Offcanvas

������

다운타임 1시간=최고 89억 원··· 호주 기업 조사

IT시스템의 1시간 다운타임은 호주 기업에게 50만 호주달러에서 1,000만 달러(한화 약 89억 원)에 달하는 것으로 조사됐다. 페이저듀티(PagerDuty)의 조사에 응한 사람들은 이 금액이 대부분 수익 손실 때문이라고 밝혔다. 개발과 운영 담당 IT전문가 200명 이상의 응답자 가운데 절반 이상은 일주일에 적어도 한 번 이상 시스템에 느려지거나 중단되는 등 고객에 영향을 미치는 사고를 경험한다고 말했다. 이 조사에서 39%의 기업이 사고 발생 15분 이내에 디지털 서비스를 백업하고 실행할 수 있다고 밝혔고 약 1/3분은 1시간 이내에 그렇게 할 수 있다고 답했다. 하지만 16%는 문제를 해결하는 데 하루가 걸리는 것으로 파악됐다. 호주 소비자 300명과의 인터뷰도 포함된 이 설문조사에서는 부진한 앱과 온라인 서비스에 관해서 참을성이 없는 사용자가 얼마나 되는지도 보여주었다. 소비자 중 3/4 이상이 응답이 없거나 느린 경우 1분 이내에 디지털 앱이나 서비스를 종료한다고 답했다. 안정성, 속도, 보안 문제는 소비자가 웹 사이트나 모바일 애플리케이션을 사용해 작업을 완료하지 않는 가장 큰 이유 중 하나로 지목됐다. 고객에 대한 부정적인 영향을 주는 다운타임이 발생해도 영향을 받은 사람들과 연락하고자 노력하는 기업은 절반도 안 됐다(44%). 21%의 기업만이 다운타임이 발생한 후 비즈니스 이해 관계자에게 우선순위를 부여했다. 가장 일반적인 반응 과정은 '새로운 코드 개발 및 업데이트'(45%)였다. 응답자들에 따르면, 영업, 연구 개발, 회계, 재무가 IT운영 문제의 영향을 가장 많이 받는 부서로 나타났다. ciokr@idg.co.kr  

CIO 조사 백업 사고 손해 대응 다운타임 피해 페이저듀티

2017.08.02

IT시스템의 1시간 다운타임은 호주 기업에게 50만 호주달러에서 1,000만 달러(한화 약 89억 원)에 달하는 것으로 조사됐다. 페이저듀티(PagerDuty)의 조사에 응한 사람들은 이 금액이 대부분 수익 손실 때문이라고 밝혔다. 개발과 운영 담당 IT전문가 200명 이상의 응답자 가운데 절반 이상은 일주일에 적어도 한 번 이상 시스템에 느려지거나 중단되는 등 고객에 영향을 미치는 사고를 경험한다고 말했다. 이 조사에서 39%의 기업이 사고 발생 15분 이내에 디지털 서비스를 백업하고 실행할 수 있다고 밝혔고 약 1/3분은 1시간 이내에 그렇게 할 수 있다고 답했다. 하지만 16%는 문제를 해결하는 데 하루가 걸리는 것으로 파악됐다. 호주 소비자 300명과의 인터뷰도 포함된 이 설문조사에서는 부진한 앱과 온라인 서비스에 관해서 참을성이 없는 사용자가 얼마나 되는지도 보여주었다. 소비자 중 3/4 이상이 응답이 없거나 느린 경우 1분 이내에 디지털 앱이나 서비스를 종료한다고 답했다. 안정성, 속도, 보안 문제는 소비자가 웹 사이트나 모바일 애플리케이션을 사용해 작업을 완료하지 않는 가장 큰 이유 중 하나로 지목됐다. 고객에 대한 부정적인 영향을 주는 다운타임이 발생해도 영향을 받은 사람들과 연락하고자 노력하는 기업은 절반도 안 됐다(44%). 21%의 기업만이 다운타임이 발생한 후 비즈니스 이해 관계자에게 우선순위를 부여했다. 가장 일반적인 반응 과정은 '새로운 코드 개발 및 업데이트'(45%)였다. 응답자들에 따르면, 영업, 연구 개발, 회계, 재무가 IT운영 문제의 영향을 가장 많이 받는 부서로 나타났다. ciokr@idg.co.kr  

2017.08.02

2017년 사이버보안의 중요한 5가지 사건·사고·통계

사이버보안 산업에 대한 많은 정보가 쏟아져 나오고 있다. 이 가운데 지난해 사이버보안 산업 규모와 향후 5년 전망을 정리했다. 1. 사이버범죄 피해는 2021년까지 미화 6조 달러에 달할 전망이다. 이는 모두 사이버범죄에서 시작하고 끝난다. 사이버범죄가 없다면 사이버방어에도 아무것도 없을 것이다. 사이버범죄 집단과 주요 언론은 사이버범죄 피해가 2021년이면 6조 달러에 달하는 것으로 예상했다. 이는 전년도 3조 달러보다 상승한 수치다. 도널드 트럼프 미국 대통령은 "사이버 도둑질이 미국에서 가장 빠르게 증가하는 범죄"라고 말했다. 2. 가트너에 따르면 사이버범죄의 증가로 제품 및 서비스에 관한 사이버보안 투자가 2016년 800억 달러를 넘어 섰다. 여기에 IoT 기기 보호 및 보안에 대한 총 소비자 투자가 포함돼 있는지는 확실치 않다. 사이버보안 제품과 서비스에 대한 전세계 투자는 2017년부터 2021년까지 향후 5년 동안 1조 달러를 넘어설 전망이다. 3. 사이버범죄로 사이버보안 일자리는 2021년에 350만 개가 공백 상태에 놓이며, 이 숫자는 지금 수준보다 3배 늘어난 규모다. 현재 사이버보안은 IT직종에서 높은 순위에 든다. 모든 IT작업자, 모든 기술 작업자는 앱, 데이터, 기기, 인프라, 사람을 보호하고 방어해야 한다. 사이버보안 인력 부족으로 사이버보안 실업률은 0%로 떨어졌다.   4. 2020년까지 40억 명이 달하는 사람이 사이버공격의 대상이 될 것이다. 세계가 디지털화됨에 따라 사이버범죄자는 컴퓨터 사용자를 최우선 대상으로 삼게 됐다. 마이크로소프트는 2020년까지 40억 명이 온라인에 연결되며, 이는 현재 온라인에 연결된 사람 수의 2배에 달할 것으로 추정했다. --------------------------------------------------------------- 사이버보안 인기기사 ->기고 | 사이버보안 인력이 정말 부족할까? ->2017년 사...

CSO 사물인터넷 피해 IT직종 사이버보안 일자리 CISO 사이버범죄 마이크로소프트 IBM 전망 가트너 2021년

2017.06.16

사이버보안 산업에 대한 많은 정보가 쏟아져 나오고 있다. 이 가운데 지난해 사이버보안 산업 규모와 향후 5년 전망을 정리했다. 1. 사이버범죄 피해는 2021년까지 미화 6조 달러에 달할 전망이다. 이는 모두 사이버범죄에서 시작하고 끝난다. 사이버범죄가 없다면 사이버방어에도 아무것도 없을 것이다. 사이버범죄 집단과 주요 언론은 사이버범죄 피해가 2021년이면 6조 달러에 달하는 것으로 예상했다. 이는 전년도 3조 달러보다 상승한 수치다. 도널드 트럼프 미국 대통령은 "사이버 도둑질이 미국에서 가장 빠르게 증가하는 범죄"라고 말했다. 2. 가트너에 따르면 사이버범죄의 증가로 제품 및 서비스에 관한 사이버보안 투자가 2016년 800억 달러를 넘어 섰다. 여기에 IoT 기기 보호 및 보안에 대한 총 소비자 투자가 포함돼 있는지는 확실치 않다. 사이버보안 제품과 서비스에 대한 전세계 투자는 2017년부터 2021년까지 향후 5년 동안 1조 달러를 넘어설 전망이다. 3. 사이버범죄로 사이버보안 일자리는 2021년에 350만 개가 공백 상태에 놓이며, 이 숫자는 지금 수준보다 3배 늘어난 규모다. 현재 사이버보안은 IT직종에서 높은 순위에 든다. 모든 IT작업자, 모든 기술 작업자는 앱, 데이터, 기기, 인프라, 사람을 보호하고 방어해야 한다. 사이버보안 인력 부족으로 사이버보안 실업률은 0%로 떨어졌다.   4. 2020년까지 40억 명이 달하는 사람이 사이버공격의 대상이 될 것이다. 세계가 디지털화됨에 따라 사이버범죄자는 컴퓨터 사용자를 최우선 대상으로 삼게 됐다. 마이크로소프트는 2020년까지 40억 명이 온라인에 연결되며, 이는 현재 온라인에 연결된 사람 수의 2배에 달할 것으로 추정했다. --------------------------------------------------------------- 사이버보안 인기기사 ->기고 | 사이버보안 인력이 정말 부족할까? ->2017년 사...

2017.06.16

"숨겨진 비용이 더 크다"··· 딜로이트가 분석한 사이버 공격 여파

사이버 공격의 빈도와 강도가 갈수록 높아지고 있다는 데 반박할 사람은 거의 없을 것이다. 지금까지 대부분의 조직이 사이버 사고를 최소 한 번 이상은 겪었다. 그런데 이러한 사고를 겪은 조직은 그 사고가 조직에 미친 영향을 온전히, 완벽하게 파악하고 있을까? 일반적으로 데이터 유출과 관련하여 발생하는 직접적인 비용은 "숨겨진 비용"에 비하면 미미한 수준이라고 할 수 있다. 사실 이 "숨겨진" 비용은 사이버 공격이 조직 비즈니스에 미치는 전체 영향의 90%에 이르기도 하는데, 대부분의 경우 사건이 발생하고 2년 이상이 지난 후부터 드러나기 시작한다. 최근 딜로이트 어드바이저리(Deloitte Advisory)는 "사이버 공격의 표면 아래: 비즈니스에 미치는 영향 심층 분석" 연구를 통해 다음과 같은 사항을 발견했다. 딜로이트가 파악한 사이버 공격의 비즈니스 영향은 14가지로 나뉜다. 이러한 각 영향은 "표면 위", 즉 명확히 알려진 사고 비용과 "표면 아래", 즉 숨겨지거나 잘 보이지 않는 비용의 두 가지 범주로 다시 분류된다. 각 범주마다 7가지 영향이 포함된다. 딜로이트에 따르면 현재 시장은 사이버 사고의 비용을 극히 과소평가하고 있다. 비율로는 훨씬 더 작은 표면 위의 잘 드러나는 영향에만 집중하기 때문이다. 딜로이트 앤드 투쉬 LLP(Deloitte & Touche LLP) 파트너이자 딜로이트 어드바이저리 사이버 위험 서비스 부문 책임자인 에밀리 모스버그는 "경영진이 잠재적인 영향을 제대로 파악하지 못하는 이유는 비즈니스를 원상복구하는 데 어떤 어려움을 겪는지에 대해 일반적으로 서로 공유하지 않기 때문"이라며 "그동안 사이버 공격의 영향에 관한 정확한 그림이 없었고 따라서 기업들은 필요한 위험 태세(risk posture)를 제대로 갖추지 못하고 있다"고 말했다. 모스버그는 "논의는 대부분 ...

보안 비용 사이버공격 피해 기업

2016.08.29

사이버 공격의 빈도와 강도가 갈수록 높아지고 있다는 데 반박할 사람은 거의 없을 것이다. 지금까지 대부분의 조직이 사이버 사고를 최소 한 번 이상은 겪었다. 그런데 이러한 사고를 겪은 조직은 그 사고가 조직에 미친 영향을 온전히, 완벽하게 파악하고 있을까? 일반적으로 데이터 유출과 관련하여 발생하는 직접적인 비용은 "숨겨진 비용"에 비하면 미미한 수준이라고 할 수 있다. 사실 이 "숨겨진" 비용은 사이버 공격이 조직 비즈니스에 미치는 전체 영향의 90%에 이르기도 하는데, 대부분의 경우 사건이 발생하고 2년 이상이 지난 후부터 드러나기 시작한다. 최근 딜로이트 어드바이저리(Deloitte Advisory)는 "사이버 공격의 표면 아래: 비즈니스에 미치는 영향 심층 분석" 연구를 통해 다음과 같은 사항을 발견했다. 딜로이트가 파악한 사이버 공격의 비즈니스 영향은 14가지로 나뉜다. 이러한 각 영향은 "표면 위", 즉 명확히 알려진 사고 비용과 "표면 아래", 즉 숨겨지거나 잘 보이지 않는 비용의 두 가지 범주로 다시 분류된다. 각 범주마다 7가지 영향이 포함된다. 딜로이트에 따르면 현재 시장은 사이버 사고의 비용을 극히 과소평가하고 있다. 비율로는 훨씬 더 작은 표면 위의 잘 드러나는 영향에만 집중하기 때문이다. 딜로이트 앤드 투쉬 LLP(Deloitte & Touche LLP) 파트너이자 딜로이트 어드바이저리 사이버 위험 서비스 부문 책임자인 에밀리 모스버그는 "경영진이 잠재적인 영향을 제대로 파악하지 못하는 이유는 비즈니스를 원상복구하는 데 어떤 어려움을 겪는지에 대해 일반적으로 서로 공유하지 않기 때문"이라며 "그동안 사이버 공격의 영향에 관한 정확한 그림이 없었고 따라서 기업들은 필요한 위험 태세(risk posture)를 제대로 갖추지 못하고 있다"고 말했다. 모스버그는 "논의는 대부분 ...

2016.08.29

'154달러 대 58센트' 데이터 가치는 건당 얼마로 봐야할까?

해킹당한 데이터 비용은 기록당 얼마로 산정해야 타당할까? 58센트? 아니면 154달러? 이미지 출처 : Branson Convention and Visitors Bureau 사건 대응 계획을 준비하는 기업들뿐만이 아니라 보험사, 규제당국, 감사자, 기타 기업들이 이런 사건에 충분히 대비하거나 보호를 받을 수 있도록 하는 기관에 따라 이 비용을 달리 산정할 수 있다. 그렇다면, 어떻게 154달러와 58센트라는 비용이 산출됐을까? 154달러는 포네몬 연구소(Ponemon Institute)가 2014년 해킹당한 350개 기업들에 대한 분석에 기초하고 있다. 포네몬은 10년 동안 다듬은 해킹에 대한 실제 비용에 기초한 분석 모델을 사용했다. 58센트는 버라이즌(Verizon)이 2014년에 제기된 191건의 보험 청구에 기초하며, 이 회사는 올 해 처음으로 이 수치를 발표했다. 포네몬은 다양한 데이터 출처 외에도 간접적인 비용을 포함시켰지만 버라이즌은 그렇지 않았다. --------------------------------------------------------------- 정보 보호 인기기사 ->책임자 사퇴까지… 대가 톡톡히 치른 정보 유출 사고 9선 -> FBI, SNS 감시할 툴 모색 ->“구글 애널리틱스, 노르웨이 개인정보보호법 위반”••• 정부기관 지적 -> FAQ : 미국 NSA 프리즘 사건의 기반 사실들 -> 오바마 미 대통령 "미국 시민들은 감시당하지 않는다" --------------------------------------------------------------- IBM 시큐리티(IBM Security)의 부사장 칼렙 발로우는 버라이즌의 추산 결과에 대해 “비합리적으로 낮아 보인다”고 말했다. IBM은 올 해 포네몬의 보고서를 ...

CSO 비용 산정 피해 타깃 보험 포네몬 버라이즌 CISO 조사 보상 소송 IBM 해킹 데이터 비용

2015.06.09

해킹당한 데이터 비용은 기록당 얼마로 산정해야 타당할까? 58센트? 아니면 154달러? 이미지 출처 : Branson Convention and Visitors Bureau 사건 대응 계획을 준비하는 기업들뿐만이 아니라 보험사, 규제당국, 감사자, 기타 기업들이 이런 사건에 충분히 대비하거나 보호를 받을 수 있도록 하는 기관에 따라 이 비용을 달리 산정할 수 있다. 그렇다면, 어떻게 154달러와 58센트라는 비용이 산출됐을까? 154달러는 포네몬 연구소(Ponemon Institute)가 2014년 해킹당한 350개 기업들에 대한 분석에 기초하고 있다. 포네몬은 10년 동안 다듬은 해킹에 대한 실제 비용에 기초한 분석 모델을 사용했다. 58센트는 버라이즌(Verizon)이 2014년에 제기된 191건의 보험 청구에 기초하며, 이 회사는 올 해 처음으로 이 수치를 발표했다. 포네몬은 다양한 데이터 출처 외에도 간접적인 비용을 포함시켰지만 버라이즌은 그렇지 않았다. --------------------------------------------------------------- 정보 보호 인기기사 ->책임자 사퇴까지… 대가 톡톡히 치른 정보 유출 사고 9선 -> FBI, SNS 감시할 툴 모색 ->“구글 애널리틱스, 노르웨이 개인정보보호법 위반”••• 정부기관 지적 -> FAQ : 미국 NSA 프리즘 사건의 기반 사실들 -> 오바마 미 대통령 "미국 시민들은 감시당하지 않는다" --------------------------------------------------------------- IBM 시큐리티(IBM Security)의 부사장 칼렙 발로우는 버라이즌의 추산 결과에 대해 “비합리적으로 낮아 보인다”고 말했다. IBM은 올 해 포네몬의 보고서를 ...

2015.06.09

데이터 유출 사고 비용, 2년간 23% ↑… 379만 달러

데이터 유출 피해를 입은 기업들이 2013년에 비해 현재 23% 더 많은 비용을 지불하는 것으로 조사됐다. RSA 사장 애밋 요란이 지난 4월 미국 샌프란시스코에서 RSA 컨퍼런스에서 발표하고 있다. 이미지 출처 : RSA 데이터 유출 사실이 세상에 알려지는 걸 바라는 기업은 없다. 때문에 기업들이 과거에 비해 현재 사고를 막기 위해 더 큰 비용을 들이는 것으로 나타났다. IBM과 포네몬인스티튜트(Ponemon Institute)가 수요일 발표한 보고서에 따르면, 지난 2년 동안 데이터 유출의 평균 비용이 23% 증가해 379만 달러에 달하는 것으로 파악됐다. 기밀 정보가 담긴 데이터를 도난당했을 경우 이 기록물 당 평균 비용은 지난해 145달러에서 올해 6% 증가한 154달러로 추산됐다. 이 조사는 IBM의 후원으로 포네몬이 11개국의 350개 기업을 대상으로 실시했다. 모든 응답자들은 데이터 유출을 경험한 적 있으며 그 규모가 적게는 2,200개에서 많게는 10만 건 이상의 기록물로 조사됐다. 이번 조사에 개입하지 않았던 트림와이어(Tripwire)의 보안 담당 수석 애널리스트인 켄 웨스틴은 "데이터는 새로운 디지털 통화”라고 말했다. "기업과 정부는 마케팅 통찰력, 개인화, 생산성 향상, 일반 비즈니스를 위해 소비자 데이터를 수집하고 분석함에 따라 범죄자들은 점점 더 데이터를 훔쳐 돈을 버는 방법을 찾고 있다”라고 웨스틴은 설명했다. 포네몬 보고서는 최근 몇 년 동안 데이터 유출 비용이 늘어난 주요 요인으로 사이버공격의 발생률 자체가 높아졌고 그 결과 기업의 손실이 늘어났기 때문이라고 밝혔다. 이 비용은 기업의 손실이 지난해 평균 133만 달러에서 2015년 157만 달러로 늘어난 것과도 관련이 있다. 기업의 손실에는 일반적으로 고객이 빠져 나간 데 따른 손실, 고객 확보 노력 필요, 추락한 회사 평판, 영업권 축소 등이 포함된다. 데이터 유출 비용이 증가한 또다른 요인...

데이터 유출 IBM 조사 비용 침해 포네몬 피해

2015.05.28

데이터 유출 피해를 입은 기업들이 2013년에 비해 현재 23% 더 많은 비용을 지불하는 것으로 조사됐다. RSA 사장 애밋 요란이 지난 4월 미국 샌프란시스코에서 RSA 컨퍼런스에서 발표하고 있다. 이미지 출처 : RSA 데이터 유출 사실이 세상에 알려지는 걸 바라는 기업은 없다. 때문에 기업들이 과거에 비해 현재 사고를 막기 위해 더 큰 비용을 들이는 것으로 나타났다. IBM과 포네몬인스티튜트(Ponemon Institute)가 수요일 발표한 보고서에 따르면, 지난 2년 동안 데이터 유출의 평균 비용이 23% 증가해 379만 달러에 달하는 것으로 파악됐다. 기밀 정보가 담긴 데이터를 도난당했을 경우 이 기록물 당 평균 비용은 지난해 145달러에서 올해 6% 증가한 154달러로 추산됐다. 이 조사는 IBM의 후원으로 포네몬이 11개국의 350개 기업을 대상으로 실시했다. 모든 응답자들은 데이터 유출을 경험한 적 있으며 그 규모가 적게는 2,200개에서 많게는 10만 건 이상의 기록물로 조사됐다. 이번 조사에 개입하지 않았던 트림와이어(Tripwire)의 보안 담당 수석 애널리스트인 켄 웨스틴은 "데이터는 새로운 디지털 통화”라고 말했다. "기업과 정부는 마케팅 통찰력, 개인화, 생산성 향상, 일반 비즈니스를 위해 소비자 데이터를 수집하고 분석함에 따라 범죄자들은 점점 더 데이터를 훔쳐 돈을 버는 방법을 찾고 있다”라고 웨스틴은 설명했다. 포네몬 보고서는 최근 몇 년 동안 데이터 유출 비용이 늘어난 주요 요인으로 사이버공격의 발생률 자체가 높아졌고 그 결과 기업의 손실이 늘어났기 때문이라고 밝혔다. 이 비용은 기업의 손실이 지난해 평균 133만 달러에서 2015년 157만 달러로 늘어난 것과도 관련이 있다. 기업의 손실에는 일반적으로 고객이 빠져 나간 데 따른 손실, 고객 확보 노력 필요, 추락한 회사 평판, 영업권 축소 등이 포함된다. 데이터 유출 비용이 증가한 또다른 요인...

2015.05.28

리스크 함수로 풀어본 '보안 투자를 늘려야 하는 이유'

보안 유출 사고와 피해 금액이 증가함에 따라 CIO는 위험을 완화시키기 위해 보안 측정을 강화하고 보안 투자도 늘려야 한다. 이미지 출처 : Thinkstock 많은 CIO들이 보안에 들어가는 돈을 아끼다 회사를 위험에 빠뜨리는 일이 발생하기도 한다. 최근 프라이스워터하우스쿠퍼스(PwC)의 설문조사에 따르면 기업들은 현재 그 어느 때보다 더 많은 IT예산을 보안에 투자하고 있다는 점을 감안한다면, 이는 앞뒤가 맞지 않는다. PwC 보고서는 대기업들은 IT예산의 11%를, 중소기업들은 15%를 보안에 투자했다고 밝혔다. 그렇지만 기업이 보안에 책정하는 전체 IT예산의 비율을 따져보면 이러한 설문 결과가 현실과 조금 다르다는 것을 알 수 있다. 왜냐하면 대부분 기업들이 IT보안에 예산을 쓰는 이유는 (규제를 따라야 하기 때문이기도 하지만) 보안 위협 리스크를 적당한 수준으로 낮추기 위해서다. 그리고 이러한 목적을 위한 투자의 액수는 전체 IT투자와는 전혀 관계가 없다. 리스크, 어떻게 진단할까 간단하게 말해, 보안 리스크란 보안 위협이 초래할 비용이나 재정적 영향, 그리고 그러한 보안 위협이 일어날 확률의 산물이라 할 수 있다. 간단한 공식으로 써 보자면, ‘리스크=비용 x 확률’이라고 할 수도 있겠다. 소니의 정보 보안 이사 제이슨 스팔트로 역시 이러한 공식을 통해 지난 2007년 “리스크를 수용하겠다는 결정은 비즈니스 관점에서 볼 때 합리적인 것이다. 하지만 100만 달러의 손실을 막기 위해 1,000만 달러의 비용을 지출할 수는 없다”라고 밝힌 바 있다. 비용이나 확률이라는 변수에서 잘못 계산했을지 모르지만, 보안을 비롯해 그 어느 분야에서도 수익이 투자 금액보다도 적을 경우 그 투자는 하지 않겠다는 스팔트로의 주장은 일견 타당해 보인다. 다시 기업들이 보안에 충분한 예산을 투자하지 않고 있다는 이야기로 돌아가 보자. 소니 해킹 사건을 통해 우리가 얻은 교훈은 대부분...

CIO 보안투자 피해 위험 정치 프라이스워터하우스쿠퍼스 완화 위협 PwC 예산 공격 소니 해커 IT투자 해킹 금전적인 손실

2015.04.03

보안 유출 사고와 피해 금액이 증가함에 따라 CIO는 위험을 완화시키기 위해 보안 측정을 강화하고 보안 투자도 늘려야 한다. 이미지 출처 : Thinkstock 많은 CIO들이 보안에 들어가는 돈을 아끼다 회사를 위험에 빠뜨리는 일이 발생하기도 한다. 최근 프라이스워터하우스쿠퍼스(PwC)의 설문조사에 따르면 기업들은 현재 그 어느 때보다 더 많은 IT예산을 보안에 투자하고 있다는 점을 감안한다면, 이는 앞뒤가 맞지 않는다. PwC 보고서는 대기업들은 IT예산의 11%를, 중소기업들은 15%를 보안에 투자했다고 밝혔다. 그렇지만 기업이 보안에 책정하는 전체 IT예산의 비율을 따져보면 이러한 설문 결과가 현실과 조금 다르다는 것을 알 수 있다. 왜냐하면 대부분 기업들이 IT보안에 예산을 쓰는 이유는 (규제를 따라야 하기 때문이기도 하지만) 보안 위협 리스크를 적당한 수준으로 낮추기 위해서다. 그리고 이러한 목적을 위한 투자의 액수는 전체 IT투자와는 전혀 관계가 없다. 리스크, 어떻게 진단할까 간단하게 말해, 보안 리스크란 보안 위협이 초래할 비용이나 재정적 영향, 그리고 그러한 보안 위협이 일어날 확률의 산물이라 할 수 있다. 간단한 공식으로 써 보자면, ‘리스크=비용 x 확률’이라고 할 수도 있겠다. 소니의 정보 보안 이사 제이슨 스팔트로 역시 이러한 공식을 통해 지난 2007년 “리스크를 수용하겠다는 결정은 비즈니스 관점에서 볼 때 합리적인 것이다. 하지만 100만 달러의 손실을 막기 위해 1,000만 달러의 비용을 지출할 수는 없다”라고 밝힌 바 있다. 비용이나 확률이라는 변수에서 잘못 계산했을지 모르지만, 보안을 비롯해 그 어느 분야에서도 수익이 투자 금액보다도 적을 경우 그 투자는 하지 않겠다는 스팔트로의 주장은 일견 타당해 보인다. 다시 기업들이 보안에 충분한 예산을 투자하지 않고 있다는 이야기로 돌아가 보자. 소니 해킹 사건을 통해 우리가 얻은 교훈은 대부분...

2015.04.03

디도스 공격, 빈도 줄었지만 더 위험해져

지난해 전체 디도스 공격 건수가 꾸준히 줄어든 것으로 집계됐다. 블랙로터스커뮤니케이션즈의 최신 보고서에 따르면, 디도스 공격 건수는 지난해 1분기 45만 건 이상에서 4분기 15만 건 이하로 줄어들었지만 평균 규모와 복잡성 모두 증가한 것으로 나타났다. 미국 샌프란시스코에 있는 디도스 완화 업체인 블랙로터스는 지난해 서로 다른 유형의 디도스 공격 114만 개를 발견했다. 각 공격의 평균 비트 규모는 지난해 3분기에 비해 3.4배 증가했다. 또 블랙로터스는 처음으로 평균 공격 규모가 초당 10기가비트에 도달한 것을 발견했다. 지난해 초만 하더라도 평균 2.7Gbps에 불과했으나 4분기에 이르러서는 12.1Gbps로 크게 늘어났다. 이는 직접 디도스 공격을 막아내야 하는 기업들에게는 나쁜 뉴스다. "사람들은 자체 구축한 기기를 사용해 자사의 네트워크를 보호하는데 노력하고 있다면 그들은 일반적으로 20기가비트 이상의 공격을 막아내기 어렵다"라고 블랙로터스에서 마케팅과 사업개발을 담당하는 부사장인 프랭크 입은 말했다. 또다른 나쁜 소식은 공격의 복잡성이 이미 증가하고 있다는 것이다. "하이브리드 공격에서 지속적으로 다양한 공격을 조합하려는 경향이 있다"고 입은 밝혔다. "우리는 더 많은 애플리케이션 계층 공격을 발견했다. 애플리케이션 계층 공격이 규모 면에서는 더 작지만 표적이 된 피해 기업들이 입는 영향과 피해는 작지 않다"라고 그는 덧붙였다. 네트워크 공격이 모든 네트워크 대역폭을 사용하려고 하는 한편, 애플리케이션 공격은 1개의 애플리케이션 자원만을 표적으로 삼는다고 그는 설명했다. "이것들은 한계치를 뛰어넘기 쉽다"고 입은 말했다. 그는 “공격이 점점 더 지능화됐고, 디도스 공격 빈도 수가 왜 줄었는지에 된 이유에 대해서도 일부 설명될 수 있다”라고 밝혔다. "공격자 면에서 보면, 빈도수를 낮추고...

DDoS 공격 규모 디도스 피해 블랙로터스커뮤니케이션즈

2015.03.30

지난해 전체 디도스 공격 건수가 꾸준히 줄어든 것으로 집계됐다. 블랙로터스커뮤니케이션즈의 최신 보고서에 따르면, 디도스 공격 건수는 지난해 1분기 45만 건 이상에서 4분기 15만 건 이하로 줄어들었지만 평균 규모와 복잡성 모두 증가한 것으로 나타났다. 미국 샌프란시스코에 있는 디도스 완화 업체인 블랙로터스는 지난해 서로 다른 유형의 디도스 공격 114만 개를 발견했다. 각 공격의 평균 비트 규모는 지난해 3분기에 비해 3.4배 증가했다. 또 블랙로터스는 처음으로 평균 공격 규모가 초당 10기가비트에 도달한 것을 발견했다. 지난해 초만 하더라도 평균 2.7Gbps에 불과했으나 4분기에 이르러서는 12.1Gbps로 크게 늘어났다. 이는 직접 디도스 공격을 막아내야 하는 기업들에게는 나쁜 뉴스다. "사람들은 자체 구축한 기기를 사용해 자사의 네트워크를 보호하는데 노력하고 있다면 그들은 일반적으로 20기가비트 이상의 공격을 막아내기 어렵다"라고 블랙로터스에서 마케팅과 사업개발을 담당하는 부사장인 프랭크 입은 말했다. 또다른 나쁜 소식은 공격의 복잡성이 이미 증가하고 있다는 것이다. "하이브리드 공격에서 지속적으로 다양한 공격을 조합하려는 경향이 있다"고 입은 밝혔다. "우리는 더 많은 애플리케이션 계층 공격을 발견했다. 애플리케이션 계층 공격이 규모 면에서는 더 작지만 표적이 된 피해 기업들이 입는 영향과 피해는 작지 않다"라고 그는 덧붙였다. 네트워크 공격이 모든 네트워크 대역폭을 사용하려고 하는 한편, 애플리케이션 공격은 1개의 애플리케이션 자원만을 표적으로 삼는다고 그는 설명했다. "이것들은 한계치를 뛰어넘기 쉽다"고 입은 말했다. 그는 “공격이 점점 더 지능화됐고, 디도스 공격 빈도 수가 왜 줄었는지에 된 이유에 대해서도 일부 설명될 수 있다”라고 밝혔다. "공격자 면에서 보면, 빈도수를 낮추고...

2015.03.30

"데이터 유출 피해 고객 최대 7,000만 명 추산" 쇼핑몰 타깃

ID 도난으로 이메일 주소, 우편 주소, 기타 정보가 유출됐을 수 있다고 타깃이 전했다. 미국 쇼핑몰 타깃(Target)의 데이터 유출로 최대 7,000만 명이 피해를 입을 것으로 추산됐다. 이는 타깃은 12월 중순 예상했던 피해 고객 수보다 3,000만 명 더 늘어날 숫자다. 신용카드와 직불카드 데이터 유출 외에 해커들은 고객의 이름, 우편 주소, 전화 번호, 이메일 주소를 확보했다고 타깃은 지난 10일 금요일에 발표한 성명서에서 밝혔다. 타깃은 추가로 피해를 입은 고객과, 지속적인 포렌식 조사로 파악한 추가 정보를 발견했다고 이 회사는 전했다. 타깃이 고객의 이메일를 가지고 있으면, 데이터 유출 피해를 입은 사람들에게 직접 연락해볼 것이라고 이 회사는 말했다. 타깃은 이 이메일에서 고객에게 개인 정보를 요청하지 않는다고 강조했다. 12월 중순 타깃은 해커들이 11월 27일부터 12월 15일까지 신용카드와 직불카드 정보를 훔쳤다고 발표했다. 이 회사의 회장, 사장 겸 CEO인 그렉 슈타인하펠은 "우리 고객들이 이 정보가 도난당한 것을 얼마나 힘들어 하는지 잘 알고 있다. 그리고 고객들이 이를 겪게 해서 정말 죄송하다”라고 성명서에서 밝혔다. "고객들이 이 사건과 관련한 사실을 이해하고 공유하는 것이 타깃 조직 전체와 내게 중요하다는 것을 이들이 알아 주었으면 한다”라고 그는 덧붙였다. 타깃은 데이터 유출과 관련된 부당 청구 비용을 지불하겠다고 약속했다. 또한 이 회사는 1년 동안 타깃의 미국 매장에서 쇼핑하는 고객들에게 신용정보 모니터링과 ID 도난 보호를 제공할 방침이다. 데이터 유출에 대한 좀더 자세한 내용은 타깃의 웹 사이트에서 확인할 수 있다. ciokr@idg.co.kr

데이터 유출 ID 피해 타깃 쇼핑몰 소매 고객 정보 신용카드 유통 직불카드

2014.01.13

ID 도난으로 이메일 주소, 우편 주소, 기타 정보가 유출됐을 수 있다고 타깃이 전했다. 미국 쇼핑몰 타깃(Target)의 데이터 유출로 최대 7,000만 명이 피해를 입을 것으로 추산됐다. 이는 타깃은 12월 중순 예상했던 피해 고객 수보다 3,000만 명 더 늘어날 숫자다. 신용카드와 직불카드 데이터 유출 외에 해커들은 고객의 이름, 우편 주소, 전화 번호, 이메일 주소를 확보했다고 타깃은 지난 10일 금요일에 발표한 성명서에서 밝혔다. 타깃은 추가로 피해를 입은 고객과, 지속적인 포렌식 조사로 파악한 추가 정보를 발견했다고 이 회사는 전했다. 타깃이 고객의 이메일를 가지고 있으면, 데이터 유출 피해를 입은 사람들에게 직접 연락해볼 것이라고 이 회사는 말했다. 타깃은 이 이메일에서 고객에게 개인 정보를 요청하지 않는다고 강조했다. 12월 중순 타깃은 해커들이 11월 27일부터 12월 15일까지 신용카드와 직불카드 정보를 훔쳤다고 발표했다. 이 회사의 회장, 사장 겸 CEO인 그렉 슈타인하펠은 "우리 고객들이 이 정보가 도난당한 것을 얼마나 힘들어 하는지 잘 알고 있다. 그리고 고객들이 이를 겪게 해서 정말 죄송하다”라고 성명서에서 밝혔다. "고객들이 이 사건과 관련한 사실을 이해하고 공유하는 것이 타깃 조직 전체와 내게 중요하다는 것을 이들이 알아 주었으면 한다”라고 그는 덧붙였다. 타깃은 데이터 유출과 관련된 부당 청구 비용을 지불하겠다고 약속했다. 또한 이 회사는 1년 동안 타깃의 미국 매장에서 쇼핑하는 고객들에게 신용정보 모니터링과 ID 도난 보호를 제공할 방침이다. 데이터 유출에 대한 좀더 자세한 내용은 타깃의 웹 사이트에서 확인할 수 있다. ciokr@idg.co.kr

2014.01.13

블로그 | 페이스북 보안 사고에 유독 엄격한 이유

지난 주 금요일은 페이스북이 정교한 보안 공격의 피해자였다는 뉴스로 떠들썩 했다. 특히 미국의 주요 매체들은 보안 유출의 의미에 대해 광범위한 우려를 제기했다. 하지만 보안 관점에서 보면, 보안 유출 자체에 대해서는 조용했다. 페이스북은 사실 회사 시스템에 너무 깊이 침투해 손상된 모든 컴퓨터가 다시 이슈가 되고 법 집행을 통보받고 오라클에게 자바 문제를 알리기 전에, 신속하고 적절하게 행동하면서 보안 사고를 확인했다. 가장 중요한 점은 페이스북 사용자 정보가 유출되지 않았다는 것이다. 페이스북 빠른 대응과 비교적 영향이 미미했음에도 불구하고 이 사건이 미국에서 크게 보도된 것은 바로 페이스북이기 때문이다. 일부 보안 분석가까지 ‘무책임한’ 언론에 반응하며 여기에 가세하기도 했다. 특히 페이스북이 지난 달에 보안 위반을 발표한 유명 회사들(예 : 비트9, 뉴욕타임스, 월스트리트저널, 트위터 등) 가운데 성장가도를 달리는 기업 중 하나라는 점을 생각하면, 페이스북의 보안 사고이라는 큰 이슈 자체가 흥미거리가 된다. 트위터의 보안 사고는 약 25만 계정에 대한 사용자 데이터를 유출할 가능성이 있으며 링크드인은 지난해 여름 많은 회원 비밀번호가 유출되는 굴욕을 겪었다. 페이스북이 이번 사고로 입은 피해는 ‘전혀’ 없었다. 그런데 왜 상대적으로 피해가 없었던 페이스북에 대해서만 유독 말이 많은가? 이는 사실, 주요 보안 사고가 페이스북에 끼칠 수 있는 잠재적인 영향에 대한 것이라고 봐야 한다. 페이스북은 소비자가 소셜 네트워크에 참여하는 방식을 가질 수 있다는 지표며, 그것은 결국 페이스북에 영향을 미칠 수 있기 때문이다. 페이스북의 명성과 비즈니스 모델은 특히 소비자들의 신뢰에 달려 있으며 바로 그 믿음이 흔들리는 것처럼 보이기 때문이다. 지난 주 보안 사고를 발표하기 전까지의 최근 데이터 추세를 보면, 사용자들이 페이스북에 소비하는 시간이 크게 줄어는 것으로 나타났으며 심지어 사람들이 페이...

CSO 페이스북 보안 사고 정보 유출 명성 피해

2013.02.21

지난 주 금요일은 페이스북이 정교한 보안 공격의 피해자였다는 뉴스로 떠들썩 했다. 특히 미국의 주요 매체들은 보안 유출의 의미에 대해 광범위한 우려를 제기했다. 하지만 보안 관점에서 보면, 보안 유출 자체에 대해서는 조용했다. 페이스북은 사실 회사 시스템에 너무 깊이 침투해 손상된 모든 컴퓨터가 다시 이슈가 되고 법 집행을 통보받고 오라클에게 자바 문제를 알리기 전에, 신속하고 적절하게 행동하면서 보안 사고를 확인했다. 가장 중요한 점은 페이스북 사용자 정보가 유출되지 않았다는 것이다. 페이스북 빠른 대응과 비교적 영향이 미미했음에도 불구하고 이 사건이 미국에서 크게 보도된 것은 바로 페이스북이기 때문이다. 일부 보안 분석가까지 ‘무책임한’ 언론에 반응하며 여기에 가세하기도 했다. 특히 페이스북이 지난 달에 보안 위반을 발표한 유명 회사들(예 : 비트9, 뉴욕타임스, 월스트리트저널, 트위터 등) 가운데 성장가도를 달리는 기업 중 하나라는 점을 생각하면, 페이스북의 보안 사고이라는 큰 이슈 자체가 흥미거리가 된다. 트위터의 보안 사고는 약 25만 계정에 대한 사용자 데이터를 유출할 가능성이 있으며 링크드인은 지난해 여름 많은 회원 비밀번호가 유출되는 굴욕을 겪었다. 페이스북이 이번 사고로 입은 피해는 ‘전혀’ 없었다. 그런데 왜 상대적으로 피해가 없었던 페이스북에 대해서만 유독 말이 많은가? 이는 사실, 주요 보안 사고가 페이스북에 끼칠 수 있는 잠재적인 영향에 대한 것이라고 봐야 한다. 페이스북은 소비자가 소셜 네트워크에 참여하는 방식을 가질 수 있다는 지표며, 그것은 결국 페이스북에 영향을 미칠 수 있기 때문이다. 페이스북의 명성과 비즈니스 모델은 특히 소비자들의 신뢰에 달려 있으며 바로 그 믿음이 흔들리는 것처럼 보이기 때문이다. 지난 주 보안 사고를 발표하기 전까지의 최근 데이터 추세를 보면, 사용자들이 페이스북에 소비하는 시간이 크게 줄어는 것으로 나타났으며 심지어 사람들이 페이...

2013.02.21

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.13