Offcanvas

���������������������������������������������

'신뢰하되 검증하라' 서드파티 위험 관리 착수 가이드

포괄적인 서드파티 위험 관리(Third-Party Risk Management, TPRM) 프로그램을 시작한다고 하면 비현실적인 버킷 리스트 중에서도 마지막 작업 정도로 생각하는 사람들이 있다. 따지고 보면 오늘날 대부분의 조직은 수십, 수백, 수천 개의 서드파티 공급업체와 관계를 맺고 있다. 이런 상황에서 위험 관리를 언제, 어떻게, 어디서부터 시작해야 할지 난감할 때가 있다.    그러나 흔히 말하듯 공급사슬의 강도는 가장 약한 고리에 의해 결정된다. 따라서 각각의 모든 연결 고리의 보안이 얼마나 강력한 지를 반드시 알아야 한다. 기업의 데이터 보안은 다른 조직의 보안에 따라 좌우되기 쉽기 때문이다. 그 증거로 2017년 감사 위원회 리더십 네트워크(Audit Committee Leadership Network)에서 약 400개의 민간 및 공공 조직을 대상으로 실시한 설문을 보자. 설문에 응한 조직의 2/3는 5,000개 이상의 서드파티 관계를 맺고 있다. 일부 조직에서는 이런 서드파티 공급업체가 침투를 노리는 해커를 위한 열린 뒷문 역할을 할 수 있다. 최근 사례로, 에어버스 SE(Airbus SE)는 지난 9월 협력업체의 컴퓨터 시스템을 통한 사이버 공격으로부터 시스템을 보호하기 위한 새로운 조치를 취할 것이라고 발표했다. 올해 초 해커들은 에어버스 SE의 직원 개인 정보를 탈취하기 위해 에어버스 SE의 공급업체 중에서 롤스로이스 홀딩스(Rolls-Royce Holdings Plc)와 익스플레오(Expleo)를 공격했다.  사이버보안 위협과 인식이 함께 높아지면서 정보 보안 전문가들은 공급업체와 파트너 측의 부족한 보안 부분을 상쇄하기 위해 모든 시스템과 네트워크를 더욱 강력하게 보호해야 하는 상황에 직면해 있다. 게다가 많은 경우 리소스와 인력도 부족하다. 결국 강력한 서드파티 위험 관리 프로그램이 그만큼 중요하다. 성공적인 서드파티 위험 관리 프로그램의 5단계 실제 프로그램 측면에서 IT 보안 전문가는 2017년...

가이드라인 서드파티 위험관리 TPRM 서드파티위험관리

2019.10.24

포괄적인 서드파티 위험 관리(Third-Party Risk Management, TPRM) 프로그램을 시작한다고 하면 비현실적인 버킷 리스트 중에서도 마지막 작업 정도로 생각하는 사람들이 있다. 따지고 보면 오늘날 대부분의 조직은 수십, 수백, 수천 개의 서드파티 공급업체와 관계를 맺고 있다. 이런 상황에서 위험 관리를 언제, 어떻게, 어디서부터 시작해야 할지 난감할 때가 있다.    그러나 흔히 말하듯 공급사슬의 강도는 가장 약한 고리에 의해 결정된다. 따라서 각각의 모든 연결 고리의 보안이 얼마나 강력한 지를 반드시 알아야 한다. 기업의 데이터 보안은 다른 조직의 보안에 따라 좌우되기 쉽기 때문이다. 그 증거로 2017년 감사 위원회 리더십 네트워크(Audit Committee Leadership Network)에서 약 400개의 민간 및 공공 조직을 대상으로 실시한 설문을 보자. 설문에 응한 조직의 2/3는 5,000개 이상의 서드파티 관계를 맺고 있다. 일부 조직에서는 이런 서드파티 공급업체가 침투를 노리는 해커를 위한 열린 뒷문 역할을 할 수 있다. 최근 사례로, 에어버스 SE(Airbus SE)는 지난 9월 협력업체의 컴퓨터 시스템을 통한 사이버 공격으로부터 시스템을 보호하기 위한 새로운 조치를 취할 것이라고 발표했다. 올해 초 해커들은 에어버스 SE의 직원 개인 정보를 탈취하기 위해 에어버스 SE의 공급업체 중에서 롤스로이스 홀딩스(Rolls-Royce Holdings Plc)와 익스플레오(Expleo)를 공격했다.  사이버보안 위협과 인식이 함께 높아지면서 정보 보안 전문가들은 공급업체와 파트너 측의 부족한 보안 부분을 상쇄하기 위해 모든 시스템과 네트워크를 더욱 강력하게 보호해야 하는 상황에 직면해 있다. 게다가 많은 경우 리소스와 인력도 부족하다. 결국 강력한 서드파티 위험 관리 프로그램이 그만큼 중요하다. 성공적인 서드파티 위험 관리 프로그램의 5단계 실제 프로그램 측면에서 IT 보안 전문가는 2017년...

2019.10.24

기업의 소셜미디어 정책 수립 시 넣어야 할 3가지

페이스북, 인스타그램, 링크드인, 트위터에 할애하는 시간이 늘면서 소셜미디어가 점점 더 우리의 삶을 지배하게 됐다. 사무실 내외부에서 임직원이 소셜미디어를 어떻게 사용하는지 확신할 수 없는 상태에서 소셜미디어의 부상은 수많은 회사를 위험에 빠뜨리게 할 수도 있다.    기업은 소셜미디어 정책을 고안하여 직원들이 소셜미디어를 어떻게 사용해야 하는지 지침을 제시해야 한다. CIO가 소셜미디어 정책을 수립해야 하는 이유와 일반적으로 CIO가 주로 다뤄야 하는 분야를 알아보자.   소셜미디어 정책을 도입해야 하는 이유 임직원이 소셜미디어를 좋아하든 아니든 상관없이 소셜미디어를 사용하려고 한다. 소셜미디어 사용이 꼭 나쁜 것은 아니다. 근무 시간 중에 인스타그램을 스크롤하는 것이 바람직하지는 않지만, 가장 적극적으로 참여하는 직원이 사무실에서 경험을 사전에 공유하여 온라인에서 회사 인지도를 높일 수 있다. 직장에서 직원의 소셜미디어 사용을 규제할 때, 지켜야 할 선이 있다. 문제가 생기기 전에 소셜미디어 사용에 대한 독재적인 태도를 보임으로써 직원을 자발적으로 위압적으로 보지 않으려고 하지 마라. 대부분 직원은 페이스북이나 메시지를 확인하기 위해 잠시 휴식을 취할 수 있지만 이것이 반드시 문제가 되는 것은 아니다. 사실, 많은 직원은 간헐적인 간격으로 직장에서 정신적으로 잠시 쉬는 시간을 가질 때 훨씬 더 효율적으로 일할 수 있는 것으로 알려졌다. 그러나 일부 직원의 경우 명확한 지침이 없으면 반복적으로 소셜미디어에 들락거리며 업무 생산성을 떨어뜨릴 수 있다. 이 시점에서 직원의 사용법에 대한 조용한 말은 바로 설정할 수 있다. 그러나 광범위하고 보편적인 문제라면 전화가 책상에 허용되는지에 대해 좀더 엄격한 규칙을 도입하는 것이 좋다. 대부분 사무실은 소셜미디어 사이트를 차단하지 않지만 이는 선택 사항이다. 그러나 직원과의 생산적이면서 존중을 기반으로 한 관계를 키우고자 한다면, 불우한 아동으로 취급하면 해를 입을 수 있다. 그러...

CIO 지침 인스타그램 홍보 규제 소셜미디어 브랜드 가이드라인 페이스북 소셜네트워크 링크드인

2019.04.22

페이스북, 인스타그램, 링크드인, 트위터에 할애하는 시간이 늘면서 소셜미디어가 점점 더 우리의 삶을 지배하게 됐다. 사무실 내외부에서 임직원이 소셜미디어를 어떻게 사용하는지 확신할 수 없는 상태에서 소셜미디어의 부상은 수많은 회사를 위험에 빠뜨리게 할 수도 있다.    기업은 소셜미디어 정책을 고안하여 직원들이 소셜미디어를 어떻게 사용해야 하는지 지침을 제시해야 한다. CIO가 소셜미디어 정책을 수립해야 하는 이유와 일반적으로 CIO가 주로 다뤄야 하는 분야를 알아보자.   소셜미디어 정책을 도입해야 하는 이유 임직원이 소셜미디어를 좋아하든 아니든 상관없이 소셜미디어를 사용하려고 한다. 소셜미디어 사용이 꼭 나쁜 것은 아니다. 근무 시간 중에 인스타그램을 스크롤하는 것이 바람직하지는 않지만, 가장 적극적으로 참여하는 직원이 사무실에서 경험을 사전에 공유하여 온라인에서 회사 인지도를 높일 수 있다. 직장에서 직원의 소셜미디어 사용을 규제할 때, 지켜야 할 선이 있다. 문제가 생기기 전에 소셜미디어 사용에 대한 독재적인 태도를 보임으로써 직원을 자발적으로 위압적으로 보지 않으려고 하지 마라. 대부분 직원은 페이스북이나 메시지를 확인하기 위해 잠시 휴식을 취할 수 있지만 이것이 반드시 문제가 되는 것은 아니다. 사실, 많은 직원은 간헐적인 간격으로 직장에서 정신적으로 잠시 쉬는 시간을 가질 때 훨씬 더 효율적으로 일할 수 있는 것으로 알려졌다. 그러나 일부 직원의 경우 명확한 지침이 없으면 반복적으로 소셜미디어에 들락거리며 업무 생산성을 떨어뜨릴 수 있다. 이 시점에서 직원의 사용법에 대한 조용한 말은 바로 설정할 수 있다. 그러나 광범위하고 보편적인 문제라면 전화가 책상에 허용되는지에 대해 좀더 엄격한 규칙을 도입하는 것이 좋다. 대부분 사무실은 소셜미디어 사이트를 차단하지 않지만 이는 선택 사항이다. 그러나 직원과의 생산적이면서 존중을 기반으로 한 관계를 키우고자 한다면, 불우한 아동으로 취급하면 해를 입을 수 있다. 그러...

2019.04.22

칼럼 | '볼모가 된 사용자' 애플과 페이스북, 구글의 분쟁 이후

지난 주, 몇 시간 동안 인터넷 전체가 숨을 죽였다. 페이스북이 애플의 엔터프라이즈 디벨로퍼 프로그램(Enterprise Developer Program) 규칙을 무시하고 데이터를 수집하는 “리서치(Research)” 앱을 무차별적으로 사용했다는 테크크런치(TechCrunch)의 보도가 나온 후, 구글 역시 비슷한 행동을 해왔다는 사실이 밝혀졌기 때문이다. 두 업체 모두 아이폰 사용자를 통해 애플이 외부에 공개하지 않는 가치 있는 데이터를 수집하고 있었다. 애플은 어떤 식으로든 대응을 해야 했다. 페이스북과 구글은 애플의 가이드라인을 공개적으로 무시했을 뿐만 아니라, 사람들이 아이폰을 사용하는 형태와 시점, 장소에 대한 대량의 데이터를 수집함으로써 엄격하기로 유명한 애플의 개인정보보호 규칙을 교묘히 피해왔기 때문이다. 가장 중요한 점은 두 업체가 “아이폰에서 일어난 일은 아이폰 안에만 머문다”는 애플의 공개적인 약속을 철저히 무시했다는 점이다. 페이스북과 구글이 그렇게 해왔다면 얼마나 많은 다른 업체가 해왔다는 것일까? 만일 문제의 업체가 페이스북이나 구글이 아니라 규모가 작은 곳이었다면, 애플은 그 기업의 모든 앱을 스토어에서 퇴출시키고, 개발자 기업 인증서 외에 그 회사의 애플 개발자 프로그램 멤버십과 iOS 배포 인증서도 해지했을 것이다. 저수준 액세스는 결국 복원되겠지만 애플은 이러한 행동은 용납할 수 없다는 메시지를 명확히 보여주기 위해서라도 기업 프로그램에는 영구적으로 다시 받아주지 않았을 것이다. 그러나 페이스북과 구글에 적용되는 기준은 다르다. 이유가 무엇일까? 사용자들이다. 두 업체의 서비스를 매일 사용하는 수많은 사람들이 이유다. 결국 애플이 택한 길은 저항이 가장 적은 길이다. 몇 시간 동안 기업 개발자 인증서의 효력을 정지해서 페이스북과 구글이 각자의 내부 iOS 앱을 실행할 수 없도록 했다. 애플에는 사실상 다른 선택안이 없었기 때문이다. 소동이 가라앉은 후 세 업체는 각자 필요한 것을...

구글 페이스북 애플 가이드라인 리서치 인증서

2019.02.11

지난 주, 몇 시간 동안 인터넷 전체가 숨을 죽였다. 페이스북이 애플의 엔터프라이즈 디벨로퍼 프로그램(Enterprise Developer Program) 규칙을 무시하고 데이터를 수집하는 “리서치(Research)” 앱을 무차별적으로 사용했다는 테크크런치(TechCrunch)의 보도가 나온 후, 구글 역시 비슷한 행동을 해왔다는 사실이 밝혀졌기 때문이다. 두 업체 모두 아이폰 사용자를 통해 애플이 외부에 공개하지 않는 가치 있는 데이터를 수집하고 있었다. 애플은 어떤 식으로든 대응을 해야 했다. 페이스북과 구글은 애플의 가이드라인을 공개적으로 무시했을 뿐만 아니라, 사람들이 아이폰을 사용하는 형태와 시점, 장소에 대한 대량의 데이터를 수집함으로써 엄격하기로 유명한 애플의 개인정보보호 규칙을 교묘히 피해왔기 때문이다. 가장 중요한 점은 두 업체가 “아이폰에서 일어난 일은 아이폰 안에만 머문다”는 애플의 공개적인 약속을 철저히 무시했다는 점이다. 페이스북과 구글이 그렇게 해왔다면 얼마나 많은 다른 업체가 해왔다는 것일까? 만일 문제의 업체가 페이스북이나 구글이 아니라 규모가 작은 곳이었다면, 애플은 그 기업의 모든 앱을 스토어에서 퇴출시키고, 개발자 기업 인증서 외에 그 회사의 애플 개발자 프로그램 멤버십과 iOS 배포 인증서도 해지했을 것이다. 저수준 액세스는 결국 복원되겠지만 애플은 이러한 행동은 용납할 수 없다는 메시지를 명확히 보여주기 위해서라도 기업 프로그램에는 영구적으로 다시 받아주지 않았을 것이다. 그러나 페이스북과 구글에 적용되는 기준은 다르다. 이유가 무엇일까? 사용자들이다. 두 업체의 서비스를 매일 사용하는 수많은 사람들이 이유다. 결국 애플이 택한 길은 저항이 가장 적은 길이다. 몇 시간 동안 기업 개발자 인증서의 효력을 정지해서 페이스북과 구글이 각자의 내부 iOS 앱을 실행할 수 없도록 했다. 애플에는 사실상 다른 선택안이 없었기 때문이다. 소동이 가라앉은 후 세 업체는 각자 필요한 것을...

2019.02.11

62개 기업·기관, 증강현실 가이드라인 발표 “제조업의 AR 활용 확산 토대 마련”

록히드 마틴(Lockheed Martin), 프록터 앤 갬블(Procter & Gamble), 캐터필라(Caterpillar)등 62개 기업과 기관이 힘을 합해 제조 부문에서 AR(증강 현실)을 사용할 때 도움을 주는 하드웨어/소프트웨어 가이드라인을 개발했다. 이번 가이드라인은 AR 기술 업체들이 향후 중소기업과 대기업을 위한 제품을 개발할 때 참고할 수 있도록 만들어졌다. UI 랩스(UI Labs)와 AREA(Augmented Reality for Enterprise Alliance)는 11일 공개한 자료에서 이 가이드라인을 발표했다. '기능 요구 사항'으로 불리는 가이드라인은 기업들에게 큰 도움을 줄 것으로 기대된다. 하드웨어와 소프트웨어의 상호운영성을 높이고, 더 쉽게 AR제품을 조달할 수 있도록 돕기 때문이다. 이 가이드라인은 '의무'가 아닌 '자발적' 가이드라인이다. 그러나 AR 디바이스 개발 업체 등 제조사들이 공감하고 있기 때문에 AR 도입 확대에 기여할 전망이다. 그러나 AREA는 가이드라인을 지칭하면서 '표준(기준)'이라는 표현을 사용하지 않았다. 제이 골드 어소시에이츠(J. Gold Associates)의 애널리스트 잭 골드는 "AR과 VR(가상 현실) 도입에 있어 중요 도전과제 중 하나는 하드웨어와 소프트웨어, 인터페이스 표준이 없다는 것이다. 표준 수립에 도움을 주는 노력들이 AR도입과 확산에 박차를 가할 것이다"고 말했다. 그러면서 "가이드라인은 종점이 아닌 출발점이다. 솔루션 공급업체들의 표준화와 상호운영성 도입에 영향을 줄 수 있는 중요한 노력이다"고 덧붙였다. 마치네이션(Machnation)의 애널리스트 디마 토카는 "AR은 산업계의 사용례 중 상당수를 혁신할 수 있는 잠재력을 갖고 있다. 그러나 표준이 수립되어야, 여러 업체들 간에 호환되는 솔루션을 구축할 수 있다"고 강조했다. ...

가이드라인 증강현실 AR 제조

2017.04.14

록히드 마틴(Lockheed Martin), 프록터 앤 갬블(Procter & Gamble), 캐터필라(Caterpillar)등 62개 기업과 기관이 힘을 합해 제조 부문에서 AR(증강 현실)을 사용할 때 도움을 주는 하드웨어/소프트웨어 가이드라인을 개발했다. 이번 가이드라인은 AR 기술 업체들이 향후 중소기업과 대기업을 위한 제품을 개발할 때 참고할 수 있도록 만들어졌다. UI 랩스(UI Labs)와 AREA(Augmented Reality for Enterprise Alliance)는 11일 공개한 자료에서 이 가이드라인을 발표했다. '기능 요구 사항'으로 불리는 가이드라인은 기업들에게 큰 도움을 줄 것으로 기대된다. 하드웨어와 소프트웨어의 상호운영성을 높이고, 더 쉽게 AR제품을 조달할 수 있도록 돕기 때문이다. 이 가이드라인은 '의무'가 아닌 '자발적' 가이드라인이다. 그러나 AR 디바이스 개발 업체 등 제조사들이 공감하고 있기 때문에 AR 도입 확대에 기여할 전망이다. 그러나 AREA는 가이드라인을 지칭하면서 '표준(기준)'이라는 표현을 사용하지 않았다. 제이 골드 어소시에이츠(J. Gold Associates)의 애널리스트 잭 골드는 "AR과 VR(가상 현실) 도입에 있어 중요 도전과제 중 하나는 하드웨어와 소프트웨어, 인터페이스 표준이 없다는 것이다. 표준 수립에 도움을 주는 노력들이 AR도입과 확산에 박차를 가할 것이다"고 말했다. 그러면서 "가이드라인은 종점이 아닌 출발점이다. 솔루션 공급업체들의 표준화와 상호운영성 도입에 영향을 줄 수 있는 중요한 노력이다"고 덧붙였다. 마치네이션(Machnation)의 애널리스트 디마 토카는 "AR은 산업계의 사용례 중 상당수를 혁신할 수 있는 잠재력을 갖고 있다. 그러나 표준이 수립되어야, 여러 업체들 간에 호환되는 솔루션을 구축할 수 있다"고 강조했다. ...

2017.04.14

가트너 기고 | 정보 보안, 어느 정도의 수준이 적절한가

적절한 수준의 정보 보안을 제공하는 것은 기업과 정부의 의무다. 하지만 정보 보안 의무가 적절하게 다뤄지고 있는지 여부와 그 평가 기준은 규정하기 어렵다. 오늘날 법조계에서는 최고정보책임자(CIO: Chief Information Officer)나 정보보호최고책임자(CISO: Chief Information Security Officer)가 충분한 주의를 기울였는지에 대한 정성적, 정량적 기준을 찾고 있다. 가트너는 기술과 비즈니스가 복잡해지기 때문에 2020년까지는 어떤 법으로도 적절한 수준의 정보 보안을 규정할 수 없을 것으로 보고 있다. 실무자 입장에서 ‘적절한’ 조치라는 개념은 부정확할 뿐더러 때와 상황에 따라 의미가 달라지는 개념이다. 업계 표준을 만족시키고 제3자 감사를 통과한다면 파장을 완화 할 수는 있겠지만 이것이 합리적인 조치를 완전히 대신할 수는 없다. 결론적으로 기업이 적합한 수준의 보안을 규정하기 위해서는 각자 처한 상황을 평가하고 여러 요인을 고려해야 한다. 규제 준수보다 위험 관리에 집중하라 적절한 수준의 보안을 법으로 규정하지 않는 이유는 3가지다. 먼저, 모든 사례와 산업, 기업에 적용되는 솔루션을 제공하는 것이 불가능하고 기술이 빠르게 발전하기 때문이다. 다음으로 보안을 위협하는 환경이 매우 빠르게 변하기 때문에 ‘적합한’ 수준의 보안을 규정하는 것은 일시적일 수 밖에 없다. 마지막으로, 기업별로 보안 위협에 대한 인식이 다르며 이는 기업 문화, 비즈니스 전략과 직접적인 관련이 있다. 일반적인 기준 없이 적절한 보안을 정의하기는 어렵다. 그런데 안타깝게도 시장은 보안과 관련된 다양한 기준들로 매우 혼란스럽다. 미국국립표준기술연구소(U.S. National Institute of Standards and Technology)와 같은 정부 부처는 정부나 상업 부문에서 활용되는 보안 기준을 만든다. 웹 서비스 보안과 같은 기술 기준, 클라우드 컴퓨팅...

컴플라이언스 보안 CSO 가트너 가이드라인 CISO 예산 규제 준수

2015.03.27

적절한 수준의 정보 보안을 제공하는 것은 기업과 정부의 의무다. 하지만 정보 보안 의무가 적절하게 다뤄지고 있는지 여부와 그 평가 기준은 규정하기 어렵다. 오늘날 법조계에서는 최고정보책임자(CIO: Chief Information Officer)나 정보보호최고책임자(CISO: Chief Information Security Officer)가 충분한 주의를 기울였는지에 대한 정성적, 정량적 기준을 찾고 있다. 가트너는 기술과 비즈니스가 복잡해지기 때문에 2020년까지는 어떤 법으로도 적절한 수준의 정보 보안을 규정할 수 없을 것으로 보고 있다. 실무자 입장에서 ‘적절한’ 조치라는 개념은 부정확할 뿐더러 때와 상황에 따라 의미가 달라지는 개념이다. 업계 표준을 만족시키고 제3자 감사를 통과한다면 파장을 완화 할 수는 있겠지만 이것이 합리적인 조치를 완전히 대신할 수는 없다. 결론적으로 기업이 적합한 수준의 보안을 규정하기 위해서는 각자 처한 상황을 평가하고 여러 요인을 고려해야 한다. 규제 준수보다 위험 관리에 집중하라 적절한 수준의 보안을 법으로 규정하지 않는 이유는 3가지다. 먼저, 모든 사례와 산업, 기업에 적용되는 솔루션을 제공하는 것이 불가능하고 기술이 빠르게 발전하기 때문이다. 다음으로 보안을 위협하는 환경이 매우 빠르게 변하기 때문에 ‘적합한’ 수준의 보안을 규정하는 것은 일시적일 수 밖에 없다. 마지막으로, 기업별로 보안 위협에 대한 인식이 다르며 이는 기업 문화, 비즈니스 전략과 직접적인 관련이 있다. 일반적인 기준 없이 적절한 보안을 정의하기는 어렵다. 그런데 안타깝게도 시장은 보안과 관련된 다양한 기준들로 매우 혼란스럽다. 미국국립표준기술연구소(U.S. National Institute of Standards and Technology)와 같은 정부 부처는 정부나 상업 부문에서 활용되는 보안 기준을 만든다. 웹 서비스 보안과 같은 기술 기준, 클라우드 컴퓨팅...

2015.03.27

‘기획에서 입증까지’ 클라우드 이전 가이드라인

클라우드 컴퓨팅 패러다임이 급격히 확산되고 있는 가운데, 클라우드 인프라가 약속하는 혜택이 점점 더 많은 사업체와 조직들을 매료시키고 있다. 이제 문제는 클라우드 아키텍쳐로 어떻게 이전할 것인지, 그리고 그 혜택을 어떻게 최대화할 것인지다. 클라우드 컴퓨팅은 서비스를 어떻게 활용하고 제공하는지에 대한 근원적인 변화를 대변한다. 특히 중소사업체들에게 클라우드 컴퓨팅은 강력한 경쟁사들과 경쟁할 수 있게 해주는 필수 선택지로서 역할하고 있다. 그러나 그 과정은 쉽지 않다. IT 관리자들은 요즘 수많은 사업 제안들로 정신이 없을 지경이다.  클라우드로 워크로드를 이동시키는데 있어서 몇 가지 유용한 가이드라인을 정리했다. 경영진 내의 정책 결정자들을 확인하고 그들의 지원을 확실히 하라 클라우드 아키텍쳐의 채택은 전체 기업의 강력한 노력을 필요로 하는 프로세스다. 모든 기능, 애플리케이션 그리고 데이터가 클라우드로 이전되어야 하고 그렇기 때문에, 경영진의 강력한 의지가 필수적이다. 이와 관련해 경영자들은 클라우드 컴퓨팅 패러다임 채택을 위한 타당한 목표를 설정해야 한다. 클라우드로의 마이그레이션에는 새로운 IT 인프라로 워크로드를 이전함에 있어 모든 활동을 기획, 설계, 집행하는 팀 단위의 노력이 필요하다. 마이그레이션 프로세스는 다음 3가지 부분에 각각 깊은 전문성을 가진 3팀들의 관리하에 진행되게 된다. - 인프라 - 데이터와 애플리케이션 - 사이버 보안 이 부서들은 전환 계획을 규정하고 협력이 필요한 활동에 초점을 맞추는 등 손발을 맞춰야 한다. 퍼블릭 클라우드와 프라이빗 클라우드 무엇을 선택할까? 기업들은 적절한 클라우드 아키텍쳐를 선택해야 한다. 가장 중요한 결정 중 하나는 퍼블릭 클라우드와 프라이빗 클라우드 인프라 채택에 관한 것이다. 다양한 요소에 따라 정답은 달라질 수 있다. 기업의 규모와 회사의 IT 서비스에 배정된 예산 등이 대표적인 결정 요소다. ...

클라우드 보안 프라이버시 가이드라인 이전 매뉴얼

2014.10.22

클라우드 컴퓨팅 패러다임이 급격히 확산되고 있는 가운데, 클라우드 인프라가 약속하는 혜택이 점점 더 많은 사업체와 조직들을 매료시키고 있다. 이제 문제는 클라우드 아키텍쳐로 어떻게 이전할 것인지, 그리고 그 혜택을 어떻게 최대화할 것인지다. 클라우드 컴퓨팅은 서비스를 어떻게 활용하고 제공하는지에 대한 근원적인 변화를 대변한다. 특히 중소사업체들에게 클라우드 컴퓨팅은 강력한 경쟁사들과 경쟁할 수 있게 해주는 필수 선택지로서 역할하고 있다. 그러나 그 과정은 쉽지 않다. IT 관리자들은 요즘 수많은 사업 제안들로 정신이 없을 지경이다.  클라우드로 워크로드를 이동시키는데 있어서 몇 가지 유용한 가이드라인을 정리했다. 경영진 내의 정책 결정자들을 확인하고 그들의 지원을 확실히 하라 클라우드 아키텍쳐의 채택은 전체 기업의 강력한 노력을 필요로 하는 프로세스다. 모든 기능, 애플리케이션 그리고 데이터가 클라우드로 이전되어야 하고 그렇기 때문에, 경영진의 강력한 의지가 필수적이다. 이와 관련해 경영자들은 클라우드 컴퓨팅 패러다임 채택을 위한 타당한 목표를 설정해야 한다. 클라우드로의 마이그레이션에는 새로운 IT 인프라로 워크로드를 이전함에 있어 모든 활동을 기획, 설계, 집행하는 팀 단위의 노력이 필요하다. 마이그레이션 프로세스는 다음 3가지 부분에 각각 깊은 전문성을 가진 3팀들의 관리하에 진행되게 된다. - 인프라 - 데이터와 애플리케이션 - 사이버 보안 이 부서들은 전환 계획을 규정하고 협력이 필요한 활동에 초점을 맞추는 등 손발을 맞춰야 한다. 퍼블릭 클라우드와 프라이빗 클라우드 무엇을 선택할까? 기업들은 적절한 클라우드 아키텍쳐를 선택해야 한다. 가장 중요한 결정 중 하나는 퍼블릭 클라우드와 프라이빗 클라우드 인프라 채택에 관한 것이다. 다양한 요소에 따라 정답은 달라질 수 있다. 기업의 규모와 회사의 IT 서비스에 배정된 예산 등이 대표적인 결정 요소다. ...

2014.10.22

美 은행 규제 당국, “금융의 소셜 미디어 사용 제한 필요”

미국의 은행 규제 당국이 금융 기업들의 소셜 미디어 사용에 대한 문제를 제기했다. 미국 연방 금융 조사위원회(FFIEC)는 금융 기관이 소셜 미디어 사용에 대한 위험을 이해하고 관련지침을 전달하고자 60일 상담 기간 동안 금융 기업과 소비자의 의견을 경청했다. 금융 업종은 현재 마케팅, 대출 가격 제공, 계정 애플리케이션 구현이나 공공기관으로부터 피드백 받기 등 다양한 용도로 소셜 미디어를 사용하고 있다. 많은 금융 기업들은 수 십만 명의 트위터 팔로워를 유치하는데 중점을 두고 있다. 규제 당국은 오랫동안 주식 트레이더들간의 메시지와 소셜 미디어 사용에 대해 우려했다. 최근에는 주식거래와 자동화 거래 정보를 얻기 위해 정서와 분위기를 파악하는데도 소셜 미디어 분석이 각광받고 있다. 하지만 이번에 제기된 새로운 규제들은 이보다 더 큰 문제들에 초점을 맞추고 있다. FFIEC는 금융 기업이 자사의 소셜 미디어 전략으로 발생할 수 있는 위험과 같은 수준으로 자사의 정책과 절차가 감독과 통제를 제공하는 가이드라인을 사용하게 될 것이라고 밝혔다. 이는 소셜 미디어에 크게 의존하는 회사라면 이와 관련한 다양한 위험에 어떻게 대처할 지에 대한 다양한 전략을 가지고 있어야 한다는 것을 의미한다. 예를 들어, 금융 기업은 직원이 계정 관련 업무에 대한 가이드라인을 인지하도록 적절한 교육 프로그램을 가지고 있어야 한다는 것이다. 그러나 FFIEC는 성명서에서 “가이드라인은 트위터와 페이스북과 같은 새로운 도구의 사용을 돕는 데에 초점을 맞추면서 기업이 준수해야 하는 엄격한 규칙을 적용하지 않을 것이다”라고 밝혔다. 그러나 FFIEC는 성명서에서 “가이드라인은 트위터와 페이스북과 같은 새로운 도구의 사용을 돕는 데에 초점을 맞추면서 기업이 준수해야 하는 엄격한 규칙을 적용하지 않을 것이다”라고 밝혔다. "가이드라인이 금융 기업에 의무를 부과하지 않지만, FFIEC는 어떤 새로운 프로세스...

은행 가이드라인 금융 소셜 미디어 지침 사용 제한

2013.01.25

미국의 은행 규제 당국이 금융 기업들의 소셜 미디어 사용에 대한 문제를 제기했다. 미국 연방 금융 조사위원회(FFIEC)는 금융 기관이 소셜 미디어 사용에 대한 위험을 이해하고 관련지침을 전달하고자 60일 상담 기간 동안 금융 기업과 소비자의 의견을 경청했다. 금융 업종은 현재 마케팅, 대출 가격 제공, 계정 애플리케이션 구현이나 공공기관으로부터 피드백 받기 등 다양한 용도로 소셜 미디어를 사용하고 있다. 많은 금융 기업들은 수 십만 명의 트위터 팔로워를 유치하는데 중점을 두고 있다. 규제 당국은 오랫동안 주식 트레이더들간의 메시지와 소셜 미디어 사용에 대해 우려했다. 최근에는 주식거래와 자동화 거래 정보를 얻기 위해 정서와 분위기를 파악하는데도 소셜 미디어 분석이 각광받고 있다. 하지만 이번에 제기된 새로운 규제들은 이보다 더 큰 문제들에 초점을 맞추고 있다. FFIEC는 금융 기업이 자사의 소셜 미디어 전략으로 발생할 수 있는 위험과 같은 수준으로 자사의 정책과 절차가 감독과 통제를 제공하는 가이드라인을 사용하게 될 것이라고 밝혔다. 이는 소셜 미디어에 크게 의존하는 회사라면 이와 관련한 다양한 위험에 어떻게 대처할 지에 대한 다양한 전략을 가지고 있어야 한다는 것을 의미한다. 예를 들어, 금융 기업은 직원이 계정 관련 업무에 대한 가이드라인을 인지하도록 적절한 교육 프로그램을 가지고 있어야 한다는 것이다. 그러나 FFIEC는 성명서에서 “가이드라인은 트위터와 페이스북과 같은 새로운 도구의 사용을 돕는 데에 초점을 맞추면서 기업이 준수해야 하는 엄격한 규칙을 적용하지 않을 것이다”라고 밝혔다. 그러나 FFIEC는 성명서에서 “가이드라인은 트위터와 페이스북과 같은 새로운 도구의 사용을 돕는 데에 초점을 맞추면서 기업이 준수해야 하는 엄격한 규칙을 적용하지 않을 것이다”라고 밝혔다. "가이드라인이 금융 기업에 의무를 부과하지 않지만, FFIEC는 어떤 새로운 프로세스...

2013.01.25

RSA가 제안하는 6가지 빅 데이터 보안 지침

빅 데이터가 보안 업계의 변화를 주도하며 인텔리전스 기반의 보안 모델에 영향을 미칠 것이라는 주장을 담은 EMC 보안 사업부 RSA의 보고서가 발간됐다. 이 보고서는 빅 데이터의 단기 변화는 이미 진행중이며, 향후 장기적으로 안티-악성코드, 데이터 손실 방지, 방화벽같은 기존 보안 통제의 특성도 바꿀 것으로 전망했다. RSA는 빅 데이터가 주도하는 보안 운영의 변화에 기업이 어떻게 계획을 세워 대응해야 할 지를 다음의 6가지로 요약했다. 1. 기업은 자사의 특정 위험, 위협, 요구사항에 맞는 프로그램에서 모든 기능을 접목한 총괄적인 사이버 보안 전략을 수립해야 한다. 2. 빅 데이터 분석은 여러 형식의 다양한 소스에서 수집할 수 있는 정보가 필요하다. 정보 검색, 정렬, 정규화, 분석, 공유가 가능해지면서 보안 정보용 단일한 공유 데이터 아키텍처가 필요하게 됐다. 3. 특정 제품이 각각 하나의 분석 프레임워크로 통합된 자체 데이터 구조를 도입한 다음, 이들 특정 제품에 대한 투자로 옮겨갈 수 있어야 한다. 4. 보안 제품에 대한 지속적인 투자는 위험한 증후나 네트워크 영역의 통계 툴 기반이 아닌, 민첩한 분석 기반의 접근 방식을 사용하는 기술을 선호한다. 개방적이고 확장 가능한 툴인지 확인해야 한다.  5. 새로운 제품들은 빅 데이터에 대응할 수 있도록 만들어질 것이다. 하지만 보안팀은 준비되지 않을 수 있다. 기업은 SOC의 데이터 과학 기술을 강화해야 한다. 6. 기업은 외부 위협 정보 서비스와 함께 내부 보안 분석 프로그램을 보강하고, 신뢰할 수 있는 관련 소스로부터 위협 데이터를 평가해야 한다. 이 보고서의 저자에 따르면, 보안 관행에 빅 데이터를 통합하면 IT 환경에 대한 가시성이 향상되고 의심스러운 활동을 구분해 낼 수 있으며 IT시스템에 대한 신뢰를 보장할 수 있게 될 것이라고 한다. ciokr@idg.co.kr

가이드라인 EMC RSA 빅 데이터 보안

2013.01.18

빅 데이터가 보안 업계의 변화를 주도하며 인텔리전스 기반의 보안 모델에 영향을 미칠 것이라는 주장을 담은 EMC 보안 사업부 RSA의 보고서가 발간됐다. 이 보고서는 빅 데이터의 단기 변화는 이미 진행중이며, 향후 장기적으로 안티-악성코드, 데이터 손실 방지, 방화벽같은 기존 보안 통제의 특성도 바꿀 것으로 전망했다. RSA는 빅 데이터가 주도하는 보안 운영의 변화에 기업이 어떻게 계획을 세워 대응해야 할 지를 다음의 6가지로 요약했다. 1. 기업은 자사의 특정 위험, 위협, 요구사항에 맞는 프로그램에서 모든 기능을 접목한 총괄적인 사이버 보안 전략을 수립해야 한다. 2. 빅 데이터 분석은 여러 형식의 다양한 소스에서 수집할 수 있는 정보가 필요하다. 정보 검색, 정렬, 정규화, 분석, 공유가 가능해지면서 보안 정보용 단일한 공유 데이터 아키텍처가 필요하게 됐다. 3. 특정 제품이 각각 하나의 분석 프레임워크로 통합된 자체 데이터 구조를 도입한 다음, 이들 특정 제품에 대한 투자로 옮겨갈 수 있어야 한다. 4. 보안 제품에 대한 지속적인 투자는 위험한 증후나 네트워크 영역의 통계 툴 기반이 아닌, 민첩한 분석 기반의 접근 방식을 사용하는 기술을 선호한다. 개방적이고 확장 가능한 툴인지 확인해야 한다.  5. 새로운 제품들은 빅 데이터에 대응할 수 있도록 만들어질 것이다. 하지만 보안팀은 준비되지 않을 수 있다. 기업은 SOC의 데이터 과학 기술을 강화해야 한다. 6. 기업은 외부 위협 정보 서비스와 함께 내부 보안 분석 프로그램을 보강하고, 신뢰할 수 있는 관련 소스로부터 위협 데이터를 평가해야 한다. 이 보고서의 저자에 따르면, 보안 관행에 빅 데이터를 통합하면 IT 환경에 대한 가시성이 향상되고 의심스러운 활동을 구분해 낼 수 있으며 IT시스템에 대한 신뢰를 보장할 수 있게 될 것이라고 한다. ciokr@idg.co.kr

2013.01.18

‘PCI DSS 가상화 지침서’ 애널리스트들 극찬

PCI 보안 표준 협의회(PCI Security Standard Council)의 지침서가 기업들에게 큰 혜택을 가져다 줄 것으로 관측되고 있다.   PCI 보안 표준 협의회(PCI SSC)는 지난 14일, 기업들이 절실히 필요로 했던 가상화 환경에서의 PCI 요건 구현에 대한 명확한 지침서를 발표했다. 이 표준은 기업들이 스스로의 가상 환경이 PCI 요건에 부합하는지를 확인하는데 사용할 수 있을만한 종합적인 일단의 지침들을 제공할 것으로 기대된다. 협의회에서 내놓은 39쪽 분량의 이 지침서는 논리적 환경에 요구되는 12가지의 광범위한 PCI 보안 제어들을 가상 환경에 어떻게 적용해야 하는지에 관해 상세히 설명하고 있다. 각 섹션에서는 가상화가 각각의 PCI요건에 어떻게 영향을 미치는지 예를 보여주고 그것들을 다루는 최상의 관행들을 추천해준다. 시트릭스 시스템즈(Citrix Systems)의 수석 보안 전략가이자 지침서의 초안을 작성했던 PCI SIG(PCI special interest group)의 의장이기도 한 커트 로머는 “이 지침서는 PCI 규정이 적용되는 기업들이 겪고 있는 가상화의 모든 측면들과 그 사용에 대해 철저하게 다루고 있다”고 설명했다. 그는 PCI의 관점에서 가상화를 어떻게 받아들여야 하는지 이해를 높이기 위해 지침서를 발간했다고 전했다. 로머에 따르면 하드웨어 가상화에 사용되는 하이퍼바이저 기술 관련 부분은 지침서에 포함된 중요한 영역 중 하나다. 로머는 하이퍼바이저에 연결된 가상화 구성요소들 중 하나라도 PCI에 의해 규정된다면, 하이퍼바이저 역시 PCI 요건의 범위 아래 놓이게 된다고 설명했다. 이와 유사하게 지침서에는 동일한 가상 머신에서 비PCI 유형의 데이터를 사용하는 한편 PCI 작업 로드를 실행시키는 혼합 모드 환경에 대해서도 몇 가지 중요한 권고 사항들이 담겨있다. 로머는 그 예로 지침서에서 PCI 범위 내의 혹은 범위 밖의 ...

가상화 보안 가이드라인 PCI SSC PCI DSS

2011.06.17

PCI 보안 표준 협의회(PCI Security Standard Council)의 지침서가 기업들에게 큰 혜택을 가져다 줄 것으로 관측되고 있다.   PCI 보안 표준 협의회(PCI SSC)는 지난 14일, 기업들이 절실히 필요로 했던 가상화 환경에서의 PCI 요건 구현에 대한 명확한 지침서를 발표했다. 이 표준은 기업들이 스스로의 가상 환경이 PCI 요건에 부합하는지를 확인하는데 사용할 수 있을만한 종합적인 일단의 지침들을 제공할 것으로 기대된다. 협의회에서 내놓은 39쪽 분량의 이 지침서는 논리적 환경에 요구되는 12가지의 광범위한 PCI 보안 제어들을 가상 환경에 어떻게 적용해야 하는지에 관해 상세히 설명하고 있다. 각 섹션에서는 가상화가 각각의 PCI요건에 어떻게 영향을 미치는지 예를 보여주고 그것들을 다루는 최상의 관행들을 추천해준다. 시트릭스 시스템즈(Citrix Systems)의 수석 보안 전략가이자 지침서의 초안을 작성했던 PCI SIG(PCI special interest group)의 의장이기도 한 커트 로머는 “이 지침서는 PCI 규정이 적용되는 기업들이 겪고 있는 가상화의 모든 측면들과 그 사용에 대해 철저하게 다루고 있다”고 설명했다. 그는 PCI의 관점에서 가상화를 어떻게 받아들여야 하는지 이해를 높이기 위해 지침서를 발간했다고 전했다. 로머에 따르면 하드웨어 가상화에 사용되는 하이퍼바이저 기술 관련 부분은 지침서에 포함된 중요한 영역 중 하나다. 로머는 하이퍼바이저에 연결된 가상화 구성요소들 중 하나라도 PCI에 의해 규정된다면, 하이퍼바이저 역시 PCI 요건의 범위 아래 놓이게 된다고 설명했다. 이와 유사하게 지침서에는 동일한 가상 머신에서 비PCI 유형의 데이터를 사용하는 한편 PCI 작업 로드를 실행시키는 혼합 모드 환경에 대해서도 몇 가지 중요한 권고 사항들이 담겨있다. 로머는 그 예로 지침서에서 PCI 범위 내의 혹은 범위 밖의 ...

2011.06.17

중소기업이 저지르는 IT 실수 ‘그리고 그 예방책’

딱히 관심을 가진 이들이 아닌 한, 대다수의 사람들은 비즈니스용으로 기술을 구매, 유지보수, 그리고 확보하는 것에 어려움을 느낀다. 그들은 또 무엇을 해야하는가에 대해서는 나름대로 많이 알고 있지만 무엇을 하지 말아야 하는가에 대해서는 알고 있지 못하다.   데이터를 백업하지 않는 것, 소셜 네트워킹 툴을 부적절하게 사용하는 것(혹은 전혀 사용하지 않는 것), 그리고 불법 소프트웨어를 사용하는 것은 사업에 나쁜 결과를 초래한다. 본 기사는 소규모 업체들이 반복해서 저지르는 15가지 기술적인 실수와 그러한 실수에 대한 예방책을 제공한다.   1. 클라우드에 대한 과도한 의존 소규모 업체의 입장에서 클라우드 스토리지는 훌륭한 자원이 된다. 클라우드 스토리지는 저렴하고 사무실 밖에서도 데이터에 접속할 수 있는 기능을 제공한다. 그러나 사용자의 중요한 데이터가 다른 업체 혹은 다른 사람의 손아귀에 들어간다는 점에서, 클라우드에 과도하게 의존하는 것은 위험하다.   심지어 야후 플리커(Flickr)에서조차도 최근, 순전히 직원의 실수로, 4,000장의 사진이 저장된 사용자의 계정이 우발적으로 삭제되는 사고가 발생했다. 다행스럽게도 플리커는 해당 계정을 완전하게 복구하여 사건을 마무리했지만, 항상 복구가 가능한 것은 아니다.   클라우드는 일시적인 사용을 위해서는 훌륭한 서비스이지만 영구적인 둥지를 틀기에는 무리가 있다. 나스(NAS, Network-attached storage) 드라이브와 박스닷넷과 같은 클라우드 스토리지 서비스 등이 견고한 스토리지 전략을 충족할 수 있는 제품들이다. 중요한 데이터는 ‘ioSafe’의 재난 방지 외장 하드드라이브와 같이 실제적으로 파괴될 수 없는 제품에 분산되어 저장되어야 한다.   2. 적절한 백업 실패 데이터 백업에 대해 이야기하자면, 백업 스토리지를 보유하고 있지만 사용하지 않으면 그것은 쓸모 없는 것이 되어버린다. 불행...

IT전략 가이드라인 실수 중소기업

2011.02.17

딱히 관심을 가진 이들이 아닌 한, 대다수의 사람들은 비즈니스용으로 기술을 구매, 유지보수, 그리고 확보하는 것에 어려움을 느낀다. 그들은 또 무엇을 해야하는가에 대해서는 나름대로 많이 알고 있지만 무엇을 하지 말아야 하는가에 대해서는 알고 있지 못하다.   데이터를 백업하지 않는 것, 소셜 네트워킹 툴을 부적절하게 사용하는 것(혹은 전혀 사용하지 않는 것), 그리고 불법 소프트웨어를 사용하는 것은 사업에 나쁜 결과를 초래한다. 본 기사는 소규모 업체들이 반복해서 저지르는 15가지 기술적인 실수와 그러한 실수에 대한 예방책을 제공한다.   1. 클라우드에 대한 과도한 의존 소규모 업체의 입장에서 클라우드 스토리지는 훌륭한 자원이 된다. 클라우드 스토리지는 저렴하고 사무실 밖에서도 데이터에 접속할 수 있는 기능을 제공한다. 그러나 사용자의 중요한 데이터가 다른 업체 혹은 다른 사람의 손아귀에 들어간다는 점에서, 클라우드에 과도하게 의존하는 것은 위험하다.   심지어 야후 플리커(Flickr)에서조차도 최근, 순전히 직원의 실수로, 4,000장의 사진이 저장된 사용자의 계정이 우발적으로 삭제되는 사고가 발생했다. 다행스럽게도 플리커는 해당 계정을 완전하게 복구하여 사건을 마무리했지만, 항상 복구가 가능한 것은 아니다.   클라우드는 일시적인 사용을 위해서는 훌륭한 서비스이지만 영구적인 둥지를 틀기에는 무리가 있다. 나스(NAS, Network-attached storage) 드라이브와 박스닷넷과 같은 클라우드 스토리지 서비스 등이 견고한 스토리지 전략을 충족할 수 있는 제품들이다. 중요한 데이터는 ‘ioSafe’의 재난 방지 외장 하드드라이브와 같이 실제적으로 파괴될 수 없는 제품에 분산되어 저장되어야 한다.   2. 적절한 백업 실패 데이터 백업에 대해 이야기하자면, 백업 스토리지를 보유하고 있지만 사용하지 않으면 그것은 쓸모 없는 것이 되어버린다. 불행...

2011.02.17

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.9