Offcanvas

CSO

인터뷰ㅣ“패치 속도보다 중단 제로에 주목” ARM CISO의 취약점 관리 전략

지난 2017년 ‘워너크라이(WannaCry)’ 공격은 英 반도체 회사 ARM에 경종을 울렸다. 이 회사가 전 세계 시스템을 무력화시킨 이 랜섬웨어 크립토웜(Ransomware Cryptoworm)에 대응하는 데 2주가 넘게 걸린 것이다. ARM의 해묵은 문제였던 부적절한 취약점 대응 역량이 여실히 드러난 순간이었다.    ARM의 CISO 팀 피츠제럴드는 “회사의 대응 역량이 제대로 기능하지 못했다. 반도체 IP 회사인 ARM의 과제였다. 즉, 핵심 시스템을 계속 실행해야 했기 때문에 패치 적용에 필요한 다운타임이 문제였다. 이 문제를 해결하는 게 목표였다”라고 밝혔다.  그는 2017년 9월 ARM의 첫 CISO이자 수석 부사장으로 합류했다. 이 직위는 해당 기업이 한층 철저한 보안 사건 대응과 전반적으로 성숙한 보안 운영이 필요하다는 점을 인식하면서 신설됐다는 게 피츠제럴드의 설명이다. 그는 취약점 관리 운영 전문성을 개발하는 등 이 2가지 니즈를 성공적으로 해결하고 있다고 덧붙였다.     패치 적용에 집중 피츠제럴드는 보안 기본 사항에 중점을 두는 일부터 시작했다고 말했다. 보안 기본 사항을 바로잡는다면 (물론 생각보다 더 어려운 일이지만) 위험의 상당 부분을 제거할 수 있을 것이고, 그렇게 되면 보안팀은 일반적으로 더 전문화된 스킬과 전문적인 전략이 필요한 나머지 위험에 집중할 수 있다고 그는 전했다.  이를 염두에 두고, 그는 먼저 패치 프로그램의 가시성을 높이고, 해당 프로세스를 개선하고자 했다. 이러한 작업은 쉽지 않은 게 보통이지만 ARM의 비즈니스 목표와 이를 지원하는 데 필요한 기술 환경 때문에 특히 어려웠다고 피츠제럴드는 언급했다.  이를테면 ARM은 수십만 개의 CPU로 구성되고 항상 95% 이상의 용량으로 실행되는 매우 복잡한 고성능 컴퓨팅 인프라를 활용한다. 그는 “유지 관리해야 하는 시스템이 굉장히 많고, 이는 기업 인프라의 최상위에 위치한다. 즉, 자사 제품...

보안 CSO CISO ARM 랜섬웨어 워너크라이 취약점 패치 회복탄력성

2022.01.24

지난 2017년 ‘워너크라이(WannaCry)’ 공격은 英 반도체 회사 ARM에 경종을 울렸다. 이 회사가 전 세계 시스템을 무력화시킨 이 랜섬웨어 크립토웜(Ransomware Cryptoworm)에 대응하는 데 2주가 넘게 걸린 것이다. ARM의 해묵은 문제였던 부적절한 취약점 대응 역량이 여실히 드러난 순간이었다.    ARM의 CISO 팀 피츠제럴드는 “회사의 대응 역량이 제대로 기능하지 못했다. 반도체 IP 회사인 ARM의 과제였다. 즉, 핵심 시스템을 계속 실행해야 했기 때문에 패치 적용에 필요한 다운타임이 문제였다. 이 문제를 해결하는 게 목표였다”라고 밝혔다.  그는 2017년 9월 ARM의 첫 CISO이자 수석 부사장으로 합류했다. 이 직위는 해당 기업이 한층 철저한 보안 사건 대응과 전반적으로 성숙한 보안 운영이 필요하다는 점을 인식하면서 신설됐다는 게 피츠제럴드의 설명이다. 그는 취약점 관리 운영 전문성을 개발하는 등 이 2가지 니즈를 성공적으로 해결하고 있다고 덧붙였다.     패치 적용에 집중 피츠제럴드는 보안 기본 사항에 중점을 두는 일부터 시작했다고 말했다. 보안 기본 사항을 바로잡는다면 (물론 생각보다 더 어려운 일이지만) 위험의 상당 부분을 제거할 수 있을 것이고, 그렇게 되면 보안팀은 일반적으로 더 전문화된 스킬과 전문적인 전략이 필요한 나머지 위험에 집중할 수 있다고 그는 전했다.  이를 염두에 두고, 그는 먼저 패치 프로그램의 가시성을 높이고, 해당 프로세스를 개선하고자 했다. 이러한 작업은 쉽지 않은 게 보통이지만 ARM의 비즈니스 목표와 이를 지원하는 데 필요한 기술 환경 때문에 특히 어려웠다고 피츠제럴드는 언급했다.  이를테면 ARM은 수십만 개의 CPU로 구성되고 항상 95% 이상의 용량으로 실행되는 매우 복잡한 고성능 컴퓨팅 인프라를 활용한다. 그는 “유지 관리해야 하는 시스템이 굉장히 많고, 이는 기업 인프라의 최상위에 위치한다. 즉, 자사 제품...

2022.01.24

강은성의 보안 아키텍트ㅣ2022년 보안 위협 전망? 해 아래 새것이 없다! 

백신과 치료약이 우리를 코로나19에서 해방해줄 거라는 희망이 희망 고문으로 끝나가는 한 해다. 백신은 부족하나마 바닥을 기던 우리 삶의 질을 조금 높여줬음에도 치료약이 지지부진하기 때문이다. 그래도 들리는 몇 가지 반가운 소식이 새해에는 어느새 우리 현실로 다가올 수 있기를 희망해 본다.   지난 2년 동안 주간 개인정보 뉴스레터를 만드느라 매주 개인정보 사고와 규제 등 개인정보 관련 뉴스를 찾아보고, 매달 기고를 위해 국내외 보안 위협 관련 이슈를 분석하면서 한 가지 깨달음을 얻었다.   “해 아래 새것이 없다!” 새해 보안 위협을 전망하는 것은 미래의 예측력을 자랑하기 위해서가 아니라 각 조직에서 어떤 보안 목표와 전략을 세우고, 보안 투자를 결정하는 데 도움이 되기 위해서일 것이다. 하지만 미래를 예측하는 것은 쉽지 않다. 분명한 것은 올해의 보안 위협은 작년의 연장선 위에 있다는 것이다. 물론 새롭게 나타난 것도 있지만 말이다. 이번 달 칼럼에서 올해의 보안 위협을 좀 더 상세하게 정리해 보려고 한 이유다. 굳이 새해 보안 위협 전망을 하지 않더라도 자연스럽게 새해의 보안 이슈를 조망해 볼 수 있지 않을까 한다. 2021년 ‘올해의 보안 위협’은 작년에 이어 단연코 랜섬웨어다. 랜섬웨어는 미국 대형 보험사 CNA(3월), 세계를 떠들썩하게 했던 미국 송유관 업체 콜로니얼 파이프라인과 세계적인 프랑스 보험사 AXA(5월), 세계 최대의 브라질 육류가공회사 JBS SA(6월) 등 세계적으로 막대한 피해를 줬고, 2020년 11월 대형 유통기업에 이어 국내 자동차 기업의 국외 법인(2월), 10위권의 배달대행업체(5월) 등 국내에서도 피해가 커서 과학기술정보통신부에서 ‘랜섬웨어 대응 지원반’을 운영하기도 했다. 지능형 표적 공격을 통한 랜섬웨어 유포, 서비스형 랜섬웨어 확산, 중요 정보를 훔친 뒤 암호화와 디도스 공격으로 협박하는 이중·삼중 갈취형 랜섬웨어 공격은 범인이 피해자에게 본인 물건을 돈을 내고 도로 사가라는 파렴치...

강은성 강은성의 보안 아키텍트 랜섬웨어 보안 위협 CSO CISO 지능형 표적 공격 디도스 공격 공급망 공격 악성코드 개인정보 유출

2021.12.31

백신과 치료약이 우리를 코로나19에서 해방해줄 거라는 희망이 희망 고문으로 끝나가는 한 해다. 백신은 부족하나마 바닥을 기던 우리 삶의 질을 조금 높여줬음에도 치료약이 지지부진하기 때문이다. 그래도 들리는 몇 가지 반가운 소식이 새해에는 어느새 우리 현실로 다가올 수 있기를 희망해 본다.   지난 2년 동안 주간 개인정보 뉴스레터를 만드느라 매주 개인정보 사고와 규제 등 개인정보 관련 뉴스를 찾아보고, 매달 기고를 위해 국내외 보안 위협 관련 이슈를 분석하면서 한 가지 깨달음을 얻었다.   “해 아래 새것이 없다!” 새해 보안 위협을 전망하는 것은 미래의 예측력을 자랑하기 위해서가 아니라 각 조직에서 어떤 보안 목표와 전략을 세우고, 보안 투자를 결정하는 데 도움이 되기 위해서일 것이다. 하지만 미래를 예측하는 것은 쉽지 않다. 분명한 것은 올해의 보안 위협은 작년의 연장선 위에 있다는 것이다. 물론 새롭게 나타난 것도 있지만 말이다. 이번 달 칼럼에서 올해의 보안 위협을 좀 더 상세하게 정리해 보려고 한 이유다. 굳이 새해 보안 위협 전망을 하지 않더라도 자연스럽게 새해의 보안 이슈를 조망해 볼 수 있지 않을까 한다. 2021년 ‘올해의 보안 위협’은 작년에 이어 단연코 랜섬웨어다. 랜섬웨어는 미국 대형 보험사 CNA(3월), 세계를 떠들썩하게 했던 미국 송유관 업체 콜로니얼 파이프라인과 세계적인 프랑스 보험사 AXA(5월), 세계 최대의 브라질 육류가공회사 JBS SA(6월) 등 세계적으로 막대한 피해를 줬고, 2020년 11월 대형 유통기업에 이어 국내 자동차 기업의 국외 법인(2월), 10위권의 배달대행업체(5월) 등 국내에서도 피해가 커서 과학기술정보통신부에서 ‘랜섬웨어 대응 지원반’을 운영하기도 했다. 지능형 표적 공격을 통한 랜섬웨어 유포, 서비스형 랜섬웨어 확산, 중요 정보를 훔친 뒤 암호화와 디도스 공격으로 협박하는 이중·삼중 갈취형 랜섬웨어 공격은 범인이 피해자에게 본인 물건을 돈을 내고 도로 사가라는 파렴치...

2021.12.31

풍요 속 빈곤··· 제대로 된 ‘CISO’ 일자리 찾으려면?

때때로 ‘최고정보보호책임자(Chief Information Security Officer; CISO)’라고 했지만 실제로는 CISO가 아니거나, 역할에 필요한 권한 및 리소스를 제공받지 못하는 경우가 있다. 이러한 상황을 피할 수 있는 방법은 다음과 같다.  CISO가 새로운 일자리를 찾을 때 알아둬야 할 사항은 ‘C-레벨 보안 전문가가 귀중하다’라는 점이다. 시간이 걸리더라도 좋은 직장을 까다롭게 구하라는 의미다. CISO 역할을 개척한 스티브 카츠는 “배고플 땐 쇼핑하지 마라”라고 말했다. 왜냐하면 CISO 일자리가 많긴 하지만 동등하진 않기 때문이다. 링크드인에서 검색만 해보더라도 1,000개 이상의 CISO 관련 일자리가 나오는데, 임원급이 대부분이다. 반면에 인디드닷컴에서는 4,000개 이상의 CISO 관련 일자리가 검색되긴 하지만 임원급이 아닌 게 많고 심지어 관리자급도 아니다. 이는 CISO가 새로운 일자리를 찾을 때 고려해야 할 중요한 부분이라고 전문가들은 언급했다. 이사회에 참여하고 CEO와 직간접적으로 연결된 진정한 C-레벨인가? 아니면 과장된 타이틀에 불과한가? (기업에서 규제 요건을 충족하기 위해 몸만 있으면 되는 전리품일 수도 있다.)     C-레벨 지위가 빠져 있는가? 美 캘리포니아주 오렌지카운티의 명문 사립대 채프먼대학교(Chapman University)의 CISO 조지 비거스는 “CISO가 조직 내에서 어디에 위치하는지 파악하면 해당 기업이 보안에 얼마나 투자했는지 알 수 있어서 ‘CISO가 누구에게 보고하는가?’를 가장 먼저 질문한다”라면서, “CISO가 CEO에게 보고하면 실질적으로 C-레벨급이라는 점을 알 수 있다. 반면에 CISO가 재무, 위험, 컴플라이언스에 보고한다면 경영진에서 배제돼 있다는 뜻이다”라고 전했다. 지난 2020년 말 발표된 포레스터의 보고서에 따르면 C-레벨로 간주되는 CISO는 13%에 불과했다. CISO 역할에 필요한 영향력 및 지원을 확보하고 있는 C-레벨급 ...

CSO CISO 보안 사이버 보안 C-레벨 커리어 최고정보보호책임자

2021.12.29

때때로 ‘최고정보보호책임자(Chief Information Security Officer; CISO)’라고 했지만 실제로는 CISO가 아니거나, 역할에 필요한 권한 및 리소스를 제공받지 못하는 경우가 있다. 이러한 상황을 피할 수 있는 방법은 다음과 같다.  CISO가 새로운 일자리를 찾을 때 알아둬야 할 사항은 ‘C-레벨 보안 전문가가 귀중하다’라는 점이다. 시간이 걸리더라도 좋은 직장을 까다롭게 구하라는 의미다. CISO 역할을 개척한 스티브 카츠는 “배고플 땐 쇼핑하지 마라”라고 말했다. 왜냐하면 CISO 일자리가 많긴 하지만 동등하진 않기 때문이다. 링크드인에서 검색만 해보더라도 1,000개 이상의 CISO 관련 일자리가 나오는데, 임원급이 대부분이다. 반면에 인디드닷컴에서는 4,000개 이상의 CISO 관련 일자리가 검색되긴 하지만 임원급이 아닌 게 많고 심지어 관리자급도 아니다. 이는 CISO가 새로운 일자리를 찾을 때 고려해야 할 중요한 부분이라고 전문가들은 언급했다. 이사회에 참여하고 CEO와 직간접적으로 연결된 진정한 C-레벨인가? 아니면 과장된 타이틀에 불과한가? (기업에서 규제 요건을 충족하기 위해 몸만 있으면 되는 전리품일 수도 있다.)     C-레벨 지위가 빠져 있는가? 美 캘리포니아주 오렌지카운티의 명문 사립대 채프먼대학교(Chapman University)의 CISO 조지 비거스는 “CISO가 조직 내에서 어디에 위치하는지 파악하면 해당 기업이 보안에 얼마나 투자했는지 알 수 있어서 ‘CISO가 누구에게 보고하는가?’를 가장 먼저 질문한다”라면서, “CISO가 CEO에게 보고하면 실질적으로 C-레벨급이라는 점을 알 수 있다. 반면에 CISO가 재무, 위험, 컴플라이언스에 보고한다면 경영진에서 배제돼 있다는 뜻이다”라고 전했다. 지난 2020년 말 발표된 포레스터의 보고서에 따르면 C-레벨로 간주되는 CISO는 13%에 불과했다. CISO 역할에 필요한 영향력 및 지원을 확보하고 있는 C-레벨급 ...

2021.12.29

랜섬웨어는 건재할 것 外··· 2022년 ‘사이버 보안’ 전망 5가지

올 한 해 ‘최고정보보호책임자(CISO)’가 해결해야 했던 문제를 검토하면 미래를 더욱더 잘 계획하는 데 도움이 될 수 있다. CISO 입장에서 2021년은 썩 좋은 해가 아니었다. 솔라윈즈 사이버 공격부터 시작해 전례 없는 수준으로 증가한 랜섬웨어 공격으로 끝을 맺고 있어서다.  이에 따라 CISO는 일상적인 업무를 처리하는 동시에 코로나19 사태로 인한 지속적인 보안 문제, 인력 부족, 하이브리드 인력 관리, 주요 인프라 사이버 공격까지 처리해야 했다. 아울러 사이버 보안에서 암호화폐의 성장이 갖는 의미도 파악해야 했다.  2021년이 저물어 가고 있다. CISO가 직/간접적으로 해결해야 했던 사이버 공격과 표면화됐던 트렌드 및 문제를 살펴보면 2022년을 예측하는 데 도움이 될 수 있을 것이다.    1. 랜섬웨어(Ransomware) 랜섬웨어는 건재할 전망이다. 한 보고서에 따르면 지난 9월 말까지 무려 약 5억 건의 랜섬웨어 공격 시도가 있었다. 이 수치는 새해 전야까지 약 7억 건에 근접할 것으로 예상된다. 은행 업계만 하더라도 2021년 한 해 동안 랜섬웨어 공격이 1,300% 이상 증가했다. 그중에서도 콜로니얼 파이프라인(Colonial Pipeline) 랜섬웨어 공격이 가장 유명할 것이다. 이를 통해 미국인들은 중요 기반 시설에 대한 사이버 공격이 얼마나 치명적인지 처음으로 실감하게 됐다. 이 공격은 콜로니얼의 재무 부문을 노린 것이었지만 (이로 인해) 동부 지역의 석유 공급이 중단돼 상당한 패닉을 일으켰다.  에너지 그리드 또는 식량 공급을 장기간 중단시키는 공격은 언제든지 발생할 수 있다. 이를 방지하는 확실하고도 유일한 방법은 기업의 랜섬웨어 취약성을 지속적으로 모니터링하고 평가하는 도구를 사용하는 것이다. 2. 웹 사이트 복제(Website cloning) 올해에는 랜섬웨어에 많은 관심이 집중됐지만 내년에는 웹 사이트 복제 및 온라인 사기 문제가 더 심각해질 전망이다. ...

CSO CISO 보안 사이버 보안 랜섬웨어 대퇴직 웹 사이트 복제 암호화폐 사이버 공격

2021.12.09

올 한 해 ‘최고정보보호책임자(CISO)’가 해결해야 했던 문제를 검토하면 미래를 더욱더 잘 계획하는 데 도움이 될 수 있다. CISO 입장에서 2021년은 썩 좋은 해가 아니었다. 솔라윈즈 사이버 공격부터 시작해 전례 없는 수준으로 증가한 랜섬웨어 공격으로 끝을 맺고 있어서다.  이에 따라 CISO는 일상적인 업무를 처리하는 동시에 코로나19 사태로 인한 지속적인 보안 문제, 인력 부족, 하이브리드 인력 관리, 주요 인프라 사이버 공격까지 처리해야 했다. 아울러 사이버 보안에서 암호화폐의 성장이 갖는 의미도 파악해야 했다.  2021년이 저물어 가고 있다. CISO가 직/간접적으로 해결해야 했던 사이버 공격과 표면화됐던 트렌드 및 문제를 살펴보면 2022년을 예측하는 데 도움이 될 수 있을 것이다.    1. 랜섬웨어(Ransomware) 랜섬웨어는 건재할 전망이다. 한 보고서에 따르면 지난 9월 말까지 무려 약 5억 건의 랜섬웨어 공격 시도가 있었다. 이 수치는 새해 전야까지 약 7억 건에 근접할 것으로 예상된다. 은행 업계만 하더라도 2021년 한 해 동안 랜섬웨어 공격이 1,300% 이상 증가했다. 그중에서도 콜로니얼 파이프라인(Colonial Pipeline) 랜섬웨어 공격이 가장 유명할 것이다. 이를 통해 미국인들은 중요 기반 시설에 대한 사이버 공격이 얼마나 치명적인지 처음으로 실감하게 됐다. 이 공격은 콜로니얼의 재무 부문을 노린 것이었지만 (이로 인해) 동부 지역의 석유 공급이 중단돼 상당한 패닉을 일으켰다.  에너지 그리드 또는 식량 공급을 장기간 중단시키는 공격은 언제든지 발생할 수 있다. 이를 방지하는 확실하고도 유일한 방법은 기업의 랜섬웨어 취약성을 지속적으로 모니터링하고 평가하는 도구를 사용하는 것이다. 2. 웹 사이트 복제(Website cloning) 올해에는 랜섬웨어에 많은 관심이 집중됐지만 내년에는 웹 사이트 복제 및 온라인 사기 문제가 더 심각해질 전망이다. ...

2021.12.09

“한 ‘보안’ 우물만 파던 시대는 끝났다” 깃허브 CSO

깃허브(GitHub)의 CSO 마이크 핸리는 ‘CISO’의 역할이 전통적인 기대치를 넘어 확대되면서 성공적인 역할 수행에 필요한 것 역시 고객 중심적 사고와 심도 있는 비즈니스 컨텍스트 이해를 중심으로 바뀌고 있다고 진단했다. ‘보안’은 깃허브가 세일즈 피치에서 내세우는 것 중 하나다. 이 회사는 깃허브 플랫폼을 ‘보호하고 방어하여’ 개발자가 신뢰하고 사용할 수 있도록 하겠다고 말한다.  이 약속을 이행해야 하는 사람은 깃허브의 CSO 마이크 핸리다. 그는 자신의 역할을 “내부 IT 및 기업 보안, 제품 보안, 플랫폼 건정성, GRC(거버넌스, 위험, 컴플라이언스), 깃허브 보안 랩(GitHub Security Lab), 보안 제품 개발을 위한 협력 등을 모두 포괄한다”라고 설명했다.    깃허브의 보안 요구사항은 대부분의 기업과는 다른 (깃허브의) 비즈니스 모델을 반영한다. 깃허브는 개발자가 오픈소스 프로그래밍 프로젝트를 관리, 유지, 협업할 수 있는 코드 호스팅 플랫폼이다. 또한 개발자, 작업, 온라인 협업 커뮤니티를 활성화하는 다양한 기능도 제공한다.  이 모든 것을 감안한다면 핸리가 맡고 있는 일의 범위가 전통적인 기업 최고보안책임자에 비해 넓다는 게 놀라운 일은 아니다. 그는 이러한 업무 범위가 깃허브와 해당 업계 및 제품에 특화돼 있다고 인정하는 한편, CISO의 역할이 전통적인 기대치를 넘어 점점 더 확장되는 추세는 앞으로도 계속될 것이라고 내다봤다. 핸리는 “오늘날의 보안 리더는 본인의 주된 책임이 기업과 고객을 보호하는 것이며, 앞으로는 이를 위해 보안뿐만 아니라 비즈니스까지 심도 있게 이해해야 한다는 것을 깨달아야 한다. 한 우물만 파던 시대는 끝났다”라고 강조했다.  이어서 그는 “따라서 보안 리더는 고객은 물론이고 비즈니스를 이끄는 동료와 대화해야 하고, 또 의사결정을 내리는 비즈니스 리더가 돼야 한다. 고객 중심적 사고와 비즈니스 컨텍스트 및 비즈니스 인사이트가 매우 중요해졌다. ...

CIO CSO CISO 커리어 경력 IT 리더십 보안 깃허브

2021.11.11

깃허브(GitHub)의 CSO 마이크 핸리는 ‘CISO’의 역할이 전통적인 기대치를 넘어 확대되면서 성공적인 역할 수행에 필요한 것 역시 고객 중심적 사고와 심도 있는 비즈니스 컨텍스트 이해를 중심으로 바뀌고 있다고 진단했다. ‘보안’은 깃허브가 세일즈 피치에서 내세우는 것 중 하나다. 이 회사는 깃허브 플랫폼을 ‘보호하고 방어하여’ 개발자가 신뢰하고 사용할 수 있도록 하겠다고 말한다.  이 약속을 이행해야 하는 사람은 깃허브의 CSO 마이크 핸리다. 그는 자신의 역할을 “내부 IT 및 기업 보안, 제품 보안, 플랫폼 건정성, GRC(거버넌스, 위험, 컴플라이언스), 깃허브 보안 랩(GitHub Security Lab), 보안 제품 개발을 위한 협력 등을 모두 포괄한다”라고 설명했다.    깃허브의 보안 요구사항은 대부분의 기업과는 다른 (깃허브의) 비즈니스 모델을 반영한다. 깃허브는 개발자가 오픈소스 프로그래밍 프로젝트를 관리, 유지, 협업할 수 있는 코드 호스팅 플랫폼이다. 또한 개발자, 작업, 온라인 협업 커뮤니티를 활성화하는 다양한 기능도 제공한다.  이 모든 것을 감안한다면 핸리가 맡고 있는 일의 범위가 전통적인 기업 최고보안책임자에 비해 넓다는 게 놀라운 일은 아니다. 그는 이러한 업무 범위가 깃허브와 해당 업계 및 제품에 특화돼 있다고 인정하는 한편, CISO의 역할이 전통적인 기대치를 넘어 점점 더 확장되는 추세는 앞으로도 계속될 것이라고 내다봤다. 핸리는 “오늘날의 보안 리더는 본인의 주된 책임이 기업과 고객을 보호하는 것이며, 앞으로는 이를 위해 보안뿐만 아니라 비즈니스까지 심도 있게 이해해야 한다는 것을 깨달아야 한다. 한 우물만 파던 시대는 끝났다”라고 강조했다.  이어서 그는 “따라서 보안 리더는 고객은 물론이고 비즈니스를 이끄는 동료와 대화해야 하고, 또 의사결정을 내리는 비즈니스 리더가 돼야 한다. 고객 중심적 사고와 비즈니스 컨텍스트 및 비즈니스 인사이트가 매우 중요해졌다. ...

2021.11.11

“새 접근법이 필요하다”··· 가트너, 2022년 기업 보안 동향 8가지 발표

가트너가 2022년 주목해야 할 8가지 기업 보안 동향을 발표했다. 아이덴티티 관리, 하이브리드 근무, 보안 제품 통합 등이 기업 보안과 관련된 핵심 트렌드로 선정됐다.   최근 기업에서 중앙집권적 통제가 약화되면서 새로운 보안 문제들이 대두되고 있다. 가트너 애널리스트들은 이들 위협에 대응하기 위해 새로운 방법이 필요하다고 조언한다. 네트워크 보안의 기본 공식을 변화시킬 위협들이기 때문이다. 가트너 부사장 피터 퍼스트브룩은 끊임없이 진화하는 보안 문제를 다룰 수 있는 IT 전문가 영입이 중요하면서도 지속적인 숙제라고 말했다. 퍼스트브룩은 "사이버보안 팀에게는 수많은 형태의 디지털 트랜스포메이션과 다른 여러 신기술을 보호해야할 책무가 있다"라며, "숙련된 전문가가 없으면 원하는대로 제어할 수 없는 매니지드 또는 클라우드 제공 서비스를 채택하는 것이 불가피해진다"라고 말했다. 퍼스트브룩은 또 "최근 랜섬웨어 공격과 기업 피싱이 폭발적으로 증가하는 가운데 공격자들이 더 끈질긴 양상을 보이고 있다”라며 “공격자들이 사이버 공격을 서비스로 제공하는 등 전문성을 높여가고 있다. 이에 따라 공격자가 되기 위한 장벽이 낮아지고 있고 사이버 공격의 수가 크게 늘 수 있다"라고 우려했다. 가트너가 제시한 보안 및 위험 관리 분야 8개 트렌드는 다음과 같다. 뉴노멀이 된 원격/하이브리드 근무 원격 또는 하이브리드 근무자의 비중은 향후 2년 사이 30% 증가할 것으로 예상된다. 퍼스트브룩은 기업들이 거주지와 상관없이 숙련된 직원을 채용할 수 있다는 게 원격근무의 큰 장점이라고 말했다. 하지만 이 같은 형태로 인력이 고용되면 새로운 보안 문제가 발생할 수 있다. (원격 근무 도입으로) 온프레미스 보안 도구 및 하드웨어를 많이 활용하지 않게 되면서 기업들이 클라우드 보안에 중점을 두는 경향이 나타난다. 이를 통해 기업들은 엔드포인트의 위치와 상관없이 (보안과 관련된) 가시성과 통제권을 확보할 수 있다고 퍼스트브룩은 말했다. 사이버보안 메시 아키텍처(CSMA) 가...

가트너 2022년 기업 보안 하이브리드근무 원격근무 아이덴티티 보안정책 CSO

2021.10.20

가트너가 2022년 주목해야 할 8가지 기업 보안 동향을 발표했다. 아이덴티티 관리, 하이브리드 근무, 보안 제품 통합 등이 기업 보안과 관련된 핵심 트렌드로 선정됐다.   최근 기업에서 중앙집권적 통제가 약화되면서 새로운 보안 문제들이 대두되고 있다. 가트너 애널리스트들은 이들 위협에 대응하기 위해 새로운 방법이 필요하다고 조언한다. 네트워크 보안의 기본 공식을 변화시킬 위협들이기 때문이다. 가트너 부사장 피터 퍼스트브룩은 끊임없이 진화하는 보안 문제를 다룰 수 있는 IT 전문가 영입이 중요하면서도 지속적인 숙제라고 말했다. 퍼스트브룩은 "사이버보안 팀에게는 수많은 형태의 디지털 트랜스포메이션과 다른 여러 신기술을 보호해야할 책무가 있다"라며, "숙련된 전문가가 없으면 원하는대로 제어할 수 없는 매니지드 또는 클라우드 제공 서비스를 채택하는 것이 불가피해진다"라고 말했다. 퍼스트브룩은 또 "최근 랜섬웨어 공격과 기업 피싱이 폭발적으로 증가하는 가운데 공격자들이 더 끈질긴 양상을 보이고 있다”라며 “공격자들이 사이버 공격을 서비스로 제공하는 등 전문성을 높여가고 있다. 이에 따라 공격자가 되기 위한 장벽이 낮아지고 있고 사이버 공격의 수가 크게 늘 수 있다"라고 우려했다. 가트너가 제시한 보안 및 위험 관리 분야 8개 트렌드는 다음과 같다. 뉴노멀이 된 원격/하이브리드 근무 원격 또는 하이브리드 근무자의 비중은 향후 2년 사이 30% 증가할 것으로 예상된다. 퍼스트브룩은 기업들이 거주지와 상관없이 숙련된 직원을 채용할 수 있다는 게 원격근무의 큰 장점이라고 말했다. 하지만 이 같은 형태로 인력이 고용되면 새로운 보안 문제가 발생할 수 있다. (원격 근무 도입으로) 온프레미스 보안 도구 및 하드웨어를 많이 활용하지 않게 되면서 기업들이 클라우드 보안에 중점을 두는 경향이 나타난다. 이를 통해 기업들은 엔드포인트의 위치와 상관없이 (보안과 관련된) 가시성과 통제권을 확보할 수 있다고 퍼스트브룩은 말했다. 사이버보안 메시 아키텍처(CSMA) 가...

2021.10.20

CEO 이메일 위조는 옛말... 나날이 교묘해지는 'BEC' 현황 및 예방법

‘기업 이메일 침해(Business Email Compromise; BEC)’란 피해자를 속여 기업 정보/시스템 액세스를 노출시키거나, 돈을 건네게 하거나, 회사에 부정적인 영향을 미치는 다른 행위를 하도록 유도하는 이메일 기반의 사이버 표적 공격을 말한다.  일반적인 무작위 피싱 이메일과 비교해 BEC 공격은 타깃이 구체적이고, 개인적이면서도 문법적으론 정확한 표현을 구사하여 그럴듯하게 보이는 데다가, 긴급한 지시사항을 전달해 이메일을 받은 사람은 이를 믿게 된다.  英 사이버 보안 업체 ‘레드스캔(Redscan)’의 침투 테스트 부문 책임자 제드 카페츠는 <CSO>와의 인터뷰에서 “최근 언론에는 랜섬웨어가 부각되고 있지만 BEC 공격으로 인한 보안 위협을 잊지 않는 게 중요하다”라면서, “예나 지금이나 BEC 공격은 사이버 범죄자가 많이 사용하는 인기 있는 벡터이며, 탐지하기가 갈수록 어려워지고 있다”라고 말했다.    통계 FBI의 ‘2020 인터넷 범죄 보고서(2020 Internet Crime Report)’에 따르면 지난 2020년 신고된 BEC 공격은 1만 9,369건이며, 피해액은 18억 달러에 달한다. 공격 건수는 전년 대비 19% 감소했지만 총 손실액과 피해자 1인당 평균 손실액은 전년 대비 각각 5%, 29% 증가했다.  주요 목적은? 다른 모든 피싱 공격과 마찬가지로 BEC의 목적은 사람들이 정상적인 비즈니스 관련 이메일을 받았다고 착각하게 속여 기업에 유익하거나 필요하다고 생각하는 일을 하도록 하는 것이다. 작동 방식 몇 년 전 BEC가 처음 유명세를 탔을 때 이는 주로 C-레벨(CEO인 경우가 많음)의 이메일 주소를 위조(spoofing)한 다음 재무팀의 누군가에게 신뢰할 수 있는 공급업체의 은행 계좌로 자금을 이체하라는 긴급 요청을 보내는 식이었다.  표준 절차를 벗어난 비정상적인 결제 프로세스이지만 이메일 주소도 진짜처럼 보이고, 표현도 개인적인 데다가(예...

CSO 피싱 피싱 메일 기업 이메일 침해 BEC 랜섬웨어 원격근무 제로 트러스트 MFA

2021.07.19

‘기업 이메일 침해(Business Email Compromise; BEC)’란 피해자를 속여 기업 정보/시스템 액세스를 노출시키거나, 돈을 건네게 하거나, 회사에 부정적인 영향을 미치는 다른 행위를 하도록 유도하는 이메일 기반의 사이버 표적 공격을 말한다.  일반적인 무작위 피싱 이메일과 비교해 BEC 공격은 타깃이 구체적이고, 개인적이면서도 문법적으론 정확한 표현을 구사하여 그럴듯하게 보이는 데다가, 긴급한 지시사항을 전달해 이메일을 받은 사람은 이를 믿게 된다.  英 사이버 보안 업체 ‘레드스캔(Redscan)’의 침투 테스트 부문 책임자 제드 카페츠는 <CSO>와의 인터뷰에서 “최근 언론에는 랜섬웨어가 부각되고 있지만 BEC 공격으로 인한 보안 위협을 잊지 않는 게 중요하다”라면서, “예나 지금이나 BEC 공격은 사이버 범죄자가 많이 사용하는 인기 있는 벡터이며, 탐지하기가 갈수록 어려워지고 있다”라고 말했다.    통계 FBI의 ‘2020 인터넷 범죄 보고서(2020 Internet Crime Report)’에 따르면 지난 2020년 신고된 BEC 공격은 1만 9,369건이며, 피해액은 18억 달러에 달한다. 공격 건수는 전년 대비 19% 감소했지만 총 손실액과 피해자 1인당 평균 손실액은 전년 대비 각각 5%, 29% 증가했다.  주요 목적은? 다른 모든 피싱 공격과 마찬가지로 BEC의 목적은 사람들이 정상적인 비즈니스 관련 이메일을 받았다고 착각하게 속여 기업에 유익하거나 필요하다고 생각하는 일을 하도록 하는 것이다. 작동 방식 몇 년 전 BEC가 처음 유명세를 탔을 때 이는 주로 C-레벨(CEO인 경우가 많음)의 이메일 주소를 위조(spoofing)한 다음 재무팀의 누군가에게 신뢰할 수 있는 공급업체의 은행 계좌로 자금을 이체하라는 긴급 요청을 보내는 식이었다.  표준 절차를 벗어난 비정상적인 결제 프로세스이지만 이메일 주소도 진짜처럼 보이고, 표현도 개인적인 데다가(예...

2021.07.19

한걸음 가까이··· 'CISO'가 CFO 언어를 구사하는 방법

모든 '최고정보보호책임자(Chief Information Security Officer; CISO)'는 사이버 위협이 더욱더 은밀하고 정교하게 진화하고 있다는 사실을 알고 있다. 따라서 이들은 끝이 없어 보이는 기업 보안이란 임무를 수행해야 한다. 여기서 '최고재무책임자(Chief Finance Officer; CFO)'의 비즈니스 언어를 구사한다면 CISO는 예산 확보율을 높이고 책임을 이행하는 데) 필요한 투자를 확보할 수 있을 것이다.   美 보안 전문회사 프루프포인트(Proofpoint)가 영국과 아일랜드의 CISO, CSO를 대상으로 실시한 설문조사에 따르면 전체 응답자의 절반 이상이 2020년에 소속 기업에서 적어도 1건 이상의 사이버 공격을 경험했다고 밝혔다. 또한 약 3분의 2는 2021년에도 소속 기업이 상당한 공격 위험에 처해있다고 답했다.  하지만 안타깝게도, 많은 CISO가 소속 기업을 보호하는 데 필요한 리소스를 확보하지 못해 어려움을 겪고 있다. 해당 조사에서 전체 응답자의 50%가 이사회에서 효과적인 사이버 보안에 충분한 관심을 기울이지 않는다고 느끼는 것으로 나타났다.  CISO가 CFO의 비즈니스 언어를 구사한다면 예산 확보율을 높이고 책임을 이행하는 데 필요한 투자를 확보할 수 있다. 최고재무책임자(CFO) 이해하기  당연히 CFO는 재무 성과, 자산 보호, 가치 창출 및 수익 증대에 관심을 가질 수밖에 없다. 즉 보안과 컴플라이언스는 CFO가 많은 시간을 할애하는 부분은 아니다. 하지만 CFO도 보안 사고로 인한 비용이 엄청날 수 있다는 점은 알고 있다.  BEC(Business Email Compromise; 기업 관계자를 사칭한 이메일로 돈이나 데이터를 탈취하는 사이버 공격 수법) 공격을 예로 들자면 美 FBI는 이 공격으로 인한 피해 규모가 지난 3년 동안 265억 달러에 달하는 것으로 추산하기도 했다.  이렇게 재정적 위험이 입증돼 있긴 하지만 그렇다 하...

CISO CSO 보안 CFO 프루프포인트 사이버 위협 사이버 보안 비즈니스 언어 C-레벨

2021.04.06

모든 '최고정보보호책임자(Chief Information Security Officer; CISO)'는 사이버 위협이 더욱더 은밀하고 정교하게 진화하고 있다는 사실을 알고 있다. 따라서 이들은 끝이 없어 보이는 기업 보안이란 임무를 수행해야 한다. 여기서 '최고재무책임자(Chief Finance Officer; CFO)'의 비즈니스 언어를 구사한다면 CISO는 예산 확보율을 높이고 책임을 이행하는 데) 필요한 투자를 확보할 수 있을 것이다.   美 보안 전문회사 프루프포인트(Proofpoint)가 영국과 아일랜드의 CISO, CSO를 대상으로 실시한 설문조사에 따르면 전체 응답자의 절반 이상이 2020년에 소속 기업에서 적어도 1건 이상의 사이버 공격을 경험했다고 밝혔다. 또한 약 3분의 2는 2021년에도 소속 기업이 상당한 공격 위험에 처해있다고 답했다.  하지만 안타깝게도, 많은 CISO가 소속 기업을 보호하는 데 필요한 리소스를 확보하지 못해 어려움을 겪고 있다. 해당 조사에서 전체 응답자의 50%가 이사회에서 효과적인 사이버 보안에 충분한 관심을 기울이지 않는다고 느끼는 것으로 나타났다.  CISO가 CFO의 비즈니스 언어를 구사한다면 예산 확보율을 높이고 책임을 이행하는 데 필요한 투자를 확보할 수 있다. 최고재무책임자(CFO) 이해하기  당연히 CFO는 재무 성과, 자산 보호, 가치 창출 및 수익 증대에 관심을 가질 수밖에 없다. 즉 보안과 컴플라이언스는 CFO가 많은 시간을 할애하는 부분은 아니다. 하지만 CFO도 보안 사고로 인한 비용이 엄청날 수 있다는 점은 알고 있다.  BEC(Business Email Compromise; 기업 관계자를 사칭한 이메일로 돈이나 데이터를 탈취하는 사이버 공격 수법) 공격을 예로 들자면 美 FBI는 이 공격으로 인한 피해 규모가 지난 3년 동안 265억 달러에 달하는 것으로 추산하기도 했다.  이렇게 재정적 위험이 입증돼 있긴 하지만 그렇다 하...

2021.04.06

강은성의 보안 아키텍트ㅣ연말이면 쏟아지는 사이버 위협 보고서, 그래서 어쩌라고?

올해 글로벌 사이버 위협 이슈에 관해 기고할 일이 있어서 여느 해와 달리 맥아피, 카스퍼스키, 파이어아이, 소닉월, 포티넷 등 주요 글로벌 보안기업의 월별, 분기별 보고서와 위협 인텔리전스 관련 블로그를 많이 찾아 읽었다. 인터넷 검색만 해 보더라도 사이버 위협 보고서를 내는 기업은 매우 다양하고 그 수도 50여개를 훌쩍 넘어서지만 단편적인 블로그가 아니라 주기적으로 위협 인텔리전스를 중심으로 체계적인 사이버 위협 보고서를 내는 기업은 안티바이러스를 주업으로 하는 엔드포인트 보안 기업과 네트워크 보안 기업이 주를 이룬다.    그런데 이러한 기업의 보고서(블로그 포함)는 자체 제품을 통해 탐지 및 차단한 사이버 위협으로 통계를 내고 분석하여 그 의미를 해석하고 있어서 제품의 시장 점유율과 탐지 로직, 위협의 탐지 지점(엔드포인트 vs. 네트워크)에 따라 통계적 의미가 없을 정도로 들쑥날쑥한 결과를 보여준다.  또한 악성코드나 사이버 위협을 기술적으로 분석한 보고서도 상당하다. 절대 다수의 보고서는 영문으로 되어 있고 국문 보고서는 가뭄에 콩 나듯 한다. 보안솔루션의 운영, 사내 타 부서와의 협업, 임직원의 전화 받기 등 과중한 업무에 시달리는 기업보안 담당자가 그러한 보고서를 읽고 어떤 행동을 취하기는 거의 불가능하다고 할 수 있다. 개인적으로 볼 때 올해 사이버 위협의 키워드는 ▲‘표적’(Target), ▲‘피싱’(Phishing), ▲‘원격’(Remote)이 되지 않을까 싶다.  우선, 표적은 ‘Advanced Targeted Attacks(ATA, APT 공격의 다른 이름)’에서 처음 나온 게 아니다. 1.25 인터넷 대란(2003년)과 같이 불특정 다수를 대상으로 한 공격을 제외하고는 공격 대상이 주요 기관들이어서 사회적 반향이 컸던 7.7 디도스 공격(2009년)이나 최근 대기업을 대상으로 한 랜섬웨어 공격 역시 표적 공격이다.    소닉월의 반기 사이버 위협 보고서에 따르면 올해 상반...

강은성 보안 아키텍트 사이버 위협 맥아피 카스퍼스키 파이어아이 소닉월 포티넷 보안기업 위협 인텔리전스 표적 피싱 원격 CISO CSO

2020.12.21

올해 글로벌 사이버 위협 이슈에 관해 기고할 일이 있어서 여느 해와 달리 맥아피, 카스퍼스키, 파이어아이, 소닉월, 포티넷 등 주요 글로벌 보안기업의 월별, 분기별 보고서와 위협 인텔리전스 관련 블로그를 많이 찾아 읽었다. 인터넷 검색만 해 보더라도 사이버 위협 보고서를 내는 기업은 매우 다양하고 그 수도 50여개를 훌쩍 넘어서지만 단편적인 블로그가 아니라 주기적으로 위협 인텔리전스를 중심으로 체계적인 사이버 위협 보고서를 내는 기업은 안티바이러스를 주업으로 하는 엔드포인트 보안 기업과 네트워크 보안 기업이 주를 이룬다.    그런데 이러한 기업의 보고서(블로그 포함)는 자체 제품을 통해 탐지 및 차단한 사이버 위협으로 통계를 내고 분석하여 그 의미를 해석하고 있어서 제품의 시장 점유율과 탐지 로직, 위협의 탐지 지점(엔드포인트 vs. 네트워크)에 따라 통계적 의미가 없을 정도로 들쑥날쑥한 결과를 보여준다.  또한 악성코드나 사이버 위협을 기술적으로 분석한 보고서도 상당하다. 절대 다수의 보고서는 영문으로 되어 있고 국문 보고서는 가뭄에 콩 나듯 한다. 보안솔루션의 운영, 사내 타 부서와의 협업, 임직원의 전화 받기 등 과중한 업무에 시달리는 기업보안 담당자가 그러한 보고서를 읽고 어떤 행동을 취하기는 거의 불가능하다고 할 수 있다. 개인적으로 볼 때 올해 사이버 위협의 키워드는 ▲‘표적’(Target), ▲‘피싱’(Phishing), ▲‘원격’(Remote)이 되지 않을까 싶다.  우선, 표적은 ‘Advanced Targeted Attacks(ATA, APT 공격의 다른 이름)’에서 처음 나온 게 아니다. 1.25 인터넷 대란(2003년)과 같이 불특정 다수를 대상으로 한 공격을 제외하고는 공격 대상이 주요 기관들이어서 사회적 반향이 컸던 7.7 디도스 공격(2009년)이나 최근 대기업을 대상으로 한 랜섬웨어 공격 역시 표적 공격이다.    소닉월의 반기 사이버 위협 보고서에 따르면 올해 상반...

2020.12.21

강은성의 보안 아키텍트ㅣ산업기술보호법에도 최고보안책임자?

지난 10월 국회에 제출된 ‘산업기술의 유출방지 및 보호에 관한 법률’(이하 산업기술보호법) 개정안 중 ‘국가핵심기술’ 보유기관의 보안조직에 관한 것이 있다. 대상 기관이 얼마 되지 않긴 하지만 법령에서 민간기업의 (임원급) 직책과 겸직 여부까지 규율하는 과도한 규제의 연속 선상에 있는 것으로 보아 이번 칼럼에서 이를 다루고자 한다.   이 개정안에서는 “국가핵심기술을 보유한 대상기관 중 국가핵심기술 보호를 위한 전담 조직이 구비되어 있는 기관이 전체의 35%에 불과하고, 국가핵심기술 보호 업무 전담 임원 내지 담당 임원을 갖추고 있는 기관들은 거의 전무하여 대상기관들에서 국가핵심기술 보호 업무가 실질적으로 이루어지지 못하고 있는 상황”이라고 제안 이유를 밝히면서 대기업에는 정보통신망법상 정보보호 최고책임자(CISO: Chief Information Security Officer) 업무 이외의 다른 업무 겸임을 금지하는 국가핵심기술 보호 전담 임원 최고책임자(CSO: Chief Security Officer) 지정 및 전담 조직 설치, 중견기업에는 담당 인원 지정 및 담당 조직 설치, 중소기업에는 담당 조직 설치를 의무화한다(제10조의2(국가핵심기술보호 인원의 지정 및 조직의 설치 등) 신설).  ‘제안 이유’에서 “국가핵심기술 보호 업무가 실질적으로 이루어지지 못하고 있다”고 진단하고 그 원인을 오로지 “전담조직 있는 기관이 35%”, “CSO 지정 거의 전무”라고만 설명하여서 실제로 대상기관의 기술 보호 수준이나 보안 활동을 평가한 것은 아닌 것으로 같아 그러한 진단의 근거가 궁금했다.  인터넷을 검색하다가 ‘제안 이유’와 거의 같은 기사를 찾았다(“[단독]국가핵심기술 보유 기업, 보안팀 운영 36%뿐”, 동아닷컴, 2020.10.07.). 이 기사에서는 ‘한국산업보안한림원’이란 곳에서 국가핵심기술을 보유한 기업과 연구기관 등 전체 143곳을 조사해 보니, 보안전담임원이 있는 곳 8개사(5.6%), 전담조직이 있는 곳 51...

강은성 보안 아키텍트 산업기술 산업기술보호법 최고보안책임자 국가핵심기술 CSO CISO 보안 보안 임원

2020.11.17

지난 10월 국회에 제출된 ‘산업기술의 유출방지 및 보호에 관한 법률’(이하 산업기술보호법) 개정안 중 ‘국가핵심기술’ 보유기관의 보안조직에 관한 것이 있다. 대상 기관이 얼마 되지 않긴 하지만 법령에서 민간기업의 (임원급) 직책과 겸직 여부까지 규율하는 과도한 규제의 연속 선상에 있는 것으로 보아 이번 칼럼에서 이를 다루고자 한다.   이 개정안에서는 “국가핵심기술을 보유한 대상기관 중 국가핵심기술 보호를 위한 전담 조직이 구비되어 있는 기관이 전체의 35%에 불과하고, 국가핵심기술 보호 업무 전담 임원 내지 담당 임원을 갖추고 있는 기관들은 거의 전무하여 대상기관들에서 국가핵심기술 보호 업무가 실질적으로 이루어지지 못하고 있는 상황”이라고 제안 이유를 밝히면서 대기업에는 정보통신망법상 정보보호 최고책임자(CISO: Chief Information Security Officer) 업무 이외의 다른 업무 겸임을 금지하는 국가핵심기술 보호 전담 임원 최고책임자(CSO: Chief Security Officer) 지정 및 전담 조직 설치, 중견기업에는 담당 인원 지정 및 담당 조직 설치, 중소기업에는 담당 조직 설치를 의무화한다(제10조의2(국가핵심기술보호 인원의 지정 및 조직의 설치 등) 신설).  ‘제안 이유’에서 “국가핵심기술 보호 업무가 실질적으로 이루어지지 못하고 있다”고 진단하고 그 원인을 오로지 “전담조직 있는 기관이 35%”, “CSO 지정 거의 전무”라고만 설명하여서 실제로 대상기관의 기술 보호 수준이나 보안 활동을 평가한 것은 아닌 것으로 같아 그러한 진단의 근거가 궁금했다.  인터넷을 검색하다가 ‘제안 이유’와 거의 같은 기사를 찾았다(“[단독]국가핵심기술 보유 기업, 보안팀 운영 36%뿐”, 동아닷컴, 2020.10.07.). 이 기사에서는 ‘한국산업보안한림원’이란 곳에서 국가핵심기술을 보유한 기업과 연구기관 등 전체 143곳을 조사해 보니, 보안전담임원이 있는 곳 8개사(5.6%), 전담조직이 있는 곳 51...

2020.11.17

따져보면 비즈니스 능력자!··· CISO가 창출할 수 있는 10가지 추가 가치

모든 경영진과 마찬가지로 CISO도 자신과 소속팀이 가치를 입증해야 한다는 압력에 직면해 있다. 그러나 이는 여전히 쉽지 않은 작업이다.  .uk 도메인 네임 레지스트리인 노미넷(Nominet)의 ‘주변 내의 삶: 현대 CISO의 이해(Life Inside the Perimeter: Understanding the Modern CISO)’ 보고서에 따르면, CISO의 52%만이 동료 임원들이 매출 및 브랜드 보호 측면에서 보안 팀을 중요하게 생각하는 것 같다고 응답했다. CISO가 비즈니스를 안전하게 운영할 수 있게 하는 것만으로도 가치를 창출하는 것이기는 하다. 그러나 일부 CISO는 실제 부가 활동을 통해 추가 매출을 창출하고 있다. 그들은 비용을 절감하고, 새로운 전략적 기회를 창출하고, 심지어 다양한 이니셔티브를 통해 매출을 증대시키고 있다. 케리 펄슨 MIT 슬론 (CAMS)의 사이버 보안 담당 상무는 “CISO가 조직에 가치를 가져다줄 수 있는 기회가 많다고 본다”라고 말한다. CISO가 추가 매출을 창출하는 10가지 사례를 살펴본다.   조직 데이터의 흐름 개선 KPMG의 글로벌 사이버 보안 실무 공동 리더 겸 수석인 토니 부포만테는 조직 전반에 걸쳐 가시성이 향상되면 보안서비스 이상의 부가가치를 창출할 기회가 나타나고 있다고 전했다. 그는 KPMG가 주요 금융기관의 CISO와 협력하여 데이터 주변의 리스크를 평가한 한 사례를 언급했다. 해당 평가를 수행하면서, CISO는 수집된 데이터가 여러 위치에 있는 데이터가 아닐 뿐만 아니라 사용되지 않고 있다는 것을 발견했다. CISO와 KPMG는 먼저 위험 및 보안 평가의 일부로 데이터 요소를 평가했다. 그런 다음 다양한 날짜 요소가 경쟁 우위에 유용한지 여부, 여러 곳에 존재하는지 여부, 그리고 실제로 여러 장소에서 사용되었는지 여부를 문서화했다. CISO는 또한 IT와 그의 통찰력을 공유하여 중복성을 없애고 데이터 사용 공간을 줄였는데, 이는 회사의 현금을 절약하는 ...

CSO CISO 매출 가치 창출 표준화 보안 조직 보안 팀

2020.09.09

모든 경영진과 마찬가지로 CISO도 자신과 소속팀이 가치를 입증해야 한다는 압력에 직면해 있다. 그러나 이는 여전히 쉽지 않은 작업이다.  .uk 도메인 네임 레지스트리인 노미넷(Nominet)의 ‘주변 내의 삶: 현대 CISO의 이해(Life Inside the Perimeter: Understanding the Modern CISO)’ 보고서에 따르면, CISO의 52%만이 동료 임원들이 매출 및 브랜드 보호 측면에서 보안 팀을 중요하게 생각하는 것 같다고 응답했다. CISO가 비즈니스를 안전하게 운영할 수 있게 하는 것만으로도 가치를 창출하는 것이기는 하다. 그러나 일부 CISO는 실제 부가 활동을 통해 추가 매출을 창출하고 있다. 그들은 비용을 절감하고, 새로운 전략적 기회를 창출하고, 심지어 다양한 이니셔티브를 통해 매출을 증대시키고 있다. 케리 펄슨 MIT 슬론 (CAMS)의 사이버 보안 담당 상무는 “CISO가 조직에 가치를 가져다줄 수 있는 기회가 많다고 본다”라고 말한다. CISO가 추가 매출을 창출하는 10가지 사례를 살펴본다.   조직 데이터의 흐름 개선 KPMG의 글로벌 사이버 보안 실무 공동 리더 겸 수석인 토니 부포만테는 조직 전반에 걸쳐 가시성이 향상되면 보안서비스 이상의 부가가치를 창출할 기회가 나타나고 있다고 전했다. 그는 KPMG가 주요 금융기관의 CISO와 협력하여 데이터 주변의 리스크를 평가한 한 사례를 언급했다. 해당 평가를 수행하면서, CISO는 수집된 데이터가 여러 위치에 있는 데이터가 아닐 뿐만 아니라 사용되지 않고 있다는 것을 발견했다. CISO와 KPMG는 먼저 위험 및 보안 평가의 일부로 데이터 요소를 평가했다. 그런 다음 다양한 날짜 요소가 경쟁 우위에 유용한지 여부, 여러 곳에 존재하는지 여부, 그리고 실제로 여러 장소에서 사용되었는지 여부를 문서화했다. CISO는 또한 IT와 그의 통찰력을 공유하여 중복성을 없애고 데이터 사용 공간을 줄였는데, 이는 회사의 현금을 절약하는 ...

2020.09.09

로그인 정보 분석해 봇 차단… 오스제로 시그널즈

오스제로 ID 관리 플랫폼의 핵심 구성 요소인 오스제로 시그널즈(Auth0 Signals)은 4가지 주요 기준에 대한 로그인 시도를 분석하여 스크립트 기반 또는 봇 공격을 식별하고 차단한다.   지난 30년 동안 컴퓨터 보안은 애플리케이션과 웹사이트에 들어가는 순간 이용자가 자신을 인증하는 것이 주류였다. 이용자가 정확한 이름과 비밀번호를 입력하면 전체 사이트가 이들에게 개방되는 것이 보통이다. 오스제로(Auth0)는 신원(ID) 서비스를 제공하고 이용자 참여 과정 전체에 걸쳐 작용하는 플랫폼으로 이를 바꾸려 하고 있다. 심지어 플랫폼은 필요 시 가외의 보안을 추가하기도 한다.  지속적인 ID 보호를 목표로 하는 이 노력에서 가장 큰 난관과 대부분의 노력이 실패하는 이유는 웹사이트와 애플리케이션을 겨냥한 봇 기반 및 스크립트 로그인 시도 횟수가 엄청나다는 데 있다. 이러한 공격은 이용자를 분석하려 하는 대다수 플랫폼에 과도한 부하를 줄 수 있다.  이 위협에 맞서기 위해 오스제로는 오스제로 ID 관리 SaaS 플랫폼의 핵심 컴포넌트로서 오스제로 시그널즈(Auth0 Signals)를 개발하였고, 필자의 테스팅에서 이는 대부분 스크립트 기반 공격이나 봇 공격을 차단할 수 있었다.  오스제로 작동 방식  오스제로 ID서비스 플랫폼은 이용자가 수행하는 다양한 작업을 분석한다. 예를 들어 웹사이트에 가입하고 계정 복원을 요청하고 로그인하고 세션을 갱신하는 것 등이다. 오스제로의 회원사에서 모니터링되는 작업을 수행할 때(회사 관계자에 따르면 약 25,000곳) 해당 트랜잭션 세부 정보가 클라우드에 있는 예외 검출 엔진으로 발송된다. 그 후 확신 점수를 제공하고, 이를 바탕으로 규칙이 생성된다든지, 해당 이용자를 차단하거나, 퍼즐 문제가 제시된다.  규칙은 웹 포털 내에서 생성될 수 있다. 아니라면 기업은 위험 평가 점수를 바탕으로 자신의 대응을 직접 프로그래밍할 수 있다. 어떤 경우라도 호스팅 회사에는 어떤...

CSO 사이버보안 Saas 공격 봇 공격 ID 오스제로 Auth0 오스제로 시그널즈 Auth0 Signals 전자상거래 IP 로그인 스크립트 기반 공격

2020.06.17

오스제로 ID 관리 플랫폼의 핵심 구성 요소인 오스제로 시그널즈(Auth0 Signals)은 4가지 주요 기준에 대한 로그인 시도를 분석하여 스크립트 기반 또는 봇 공격을 식별하고 차단한다.   지난 30년 동안 컴퓨터 보안은 애플리케이션과 웹사이트에 들어가는 순간 이용자가 자신을 인증하는 것이 주류였다. 이용자가 정확한 이름과 비밀번호를 입력하면 전체 사이트가 이들에게 개방되는 것이 보통이다. 오스제로(Auth0)는 신원(ID) 서비스를 제공하고 이용자 참여 과정 전체에 걸쳐 작용하는 플랫폼으로 이를 바꾸려 하고 있다. 심지어 플랫폼은 필요 시 가외의 보안을 추가하기도 한다.  지속적인 ID 보호를 목표로 하는 이 노력에서 가장 큰 난관과 대부분의 노력이 실패하는 이유는 웹사이트와 애플리케이션을 겨냥한 봇 기반 및 스크립트 로그인 시도 횟수가 엄청나다는 데 있다. 이러한 공격은 이용자를 분석하려 하는 대다수 플랫폼에 과도한 부하를 줄 수 있다.  이 위협에 맞서기 위해 오스제로는 오스제로 ID 관리 SaaS 플랫폼의 핵심 컴포넌트로서 오스제로 시그널즈(Auth0 Signals)를 개발하였고, 필자의 테스팅에서 이는 대부분 스크립트 기반 공격이나 봇 공격을 차단할 수 있었다.  오스제로 작동 방식  오스제로 ID서비스 플랫폼은 이용자가 수행하는 다양한 작업을 분석한다. 예를 들어 웹사이트에 가입하고 계정 복원을 요청하고 로그인하고 세션을 갱신하는 것 등이다. 오스제로의 회원사에서 모니터링되는 작업을 수행할 때(회사 관계자에 따르면 약 25,000곳) 해당 트랜잭션 세부 정보가 클라우드에 있는 예외 검출 엔진으로 발송된다. 그 후 확신 점수를 제공하고, 이를 바탕으로 규칙이 생성된다든지, 해당 이용자를 차단하거나, 퍼즐 문제가 제시된다.  규칙은 웹 포털 내에서 생성될 수 있다. 아니라면 기업은 위험 평가 점수를 바탕으로 자신의 대응을 직접 프로그래밍할 수 있다. 어떤 경우라도 호스팅 회사에는 어떤...

2020.06.17

양날의 검··· 클라우드 협업 툴 확산에 보안 위협도 1,350% 증가

클라우드 서비스 도입이 증가하면서 보안 위협도 함께 증가했다. 코로나19 사태가 발생한 이후 클라우드 관련 위협이 무려 1,350% 증가한 산업군도 있다. 코로나19 확산 방지를 위해 이동제한령이 내려지자 전 세계 기업들은 클라우드 서비스를 도입하거나 통합하는 방식으로 빠르게 대응했다. 특히 마이크로소프트 오피스 365, 슬랙, 화상회의 플랫폼과 같은 클라우드 기반 협업 툴들이 적극적으로 도입됐다.    사이버 보안 업체 맥아피는 최근 발간한 보고서를 통해 이러한 성장세와 함께 클라우드 계정의 자격증명 어뷰징 공격이 증가하고 있다고 밝혔다. 이는 엠비전 클라우드(Mvision Cloud) 보안 플랫폼을 사용 중인 3,000만 명 이상의 기업 고객을 대상으로 1월부터 4월까지의 클라우드 사용량 데이터를 분석한 결과다. 보고서는 전 산업군에 걸쳐 클라우드 서비스 도입이 50% 증가했다고 추산했다. 이보다 훨씬 더 큰 폭의 상승세를 보인 산업군도 있었다. 예를 들면 제조업계와 교육업계는 클라우드 서비스 도입 비율이 각각 144%, 114% 늘어났다.  협업 및 화상회의 툴과 관련해서는 일부 툴들의 사용이 두드러지게 증가했다. 시스코 웹엑스는 600% 늘어났고 줌과 마이크로소프트 팀즈, 슬랙 역시 각각 350%, 300%, 200%의 증가세를 보였다. 여기서도 제조업계와 교육업계가 상위를 차지했다. 클라우드 서비스는 재택근무가 의무화된 상황에서 생산성을 높일 수 있는 적절한 방안이었고, 이에 따라 도입이 증가한 것은 자연스러운 흐름이다. 하지만 문제는 보안 위협도 함께 증가했다는 것이다.  맥아피 보고서에 따르면 관리되지 않는 기기에서 기업 클라우드 계정으로 향하는 트래픽이 2배 이상 증가했다. 보고서는 “관리되지 않는 기기에서 민감한 데이터를 복구할 방법이 없다. 클라우드 접근이 늘어나는 가운데 보안팀이 기기에 따라 클라우드 접근을 통제하지 않는다면 데이터 손실로 발생할 수밖에 없다”라고 지적했다.  클라우...

클라우드 클라우드 서비스 협업 툴 보안 위협 코로나19 코로나바이러스 마이크로소프트 오피스365 슬랙 화상회의 맥아피 CSO 웹엑스 팀즈

2020.05.28

클라우드 서비스 도입이 증가하면서 보안 위협도 함께 증가했다. 코로나19 사태가 발생한 이후 클라우드 관련 위협이 무려 1,350% 증가한 산업군도 있다. 코로나19 확산 방지를 위해 이동제한령이 내려지자 전 세계 기업들은 클라우드 서비스를 도입하거나 통합하는 방식으로 빠르게 대응했다. 특히 마이크로소프트 오피스 365, 슬랙, 화상회의 플랫폼과 같은 클라우드 기반 협업 툴들이 적극적으로 도입됐다.    사이버 보안 업체 맥아피는 최근 발간한 보고서를 통해 이러한 성장세와 함께 클라우드 계정의 자격증명 어뷰징 공격이 증가하고 있다고 밝혔다. 이는 엠비전 클라우드(Mvision Cloud) 보안 플랫폼을 사용 중인 3,000만 명 이상의 기업 고객을 대상으로 1월부터 4월까지의 클라우드 사용량 데이터를 분석한 결과다. 보고서는 전 산업군에 걸쳐 클라우드 서비스 도입이 50% 증가했다고 추산했다. 이보다 훨씬 더 큰 폭의 상승세를 보인 산업군도 있었다. 예를 들면 제조업계와 교육업계는 클라우드 서비스 도입 비율이 각각 144%, 114% 늘어났다.  협업 및 화상회의 툴과 관련해서는 일부 툴들의 사용이 두드러지게 증가했다. 시스코 웹엑스는 600% 늘어났고 줌과 마이크로소프트 팀즈, 슬랙 역시 각각 350%, 300%, 200%의 증가세를 보였다. 여기서도 제조업계와 교육업계가 상위를 차지했다. 클라우드 서비스는 재택근무가 의무화된 상황에서 생산성을 높일 수 있는 적절한 방안이었고, 이에 따라 도입이 증가한 것은 자연스러운 흐름이다. 하지만 문제는 보안 위협도 함께 증가했다는 것이다.  맥아피 보고서에 따르면 관리되지 않는 기기에서 기업 클라우드 계정으로 향하는 트래픽이 2배 이상 증가했다. 보고서는 “관리되지 않는 기기에서 민감한 데이터를 복구할 방법이 없다. 클라우드 접근이 늘어나는 가운데 보안팀이 기기에 따라 클라우드 접근을 통제하지 않는다면 데이터 손실로 발생할 수밖에 없다”라고 지적했다.  클라우...

2020.05.28

클라우드 리소스 구성 자동화, 새로운 보안 위협으로 부상

외부 공격뿐 아니라 클라우드 구성 변경도 치명적인 보안 위협을 일으키기도 한다.  많은 조직이 클라우드 인프라 구축을 코딩으로 자동화한다. 이는 데브옵스 라이프사이클 초기에 안전한 보안 구성 기준선을 마련하게 해준다. 그러나 대부분 클라우드 리소스의 보안은 공중에 붕 떠버린 상태가 된다. 이는 문서로 남기지 않은 클라우드 구성 변경 때문이다.    클라우드 보안회사인 어큐릭스(Accurics)의 최신 연구에 따르면 무려 90%의 사례에서 클라우드 리소스 구성이 구축 후 특별 권한을 가진 이용자에 의해 변경된 것으로 나타났다.  대부분 구성 변경에는 정상적인 이유가 있겠지만, 나머지는 침입에 이은 악의적 ‘횡적 이동 공격’의 결과일 수 있다. 불안정한 구성은 클라우드 리소스 및 클라우드 호스트 데이터 등 데이터 유출의 가장 큰 원인이 된다. 클라우드 리소스 구성이 방치될 경우 이는 공격자에게 손쉬운 진입점이 될 수 있다.  코드형 인프라와 그릇된 보안 인식  어큐릭스에 따르면 현재 클라우드 환경의 구성 변경은 4분의 1 가량이 코딩을 통해 이뤄진다. 이는 지난 몇 년 동안 증가하기 시작한 코드형 인프라(Infrastructure as Code, IaC) 또는 지속 구성 자동화(Continuous Configuration Automation, CCA)라고 알려진 데브옵스 과정의 일부다.  대다수 클라우드 서비스 업체는 고객이 기계 가독형 정의 파일, 또는 템플릿을 통해 새로운 리소스나 클라우드 인스턴스를 프로비저닝할 수 있도록 허용한다. 그리고 여러 클라우드에서 작동하는 써드파티 툴도 이용할 수 있다.  어큐릭스 보고서는 고객 설문조사, CISO 및 설계 파트너, 그리고 실제 구축된 수십만 개의 클라우드 리소스를 분석한 자체 텔레메트리에서 나온 결과다. IaC 템플릿을 제대로 구현하면, 보안을 강화할 수 있다. 수작업 구축에서 흔한 인간 오류 확률을 줄여 주기 때문이다. 복잡한 ...

CSO CISO 클라우드 리소스 구성 코드형 인프라 코드로서의 인프라 IaC 컨테이너 어큐릭스 클라우드 네이티브 컴퓨팅 재단 Cloud Native Computing Foundation CNCE 팔로알토 네트웍스

2020.05.27

외부 공격뿐 아니라 클라우드 구성 변경도 치명적인 보안 위협을 일으키기도 한다.  많은 조직이 클라우드 인프라 구축을 코딩으로 자동화한다. 이는 데브옵스 라이프사이클 초기에 안전한 보안 구성 기준선을 마련하게 해준다. 그러나 대부분 클라우드 리소스의 보안은 공중에 붕 떠버린 상태가 된다. 이는 문서로 남기지 않은 클라우드 구성 변경 때문이다.    클라우드 보안회사인 어큐릭스(Accurics)의 최신 연구에 따르면 무려 90%의 사례에서 클라우드 리소스 구성이 구축 후 특별 권한을 가진 이용자에 의해 변경된 것으로 나타났다.  대부분 구성 변경에는 정상적인 이유가 있겠지만, 나머지는 침입에 이은 악의적 ‘횡적 이동 공격’의 결과일 수 있다. 불안정한 구성은 클라우드 리소스 및 클라우드 호스트 데이터 등 데이터 유출의 가장 큰 원인이 된다. 클라우드 리소스 구성이 방치될 경우 이는 공격자에게 손쉬운 진입점이 될 수 있다.  코드형 인프라와 그릇된 보안 인식  어큐릭스에 따르면 현재 클라우드 환경의 구성 변경은 4분의 1 가량이 코딩을 통해 이뤄진다. 이는 지난 몇 년 동안 증가하기 시작한 코드형 인프라(Infrastructure as Code, IaC) 또는 지속 구성 자동화(Continuous Configuration Automation, CCA)라고 알려진 데브옵스 과정의 일부다.  대다수 클라우드 서비스 업체는 고객이 기계 가독형 정의 파일, 또는 템플릿을 통해 새로운 리소스나 클라우드 인스턴스를 프로비저닝할 수 있도록 허용한다. 그리고 여러 클라우드에서 작동하는 써드파티 툴도 이용할 수 있다.  어큐릭스 보고서는 고객 설문조사, CISO 및 설계 파트너, 그리고 실제 구축된 수십만 개의 클라우드 리소스를 분석한 자체 텔레메트리에서 나온 결과다. IaC 템플릿을 제대로 구현하면, 보안을 강화할 수 있다. 수작업 구축에서 흔한 인간 오류 확률을 줄여 주기 때문이다. 복잡한 ...

2020.05.27

코로나19 해킹, 표적은 ‘최대 피해 지역’

사이버 공격자가 코로나19 팬데믹에 대한 사람들의 두려움에 편승해 악의적 공격의 성공률을 높이고 있다. 보안업체들이 발표한 최신 보고서에 따르면 사이버 범죄자는 코로나바이러스로 최대의 타격을 받은 국가와 지역, 그리고 커다란 경제적 압박을 받는 산업 부문을 공격하는 데 집중하고 있다.    개인 기기를 이용해 자택에서 근무하는 직원이 많아지면서 악성코드 감염 및 인증 정보 훼손의 위험이 크게 높아졌다. 기업은 기업 애플리케이션과 데이터로의 원격 접근을 주의 깊게 감시해야 하고, 최소 권한 원칙을 추종해야 하고, 다중인증(MFA)에 의해 보안된 기기를 이용하는 조처를 해야 한다.  코로나19 연관 도메인의 급증  팔로알토 네트웍스(Palo Alto Networks)의 최신 보고서에 따르면 3월 9일~4월 26일 사이에 코로나19 팬데믹에 관련된 키워드가 포함된 120만 개가 넘는 도메인 이름이 등록되었다. 이 가운데 8만 6,600개 이상의 도메인이 위험하거나 악의적인 것으로 분류되었고, 미국(2만 9,007개), 이탈리아(2,877개), 독일(2,564개), 러시아(2,456개)에서 집중적으로 호스팅되었다. 평균적으로, 1,767개의 새로운 악성 코로나19 주제 도메인이 매일 생성된다.  팔로알토 연구원들은 “연구를 하는 중에 일부 악성 도메인은 여러 IP주소를 가지고 있었고, 일부 IP주소는 여러 도메인과 연계되어 있음을 관찰했다”면서 “이러한 다수-대-다수 매핑은 흔히 클라우드 환경에서 콘텐츠 전송 네트워크(CDN)의 이용으로 인해 발생하고, IP 기반 방화벽을 무효화시킬 수 있다”라고 말했다.  CDN은 웹사이트 방문자를 가장 가까운 엣지 서버로 다이렉트하여 레이턴시를 줄이고 웹사이트 속도를 증가시킨다. 이들 엣지 서버는 사이트의 캐시 버전을 전달하며 원서버의 부하를 줄인다. 공격자는 이 속도 강화 거동을 보호막으로 이용해 정당한 웹사이트 사이에서 자신의 악성 웹사이트를 은닉할 수 있고, 따라...

CSO 코비드-19 COVID-19 코로나바이러스 코로나19 스피어피싱 팔로알토 네트웍스 비트디펜더 방화벽 도메인 사이버공격 사이버범죄 팬데믹

2020.05.07

사이버 공격자가 코로나19 팬데믹에 대한 사람들의 두려움에 편승해 악의적 공격의 성공률을 높이고 있다. 보안업체들이 발표한 최신 보고서에 따르면 사이버 범죄자는 코로나바이러스로 최대의 타격을 받은 국가와 지역, 그리고 커다란 경제적 압박을 받는 산업 부문을 공격하는 데 집중하고 있다.    개인 기기를 이용해 자택에서 근무하는 직원이 많아지면서 악성코드 감염 및 인증 정보 훼손의 위험이 크게 높아졌다. 기업은 기업 애플리케이션과 데이터로의 원격 접근을 주의 깊게 감시해야 하고, 최소 권한 원칙을 추종해야 하고, 다중인증(MFA)에 의해 보안된 기기를 이용하는 조처를 해야 한다.  코로나19 연관 도메인의 급증  팔로알토 네트웍스(Palo Alto Networks)의 최신 보고서에 따르면 3월 9일~4월 26일 사이에 코로나19 팬데믹에 관련된 키워드가 포함된 120만 개가 넘는 도메인 이름이 등록되었다. 이 가운데 8만 6,600개 이상의 도메인이 위험하거나 악의적인 것으로 분류되었고, 미국(2만 9,007개), 이탈리아(2,877개), 독일(2,564개), 러시아(2,456개)에서 집중적으로 호스팅되었다. 평균적으로, 1,767개의 새로운 악성 코로나19 주제 도메인이 매일 생성된다.  팔로알토 연구원들은 “연구를 하는 중에 일부 악성 도메인은 여러 IP주소를 가지고 있었고, 일부 IP주소는 여러 도메인과 연계되어 있음을 관찰했다”면서 “이러한 다수-대-다수 매핑은 흔히 클라우드 환경에서 콘텐츠 전송 네트워크(CDN)의 이용으로 인해 발생하고, IP 기반 방화벽을 무효화시킬 수 있다”라고 말했다.  CDN은 웹사이트 방문자를 가장 가까운 엣지 서버로 다이렉트하여 레이턴시를 줄이고 웹사이트 속도를 증가시킨다. 이들 엣지 서버는 사이트의 캐시 버전을 전달하며 원서버의 부하를 줄인다. 공격자는 이 속도 강화 거동을 보호막으로 이용해 정당한 웹사이트 사이에서 자신의 악성 웹사이트를 은닉할 수 있고, 따라...

2020.05.07

강은성의 보안 아키텍트 | 다시 보안 GRC를 생각한다

GRC는 거버넌스(Governance), 리스크 관리(Risk management), 규제 준수(Compliance)의 영문 첫 글자를 따 만들어진 단어다. 단순하게 정리하면, 기업에서 거버넌스는 조직이 사업 목표를 향해 나아가도록 이사회와 경영진이 지휘, 통제하는 것이고, 리스크 관리는 조직의 활동이 품고 있는 다양한 리스크, 특히 사업 목표를 달성하기 위해 나아갈 때 발생할 수 있는 리스크를 관리하는 것이며, 규제 준수는 말 그대로 법규와 규제 내에서 조직의 활동이 이뤄질 수 있도록 하는 것이다.  기업 거버넌스의 개선에 관해서는 정부와 기업, 사회의 다양한 제도와 관심, 운동이 있다. 리스크 관리는 2008년 세계 금융위기 이후 금융회사를 중심으로 리스크관리위원회가 만들어지는 등 강화되고 있다. 오너 리스크와 같이 거버넌스와 리스크가 직접 연결되기도 한다. 컴플라이언스는 GRC에서 별도로 정의했지만, 기업 현장에서는 법규와 행정 규제에 관한 리스크로 관리하는 곳이 많다. <그림> GRC 개념도 위 그림은 GRC 개념을 나타낸다. 기업이 사업 목표를 향해 나아갈 때 다양한 리스크를 잘 관리해야 한다. 목적지를 향해 가는데 중간에 다리가 끊겨 있으면 가기 어려운 것과 같은 이치다. 기업의 리스크에는 재무 리스크, 평판 리스크, 신규 사업 리스크 등 다양한 리스크가 있는데, 보안 리스크는 그 중 하나다.  GRC는 인사 GRC, 재무 GRC, IT GRC, 보안 GRC와 같이 분야별로 세분화할 수 있다.  <그림> 보안 GRC 개념도 보안 GRC는 GRC 개념에 그대로 대입하여 설명할 수 있다. 즉 보안조직이 사업 목표 달성을 위해 설정된 보안 목표를 달성하기 위해 나아갈 때 발생할 수 있는 리스크를 식별하여 관리하고, 관련 규제 안에서 활동하는 것이다. 이때 리스크 관리는 전통적으로 하는 보안위협에 따른 위험 평가와 대책 수립뿐만 아니라 보안 목표를 달성하는 데 생길 수 있는 인력, 조직, ...

CIO Governance Compliance 보안 아키텍트 강은성 규제 준수 리스크 관리 CISO GRC 거버넌스 CSO 컴플라이언스 Risk management

2020.04.13

GRC는 거버넌스(Governance), 리스크 관리(Risk management), 규제 준수(Compliance)의 영문 첫 글자를 따 만들어진 단어다. 단순하게 정리하면, 기업에서 거버넌스는 조직이 사업 목표를 향해 나아가도록 이사회와 경영진이 지휘, 통제하는 것이고, 리스크 관리는 조직의 활동이 품고 있는 다양한 리스크, 특히 사업 목표를 달성하기 위해 나아갈 때 발생할 수 있는 리스크를 관리하는 것이며, 규제 준수는 말 그대로 법규와 규제 내에서 조직의 활동이 이뤄질 수 있도록 하는 것이다.  기업 거버넌스의 개선에 관해서는 정부와 기업, 사회의 다양한 제도와 관심, 운동이 있다. 리스크 관리는 2008년 세계 금융위기 이후 금융회사를 중심으로 리스크관리위원회가 만들어지는 등 강화되고 있다. 오너 리스크와 같이 거버넌스와 리스크가 직접 연결되기도 한다. 컴플라이언스는 GRC에서 별도로 정의했지만, 기업 현장에서는 법규와 행정 규제에 관한 리스크로 관리하는 곳이 많다. <그림> GRC 개념도 위 그림은 GRC 개념을 나타낸다. 기업이 사업 목표를 향해 나아갈 때 다양한 리스크를 잘 관리해야 한다. 목적지를 향해 가는데 중간에 다리가 끊겨 있으면 가기 어려운 것과 같은 이치다. 기업의 리스크에는 재무 리스크, 평판 리스크, 신규 사업 리스크 등 다양한 리스크가 있는데, 보안 리스크는 그 중 하나다.  GRC는 인사 GRC, 재무 GRC, IT GRC, 보안 GRC와 같이 분야별로 세분화할 수 있다.  <그림> 보안 GRC 개념도 보안 GRC는 GRC 개념에 그대로 대입하여 설명할 수 있다. 즉 보안조직이 사업 목표 달성을 위해 설정된 보안 목표를 달성하기 위해 나아갈 때 발생할 수 있는 리스크를 식별하여 관리하고, 관련 규제 안에서 활동하는 것이다. 이때 리스크 관리는 전통적으로 하는 보안위협에 따른 위험 평가와 대책 수립뿐만 아니라 보안 목표를 달성하는 데 생길 수 있는 인력, 조직, ...

2020.04.13

방위사업체가 알아야 할 '사이버보안 성숙도 모델 인증'이란?

사이버보안 성숙도 모델 인증(Cybersecurity Maturity Model Certification, CMMC)은 공급망 내 30만 곳 이상의 회사를 거느린 DIB(Defense Innovation Board, 미국 국방 혁신 위원회) 전반에 걸쳐 사이버보안을 구현하는 통일 표준이다. CMMC는 미국 국방성이 방위사업체의 정보시스템에 있는 국방 기밀 정보의 심각한 훼손에 대처하는 수단이다.    미국 국방성은 2020년 1월 31일 CMMC 1.0 버전을 발표했다. 초안은 주로 대학부설연구센터(University Affiliated Research Centers, UARCs), 연방출연연구개발센터(Federally Funded Research and Development Centers, FFRDCs), 업계의 참여로 만들어졌다.  과거, 방위 산업체는 자신의 IT시스템과 시스템에 저장되어 있거나 송수신되는 국방성 기밀 정보의 보안을 구현하고 모니터하고 인증할 책임이 있었다. 방위사업체는 여전히 필수적 사이버보안 요건을 구현할 책임이 있지만, CMMC는 일종의 패러다임 변화이다. 이는 적국으로부터의 새롭고 진화하는 사이버 위협에 적응할 수 있는 특정한 의무적 관행, 절차 및 능력에 방위산업체가 부합하는지를 제3자가 평가하도록 의무화한다.   국방성 방위사업체는 어떤 조처를 해야 하나?  국방성 방위 산업체는 CMMC의 기술적 요건을 즉시 숙지하고, 인증뿐 아니라, 장기적인 사이버보안 기민성을 준비해야 한다. CMMC 평가가 시행되는 방식과 평가에 이의를 제기하는 방법에 관한 상세 정보가 조만간 예정되어 있다. 국방성 계약 업체가 자신의 관행, 절차, 공백을 이미 평가하기 시작했다면, 위 상세 정보가 최종적으로 마무리될 때 인증 프로세스를 검토하고, 향후 프로젝트를 위해 강제적인 CMMC 계약 규정을 준수하는데 유리한 입장에 있을 것이다.  국방성 조달 및 지속 차관실은 CMMC FAQ를 유지하고...

컴플라이언스 방위산업 Cybersecurity Maturity Model Certification CMMC 사이버보안 공급망 SCM 국방성 CISO CSO 사이버보안 성숙도 모델 인증

2020.04.10

사이버보안 성숙도 모델 인증(Cybersecurity Maturity Model Certification, CMMC)은 공급망 내 30만 곳 이상의 회사를 거느린 DIB(Defense Innovation Board, 미국 국방 혁신 위원회) 전반에 걸쳐 사이버보안을 구현하는 통일 표준이다. CMMC는 미국 국방성이 방위사업체의 정보시스템에 있는 국방 기밀 정보의 심각한 훼손에 대처하는 수단이다.    미국 국방성은 2020년 1월 31일 CMMC 1.0 버전을 발표했다. 초안은 주로 대학부설연구센터(University Affiliated Research Centers, UARCs), 연방출연연구개발센터(Federally Funded Research and Development Centers, FFRDCs), 업계의 참여로 만들어졌다.  과거, 방위 산업체는 자신의 IT시스템과 시스템에 저장되어 있거나 송수신되는 국방성 기밀 정보의 보안을 구현하고 모니터하고 인증할 책임이 있었다. 방위사업체는 여전히 필수적 사이버보안 요건을 구현할 책임이 있지만, CMMC는 일종의 패러다임 변화이다. 이는 적국으로부터의 새롭고 진화하는 사이버 위협에 적응할 수 있는 특정한 의무적 관행, 절차 및 능력에 방위산업체가 부합하는지를 제3자가 평가하도록 의무화한다.   국방성 방위사업체는 어떤 조처를 해야 하나?  국방성 방위 산업체는 CMMC의 기술적 요건을 즉시 숙지하고, 인증뿐 아니라, 장기적인 사이버보안 기민성을 준비해야 한다. CMMC 평가가 시행되는 방식과 평가에 이의를 제기하는 방법에 관한 상세 정보가 조만간 예정되어 있다. 국방성 계약 업체가 자신의 관행, 절차, 공백을 이미 평가하기 시작했다면, 위 상세 정보가 최종적으로 마무리될 때 인증 프로세스를 검토하고, 향후 프로젝트를 위해 강제적인 CMMC 계약 규정을 준수하는데 유리한 입장에 있을 것이다.  국방성 조달 및 지속 차관실은 CMMC FAQ를 유지하고...

2020.04.10

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.5