 미준수로 인해 엄청난 벌금을 선고받지 않도록 하는 데 중요한 역할을 할 수 있다. 의료 및 관련 분야의 IT 임원들은 오랫동안 전자 의료 정보의 보안 및 프라이버시를 의무화하는 HIPAA 등의 영향에 대응해야 했다. 하지만 규제 환경이 점차 복잡해졌고, EU의 GDPR과 CCPA 등 데이터 프라이버시에 관한 너무나 많은 새로운 규칙이 등장하면서 상황이 좀더 심각해졌다. 수십 개의 국가 및 미국의 주정부들은 개인 정보를 보호하기 위해 유사한 규정을 따르고 있다. 가트너는 2023년 말까지 현대의 프라이버시 법률이 전 세계 인구의 75%의 개인 정보에 적용될 것으로 전망했다. IT시스템, 네트워크, 장치, 데이터와 관련된 규제 컴플라이언스는 오늘날 기업들이 피할 수 없는 현실이며, CIO들에게 상당한 우려를 유발하고 있다. 핵심은 문제를 유발하지 않으면서 컴플라이언스 노력을 돕는 것이다. 전문가들이 말하는 피해야 할 실수에 관해 알아본다.   감사를 적으로 취급하기 방어적인 자세를 취하지 않는 것이 쉽지 않다고 미들필드 뱅킹(Middlefield Banking)의 CIO 개리 컨이 말했다. 감사자와 조사자가 IT 이니셔티브와 컴플라이언스에 대한 영향에 관해 질문할 때 특히 그렇다. 그는 “잘 수립된 전략을 들쑤시고, 이에 대해 의견을 이야기할 것이다”라고 말했다. 하지만 마찰은 도움이 되지 않는다. 컨은 “항상 면대면으로 논의하고 그들의 관점에 관해 대화하며 그것이 환경을 개선할 수 있는 가능성에 관해 고민하는 것이 더 좋다. 컴플라이언스 규칙을 만...

2021.11.25

인터뷰ㅣ구글 클라우드 CIO가 말하는 클라우드 보안의 미래

2021년 3월, 구글 클라우드(Google Cloud)는 위험 보호 프로그램(Risk Protection Program)이란 새로운 서비스를 발표했다. 자사 클라우드 고객의 보안 위험을 낮추고 보험 협력사인 알리안츠, 뮌헨 Re와의 연결을 지원하는 것이 핵심이다. 두 보험사는 구글 클라우드 고객만을 위한 특수한 사이버 보험인 클라우드 프로텍션+(Cloud Protection +)를 만들었다.  구글이 대형 클라우드 서비스 업체와 선도적인 사이버 보험사 간의 첫 협력관계라고 밝힌 이 서비스의 목적은 중요한 워크로드를 클라우드로 이전하는 것을 고려 중인 기업의 신뢰도를 높이기 위한 것이다. 이 프로그램에는 리스크 매니저(Risk Manager)라는 새로운 보안 진단 도구가 포함되어 있으며, 기업은 구글 클라우드에 대한 위험을 측정하고 관리하며 보안 상태에 대한 보고서를 획득하고 더욱 표적화 된 사이버 보안 보험에 대한 비용을 절감할 수도 있다.    CSO는 최근 전 골드만 삭스의 CISO이자 현재 구글 클라우드의 부사장 겸 CISO인 필 베너블스와 클라우드 보안 동향과 구글 클라우드의 새로운 서비스가 클라우드 서비스 전반에 미칠 영향에 관해 이야기했다. CISO가 잠재적인 협력사와 고객을 위해 자체적인 클라우드 보안 상태를 인증하기 위해 준법감시 설문조사지를 작성하는 것이 중요한 일인가? 고객, 감사자, 규제 당국의 문의에 응답하는 것은 중요한 서비스 운영에 있어서 필요한 부분이다. 이런 평가 프레임워크의 표준화가 크게 진전되었으며, ISO, SOC1/2 등이 제공하는 인증의 측면에서 더욱 그렇다. 준법감시 친화적인 클라우드 서비스의 장점 중 하나는 일련의 인증을 보유하고 있으며, 서비스 사용의 일환으로 모든 필요한 정보를 제공함으로써 CISO 또는 다른 팀의 대응을 돕는 것이다.  구글 클라우드가 최근에 발표한 것과 같은 새로운 서비스가 이 문제를 어떻게 해결할 수 있는가? 보안 건전성 분석 및 준법감시 보고를 ...

클라우드보안 구글 보험 컴플라이언스 규제준수

2021.07.26

2021년 3월, 구글 클라우드(Google Cloud)는 위험 보호 프로그램(Risk Protection Program)이란 새로운 서비스를 발표했다. 자사 클라우드 고객의 보안 위험을 낮추고 보험 협력사인 알리안츠, 뮌헨 Re와의 연결을 지원하는 것이 핵심이다. 두 보험사는 구글 클라우드 고객만을 위한 특수한 사이버 보험인 클라우드 프로텍션+(Cloud Protection +)를 만들었다.  구글이 대형 클라우드 서비스 업체와 선도적인 사이버 보험사 간의 첫 협력관계라고 밝힌 이 서비스의 목적은 중요한 워크로드를 클라우드로 이전하는 것을 고려 중인 기업의 신뢰도를 높이기 위한 것이다. 이 프로그램에는 리스크 매니저(Risk Manager)라는 새로운 보안 진단 도구가 포함되어 있으며, 기업은 구글 클라우드에 대한 위험을 측정하고 관리하며 보안 상태에 대한 보고서를 획득하고 더욱 표적화 된 사이버 보안 보험에 대한 비용을 절감할 수도 있다.    CSO는 최근 전 골드만 삭스의 CISO이자 현재 구글 클라우드의 부사장 겸 CISO인 필 베너블스와 클라우드 보안 동향과 구글 클라우드의 새로운 서비스가 클라우드 서비스 전반에 미칠 영향에 관해 이야기했다. CISO가 잠재적인 협력사와 고객을 위해 자체적인 클라우드 보안 상태를 인증하기 위해 준법감시 설문조사지를 작성하는 것이 중요한 일인가? 고객, 감사자, 규제 당국의 문의에 응답하는 것은 중요한 서비스 운영에 있어서 필요한 부분이다. 이런 평가 프레임워크의 표준화가 크게 진전되었으며, ISO, SOC1/2 등이 제공하는 인증의 측면에서 더욱 그렇다. 준법감시 친화적인 클라우드 서비스의 장점 중 하나는 일련의 인증을 보유하고 있으며, 서비스 사용의 일환으로 모든 필요한 정보를 제공함으로써 CISO 또는 다른 팀의 대응을 돕는 것이다.  구글 클라우드가 최근에 발표한 것과 같은 새로운 서비스가 이 문제를 어떻게 해결할 수 있는가? 보안 건전성 분석 및 준법감시 보고를 ...

2021.07.26

‘기업 공격면 관리는 이렇게’··· 베스트 프랙티스 7가지

클라우드 컴퓨팅 솔루션, 재택 근무 시스템, 인터넷 연결 장치가 증가하면서 공격면이 증가하고 있다. 취약점의 수를 줄이는 가장 좋은 방법은 적절한 기업 공격면 관리 프로그램을 수립하는 것이다. 적절한 공격면 관리를 위해서는 먼저 운영 활동을 분석하여 잠재적인 취약점을 찾아내고 상황을 파악해야 한다. 이 정보에 기반해 계획을 세우고 조직의 네트워크, 시스템, 채널, 접점 전반에 걸쳐 해당 계획을 실행해야 한다. 기업 공격면 관리 프로그램을 구축할 때 고려할 베스트 프랙티스를 알아본다.   공격면을 파악하라 적절한 방어책을 세우려면 어떤 디지털 자산이 노출되어 있고 공격자들이 네트워크를 표적으로 삼을 가능성이 높은 곳, 필요한 보호책을 파악해야 한다. 따라서 공격면 가시성을 높이고 공격 취약점을 잘 표현하는 것이 중요하다. 주의해야 할 취약점으로는 구식 컴퓨터나 서버, 패치 되지 않은 시스템, 구식 애플리케이션, 노출된 IoT 장치 등이 있다.   예측 모델링은 발생 가능한 이벤트와 그 위험을 현실적으로 표현하는 데 도움이 되며 방어 및 선제 조치를 더욱 강화한다. 위험을 파악하고 나면 이벤트 또는 유출 발생 전, 중, 후에 어떤 일이 발생할지 모델링할 수 있다. 어떤 종류의 재무적 손실을 예상할 수 있는가? 이벤트의 명예 실추는 무엇일까? 비즈니스 인텔리전스, 영업 비밀 등을 잃게 될까? SANS의 신규 보안 위협 책임자 존 페스카토는 “성공적인 (공격면 맵핑) 전략은 꽤 간단하다. 자신이 무엇을 보호하고 있는지 알고(정확한 자산 재고), 이런 자산의 취약점을 모니터링하며 위협 정보를 활용하여 공격자들이 이런 취약점에서 자산을 어떻게 추적하는지 파악하라. 3개 단계 중 각 단계는 숙련된 직원과 보안 기술이 있어야 3개 영역의 변화 속도를 따라잡을 수 있다”라고 말했다. 취약점을 최소화하라 조직은 공격면을 맵핑한 후 조치를 취해 특히 중요한 취약점에 대한 위험을 완화한 후에 우선순위가 낮은 작업으로 이동할 수 있다. 가능한 경우 자산을...

공격면 관리 컴플라이언스 CISO

2021.06.28

클라우드 컴퓨팅 솔루션, 재택 근무 시스템, 인터넷 연결 장치가 증가하면서 공격면이 증가하고 있다. 취약점의 수를 줄이는 가장 좋은 방법은 적절한 기업 공격면 관리 프로그램을 수립하는 것이다. 적절한 공격면 관리를 위해서는 먼저 운영 활동을 분석하여 잠재적인 취약점을 찾아내고 상황을 파악해야 한다. 이 정보에 기반해 계획을 세우고 조직의 네트워크, 시스템, 채널, 접점 전반에 걸쳐 해당 계획을 실행해야 한다. 기업 공격면 관리 프로그램을 구축할 때 고려할 베스트 프랙티스를 알아본다.   공격면을 파악하라 적절한 방어책을 세우려면 어떤 디지털 자산이 노출되어 있고 공격자들이 네트워크를 표적으로 삼을 가능성이 높은 곳, 필요한 보호책을 파악해야 한다. 따라서 공격면 가시성을 높이고 공격 취약점을 잘 표현하는 것이 중요하다. 주의해야 할 취약점으로는 구식 컴퓨터나 서버, 패치 되지 않은 시스템, 구식 애플리케이션, 노출된 IoT 장치 등이 있다.   예측 모델링은 발생 가능한 이벤트와 그 위험을 현실적으로 표현하는 데 도움이 되며 방어 및 선제 조치를 더욱 강화한다. 위험을 파악하고 나면 이벤트 또는 유출 발생 전, 중, 후에 어떤 일이 발생할지 모델링할 수 있다. 어떤 종류의 재무적 손실을 예상할 수 있는가? 이벤트의 명예 실추는 무엇일까? 비즈니스 인텔리전스, 영업 비밀 등을 잃게 될까? SANS의 신규 보안 위협 책임자 존 페스카토는 “성공적인 (공격면 맵핑) 전략은 꽤 간단하다. 자신이 무엇을 보호하고 있는지 알고(정확한 자산 재고), 이런 자산의 취약점을 모니터링하며 위협 정보를 활용하여 공격자들이 이런 취약점에서 자산을 어떻게 추적하는지 파악하라. 3개 단계 중 각 단계는 숙련된 직원과 보안 기술이 있어야 3개 영역의 변화 속도를 따라잡을 수 있다”라고 말했다. 취약점을 최소화하라 조직은 공격면을 맵핑한 후 조치를 취해 특히 중요한 취약점에 대한 위험을 완화한 후에 우선순위가 낮은 작업으로 이동할 수 있다. 가능한 경우 자산을...

2021.06.28

포스트 팬데믹 시대, IT 위험에도 '재정의'가 필요한 시점

기술(Technology)이 기업의 성공과 생존에 더욱더 중요해지고 있다. 이에 따라 IT 리더들이 비즈니스 과제 및 기회를 평가하는 더 크고 전략적인 역할을 맡고 있다.  2021년 1월 英 기술 회사 비자기(Bizagi)의 초대 CIO로 취임한 안토니오 바스케스는 문제가 모든 곳에서 발생할 수 있다고 말했다. 이를테면 보안, 데이터 프라이버시, 컴플라이언스, 벤더 관계, 비용 관리, 직원의 시스템 액세스, 직원 채용, IT 프로젝트 등 다양한 영역에서 문제가 있을 수 있다고 그는 덧붙였다.     이에 따라 바스케스는 직원들이 소속 기업의 사이버보안 정책 및 표준을 이해하고 준수하는지 검토하고 있다. 또한 공급업체들이 회사의 요구사항을 충족하는 속도로 현대화할지, 공급업체 비용이 급증할지, 혁신 투자를 통해 고객이 원하는 경험을 전달할 수 있을지(아니면 고객과의 관계를 악화시킬지) 파악하고 있다. 그는 “프로젝트, 계약, 또는 새로운 절차를 생각할 때 위험을 고려해야 한다”라면서, “지난 1년 동안 모든 사람들은 예기치 않은 위험이 언제든 발생할 수 있다는 걸 알게 됐다”라고 언급했다.    이어서 바스케스는 “상황이 상당히 달라졌다. 2년 전만 해도 모든 것을 통제하고 있다고 봤다. 이제는 그렇지 않다는 걸 깨닫게 됐다. 문서와 표준을 마련할 순 있겠지만 갑자기 무슨 일이 발생하면 모든 게 변한다”라고 전했다.   비즈니스 리더가 위험을 식별하고 위험 성향과 위험 허용 한도를 파악해야 한다는 건 당연하다. 하지만 기업이 직면하는 위험 유형이 변화하고 있고, 이러한 변화의 속도도 빨라지고 있다. 따라서 기업은 위험 허용 한도를 더 자주 재평가해야 한다.  이러한 상황에서 CIO의 역할도 진화하고 있다. 팬데믹을 비롯한 최근의 사태에서 알 수 있는 것처럼, 기술이 기업의 성공과 생존에서 점점 더 중요해지고 있기 때문이다.  CIO는 새로운 위험 영역을 평가하고 아울러 위험 ...

포스트 코로나 포스트 팬데믹 IT 리스크 IT 위험 CIO 보안 데이터 프라이버시 컴플라이언스 벤더 관계 비용 관리 디지털 트랜스포메이션 위험 성향 위험 허용 한도 랜섬웨어 데이터 무결성

2021.06.23

기술(Technology)이 기업의 성공과 생존에 더욱더 중요해지고 있다. 이에 따라 IT 리더들이 비즈니스 과제 및 기회를 평가하는 더 크고 전략적인 역할을 맡고 있다.  2021년 1월 英 기술 회사 비자기(Bizagi)의 초대 CIO로 취임한 안토니오 바스케스는 문제가 모든 곳에서 발생할 수 있다고 말했다. 이를테면 보안, 데이터 프라이버시, 컴플라이언스, 벤더 관계, 비용 관리, 직원의 시스템 액세스, 직원 채용, IT 프로젝트 등 다양한 영역에서 문제가 있을 수 있다고 그는 덧붙였다.     이에 따라 바스케스는 직원들이 소속 기업의 사이버보안 정책 및 표준을 이해하고 준수하는지 검토하고 있다. 또한 공급업체들이 회사의 요구사항을 충족하는 속도로 현대화할지, 공급업체 비용이 급증할지, 혁신 투자를 통해 고객이 원하는 경험을 전달할 수 있을지(아니면 고객과의 관계를 악화시킬지) 파악하고 있다. 그는 “프로젝트, 계약, 또는 새로운 절차를 생각할 때 위험을 고려해야 한다”라면서, “지난 1년 동안 모든 사람들은 예기치 않은 위험이 언제든 발생할 수 있다는 걸 알게 됐다”라고 언급했다.    이어서 바스케스는 “상황이 상당히 달라졌다. 2년 전만 해도 모든 것을 통제하고 있다고 봤다. 이제는 그렇지 않다는 걸 깨닫게 됐다. 문서와 표준을 마련할 순 있겠지만 갑자기 무슨 일이 발생하면 모든 게 변한다”라고 전했다.   비즈니스 리더가 위험을 식별하고 위험 성향과 위험 허용 한도를 파악해야 한다는 건 당연하다. 하지만 기업이 직면하는 위험 유형이 변화하고 있고, 이러한 변화의 속도도 빨라지고 있다. 따라서 기업은 위험 허용 한도를 더 자주 재평가해야 한다.  이러한 상황에서 CIO의 역할도 진화하고 있다. 팬데믹을 비롯한 최근의 사태에서 알 수 있는 것처럼, 기술이 기업의 성공과 생존에서 점점 더 중요해지고 있기 때문이다.  CIO는 새로운 위험 영역을 평가하고 아울러 위험 ...

2021.06.23

IT 거버넌스에 대한 7가지 오해와 편견

IT 거버넌스가 적절하게 설계되고 기능하면 IT 목표와 비즈니스 목표를 일치시키는 데 효과적이다. 기업의 전반적인 비즈니스 전략을 집중, 강화, 발전시키는 데 도움을 준다.  그런데 IT 거버넌스와 관련해 위험한 오해들이 있다. 그리고 이러한 오해의 덫에 IT 리더들이 빠지는 경우가 너무나 많다. 그 결과, 기업은 불필요한 위험과 취약한 규정 준수, 기회 상실 등 심각한 문제로 부담을 받게 된다. IT 거버넌스 체계와 비즈니스 거버넌스 체계를 같은 궤도에서 원활하게 운영하려면 그동안 견실한 전략들을 좌절시킨 여러 오류를 피해야 한다. 특히 위험해서 당장 피하거나 버려야 할 오해 7가지를 아래와 같이 소개한다.   외주화하면 위험도 같이 넘어간다 많은 IT 리더들은 서드파티 업체들이 양호한 사이버 보안 원칙을 준수할 것이라고 무작정 믿는다. 서드파티 위험 보증에 필요한 모범 사례, 교육, 툴 개발을 전문으로 하는 글로벌 회원 조직 셰어드 어세스먼츠(Shared Assessments)의 VP 겸 CISO 톰 가루바는 “많은 CIO들이 기본적인 IT 통제 기능을 운영하고 있는지 검증하기 위한 실사를 수행하지 않을 때가 많다”라며 “그러한 맹목적인 믿음은 발주 기업의 허를 치를 수 있다”라고 지적했다. 가루바는 벤더의 IT 건전성을 검증하고 상세한 평가를 주기적으로 실시할 것을 권고했다. 그는 “또, 벤더의 사이버 성과를 다양한 도구로 지속적으로 감시하는 것이 현명하다”라고 덧붙였다. 가루바는 전체적인 서드파티 위험 평가를 실시하지 못하는 조직은 이미 뒤쳐져 있다고 경고했다. “그러한 평가는 이제 모든 업계에 걸쳐 일반적인 운영 절차로 여겨지고 있다”라고 그는 덧붙였다. 소프트웨어가 뿌리내린 문제를 해결할 수 있다 잘 정의된 프로세스를 정착시키기 위해 워크플로우 소프트웨어를 활용할 수 있다. 그러나 소프트웨어 훈련 회사 디벨롭인텔리전스(DevelopIntelligence)의 IT 거버넌스 강사 브라이언 슈는 많은 조직들의 경우 ‘잘 정...

IT 거버넌스 컴플라이언스 통제

2021.05.14

IT 거버넌스가 적절하게 설계되고 기능하면 IT 목표와 비즈니스 목표를 일치시키는 데 효과적이다. 기업의 전반적인 비즈니스 전략을 집중, 강화, 발전시키는 데 도움을 준다.  그런데 IT 거버넌스와 관련해 위험한 오해들이 있다. 그리고 이러한 오해의 덫에 IT 리더들이 빠지는 경우가 너무나 많다. 그 결과, 기업은 불필요한 위험과 취약한 규정 준수, 기회 상실 등 심각한 문제로 부담을 받게 된다. IT 거버넌스 체계와 비즈니스 거버넌스 체계를 같은 궤도에서 원활하게 운영하려면 그동안 견실한 전략들을 좌절시킨 여러 오류를 피해야 한다. 특히 위험해서 당장 피하거나 버려야 할 오해 7가지를 아래와 같이 소개한다.   외주화하면 위험도 같이 넘어간다 많은 IT 리더들은 서드파티 업체들이 양호한 사이버 보안 원칙을 준수할 것이라고 무작정 믿는다. 서드파티 위험 보증에 필요한 모범 사례, 교육, 툴 개발을 전문으로 하는 글로벌 회원 조직 셰어드 어세스먼츠(Shared Assessments)의 VP 겸 CISO 톰 가루바는 “많은 CIO들이 기본적인 IT 통제 기능을 운영하고 있는지 검증하기 위한 실사를 수행하지 않을 때가 많다”라며 “그러한 맹목적인 믿음은 발주 기업의 허를 치를 수 있다”라고 지적했다. 가루바는 벤더의 IT 건전성을 검증하고 상세한 평가를 주기적으로 실시할 것을 권고했다. 그는 “또, 벤더의 사이버 성과를 다양한 도구로 지속적으로 감시하는 것이 현명하다”라고 덧붙였다. 가루바는 전체적인 서드파티 위험 평가를 실시하지 못하는 조직은 이미 뒤쳐져 있다고 경고했다. “그러한 평가는 이제 모든 업계에 걸쳐 일반적인 운영 절차로 여겨지고 있다”라고 그는 덧붙였다. 소프트웨어가 뿌리내린 문제를 해결할 수 있다 잘 정의된 프로세스를 정착시키기 위해 워크플로우 소프트웨어를 활용할 수 있다. 그러나 소프트웨어 훈련 회사 디벨롭인텔리전스(DevelopIntelligence)의 IT 거버넌스 강사 브라이언 슈는 많은 조직들의 경우 ‘잘 정...

2021.05.14

칼럼 | 국산 ERP 벤더의 성장 조건에 대한 소고(小考)

전세계 ERP 시장의 규모는 2019년에 940억달러 (한화로 약 10조원) 규모이며 2021년은 953억달러로 추산되고 있다(참고자료). ERP 시장 점유율 1위 벤더인SAP의 점유율은 6.8% 이며 2위 및 다른 벤더와의 차이가 생각보다 크지 않다(참고자료). 2위는 오라클이며 그 이하로 마이크로소프트가 있고 국내에서는 친숙하지 않은 여러 벤더들이 비교적 큰 차이 없이 시장을 점유하고 있다. 눈에 띄는 것은 전체 시장의 절반 이상을 기타가 차지하고 있다는 점이다. 한편 국내 ERP 시장은 2019년 기준 3,200억원 규모이며 1위 벤더는 31.6%를 차지한 SAP이며 2위가 19.2%를 차지한 국내 벤더이다(참고자료). 국내 ERP 시장은 SAP가 주요 대기업 시장을 거의 장악하고 있고 중견 및 중소기업 시장에서는 국산 ERP가 강세인 형상이다. 이러한 시장 구도는 SAP나 국내 ERP 벤더 모두에게 숙제를 안겨줬다. SAP의 경우 시장의 확대를 위해 SMB(small and medium business, 중견 및 소기업) 시장으로 영업 확대가 필요하게 되었고 국내 ERP 벤더 역시 차세대 성장을 위해서는 SAP가 주도하고 있는 대기업 시장으로의 진출이 필수 사항이 된 것이다. SAP의 경우 S4/HANA로의 업그레이드라는 기존 고객 시장이 있어 SMB 기업으로의 진출이 필수적이진 않으나 국산 ERP 벤더의 경우 사업 확대 및 큰 폭의 성장을 위해서는 대기업 시장으로의 진출이 더 절실한 상황이다. 그렇다면 국산 ERP 벤더가 대기업 시장을 성공적으로 공략하기 위해서는 어떤 조건이 필요할까? 한마디로 중소기업의 ERP 시장과 대기업 ERP 시장의 근본적인 차이점에 대한 대응이 필요하다. 중소기업의 경우 대부분 회계 업무를 중심으로 인사/재무/판매/재고 등의 단위 업무를 시스템의 큰 변화 없이 기존 패키지를 소수의 인력이 사용하는 상황이다. 반면 대기업은 ERP 도입 시 자사의 프로세스를 중심으로 큰 폭의 시스템 변경을 하게 되며 시스템의 적용 영...

ERP 정철환 SAP 컴플라이언스 대기업 SMB

2021.04.06

전세계 ERP 시장의 규모는 2019년에 940억달러 (한화로 약 10조원) 규모이며 2021년은 953억달러로 추산되고 있다(참고자료). ERP 시장 점유율 1위 벤더인SAP의 점유율은 6.8% 이며 2위 및 다른 벤더와의 차이가 생각보다 크지 않다(참고자료). 2위는 오라클이며 그 이하로 마이크로소프트가 있고 국내에서는 친숙하지 않은 여러 벤더들이 비교적 큰 차이 없이 시장을 점유하고 있다. 눈에 띄는 것은 전체 시장의 절반 이상을 기타가 차지하고 있다는 점이다. 한편 국내 ERP 시장은 2019년 기준 3,200억원 규모이며 1위 벤더는 31.6%를 차지한 SAP이며 2위가 19.2%를 차지한 국내 벤더이다(참고자료). 국내 ERP 시장은 SAP가 주요 대기업 시장을 거의 장악하고 있고 중견 및 중소기업 시장에서는 국산 ERP가 강세인 형상이다. 이러한 시장 구도는 SAP나 국내 ERP 벤더 모두에게 숙제를 안겨줬다. SAP의 경우 시장의 확대를 위해 SMB(small and medium business, 중견 및 소기업) 시장으로 영업 확대가 필요하게 되었고 국내 ERP 벤더 역시 차세대 성장을 위해서는 SAP가 주도하고 있는 대기업 시장으로의 진출이 필수 사항이 된 것이다. SAP의 경우 S4/HANA로의 업그레이드라는 기존 고객 시장이 있어 SMB 기업으로의 진출이 필수적이진 않으나 국산 ERP 벤더의 경우 사업 확대 및 큰 폭의 성장을 위해서는 대기업 시장으로의 진출이 더 절실한 상황이다. 그렇다면 국산 ERP 벤더가 대기업 시장을 성공적으로 공략하기 위해서는 어떤 조건이 필요할까? 한마디로 중소기업의 ERP 시장과 대기업 ERP 시장의 근본적인 차이점에 대한 대응이 필요하다. 중소기업의 경우 대부분 회계 업무를 중심으로 인사/재무/판매/재고 등의 단위 업무를 시스템의 큰 변화 없이 기존 패키지를 소수의 인력이 사용하는 상황이다. 반면 대기업은 ERP 도입 시 자사의 프로세스를 중심으로 큰 폭의 시스템 변경을 하게 되며 시스템의 적용 영...

2021.04.06

수많은 협업 툴에 속 타는 기업들... 어떻게 관리해야 할까?

원격근무 확산으로 클라우드 기반 협업 도구 및 화상회의 플랫폼 사용량이 급증했다. 그 결과 기업은 보안, 컴플라이언스, 비용, 시스템 통합 문제에 직면해 어려움을 겪고 있다. 이 문제를 어떻게 해결할 수 있을지 전문가들의 조언을 모아봤다.  코로나19 여파로 재택근무 체제가 확산되면서 화상회의 시스템과 같은 협업 툴 사용량이 급격하게 증가했다. 지난 6월 가트너는 올 한 해 전 세계 클라우드 기반 온라인 화상회의 제품 지출이 24% 증가해 41억 달러를 기록하리라 전망했다.  이는 직원들의 연결성 및 생산성 관점에서 보면 긍정적인 방향이다. 이를 통해 원격근무자가 동료, 고객, 비즈니스 파트너 등과 손쉽게 연락하고 콘텐츠를 공유할 수 있어서다.  하지만 문제도 있다. 기업이 조직 내에서 사용 중인 애플리케이션 및 플랫폼의 수와 종류를 통제할 수 없게 되는 경우다.    도구 확산으로 인한 위험과 비효율성 이러한 도구들의 대부분은 클라우드 기반이므로 구축 및 배포가 쉽다. 거의 모든 부서, 그룹 또는 심지어 개인이 온라인 회의 애플리케이션을 다운로드하고 사용할 수 있을 정도다. 이 때문에 기업에서 직원들이 사용해야 할 화상회의 및 협업 플랫폼을 정하고 관련 정책을 수립했다 하더라도 다른 도구와 플랫폼을 사용하는 사람을 어렵지 않게 찾을 수 있다.  IDC의 시니어 리서치 애널리스트 리치 코스텔로는 “현재 여러 업체의 제품을 사용하는 기업이 많다. 엔드유저들은 당연히 소비자 지향적이다. 직관적이고 사용하기 쉬우며 더 나은 사용자 경험을 제공하는 협업 도구와 앱을 선호한다. 이건 직장에서도 마찬가지다”라고 말했다.    IT 서비스 업체 카루셀 인더스트리스(Carousel Industries)의 커뮤니케이션 및 협업 부문 부사장 토니 맥퀸은 많은 고객이 평균적으로 2~3개의 협업 시스템을 운영하고 있다고 밝혔다.  이어서 그는 “나란히 붙어 있는 두 회의실에서 ...

클라우드 협업 툴 화상회의 플랫폼 원격근무 재택근무 가트너 애플리케이션 보안 컴플라이언스 애널리틱스

2020.12.16

원격근무 확산으로 클라우드 기반 협업 도구 및 화상회의 플랫폼 사용량이 급증했다. 그 결과 기업은 보안, 컴플라이언스, 비용, 시스템 통합 문제에 직면해 어려움을 겪고 있다. 이 문제를 어떻게 해결할 수 있을지 전문가들의 조언을 모아봤다.  코로나19 여파로 재택근무 체제가 확산되면서 화상회의 시스템과 같은 협업 툴 사용량이 급격하게 증가했다. 지난 6월 가트너는 올 한 해 전 세계 클라우드 기반 온라인 화상회의 제품 지출이 24% 증가해 41억 달러를 기록하리라 전망했다.  이는 직원들의 연결성 및 생산성 관점에서 보면 긍정적인 방향이다. 이를 통해 원격근무자가 동료, 고객, 비즈니스 파트너 등과 손쉽게 연락하고 콘텐츠를 공유할 수 있어서다.  하지만 문제도 있다. 기업이 조직 내에서 사용 중인 애플리케이션 및 플랫폼의 수와 종류를 통제할 수 없게 되는 경우다.    도구 확산으로 인한 위험과 비효율성 이러한 도구들의 대부분은 클라우드 기반이므로 구축 및 배포가 쉽다. 거의 모든 부서, 그룹 또는 심지어 개인이 온라인 회의 애플리케이션을 다운로드하고 사용할 수 있을 정도다. 이 때문에 기업에서 직원들이 사용해야 할 화상회의 및 협업 플랫폼을 정하고 관련 정책을 수립했다 하더라도 다른 도구와 플랫폼을 사용하는 사람을 어렵지 않게 찾을 수 있다.  IDC의 시니어 리서치 애널리스트 리치 코스텔로는 “현재 여러 업체의 제품을 사용하는 기업이 많다. 엔드유저들은 당연히 소비자 지향적이다. 직관적이고 사용하기 쉬우며 더 나은 사용자 경험을 제공하는 협업 도구와 앱을 선호한다. 이건 직장에서도 마찬가지다”라고 말했다.    IT 서비스 업체 카루셀 인더스트리스(Carousel Industries)의 커뮤니케이션 및 협업 부문 부사장 토니 맥퀸은 많은 고객이 평균적으로 2~3개의 협업 시스템을 운영하고 있다고 밝혔다.  이어서 그는 “나란히 붙어 있는 두 회의실에서 ...

2020.12.16

“다섯 마리 토끼 잡아라”··· CIO가 앱 개발자에 원하는 것들

CIO와 IT 리더는 애플리케이션 개발, 보강, 현대화를 두고 우선순위 문제로 골머리를 앓고 있다. 한편으론 혁신, 우수한 사용자 경험, 애자일 데브옵스 관행을 추진 중이다. 또 다른 한편으로는 쌓여가는 기술 부채, 애플리케이션의 적절한 보안 검증, 프로덕션 환경에서의 프로토타입 실행 및 확장 가능 여부를 우려하기도 한다.    CIO와 IT 리더는 비유하자면 ‘모든 토끼를 잡길’ 원한다. 물론 이들은 개발자와 딜리버리 리더가 요구하는 것부터 해야만 하는 것, 원하는 것까지 속속들이 알고 있다. 코드를 제대로 개발하기 위해 더 많은 시간과 인력, 민첩한 개발 인프라와 현대적인 애플리케이션 개발 툴, 이해관계자의 적극적인 개입, 적절한 교육, 잘 정의된 우선순위 등을 바라는 것을 예로 들 수 있다.    그러나 IT 리더는 디지털 트랜스포메이션을 주도해야 하고, 예산 제약을 고려해야 하며, 컴플라이언스 요건을 충족해야 하는 비즈니스 현실에 직면해 있다.  또한 CIO는 애플리케이션 개발팀이 ‘절충(Trade-off)’과 관련해 신중한 결정을 내리는 방법, 개발 대상을 지원하기 위해 취해야 할 조치들 그리고 애플리케이션을 완성하는 것만큼이나 엔드유저, 이해관계자, 아키텍트, 운영팀과의 협력이 중요한 이유를 알길 원한다.  여기서는 이런 과제와 관련해 CIO가 개발팀에 원하는 다섯 가지 요소를 살펴본다.  1. 기술 부채와 혁신 사이의 균형을 맞춰라  예를 들면 혁신 전략을 추진하거나 혹은 새 기술에 관한 스파이크를 제품 백로그에 추가할 때 개발팀은 흥분하기 십상이다. CIO와 IT 리더도 혁신을 바라지만 개발팀이 기술 부채를 처리하지 않는다면 이를 우려할 수밖에 없다.  다시 말해, ‘건전한’ 제품 백로그라면 애자일 팀이 스파이크, 기술 부채, 신기능, 운영 개선 사이의 균형을 유지하고 있음을 보여줘야 한다는 뜻이다.  애자일 팀의 우선순위는 제품 소유자에게 있다...

CIO IT 리더 애플리케이션 개발 애플리케이션 현대화 혁신 사용자 경험 애자일 데브옵스 기술 부채 디지털 트랜스포메이션 컴플라이언스 스파이크 제품 백로그 스파게티 코드 데이터 레이크 로우코드 데이터 부채

2020.10.19

CIO와 IT 리더는 애플리케이션 개발, 보강, 현대화를 두고 우선순위 문제로 골머리를 앓고 있다. 한편으론 혁신, 우수한 사용자 경험, 애자일 데브옵스 관행을 추진 중이다. 또 다른 한편으로는 쌓여가는 기술 부채, 애플리케이션의 적절한 보안 검증, 프로덕션 환경에서의 프로토타입 실행 및 확장 가능 여부를 우려하기도 한다.    CIO와 IT 리더는 비유하자면 ‘모든 토끼를 잡길’ 원한다. 물론 이들은 개발자와 딜리버리 리더가 요구하는 것부터 해야만 하는 것, 원하는 것까지 속속들이 알고 있다. 코드를 제대로 개발하기 위해 더 많은 시간과 인력, 민첩한 개발 인프라와 현대적인 애플리케이션 개발 툴, 이해관계자의 적극적인 개입, 적절한 교육, 잘 정의된 우선순위 등을 바라는 것을 예로 들 수 있다.    그러나 IT 리더는 디지털 트랜스포메이션을 주도해야 하고, 예산 제약을 고려해야 하며, 컴플라이언스 요건을 충족해야 하는 비즈니스 현실에 직면해 있다.  또한 CIO는 애플리케이션 개발팀이 ‘절충(Trade-off)’과 관련해 신중한 결정을 내리는 방법, 개발 대상을 지원하기 위해 취해야 할 조치들 그리고 애플리케이션을 완성하는 것만큼이나 엔드유저, 이해관계자, 아키텍트, 운영팀과의 협력이 중요한 이유를 알길 원한다.  여기서는 이런 과제와 관련해 CIO가 개발팀에 원하는 다섯 가지 요소를 살펴본다.  1. 기술 부채와 혁신 사이의 균형을 맞춰라  예를 들면 혁신 전략을 추진하거나 혹은 새 기술에 관한 스파이크를 제품 백로그에 추가할 때 개발팀은 흥분하기 십상이다. CIO와 IT 리더도 혁신을 바라지만 개발팀이 기술 부채를 처리하지 않는다면 이를 우려할 수밖에 없다.  다시 말해, ‘건전한’ 제품 백로그라면 애자일 팀이 스파이크, 기술 부채, 신기능, 운영 개선 사이의 균형을 유지하고 있음을 보여줘야 한다는 뜻이다.  애자일 팀의 우선순위는 제품 소유자에게 있다...

2020.10.19

코로나 고비는 넘겼지만... 6개월 안에 해야 할 '재택근무 보안 지침' 10가지

올해 초의 최우선 순위는 무엇보다 집에서도 필요한 애플리케이션에 안전하게 접근하는 것이었다. 그로부터 3~4개월이 지났다. 이제 재택근무가 새로운 현실로 자리 잡는 분위기다. 그렇다면 CIO 혹은 CSO가 앞으로 해야 할 일은 무엇일까?    “재택근무(WFH)라는 새 현실에 대응하려면 사이버보안을 어떻게 바꿔야 하는가?”  현시점에서 이 질문은 CIO와 CSO의 최대 관심사일 것이다. 포스트 코로나 시대의 사이버보안과 관련해 모든 CIO는 다음의 3가지 핵심 질문을 고려해야 한다.  1. IT 사용 패턴과 아키텍처에 어떤 변화가 있는가? 2. 해당 변화가 위험에 어떤 영향을 미치는가? 3. 조직의 사이버보안 대비 태세와 통제 환경에 어떤 변화가 필요한가?    IT 사용 패턴과 아키텍처의 변화 코로나19 사태 이전에 재택근무를 시행했던 기업은 그리 많지 않았다. 재무, HR, 마케팅 등 일반 사무직이라면 더욱더 그랬다. 게다가 일반 사무직 직원들은 필요하다면 다른 사람의 자리로 직접 가는 것에 익숙하다.  코로나19 사태는 두 가지 측면에서 사용 패턴에 영향을 미쳤다. 첫째, 이제 원격 접근은 필수가 됐다. 둘째, 효율적인 업무를 위해서는 커뮤니케이션 및 협업 솔루션 역시 필수적이다.  특히 여기서 고려해야 할 중요 사항은 별도 네트워크에서 온프레미스로 실행되는 가장 민감한 애플리케이션이다. 이로 인해 보안뿐만 아니라 전 세계 및 업계 규제 준수에 있어서 문제가 발생하기 때문이다.  위험이 어떻게 달라졌는가? 위험이란 나쁜 사건이 발생할 확률과 이로 인해 기업이 받는 피해를 나타내는 일종의 함수다. 사이버보안에서 ‘나쁜 사건이 발생할 확률’에 영향을 미치는 요소는 해커의 공격과 IT 환경의 취약점이다. ‘기업의 피해’는 기밀성, 무결성, 가용성, 생산성, 적절성 등이 영향을 받는 정도를 말한다.  코로나19 사태로 변화된 사용 패턴 및 아키텍처를 이해하려면...

코로나19 재택근무 원격근무 사이버보안 사이버 공격 포스트 코로나 클라우드 온프레미스 네트워크 데이터 취약점 줌 폭격 스팸 피싱 가정용 네트워크 협업 툴 데이터센터 VPN 노트북 제로 트러스트 다중 인증 자동화 BYOD 데이터 거버넌스 컴플라이언스

2020.08.27

올해 초의 최우선 순위는 무엇보다 집에서도 필요한 애플리케이션에 안전하게 접근하는 것이었다. 그로부터 3~4개월이 지났다. 이제 재택근무가 새로운 현실로 자리 잡는 분위기다. 그렇다면 CIO 혹은 CSO가 앞으로 해야 할 일은 무엇일까?    “재택근무(WFH)라는 새 현실에 대응하려면 사이버보안을 어떻게 바꿔야 하는가?”  현시점에서 이 질문은 CIO와 CSO의 최대 관심사일 것이다. 포스트 코로나 시대의 사이버보안과 관련해 모든 CIO는 다음의 3가지 핵심 질문을 고려해야 한다.  1. IT 사용 패턴과 아키텍처에 어떤 변화가 있는가? 2. 해당 변화가 위험에 어떤 영향을 미치는가? 3. 조직의 사이버보안 대비 태세와 통제 환경에 어떤 변화가 필요한가?    IT 사용 패턴과 아키텍처의 변화 코로나19 사태 이전에 재택근무를 시행했던 기업은 그리 많지 않았다. 재무, HR, 마케팅 등 일반 사무직이라면 더욱더 그랬다. 게다가 일반 사무직 직원들은 필요하다면 다른 사람의 자리로 직접 가는 것에 익숙하다.  코로나19 사태는 두 가지 측면에서 사용 패턴에 영향을 미쳤다. 첫째, 이제 원격 접근은 필수가 됐다. 둘째, 효율적인 업무를 위해서는 커뮤니케이션 및 협업 솔루션 역시 필수적이다.  특히 여기서 고려해야 할 중요 사항은 별도 네트워크에서 온프레미스로 실행되는 가장 민감한 애플리케이션이다. 이로 인해 보안뿐만 아니라 전 세계 및 업계 규제 준수에 있어서 문제가 발생하기 때문이다.  위험이 어떻게 달라졌는가? 위험이란 나쁜 사건이 발생할 확률과 이로 인해 기업이 받는 피해를 나타내는 일종의 함수다. 사이버보안에서 ‘나쁜 사건이 발생할 확률’에 영향을 미치는 요소는 해커의 공격과 IT 환경의 취약점이다. ‘기업의 피해’는 기밀성, 무결성, 가용성, 생산성, 적절성 등이 영향을 받는 정도를 말한다.  코로나19 사태로 변화된 사용 패턴 및 아키텍처를 이해하려면...

2020.08.27

슬랙, 새로운 암호화 옵션 ‘페드람프 인증’으로 보안 강화

슬랙이 커뮤니케이션 데이터를 안전하게 보호하고, 컴플라이언스 요건을 충족한다는 것을 보여주고자 몇 가지 업데이트를 공개했다.  11일(현지 시각) 슬랙이 여러 보안 업그레이드를 발표했다. 확장된 ‘엔터프라이즈 키 매니지먼트(Enterprise Key Management, EKM)’ 시스템과 더욱더 강력해진 컴플라이언스 기능 등이다.    이번 업데이트에는 ‘EKM’ 확장이 포함돼 있다. 이는 관리자에게 메시지 암호화와 관련하여 더 큰 유연성을 제공한다. 슬랙의 EKM은 2018년 엔터프라이즈 그리드(Enterprise Grid) 고객을 대상으로 처음 소개됐다. 확장된 EKM은 이제 워크플로우 빌더(Workflow Builder) 자동화 툴에 액세스하는 사용자가 전송한 데이터에도 적용된다. 이 회사는 EKM을 슬랙 커넥트(Slack Connect)에서 보내는 메시지까지 확장할 계획이다. 슬랙 커넥트는 최근 출시된 기업 간 메신저 플랫폼이다.  또한 고객은 슬랙의 데이터 레지던시(data residency) 방침에 따라 암호화 키를 저장할 리전(프랑크푸르트, 런던, 파리, 시드니, 도쿄, 몬트리올)을 선택할 수 있다.  데이터 모니터링 애플리케이션 스플렁크(Splunk)와의 새로운 통합도 주목할 만한 부분이다. 이제 엔터프라이즈 그리드에서 감사 로그(audit logs)를 스플렁크 대시보드로 가져와 디스플레이 로그인, 파일 작업, 앱 설치 등의 데이터를 쉽게 시각화할 수 있다. 이를 통해 보안팀은 의심스러운 행동을 주시하고, 조직 전체의 사용 동향을 추적할 수 있다고 회사는 설명했다.  슬랙은 공식 블로그에서 “이 정보를 통해 기업은 서비스 수준을 개선하고, 운영 비용을 절감하며, 리스크를 완화하는 동시에 데브옵스 협업을 강화할 수 있다. 또한 새로운 제품 및 서비스를 제공할 기회를 식별할 수도 있다”라고 말했다.  회사에 따르면 직원용 기기를 분실한 경우 민감한 데이터를 삭제할 수 있도록...

슬랙 보안 데이터 페드람프 클라우드 컴플라이언스 EKM 슬랙 커넥트 데이터 레지던시 암호화 스플렁크 데이터 시각화 데브옵스 협업 원격근무

2020.08.13

슬랙이 커뮤니케이션 데이터를 안전하게 보호하고, 컴플라이언스 요건을 충족한다는 것을 보여주고자 몇 가지 업데이트를 공개했다.  11일(현지 시각) 슬랙이 여러 보안 업그레이드를 발표했다. 확장된 ‘엔터프라이즈 키 매니지먼트(Enterprise Key Management, EKM)’ 시스템과 더욱더 강력해진 컴플라이언스 기능 등이다.    이번 업데이트에는 ‘EKM’ 확장이 포함돼 있다. 이는 관리자에게 메시지 암호화와 관련하여 더 큰 유연성을 제공한다. 슬랙의 EKM은 2018년 엔터프라이즈 그리드(Enterprise Grid) 고객을 대상으로 처음 소개됐다. 확장된 EKM은 이제 워크플로우 빌더(Workflow Builder) 자동화 툴에 액세스하는 사용자가 전송한 데이터에도 적용된다. 이 회사는 EKM을 슬랙 커넥트(Slack Connect)에서 보내는 메시지까지 확장할 계획이다. 슬랙 커넥트는 최근 출시된 기업 간 메신저 플랫폼이다.  또한 고객은 슬랙의 데이터 레지던시(data residency) 방침에 따라 암호화 키를 저장할 리전(프랑크푸르트, 런던, 파리, 시드니, 도쿄, 몬트리올)을 선택할 수 있다.  데이터 모니터링 애플리케이션 스플렁크(Splunk)와의 새로운 통합도 주목할 만한 부분이다. 이제 엔터프라이즈 그리드에서 감사 로그(audit logs)를 스플렁크 대시보드로 가져와 디스플레이 로그인, 파일 작업, 앱 설치 등의 데이터를 쉽게 시각화할 수 있다. 이를 통해 보안팀은 의심스러운 행동을 주시하고, 조직 전체의 사용 동향을 추적할 수 있다고 회사는 설명했다.  슬랙은 공식 블로그에서 “이 정보를 통해 기업은 서비스 수준을 개선하고, 운영 비용을 절감하며, 리스크를 완화하는 동시에 데브옵스 협업을 강화할 수 있다. 또한 새로운 제품 및 서비스를 제공할 기회를 식별할 수도 있다”라고 말했다.  회사에 따르면 직원용 기기를 분실한 경우 민감한 데이터를 삭제할 수 있도록...

2020.08.13

코드 스캐닝 및 코드스페이스 곧 출시··· 기트허브, 로드맵 공개

앞으로 몇 개월 동안 기트허브에서 기대할 수 있는 것들을 알려주는 ‘공개 로드맵’이 발표됐다. 이 로드맵에는 코드 스캐닝부터 워크플로우, 보안 강화에 이르기까지 다양한 개선 사항들이 포함됐다.    지난 7월 29일 기트허브가 공개한 ‘기트허브 로드맵(GitHub roadmap)’은 관련 계획 및 타임라인을 비롯해 코드-투-클라우드 데브옵스(code-to-cloud devops), 협업(collaboration), 보안(security), 컴플라이언스(compliance), 클라이언트 애플리케이션(client applications), 저장소(repos), 풀 리퀘스트(pull requests), 지스트(gists) 등을 포함한 여러 기능들의 릴리즈 일정(알파 단계부터 GA까지)을 보여주고 있다.  기트허브 로드맵에서 공개된 몇 가지 주요 기능들은 다음과 같다.  • 기트허브 ‘코드QL(CodeQL) 시맨틱 코드 분석 엔진’을 사용하는 ‘클라우드용 코드 스캐닝(Code scanning for the cloud)’. 이를 사용하면 분석 결과가 저장소와 풀 리퀘스트에 표시된다. 해당 기능은 이번 분기에 공개될 예정이다.  • 마이크로소프트 ‘비주얼 스튜디오 코드 에디터(Visual Studio Code editor)’를 활용해 클라우드에서 호스팅되는 인스턴트 개발 환경을 제공하는 ‘코드스페이스(Codespaces)’. 이를 통해 개발자는 커밋에 드는 시간을 단축해 더 빨리 시작하고 실행할 수 있게 된다. 기업 또한 클라우드에서 코드를 유지 관리하는 안전한 클라우드 호스팅 환경을 확보할 수 있다. 코드스페이스는 2020년 4분기에 GA될 계획이다.  • 기트허브 프라이빗 인스턴스용 ‘기트허브 액션(GitHub Actions)’. 기트허브 프라이빗 인스턴스에 기트허브 워크플로우 기능을 제공한다. 오는 2021년 1분기에 공개될 예정이다.  • ‘디펜더봇 보안(Dependabot sec...

기트허브 로드맵 코드 스캐닝 워크플로우 보안 강화 데브옵스 현업 컴플라이언스 애플리케이션 클라우드 저장소 풀 리퀘스트 지스트 마이크로소프트 비주얼 스튜디오 코드 에디터 구글 구글 클라우드 컴포저

2020.08.03

앞으로 몇 개월 동안 기트허브에서 기대할 수 있는 것들을 알려주는 ‘공개 로드맵’이 발표됐다. 이 로드맵에는 코드 스캐닝부터 워크플로우, 보안 강화에 이르기까지 다양한 개선 사항들이 포함됐다.    지난 7월 29일 기트허브가 공개한 ‘기트허브 로드맵(GitHub roadmap)’은 관련 계획 및 타임라인을 비롯해 코드-투-클라우드 데브옵스(code-to-cloud devops), 협업(collaboration), 보안(security), 컴플라이언스(compliance), 클라이언트 애플리케이션(client applications), 저장소(repos), 풀 리퀘스트(pull requests), 지스트(gists) 등을 포함한 여러 기능들의 릴리즈 일정(알파 단계부터 GA까지)을 보여주고 있다.  기트허브 로드맵에서 공개된 몇 가지 주요 기능들은 다음과 같다.  • 기트허브 ‘코드QL(CodeQL) 시맨틱 코드 분석 엔진’을 사용하는 ‘클라우드용 코드 스캐닝(Code scanning for the cloud)’. 이를 사용하면 분석 결과가 저장소와 풀 리퀘스트에 표시된다. 해당 기능은 이번 분기에 공개될 예정이다.  • 마이크로소프트 ‘비주얼 스튜디오 코드 에디터(Visual Studio Code editor)’를 활용해 클라우드에서 호스팅되는 인스턴트 개발 환경을 제공하는 ‘코드스페이스(Codespaces)’. 이를 통해 개발자는 커밋에 드는 시간을 단축해 더 빨리 시작하고 실행할 수 있게 된다. 기업 또한 클라우드에서 코드를 유지 관리하는 안전한 클라우드 호스팅 환경을 확보할 수 있다. 코드스페이스는 2020년 4분기에 GA될 계획이다.  • 기트허브 프라이빗 인스턴스용 ‘기트허브 액션(GitHub Actions)’. 기트허브 프라이빗 인스턴스에 기트허브 워크플로우 기능을 제공한다. 오는 2021년 1분기에 공개될 예정이다.  • ‘디펜더봇 보안(Dependabot sec...

2020.08.03

퍼펫 데브옵스, 모듈 지원 및 패치 자동화 기능 추가

데브옵스 소프트웨어 업체 퍼펫이 ‘퍼펫 엔터프라이즈 인프라 자동화 플랫폼’을 업데이트했다고 발표했다. 사전 구축된 모듈에 대한 액세스 및 패치 자동화 등이 이번 업데이트의 주요 특징이다.    회사에 따르면 이번 여름 릴리즈(버전 2019.8 LTS)는 사용자가 ‘퍼펫 카탈로그(Puppet Forge)’에 있는 수 천개의 오픈소스 및 퍼펫 모듈을 사용하여, 작업 묶음을 뜻하는 ‘플랜(Plan)’을 관리할 수 있도록 지원한다. 이를 통해 사용자는 퍼펫 엔터프라이즈 콘솔에서 단일 명령으로 일련의 작업을 실행할 수 있다. 즉 선언형 모델 기반 자동화와 필수 작업을 믹싱하고 매칭하면서 더 광범위한 인프라 사용 사례로 자동화를 확장할 수 있게 됐다고 퍼펫은 전했다.  이제 퍼펫은 ‘퍼펫 볼트 오케스트레이션 툴(Puppet Bolt orchestration tool)’과 ‘퍼펫 카탈로그(Puppet Forge)’ 콘텐츠부터 오케스트레이션 워크플로우에 이르는 신속한 경로를 지원하여 지속적인 자동화를 제공한다. 예를 들면 애플리케이션 릴리즈를 위한 인프라 준비에는 로드밸런서(Load Balancer) 드레이닝, 아파치 HTTP 서버 프로비저닝을 위한 VM웨어 호출, 패치 업데이트, 데이터베이스 구성 등이 포함된다.  또한 이번 업데이트에는 윈도우 및 리눅스 시스템을 위한 패치 자동화 콘텐츠가 포함됐다. 이를 통해 컴플라이언스와 보안은 물론 사용자 경험을 개선한다는 게 회사 측의 설명이다. 패치 프로세스의 표준화와 확장을 지원하는 OS 패치 서비스도 함께 제공된다. 퍼펫 데모는 공식 사이트에서 사용해볼 수 있다. ciokr@idg.co.kr

데브옵스 퍼펫 모듈 패치 자동화 오픈소스 로드밸런서 아파치 VM웨어 데이터베이스 윈도우 리눅스 패치 자동화 사용자 경험 보안 컴플라이언스

2020.07.23

데브옵스 소프트웨어 업체 퍼펫이 ‘퍼펫 엔터프라이즈 인프라 자동화 플랫폼’을 업데이트했다고 발표했다. 사전 구축된 모듈에 대한 액세스 및 패치 자동화 등이 이번 업데이트의 주요 특징이다.    회사에 따르면 이번 여름 릴리즈(버전 2019.8 LTS)는 사용자가 ‘퍼펫 카탈로그(Puppet Forge)’에 있는 수 천개의 오픈소스 및 퍼펫 모듈을 사용하여, 작업 묶음을 뜻하는 ‘플랜(Plan)’을 관리할 수 있도록 지원한다. 이를 통해 사용자는 퍼펫 엔터프라이즈 콘솔에서 단일 명령으로 일련의 작업을 실행할 수 있다. 즉 선언형 모델 기반 자동화와 필수 작업을 믹싱하고 매칭하면서 더 광범위한 인프라 사용 사례로 자동화를 확장할 수 있게 됐다고 퍼펫은 전했다.  이제 퍼펫은 ‘퍼펫 볼트 오케스트레이션 툴(Puppet Bolt orchestration tool)’과 ‘퍼펫 카탈로그(Puppet Forge)’ 콘텐츠부터 오케스트레이션 워크플로우에 이르는 신속한 경로를 지원하여 지속적인 자동화를 제공한다. 예를 들면 애플리케이션 릴리즈를 위한 인프라 준비에는 로드밸런서(Load Balancer) 드레이닝, 아파치 HTTP 서버 프로비저닝을 위한 VM웨어 호출, 패치 업데이트, 데이터베이스 구성 등이 포함된다.  또한 이번 업데이트에는 윈도우 및 리눅스 시스템을 위한 패치 자동화 콘텐츠가 포함됐다. 이를 통해 컴플라이언스와 보안은 물론 사용자 경험을 개선한다는 게 회사 측의 설명이다. 패치 프로세스의 표준화와 확장을 지원하는 OS 패치 서비스도 함께 제공된다. 퍼펫 데모는 공식 사이트에서 사용해볼 수 있다. ciokr@idg.co.kr

2020.07.23

태만은 핑계 못된다··· IT가 미리 감안해야 할 SaaS 과제 3가지

클라우드 애플리케이션이 기업 내부로 쓰나미처럼 밀려오고 있다. 이제 많은 기업에게 문제는 SaaS를 배치할지 여부가 아니라 SaaS를 어디까지 허용해야 하는지일 정도다. 비용 절감, 증가한 민첩성 증가, 수월해진 확장성 등 SaaS의 장점은 잘 알려져 있다. IDC의 SaaS 및 클라우드 소프트웨어 연구 책임자 프랭크 델라 로사는 “배치가 수월하고 빠르며 혁신적인 기능이 이미 담고 있어 기업의 디지털 변신 가속화에 도움이 된다”라고 말했다. 단, 클라우드 기반 애플리케이션을 사용하면 나름대로의 어려움이 따른다.  코로나바이러스감염증-19 대유행에 대응해 원격 근무가 급격히 증가하는 요즈음 특히 어려움이 커질 수 있다. IT팀들은 상황이 통제 불가 상태에 빠지지 않도록 이런 문제를 제때 해결해야 한다. SaaS 환경으로의 이전과 유지 시에 기업이 직면하는 가장 큰 과제 가운데 3가지와 이를 풀어나가는 방법에 대한 전문가들의 조언을 소개한다.   SaaS 애플리케이션의 확산 SaaS 애플리케이션은 기업 내에서 계속 빠르게 확산 중이다. 따라서 강력한 관리 및 비용 통제 방안을 마련해야할 필요성이 더욱 대두되고 있다. 중소기업 대상 ID 관리 플랫폼 제공 업체 옥타(Okta)는 2020년도 비즈니스앳워크(Businesses @ Work) 보고서에서 기업에 배치하는 앱의 수가 평균 88개로 2019년 대비 6%, 2017년 대비 21% 증가했으며, 고객 가운데 10%가 200개 이상의 앱을 운영 중이라고 밝혔다. 델라 로사는 “SaaS의 등장으로 애플리케이션 구매 결정이 다양한 곳으로 발생하고 있다. 현업 관리자는 물론 이제는 점점 더 많은 최종 사용자도 업무 처리를 위한 소프트웨어 구매가 가능해졌다. 그래서 속도와 민첩성은 늘어나는 반면, IT 부서에는 관리 및 규정 준수에 어려움이 나타나고 있다”라고 말했다. SaaS의 확산 범위가 점점 넓어지는 가운데, IDC 조사에 따르면 많은 IT 임원들이 전사적으로 사용 중인 애플리케이션이 ...

SaaS 통합 SaaS 옵스 컴플라이언스 IT 관리 CIO

2020.06.10

클라우드 애플리케이션이 기업 내부로 쓰나미처럼 밀려오고 있다. 이제 많은 기업에게 문제는 SaaS를 배치할지 여부가 아니라 SaaS를 어디까지 허용해야 하는지일 정도다. 비용 절감, 증가한 민첩성 증가, 수월해진 확장성 등 SaaS의 장점은 잘 알려져 있다. IDC의 SaaS 및 클라우드 소프트웨어 연구 책임자 프랭크 델라 로사는 “배치가 수월하고 빠르며 혁신적인 기능이 이미 담고 있어 기업의 디지털 변신 가속화에 도움이 된다”라고 말했다. 단, 클라우드 기반 애플리케이션을 사용하면 나름대로의 어려움이 따른다.  코로나바이러스감염증-19 대유행에 대응해 원격 근무가 급격히 증가하는 요즈음 특히 어려움이 커질 수 있다. IT팀들은 상황이 통제 불가 상태에 빠지지 않도록 이런 문제를 제때 해결해야 한다. SaaS 환경으로의 이전과 유지 시에 기업이 직면하는 가장 큰 과제 가운데 3가지와 이를 풀어나가는 방법에 대한 전문가들의 조언을 소개한다.   SaaS 애플리케이션의 확산 SaaS 애플리케이션은 기업 내에서 계속 빠르게 확산 중이다. 따라서 강력한 관리 및 비용 통제 방안을 마련해야할 필요성이 더욱 대두되고 있다. 중소기업 대상 ID 관리 플랫폼 제공 업체 옥타(Okta)는 2020년도 비즈니스앳워크(Businesses @ Work) 보고서에서 기업에 배치하는 앱의 수가 평균 88개로 2019년 대비 6%, 2017년 대비 21% 증가했으며, 고객 가운데 10%가 200개 이상의 앱을 운영 중이라고 밝혔다. 델라 로사는 “SaaS의 등장으로 애플리케이션 구매 결정이 다양한 곳으로 발생하고 있다. 현업 관리자는 물론 이제는 점점 더 많은 최종 사용자도 업무 처리를 위한 소프트웨어 구매가 가능해졌다. 그래서 속도와 민첩성은 늘어나는 반면, IT 부서에는 관리 및 규정 준수에 어려움이 나타나고 있다”라고 말했다. SaaS의 확산 범위가 점점 넓어지는 가운데, IDC 조사에 따르면 많은 IT 임원들이 전사적으로 사용 중인 애플리케이션이 ...

2020.06.10

깃랩 13.0 나왔다··· 보안 중심의 신기능 추가 

깃랩이 5월 22일 소프트웨어 개발, 배포 및 프로젝트 관리 툴을 통합한 자사의 데브옵스 플랫폼을 버전 13.0으로 업데이트했다. 이번 버전은 여러 보안 및 협업 기능을 추가한 것이 특징이다.  회사에 따르면 깃랩(GitLab) 13.0에는 깃(Git) 오픈소스 분산 버전 관리 시스템, CI/CD, 설계 및 협업 도구가 결합됐다. 이 밖의 새로운 기능들은 아래와 같다.   • 보안 스캐닝: 보안 스캐닝을 위해 닷넷(.NET) 프레임워크용 SAST(Static Application Security Testing)를 제공한다. REST API에 대해서는 DAST (Dynamic Application Security Testing) 스캐닝을 지원한다. 또한 깃랩 13.0은 오프라인 환경 스캐닝을 위한 지원도 확대한다. • 취약성 분리: 취약성 및 관련 리스크의 우선순위를 정하고 관리할 수 있도록 취약성 관리 방법을 재설계했다. • 컴플라이언스 관리: 컴플라이언스 프레임워크 구축을 자동화하고, 규제 제어를 적용하며, 감사보고를 간소화할 수 있게 됐다. 이와 함께 보안 가드레일을 단순화하는 초기 보안정책 UI도 개발 중이라고 회사 측은 설명했다. • 설계 관리: 제품을 설계하는 사용자를 개별 기여자로 인식할 수 있도록 설계 관리를 핵심 부문으로 이전했다. • 대시보드: 운영 대시보드는 여러 변수를 사용하도록 허용해 사용자 정의가 용이해졌다. 보안 대시보드는 깃랩 외의 사용자들과도 협업할 수 있도록 내보내기가 가능하다. 쿠버네티스 클러스터(Kubernetes clusters) 지원은 향후 제공될 예정이다. • 깃앨리 클러스터(Gitaly Cluster): 깃 리포지토리(Git Repository) 스토리지에 장애가 발생하는 경우 이를 즉시 복구하는 웜 레플리카(Warm Replica)를 제공할 수 있도록 깃앨리 클러스터가 지원된다. • 가치 흐름 관리(Value Stream Management): 병목현상 및 낭비 요소를 빠르게 식별할 ...

깃랩 데브옵스 소프트웨어 개발 배포 프로젝트 관리 분산 버전 관리 시스템 CI CD 보안 스캐닝 닷넷 프레임워크 REST API SATS DAST 취약성 관리 컴플라이언스 대시보드 깃앨리 클러스터 쿠버네티스

2020.06.05

깃랩이 5월 22일 소프트웨어 개발, 배포 및 프로젝트 관리 툴을 통합한 자사의 데브옵스 플랫폼을 버전 13.0으로 업데이트했다. 이번 버전은 여러 보안 및 협업 기능을 추가한 것이 특징이다.  회사에 따르면 깃랩(GitLab) 13.0에는 깃(Git) 오픈소스 분산 버전 관리 시스템, CI/CD, 설계 및 협업 도구가 결합됐다. 이 밖의 새로운 기능들은 아래와 같다.   • 보안 스캐닝: 보안 스캐닝을 위해 닷넷(.NET) 프레임워크용 SAST(Static Application Security Testing)를 제공한다. REST API에 대해서는 DAST (Dynamic Application Security Testing) 스캐닝을 지원한다. 또한 깃랩 13.0은 오프라인 환경 스캐닝을 위한 지원도 확대한다. • 취약성 분리: 취약성 및 관련 리스크의 우선순위를 정하고 관리할 수 있도록 취약성 관리 방법을 재설계했다. • 컴플라이언스 관리: 컴플라이언스 프레임워크 구축을 자동화하고, 규제 제어를 적용하며, 감사보고를 간소화할 수 있게 됐다. 이와 함께 보안 가드레일을 단순화하는 초기 보안정책 UI도 개발 중이라고 회사 측은 설명했다. • 설계 관리: 제품을 설계하는 사용자를 개별 기여자로 인식할 수 있도록 설계 관리를 핵심 부문으로 이전했다. • 대시보드: 운영 대시보드는 여러 변수를 사용하도록 허용해 사용자 정의가 용이해졌다. 보안 대시보드는 깃랩 외의 사용자들과도 협업할 수 있도록 내보내기가 가능하다. 쿠버네티스 클러스터(Kubernetes clusters) 지원은 향후 제공될 예정이다. • 깃앨리 클러스터(Gitaly Cluster): 깃 리포지토리(Git Repository) 스토리지에 장애가 발생하는 경우 이를 즉시 복구하는 웜 레플리카(Warm Replica)를 제공할 수 있도록 깃앨리 클러스터가 지원된다. • 가치 흐름 관리(Value Stream Management): 병목현상 및 낭비 요소를 빠르게 식별할 ...

2020.06.05

강은성의 보안 아키텍트 | 다시 보안 GRC를 생각한다

GRC는 거버넌스(Governance), 리스크 관리(Risk management), 규제 준수(Compliance)의 영문 첫 글자를 따 만들어진 단어다. 단순하게 정리하면, 기업에서 거버넌스는 조직이 사업 목표를 향해 나아가도록 이사회와 경영진이 지휘, 통제하는 것이고, 리스크 관리는 조직의 활동이 품고 있는 다양한 리스크, 특히 사업 목표를 달성하기 위해 나아갈 때 발생할 수 있는 리스크를 관리하는 것이며, 규제 준수는 말 그대로 법규와 규제 내에서 조직의 활동이 이뤄질 수 있도록 하는 것이다.  기업 거버넌스의 개선에 관해서는 정부와 기업, 사회의 다양한 제도와 관심, 운동이 있다. 리스크 관리는 2008년 세계 금융위기 이후 금융회사를 중심으로 리스크관리위원회가 만들어지는 등 강화되고 있다. 오너 리스크와 같이 거버넌스와 리스크가 직접 연결되기도 한다. 컴플라이언스는 GRC에서 별도로 정의했지만, 기업 현장에서는 법규와 행정 규제에 관한 리스크로 관리하는 곳이 많다. <그림> GRC 개념도 위 그림은 GRC 개념을 나타낸다. 기업이 사업 목표를 향해 나아갈 때 다양한 리스크를 잘 관리해야 한다. 목적지를 향해 가는데 중간에 다리가 끊겨 있으면 가기 어려운 것과 같은 이치다. 기업의 리스크에는 재무 리스크, 평판 리스크, 신규 사업 리스크 등 다양한 리스크가 있는데, 보안 리스크는 그 중 하나다.  GRC는 인사 GRC, 재무 GRC, IT GRC, 보안 GRC와 같이 분야별로 세분화할 수 있다.  <그림> 보안 GRC 개념도 보안 GRC는 GRC 개념에 그대로 대입하여 설명할 수 있다. 즉 보안조직이 사업 목표 달성을 위해 설정된 보안 목표를 달성하기 위해 나아갈 때 발생할 수 있는 리스크를 식별하여 관리하고, 관련 규제 안에서 활동하는 것이다. 이때 리스크 관리는 전통적으로 하는 보안위협에 따른 위험 평가와 대책 수립뿐만 아니라 보안 목표를 달성하는 데 생길 수 있는 인력, 조직, ...

CIO Governance Compliance 보안 아키텍트 강은성 규제 준수 리스크 관리 CISO GRC 거버넌스 CSO 컴플라이언스 Risk management

2020.04.13

GRC는 거버넌스(Governance), 리스크 관리(Risk management), 규제 준수(Compliance)의 영문 첫 글자를 따 만들어진 단어다. 단순하게 정리하면, 기업에서 거버넌스는 조직이 사업 목표를 향해 나아가도록 이사회와 경영진이 지휘, 통제하는 것이고, 리스크 관리는 조직의 활동이 품고 있는 다양한 리스크, 특히 사업 목표를 달성하기 위해 나아갈 때 발생할 수 있는 리스크를 관리하는 것이며, 규제 준수는 말 그대로 법규와 규제 내에서 조직의 활동이 이뤄질 수 있도록 하는 것이다.  기업 거버넌스의 개선에 관해서는 정부와 기업, 사회의 다양한 제도와 관심, 운동이 있다. 리스크 관리는 2008년 세계 금융위기 이후 금융회사를 중심으로 리스크관리위원회가 만들어지는 등 강화되고 있다. 오너 리스크와 같이 거버넌스와 리스크가 직접 연결되기도 한다. 컴플라이언스는 GRC에서 별도로 정의했지만, 기업 현장에서는 법규와 행정 규제에 관한 리스크로 관리하는 곳이 많다. <그림> GRC 개념도 위 그림은 GRC 개념을 나타낸다. 기업이 사업 목표를 향해 나아갈 때 다양한 리스크를 잘 관리해야 한다. 목적지를 향해 가는데 중간에 다리가 끊겨 있으면 가기 어려운 것과 같은 이치다. 기업의 리스크에는 재무 리스크, 평판 리스크, 신규 사업 리스크 등 다양한 리스크가 있는데, 보안 리스크는 그 중 하나다.  GRC는 인사 GRC, 재무 GRC, IT GRC, 보안 GRC와 같이 분야별로 세분화할 수 있다.  <그림> 보안 GRC 개념도 보안 GRC는 GRC 개념에 그대로 대입하여 설명할 수 있다. 즉 보안조직이 사업 목표 달성을 위해 설정된 보안 목표를 달성하기 위해 나아갈 때 발생할 수 있는 리스크를 식별하여 관리하고, 관련 규제 안에서 활동하는 것이다. 이때 리스크 관리는 전통적으로 하는 보안위협에 따른 위험 평가와 대책 수립뿐만 아니라 보안 목표를 달성하는 데 생길 수 있는 인력, 조직, ...

2020.04.13

방위사업체가 알아야 할 '사이버보안 성숙도 모델 인증'이란?

사이버보안 성숙도 모델 인증(Cybersecurity Maturity Model Certification, CMMC)은 공급망 내 30만 곳 이상의 회사를 거느린 DIB(Defense Innovation Board, 미국 국방 혁신 위원회) 전반에 걸쳐 사이버보안을 구현하는 통일 표준이다. CMMC는 미국 국방성이 방위사업체의 정보시스템에 있는 국방 기밀 정보의 심각한 훼손에 대처하는 수단이다.    미국 국방성은 2020년 1월 31일 CMMC 1.0 버전을 발표했다. 초안은 주로 대학부설연구센터(University Affiliated Research Centers, UARCs), 연방출연연구개발센터(Federally Funded Research and Development Centers, FFRDCs), 업계의 참여로 만들어졌다.  과거, 방위 산업체는 자신의 IT시스템과 시스템에 저장되어 있거나 송수신되는 국방성 기밀 정보의 보안을 구현하고 모니터하고 인증할 책임이 있었다. 방위사업체는 여전히 필수적 사이버보안 요건을 구현할 책임이 있지만, CMMC는 일종의 패러다임 변화이다. 이는 적국으로부터의 새롭고 진화하는 사이버 위협에 적응할 수 있는 특정한 의무적 관행, 절차 및 능력에 방위산업체가 부합하는지를 제3자가 평가하도록 의무화한다.   국방성 방위사업체는 어떤 조처를 해야 하나?  국방성 방위 산업체는 CMMC의 기술적 요건을 즉시 숙지하고, 인증뿐 아니라, 장기적인 사이버보안 기민성을 준비해야 한다. CMMC 평가가 시행되는 방식과 평가에 이의를 제기하는 방법에 관한 상세 정보가 조만간 예정되어 있다. 국방성 계약 업체가 자신의 관행, 절차, 공백을 이미 평가하기 시작했다면, 위 상세 정보가 최종적으로 마무리될 때 인증 프로세스를 검토하고, 향후 프로젝트를 위해 강제적인 CMMC 계약 규정을 준수하는데 유리한 입장에 있을 것이다.  국방성 조달 및 지속 차관실은 CMMC FAQ를 유지하고...

컴플라이언스 방위산업 Cybersecurity Maturity Model Certification CMMC 사이버보안 공급망 SCM 국방성 CISO CSO 사이버보안 성숙도 모델 인증

2020.04.10

사이버보안 성숙도 모델 인증(Cybersecurity Maturity Model Certification, CMMC)은 공급망 내 30만 곳 이상의 회사를 거느린 DIB(Defense Innovation Board, 미국 국방 혁신 위원회) 전반에 걸쳐 사이버보안을 구현하는 통일 표준이다. CMMC는 미국 국방성이 방위사업체의 정보시스템에 있는 국방 기밀 정보의 심각한 훼손에 대처하는 수단이다.    미국 국방성은 2020년 1월 31일 CMMC 1.0 버전을 발표했다. 초안은 주로 대학부설연구센터(University Affiliated Research Centers, UARCs), 연방출연연구개발센터(Federally Funded Research and Development Centers, FFRDCs), 업계의 참여로 만들어졌다.  과거, 방위 산업체는 자신의 IT시스템과 시스템에 저장되어 있거나 송수신되는 국방성 기밀 정보의 보안을 구현하고 모니터하고 인증할 책임이 있었다. 방위사업체는 여전히 필수적 사이버보안 요건을 구현할 책임이 있지만, CMMC는 일종의 패러다임 변화이다. 이는 적국으로부터의 새롭고 진화하는 사이버 위협에 적응할 수 있는 특정한 의무적 관행, 절차 및 능력에 방위산업체가 부합하는지를 제3자가 평가하도록 의무화한다.   국방성 방위사업체는 어떤 조처를 해야 하나?  국방성 방위 산업체는 CMMC의 기술적 요건을 즉시 숙지하고, 인증뿐 아니라, 장기적인 사이버보안 기민성을 준비해야 한다. CMMC 평가가 시행되는 방식과 평가에 이의를 제기하는 방법에 관한 상세 정보가 조만간 예정되어 있다. 국방성 계약 업체가 자신의 관행, 절차, 공백을 이미 평가하기 시작했다면, 위 상세 정보가 최종적으로 마무리될 때 인증 프로세스를 검토하고, 향후 프로젝트를 위해 강제적인 CMMC 계약 규정을 준수하는데 유리한 입장에 있을 것이다.  국방성 조달 및 지속 차관실은 CMMC FAQ를 유지하고...

2020.04.10

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.31