Offcanvas

������������

웁살라시큐리티, NSHC에 '가상자산 자금추적' 솔루션 공급

웁살라시큐리티가 1월 14일 정보보호 전문 기업 NSHC에 가상자산 자금추적 솔루션을 공급했다고 밝혔다. 웁살라시큐리티가 공급한 솔루션은 가상자산 추적 보안 솔루션인 ‘CATV(Crypto Analysis Transaction Visualization)’와 AI·머신러닝 기반 가상자산 위협 평가 도구인 ‘CARA(Crypto Analysis Risk Assessment)’이다.  회사에 따르면 특히 CARA의 경우 20년 9월 과학기술정보통신부 주최 ‘AI 데이터 가공 바우처 사업’의 수요기업으로 선정돼 NSHC로부터 다크웹 관련 위협 데이터를 제공받아 고도화한 솔루션이다. CATV와 CARA가 포함된 가상자산 자금추적 솔루션은 NSHC의 다크웹 보안위협 정보 제공 플랫폼인 ‘다크트레이서(DarkTracer)’에 탑재됐다. 웁살라시큐리티의 가상자산 자금추적 솔루션을 도입함으로써 NSHC의 고객들은 다크웹에서 기존의 개인정보, 보안 도구 악용 등의 보안 위협 뿐만 아니라 가상자산의 보안 위협에도 대응할 수 있게 됐다고 업체 측은 설명했다.  앞서 NSHC와 웁살라시큐리티는 사이버 범죄 근절을 위해 업무 협약을 체결한 바 있으며 최근에는 NSHC와 함께 공개위협정보(OSINT, Open Source Intelligence) 모니터링 기술 보안 전문가 교육 과정에서 기업/정부 기관을 상대로 교육을 실시한 바 있다. 웁살라시큐리티 구민우 한국지사장은 “과거 박사방과 n번방 사건이 그러했듯이, 다크웹을 기점으로 발생되는 가상자산 연루 범죄가 지속 증가하고 있다”라며, “1,000억 여개의 방대한 다크웹 인텔리전스를 축적하고 있는 NSHC의 다크트레이서와 자사 가상자산 자금추적 솔루션을 함께 활용해 연관 분석을 한다면 수사/정보기관은 관련 범죄에 대한 새로운 통찰력을 제공 받을 수 있을 것”이라고 말했다. ciokr@idg.co.kr

웁살라시큐리티 NSHC 가상자산 정보보호 다크웹

2022.01.14

웁살라시큐리티가 1월 14일 정보보호 전문 기업 NSHC에 가상자산 자금추적 솔루션을 공급했다고 밝혔다. 웁살라시큐리티가 공급한 솔루션은 가상자산 추적 보안 솔루션인 ‘CATV(Crypto Analysis Transaction Visualization)’와 AI·머신러닝 기반 가상자산 위협 평가 도구인 ‘CARA(Crypto Analysis Risk Assessment)’이다.  회사에 따르면 특히 CARA의 경우 20년 9월 과학기술정보통신부 주최 ‘AI 데이터 가공 바우처 사업’의 수요기업으로 선정돼 NSHC로부터 다크웹 관련 위협 데이터를 제공받아 고도화한 솔루션이다. CATV와 CARA가 포함된 가상자산 자금추적 솔루션은 NSHC의 다크웹 보안위협 정보 제공 플랫폼인 ‘다크트레이서(DarkTracer)’에 탑재됐다. 웁살라시큐리티의 가상자산 자금추적 솔루션을 도입함으로써 NSHC의 고객들은 다크웹에서 기존의 개인정보, 보안 도구 악용 등의 보안 위협 뿐만 아니라 가상자산의 보안 위협에도 대응할 수 있게 됐다고 업체 측은 설명했다.  앞서 NSHC와 웁살라시큐리티는 사이버 범죄 근절을 위해 업무 협약을 체결한 바 있으며 최근에는 NSHC와 함께 공개위협정보(OSINT, Open Source Intelligence) 모니터링 기술 보안 전문가 교육 과정에서 기업/정부 기관을 상대로 교육을 실시한 바 있다. 웁살라시큐리티 구민우 한국지사장은 “과거 박사방과 n번방 사건이 그러했듯이, 다크웹을 기점으로 발생되는 가상자산 연루 범죄가 지속 증가하고 있다”라며, “1,000억 여개의 방대한 다크웹 인텔리전스를 축적하고 있는 NSHC의 다크트레이서와 자사 가상자산 자금추적 솔루션을 함께 활용해 연관 분석을 한다면 수사/정보기관은 관련 범죄에 대한 새로운 통찰력을 제공 받을 수 있을 것”이라고 말했다. ciokr@idg.co.kr

2022.01.14

칼럼 | 일부 앱의 기만적 '정보보호 공지', 애플의 대책이 필요하다

앱 스토어(Apple Store) 올라온 앱의 개인정보보호 약속은 아직도 허술한 점이 많다. 애플은 이를 더 공격적으로 감시할 필요가 있다. 애플이 가시적인 조처를 할 때까지 기업 사용자는 자신과 소속된 조직을 보호하기 위해 무엇을 해야 할까.     앱 개인정보보호의 문제 애플의 앱 스토어 개인정보보호 규칙의 정신을 제대로 지키지 않는 일부 개발자의 행태가 계속되고 있다. 앱 개인정보보호 설명 부분에 오해의 소지가 있는 정보를 게시하는가 하면 기기를 추적하지 않겠다는 약속을 노골적으로 위반하기도 한다. 일부 개발자는 기기 추적 정보를 빼내려고 추적 금지 요청을 계속 무시하고 있다. 최근에 자체 디지털 광고 네트워크를 출범시킨 '워싱턴 포스트'는 사용자 개인정보보호 약속을 지키지 않은 여러 스토어 앱 사례를 적발했다. 사용자가 앱의 추적을 원하지 않는다는 의사 표시를 하면 해당 앱은 그러한 요청을 존중해야 한다. 그러나 워싱턴포스트에 따르면, 사용자 요청을 불문하고 계속해서 똑같은 정보를 수집하는 앱이 많다. 이렇게 수집된 데이터는 서드파티 데이터 추적 회사에 판매되거나 표적 광고 제공에 이용될 수 있다.   상황을 해결하는 방법 전 아이클라우드 엔지니어 조니 린은 매체와의 인터뷰에서 "‘앱 추적 투명성(ATT)’은 서드파티 추적자를 저지하는 데 별로 효과가 없다. 더 심각한 것은 사용자에게 ‘앱에 추적 금지 요청’ 버튼을 누를 선택권을 줌으로써 오히려 사용자에게 개인정보보호에 대한 잘못된 생각을 심어줄 수 있다는 것이다”라고 말했다. 린이 이처럼 가차 없이 비판하는 이유에는 자신의 이해관계도 관련돼 있다. 그의 회사에서 개발하는 록다운(Lockdown)은 사파리뿐만이 아니라 모든 앱의 '추적, 광고 및 배드웨어'를 차단한다. 어쩌면 애플 역시 똑같은 방식을 취해야 하지만, ATT 도입 당시 몇 달이나 반발을 겪은 점을 고려할 때 애플이 같은 조치를 하기에는 상당한 시간이 걸릴 것이다. 이해가 걸린 업계의 반발을 고려하면 ...

정보보호 보안 앱스토어

2021.09.29

앱 스토어(Apple Store) 올라온 앱의 개인정보보호 약속은 아직도 허술한 점이 많다. 애플은 이를 더 공격적으로 감시할 필요가 있다. 애플이 가시적인 조처를 할 때까지 기업 사용자는 자신과 소속된 조직을 보호하기 위해 무엇을 해야 할까.     앱 개인정보보호의 문제 애플의 앱 스토어 개인정보보호 규칙의 정신을 제대로 지키지 않는 일부 개발자의 행태가 계속되고 있다. 앱 개인정보보호 설명 부분에 오해의 소지가 있는 정보를 게시하는가 하면 기기를 추적하지 않겠다는 약속을 노골적으로 위반하기도 한다. 일부 개발자는 기기 추적 정보를 빼내려고 추적 금지 요청을 계속 무시하고 있다. 최근에 자체 디지털 광고 네트워크를 출범시킨 '워싱턴 포스트'는 사용자 개인정보보호 약속을 지키지 않은 여러 스토어 앱 사례를 적발했다. 사용자가 앱의 추적을 원하지 않는다는 의사 표시를 하면 해당 앱은 그러한 요청을 존중해야 한다. 그러나 워싱턴포스트에 따르면, 사용자 요청을 불문하고 계속해서 똑같은 정보를 수집하는 앱이 많다. 이렇게 수집된 데이터는 서드파티 데이터 추적 회사에 판매되거나 표적 광고 제공에 이용될 수 있다.   상황을 해결하는 방법 전 아이클라우드 엔지니어 조니 린은 매체와의 인터뷰에서 "‘앱 추적 투명성(ATT)’은 서드파티 추적자를 저지하는 데 별로 효과가 없다. 더 심각한 것은 사용자에게 ‘앱에 추적 금지 요청’ 버튼을 누를 선택권을 줌으로써 오히려 사용자에게 개인정보보호에 대한 잘못된 생각을 심어줄 수 있다는 것이다”라고 말했다. 린이 이처럼 가차 없이 비판하는 이유에는 자신의 이해관계도 관련돼 있다. 그의 회사에서 개발하는 록다운(Lockdown)은 사파리뿐만이 아니라 모든 앱의 '추적, 광고 및 배드웨어'를 차단한다. 어쩌면 애플 역시 똑같은 방식을 취해야 하지만, ATT 도입 당시 몇 달이나 반발을 겪은 점을 고려할 때 애플이 같은 조치를 하기에는 상당한 시간이 걸릴 것이다. 이해가 걸린 업계의 반발을 고려하면 ...

2021.09.29

강은성의 보안 아키텍트ㅣ9년 만에 바뀐 정보통신망법의 CISO 업무와 직급

정보보호 최고책임자(CISO) 제도는 2012년 2월에 정보통신망법에 처음 들어왔다. 2011년에 전산망 마비 사태, 개인정보 유출 사건 등 굵직한 사건에 대한 정부 정책과 법 측면의 대응인 셈이다. ‘임원급 정보보호 최고책임자’를 지정할 수 있다고 규정하여 지정 여부는 정보통신서비스 제공자의 재량에 맡겼다.    2014년 5월에는, 그해 1월 카드 3사 개인정보 유출 사태가 발생하면서 개인정보 보호를 강화하겠다는 취지로 일정 요건에 해당하는 정보통신서비스 제공자는 임원급 CISO를 의무적으로 지정, 신고하도록 하였다. 2018년 6월에는 최근까지 뜨거운 이슈였던 일정 규모 이상의 정보통신서비스 제공자의 CISO에 다른 업무 겸직을 금지하는 개정이 있었다.  다른 제도에 비해 큰 변화가 없던 정보통신망법의 CISO 관련 규정에 지난 6월 8일 주목할만한 변화가 있었다. 가장 큰 변화는 CISO의 업무를 완전히 새로 작성한 것이다. 9년 만의 일이다. 좀 더 내용을 상세하게 살펴보자.   개정 전: 제45조의3 (정보보호 최고책임자의 지정 등) 제3항  ③ 정보보호 최고책임자는 다음 각 호의 업무를 총괄한다.      1. 정보보호관리체계의 수립 및 관리·운영    2. 정보보호 취약점 분석·평가 및 개선    3. 침해사고의 예방 및 대응    4. 사전 정보보호대책 마련 및 보안조치 설계·구현 등    5. 정보보호 사전 보안성 검토    6. 중요 정보의 암호화 및 보안서버 적합성 검토    7. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행 개정 후: 제45조의3 (정보보호 최고책임자의 지정 등) 제4항  ④ 정보보호 최고책임자의 업무는 다음 각 호와 같다. &...

강은성 강은성의 보안 아키텍트 정보통신망법 CISO 정보보호 보안

2021.07.22

정보보호 최고책임자(CISO) 제도는 2012년 2월에 정보통신망법에 처음 들어왔다. 2011년에 전산망 마비 사태, 개인정보 유출 사건 등 굵직한 사건에 대한 정부 정책과 법 측면의 대응인 셈이다. ‘임원급 정보보호 최고책임자’를 지정할 수 있다고 규정하여 지정 여부는 정보통신서비스 제공자의 재량에 맡겼다.    2014년 5월에는, 그해 1월 카드 3사 개인정보 유출 사태가 발생하면서 개인정보 보호를 강화하겠다는 취지로 일정 요건에 해당하는 정보통신서비스 제공자는 임원급 CISO를 의무적으로 지정, 신고하도록 하였다. 2018년 6월에는 최근까지 뜨거운 이슈였던 일정 규모 이상의 정보통신서비스 제공자의 CISO에 다른 업무 겸직을 금지하는 개정이 있었다.  다른 제도에 비해 큰 변화가 없던 정보통신망법의 CISO 관련 규정에 지난 6월 8일 주목할만한 변화가 있었다. 가장 큰 변화는 CISO의 업무를 완전히 새로 작성한 것이다. 9년 만의 일이다. 좀 더 내용을 상세하게 살펴보자.   개정 전: 제45조의3 (정보보호 최고책임자의 지정 등) 제3항  ③ 정보보호 최고책임자는 다음 각 호의 업무를 총괄한다.      1. 정보보호관리체계의 수립 및 관리·운영    2. 정보보호 취약점 분석·평가 및 개선    3. 침해사고의 예방 및 대응    4. 사전 정보보호대책 마련 및 보안조치 설계·구현 등    5. 정보보호 사전 보안성 검토    6. 중요 정보의 암호화 및 보안서버 적합성 검토    7. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행 개정 후: 제45조의3 (정보보호 최고책임자의 지정 등) 제4항  ④ 정보보호 최고책임자의 업무는 다음 각 호와 같다. &...

2021.07.22

강은성의 보안 아키텍트ㅣ새삼스럽게 돌아보는 정보보안의 목적

“정보보안(Information Security)의 목적(Why, Purpose)은 무엇인가?”  새삼스럽게 혼자 묻고 혼자 답해 보면, 한 마디로 (비즈니스) 정보를 보호하는 것이다*. 그러기 위해 정보의 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)을 확보·보호해야 한다는 세 가지 원칙(목표)을 갖고 있다. 정보보안을 처음 대하는 분들도 줄줄이 꿰고 있는 내용이다. 기밀성, 무결성, 가용성에 인증(Authentication)과 부인방지(Non-repudiation)를 종합하면 웬만한 보안업무는 기술적으로 설명할 수 있다.    *(Security를 ‘보안’이라고 번역하면서 Information Security를 굳이 ‘정보보호’라고 번역하여 보안 분야에서 일하는 사람들의 용어 혼란을 일으켜 왔다. 정보보호를 영어로 번역하면 Information Protection이다. 마찬가지로 개인정보 보호의 영어 표현은 Personal Information Protection이다. 그래서 이미 정보보호라는 용어가 많이 사용됨에도 ‘정보보호’와 ‘정보보안’의 차이를 설명하려는 시도도 있다. Information security는 정보보안이라고 하면서 이미 굳어진 정보보호도 같은 의미로 받아들이면 될 것 같다.) 2007년 RSA 컨퍼런스에서 빌 게이츠가 보안이 '비즈니스를 가능하게 하는 요인’(Business Enabler)'이 될 수 있다고 말한 적이 있다. 당시 보안기업에 근무하면서 가끔 외부에 보안에 관해 강의와 기고를 할 때라 보안의 필요성과 중요성을 어떻게 설명할지 고민을 많이 했는데, 보안을 기술적 관점이 아닌 사업적 관점에서 바라본 이 말이 신선해서 인용하기도 했다. 정보보안 인력들이 회사에서 경영진이나 다른 부서와 소통하기 위해서는 사업적·경영적 관점에서 정보보안을 설명해야 할 상황이 생긴다. 상대방이 이해하기 어려운 기밀성, 무결성, 가용성을 꺼내기 어렵고, ‘B...

강은성 보안 아키텍트 보안 정보보안 기밀성 무결성 가용성 빌 게이츠 위험 관리 정보보호

2021.03.12

“정보보안(Information Security)의 목적(Why, Purpose)은 무엇인가?”  새삼스럽게 혼자 묻고 혼자 답해 보면, 한 마디로 (비즈니스) 정보를 보호하는 것이다*. 그러기 위해 정보의 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)을 확보·보호해야 한다는 세 가지 원칙(목표)을 갖고 있다. 정보보안을 처음 대하는 분들도 줄줄이 꿰고 있는 내용이다. 기밀성, 무결성, 가용성에 인증(Authentication)과 부인방지(Non-repudiation)를 종합하면 웬만한 보안업무는 기술적으로 설명할 수 있다.    *(Security를 ‘보안’이라고 번역하면서 Information Security를 굳이 ‘정보보호’라고 번역하여 보안 분야에서 일하는 사람들의 용어 혼란을 일으켜 왔다. 정보보호를 영어로 번역하면 Information Protection이다. 마찬가지로 개인정보 보호의 영어 표현은 Personal Information Protection이다. 그래서 이미 정보보호라는 용어가 많이 사용됨에도 ‘정보보호’와 ‘정보보안’의 차이를 설명하려는 시도도 있다. Information security는 정보보안이라고 하면서 이미 굳어진 정보보호도 같은 의미로 받아들이면 될 것 같다.) 2007년 RSA 컨퍼런스에서 빌 게이츠가 보안이 '비즈니스를 가능하게 하는 요인’(Business Enabler)'이 될 수 있다고 말한 적이 있다. 당시 보안기업에 근무하면서 가끔 외부에 보안에 관해 강의와 기고를 할 때라 보안의 필요성과 중요성을 어떻게 설명할지 고민을 많이 했는데, 보안을 기술적 관점이 아닌 사업적 관점에서 바라본 이 말이 신선해서 인용하기도 했다. 정보보안 인력들이 회사에서 경영진이나 다른 부서와 소통하기 위해서는 사업적·경영적 관점에서 정보보안을 설명해야 할 상황이 생긴다. 상대방이 이해하기 어려운 기밀성, 무결성, 가용성을 꺼내기 어렵고, ‘B...

2021.03.12

파이어아이, 멀티 클라우드 환경 보안 위한 ‘클라우드바이저리’ 출시

파이어아이가 다양한 보안 환경을 위한 중앙화된 클라우드 보안 관리 솔루션 ‘파이어아이 클라우드바이저리(FireEye Cloudvisory)’를 출시했다. 파이어아이는 지난 1월, 클라우드 가시성과 최고의 인사이트를 기반으로 한 위협 예측을 위한 목적으로 클라우드바이저리(Cloudvisory)를 인수했다. 파이어아이의 광범위한 클라우드 보안 포트폴리오에 완전히 통합되어 기존의 고객 클라우드 인프라에 클라우드바이저리를 즉시 구축할 수 있다.  또한 파이어아이 힐릭스(FireEye Helix)를 통한 보안 분석과, 파이어아이 디텍션 온디맨드(FireEye Detection On Demand)를 통한 고급 위협 탐지와 같은 확장된 기능을 이용할 수 있다. 파이어아이 클라우드 부문 최고기술책임자(CTO) 마틴 홀스트는 “클라우드바이저리 솔루션은 여러 환경을 단일화된 인터페이스로 통합시켜 보안 팀에게 중앙화된 가시성, 지속적인 컴플라이언스, 보안 정책 거버넌스를 제공한다"라며, “멀티 클라우드 환경을 관리하는 데 있어 복잡성을 완화시키며, 잠재적인 사고 가능성을 최소화한다”라고 말했다. 파이어아이 클라우드 솔루션 포트폴리오에 추가된 클라우드바이저리는 클라우드 네이티브 보안 솔루션으로, 클라우드 스프롤(Cloud Sprawl)과 인프라 설정 오류를 통합 제어할 수 있도록 지원한다.  레거시 또는 일회성 보안 툴은 구축 단계가 복잡하고 클라우드 환경에서 최대 성능을 발휘하지 못하는 반면, 클라우드바이저리는 ▲기업의 클라우드 인프라 상 자산, 워크로드, 보안 관제 및 보안 이벤트 전반을 중앙 관리해 가시성 제공 ▲에이전트, 어플라이언스 등 부가 기능을 설치하지 않아도 컴플라이언스 오류 교정 ▲클라우드 네이티브 마이크로세그멘테이션을 이용한 공격 격리 및 차단 등의 차별화된 기능을 제공한다고 업체 측은 설명했다.  파이어아이는 클라우드바이저리를 파이어아이 힐릭스와 통합함으로써 침해 상황에 대해 보다 효과적으로 대응할 수 있다. 또한 파이어...

보안 정보보호 소니 데이터유출 헬쓰넷 파이어아이 멀티클라우드

2020.05.14

파이어아이가 다양한 보안 환경을 위한 중앙화된 클라우드 보안 관리 솔루션 ‘파이어아이 클라우드바이저리(FireEye Cloudvisory)’를 출시했다. 파이어아이는 지난 1월, 클라우드 가시성과 최고의 인사이트를 기반으로 한 위협 예측을 위한 목적으로 클라우드바이저리(Cloudvisory)를 인수했다. 파이어아이의 광범위한 클라우드 보안 포트폴리오에 완전히 통합되어 기존의 고객 클라우드 인프라에 클라우드바이저리를 즉시 구축할 수 있다.  또한 파이어아이 힐릭스(FireEye Helix)를 통한 보안 분석과, 파이어아이 디텍션 온디맨드(FireEye Detection On Demand)를 통한 고급 위협 탐지와 같은 확장된 기능을 이용할 수 있다. 파이어아이 클라우드 부문 최고기술책임자(CTO) 마틴 홀스트는 “클라우드바이저리 솔루션은 여러 환경을 단일화된 인터페이스로 통합시켜 보안 팀에게 중앙화된 가시성, 지속적인 컴플라이언스, 보안 정책 거버넌스를 제공한다"라며, “멀티 클라우드 환경을 관리하는 데 있어 복잡성을 완화시키며, 잠재적인 사고 가능성을 최소화한다”라고 말했다. 파이어아이 클라우드 솔루션 포트폴리오에 추가된 클라우드바이저리는 클라우드 네이티브 보안 솔루션으로, 클라우드 스프롤(Cloud Sprawl)과 인프라 설정 오류를 통합 제어할 수 있도록 지원한다.  레거시 또는 일회성 보안 툴은 구축 단계가 복잡하고 클라우드 환경에서 최대 성능을 발휘하지 못하는 반면, 클라우드바이저리는 ▲기업의 클라우드 인프라 상 자산, 워크로드, 보안 관제 및 보안 이벤트 전반을 중앙 관리해 가시성 제공 ▲에이전트, 어플라이언스 등 부가 기능을 설치하지 않아도 컴플라이언스 오류 교정 ▲클라우드 네이티브 마이크로세그멘테이션을 이용한 공격 격리 및 차단 등의 차별화된 기능을 제공한다고 업체 측은 설명했다.  파이어아이는 클라우드바이저리를 파이어아이 힐릭스와 통합함으로써 침해 상황에 대해 보다 효과적으로 대응할 수 있다. 또한 파이어...

2020.05.14

KISA, AI와 정보보호 결합한 'AI보안 전문인력' 교육 실시 

한국인터넷진흥원(KISA)이 과학기술정보통신부와 신기술 융합보안 전문인력을 양성하기 위한 ‘제1회 AI보안 기술개발 교육’을 6월부터 10월까지 5개월여에 걸쳐 진행한다고 밝혔다. 올해 처음 운영하는 ‘AI보안 기술개발 교육’ 과정은 AI(인공지능)와 융합해 지능화된 보안기술의 개발 역량을 갖춘 최정예 AI보안 전문가를 양성하는 프로그램으로, AI와 정보보호에 관심이 있고 실무 중심의 교육을 희망하는 대학(원)생과 재직자라면 참여할 수 있다. 교육은 6월 4일까지 ‘AI보안 기술개발 교육 누리집(www.kisaaisec.or.kr)’에서 신청할 수 있으며, 1차 필기평가와 2차 면접평가를 통해 선발한 교육생 50명은 공통(이론)·전문(실습) 교육을 시작으로 약 5개월에 걸친 전문가 양성 교육을 받게 된다. 교육 프로그램은 정보보호, 데이터 분석, 인공지능 기초 중심의 이론 교육(48시간)과 악성코드 자동분류, 취약점 자동탐지, 빅데이터 분석 중심의 실습 교육(72시간)으로 구성되며, AI보안 기술개발에 필요한 수리·통계·데이터 과학 등의 특강(32시간)도 진행된다.  특히, AI보안 실습에 특화된 워크숍 형태의 부트캠프를 포함해 산업계 멘토와 함께하는 팀프로젝트 등 교육 성과제고를 위한 다양한 프로그램을 제공한다. 또한, 교육 과정을 수료한 교육생 전원에게는 수료증이 발급되며, 우수한 성적으로 전 과정을 수료한 교육생 5명에게는 KISA 원장 명의의 인증서가 수여된다. 자세한 교육 내용 및 일정 등은 5월 22일에 진행하는 교육 설명회에서 확인할 수 있다. ciokr@idg.co.kr

정보보호 AI 인공지능 KISA 과학기술정보통신부

2020.05.12

한국인터넷진흥원(KISA)이 과학기술정보통신부와 신기술 융합보안 전문인력을 양성하기 위한 ‘제1회 AI보안 기술개발 교육’을 6월부터 10월까지 5개월여에 걸쳐 진행한다고 밝혔다. 올해 처음 운영하는 ‘AI보안 기술개발 교육’ 과정은 AI(인공지능)와 융합해 지능화된 보안기술의 개발 역량을 갖춘 최정예 AI보안 전문가를 양성하는 프로그램으로, AI와 정보보호에 관심이 있고 실무 중심의 교육을 희망하는 대학(원)생과 재직자라면 참여할 수 있다. 교육은 6월 4일까지 ‘AI보안 기술개발 교육 누리집(www.kisaaisec.or.kr)’에서 신청할 수 있으며, 1차 필기평가와 2차 면접평가를 통해 선발한 교육생 50명은 공통(이론)·전문(실습) 교육을 시작으로 약 5개월에 걸친 전문가 양성 교육을 받게 된다. 교육 프로그램은 정보보호, 데이터 분석, 인공지능 기초 중심의 이론 교육(48시간)과 악성코드 자동분류, 취약점 자동탐지, 빅데이터 분석 중심의 실습 교육(72시간)으로 구성되며, AI보안 기술개발에 필요한 수리·통계·데이터 과학 등의 특강(32시간)도 진행된다.  특히, AI보안 실습에 특화된 워크숍 형태의 부트캠프를 포함해 산업계 멘토와 함께하는 팀프로젝트 등 교육 성과제고를 위한 다양한 프로그램을 제공한다. 또한, 교육 과정을 수료한 교육생 전원에게는 수료증이 발급되며, 우수한 성적으로 전 과정을 수료한 교육생 5명에게는 KISA 원장 명의의 인증서가 수여된다. 자세한 교육 내용 및 일정 등은 5월 22일에 진행하는 교육 설명회에서 확인할 수 있다. ciokr@idg.co.kr

2020.05.12

인터넷진흥원, '2015년 정보보호 R&D 성과 기술 이전 설명회' 개최

한국인터넷진흥원(www.kisa.or.kr, KISA)은 정보보호 분야 기술연구를 통해 개발한 원천기술을 산업체에 이전해 정보보호 기술 보급 및 사업화를 촉진하고자 ‘2015년 정보보호 R&D 성과 기술 이전 설명회’를 인터넷진흥원 본원에서 4월 17일 개최한다고 밝혔다. 이번 기술이전 설명회에서는 ▲기업 내부망 대상 은닉화 된 침투공격을 찾아내는 ‘지능형 표적공격 탐지‧분석 기술’ ▲동일 공격경로 등 유사한 형태의 침해사고 간 연관분석을 위한 ‘사이버 침해사고 인텔리전스(intelligence) 분석 지원 기술’ ▲이동통신망의 비정상 트래픽을 사전에 감지 및 차단하는 ‘4G 이동통신망 침해방지 기술’ ▲모바일기기를 이용한 기업 내부정보 유출사고를 예방하기 위한 ‘BYOD 환경 동적 접근통제 기술’ ▲HTML5 기반에서 웹 사이트 방문만으로도 좀비PC화가 가능한 보안위협을 사전 차단하는 ‘스크립트 기반 사이버공격 탐지‧차단 기술’등 총 5가지 핵심 원천기술이 민간에 이전된다. 이번에 이전되는 정보보호 기술은 사물인터넷 시대의 본격적인 도래에 앞서 고조되고 있는 모바일 보안 위협, APT 공격 등 잠재적인 사이버보안 위협 예방에 필요한 요소기술로, 진흥원 측은 정보보호 기술 개발 및 보급이 시급한 IoT 분야에 도움이 될 것으로 기대하고 있다. 인터넷진흥원은 사이버보안 분야뿐 아니라 ICBM(사물인터넷, 클라우드, 빅데이터, 모바일) 등 차세대 IT 서비스 확산을 촉진하기 위해 정보보호 분야 연구개발 확대 및 민간 기술이전을 강화해 나갈 계획이라고 밝혔다. 한편 인터넷진흥원은 최근 6년간 악성코드 분석기술, 유포경로 탐지기술, 감염PC 조치기술 등 사이버 침해대응 분야에서 국내외 특허 등록 94건, 민간 사업체 기술이전 72건 등의 정보보호 활동을 진행한 바 있다. ciokr@idg.co.kr

정보보호 인터넷진흥원

2015.04.16

한국인터넷진흥원(www.kisa.or.kr, KISA)은 정보보호 분야 기술연구를 통해 개발한 원천기술을 산업체에 이전해 정보보호 기술 보급 및 사업화를 촉진하고자 ‘2015년 정보보호 R&D 성과 기술 이전 설명회’를 인터넷진흥원 본원에서 4월 17일 개최한다고 밝혔다. 이번 기술이전 설명회에서는 ▲기업 내부망 대상 은닉화 된 침투공격을 찾아내는 ‘지능형 표적공격 탐지‧분석 기술’ ▲동일 공격경로 등 유사한 형태의 침해사고 간 연관분석을 위한 ‘사이버 침해사고 인텔리전스(intelligence) 분석 지원 기술’ ▲이동통신망의 비정상 트래픽을 사전에 감지 및 차단하는 ‘4G 이동통신망 침해방지 기술’ ▲모바일기기를 이용한 기업 내부정보 유출사고를 예방하기 위한 ‘BYOD 환경 동적 접근통제 기술’ ▲HTML5 기반에서 웹 사이트 방문만으로도 좀비PC화가 가능한 보안위협을 사전 차단하는 ‘스크립트 기반 사이버공격 탐지‧차단 기술’등 총 5가지 핵심 원천기술이 민간에 이전된다. 이번에 이전되는 정보보호 기술은 사물인터넷 시대의 본격적인 도래에 앞서 고조되고 있는 모바일 보안 위협, APT 공격 등 잠재적인 사이버보안 위협 예방에 필요한 요소기술로, 진흥원 측은 정보보호 기술 개발 및 보급이 시급한 IoT 분야에 도움이 될 것으로 기대하고 있다. 인터넷진흥원은 사이버보안 분야뿐 아니라 ICBM(사물인터넷, 클라우드, 빅데이터, 모바일) 등 차세대 IT 서비스 확산을 촉진하기 위해 정보보호 분야 연구개발 확대 및 민간 기술이전을 강화해 나갈 계획이라고 밝혔다. 한편 인터넷진흥원은 최근 6년간 악성코드 분석기술, 유포경로 탐지기술, 감염PC 조치기술 등 사이버 침해대응 분야에서 국내외 특허 등록 94건, 민간 사업체 기술이전 72건 등의 정보보호 활동을 진행한 바 있다. ciokr@idg.co.kr

2015.04.16

"연결·융합 가속화, 신규 플랫폼서비스 경쟁" KISA 2015년 전망

한국인터넷진흥원(KISA)이 2015년 새롭게 등장할 이슈를 조망하고 '인터넷 및 정보보호 10대 산업 이슈 전망'을 22일 발표했다. 한국인터넷진흥원은 이슈 전망 보고서에서 2015년도 우리나라 인터넷 산업분야는 ▷연결과 융합 가속화 ▷신규 플랫폼서비스 경쟁 ▷인프라 강화가 두드러질 것으로 전망했다. 2015년도 주요 인터넷산업 이슈로는 ▲웨어러블 디바이스 ▲핀테크 ▲기가인터넷 ▲글로벌 스타트업 ▲오픈소스 생태계 등을 제시했다. 또 2015년도 정보보호 산업분야는 IoT와 클라우드 등의 서비스 확대에 따른 보안문제와 국가간 해킹 등 대•내외적 사이버위협이 증가할 것으로 전망했다. 이와 관련해 한국인터넷진흥원은 보안 규격이 미비한 IoT 기기나 클라우드 공격 증가에 대비해야 한다고 전했다. 2015년도 주요 정보보호산업 이슈로는 ▲IoT 실증의 관건 ‘Embedded & Linked 보안’ ▲개인 클라우드 서비스를 위한 ‘밀착형 클라우드 보안’ ▲빅데이터 산업 성장촉진제 ‘개인식별정보 보안’ ▲’선제적 공격 대응’으로 전환되는 사이버전 ▲LTE급 ‘지능형 사이버 사기’ 등을 제시했다. ciokr@idg.co.kr

인터넷 정보보호 KISA 2015 전망

2014.12.22

한국인터넷진흥원(KISA)이 2015년 새롭게 등장할 이슈를 조망하고 '인터넷 및 정보보호 10대 산업 이슈 전망'을 22일 발표했다. 한국인터넷진흥원은 이슈 전망 보고서에서 2015년도 우리나라 인터넷 산업분야는 ▷연결과 융합 가속화 ▷신규 플랫폼서비스 경쟁 ▷인프라 강화가 두드러질 것으로 전망했다. 2015년도 주요 인터넷산업 이슈로는 ▲웨어러블 디바이스 ▲핀테크 ▲기가인터넷 ▲글로벌 스타트업 ▲오픈소스 생태계 등을 제시했다. 또 2015년도 정보보호 산업분야는 IoT와 클라우드 등의 서비스 확대에 따른 보안문제와 국가간 해킹 등 대•내외적 사이버위협이 증가할 것으로 전망했다. 이와 관련해 한국인터넷진흥원은 보안 규격이 미비한 IoT 기기나 클라우드 공격 증가에 대비해야 한다고 전했다. 2015년도 주요 정보보호산업 이슈로는 ▲IoT 실증의 관건 ‘Embedded & Linked 보안’ ▲개인 클라우드 서비스를 위한 ‘밀착형 클라우드 보안’ ▲빅데이터 산업 성장촉진제 ‘개인식별정보 보안’ ▲’선제적 공격 대응’으로 전환되는 사이버전 ▲LTE급 ‘지능형 사이버 사기’ 등을 제시했다. ciokr@idg.co.kr

2014.12.22

"개인 클라우드 뜬다"··· 안전한 정보 관리 수요 증대

매니지먼트 플랫폼 개발업체 미코(Meeco)의 CEO 카트리나 도우에 따르면, 사람들의 온라인 활동 80% 이상이 추적되고 있으며 대부분의 사람들은 이 사실을 모른다고 한다. 도우의 말이 맞다. 정부는 물론 통신사, 소셜미디어 사이트, 데이터 브로커들까지 우리의 사생활을 침해하고 그렇게 얻어낸 정보를 우리의 동의 없이 이용하고 있다. 그중에는 우리의 감정을 조종하려는 이들도 있다. 지난 주 초, 페이스북은 알고리즘을 조작해, 뉴스피드 내용을 고의적으로 바꿔서 약 70만 명의 사용자들의 감정을 대상으로 심리 실험을 진행한 것에 대해 자사의 입장을 밝혔다. 도우는 대부분 사람들이 이런 기업들의 행동에 어떻게 대처해야 할 지 모르고 있으며 이들의 이런 데이터 수집 활동이 경제적으로 영향을 미칠 수 있다는 점도 모르고 있다고 지적했다. “그렇게 수집된 정보는 어떤 식으로든 우리에게 불이익으로 돌아온다”고 도우는 주장했다. 도우는 지난 해 시드니 모닝 헤럴드에 실린 기사 내용을 예로 들었다. 대형 슈퍼마켓 체인인 울워스(Woolworths)가 보험 자회사에 고객들의 식품 쇼핑 정보를 넘겨 그들의 건강 상태를 알 수 있도록 했다는 내용이었다. “즉, 어떤 곳에서 내가 할인을 받거나 이득을 취한 것처럼 보여도 그 대가로 다른 곳에서는 더 큰 비용을 지불하게 될 수도 있다. 사람들은 이 사실을 잘 모른다”는 게 도우의 주장이다. “공짜 서비스를 제공한다는 건, 당신이 그들에게 제공한 데이터나 이용 조건이 그 서비스만큼의, 혹은 그보다 훨씬 더 가치 있는 것이기 때문이다”고 도우는 전했다. 미코는 개인 정보와 인터넷 사생활에 대한 통제권을 다시 사용자들에게 돌려주기 위한 운동에 동참하는 기업들의 모임이다. 미코의 카트리나 도우 미코는 이번 주 호주에서 출범할 글로벌 사설 데이터 공유 네트워크인 리스펙트 네트워크(Resp...

CRM 페이스북 개인정보 정보보호 사생활 P2P 추적 개인 클라우드

2014.07.08

매니지먼트 플랫폼 개발업체 미코(Meeco)의 CEO 카트리나 도우에 따르면, 사람들의 온라인 활동 80% 이상이 추적되고 있으며 대부분의 사람들은 이 사실을 모른다고 한다. 도우의 말이 맞다. 정부는 물론 통신사, 소셜미디어 사이트, 데이터 브로커들까지 우리의 사생활을 침해하고 그렇게 얻어낸 정보를 우리의 동의 없이 이용하고 있다. 그중에는 우리의 감정을 조종하려는 이들도 있다. 지난 주 초, 페이스북은 알고리즘을 조작해, 뉴스피드 내용을 고의적으로 바꿔서 약 70만 명의 사용자들의 감정을 대상으로 심리 실험을 진행한 것에 대해 자사의 입장을 밝혔다. 도우는 대부분 사람들이 이런 기업들의 행동에 어떻게 대처해야 할 지 모르고 있으며 이들의 이런 데이터 수집 활동이 경제적으로 영향을 미칠 수 있다는 점도 모르고 있다고 지적했다. “그렇게 수집된 정보는 어떤 식으로든 우리에게 불이익으로 돌아온다”고 도우는 주장했다. 도우는 지난 해 시드니 모닝 헤럴드에 실린 기사 내용을 예로 들었다. 대형 슈퍼마켓 체인인 울워스(Woolworths)가 보험 자회사에 고객들의 식품 쇼핑 정보를 넘겨 그들의 건강 상태를 알 수 있도록 했다는 내용이었다. “즉, 어떤 곳에서 내가 할인을 받거나 이득을 취한 것처럼 보여도 그 대가로 다른 곳에서는 더 큰 비용을 지불하게 될 수도 있다. 사람들은 이 사실을 잘 모른다”는 게 도우의 주장이다. “공짜 서비스를 제공한다는 건, 당신이 그들에게 제공한 데이터나 이용 조건이 그 서비스만큼의, 혹은 그보다 훨씬 더 가치 있는 것이기 때문이다”고 도우는 전했다. 미코는 개인 정보와 인터넷 사생활에 대한 통제권을 다시 사용자들에게 돌려주기 위한 운동에 동참하는 기업들의 모임이다. 미코의 카트리나 도우 미코는 이번 주 호주에서 출범할 글로벌 사설 데이터 공유 네트워크인 리스펙트 네트워크(Resp...

2014.07.08

KISA, 2013년 인터넷 및 정보보호 10대 이슈 선정

한국인터넷진흥원(KISA)이 급변하는 인터넷 및 정보보호 환경변화의 트렌드를 분석하고, 기업과 정부 기관의 정책방향 및 전략수립을 지원하기 위해, ‘2013년 인터넷 및 정보보호 10대 이슈’를 선정했다고 밝혔다. 2013년 인터넷 10대 이슈는 ▲퍼스널 클라우드, ▲웨어러블 컴퓨팅(Wearable Computing), ▲스마트 인터랙션(Smart Interaction), ▲소셜 큐레이션(Social Curation) 등 실생활과 융합된 ICT 기술, 개인 맞춤형 서비스 등이 꼽혔다. 또한, 초기 시장을 넘어 확산기에 접어든 ▲빅데이터 시장의 주도권을 확보하기 위한 업계의 움직임도 본격화될 것으로 전망되는 가운데, 국내에서는 정부 차원의 빅데이터 사업들이 올해에는 본격적으로 추진될 것으로 기대된다. 정보보호 10대 이슈는 ▲클라우드 컴퓨팅 보안, ▲빅데이터 보안, ▲모바일 앱 보안 등 개인정보의 활용과 프라이버시 보호 문제가 상충하면서 개인정보보호의 중요성이 더욱 부각될 전망이다. 또한, 제도적 측면에서는 ▲개인정보보호법 확대 적용과 ▲정보보호 대상 강화로 사회 전반적인 정보보호 수준 향상과 정보보호 전문 인력 수요 확대 등이 예상된다. 더불어 안정적인 ICT 환경 제공을 위해 점차 지능화 및 고도화되고 있는 ▲디도스 및 지능형지속위협(APT) 공격에 대한 대비의 중요성도 더욱 부각될 전망이다. 이번 조사는 2012년 한 해 동안의 주요 인터넷 및 정보보호 트렌드 분석 자료를 토대로 주요 키워드 후보를 발굴하고, IT 종사자 100명을 대상으로 설문조사와 전문가 심층 인터뷰 결과 등을 종합하여 10대 이슈를 확정했으며 각 이슈별 국내외 현황과 트렌드 및 향후 전망, 시사점 등을 분석했다. ciokr@idg.co.kr

정보보호 KISA

2013.01.24

한국인터넷진흥원(KISA)이 급변하는 인터넷 및 정보보호 환경변화의 트렌드를 분석하고, 기업과 정부 기관의 정책방향 및 전략수립을 지원하기 위해, ‘2013년 인터넷 및 정보보호 10대 이슈’를 선정했다고 밝혔다. 2013년 인터넷 10대 이슈는 ▲퍼스널 클라우드, ▲웨어러블 컴퓨팅(Wearable Computing), ▲스마트 인터랙션(Smart Interaction), ▲소셜 큐레이션(Social Curation) 등 실생활과 융합된 ICT 기술, 개인 맞춤형 서비스 등이 꼽혔다. 또한, 초기 시장을 넘어 확산기에 접어든 ▲빅데이터 시장의 주도권을 확보하기 위한 업계의 움직임도 본격화될 것으로 전망되는 가운데, 국내에서는 정부 차원의 빅데이터 사업들이 올해에는 본격적으로 추진될 것으로 기대된다. 정보보호 10대 이슈는 ▲클라우드 컴퓨팅 보안, ▲빅데이터 보안, ▲모바일 앱 보안 등 개인정보의 활용과 프라이버시 보호 문제가 상충하면서 개인정보보호의 중요성이 더욱 부각될 전망이다. 또한, 제도적 측면에서는 ▲개인정보보호법 확대 적용과 ▲정보보호 대상 강화로 사회 전반적인 정보보호 수준 향상과 정보보호 전문 인력 수요 확대 등이 예상된다. 더불어 안정적인 ICT 환경 제공을 위해 점차 지능화 및 고도화되고 있는 ▲디도스 및 지능형지속위협(APT) 공격에 대한 대비의 중요성도 더욱 부각될 전망이다. 이번 조사는 2012년 한 해 동안의 주요 인터넷 및 정보보호 트렌드 분석 자료를 토대로 주요 키워드 후보를 발굴하고, IT 종사자 100명을 대상으로 설문조사와 전문가 심층 인터뷰 결과 등을 종합하여 10대 이슈를 확정했으며 각 이슈별 국내외 현황과 트렌드 및 향후 전망, 시사점 등을 분석했다. ciokr@idg.co.kr

2013.01.24

미국 정부 “기밀 데이터 보호 비용 10년새 두 배 이상 증가”

미국 정부가 기밀 데이터를 보호하는 데 2001년에 50억 달러를 썼으나 2011년에는 110억 달러 가까이 지출한 것으로 조사됐다. 미국 보안심사국(ISOO)에 따르면, 미국 정부가 2011년에 기밀 데이터 보호에 113억 6,000만 달러를 지출했다. ISCO는 이 예산은 2001년 47억 달러로 지난 10년간 2배 이상 증가했다고 밝혔다.   ISOO 보고서는 미국 국방부를 비롯해 41개 주요 정부 기관들의 데이터 보호 예산을 추산한 것이라고 전했다. 이 보고서에는 CIA, 국가정보국(Office of the Director of National Intelligence), 국방 정보국(Defense Intelligence Agency), 국가 안보부(National Security Agency), 기타 비밀 첩보 기관의 예산은 포함되지 않았다. ISOO는 백악관에 보고하며 민감한 기밀 데이터 보호를 위한 정부 차원의 보안 분류 시스템의 구현을 감독하고 있다. 매년 ISSO는 기밀 데이터를 보호하기 위한 인력, 물리적 통제 및 IT 시스템에 연방 정부 기관들이 얼마나 예산을 쓰는지를 추정해 자료를 수집해 왔다. 이 추정 자료에는 데이터를 분류하고 기밀 데이터를 공개하는 업무와 관련한 사람들의 교육비와 임금도 포함된다. ISOO의 최신 보고서는 정부 기관이 2011년에 보안 분류에 약 12억달러을 지출했으며 이는 전년 대비 12% 늘어난 금액이라고 밝혔다. 여기서 가장 큰 비용 증가를 보인 분야는 IT시스템과 교육비와 관련돼 있다. 가장 많은 비용을 차지하는 기밀 데이터에 대한 정보 보안 통제의 경우, 2010년 52억 1,000만 달러에서 2011년 51억 8,000만 달러로 무려 19% 늘어났다. 전문가 교육, 일반 교육, 인식 제고 비용의 경우, 2010년 1억 200만 달러에서 2011년 5억 200만 달러로 급증했다. 특히 2001년 911 테러 이후 보안 분류 투자에서 가파른 성장세를 보였으...

정보보호 예산 증가 미 정보

2012.07.09

미국 정부가 기밀 데이터를 보호하는 데 2001년에 50억 달러를 썼으나 2011년에는 110억 달러 가까이 지출한 것으로 조사됐다. 미국 보안심사국(ISOO)에 따르면, 미국 정부가 2011년에 기밀 데이터 보호에 113억 6,000만 달러를 지출했다. ISCO는 이 예산은 2001년 47억 달러로 지난 10년간 2배 이상 증가했다고 밝혔다.   ISOO 보고서는 미국 국방부를 비롯해 41개 주요 정부 기관들의 데이터 보호 예산을 추산한 것이라고 전했다. 이 보고서에는 CIA, 국가정보국(Office of the Director of National Intelligence), 국방 정보국(Defense Intelligence Agency), 국가 안보부(National Security Agency), 기타 비밀 첩보 기관의 예산은 포함되지 않았다. ISOO는 백악관에 보고하며 민감한 기밀 데이터 보호를 위한 정부 차원의 보안 분류 시스템의 구현을 감독하고 있다. 매년 ISSO는 기밀 데이터를 보호하기 위한 인력, 물리적 통제 및 IT 시스템에 연방 정부 기관들이 얼마나 예산을 쓰는지를 추정해 자료를 수집해 왔다. 이 추정 자료에는 데이터를 분류하고 기밀 데이터를 공개하는 업무와 관련한 사람들의 교육비와 임금도 포함된다. ISOO의 최신 보고서는 정부 기관이 2011년에 보안 분류에 약 12억달러을 지출했으며 이는 전년 대비 12% 늘어난 금액이라고 밝혔다. 여기서 가장 큰 비용 증가를 보인 분야는 IT시스템과 교육비와 관련돼 있다. 가장 많은 비용을 차지하는 기밀 데이터에 대한 정보 보안 통제의 경우, 2010년 52억 1,000만 달러에서 2011년 51억 8,000만 달러로 무려 19% 늘어났다. 전문가 교육, 일반 교육, 인식 제고 비용의 경우, 2010년 1억 200만 달러에서 2011년 5억 200만 달러로 급증했다. 특히 2001년 911 테러 이후 보안 분류 투자에서 가파른 성장세를 보였으...

2012.07.09

시만텍, ‘2011 핵심 기간산업 보호현황 보고서’ 발표

시만텍(www.symantec.co.kr)은 전세계 37개국 3,475개 국가 핵심 기간산업 관련업체를 대상으로 조사한 ‘2011 시만텍 핵심 기간산업 보호현황 보고서(2011 Symantec Critical Infrastructure Protection Survey)’를 발표했다. 이 보고서에 따르면 국가 핵심 기간 산업을 노리는 표적공격이 늘고 있음에도 불구하고 CIP 참여지수는 전년 대비 18%나 하락한 82%로 나타났다. 지난해 등장한 ‘스턱스넷(Stuxnet)’을 비롯해 전세계 화학 및 방위 산업체를 공격한 ‘니트로(Nitro)’와 신종 표적공격 두쿠(Duqu) 등 최근 사이버 공격들이 국가 핵심 기간산업을 표적으로 삼았다는 점을 감안할 때 이번 조사 결과는 다소 우려스럽다는 평가다. 이번 시만텍 조사에서 핵심 기간산업 관련기업들의 정부 CIP 프로그램에 대한 인식 및 참여도는 대체적으로 하락한 것으로 나타났다. 응답기업의 36%가 정부의 핵심 기간산업 보호계획에 대해 국가 차원의 논의가 이뤄지고 있음을 어느 정도 인지하고 있다고 답했는데, 이는 전년도 55%와 비교해 크게 하락한 수치이다. 또한 정부 CIP 프로그램에 참여하고 있다고 답한 기업들도 지난해 56% 보다 낮은 37%에 머물렀다. 또한 조사 결과에 따르면 2010년과 비교해 기업들의 정부 CIP 프로그램에 대한 불확실한 태도가 다소 증가한 것으로 확인됐다. 일례로 정부 CIP 프로그램에 대한 의견을 개진해 달라는 요청에 대해 42%가 의견이 없거나 중립적인 태도를 보였다. 이 외에도 CIP 프로그램에 대한 협력 의지도 전년도 66% 보다 하락한 57%로 나타났다. 기업의 사이버 보안 위협에 대한 평가가 하락하면서 당연한 수순으로 이들의 대비태세 수준 또한 하락했다. 전세계적으로 전반적인 대비수준은 전년 68~70% 대비 평균 8% 포인트 하락한 60~63%였다. editor@it...

정보보호 시만텍 2011 핵심 기간산업 보호현황 보고서

2011.11.03

시만텍(www.symantec.co.kr)은 전세계 37개국 3,475개 국가 핵심 기간산업 관련업체를 대상으로 조사한 ‘2011 시만텍 핵심 기간산업 보호현황 보고서(2011 Symantec Critical Infrastructure Protection Survey)’를 발표했다. 이 보고서에 따르면 국가 핵심 기간 산업을 노리는 표적공격이 늘고 있음에도 불구하고 CIP 참여지수는 전년 대비 18%나 하락한 82%로 나타났다. 지난해 등장한 ‘스턱스넷(Stuxnet)’을 비롯해 전세계 화학 및 방위 산업체를 공격한 ‘니트로(Nitro)’와 신종 표적공격 두쿠(Duqu) 등 최근 사이버 공격들이 국가 핵심 기간산업을 표적으로 삼았다는 점을 감안할 때 이번 조사 결과는 다소 우려스럽다는 평가다. 이번 시만텍 조사에서 핵심 기간산업 관련기업들의 정부 CIP 프로그램에 대한 인식 및 참여도는 대체적으로 하락한 것으로 나타났다. 응답기업의 36%가 정부의 핵심 기간산업 보호계획에 대해 국가 차원의 논의가 이뤄지고 있음을 어느 정도 인지하고 있다고 답했는데, 이는 전년도 55%와 비교해 크게 하락한 수치이다. 또한 정부 CIP 프로그램에 참여하고 있다고 답한 기업들도 지난해 56% 보다 낮은 37%에 머물렀다. 또한 조사 결과에 따르면 2010년과 비교해 기업들의 정부 CIP 프로그램에 대한 불확실한 태도가 다소 증가한 것으로 확인됐다. 일례로 정부 CIP 프로그램에 대한 의견을 개진해 달라는 요청에 대해 42%가 의견이 없거나 중립적인 태도를 보였다. 이 외에도 CIP 프로그램에 대한 협력 의지도 전년도 66% 보다 하락한 57%로 나타났다. 기업의 사이버 보안 위협에 대한 평가가 하락하면서 당연한 수순으로 이들의 대비태세 수준 또한 하락했다. 전세계적으로 전반적인 대비수준은 전년 68~70% 대비 평균 8% 포인트 하락한 60~63%였다. editor@it...

2011.11.03

기고 | 고객 정보 보호 못하면, 벌금 내라?

상원의원 리차드 블러멘덜은 말했다. 그의 데이터 유출 법안이 데이터 유출 사고를 감시할 것이라고 말했다. IT보안 전문가들은 의구심을 가지고 있다. 미국 상원의원 리차드 블러멘델이 새로 제안한 ‘개인 데이터 보호 및 유출 책임 법안’이 데이터 도난에 따른 개인 신상정보 유출을 막고 법적으로 고객 정보를 보호하지 않은 기업에게 벌금을 부과할 것이라고 밝혔다. 물론, 이에 대해 회의적인 의견도 있다. 1만 명 이상의 고객을 가진 기업들이라면, 이 법안에 적용돼 보안 계획을 수립할 수는 있다. 그러나 기업들은 어겼을 때 물게 될 벌금을 피하거나 간신히 법의 저촉을 받지 않을 수준으로 계획을 수립할 것이다. 벌금은 좀더 공개적인고 개인적인 정보 공유를 요구할 수 있다. “이 법안의 의도는 사람들이 개인정보가 유출됐을 때 심각한 피해를 입지 않도록 데이터 유출을 방지하고 감시하는 것”이라고 블러멘덜은 보도자료를 통해 밝혔다. 우리가 인터뷰한 보안 분석가들은 과연 벌금이 성공적으로 그 목적을 실현할 지 의문을 제시했다. 그들이 연방 데이터 보호 법안에 대해 회의적인 반응을 보인 것은 사실 처음이 아니다. "냉정하게 판단해 보면, 기업들은 이미 자체적으로 고객 정보를 보호하기 위한 강구책을 마련해 실행하고 있다”라고 컴퓨터 사이언스 기업(Computer Sciences Corporation)의 개인 정보보호 컨설팅과 사어버보안을 담당하는 디렉터 마크 래쉬는 말했다. 다음의 그의 설명이다. "맹점은 이러한 법률과 함께 세부 사항 안에 있다. 하지만 많은 질문이 여기 있다. 우리는 고객 데이터를 보호한다고 믿는 그램-리치-브라일리(Gram-Leach-Bliley)부터 HIPPA에 이르는 나름의 규정을 이미 가지고 있다. 둘째, 이 회사들은 이미 이러한 공격의 피해자인데, 왜 우리가 유출 사고 이후에 그들에게 벌금을 부과하라고 해야 하나? 그것은 아마도 범죄를 저지를 사람을 ...

보안 개인정보 정보보호 시큐리티 유출 벌금

2011.09.15

상원의원 리차드 블러멘덜은 말했다. 그의 데이터 유출 법안이 데이터 유출 사고를 감시할 것이라고 말했다. IT보안 전문가들은 의구심을 가지고 있다. 미국 상원의원 리차드 블러멘델이 새로 제안한 ‘개인 데이터 보호 및 유출 책임 법안’이 데이터 도난에 따른 개인 신상정보 유출을 막고 법적으로 고객 정보를 보호하지 않은 기업에게 벌금을 부과할 것이라고 밝혔다. 물론, 이에 대해 회의적인 의견도 있다. 1만 명 이상의 고객을 가진 기업들이라면, 이 법안에 적용돼 보안 계획을 수립할 수는 있다. 그러나 기업들은 어겼을 때 물게 될 벌금을 피하거나 간신히 법의 저촉을 받지 않을 수준으로 계획을 수립할 것이다. 벌금은 좀더 공개적인고 개인적인 정보 공유를 요구할 수 있다. “이 법안의 의도는 사람들이 개인정보가 유출됐을 때 심각한 피해를 입지 않도록 데이터 유출을 방지하고 감시하는 것”이라고 블러멘덜은 보도자료를 통해 밝혔다. 우리가 인터뷰한 보안 분석가들은 과연 벌금이 성공적으로 그 목적을 실현할 지 의문을 제시했다. 그들이 연방 데이터 보호 법안에 대해 회의적인 반응을 보인 것은 사실 처음이 아니다. "냉정하게 판단해 보면, 기업들은 이미 자체적으로 고객 정보를 보호하기 위한 강구책을 마련해 실행하고 있다”라고 컴퓨터 사이언스 기업(Computer Sciences Corporation)의 개인 정보보호 컨설팅과 사어버보안을 담당하는 디렉터 마크 래쉬는 말했다. 다음의 그의 설명이다. "맹점은 이러한 법률과 함께 세부 사항 안에 있다. 하지만 많은 질문이 여기 있다. 우리는 고객 데이터를 보호한다고 믿는 그램-리치-브라일리(Gram-Leach-Bliley)부터 HIPPA에 이르는 나름의 규정을 이미 가지고 있다. 둘째, 이 회사들은 이미 이러한 공격의 피해자인데, 왜 우리가 유출 사고 이후에 그들에게 벌금을 부과하라고 해야 하나? 그것은 아마도 범죄를 저지를 사람을 ...

2011.09.15

CIO가 개인정보 보호까지 신경 써야 하는 이유

고객 관계 자문 기업 페퍼스 앤 로저스(Peppers & Rogers) 그룹의 공동 설립자인 돈 페퍼스는 기업이 고객의 정보를 얼마나 잘 보호하느냐를 기준으로 고객들이 기업의 역량을 판단할 것이라고 주장한다. 이제 CIO들은 고객 정보보호의 최전방에 서게 된 것이다. 개인정보 보호는 고객 정보 관리의 한 부분이다. 필자는 아들과 이런 대화를 나눈 적이 있다. 아들에게 “네 나이 마흔에 직업을 구하고 있다고 치자. 만약 고용인이 이 사실을 네 페이스북 페이지에 올린다면 어떻게 될까?”라고 물었다. 그랬더니 아들은 “내 고용인도 페이스북에 올려선 안될 자기 걱정거리를 가지고 있을 것이라고는 생각지 않으세요?”라고 되물었다. 아들은 핵심을 잘 파악하고 있었다. 그들은 예방 조치를 취하겠지만 개인정보 보호에 대해 강박관념을 가지고 있는 것은 아니다. 그러한 강박관념은 인터넷 이전 세대의 산물이다. 처음 핸드폰을 가졌을 때 어땠는가? 물건을 판매하는 사람들이 전화하지 못하도록 절대 전화번호를 주지 않으려고 했을 것이다. 이 메일 주소도 마찬가지였다. 왜 CIO들은 프라이버시를 신경 써야 하는가? 소니의 플레이스테이션(PlayStation) 데이터 유출 사건은 개인정보 보호가 왜 중요하며 그것이 고객 신뢰도와 어떠한 상관관계가 있는지를 극명하게 드러내 줬다. 고객과 기업간의 교류가 더욱 잦아지고 커질수록 신뢰도는 더 중요해질 것이다. 무엇이 신뢰할 수 있는 행위를 만들어 가는가에 대한 우리의 기준은 더욱 까다로워질 것이다. 또한 고객의 프라이버시를 침해하는 행위는 지금보다 앞으로 더욱 많아질 것이다. CIO가 할 수 있는 일은 무엇인가? 신뢰는 두 가지 요소로 만들어 진다. 첫째, 기업이 고객의 이익을 대변한다고 믿는 것이다. 다음은 그만한 역량을 가지고 있어야 한다는 것이다. CIO가 고객의 개인정보를 보호하고 싶다는 것은 CIO의 의지이자 방침이다. 또한 CIO의 정보보호 ...

CIO 개인정보 보호 정보보호 소니 플레이스테이션 고객 정보 유출

2011.06.16

고객 관계 자문 기업 페퍼스 앤 로저스(Peppers & Rogers) 그룹의 공동 설립자인 돈 페퍼스는 기업이 고객의 정보를 얼마나 잘 보호하느냐를 기준으로 고객들이 기업의 역량을 판단할 것이라고 주장한다. 이제 CIO들은 고객 정보보호의 최전방에 서게 된 것이다. 개인정보 보호는 고객 정보 관리의 한 부분이다. 필자는 아들과 이런 대화를 나눈 적이 있다. 아들에게 “네 나이 마흔에 직업을 구하고 있다고 치자. 만약 고용인이 이 사실을 네 페이스북 페이지에 올린다면 어떻게 될까?”라고 물었다. 그랬더니 아들은 “내 고용인도 페이스북에 올려선 안될 자기 걱정거리를 가지고 있을 것이라고는 생각지 않으세요?”라고 되물었다. 아들은 핵심을 잘 파악하고 있었다. 그들은 예방 조치를 취하겠지만 개인정보 보호에 대해 강박관념을 가지고 있는 것은 아니다. 그러한 강박관념은 인터넷 이전 세대의 산물이다. 처음 핸드폰을 가졌을 때 어땠는가? 물건을 판매하는 사람들이 전화하지 못하도록 절대 전화번호를 주지 않으려고 했을 것이다. 이 메일 주소도 마찬가지였다. 왜 CIO들은 프라이버시를 신경 써야 하는가? 소니의 플레이스테이션(PlayStation) 데이터 유출 사건은 개인정보 보호가 왜 중요하며 그것이 고객 신뢰도와 어떠한 상관관계가 있는지를 극명하게 드러내 줬다. 고객과 기업간의 교류가 더욱 잦아지고 커질수록 신뢰도는 더 중요해질 것이다. 무엇이 신뢰할 수 있는 행위를 만들어 가는가에 대한 우리의 기준은 더욱 까다로워질 것이다. 또한 고객의 프라이버시를 침해하는 행위는 지금보다 앞으로 더욱 많아질 것이다. CIO가 할 수 있는 일은 무엇인가? 신뢰는 두 가지 요소로 만들어 진다. 첫째, 기업이 고객의 이익을 대변한다고 믿는 것이다. 다음은 그만한 역량을 가지고 있어야 한다는 것이다. CIO가 고객의 개인정보를 보호하고 싶다는 것은 CIO의 의지이자 방침이다. 또한 CIO의 정보보호 ...

2011.06.16

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.13