Offcanvas

������������

칼럼 | '모두가 알지만 누구도 말하지 않는' 10가지 보안 위험

전통적인 정보보호 위험관리 프로세스에는 막연함이 가득하다. 잠재적 위협(Threat)과 위협으로 생길 수 있는 위험(Risk)을 분류하며 발생 가능성을 측정한다. 만약 그것들이 완화되지 않을 경우의 손실도 추정해야 한다. 완화와 제어를 위한 비용은 잠재적 손실과 비교해 측정된다. 만약 위험과 위협이 유발하는 것보다 완화하는 데 드는 비용이 저렴하고, 실행하기 용이하다면 완화 조치가 진행된다. 사건 가능성과 잠재적 손해를 계산하는 것은 어려울 수 있다. 도대체 어떤 사람이 한 해 동안 랜섬웨어와 DDoS, 내부 공격이 얼마나 일어날지 정확하게 예측할 수 있을까? 또는 누가 사건 발생 가능성이 60%가 아닌 20%임을 증명할 수 있을까?  모두가 복잡다난한 예측 문제로 고군분투한다. 그러나 이 밖에도 위험관리에 영향을 미치는 수많은 요소가 있다. 누구나 알지만 아무도 이야기하지 않는 10가지 보안 위험 요소를 알아보자.   1. '발생할지도 모르는' 위험과 싸우기 모든 위험 평가는 일어날 수도 있는 일과 아무것도 하지 않는 것 사이의 싸움이다. 전에 발생한 적이 없는 위험이라면 더욱더 그렇다. 많은 사람이 아무것도 하지 않는 것이 비용적으로 저렴하다고 생각한다. 발생하지도 않은 일에 대비하는 사람은 돈을 낭비한다고 본다. 사람들은 "왜 돈을 쓰지? 절대 일어나지 않을 텐데!"라고 말한다.  항상 해왔던 일을 하면서 현상을 유지하는 것은 어렵지 않다. 그래서 선제적으로 위험에 대응하기가 어렵다. 큰 비용이 드는 경우는 훨씬 더 순탄치 않다. 대부분 피해가 발생할 때까지 기다렸다가 해결한다.  나는 주로 9.11 테러와 항공 여행 안전을 예로 든다. 항공 여행 전문가가 2001년 9월 11일 이전에 납치범이 커터칼로 조종석을 탈취하거나 비행기에 폭발물을 밀반입할 수 있다는 사실을 미리 알지 못했던 것을 말하려는 게 아니다. 이런 위험은 십수 년 전부터 경고돼 왔다. 하지만 9.11 테러 이전에 비행기 탑승을 위...

보안 랜섬웨어 위험관리 위험 악성코드 위협 취약점 해커 DDoS 해킹 위험평가

2019.11.28

전통적인 정보보호 위험관리 프로세스에는 막연함이 가득하다. 잠재적 위협(Threat)과 위협으로 생길 수 있는 위험(Risk)을 분류하며 발생 가능성을 측정한다. 만약 그것들이 완화되지 않을 경우의 손실도 추정해야 한다. 완화와 제어를 위한 비용은 잠재적 손실과 비교해 측정된다. 만약 위험과 위협이 유발하는 것보다 완화하는 데 드는 비용이 저렴하고, 실행하기 용이하다면 완화 조치가 진행된다. 사건 가능성과 잠재적 손해를 계산하는 것은 어려울 수 있다. 도대체 어떤 사람이 한 해 동안 랜섬웨어와 DDoS, 내부 공격이 얼마나 일어날지 정확하게 예측할 수 있을까? 또는 누가 사건 발생 가능성이 60%가 아닌 20%임을 증명할 수 있을까?  모두가 복잡다난한 예측 문제로 고군분투한다. 그러나 이 밖에도 위험관리에 영향을 미치는 수많은 요소가 있다. 누구나 알지만 아무도 이야기하지 않는 10가지 보안 위험 요소를 알아보자.   1. '발생할지도 모르는' 위험과 싸우기 모든 위험 평가는 일어날 수도 있는 일과 아무것도 하지 않는 것 사이의 싸움이다. 전에 발생한 적이 없는 위험이라면 더욱더 그렇다. 많은 사람이 아무것도 하지 않는 것이 비용적으로 저렴하다고 생각한다. 발생하지도 않은 일에 대비하는 사람은 돈을 낭비한다고 본다. 사람들은 "왜 돈을 쓰지? 절대 일어나지 않을 텐데!"라고 말한다.  항상 해왔던 일을 하면서 현상을 유지하는 것은 어렵지 않다. 그래서 선제적으로 위험에 대응하기가 어렵다. 큰 비용이 드는 경우는 훨씬 더 순탄치 않다. 대부분 피해가 발생할 때까지 기다렸다가 해결한다.  나는 주로 9.11 테러와 항공 여행 안전을 예로 든다. 항공 여행 전문가가 2001년 9월 11일 이전에 납치범이 커터칼로 조종석을 탈취하거나 비행기에 폭발물을 밀반입할 수 있다는 사실을 미리 알지 못했던 것을 말하려는 게 아니다. 이런 위험은 십수 년 전부터 경고돼 왔다. 하지만 9.11 테러 이전에 비행기 탑승을 위...

2019.11.28

'신뢰하되 검증하라' 서드파티 위험 관리 착수 가이드

포괄적인 서드파티 위험 관리(Third-Party Risk Management, TPRM) 프로그램을 시작한다고 하면 비현실적인 버킷 리스트 중에서도 마지막 작업 정도로 생각하는 사람들이 있다. 따지고 보면 오늘날 대부분의 조직은 수십, 수백, 수천 개의 서드파티 공급업체와 관계를 맺고 있다. 이런 상황에서 위험 관리를 언제, 어떻게, 어디서부터 시작해야 할지 난감할 때가 있다.    그러나 흔히 말하듯 공급사슬의 강도는 가장 약한 고리에 의해 결정된다. 따라서 각각의 모든 연결 고리의 보안이 얼마나 강력한 지를 반드시 알아야 한다. 기업의 데이터 보안은 다른 조직의 보안에 따라 좌우되기 쉽기 때문이다. 그 증거로 2017년 감사 위원회 리더십 네트워크(Audit Committee Leadership Network)에서 약 400개의 민간 및 공공 조직을 대상으로 실시한 설문을 보자. 설문에 응한 조직의 2/3는 5,000개 이상의 서드파티 관계를 맺고 있다. 일부 조직에서는 이런 서드파티 공급업체가 침투를 노리는 해커를 위한 열린 뒷문 역할을 할 수 있다. 최근 사례로, 에어버스 SE(Airbus SE)는 지난 9월 협력업체의 컴퓨터 시스템을 통한 사이버 공격으로부터 시스템을 보호하기 위한 새로운 조치를 취할 것이라고 발표했다. 올해 초 해커들은 에어버스 SE의 직원 개인 정보를 탈취하기 위해 에어버스 SE의 공급업체 중에서 롤스로이스 홀딩스(Rolls-Royce Holdings Plc)와 익스플레오(Expleo)를 공격했다.  사이버보안 위협과 인식이 함께 높아지면서 정보 보안 전문가들은 공급업체와 파트너 측의 부족한 보안 부분을 상쇄하기 위해 모든 시스템과 네트워크를 더욱 강력하게 보호해야 하는 상황에 직면해 있다. 게다가 많은 경우 리소스와 인력도 부족하다. 결국 강력한 서드파티 위험 관리 프로그램이 그만큼 중요하다. 성공적인 서드파티 위험 관리 프로그램의 5단계 실제 프로그램 측면에서 IT 보안 전문가는 2017년...

가이드라인 서드파티 위험관리 TPRM 서드파티위험관리

2019.10.24

포괄적인 서드파티 위험 관리(Third-Party Risk Management, TPRM) 프로그램을 시작한다고 하면 비현실적인 버킷 리스트 중에서도 마지막 작업 정도로 생각하는 사람들이 있다. 따지고 보면 오늘날 대부분의 조직은 수십, 수백, 수천 개의 서드파티 공급업체와 관계를 맺고 있다. 이런 상황에서 위험 관리를 언제, 어떻게, 어디서부터 시작해야 할지 난감할 때가 있다.    그러나 흔히 말하듯 공급사슬의 강도는 가장 약한 고리에 의해 결정된다. 따라서 각각의 모든 연결 고리의 보안이 얼마나 강력한 지를 반드시 알아야 한다. 기업의 데이터 보안은 다른 조직의 보안에 따라 좌우되기 쉽기 때문이다. 그 증거로 2017년 감사 위원회 리더십 네트워크(Audit Committee Leadership Network)에서 약 400개의 민간 및 공공 조직을 대상으로 실시한 설문을 보자. 설문에 응한 조직의 2/3는 5,000개 이상의 서드파티 관계를 맺고 있다. 일부 조직에서는 이런 서드파티 공급업체가 침투를 노리는 해커를 위한 열린 뒷문 역할을 할 수 있다. 최근 사례로, 에어버스 SE(Airbus SE)는 지난 9월 협력업체의 컴퓨터 시스템을 통한 사이버 공격으로부터 시스템을 보호하기 위한 새로운 조치를 취할 것이라고 발표했다. 올해 초 해커들은 에어버스 SE의 직원 개인 정보를 탈취하기 위해 에어버스 SE의 공급업체 중에서 롤스로이스 홀딩스(Rolls-Royce Holdings Plc)와 익스플레오(Expleo)를 공격했다.  사이버보안 위협과 인식이 함께 높아지면서 정보 보안 전문가들은 공급업체와 파트너 측의 부족한 보안 부분을 상쇄하기 위해 모든 시스템과 네트워크를 더욱 강력하게 보호해야 하는 상황에 직면해 있다. 게다가 많은 경우 리소스와 인력도 부족하다. 결국 강력한 서드파티 위험 관리 프로그램이 그만큼 중요하다. 성공적인 서드파티 위험 관리 프로그램의 5단계 실제 프로그램 측면에서 IT 보안 전문가는 2017년...

2019.10.24

패치 관리 정책에 구멍이 생기는 8가지 경우, 그리고 해결 방법

소프트웨어와 디바이스에 대한 적절한 패치의 실패는 30년째 조직이 해킹 당하는 가장 큰 이유가 되고 있다. 자바와 같은 패치되지 않는 애플리케이션 하나가 모든 사이버보안 사고 원인의 90%가 된 적도 있다. 패치되지 않은 소프트웨어 문제를 효과적으로 해결할 방법이 필요하다.   대부분의 조직은 스스로는 패치 관리를 잘 하고 있다고 여기지만 실제로는 제대로 하지 못한다. 패치 관리 정책에 구멍이 생기는 8가지 일반적인 경우는 다음과 같다. 1. 적절한 대상을 패치하지 않음 가장 흔한 패치 문제는 가장 위험도가 높은 애플리케이션을 가장 먼저 패치하지 않는 것이다. 어느 환경에서나 패치가 필요한 대상은 수없이 많지만 이 가운데에서 가장 많은 공격이 집중되는 소프트웨어 프로그램의 유형은 소수다. 이런 소프트웨어 프로그램을 가장 먼저, 효과적으로, 신속하게 패치해야 한다. 클라이언트 워크스테이션에서 가장 많은 공격을 받는 4가지 소프트웨어 유형은 다음과 같다. - 인터넷 브라우저 추가 기능 - 인터넷 브라우저 - 운영체제 - 생산성 애플리케이션(예: 오피스 프로그램) 서버에서 가장 많은 공격을 받는 4가지 소프트웨어 유형은 다음과 같다. - 웹 서버 소프트웨어 - 데이터베이스 서버 소프트웨어 - 운영체제 - 원격 서버 관리 소프트웨어 전체 소프트웨어 취약점에서 이런 유형의 소프트웨어가 차지하는 비중은 5% 미만이며, 더 중요한 점은 현재 활동하는 익스플로잇이 없다면 걱정할 필요가 없다는 것이다. 수십년 동안 누적된 데이터를 보면 공개적인 익스플로잇 코드가 “나돌지” 않는 한 취약점이 악용될 가능성은 낮다. 공개적으로 발표된 취약점 중에서 실제 사용되는 비율은 약 2%에 불과하다. - 해결책: 악용될 가능성이 가장 높은 소프트웨어를 가장 먼저, 가장 신속하게 패치한다. 2. 패치율에 너무 집착 필자가 방문한 고객 대부분은 99%와 같은 엄청나게 높은 패치율을 자랑했다(필자는 지금까지 수백 곳 넘게 방문했음). 그러나 하나의 디바이스를 완전하게 패...

위험관리 패치관리 패치율

2019.10.10

소프트웨어와 디바이스에 대한 적절한 패치의 실패는 30년째 조직이 해킹 당하는 가장 큰 이유가 되고 있다. 자바와 같은 패치되지 않는 애플리케이션 하나가 모든 사이버보안 사고 원인의 90%가 된 적도 있다. 패치되지 않은 소프트웨어 문제를 효과적으로 해결할 방법이 필요하다.   대부분의 조직은 스스로는 패치 관리를 잘 하고 있다고 여기지만 실제로는 제대로 하지 못한다. 패치 관리 정책에 구멍이 생기는 8가지 일반적인 경우는 다음과 같다. 1. 적절한 대상을 패치하지 않음 가장 흔한 패치 문제는 가장 위험도가 높은 애플리케이션을 가장 먼저 패치하지 않는 것이다. 어느 환경에서나 패치가 필요한 대상은 수없이 많지만 이 가운데에서 가장 많은 공격이 집중되는 소프트웨어 프로그램의 유형은 소수다. 이런 소프트웨어 프로그램을 가장 먼저, 효과적으로, 신속하게 패치해야 한다. 클라이언트 워크스테이션에서 가장 많은 공격을 받는 4가지 소프트웨어 유형은 다음과 같다. - 인터넷 브라우저 추가 기능 - 인터넷 브라우저 - 운영체제 - 생산성 애플리케이션(예: 오피스 프로그램) 서버에서 가장 많은 공격을 받는 4가지 소프트웨어 유형은 다음과 같다. - 웹 서버 소프트웨어 - 데이터베이스 서버 소프트웨어 - 운영체제 - 원격 서버 관리 소프트웨어 전체 소프트웨어 취약점에서 이런 유형의 소프트웨어가 차지하는 비중은 5% 미만이며, 더 중요한 점은 현재 활동하는 익스플로잇이 없다면 걱정할 필요가 없다는 것이다. 수십년 동안 누적된 데이터를 보면 공개적인 익스플로잇 코드가 “나돌지” 않는 한 취약점이 악용될 가능성은 낮다. 공개적으로 발표된 취약점 중에서 실제 사용되는 비율은 약 2%에 불과하다. - 해결책: 악용될 가능성이 가장 높은 소프트웨어를 가장 먼저, 가장 신속하게 패치한다. 2. 패치율에 너무 집착 필자가 방문한 고객 대부분은 99%와 같은 엄청나게 높은 패치율을 자랑했다(필자는 지금까지 수백 곳 넘게 방문했음). 그러나 하나의 디바이스를 완전하게 패...

2019.10.10

Forecast 2013: IT 예산 수립 전략 - IDG Deep Dive

지혜로운 IT 임원이라면 비용 절감과 사업 성장이라는 두 가지 관점을 잃지 않고 2013년의 예산 계획을 세우고 있을 것이다. 이제 기업의 IT 예산은 단순히 핵심 기술의 변화에 따라 좌우되는 것이 아니라 경제 상황과 사업 방향의 영향을 많이 받으며, 또 반드시 타당성을 증명해야만 한다. 여기에 모빌리티를 비롯한 첨단 기술에 대한 수요가 추가 과제로 주어진다. IT 책임자를 대상으로 한 조사를 바탕으로, 가장 현명하고 합리적인 2013년 예산 수립 방안을 살펴본다.   주요내용 올바른 2013년 IT 예산 편성 전략 베타 테스트를 통해 증명되는 최첨단 기술 모바일 위험관리 전략 수립 이야기와 이야기꾼을 위한 한 해

모바일 IT 예산 편성 위험관리

2012.10.26

지혜로운 IT 임원이라면 비용 절감과 사업 성장이라는 두 가지 관점을 잃지 않고 2013년의 예산 계획을 세우고 있을 것이다. 이제 기업의 IT 예산은 단순히 핵심 기술의 변화에 따라 좌우되는 것이 아니라 경제 상황과 사업 방향의 영향을 많이 받으며, 또 반드시 타당성을 증명해야만 한다. 여기에 모빌리티를 비롯한 첨단 기술에 대한 수요가 추가 과제로 주어진다. IT 책임자를 대상으로 한 조사를 바탕으로, 가장 현명하고 합리적인 2013년 예산 수립 방안을 살펴본다.   주요내용 올바른 2013년 IT 예산 편성 전략 베타 테스트를 통해 증명되는 최첨단 기술 모바일 위험관리 전략 수립 이야기와 이야기꾼을 위한 한 해

2012.10.26

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.6