Offcanvas

������

'고객 잃을 수도…' CMO 아젠다 된 사이버보안

사이버공격이 발생했을 마케팅 임원이 관심을 가지고 브랜드 전략과 안전을 고려해 적극적으로 대응해야 한다. 회사의 사이버보안 방어에 계속해서 관심을 보이고 적극적으로 참여하고 있다는 항목에 '높은' 점수를 주는 마케터는 많지 않다. 그러나 호주에서 설립됐으나 현재 미국 샌프란시스코로 본사를 옮긴 협업 소프트웨어 업체인 아틀라시안(Atlassian)의 마케팅 책임자 카릴루 디트리히는 업무 일부로 사이버보안을 지원하고 있다. 디트리히는 회사만 걱정하는 게 아니다. 디트리히(오른쪽 사진)는 "사이버 침해 사고가 고객의 데이터, 프라이버시, 콘텐츠, 소스 코드, 평판에 미칠 영향을 가장 먼저 우려하고 있다. 고객들의 비즈니스에 우리가 개발한 협업 소프트웨어가 중심적인 역할을 하고 있다. 따라서 고객과 데이터를 보호해야 하는 책임이 크다"고 밝혔다. 이어서 "이 책임을 아주 중요하게 생각하며, 고객 신뢰를 유지 및 성장시키기 위해 노력하고 있다. 모든 종류의 보안 위협을 꾸준히 경계하고, 모델링 및 모니터링 하고, 대응한다"고 강조했다. 디트리히는 사이버보안 사고를 계속 추적하고 있다. 이는 그녀의 팀이 고객에게 미칠 영향을 파악하고, 투명하면서도 미래지향인 커뮤니케이션 계획 및 해결책을 수립할 수 있도록 도와준다. 그녀는 다른 많은 마케터와 달리 회사 보안 부서와 긴밀하게 협력하고 있다. 디트리히는 "각자 전문성이 있다. 가장 좋은 방법으로 고객을 보호하고, 고객과 소통하는데 두 부서의 전문성이 모두 필요하다"고 밝혔다. 보안 의식으로 무장해야 기술 회사의 마케터에게는 비교적 흔하게 발견할 수 있는 상황이다. 특히 고객 데이터를 호스팅하고 보호하는 회사라면 더 그렇다. 그러나 IT산업 외부를 살펴봤을 때, 마케팅 부서에서 사이버보안 문제가 언급되는 일은 드물다. 물론 문제가 발생했을 때는 예외이다. 미국에서 소니, 애슐리 ...

소니 브랜드 가치 아틀라시안 고객 충성도 타깃 고객 정보 사이버보안 PwC 이사회 CMO 애슐리 매디슨

2016.07.08

사이버공격이 발생했을 마케팅 임원이 관심을 가지고 브랜드 전략과 안전을 고려해 적극적으로 대응해야 한다. 회사의 사이버보안 방어에 계속해서 관심을 보이고 적극적으로 참여하고 있다는 항목에 '높은' 점수를 주는 마케터는 많지 않다. 그러나 호주에서 설립됐으나 현재 미국 샌프란시스코로 본사를 옮긴 협업 소프트웨어 업체인 아틀라시안(Atlassian)의 마케팅 책임자 카릴루 디트리히는 업무 일부로 사이버보안을 지원하고 있다. 디트리히는 회사만 걱정하는 게 아니다. 디트리히(오른쪽 사진)는 "사이버 침해 사고가 고객의 데이터, 프라이버시, 콘텐츠, 소스 코드, 평판에 미칠 영향을 가장 먼저 우려하고 있다. 고객들의 비즈니스에 우리가 개발한 협업 소프트웨어가 중심적인 역할을 하고 있다. 따라서 고객과 데이터를 보호해야 하는 책임이 크다"고 밝혔다. 이어서 "이 책임을 아주 중요하게 생각하며, 고객 신뢰를 유지 및 성장시키기 위해 노력하고 있다. 모든 종류의 보안 위협을 꾸준히 경계하고, 모델링 및 모니터링 하고, 대응한다"고 강조했다. 디트리히는 사이버보안 사고를 계속 추적하고 있다. 이는 그녀의 팀이 고객에게 미칠 영향을 파악하고, 투명하면서도 미래지향인 커뮤니케이션 계획 및 해결책을 수립할 수 있도록 도와준다. 그녀는 다른 많은 마케터와 달리 회사 보안 부서와 긴밀하게 협력하고 있다. 디트리히는 "각자 전문성이 있다. 가장 좋은 방법으로 고객을 보호하고, 고객과 소통하는데 두 부서의 전문성이 모두 필요하다"고 밝혔다. 보안 의식으로 무장해야 기술 회사의 마케터에게는 비교적 흔하게 발견할 수 있는 상황이다. 특히 고객 데이터를 호스팅하고 보호하는 회사라면 더 그렇다. 그러나 IT산업 외부를 살펴봤을 때, 마케팅 부서에서 사이버보안 문제가 언급되는 일은 드물다. 물론 문제가 발생했을 때는 예외이다. 미국에서 소니, 애슐리 ...

2016.07.08

일부 기업 모바일 앱, 암호화 없이 지불카드 정보 전송

기업의 모바일 앱이 암호화되지 않은 채 지불카드 정보를 전송하는 것으로 파악됐다. 일부 기업들은 전송 중에 지불카드 정보를 암호화하지 못해 사용자를 위험에 빠뜨릴 수 있음을 알고는 자사 모바일 앱에 신속하게 암호화를 추가했다. 클라우드 및 모바일 보안 업체인 완더라(Wandera)에 따르면, 이 앱들은 인터넷으로 전송될 때 데이터를 스크램블하는 암호화 프로토콜인 SSL/TLS(Secure Sockets Layer/Transport Layer Security)를 사용하지 않았다. "많은 데이터 침해 사고와 그로 인한 손해에 대해 이미 언론에 보도됐기 때문에, 데이터를 전송할 때 민감한 트래픽을 암호화하도록 기본적인 예방조치를 하지 못한다고 생각하기는 어렵다"고 완더라의 제품 담당 시니어 매니저인 마이클 J 코빙턴은 밝혔다. 데이터 침해는 기업에 비용을 초래할 수 있으며 타깃, 홈데포 등 유통기업에서 발생한 사고 이후 지불카드 정보를 얼마나 잘 보호하느냐는 매우 큰 문제가 됐다. 완더라는 자사 블로그에서 16개 기업 중 이지젯(easyJet), 클리턴레일웨이(Chiltern Railways), 샌디에고동물원(San Diego Zoo), CN타워(CN Tower), 에어링구스(Aer Lingus) 등 5개 기업의 문제를 해결했다고 이 회사 대변인은 9일 밝혔다. 이들 기업 모두는 완더라로부터 문제가 있다고 통보받았다. 완더라는 자사 모바일 보안 앱과 게이트웨이 기술을 사용해 고객사의 트래픽 흐름을 분석하면서 문제를 발견했다. 로그인 인증 정보, 개인정보, 지불카드 데이터 등의 정보를 전송할 때 SSL/TLS를 사용하는 것은 공격에 대해 데이터를 보호하기 위한 표준적인 방법이다. 암호화된 연결은 일반적으로 자물쇠 아이콘과 http에 의한 브라우저 URL에서 표시된다. 데이터를 암호화하지 않으면 같은 네트워크에 있는, 특히 공용 와이파이 핫스팟에 있는 누군가가 트래픽을 수집하고 텍스트 형식으로 정보를 ...

암호화 모바일 앱 트래픽 전송 타깃 지불카드 홈데포 완더라 Wandera

2015.12.11

기업의 모바일 앱이 암호화되지 않은 채 지불카드 정보를 전송하는 것으로 파악됐다. 일부 기업들은 전송 중에 지불카드 정보를 암호화하지 못해 사용자를 위험에 빠뜨릴 수 있음을 알고는 자사 모바일 앱에 신속하게 암호화를 추가했다. 클라우드 및 모바일 보안 업체인 완더라(Wandera)에 따르면, 이 앱들은 인터넷으로 전송될 때 데이터를 스크램블하는 암호화 프로토콜인 SSL/TLS(Secure Sockets Layer/Transport Layer Security)를 사용하지 않았다. "많은 데이터 침해 사고와 그로 인한 손해에 대해 이미 언론에 보도됐기 때문에, 데이터를 전송할 때 민감한 트래픽을 암호화하도록 기본적인 예방조치를 하지 못한다고 생각하기는 어렵다"고 완더라의 제품 담당 시니어 매니저인 마이클 J 코빙턴은 밝혔다. 데이터 침해는 기업에 비용을 초래할 수 있으며 타깃, 홈데포 등 유통기업에서 발생한 사고 이후 지불카드 정보를 얼마나 잘 보호하느냐는 매우 큰 문제가 됐다. 완더라는 자사 블로그에서 16개 기업 중 이지젯(easyJet), 클리턴레일웨이(Chiltern Railways), 샌디에고동물원(San Diego Zoo), CN타워(CN Tower), 에어링구스(Aer Lingus) 등 5개 기업의 문제를 해결했다고 이 회사 대변인은 9일 밝혔다. 이들 기업 모두는 완더라로부터 문제가 있다고 통보받았다. 완더라는 자사 모바일 보안 앱과 게이트웨이 기술을 사용해 고객사의 트래픽 흐름을 분석하면서 문제를 발견했다. 로그인 인증 정보, 개인정보, 지불카드 데이터 등의 정보를 전송할 때 SSL/TLS를 사용하는 것은 공격에 대해 데이터를 보호하기 위한 표준적인 방법이다. 암호화된 연결은 일반적으로 자물쇠 아이콘과 http에 의한 브라우저 URL에서 표시된다. 데이터를 암호화하지 않으면 같은 네트워크에 있는, 특히 공용 와이파이 핫스팟에 있는 누군가가 트래픽을 수집하고 텍스트 형식으로 정보를 ...

2015.12.11

기고 | 외부 업체와 협력 시 주의해야 할 5가지 보안 위협

최근 발생한 보안 사고들 가운데 외부 업체 소속 인력의 이탈 행위에서 비롯된 것들이 있다. 가장 최근의 사례가 바로 애슐리 매디슨의 회원 정보 유출이다. 핵심 경쟁력에 주력하고 비핵심 분야를 외부 업체에 위탁할 때 주의해야 할 점을 소개한다.  이미지 출처 : Thinkstock 타깃에서부터 최근의 애슐리 매디슨 사태까지, 우리는 그 동안 외부 업체와의 협력이 보안 위협으로 이어지는 경우를 숱하게 봤다. 단말기, 서비스, 앱이 일상적으로 서로 서로 영향을 주고받는 환경에서는 약간의 실수로도 해커들에게 기업의 네트워크로 침입할 수 있는 허점을 보이고 만다. 외부 업체와 협업 시 주의해야 할 5가지 보안 위험에 대해 알아보자. 위험 #1 - 공유 크레덴셜 공유 크레덴셜은 기업에서 활용하는 인증 절차 중 가장 위험한 절차 중 하나기도 하다. 자주 사용하지 않는 서비스에 대해 크레덴셜 기반의 인증 절차가 필요하다고 해보자. 서비스 이용자는 시간이 가면서 바뀌겠지만 편의를 이유로 크레덴셜은 바뀌지 않고 그대로 둔다. 해당 서비스를 여러 위치에서, 다양한 기기를 통해, 여러 가지 목적을 가지고 이용할 경우 보안 위협에 노출되는 것은 시간 문제다. 게다가 서비스 전체와 다른 사용자들까지도 위험에 빠뜨릴 수 있다. 데이터베이스에서 커뮤니케이션 프로토콜에 이르기까지, 서비스 크레덴셜을 공유하는 기업은 타깃 네트워크에 접근을 노리는 해커의 먹잇감이 되기 십상이다. 시스템 관리자가 지속적으로 사용자의 행동을 모니터링 해야만 개별 인증 프로토콜 맵을 통해, 그리고 비정상 사용자 접근 이벤트들을 관련시켜 이러한 위험을 막을 수 있다. 네트워크에서 공유 크레덴셜이 자주 목격되든 아니든 간에, 거의 실시간에 가깝게 이들을 모니터링 하는 것만이 기업 네트워크의 잠재적 위협 요소들을 피하는 방법이 될 것이다. 위험 #2 –불규칙한 접근 내부 크레덴셜을 협력 업체에게 제공하는 기업들은 그것이 아주 장기적이고,...

외부 업체 타깃 애슐리 매디슨 외주 인력 써드 파티 보안 공유 크레덴셜

2015.10.14

최근 발생한 보안 사고들 가운데 외부 업체 소속 인력의 이탈 행위에서 비롯된 것들이 있다. 가장 최근의 사례가 바로 애슐리 매디슨의 회원 정보 유출이다. 핵심 경쟁력에 주력하고 비핵심 분야를 외부 업체에 위탁할 때 주의해야 할 점을 소개한다.  이미지 출처 : Thinkstock 타깃에서부터 최근의 애슐리 매디슨 사태까지, 우리는 그 동안 외부 업체와의 협력이 보안 위협으로 이어지는 경우를 숱하게 봤다. 단말기, 서비스, 앱이 일상적으로 서로 서로 영향을 주고받는 환경에서는 약간의 실수로도 해커들에게 기업의 네트워크로 침입할 수 있는 허점을 보이고 만다. 외부 업체와 협업 시 주의해야 할 5가지 보안 위험에 대해 알아보자. 위험 #1 - 공유 크레덴셜 공유 크레덴셜은 기업에서 활용하는 인증 절차 중 가장 위험한 절차 중 하나기도 하다. 자주 사용하지 않는 서비스에 대해 크레덴셜 기반의 인증 절차가 필요하다고 해보자. 서비스 이용자는 시간이 가면서 바뀌겠지만 편의를 이유로 크레덴셜은 바뀌지 않고 그대로 둔다. 해당 서비스를 여러 위치에서, 다양한 기기를 통해, 여러 가지 목적을 가지고 이용할 경우 보안 위협에 노출되는 것은 시간 문제다. 게다가 서비스 전체와 다른 사용자들까지도 위험에 빠뜨릴 수 있다. 데이터베이스에서 커뮤니케이션 프로토콜에 이르기까지, 서비스 크레덴셜을 공유하는 기업은 타깃 네트워크에 접근을 노리는 해커의 먹잇감이 되기 십상이다. 시스템 관리자가 지속적으로 사용자의 행동을 모니터링 해야만 개별 인증 프로토콜 맵을 통해, 그리고 비정상 사용자 접근 이벤트들을 관련시켜 이러한 위험을 막을 수 있다. 네트워크에서 공유 크레덴셜이 자주 목격되든 아니든 간에, 거의 실시간에 가깝게 이들을 모니터링 하는 것만이 기업 네트워크의 잠재적 위협 요소들을 피하는 방법이 될 것이다. 위험 #2 –불규칙한 접근 내부 크레덴셜을 협력 업체에게 제공하는 기업들은 그것이 아주 장기적이고,...

2015.10.14

'보안과 혁신 사이에서' 유통 CIO들의 고민

혁신이 모든 업계 CIO들에게 공통과제가 된 지 오래다. 최근 대규모 고객 정보 유출로 문제가 됐던 미국 유통업계는 고객정보 보안이 큰 과제로 부상하고 있어 CIO들이 혁신과 보안 사이의 균형을 잡는데 분투하고 있다. 이미지 출처t: Thinkstock 2014년 홈데포와 타깃의 구매 시스템에 대규모 보안 유출 사고가 발생했을 때 그 타격은 막대했다. 범죄자들이 수백만 고객의 체크카드와 신용카드 데이터를 훔쳤고 회사들은 과징금과 매출 감소로 수억 달러의 손해를 입은데다 그들의 브랜드 이미지에도 손상을 입었기 때문이다. 비슷한 유출 사고에 대한 공포가 전체 유통업계로 퍼져나갔고, 포레스터의 부회장이자 수석 애널리스트인 조지 로리는 1년이 지난 지금도 여전히 그 여파가 지속되고 있다고 말했다. 2015년 초 미국소매현회(National Retail Federation) 소속 CIO 카운슬의 간부급 회원들과 토론하는 자리에서 그는 유출 사고 때문에 여전히 사람들이 우려하고 있으며 참석자 대부분도 최우선 고려사항으로 데이터 보안을 꼽았다고 밝혔다. “위원회 회원들은 ‘고객 데이터를 보호하는데 들어가는 비용은 아무리 많아도 많은 게 아니다’며 강조했다”고 그는 전했다. 그 토론과 조사 데이터에 기반한 미국소매협회와 포레스터의 보고서에서 로리는 “보안과 거버넌스가 미래의 유출을 방지하면서도 CMO 등의 현업임원들이 도입하고자 하는 모바일 앱과 분석 등의 신기술을 확산시키려는 노력을 함께 하는 게 유통 CIO들의 최우선 고려사항이 되었다”고 밝혔다. 이 보고서에서 CIO들은 과거보다 경쟁이 치열해진 시장 상황에서 최적의 거버넌스를 만들면서 동시에 비즈니스 가치를 생성하는 혁신을 추진하고자 노력하는 것으로 나타났다. “CIO들은 자신들이 ‘무조건 안돼’만을 외치는 사람으로 비춰지는 게 싫겠지만 현재 주어진 업무에서 조정자 역할을 ...

혁신 CIO 유통 포레스터 고민 소매 타깃 홈데포 옴니채널

2015.08.07

혁신이 모든 업계 CIO들에게 공통과제가 된 지 오래다. 최근 대규모 고객 정보 유출로 문제가 됐던 미국 유통업계는 고객정보 보안이 큰 과제로 부상하고 있어 CIO들이 혁신과 보안 사이의 균형을 잡는데 분투하고 있다. 이미지 출처t: Thinkstock 2014년 홈데포와 타깃의 구매 시스템에 대규모 보안 유출 사고가 발생했을 때 그 타격은 막대했다. 범죄자들이 수백만 고객의 체크카드와 신용카드 데이터를 훔쳤고 회사들은 과징금과 매출 감소로 수억 달러의 손해를 입은데다 그들의 브랜드 이미지에도 손상을 입었기 때문이다. 비슷한 유출 사고에 대한 공포가 전체 유통업계로 퍼져나갔고, 포레스터의 부회장이자 수석 애널리스트인 조지 로리는 1년이 지난 지금도 여전히 그 여파가 지속되고 있다고 말했다. 2015년 초 미국소매현회(National Retail Federation) 소속 CIO 카운슬의 간부급 회원들과 토론하는 자리에서 그는 유출 사고 때문에 여전히 사람들이 우려하고 있으며 참석자 대부분도 최우선 고려사항으로 데이터 보안을 꼽았다고 밝혔다. “위원회 회원들은 ‘고객 데이터를 보호하는데 들어가는 비용은 아무리 많아도 많은 게 아니다’며 강조했다”고 그는 전했다. 그 토론과 조사 데이터에 기반한 미국소매협회와 포레스터의 보고서에서 로리는 “보안과 거버넌스가 미래의 유출을 방지하면서도 CMO 등의 현업임원들이 도입하고자 하는 모바일 앱과 분석 등의 신기술을 확산시키려는 노력을 함께 하는 게 유통 CIO들의 최우선 고려사항이 되었다”고 밝혔다. 이 보고서에서 CIO들은 과거보다 경쟁이 치열해진 시장 상황에서 최적의 거버넌스를 만들면서 동시에 비즈니스 가치를 생성하는 혁신을 추진하고자 노력하는 것으로 나타났다. “CIO들은 자신들이 ‘무조건 안돼’만을 외치는 사람으로 비춰지는 게 싫겠지만 현재 주어진 업무에서 조정자 역할을 ...

2015.08.07

CIO에게 보안 전문 변호사가 필요한 이유

사이버보안은 CIO가 밤을 새게 만드는 골칫거리였다. 점점 더 정교한 사이버공격이 늘어나는 요즘 추세에서 보안은 IT리더들의 낮 근무시간까지 차질을 빚게 만들고 있다. 이미지 출처 : Thinkstock 분명 철벽 사이버보안까지는 갈 길이 멀다. 아마도 절대 도달할 수 없는 목표일 것이다. 하지만 거의 돌파할 수 없는 수준의 보안을 갖췄다 하더라도 여전히 사이버보안 문제에 집중하는 변호사가 필요하다. 물론 내부 변호사가 회사의 법적 위험을 최소화하는데 도움을 줄 수 있다. 하지만 보안 전문성을 자랑하는 외부 기업과 협력관계를 맺으면 현지 주, 국가 개인정보 보호 법률과 보안 요건, 데이터와 프라이버시 유출에 대한 민사 소송, 기업 거버넌스 등에서 발생하는 여러 가지 불분명한 법적 문제들을 CIO가 헤쳐나가는데 도움을 받을 수 있다. 사이버보안 법률 보고(Cybersecurity Law Report)의 편집장 에이미 테리 시한은 “이런 유형의 도움을 필요로 하는 업계의 종류가 폭발적으로 늘어났다”고 밝혔다. “사이버보안 전문성이 없던 로펌들이 모여들고 있다. 일반적인 소송과 기업 자문 변호사들은 이제 사이버보안과 데이터 프라이버시 문제에 친숙해져야 한다”고 시한은 덧붙였다. 모든 기업이 현재 PII(personally identifiable information), 기업 비밀, 특허 정보 등의 온라인 데이터를 가지고 있기 때문에 시한은 “사이버보안과 데이터 프라이버시를 전문으로 하는 전문가에 대한 수요가 커졌다. M&A 전문 변호사들마저 사이버보안 법률에 대해 알아야 한다”고 조언했다. 사고 대응 계획의 핵심 요소 또 시한은 “많은 기업들이 사고 대응 계획과 사고 대응을 조정하기 위해 외부 변호사에 호사에 의존하지만 다른 기업들은 회사 내 변호사를 두고 그 역할을 맡기고 좀 더 복잡한 법률 문제나 시나리오가 발생할 때 외부 전문...

CIO CSO 소송 CISO 소니 사이버보안 정보 유출 변호사 타깃

2015.08.06

사이버보안은 CIO가 밤을 새게 만드는 골칫거리였다. 점점 더 정교한 사이버공격이 늘어나는 요즘 추세에서 보안은 IT리더들의 낮 근무시간까지 차질을 빚게 만들고 있다. 이미지 출처 : Thinkstock 분명 철벽 사이버보안까지는 갈 길이 멀다. 아마도 절대 도달할 수 없는 목표일 것이다. 하지만 거의 돌파할 수 없는 수준의 보안을 갖췄다 하더라도 여전히 사이버보안 문제에 집중하는 변호사가 필요하다. 물론 내부 변호사가 회사의 법적 위험을 최소화하는데 도움을 줄 수 있다. 하지만 보안 전문성을 자랑하는 외부 기업과 협력관계를 맺으면 현지 주, 국가 개인정보 보호 법률과 보안 요건, 데이터와 프라이버시 유출에 대한 민사 소송, 기업 거버넌스 등에서 발생하는 여러 가지 불분명한 법적 문제들을 CIO가 헤쳐나가는데 도움을 받을 수 있다. 사이버보안 법률 보고(Cybersecurity Law Report)의 편집장 에이미 테리 시한은 “이런 유형의 도움을 필요로 하는 업계의 종류가 폭발적으로 늘어났다”고 밝혔다. “사이버보안 전문성이 없던 로펌들이 모여들고 있다. 일반적인 소송과 기업 자문 변호사들은 이제 사이버보안과 데이터 프라이버시 문제에 친숙해져야 한다”고 시한은 덧붙였다. 모든 기업이 현재 PII(personally identifiable information), 기업 비밀, 특허 정보 등의 온라인 데이터를 가지고 있기 때문에 시한은 “사이버보안과 데이터 프라이버시를 전문으로 하는 전문가에 대한 수요가 커졌다. M&A 전문 변호사들마저 사이버보안 법률에 대해 알아야 한다”고 조언했다. 사고 대응 계획의 핵심 요소 또 시한은 “많은 기업들이 사고 대응 계획과 사고 대응을 조정하기 위해 외부 변호사에 호사에 의존하지만 다른 기업들은 회사 내 변호사를 두고 그 역할을 맡기고 좀 더 복잡한 법률 문제나 시나리오가 발생할 때 외부 전문...

2015.08.06

타겟의 'IoT 스마트홈 시연장' 이모저모

지난 주, 소매 분야 거대 기업 타겟(Target)은 샌프란시스코 다운타운 모스콘 센터(Moscone Center) 바로 옆에 '오픈 홈(Open Home)'이라는 콘셉트 매장을 개장했다. 타겟의 한 임원은 이 매장에 대해 "소매점, 학습을 위한 실험실, 미팅 공간"이라고 설명했다. 또 매주 목요일 저녁에는 스마트 홈을 주제로 한 기술적인 토론, 회의, 제품 시연, 출시 등 이벤트를 계획하고 있다고 덧붙였다. 한편 콘셉트 매장이 들어선 빌딩은 과거 소니와 마이크로소프트가 콘셉트 매장을 개장했다 폐장한 빌딩이기도 하다. ciokr@idg.co.kr

매장 타깃 IoT 타겟 시범

2015.07.16

지난 주, 소매 분야 거대 기업 타겟(Target)은 샌프란시스코 다운타운 모스콘 센터(Moscone Center) 바로 옆에 '오픈 홈(Open Home)'이라는 콘셉트 매장을 개장했다. 타겟의 한 임원은 이 매장에 대해 "소매점, 학습을 위한 실험실, 미팅 공간"이라고 설명했다. 또 매주 목요일 저녁에는 스마트 홈을 주제로 한 기술적인 토론, 회의, 제품 시연, 출시 등 이벤트를 계획하고 있다고 덧붙였다. 한편 콘셉트 매장이 들어선 빌딩은 과거 소니와 마이크로소프트가 콘셉트 매장을 개장했다 폐장한 빌딩이기도 하다. ciokr@idg.co.kr

2015.07.16

사이버보안 대응책 'CIO 목소리부터 키우기'

IT임원들이 사이버보안부터 예산과 CISO 역할 등 보안 이슈들에 대해 논의하고자 한자리에 모였다. 이미지 출처 : Thinkstock 사이버보안 같은 문제들 때문에 CIO들이 야근해야 하는 상황이 발생하지만 미국 뉴저지 북부에서는 최소한 이게 그들만의 문제가 아니라고 인식하는 것 같다. 뉴저지주 소사이어티 포 인포메이션 매니지먼트(Society for Information Management)의 후원 하에 있는 노스 저지 CIO 라운드테이블(North Jersey CIO Roundtable)의 공동 창립자인 마크 샌더는 보안부터 최고경영진과 CIO의 역할까지 다양한 주제로 기술업계 리더들을 계속해서 회의에 참석하게 할 목적을 가지고 있다. “엄청난 정보 교환이 일어난다”고 샌더스는 그 회의들에 대해 이야기했다. “CIO의 업무는 외롭다. 그래서 동료들과 대화를 나누고 그들에게 배우는 게 도움이 된다”고 그는 덧붙였다. 샌더는 뉴욕시 외곽에 있는 대기업의 CIO들이 함께하도록 라운드테이블 세션을 시작했고, 네트워킹 행사라고 너무 자주 날아오는 업체 행사들과 다른 자유로운 공간을 제공하고자 했다고 설명했다. “이런 대형 CIO들이 일반적인 회의에 참석하지 않는 이유는 이직을 원하는 관리자나 디렉터들을 피하고 싶었기 때문이다”고 그는 말했다. 6월 초 샌더는 FBI와 뉴저지주 사이버범죄 특수부 검사 등을 강연자로 초대해 보안 이슈에 초점을 맞춰 라운드테이블을 개최했다. 여기 참석한 사람들은 점점 늘어가는 사이버 위협이 제시하는 과제들에 대한 솔직한 생각을 전했다. 샌더는 해킹 이유를 크게 정치적인 것과 금전적인 것 2가지로 나눴다. 물론 상당한 뉘앙스로 이야기가 채워졌지만, 크게 보면 회사들은 사이버 위협에 대항해 경계를 강화하는데 아주 어려움을 겪고 있다. CIO·CISO, 사이버 위협을 격퇴하려면 조직 내에서 다양한 권한 ...

CIO 타깃 정보 유출 협력사 대응 사이버보안 예산 CISO 교육 라운드테이블

2015.06.30

IT임원들이 사이버보안부터 예산과 CISO 역할 등 보안 이슈들에 대해 논의하고자 한자리에 모였다. 이미지 출처 : Thinkstock 사이버보안 같은 문제들 때문에 CIO들이 야근해야 하는 상황이 발생하지만 미국 뉴저지 북부에서는 최소한 이게 그들만의 문제가 아니라고 인식하는 것 같다. 뉴저지주 소사이어티 포 인포메이션 매니지먼트(Society for Information Management)의 후원 하에 있는 노스 저지 CIO 라운드테이블(North Jersey CIO Roundtable)의 공동 창립자인 마크 샌더는 보안부터 최고경영진과 CIO의 역할까지 다양한 주제로 기술업계 리더들을 계속해서 회의에 참석하게 할 목적을 가지고 있다. “엄청난 정보 교환이 일어난다”고 샌더스는 그 회의들에 대해 이야기했다. “CIO의 업무는 외롭다. 그래서 동료들과 대화를 나누고 그들에게 배우는 게 도움이 된다”고 그는 덧붙였다. 샌더는 뉴욕시 외곽에 있는 대기업의 CIO들이 함께하도록 라운드테이블 세션을 시작했고, 네트워킹 행사라고 너무 자주 날아오는 업체 행사들과 다른 자유로운 공간을 제공하고자 했다고 설명했다. “이런 대형 CIO들이 일반적인 회의에 참석하지 않는 이유는 이직을 원하는 관리자나 디렉터들을 피하고 싶었기 때문이다”고 그는 말했다. 6월 초 샌더는 FBI와 뉴저지주 사이버범죄 특수부 검사 등을 강연자로 초대해 보안 이슈에 초점을 맞춰 라운드테이블을 개최했다. 여기 참석한 사람들은 점점 늘어가는 사이버 위협이 제시하는 과제들에 대한 솔직한 생각을 전했다. 샌더는 해킹 이유를 크게 정치적인 것과 금전적인 것 2가지로 나눴다. 물론 상당한 뉘앙스로 이야기가 채워졌지만, 크게 보면 회사들은 사이버 위협에 대항해 경계를 강화하는데 아주 어려움을 겪고 있다. CIO·CISO, 사이버 위협을 격퇴하려면 조직 내에서 다양한 권한 ...

2015.06.30

'154달러 대 58센트' 데이터 가치는 건당 얼마로 봐야할까?

해킹당한 데이터 비용은 기록당 얼마로 산정해야 타당할까? 58센트? 아니면 154달러? 이미지 출처 : Branson Convention and Visitors Bureau 사건 대응 계획을 준비하는 기업들뿐만이 아니라 보험사, 규제당국, 감사자, 기타 기업들이 이런 사건에 충분히 대비하거나 보호를 받을 수 있도록 하는 기관에 따라 이 비용을 달리 산정할 수 있다. 그렇다면, 어떻게 154달러와 58센트라는 비용이 산출됐을까? 154달러는 포네몬 연구소(Ponemon Institute)가 2014년 해킹당한 350개 기업들에 대한 분석에 기초하고 있다. 포네몬은 10년 동안 다듬은 해킹에 대한 실제 비용에 기초한 분석 모델을 사용했다. 58센트는 버라이즌(Verizon)이 2014년에 제기된 191건의 보험 청구에 기초하며, 이 회사는 올 해 처음으로 이 수치를 발표했다. 포네몬은 다양한 데이터 출처 외에도 간접적인 비용을 포함시켰지만 버라이즌은 그렇지 않았다. --------------------------------------------------------------- 정보 보호 인기기사 ->책임자 사퇴까지… 대가 톡톡히 치른 정보 유출 사고 9선 -> FBI, SNS 감시할 툴 모색 ->“구글 애널리틱스, 노르웨이 개인정보보호법 위반”••• 정부기관 지적 -> FAQ : 미국 NSA 프리즘 사건의 기반 사실들 -> 오바마 미 대통령 "미국 시민들은 감시당하지 않는다" --------------------------------------------------------------- IBM 시큐리티(IBM Security)의 부사장 칼렙 발로우는 버라이즌의 추산 결과에 대해 “비합리적으로 낮아 보인다”고 말했다. IBM은 올 해 포네몬의 보고서를 ...

CSO 비용 산정 피해 타깃 보험 포네몬 버라이즌 CISO 조사 보상 소송 IBM 해킹 데이터 비용

2015.06.09

해킹당한 데이터 비용은 기록당 얼마로 산정해야 타당할까? 58센트? 아니면 154달러? 이미지 출처 : Branson Convention and Visitors Bureau 사건 대응 계획을 준비하는 기업들뿐만이 아니라 보험사, 규제당국, 감사자, 기타 기업들이 이런 사건에 충분히 대비하거나 보호를 받을 수 있도록 하는 기관에 따라 이 비용을 달리 산정할 수 있다. 그렇다면, 어떻게 154달러와 58센트라는 비용이 산출됐을까? 154달러는 포네몬 연구소(Ponemon Institute)가 2014년 해킹당한 350개 기업들에 대한 분석에 기초하고 있다. 포네몬은 10년 동안 다듬은 해킹에 대한 실제 비용에 기초한 분석 모델을 사용했다. 58센트는 버라이즌(Verizon)이 2014년에 제기된 191건의 보험 청구에 기초하며, 이 회사는 올 해 처음으로 이 수치를 발표했다. 포네몬은 다양한 데이터 출처 외에도 간접적인 비용을 포함시켰지만 버라이즌은 그렇지 않았다. --------------------------------------------------------------- 정보 보호 인기기사 ->책임자 사퇴까지… 대가 톡톡히 치른 정보 유출 사고 9선 -> FBI, SNS 감시할 툴 모색 ->“구글 애널리틱스, 노르웨이 개인정보보호법 위반”••• 정부기관 지적 -> FAQ : 미국 NSA 프리즘 사건의 기반 사실들 -> 오바마 미 대통령 "미국 시민들은 감시당하지 않는다" --------------------------------------------------------------- IBM 시큐리티(IBM Security)의 부사장 칼렙 발로우는 버라이즌의 추산 결과에 대해 “비합리적으로 낮아 보인다”고 말했다. IBM은 올 해 포네몬의 보고서를 ...

2015.06.09

칼럼 | 고도화된 공격이었다? '정교함'을 가늠하는 8가지 기준

사이버 공격을 분류하는 다음의 8가지 규칙은 보다 나은 보안 정책으로 인도하는 가이드라인이 될 수 있다. 사이버 공격을 받은 조직이 "정교한 공격"을 받았다고 말하는 데에는 이유가 있다. 하지만 정교한 공격을 받았다고 말한다고 해서 실제 그 공격이 정교했던 것을 의미하는 것은 아니다. -> 칼럼 | '정교한' 공격이라서 당했다고? 진짜? 우리는 논의 끝에 공격이 정교한지 여부를 판단하는 규칙을 수립했으며, 우리의 이름(Ira+Ari)을 합성해 아이러리(Irari) 규칙이라고 이름 붙였다. 다음 조건 중 하나에 해당되는 경우 공격은 정교하지 않은 것으로 본다. - 감지됐어야 하는 악성 소프트웨어가 사용된 공격이다. - 알려진 취약성을 이용한 공격이다. - 멀티팩터 인증을 사용하지 않고 있었다. - 중요 서버의 정적인 암호가 사용된 환경에서의 공격이다. - 강력하고 포괄적인 경각심 고취 프로그램이 없었던 환경에서의 피싱(Phishin) 공격이다. - 감지 메커니즘이 없거나 무시되었다. - 적절한 네트워크 분할이 이뤄지지 않은 환경이었다. - 악용된 사용자 및 관리자 계정에 과도한 권한이 할당돼 있었다. 돈자루를 은행 로비에 내버려 둔다면 전문적인 범죄자가 훔치든 아니면 길거리의 폭력배가 훔치든 차이가 없을 것이다. 최소한의 기술과 의도만 있다면 누구든 할 수 있는 것이다. 조직에서 공격이 정교하다고 말할 때는 막기가 어려웠다는 이야기를 하고 싶은 것이다. 하지만 공격이 정교해 보일지라도 실제로는 꽤나 기본적인 수준인 경우가 대다수다. 일례로 FBI는 지난 해 소니(Sony)에 대한 공격을 정교한 것으로 규정했다. 그러나 과연 그럴까? 분명 관리자 크리덴셜이 악성 소프트웨어에 변경할 수 없게 기록되어 있었다. 하지만 악성 소프트웨어의 존재를 감지했어야 했다. 그리고 관리자 크리덴셜이 있었다는...

보안 해킹 소니 공격 누출 위협 타깃 아이러리

2015.04.27

사이버 공격을 분류하는 다음의 8가지 규칙은 보다 나은 보안 정책으로 인도하는 가이드라인이 될 수 있다. 사이버 공격을 받은 조직이 "정교한 공격"을 받았다고 말하는 데에는 이유가 있다. 하지만 정교한 공격을 받았다고 말한다고 해서 실제 그 공격이 정교했던 것을 의미하는 것은 아니다. -> 칼럼 | '정교한' 공격이라서 당했다고? 진짜? 우리는 논의 끝에 공격이 정교한지 여부를 판단하는 규칙을 수립했으며, 우리의 이름(Ira+Ari)을 합성해 아이러리(Irari) 규칙이라고 이름 붙였다. 다음 조건 중 하나에 해당되는 경우 공격은 정교하지 않은 것으로 본다. - 감지됐어야 하는 악성 소프트웨어가 사용된 공격이다. - 알려진 취약성을 이용한 공격이다. - 멀티팩터 인증을 사용하지 않고 있었다. - 중요 서버의 정적인 암호가 사용된 환경에서의 공격이다. - 강력하고 포괄적인 경각심 고취 프로그램이 없었던 환경에서의 피싱(Phishin) 공격이다. - 감지 메커니즘이 없거나 무시되었다. - 적절한 네트워크 분할이 이뤄지지 않은 환경이었다. - 악용된 사용자 및 관리자 계정에 과도한 권한이 할당돼 있었다. 돈자루를 은행 로비에 내버려 둔다면 전문적인 범죄자가 훔치든 아니면 길거리의 폭력배가 훔치든 차이가 없을 것이다. 최소한의 기술과 의도만 있다면 누구든 할 수 있는 것이다. 조직에서 공격이 정교하다고 말할 때는 막기가 어려웠다는 이야기를 하고 싶은 것이다. 하지만 공격이 정교해 보일지라도 실제로는 꽤나 기본적인 수준인 경우가 대다수다. 일례로 FBI는 지난 해 소니(Sony)에 대한 공격을 정교한 것으로 규정했다. 그러나 과연 그럴까? 분명 관리자 크리덴셜이 악성 소프트웨어에 변경할 수 없게 기록되어 있었다. 하지만 악성 소프트웨어의 존재를 감지했어야 했다. 그리고 관리자 크리덴셜이 있었다는...

2015.04.27

'보안 사고는 어디서나 발생한다' 주요 산업별로 본 현황

개인간 상해 전문 법률사무소인 모건&모건(Morgan & Morgan)이 2015년 이후 발생한 미국내 정보 유출 사고 9억 3,000만 건의 데이터를 취합해 정리했다. 2010년 개인 정보 유출에 대해 공지 받은 사람이라면, 9명 중 1명은 사기 피해자가 될 가능성이 있다. 2012년까지 이 가능성은 4명 중 1명으로 높아졌다. 2014년에 이는 3명 중 1명으로 조사됐다. 지난 10년 동안 발생했던 정보 유출 사고를 지역과 업종별로 나눠보았다. ciokr@idg.co.kr

CSO 업종 타깃 NGO 정보 유출 인포그래픽 대학 침해 사고 CISO 유통 의료 소니픽처스

2015.04.14

개인간 상해 전문 법률사무소인 모건&모건(Morgan & Morgan)이 2015년 이후 발생한 미국내 정보 유출 사고 9억 3,000만 건의 데이터를 취합해 정리했다. 2010년 개인 정보 유출에 대해 공지 받은 사람이라면, 9명 중 1명은 사기 피해자가 될 가능성이 있다. 2012년까지 이 가능성은 4명 중 1명으로 높아졌다. 2014년에 이는 3명 중 1명으로 조사됐다. 지난 10년 동안 발생했던 정보 유출 사고를 지역과 업종별로 나눠보았다. ciokr@idg.co.kr

2015.04.14

칼럼 | 보안 문제를 해결하기 어려운 6가지 이유

지난해 역사상 최대 규모의 카드 정보 도난 사건이 밝혀진 여파로 타깃Target) CEO와 CIO가 사임할 당시, C레벨 인사들에게 일종의 경고문이 배달됐다는 인식이 퍼졌다. 기업 보안을 진지하게 고려하지 않을 경우에는 어떤 결과가 초래되는지 이미 명확하게 밝혀졌다. 그 이후에도 유명한 기업들의 데이터 유출 사건이 연이어 터졌다. 마이클스(Michaels), PF 챙(PF Chang’s), 커뮤니티 헬스 시스템(Community Health Systems), UPS, 데어리 퀸(Dairy Queen), 굿윌(Goodwill), 홈 디포(Home Depot), JP 모건 체이스(JP Morgan Chase), K마트(Kmart), 스테이플스(Staples), 그리고 최악의 오명을 뒤집어쓴 소니까지. 소니의 경우 소니 픽처스 임원 에이미 파스칼뿐만 아니라 소니라는 브랜드 자체도 치명타를 입었다. 이처럼 무차별 개인 정보 유출 사건이 난무하는데 어떻게 아무것도 바뀌지 않았을까? 인포월드(Inforwrold)의 기고자인 로저 그라임스가 반복해서 주장하는 바에 따르면, 이러한 공격을 차단할 수 있는 모범 사례는 정말로 명확하다. 소니는 2014년 사태 이전에도 해킹 침해에 취약한 것으로도 유명했다. 로저는 “대부분 기업에서의 전반적인 컴퓨터 보안은 한심한 수준”이라며, 소니의 침해 사건을 계기로 다시 한 번 모두에게 상기했다. 위에 언급한 데이터 유출 사건들 덕에 보안에 대한 인식은 상당히 높아졌다. 그런데도 올해 역시 대형 사건이 거의 확실히 일어날 것으로 관측된다. 그 이유는 무엇일까? 지금부터 보안 사건이 끊임없이 발생하는 원인에 대해 살펴보자. 1.경영진의 확률 도박 보안은 비용을 유발하고, 일반적인 운영에 부가적인 단계를 추가함으로써 생산성에도 지장을 초래한다. 위험을 낮춘 업적으로 업계 찬사를 받는 경영진은 없지만, 단기적인 수익성에 따른 평판은 달콤한데다, 최고 경영진 자리는 자주 바뀐다. 이들의 재임...

CIO CEO 보안 사고 타깃

2015.03.26

지난해 역사상 최대 규모의 카드 정보 도난 사건이 밝혀진 여파로 타깃Target) CEO와 CIO가 사임할 당시, C레벨 인사들에게 일종의 경고문이 배달됐다는 인식이 퍼졌다. 기업 보안을 진지하게 고려하지 않을 경우에는 어떤 결과가 초래되는지 이미 명확하게 밝혀졌다. 그 이후에도 유명한 기업들의 데이터 유출 사건이 연이어 터졌다. 마이클스(Michaels), PF 챙(PF Chang’s), 커뮤니티 헬스 시스템(Community Health Systems), UPS, 데어리 퀸(Dairy Queen), 굿윌(Goodwill), 홈 디포(Home Depot), JP 모건 체이스(JP Morgan Chase), K마트(Kmart), 스테이플스(Staples), 그리고 최악의 오명을 뒤집어쓴 소니까지. 소니의 경우 소니 픽처스 임원 에이미 파스칼뿐만 아니라 소니라는 브랜드 자체도 치명타를 입었다. 이처럼 무차별 개인 정보 유출 사건이 난무하는데 어떻게 아무것도 바뀌지 않았을까? 인포월드(Inforwrold)의 기고자인 로저 그라임스가 반복해서 주장하는 바에 따르면, 이러한 공격을 차단할 수 있는 모범 사례는 정말로 명확하다. 소니는 2014년 사태 이전에도 해킹 침해에 취약한 것으로도 유명했다. 로저는 “대부분 기업에서의 전반적인 컴퓨터 보안은 한심한 수준”이라며, 소니의 침해 사건을 계기로 다시 한 번 모두에게 상기했다. 위에 언급한 데이터 유출 사건들 덕에 보안에 대한 인식은 상당히 높아졌다. 그런데도 올해 역시 대형 사건이 거의 확실히 일어날 것으로 관측된다. 그 이유는 무엇일까? 지금부터 보안 사건이 끊임없이 발생하는 원인에 대해 살펴보자. 1.경영진의 확률 도박 보안은 비용을 유발하고, 일반적인 운영에 부가적인 단계를 추가함으로써 생산성에도 지장을 초래한다. 위험을 낮춘 업적으로 업계 찬사를 받는 경영진은 없지만, 단기적인 수익성에 따른 평판은 달콤한데다, 최고 경영진 자리는 자주 바뀐다. 이들의 재임...

2015.03.26

타깃, 피해 고객들에 1,000만 달러 지급 '합의'

미국 대형 유통사인 타깃(Target)이 1,000만 달러를 지급하기로 집단 소송 소비자들과 합의했으며 향후 고객 데이터를 더 잘 보호하는데 투자하겠다고 밝혔다. 개별 피해자가 최대 1만 달러까지 받기 위한 미국 연방법원의 승인이 남아 있다. 연말 쇼핑 시즌 동안 발생했던 공격으로 피해를 입은 사람들은 1억 1,000만 명이었다. 미국 미네소타 지방법원에 제출한 문서에 따르면, 이 합의에는 타깃이 취합하는 고객 데이터를 더 잘 보호하기 위한 조치도 포함돼 있다. 타깃은 고객 데이터를 보호하기 위한 보안 프로그램을 개발해 테스트하고 보안 위협을 파악하고 모니터링하는 프로세스를 구축해야 한다. 또 이 회사는 고객 데이터를 안전하게 보관하는 것에 대해 직원들에게 교육시켜야 한다. 합의 이후 타깃은 이러한 조치를 5년 동안 추진하게 된다. 타깃은 이미 요구 사항 중 하나를 준수하고 있다. 그것은 2014년 6월 최고 정보보안 책임자를 임명한 것이다. 이후 타깃은 페이스북 광고, 특정 잡지, 웹사이트 이외에 이메일과 우편으로 피해를 입은 고객들에게 공지할 예정이다. 합의 내용에 관한 정보를 얻는 사람들을 위해 웹사이트와 핫라인 역시 준비될 것이다. 처음 타깃은 2013년 12월 11월 말부터 12월 중순까지 4,000만 개의 신용카드와 직불카드 계좌가 유출됐다고 말했다. 하지만 2014년 1월 타깃은 이 공격으로 7,000만 명의 피해자가 더 발생했다고 발표했다. 해커들은 타깃 시스템에 접근해 결제 데이터를 캡처한 POS 악성코드를 업로드하기 위해 타깃 계약직 직원의 도난 계정 정보를 사용했다. 공격자들은 결제 정보뿐 아니라, 사람 이름, 이메일 주소, 우편주소, 전화 번호를 빼냈다. 이 보안 사고로 지난해 타깃의 CIO와 CEO가 사임했다. 보안 시스템을 강화하고자 타깃은 칩+PIN 신용카드를 도입하고 있다. 이 카드에는 매장의 결제 단말기끼리 주고받는 구체적인 지불 정보를 암호화하는 마이크로 프로세서가 장착돼 있다. ciokr@idg...

개인정보 유통 소송 유출 사고 침해 합의 타깃

2015.03.20

미국 대형 유통사인 타깃(Target)이 1,000만 달러를 지급하기로 집단 소송 소비자들과 합의했으며 향후 고객 데이터를 더 잘 보호하는데 투자하겠다고 밝혔다. 개별 피해자가 최대 1만 달러까지 받기 위한 미국 연방법원의 승인이 남아 있다. 연말 쇼핑 시즌 동안 발생했던 공격으로 피해를 입은 사람들은 1억 1,000만 명이었다. 미국 미네소타 지방법원에 제출한 문서에 따르면, 이 합의에는 타깃이 취합하는 고객 데이터를 더 잘 보호하기 위한 조치도 포함돼 있다. 타깃은 고객 데이터를 보호하기 위한 보안 프로그램을 개발해 테스트하고 보안 위협을 파악하고 모니터링하는 프로세스를 구축해야 한다. 또 이 회사는 고객 데이터를 안전하게 보관하는 것에 대해 직원들에게 교육시켜야 한다. 합의 이후 타깃은 이러한 조치를 5년 동안 추진하게 된다. 타깃은 이미 요구 사항 중 하나를 준수하고 있다. 그것은 2014년 6월 최고 정보보안 책임자를 임명한 것이다. 이후 타깃은 페이스북 광고, 특정 잡지, 웹사이트 이외에 이메일과 우편으로 피해를 입은 고객들에게 공지할 예정이다. 합의 내용에 관한 정보를 얻는 사람들을 위해 웹사이트와 핫라인 역시 준비될 것이다. 처음 타깃은 2013년 12월 11월 말부터 12월 중순까지 4,000만 개의 신용카드와 직불카드 계좌가 유출됐다고 말했다. 하지만 2014년 1월 타깃은 이 공격으로 7,000만 명의 피해자가 더 발생했다고 발표했다. 해커들은 타깃 시스템에 접근해 결제 데이터를 캡처한 POS 악성코드를 업로드하기 위해 타깃 계약직 직원의 도난 계정 정보를 사용했다. 공격자들은 결제 정보뿐 아니라, 사람 이름, 이메일 주소, 우편주소, 전화 번호를 빼냈다. 이 보안 사고로 지난해 타깃의 CIO와 CEO가 사임했다. 보안 시스템을 강화하고자 타깃은 칩+PIN 신용카드를 도입하고 있다. 이 카드에는 매장의 결제 단말기끼리 주고받는 구체적인 지불 정보를 암호화하는 마이크로 프로세서가 장착돼 있다. ciokr@idg...

2015.03.20

해커들이 중소기업을 노리는 이유

사이버범죄자들이 현재 중견중소기업들을 노리기 시작했다. 단순히 돈을 벌기 위해서가 아니라 수 천 개의 자동화 툴 덕분에 중견중소기업들을 공격하는 게 쉬워져 너무나도 많은 중견중소기업들이 쉬운 공격 대상이 됐다. Credit: Shutterstock 기업 규모와 사이버범죄 위협 수준 간에 상관 관계가 있을까? 글로벌 사이버 리스크(Global Cyber Risk)의 CEO 조디 웨츠비는 “해커들이 고려하는 것은 데이터의 매력도지 대상 기업의 크기가 아니다. 개인 정보, 신용 카드 데이터, 의료 데이터, 지적 자산 등, 욕심낼만한 정보가 이들을 움직이게 한다”라고 밝혔다. 대부분 전문가들의 생각도 이와 다르지 않다. 그러나 데이터의 가치만이 사이버범죄율을 높이는 유일한 변인은 아니다. 강철 금고 안에 보관된 다이아몬드보다 상자 안에 보관된 금괴에 더 많은 도둑이 꼬인다는 게 전문가들의 비유다. 즉, 중소기업들이 보유한 데이터가 절대적인 가치는 더 작더라도, 공략하기 쉽기 때문에 범죄 대상이 될 가능성이 더 높은 것이다. 그동안 중소기업들은 예산 부족 등의 이유로 보안망에 충분히 투자하지 못했다. 이들과 대기업 간의 정보 가치 격차가 컸던 과거에는 이것이 그리 큰 문제가 되지 않았다. 하지만 이제는 모든 기업들이 막대한 데이터를 축적하고 관리하게 됐으며, 그에 따라 사이버범죄자들의 관심이 중소기업으로 옮겨가는 추세다. 카네기멜론 대학에서 소프트웨어 엔지니어링 연구소 컴퓨터 침해 사고 대응(CERT) 부문을 이끌고 있는 최고 과학자 그렉 셰넌은 “공격자들의 입장에서 중소기업들을 해킹하는 것은 상대적으로 언론의 이목을 덜 끈다는 장점도 있다. 빼낼 수 있는 데이터의 양과 질은 그리 아쉽지 않으면서 문제가 커질 위험이 낮은 매력적인 공격 대상인 셈이다”라고 설명했다. 셰넌(왼쪽 사진)은 “중소기업들에 대한 공격이 늘어난 또다른 원인은 공격 활동의 자동화다. 범죄자들은 ...

데이터 타깃 중견중소기업 대기업 공격 SMB CISO 사이버범죄 CSO 대상

2015.01.14

사이버범죄자들이 현재 중견중소기업들을 노리기 시작했다. 단순히 돈을 벌기 위해서가 아니라 수 천 개의 자동화 툴 덕분에 중견중소기업들을 공격하는 게 쉬워져 너무나도 많은 중견중소기업들이 쉬운 공격 대상이 됐다. Credit: Shutterstock 기업 규모와 사이버범죄 위협 수준 간에 상관 관계가 있을까? 글로벌 사이버 리스크(Global Cyber Risk)의 CEO 조디 웨츠비는 “해커들이 고려하는 것은 데이터의 매력도지 대상 기업의 크기가 아니다. 개인 정보, 신용 카드 데이터, 의료 데이터, 지적 자산 등, 욕심낼만한 정보가 이들을 움직이게 한다”라고 밝혔다. 대부분 전문가들의 생각도 이와 다르지 않다. 그러나 데이터의 가치만이 사이버범죄율을 높이는 유일한 변인은 아니다. 강철 금고 안에 보관된 다이아몬드보다 상자 안에 보관된 금괴에 더 많은 도둑이 꼬인다는 게 전문가들의 비유다. 즉, 중소기업들이 보유한 데이터가 절대적인 가치는 더 작더라도, 공략하기 쉽기 때문에 범죄 대상이 될 가능성이 더 높은 것이다. 그동안 중소기업들은 예산 부족 등의 이유로 보안망에 충분히 투자하지 못했다. 이들과 대기업 간의 정보 가치 격차가 컸던 과거에는 이것이 그리 큰 문제가 되지 않았다. 하지만 이제는 모든 기업들이 막대한 데이터를 축적하고 관리하게 됐으며, 그에 따라 사이버범죄자들의 관심이 중소기업으로 옮겨가는 추세다. 카네기멜론 대학에서 소프트웨어 엔지니어링 연구소 컴퓨터 침해 사고 대응(CERT) 부문을 이끌고 있는 최고 과학자 그렉 셰넌은 “공격자들의 입장에서 중소기업들을 해킹하는 것은 상대적으로 언론의 이목을 덜 끈다는 장점도 있다. 빼낼 수 있는 데이터의 양과 질은 그리 아쉽지 않으면서 문제가 커질 위험이 낮은 매력적인 공격 대상인 셈이다”라고 설명했다. 셰넌(왼쪽 사진)은 “중소기업들에 대한 공격이 늘어난 또다른 원인은 공격 활동의 자동화다. 범죄자들은 ...

2015.01.14

신간 인터뷰 | "모든 C-레벨의 2015년 화두는 정보보안" 강은성 대표

안랩의 연구소장과 시큐리티대응센터장을 거치고, SK커뮤니케이션즈의 최고보안책임자(CSO)를 역임한 강은성 대표가 새 책 <CxO가 알아야 할 정보보안(한빛미디어, 2015)>을 냈다. 강 대표는 현재 CISO Lab을 설립해 기업 차원의 보안위험 대응 전략을 탐구하여 기업 보안컨설팅과 보안교육을 진행하고 있으며, 이 책은 그 동안 강 대표가 현장에서 경험한 사례들을 바탕으로 C-레벨이라면 꼭 알아야 할 보안 관련 지식과 정보를 담았다. 다음은 강 대표와의 일문일답이다. CIO KR : 먼저 <CxO가 알아야 할 정보보안>을 쓰게 된 동기가 무엇인지? 강은성 대표(이하 강 대표) : 이제 기업에서 보안 위험은 재무, 법률, 평판, 기업 비밀 등 기업의 안정적 성장을 위협하는 중요한 위험 중의 하나가 되었다. 대기업 임원으로서 정보보호최고책임자(CISO)와 개인정보보호책임자(CPO)를 맡아 일하면서 기업 보안을 위해 수많은 일을 해 왔는데, 잘 하고 있는 건지 늘 고민이 많았다. 그러다 외부 기관에서 주관한 CISO 교육을 받고, 유사한 다른 교육을 분석해 보니 그러한 교육의 강점과 한계가 보여 기업의 CEO를 비롯한 임원, 정보보호책임자가 기업의 보안 위험을 최소화하는 데 꼭 필요하면서도 재미있게 읽을 수 있는 책을 쓰고 싶었다. CIO KR : <CxO가 알아야 할 정보보안>의 주요 내용을 간략하게 소개하자면? 강 대표 : 이 책은 필자 개인의 경험과 연구를 바탕으로 전ㆍ현직 정보보호책임자의 경험과 조언을 녹여서 CxO가 정보보안의 큰 그림을 그리면서 구체적인 도움을 얻을 수 있도록 구성하였다. 1장에서 정보보호책임자의 업무를 5가지 영역으로 분류하고, 그것을 2장부터 5장까지 설명했다. 2장에서는 경영적 관점에서 정보보호를 바라 보는 정보보호 거버넌스 영역을 기술했고, 3장에서는 보안위험과 보안대책을 탐구하는 관리체계 영역과 중요자산 보호 영역, 4장에서는 요즘 많은 기업에서 발생하는 정보보호 사건ㆍ...

CSO 홈데포 강은성 타깃 신간 CxO 보안 사고 악성코드 CISO 개인정보 보호 CxO가 알아야 할 정보보안

2015.01.07

안랩의 연구소장과 시큐리티대응센터장을 거치고, SK커뮤니케이션즈의 최고보안책임자(CSO)를 역임한 강은성 대표가 새 책 <CxO가 알아야 할 정보보안(한빛미디어, 2015)>을 냈다. 강 대표는 현재 CISO Lab을 설립해 기업 차원의 보안위험 대응 전략을 탐구하여 기업 보안컨설팅과 보안교육을 진행하고 있으며, 이 책은 그 동안 강 대표가 현장에서 경험한 사례들을 바탕으로 C-레벨이라면 꼭 알아야 할 보안 관련 지식과 정보를 담았다. 다음은 강 대표와의 일문일답이다. CIO KR : 먼저 <CxO가 알아야 할 정보보안>을 쓰게 된 동기가 무엇인지? 강은성 대표(이하 강 대표) : 이제 기업에서 보안 위험은 재무, 법률, 평판, 기업 비밀 등 기업의 안정적 성장을 위협하는 중요한 위험 중의 하나가 되었다. 대기업 임원으로서 정보보호최고책임자(CISO)와 개인정보보호책임자(CPO)를 맡아 일하면서 기업 보안을 위해 수많은 일을 해 왔는데, 잘 하고 있는 건지 늘 고민이 많았다. 그러다 외부 기관에서 주관한 CISO 교육을 받고, 유사한 다른 교육을 분석해 보니 그러한 교육의 강점과 한계가 보여 기업의 CEO를 비롯한 임원, 정보보호책임자가 기업의 보안 위험을 최소화하는 데 꼭 필요하면서도 재미있게 읽을 수 있는 책을 쓰고 싶었다. CIO KR : <CxO가 알아야 할 정보보안>의 주요 내용을 간략하게 소개하자면? 강 대표 : 이 책은 필자 개인의 경험과 연구를 바탕으로 전ㆍ현직 정보보호책임자의 경험과 조언을 녹여서 CxO가 정보보안의 큰 그림을 그리면서 구체적인 도움을 얻을 수 있도록 구성하였다. 1장에서 정보보호책임자의 업무를 5가지 영역으로 분류하고, 그것을 2장부터 5장까지 설명했다. 2장에서는 경영적 관점에서 정보보호를 바라 보는 정보보호 거버넌스 영역을 기술했고, 3장에서는 보안위험과 보안대책을 탐구하는 관리체계 영역과 중요자산 보호 영역, 4장에서는 요즘 많은 기업에서 발생하는 정보보호 사건ㆍ...

2015.01.07

책임자 사퇴까지… 대가 톡톡히 치른 정보 유출 사고 9선

지난해 말 발생한 미국의 대형 할인점 타깃(Target)의 고객 정보 유출 사고로 결국 관련 임원이 퇴사했다. <CSO>는 이밖에도 책임자가 사퇴하는 일까지 초래했던 9건의 대형 정보 유출 사고를 정리해 보았다. ciokr@idg.co.kr

CIO USB 정보 유출 퇴사 사퇴 분실 사고 병원 CISO 공공 유통 의료 데이터 유출 CSO 타깃

2014.12.23

지난해 말 발생한 미국의 대형 할인점 타깃(Target)의 고객 정보 유출 사고로 결국 관련 임원이 퇴사했다. <CSO>는 이밖에도 책임자가 사퇴하는 일까지 초래했던 9건의 대형 정보 유출 사고를 정리해 보았다. ciokr@idg.co.kr

2014.12.23

미안하거나 민망하거나… 2014년 IT기업 사과 사례들

2014년 또한 유명 기업, 떠오르는 스타트업, 그리고 개인들이 그들의 각종 멍청하고 황당하고 후회스러운 행동들에 대해 스스로를 탓하는 안타까운 모습이 연출됐다. 여기에 올해 지금까지 있었던 그런 사과들을 실어보았다. 단 올해 막바지에 다시 업데이트가 필요할 것 같은 느낌도 든다. 우선, 이 목록을 살펴보기에 앞서 보스턴에서 “내가 사과한다(I Apologize)”를 부르는 밥 몰드의 음악부터 틀어보자. 애플: iOS 혼란 애플은 버그가 있던 iOS8을 발표한 후 곧바로 더 많은 버그를 가진 iOS8.0.1 패치를 내놓으며 파티를 스스로 망쳐버렸다. 애플은 재빠르게 그 패치를 거둬들이면서 고객들에게 패치 취소 방법을 알렸다. 사과도 덧붙였다. “우리는 사용자들의 큰 불편 경험에 대해 사과하고 문제가 해결된 iOS 8.0.2를 내놓기 위해 쉬지 않고 일하고 있습니다.” 스냅챗: 누출 2013년 많은 이들은 스냅챗이 페이스북의 30억달러 인수 제의를 거절했다는 소식에 놀라움을 표시했다. 하지만 스냅챗은 2014년 1월 스냅챗 사용자 수백 만 명의 이름/전화번호가 노출되어버린 유출사건을 겪었다. 결국 그런 콧대 높은 이미지가 많이 꺾였다. 스냅챗은 1월 2일 그런 보안 결함을 인정했지만 공식 사과는 사건 발생으로부터 일주일이나 지난 뒤에 나왔다. 구글: 나찌 문제 구글은 테오도르-호이스-플라츠(Theodor-Heuss-Platz)라 알려진 독일 베를린의 교차로를 아돌프-히틀러-플라츠(Adolf-Hitler-Platz)라고 구글 지도상에 실수로 표시한 점에 대해 사과했다. 구글이 야후 뉴스를 통해 발표한 사건의 전말은, 사용자가 구글에 올린 편집 내역이 “구글 조정자 혹은 지도 자원봉사자”에 의해 실수로 승인되었다는 것이었다. 구글은 “이렇게 도로명 변경이 실수로 승인된 경우, 우리는 사건이 파악되는 대로 수정한다. 우리는 나찌 연관성으로 고통 받았을 모...

삼성 에단 주커만 공개사과 스냅챗 타깃 드롭박스 야후 마이크로소프트 애플 페이스북 구글 홈 디포

2014.10.01

2014년 또한 유명 기업, 떠오르는 스타트업, 그리고 개인들이 그들의 각종 멍청하고 황당하고 후회스러운 행동들에 대해 스스로를 탓하는 안타까운 모습이 연출됐다. 여기에 올해 지금까지 있었던 그런 사과들을 실어보았다. 단 올해 막바지에 다시 업데이트가 필요할 것 같은 느낌도 든다. 우선, 이 목록을 살펴보기에 앞서 보스턴에서 “내가 사과한다(I Apologize)”를 부르는 밥 몰드의 음악부터 틀어보자. 애플: iOS 혼란 애플은 버그가 있던 iOS8을 발표한 후 곧바로 더 많은 버그를 가진 iOS8.0.1 패치를 내놓으며 파티를 스스로 망쳐버렸다. 애플은 재빠르게 그 패치를 거둬들이면서 고객들에게 패치 취소 방법을 알렸다. 사과도 덧붙였다. “우리는 사용자들의 큰 불편 경험에 대해 사과하고 문제가 해결된 iOS 8.0.2를 내놓기 위해 쉬지 않고 일하고 있습니다.” 스냅챗: 누출 2013년 많은 이들은 스냅챗이 페이스북의 30억달러 인수 제의를 거절했다는 소식에 놀라움을 표시했다. 하지만 스냅챗은 2014년 1월 스냅챗 사용자 수백 만 명의 이름/전화번호가 노출되어버린 유출사건을 겪었다. 결국 그런 콧대 높은 이미지가 많이 꺾였다. 스냅챗은 1월 2일 그런 보안 결함을 인정했지만 공식 사과는 사건 발생으로부터 일주일이나 지난 뒤에 나왔다. 구글: 나찌 문제 구글은 테오도르-호이스-플라츠(Theodor-Heuss-Platz)라 알려진 독일 베를린의 교차로를 아돌프-히틀러-플라츠(Adolf-Hitler-Platz)라고 구글 지도상에 실수로 표시한 점에 대해 사과했다. 구글이 야후 뉴스를 통해 발표한 사건의 전말은, 사용자가 구글에 올린 편집 내역이 “구글 조정자 혹은 지도 자원봉사자”에 의해 실수로 승인되었다는 것이었다. 구글은 “이렇게 도로명 변경이 실수로 승인된 경우, 우리는 사건이 파악되는 대로 수정한다. 우리는 나찌 연관성으로 고통 받았을 모...

2014.10.01

"7천만 고객정보, 이렇게 빼냈다" 타깃 해킹 11단계

액티브 디렉토리(Active Directory) 모니터링 및 보호에 특화된 보안 기업 아오라토(Aorato)의 조사 결과에 따르면, 대형 소매업체인 타깃(Target)은 지난 해 발생한 데이터 침해 사건으로 많은 PII(Personal Identifiable Information, 개인 식별 정보), 신용카드, 현금카드 데이터를 도난 당했지만, PCI 컴플라이언스 프로그램 덕분에 피해 규모를 크게 줄일 수 있었다. 아오라토의 수석 연구원 탈 베리를 비롯한 연구팀은 공개된 자료와 보고서를 활용해 공격자들이 타깃 공격에 사용한 툴을 모두 분류했다. 타깃에 잠입한 방법, 네트워크에서 번식을 한 방법, 인터넷과 직접 연결되지 않은 PoS(Point of Sales) 시스템에서 신용카드 데이터를 훔친 방법 등을 단계별로 분석한 것이다. 아직 자세히 밝혀지지 않은 침해 방법이 많다. 그러나 베리는 어떻게 공격이 이뤄졌는지 이해하는 것이 아주 중요하다고 강조했다. 지난 주, 미국 국토안보부(DHS)와 비밀경호국(Secret Service)는 타깃의 PoS 시스템 공격에 사용된 맬웨어가 지난 몇 년간 다른 수많은 PoS 시스템을 감염시켰다는 내용을 골자로 하는 경고 보고서를 발표한 바 있다. 추적 기법은 '사이버 고생물학' 베리는 아오라토의 세부 분석 중 일부는 틀릴 수도 있다고 인정했다. 그러나 재구성 자체는 아주 정확하다고 확신했다. 베리는 "일종의 '사이버 고생물학(화석 분석)'이다. 타깃 사건에서 확인된 툴에 관해서는 많은 보고서가 나와있다. 그러나 공격자들이 이들 툴을 이용한 방법을 설명하고 있지는 않다. 공룡 뼈는 있는데, 그 뼈의 주인인 공룡이 어떤 모습을 하고 있는지 모르는 것과 마찬가지이다. 그러나 우리는 다른 공룡이 어떤 모습을 하고 있는지 안다. 이를 바탕으로 그 뼈의 주인인 공룡을 재구성할 수 있었다"고 말했다. 타깃의 데이터 침해 소식은 지난 20...

해킹 개인정보 맬웨어 유출 침해 침투 타깃 아오라토

2014.09.04

액티브 디렉토리(Active Directory) 모니터링 및 보호에 특화된 보안 기업 아오라토(Aorato)의 조사 결과에 따르면, 대형 소매업체인 타깃(Target)은 지난 해 발생한 데이터 침해 사건으로 많은 PII(Personal Identifiable Information, 개인 식별 정보), 신용카드, 현금카드 데이터를 도난 당했지만, PCI 컴플라이언스 프로그램 덕분에 피해 규모를 크게 줄일 수 있었다. 아오라토의 수석 연구원 탈 베리를 비롯한 연구팀은 공개된 자료와 보고서를 활용해 공격자들이 타깃 공격에 사용한 툴을 모두 분류했다. 타깃에 잠입한 방법, 네트워크에서 번식을 한 방법, 인터넷과 직접 연결되지 않은 PoS(Point of Sales) 시스템에서 신용카드 데이터를 훔친 방법 등을 단계별로 분석한 것이다. 아직 자세히 밝혀지지 않은 침해 방법이 많다. 그러나 베리는 어떻게 공격이 이뤄졌는지 이해하는 것이 아주 중요하다고 강조했다. 지난 주, 미국 국토안보부(DHS)와 비밀경호국(Secret Service)는 타깃의 PoS 시스템 공격에 사용된 맬웨어가 지난 몇 년간 다른 수많은 PoS 시스템을 감염시켰다는 내용을 골자로 하는 경고 보고서를 발표한 바 있다. 추적 기법은 '사이버 고생물학' 베리는 아오라토의 세부 분석 중 일부는 틀릴 수도 있다고 인정했다. 그러나 재구성 자체는 아주 정확하다고 확신했다. 베리는 "일종의 '사이버 고생물학(화석 분석)'이다. 타깃 사건에서 확인된 툴에 관해서는 많은 보고서가 나와있다. 그러나 공격자들이 이들 툴을 이용한 방법을 설명하고 있지는 않다. 공룡 뼈는 있는데, 그 뼈의 주인인 공룡이 어떤 모습을 하고 있는지 모르는 것과 마찬가지이다. 그러나 우리는 다른 공룡이 어떤 모습을 하고 있는지 안다. 이를 바탕으로 그 뼈의 주인인 공룡을 재구성할 수 있었다"고 말했다. 타깃의 데이터 침해 소식은 지난 20...

2014.09.04

IDG 설문조사

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.31