Offcanvas

������ ������

“솔라윈즈 공격 후 1년”··· 2021 네트워크 보안 사고가 남긴 교훈 4가지

2021년의 마지막 날이다. 보안 전문가들이 다가오는 2022년의 보안 문제를 전망하고 있다. 내년에 어떤 일이 일어날지 예측하는 것도 중요하지만 올 한 해를 달군 보안 위협을 뒤돌아보면서 교훈을 얻는 것도 중요하다.    솔라윈즈 공격: 벤더의 보안 태세를 알고 있어야 한다  솔라윈즈 소프트웨어 공급망 공격이 발생한 지 1년이 됐지만 아직도 이 공격 유형의 가능성을 완전하게 파악하지는 못했다. 공격자들은 은밀했고, 공격을 받은 회사 가운데 하나인 파이어아이(FireEye)가 침입을 모니터링하고 감지하는 역량이 뛰어났기 때문에 포착될 수 있었다.  기업들이 이러한 공격이 발생했는지 알 수 있는 도구와 리소스를 갖추고 있는지 의문이다. 이를 몰랐을 뿐만 아니라 알 수 있을 만한 리소스도 없는 회사가 많으리라 예상된다. 마이크로소프트에 따르면 공격자들은 높은 액세스 권한을 가진 계정을 포함해 조직의 기존 사용자 및 계정을 모방하는 SAML 토큰을 위조할 수 있었다.  이는 조직에 설치한 소프트웨어의 출처를 고려해야 한다는 뜻이다. 여기에 조직의 보안 프로세스는 말할 것도 없고, 소프트웨어 벤더와 해당 업체의 보안 프로세스까지도 신뢰할 수 있는지 확인해야 한다.  교훈: 소프트웨어 벤더와 (해당 업체의) 보안 프로세스를 검토하라. 특히 액세스 권한이 높은 계정의 비정상적인 행위를 찾아야 한다. 새 연합 트러스트를 생성하거나 메일읽기(mail.read) 또는 메일읽기/쓰기(mail..readwrite) 등의 작업을 수행하는 프로세스에 인증이 추가될 때도 조사해야 한다. 이 밖에 네트워크 경계 방화벽에서 알려진 C2 엔드포인트를 차단해야 한다.  익스체인지 서버 공격: 레거시 시스템을 보호하라  지난 3월 매우 파괴적인 공격이 발생했다. 로컬로 설치된 익스체인지 서버가 제로-데이 결함을 사용하는 직접적인 공격을 받은 것이다. 마이크로소프트는 처음엔 (이것이) 표적 공격이라고 밝혔지만, 이...

솔라윈즈 해킹 공급망 공격 보안 네트워크 보안 보안 위협 보안 사고 익스체인지 서버 공격 제로데이 취약점 프린트나이트메어 랜섬웨어 사이버 공격

2021.12.31

2021년의 마지막 날이다. 보안 전문가들이 다가오는 2022년의 보안 문제를 전망하고 있다. 내년에 어떤 일이 일어날지 예측하는 것도 중요하지만 올 한 해를 달군 보안 위협을 뒤돌아보면서 교훈을 얻는 것도 중요하다.    솔라윈즈 공격: 벤더의 보안 태세를 알고 있어야 한다  솔라윈즈 소프트웨어 공급망 공격이 발생한 지 1년이 됐지만 아직도 이 공격 유형의 가능성을 완전하게 파악하지는 못했다. 공격자들은 은밀했고, 공격을 받은 회사 가운데 하나인 파이어아이(FireEye)가 침입을 모니터링하고 감지하는 역량이 뛰어났기 때문에 포착될 수 있었다.  기업들이 이러한 공격이 발생했는지 알 수 있는 도구와 리소스를 갖추고 있는지 의문이다. 이를 몰랐을 뿐만 아니라 알 수 있을 만한 리소스도 없는 회사가 많으리라 예상된다. 마이크로소프트에 따르면 공격자들은 높은 액세스 권한을 가진 계정을 포함해 조직의 기존 사용자 및 계정을 모방하는 SAML 토큰을 위조할 수 있었다.  이는 조직에 설치한 소프트웨어의 출처를 고려해야 한다는 뜻이다. 여기에 조직의 보안 프로세스는 말할 것도 없고, 소프트웨어 벤더와 해당 업체의 보안 프로세스까지도 신뢰할 수 있는지 확인해야 한다.  교훈: 소프트웨어 벤더와 (해당 업체의) 보안 프로세스를 검토하라. 특히 액세스 권한이 높은 계정의 비정상적인 행위를 찾아야 한다. 새 연합 트러스트를 생성하거나 메일읽기(mail.read) 또는 메일읽기/쓰기(mail..readwrite) 등의 작업을 수행하는 프로세스에 인증이 추가될 때도 조사해야 한다. 이 밖에 네트워크 경계 방화벽에서 알려진 C2 엔드포인트를 차단해야 한다.  익스체인지 서버 공격: 레거시 시스템을 보호하라  지난 3월 매우 파괴적인 공격이 발생했다. 로컬로 설치된 익스체인지 서버가 제로-데이 결함을 사용하는 직접적인 공격을 받은 것이다. 마이크로소프트는 처음엔 (이것이) 표적 공격이라고 밝혔지만, 이...

2021.12.31

반면교사 삼아야 할 2021년 ‘IT 재앙’ 8선

보안 결함부터 소프트웨어 엔지니어링 오류까지 올 한 해 세간의 이목을 끌었던 8가지 ‘IT 재앙’을 살펴본다.   ‘IT’는 모든 기업의 ‘비즈니스 운영’과 동의어다. 그래서 기술에 문제가 발생하면 비즈니스 운영에도 문제가 발생할 수 있다. 복잡한 시스템이나 프로젝트 등의 IT 사건·사고가 점점 더 비즈니스 뉴스 섹션의 상위를 차지하고 있으며, 그 영향은 훨씬 더 해롭고 당혹스러워지고 있다.  여기서는 2021년에 일어난 8가지 IT 사건·사고를 통해 향후 발생할 수 있을 뿐만 아니라 비즈니스에 막대한 영향을 미칠 수 있는 거의 재앙에 가까운 IT 문제들을 집중 조명해봤다.    더 나은 UI를 설계해야 하는 이유 많은 기업이 IT 도구에 ‘고장 나지 않으면 고치지 마라’라는 태도를 취한다. 업그레이드 또는 출시에 실패한 경험 탓일 것이다. 하지만 이로 인해 실제 운영 환경에서 활용되지만, 소프트웨어 산업 초창기부터 사용된 UI를 쓰는 정말 노후화된 시스템이 존재할 수 있다. 그리고 이는 실질적인 문제를 초래할 수 있다.   시티은행(Citibank)의 백엔드 시스템 중 하나가 이러한 문제의 좋은 예다. 이는 미화 5억 달러 규모의 피해를 입힌 사건의 주요 원인 중 하나다. 이야기는 다음과 같다. 시티은행은 고객사 레블론(Revlon)을 대신해 780억 달러의 이자를 (레블론의) 채권자들에게 송금해야 했다. 고대 유물과도 같은 시티은행의 내부 소프트웨어 ‘플렉스큐브(Flexcube)’에서 이 작업을 수행하는 것은 굉장히 복잡했다.  시티은행의 직원들은 대출금 전액을 갚는 것처럼 거래를 설정해야 이자를 정확하게 계산할 수 있었고, 그다음 여러 개의 상자를 체크해야 이자만 채권자에게 보내고 나머지는 시티은행 내부 계좌로 보낼 수 있었다. 3명의 직원이 해당 거래를 승인했지만 적절한 상자를 모두 선택하지 않았고 (2023년까지 지급하게 될) 총 9억 달러가 착오로 송금됐다. 이러한 실수가 전례 없는 ...

IT 재앙 IT 위기 보안 결함 보안 사고 IT 아마존 메타 페이스북 인터넷 CDN 패스틀리

2021.12.30

보안 결함부터 소프트웨어 엔지니어링 오류까지 올 한 해 세간의 이목을 끌었던 8가지 ‘IT 재앙’을 살펴본다.   ‘IT’는 모든 기업의 ‘비즈니스 운영’과 동의어다. 그래서 기술에 문제가 발생하면 비즈니스 운영에도 문제가 발생할 수 있다. 복잡한 시스템이나 프로젝트 등의 IT 사건·사고가 점점 더 비즈니스 뉴스 섹션의 상위를 차지하고 있으며, 그 영향은 훨씬 더 해롭고 당혹스러워지고 있다.  여기서는 2021년에 일어난 8가지 IT 사건·사고를 통해 향후 발생할 수 있을 뿐만 아니라 비즈니스에 막대한 영향을 미칠 수 있는 거의 재앙에 가까운 IT 문제들을 집중 조명해봤다.    더 나은 UI를 설계해야 하는 이유 많은 기업이 IT 도구에 ‘고장 나지 않으면 고치지 마라’라는 태도를 취한다. 업그레이드 또는 출시에 실패한 경험 탓일 것이다. 하지만 이로 인해 실제 운영 환경에서 활용되지만, 소프트웨어 산업 초창기부터 사용된 UI를 쓰는 정말 노후화된 시스템이 존재할 수 있다. 그리고 이는 실질적인 문제를 초래할 수 있다.   시티은행(Citibank)의 백엔드 시스템 중 하나가 이러한 문제의 좋은 예다. 이는 미화 5억 달러 규모의 피해를 입힌 사건의 주요 원인 중 하나다. 이야기는 다음과 같다. 시티은행은 고객사 레블론(Revlon)을 대신해 780억 달러의 이자를 (레블론의) 채권자들에게 송금해야 했다. 고대 유물과도 같은 시티은행의 내부 소프트웨어 ‘플렉스큐브(Flexcube)’에서 이 작업을 수행하는 것은 굉장히 복잡했다.  시티은행의 직원들은 대출금 전액을 갚는 것처럼 거래를 설정해야 이자를 정확하게 계산할 수 있었고, 그다음 여러 개의 상자를 체크해야 이자만 채권자에게 보내고 나머지는 시티은행 내부 계좌로 보낼 수 있었다. 3명의 직원이 해당 거래를 승인했지만 적절한 상자를 모두 선택하지 않았고 (2023년까지 지급하게 될) 총 9억 달러가 착오로 송금됐다. 이러한 실수가 전례 없는 ...

2021.12.30

기고ㅣ고급 사이버 범죄의 수익성이 높아지는 이유와 그 대응책

사이버 범죄자의 목적은 일반적인 범죄자와 크게 다르지 않다. 둘 다 적은 노력으로 더 큰 수익을 얻고 법의 처벌을 빠져나가길 원한다. 범죄자들은 비용 대비 효율성을 추구하기 때문에 공격으로 인한 수익보다 소요 비용이 크다면 관심을 갖지 않는다. 도둑들이 튼튼한 울타리와 최신 경비 시스템을 갖춘 집을 쉽게 노리지 않는 것과 같다.   보안이 삼엄한 대상에 대한 공격을 준비하는 데에는 많은 시간과 수준 높은 기술, 비싼 도구가 필요할 뿐 아니라 탐지될 위험도 크다. 수익을 얻기에 적합하고 취약한 사냥감이 많다면 굳이 위험성과 수고가 큰 일을 할 필요가 있을까? 따라서 많은 사이버 범죄자들은 좀 더 쉬운 표적을 택하곤 한다. 그래서 IT 보안 사고의 대부분이 손쉽게 이행할 수 있는 공격과 관련돼 있다. 최근의 사건 대응 분석 보고서에 따르면 조사 대상 공격의 63%는 패치 관리 소홀 및 부적절한 암호 정책에서 그 원인을 찾을 수 있었다. 즉, 상당수의 회사가 여전히 기본적인 보안 관리 문제를 안고 있다는 것이다. 그러니 사이버 범죄의 수익성이 높은 것도 놀랄 일은 아니다. 딜로이트(Deloitte) 연구 결과에 따르면 사이버 범죄자들은 매월 건당 미화 34달러의 비용으로 공격을 실행하고 2만5,000 달러의 수익을 거두는 것으로 나타났다. 그렇다면 보안 수준이 높은 조직은 안전하고 범죄자들이 관심을 기울이지 않을까? 꼭 그렇지만은 않다. 가장 안전한 인프라조차도 사용자 실수 및 인프라 복잡성과 같은 위험 요인이 사이버 범죄자에게 기회로 작용할 수 있다. 최근 우려가 높아지고 있는 또 다른 추세도 있다. 고급 공격 또는 APT급 공격을 구성하고 실행하는 것이 점점 쉬워져 범죄자들의 수익성이 높아지고 있는 것이다. APT급 공격이란 무엇인가?  일반적인 지능형 지속 공격은 목표 대상을 까다롭게 고른다. 국가 기관이나 대기업 등 가치가 높은 대상을 목표로 한다. 공격의 목표는 가능한 한 오랫동안 탐지되지 않고 시스템에 상주해 전략적 가치가 ...

카스퍼스키 사이버 범죄 보안 사고 기업 보안 보안 인공지능 엔드포인트 보안 깃허브 APT급 공격

2021.11.05

사이버 범죄자의 목적은 일반적인 범죄자와 크게 다르지 않다. 둘 다 적은 노력으로 더 큰 수익을 얻고 법의 처벌을 빠져나가길 원한다. 범죄자들은 비용 대비 효율성을 추구하기 때문에 공격으로 인한 수익보다 소요 비용이 크다면 관심을 갖지 않는다. 도둑들이 튼튼한 울타리와 최신 경비 시스템을 갖춘 집을 쉽게 노리지 않는 것과 같다.   보안이 삼엄한 대상에 대한 공격을 준비하는 데에는 많은 시간과 수준 높은 기술, 비싼 도구가 필요할 뿐 아니라 탐지될 위험도 크다. 수익을 얻기에 적합하고 취약한 사냥감이 많다면 굳이 위험성과 수고가 큰 일을 할 필요가 있을까? 따라서 많은 사이버 범죄자들은 좀 더 쉬운 표적을 택하곤 한다. 그래서 IT 보안 사고의 대부분이 손쉽게 이행할 수 있는 공격과 관련돼 있다. 최근의 사건 대응 분석 보고서에 따르면 조사 대상 공격의 63%는 패치 관리 소홀 및 부적절한 암호 정책에서 그 원인을 찾을 수 있었다. 즉, 상당수의 회사가 여전히 기본적인 보안 관리 문제를 안고 있다는 것이다. 그러니 사이버 범죄의 수익성이 높은 것도 놀랄 일은 아니다. 딜로이트(Deloitte) 연구 결과에 따르면 사이버 범죄자들은 매월 건당 미화 34달러의 비용으로 공격을 실행하고 2만5,000 달러의 수익을 거두는 것으로 나타났다. 그렇다면 보안 수준이 높은 조직은 안전하고 범죄자들이 관심을 기울이지 않을까? 꼭 그렇지만은 않다. 가장 안전한 인프라조차도 사용자 실수 및 인프라 복잡성과 같은 위험 요인이 사이버 범죄자에게 기회로 작용할 수 있다. 최근 우려가 높아지고 있는 또 다른 추세도 있다. 고급 공격 또는 APT급 공격을 구성하고 실행하는 것이 점점 쉬워져 범죄자들의 수익성이 높아지고 있는 것이다. APT급 공격이란 무엇인가?  일반적인 지능형 지속 공격은 목표 대상을 까다롭게 고른다. 국가 기관이나 대기업 등 가치가 높은 대상을 목표로 한다. 공격의 목표는 가능한 한 오랫동안 탐지되지 않고 시스템에 상주해 전략적 가치가 ...

2021.11.05

'믿고 거를 기업 간파' 보안 구직자가 면접 시 해야 할 6가지 질문

이상한 나라의 앨리스에서 붉은 여왕은 “이들의 목을 베라”고 명령한다. 혹시 기업이 데이터 침해 사건 후 보안 인력을 대하는 방식이 이와 같지는 않은가? 위험 관리는 위험을 줄이지만 없애지는 못한다. 현명한 기업은 보안 리더를 희생양으로 삼지 않는다. 불가피한 사건이 발생할 때 CSO나 CISO에게 책임을 묻는 것은 유해한 직무 환경의 신호이고, 따라서 회피해야 할 곳이다.   그렇다고 해서 보안 인력이 잘못이 없다는 것은 아니다. 보안 인력을 괴짜 취급하는 문화는 사라지기 시작했지만, 여전히 일반적이다. 보안 인력이 다른 사람의 일상생활을 어렵게 만들기 위해 존재한다면서 보안 인력에 거부감을 갖는 문화나 양호한 직무 환경이 아니다. 보안 인력을 괴롭히는 섀도우 IT문제를 감안하면 특히 그렇다.    사이버 보안 인재가 너무 부족하기 때문에 보안 전문가는 자신이 일할 곳을 까다롭게 선택할 수 있다. 그렇다면 피해야 할 직무 환경을 어떻게 파악할 것인가? 미래 고용주에게 던져야 할 몇 가지 면접 질문을 소개한다.  1. “CEO가 언제 보안을 지원하는지 말씀해 주세요.” 보안 문화의 시작점은 최고 경영진이다. CEO가 효과적인 보안을 이해하고 지원하지 않는다면 잘못된 환경에서 패할 수밖에 없는 싸움을 하게 될 것이다. CEO는 보안에 관해 얼마나 알고 있는가? 물론 조직은 웹사이트에서 자신의 배경을 자세히 설명하고 있지만, 보안이 이사회 수준의 우선순위인지 아닌지를 반드시 확인해야 한다.   CISO, CSO 등의 IT 리더에 특화된 임원 채용 전문회사인 헬러 서치 어소시이츠(Heller Search Associates)의 사장 켈리 도일은 “경영진 및 이사회의 보안에 대한 비전, 관심, 의지를 파악해야 한다. 보안이 최고 경영진 수준에서 우선순위여야 한다. 그러면 메시지를 하향식으로 전달하는 데 유리하다”라고 말했다.  만약 CISO직 면접이라면, 도일은 “면접에 최고 임원들이 참여하는지...

CSO 입사 질문 보안 사고 문화 침해 예산 CISO 딜로이트 면접 고용 채용 헬러 서치 어소시이츠

2019.09.20

이상한 나라의 앨리스에서 붉은 여왕은 “이들의 목을 베라”고 명령한다. 혹시 기업이 데이터 침해 사건 후 보안 인력을 대하는 방식이 이와 같지는 않은가? 위험 관리는 위험을 줄이지만 없애지는 못한다. 현명한 기업은 보안 리더를 희생양으로 삼지 않는다. 불가피한 사건이 발생할 때 CSO나 CISO에게 책임을 묻는 것은 유해한 직무 환경의 신호이고, 따라서 회피해야 할 곳이다.   그렇다고 해서 보안 인력이 잘못이 없다는 것은 아니다. 보안 인력을 괴짜 취급하는 문화는 사라지기 시작했지만, 여전히 일반적이다. 보안 인력이 다른 사람의 일상생활을 어렵게 만들기 위해 존재한다면서 보안 인력에 거부감을 갖는 문화나 양호한 직무 환경이 아니다. 보안 인력을 괴롭히는 섀도우 IT문제를 감안하면 특히 그렇다.    사이버 보안 인재가 너무 부족하기 때문에 보안 전문가는 자신이 일할 곳을 까다롭게 선택할 수 있다. 그렇다면 피해야 할 직무 환경을 어떻게 파악할 것인가? 미래 고용주에게 던져야 할 몇 가지 면접 질문을 소개한다.  1. “CEO가 언제 보안을 지원하는지 말씀해 주세요.” 보안 문화의 시작점은 최고 경영진이다. CEO가 효과적인 보안을 이해하고 지원하지 않는다면 잘못된 환경에서 패할 수밖에 없는 싸움을 하게 될 것이다. CEO는 보안에 관해 얼마나 알고 있는가? 물론 조직은 웹사이트에서 자신의 배경을 자세히 설명하고 있지만, 보안이 이사회 수준의 우선순위인지 아닌지를 반드시 확인해야 한다.   CISO, CSO 등의 IT 리더에 특화된 임원 채용 전문회사인 헬러 서치 어소시이츠(Heller Search Associates)의 사장 켈리 도일은 “경영진 및 이사회의 보안에 대한 비전, 관심, 의지를 파악해야 한다. 보안이 최고 경영진 수준에서 우선순위여야 한다. 그러면 메시지를 하향식으로 전달하는 데 유리하다”라고 말했다.  만약 CISO직 면접이라면, 도일은 “면접에 최고 임원들이 참여하는지...

2019.09.20

클라우드 기반 보안, 새로운 기술 도입으로 급성장

올해 클라우드 기반 보안 서비스가 급성장하며 사이버 보안 시장 전체의 성장률보다 높을 것으로 기대되고 있다.  가트너에 따르면 클라우드 기반 보안 서비스는 2017년 전년 대비 21% 성장해 59억 달러를 기록할 예정이며 2020년에는 90억 달러에 달할 전망이다. 특히 보안 사고 이벤트 및 사고 관리(SIEM), ID접근 관리(IAM)와 같은 기술이 이 부문에서 가장 빠르게 성장하고 있다. 가트너의 연구 책임자인 루제로 콘투는 "이메일 보안, 웹 보안, ID 및 IAM은 기업에서 클라우드 보안 우선순위 상위 3위에 든다”고 밝혔다.  콘투는 "SIEM, IAM, 신규 보안 서비스를 포함한 이러한 우선순위를 다루는 주류 서비스는 가장 성장 가능성이 있다"고 전했다.  신규 보안 서비스로는 위협 인텔리전스 지원, 클라우드 기반 악성코드 샌드박스, 클라우드 기반 데이터 암호화, 엔드포인트 보안 관리, 위협 정보, 웹 애플리케이션 방화벽(WAF) 등이 빠르게 성장하는 분야에 속한다. 가트너에는 중소기업(SMB)에서 보안 위협에 관한 인식이 높아지면서 성장을 주도하고 있다고 분석했다. 또한 가트너는 클라우드 도입이 특히 하드웨어 기반 보안 장비 및 데이터센터 공간에 전력을 공급하고 냉각하는 비용을 절감할 기회를 제공한다고도 전했다. 전세계 클라우드 기반 보안 서비스 시장 분야별 전망(단위 : 미화 백만 달러) 구분 2016 2017 2018 2019 2020 이메일 게이트웨이 보안 654.9 702.7 752.3 811.5 873.2 웹 게이트웨이 보안 635.9 ...

가트너 전망 SIEM IAM 보안 사고 클라우드 보안 2017년 2020년 ID 접근 관리

2017.06.20

올해 클라우드 기반 보안 서비스가 급성장하며 사이버 보안 시장 전체의 성장률보다 높을 것으로 기대되고 있다.  가트너에 따르면 클라우드 기반 보안 서비스는 2017년 전년 대비 21% 성장해 59억 달러를 기록할 예정이며 2020년에는 90억 달러에 달할 전망이다. 특히 보안 사고 이벤트 및 사고 관리(SIEM), ID접근 관리(IAM)와 같은 기술이 이 부문에서 가장 빠르게 성장하고 있다. 가트너의 연구 책임자인 루제로 콘투는 "이메일 보안, 웹 보안, ID 및 IAM은 기업에서 클라우드 보안 우선순위 상위 3위에 든다”고 밝혔다.  콘투는 "SIEM, IAM, 신규 보안 서비스를 포함한 이러한 우선순위를 다루는 주류 서비스는 가장 성장 가능성이 있다"고 전했다.  신규 보안 서비스로는 위협 인텔리전스 지원, 클라우드 기반 악성코드 샌드박스, 클라우드 기반 데이터 암호화, 엔드포인트 보안 관리, 위협 정보, 웹 애플리케이션 방화벽(WAF) 등이 빠르게 성장하는 분야에 속한다. 가트너에는 중소기업(SMB)에서 보안 위협에 관한 인식이 높아지면서 성장을 주도하고 있다고 분석했다. 또한 가트너는 클라우드 도입이 특히 하드웨어 기반 보안 장비 및 데이터센터 공간에 전력을 공급하고 냉각하는 비용을 절감할 기회를 제공한다고도 전했다. 전세계 클라우드 기반 보안 서비스 시장 분야별 전망(단위 : 미화 백만 달러) 구분 2016 2017 2018 2019 2020 이메일 게이트웨이 보안 654.9 702.7 752.3 811.5 873.2 웹 게이트웨이 보안 635.9 ...

2017.06.20

IT가 추산한 사이버보안 비용, 경영진보다 2배... BAE 조사

사이버 공격으로 발생한 비용산정에서 IT와 경영진 간의 의견 차이가 큰 것으로 조사됐다. 9일 발표된 조사결과에 따르면, 사이버 보안 침해의 책임자에 대해서도 최고 CIO와 다른 C-레벨 임원 간의 견해차가 있었다. 221명의 CEO와 다른 C-레벨 임원 집단과 984명의 IT 의사 결정권자 집단을 대상으로 한 설문 조사에서 사이버 보안 침해 사고가 발생한 경우 누구 책임이냐는 질문에 관해 두 집단은 서로 다르게 답했다. C-레벨 응답자 중 35%는 IT팀이 침해 사고에 책임이 있다고 말했고 IT리더 중 50%는 경영진에게 있다고 생각했다. 또한 한 번의 사이버 공격으로 발생한 비용에 관해 IT관리자와 경영진의 견해차가 2배 가까이 나는 것으로 나타났다. IT관리자는 이 비용을 1,900만 달러로 계산했지만, C-레벨은 약 1,100만 달러로 추정했다. 시장조사 기업인 오피니엄(Opinium)은 지난해 10월과 11월 사이버 보안 및 방산 업체인 BAE 시스템즈 인텔리전스(BAE Systems Applied Intelligence)의 의뢰를 받아 미국 등 8개국에서 이 설문 조사를 진행했다. BAE의 전무인 케빈 테일러는 "전반적으로 조사 결과가 C-레벨 응답자와 IT 의사 결정권자 간의 재미있는 견해차를 보여준다"며 "사이버 위협의 성격과 비즈니스 및 기술적 위험으로 변환되는 방식에 대해 두 집단의 이해가 매우 다를 수 있다"고 말했다. 그는 두 집단 모두 사이버공격에 대한 정보 격차를 줄여 강력한 방어력을 구축해야 한다고 강조했다. 이 설문 조사는 C-레벨 임원이 사이버 보안 위협에 관해 더 많은 정보를 얻어야 한다고 말하는 다른 애널리스트들의 의견을 뒷받침했다. 전 국토안보부 비서관이었던 톰 리지는 최근 CEO와 기업 이사회에 사이버 위험 인식 수준을 높일 것을 촉구했다. 리지는 최근 인터뷰에서 "사이버 보안은 공공 및 민간 분야에서 가장 중요한 거버...

CIO BAE C-레벨 보안 사고 사이버공격 CTO 조사 책임 CEO CSO 비용산정

2017.02.10

사이버 공격으로 발생한 비용산정에서 IT와 경영진 간의 의견 차이가 큰 것으로 조사됐다. 9일 발표된 조사결과에 따르면, 사이버 보안 침해의 책임자에 대해서도 최고 CIO와 다른 C-레벨 임원 간의 견해차가 있었다. 221명의 CEO와 다른 C-레벨 임원 집단과 984명의 IT 의사 결정권자 집단을 대상으로 한 설문 조사에서 사이버 보안 침해 사고가 발생한 경우 누구 책임이냐는 질문에 관해 두 집단은 서로 다르게 답했다. C-레벨 응답자 중 35%는 IT팀이 침해 사고에 책임이 있다고 말했고 IT리더 중 50%는 경영진에게 있다고 생각했다. 또한 한 번의 사이버 공격으로 발생한 비용에 관해 IT관리자와 경영진의 견해차가 2배 가까이 나는 것으로 나타났다. IT관리자는 이 비용을 1,900만 달러로 계산했지만, C-레벨은 약 1,100만 달러로 추정했다. 시장조사 기업인 오피니엄(Opinium)은 지난해 10월과 11월 사이버 보안 및 방산 업체인 BAE 시스템즈 인텔리전스(BAE Systems Applied Intelligence)의 의뢰를 받아 미국 등 8개국에서 이 설문 조사를 진행했다. BAE의 전무인 케빈 테일러는 "전반적으로 조사 결과가 C-레벨 응답자와 IT 의사 결정권자 간의 재미있는 견해차를 보여준다"며 "사이버 위협의 성격과 비즈니스 및 기술적 위험으로 변환되는 방식에 대해 두 집단의 이해가 매우 다를 수 있다"고 말했다. 그는 두 집단 모두 사이버공격에 대한 정보 격차를 줄여 강력한 방어력을 구축해야 한다고 강조했다. 이 설문 조사는 C-레벨 임원이 사이버 보안 위협에 관해 더 많은 정보를 얻어야 한다고 말하는 다른 애널리스트들의 의견을 뒷받침했다. 전 국토안보부 비서관이었던 톰 리지는 최근 CEO와 기업 이사회에 사이버 위험 인식 수준을 높일 것을 촉구했다. 리지는 최근 인터뷰에서 "사이버 보안은 공공 및 민간 분야에서 가장 중요한 거버...

2017.02.10

IT전문가 해고 이유, 9개 중 6개가 '보안'과 관련

IT전문가의 해고 이유는 많다. 그중 대다수는 보안과 관련 있다. IT전문가 해고에는 많은 이유가 있지만, 상위 9개 가운데 6개가 보안과 관련 있는 것으로 조사됐다. 오스터만 리서치(Osterman Research)에 따르면, 기술에 투자했는데 보안 침해가 발생한 조직의 39%는 이를 해고 사유로 간주하는 것으로 나타났다. 실제 데이터 침해 사실이 외부에 알려질 경우 기업의 38%는 이를 해고 사유로 간주하는 것으로 조사됐다. 이밖에 보안과 관련한 해고 사유로는 보안 프로그램 현대화 실패, 알 수 없는 원인으로 인한 데이터 유출, 외부에 알려지지 않은 데이터 유출, 보안 제품이나 프로그램 투자 실패 등이 있다. 규제를 준수하지 못하고 큰 벌금이나 페널티를 내는 경우도 해고 사유로 꼽혔으며 무려 68%의 기업이 이같이 답했다. 이 가운데 일부는 엄밀히 말해서 직원의 잘못이 아닐 수도 있다. 외부 공격자가 데이터를 가져오기로 마음 먹고 끊임없이 시도한다면 이를 막을 방법은 거의 없다. 또는 침투 테스트에 대한 예산 부족이 문제일 수 있다. 보고서에 따르면, 응답자의 24%는 예산과 직원 배치 문제에 대해 IT보안과 C레벨 간에 ‘항상’ 또는 ‘종종’ 의견이 분분하다고 밝혔다. 46%는 ‘때때로’ 문제가 있다고 답했다. 그러나 큰 문제가 발생하면 결국 누군가는 책임을 져야 한다. 이 조사를 후원한 트러스트웨이브홀딩스(Trustwave Holdings)의 관리 보안 서비스 담당 부사장인 크리스 슐러는 "CSO가 책임이 막중한 자리인 것도 바로 그 때문이다”며 “모든 책임이 CSO에 있다”고 말했다. 문제를 피할 수 있는 다른 경우도 있을 것이다. 예를 들어, 직원들이 데이터베이스에 문을 열어 보안 통제를 우회하여 쉽게 업무를 수행할 수 있는 사례가 대표적이다. 직원들이 업무용 노트북을 집에 가져다 ...

CSO 데이터 침해 해고 IT전문가 조사 CISO 보안 사고 오스터만 리서치 Osterman Research

2017.01.19

IT전문가의 해고 이유는 많다. 그중 대다수는 보안과 관련 있다. IT전문가 해고에는 많은 이유가 있지만, 상위 9개 가운데 6개가 보안과 관련 있는 것으로 조사됐다. 오스터만 리서치(Osterman Research)에 따르면, 기술에 투자했는데 보안 침해가 발생한 조직의 39%는 이를 해고 사유로 간주하는 것으로 나타났다. 실제 데이터 침해 사실이 외부에 알려질 경우 기업의 38%는 이를 해고 사유로 간주하는 것으로 조사됐다. 이밖에 보안과 관련한 해고 사유로는 보안 프로그램 현대화 실패, 알 수 없는 원인으로 인한 데이터 유출, 외부에 알려지지 않은 데이터 유출, 보안 제품이나 프로그램 투자 실패 등이 있다. 규제를 준수하지 못하고 큰 벌금이나 페널티를 내는 경우도 해고 사유로 꼽혔으며 무려 68%의 기업이 이같이 답했다. 이 가운데 일부는 엄밀히 말해서 직원의 잘못이 아닐 수도 있다. 외부 공격자가 데이터를 가져오기로 마음 먹고 끊임없이 시도한다면 이를 막을 방법은 거의 없다. 또는 침투 테스트에 대한 예산 부족이 문제일 수 있다. 보고서에 따르면, 응답자의 24%는 예산과 직원 배치 문제에 대해 IT보안과 C레벨 간에 ‘항상’ 또는 ‘종종’ 의견이 분분하다고 밝혔다. 46%는 ‘때때로’ 문제가 있다고 답했다. 그러나 큰 문제가 발생하면 결국 누군가는 책임을 져야 한다. 이 조사를 후원한 트러스트웨이브홀딩스(Trustwave Holdings)의 관리 보안 서비스 담당 부사장인 크리스 슐러는 "CSO가 책임이 막중한 자리인 것도 바로 그 때문이다”며 “모든 책임이 CSO에 있다”고 말했다. 문제를 피할 수 있는 다른 경우도 있을 것이다. 예를 들어, 직원들이 데이터베이스에 문을 열어 보안 통제를 우회하여 쉽게 업무를 수행할 수 있는 사례가 대표적이다. 직원들이 업무용 노트북을 집에 가져다 ...

2017.01.19

기업 22%, 보안 사고 대응 위한 종합 계획 수립… KPMG BT 공동조사

주요 보안 사고에 대응하기 위해 적절한 종합 계획을 수립한 기업들이 22%에 불과한 것으로 조사됐다. KPMG와 브리티시 텔레콤(BT)의 공동 조사에 따르면, 디지털 공격의 피해를 경험한 기업은 무려 97%에 달했으며 55%는 사이버공격이 점점 더 늘어나고 있다고 밝혔다. BT아메리카의 CISO인 제이슨 쿡은 “이 조사는 심각한 공격이 있는데도 사람들이 이를 바꿀 계획을 세우지 않는다는 것을 보여준다”고 말했다. 그는 제대로 수립된 계획에는 IT부서 이외에 현업부서까지도 관여해야 한다고 전하며 다음과 같은 질문을 던졌다. "사이버 보안 활동과 직접 묶이지 않은 현업부서를 의도적으로 언급하나? 법률팀은 무엇을 하나? 외부 업체 관리가 어떻게 개입돼 있나? 협력사와 고객과 어떻게 의사소통 하나?” 이 계획은 변화하는 보안 동향에 맞춰 끊임없이 재검토돼야 한다고 그는 덧붙였다. 계획에 따라 진행하는 것만으로는 부족하다는 의미다. 이밖에 제대로 된 사이버 보험에 가입한 기업은 23%로 집계됐다. 쿡은 "나머지 기업들은 사이버 보험에 전혀 가입하지 않았거나 가입했다 해도 그것이 적절하지 않은 사이버 보험이다"고 이야기했다. KPMG의 사이버보안 담당 기술 이사인 데이비드 페르브라체에 따르면, 일반적으로 사이버 보험은 디지털 자산에 대한 손실과 손상, 시스템 정지와 관련한 비즈니스 중단 비용, 사이버 사기나 정보 유출과 관련한 직접적인 재정 손실, 포렌식 조사와 사고 관리에 대한 전문적인 지원, 평판 관리 서비스 등을 제공해 준다. 기업은 협력사 관련 문제까지도 고려하는 보험상품을 찾아야 한다. 페르브라체는 "이러한 보험은 써드파티의 보안 유출과 관련한 위험까지도 포함할 수 있다”고 말했다. 보험 약관에는 산업제어 시스템에 대한 사이버 공격으로 발생한 물리적 손상과 같은 것도 포함할 수 있다. 페르브라체는 "정유회사, 가...

BT 사이버 보험 랜섬웨어 브리티시텔레콤 보안 사고 KPMG CISO 조사 CSO 사이버인슈어런스

2016.07.18

주요 보안 사고에 대응하기 위해 적절한 종합 계획을 수립한 기업들이 22%에 불과한 것으로 조사됐다. KPMG와 브리티시 텔레콤(BT)의 공동 조사에 따르면, 디지털 공격의 피해를 경험한 기업은 무려 97%에 달했으며 55%는 사이버공격이 점점 더 늘어나고 있다고 밝혔다. BT아메리카의 CISO인 제이슨 쿡은 “이 조사는 심각한 공격이 있는데도 사람들이 이를 바꿀 계획을 세우지 않는다는 것을 보여준다”고 말했다. 그는 제대로 수립된 계획에는 IT부서 이외에 현업부서까지도 관여해야 한다고 전하며 다음과 같은 질문을 던졌다. "사이버 보안 활동과 직접 묶이지 않은 현업부서를 의도적으로 언급하나? 법률팀은 무엇을 하나? 외부 업체 관리가 어떻게 개입돼 있나? 협력사와 고객과 어떻게 의사소통 하나?” 이 계획은 변화하는 보안 동향에 맞춰 끊임없이 재검토돼야 한다고 그는 덧붙였다. 계획에 따라 진행하는 것만으로는 부족하다는 의미다. 이밖에 제대로 된 사이버 보험에 가입한 기업은 23%로 집계됐다. 쿡은 "나머지 기업들은 사이버 보험에 전혀 가입하지 않았거나 가입했다 해도 그것이 적절하지 않은 사이버 보험이다"고 이야기했다. KPMG의 사이버보안 담당 기술 이사인 데이비드 페르브라체에 따르면, 일반적으로 사이버 보험은 디지털 자산에 대한 손실과 손상, 시스템 정지와 관련한 비즈니스 중단 비용, 사이버 사기나 정보 유출과 관련한 직접적인 재정 손실, 포렌식 조사와 사고 관리에 대한 전문적인 지원, 평판 관리 서비스 등을 제공해 준다. 기업은 협력사 관련 문제까지도 고려하는 보험상품을 찾아야 한다. 페르브라체는 "이러한 보험은 써드파티의 보안 유출과 관련한 위험까지도 포함할 수 있다”고 말했다. 보험 약관에는 산업제어 시스템에 대한 사이버 공격으로 발생한 물리적 손상과 같은 것도 포함할 수 있다. 페르브라체는 "정유회사, 가...

2016.07.18

'무엇을? 어떻게? 얼마나?' 사이버 보험 가입 전 확인할 것들

다수의 보안 전문가에 따르면, 사이버보안 사고 때문에 사이버 보험이 인기를 끌 수도 있지만 사이버 보험의 보호 대상부터 피해 범위 등 복잡한 문제들이 있다.  사이버 보안 사고가 발생한 이후 CIO나 CISO는 피해 규모를 산정하는 일을 맡는다. 이때 기업이 제시한 피해 보상을 선뜻 받아들이는 소비자는 별로 없으며 오히려 비난하는 사람들은 많다. 그리고 사이버 보험료를 청구하는 것과 관련해 이러한 비난은 더욱 거세진다. 일반적으로 기업 사이버 보험에 관한 논의는 다음과 같이 진행된다. CEO나 이사회장이 CISO를 호출하고 보험사가 청구 금액의 38%만 지불할 것이며 그 이유가 "영향을 받는 애플리케이션에서 암호화를 이행하지 않았기 때문"이라고 이야기한다. 이때 CISO는 다음과 같이 말한다. "첫째, 나는 회사가 사이버 보안 보험에 가입했는지 몰랐다. 둘째, 영향을 받는 앱은 ATM 기계를 운용하고 있으며 이를 암호화하면 고객들의 접근이 불가능했을 것이기 때문에 분명 나를 해고했을 것이다. 이러한 정책을 실행하기 전에 나와 논의했어야 했다." 사이버 공격에 대한 대비책으로 회사가 보험에 가입했다는 이야기는 실제 비즈니스 사례보다는 미국 드라마인 ‘실리콘밸리(Silicon Valley)’의 에피소드처럼 들릴 것이다. 하지만 PPRA(PivotPoint Risk Analytics)의 CEO 줄리안 웨이츠 주니어(왼쪽 사진)는 해킹 발견 시 이러한 일이 자주 발생한다고 밝혔다. 그는 "CISO에게 알리지 않고 사이버 보험에 가입한다"며 "재무 위험 전가 문제를 해결하기 위해 서로 협력해야 한다고 생각하는 것들에 관해 논의하지 않는 경우가 많다"고 지적했다. 무엇을 보호해야 하나? ‘합의’된 내용이 없다 CISO와 논의하지 않고 사이버 보험에 가입한 결과, 기업들은 보험 증서에서 말하는 ‘보호...

CIO 어드바이슨 SANS 인스티튜트 사이버 보험 보험료 정보 유출 보안 사고 사이버보안 CISO 조사 PPRA

2016.07.12

다수의 보안 전문가에 따르면, 사이버보안 사고 때문에 사이버 보험이 인기를 끌 수도 있지만 사이버 보험의 보호 대상부터 피해 범위 등 복잡한 문제들이 있다.  사이버 보안 사고가 발생한 이후 CIO나 CISO는 피해 규모를 산정하는 일을 맡는다. 이때 기업이 제시한 피해 보상을 선뜻 받아들이는 소비자는 별로 없으며 오히려 비난하는 사람들은 많다. 그리고 사이버 보험료를 청구하는 것과 관련해 이러한 비난은 더욱 거세진다. 일반적으로 기업 사이버 보험에 관한 논의는 다음과 같이 진행된다. CEO나 이사회장이 CISO를 호출하고 보험사가 청구 금액의 38%만 지불할 것이며 그 이유가 "영향을 받는 애플리케이션에서 암호화를 이행하지 않았기 때문"이라고 이야기한다. 이때 CISO는 다음과 같이 말한다. "첫째, 나는 회사가 사이버 보안 보험에 가입했는지 몰랐다. 둘째, 영향을 받는 앱은 ATM 기계를 운용하고 있으며 이를 암호화하면 고객들의 접근이 불가능했을 것이기 때문에 분명 나를 해고했을 것이다. 이러한 정책을 실행하기 전에 나와 논의했어야 했다." 사이버 공격에 대한 대비책으로 회사가 보험에 가입했다는 이야기는 실제 비즈니스 사례보다는 미국 드라마인 ‘실리콘밸리(Silicon Valley)’의 에피소드처럼 들릴 것이다. 하지만 PPRA(PivotPoint Risk Analytics)의 CEO 줄리안 웨이츠 주니어(왼쪽 사진)는 해킹 발견 시 이러한 일이 자주 발생한다고 밝혔다. 그는 "CISO에게 알리지 않고 사이버 보험에 가입한다"며 "재무 위험 전가 문제를 해결하기 위해 서로 협력해야 한다고 생각하는 것들에 관해 논의하지 않는 경우가 많다"고 지적했다. 무엇을 보호해야 하나? ‘합의’된 내용이 없다 CISO와 논의하지 않고 사이버 보험에 가입한 결과, 기업들은 보험 증서에서 말하는 ‘보호...

2016.07.12

숫자로 보는 2015년 사이버보안 13선

한 해를 마무리하며 그간의 일을 되돌아 보는 연말이다. <CIO>도 다르지 않다. 하지만 <CIO>는 2015년에 대해 숫자를 이용해 조금 다른 이야기를 하고자 한다. 13개의 숫자들을 뽑아봤다. 올해 보안 사고와 관련해 어떤 일들이 있었는지 알아보자.  이미지 출처 : Thinkstock 7,000만 익명의 해커 한 명이 미국 내 구치소와 교도소에 수감된 사람들의 전화 통화 기록 7,000만 건을 언론에 유출시켰다. 이는 '변호사-의뢰인 비밀보호 특권'이 주기적으로, 그리고 아주 크게 침해 당하고 있음을 시사한다. 50-75% 최근 조사에 따르면, 새 EMV 또는 ‘칩 앤 핀(Chip and Pin)’ 결제 터미널이 없는 상점의 비율이 50~75%에 달하는 것으로 추정되고 있다. 카드 발행사는 이보다 낫다. 70%가 올해 말까지 EMV가 구현된 카드를 발급할 계획이기 때문이다. 140만 잡지인 와이어드(WIRED)가 원격 소프트웨어 해킹으로 지프(Jeep) 차량을 무력화시킨 보안 전문가들의 이야기를 보도한 후, 크라이슬러는 140만 대의 차량을 리콜했다. 그러나 과거와는 리콜 방식이 달랐다. 차량 소유주가 자신의 차를 딜러십에 맡길 필요가 없었기 때문이다. USB 드라이브에 패치를 다운로드 받은 후, 차량에 업로드 하는 방식의 리콜이었다. 8.68 지난 7월 '바람을 피우는 사람'들에게 경종을 울리는 소식이 전해졌다. 임팩트 팀(Impact Team)이라는 해커 집단이 애슐리매디슨닷컴(AshleyMadison.com)을 이용한 사람들의 정보가 담긴 데이터 8.6GB를 유출시켰기 때문이다. 이 데이터에는 애슐리매디슨닷컴 고객들의 이메일 주소, 영업 및 마케팅 데이터가 담겨 있었다. 이 데이터는 (일부 정치가를 포함)사이트 이용자의 신상을 공개했을 뿐만 아니라, 사이트 회원으로 알려진 여성들이 진짜 회원인지에 대한 의문...

CIO 익스플로잇 킷 크라이슬러 애슐리매디슨 EMV 정보 유출 보안 사고 JP모건 해커 리콜 EMC 이메일 해킹 유나이티드 항공

2015.12.18

한 해를 마무리하며 그간의 일을 되돌아 보는 연말이다. <CIO>도 다르지 않다. 하지만 <CIO>는 2015년에 대해 숫자를 이용해 조금 다른 이야기를 하고자 한다. 13개의 숫자들을 뽑아봤다. 올해 보안 사고와 관련해 어떤 일들이 있었는지 알아보자.  이미지 출처 : Thinkstock 7,000만 익명의 해커 한 명이 미국 내 구치소와 교도소에 수감된 사람들의 전화 통화 기록 7,000만 건을 언론에 유출시켰다. 이는 '변호사-의뢰인 비밀보호 특권'이 주기적으로, 그리고 아주 크게 침해 당하고 있음을 시사한다. 50-75% 최근 조사에 따르면, 새 EMV 또는 ‘칩 앤 핀(Chip and Pin)’ 결제 터미널이 없는 상점의 비율이 50~75%에 달하는 것으로 추정되고 있다. 카드 발행사는 이보다 낫다. 70%가 올해 말까지 EMV가 구현된 카드를 발급할 계획이기 때문이다. 140만 잡지인 와이어드(WIRED)가 원격 소프트웨어 해킹으로 지프(Jeep) 차량을 무력화시킨 보안 전문가들의 이야기를 보도한 후, 크라이슬러는 140만 대의 차량을 리콜했다. 그러나 과거와는 리콜 방식이 달랐다. 차량 소유주가 자신의 차를 딜러십에 맡길 필요가 없었기 때문이다. USB 드라이브에 패치를 다운로드 받은 후, 차량에 업로드 하는 방식의 리콜이었다. 8.68 지난 7월 '바람을 피우는 사람'들에게 경종을 울리는 소식이 전해졌다. 임팩트 팀(Impact Team)이라는 해커 집단이 애슐리매디슨닷컴(AshleyMadison.com)을 이용한 사람들의 정보가 담긴 데이터 8.6GB를 유출시켰기 때문이다. 이 데이터에는 애슐리매디슨닷컴 고객들의 이메일 주소, 영업 및 마케팅 데이터가 담겨 있었다. 이 데이터는 (일부 정치가를 포함)사이트 이용자의 신상을 공개했을 뿐만 아니라, 사이트 회원으로 알려진 여성들이 진짜 회원인지에 대한 의문...

2015.12.18

'누구나 희생양이 될 수 있다' 2015년 보안 사고 리뷰

해킹 팀, 컴캐스트, 애슐리 매디슨… 2015년에도 사이버범죄에 당한 기업들의 뉴스가 계속해서 쏟아져 나왔다. 예전에도 그랬듯 데이터 유출은 올해 가장 큰 뉴스였다. 이제 보안 사고는 산업이나 기업 규모와 괕계없이 일어나고 있으며, 그 결과 누구나 피해자가 될 수 있는 시대가 됐다. 2015년에 발생한 보안 사고들 가운데 관심을 크게 모았던 것들을 정리했다. ciokr@idg.co.kr

CSO 애슐리 메디슨 컴캐스트 증권 보안 사고 개인정보 유출 CISO 사이버범죄 의료 해킹 팀

2015.12.10

해킹 팀, 컴캐스트, 애슐리 매디슨… 2015년에도 사이버범죄에 당한 기업들의 뉴스가 계속해서 쏟아져 나왔다. 예전에도 그랬듯 데이터 유출은 올해 가장 큰 뉴스였다. 이제 보안 사고는 산업이나 기업 규모와 괕계없이 일어나고 있으며, 그 결과 누구나 피해자가 될 수 있는 시대가 됐다. 2015년에 발생한 보안 사고들 가운데 관심을 크게 모았던 것들을 정리했다. ciokr@idg.co.kr

2015.12.10

'보안 책임자에게 전하는' 유출 사고 시 커뮤니케이션 가이드

포네몬 인스티튜트(Ponemon Institute)의 최근 연구에 의하면 보안 실패, 데이터 유출 등의 사건이 회사의 명성과 시장 가치에 악영향을 미칠 수 있다고 인식하는 이사회 임원이 89%에 달했다. 이렇듯 보안이 경영진들과 이사회의 주요 관심사로 꼽히는 지금, 보안 리더들은 만반의 준비를 갖춰야 하며 그 중에는 유출 사고 발생 시 커뮤니케이션 계획도 포함된다. 에델만스 데이터 시큐리티 앤 프라이버시 그룹(Edelman’s Data Security and Privacy Group)의 부회장인 레이 나카니시는 기업 보안과 프라이버시 문제 전방위에 걸친 커뮤니케이션 컨설팅 업무를 수행하고 있다. 그는 “보안 및 유출 사고가 발생한 경우에는 다른 유형의 사고와 다른 접근방식이 필요하다. 이 점을 이해하는 것이 중요하다. 보안 종사자들은 커뮤니케이션과 법률에 있어서 분명하고 통합된 접근방식을 취해야 할 필요가 있다”라고 강조했다. ciokr@idg.co.kr 

CSO 커뮤니케이션 데이터 유출 해킹 소통 보안 사고 미디어 정보 누출

2015.11.24

포네몬 인스티튜트(Ponemon Institute)의 최근 연구에 의하면 보안 실패, 데이터 유출 등의 사건이 회사의 명성과 시장 가치에 악영향을 미칠 수 있다고 인식하는 이사회 임원이 89%에 달했다. 이렇듯 보안이 경영진들과 이사회의 주요 관심사로 꼽히는 지금, 보안 리더들은 만반의 준비를 갖춰야 하며 그 중에는 유출 사고 발생 시 커뮤니케이션 계획도 포함된다. 에델만스 데이터 시큐리티 앤 프라이버시 그룹(Edelman’s Data Security and Privacy Group)의 부회장인 레이 나카니시는 기업 보안과 프라이버시 문제 전방위에 걸친 커뮤니케이션 컨설팅 업무를 수행하고 있다. 그는 “보안 및 유출 사고가 발생한 경우에는 다른 유형의 사고와 다른 접근방식이 필요하다. 이 점을 이해하는 것이 중요하다. 보안 종사자들은 커뮤니케이션과 법률에 있어서 분명하고 통합된 접근방식을 취해야 할 필요가 있다”라고 강조했다. ciokr@idg.co.kr 

2015.11.24

'듀 딜리전스에 보안도 넣어야' 달라지는 M&A

최근 다수의 보안 사고 사례들이 외부 업체들 때문에 발생한 것으로 밝혀지면서 기업의 인수합병 시 보안 상태를 점검해 봐야 한다는 전문가들의 지적이 나오고 있다. 이미지 출처 : Thinkstock 보안 전문가들은 기업 내부 보안뿐 아니라 외부 협력사의 보안까지도 신경써야 한다고 강력히 권고하고 있다. 많은 사례에서 이는 강력한 권고를 넘어선 명령에 가깝다고 볼 수 있다. 지난해 업데이트된 PCI(payment card industry) 표준은 써드파티 위험을 다시 한 번 환기시켰던 것으로 알려져 있다. 하지만 여전히 보안 노력이 지지부진한 분야가 바로 인수 합병(M&A)이라는 몇 가지 증거들이 있다. 런던에 있는 로펌인 프레쉬필드 브룩하우스 더링저(Freshfields Bruckhaus Deringer)가 수행한 ‘기업, 금융 기관, 투자사, 로펌 등 214개 글로벌 M&A 사례’를 대상으로 한 조사에서 인수 합병 거래에 대한 사이버 보안 위험의 효과에 대해서는 인식이 높지만 (인수 측의 74%와 매각 측의 60%) 응답자의 대다수(78%)는 “사이버 보안이 M&A 실사 과정에서 심도 있게 분석되거나 특별히 수량화되지 않는 것으로 생각했다”고 밝혔다. 이런 인식은 큰 손해를 불러올 수 있다 만약 회사의 가치가 지적 재산권이나 고객 데이터 같은 기타 전용 정보에 기반하고 있으며, 그 정보가 유출을 통해 위태로워졌다면 그 정보가 경쟁사로 흘러 들어가 매각하는 회사의 가치에 큰 손실을 입을 수 있다. 또 만약 인수나 합병에 관여한 한쪽의 기업에서 유출사고가 발생하면 공격자가 두 회사 모두를 공격하기 훨씬 용이해져 두 회사의 가치에 심각한 타격을 입힐 수 있다. 그리고 M&A는 해킹으로 이익을 취하려는 사이버 범죄자들에게 공격할만한 허점들을 제공하고 있다. 보안 업체 파이어아이는 최근 한 블로그 글에서 “미국 내에서 4월과 5월 거의 ...

CSO 보안 실사 IT 실사 파이어아이 사모펀드 듀 딜리전스 보안 사고 CISO 합병 중소기업 M&A 인수 재정 상태

2015.10.26

최근 다수의 보안 사고 사례들이 외부 업체들 때문에 발생한 것으로 밝혀지면서 기업의 인수합병 시 보안 상태를 점검해 봐야 한다는 전문가들의 지적이 나오고 있다. 이미지 출처 : Thinkstock 보안 전문가들은 기업 내부 보안뿐 아니라 외부 협력사의 보안까지도 신경써야 한다고 강력히 권고하고 있다. 많은 사례에서 이는 강력한 권고를 넘어선 명령에 가깝다고 볼 수 있다. 지난해 업데이트된 PCI(payment card industry) 표준은 써드파티 위험을 다시 한 번 환기시켰던 것으로 알려져 있다. 하지만 여전히 보안 노력이 지지부진한 분야가 바로 인수 합병(M&A)이라는 몇 가지 증거들이 있다. 런던에 있는 로펌인 프레쉬필드 브룩하우스 더링저(Freshfields Bruckhaus Deringer)가 수행한 ‘기업, 금융 기관, 투자사, 로펌 등 214개 글로벌 M&A 사례’를 대상으로 한 조사에서 인수 합병 거래에 대한 사이버 보안 위험의 효과에 대해서는 인식이 높지만 (인수 측의 74%와 매각 측의 60%) 응답자의 대다수(78%)는 “사이버 보안이 M&A 실사 과정에서 심도 있게 분석되거나 특별히 수량화되지 않는 것으로 생각했다”고 밝혔다. 이런 인식은 큰 손해를 불러올 수 있다 만약 회사의 가치가 지적 재산권이나 고객 데이터 같은 기타 전용 정보에 기반하고 있으며, 그 정보가 유출을 통해 위태로워졌다면 그 정보가 경쟁사로 흘러 들어가 매각하는 회사의 가치에 큰 손실을 입을 수 있다. 또 만약 인수나 합병에 관여한 한쪽의 기업에서 유출사고가 발생하면 공격자가 두 회사 모두를 공격하기 훨씬 용이해져 두 회사의 가치에 심각한 타격을 입힐 수 있다. 그리고 M&A는 해킹으로 이익을 취하려는 사이버 범죄자들에게 공격할만한 허점들을 제공하고 있다. 보안 업체 파이어아이는 최근 한 블로그 글에서 “미국 내에서 4월과 5월 거의 ...

2015.10.26

클라우드 애플리케이션 공격, 지난해보다 45% 증가

클라우드 보안 업체 얼럿로직(Alert Logic, lnc.)의 최근 보고서에 따르면, 클라우드 애플리케이션 공격이 지난해보다 무려 45%나 증가했다. 이미지 출처 : Wonderlane via Flickr 이 보고서는 3,000개 이상의 기업 고객 IT환경에서 발생한 10억 건의 보안 사고를 분석한 결과를 토대로 작성됐으며, 이들 기업 고객의 78%는 지난해 애플리케이션 공격 사고를 경험했으며, 이러한 답변은 그 이전의 48%보다 훨씬 많아졌다. "점점 더 많은 기업들이 클라우드로 이전하고 있기 때문에 이러한 증가세는 그다지 놀랄 일은 아니다"고 얼럿로직의 제품 관리 담당 수석 이사인 라훌 박시는 밝혔다. 클라우드 환경에서도 인프라를 스캔하기 위한 시도 등 의심스러운 활동이 36% 늘어났으며 무차별 대입 공격도 27% 증가했다. 클라우드 도입에 대한 공격이 빠르게 증가하고 있지만 아직 사내 구축 인프라에 대한 공격만큼 많은 것은 아니었다. 가령 트로이 목마의 경우 클라우드 도입 고객은 평균 68건을 경험했지만 사내 구축 인프라 고객들은 108건을 경험한 것으로 나타났다. 무차별 대입 공격의 경우 클라우드 고객이 평균 101건을 목격한 것에 비해 사내 구축 인프라 고객은 이보다 약 2배인 201건을 목격한 것으로 파악됐다. --------------------------------------------------------------- 클라우드 보안 ->'미 정부 규제와 충돌하는 클라우드의 정보보호'••• 전문가들 지적 -> "5년 내 끔찍한 클라우드 재앙 유력" 워즈니악 ->EU, “클라우드에서 데이터 위치는 중요치 않다” -> 클라우드 도입, ‘고민과 두려움’에 대한 고찰 -> 가장 많이 알려진 클라우드 컴퓨팅 공통 이슈 7가지 ----------...

CSO CISO 온프레미스 공격 보안 사고 얼럿로직 클라우드 애플리케이션 Alert Logic Inc. 사내 구축

2015.10.13

클라우드 보안 업체 얼럿로직(Alert Logic, lnc.)의 최근 보고서에 따르면, 클라우드 애플리케이션 공격이 지난해보다 무려 45%나 증가했다. 이미지 출처 : Wonderlane via Flickr 이 보고서는 3,000개 이상의 기업 고객 IT환경에서 발생한 10억 건의 보안 사고를 분석한 결과를 토대로 작성됐으며, 이들 기업 고객의 78%는 지난해 애플리케이션 공격 사고를 경험했으며, 이러한 답변은 그 이전의 48%보다 훨씬 많아졌다. "점점 더 많은 기업들이 클라우드로 이전하고 있기 때문에 이러한 증가세는 그다지 놀랄 일은 아니다"고 얼럿로직의 제품 관리 담당 수석 이사인 라훌 박시는 밝혔다. 클라우드 환경에서도 인프라를 스캔하기 위한 시도 등 의심스러운 활동이 36% 늘어났으며 무차별 대입 공격도 27% 증가했다. 클라우드 도입에 대한 공격이 빠르게 증가하고 있지만 아직 사내 구축 인프라에 대한 공격만큼 많은 것은 아니었다. 가령 트로이 목마의 경우 클라우드 도입 고객은 평균 68건을 경험했지만 사내 구축 인프라 고객들은 108건을 경험한 것으로 나타났다. 무차별 대입 공격의 경우 클라우드 고객이 평균 101건을 목격한 것에 비해 사내 구축 인프라 고객은 이보다 약 2배인 201건을 목격한 것으로 파악됐다. --------------------------------------------------------------- 클라우드 보안 ->'미 정부 규제와 충돌하는 클라우드의 정보보호'••• 전문가들 지적 -> "5년 내 끔찍한 클라우드 재앙 유력" 워즈니악 ->EU, “클라우드에서 데이터 위치는 중요치 않다” -> 클라우드 도입, ‘고민과 두려움’에 대한 고찰 -> 가장 많이 알려진 클라우드 컴퓨팅 공통 이슈 7가지 ----------...

2015.10.13

"봇넷 트래픽 생성 1위는 미국, 피해 1위는 노르웨이" 레벨3 조사

네트워크 서비스 업체인 레벨3커뮤니케이션(Level 3 Communications)이 올 1분기 봇넷 활동을 분석한 결과를 발표했다. 레벨3의 보안 팀은 매일 약 13억 건의 보안 사고를 모니터링하며 대략 22개 건의 디도스 공격을 완화시키고 평균 1개의 컨트롤앤커맨트(C2) 서버 네트워크를 제거하는 것으로 나타났다. 레벨3는 최신 봇넷 조사 보고서에서 봇넷 활동, 디도스 공격, 악성코드에서 트렌드를 정의하기 위해 다른 데이터 피드와 자사의 위협 인텔리전스를 결합해 사용했다. 보고서의 일부를 소개한다. ciokr@idg.co.kr

조사 레벨3 국가별 통계 커맨드 앤 컨트롤 C2 봇넷 디도스 보안 사고 악성코드 아시아 유럽 북미 공격 남미 레벨3커뮤니케이션

2015.06.22

네트워크 서비스 업체인 레벨3커뮤니케이션(Level 3 Communications)이 올 1분기 봇넷 활동을 분석한 결과를 발표했다. 레벨3의 보안 팀은 매일 약 13억 건의 보안 사고를 모니터링하며 대략 22개 건의 디도스 공격을 완화시키고 평균 1개의 컨트롤앤커맨트(C2) 서버 네트워크를 제거하는 것으로 나타났다. 레벨3는 최신 봇넷 조사 보고서에서 봇넷 활동, 디도스 공격, 악성코드에서 트렌드를 정의하기 위해 다른 데이터 피드와 자사의 위협 인텔리전스를 결합해 사용했다. 보고서의 일부를 소개한다. ciokr@idg.co.kr

2015.06.22

칼럼 | 보안 문제를 해결하기 어려운 6가지 이유

지난해 역사상 최대 규모의 카드 정보 도난 사건이 밝혀진 여파로 타깃Target) CEO와 CIO가 사임할 당시, C레벨 인사들에게 일종의 경고문이 배달됐다는 인식이 퍼졌다. 기업 보안을 진지하게 고려하지 않을 경우에는 어떤 결과가 초래되는지 이미 명확하게 밝혀졌다. 그 이후에도 유명한 기업들의 데이터 유출 사건이 연이어 터졌다. 마이클스(Michaels), PF 챙(PF Chang’s), 커뮤니티 헬스 시스템(Community Health Systems), UPS, 데어리 퀸(Dairy Queen), 굿윌(Goodwill), 홈 디포(Home Depot), JP 모건 체이스(JP Morgan Chase), K마트(Kmart), 스테이플스(Staples), 그리고 최악의 오명을 뒤집어쓴 소니까지. 소니의 경우 소니 픽처스 임원 에이미 파스칼뿐만 아니라 소니라는 브랜드 자체도 치명타를 입었다. 이처럼 무차별 개인 정보 유출 사건이 난무하는데 어떻게 아무것도 바뀌지 않았을까? 인포월드(Inforwrold)의 기고자인 로저 그라임스가 반복해서 주장하는 바에 따르면, 이러한 공격을 차단할 수 있는 모범 사례는 정말로 명확하다. 소니는 2014년 사태 이전에도 해킹 침해에 취약한 것으로도 유명했다. 로저는 “대부분 기업에서의 전반적인 컴퓨터 보안은 한심한 수준”이라며, 소니의 침해 사건을 계기로 다시 한 번 모두에게 상기했다. 위에 언급한 데이터 유출 사건들 덕에 보안에 대한 인식은 상당히 높아졌다. 그런데도 올해 역시 대형 사건이 거의 확실히 일어날 것으로 관측된다. 그 이유는 무엇일까? 지금부터 보안 사건이 끊임없이 발생하는 원인에 대해 살펴보자. 1.경영진의 확률 도박 보안은 비용을 유발하고, 일반적인 운영에 부가적인 단계를 추가함으로써 생산성에도 지장을 초래한다. 위험을 낮춘 업적으로 업계 찬사를 받는 경영진은 없지만, 단기적인 수익성에 따른 평판은 달콤한데다, 최고 경영진 자리는 자주 바뀐다. 이들의 재임...

CIO CEO 보안 사고 타깃

2015.03.26

지난해 역사상 최대 규모의 카드 정보 도난 사건이 밝혀진 여파로 타깃Target) CEO와 CIO가 사임할 당시, C레벨 인사들에게 일종의 경고문이 배달됐다는 인식이 퍼졌다. 기업 보안을 진지하게 고려하지 않을 경우에는 어떤 결과가 초래되는지 이미 명확하게 밝혀졌다. 그 이후에도 유명한 기업들의 데이터 유출 사건이 연이어 터졌다. 마이클스(Michaels), PF 챙(PF Chang’s), 커뮤니티 헬스 시스템(Community Health Systems), UPS, 데어리 퀸(Dairy Queen), 굿윌(Goodwill), 홈 디포(Home Depot), JP 모건 체이스(JP Morgan Chase), K마트(Kmart), 스테이플스(Staples), 그리고 최악의 오명을 뒤집어쓴 소니까지. 소니의 경우 소니 픽처스 임원 에이미 파스칼뿐만 아니라 소니라는 브랜드 자체도 치명타를 입었다. 이처럼 무차별 개인 정보 유출 사건이 난무하는데 어떻게 아무것도 바뀌지 않았을까? 인포월드(Inforwrold)의 기고자인 로저 그라임스가 반복해서 주장하는 바에 따르면, 이러한 공격을 차단할 수 있는 모범 사례는 정말로 명확하다. 소니는 2014년 사태 이전에도 해킹 침해에 취약한 것으로도 유명했다. 로저는 “대부분 기업에서의 전반적인 컴퓨터 보안은 한심한 수준”이라며, 소니의 침해 사건을 계기로 다시 한 번 모두에게 상기했다. 위에 언급한 데이터 유출 사건들 덕에 보안에 대한 인식은 상당히 높아졌다. 그런데도 올해 역시 대형 사건이 거의 확실히 일어날 것으로 관측된다. 그 이유는 무엇일까? 지금부터 보안 사건이 끊임없이 발생하는 원인에 대해 살펴보자. 1.경영진의 확률 도박 보안은 비용을 유발하고, 일반적인 운영에 부가적인 단계를 추가함으로써 생산성에도 지장을 초래한다. 위험을 낮춘 업적으로 업계 찬사를 받는 경영진은 없지만, 단기적인 수익성에 따른 평판은 달콤한데다, 최고 경영진 자리는 자주 바뀐다. 이들의 재임...

2015.03.26

신간 인터뷰 | "모든 C-레벨의 2015년 화두는 정보보안" 강은성 대표

안랩의 연구소장과 시큐리티대응센터장을 거치고, SK커뮤니케이션즈의 최고보안책임자(CSO)를 역임한 강은성 대표가 새 책 <CxO가 알아야 할 정보보안(한빛미디어, 2015)>을 냈다. 강 대표는 현재 CISO Lab을 설립해 기업 차원의 보안위험 대응 전략을 탐구하여 기업 보안컨설팅과 보안교육을 진행하고 있으며, 이 책은 그 동안 강 대표가 현장에서 경험한 사례들을 바탕으로 C-레벨이라면 꼭 알아야 할 보안 관련 지식과 정보를 담았다. 다음은 강 대표와의 일문일답이다. CIO KR : 먼저 <CxO가 알아야 할 정보보안>을 쓰게 된 동기가 무엇인지? 강은성 대표(이하 강 대표) : 이제 기업에서 보안 위험은 재무, 법률, 평판, 기업 비밀 등 기업의 안정적 성장을 위협하는 중요한 위험 중의 하나가 되었다. 대기업 임원으로서 정보보호최고책임자(CISO)와 개인정보보호책임자(CPO)를 맡아 일하면서 기업 보안을 위해 수많은 일을 해 왔는데, 잘 하고 있는 건지 늘 고민이 많았다. 그러다 외부 기관에서 주관한 CISO 교육을 받고, 유사한 다른 교육을 분석해 보니 그러한 교육의 강점과 한계가 보여 기업의 CEO를 비롯한 임원, 정보보호책임자가 기업의 보안 위험을 최소화하는 데 꼭 필요하면서도 재미있게 읽을 수 있는 책을 쓰고 싶었다. CIO KR : <CxO가 알아야 할 정보보안>의 주요 내용을 간략하게 소개하자면? 강 대표 : 이 책은 필자 개인의 경험과 연구를 바탕으로 전ㆍ현직 정보보호책임자의 경험과 조언을 녹여서 CxO가 정보보안의 큰 그림을 그리면서 구체적인 도움을 얻을 수 있도록 구성하였다. 1장에서 정보보호책임자의 업무를 5가지 영역으로 분류하고, 그것을 2장부터 5장까지 설명했다. 2장에서는 경영적 관점에서 정보보호를 바라 보는 정보보호 거버넌스 영역을 기술했고, 3장에서는 보안위험과 보안대책을 탐구하는 관리체계 영역과 중요자산 보호 영역, 4장에서는 요즘 많은 기업에서 발생하는 정보보호 사건ㆍ...

CSO 홈데포 강은성 타깃 신간 CxO 보안 사고 악성코드 CISO 개인정보 보호 CxO가 알아야 할 정보보안

2015.01.07

안랩의 연구소장과 시큐리티대응센터장을 거치고, SK커뮤니케이션즈의 최고보안책임자(CSO)를 역임한 강은성 대표가 새 책 <CxO가 알아야 할 정보보안(한빛미디어, 2015)>을 냈다. 강 대표는 현재 CISO Lab을 설립해 기업 차원의 보안위험 대응 전략을 탐구하여 기업 보안컨설팅과 보안교육을 진행하고 있으며, 이 책은 그 동안 강 대표가 현장에서 경험한 사례들을 바탕으로 C-레벨이라면 꼭 알아야 할 보안 관련 지식과 정보를 담았다. 다음은 강 대표와의 일문일답이다. CIO KR : 먼저 <CxO가 알아야 할 정보보안>을 쓰게 된 동기가 무엇인지? 강은성 대표(이하 강 대표) : 이제 기업에서 보안 위험은 재무, 법률, 평판, 기업 비밀 등 기업의 안정적 성장을 위협하는 중요한 위험 중의 하나가 되었다. 대기업 임원으로서 정보보호최고책임자(CISO)와 개인정보보호책임자(CPO)를 맡아 일하면서 기업 보안을 위해 수많은 일을 해 왔는데, 잘 하고 있는 건지 늘 고민이 많았다. 그러다 외부 기관에서 주관한 CISO 교육을 받고, 유사한 다른 교육을 분석해 보니 그러한 교육의 강점과 한계가 보여 기업의 CEO를 비롯한 임원, 정보보호책임자가 기업의 보안 위험을 최소화하는 데 꼭 필요하면서도 재미있게 읽을 수 있는 책을 쓰고 싶었다. CIO KR : <CxO가 알아야 할 정보보안>의 주요 내용을 간략하게 소개하자면? 강 대표 : 이 책은 필자 개인의 경험과 연구를 바탕으로 전ㆍ현직 정보보호책임자의 경험과 조언을 녹여서 CxO가 정보보안의 큰 그림을 그리면서 구체적인 도움을 얻을 수 있도록 구성하였다. 1장에서 정보보호책임자의 업무를 5가지 영역으로 분류하고, 그것을 2장부터 5장까지 설명했다. 2장에서는 경영적 관점에서 정보보호를 바라 보는 정보보호 거버넌스 영역을 기술했고, 3장에서는 보안위험과 보안대책을 탐구하는 관리체계 영역과 중요자산 보호 영역, 4장에서는 요즘 많은 기업에서 발생하는 정보보호 사건ㆍ...

2015.01.07

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.13