Offcanvas

������

보안과 접근성 모두 잡는 해법?!··· 기업 내 ‘비밀 관리’ 안내서

오늘날의 엔터프라이즈 IT 환경은 지속적인 디지털 전환과 방대한 데이터 생성을 특징으로 한다. 한편 원격 및 모바일 작업이 팬데믹 이후의 세계에서 새로운 표준이 되면서 이동성과 민첩성은 비즈니스 연속성 측면에서 필수적인 과제로 부상했다. 각종 비즈니스 기능을 자동화 및 통합하고, 데이터 및 정보의 흐름을 중앙 집중화 및 가속화하며, 생산성을 향상하고, 더 나은 고객 환경을 제공하기 위해 조직은 복잡한 하이브리드 멀티 클라우드 운영 모델을 통해 애자일 데브옵스 환경을 구축하고 있다. 그러나 뛰어난 이동성과 데이터 접근성에는 대가가 따른다. 기업은 데이터, 서비스 및 PII의 보안을 유지하는 데 있어 점점 더 많은 과제에 직면하고 있다. 기술의 발전에도 불구하고, 매년 기록적인 수의 데이터 사고가 나타나는 이유이기도 하다. 전체 IT 인프라의 보안을 강화하는 동시에 직원이 디지털 리소스에 간단하게 액세스할 수 있도록 데이터 스토리지를 관리 및 보호 방법은 무엇일까? 그 해답 중 하나는 효과적인 비밀 관리다.   비밀 관리란 무엇이며 왜 필요한가? 비밀 관리(secrets management)는 전체 수명 주기 동안 디지털 인증 자격 증명(또는 ‘비밀’)을 안전하게 저장하고 액세스하고 관리하는 데 사용되는 적절한 툴 및 모범 준칙의 집합이다. 비밀은 암호, 공공 및 개인 암호화 키, SSH 키, API, 토큰 및 인증서를 비롯하여 인증 및 승인에 사용되는 각종 데이터 항목이다. 기계와 인간 모두 비밀을 인증하고 소통하기 위해 사용한다. 이러한 비밀 관리가 중요해진 이유는 무엇일까? SaaS 기반 비밀 관리 툴인 에이키리스(Akeyless)의 CEO이자 공동 설립자인 오디드 헤어븐은 다음과 같이 설명했다. “하이브리드 멀티 클라우드 인프라로의 보편적인 전환과 앱 컨테이너화에 대한 의존으로 인해 시스템과 데이터에 지속적으로 액세스해야 하는 기계와 인력 모두에 대한 필요성이 크게 증가했다. 예를 들어, 점점 더 많은 애플리케이션이 서로 다른 데이터...

비밀 기밀 제로트러스트 자격증명 인증성 비밀 스프롤 시크릿 제로 비밀 제로

2022.08.24

오늘날의 엔터프라이즈 IT 환경은 지속적인 디지털 전환과 방대한 데이터 생성을 특징으로 한다. 한편 원격 및 모바일 작업이 팬데믹 이후의 세계에서 새로운 표준이 되면서 이동성과 민첩성은 비즈니스 연속성 측면에서 필수적인 과제로 부상했다. 각종 비즈니스 기능을 자동화 및 통합하고, 데이터 및 정보의 흐름을 중앙 집중화 및 가속화하며, 생산성을 향상하고, 더 나은 고객 환경을 제공하기 위해 조직은 복잡한 하이브리드 멀티 클라우드 운영 모델을 통해 애자일 데브옵스 환경을 구축하고 있다. 그러나 뛰어난 이동성과 데이터 접근성에는 대가가 따른다. 기업은 데이터, 서비스 및 PII의 보안을 유지하는 데 있어 점점 더 많은 과제에 직면하고 있다. 기술의 발전에도 불구하고, 매년 기록적인 수의 데이터 사고가 나타나는 이유이기도 하다. 전체 IT 인프라의 보안을 강화하는 동시에 직원이 디지털 리소스에 간단하게 액세스할 수 있도록 데이터 스토리지를 관리 및 보호 방법은 무엇일까? 그 해답 중 하나는 효과적인 비밀 관리다.   비밀 관리란 무엇이며 왜 필요한가? 비밀 관리(secrets management)는 전체 수명 주기 동안 디지털 인증 자격 증명(또는 ‘비밀’)을 안전하게 저장하고 액세스하고 관리하는 데 사용되는 적절한 툴 및 모범 준칙의 집합이다. 비밀은 암호, 공공 및 개인 암호화 키, SSH 키, API, 토큰 및 인증서를 비롯하여 인증 및 승인에 사용되는 각종 데이터 항목이다. 기계와 인간 모두 비밀을 인증하고 소통하기 위해 사용한다. 이러한 비밀 관리가 중요해진 이유는 무엇일까? SaaS 기반 비밀 관리 툴인 에이키리스(Akeyless)의 CEO이자 공동 설립자인 오디드 헤어븐은 다음과 같이 설명했다. “하이브리드 멀티 클라우드 인프라로의 보편적인 전환과 앱 컨테이너화에 대한 의존으로 인해 시스템과 데이터에 지속적으로 액세스해야 하는 기계와 인력 모두에 대한 필요성이 크게 증가했다. 예를 들어, 점점 더 많은 애플리케이션이 서로 다른 데이터...

2022.08.24

회사 기밀 '줄줄' 샌다··· 깃허브 저장소에 숨겨진 데이터 유출 위험

공격자는 개발자가 실수로 남긴 ‘기밀’을 찾기 위해 깃허브와 같은 퍼블릭 코드 리포지토리를 끊임없이 검색한다. 아무리 사소한 실수라도 충분히 악용될 수 있다.  팬데믹 기간 중 어느 지루했던 날, 보안 연구원 크레이그 헤이스는 SSH 사용자 이름과 암호를 깃허브 저장소에 일부러 유출하고, 공격자가 이를 찾을 수 있는지 확인하는 실험을 했다. 그는 누군가가 이를 알아차리기까지 며칠, 어쩌면 일주일 정도 걸릴 것이라고 생각했다.  하지만 결과는 예상과는 달랐다. 첫 번째 무단 로그인은 34분 이내에 발생했다. 헤이스는 <CSO>와의 인터뷰에서 “너무나 빨리 침해됐다는 사실에 놀랐다”라고 말했다.    그리고 24시간 동안 6개의 서로 다른 IP 주소가 허니팟(비정상적 접근을 탐지하는 시스템)에 총 9번 연결됐다. 한 공격자는 봇넷 클라이언트를 설치하려고 했고, 또 다른 공격자는 서버를 사용해 DoS 공격을 하려 했다. 이 밖에 서버에서 민감한 정보를 훔치려고 하거나 주변을 둘러보고 있었던 공격자도 있었다고 그는 덧붙였다.  헤이스의 실험 결과에 따르면 공격자는 개발자가 남긴 민감한 데이터를 찾기 위해 깃허브 및 기타 퍼블릭 코드 저장소를 끊임없이 스캔하고 있는 것으로 확인됐다.  기업들이 온프레미스 소프트웨어에서 클라우드로 전환하고, 많은 개발자가 재택근무를 하게 되면서 사용자 이름, 암호, 구글 키, 개발 도구, 프라이빗 키를 포함한 기밀 데이터의 양은 계속 증가하고 있다.  프랑스의 보안 스타트업 깃가디언(GitGuardian)의 공동 설립자 에릭 푸리에는 올해만 해도 전년 대비 유출된 기밀 데이터가 최소 20% 이상 증가할 것이라고 밝혔다(참고로 깃가디언은 공개 저장소를 스캔하여 공격자가 악용할 수 있는 데이터를 식별하고 있다). 해커가 깃허브에서 기밀을 찾는 법  해커는 깃허브가 민감한 정보를 찾기에 좋은 장소라는 것을 알고 있다. 그리고 UN(United Na...

깃허브 퍼블릭 코드 저장소 보안 공격자 침해 기밀 유출 데이터 유출

2021.10.07

공격자는 개발자가 실수로 남긴 ‘기밀’을 찾기 위해 깃허브와 같은 퍼블릭 코드 리포지토리를 끊임없이 검색한다. 아무리 사소한 실수라도 충분히 악용될 수 있다.  팬데믹 기간 중 어느 지루했던 날, 보안 연구원 크레이그 헤이스는 SSH 사용자 이름과 암호를 깃허브 저장소에 일부러 유출하고, 공격자가 이를 찾을 수 있는지 확인하는 실험을 했다. 그는 누군가가 이를 알아차리기까지 며칠, 어쩌면 일주일 정도 걸릴 것이라고 생각했다.  하지만 결과는 예상과는 달랐다. 첫 번째 무단 로그인은 34분 이내에 발생했다. 헤이스는 <CSO>와의 인터뷰에서 “너무나 빨리 침해됐다는 사실에 놀랐다”라고 말했다.    그리고 24시간 동안 6개의 서로 다른 IP 주소가 허니팟(비정상적 접근을 탐지하는 시스템)에 총 9번 연결됐다. 한 공격자는 봇넷 클라이언트를 설치하려고 했고, 또 다른 공격자는 서버를 사용해 DoS 공격을 하려 했다. 이 밖에 서버에서 민감한 정보를 훔치려고 하거나 주변을 둘러보고 있었던 공격자도 있었다고 그는 덧붙였다.  헤이스의 실험 결과에 따르면 공격자는 개발자가 남긴 민감한 데이터를 찾기 위해 깃허브 및 기타 퍼블릭 코드 저장소를 끊임없이 스캔하고 있는 것으로 확인됐다.  기업들이 온프레미스 소프트웨어에서 클라우드로 전환하고, 많은 개발자가 재택근무를 하게 되면서 사용자 이름, 암호, 구글 키, 개발 도구, 프라이빗 키를 포함한 기밀 데이터의 양은 계속 증가하고 있다.  프랑스의 보안 스타트업 깃가디언(GitGuardian)의 공동 설립자 에릭 푸리에는 올해만 해도 전년 대비 유출된 기밀 데이터가 최소 20% 이상 증가할 것이라고 밝혔다(참고로 깃가디언은 공개 저장소를 스캔하여 공격자가 악용할 수 있는 데이터를 식별하고 있다). 해커가 깃허브에서 기밀을 찾는 법  해커는 깃허브가 민감한 정보를 찾기에 좋은 장소라는 것을 알고 있다. 그리고 UN(United Na...

2021.10.07

소중하다면 지켜야 한다··· ‘알고리즘’을 자산답게 보호하는 방법

알고리즘이 어느새 기업 기밀, 또는 특허에 준하는 가치를 지닌 자산으로 간주되고 있다. 알고리즘의 도난이나 유출을 막기 위해 기업이 취해야 할 단계를 알아본다.  광고 홍보 및 마케팅 대행사 오길비(Ogilvy)는 회사 특유의 비즈니스 문제 해결을 위해 RPA와 마이크로소프트 비전 AI를 통합하는 프로젝트를 진행 중이다. 최고 혁신 및 변화 책임자 유리 아귀아르는 프로젝트에서 나오는 알고리즘과 프로세스가 탈취되지 않도록 보호할 방법에 대해 벌써 고민 중이다. 아귀아르는 “특허를 출원할 만한 대상은 아니지만 당사에 경쟁적 우위를 제공하는 것은 사실이고 출시 기간을 대폭 줄여 준다”라며, “나는 알고리즘을 최신 소프트웨어 모듈로 본다. 알고리즘이 독점 저작물을 다룬다면 그에 준하게 보호해야 한다”고 덧붙였다.  지적재산 절도는 글로벌 기업들에게 큰 근심거리가 되었다. 2020년 2월 현재 FBI는 기술의 절도 미수 사건에 중국이 연루된 것과 관련해서만 약 1,000건의 수사를 진행 중이다. 지적재산 절도를 꾀하는 것은 국가 뿐만이 아니다. 경쟁업체, 직원, 협력업체가 공범인 경우도 많다. 보안 팀은 소프트웨어, 공학 설계, 마케팅 계획 등 지적재산을 보호하기 위한 조치를 주기적으로 취한다. 그런데 지적재산이 문서나 데이터베이스가 아니라 알고리즘이라면 어떻게 보호할까? 회사들이 디지털 트랜스포메이션 프로젝트를 실행함에 따라 자체 개발한 분석 기능이 중요한 차별화 요소로 자리잡고 있다. 다행히 알고리즘도 법적으로 보호받을 수 있는 지적재산에 포함되도록 법이 바뀌고 있다.   알고리즘을 특허 취득하고 영업기밀로 분류 다년간 비즈니스 분야 변호인들은 기업이 알고리즘에 대해 특허 취득할 수 없다는 주장을 펼치곤 했다. 그러나 전통적인 알고리즘과 달리 AI와 ML은 프로그래머의 개입 없이 소프트웨어의 업데이트와 이전 결과로부터의 ‘학습’이 가능한 알고리즘을 필요로 하며, 이로부터 기업의 경쟁우위가 생겨날 수 있다. 로웬스타인 샌들러(...

알고리즘 특허 자산 기밀 제로 트러스트 알고리즘 워터마크 절도 누출 탈취

2020.07.15

알고리즘이 어느새 기업 기밀, 또는 특허에 준하는 가치를 지닌 자산으로 간주되고 있다. 알고리즘의 도난이나 유출을 막기 위해 기업이 취해야 할 단계를 알아본다.  광고 홍보 및 마케팅 대행사 오길비(Ogilvy)는 회사 특유의 비즈니스 문제 해결을 위해 RPA와 마이크로소프트 비전 AI를 통합하는 프로젝트를 진행 중이다. 최고 혁신 및 변화 책임자 유리 아귀아르는 프로젝트에서 나오는 알고리즘과 프로세스가 탈취되지 않도록 보호할 방법에 대해 벌써 고민 중이다. 아귀아르는 “특허를 출원할 만한 대상은 아니지만 당사에 경쟁적 우위를 제공하는 것은 사실이고 출시 기간을 대폭 줄여 준다”라며, “나는 알고리즘을 최신 소프트웨어 모듈로 본다. 알고리즘이 독점 저작물을 다룬다면 그에 준하게 보호해야 한다”고 덧붙였다.  지적재산 절도는 글로벌 기업들에게 큰 근심거리가 되었다. 2020년 2월 현재 FBI는 기술의 절도 미수 사건에 중국이 연루된 것과 관련해서만 약 1,000건의 수사를 진행 중이다. 지적재산 절도를 꾀하는 것은 국가 뿐만이 아니다. 경쟁업체, 직원, 협력업체가 공범인 경우도 많다. 보안 팀은 소프트웨어, 공학 설계, 마케팅 계획 등 지적재산을 보호하기 위한 조치를 주기적으로 취한다. 그런데 지적재산이 문서나 데이터베이스가 아니라 알고리즘이라면 어떻게 보호할까? 회사들이 디지털 트랜스포메이션 프로젝트를 실행함에 따라 자체 개발한 분석 기능이 중요한 차별화 요소로 자리잡고 있다. 다행히 알고리즘도 법적으로 보호받을 수 있는 지적재산에 포함되도록 법이 바뀌고 있다.   알고리즘을 특허 취득하고 영업기밀로 분류 다년간 비즈니스 분야 변호인들은 기업이 알고리즘에 대해 특허 취득할 수 없다는 주장을 펼치곤 했다. 그러나 전통적인 알고리즘과 달리 AI와 ML은 프로그래머의 개입 없이 소프트웨어의 업데이트와 이전 결과로부터의 ‘학습’이 가능한 알고리즘을 필요로 하며, 이로부터 기업의 경쟁우위가 생겨날 수 있다. 로웬스타인 샌들러(...

2020.07.15

"내부자 위협까지 막는다" 애저 기밀 컴퓨팅의 이해

현대적인 클라우드 네이티브 애플리케이션을 만들고 실행하는 데는 위험이 따른다. 큰 위험요소 중 하나는 몇 명인지 모를 다른 사용자와 컴퓨팅 자원을 공유한다는 점이다. 메모리와 CPU가 공유되고, 데이터가 우발적으로 경계선을 넘어, 조직 외부에서 액세스가 가능한 지점으로 유출될 가능성이 상존한다.   우발적이라 해도 유출은 유출이다. 애저 또는 다른 클라우드 플랫폼을 사용해서 개인 식별 정보를 다루거나 자체 금융 데이터를 처리하는 경우, 유출은 곧 규정 위반이 된다. 사용자나 금융 데이터만 위험한 것이 아니다. 코드 역시 지적 재산이며 미래의 사업 운영을 위한 중요한 자산이다. 아무리 잘 관리하는 시스템이라 해도 오류는 발생하며, 네트워킹 문제나 컨테이너 장애로 인해 애플리케이션의 메모리가 외부로 노출될 수 있다. 악의적인 행위자의 위험도 있다. 애저는 프로세서 캐시를 통해 데이터를 유출할 수 있는 것으로 알려진 CPU 수준의 버그를 수정하기 위해 서버를 패치했지만, 마이크로코드 수준의 문제는 계속해서 발견되는 중이다. 따라서 정부의 후원을 받거나 조직화된 사이버 범죄자가 이런 문제를 사용해서 클라우드 테넌트를 염탐할 것임을 충분히 예상할 수 있다. 애저의 사이버 보안 인프라는 최고 수준이다. 다양한 신호를 사용해서 머신러닝 기반 위협 탐지로 악의적인 활동을 찾고 조사해야 할 영역을 신속하게 파악한다. 보안과 암호화는 기본 플랫폼에 내장돼 있다. 그러나 일부 고객은 기본 보안 이상, 가능한 한 최상의 보안을 원한다. 최첨단 금융 기술을 클라우드에 구축하거나 클라우드를 사용해서 건강 데이터를 처리하고 관리하는 기업들이다. 정부 또는 군대도 그렇다.   애저 기밀 컴퓨팅의 등장 기본적으로 애저는 보관 중일 때와 이동 중일 때 데이터의 안전을 확보한다. 사용자는 암호화된 스토리지와 네트워크 연결에는 익숙하지만, 정작 유출 위험이 가장 높은 곳에서는 암호화를 풀고 원시 상태로 데이터를 처리해야 한다. 기밀 컴퓨팅 개념은 바로 이 문제를 처리한다...

마이크로소프트 애저 기밀 격리 TEE 컨피센셜

2020.03.06

현대적인 클라우드 네이티브 애플리케이션을 만들고 실행하는 데는 위험이 따른다. 큰 위험요소 중 하나는 몇 명인지 모를 다른 사용자와 컴퓨팅 자원을 공유한다는 점이다. 메모리와 CPU가 공유되고, 데이터가 우발적으로 경계선을 넘어, 조직 외부에서 액세스가 가능한 지점으로 유출될 가능성이 상존한다.   우발적이라 해도 유출은 유출이다. 애저 또는 다른 클라우드 플랫폼을 사용해서 개인 식별 정보를 다루거나 자체 금융 데이터를 처리하는 경우, 유출은 곧 규정 위반이 된다. 사용자나 금융 데이터만 위험한 것이 아니다. 코드 역시 지적 재산이며 미래의 사업 운영을 위한 중요한 자산이다. 아무리 잘 관리하는 시스템이라 해도 오류는 발생하며, 네트워킹 문제나 컨테이너 장애로 인해 애플리케이션의 메모리가 외부로 노출될 수 있다. 악의적인 행위자의 위험도 있다. 애저는 프로세서 캐시를 통해 데이터를 유출할 수 있는 것으로 알려진 CPU 수준의 버그를 수정하기 위해 서버를 패치했지만, 마이크로코드 수준의 문제는 계속해서 발견되는 중이다. 따라서 정부의 후원을 받거나 조직화된 사이버 범죄자가 이런 문제를 사용해서 클라우드 테넌트를 염탐할 것임을 충분히 예상할 수 있다. 애저의 사이버 보안 인프라는 최고 수준이다. 다양한 신호를 사용해서 머신러닝 기반 위협 탐지로 악의적인 활동을 찾고 조사해야 할 영역을 신속하게 파악한다. 보안과 암호화는 기본 플랫폼에 내장돼 있다. 그러나 일부 고객은 기본 보안 이상, 가능한 한 최상의 보안을 원한다. 최첨단 금융 기술을 클라우드에 구축하거나 클라우드를 사용해서 건강 데이터를 처리하고 관리하는 기업들이다. 정부 또는 군대도 그렇다.   애저 기밀 컴퓨팅의 등장 기본적으로 애저는 보관 중일 때와 이동 중일 때 데이터의 안전을 확보한다. 사용자는 암호화된 스토리지와 네트워크 연결에는 익숙하지만, 정작 유출 위험이 가장 높은 곳에서는 암호화를 풀고 원시 상태로 데이터를 처리해야 한다. 기밀 컴퓨팅 개념은 바로 이 문제를 처리한다...

2020.03.06

산업 스파이·악의적 직원으로부터 기밀을 보호하는 방법

일부 스파이들은 기업 기밀을 탈취하기 위해 ‘취업’을 이용한다. 어떤 이들은 다른 일자리를 알아보기 위해 가능한 많은 회사 정보를 갖고 떠나야 한다는 유혹에 빠지기도 한다. 이는 무슨 말일까? 배신자를 색출하고 민감한 데이터에 대한 접근을 제한하고자 하는 노력만으로는 충분하지 않을 수 있다는 의미다. CSO온라인닷컴은 이런 정보 슬리퍼 에이전트(Sleeper Agent)에 대한 장벽은 무엇인지, 산업 스파이가 보호체계를 통과하는 방법은 어떤 것들이 있는지, 보안 책임자들이 데이터 저장소를 안전하게 보호할 수 있는 기술적인 방법으로는 어떤 것들이 가능한지에 대해 주목해봤다. "진입" 때때로 산업 스파이는 자신의 의도를 숨긴 채 순수하게 일자리를 찾는 것처럼 속여 다른 조직으로부터 진입한다. 이를 막기 위해서는 경쟁사 출신 직원을 막아야 할까? 그러나 경쟁사 출신의 직원을 전적으로 배제하는 것은 불가능에 가깝다. 때로는 오히려 경쟁사 출신의 직원이 소중한 자산일 수 있다. 그 긍정적인 효과를 감안하면 경쟁사 출신을 배제하는 것이 바람직하지 못한 조치일 수 있다. "경쟁사의 직원은 기업이 원하는 기술, 시장 지식, 경험이 있기 때문에 훌륭한 후보감이다"고 보메트릭(Vormetric)의 CSO 솔 케이츠는 말했다. 사기 취업자 방지 노력은? 대다수 기업은 간단한 신상 및 추천 확인만 실시할 뿐 숨겨진 동기를 찾아내려 노력하지는 않는다. "기밀 정보를 주기적으로 취급하는 일부 정부 협력사들조차도 보안 확인 절차를 통해 제공한 신상정보 확인에만 전적으로 의존할 뿐 추가적인 확인 절차를 실시하지 않는다"라고 DBWIG(Dinolt, Becnel, & Wells Investigative Group)의 경영 파트너 필립 벡넬은 진단했다. 방법 중 하나는 이전의 고용주가 지원자를 기업 데이터 및 IP(Intellectual Property) 간첩행위로 고소한 ...

데이터 보안 HR 누출 직원 기밀 산업 스파이

2015.02.05

일부 스파이들은 기업 기밀을 탈취하기 위해 ‘취업’을 이용한다. 어떤 이들은 다른 일자리를 알아보기 위해 가능한 많은 회사 정보를 갖고 떠나야 한다는 유혹에 빠지기도 한다. 이는 무슨 말일까? 배신자를 색출하고 민감한 데이터에 대한 접근을 제한하고자 하는 노력만으로는 충분하지 않을 수 있다는 의미다. CSO온라인닷컴은 이런 정보 슬리퍼 에이전트(Sleeper Agent)에 대한 장벽은 무엇인지, 산업 스파이가 보호체계를 통과하는 방법은 어떤 것들이 있는지, 보안 책임자들이 데이터 저장소를 안전하게 보호할 수 있는 기술적인 방법으로는 어떤 것들이 가능한지에 대해 주목해봤다. "진입" 때때로 산업 스파이는 자신의 의도를 숨긴 채 순수하게 일자리를 찾는 것처럼 속여 다른 조직으로부터 진입한다. 이를 막기 위해서는 경쟁사 출신 직원을 막아야 할까? 그러나 경쟁사 출신의 직원을 전적으로 배제하는 것은 불가능에 가깝다. 때로는 오히려 경쟁사 출신의 직원이 소중한 자산일 수 있다. 그 긍정적인 효과를 감안하면 경쟁사 출신을 배제하는 것이 바람직하지 못한 조치일 수 있다. "경쟁사의 직원은 기업이 원하는 기술, 시장 지식, 경험이 있기 때문에 훌륭한 후보감이다"고 보메트릭(Vormetric)의 CSO 솔 케이츠는 말했다. 사기 취업자 방지 노력은? 대다수 기업은 간단한 신상 및 추천 확인만 실시할 뿐 숨겨진 동기를 찾아내려 노력하지는 않는다. "기밀 정보를 주기적으로 취급하는 일부 정부 협력사들조차도 보안 확인 절차를 통해 제공한 신상정보 확인에만 전적으로 의존할 뿐 추가적인 확인 절차를 실시하지 않는다"라고 DBWIG(Dinolt, Becnel, & Wells Investigative Group)의 경영 파트너 필립 벡넬은 진단했다. 방법 중 하나는 이전의 고용주가 지원자를 기업 데이터 및 IP(Intellectual Property) 간첩행위로 고소한 ...

2015.02.05

'애플이 가짜 프로젝트로 직원 충성도 시험?' 허위 주장으로 밝혀져

애플이 신규 직원들에게 '가짜 제품'을 테스트하도록 함으로써 그들의 신뢰성을 테스트하고 있다는 주장이 신빙성을 잃었다. 아담 라신스키는 지난 해 1월 발간한 '인사이드 애플 : 미국에서 가장 존경받는 - 그리고 비밀스러운 - 기업의 경영법'이라는 책을 통해 이같이 주장했던 바 있다. 저자인 라신스키는 애플의 직원들이 공식 합류에 앞서 이른바 더미 직책, 역할 등에 할당된다며, 애플의 비밀을 보호하기 위한 조치라고 기술했던 바 있다. 이 주장은 일부 독자들이 '가짜 제품'에 근무하는 누군가를 알고 있다고 주장하면서 확장됐었다. 그러나 아스 테크니카의 기자인 재퀴 쳉은 이러한 주장이 틀렸다는 사실을 알아냈다고 보도했다. 그녀가 이야기한 현직, 전직 애플 지원들은 이러한 가짜 제품군에 시간을 낭비한 바 없다고 응답했던 것. 그녀에 따르면 인터뷰한 애플의 직원은 애플의 비공개 사규를 언급하며, 만약 기밀이 누설될 경우 애플은 출처를 확인하기 위해 모든 인물을 조사한다고 전했다. 또 애플은 군대, CIA, FBI 출신으로 구성된 보안 요원을 배치해 엄중히 기밀을 관리함으로써 보안을 지켜내고 있다고 보도했다. 그녀가 인터뷰한 애플 직원들에 따르면, 기술 누설이 발생할 경우 보안 팀이 확인하기 전까지 직원들은 사무실을 벗어날 수 없으며 이 같은 경우는 2년에 한번 정도 발생할 정도로 드물었다. 아스 테크니카는 실제로 애플 관련 기밀이 누설된 경우는 아시아 생산 외주 업체에서 종종 발생했을 따름이라고 전했다. 이 미디어는 마지막으로 라신스키가 '서툰 문구'를 이용해 오해가 있었으며, 그가 실제로 의도했던 단어는 '구체화되지 않은' 프로젝트나 '임시직'이었다고 인정했다고 전했다. ciokr@idg.co.kr

애플 루머 기밀 직원 관리 허위 비밀

2013.02.19

애플이 신규 직원들에게 '가짜 제품'을 테스트하도록 함으로써 그들의 신뢰성을 테스트하고 있다는 주장이 신빙성을 잃었다. 아담 라신스키는 지난 해 1월 발간한 '인사이드 애플 : 미국에서 가장 존경받는 - 그리고 비밀스러운 - 기업의 경영법'이라는 책을 통해 이같이 주장했던 바 있다. 저자인 라신스키는 애플의 직원들이 공식 합류에 앞서 이른바 더미 직책, 역할 등에 할당된다며, 애플의 비밀을 보호하기 위한 조치라고 기술했던 바 있다. 이 주장은 일부 독자들이 '가짜 제품'에 근무하는 누군가를 알고 있다고 주장하면서 확장됐었다. 그러나 아스 테크니카의 기자인 재퀴 쳉은 이러한 주장이 틀렸다는 사실을 알아냈다고 보도했다. 그녀가 이야기한 현직, 전직 애플 지원들은 이러한 가짜 제품군에 시간을 낭비한 바 없다고 응답했던 것. 그녀에 따르면 인터뷰한 애플의 직원은 애플의 비공개 사규를 언급하며, 만약 기밀이 누설될 경우 애플은 출처를 확인하기 위해 모든 인물을 조사한다고 전했다. 또 애플은 군대, CIA, FBI 출신으로 구성된 보안 요원을 배치해 엄중히 기밀을 관리함으로써 보안을 지켜내고 있다고 보도했다. 그녀가 인터뷰한 애플 직원들에 따르면, 기술 누설이 발생할 경우 보안 팀이 확인하기 전까지 직원들은 사무실을 벗어날 수 없으며 이 같은 경우는 2년에 한번 정도 발생할 정도로 드물었다. 아스 테크니카는 실제로 애플 관련 기밀이 누설된 경우는 아시아 생산 외주 업체에서 종종 발생했을 따름이라고 전했다. 이 미디어는 마지막으로 라신스키가 '서툰 문구'를 이용해 오해가 있었으며, 그가 실제로 의도했던 단어는 '구체화되지 않은' 프로젝트나 '임시직'이었다고 인정했다고 전했다. ciokr@idg.co.kr

2013.02.19

"IT 인력 20%, 임원 기밀정보에 접근한 적 있다"

IT 인력의 40%가 승인받지 않은 채 민감한 정보에 접근한 적 있는 것으로 조사됐다. 특히 20%는 임원의 대외비 데이터를 열어본 경험이 있다고 응답했다. 보안 소프트웨어 기업 리버만 소프트웨어가 450명의 IT 전문가를 대상으로 조사한 연구에서 도출된 결과였다. 또 조직 내 IT 인력은 대부분 기업 내부 네트워크를 별도의 승인절차 없이 탐색할 수 있는 것으로 보고됐다. 68%의 응답자가 HR, 파이낸스, 임원진보다 민감한 정보에 더 많이 접근할 수 있다고 대답했다. 기업 내부로부터의 데이터 유출 가능성에 경종을 울리는 조사인 셈이다. 특히 11%의 응답자는 일자리가 위험해지는 경우 자신의 관리자적 권한을 이용해 정리해고 리스트와 같은 민감한 파일을 엿볼 의향이 있다고 응답했다. 또 이 중 1/3의 응답자는 자신들의 상사가 이를 막을 방법을 모른다고 밝혔다. 리버맨 소프트웨어의 필립 리버맨 CEO는 "여기서 알 수 있는 진실은 강력한 관리자 계정이 남용될 수 있다는 것"이라며, "시스템과 절차를 확립하고 데이터를 보호할 필요가 있다"라고 강조했다. 그는 이어 다음 4가지 절차를 통해 내부로부터의 위협을 경감시킬 수 있다고 설명했다. 1. 핵심 IT 자산, 특권 계정, 이들 간의 상호의존성을 규정하고 문서화하라 2. 특권 대리인 계정에 접근 권한을 위임하라. 이를 통해 적합한 인물이라도 필요할 때만 특권을 이용함으로써 IT 자산에 접속할 수 잇도록 하라. 3. 암호와 관련해 복잡성, 다양성, 변경 주기 등에 대한 규칙을 분명히 하라. 4. 특권 계정에의 요청 및 이용 시간, 신청자, 목적 등을 문서화하고 정기적으로 검토하라. ciokr@idg.co.kr

데이터 IT인력 유출 정보 관리자 기밀

2012.09.13

IT 인력의 40%가 승인받지 않은 채 민감한 정보에 접근한 적 있는 것으로 조사됐다. 특히 20%는 임원의 대외비 데이터를 열어본 경험이 있다고 응답했다. 보안 소프트웨어 기업 리버만 소프트웨어가 450명의 IT 전문가를 대상으로 조사한 연구에서 도출된 결과였다. 또 조직 내 IT 인력은 대부분 기업 내부 네트워크를 별도의 승인절차 없이 탐색할 수 있는 것으로 보고됐다. 68%의 응답자가 HR, 파이낸스, 임원진보다 민감한 정보에 더 많이 접근할 수 있다고 대답했다. 기업 내부로부터의 데이터 유출 가능성에 경종을 울리는 조사인 셈이다. 특히 11%의 응답자는 일자리가 위험해지는 경우 자신의 관리자적 권한을 이용해 정리해고 리스트와 같은 민감한 파일을 엿볼 의향이 있다고 응답했다. 또 이 중 1/3의 응답자는 자신들의 상사가 이를 막을 방법을 모른다고 밝혔다. 리버맨 소프트웨어의 필립 리버맨 CEO는 "여기서 알 수 있는 진실은 강력한 관리자 계정이 남용될 수 있다는 것"이라며, "시스템과 절차를 확립하고 데이터를 보호할 필요가 있다"라고 강조했다. 그는 이어 다음 4가지 절차를 통해 내부로부터의 위협을 경감시킬 수 있다고 설명했다. 1. 핵심 IT 자산, 특권 계정, 이들 간의 상호의존성을 규정하고 문서화하라 2. 특권 대리인 계정에 접근 권한을 위임하라. 이를 통해 적합한 인물이라도 필요할 때만 특권을 이용함으로써 IT 자산에 접속할 수 잇도록 하라. 3. 암호와 관련해 복잡성, 다양성, 변경 주기 등에 대한 규칙을 분명히 하라. 4. 특권 계정에의 요청 및 이용 시간, 신청자, 목적 등을 문서화하고 정기적으로 검토하라. ciokr@idg.co.kr

2012.09.13

기밀 데이터, 삭제할 것인가 보관할 것인가

기업이 기밀 데이터를 도난 당하지 않는 유일한 방법은 삭제뿐이다. 그러나 보안 전문가들은 이를 실천에 옮기는 기업은 소수에 불과하다고 지적한다.   알란 브릴 크롤 어드바이저리 솔루션스 수석 관리 이사는 최근 다크 리딩(Dark Reading)과 가진 한 인터뷰에서 "기밀 데이터가 없다면 훔칠 방법도 없다"는 말을 한 바 있다.   그러나 말처럼 쉽지는 않은 게 현실이다. 또한 불행히도 이런 생각을 실천에 옮기는 기업도 많지 않다.   체스터 위즈니스키 소포스 수석 보안 컨설턴트는 "이는 중요한 문제"라고 말했다. 위즈니스키는 "디지털 시대에 많은 기업들은 사용자와 고객에 대한 방대한 정보를 수집한다. 그리고 미래에 쓸모가 있을 것이라고 판단해 이를 감춰두곤 한다. 이로 인해 필요 이상으로 데이터 침해 사고가 일어나곤 한다. 기업이 자신들의 정보를 비축해두고 있기 때문"이라고 설명했다.   위즈니스키는 기밀 데이터 삭제가 '일상 업무'가 돼야 한다고 주장했다. 그러나 최초 데이터 구조 설계에 반영되지 않았다면 이는 어려운 문제다. 이런 문제가 발생하는 이유 가운데 하나는 정보를 비축해두는 것이 저렴하고 쉽기 때문이다. 디지털 시대인 만큼 파일 캐비넷에 공간이 없을까 걱정하는 등의 문제는 없다.   위즈니스키는 "사람들은 비축해 둔 데이터가 언젠가는 큰 값어치를 할 금광이라고 생각한다. 또한 보관에 문제도 없다. 과거와는 달리 많은 정보를 비축해두는 것이 너무 쉬어졌다. 그러나 이를 수집하는 책임을 진 사람들 가운데 정보 도난이 얼마나 쉬울지 이해하고 있는 사람들이 많지 않은 실정"이라고 지적했다.   딘 곤소우스키 시만텍 수석 e디스커버리 컨설턴트는 다크 리딩과의 인터뷰에서, 수집한 정보가 늘어나는 동시에 위험도 커진다고 강조했다. 데이터 침해 위험, 법과 규제를 준수하지 못했을 때의 문제들, 만약 판...

데이터 CSO 저장 삭제 기밀

2012.05.31

기업이 기밀 데이터를 도난 당하지 않는 유일한 방법은 삭제뿐이다. 그러나 보안 전문가들은 이를 실천에 옮기는 기업은 소수에 불과하다고 지적한다.   알란 브릴 크롤 어드바이저리 솔루션스 수석 관리 이사는 최근 다크 리딩(Dark Reading)과 가진 한 인터뷰에서 "기밀 데이터가 없다면 훔칠 방법도 없다"는 말을 한 바 있다.   그러나 말처럼 쉽지는 않은 게 현실이다. 또한 불행히도 이런 생각을 실천에 옮기는 기업도 많지 않다.   체스터 위즈니스키 소포스 수석 보안 컨설턴트는 "이는 중요한 문제"라고 말했다. 위즈니스키는 "디지털 시대에 많은 기업들은 사용자와 고객에 대한 방대한 정보를 수집한다. 그리고 미래에 쓸모가 있을 것이라고 판단해 이를 감춰두곤 한다. 이로 인해 필요 이상으로 데이터 침해 사고가 일어나곤 한다. 기업이 자신들의 정보를 비축해두고 있기 때문"이라고 설명했다.   위즈니스키는 기밀 데이터 삭제가 '일상 업무'가 돼야 한다고 주장했다. 그러나 최초 데이터 구조 설계에 반영되지 않았다면 이는 어려운 문제다. 이런 문제가 발생하는 이유 가운데 하나는 정보를 비축해두는 것이 저렴하고 쉽기 때문이다. 디지털 시대인 만큼 파일 캐비넷에 공간이 없을까 걱정하는 등의 문제는 없다.   위즈니스키는 "사람들은 비축해 둔 데이터가 언젠가는 큰 값어치를 할 금광이라고 생각한다. 또한 보관에 문제도 없다. 과거와는 달리 많은 정보를 비축해두는 것이 너무 쉬어졌다. 그러나 이를 수집하는 책임을 진 사람들 가운데 정보 도난이 얼마나 쉬울지 이해하고 있는 사람들이 많지 않은 실정"이라고 지적했다.   딘 곤소우스키 시만텍 수석 e디스커버리 컨설턴트는 다크 리딩과의 인터뷰에서, 수집한 정보가 늘어나는 동시에 위험도 커진다고 강조했다. 데이터 침해 위험, 법과 규제를 준수하지 못했을 때의 문제들, 만약 판...

2012.05.31

IDG 설문조사

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.31