Offcanvas

cso

2018년 데이터 분석 트렌드를 읽는 '6가지 키워드'

소셜, 모바일, 클라우드와 함께 데이터 분석 및 관련 데이터 기술이 디지털 시대에 비즈니스에 파괴적인 혁신을 가져오는 핵심으로 부상했다. 기업은 지난 한 해 데이터를 생산하는 데서 더 나아가 데이터를 동력으로 삼고자 노력했으며, 이에 수많은 기업이 데이터와 분석에 주력했다. 2018년에는 이들 기술이 가치를 전달하기 시작해야 한다. 올 한 해 데이터 분석 전략과 관련해 가장 두드러질 접근법, 역할, 우려 사항을 소개한다. 지난 2월 6일 게재한 ‘최신 데이터 분석 트렌드를 읽는 4가지 키워드’를 업데이트한 기사임을 알린다. ‘데이터 레이크’, 살아남으려면 비즈니스 가치 입증해야 몇 년 동안 아주 놀라운 속도로 데이터가 쌓였다. 데이터 소스가 웹에서 모바일과 머신으로 이동하는 가운데 사물인터넷(IoT)은 더욱 빠른 속도로 데이터가 생성되도록 유도할 전망이다. 실시간 스트리밍 데이터 플랫폼 공급업체인 데이터 토렌트(Data Torrent)의 CEO 가이 처치워드는 “이로 인해 비용 효과적으로 데이터 파이프라인을 확대할 필요성이 생겼다”라고 말했다. 많은 기업이 아파치 하둡 같은 기술을 기반으로 데이터 레이크(data lakes)를 구현하는 것을 ‘해법’으로 여겼다. 데이터 레이크란, 기업의 모든 데이터를 원래 형식으로 저장하는 전사적인 데이터 관리 플랫폼이다. 데이터 레이크는 기업이 비즈니스 분석부터 데이터 마이닝까지 모든 곳에 활용할 수 있는 단일 데이터 레포지토리(저장소)를 제공해, 정보 ‘사일로(고립 및 분리)’를 무너뜨릴 잠재력이 있는 기술이다. ‘원본’ 그대로인 데이터 레이크는 빅데이터를 위한 기술이자 해법으로 홍보됐다. 그러나 데이터 레이크가 수많은 데이터를 저장하는 데 유용할지언정, 그렇게 담은 데이터에서 실제 활용 가능한 인사이트를 얻기란 어려웠다. 처치워드는 &...

CIO 베리타스 테크놀로지스 멀티벤더 클라우드 GDRP 데이터 큐레이터 데이터 레이크 최고 데이터 책임자 최고 보안 책임자 2018년 셀프서비스 BI 사물인터넷 CDO 데이터 분석 데이터 거버넌스 빅데이터 CSO 데이터 패브릭

2018.03.19

소셜, 모바일, 클라우드와 함께 데이터 분석 및 관련 데이터 기술이 디지털 시대에 비즈니스에 파괴적인 혁신을 가져오는 핵심으로 부상했다. 기업은 지난 한 해 데이터를 생산하는 데서 더 나아가 데이터를 동력으로 삼고자 노력했으며, 이에 수많은 기업이 데이터와 분석에 주력했다. 2018년에는 이들 기술이 가치를 전달하기 시작해야 한다. 올 한 해 데이터 분석 전략과 관련해 가장 두드러질 접근법, 역할, 우려 사항을 소개한다. 지난 2월 6일 게재한 ‘최신 데이터 분석 트렌드를 읽는 4가지 키워드’를 업데이트한 기사임을 알린다. ‘데이터 레이크’, 살아남으려면 비즈니스 가치 입증해야 몇 년 동안 아주 놀라운 속도로 데이터가 쌓였다. 데이터 소스가 웹에서 모바일과 머신으로 이동하는 가운데 사물인터넷(IoT)은 더욱 빠른 속도로 데이터가 생성되도록 유도할 전망이다. 실시간 스트리밍 데이터 플랫폼 공급업체인 데이터 토렌트(Data Torrent)의 CEO 가이 처치워드는 “이로 인해 비용 효과적으로 데이터 파이프라인을 확대할 필요성이 생겼다”라고 말했다. 많은 기업이 아파치 하둡 같은 기술을 기반으로 데이터 레이크(data lakes)를 구현하는 것을 ‘해법’으로 여겼다. 데이터 레이크란, 기업의 모든 데이터를 원래 형식으로 저장하는 전사적인 데이터 관리 플랫폼이다. 데이터 레이크는 기업이 비즈니스 분석부터 데이터 마이닝까지 모든 곳에 활용할 수 있는 단일 데이터 레포지토리(저장소)를 제공해, 정보 ‘사일로(고립 및 분리)’를 무너뜨릴 잠재력이 있는 기술이다. ‘원본’ 그대로인 데이터 레이크는 빅데이터를 위한 기술이자 해법으로 홍보됐다. 그러나 데이터 레이크가 수많은 데이터를 저장하는 데 유용할지언정, 그렇게 담은 데이터에서 실제 활용 가능한 인사이트를 얻기란 어려웠다. 처치워드는 &...

2018.03.19

'CISO, 디지털 변혁 최전선으로' 언제? 왜?

디지털 변혁(DX)은 프로세스와 서비스를 디지털화해서 기업의 민첩성과 운영 효율성을 높이는 것이 목적이다. 그 범위는 고객 서비스 제공부터 공급망 협력업체와의 프로세스 개선까지 다양하다. 마케팅팀은 제품 홍보 방식을 혁신하고자 하고 HR부서는 채용을 개선하고자 하며 IT팀은 온라인 서비스를 즉시 반복하고자 한다. DX 프로젝트를 시작하려는 조직들은 계획 및 전략 단계에서 인력과 프로세스, 기술을 한데 모아야 한다. 데이터 분석, 사물인터넷(IoT), 모바일, 소셜 등과 같은 기술들이 어디에서 차이를 만들어낼 수 있는지 확인할 기회를 제공해야 한다. 그런데 이 과정에서 정보보안이 너무 자주 배제된다고 보는 사람들이 많다. 보안 없는 디지털 변혁, 위험을 키운다 애자일과 데브옵스 같은 신속한 IT 및 업무 계획 덕분에 제품 출시가 빨라짐에 따라, 보안의 역할은 위험 및 보안에 미치는 연쇄 반응에 대해 나중에야 질문하는 식으로 제한돼 있다. 즉, 디지털 변혁은 고객(또는 그에 상응하는 대상)에 대한 가치 제공에 지나치게 집중한 나머지, 핵심 보안 기능에 미치는 영향은 거의 신경 쓰지 않는다. 데이터 유출과 취약점 사례가 늘어나면서 보안 없는 디지털 변혁이 조직들을 더 큰 위험에 노출시킨다는 지적도 나왔다. 최근 가트너는 보안 팀의 디지털 위험 관리 능력 부재로 2020년까지 디지털 기업의 60%가 중대한 서비스 장애를 겪을 것으로 예측했다. 가트너 보고서는 “디지털 사업이 전통적인 사업에 비해 빠른 속도로 움직인다. 통제를 극대화하는 전통적인 보안 접근법은 새로운 디지털 변혁의 시대에는 더 이상 통하지 않는다”고 지적했다. 보안이 디지털 변혁에서 소외됐나? 기존 DX 프로젝트들은 보안을 뒤늦게야 개입하거나 전혀 개입하지 않아서 실패하는 경우가 많다. 이는 델과 디멘셔널 리서치(Dimensional Research)의 조사 결과 사실로 확인되었다. 기업 임원들이 보안 팀 개입을 꺼리는...

CIO DX GDPR 디지털 변혁 데브옵스 사물인터넷 인공지능 CISO 피싱 가트너 CSO 디멘셔널 리서치

2018.03.16

디지털 변혁(DX)은 프로세스와 서비스를 디지털화해서 기업의 민첩성과 운영 효율성을 높이는 것이 목적이다. 그 범위는 고객 서비스 제공부터 공급망 협력업체와의 프로세스 개선까지 다양하다. 마케팅팀은 제품 홍보 방식을 혁신하고자 하고 HR부서는 채용을 개선하고자 하며 IT팀은 온라인 서비스를 즉시 반복하고자 한다. DX 프로젝트를 시작하려는 조직들은 계획 및 전략 단계에서 인력과 프로세스, 기술을 한데 모아야 한다. 데이터 분석, 사물인터넷(IoT), 모바일, 소셜 등과 같은 기술들이 어디에서 차이를 만들어낼 수 있는지 확인할 기회를 제공해야 한다. 그런데 이 과정에서 정보보안이 너무 자주 배제된다고 보는 사람들이 많다. 보안 없는 디지털 변혁, 위험을 키운다 애자일과 데브옵스 같은 신속한 IT 및 업무 계획 덕분에 제품 출시가 빨라짐에 따라, 보안의 역할은 위험 및 보안에 미치는 연쇄 반응에 대해 나중에야 질문하는 식으로 제한돼 있다. 즉, 디지털 변혁은 고객(또는 그에 상응하는 대상)에 대한 가치 제공에 지나치게 집중한 나머지, 핵심 보안 기능에 미치는 영향은 거의 신경 쓰지 않는다. 데이터 유출과 취약점 사례가 늘어나면서 보안 없는 디지털 변혁이 조직들을 더 큰 위험에 노출시킨다는 지적도 나왔다. 최근 가트너는 보안 팀의 디지털 위험 관리 능력 부재로 2020년까지 디지털 기업의 60%가 중대한 서비스 장애를 겪을 것으로 예측했다. 가트너 보고서는 “디지털 사업이 전통적인 사업에 비해 빠른 속도로 움직인다. 통제를 극대화하는 전통적인 보안 접근법은 새로운 디지털 변혁의 시대에는 더 이상 통하지 않는다”고 지적했다. 보안이 디지털 변혁에서 소외됐나? 기존 DX 프로젝트들은 보안을 뒤늦게야 개입하거나 전혀 개입하지 않아서 실패하는 경우가 많다. 이는 델과 디멘셔널 리서치(Dimensional Research)의 조사 결과 사실로 확인되었다. 기업 임원들이 보안 팀 개입을 꺼리는...

2018.03.16

'보안 패싱은 없다' 모든 협력사 계약에 CSO 관여해야

모든 공급업체, 협력사, 심지어 IT와 관련 없는 업무를 수행하는 외부 업체 직원이라 해도 조직의 보안 표준을 준수하도록 요구해야 한다. 그리고 이러한 요구는 계약서에 서명하기 전에 이뤄져야 한다. 미국 국책 주택담보금융공사인 패니메(Fannie Mae)의 최고 보안 책임자(CSO) 제리 아처에 따르면, 이미 계약을 체결한 상태인 외부 업체에게 보안 위험을 없애라고 요구한다면 이는 실패한 보안이다. 아처는 계약을 체결하기 전에 위험을 경감하기 시작해야 한다고 강조했다. 이런 이유로 패니메는 보안 부서가 외부 업체와의 계약을 ‘승인’하거나 ‘거부’할 수 있다. 인증 기술이나 API 게이트웨이 서비스같이 IT를 관장하는 업체에만 국한되지 않는다. 모든 부서가 보안 부서의 승인을 받아야 업체와 계약을 체결해 도구를 도입할 수 있다. 외부 업체가 200여 곳이 넘는다는 점을 감안하면 이는 쉬운 일이 아니다. 아처는 “다른 회사가 HR 등의 부서에 접근해 새로운 기술과 툴을 보여준다고 가정하자. 해당 부서에 필요한 툴이다. 반드시 가져야 하는 툴이다. 해당 툴, 소프트웨어를 사용하는 부서는 기능만 생각한다. 보안은 생각하지 않는다. 그 툴이 있어야 성과를 낼 수 있다고 IT부서에 강조한다. 우리 모두 이것이 100% 사실이 아니라는 점을 안다. 그러나 툴을 요구하는 사람들은 감정적, 정치적으로 도구와 연결되어 있다”고 말했다. 그 결과 통제할 수 없는 보안 위험이 초래된다. 처음부터 의사결정에 관여하지 않으면, 툴이나 기술을 구입하겠다는 요구가 승리하고, 결과적으로 보안 부서는 사고를 수습하는 역할만 하게 된다. 그는 “처음부터 관여할 방법을 찾아야 한다. 감정이 끼어들어 통제할 수 없게 되기 전에 프로세스를 고치거나, 중지시켜야 한다”고 강조했다. 미리 보안을 평가하는 방법 아처는 ‘관계’가 아주 중요하다고 강조했다. 그는 &ldquo...

SLA 보안 침해 퍼블릭 클라우드 협력사 서비스 수준 협약 인사 구매 CISO 이전 IT아웃소싱 마이그레이션 계약 HR CSO RFI

2018.03.14

모든 공급업체, 협력사, 심지어 IT와 관련 없는 업무를 수행하는 외부 업체 직원이라 해도 조직의 보안 표준을 준수하도록 요구해야 한다. 그리고 이러한 요구는 계약서에 서명하기 전에 이뤄져야 한다. 미국 국책 주택담보금융공사인 패니메(Fannie Mae)의 최고 보안 책임자(CSO) 제리 아처에 따르면, 이미 계약을 체결한 상태인 외부 업체에게 보안 위험을 없애라고 요구한다면 이는 실패한 보안이다. 아처는 계약을 체결하기 전에 위험을 경감하기 시작해야 한다고 강조했다. 이런 이유로 패니메는 보안 부서가 외부 업체와의 계약을 ‘승인’하거나 ‘거부’할 수 있다. 인증 기술이나 API 게이트웨이 서비스같이 IT를 관장하는 업체에만 국한되지 않는다. 모든 부서가 보안 부서의 승인을 받아야 업체와 계약을 체결해 도구를 도입할 수 있다. 외부 업체가 200여 곳이 넘는다는 점을 감안하면 이는 쉬운 일이 아니다. 아처는 “다른 회사가 HR 등의 부서에 접근해 새로운 기술과 툴을 보여준다고 가정하자. 해당 부서에 필요한 툴이다. 반드시 가져야 하는 툴이다. 해당 툴, 소프트웨어를 사용하는 부서는 기능만 생각한다. 보안은 생각하지 않는다. 그 툴이 있어야 성과를 낼 수 있다고 IT부서에 강조한다. 우리 모두 이것이 100% 사실이 아니라는 점을 안다. 그러나 툴을 요구하는 사람들은 감정적, 정치적으로 도구와 연결되어 있다”고 말했다. 그 결과 통제할 수 없는 보안 위험이 초래된다. 처음부터 의사결정에 관여하지 않으면, 툴이나 기술을 구입하겠다는 요구가 승리하고, 결과적으로 보안 부서는 사고를 수습하는 역할만 하게 된다. 그는 “처음부터 관여할 방법을 찾아야 한다. 감정이 끼어들어 통제할 수 없게 되기 전에 프로세스를 고치거나, 중지시켜야 한다”고 강조했다. 미리 보안을 평가하는 방법 아처는 ‘관계’가 아주 중요하다고 강조했다. 그는 &ldquo...

2018.03.14

칼럼 | 데이터 주도형 보안으로 가는 길

데이터 기반 방어는 조직의 자체 데이터를 사용하여 가장 중요한 위협을 식별하고 완화한다. 그럴듯하게 들리지만, 막상 조직이 데이터 기반 방어를 도입하려 하면, 내부 저항에 부딪힐 것이다. 필자는 남은 경력을 데이터 주도형 컴퓨터 보안 방어 고취에 전념하기로 했다. 한 마디로 경험을 통해 기업의 로컬 데이터를 활용하여 더욱 효율적이고 효과적인 컴퓨터 보안 방어를 구축하는 것이다. 필자는 약 10년 동안 백서, 서적 및 각종 행사 발표를 포함한 여러 프레젠테이션 등 데이터 주도형 방어를 강력히 주장했다. 자체 데이터를 활용하여 더 나은 방어를 구축하지 않는 기업들은 요즈음의 간단한 해킹에도 뒤떨어진다. 이는 비효율적이고 비효과적인 방어로 이어져 대부분의 경우에 더 많은 해커와 악성코드가 기업에 침투할 수 있게 된다. 데이터 주도형 방어가 우수하다는 것을 알더라도 기업이 이를 도입하기 위해 문화를 바꾸는 것은 어렵다. 필자가 배운 교훈이 이런 수고를 더는 데 도움이 될 수 있다. 반발을 예상하라 필자는 자체 데이터를 더욱 잘 활용하여 방어적인 완화책을 유도해야 한다고 말할 때 보이는 반발에 놀랐다. 필자가 이전에 근무했던 기업에서는 필자가 데이터 주도형 방어에 대한 설파를 멈추지 않으면 해고를 당할 수도 있다는 말을 들었다. 필자의 아이디어에 강력히 반대했던 사람들은 직업상의 적으로 기억할 수 있을 뿐이다. 그들은 필자의 모든 아이디어와 프로젝트를 좌절시켰다. 그러다 하루는 필자의 데이터 주도형 방어 아이디어가 문화의 한 부분이 되었고 너무 잘 수용된 나머지 그들은 우리가 한 거의 모든 것을 주도했다. 필자가 기업 임원들과 참석한 회의에서 고위 임원이 그룹에게 이렇게 말했다. “우리는 데이터 주도형 방어에 대한 로저(Roger)의 아이디어를 더욱 자주 따라야 한다.” 필자는 놀라움을 금치 못했다. 몇 주 후, 필자의 적이 필자를 한 신입 직원에게 “세상에서 만나 본 가장 똑똑하고 집요한 사람&rdq...

데이터 분석 보험 문화 소셜 엔지니어링 패치 공격 취약점 해커 CISO 시스코 해킹 빅데이터 자바 CSO 방어 보안

2018.03.08

데이터 기반 방어는 조직의 자체 데이터를 사용하여 가장 중요한 위협을 식별하고 완화한다. 그럴듯하게 들리지만, 막상 조직이 데이터 기반 방어를 도입하려 하면, 내부 저항에 부딪힐 것이다. 필자는 남은 경력을 데이터 주도형 컴퓨터 보안 방어 고취에 전념하기로 했다. 한 마디로 경험을 통해 기업의 로컬 데이터를 활용하여 더욱 효율적이고 효과적인 컴퓨터 보안 방어를 구축하는 것이다. 필자는 약 10년 동안 백서, 서적 및 각종 행사 발표를 포함한 여러 프레젠테이션 등 데이터 주도형 방어를 강력히 주장했다. 자체 데이터를 활용하여 더 나은 방어를 구축하지 않는 기업들은 요즈음의 간단한 해킹에도 뒤떨어진다. 이는 비효율적이고 비효과적인 방어로 이어져 대부분의 경우에 더 많은 해커와 악성코드가 기업에 침투할 수 있게 된다. 데이터 주도형 방어가 우수하다는 것을 알더라도 기업이 이를 도입하기 위해 문화를 바꾸는 것은 어렵다. 필자가 배운 교훈이 이런 수고를 더는 데 도움이 될 수 있다. 반발을 예상하라 필자는 자체 데이터를 더욱 잘 활용하여 방어적인 완화책을 유도해야 한다고 말할 때 보이는 반발에 놀랐다. 필자가 이전에 근무했던 기업에서는 필자가 데이터 주도형 방어에 대한 설파를 멈추지 않으면 해고를 당할 수도 있다는 말을 들었다. 필자의 아이디어에 강력히 반대했던 사람들은 직업상의 적으로 기억할 수 있을 뿐이다. 그들은 필자의 모든 아이디어와 프로젝트를 좌절시켰다. 그러다 하루는 필자의 데이터 주도형 방어 아이디어가 문화의 한 부분이 되었고 너무 잘 수용된 나머지 그들은 우리가 한 거의 모든 것을 주도했다. 필자가 기업 임원들과 참석한 회의에서 고위 임원이 그룹에게 이렇게 말했다. “우리는 데이터 주도형 방어에 대한 로저(Roger)의 아이디어를 더욱 자주 따라야 한다.” 필자는 놀라움을 금치 못했다. 몇 주 후, 필자의 적이 필자를 한 신입 직원에게 “세상에서 만나 본 가장 똑똑하고 집요한 사람&rdq...

2018.03.08

성큼 다가온 GDPR 시행, 어떻게 준비할까? 11가지 팁

2018년 5월 25일 GDPR(General Data Protection Regulation)이 발효까지 100일도 채 남지 않았다. 영국 정보위원회 위원장 엘리자베스 덴햄은 GDPR을 "한 세대 동안 데이터 보호법에서 가장 큰 변화"라고 표현했다. 복잡한 규제를 위반하면 최고 2,000만 유로 또는 전세계 매출액의 4%의 벌금이 부과될 수 있어 대부분 기업은 발효일이 임박해 옴에 따라 노력을 해야 한다. 영국 정부의 연구에 따르면 GDPR에 대해 알고 있다고 밝힌 기업은 38%에 불과했다. 규정을 알고 있는 사람 중에서 새로운 요구 사항에 대응하기 위해 업무가 바뀌었다고 밝힌 응답자는 4분의 1이었다. 그렇다고 패닉 상태에 빠질 수는 없다. 아직 준비할 시간은 있다. 당신의 조직이 GDPR 시행일보다 앞서 준비돼 있는지 확인하려면 다음 사항을 점검해 보길 바란다. 1. GDPR를 이해하라 GDPR은 2016년 4월에 유럽 의회에서 개인정보 사용과 관련해 우려되는 데이터 보호 규정을 최신으로 유지하기 위해 채택됐다. EU 안에서 처리되는 모든 데이터와 EU 밖에 있는 기업에서 사용하는 EU 관련된 데이터에 적용된다. 이 규제는 2018년 5월 25일에 발효되며 EU와 EU를 탈퇴한 영국에도 적용될 예정이다. GDPR 규제는 현재 영국 의회에 상정된 데이터 보호 법안에도 반영됐다. 이는 '컨트롤러'와 '프로세서'에 모두 적용되며, 현재 강화된 기존 규정과 데이터 주체에 대한 일련의 새로운 권리를 다룬다. 2. 보유한 데이터를 확인하고 문서로 만들어라 현재 저장하고 있는 데이터를 철저히 조사하라. 보관 장소, 개인 또는 중요 데이터, 처리 방법 및 접근 권한을 식별하라. 가능한 한 철저히 이 정보를 기록하라. IBM 글로벌 GDPR 책임자인 리처드 호그는 최소한의 기록 관리 수준을 제안하며 "당신의 비즈니스에서 개인 데이터를 알 수 있는 초기 카탈로그를 ...

CIO CIPL GDPR DPO 데이터 보호 책임자 디지털 경제 CISO 규제 개인정보 IBM 가트너 CSO Center for Information Policy Leadership

2018.02.21

2018년 5월 25일 GDPR(General Data Protection Regulation)이 발효까지 100일도 채 남지 않았다. 영국 정보위원회 위원장 엘리자베스 덴햄은 GDPR을 "한 세대 동안 데이터 보호법에서 가장 큰 변화"라고 표현했다. 복잡한 규제를 위반하면 최고 2,000만 유로 또는 전세계 매출액의 4%의 벌금이 부과될 수 있어 대부분 기업은 발효일이 임박해 옴에 따라 노력을 해야 한다. 영국 정부의 연구에 따르면 GDPR에 대해 알고 있다고 밝힌 기업은 38%에 불과했다. 규정을 알고 있는 사람 중에서 새로운 요구 사항에 대응하기 위해 업무가 바뀌었다고 밝힌 응답자는 4분의 1이었다. 그렇다고 패닉 상태에 빠질 수는 없다. 아직 준비할 시간은 있다. 당신의 조직이 GDPR 시행일보다 앞서 준비돼 있는지 확인하려면 다음 사항을 점검해 보길 바란다. 1. GDPR를 이해하라 GDPR은 2016년 4월에 유럽 의회에서 개인정보 사용과 관련해 우려되는 데이터 보호 규정을 최신으로 유지하기 위해 채택됐다. EU 안에서 처리되는 모든 데이터와 EU 밖에 있는 기업에서 사용하는 EU 관련된 데이터에 적용된다. 이 규제는 2018년 5월 25일에 발효되며 EU와 EU를 탈퇴한 영국에도 적용될 예정이다. GDPR 규제는 현재 영국 의회에 상정된 데이터 보호 법안에도 반영됐다. 이는 '컨트롤러'와 '프로세서'에 모두 적용되며, 현재 강화된 기존 규정과 데이터 주체에 대한 일련의 새로운 권리를 다룬다. 2. 보유한 데이터를 확인하고 문서로 만들어라 현재 저장하고 있는 데이터를 철저히 조사하라. 보관 장소, 개인 또는 중요 데이터, 처리 방법 및 접근 권한을 식별하라. 가능한 한 철저히 이 정보를 기록하라. IBM 글로벌 GDPR 책임자인 리처드 호그는 최소한의 기록 관리 수준을 제안하며 "당신의 비즈니스에서 개인 데이터를 알 수 있는 초기 카탈로그를 ...

2018.02.21

평창 동계올림픽에서 배우는 보안 교훈

기술은 ‘반짝거리는 버튼’으로 우리를 유혹하며 저만치 앞서 질주한다. 반면 보안은 그 뒤에서 온갖 ‘쓰레기’를 정리한다. 최소한 그런 시도를 한다. 산업계부터 정부까지 곳곳에서 이런 현상을 접할 수 있다. 물론 올림픽도 예외는 아니다. 기획 단계에 보안을 제대로 인식해 적용하지 않으면 아주 큰 ‘기술 부채(기술 채무)’가 발생할 수 있다. 때론 재앙 수준의 결과가 초래되기도 한다. 평창 동계올림픽이 한창이다. 올림픽 보안 담당 팀은 올림픽의 ‘무결성’, ‘가용성’, ‘기밀성’을 위해 노력하고 있다. 여기에는 경영과 관리에 적용할 수 있는 교훈이 있다. 화려하지 않은 보안 보안은 무미건조하고, 재미없고, 지루하다. 따라서 화려해 보이려 시도하는 것은 생산적이지 못하다. 또한, 위험 관리는 지루하고 단조로운 힘든 노동이다. 올림픽처럼, 기업은 모든 상황에서 수용할 위험과 수용할 수 없는 위험을 신중히 생각해야 한다. UC버클리 산하 CLTC(Center for Long-Term Cybersecurity) 소장으로 '올림픽 경기 사이버보안 보고서(Report on the Cybersecurity of Olympic Sports)'의 수석 저자인 베시 쿠퍼는 “올림픽 위험 프로필에 적용되는 질문이 기업과 기관에도 적용된다. 단기, 중기, 장기 위험을 평가해야 하고, 각 위험 수용 정도를 질문해야 한다. 그리고 가장 수용하기 어려움 위험과 가장 용인하기 어려운 위험을 극복하기 위해 제한된 보안 리소스를 투자해야 한다”고 말했다. 기본에 충실해야 한다. 운영하는 소프트웨어와 하드웨어 현황을 파악하고, 가능할 때마다 소프트웨어를 업그레이드하며, 제때 패치를 적용하는 것을 예로 들 수 있다. 뉴스의 주요 보안 침해 사고를 확인하고, 공격자들이 제로데이 공격을 할 확률을 감안한다...

CSO 벼랑 끝 전술 도쿄올림픽 2018 동계올림픽 평창 동계올림픽 동계올림픽 평창올림픽 올림픽 제로데이 CISO 올림픽 디스트로이어

2018.02.20

기술은 ‘반짝거리는 버튼’으로 우리를 유혹하며 저만치 앞서 질주한다. 반면 보안은 그 뒤에서 온갖 ‘쓰레기’를 정리한다. 최소한 그런 시도를 한다. 산업계부터 정부까지 곳곳에서 이런 현상을 접할 수 있다. 물론 올림픽도 예외는 아니다. 기획 단계에 보안을 제대로 인식해 적용하지 않으면 아주 큰 ‘기술 부채(기술 채무)’가 발생할 수 있다. 때론 재앙 수준의 결과가 초래되기도 한다. 평창 동계올림픽이 한창이다. 올림픽 보안 담당 팀은 올림픽의 ‘무결성’, ‘가용성’, ‘기밀성’을 위해 노력하고 있다. 여기에는 경영과 관리에 적용할 수 있는 교훈이 있다. 화려하지 않은 보안 보안은 무미건조하고, 재미없고, 지루하다. 따라서 화려해 보이려 시도하는 것은 생산적이지 못하다. 또한, 위험 관리는 지루하고 단조로운 힘든 노동이다. 올림픽처럼, 기업은 모든 상황에서 수용할 위험과 수용할 수 없는 위험을 신중히 생각해야 한다. UC버클리 산하 CLTC(Center for Long-Term Cybersecurity) 소장으로 '올림픽 경기 사이버보안 보고서(Report on the Cybersecurity of Olympic Sports)'의 수석 저자인 베시 쿠퍼는 “올림픽 위험 프로필에 적용되는 질문이 기업과 기관에도 적용된다. 단기, 중기, 장기 위험을 평가해야 하고, 각 위험 수용 정도를 질문해야 한다. 그리고 가장 수용하기 어려움 위험과 가장 용인하기 어려운 위험을 극복하기 위해 제한된 보안 리소스를 투자해야 한다”고 말했다. 기본에 충실해야 한다. 운영하는 소프트웨어와 하드웨어 현황을 파악하고, 가능할 때마다 소프트웨어를 업그레이드하며, 제때 패치를 적용하는 것을 예로 들 수 있다. 뉴스의 주요 보안 침해 사고를 확인하고, 공격자들이 제로데이 공격을 할 확률을 감안한다...

2018.02.20

머신러닝은 자동화된 관료주의?··· '설명을 요구할 권리'와 AI

머신러닝과 인공지능이 보안팀 업무를 돕기 시작했다. 자칫 사람이 놓칠 수 있는 징후를 찾아내고 예측하며 판단해 주기 때문에 보안 업무 효율이 크게 개선될 수 있다. 하지만, 사람은 머신러닝과 인공지능이 어떠한 근거로 의사결정을 내렸는지 알지 못 한 채 결과를 받아들여야 할 수도 있다. 이들이 어떻게 의사결정을 내렸는지 요구한다면, 그로 인해 효율이 떨어질까? “하지만 나는 죄가 없습니다.” K는 말했다. “착오가 있었습니다. 누군가가 죄가 있다는 것이 어떻게 가능하기나 합니까? 우리는 모두 서로 다를 바 없는 인간입니다.” “맞습니다.” 목사가 말했다. “그렇지만 죄 있는 자들이 그렇게 이야기하지요.” 어딘지 ‘카프카’스러운가? 카프카의 <심판> 중 일부분이기 때문이다. <심판>은 이해할 수 없는 관료주의에 갇혀 이런저런 운명의 저주를 받고 자신에게 내려진 결정에 대해 이의를 제기할 길 없는, 한 무고한 남자의 악몽과도 같은 이야기다. 머신러닝은 자동화된 관료주의에 비유됐다. 유럽 규제 당국은 분명 머신러닝이 규제 없이 확산되면 우리 모두 K가 되는 세상이 올지도 모른다고 우려하고 있다. 1995년도 유럽 개인정보 보호 명령을 전면 개정한 것으로서 유럽인과 거래하는 모든 회사에게 적용될 GDPR은 머신러닝과 인공지능에 대해 어떤 내용을 담고 있을까? 사실 별 내용이 없다. 그래서 법학자들 사이에서는 새로운 법률하에 EU 사람들은 어떤 권리를 갖고, 유럽에서 영업하는 글로벌 회사에게 GDPR 준수는 어떤 모습이어야 할지에 대한 논쟁이 일고 있다. 논쟁의 중심은 설명조항(Recital) 71조에 한 번 등장하는 ‘설명을 요구할 권리(right to explanation)’라는 구절이다. 설명조항은 GDPR의 동반 문서로서 그 자체로 법적 강제성은 없다. 그러나, GD...

CSO 설명조항 71조 설명권 GDPR 방위고등연구계획국 카프카 법률 EU 재판 DARPA CISO 소송 개인정보 심판

2018.02.13

머신러닝과 인공지능이 보안팀 업무를 돕기 시작했다. 자칫 사람이 놓칠 수 있는 징후를 찾아내고 예측하며 판단해 주기 때문에 보안 업무 효율이 크게 개선될 수 있다. 하지만, 사람은 머신러닝과 인공지능이 어떠한 근거로 의사결정을 내렸는지 알지 못 한 채 결과를 받아들여야 할 수도 있다. 이들이 어떻게 의사결정을 내렸는지 요구한다면, 그로 인해 효율이 떨어질까? “하지만 나는 죄가 없습니다.” K는 말했다. “착오가 있었습니다. 누군가가 죄가 있다는 것이 어떻게 가능하기나 합니까? 우리는 모두 서로 다를 바 없는 인간입니다.” “맞습니다.” 목사가 말했다. “그렇지만 죄 있는 자들이 그렇게 이야기하지요.” 어딘지 ‘카프카’스러운가? 카프카의 <심판> 중 일부분이기 때문이다. <심판>은 이해할 수 없는 관료주의에 갇혀 이런저런 운명의 저주를 받고 자신에게 내려진 결정에 대해 이의를 제기할 길 없는, 한 무고한 남자의 악몽과도 같은 이야기다. 머신러닝은 자동화된 관료주의에 비유됐다. 유럽 규제 당국은 분명 머신러닝이 규제 없이 확산되면 우리 모두 K가 되는 세상이 올지도 모른다고 우려하고 있다. 1995년도 유럽 개인정보 보호 명령을 전면 개정한 것으로서 유럽인과 거래하는 모든 회사에게 적용될 GDPR은 머신러닝과 인공지능에 대해 어떤 내용을 담고 있을까? 사실 별 내용이 없다. 그래서 법학자들 사이에서는 새로운 법률하에 EU 사람들은 어떤 권리를 갖고, 유럽에서 영업하는 글로벌 회사에게 GDPR 준수는 어떤 모습이어야 할지에 대한 논쟁이 일고 있다. 논쟁의 중심은 설명조항(Recital) 71조에 한 번 등장하는 ‘설명을 요구할 권리(right to explanation)’라는 구절이다. 설명조항은 GDPR의 동반 문서로서 그 자체로 법적 강제성은 없다. 그러나, GD...

2018.02.13

최신 데이터 분석 트렌드를 읽는 4가지 키워드

소셜, 모바일, 클라우드와 함께 데이터 분석 및 관련 데이터 기술이 디지털 시대에 비즈니스에 파괴적인 혁신을 가져오는 핵심으로 부상했다. 기업은 지난 한 해 데이터를 생산하는 데서 더 나아가 데이터를 동력으로 삼고자 노력했으며, 이에 수많은 기업이 데이터와 분석에 주력했다. 2018년에는 이들 기술이 가치를 전달하기 시작해야 한다. 올 한 해 데이터 분석 전략과 관련해 가장 두드러질 접근법, 역할, 우려 사항을 소개한다. ‘데이터 레이크’, 살아남으려면 비즈니스 가치 입증해야 몇 년 동안 아주 놀라운 속도로 데이터가 쌓였다. 데이터 소스가 웹에서 모바일과 머신으로 이동하는 가운데 사물인터넷(IoT)은 더욱 빠른 속도로 데이터가 생성되도록 유도할 전망이다. 실시간 스트리밍 데이터 플랫폼 공급업체인 데이터 토렌트(Data Torrent)의 CEO 가이 처치워드는 “이로 인해 비용 효과적으로 데이터 파이프라인을 확대할 필요성이 생겼다”고 말했다. 많은 기업이 아파치 하둡 같은 기술을 기반으로 데이터 레이크(data lakes)를 구현하는 것을 ‘해법’으로 여겼다. 데이터 레이크란, 기업의 모든 데이터를 원래 형식으로 저장하는 전사적인 데이터 관리 플랫폼이다. 데이터 레이크는 기업이 비즈니스 분석부터 데이터 마이닝까지 모든 곳에 활용할 수 있는 단일 데이터 레포지토리(저장소)를 제공해, 정보 ‘사일로(고립 및 분리)’를 무너뜨릴 잠재력이 있는 기술이다. ‘원본’ 그대로인 데이터 레이크는 빅데이터를 위한 기술이자 해법으로 홍보됐다. 그러나 데이터 레이크가 수많은 데이터를 저장하는 데 유용한 것으로 입증되기는 했지만, 데이터에서 실제 활용 가능한 인사이트를 얻기는 어려웠다. 처치워드는 “데이터 레이크가 ‘배치’와 ‘휴지’ 상태 데이터에는 아주 훌륭하게 기능했다. 2015년부터 ...

CIO 베리타스 테크놀로지스 멀티벤더 클라우드 GDRP 데이터 큐레이터 데이터 레이크 최고 데이터 책임자 최고 보안 책임자 2018년 셀프서비스 BI 사물인터넷 CDO 데이터 분석 데이터 거버넌스 빅데이터 CSO 데이터 패브릭

2018.02.06

소셜, 모바일, 클라우드와 함께 데이터 분석 및 관련 데이터 기술이 디지털 시대에 비즈니스에 파괴적인 혁신을 가져오는 핵심으로 부상했다. 기업은 지난 한 해 데이터를 생산하는 데서 더 나아가 데이터를 동력으로 삼고자 노력했으며, 이에 수많은 기업이 데이터와 분석에 주력했다. 2018년에는 이들 기술이 가치를 전달하기 시작해야 한다. 올 한 해 데이터 분석 전략과 관련해 가장 두드러질 접근법, 역할, 우려 사항을 소개한다. ‘데이터 레이크’, 살아남으려면 비즈니스 가치 입증해야 몇 년 동안 아주 놀라운 속도로 데이터가 쌓였다. 데이터 소스가 웹에서 모바일과 머신으로 이동하는 가운데 사물인터넷(IoT)은 더욱 빠른 속도로 데이터가 생성되도록 유도할 전망이다. 실시간 스트리밍 데이터 플랫폼 공급업체인 데이터 토렌트(Data Torrent)의 CEO 가이 처치워드는 “이로 인해 비용 효과적으로 데이터 파이프라인을 확대할 필요성이 생겼다”고 말했다. 많은 기업이 아파치 하둡 같은 기술을 기반으로 데이터 레이크(data lakes)를 구현하는 것을 ‘해법’으로 여겼다. 데이터 레이크란, 기업의 모든 데이터를 원래 형식으로 저장하는 전사적인 데이터 관리 플랫폼이다. 데이터 레이크는 기업이 비즈니스 분석부터 데이터 마이닝까지 모든 곳에 활용할 수 있는 단일 데이터 레포지토리(저장소)를 제공해, 정보 ‘사일로(고립 및 분리)’를 무너뜨릴 잠재력이 있는 기술이다. ‘원본’ 그대로인 데이터 레이크는 빅데이터를 위한 기술이자 해법으로 홍보됐다. 그러나 데이터 레이크가 수많은 데이터를 저장하는 데 유용한 것으로 입증되기는 했지만, 데이터에서 실제 활용 가능한 인사이트를 얻기는 어려웠다. 처치워드는 “데이터 레이크가 ‘배치’와 ‘휴지’ 상태 데이터에는 아주 훌륭하게 기능했다. 2015년부터 ...

2018.02.06

기고 | IT보안 위협에 집중하지 못하는 6가지 이유

인간은 재미있는 생물이다. 자신의 의견에 반하는 데이터에 직면할 때에도 항상 이익 극대화를 추구하는 반응을 보이는 것은 아니다. 예를 들어, 대부분 사람은 자동차 사고가 비행기 사고보다 훨씬 더 자주 일어나는데도 비행을 더 무서워한다. 개에게 물릴 확률이 수만 배나 높은데도 많은 사람이 해변에서 상어에게 물릴까 봐 걱정한다. 우리는 심지어 상대적인 가능성에 대해 알고 거기에 동의하면서도 위험에 적절히 반응하는 데 익숙하지 않다. 이는 IT 보안에서도 마찬가지다. 컴퓨터 방어자는 환경에 대한 가장 큰 위협을 막을 수 없는 컴퓨터 방어책에 시간, 돈, 기타 자원을 소요하곤 한다. 예를 들어, 가장 성공적인 위협을 방지하기 위해 하나의 프로그램을 업데이트하기만 하면 되는 상황에서 대부분 기업은 프로그램 패치 외의 다른 모든 조처를 한다. 아니면 더 나은 최종 사용자 교육으로 방지할 수 있는 소셜 엔지니어링으로 인한 위협에 직면했을 때 기업들은 교육 개선 대신에 다른 것들에 수백만 달러를 지출했다. 수십 가지의 예를 제시할 수는 있지만 대부분 기업이 쉽게 해킹당할 수 있다는 사실만으로도 위기에 대한 충분한 증거가 될 것이다. 기업들은 데이터와 관련해서도 반드시 해야 할 간단한 조처도 하지 않는다. 이 문제 때문에 골치를 썩은 필자는 이에 관한 백서, 슬라이드 덱, 서적을 집필했다. 이것들을 모두 읽지 않더라도 많은 방어자가 데이터를 기준으로 방어책을 수립하지 않는 이유는, 집중하지 않기 때문이라는 사실을 알 수 있다. 컴퓨터 방어자는 많은 우선순위가 있기 때문에 저렴하고 빠르고 쉬우면서도 방어를 크게 개선할 수 있는 일을 하지 않는 경우가 있다. 위협에 대해 적절한 방어책을 수립하는 데 집중하지 못하는 이유는 무엇일까? 필자는 그 이유를 다음의 여섯 가지로 정리해 봤다. 1. 보안 위협의 수가 압도적이다 연간 5,000~7,000개의 새로운 위협이 발생한다. 매일 15개의 새로운 문제가 계속해서 발생...

CSO CISO 암호 소셜 엔지니어링 위협 마이크로프로세서 취약성 스펙터 멜트다운

2018.01.18

인간은 재미있는 생물이다. 자신의 의견에 반하는 데이터에 직면할 때에도 항상 이익 극대화를 추구하는 반응을 보이는 것은 아니다. 예를 들어, 대부분 사람은 자동차 사고가 비행기 사고보다 훨씬 더 자주 일어나는데도 비행을 더 무서워한다. 개에게 물릴 확률이 수만 배나 높은데도 많은 사람이 해변에서 상어에게 물릴까 봐 걱정한다. 우리는 심지어 상대적인 가능성에 대해 알고 거기에 동의하면서도 위험에 적절히 반응하는 데 익숙하지 않다. 이는 IT 보안에서도 마찬가지다. 컴퓨터 방어자는 환경에 대한 가장 큰 위협을 막을 수 없는 컴퓨터 방어책에 시간, 돈, 기타 자원을 소요하곤 한다. 예를 들어, 가장 성공적인 위협을 방지하기 위해 하나의 프로그램을 업데이트하기만 하면 되는 상황에서 대부분 기업은 프로그램 패치 외의 다른 모든 조처를 한다. 아니면 더 나은 최종 사용자 교육으로 방지할 수 있는 소셜 엔지니어링으로 인한 위협에 직면했을 때 기업들은 교육 개선 대신에 다른 것들에 수백만 달러를 지출했다. 수십 가지의 예를 제시할 수는 있지만 대부분 기업이 쉽게 해킹당할 수 있다는 사실만으로도 위기에 대한 충분한 증거가 될 것이다. 기업들은 데이터와 관련해서도 반드시 해야 할 간단한 조처도 하지 않는다. 이 문제 때문에 골치를 썩은 필자는 이에 관한 백서, 슬라이드 덱, 서적을 집필했다. 이것들을 모두 읽지 않더라도 많은 방어자가 데이터를 기준으로 방어책을 수립하지 않는 이유는, 집중하지 않기 때문이라는 사실을 알 수 있다. 컴퓨터 방어자는 많은 우선순위가 있기 때문에 저렴하고 빠르고 쉬우면서도 방어를 크게 개선할 수 있는 일을 하지 않는 경우가 있다. 위협에 대해 적절한 방어책을 수립하는 데 집중하지 못하는 이유는 무엇일까? 필자는 그 이유를 다음의 여섯 가지로 정리해 봤다. 1. 보안 위협의 수가 압도적이다 연간 5,000~7,000개의 새로운 위협이 발생한다. 매일 15개의 새로운 문제가 계속해서 발생...

2018.01.18

500개 앱 비번이 모두 '같다'··· 암호 관리가 필요한 이유

암호 관리 툴은 소비자를 위한 무료나 저가 앱으로 시작했다. 웹사이트 및 애플리케이션의 암호와 로그인 정보를 추적해 줌으로써 사용자 계정에 길고 추측하기 어려운 고유한 암호를 만들어 관리하는 것이 가능해졌다. 대부분의 암호 관리는 암호 목록을 사용자만 알고 있는 마스터 암호 하나로 암호화하는 방식을 사용한다. 따라서 암호 관리 회사 직원들이나 해커들도 암호 목록 내용을 알 수 없다. 주요 암호 관리 툴이라면 모바일 앱도 제공하므로 사용자는 어느 기기에서나 쉽게 자신의 계정에 로그인할 수 있다. 보안 강화를 위한 다단계 인증도 지원된다. 기업 싱글사인온(SSO) 및 클라우드 접속 솔루션의 허점 반면, 기업은 대체로 내부 암호 관리에 자체 시스템을 이용한다. 직원의 온라인 서비스 접속 관리에는 싱글사인온(SSO) 업체들과 클라우드 접속 보안 중개업체를 활용한다. 그래도 많은 기업은 핵심 접속 시스템을 보완하기 위해 암호 관리를 사용한다. 그런데 기업용 솔루션의 보안 문제점 중 하나는 직원들이 업무에 사용하는 계정을 모두 다 보호하지는 못한다는 점이다. 쿠델스키 시큐리티(Kudelski Security)의 CIO 앤드류 하워드는 “SSO가 계속해서 확대되고 있지만 아직 어디에나 있는 것은 아니다”고 지적했다. 따라서 기업은 지원되지 않는 시스템의 모든 암호 관리는 사용자에게 맡긴다. 관리 담당 직원과 같은 중요한 직원들은 다른 많은 시스템에 여러 개의 계정을 보유할 수 있다. 하워드는 “고객 중에서 관리자가 500~600개의 인증 정보를 가진 경우를 흔하게 본다. 최악의 상황은 600개의 애플리케이션의 암호가 모두 같은 것이다. 만일 그 한 개의 암호가 유출되면 600개 시스템 전체가 위험해진다”고 경고했다. 오범(Ovum)의 설문조사에 따르면 56%의 기업에 SSO 자체가 없으며 22%는 SSO가 일부 기업 시스템에만 적용되는 것으로 나타났다. 규모가 작은 회사들...

CSO 액티브 디렉터리 구글 포 워크 싱글사인온 SSO 암호 소니 오범 CISO SAML

2018.01.08

암호 관리 툴은 소비자를 위한 무료나 저가 앱으로 시작했다. 웹사이트 및 애플리케이션의 암호와 로그인 정보를 추적해 줌으로써 사용자 계정에 길고 추측하기 어려운 고유한 암호를 만들어 관리하는 것이 가능해졌다. 대부분의 암호 관리는 암호 목록을 사용자만 알고 있는 마스터 암호 하나로 암호화하는 방식을 사용한다. 따라서 암호 관리 회사 직원들이나 해커들도 암호 목록 내용을 알 수 없다. 주요 암호 관리 툴이라면 모바일 앱도 제공하므로 사용자는 어느 기기에서나 쉽게 자신의 계정에 로그인할 수 있다. 보안 강화를 위한 다단계 인증도 지원된다. 기업 싱글사인온(SSO) 및 클라우드 접속 솔루션의 허점 반면, 기업은 대체로 내부 암호 관리에 자체 시스템을 이용한다. 직원의 온라인 서비스 접속 관리에는 싱글사인온(SSO) 업체들과 클라우드 접속 보안 중개업체를 활용한다. 그래도 많은 기업은 핵심 접속 시스템을 보완하기 위해 암호 관리를 사용한다. 그런데 기업용 솔루션의 보안 문제점 중 하나는 직원들이 업무에 사용하는 계정을 모두 다 보호하지는 못한다는 점이다. 쿠델스키 시큐리티(Kudelski Security)의 CIO 앤드류 하워드는 “SSO가 계속해서 확대되고 있지만 아직 어디에나 있는 것은 아니다”고 지적했다. 따라서 기업은 지원되지 않는 시스템의 모든 암호 관리는 사용자에게 맡긴다. 관리 담당 직원과 같은 중요한 직원들은 다른 많은 시스템에 여러 개의 계정을 보유할 수 있다. 하워드는 “고객 중에서 관리자가 500~600개의 인증 정보를 가진 경우를 흔하게 본다. 최악의 상황은 600개의 애플리케이션의 암호가 모두 같은 것이다. 만일 그 한 개의 암호가 유출되면 600개 시스템 전체가 위험해진다”고 경고했다. 오범(Ovum)의 설문조사에 따르면 56%의 기업에 SSO 자체가 없으며 22%는 SSO가 일부 기업 시스템에만 적용되는 것으로 나타났다. 규모가 작은 회사들...

2018.01.08

'돈 몰리는 곳엔 해킹이...' 비트코인·블록체인이 안전하지 않은 이유

요즘 TV를 틀거나 IT블로그에 들어가면 여기저기 비트코인이나 블록체인에 대한 이야기가 넘쳐난다. 비트코인의 인기가 이렇게 높아진 것은 지난 몇 년 새 그 가치가 무려 2,000% 이상 상승했기 때문이며, 그 덕에 그 기저에 적용된 블록체인 기술까지 유명해졌다. 장기적으로 봤을 때는 비트코인보다 블록체인에 대한 투자가 더 나을지도 모르지만 말이다. 블록체인 기술은 분명 우리 삶에 엄청난 영향을 끼칠 것이다. 2017년 초, 하버드 비즈니스 리뷰는 블록체인을 두고 ‘우리 사회 전반의 경제, 사회적 시스템의 새로운 기반을 만들어 나갈 잠재력을 지닌 기술’이라고 평하기도 했다. 2017년 1월 세계 경제 포럼 보고서 역시 2025년이면 전 세계 GDP의 10%가 블록체인이나 블록체인 관련 기술로 집중되리라 예측했다. 앞으로 10년 내에 전 세계 GDP의 10%를 차지하게 될 기술에 대해 잘 모르고 있다면, 지금이라도 관심을 가져 보는 것이 좋을 것이다. 블록체인이란 무엇인가? 블록체인이란 온라인 거래를 보호하는, 암호화된 디지털 로그 파일을 일컫는다. 1991년 이 개념이 처음 등장한 이후, 분산형 퍼블릭 블록체인 기술을 실제 사례에 적용한 것은 비트코인이 처음이었다. 여기서 ‘블록’이란 블록체인 사용자들 간 거래의 디지털 기록이며 거래가 확정되기 위해서는 블록체인 거래자들 간의 합의가 필요하다. 일반적으로 블록에는 거래에 관한 정보가 들어가는데, 예컨대 물건의 가격이나 거래 행위(매도, 매수, 송금 등), 그리고 거래 시각 등이 기록된다. 블록체인 상에 거래가 발생할 때마다 새로운 블록이 생성된다. 각 블록은 바로 전 블록의 암호화 해쉬를 포함하고 있다(요즘은 주로 SHA-256 해쉬이다). 즉 이 해쉬가 연결고리 역할을 하는 것이다. 각 블록이 암호를 통해 연결되는 구조를 띤다. 그런데 만일 블록체인이 비트코인의 경우처럼 분산형 퍼블릭 블록체인인 경우, 블록체인에서 이뤄지는 거래...

CSO 비트코인 거래 멀웨어 블록체인 크레디 스위스 네덜란드 튤립 파동 채굴 트로이 목마 탈취 봇넷 P2P 아마존 해킹 마이크로소프트 금융 CISO 공격 암호 하이재킹 나카모토 사토시

2017.12.14

요즘 TV를 틀거나 IT블로그에 들어가면 여기저기 비트코인이나 블록체인에 대한 이야기가 넘쳐난다. 비트코인의 인기가 이렇게 높아진 것은 지난 몇 년 새 그 가치가 무려 2,000% 이상 상승했기 때문이며, 그 덕에 그 기저에 적용된 블록체인 기술까지 유명해졌다. 장기적으로 봤을 때는 비트코인보다 블록체인에 대한 투자가 더 나을지도 모르지만 말이다. 블록체인 기술은 분명 우리 삶에 엄청난 영향을 끼칠 것이다. 2017년 초, 하버드 비즈니스 리뷰는 블록체인을 두고 ‘우리 사회 전반의 경제, 사회적 시스템의 새로운 기반을 만들어 나갈 잠재력을 지닌 기술’이라고 평하기도 했다. 2017년 1월 세계 경제 포럼 보고서 역시 2025년이면 전 세계 GDP의 10%가 블록체인이나 블록체인 관련 기술로 집중되리라 예측했다. 앞으로 10년 내에 전 세계 GDP의 10%를 차지하게 될 기술에 대해 잘 모르고 있다면, 지금이라도 관심을 가져 보는 것이 좋을 것이다. 블록체인이란 무엇인가? 블록체인이란 온라인 거래를 보호하는, 암호화된 디지털 로그 파일을 일컫는다. 1991년 이 개념이 처음 등장한 이후, 분산형 퍼블릭 블록체인 기술을 실제 사례에 적용한 것은 비트코인이 처음이었다. 여기서 ‘블록’이란 블록체인 사용자들 간 거래의 디지털 기록이며 거래가 확정되기 위해서는 블록체인 거래자들 간의 합의가 필요하다. 일반적으로 블록에는 거래에 관한 정보가 들어가는데, 예컨대 물건의 가격이나 거래 행위(매도, 매수, 송금 등), 그리고 거래 시각 등이 기록된다. 블록체인 상에 거래가 발생할 때마다 새로운 블록이 생성된다. 각 블록은 바로 전 블록의 암호화 해쉬를 포함하고 있다(요즘은 주로 SHA-256 해쉬이다). 즉 이 해쉬가 연결고리 역할을 하는 것이다. 각 블록이 암호를 통해 연결되는 구조를 띤다. 그런데 만일 블록체인이 비트코인의 경우처럼 분산형 퍼블릭 블록체인인 경우, 블록체인에서 이뤄지는 거래...

2017.12.14

"보안엔 임원도 예외 없다"··· 사고 후 해고된 8가지 사례

기업 보안에 무슨 일이 생기면 일반적으로 상황이 심각해진다. CSO 또는 CIO가 해고를 당하거나 심지어 CEO까지 함께 회사를 떠나기도 한다. 회사를 실망시킨 보안 전문가 혹은 임원에게 닥칠 상황은 어떤 것일까? 야후의 책임 전가 IT 기업에서는 기술 문제에 대해 연대책임을 지는 것이 일반적이다. 대표적인 사례가 야후의 론 벨이다. 지난 2016년 야후가 오래 전부터 해킹을 당하고 있었다는 것이 밝혀지면서 당시 야후의 최고 변호사였던 론 벨에게 불행이 닥쳤다. 공식적인 사유는 해킹을 조사하던 조사 위원회가 “2014년에 관련 법률팀이 추가 조사가 가능한 충분한 정보가 있었지만 이를 진행하지 않았다”고 지적한 것이었다. 하지만 일부에서는 이사회와 CEO 마리사 메이어도 책임이 있으며 벨만 불공평하게 해고당했다고 비판했다. 야후는 해킹 사실이 알려진 이후 수 천만 달러의 손실을 입혔다. 스웨덴을 망친 빅 블루 스웨덴이 자동차 운전 면허증 데이터베이스 관리를 IBM에 아웃소싱한다고 했을 때 꽤 안전한 조치라고 생각하는 사람이 있었다. 그러나 결과적으로 오판이었다. 허술한 보안 규정 때문에 IBM의 동유럽 자회사에 있는 승인되지 않은 직원이 스웨덴의 교통 인프라 관련 민감한 정보에 승인 없이 접근하는 사고가 발생했다. 스웨덴 보안국에 근무하는 위장 요원의 신원이 노출될 뻔한 아찔한 상황도 있었다. 스웨덴의 수상은 이를 “처참한 실패”라고 사과했다. 스웨덴 교통국(Transport Agency)의 책임자 마리아 아그렌이 경질됐고 내각 수상 앤더스 이게만은 스웨덴 내각에서 설 자리를 잃었다. 가짜 사장, 진짜 해고 2016년 2월 호주의 우주항공 기업 FACC는 일종의 스피어 피싱(Spear Phishing) 공격을 받았다. 공격자가 고위 임원이 보낸 것처럼 꾸민 가짜 요청을 회계 담당자에 보내 돈을 송금하게 하는 이른바 “가짜 사장” 사기에 당한 것이다. 당시 해커...

CIO 보안 CSO CEO 임원 해고

2017.12.08

기업 보안에 무슨 일이 생기면 일반적으로 상황이 심각해진다. CSO 또는 CIO가 해고를 당하거나 심지어 CEO까지 함께 회사를 떠나기도 한다. 회사를 실망시킨 보안 전문가 혹은 임원에게 닥칠 상황은 어떤 것일까? 야후의 책임 전가 IT 기업에서는 기술 문제에 대해 연대책임을 지는 것이 일반적이다. 대표적인 사례가 야후의 론 벨이다. 지난 2016년 야후가 오래 전부터 해킹을 당하고 있었다는 것이 밝혀지면서 당시 야후의 최고 변호사였던 론 벨에게 불행이 닥쳤다. 공식적인 사유는 해킹을 조사하던 조사 위원회가 “2014년에 관련 법률팀이 추가 조사가 가능한 충분한 정보가 있었지만 이를 진행하지 않았다”고 지적한 것이었다. 하지만 일부에서는 이사회와 CEO 마리사 메이어도 책임이 있으며 벨만 불공평하게 해고당했다고 비판했다. 야후는 해킹 사실이 알려진 이후 수 천만 달러의 손실을 입혔다. 스웨덴을 망친 빅 블루 스웨덴이 자동차 운전 면허증 데이터베이스 관리를 IBM에 아웃소싱한다고 했을 때 꽤 안전한 조치라고 생각하는 사람이 있었다. 그러나 결과적으로 오판이었다. 허술한 보안 규정 때문에 IBM의 동유럽 자회사에 있는 승인되지 않은 직원이 스웨덴의 교통 인프라 관련 민감한 정보에 승인 없이 접근하는 사고가 발생했다. 스웨덴 보안국에 근무하는 위장 요원의 신원이 노출될 뻔한 아찔한 상황도 있었다. 스웨덴의 수상은 이를 “처참한 실패”라고 사과했다. 스웨덴 교통국(Transport Agency)의 책임자 마리아 아그렌이 경질됐고 내각 수상 앤더스 이게만은 스웨덴 내각에서 설 자리를 잃었다. 가짜 사장, 진짜 해고 2016년 2월 호주의 우주항공 기업 FACC는 일종의 스피어 피싱(Spear Phishing) 공격을 받았다. 공격자가 고위 임원이 보낸 것처럼 꾸민 가짜 요청을 회계 담당자에 보내 돈을 송금하게 하는 이른바 “가짜 사장” 사기에 당한 것이다. 당시 해커...

2017.12.08

CIO, CTO, CSO, CDO··· 美 IT임원의 연봉은? 필요한 기술력은?

기업 내 IT임원에는 CIO만 있는 것이 아니다. CIO 이외에 CTO, CSO, CISO도 있고, 최근에는 최고 디지털 책임자(CDO)와 최고 데이터 책임자도 생겨났다. 거의 매년 새로운 수요에 맞는 새로운 자리가 생겨나는 것 같다. 데이터, 분석, 소프트웨어 서비스가 증가함에 따라 IT임원은 일상적인 기술 운영을 관리하는 데 도움을 받게 됐다. 페이스케일(PayScale)은 미국 내 IT임원의 평균 급여, 임금이 더 높은 지역, 현재 시장에서 요구하는 IT임원직의 기술력을 정리했다. CIO CIO는 비즈니스 IT시스템과 구축 사례의 유지 관리, 구축, 구현 및 업그레이드에 중점을 둔 엔터프라이즈 기술을 감독한다. • 미국 내 평균 연봉 : $160,944 • 연봉 구간 : $92,677~$276,396 • 연봉이 평균보다 높은 지역 도시 : 시카고(43%), 애틀랜타(32%), 뉴욕(26%), 휴스턴(25%), 샌프란시스코(25%), 댈러스(24%), 워싱턴(24%), 마이애미(23%), 덴버(15%) • 인기 있는 기술력 : 전략, 리더십, 소프트웨어 개발 관리, 전략 기획, 예산 관리 CTO CTO는 기술 부서를 이끌고 엔터프라이즈 기술을 유지, 향상, 확장하고자 노력을 기울인다. • 미국 내 평균 연봉 : $166,000 • 연봉 구간 : $86,199~$230,922 • 연봉이 평균보다 높은 지역 : 워싱턴(28%), 보스턴(18%), 샌프란시스코(14%), 덴버(11%), 애틀랜타(9%) • 인기 있는 기술력 : 리더십, 소프트웨어 아키텍처, 자바, 제품 개발, IT관리, IT보안 및 인프라 최고 데이터 책임자(CDO) 거의 모든 비즈니스가 클라이언트, 고객 또는 내부 데이터의 일정량을 수집, 저장, 관리하므로 최고 데이터 관리자(CDO)의 필요성이 커지고 있다. 각 비즈니스나 업계의 데이터 요구량은 다양하지만 대부분 비즈...

CIO CDO 평균 기술력 급여 CTO 연봉 역량 CISO CSO 페이스케일

2017.12.08

기업 내 IT임원에는 CIO만 있는 것이 아니다. CIO 이외에 CTO, CSO, CISO도 있고, 최근에는 최고 디지털 책임자(CDO)와 최고 데이터 책임자도 생겨났다. 거의 매년 새로운 수요에 맞는 새로운 자리가 생겨나는 것 같다. 데이터, 분석, 소프트웨어 서비스가 증가함에 따라 IT임원은 일상적인 기술 운영을 관리하는 데 도움을 받게 됐다. 페이스케일(PayScale)은 미국 내 IT임원의 평균 급여, 임금이 더 높은 지역, 현재 시장에서 요구하는 IT임원직의 기술력을 정리했다. CIO CIO는 비즈니스 IT시스템과 구축 사례의 유지 관리, 구축, 구현 및 업그레이드에 중점을 둔 엔터프라이즈 기술을 감독한다. • 미국 내 평균 연봉 : $160,944 • 연봉 구간 : $92,677~$276,396 • 연봉이 평균보다 높은 지역 도시 : 시카고(43%), 애틀랜타(32%), 뉴욕(26%), 휴스턴(25%), 샌프란시스코(25%), 댈러스(24%), 워싱턴(24%), 마이애미(23%), 덴버(15%) • 인기 있는 기술력 : 전략, 리더십, 소프트웨어 개발 관리, 전략 기획, 예산 관리 CTO CTO는 기술 부서를 이끌고 엔터프라이즈 기술을 유지, 향상, 확장하고자 노력을 기울인다. • 미국 내 평균 연봉 : $166,000 • 연봉 구간 : $86,199~$230,922 • 연봉이 평균보다 높은 지역 : 워싱턴(28%), 보스턴(18%), 샌프란시스코(14%), 덴버(11%), 애틀랜타(9%) • 인기 있는 기술력 : 리더십, 소프트웨어 아키텍처, 자바, 제품 개발, IT관리, IT보안 및 인프라 최고 데이터 책임자(CDO) 거의 모든 비즈니스가 클라이언트, 고객 또는 내부 데이터의 일정량을 수집, 저장, 관리하므로 최고 데이터 관리자(CDO)의 필요성이 커지고 있다. 각 비즈니스나 업계의 데이터 요구량은 다양하지만 대부분 비즈...

2017.12.08

'SCM에서 한 곳만 뚫려도···' 협력사 보안까지 신경써야 하는 이유

가치사슬 공격, 써드파티 공격으로도 하는 공급망 공격은 누군가 보유 시스템과 데이터에 접근할 수 있는 외부 파트너나 공급업체의 접근 권한을 이용해 시스템에 침입하는 것을 가리킨다. 이는 과거 몇 년 동안 기업의 공격 표면을 크게 바꿔 놓았다. 더구나 요주의 데이터에 접근할 수 있는 공급업체와 서비스 공급자의 수가 과거 어느 때보다 증가한 상태다. 새로운 종류의 공격이 출현하고, 위협에 대한 인식이 높아지며, 규제 기관의 감독이 강화되면서, 공급망 공격 위험이 과거 어느 때보다 커졌다. 또한 공격자들이 사용할 수 있는 도구와 리소스가 과거 어느 때보다 증가하면서 공급망 공격이 급증하는 추세다. 공급망 공격 사례와 범위 공급업체 때문에 초래된 대형 사이버보안 침해 사고는 무수히 잦다. 2014년 HVAC 업체의 느슨한 보안 태세 때문에 발생한 타겟(Target) 침해 사고를 예로 들 수 있다. 올해에도 에퀴팩스(Equifax)에서 사용하고 있던 외부 소프트웨어의 취약점 때문에 대형 보안 침해 사고가 발생했다. 에퀴팩스는 해당 사고와 관련해, 다른 업체와 연결된 웹사이트의 악성 다운로드 링크가 문제의 원인이라고 주장했다. 여기서 끝나지 않는다. 유수 기업과 정치가, 유명인의 해외 조세 회피 정보가 담긴 1,300만여 개의 파일이 유출된, 이른바 파라다이스 페이퍼스(Paradise Papers) 문건 유출 사고도 있다. 출처가 어디일까? 지난해 파나마 페이퍼스(Panama Papers)처럼, 로펌이 가장 취약한 연결고리였던 것으로 드러났다. 간혹 발생하는 사고들이 아니다. 포네몬 인스터튜트가 올해 가을 실시한 조사에 따르면, 외부 업체 때문에 침해 사고가 발생한 사례가 있다고 대답한 조직의 비율이 56%에 달했다. 평균을 기준으로 했을 때, 각 기업에서 민감한 정보에 접근할 수 있는 써드파티의 수가 378개에서 471개로 증가했다. 이는 통계로, 실제는 이보다 많을 수도 있다. 민감한 정보를 공유하는 써드파티 리스트를...

SLA 하트블리트 파나마 페이퍼스 파라다이스 페이퍼스 가치사슬 카스퍼스키 랩 포네몬 인스티튜트 사물인터넷 써드파티 협력사 버라이즌 공급망 SCM CISO 딜로이트 시스코 CSO 아마존 S3

2017.12.07

가치사슬 공격, 써드파티 공격으로도 하는 공급망 공격은 누군가 보유 시스템과 데이터에 접근할 수 있는 외부 파트너나 공급업체의 접근 권한을 이용해 시스템에 침입하는 것을 가리킨다. 이는 과거 몇 년 동안 기업의 공격 표면을 크게 바꿔 놓았다. 더구나 요주의 데이터에 접근할 수 있는 공급업체와 서비스 공급자의 수가 과거 어느 때보다 증가한 상태다. 새로운 종류의 공격이 출현하고, 위협에 대한 인식이 높아지며, 규제 기관의 감독이 강화되면서, 공급망 공격 위험이 과거 어느 때보다 커졌다. 또한 공격자들이 사용할 수 있는 도구와 리소스가 과거 어느 때보다 증가하면서 공급망 공격이 급증하는 추세다. 공급망 공격 사례와 범위 공급업체 때문에 초래된 대형 사이버보안 침해 사고는 무수히 잦다. 2014년 HVAC 업체의 느슨한 보안 태세 때문에 발생한 타겟(Target) 침해 사고를 예로 들 수 있다. 올해에도 에퀴팩스(Equifax)에서 사용하고 있던 외부 소프트웨어의 취약점 때문에 대형 보안 침해 사고가 발생했다. 에퀴팩스는 해당 사고와 관련해, 다른 업체와 연결된 웹사이트의 악성 다운로드 링크가 문제의 원인이라고 주장했다. 여기서 끝나지 않는다. 유수 기업과 정치가, 유명인의 해외 조세 회피 정보가 담긴 1,300만여 개의 파일이 유출된, 이른바 파라다이스 페이퍼스(Paradise Papers) 문건 유출 사고도 있다. 출처가 어디일까? 지난해 파나마 페이퍼스(Panama Papers)처럼, 로펌이 가장 취약한 연결고리였던 것으로 드러났다. 간혹 발생하는 사고들이 아니다. 포네몬 인스터튜트가 올해 가을 실시한 조사에 따르면, 외부 업체 때문에 침해 사고가 발생한 사례가 있다고 대답한 조직의 비율이 56%에 달했다. 평균을 기준으로 했을 때, 각 기업에서 민감한 정보에 접근할 수 있는 써드파티의 수가 378개에서 471개로 증가했다. 이는 통계로, 실제는 이보다 많을 수도 있다. 민감한 정보를 공유하는 써드파티 리스트를...

2017.12.07

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.5