Offcanvas

������ ������

강은성의 보안 아키텍트 | 다시 보안 GRC를 생각한다

GRC는 거버넌스(Governance), 리스크 관리(Risk management), 규제 준수(Compliance)의 영문 첫 글자를 따 만들어진 단어다. 단순하게 정리하면, 기업에서 거버넌스는 조직이 사업 목표를 향해 나아가도록 이사회와 경영진이 지휘, 통제하는 것이고, 리스크 관리는 조직의 활동이 품고 있는 다양한 리스크, 특히 사업 목표를 달성하기 위해 나아갈 때 발생할 수 있는 리스크를 관리하는 것이며, 규제 준수는 말 그대로 법규와 규제 내에서 조직의 활동이 이뤄질 수 있도록 하는 것이다.  기업 거버넌스의 개선에 관해서는 정부와 기업, 사회의 다양한 제도와 관심, 운동이 있다. 리스크 관리는 2008년 세계 금융위기 이후 금융회사를 중심으로 리스크관리위원회가 만들어지는 등 강화되고 있다. 오너 리스크와 같이 거버넌스와 리스크가 직접 연결되기도 한다. 컴플라이언스는 GRC에서 별도로 정의했지만, 기업 현장에서는 법규와 행정 규제에 관한 리스크로 관리하는 곳이 많다. <그림> GRC 개념도 위 그림은 GRC 개념을 나타낸다. 기업이 사업 목표를 향해 나아갈 때 다양한 리스크를 잘 관리해야 한다. 목적지를 향해 가는데 중간에 다리가 끊겨 있으면 가기 어려운 것과 같은 이치다. 기업의 리스크에는 재무 리스크, 평판 리스크, 신규 사업 리스크 등 다양한 리스크가 있는데, 보안 리스크는 그 중 하나다.  GRC는 인사 GRC, 재무 GRC, IT GRC, 보안 GRC와 같이 분야별로 세분화할 수 있다.  <그림> 보안 GRC 개념도 보안 GRC는 GRC 개념에 그대로 대입하여 설명할 수 있다. 즉 보안조직이 사업 목표 달성을 위해 설정된 보안 목표를 달성하기 위해 나아갈 때 발생할 수 있는 리스크를 식별하여 관리하고, 관련 규제 안에서 활동하는 것이다. 이때 리스크 관리는 전통적으로 하는 보안위협에 따른 위험 평가와 대책 수립뿐만 아니라 보안 목표를 달성하는 데 생길 수 있는 인력, 조직, ...

CIO Governance Compliance 보안 아키텍트 강은성 규제 준수 리스크 관리 CISO GRC 거버넌스 CSO 컴플라이언스 Risk management

2020.04.13

GRC는 거버넌스(Governance), 리스크 관리(Risk management), 규제 준수(Compliance)의 영문 첫 글자를 따 만들어진 단어다. 단순하게 정리하면, 기업에서 거버넌스는 조직이 사업 목표를 향해 나아가도록 이사회와 경영진이 지휘, 통제하는 것이고, 리스크 관리는 조직의 활동이 품고 있는 다양한 리스크, 특히 사업 목표를 달성하기 위해 나아갈 때 발생할 수 있는 리스크를 관리하는 것이며, 규제 준수는 말 그대로 법규와 규제 내에서 조직의 활동이 이뤄질 수 있도록 하는 것이다.  기업 거버넌스의 개선에 관해서는 정부와 기업, 사회의 다양한 제도와 관심, 운동이 있다. 리스크 관리는 2008년 세계 금융위기 이후 금융회사를 중심으로 리스크관리위원회가 만들어지는 등 강화되고 있다. 오너 리스크와 같이 거버넌스와 리스크가 직접 연결되기도 한다. 컴플라이언스는 GRC에서 별도로 정의했지만, 기업 현장에서는 법규와 행정 규제에 관한 리스크로 관리하는 곳이 많다. <그림> GRC 개념도 위 그림은 GRC 개념을 나타낸다. 기업이 사업 목표를 향해 나아갈 때 다양한 리스크를 잘 관리해야 한다. 목적지를 향해 가는데 중간에 다리가 끊겨 있으면 가기 어려운 것과 같은 이치다. 기업의 리스크에는 재무 리스크, 평판 리스크, 신규 사업 리스크 등 다양한 리스크가 있는데, 보안 리스크는 그 중 하나다.  GRC는 인사 GRC, 재무 GRC, IT GRC, 보안 GRC와 같이 분야별로 세분화할 수 있다.  <그림> 보안 GRC 개념도 보안 GRC는 GRC 개념에 그대로 대입하여 설명할 수 있다. 즉 보안조직이 사업 목표 달성을 위해 설정된 보안 목표를 달성하기 위해 나아갈 때 발생할 수 있는 리스크를 식별하여 관리하고, 관련 규제 안에서 활동하는 것이다. 이때 리스크 관리는 전통적으로 하는 보안위협에 따른 위험 평가와 대책 수립뿐만 아니라 보안 목표를 달성하는 데 생길 수 있는 인력, 조직, ...

2020.04.13

'ERP∙컴플라이언스부터 데이터 시각화까지' 지금 핫한 IT기술력 10선

새로 부상하는 트렌드, 구형 시스템에 대한 새로운 관심 등으로 특정 IT기술력에 대한 시장 수요가 급변할 수 있다. 데이터 과학자 같은 개별 직종에 대한 보수가 자격을 갖춘 인재의 부족으로 상승할 수도 있지만, 일정 기간 특정 IT기술력이 ‘핫’해질 수도 있다. 기업과 기관이 산업 내 발생한 특정 변화나 비즈니스의 전략적 변화 때문에 특정 기술력을 갖춘 인재에게 높은 보수를 지불한다는 의미다.   푸트 파트너스(Foote Partners)는 특정 기간에 보수가 가장 크게 상승한 기술력이나 자격증을 파악하기 위해 1999년부터 IT기술력에 대한 연봉 데이터를 추적해왔다. 푸트 파트너스가 분기별로 발표하는 IT기술력 및 자격증 보수 지표(IT Skills and Certification Pay Index)는 미국과 캐나다 83개 도시의 민간 및 공공 부문 직장인 3,305명이 제공한 데이터를 사용해 1,000여 개 기술력과 자격증의 시장 가치 상승이나 하락, 연봉 ‘프리미엄’을 담고 있다. IT 직종이 점차 더 복잡해지면서, 회사별로 특정 직종에 대한 정의가 더 모호해지고 있고, 동일한 직종에서도 다양한 기술력에 따라 보수를 제공하는 방식도 더 모호해지고 있다. 이런 ‘연봉 프리미엄’은 고용주가 특정 기술의 가치를 모니터링하도록 도움을 준다. 이런 기술을 갖춘 인재를 놓고 시장에서 경쟁할 때의 경쟁우위, 기본급을 기준으로 얼마나 더 많이 지불할지 알려준다.    푸트 파트너스의 보고서에 따르면, 지난해 자격증이 없는 IT기술력의 가치가 자격증이 있는 IT기술력의 가치를 뛰어넘었다. 과거 어느 때보다 가치가 급상승했다는 의미다. 그러나 기술력의 가치는 변동성이 높아 시장 수요에 부합하기 위해 3개월 단위로 변화하는 경우도 종종 있다. 이러한 트렌드가 새로운 기술력에만 영향을 주는 것이 아니다. 때때로 기업이 새로운 기술이나 구형 시스템에 기존 기술력이 필요하면서 이런 ...

자격증 분석 자바 EE 푸트 파트너스 IT기술력 GDPR EHS F&R POSDM SAP FS 인슈어런스 보험 데이터 시각화 비지오 CIO SAP 컴플라이언스 마이크로소프트 개인정보 보호 ERP 데이터 과학자 자바 SE 규제 준수 로손

2019.02.25

새로 부상하는 트렌드, 구형 시스템에 대한 새로운 관심 등으로 특정 IT기술력에 대한 시장 수요가 급변할 수 있다. 데이터 과학자 같은 개별 직종에 대한 보수가 자격을 갖춘 인재의 부족으로 상승할 수도 있지만, 일정 기간 특정 IT기술력이 ‘핫’해질 수도 있다. 기업과 기관이 산업 내 발생한 특정 변화나 비즈니스의 전략적 변화 때문에 특정 기술력을 갖춘 인재에게 높은 보수를 지불한다는 의미다.   푸트 파트너스(Foote Partners)는 특정 기간에 보수가 가장 크게 상승한 기술력이나 자격증을 파악하기 위해 1999년부터 IT기술력에 대한 연봉 데이터를 추적해왔다. 푸트 파트너스가 분기별로 발표하는 IT기술력 및 자격증 보수 지표(IT Skills and Certification Pay Index)는 미국과 캐나다 83개 도시의 민간 및 공공 부문 직장인 3,305명이 제공한 데이터를 사용해 1,000여 개 기술력과 자격증의 시장 가치 상승이나 하락, 연봉 ‘프리미엄’을 담고 있다. IT 직종이 점차 더 복잡해지면서, 회사별로 특정 직종에 대한 정의가 더 모호해지고 있고, 동일한 직종에서도 다양한 기술력에 따라 보수를 제공하는 방식도 더 모호해지고 있다. 이런 ‘연봉 프리미엄’은 고용주가 특정 기술의 가치를 모니터링하도록 도움을 준다. 이런 기술을 갖춘 인재를 놓고 시장에서 경쟁할 때의 경쟁우위, 기본급을 기준으로 얼마나 더 많이 지불할지 알려준다.    푸트 파트너스의 보고서에 따르면, 지난해 자격증이 없는 IT기술력의 가치가 자격증이 있는 IT기술력의 가치를 뛰어넘었다. 과거 어느 때보다 가치가 급상승했다는 의미다. 그러나 기술력의 가치는 변동성이 높아 시장 수요에 부합하기 위해 3개월 단위로 변화하는 경우도 종종 있다. 이러한 트렌드가 새로운 기술력에만 영향을 주는 것이 아니다. 때때로 기업이 새로운 기술이나 구형 시스템에 기존 기술력이 필요하면서 이런 ...

2019.02.25

기고 | 더 정교해지는 사이버공격, 중요한 것은 '사람'이다

엄청난 데이터 유출과 계속되는 정보 유출 위협의 시대에 살면서 우리의 정보, 고객, 국민들을 겨냥한 더 노련해진 사이버공격을 미리부터 걱정해야 한다고 믿는 경우가 많다. 다크웹(Dark Web)과 거기에 존재하는 비장의 서비스 규모에 대한 공포심을 조장하는 사람들도 있다. 이런 위협에 대응하기 위해 많은 기술이 제시됐으며 우리는 매월 새로운 문제가 발생했으니 (일반적으로 블록체인을 사용하여) 이를 파악해 해결해야 한다는 이야기를 듣는다. 사실 우리는 이런 이야기에 관심을 집중하면서 우리에게 해가 되는 것은 가볍게 여기고 경향이 있다. CERT NZ에 보고된 모든 보안 사고 중 46%는 피싱 공격 및 피싱을 이용한 자격 증명 도난과 관련이 있다. 이는 여전히 추가적인 접근, 권한 자격 증명, 사기 거래 등을 실행할 표적으로 대상으로 공격하는 가장 쉬운 방법이다. 여기서 공통분모는 사람이다. 특히 뉴질랜드 사람들은 여러 세계적인 사이버 문제와는 동떨어져 있다고 느끼고 있다. 뉴질랜드 사람들은 자신들에게 이런 일이 절대로 발생하지 않을 것이며 그 누구도 우리에게 문제를 일으키지 않을 것으로 생각한다. 뉴질랜드에는 소기업들이 많기 때문에 미국과 유럽의 대기업들만큼 돈이 없는데 범죄자들이 굳이 뉴질랜드를 표적으로 삼을 이유가 있을까? 대답은 간단하다. 우리는 연결돼 있다. 디지털에서 우리와 가장 먼 국가 사이의 거리는 200밀리 초밖에 되지 않는다. 뉴질랜드 사람들은 2017년 4월~ 2018년 5월 사이에 사이버 공격으로 인해 900만 뉴질랜드 달러 이상의 손실을 본 것으로 보고됐다. 분개한 직원이나 계약자가 신뢰를 악용하거나 누군가 실수하도록 소셜 엔지니어링을 활용하는 데에는 아주 조금만 노력을 기울이면 된다. 우리는 표적화된 공격을 당하고 있으며 대대적인 국제 사기로 인한 부수적인 피해를 입고 있다. 투자수익은 높고 공격자들에 대한 위험은 낮다. 하지만 뉴질랜드에서는 여전히 인터넷이 성장의 촉매가 되고 있다. 소매 서비스, ...

CIO CISO 훈련 소셜 엔지니어링 게임화 사이버공격 규제 준수 다크웹 디지털 역량

2018.07.19

엄청난 데이터 유출과 계속되는 정보 유출 위협의 시대에 살면서 우리의 정보, 고객, 국민들을 겨냥한 더 노련해진 사이버공격을 미리부터 걱정해야 한다고 믿는 경우가 많다. 다크웹(Dark Web)과 거기에 존재하는 비장의 서비스 규모에 대한 공포심을 조장하는 사람들도 있다. 이런 위협에 대응하기 위해 많은 기술이 제시됐으며 우리는 매월 새로운 문제가 발생했으니 (일반적으로 블록체인을 사용하여) 이를 파악해 해결해야 한다는 이야기를 듣는다. 사실 우리는 이런 이야기에 관심을 집중하면서 우리에게 해가 되는 것은 가볍게 여기고 경향이 있다. CERT NZ에 보고된 모든 보안 사고 중 46%는 피싱 공격 및 피싱을 이용한 자격 증명 도난과 관련이 있다. 이는 여전히 추가적인 접근, 권한 자격 증명, 사기 거래 등을 실행할 표적으로 대상으로 공격하는 가장 쉬운 방법이다. 여기서 공통분모는 사람이다. 특히 뉴질랜드 사람들은 여러 세계적인 사이버 문제와는 동떨어져 있다고 느끼고 있다. 뉴질랜드 사람들은 자신들에게 이런 일이 절대로 발생하지 않을 것이며 그 누구도 우리에게 문제를 일으키지 않을 것으로 생각한다. 뉴질랜드에는 소기업들이 많기 때문에 미국과 유럽의 대기업들만큼 돈이 없는데 범죄자들이 굳이 뉴질랜드를 표적으로 삼을 이유가 있을까? 대답은 간단하다. 우리는 연결돼 있다. 디지털에서 우리와 가장 먼 국가 사이의 거리는 200밀리 초밖에 되지 않는다. 뉴질랜드 사람들은 2017년 4월~ 2018년 5월 사이에 사이버 공격으로 인해 900만 뉴질랜드 달러 이상의 손실을 본 것으로 보고됐다. 분개한 직원이나 계약자가 신뢰를 악용하거나 누군가 실수하도록 소셜 엔지니어링을 활용하는 데에는 아주 조금만 노력을 기울이면 된다. 우리는 표적화된 공격을 당하고 있으며 대대적인 국제 사기로 인한 부수적인 피해를 입고 있다. 투자수익은 높고 공격자들에 대한 위험은 낮다. 하지만 뉴질랜드에서는 여전히 인터넷이 성장의 촉매가 되고 있다. 소매 서비스, ...

2018.07.19

클라우드로 가기 전 따져봐야 할 5가지

업계 전문가들이 클라우드 보안, 규제 준수, 기존 시스템 관리 등 클라우드로 이전하기 전 확인해야 할 사항을 공유했다. 지금은 2016년이다. 몇 년 전 가트너는 "2016년이면 은행들이 자기 자본 수익률이 떨어져 비용절감 방편으로 클라우드를 도입하며, 전세계 은행의 60% 이상이 대부분의 거래를 클라우드에서 처리하게 될 것이다"고 밝힌 바 있다. 전 산업의 기업들은 이미 클라우드로 갔거나 가는 중이거나 클라우드를 고려하고 있다. 클라우드로 갈 준비 중인 사람들은 원활한 이전을 위해 고민하고 계획할 사항들이 많다. 어떤 클라우드 업체를 선택할지, 프라이빗으로 갈지 아니면 퍼블릭 클라우드로 갈지를 결정하는 것 외에 CISO는 접근, 암호화, 합법성, 규제 준수 문제를 제어할 수 있는 솔루션 구축을 고민해야 한다. 솔라플레어(Solarflare)의 CEO 러셀 스턴은 많은 금융 기관들이 너무 많은 컴퓨터를 구매하기 때문에 아마존이나 마이크로소프트를 선택하더라도 비용을 절감할 수 없어 프라이빗 클라우드를 구축하고 있다고 지적했다. 하지만 비용보다 더 큰 문제는 고객 데이터를 퍼블릭 클라우드에 보관하는 것이다. 스턴은 "보안 문제가 해결되지 않았다"며 "많은 기업들이 하이브리드 클라우드에 관해 이야기하고 있으며 덜 민감한 데이터를 퍼블릭 클라우드 인프라에 둘 수 있다"고 말했다. 퍼블릭 또는 프라이빗 클라우드에 상관 없이 클라우드 이전 결정은 반드시 보안을 중심으로 이뤄져야 한다. "퍼블릭 클라우드가 이런 기관이 필요로 하는 종류의 보안을 충분히 제공하지 않기 때문에 일부 민족 국가들로부터 강력한 공격을 받고 있다. 퍼블릭 클라우드의 경우 그 위치를 확신할 수 없다"고 스턴은 전했다. 많은 사람이 퍼블릭 클라우드 환경에 불확실성이 너무 많다는 사실에 동의하며, 규제 준수 문제에 관해 걱정해야 하는 기업들은 더 그렇다. 스턴에 따르면, 금융 기관의 가장 ...

라이선스 클라우드 이전 클라우드 보안 EU 규제 준수 퍼블릭 프라이빗 하이브리드 은행 가트너 CSO 데이터 반출

2016.09.21

업계 전문가들이 클라우드 보안, 규제 준수, 기존 시스템 관리 등 클라우드로 이전하기 전 확인해야 할 사항을 공유했다. 지금은 2016년이다. 몇 년 전 가트너는 "2016년이면 은행들이 자기 자본 수익률이 떨어져 비용절감 방편으로 클라우드를 도입하며, 전세계 은행의 60% 이상이 대부분의 거래를 클라우드에서 처리하게 될 것이다"고 밝힌 바 있다. 전 산업의 기업들은 이미 클라우드로 갔거나 가는 중이거나 클라우드를 고려하고 있다. 클라우드로 갈 준비 중인 사람들은 원활한 이전을 위해 고민하고 계획할 사항들이 많다. 어떤 클라우드 업체를 선택할지, 프라이빗으로 갈지 아니면 퍼블릭 클라우드로 갈지를 결정하는 것 외에 CISO는 접근, 암호화, 합법성, 규제 준수 문제를 제어할 수 있는 솔루션 구축을 고민해야 한다. 솔라플레어(Solarflare)의 CEO 러셀 스턴은 많은 금융 기관들이 너무 많은 컴퓨터를 구매하기 때문에 아마존이나 마이크로소프트를 선택하더라도 비용을 절감할 수 없어 프라이빗 클라우드를 구축하고 있다고 지적했다. 하지만 비용보다 더 큰 문제는 고객 데이터를 퍼블릭 클라우드에 보관하는 것이다. 스턴은 "보안 문제가 해결되지 않았다"며 "많은 기업들이 하이브리드 클라우드에 관해 이야기하고 있으며 덜 민감한 데이터를 퍼블릭 클라우드 인프라에 둘 수 있다"고 말했다. 퍼블릭 또는 프라이빗 클라우드에 상관 없이 클라우드 이전 결정은 반드시 보안을 중심으로 이뤄져야 한다. "퍼블릭 클라우드가 이런 기관이 필요로 하는 종류의 보안을 충분히 제공하지 않기 때문에 일부 민족 국가들로부터 강력한 공격을 받고 있다. 퍼블릭 클라우드의 경우 그 위치를 확신할 수 없다"고 스턴은 전했다. 많은 사람이 퍼블릭 클라우드 환경에 불확실성이 너무 많다는 사실에 동의하며, 규제 준수 문제에 관해 걱정해야 하는 기업들은 더 그렇다. 스턴에 따르면, 금융 기관의 가장 ...

2016.09.21

기고 | 규제 준수와 보안은 어떻게 다른가

보안 관리자는 보안 문제를 해결하는 방법에 관한 철학이 있어야 한다. 이미지 출처 : Picserver, CC BY-SA 3.0 최근 필자는 여러 요소를 만트라의 수준에 가까운 몇 단어로 요약할 수 있다는 사실을 발견했다. 대표적인 것이 "최소 권한의 규칙을 준수하라", "기업의 가장 약한 링크가 보안 수준을 나타낸다", "보안은 단일 솔루션이 아니라 하나의 과정이다", "신뢰하되 검증하라" 등이다. 이번 주, 필자는 새로운 만트라를 추가했다. 바로 "규제 준수와 보안은 다르다"는 것이다. 추적 시스템 현안: 이 기업은 더욱 엄격한 신용카드 취급 활동 인증을 위한 요건을 충족해야 한다. 하지만 결국 이 요건들은 충분히 엄격해 보이지 않는다. 조치 계획: 규제 준수를 넘어 진정한 보안을 위한 예산과 자원을 확보한다. 우리가 지난 몇 달 동안 레벨 1 PCI 규제를 준수하기 위해 노력하면서 한가지 진실을 깨달을 수 있었다. 이는 단순히 자체 평가 질문서를 작성하고 분기별 보안 스캔을 통과하는 다른 PCI 수준을 달성하는 것과는 상당히 다르다. 대신 우리는 제 3의 자격을 갖춘 평가자에 방대한 증거를 반드시 제공해야 한다. 이 과정에는 상당한 증거 제출이 요구되는 400개 이상의 제어 요소가 수반되기 때문에 매우 피곤하다. 예를 들어, 단순히 "나는 저장된 신용카드를 암호화한다"라는 항목을 체크하는 것만으로는 부족하다. 실제로 데이터가 암호화 된다는 증거를 제출해야 한다. 암호화의 경우 우리는 단순히 데이터베이스 또는 파이 시스템에서 암호화된 값의 스크린샷을 제공한다. 전송 암호화를 입증하기 위해 우리는 데이터가 실제로 암호화되고 있다는 사실을 말해주는 (해커 등으로부터의) 네트워크 트래픽을 입증해야 한다. 그리고 규제 준수 요건을 충족하기 위한 상당한 노력을 기울였음에도 불구하고 이 규제 준수와 보안과는 다르다...

컴플라이언스 CSO 암호화 CISO 규제 준수 보안 만트라 보안 관리자 레벨 1 PCI 컴플라이언스

2016.01.14

보안 관리자는 보안 문제를 해결하는 방법에 관한 철학이 있어야 한다. 이미지 출처 : Picserver, CC BY-SA 3.0 최근 필자는 여러 요소를 만트라의 수준에 가까운 몇 단어로 요약할 수 있다는 사실을 발견했다. 대표적인 것이 "최소 권한의 규칙을 준수하라", "기업의 가장 약한 링크가 보안 수준을 나타낸다", "보안은 단일 솔루션이 아니라 하나의 과정이다", "신뢰하되 검증하라" 등이다. 이번 주, 필자는 새로운 만트라를 추가했다. 바로 "규제 준수와 보안은 다르다"는 것이다. 추적 시스템 현안: 이 기업은 더욱 엄격한 신용카드 취급 활동 인증을 위한 요건을 충족해야 한다. 하지만 결국 이 요건들은 충분히 엄격해 보이지 않는다. 조치 계획: 규제 준수를 넘어 진정한 보안을 위한 예산과 자원을 확보한다. 우리가 지난 몇 달 동안 레벨 1 PCI 규제를 준수하기 위해 노력하면서 한가지 진실을 깨달을 수 있었다. 이는 단순히 자체 평가 질문서를 작성하고 분기별 보안 스캔을 통과하는 다른 PCI 수준을 달성하는 것과는 상당히 다르다. 대신 우리는 제 3의 자격을 갖춘 평가자에 방대한 증거를 반드시 제공해야 한다. 이 과정에는 상당한 증거 제출이 요구되는 400개 이상의 제어 요소가 수반되기 때문에 매우 피곤하다. 예를 들어, 단순히 "나는 저장된 신용카드를 암호화한다"라는 항목을 체크하는 것만으로는 부족하다. 실제로 데이터가 암호화 된다는 증거를 제출해야 한다. 암호화의 경우 우리는 단순히 데이터베이스 또는 파이 시스템에서 암호화된 값의 스크린샷을 제공한다. 전송 암호화를 입증하기 위해 우리는 데이터가 실제로 암호화되고 있다는 사실을 말해주는 (해커 등으로부터의) 네트워크 트래픽을 입증해야 한다. 그리고 규제 준수 요건을 충족하기 위한 상당한 노력을 기울였음에도 불구하고 이 규제 준수와 보안과는 다르다...

2016.01.14

가트너 기고 | 정보 보안, 어느 정도의 수준이 적절한가

적절한 수준의 정보 보안을 제공하는 것은 기업과 정부의 의무다. 하지만 정보 보안 의무가 적절하게 다뤄지고 있는지 여부와 그 평가 기준은 규정하기 어렵다. 오늘날 법조계에서는 최고정보책임자(CIO: Chief Information Officer)나 정보보호최고책임자(CISO: Chief Information Security Officer)가 충분한 주의를 기울였는지에 대한 정성적, 정량적 기준을 찾고 있다. 가트너는 기술과 비즈니스가 복잡해지기 때문에 2020년까지는 어떤 법으로도 적절한 수준의 정보 보안을 규정할 수 없을 것으로 보고 있다. 실무자 입장에서 ‘적절한’ 조치라는 개념은 부정확할 뿐더러 때와 상황에 따라 의미가 달라지는 개념이다. 업계 표준을 만족시키고 제3자 감사를 통과한다면 파장을 완화 할 수는 있겠지만 이것이 합리적인 조치를 완전히 대신할 수는 없다. 결론적으로 기업이 적합한 수준의 보안을 규정하기 위해서는 각자 처한 상황을 평가하고 여러 요인을 고려해야 한다. 규제 준수보다 위험 관리에 집중하라 적절한 수준의 보안을 법으로 규정하지 않는 이유는 3가지다. 먼저, 모든 사례와 산업, 기업에 적용되는 솔루션을 제공하는 것이 불가능하고 기술이 빠르게 발전하기 때문이다. 다음으로 보안을 위협하는 환경이 매우 빠르게 변하기 때문에 ‘적합한’ 수준의 보안을 규정하는 것은 일시적일 수 밖에 없다. 마지막으로, 기업별로 보안 위협에 대한 인식이 다르며 이는 기업 문화, 비즈니스 전략과 직접적인 관련이 있다. 일반적인 기준 없이 적절한 보안을 정의하기는 어렵다. 그런데 안타깝게도 시장은 보안과 관련된 다양한 기준들로 매우 혼란스럽다. 미국국립표준기술연구소(U.S. National Institute of Standards and Technology)와 같은 정부 부처는 정부나 상업 부문에서 활용되는 보안 기준을 만든다. 웹 서비스 보안과 같은 기술 기준, 클라우드 컴퓨팅...

컴플라이언스 보안 CSO 가트너 가이드라인 CISO 예산 규제 준수

2015.03.27

적절한 수준의 정보 보안을 제공하는 것은 기업과 정부의 의무다. 하지만 정보 보안 의무가 적절하게 다뤄지고 있는지 여부와 그 평가 기준은 규정하기 어렵다. 오늘날 법조계에서는 최고정보책임자(CIO: Chief Information Officer)나 정보보호최고책임자(CISO: Chief Information Security Officer)가 충분한 주의를 기울였는지에 대한 정성적, 정량적 기준을 찾고 있다. 가트너는 기술과 비즈니스가 복잡해지기 때문에 2020년까지는 어떤 법으로도 적절한 수준의 정보 보안을 규정할 수 없을 것으로 보고 있다. 실무자 입장에서 ‘적절한’ 조치라는 개념은 부정확할 뿐더러 때와 상황에 따라 의미가 달라지는 개념이다. 업계 표준을 만족시키고 제3자 감사를 통과한다면 파장을 완화 할 수는 있겠지만 이것이 합리적인 조치를 완전히 대신할 수는 없다. 결론적으로 기업이 적합한 수준의 보안을 규정하기 위해서는 각자 처한 상황을 평가하고 여러 요인을 고려해야 한다. 규제 준수보다 위험 관리에 집중하라 적절한 수준의 보안을 법으로 규정하지 않는 이유는 3가지다. 먼저, 모든 사례와 산업, 기업에 적용되는 솔루션을 제공하는 것이 불가능하고 기술이 빠르게 발전하기 때문이다. 다음으로 보안을 위협하는 환경이 매우 빠르게 변하기 때문에 ‘적합한’ 수준의 보안을 규정하는 것은 일시적일 수 밖에 없다. 마지막으로, 기업별로 보안 위협에 대한 인식이 다르며 이는 기업 문화, 비즈니스 전략과 직접적인 관련이 있다. 일반적인 기준 없이 적절한 보안을 정의하기는 어렵다. 그런데 안타깝게도 시장은 보안과 관련된 다양한 기준들로 매우 혼란스럽다. 미국국립표준기술연구소(U.S. National Institute of Standards and Technology)와 같은 정부 부처는 정부나 상업 부문에서 활용되는 보안 기준을 만든다. 웹 서비스 보안과 같은 기술 기준, 클라우드 컴퓨팅...

2015.03.27

끝나지 않은 데이터 유출… 홈데포, 올 3분기에만 4,300만 달러 지불

지난해 가을 고객 정보 유출 사고를 겪은 홈데포가 아직도 이 때문에 상당한 비용을 지불하고 있으며 향후에도 그러할 것으로 예상했다. 한 단 번의 대규모 고객 정보 유출 사고를 겪은 이후 홈데포는 보안 사고 비용의 본질을 강조하며 올 3분기에만 미화 4,300만 달러를 지불했다고 밝혔다. 홈데포는 화요일에 정부에 정기적으로 보고하는 문서에서 1억 달러의 네트워크 보안과 개인정보 보호 배상 책임 정책에 1,500만 달러의 비용이 들 것으로 예상한다고 전했다. 이 회사는 사건 조사, 소비자에게 ID 도용 보호 서비스 제공, 콜센터 직원 증가, 다른 법률 및 전문 서비스 개선 등에 4,300만 달러를 지불할 예정이다. 해커들은 5,600만 건의 지불 카드 정보를 훔치고, 미국과 캐나다의 4월부터 9월까지의 홈데포 매장에서 쇼핑한 사람들의 5,300만 건의 이메일 주소를 수집했다. 해커들은 홈데포의 협력사 중 한 업체의 로그인 인증 정보를 사용해 홈데포의 네트워크에 접근했다. 홈데포는 앞으로 데이터 침해에 관련된 중요한 법률 및 기타 전문 서비스 비용까지도 지불해야 할 것이라고 전했다. 또한 홈데포는 미국과 캐나다 법원에서 44건의 소송을 진행하고 있다. 이 회사는 앞으로 고객, 지불카드 회사, 은행, 주주들이 소송을 걸 수도 있다고 예상했다. 카드 재발급 과정에서 또다른 위조가 발생할 수 있으며 지불카드 네트워크가 손실에 따른 비용을 회수하려 할 수 있다고 홈데포는 주장했다. 회사의 책임은 정보 유출에 영향을 미친 데이터 보안 표준을 준수했지 여부에 따라 달라질 것이다. 홈데포에 따르면, 독립 감독기관은 지불카드 데이터를 처리하는 네트워크가 2013년 가을 데이터 보안 표준을 준수하고 있는 것으로 알고 있었다. 그러나 홈데포는 2014에 인증받았다고 전했다. "지불카드 네트워크에서 고용된 조사원들은 데이터 유출 사고 당시에 이러한 표준들을 준수하지 않았다고 주장할 지도 모른다"라고 홈데포는 말했다. ...

데이터 유출 유통 소송 고객 정보 유출 규제 준수 지불카드 홈데포 Home Depot

2014.11.27

지난해 가을 고객 정보 유출 사고를 겪은 홈데포가 아직도 이 때문에 상당한 비용을 지불하고 있으며 향후에도 그러할 것으로 예상했다. 한 단 번의 대규모 고객 정보 유출 사고를 겪은 이후 홈데포는 보안 사고 비용의 본질을 강조하며 올 3분기에만 미화 4,300만 달러를 지불했다고 밝혔다. 홈데포는 화요일에 정부에 정기적으로 보고하는 문서에서 1억 달러의 네트워크 보안과 개인정보 보호 배상 책임 정책에 1,500만 달러의 비용이 들 것으로 예상한다고 전했다. 이 회사는 사건 조사, 소비자에게 ID 도용 보호 서비스 제공, 콜센터 직원 증가, 다른 법률 및 전문 서비스 개선 등에 4,300만 달러를 지불할 예정이다. 해커들은 5,600만 건의 지불 카드 정보를 훔치고, 미국과 캐나다의 4월부터 9월까지의 홈데포 매장에서 쇼핑한 사람들의 5,300만 건의 이메일 주소를 수집했다. 해커들은 홈데포의 협력사 중 한 업체의 로그인 인증 정보를 사용해 홈데포의 네트워크에 접근했다. 홈데포는 앞으로 데이터 침해에 관련된 중요한 법률 및 기타 전문 서비스 비용까지도 지불해야 할 것이라고 전했다. 또한 홈데포는 미국과 캐나다 법원에서 44건의 소송을 진행하고 있다. 이 회사는 앞으로 고객, 지불카드 회사, 은행, 주주들이 소송을 걸 수도 있다고 예상했다. 카드 재발급 과정에서 또다른 위조가 발생할 수 있으며 지불카드 네트워크가 손실에 따른 비용을 회수하려 할 수 있다고 홈데포는 주장했다. 회사의 책임은 정보 유출에 영향을 미친 데이터 보안 표준을 준수했지 여부에 따라 달라질 것이다. 홈데포에 따르면, 독립 감독기관은 지불카드 데이터를 처리하는 네트워크가 2013년 가을 데이터 보안 표준을 준수하고 있는 것으로 알고 있었다. 그러나 홈데포는 2014에 인증받았다고 전했다. "지불카드 네트워크에서 고용된 조사원들은 데이터 유출 사고 당시에 이러한 표준들을 준수하지 않았다고 주장할 지도 모른다"라고 홈데포는 말했다. ...

2014.11.27

IT부서 우회··· CIO의 대응 전략 '거버넌스 체계 확립'

이제는 대부분의 현업 부서가 클라우드 서비스를 활용하고 있으며, 이 중 대다수는 IT부서를 우회하는 것으로 조사됐다. 많은 IT부서가 클라우드 서비스 공급에 대한 책임을 맡고 싶어하지만, 그럴려면 규제 준수와 거버넌스에 대해 먼저 확실히 이해하고 있어야 한다. T부서를 우회해 클라우드를 사용하는 현업 부서 대부분이 이를 위해 IT 중심으로 가고 있다. 클라우드 컴퓨팅 컨설팅 기업인 세컨드워치(2nd Watch)에 따르면, IT부서를 완전히 우회하는 현업 부서가 무려 61%가 되는 것으로 나타났다. 대신 이들 부서는 직접 클라우드 업체를 선정하고 서비스를 관리할 수도 있었다. 세컨드워치의 부사장 맷 거버는 "정말 우리를 놀라게 했던 것은 얼마나 많은 부분이 섀도우 IT로가고 있는가였다"라고 밝혔다. "이런 사례는 우리가 생각했던 것보다 더 많았고, 중앙집중화된 IT의 통제를 생각보다 덜 받고 있었다"라고 거버는 덧붙였다. 세컨드워치는 2013년 12월 클라우드 서비스 도입 평가 설문 조사를 실시했다. 여기에는 미국의 모든 규모 기업의 CIO, 부사장, IT관리자, 개발 등이 참여했으며 응답자는 총 133명이었다. 응답자들은 다양한 산업군에 속했으나 하이텍크산업의 비중이 37%로 가장 높았다. 조사에 따르면, IT부서의 43%만이 수요를 유지하기 위해 클라우드 서비스 중개 모델을 개발할 계획으로 나타났다. 이같이 답한 IT부서는 2016년까지 회사 전체 사업부서에 클라우드 서비스를 75~100%를 제공할 계획이라고 답했다. "최종 목표는 클라우드 서비스 카탈로그가 있는 곳에 있다"라고 거버는 말했다. "당신이 그 지점에 도착하면, 데이터센터와 코로케이션 시설을 제공하는 것과 같은 방식으로 클라우드 서비스를 제공하고 관리할 수 있을 것이다”라고 그는 설명했다. 규제 준수 및 거버넌스 프레임워크 구축 먼저 지금까지 세컨드워치는 클라우드 프로비저닝 툴을 고객사에게...

CIO 컴플라이언스 거버넌스 현업 통제 규제 준수 섀도우 IT

2014.01.17

이제는 대부분의 현업 부서가 클라우드 서비스를 활용하고 있으며, 이 중 대다수는 IT부서를 우회하는 것으로 조사됐다. 많은 IT부서가 클라우드 서비스 공급에 대한 책임을 맡고 싶어하지만, 그럴려면 규제 준수와 거버넌스에 대해 먼저 확실히 이해하고 있어야 한다. T부서를 우회해 클라우드를 사용하는 현업 부서 대부분이 이를 위해 IT 중심으로 가고 있다. 클라우드 컴퓨팅 컨설팅 기업인 세컨드워치(2nd Watch)에 따르면, IT부서를 완전히 우회하는 현업 부서가 무려 61%가 되는 것으로 나타났다. 대신 이들 부서는 직접 클라우드 업체를 선정하고 서비스를 관리할 수도 있었다. 세컨드워치의 부사장 맷 거버는 "정말 우리를 놀라게 했던 것은 얼마나 많은 부분이 섀도우 IT로가고 있는가였다"라고 밝혔다. "이런 사례는 우리가 생각했던 것보다 더 많았고, 중앙집중화된 IT의 통제를 생각보다 덜 받고 있었다"라고 거버는 덧붙였다. 세컨드워치는 2013년 12월 클라우드 서비스 도입 평가 설문 조사를 실시했다. 여기에는 미국의 모든 규모 기업의 CIO, 부사장, IT관리자, 개발 등이 참여했으며 응답자는 총 133명이었다. 응답자들은 다양한 산업군에 속했으나 하이텍크산업의 비중이 37%로 가장 높았다. 조사에 따르면, IT부서의 43%만이 수요를 유지하기 위해 클라우드 서비스 중개 모델을 개발할 계획으로 나타났다. 이같이 답한 IT부서는 2016년까지 회사 전체 사업부서에 클라우드 서비스를 75~100%를 제공할 계획이라고 답했다. "최종 목표는 클라우드 서비스 카탈로그가 있는 곳에 있다"라고 거버는 말했다. "당신이 그 지점에 도착하면, 데이터센터와 코로케이션 시설을 제공하는 것과 같은 방식으로 클라우드 서비스를 제공하고 관리할 수 있을 것이다”라고 그는 설명했다. 규제 준수 및 거버넌스 프레임워크 구축 먼저 지금까지 세컨드워치는 클라우드 프로비저닝 툴을 고객사에게...

2014.01.17

칼럼 | 생각 없는 규제 준수가 기업 리스크를 위협하는 이유

미 보건복지부(Department of Health and Human Services)는 최근 훈련의 부재가 건강 보험 양도 및 책임 법률(HIPAA, Health Insurance Portability and Accountability Act) 준수에 부정적 영향을 미침을 입증한 바 있다. 그리 놀라운 발표는 아니었다. 수많은 기관들이 인식 훈련에 소홀해왔다는 점이나, HIPAA 위반 사례가 증가하고 있다는 사실 모두 이미 알고 있던 것들 아닌가? 이번 보고서의 의의는 이 사실이 공식적으로 증명되었다는 것뿐일 것이다. 법률적 의미의 ‘준수(compliance)’를 따르기 위해서는, 어떠한 형태로던 일정 수준의 훈련이 필요하다는 것은 명확한 사실이다. 그러나 여기에 더해 이번 보건복지부의 보고서(그리고 이와 맥을 같이하는 기타 보고서들)는 올바르지 못한 훈련을 진행하는 것은 아예 훈련을 하지 않는 것과 별반 다르지 않은(혹은 그보다 더 좋지 않은) 결과로 이어진다는 데까지 논의를 확장시키고 있다. 이것이 많은 준수 훈련이 실패로 끝나는 이유일 것이다. 이제는 지켜야 할 최소한의 사항들만을 교육하는 것만으론 충분치 않다. 만약 이 문제와 관련해 초보 단계에 머무르고 있다고 느낀다면, 단순히 어떻게 원칙을 준수할 지만을 고민하는 대신, 당신의 기관이 ‘준수'라는 개념의 본질을 명확하게 이해하고 있는지를 먼저 고민해보라. 당신이 준수 문제의 핵심을 이해하고 있다고 생각된다면, 다음으로는 고객과 환자, 주주, 그리고 다른 모든 관계자들의 이해를 존중하는 문화를 양성하고 있는지 확인해보자. 기관의 모든 구성원이, 건강 정보나 신용카드 데이터 등 보호가 필요한 모든 유형의 개인 정보의 보안에 자신들 모두가 책임이 있음을 이해하고 있는가? 기관의 임원진은 프라이버시와 보안의 중요성을 이해하는데 적극적인가? 이 물음들에 대한 대답이 ‘아니다'라면, 당신의 기관엔 프라이버시 경쟁력뿐 아...

컴플라이언스 보안 훈련 규제 준수 HIPAA

2013.10.15

미 보건복지부(Department of Health and Human Services)는 최근 훈련의 부재가 건강 보험 양도 및 책임 법률(HIPAA, Health Insurance Portability and Accountability Act) 준수에 부정적 영향을 미침을 입증한 바 있다. 그리 놀라운 발표는 아니었다. 수많은 기관들이 인식 훈련에 소홀해왔다는 점이나, HIPAA 위반 사례가 증가하고 있다는 사실 모두 이미 알고 있던 것들 아닌가? 이번 보고서의 의의는 이 사실이 공식적으로 증명되었다는 것뿐일 것이다. 법률적 의미의 ‘준수(compliance)’를 따르기 위해서는, 어떠한 형태로던 일정 수준의 훈련이 필요하다는 것은 명확한 사실이다. 그러나 여기에 더해 이번 보건복지부의 보고서(그리고 이와 맥을 같이하는 기타 보고서들)는 올바르지 못한 훈련을 진행하는 것은 아예 훈련을 하지 않는 것과 별반 다르지 않은(혹은 그보다 더 좋지 않은) 결과로 이어진다는 데까지 논의를 확장시키고 있다. 이것이 많은 준수 훈련이 실패로 끝나는 이유일 것이다. 이제는 지켜야 할 최소한의 사항들만을 교육하는 것만으론 충분치 않다. 만약 이 문제와 관련해 초보 단계에 머무르고 있다고 느낀다면, 단순히 어떻게 원칙을 준수할 지만을 고민하는 대신, 당신의 기관이 ‘준수'라는 개념의 본질을 명확하게 이해하고 있는지를 먼저 고민해보라. 당신이 준수 문제의 핵심을 이해하고 있다고 생각된다면, 다음으로는 고객과 환자, 주주, 그리고 다른 모든 관계자들의 이해를 존중하는 문화를 양성하고 있는지 확인해보자. 기관의 모든 구성원이, 건강 정보나 신용카드 데이터 등 보호가 필요한 모든 유형의 개인 정보의 보안에 자신들 모두가 책임이 있음을 이해하고 있는가? 기관의 임원진은 프라이버시와 보안의 중요성을 이해하는데 적극적인가? 이 물음들에 대한 대답이 ‘아니다'라면, 당신의 기관엔 프라이버시 경쟁력뿐 아...

2013.10.15

규제 준수 훈련에도 게임화 기법 효과 ‘굿’

신생벤처 트루오피스(True Office)는 은행들이 게임을 통한 교육으로 수백만 파운드의 벌금을 피할 수 있다고 주장했다. 금융 솔루션 벤처 트루오피스에 따르면, 규제 준수 교육의 게임화 기법이 은행들에게 수백만 파운드의 벌금을 절감할 수 있다고 한다. 영국 런던에서 열린 금융IT 행사 피노베이트(Finovate)에서 연사로 나선 트루오피스 CEO 아담 소도윅은 은행들이 규제 때문에 상당한 벌금을 내게 되고 심지어 어떤 경우 명성에 큰 손상을 입는데도 효과적인 규제 준수 교육을 제공하지 못하고 있다고 지적했다. --------------------------------------------------------------- 게임+비즈니스 인기기사 ->“게임+경영=수익”••• P&G의 비즈니스 스피어 -> 기고 | 새로운 리더십 패러다임 '게임 역학' ->현장에 확산되는 ‘게임화 기법’ -> 기고 | 복잡한 문제 해결에 ‘게임’을 활용하라 -> 달콤한 유혹 ‘게임화 경영 기법'··· 위험 관리 체크포인트 ---------------------------------------------------------------   HSBC의 경우 지난해 12월 자사 서비스가 멕시코에서 자금세탁에 운영에 활용됐다는 이유로 12억 파운드의 벌금을 받았고 바클레이는 리보 스캔들(Libor-fixing scandal) 이후 규제 준수 요구를 충족시키지 못한 데 대한 벌금 수억 파운드를 내야 했다. 동시에 규제 요구 사항은 규모가 더 커지고 더 복잡해졌다. "사람들은 절대적으로 규제 준수 교육을 싫어한다. 사람들은 교육에 대해 기억도 못하고 그것을 심각하게 여기지도 않는다. 하지만 은행들은 이 교육에 상...

GRC 은행 벌금 규제 준수 금융 솔루션 게임화 기법

2013.02.15

신생벤처 트루오피스(True Office)는 은행들이 게임을 통한 교육으로 수백만 파운드의 벌금을 피할 수 있다고 주장했다. 금융 솔루션 벤처 트루오피스에 따르면, 규제 준수 교육의 게임화 기법이 은행들에게 수백만 파운드의 벌금을 절감할 수 있다고 한다. 영국 런던에서 열린 금융IT 행사 피노베이트(Finovate)에서 연사로 나선 트루오피스 CEO 아담 소도윅은 은행들이 규제 때문에 상당한 벌금을 내게 되고 심지어 어떤 경우 명성에 큰 손상을 입는데도 효과적인 규제 준수 교육을 제공하지 못하고 있다고 지적했다. --------------------------------------------------------------- 게임+비즈니스 인기기사 ->“게임+경영=수익”••• P&G의 비즈니스 스피어 -> 기고 | 새로운 리더십 패러다임 '게임 역학' ->현장에 확산되는 ‘게임화 기법’ -> 기고 | 복잡한 문제 해결에 ‘게임’을 활용하라 -> 달콤한 유혹 ‘게임화 경영 기법'··· 위험 관리 체크포인트 ---------------------------------------------------------------   HSBC의 경우 지난해 12월 자사 서비스가 멕시코에서 자금세탁에 운영에 활용됐다는 이유로 12억 파운드의 벌금을 받았고 바클레이는 리보 스캔들(Libor-fixing scandal) 이후 규제 준수 요구를 충족시키지 못한 데 대한 벌금 수억 파운드를 내야 했다. 동시에 규제 요구 사항은 규모가 더 커지고 더 복잡해졌다. "사람들은 절대적으로 규제 준수 교육을 싫어한다. 사람들은 교육에 대해 기억도 못하고 그것을 심각하게 여기지도 않는다. 하지만 은행들은 이 교육에 상...

2013.02.15

데이터 취합->규제 준수->지속가능성… 사브 사례로 본 BI의 진화

100 개국에 글로벌 공급망과 고객을 거느린 국방 및 항공 기업인 사브 그룹(Saab Group)은 친환경 사업을 운영하라는 고객의 요구와 현지의 환경 규제를 준수해야 한다. 37억 달러 규모의 이 회사는 친환경 기업으로 변모하기 위해 자신만의 목표를 설정했다. 온실가스 배출량을 매년 2% 줄이며 에너지와 물을 절약하고 재활용을 늘리고 유해 화학물질의 사용을 줄이겠다는 것이 바로 그 목표다. 문제는 이러한 지속가능성을 위한 업무조차 스프레드 시트와 문서로 관리하고 있다는 점이다. 사브의 환경 담당 이사 켄쓰 알곳슨은 “정보가 다양한 시스템에서 수동으로 추려진다”라고 말했다. 콘스텔레이션 리서치(Constellation Research)의 애널리스트 애드리안 보울스는 많은 기업들이 사브와 비슷한 상황에 놓여 있다고 주장했다. "현재 수동으로 입력되고 수십 또는 수백 개의 스프레드시트에 저장된 데이터 이외에 더 많은 데이터가 산재해 있다”라고 그는 지적했다. 규제 관련 데이터를 관리해 주는 많은 전문 솔루션들은 많으며 기업들은 이미 규제에 대응하기 위해 이러한 솔루션을 도입하기 시작했다. 그러나 그 전문 솔루션들은 환경 영향 같은 전사적인 분석을 지원할 수 있다고 보기는 어렵다. 결국 그러한 기능들은 머지 않아 기업용 소프트웨어에 포함될 것이다. 대형 패키지 업체들이 전문 솔루션 업체들을 인수하거나 직접 비슷한 솔루션들을 개발할 것이라고 게 보울스의 주장이다.   사브는 유해 물질 사용과 각 사업부, 생산 현장 및 공급업체들의 에너지 사용 현황을 대시보드로 나타내고 싶어 했다. 이 회사는 화학 물질 관리를 위한 소프트웨어를 도입했다. 하지만 기후 관련 데이터나 유해 물질에 대해서는 이 소프트웨어가 관리하지 못한다. “우리가 자전거 제조사라면, 함께 지도를 펼쳐서 손으로 유해물질 현황을 그려 보일 수 있을 것이다. 그런데 우리는 항공기와 무기를 제조하기 때문에 복잡한 생산과 공정을 관...

BI Saab 사브 지속가능성 규제 준수 데이터 취합 분석 SAS SAP 에피코

2011.11.04

100 개국에 글로벌 공급망과 고객을 거느린 국방 및 항공 기업인 사브 그룹(Saab Group)은 친환경 사업을 운영하라는 고객의 요구와 현지의 환경 규제를 준수해야 한다. 37억 달러 규모의 이 회사는 친환경 기업으로 변모하기 위해 자신만의 목표를 설정했다. 온실가스 배출량을 매년 2% 줄이며 에너지와 물을 절약하고 재활용을 늘리고 유해 화학물질의 사용을 줄이겠다는 것이 바로 그 목표다. 문제는 이러한 지속가능성을 위한 업무조차 스프레드 시트와 문서로 관리하고 있다는 점이다. 사브의 환경 담당 이사 켄쓰 알곳슨은 “정보가 다양한 시스템에서 수동으로 추려진다”라고 말했다. 콘스텔레이션 리서치(Constellation Research)의 애널리스트 애드리안 보울스는 많은 기업들이 사브와 비슷한 상황에 놓여 있다고 주장했다. "현재 수동으로 입력되고 수십 또는 수백 개의 스프레드시트에 저장된 데이터 이외에 더 많은 데이터가 산재해 있다”라고 그는 지적했다. 규제 관련 데이터를 관리해 주는 많은 전문 솔루션들은 많으며 기업들은 이미 규제에 대응하기 위해 이러한 솔루션을 도입하기 시작했다. 그러나 그 전문 솔루션들은 환경 영향 같은 전사적인 분석을 지원할 수 있다고 보기는 어렵다. 결국 그러한 기능들은 머지 않아 기업용 소프트웨어에 포함될 것이다. 대형 패키지 업체들이 전문 솔루션 업체들을 인수하거나 직접 비슷한 솔루션들을 개발할 것이라고 게 보울스의 주장이다.   사브는 유해 물질 사용과 각 사업부, 생산 현장 및 공급업체들의 에너지 사용 현황을 대시보드로 나타내고 싶어 했다. 이 회사는 화학 물질 관리를 위한 소프트웨어를 도입했다. 하지만 기후 관련 데이터나 유해 물질에 대해서는 이 소프트웨어가 관리하지 못한다. “우리가 자전거 제조사라면, 함께 지도를 펼쳐서 손으로 유해물질 현황을 그려 보일 수 있을 것이다. 그런데 우리는 항공기와 무기를 제조하기 때문에 복잡한 생산과 공정을 관...

2011.11.04

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.9