Offcanvas

cso

분산형 클라우드 모델, 보안과 프라이버시를 개선할 수 있을까

아마존웹서비스(AWS), 드롭박스, 시트릭스, 마이크로소프트, 구글 등 어느 업체가 되었든 모든 클라우드 스토리지 공급업체들은 동일한 기본 원칙을 사용한다. 즉, 이들은 모두 인터넷을 통해 중앙 집중형 클라우드 서버 클러스터에 동기화하고 복사한다. 매초 수백만 명의 사용자와 그들이 사용하는 기기들이 이들 중앙 클라우드 클러스터에 연결되어 온라인 계정과 관련된 파일들을 저장하고 이들 파일에 접근한다.   클라우드는 우리 세대에서 가장 엄청난 성공담 중 하나가 되었지만, 중앙 집중형 서버 아키텍처에도 단점은 몇 가지 있다.   통제 상실 원격 클라우드에 기반을 둔 인프라에 의존한다는 것은 모든 것을 아웃소싱하는 위험을 감수한다는 의미다. 대부분의 클라우드 컴퓨팅 플랫폼이 최상의 보안 관행을 구현하더라도 민감한 데이터와 중요한 파일을 외부 서비스 제공업체에 소속된 서버에 저장하는 것은 그 자체로 위험을 나타낸다. 예를 들어, 대부분의 서비스 제공업체는 오프라인 가용성을 위해 백업을 수행하는데 지리적으로 여러 지역에 걸쳐 다양한 서버에 파일 사본을 여러 개 생성함으로써 결국에는 위협의 대상이 되는 면적을 더욱 확장하게 된다.  그리고 클라우드 제공업체의 잘못은 아니지만, 데이터 누수로 이어지는 잘못된 서버 구성이 너무 일반적이어서 더 이상 화제조차 되지 않는다. 최근 그러한 사례 중 하나는 정부 관계자들의 신원정보를 담은 다우존스 감시 데이터베이스가 유출된 사건이다.  개인정보 보호도 클라우드에 불리할 수 있다. 퍼블릭 클라우드에 대한 정보는 제공업체, 법 집행 기관 및 어떤 경우에는 힘 있는 국가들에 의해 합법적이면서 은밀하게 접근되고 유출될 수 있다. 지난해 클라우드 법 통과로 아마존, 구글 등 클라우드 공급업체들은 다른 국가나 서버에 증거가 저장되어 있더라도 영장을 발부받으면 사법당국에 증거를 제출하도록 의무화되었다.  GDPR, HIPAA, SOX 등과 같은 규제도 실제 준수 및 관리가 사용자의 통제 밖에...

구글 아마존웹서비스 사물인터넷 인공지능 CISO 드롭박스 AWS 개인정보 보호 시트릭스 마이크로소프트 IDC CSO 분산 클라우드

2019.07.16

아마존웹서비스(AWS), 드롭박스, 시트릭스, 마이크로소프트, 구글 등 어느 업체가 되었든 모든 클라우드 스토리지 공급업체들은 동일한 기본 원칙을 사용한다. 즉, 이들은 모두 인터넷을 통해 중앙 집중형 클라우드 서버 클러스터에 동기화하고 복사한다. 매초 수백만 명의 사용자와 그들이 사용하는 기기들이 이들 중앙 클라우드 클러스터에 연결되어 온라인 계정과 관련된 파일들을 저장하고 이들 파일에 접근한다.   클라우드는 우리 세대에서 가장 엄청난 성공담 중 하나가 되었지만, 중앙 집중형 서버 아키텍처에도 단점은 몇 가지 있다.   통제 상실 원격 클라우드에 기반을 둔 인프라에 의존한다는 것은 모든 것을 아웃소싱하는 위험을 감수한다는 의미다. 대부분의 클라우드 컴퓨팅 플랫폼이 최상의 보안 관행을 구현하더라도 민감한 데이터와 중요한 파일을 외부 서비스 제공업체에 소속된 서버에 저장하는 것은 그 자체로 위험을 나타낸다. 예를 들어, 대부분의 서비스 제공업체는 오프라인 가용성을 위해 백업을 수행하는데 지리적으로 여러 지역에 걸쳐 다양한 서버에 파일 사본을 여러 개 생성함으로써 결국에는 위협의 대상이 되는 면적을 더욱 확장하게 된다.  그리고 클라우드 제공업체의 잘못은 아니지만, 데이터 누수로 이어지는 잘못된 서버 구성이 너무 일반적이어서 더 이상 화제조차 되지 않는다. 최근 그러한 사례 중 하나는 정부 관계자들의 신원정보를 담은 다우존스 감시 데이터베이스가 유출된 사건이다.  개인정보 보호도 클라우드에 불리할 수 있다. 퍼블릭 클라우드에 대한 정보는 제공업체, 법 집행 기관 및 어떤 경우에는 힘 있는 국가들에 의해 합법적이면서 은밀하게 접근되고 유출될 수 있다. 지난해 클라우드 법 통과로 아마존, 구글 등 클라우드 공급업체들은 다른 국가나 서버에 증거가 저장되어 있더라도 영장을 발부받으면 사법당국에 증거를 제출하도록 의무화되었다.  GDPR, HIPAA, SOX 등과 같은 규제도 실제 준수 및 관리가 사용자의 통제 밖에...

2019.07.16

강은성의 보안 아키텍트 | 개인정보 유출사고에서의 개인정보보호책임자(CPO)의 기소

드디어 개인정보보호책임자(CPO)가 정보통신망법 제73조 제1호 위반으로 형사법정에 서는 일이 생겼다. 지난 6월 18일, 서울 동부지검 사이버수사부는 2017년 개인정보 유출사고가 발생한 A사, B사, C사 세 법인과 해당 기업의 보호조치를 소홀히 한 개인정보 관리책임자를 기소했다고 발표했다. 2008년 12월 정보통신망법에 개인정보 유출사고에 따른 형사처벌 조항이 들어간 뒤 이 조항 위반으로 임직원 개인이 정식 기소된 첫 번째 사례인 것 같다. 사고가 난 지 2년 만의 일이다.     동부지검은 ‘개인정보처리 기업의 보호조치 및 의무위반사건 수사결과’에서, "보호조치 의무위반 정도와 유출정보의 유형, 피해 규모" 등을 종합적으로 고려해, 보강수사 등을 통해 찾아낸 "개인정보유출에 대한 실질적 관리소홀 책임자"를 기소하였다고 밝혔다. 또한 앞으로도 “개인정보처리 기업의 보호조치 의무위반 사범에 대하여…엄정 처분할 예정”이라고 하여 앞으로도 CPO에 대한 기소가 있을 것임을 예고하였다.   필자는 지난 칼럼 ‘개인정보의 유출과 개인정보보호책임자(CPO)의 형사처벌`에서 개인정보 유출사건 발생 시 CPO를 형사처벌할 수 있도록 한 정보통신망법 제73조 제1호(또는 개인정보보호법 제73조 제1호)의 문제점을 상세히 설명하였으므로, 여기에서는 검찰의 발표자료를 중심으로 이번 기소의 의미를 살펴보려고 한다.   첫째, 기소 시 개인정보 보호조치 위반의 고의성을 고려하지 않는 것으로 보인다. 다시 정보통신망법 제73조 제1호를 본다.   제28조 제1항 제2호부터 제5호까지(제67조에 따라 준용되는 경우를 포함한다)의 규정에 따른 기술적ㆍ관리적 조치를 하지 아니하여 이용자의 개인정보를 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손한 자   필자는 지난 칼럼에서 이 조문이 밑줄 친 내용과 같이 고의성을 강조하는 외양을 취하고 있으나 고의로 보호조치를 하지 않을 CPO가 거의 없을 것이기 때문에 미필적 고의나 과실에 적용될 가...

CIO 기소 위반 CPO 재판 CISO 개인정보 보호 책임 CSO 보호조치 의무

2019.07.12

드디어 개인정보보호책임자(CPO)가 정보통신망법 제73조 제1호 위반으로 형사법정에 서는 일이 생겼다. 지난 6월 18일, 서울 동부지검 사이버수사부는 2017년 개인정보 유출사고가 발생한 A사, B사, C사 세 법인과 해당 기업의 보호조치를 소홀히 한 개인정보 관리책임자를 기소했다고 발표했다. 2008년 12월 정보통신망법에 개인정보 유출사고에 따른 형사처벌 조항이 들어간 뒤 이 조항 위반으로 임직원 개인이 정식 기소된 첫 번째 사례인 것 같다. 사고가 난 지 2년 만의 일이다.     동부지검은 ‘개인정보처리 기업의 보호조치 및 의무위반사건 수사결과’에서, "보호조치 의무위반 정도와 유출정보의 유형, 피해 규모" 등을 종합적으로 고려해, 보강수사 등을 통해 찾아낸 "개인정보유출에 대한 실질적 관리소홀 책임자"를 기소하였다고 밝혔다. 또한 앞으로도 “개인정보처리 기업의 보호조치 의무위반 사범에 대하여…엄정 처분할 예정”이라고 하여 앞으로도 CPO에 대한 기소가 있을 것임을 예고하였다.   필자는 지난 칼럼 ‘개인정보의 유출과 개인정보보호책임자(CPO)의 형사처벌`에서 개인정보 유출사건 발생 시 CPO를 형사처벌할 수 있도록 한 정보통신망법 제73조 제1호(또는 개인정보보호법 제73조 제1호)의 문제점을 상세히 설명하였으므로, 여기에서는 검찰의 발표자료를 중심으로 이번 기소의 의미를 살펴보려고 한다.   첫째, 기소 시 개인정보 보호조치 위반의 고의성을 고려하지 않는 것으로 보인다. 다시 정보통신망법 제73조 제1호를 본다.   제28조 제1항 제2호부터 제5호까지(제67조에 따라 준용되는 경우를 포함한다)의 규정에 따른 기술적ㆍ관리적 조치를 하지 아니하여 이용자의 개인정보를 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손한 자   필자는 지난 칼럼에서 이 조문이 밑줄 친 내용과 같이 고의성을 강조하는 외양을 취하고 있으나 고의로 보호조치를 하지 않을 CPO가 거의 없을 것이기 때문에 미필적 고의나 과실에 적용될 가...

2019.07.12

'SAP 환경에서 빈번하게 발생'··· 8가지 보안 실수

구성 오류 등 몇 년 전부터 잘 알려진 수많은 실수들이 계속해서 SAP 환경의 보안을 훼손하고 있다. SAP 환경이 갈수록 더 복잡해지고 있는 것이 이런 상황을 초래하는 큰 이유 중 하나다. 지난 몇 년간 SAP 애플리케이션들이 달라졌고 발전했다. 최근에는 여러 다양한 다른 시스템 및 애플리케이션과 연결되어 있다.   SAP 환경은 일반적으로 시간 경과와 함께 도입되고 연결된 다양한 API와 인터페이스를 통해 서로, 또 외부 시스템과 통신하는 통신 구성 요소 및 많은 맞춤형 코드로 구성된다. EPR 분야 보안 업체인 오냅시스(Onapsis)의 CTO 후안 페레즈-에체고엔에 따르면, 새 코드와 프로토콜이 기존 환경과 상호작용하면서 보안 취약점과 결함을 물려 받는다. 또 새 비즈니스 프로세스를 수용하기 위해 프로필과 파라미터, 구성을 계속 바꾸지만, 이것이 초래할 보안 측면의 영향을 거의 이해하지 못한다. 이러한 환경의 복잡성이 수많은 보안 취약점을 초래한다. 올해 초, 2개 주요 SAP 구성 요소의 잘 알려진 구성 오류를 겨냥한 익스플로잇들이 공개되면서 이 문제가 집중 조명되었다. 공격자가 원격으로 SAP 환경을 관리자 권한으로 제어할 수 있는 익스플로잇으로 10KBlaze로 불린다. US-CERT는 그 즉시 이에 대해 경고했다. 다음은 엔터프라이즈 SAP 환경에서 가장 많이 발생하는 구성 오류, 보안 실패 가운데 일부를 정리한 내용이다. 1. 잘못 구성된 ACL ACL(Access Control Listes)은 여러 SAP 시스템 간, 그리고 SAP와 비 SAP 환경 간 통신과 연결을 제어한다. 또 SAP 시스템에 대한 사용자 접근 권한을 결정한다. 그런데 SAP 시스템과 외부 시스템, 여러 SAP 시스템 간 연결을 제어하는 ACL이 잘못 구성되고, 결함이 많고, 특정인이 특정 시스템을 매개체로 다른 시스템에 쉽게 접근할 수 있는 경우가 많다. 페레즈-에체고엔에 따르면, 침입 테스트를 하면 잘못된 ACL 구성으로 인해 공격자가 SAP 환...

SAP 익스플로잇 접근 제어 CERT SAP HANA 오류 복구 비밀번호 공격 인증 CISO 암호화 ERP CSO ERP 보안

2019.06.28

구성 오류 등 몇 년 전부터 잘 알려진 수많은 실수들이 계속해서 SAP 환경의 보안을 훼손하고 있다. SAP 환경이 갈수록 더 복잡해지고 있는 것이 이런 상황을 초래하는 큰 이유 중 하나다. 지난 몇 년간 SAP 애플리케이션들이 달라졌고 발전했다. 최근에는 여러 다양한 다른 시스템 및 애플리케이션과 연결되어 있다.   SAP 환경은 일반적으로 시간 경과와 함께 도입되고 연결된 다양한 API와 인터페이스를 통해 서로, 또 외부 시스템과 통신하는 통신 구성 요소 및 많은 맞춤형 코드로 구성된다. EPR 분야 보안 업체인 오냅시스(Onapsis)의 CTO 후안 페레즈-에체고엔에 따르면, 새 코드와 프로토콜이 기존 환경과 상호작용하면서 보안 취약점과 결함을 물려 받는다. 또 새 비즈니스 프로세스를 수용하기 위해 프로필과 파라미터, 구성을 계속 바꾸지만, 이것이 초래할 보안 측면의 영향을 거의 이해하지 못한다. 이러한 환경의 복잡성이 수많은 보안 취약점을 초래한다. 올해 초, 2개 주요 SAP 구성 요소의 잘 알려진 구성 오류를 겨냥한 익스플로잇들이 공개되면서 이 문제가 집중 조명되었다. 공격자가 원격으로 SAP 환경을 관리자 권한으로 제어할 수 있는 익스플로잇으로 10KBlaze로 불린다. US-CERT는 그 즉시 이에 대해 경고했다. 다음은 엔터프라이즈 SAP 환경에서 가장 많이 발생하는 구성 오류, 보안 실패 가운데 일부를 정리한 내용이다. 1. 잘못 구성된 ACL ACL(Access Control Listes)은 여러 SAP 시스템 간, 그리고 SAP와 비 SAP 환경 간 통신과 연결을 제어한다. 또 SAP 시스템에 대한 사용자 접근 권한을 결정한다. 그런데 SAP 시스템과 외부 시스템, 여러 SAP 시스템 간 연결을 제어하는 ACL이 잘못 구성되고, 결함이 많고, 특정인이 특정 시스템을 매개체로 다른 시스템에 쉽게 접근할 수 있는 경우가 많다. 페레즈-에체고엔에 따르면, 침입 테스트를 하면 잘못된 ACL 구성으로 인해 공격자가 SAP 환...

2019.06.28

공격 늘고, 예산 늘었지만 CISO 위상은... <영국 2019 CIO 100>

침입 횟수가 늘면서 기업의 보안 예산이 꾸준히 증가했지만 CISO직이 비슷한 속도로 증가하지 않은 것으로 파악됐다.    <CIO UK>의 2019 CIO 100에 따르면, 압도적인 수의 CIO가 늘어나는 사이버 위협에 대처하고자 보안 관련 예산을 증액할 것으로 예상했다.  2019 CIO 100 보고서에서 최근 몇 년 동안 추세를 보면 사이버 공격의 증가에 따라 보안 예산의 증가가 발생했음을 알 수 있다. 그러나 공격 건수와 보안 예산이 증가했는데도 CISO가 CIO의 동료라는 답변은 2018 CIO 100과 비교하면 거의 늘지 않았다.  보안 투자는 꾸준히 상승 보안 위협은 지속해서 확대되고 있으며, 기업의 보안 유지와 관련된 문제는 계속되고 있고, 지난 12개월 동안 사이버 침입을 탐지했다고 보고한 기업은 2018년의 56%에서 올해 59%로 다소 늘었다.  GDPR은 2017년부터 2018년까지 기업이 보안 예산을 늘리는 원동력이다. 하지만 영국항공, 노르 스크 하이드로(Norsk Hydro), 볼티모어시(Baltimore City) 등에서 발생했던 지능적인 공격이 알려지면서 이사회는 보안 투자 증액을 서둘러 승인하게 됐다. 2019 CIO 100에서 조직의 83%는 성장하는 사이버 위협에 대처하기 위해 보안 관련 예산 증액을 기대하는 것으로 나타났다. 이러한 응답은 2018년과 2017년에 각각 81%와 82%다. CISO의 위상은? 보안 예산 증액과 계속되는 공격 건수에도 CISO의 위상은 크게 달라지지 않은 것으로 조사됐다. CIO 100 보고서에서는 CIO가 CISO를 동료로 생각한다는 응답은 12%에 그쳤다.  2018 CIO 보고서에서는 CIO와 CISO가 동등한 관계라는 응답이 16%로 2017 CIO 보고서의 5%에 비해 많이 늘어났다. 올해 보고서에서는 CIO의 약 8%만이 ‘자신을 명시적으로 CISO’라고 밝혔으며 이 같은 답변은 2018년 CIO 1...

CIO GDPR KPMG 침입 보안 예산 위상 공격 CISO CSO CISO-as-a-Service

2019.06.27

침입 횟수가 늘면서 기업의 보안 예산이 꾸준히 증가했지만 CISO직이 비슷한 속도로 증가하지 않은 것으로 파악됐다.    <CIO UK>의 2019 CIO 100에 따르면, 압도적인 수의 CIO가 늘어나는 사이버 위협에 대처하고자 보안 관련 예산을 증액할 것으로 예상했다.  2019 CIO 100 보고서에서 최근 몇 년 동안 추세를 보면 사이버 공격의 증가에 따라 보안 예산의 증가가 발생했음을 알 수 있다. 그러나 공격 건수와 보안 예산이 증가했는데도 CISO가 CIO의 동료라는 답변은 2018 CIO 100과 비교하면 거의 늘지 않았다.  보안 투자는 꾸준히 상승 보안 위협은 지속해서 확대되고 있으며, 기업의 보안 유지와 관련된 문제는 계속되고 있고, 지난 12개월 동안 사이버 침입을 탐지했다고 보고한 기업은 2018년의 56%에서 올해 59%로 다소 늘었다.  GDPR은 2017년부터 2018년까지 기업이 보안 예산을 늘리는 원동력이다. 하지만 영국항공, 노르 스크 하이드로(Norsk Hydro), 볼티모어시(Baltimore City) 등에서 발생했던 지능적인 공격이 알려지면서 이사회는 보안 투자 증액을 서둘러 승인하게 됐다. 2019 CIO 100에서 조직의 83%는 성장하는 사이버 위협에 대처하기 위해 보안 관련 예산 증액을 기대하는 것으로 나타났다. 이러한 응답은 2018년과 2017년에 각각 81%와 82%다. CISO의 위상은? 보안 예산 증액과 계속되는 공격 건수에도 CISO의 위상은 크게 달라지지 않은 것으로 조사됐다. CIO 100 보고서에서는 CIO가 CISO를 동료로 생각한다는 응답은 12%에 그쳤다.  2018 CIO 보고서에서는 CIO와 CISO가 동등한 관계라는 응답이 16%로 2017 CIO 보고서의 5%에 비해 많이 늘어났다. 올해 보고서에서는 CIO의 약 8%만이 ‘자신을 명시적으로 CISO’라고 밝혔으며 이 같은 답변은 2018년 CIO 1...

2019.06.27

기고 | 화웨이 제재, 미 안보에 득일까? 해일까?

파이낸셜 타임스의 보도에 따르면 6월 초 구글은 화웨이가 안드로이드 운영체계의 위험한 파생물을 만들 수 있기 때문에 트럼프 행정부에 화웨이에 대한 수출 금지 조치가 국가 안보에 실질적인 위협이 될 수 있다고 경고했다.   이 금지 조치는 미 상무부가 3월 중순 발표한 내용의 일부로, 중국의 대형 ICT 제조사인 화웨이는 이른바 ‘엔티티 리스트(Entity List)’라는 미국 수출 블랙리스트에 이름을 올리게 됐다. 중국 정부를 대신해 미국 정보를 염탐한다는 의혹 때문이다. 다른 중국 대형 이동통신 기업인 ZTE와 메모리 칩 제조사인 푸젠 진화 반도체(Fujian Jinhua Integrated Circuit)도 엔티티 리스트에 포함됐다. 미 행정부는 현재 영상 감시 업체인 하이크비전(HikVision)을 리스트에 넣을지 검토 중으로 알려졌다.  구글의 경고가 공개되기 이틀 전 워싱턴 포스트는 정부, 학계, 민간 부문의 사이버보안 전문가 100명을 대상으로 한 설문조사를 발표했다. 설문에 응한 대다수 전문가는 거래 금지 조치가 결과적으로 미국의 IT 기업에게 피해를 줄 뿐이고, 새로운 제품의 보안에 대한 미국의 영향력을 추가로 감소시킬 것이라고 평가했다. 전직 페이스북 최고 보안 책임자이자 현재 스탠포드대학교 후버연구소 펠로우인 알렉스 스태머스는 이번 금지 조치가 중국을 “소비자 기술에서 없어서는 안될 국가로 입지를 다지게 할 수 있다”라고 말했다.  미 상무부의 조치는 적국으로부터 수입한 이동통신 서비스 및 네트워크 장비를 미국 내에서 금지하는 백악관의 행정 명령 후 곧바로 시행되었다. 이 지시는 주로 화웨이와 화웨이의 중국 경쟁업체인 ZTE를 겨냥한 것이다. 이 조치는 안보상의 이유로 화웨이, ZTE 등 특정 중국 사업자로부터 연방 정부가 장비를 구매할 수 없다는 조항이 포함된 2019년 국방수권법(National Defense Authorization Act of 2019)이 발효되면서 이어진 것이다.  화웨이 ...

중국 엔티티 리스트 미국 수출 블랙리스트 트럼프 이동통신 5G ZTE 화웨이 공급망 미국 CSO 구글 푸젠 진화 반도체

2019.06.17

파이낸셜 타임스의 보도에 따르면 6월 초 구글은 화웨이가 안드로이드 운영체계의 위험한 파생물을 만들 수 있기 때문에 트럼프 행정부에 화웨이에 대한 수출 금지 조치가 국가 안보에 실질적인 위협이 될 수 있다고 경고했다.   이 금지 조치는 미 상무부가 3월 중순 발표한 내용의 일부로, 중국의 대형 ICT 제조사인 화웨이는 이른바 ‘엔티티 리스트(Entity List)’라는 미국 수출 블랙리스트에 이름을 올리게 됐다. 중국 정부를 대신해 미국 정보를 염탐한다는 의혹 때문이다. 다른 중국 대형 이동통신 기업인 ZTE와 메모리 칩 제조사인 푸젠 진화 반도체(Fujian Jinhua Integrated Circuit)도 엔티티 리스트에 포함됐다. 미 행정부는 현재 영상 감시 업체인 하이크비전(HikVision)을 리스트에 넣을지 검토 중으로 알려졌다.  구글의 경고가 공개되기 이틀 전 워싱턴 포스트는 정부, 학계, 민간 부문의 사이버보안 전문가 100명을 대상으로 한 설문조사를 발표했다. 설문에 응한 대다수 전문가는 거래 금지 조치가 결과적으로 미국의 IT 기업에게 피해를 줄 뿐이고, 새로운 제품의 보안에 대한 미국의 영향력을 추가로 감소시킬 것이라고 평가했다. 전직 페이스북 최고 보안 책임자이자 현재 스탠포드대학교 후버연구소 펠로우인 알렉스 스태머스는 이번 금지 조치가 중국을 “소비자 기술에서 없어서는 안될 국가로 입지를 다지게 할 수 있다”라고 말했다.  미 상무부의 조치는 적국으로부터 수입한 이동통신 서비스 및 네트워크 장비를 미국 내에서 금지하는 백악관의 행정 명령 후 곧바로 시행되었다. 이 지시는 주로 화웨이와 화웨이의 중국 경쟁업체인 ZTE를 겨냥한 것이다. 이 조치는 안보상의 이유로 화웨이, ZTE 등 특정 중국 사업자로부터 연방 정부가 장비를 구매할 수 없다는 조항이 포함된 2019년 국방수권법(National Defense Authorization Act of 2019)이 발효되면서 이어진 것이다.  화웨이 ...

2019.06.17

강은성의 보안 아키텍트 | 스타트업의 시대, 소프트웨어 보안의 역할

바야흐로 스타트업의 시대다. 테헤란로에 부쩍 늘어난 공유오피스를 가 보면 새로운 안목과 문화로 무장한 청년들이 기업을 만들어 꿈을 향해 나아가는 걸 볼 수 있다. 1990년대 말부터 2000년대 초반까지 몰아쳤던 벤처 열풍 정도는 아니지만, 어쩌면 그때보다 더 차분하고 내실 있게 진행되고 있는 것으로 보인다.    되돌아보면 1997년 외환위기로 침체되었던 경제에 활력을 불어넣었던 주요 동력 중의 하나가 벤처 열풍이었다. 2000년대 초반 미국에서 인터넷 거품이 꺼지면서 함께 사라지긴 했지만, 벤처 열풍을 통과하면서 지금의 네이버, 카카오(다음), 넥슨, 엔씨소프트, 휴맥스 같은 IT 대기업이 나타났다. 1970년대 압축성장 시기를 지나 재벌 중심의 경제체제 공고히 자리 잡은 뒤 우리나라의 경제사에서 그 정도의 역동성이 있었던 시기는 없었던 것 같다. 그러한 발전이 이뤄진 것은 자금과 인력이 벤처기업으로 이동했기 때문이다. 그 중에도 좋은 인력이 이동한 것이 매우 중요한 요인이라고 나는 생각한다. 그전까지만 해도 고급 인력들은 대부분 삼성전자, KT, LG전자, 포스코 등 대기업으로 갔다. 하지만 스톡옵션, 코스닥 등록 등 정부의 벤처 지원 정책으로, 안정성은 떨어지지만 리스크 감수에 따른 다양한 혜택이 제공되고 자유스러운 직장 문화를 누릴 수 있는 벤처기업에 고급 인력들이 몰려들었다. 내가 근무했던 굴지의 전자회사 연구소에서도 많은 인력들이 벤처기업으로 이동했다.  2017년부터 시작한 비트코인 열풍에 힘입어 좋은 인력들이 블록체인 스타트업으로 이동한 것도 블록체인 산업의 발전에 큰 도움이 될 것이다. 거품이 꺼지면서 어느 정도 옥석 가리기가 이뤄지고, 사용자에게 고객가치를 전달하는 블록체인 기업이 살아남아서 자리 잡을 수 있지 않을까 싶다. 한때 유행어가 되다시피 했던 핀테크 분야에서도 이제 1조 원의 가치평가를 받은 기업이 나오는 등 내실 있는 스타트업이 나타나고 있다. 우리 경제에 고무적인 일이다. 스타트업의 제품과 ...

CIO 핀테크 스타트업 강은성 비트코인 사물인터넷 분석 5G 인공지능 CISO 벤처 소프트웨어 SI 빅데이터 CSO 공유오피스

2019.06.14

바야흐로 스타트업의 시대다. 테헤란로에 부쩍 늘어난 공유오피스를 가 보면 새로운 안목과 문화로 무장한 청년들이 기업을 만들어 꿈을 향해 나아가는 걸 볼 수 있다. 1990년대 말부터 2000년대 초반까지 몰아쳤던 벤처 열풍 정도는 아니지만, 어쩌면 그때보다 더 차분하고 내실 있게 진행되고 있는 것으로 보인다.    되돌아보면 1997년 외환위기로 침체되었던 경제에 활력을 불어넣었던 주요 동력 중의 하나가 벤처 열풍이었다. 2000년대 초반 미국에서 인터넷 거품이 꺼지면서 함께 사라지긴 했지만, 벤처 열풍을 통과하면서 지금의 네이버, 카카오(다음), 넥슨, 엔씨소프트, 휴맥스 같은 IT 대기업이 나타났다. 1970년대 압축성장 시기를 지나 재벌 중심의 경제체제 공고히 자리 잡은 뒤 우리나라의 경제사에서 그 정도의 역동성이 있었던 시기는 없었던 것 같다. 그러한 발전이 이뤄진 것은 자금과 인력이 벤처기업으로 이동했기 때문이다. 그 중에도 좋은 인력이 이동한 것이 매우 중요한 요인이라고 나는 생각한다. 그전까지만 해도 고급 인력들은 대부분 삼성전자, KT, LG전자, 포스코 등 대기업으로 갔다. 하지만 스톡옵션, 코스닥 등록 등 정부의 벤처 지원 정책으로, 안정성은 떨어지지만 리스크 감수에 따른 다양한 혜택이 제공되고 자유스러운 직장 문화를 누릴 수 있는 벤처기업에 고급 인력들이 몰려들었다. 내가 근무했던 굴지의 전자회사 연구소에서도 많은 인력들이 벤처기업으로 이동했다.  2017년부터 시작한 비트코인 열풍에 힘입어 좋은 인력들이 블록체인 스타트업으로 이동한 것도 블록체인 산업의 발전에 큰 도움이 될 것이다. 거품이 꺼지면서 어느 정도 옥석 가리기가 이뤄지고, 사용자에게 고객가치를 전달하는 블록체인 기업이 살아남아서 자리 잡을 수 있지 않을까 싶다. 한때 유행어가 되다시피 했던 핀테크 분야에서도 이제 1조 원의 가치평가를 받은 기업이 나오는 등 내실 있는 스타트업이 나타나고 있다. 우리 경제에 고무적인 일이다. 스타트업의 제품과 ...

2019.06.14

한국IDG, 6월 25일 르 메르디앙 서울 호텔에서 CXO Perspectives 2019 개최

한국IDG가 오는 6월 25일에 'CXO Perspectives 2019' 행사를 개최한다. CIO와 CTO, CDO, CSO, COO 등 기술 및 비즈니스 전략을 담당하는 C-Level 임원들이 한자리에 모이는 이번 행사는 디지털 시대의 비즈니스 전략 수립을 위한 핵심 정보를 심도 깊게 전달하는 자리로 진행된다.  올해의 행사에서는 디지털 트랜스포메이션을 위한 기업의 대응전략과 핵심 기술 정보를 공유할 예정이다. 디지털 기술의 집약체인 스마트시티, AI 중심의 전사적인 디지털 트랜스포메이션 사례, 사이버 리질리언스 역량 강화, 클라우드 기반 HR 관리, 오픈소스를 활용한 디지털 이노베이션, 디지털 시대의 초개인화 서비스를 위한 컨택센터 등이 논의된다.  기조 연사로 참여하는 CRA & Association의 설립자 찰스 리드 앤더슨은 미래 비즈니스를 열어가는 핵심 디지털 기술과 스마트 시티에 대해 강연할 예정이다. 현재 맥킨지&컴퍼니의 시니어 어드바이저이며, 이전에는 IDC APAC의 VP로 근무한 ICT 업계의 전문가이다.  롯데그룹에서 인공지능 기반의 디지털 트랜스포메이션을 이끄는 롯데 e커머스 AI연구소장 김혜영 상무는 롯데그룹의 전사적인 인공지능 추진 현황 및 사례를 공유한다.  이번 행사에서는 보안, HR, 오픈소스, 컨택센터 등 다양한 기술 전문 기업의 강연도 기대를 모으고 있다. 한국IBM의 류종기 전문위원은 기업의 사이버 리질리언스 역량 강화를 위한 라이프 사이클 전략을 발표한다. 코너스톤에서는 클라우드 기술을 활용한 HR 관리 전략을, 몽고DB의 기술담당 김준 상무는 몽고DB를 활용한 디지털 이노베이션 사례를 전달할 예정이다. 한편 제네시스코리아의 백덕인 본부장은 디지털 시대의 초개인화 서비스를 위한 컨택센터 혁신 전략을 공유한다.  한편 이번 CXO Perspectives 2019 컨퍼런스는 한국IDG가 운영하는 CIO코리아 및 IT월드, 테크라이브러리 서비스...

CIO 백덕인 본부장 류종기 전문위원 김혜영 상무 김준 상무 CXO Perspectives 2019 롯데그룹 디지털 변혁 CDO CxO 몽고DB CTO 한국IBM COO CSO 제니시스코리아

2019.06.05

한국IDG가 오는 6월 25일에 'CXO Perspectives 2019' 행사를 개최한다. CIO와 CTO, CDO, CSO, COO 등 기술 및 비즈니스 전략을 담당하는 C-Level 임원들이 한자리에 모이는 이번 행사는 디지털 시대의 비즈니스 전략 수립을 위한 핵심 정보를 심도 깊게 전달하는 자리로 진행된다.  올해의 행사에서는 디지털 트랜스포메이션을 위한 기업의 대응전략과 핵심 기술 정보를 공유할 예정이다. 디지털 기술의 집약체인 스마트시티, AI 중심의 전사적인 디지털 트랜스포메이션 사례, 사이버 리질리언스 역량 강화, 클라우드 기반 HR 관리, 오픈소스를 활용한 디지털 이노베이션, 디지털 시대의 초개인화 서비스를 위한 컨택센터 등이 논의된다.  기조 연사로 참여하는 CRA & Association의 설립자 찰스 리드 앤더슨은 미래 비즈니스를 열어가는 핵심 디지털 기술과 스마트 시티에 대해 강연할 예정이다. 현재 맥킨지&컴퍼니의 시니어 어드바이저이며, 이전에는 IDC APAC의 VP로 근무한 ICT 업계의 전문가이다.  롯데그룹에서 인공지능 기반의 디지털 트랜스포메이션을 이끄는 롯데 e커머스 AI연구소장 김혜영 상무는 롯데그룹의 전사적인 인공지능 추진 현황 및 사례를 공유한다.  이번 행사에서는 보안, HR, 오픈소스, 컨택센터 등 다양한 기술 전문 기업의 강연도 기대를 모으고 있다. 한국IBM의 류종기 전문위원은 기업의 사이버 리질리언스 역량 강화를 위한 라이프 사이클 전략을 발표한다. 코너스톤에서는 클라우드 기술을 활용한 HR 관리 전략을, 몽고DB의 기술담당 김준 상무는 몽고DB를 활용한 디지털 이노베이션 사례를 전달할 예정이다. 한편 제네시스코리아의 백덕인 본부장은 디지털 시대의 초개인화 서비스를 위한 컨택센터 혁신 전략을 공유한다.  한편 이번 CXO Perspectives 2019 컨퍼런스는 한국IDG가 운영하는 CIO코리아 및 IT월드, 테크라이브러리 서비스...

2019.06.05

기고 | 보고된 보안 사고는 '빙산의 일각'일 뿐… 왜?

매일 수천 개의 기업이 사이버보안 공격을 당하지만 이를 인지하지 못하는 것으로 조사됐다. 그로 인해 공격받은 지불 카드 데이터가 손상됐는데도 말이다. EMV 칩이 이 문제를 해결할 수 있는 것은 아니지만 적어도 데이터 평가절하 영향은 줄일 수 있다.   ITRC(Identity Theft Resource Center)에 따르면, 2018년 한 해 1,244건의 데이터 침입(Breach) 사고가 보고됐다. 이로 인해 소비자의 개인 식별 정보(PII)가 포함된 4억 4,600여만 개의 기록이 영향을 받았다. 여기에서 눈여겨 볼 단어는 ‘보고된’이다. 해킹을 당한 기업이 모두 침입에 대해 보고를 했다고 가정하자. 1,244건은 해커가 발각된 침해 사고의 건수다. 그러나 해커는 발각되는 것을 좋아하지 않는다. 다시 말해, 보고된 1,244건의 침입 사고가 ‘빙산의 일각’에 불과할 수 있다. 매일 보고된 사례보다 훨씬 더 많은 기업에서 침입 사고가 발생한다. 단지 침입 사실을 모르고 있을 뿐이다. 기업의 규모가 작아서, 상근 네트워크 관리자가 없어서, 또는 은행 네트워크와 침입 사고 조사원이 적색경보로 분류하기에는 노출된 지불(결제) 카드의 수가 너무 적어서 등 경우의 수는 아주 많다. 보고되지 않은 소규모 침입 사고에 노출된 카드 수가 몇백 개에 불과할 수 있지만, 이런 카드를 모두 합하면 상당한 규모가 될 수도 있다. 지하경제 필자는 최근 열린 블루핀 서밋(Bluefin Summit)에 PCI 시큐리티 스탠다드 카운슬(PCI Security Standards Council)의 제너럴 매니저를 지낸 스티븐 W 오페이를 초대했다. 그는 지하경제가 실물 경제를 어떻게 반영하는지, 얼마나 깊이 퍼져 있는지를 조명하는 프레젠테이션을 했다. 그는 마이클 맥과이어 박사의 경종을 울리는 연구 결과를 직접 인용했다. ‘이익의 ‘웹’: 사이버범죄 경제의 성장을 이해(Web of Profit:...

CSO Europay Mastercard P2PE PCI 시큐리티 스탠다드 카운슬 VISA 가치 절하 디밸류에이션 블루핀 서밋 예방의학 지하경제 Devaluation ITRC 데이터 침해 사이버범죄 CISO 버라이즌 인공지능 포네몬 다크웹 EMV 신경망 토큰화 칩 카드

2019.05.27

매일 수천 개의 기업이 사이버보안 공격을 당하지만 이를 인지하지 못하는 것으로 조사됐다. 그로 인해 공격받은 지불 카드 데이터가 손상됐는데도 말이다. EMV 칩이 이 문제를 해결할 수 있는 것은 아니지만 적어도 데이터 평가절하 영향은 줄일 수 있다.   ITRC(Identity Theft Resource Center)에 따르면, 2018년 한 해 1,244건의 데이터 침입(Breach) 사고가 보고됐다. 이로 인해 소비자의 개인 식별 정보(PII)가 포함된 4억 4,600여만 개의 기록이 영향을 받았다. 여기에서 눈여겨 볼 단어는 ‘보고된’이다. 해킹을 당한 기업이 모두 침입에 대해 보고를 했다고 가정하자. 1,244건은 해커가 발각된 침해 사고의 건수다. 그러나 해커는 발각되는 것을 좋아하지 않는다. 다시 말해, 보고된 1,244건의 침입 사고가 ‘빙산의 일각’에 불과할 수 있다. 매일 보고된 사례보다 훨씬 더 많은 기업에서 침입 사고가 발생한다. 단지 침입 사실을 모르고 있을 뿐이다. 기업의 규모가 작아서, 상근 네트워크 관리자가 없어서, 또는 은행 네트워크와 침입 사고 조사원이 적색경보로 분류하기에는 노출된 지불(결제) 카드의 수가 너무 적어서 등 경우의 수는 아주 많다. 보고되지 않은 소규모 침입 사고에 노출된 카드 수가 몇백 개에 불과할 수 있지만, 이런 카드를 모두 합하면 상당한 규모가 될 수도 있다. 지하경제 필자는 최근 열린 블루핀 서밋(Bluefin Summit)에 PCI 시큐리티 스탠다드 카운슬(PCI Security Standards Council)의 제너럴 매니저를 지낸 스티븐 W 오페이를 초대했다. 그는 지하경제가 실물 경제를 어떻게 반영하는지, 얼마나 깊이 퍼져 있는지를 조명하는 프레젠테이션을 했다. 그는 마이클 맥과이어 박사의 경종을 울리는 연구 결과를 직접 인용했다. ‘이익의 ‘웹’: 사이버범죄 경제의 성장을 이해(Web of Profit:...

2019.05.27

기고 | 사이버보안 기술 인력 부족, 점점 악화되고 있나?

새로운 연구 결과에 따르면 사이버보안 기술 수요를 충족하려는 상황이 개선되지 않은 것으로 나타났다. 게다가 그 여파가 널리 퍼지고 있다.   필자는 7년 동안 사이버보안 기술 인력 부족에 관한 글을 써 왔는데, 필자의 생각은 기우였다. 사이버보안 채용 정보는 넘쳐난다. 그렇다면 기술 인력 부족이 유능한 사이버보안 전문가에게 미치는 영향은 무엇일까? 이는 제3회 연례 ESG/ISSA 연구 보고서인 '사이버보안 전문가의 삶과 시대'의 중점 분야 중 하나다(참고 : 필자는 ESG 직원이다). 우선 ‘기술 인력 부족이 유능한 사이버보안 전문가에 미치는 영향은 무엇일까?’라는 질문을 267명의 사이버보안 전문가와 ISSA 회원에게 사이버보안 기술 부족이 자신들이 일하는 조직에 영향을 미쳤는지 했다. 응답자의 거의 3/4(74%)은 사이버보안 기술 인력 부족이 조직에 ‘상당히’ 또는 ‘다소’ 영향을 미쳤다고 말했다. 이러한 응답률은 매년 상승했다. 작년에 70%의 응답자가 사이버보안 기술 부족이 조직에 영향을 미쳤다고 답했으며 2년 전에는 이 같은 답변이 69%였다. 이러한 결과는 사이버보안 기술 부족이 점점 악화되고 있음을 의미할까? 리서치 패널 풀의 변화와 샘플 크기의 오차로 ESG/ISSA 연구만으로는 ‘그렇다’고 설명하기 어렵다. 그러나 명확한 사실은 사이버보안 기술 부족이 개선되고 있다는 증거가 없다는 것이다. 사이버보안 기술 부족의 파급 효과 사이버보안 기술 부족에서 파생되는 효과는 무엇일까? 우리는 이 질문을 조직이 영향을 받았다고 밝힌 응답자의 74%에게 물었다. 결과는 다음과 같다. • 응답자의 66%는 사이버보안 기술 인력 부족으로 기존 직원의 업무량이 증가했다고 주장했다. 조직에는 충분한 인력이 없으므로 단순히 자신이 가지고 있는 것에 더 많은 작업을 쌓을 수 있다. 이는 인적 오류, 기술 직무 불일치, 직원 소진 등의 문...

CSO 사이버보안 기술 인력 ESG/ISSA Center of Excellence 명령 ESG CoE 클라우드 보안 사이버보안 CISO 트럼프 대통령

2019.05.15

새로운 연구 결과에 따르면 사이버보안 기술 수요를 충족하려는 상황이 개선되지 않은 것으로 나타났다. 게다가 그 여파가 널리 퍼지고 있다.   필자는 7년 동안 사이버보안 기술 인력 부족에 관한 글을 써 왔는데, 필자의 생각은 기우였다. 사이버보안 채용 정보는 넘쳐난다. 그렇다면 기술 인력 부족이 유능한 사이버보안 전문가에게 미치는 영향은 무엇일까? 이는 제3회 연례 ESG/ISSA 연구 보고서인 '사이버보안 전문가의 삶과 시대'의 중점 분야 중 하나다(참고 : 필자는 ESG 직원이다). 우선 ‘기술 인력 부족이 유능한 사이버보안 전문가에 미치는 영향은 무엇일까?’라는 질문을 267명의 사이버보안 전문가와 ISSA 회원에게 사이버보안 기술 부족이 자신들이 일하는 조직에 영향을 미쳤는지 했다. 응답자의 거의 3/4(74%)은 사이버보안 기술 인력 부족이 조직에 ‘상당히’ 또는 ‘다소’ 영향을 미쳤다고 말했다. 이러한 응답률은 매년 상승했다. 작년에 70%의 응답자가 사이버보안 기술 부족이 조직에 영향을 미쳤다고 답했으며 2년 전에는 이 같은 답변이 69%였다. 이러한 결과는 사이버보안 기술 부족이 점점 악화되고 있음을 의미할까? 리서치 패널 풀의 변화와 샘플 크기의 오차로 ESG/ISSA 연구만으로는 ‘그렇다’고 설명하기 어렵다. 그러나 명확한 사실은 사이버보안 기술 부족이 개선되고 있다는 증거가 없다는 것이다. 사이버보안 기술 부족의 파급 효과 사이버보안 기술 부족에서 파생되는 효과는 무엇일까? 우리는 이 질문을 조직이 영향을 받았다고 밝힌 응답자의 74%에게 물었다. 결과는 다음과 같다. • 응답자의 66%는 사이버보안 기술 인력 부족으로 기존 직원의 업무량이 증가했다고 주장했다. 조직에는 충분한 인력이 없으므로 단순히 자신이 가지고 있는 것에 더 많은 작업을 쌓을 수 있다. 이는 인적 오류, 기술 직무 불일치, 직원 소진 등의 문...

2019.05.15

서비스로서의 보안운영센터(SOCasS)란? 8가지 체크리스트

보안운영센터(SOC)가 필요한 조직은 많지만, 이 모든 조직에 충분한 장비와 인력을 갖출만한 여력이 있는 것은 아니다. 다행인 점은 SOC를 서비스로 제공하는 업체가 많다는 것이다. 어떤 SOCaaS 업체를 선택할지 결정하기 전 알아야 할 사항을 정리했다.    현재 자체적인 SOC(Security Operations Center)가 없다면 아마도 처음부터 이를 구축하지 않고 확보하는 방법에 대해 고민하고 있을 것이다. 온프레미스 버전은 비용이 높을 수 있으며, 상시 운영을 위한 인력 비용을 고려하면 더욱더 그렇다. 지난 수년 동안 MSSP(Managed Security Service Provider)들은 네트워크 및 컴퓨팅 인프라를 모니터링하며 패치와 악성코드 해결 등의 광범위한 서비스를 제공하기 위해 사용하는 클라우드 기반 SOC를 출시했다. 이 SOCaaS(SOC-as-a-service) 산업이 어떻게 성장했고 무엇을 제공하며 필요에 따라 적절한 공급자를 선택하는 방법에 대해 살펴보자. SOCaaS란 무엇인가? SOCaaS의 정의는 유동적이며 기본적인 상시 네트워크 모니터링을 제공하는 서비스 제공부터 완전한 위협 감지 및 해결까지 다양할 수 있다. 즉, 각 업체는 SOCaaS나 전통적인 MSSP라고 부르는 자체적인 서비스를 보유하고 있다. 안타깝게도 이를 자세히 다루려면 많은 시간이 필요할 것이다. 그중 일부는 각 약어에 대한 정의가 일관적이지 않고 일부는 보호를 중시하며 일부는 제품 및 서비스 제공으로 요약할 수 있으며 일부는 제공자의 출신과 관련이 있다. 이 문제는 각 SOCaaS 업체가 다양한 보안 분야에 초점을 두고 설립된 기업들에서 시작되었다는 점이다. 관리형 보안 이벤트 조달 기업에서 시작한 곳(AL(AlertLogic))도 있고 관리형 감지 업체(NTP(Network Technology Partners))나 관리형 엔드포인트 보안 업체(시만텍(Symantec)과 트러스트웨이브(Trustwave))도 있다. 일부는 자체...

CSO SOC-as-a-service Security Operations Center SCOaaS MSSP 트러스트웨이브 관리형 서비스 시만텍 CISO IBM HP 서비스로서의 보안운영센터

2019.05.02

보안운영센터(SOC)가 필요한 조직은 많지만, 이 모든 조직에 충분한 장비와 인력을 갖출만한 여력이 있는 것은 아니다. 다행인 점은 SOC를 서비스로 제공하는 업체가 많다는 것이다. 어떤 SOCaaS 업체를 선택할지 결정하기 전 알아야 할 사항을 정리했다.    현재 자체적인 SOC(Security Operations Center)가 없다면 아마도 처음부터 이를 구축하지 않고 확보하는 방법에 대해 고민하고 있을 것이다. 온프레미스 버전은 비용이 높을 수 있으며, 상시 운영을 위한 인력 비용을 고려하면 더욱더 그렇다. 지난 수년 동안 MSSP(Managed Security Service Provider)들은 네트워크 및 컴퓨팅 인프라를 모니터링하며 패치와 악성코드 해결 등의 광범위한 서비스를 제공하기 위해 사용하는 클라우드 기반 SOC를 출시했다. 이 SOCaaS(SOC-as-a-service) 산업이 어떻게 성장했고 무엇을 제공하며 필요에 따라 적절한 공급자를 선택하는 방법에 대해 살펴보자. SOCaaS란 무엇인가? SOCaaS의 정의는 유동적이며 기본적인 상시 네트워크 모니터링을 제공하는 서비스 제공부터 완전한 위협 감지 및 해결까지 다양할 수 있다. 즉, 각 업체는 SOCaaS나 전통적인 MSSP라고 부르는 자체적인 서비스를 보유하고 있다. 안타깝게도 이를 자세히 다루려면 많은 시간이 필요할 것이다. 그중 일부는 각 약어에 대한 정의가 일관적이지 않고 일부는 보호를 중시하며 일부는 제품 및 서비스 제공으로 요약할 수 있으며 일부는 제공자의 출신과 관련이 있다. 이 문제는 각 SOCaaS 업체가 다양한 보안 분야에 초점을 두고 설립된 기업들에서 시작되었다는 점이다. 관리형 보안 이벤트 조달 기업에서 시작한 곳(AL(AlertLogic))도 있고 관리형 감지 업체(NTP(Network Technology Partners))나 관리형 엔드포인트 보안 업체(시만텍(Symantec)과 트러스트웨이브(Trustwave))도 있다. 일부는 자체...

2019.05.02

'보안 AI, 거품이 있긴 하지만…' 해야 할 3가지 vs. 하지 말아야 2가지

"인공지능을 광고하는 제품 중 비결이 있다고 할만한 제품은 거의 없다. 사람들은 혁신적인 인공지능이 여전히 매우 기초적인 단계에 있다고 여기고 있으며, 우리는 훨씬 더 발전할 수 있다."  - 글래스윙 벤처스(Glasswing Ventures) 창업자 겸 경영파트너 릭 그리넬   필자가 칼테크(CalTech) 연구 보조금을 관리한 후 유행어 장사꾼과 데이터 과학자 사이의 태도가 큰 차이를 보였던 2015년부터 인공지능(AI)에 관한 거품이 거슬렸다. 이후 2017년 필자는 폭스뉴스에서 유일하게 AI 활용으로 가짜 뉴스를 해결할 수 있다는 과대광고에 반대했다. 필자는 그러한 과대광고는 싫어하지만, AI에 거는 기대는 크다. 초기 투자자 릭 그리넬은 AI에 대한 과대광고와 실제 활용도에 대한 실질적인 평가를 진행했다. "실제 제품 기술 관점에서 우리는 여전히 초기 단계다. AI라고 선전하는 것 중 실질적인 제품은 거의 없다"라고 그리넬은 말했다. "사람들은 혁신적이라고 자랑하고 있지만, AI는 아직 기본적인 수준이며 훨씬 더 발전할 것이라고 생각한다." 릭은 알고 있을 것이다. 그는 수년 동안 AI 지원 보안 업체에 집중했던 글래스윙 벤처스(Glasswing Ventures)의 설립자 겸 MP(Managing Partner)다. 어떻게 과대광고 속에서 AI와 머신러닝에 투자할 시기를 판단할 수 있을까? 해야 할 일과 하지 말아야 할 일에 대해 살펴보자. 수학에 시간을 낭비하지 말자 AI 과대광고 대부분은 갑작스러운 고급 수학의 유입으로 기계가 사람처럼 생각하게 됐다는 생각에서 기인한다. 필자는 2015년 초기 AI/ML 프로젝트에서 AI를 뒷받침하는 새로운 수학에 흥미를 느꼈다. 세계적인 데이터 과학자들이 CERN에서 20년이나 된 교과서에 나오는 알고리즘인 ‘k-means’와 ‘DBSCAN’ 등의 머신러닝 알고리즘을 사용해 연구를 진행...

구글 ML GDPR CERN NLP 데이터 레이크 머신 비전 수학 자연어 처리 인공지능 데이터 과학자 CISO CSO 데이터 라이프사이클

2019.04.23

"인공지능을 광고하는 제품 중 비결이 있다고 할만한 제품은 거의 없다. 사람들은 혁신적인 인공지능이 여전히 매우 기초적인 단계에 있다고 여기고 있으며, 우리는 훨씬 더 발전할 수 있다."  - 글래스윙 벤처스(Glasswing Ventures) 창업자 겸 경영파트너 릭 그리넬   필자가 칼테크(CalTech) 연구 보조금을 관리한 후 유행어 장사꾼과 데이터 과학자 사이의 태도가 큰 차이를 보였던 2015년부터 인공지능(AI)에 관한 거품이 거슬렸다. 이후 2017년 필자는 폭스뉴스에서 유일하게 AI 활용으로 가짜 뉴스를 해결할 수 있다는 과대광고에 반대했다. 필자는 그러한 과대광고는 싫어하지만, AI에 거는 기대는 크다. 초기 투자자 릭 그리넬은 AI에 대한 과대광고와 실제 활용도에 대한 실질적인 평가를 진행했다. "실제 제품 기술 관점에서 우리는 여전히 초기 단계다. AI라고 선전하는 것 중 실질적인 제품은 거의 없다"라고 그리넬은 말했다. "사람들은 혁신적이라고 자랑하고 있지만, AI는 아직 기본적인 수준이며 훨씬 더 발전할 것이라고 생각한다." 릭은 알고 있을 것이다. 그는 수년 동안 AI 지원 보안 업체에 집중했던 글래스윙 벤처스(Glasswing Ventures)의 설립자 겸 MP(Managing Partner)다. 어떻게 과대광고 속에서 AI와 머신러닝에 투자할 시기를 판단할 수 있을까? 해야 할 일과 하지 말아야 할 일에 대해 살펴보자. 수학에 시간을 낭비하지 말자 AI 과대광고 대부분은 갑작스러운 고급 수학의 유입으로 기계가 사람처럼 생각하게 됐다는 생각에서 기인한다. 필자는 2015년 초기 AI/ML 프로젝트에서 AI를 뒷받침하는 새로운 수학에 흥미를 느꼈다. 세계적인 데이터 과학자들이 CERN에서 20년이나 된 교과서에 나오는 알고리즘인 ‘k-means’와 ‘DBSCAN’ 등의 머신러닝 알고리즘을 사용해 연구를 진행...

2019.04.23

강은성의 보안 아키텍트 | 임원급 CISO의 지정과 겸직 금지

지난해 6월 12일에 정보통신망법이 개정되면서 보안동네에서 관심이 컸던 사이버 보험 가입 의무화(제32조의3)와 임원급 정보보호최고책임자(CISO)의 지정 및 겸직금지(제45조의3)의 시행이 두 달 앞으로 다가왔다(2019.6.13 시행).  그 중 제45조의3의 주요 개정 내용은 다음과 같다. ● 예외 요건에 해당하지 않는 정보통신서비스제공자는 임원급 CISO를 지정, 신고하여야 한다(제1항)  ● 일정 요건에 해당하는 정보통신서비스제공자의 CISO는 제4항에서 지정된 업무 외의 다른 업무를 겸직할 수 없다(제3항) 지난 2월에 과기정통부에서 낸 시행령 개정안에서는 제1항에 대해 소기업과 소상공인을 예외로 인정하였고(시행령 개정안 제36조의6 제1항), 제2항 CISO의 겸직 금지 요건으로는 자산총액 5조 원 이상인 자와 정보보호 관리체계 인증 의무대상자 중 자산총액 5천억 원 이상인 자로 규정하였다(시행령 개정안 제36조의6 제2항 신설). 또한 CISO의 자격 요건을 다음과 같이 규정하였다(시행령 개정안 제36조의6 제3항 신설). ● 직무 수행에 필요한 정보보호 또는 정보기술 관련 전문지식이나 실무 경험이 풍부한 자로 함. 단, 겸직이 금지되는 CISO는 상근하는 자로서 타 회사의 임직원이 아닌 자로 하고, 4년 이상의 정보보호 분야 또는 5년 이상 정보기술 분야(정보보호 2년 포함)의 경력을 구비하도록 함   정보통신망법 개정 이유에서 밝혔던 “CISO 제도의 실효성 확보”가 이뤄지려면 다음 사항이 심도 있게 검토될 필요가 있다고 판단된다. 첫째, CEO 이외에 다른 임원이 없다면 CEO가 CISO를 겸직해야 한다는 점을 명확히 할 필요가 있다. 정보통신망법과 개인정보보호법의 CPO 지정 조항에서는 사업주(대표자)가 CPO가 될 수 있게 함으로써 이런 문제를 해결하였다. 둘째, ‘임원급’에 대한 문제이다. ‘급'이란 표현이 있어서, 일부 기업에서 &lsq...

CIO 시행령 겸직 금지 개인정보보호 관리체계 과기정통부 강은성 CPO PIMS CISO 개인정보 CSO 정보통산망법

2019.04.05

지난해 6월 12일에 정보통신망법이 개정되면서 보안동네에서 관심이 컸던 사이버 보험 가입 의무화(제32조의3)와 임원급 정보보호최고책임자(CISO)의 지정 및 겸직금지(제45조의3)의 시행이 두 달 앞으로 다가왔다(2019.6.13 시행).  그 중 제45조의3의 주요 개정 내용은 다음과 같다. ● 예외 요건에 해당하지 않는 정보통신서비스제공자는 임원급 CISO를 지정, 신고하여야 한다(제1항)  ● 일정 요건에 해당하는 정보통신서비스제공자의 CISO는 제4항에서 지정된 업무 외의 다른 업무를 겸직할 수 없다(제3항) 지난 2월에 과기정통부에서 낸 시행령 개정안에서는 제1항에 대해 소기업과 소상공인을 예외로 인정하였고(시행령 개정안 제36조의6 제1항), 제2항 CISO의 겸직 금지 요건으로는 자산총액 5조 원 이상인 자와 정보보호 관리체계 인증 의무대상자 중 자산총액 5천억 원 이상인 자로 규정하였다(시행령 개정안 제36조의6 제2항 신설). 또한 CISO의 자격 요건을 다음과 같이 규정하였다(시행령 개정안 제36조의6 제3항 신설). ● 직무 수행에 필요한 정보보호 또는 정보기술 관련 전문지식이나 실무 경험이 풍부한 자로 함. 단, 겸직이 금지되는 CISO는 상근하는 자로서 타 회사의 임직원이 아닌 자로 하고, 4년 이상의 정보보호 분야 또는 5년 이상 정보기술 분야(정보보호 2년 포함)의 경력을 구비하도록 함   정보통신망법 개정 이유에서 밝혔던 “CISO 제도의 실효성 확보”가 이뤄지려면 다음 사항이 심도 있게 검토될 필요가 있다고 판단된다. 첫째, CEO 이외에 다른 임원이 없다면 CEO가 CISO를 겸직해야 한다는 점을 명확히 할 필요가 있다. 정보통신망법과 개인정보보호법의 CPO 지정 조항에서는 사업주(대표자)가 CPO가 될 수 있게 함으로써 이런 문제를 해결하였다. 둘째, ‘임원급’에 대한 문제이다. ‘급'이란 표현이 있어서, 일부 기업에서 &lsq...

2019.04.05

30년 IT보안 배테랑이 전하는 7가지 경력 조언

필자는 1987년 PC 문제 해결 및 보안 컨설턴트로 IT분야의 경력을 쌓기 시작했다. 그 뒤 교육 강사, 네트워크 기술자, 네트워크 감독자, 네트워크 및 기술책임자, IT VP, 수석 보안 아키텍트를 거쳐 에반겔리스트가 되었다. 필자는 그 과정에서 회사를 옮겨 다녔고 10년 이상 같은 회사에서 근무한 적도 있었다. 필자는 수백 명을 고용하고 수천 통의 이력서를 읽었으며 수십 명을 해고했다. 필자는 대부분 성공했고 행운이 따랐다.   필자가 경력관리 전문가는 아니지만 직원이자 상사로서의 경험이 길기 때문에 길고 성공적이며 만족스러운 IT보안 경력을 쌓기 위해 어떤 자질과 역량이 필요한지 알고 있다. 필자가 가장 중요하게 생각하는 7가지를 소개한다.  1. 시키는 일만 하지 말고 스스로 찾아서 일하라 아무리 전도유망한 구직자라도 면접에서 채용까지 이르려면 반드시 필요한 최소한의 자격 조건이 있다. 면접에 임하게 되면 고용 여부는 자신에게 있거나 없는 특성에 따라 결정되며, 그 특성이 바로 자발적인 사람인지 여부이다. 모든 고용주는 특정 직책에 채용하는 사람이 해야 할 일에 대한 지시를 받으면 별다른 관리 없이도 잘 해내기를 원한다. 필자가 누군가와 면접을 진행했는데 똑똑하고 능력이 있을 뿐 아니라 필자에게 큰 도움이 될 것이라는 느낌이 든다면 그 사람을 채용하기 위해 최선을 다한다. 이런 훌륭한 후보자는 자신에게 성공을 가져다주고 실패했을 때 다른 사람을 탓하지 않으며 잘해 나갈 수 있다. 필자는 신속하게 배우고 헤쳐 나갈 수 있다는 것을 알았기 때문에 필요한 기술이나 지식을 모두 갖추고 있지 않은 사람을 채용한 경우가 많았으며 그들은 필요한 기술과 지식을 익힌 뒤에는 훌륭한 성과를 기록했다. 고용주는 성공을 원하는 사람을 채용하고 싶어 한다. 이러한 사람은 지시를 받으면 해당 업무를 어떻게 처리할지 알고 더 이상 지시하지 않아도 된다. 2. 일을 배우고, 당신의 지식을 보여 주라 교육이나 자격증에 관한 이야기다. 둘 다 조금씩 갖추...

경력 마이크로서비스 신용카드 양자컴퓨팅 CISO 컨테이너 PC 조언 컨설턴트 고용 커뮤니케이션 채용 CSO 워런 버핏

2019.03.26

필자는 1987년 PC 문제 해결 및 보안 컨설턴트로 IT분야의 경력을 쌓기 시작했다. 그 뒤 교육 강사, 네트워크 기술자, 네트워크 감독자, 네트워크 및 기술책임자, IT VP, 수석 보안 아키텍트를 거쳐 에반겔리스트가 되었다. 필자는 그 과정에서 회사를 옮겨 다녔고 10년 이상 같은 회사에서 근무한 적도 있었다. 필자는 수백 명을 고용하고 수천 통의 이력서를 읽었으며 수십 명을 해고했다. 필자는 대부분 성공했고 행운이 따랐다.   필자가 경력관리 전문가는 아니지만 직원이자 상사로서의 경험이 길기 때문에 길고 성공적이며 만족스러운 IT보안 경력을 쌓기 위해 어떤 자질과 역량이 필요한지 알고 있다. 필자가 가장 중요하게 생각하는 7가지를 소개한다.  1. 시키는 일만 하지 말고 스스로 찾아서 일하라 아무리 전도유망한 구직자라도 면접에서 채용까지 이르려면 반드시 필요한 최소한의 자격 조건이 있다. 면접에 임하게 되면 고용 여부는 자신에게 있거나 없는 특성에 따라 결정되며, 그 특성이 바로 자발적인 사람인지 여부이다. 모든 고용주는 특정 직책에 채용하는 사람이 해야 할 일에 대한 지시를 받으면 별다른 관리 없이도 잘 해내기를 원한다. 필자가 누군가와 면접을 진행했는데 똑똑하고 능력이 있을 뿐 아니라 필자에게 큰 도움이 될 것이라는 느낌이 든다면 그 사람을 채용하기 위해 최선을 다한다. 이런 훌륭한 후보자는 자신에게 성공을 가져다주고 실패했을 때 다른 사람을 탓하지 않으며 잘해 나갈 수 있다. 필자는 신속하게 배우고 헤쳐 나갈 수 있다는 것을 알았기 때문에 필요한 기술이나 지식을 모두 갖추고 있지 않은 사람을 채용한 경우가 많았으며 그들은 필요한 기술과 지식을 익힌 뒤에는 훌륭한 성과를 기록했다. 고용주는 성공을 원하는 사람을 채용하고 싶어 한다. 이러한 사람은 지시를 받으면 해당 업무를 어떻게 처리할지 알고 더 이상 지시하지 않아도 된다. 2. 일을 배우고, 당신의 지식을 보여 주라 교육이나 자격증에 관한 이야기다. 둘 다 조금씩 갖추...

2019.03.26

'꼼꼼한 패치 관리는 이렇게' 6단계 프로세스

패치 관리는 취약점을 해결하고자 간단히 소프트웨어를 업데이트하는 것이다. 단순할 것처럼 들리지만 실제로 대부분 IT조직에서 패치 관리는 쉬운 프로세스가 아니다. 패치 관리 프로세스에 필요한 6단계 조치를 소개한다.   전 세계 사이버보안 관계자들이 지난 20년 동안 제조된 대부분의 컴퓨터에 영향을 끼치는 보안 결함의 총체인 스펙터 및 멜트다운과 씨름하면서 소프트웨어 패치의 중요성이 다시 한번 부각되고 있다. 왜냐하면 제공되는 소프트웨어 패치가 결함을 해결할 수 있기 때문이다. 단, 칩 성능은 희생해야 한다. 오늘의 상황은 워너크라이와 페트야 랜섬웨어에 대한 작년의 이야기가 반복되는 듯하다. 둘 다 자체적으로 복잡할 여지가 있는 패치로 업데이트되지 않은 소프트웨어의 취약점을 공격했다. 이런 균형에서 패치 관리의 복잡성이 드러나고 있으며, IT 및 사이버보안팀은 보안 위험을 파악하고 패치 적용 시 발생할 수 있는 비즈니스 중단 위험 그리고 IT 인프라 고장과 비교하여 저울질해야 한다. 패치 관리란 무엇인가? 소프트웨어를 새로운 코드로 업데이트하는 패치 관리는, 대부분 해커가 악용할 수 있는 취약성을 해결해 주지만 기존 프로그램의 다른 문제를 해결하거나 새 기능을 추가하기도 한다. 이 활동이 꽤 간단해 보이기도 하지만 대부분의 IT 조직에게 패치 관리는 쉬운 일이 아니다. 복잡한 사용자 정의 환경과 복수의 통합 포인트가 있는 현대의 기업에서 소프트웨어 패치를 적용하면 스펙터 및 멜트다운 취약성을 해결하기 위해 개발된 패치와 마찬가지로 하드웨어 또는 소프트웨어가 느려질 수 있다. 패치로 포트가 닫히거나 중요한 인프라가 비활성화되거나 시스템이 충돌하거나 가용성이 저하될 수 있다. 기업이 거래를 운용 또는 처리하기 위해 사용하는 시스템이 사라질 수 있다. IT 거버넌스에 집중하는 국제적인 전문 협회 ISACA의 이사 겸 사이버보안 활동 전문가 프랭크 다운스는 "대형 조직 도는 다양한 네트워크가 있는 경우 패치를 적용하면 여러 시스템에...

CSO 워너크라이 익스플로잇 소프트웨어 업데이트 사이버보안 패치 공격 취약점 CISO 가트너 펫티야

2019.03.19

패치 관리는 취약점을 해결하고자 간단히 소프트웨어를 업데이트하는 것이다. 단순할 것처럼 들리지만 실제로 대부분 IT조직에서 패치 관리는 쉬운 프로세스가 아니다. 패치 관리 프로세스에 필요한 6단계 조치를 소개한다.   전 세계 사이버보안 관계자들이 지난 20년 동안 제조된 대부분의 컴퓨터에 영향을 끼치는 보안 결함의 총체인 스펙터 및 멜트다운과 씨름하면서 소프트웨어 패치의 중요성이 다시 한번 부각되고 있다. 왜냐하면 제공되는 소프트웨어 패치가 결함을 해결할 수 있기 때문이다. 단, 칩 성능은 희생해야 한다. 오늘의 상황은 워너크라이와 페트야 랜섬웨어에 대한 작년의 이야기가 반복되는 듯하다. 둘 다 자체적으로 복잡할 여지가 있는 패치로 업데이트되지 않은 소프트웨어의 취약점을 공격했다. 이런 균형에서 패치 관리의 복잡성이 드러나고 있으며, IT 및 사이버보안팀은 보안 위험을 파악하고 패치 적용 시 발생할 수 있는 비즈니스 중단 위험 그리고 IT 인프라 고장과 비교하여 저울질해야 한다. 패치 관리란 무엇인가? 소프트웨어를 새로운 코드로 업데이트하는 패치 관리는, 대부분 해커가 악용할 수 있는 취약성을 해결해 주지만 기존 프로그램의 다른 문제를 해결하거나 새 기능을 추가하기도 한다. 이 활동이 꽤 간단해 보이기도 하지만 대부분의 IT 조직에게 패치 관리는 쉬운 일이 아니다. 복잡한 사용자 정의 환경과 복수의 통합 포인트가 있는 현대의 기업에서 소프트웨어 패치를 적용하면 스펙터 및 멜트다운 취약성을 해결하기 위해 개발된 패치와 마찬가지로 하드웨어 또는 소프트웨어가 느려질 수 있다. 패치로 포트가 닫히거나 중요한 인프라가 비활성화되거나 시스템이 충돌하거나 가용성이 저하될 수 있다. 기업이 거래를 운용 또는 처리하기 위해 사용하는 시스템이 사라질 수 있다. IT 거버넌스에 집중하는 국제적인 전문 협회 ISACA의 이사 겸 사이버보안 활동 전문가 프랭크 다운스는 "대형 조직 도는 다양한 네트워크가 있는 경우 패치를 적용하면 여러 시스템에...

2019.03.19

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.6