Offcanvas

������ ������

블로그ㅣSW 공급망 보안, ‘SBOM’만으론 부족하다

솔라윈즈(SolarWinds) 해킹 여파로 ‘공급망 보안’이 산업과 관계없이 모든 기업에서 중요한 문제로 떠올랐다.  이에 美 사이버 보안 및 인프라 보안국(CISA)은 정보통신기술(ICT) 공급망 위험 관리 태스크포스를 구성하기도 했다. 공급망 보안을 강화하는 실행 가능한 전략 개발을 목표로 공공 및 민간 기관을 통합하려는 조치다.    코얼파이어(Coalfire)의 최신 소프트웨어 공급망 위험 보고서는 “소프트웨어 공급망 및 제품 개발 라이프사이클 내에서의 위험 관리가 기존에 물리적 재고 및 장비 공급 라인의 보호만큼 중요해졌다”라고 밝혔다. 아울러 해당 보고서에서 인용된 코얼파이어와 사이버리스크 얼라이언스(CyberRisk Alliance)가 공동으로 실시한 설문조사에서는 관리자의 52%가 공격에 노출된 소프트웨어를 우려하고 있는 것으로 나타났다.  한편 CISA는 소프트웨어 공급망 공격 방어 지침을 발표했다. 여기에는 기업 및 소프트웨어 공급업체가 위험을 최소화할 수 있는 권장 사항도 포함돼 있다. 6가지 벡터는 다음과 같다.  1. 설계 2. 개발 및 생산 3. 유통 4. 획득 및 배포 5. 유지보수 6. 폐기(IT 자산 처분(ITAD)) SBOM만으로는 ‘너무나 부족’하다 코얼파이어의 제품 전략 부문 부사장 댄 코넬은 하나의 방식이 모든 경우에 다 적용될 순 없다면서, 기업마다 위험을 평가하고 이해하는 방식이 다르다고 말했다. 그는 기존 보안 관리에 서비스 수준 계약(SLA), 측정 가능한 결과 등이 어떻게 포함됐는지 언급하면서, “소프트웨어 제작 회사가 ‘SBOM만 사용하는 것’은 최소한의 접근 방식이며, 이는 너무나도 부족하다”라고 지적했다.  이어 그는 “진정한 공급망 가시성은 SBOM만으론 제공되지 않는다. SBOM을 넘어서 투명성을 확보해야 하지만 업계가 그런 욕구를 가지고 있는지는 모르겠다”라고 덧붙였다.  소프트웨어 구매를 지연시키는 위험 가시성 부족 코넬은 (...

소프트웨어 공급망 보안 솔라윈즈 해킹 공급망 보안 SBOM 위험 관리 애플리케이션 보안

2022.08.26

솔라윈즈(SolarWinds) 해킹 여파로 ‘공급망 보안’이 산업과 관계없이 모든 기업에서 중요한 문제로 떠올랐다.  이에 美 사이버 보안 및 인프라 보안국(CISA)은 정보통신기술(ICT) 공급망 위험 관리 태스크포스를 구성하기도 했다. 공급망 보안을 강화하는 실행 가능한 전략 개발을 목표로 공공 및 민간 기관을 통합하려는 조치다.    코얼파이어(Coalfire)의 최신 소프트웨어 공급망 위험 보고서는 “소프트웨어 공급망 및 제품 개발 라이프사이클 내에서의 위험 관리가 기존에 물리적 재고 및 장비 공급 라인의 보호만큼 중요해졌다”라고 밝혔다. 아울러 해당 보고서에서 인용된 코얼파이어와 사이버리스크 얼라이언스(CyberRisk Alliance)가 공동으로 실시한 설문조사에서는 관리자의 52%가 공격에 노출된 소프트웨어를 우려하고 있는 것으로 나타났다.  한편 CISA는 소프트웨어 공급망 공격 방어 지침을 발표했다. 여기에는 기업 및 소프트웨어 공급업체가 위험을 최소화할 수 있는 권장 사항도 포함돼 있다. 6가지 벡터는 다음과 같다.  1. 설계 2. 개발 및 생산 3. 유통 4. 획득 및 배포 5. 유지보수 6. 폐기(IT 자산 처분(ITAD)) SBOM만으로는 ‘너무나 부족’하다 코얼파이어의 제품 전략 부문 부사장 댄 코넬은 하나의 방식이 모든 경우에 다 적용될 순 없다면서, 기업마다 위험을 평가하고 이해하는 방식이 다르다고 말했다. 그는 기존 보안 관리에 서비스 수준 계약(SLA), 측정 가능한 결과 등이 어떻게 포함됐는지 언급하면서, “소프트웨어 제작 회사가 ‘SBOM만 사용하는 것’은 최소한의 접근 방식이며, 이는 너무나도 부족하다”라고 지적했다.  이어 그는 “진정한 공급망 가시성은 SBOM만으론 제공되지 않는다. SBOM을 넘어서 투명성을 확보해야 하지만 업계가 그런 욕구를 가지고 있는지는 모르겠다”라고 덧붙였다.  소프트웨어 구매를 지연시키는 위험 가시성 부족 코넬은 (...

2022.08.26

보안 앞에선 '공동 운명체'··· CIO-CISO의 새 책임 역학

CISO와 CIO는 비즈니스 환경과 위협 지형의 변화에 따라 사이버 보안의 책임 소재가 어떻게 변화하고 있는지 파악해야 한다.  대부분의 기업에서 일반적으로 CISO와 CIO는 모두 사이버 보안과 관련된 책임을 진다. 오늘날 사이버 보안은 효과적인 비즈니스 운영에 중요한 문제다. 명확하게 정의된 사이버 보안 책임은 성공적인 기업 보안 포지셔닝에 필수적이다. ISACA가 최근 3,700명의 글로벌 사이버 보안 전문가를 대상으로 실시한 설문조사 결과에 따르면 사이버 보안팀의 절반가량(48%)이 CISO에 보고하는 반면에 4명 중 1명은 CIO에 보고하는 것으로 나타났다.    이러한 보고 관계의 차이에도 불구하고 해당 설문조사에서는 사이버 공격 증가 또는 감소에 대한 견해, 사이버 위협 탐지 및 대응 능력, 사이버 범죄 보고와 관련된 CISO와 CIO 간 보안 책임에 큰 차이가 없는 것으로 드러났다.  하지만 보고서는 사이버 위험 평가에 대한 경영진의 평가, 이사회의 사이버 보안 우선순위 결정 방식, 전략적 정렬과 관련된 변화를 발견했다고 밝혔다.  이 밖에 보고서는 특히 CISO의 책임 범위에 거버넌스, 위험, 컴플라이언스, 비즈니스 연속성 및 재해 복구, 사기, 신뢰, 안전 또는 위기관리가 포함되는 경우 CISO가 CIO 이외의 다른 사람에게 보고하는 업계 관행도 증가하고 있다고 전했다.  사이버 보안의 책임 소재는 기업의 규모, 산업 부문, 규제 요건 등 여러 이유로 인해 CIO와 CISO에 따라 다를 수 있다. 하지만 사이버 보안이 광범위한 비즈니스 요소와 점차 밀접하게 연결되면서 누가 어떤 유형의 사이버 보안 책임을 담당하는지 갈수록 중요해지고 있다.  사이버 보안 책임: CISO vs. CIO 라이티코(Lightico)의 CIO 오므리 브라운은 CIO와 CISO의 사이버 보안 책임 소재 간의 차이를 두고 “CIO는 적절한 도구를 사용하도록 하는 데 중점을 둔다. 효율성을 극대화...

CISO CIO 보안 IT 리더십 위험 관리

2021.09.23

CISO와 CIO는 비즈니스 환경과 위협 지형의 변화에 따라 사이버 보안의 책임 소재가 어떻게 변화하고 있는지 파악해야 한다.  대부분의 기업에서 일반적으로 CISO와 CIO는 모두 사이버 보안과 관련된 책임을 진다. 오늘날 사이버 보안은 효과적인 비즈니스 운영에 중요한 문제다. 명확하게 정의된 사이버 보안 책임은 성공적인 기업 보안 포지셔닝에 필수적이다. ISACA가 최근 3,700명의 글로벌 사이버 보안 전문가를 대상으로 실시한 설문조사 결과에 따르면 사이버 보안팀의 절반가량(48%)이 CISO에 보고하는 반면에 4명 중 1명은 CIO에 보고하는 것으로 나타났다.    이러한 보고 관계의 차이에도 불구하고 해당 설문조사에서는 사이버 공격 증가 또는 감소에 대한 견해, 사이버 위협 탐지 및 대응 능력, 사이버 범죄 보고와 관련된 CISO와 CIO 간 보안 책임에 큰 차이가 없는 것으로 드러났다.  하지만 보고서는 사이버 위험 평가에 대한 경영진의 평가, 이사회의 사이버 보안 우선순위 결정 방식, 전략적 정렬과 관련된 변화를 발견했다고 밝혔다.  이 밖에 보고서는 특히 CISO의 책임 범위에 거버넌스, 위험, 컴플라이언스, 비즈니스 연속성 및 재해 복구, 사기, 신뢰, 안전 또는 위기관리가 포함되는 경우 CISO가 CIO 이외의 다른 사람에게 보고하는 업계 관행도 증가하고 있다고 전했다.  사이버 보안의 책임 소재는 기업의 규모, 산업 부문, 규제 요건 등 여러 이유로 인해 CIO와 CISO에 따라 다를 수 있다. 하지만 사이버 보안이 광범위한 비즈니스 요소와 점차 밀접하게 연결되면서 누가 어떤 유형의 사이버 보안 책임을 담당하는지 갈수록 중요해지고 있다.  사이버 보안 책임: CISO vs. CIO 라이티코(Lightico)의 CIO 오므리 브라운은 CIO와 CISO의 사이버 보안 책임 소재 간의 차이를 두고 “CIO는 적절한 도구를 사용하도록 하는 데 중점을 둔다. 효율성을 극대화...

2021.09.23

강은성의 보안 아키텍트ㅣ새삼스럽게 돌아보는 정보보안의 목적

“정보보안(Information Security)의 목적(Why, Purpose)은 무엇인가?”  새삼스럽게 혼자 묻고 혼자 답해 보면, 한 마디로 (비즈니스) 정보를 보호하는 것이다*. 그러기 위해 정보의 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)을 확보·보호해야 한다는 세 가지 원칙(목표)을 갖고 있다. 정보보안을 처음 대하는 분들도 줄줄이 꿰고 있는 내용이다. 기밀성, 무결성, 가용성에 인증(Authentication)과 부인방지(Non-repudiation)를 종합하면 웬만한 보안업무는 기술적으로 설명할 수 있다.    *(Security를 ‘보안’이라고 번역하면서 Information Security를 굳이 ‘정보보호’라고 번역하여 보안 분야에서 일하는 사람들의 용어 혼란을 일으켜 왔다. 정보보호를 영어로 번역하면 Information Protection이다. 마찬가지로 개인정보 보호의 영어 표현은 Personal Information Protection이다. 그래서 이미 정보보호라는 용어가 많이 사용됨에도 ‘정보보호’와 ‘정보보안’의 차이를 설명하려는 시도도 있다. Information security는 정보보안이라고 하면서 이미 굳어진 정보보호도 같은 의미로 받아들이면 될 것 같다.) 2007년 RSA 컨퍼런스에서 빌 게이츠가 보안이 '비즈니스를 가능하게 하는 요인’(Business Enabler)'이 될 수 있다고 말한 적이 있다. 당시 보안기업에 근무하면서 가끔 외부에 보안에 관해 강의와 기고를 할 때라 보안의 필요성과 중요성을 어떻게 설명할지 고민을 많이 했는데, 보안을 기술적 관점이 아닌 사업적 관점에서 바라본 이 말이 신선해서 인용하기도 했다. 정보보안 인력들이 회사에서 경영진이나 다른 부서와 소통하기 위해서는 사업적·경영적 관점에서 정보보안을 설명해야 할 상황이 생긴다. 상대방이 이해하기 어려운 기밀성, 무결성, 가용성을 꺼내기 어렵고, ‘B...

강은성 보안 아키텍트 보안 정보보안 기밀성 무결성 가용성 빌 게이츠 위험 관리 정보보호

2021.03.12

“정보보안(Information Security)의 목적(Why, Purpose)은 무엇인가?”  새삼스럽게 혼자 묻고 혼자 답해 보면, 한 마디로 (비즈니스) 정보를 보호하는 것이다*. 그러기 위해 정보의 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)을 확보·보호해야 한다는 세 가지 원칙(목표)을 갖고 있다. 정보보안을 처음 대하는 분들도 줄줄이 꿰고 있는 내용이다. 기밀성, 무결성, 가용성에 인증(Authentication)과 부인방지(Non-repudiation)를 종합하면 웬만한 보안업무는 기술적으로 설명할 수 있다.    *(Security를 ‘보안’이라고 번역하면서 Information Security를 굳이 ‘정보보호’라고 번역하여 보안 분야에서 일하는 사람들의 용어 혼란을 일으켜 왔다. 정보보호를 영어로 번역하면 Information Protection이다. 마찬가지로 개인정보 보호의 영어 표현은 Personal Information Protection이다. 그래서 이미 정보보호라는 용어가 많이 사용됨에도 ‘정보보호’와 ‘정보보안’의 차이를 설명하려는 시도도 있다. Information security는 정보보안이라고 하면서 이미 굳어진 정보보호도 같은 의미로 받아들이면 될 것 같다.) 2007년 RSA 컨퍼런스에서 빌 게이츠가 보안이 '비즈니스를 가능하게 하는 요인’(Business Enabler)'이 될 수 있다고 말한 적이 있다. 당시 보안기업에 근무하면서 가끔 외부에 보안에 관해 강의와 기고를 할 때라 보안의 필요성과 중요성을 어떻게 설명할지 고민을 많이 했는데, 보안을 기술적 관점이 아닌 사업적 관점에서 바라본 이 말이 신선해서 인용하기도 했다. 정보보안 인력들이 회사에서 경영진이나 다른 부서와 소통하기 위해서는 사업적·경영적 관점에서 정보보안을 설명해야 할 상황이 생긴다. 상대방이 이해하기 어려운 기밀성, 무결성, 가용성을 꺼내기 어렵고, ‘B...

2021.03.12

기고 | 위험 선호도·위험 감내도·위험 임계값 이해하기

위험 전문가로 일하면서 다양한 조직들을 만났다. 그간의 경험에서 깨달은 분명한 사실이 하나 있다. ‘위험’이 현명한 의사결정을 이끌어내는 데 활용될 수 있는 기회로 간주되는 경우가 있는가 하면, 반드시 피해야 할 발전을 가로막는 큰 장애물로 간주되는 경우도 있다는 것이다.  위험 관리에 대해 이해하면, 기술 부서를 미래로 이끌고 진보적인 속도로 발전시키는 데 이용할 수 있다.  선호도(Appetite)와 감내도(Tolerance), 임계값(Threshold)의 의미 위험을 기회삼아 효과적으로 의사결정을 내리기 위해서는 위험 선호도, 감내도, 임계값의 차이를 이해하는 것이 아주 중요하다. 이 3가지 요소 각각에 대해 기준이 필요하다. 기술 부서가 이해를 할 경우 효과적으로 의사결정을 내리고, 자원을 극대화하고, 과감히 발전을 이룰 수 있다.  위험 선호도 위험 선호도는 기업의 목표 달성을 위해 위험을 감수하려는 조직의 전반적인 태도나 의지를 의미한다. 일반적으로는 (예를 들어) 매출을 10% 증대시키거나, 고객 기반을 10% 확대시키기 위해 기업이 수용할 의지가 있는 위험의 정도를 의미한다.  위험 선호도는 2가지 중요한 이유에서 중요하다.  1. 현재 대부분 기업은 조직에서 도입해 적용하고 있는 위험 관리 체계, 기업이 직면한 위험과 관련된 생각 및 고려사항들을 규제기관에 보여줘야 한다. 2. 경영진 수준에서 조직의 위험 선호도를 명확히 규정해야 한다. 그러면 전사적으로, 그리고 실제 기술 부서 내에서 의사결정자들이 특정 상황에 감수해야 할 위험의 정도에 대해 결정을 내릴 수 있다. 기업이 수용할 의지가 있는 위험의 정도를 이해하면, CIO는 핵심 전략 이니셔티브, 새로운 기술 위험에 대한 노출, 자원이 한정되어 있을 때의 우선순위에 대해 결정을 내릴 수 있다.  위험 감내도  위험 선호도가 위험을 수용하려는 의지라면, 위험 감내도는 기업이 견딜 수 있는 최대 위험이다.  위...

리스크 관리 위험 관리 위험 선호도 위험 감내도 위험 임계값

2021.02.08

위험 전문가로 일하면서 다양한 조직들을 만났다. 그간의 경험에서 깨달은 분명한 사실이 하나 있다. ‘위험’이 현명한 의사결정을 이끌어내는 데 활용될 수 있는 기회로 간주되는 경우가 있는가 하면, 반드시 피해야 할 발전을 가로막는 큰 장애물로 간주되는 경우도 있다는 것이다.  위험 관리에 대해 이해하면, 기술 부서를 미래로 이끌고 진보적인 속도로 발전시키는 데 이용할 수 있다.  선호도(Appetite)와 감내도(Tolerance), 임계값(Threshold)의 의미 위험을 기회삼아 효과적으로 의사결정을 내리기 위해서는 위험 선호도, 감내도, 임계값의 차이를 이해하는 것이 아주 중요하다. 이 3가지 요소 각각에 대해 기준이 필요하다. 기술 부서가 이해를 할 경우 효과적으로 의사결정을 내리고, 자원을 극대화하고, 과감히 발전을 이룰 수 있다.  위험 선호도 위험 선호도는 기업의 목표 달성을 위해 위험을 감수하려는 조직의 전반적인 태도나 의지를 의미한다. 일반적으로는 (예를 들어) 매출을 10% 증대시키거나, 고객 기반을 10% 확대시키기 위해 기업이 수용할 의지가 있는 위험의 정도를 의미한다.  위험 선호도는 2가지 중요한 이유에서 중요하다.  1. 현재 대부분 기업은 조직에서 도입해 적용하고 있는 위험 관리 체계, 기업이 직면한 위험과 관련된 생각 및 고려사항들을 규제기관에 보여줘야 한다. 2. 경영진 수준에서 조직의 위험 선호도를 명확히 규정해야 한다. 그러면 전사적으로, 그리고 실제 기술 부서 내에서 의사결정자들이 특정 상황에 감수해야 할 위험의 정도에 대해 결정을 내릴 수 있다. 기업이 수용할 의지가 있는 위험의 정도를 이해하면, CIO는 핵심 전략 이니셔티브, 새로운 기술 위험에 대한 노출, 자원이 한정되어 있을 때의 우선순위에 대해 결정을 내릴 수 있다.  위험 감내도  위험 선호도가 위험을 수용하려는 의지라면, 위험 감내도는 기업이 견딜 수 있는 최대 위험이다.  위...

2021.02.08

AI 기술력 수요 급증∙∙∙ 마케팅∙영업∙고객∙재무∙R&D부서도 찾는다

마케팅, 영업, 고객서비스, 재무, 연구개발 부서에서도 AI 기술력을 가장 원하는 것으로 파악됐다.  새로운 연구에 따르면 지난해 전세계 인공지능 일자리 중 절반 미만이 IT부서에서 창출됐고, 절반 이상이 현업부서에서 창출됐다.    2019년 IT부서의 AI 관련 일자리는 2015년보다 363% 증가한 약 6만 8,959개를 기록했고, 같은 기간에 현업부서의 AI 관련 일자리는 74% 증가한 15만 6,294명을 기록했다. 가트너의 탤런트뉴런(TalentNeuron) 플랫폼에서 수집한 자료에 따르면 마케팅, 영업, 고객서비스, 재무, 연구개발(R&D)과 등 현업부서의 AI 기술력 수요가 IT부서를 앞지르고 있다. 현업부서의 AI 적용 사례에는 고객 이탈 모델링, 고객 수익성 분석, 고객 세분화, 교차 판매 및 상향 판매 권장 사항, 수요 계획, 위험 관리, 예측 유지 관리, 워크플로 및 생산 최적화, 품질 관리 및 공급망 최적화가 포함된다. 가트너의 리서치 및 자문 담당 부사장인 아런 맥이완은 호주에서 이러한 경향이 눈에 띄고 뉴질랜드에도 확대될 것이라고 말했다. 가트너의 리서치 디렉터인 피터 크렌스키는 수요가 많고 AI 기술력을 갖춘 지원자들의 경쟁이 치열해졌지만 채용 기법과 전략은 이를 따라가지 못하고 있다고 밝혔다. 그는 가트너 AI 및 머신러닝 개발 전략(AI and Machine Learning Development Strategies) 연구에서 직원의 기술이 머신러닝과 함께 AI 채택에서 가장 큰 과제라고 덧붙였다. 크렌스키는 “CIO가 AI의 복잡성, 참신성, 다학제적 특성과 심오한 영향을 받아 HR이 모든 사업 부문에서 AI 인재를 채용하는 데 도움을 줄 수 있는 좋은 위치에 있다”라며 “CIO와 HR 리더는 AI 중심의 직원이 초보 단계에 어떤 기술이 필요한지 다시 생각하고 채용 요건을 충족하는 후보 기준을 탐색해야 한다”라고 이야기했다.  이어서 "CIO는 다양한 AI 전략과 이 활...

영업 워크플로 TalentNeuron 고객 수익성 분석 고객 이탈 모델링 공급망 최적화 교차 판매 상향 판매 생산 최적화 수요 계획 예측 유지 관리 품질 관리 고객 세분화 채용 재무 가트너 마케팅 고용 R&D 인공지능 위험 관리 연구개발 고객서비스 탤런트뉴런

2020.03.25

마케팅, 영업, 고객서비스, 재무, 연구개발 부서에서도 AI 기술력을 가장 원하는 것으로 파악됐다.  새로운 연구에 따르면 지난해 전세계 인공지능 일자리 중 절반 미만이 IT부서에서 창출됐고, 절반 이상이 현업부서에서 창출됐다.    2019년 IT부서의 AI 관련 일자리는 2015년보다 363% 증가한 약 6만 8,959개를 기록했고, 같은 기간에 현업부서의 AI 관련 일자리는 74% 증가한 15만 6,294명을 기록했다. 가트너의 탤런트뉴런(TalentNeuron) 플랫폼에서 수집한 자료에 따르면 마케팅, 영업, 고객서비스, 재무, 연구개발(R&D)과 등 현업부서의 AI 기술력 수요가 IT부서를 앞지르고 있다. 현업부서의 AI 적용 사례에는 고객 이탈 모델링, 고객 수익성 분석, 고객 세분화, 교차 판매 및 상향 판매 권장 사항, 수요 계획, 위험 관리, 예측 유지 관리, 워크플로 및 생산 최적화, 품질 관리 및 공급망 최적화가 포함된다. 가트너의 리서치 및 자문 담당 부사장인 아런 맥이완은 호주에서 이러한 경향이 눈에 띄고 뉴질랜드에도 확대될 것이라고 말했다. 가트너의 리서치 디렉터인 피터 크렌스키는 수요가 많고 AI 기술력을 갖춘 지원자들의 경쟁이 치열해졌지만 채용 기법과 전략은 이를 따라가지 못하고 있다고 밝혔다. 그는 가트너 AI 및 머신러닝 개발 전략(AI and Machine Learning Development Strategies) 연구에서 직원의 기술이 머신러닝과 함께 AI 채택에서 가장 큰 과제라고 덧붙였다. 크렌스키는 “CIO가 AI의 복잡성, 참신성, 다학제적 특성과 심오한 영향을 받아 HR이 모든 사업 부문에서 AI 인재를 채용하는 데 도움을 줄 수 있는 좋은 위치에 있다”라며 “CIO와 HR 리더는 AI 중심의 직원이 초보 단계에 어떤 기술이 필요한지 다시 생각하고 채용 요건을 충족하는 후보 기준을 탐색해야 한다”라고 이야기했다.  이어서 "CIO는 다양한 AI 전략과 이 활...

2020.03.25

기술 이외에 보안 사고 대응 전문가에게 필요한 역량

요즈음 사이버 보안 대응팀들은 조직을 겨냥한 정기적인 해킹 및 공격이 증가하면서 바쁜 나날을 보내고 있다. 보안 대응팀의 전문가 구성원들은 이런 공격을 시의적절하게 평가하고 대응할 수 있는 기술을 갖추고 있으며 조직의 피해를 최소화할 수 있다. 정보보안 인재채용 기업 레드버드(Redbud)의 사장 겸 공동 설립자 데비 헨리에 따르면, 사이버 보안 사고 대응 전문가에 대한 수요가 여전히 높다. 레드버드가 소개하는 일자리 3곳 중 2곳은 사고 대응 역할과 직간접적으로 관련되어 있다. 헨리는 “조직이 우리에게 연락을 취하면 일반적으로 자체적으로 자격을 갖춘 전문가를 찾는데 어려움을 겪고 있기 때문이다”고 설명했다. 헨리는 수요의 원인을 사이버 범죄 활동의 증가뿐 아니라 더 많은 조직이 필요를 인식하고 사이버 방어팀을 서둘러 충원하거나 꾸리고 있기 때문으로 분석했다. 헨리는 “2020년까지 전 세계적으로 사이버 보안 일자리 중 150만 개가 공석으로 남아 있을 것으로 예상되며 사고 대응 전문가도 상당수 필요할 것이다”며 “부족 현상이 심각하다”고 지적했다. 헨리에 따르면, 사고 관리 아웃소싱은 실현 가능성이 있는 보안 접근방식이다. 그녀는 “레드버드가 사고 대응 전문가에 대해 받은 요청에 따라 사고 대응 관리의 약 65%가 내부적으로 처리되는 것으로 보이기 때문에 분명 복합적인 상황이다”고 말했다. 기술력+경영 지식 양질의 사고 대응 전문가에게 필요한 기술은 인간적인 부분과 기술적인 부분 등 2개 그룹으로 분류할 수 있다. 헨리는 “기술인 부분이 뛰어날수록 더 나은 사고 대응 전문가라고 볼 수 있다”고 밝혔다. 요구되는 기술에는 기밀성, 진정성, 출입 관리, 프라이버시 등의 기본적인 보안 원칙, 보안 취약성, 물리적인 보안 문제, 프로토콜 설계 결함, 악성 코드, 이행 결함, 구성상 약점, 사용자 오류나 무관심 등에 대한 적절...

CSO 프로토콜 사물인터넷 GE 사고 대응 석사 소방관 직업윤리 디지털 포렌식 위험 관리 프로그래밍 NASA 해킹 윈도우 CISO 공격 유닉스 사이버보안 MBA 관리자 침입자 기법

2017.06.23

요즈음 사이버 보안 대응팀들은 조직을 겨냥한 정기적인 해킹 및 공격이 증가하면서 바쁜 나날을 보내고 있다. 보안 대응팀의 전문가 구성원들은 이런 공격을 시의적절하게 평가하고 대응할 수 있는 기술을 갖추고 있으며 조직의 피해를 최소화할 수 있다. 정보보안 인재채용 기업 레드버드(Redbud)의 사장 겸 공동 설립자 데비 헨리에 따르면, 사이버 보안 사고 대응 전문가에 대한 수요가 여전히 높다. 레드버드가 소개하는 일자리 3곳 중 2곳은 사고 대응 역할과 직간접적으로 관련되어 있다. 헨리는 “조직이 우리에게 연락을 취하면 일반적으로 자체적으로 자격을 갖춘 전문가를 찾는데 어려움을 겪고 있기 때문이다”고 설명했다. 헨리는 수요의 원인을 사이버 범죄 활동의 증가뿐 아니라 더 많은 조직이 필요를 인식하고 사이버 방어팀을 서둘러 충원하거나 꾸리고 있기 때문으로 분석했다. 헨리는 “2020년까지 전 세계적으로 사이버 보안 일자리 중 150만 개가 공석으로 남아 있을 것으로 예상되며 사고 대응 전문가도 상당수 필요할 것이다”며 “부족 현상이 심각하다”고 지적했다. 헨리에 따르면, 사고 관리 아웃소싱은 실현 가능성이 있는 보안 접근방식이다. 그녀는 “레드버드가 사고 대응 전문가에 대해 받은 요청에 따라 사고 대응 관리의 약 65%가 내부적으로 처리되는 것으로 보이기 때문에 분명 복합적인 상황이다”고 말했다. 기술력+경영 지식 양질의 사고 대응 전문가에게 필요한 기술은 인간적인 부분과 기술적인 부분 등 2개 그룹으로 분류할 수 있다. 헨리는 “기술인 부분이 뛰어날수록 더 나은 사고 대응 전문가라고 볼 수 있다”고 밝혔다. 요구되는 기술에는 기밀성, 진정성, 출입 관리, 프라이버시 등의 기본적인 보안 원칙, 보안 취약성, 물리적인 보안 문제, 프로토콜 설계 결함, 악성 코드, 이행 결함, 구성상 약점, 사용자 오류나 무관심 등에 대한 적절...

2017.06.23

위험 관리에서 가장 많이 범하는 7가지 실수

경영진은 위험에 직면한 상황을 안다. 그러나 어떤 위험이 진짜 위험인지, 위험에 노출됐을 때 기업에 어떤 영향이 미치는 지 알지 못하는 경우가 많다. 보안 위험 관리는 이런 추측을 없애고, 기업들이 더 현명한 결정을 하도록 만드는데 목표를 두고 있다. SIRA(Society of Information Risk Analysts) 부대표 제이 제이콥스는 "보안 위험 관리는 간단히 말해 기업의 의사결정 지원 시스템이다. 기업의사 결정을 위한 정보 제공에 존재가치가 있다"고 말했다.  제이콥스는 그러나 불행히도 많은 전문가들은 기업들이 이를 정확히 인식하지 못하고 있으며, 이와 관련한 노력 또한 부족하다고 지적했다. 또한 위험을 높일 수도 있는 나쁜 행동이 포함되어 있다고 강조했다. SIRA 대표 제프 로우더는 "보안 전문가가 위험 관리 전문가라고 생각하는데 이는 잘못됐다. 또한 많은 보안 전문가들이 자신이 위험 관리 전문가라고 주장하지만 이는 사실이 아닌 경우가 많다. 전혀 다른 분야다. 이상적으로 말한다면 보안 위험 관리를 책임지고 있는 사람 가운데 두 가지 모두에 대한 지식이 있을 수는 있다"고 말했다. 본지는 많은 기업들이 실수를 범하는 분야를 파악하기 위해 몇몇 전문가에게 보안 위험관리에서 어떤 실수를 저지르는지 물었다. 제이콥스는 "많은 기업들을 관찰한 바에 따르면, 이들이 보유한 내부 보안 위험 관리 프레임워크에 기대하느니 차라리 동전을 던져 의사결정을 내리는 것이 나을 때가 있다. 동전을 던지면 최소한 50%의 확률은 있기 때문"이라고 말했다. 다음은 가장 많이 저지르는 실수와 의도는 좋은 위험 관리 계획이지만 잘못된 생각에 토대를 두고 있는 것들이다. 1. 제로 상태에서 시작한다. 많은 보안 전문가들이 보안 관리 위험 원칙을 재창조하려는 시도를 한다. 다행히 전문가 의견을 요청해 활용하는 방법, 위험 모델에서의 불확실성 규명 방법 등 위험 분석 작업에 적용할 수 있는 방법들이 있다. 그러나 제이콥스와 로우더는 대부분의 사람들이 이...

실수 리스크 관리 위험 관리 위기 관리

2012.10.04

경영진은 위험에 직면한 상황을 안다. 그러나 어떤 위험이 진짜 위험인지, 위험에 노출됐을 때 기업에 어떤 영향이 미치는 지 알지 못하는 경우가 많다. 보안 위험 관리는 이런 추측을 없애고, 기업들이 더 현명한 결정을 하도록 만드는데 목표를 두고 있다. SIRA(Society of Information Risk Analysts) 부대표 제이 제이콥스는 "보안 위험 관리는 간단히 말해 기업의 의사결정 지원 시스템이다. 기업의사 결정을 위한 정보 제공에 존재가치가 있다"고 말했다.  제이콥스는 그러나 불행히도 많은 전문가들은 기업들이 이를 정확히 인식하지 못하고 있으며, 이와 관련한 노력 또한 부족하다고 지적했다. 또한 위험을 높일 수도 있는 나쁜 행동이 포함되어 있다고 강조했다. SIRA 대표 제프 로우더는 "보안 전문가가 위험 관리 전문가라고 생각하는데 이는 잘못됐다. 또한 많은 보안 전문가들이 자신이 위험 관리 전문가라고 주장하지만 이는 사실이 아닌 경우가 많다. 전혀 다른 분야다. 이상적으로 말한다면 보안 위험 관리를 책임지고 있는 사람 가운데 두 가지 모두에 대한 지식이 있을 수는 있다"고 말했다. 본지는 많은 기업들이 실수를 범하는 분야를 파악하기 위해 몇몇 전문가에게 보안 위험관리에서 어떤 실수를 저지르는지 물었다. 제이콥스는 "많은 기업들을 관찰한 바에 따르면, 이들이 보유한 내부 보안 위험 관리 프레임워크에 기대하느니 차라리 동전을 던져 의사결정을 내리는 것이 나을 때가 있다. 동전을 던지면 최소한 50%의 확률은 있기 때문"이라고 말했다. 다음은 가장 많이 저지르는 실수와 의도는 좋은 위험 관리 계획이지만 잘못된 생각에 토대를 두고 있는 것들이다. 1. 제로 상태에서 시작한다. 많은 보안 전문가들이 보안 관리 위험 원칙을 재창조하려는 시도를 한다. 다행히 전문가 의견을 요청해 활용하는 방법, 위험 모델에서의 불확실성 규명 방법 등 위험 분석 작업에 적용할 수 있는 방법들이 있다. 그러나 제이콥스와 로우더는 대부분의 사람들이 이...

2012.10.04

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.8