Offcanvas

NIST

기고ㅣ수치로 보는 사이버 위협 트렌드 5가지와 기본 대책

디지털 전환의 물결이 전 세계를 덮치면서 온 국가가 더 촘촘하게 온라인으로 연결되고 있다. 이에 따라 국가별 규제가 증가하고 복잡해지고 있지만, 사이버 위협은 날이 갈수록 빠른 확산세를 보이고 있는 상황이다. 이 기사에서는 이런 환경의 중심에 있는 5가지 핵심 동향을 소개하고, 기업이 취할 수 있는 기본적인 대응책을 제시한다.    팬데믹 이후 사이버 세계는 훨씬 더 취약해졌다. ‘히스콕스 사이버 보안 실태 보고서 2022 (Hiscox Cyber Readiness Report 2022)’에 따르면 미국과 유럽 전역 기업의 거의 절반(48%)이 지난 12개월 동안 사이버 공격을 당한 것으로 나타났다. 더 놀라운 결과는 기업들이 사이버 보안 지출을 더욱 늘렸음에도 오히려 공격 사건이 더 증가했다는 점이다.    사이버 보안은 중요한 변곡점에 와있다. 사이버 환경을 그 어느 때보다 더 위험하고 복잡한 곳으로 만들며, 기업의 보안 관리 비용을 높이고 있는 5가지 큰 동향을 간략히 소개하고자 한다.  1. 디지털 전환과 원격근무의 시대  맥킨지 보고서는 팬데믹에 따라 전 세계 국가들이 온라인으로 더 밀접하게 연결되면서 정부 및 기업의 디지털 혁신이 약 7년 가까이 앞당겨졌다고 기술했다. 한꺼번에 방대한 양의 인프라 및 관련 서비스가 온라인으로 전환됐지만, 사이버 공격자에게 원격 사용자, 취약한 시스템 및 보안 체계를 겨냥할 기회를 더 많이 제공한 셈이다.    팬데믹은 또한 사람들의 디지털 의존도를 높였다. 래더스(Ladders) 보고서에 따르면 올해 원격근무가 미국 전체 일자리에서 차지하는 비율은 거의 25%에 달했으며, 2023년에는 더 높아질 것으로 예측됐다. 기존 사무실 환경에서 직원의 사이버 보안을 유지했던 방식은 이제 무의미해졌다. 원격으로 근무하는 직원이 개인 기기에서 회사 리소스에 액세스하고, 보안이 취약한 공공 Wi-Fi 네트워크를 사용함에 따라 기업이 공격...

보안 사이버위협 운영기술 핵심인프라 원격근무 NIST 미국국립표준기술연구소

2022.08.01

디지털 전환의 물결이 전 세계를 덮치면서 온 국가가 더 촘촘하게 온라인으로 연결되고 있다. 이에 따라 국가별 규제가 증가하고 복잡해지고 있지만, 사이버 위협은 날이 갈수록 빠른 확산세를 보이고 있는 상황이다. 이 기사에서는 이런 환경의 중심에 있는 5가지 핵심 동향을 소개하고, 기업이 취할 수 있는 기본적인 대응책을 제시한다.    팬데믹 이후 사이버 세계는 훨씬 더 취약해졌다. ‘히스콕스 사이버 보안 실태 보고서 2022 (Hiscox Cyber Readiness Report 2022)’에 따르면 미국과 유럽 전역 기업의 거의 절반(48%)이 지난 12개월 동안 사이버 공격을 당한 것으로 나타났다. 더 놀라운 결과는 기업들이 사이버 보안 지출을 더욱 늘렸음에도 오히려 공격 사건이 더 증가했다는 점이다.    사이버 보안은 중요한 변곡점에 와있다. 사이버 환경을 그 어느 때보다 더 위험하고 복잡한 곳으로 만들며, 기업의 보안 관리 비용을 높이고 있는 5가지 큰 동향을 간략히 소개하고자 한다.  1. 디지털 전환과 원격근무의 시대  맥킨지 보고서는 팬데믹에 따라 전 세계 국가들이 온라인으로 더 밀접하게 연결되면서 정부 및 기업의 디지털 혁신이 약 7년 가까이 앞당겨졌다고 기술했다. 한꺼번에 방대한 양의 인프라 및 관련 서비스가 온라인으로 전환됐지만, 사이버 공격자에게 원격 사용자, 취약한 시스템 및 보안 체계를 겨냥할 기회를 더 많이 제공한 셈이다.    팬데믹은 또한 사람들의 디지털 의존도를 높였다. 래더스(Ladders) 보고서에 따르면 올해 원격근무가 미국 전체 일자리에서 차지하는 비율은 거의 25%에 달했으며, 2023년에는 더 높아질 것으로 예측됐다. 기존 사무실 환경에서 직원의 사이버 보안을 유지했던 방식은 이제 무의미해졌다. 원격으로 근무하는 직원이 개인 기기에서 회사 리소스에 액세스하고, 보안이 취약한 공공 Wi-Fi 네트워크를 사용함에 따라 기업이 공격...

2022.08.01

IBM, z16 메인프레임에 NIST 양자 보안 알고리즘 적용 발표

몇 년 후에나 필요할 수 있는 미래의 양자 기반 공격에의 보호 기능을 IBM이 추가했다. NIST의 새로운 공개 키 암호화 및 디지털 서명 알고리즘이 IBM 메인프레임에 적용된다. IBM은 지난 4월 최신 버전의 메인프레임 z16을 출시하면서, 향후 예상되는 양자 기반 보안 위협에 대한 대응 방안을 적용하겠다고 약속한 바 있다.  27일 회사는 z16이 양자 안전 API를 제공하는 크립토 익스프레스8S 어댑터를 지원한다고 밝혔다.  이용하면 기존 암호화와 함께 양자 안전 암호화 개발을 시작하고 기존 애플리케이션을 현대화하고 새로운 애플리케이션을 구축할 수 있도록 한다고 IBM은 설명했다.  좀더 구체적으로는 이달 초 선택된 4개의 미국 NIST(National Institute of Standards and Technology) 알고리즘 지원이 z16에 추가됐다. 이는 양자 프로세서 기반 공격으로부터 보호할 수 있도록 구축된 PQC(post-quantum cryptography) 표준의 근간이다. IBM은 4개의 알고리즘 중 3개의 개발에 깊이 관여한 기업이기도 하다.  IBM 암호화 기술 부문 수석 엔지니어 앤 다메스에 따르면, 이번 NIST 알고리즘 지원을 통해 z16은 향후 공격자가 양자 컴퓨터를 사용해 암호를 해독하는 시나리오에 대한 대응 능력을 확보하게 된다. 그는 “암호화된 데이터를 입수한 후 향후 양자 컴퓨터로 암호화 기법을 파훼하는 ‘하베스트 나우 디크립트 레이터’(harvest now decrypt later) 공격에 대비할 수 있다”라고 블로그를 통해 밝혔다. NIST의 양자 암호화 표준에 대한 좀더 자세한 정보는 여기에서 확인할 수 있다. ciokr@idg.co.kr  

IBM 퀀텀 컴퓨터 양자 컴퓨터 NIST 암호화 z16 메인프레임

2022.07.28

몇 년 후에나 필요할 수 있는 미래의 양자 기반 공격에의 보호 기능을 IBM이 추가했다. NIST의 새로운 공개 키 암호화 및 디지털 서명 알고리즘이 IBM 메인프레임에 적용된다. IBM은 지난 4월 최신 버전의 메인프레임 z16을 출시하면서, 향후 예상되는 양자 기반 보안 위협에 대한 대응 방안을 적용하겠다고 약속한 바 있다.  27일 회사는 z16이 양자 안전 API를 제공하는 크립토 익스프레스8S 어댑터를 지원한다고 밝혔다.  이용하면 기존 암호화와 함께 양자 안전 암호화 개발을 시작하고 기존 애플리케이션을 현대화하고 새로운 애플리케이션을 구축할 수 있도록 한다고 IBM은 설명했다.  좀더 구체적으로는 이달 초 선택된 4개의 미국 NIST(National Institute of Standards and Technology) 알고리즘 지원이 z16에 추가됐다. 이는 양자 프로세서 기반 공격으로부터 보호할 수 있도록 구축된 PQC(post-quantum cryptography) 표준의 근간이다. IBM은 4개의 알고리즘 중 3개의 개발에 깊이 관여한 기업이기도 하다.  IBM 암호화 기술 부문 수석 엔지니어 앤 다메스에 따르면, 이번 NIST 알고리즘 지원을 통해 z16은 향후 공격자가 양자 컴퓨터를 사용해 암호를 해독하는 시나리오에 대한 대응 능력을 확보하게 된다. 그는 “암호화된 데이터를 입수한 후 향후 양자 컴퓨터로 암호화 기법을 파훼하는 ‘하베스트 나우 디크립트 레이터’(harvest now decrypt later) 공격에 대비할 수 있다”라고 블로그를 통해 밝혔다. NIST의 양자 암호화 표준에 대한 좀더 자세한 정보는 여기에서 확인할 수 있다. ciokr@idg.co.kr  

2022.07.28

“양자 위협에의 선제적 대응”··· NIST, 새 포스트-퀀텀 암호화 표준 발표

퍼블릭 키 암호화 1개와 디지털 서명 알고리즘 3개가 결정됐다. 보안 분야의 새로운 발전을 촉진하는 계기일 수 있다.    양자 컴퓨터의 위력에 맞서 안전한 미래로 가는 길이 조금이나다 더 확실해졌다. 이번 주, 미국 국립표준기술원(National Institute of Standards and Technology, NIST)는 PQC(Pos-Quantum Cryptography) 표준을 위한 3차 콘테스트에서 선택된 알고리즘들을 발표했다. NIST는 여러 가지를 발표했다. 그 핵심에는 디지털 서명을 위한 키와 CRYSTALS-Dilithium을 규명하기 위한 CRYSTALS-Kyber라는 메인 알고리즘의 선택이 있었다. 둘 다 이론적으로 같은 접근방식을 사용한다. 동시에 구현하기가 더 간단할 수 있는 셈이다. NIST는 또한 디지털 서명 알고리즘 팔콘(Falcon)과 SPHINCS+를 표준화할 것이라고 발표했다. 또한 다른 여러 알고리즘을 지속적으로 연구할 것이며 4차 콘테스트에서 추가적으로 표준화될 수 있다고 전했다. NIST는 당초 결과가 2022년 초에 발표될 것이라고 약속했던 바 있다. 그러나 이후 기술 외적인 이유로 인해 결과가 지연됐다. 참고로 이 콘테스트는 2016년에 시작되었으며 서서히 발전하고 있다. 몇 년에 걸쳐 새 알고리즘의 약점이 드러날 수 있으며, 때로는 잠재적인 문제가 수십 년 동안 드러나지 않는다. NIST가 2명의 우승자를 선택한 가운데, 다수의 차점자를 지명한 배경이다. 2020년, 2차 대회 종료 후 NIST는 7개의 알고리즘을 결승 출전자로 선택하고 8개를 추가 연구용 대안으로 지정했다. 그 이후로 학계와 전문가들은 알고리즘을 조사하고 약점을 조사했으며 잠재적인 공격을 조사했다. NIST는 또한 NSA 같은 정부기관에게 평가를 요청했다. 이 콘테스트는 오늘날 보편적인 알고리즘 중 일부가 양자 컴퓨터의 등장으로 인해 위협받을 수 있다는 우려로 인해 시작됐다. RSA나 ‘Dif...

양자 컴퓨터 퀀텀 컴퓨터 NIST 보안 알고리즘 암호화 알고리즘 PQC

2022.07.08

퍼블릭 키 암호화 1개와 디지털 서명 알고리즘 3개가 결정됐다. 보안 분야의 새로운 발전을 촉진하는 계기일 수 있다.    양자 컴퓨터의 위력에 맞서 안전한 미래로 가는 길이 조금이나다 더 확실해졌다. 이번 주, 미국 국립표준기술원(National Institute of Standards and Technology, NIST)는 PQC(Pos-Quantum Cryptography) 표준을 위한 3차 콘테스트에서 선택된 알고리즘들을 발표했다. NIST는 여러 가지를 발표했다. 그 핵심에는 디지털 서명을 위한 키와 CRYSTALS-Dilithium을 규명하기 위한 CRYSTALS-Kyber라는 메인 알고리즘의 선택이 있었다. 둘 다 이론적으로 같은 접근방식을 사용한다. 동시에 구현하기가 더 간단할 수 있는 셈이다. NIST는 또한 디지털 서명 알고리즘 팔콘(Falcon)과 SPHINCS+를 표준화할 것이라고 발표했다. 또한 다른 여러 알고리즘을 지속적으로 연구할 것이며 4차 콘테스트에서 추가적으로 표준화될 수 있다고 전했다. NIST는 당초 결과가 2022년 초에 발표될 것이라고 약속했던 바 있다. 그러나 이후 기술 외적인 이유로 인해 결과가 지연됐다. 참고로 이 콘테스트는 2016년에 시작되었으며 서서히 발전하고 있다. 몇 년에 걸쳐 새 알고리즘의 약점이 드러날 수 있으며, 때로는 잠재적인 문제가 수십 년 동안 드러나지 않는다. NIST가 2명의 우승자를 선택한 가운데, 다수의 차점자를 지명한 배경이다. 2020년, 2차 대회 종료 후 NIST는 7개의 알고리즘을 결승 출전자로 선택하고 8개를 추가 연구용 대안으로 지정했다. 그 이후로 학계와 전문가들은 알고리즘을 조사하고 약점을 조사했으며 잠재적인 공격을 조사했다. NIST는 또한 NSA 같은 정부기관에게 평가를 요청했다. 이 콘테스트는 오늘날 보편적인 알고리즘 중 일부가 양자 컴퓨터의 등장으로 인해 위협받을 수 있다는 우려로 인해 시작됐다. RSA나 ‘Dif...

2022.07.08

NIST, AI 위험 관리 프레임워크 마련

AI 애플리케이션은 작업 효율을 높이는 업무 자동화, 쇼핑 추천 목록 재구성, 신용 승인, 이미지 처리, 예측 순찰과 같은 다양한 영역으로 확장되고 있다. 더불어 AI 애플리케이션을 수용하는 기업 및 정부 기관의 움직임도 빨라졌다.   다른 디지털 기술과 마찬가지로 AI 기술에는 여러 전통적인 보안 취약점이 있으며, 개인정보 보호/편견/불평등/안전과 같은 새로운 문제점도 존재한다. 이에 따라 미국표준기술연구소(NIST)는 AI와 관련한 위험을 잘 관리하기 위해 ‘AI 위험 관리 프레임워크(Artificial Intelligence Risk Management Framework, AI RMF)’를 마련하고 있다. AI RMF는 기업이 AI 제품, 서비스 및 시스템의 설계/개발/사용/평가에 신뢰성을 통합하는 능력을 높이는 데 목적이 있다. AI RMF의 초안은 2021년 12월에 NIST가 발표한 개념서를 기반으로 한다. NIST는 AI RMF를 통해 AI 기반 시스템의 위험이 다른 영역과 어떻게 다른지 설명하고, 수많은 이해관계자가 이런 위험을 의도적으로 해결할 수 있기를 희망한다. NIST는 “기존 규정, 법률 또는 기타 의무 지침을 포함해 프레임워크에서 다룬 것을 넘어서 규정 준수 고려사항을 매핑하는 데 사용될 수 있다”라고 말했다. AI 기술은 NIST가 다른 프레임워크에서 다루는 것과 동일한 위험에 노출되어 있지만, 일부 위험 ‘격차’ 또는 우려 사항은 AI 기술에만 한정된 것이다. AI RMF는 이런 격차를 해결하고자 한다.  AI 이해관계자 그룹 및 기술적 특성 NIST는 프레임워크와 관련된 이해관계자를 AI 시스템 이해관계자, 운영자 및 평가자, 외부 이해관계자, 일반 등 4가지 그룹으로 분류했다. AI 시스템과 관련된 위험을 식별하고 관리하기 위한 포괄적인 접근 방식으로 고려해야 하는 특성은 기술적 특성, 사회 기술적 특성, 지도 원칙 3가지로 분류했다.  기술적 특성은 AI 시스템 설계자와 개발자가 직접 통제...

AI NIST AI RMF

2022.04.14

AI 애플리케이션은 작업 효율을 높이는 업무 자동화, 쇼핑 추천 목록 재구성, 신용 승인, 이미지 처리, 예측 순찰과 같은 다양한 영역으로 확장되고 있다. 더불어 AI 애플리케이션을 수용하는 기업 및 정부 기관의 움직임도 빨라졌다.   다른 디지털 기술과 마찬가지로 AI 기술에는 여러 전통적인 보안 취약점이 있으며, 개인정보 보호/편견/불평등/안전과 같은 새로운 문제점도 존재한다. 이에 따라 미국표준기술연구소(NIST)는 AI와 관련한 위험을 잘 관리하기 위해 ‘AI 위험 관리 프레임워크(Artificial Intelligence Risk Management Framework, AI RMF)’를 마련하고 있다. AI RMF는 기업이 AI 제품, 서비스 및 시스템의 설계/개발/사용/평가에 신뢰성을 통합하는 능력을 높이는 데 목적이 있다. AI RMF의 초안은 2021년 12월에 NIST가 발표한 개념서를 기반으로 한다. NIST는 AI RMF를 통해 AI 기반 시스템의 위험이 다른 영역과 어떻게 다른지 설명하고, 수많은 이해관계자가 이런 위험을 의도적으로 해결할 수 있기를 희망한다. NIST는 “기존 규정, 법률 또는 기타 의무 지침을 포함해 프레임워크에서 다룬 것을 넘어서 규정 준수 고려사항을 매핑하는 데 사용될 수 있다”라고 말했다. AI 기술은 NIST가 다른 프레임워크에서 다루는 것과 동일한 위험에 노출되어 있지만, 일부 위험 ‘격차’ 또는 우려 사항은 AI 기술에만 한정된 것이다. AI RMF는 이런 격차를 해결하고자 한다.  AI 이해관계자 그룹 및 기술적 특성 NIST는 프레임워크와 관련된 이해관계자를 AI 시스템 이해관계자, 운영자 및 평가자, 외부 이해관계자, 일반 등 4가지 그룹으로 분류했다. AI 시스템과 관련된 위험을 식별하고 관리하기 위한 포괄적인 접근 방식으로 고려해야 하는 특성은 기술적 특성, 사회 기술적 특성, 지도 원칙 3가지로 분류했다.  기술적 특성은 AI 시스템 설계자와 개발자가 직접 통제...

2022.04.14

"마이크로서비스 기반의 앱을 위한 데브섹옵스 구현" NIST, 새 가이드 공개

미국 연방정부도 민간 기업과 마찬가지로 클라우드, 데브섹옵스(Devsecops), 그리고 클라우드 네이티브 애플리케이션을 위한 마이크로서비스 기반 아키텍처로 전환하는 중이다. 미국표준기술연구원(NIST)은 업계가 모범사례를 채택할 수 있도록 표준과 가이드를 제공하고 혁신을 장려한다.   이를 위해 NIST는 지난 9월 서비스 메시(Service Mesh)를 사용한 마이크로서비스 기반 애플리케이션을 위한 데브섹옵스 구현을 발표했다(800-204C). 데브섹옵스 구현, 그리고 마이크로서비스 아키텍처에 클라우드 네이티브 애플리케이션을 호스팅하기 위한 서비스 메시를 사용한 참조 플랫폼 사용에 관한 포괄적인 가이드다. 이 문서는 현재 초안 형식이며, 전 미공군 최고 소프트웨어 책임자인 니콜라스 챌라인과 서비스 메시 분야 선두업체인 테트레이트(Tetrate)의 협업으로 작성됐다. 이 가이드는 성공적인 데브섹옵스 구현을 위한 구성 요소라고 할 수 있는 프리미티브(primitive) 개념을 사용했다. 데브섹옵스 프리미티브는 민첩한 개발을 위한 마이크로서비스 기반 애플리케이션에 가장 적합하다. 또한 데브섹옵스가 클라우드 네이티브 애플리케이션에 필요한 비즈니스 민첩성 요구사항을 촉진한다는 개념도 지원한다. NIST 가이드의 각 세션 내용을 분석해 보자. 데브섹옵스 프리미티브 구현을 위한 참조 플랫폼 이 가이드는 컨테이너 오케스트레이션과 관리 플랫폼 맥락에서 참조 플랫폼을 다룬다. 예를 들어 분류된 또는 연결이 끊긴 엄격한 환경(물리적) 또는 AWS, 애저와 같은 클라우드 서비스 제공업체(CSP) 환경과 같은 가상화된 환경 등 물리적 또는 가상 기반 인프라 위에 구축하는 방식이다. 가이드는 컨테이너 오케스트레이션 및 리소스 관리 플랫폼 사용을 권장한다. 가장 인기 있는 오픈소스 컨테이너 오케스트레이션 플랫폼인 쿠버네티스(Kubernetes)가 대표적이다. 쿠버네티스는 컨테이너화된 애플리케이션을 호스팅하는 팟(pod)을 기반으로 물리적 또는 가상 머신에 배포할 수...

데브섹옵스 NIST Devsecops 마이크로서비스 서비스메시 Service Mesh

2021.11.01

미국 연방정부도 민간 기업과 마찬가지로 클라우드, 데브섹옵스(Devsecops), 그리고 클라우드 네이티브 애플리케이션을 위한 마이크로서비스 기반 아키텍처로 전환하는 중이다. 미국표준기술연구원(NIST)은 업계가 모범사례를 채택할 수 있도록 표준과 가이드를 제공하고 혁신을 장려한다.   이를 위해 NIST는 지난 9월 서비스 메시(Service Mesh)를 사용한 마이크로서비스 기반 애플리케이션을 위한 데브섹옵스 구현을 발표했다(800-204C). 데브섹옵스 구현, 그리고 마이크로서비스 아키텍처에 클라우드 네이티브 애플리케이션을 호스팅하기 위한 서비스 메시를 사용한 참조 플랫폼 사용에 관한 포괄적인 가이드다. 이 문서는 현재 초안 형식이며, 전 미공군 최고 소프트웨어 책임자인 니콜라스 챌라인과 서비스 메시 분야 선두업체인 테트레이트(Tetrate)의 협업으로 작성됐다. 이 가이드는 성공적인 데브섹옵스 구현을 위한 구성 요소라고 할 수 있는 프리미티브(primitive) 개념을 사용했다. 데브섹옵스 프리미티브는 민첩한 개발을 위한 마이크로서비스 기반 애플리케이션에 가장 적합하다. 또한 데브섹옵스가 클라우드 네이티브 애플리케이션에 필요한 비즈니스 민첩성 요구사항을 촉진한다는 개념도 지원한다. NIST 가이드의 각 세션 내용을 분석해 보자. 데브섹옵스 프리미티브 구현을 위한 참조 플랫폼 이 가이드는 컨테이너 오케스트레이션과 관리 플랫폼 맥락에서 참조 플랫폼을 다룬다. 예를 들어 분류된 또는 연결이 끊긴 엄격한 환경(물리적) 또는 AWS, 애저와 같은 클라우드 서비스 제공업체(CSP) 환경과 같은 가상화된 환경 등 물리적 또는 가상 기반 인프라 위에 구축하는 방식이다. 가이드는 컨테이너 오케스트레이션 및 리소스 관리 플랫폼 사용을 권장한다. 가장 인기 있는 오픈소스 컨테이너 오케스트레이션 플랫폼인 쿠버네티스(Kubernetes)가 대표적이다. 쿠버네티스는 컨테이너화된 애플리케이션을 호스팅하는 팟(pod)을 기반으로 물리적 또는 가상 머신에 배포할 수...

2021.11.01

NIST의 EO 위임 소프트웨어 보안 가이드라인, 보안 업계에의 영향은?

큰 피해를 입힌 공급망 해킹 사건이 잇따라 발생한 이후, 미국 바이든 대통령이 5월 12일 사이버 보안에 대한 광범위한 행정 명령(Executive Order, EO)을 통해 미국 국립표준기술연구소(NIST)에 소프트웨어 보안 문제에 대한 일련의 가이드를 마련하도록 지시했다.    NIST는 첫 EO 지시인 크리티컬 소프트웨어의 정의를 확립해 6월 말 발표했고, 두 번째 지시인 크리티컬 소프트웨어 사용에 관한 보안 대책 가이드 공표는 지난 7월 초 이행했다. NIST는 소프트웨어 보안 유지라는 복잡한 문제에 대처하기 위해 유관 기관으로부터 문서를 받고 2일 동안 워크숍을 열어 업계 및 기타 전문가의 의견을 구했다. NIST는 운영(개발 및 구매 문제는 다루지 않음) 보안 대책에 대한 다음과 같은 4가지 목표를 정의했다.   무단 접근 및 사용으로부터 EO 크리티컬 소프트웨어와 EO 크리티컬 소프트웨어 플랫폼(엔드포인트, 서버, 클라우드 리소스 등 EO 크리티컬 소프트웨어가 실행되는 플랫폼)을 보호한다. 관련 대책에는 다중 요소 인증 사용, 특권 접근 관리 원칙 준수, 경계 보호 기술 사용 등이 포함된다.    EO 크리티컬 소프트웨어 및 EO 크리티컬 소프트웨어 플랫폼에 사용되는 데이터의 기밀성, 무결성, 가용성을 보호한다. 관련 대책에는 데이터 인벤토리 유지, 보관 및 전송 중 데이터 보호, 테스트된 복구 계획으로 데이터 백업 등이 포함된다. EO 크리티컬 소프트웨어 플랫폼과 이런 플랫폼에 배포되는 소프트웨어를 식별, 유지해 EO 크리티컬 소프트웨어를 악용으로부터 보호한다. 관련 대책에는 소프트웨어 인벤토리 유지, 패치 관리 계획 수립, 구성 관리 관행 사용 등이 포함된다. EO 크리티컬 소프트웨어 및 EO 크리티컬 소프트웨어 플랫폼과 관련된 위협 및 사고를 신속하게 탐지, 대응하고 복구한다. 관련 대책에는 필요한 로깅 정보 기록, 지속적인 보안 모니터링, 엔드포인트 및 네트워크 보안 보호 사용 등이...

보안가이드라인 NIST EO 행정명령

2021.07.22

큰 피해를 입힌 공급망 해킹 사건이 잇따라 발생한 이후, 미국 바이든 대통령이 5월 12일 사이버 보안에 대한 광범위한 행정 명령(Executive Order, EO)을 통해 미국 국립표준기술연구소(NIST)에 소프트웨어 보안 문제에 대한 일련의 가이드를 마련하도록 지시했다.    NIST는 첫 EO 지시인 크리티컬 소프트웨어의 정의를 확립해 6월 말 발표했고, 두 번째 지시인 크리티컬 소프트웨어 사용에 관한 보안 대책 가이드 공표는 지난 7월 초 이행했다. NIST는 소프트웨어 보안 유지라는 복잡한 문제에 대처하기 위해 유관 기관으로부터 문서를 받고 2일 동안 워크숍을 열어 업계 및 기타 전문가의 의견을 구했다. NIST는 운영(개발 및 구매 문제는 다루지 않음) 보안 대책에 대한 다음과 같은 4가지 목표를 정의했다.   무단 접근 및 사용으로부터 EO 크리티컬 소프트웨어와 EO 크리티컬 소프트웨어 플랫폼(엔드포인트, 서버, 클라우드 리소스 등 EO 크리티컬 소프트웨어가 실행되는 플랫폼)을 보호한다. 관련 대책에는 다중 요소 인증 사용, 특권 접근 관리 원칙 준수, 경계 보호 기술 사용 등이 포함된다.    EO 크리티컬 소프트웨어 및 EO 크리티컬 소프트웨어 플랫폼에 사용되는 데이터의 기밀성, 무결성, 가용성을 보호한다. 관련 대책에는 데이터 인벤토리 유지, 보관 및 전송 중 데이터 보호, 테스트된 복구 계획으로 데이터 백업 등이 포함된다. EO 크리티컬 소프트웨어 플랫폼과 이런 플랫폼에 배포되는 소프트웨어를 식별, 유지해 EO 크리티컬 소프트웨어를 악용으로부터 보호한다. 관련 대책에는 소프트웨어 인벤토리 유지, 패치 관리 계획 수립, 구성 관리 관행 사용 등이 포함된다. EO 크리티컬 소프트웨어 및 EO 크리티컬 소프트웨어 플랫폼과 관련된 위협 및 사고를 신속하게 탐지, 대응하고 복구한다. 관련 대책에는 필요한 로깅 정보 기록, 지속적인 보안 모니터링, 엔드포인트 및 네트워크 보안 보호 사용 등이...

2021.07.22

‘새 패스워드를 강요하지 말라?’··· 비밀번호 보안에 대한 최신 조언 10가지

2013년 이후 가장 널리 쓰이는 비밀번호는 무엇이었을까? 상상할 수 있는 특히 단순한 비밀번호, 즉 ‘123456’이다. 그리고 ‘password’, ‘Qwerty’ 등이 이어진다.  노드패스(NordPass)가 데이터 침해에 의해 노출된 비밀번호 분석을 바탕으로 선정한 2020년 ‘올해의 가장 흔한 비밀번호들’에 따르면 아직도 ‘123456’을 비밀번호로 사용하는 사람이 수없이 많다. 이 6자리 숫자는 여러 해에 걸쳐 다른 순위 목록에서도 높은 위치를 차지했다. 스플래시데이터(SplashData)는 위와 비슷한 방식을 이용해 목록을 만든 결과, ‘123456’은 2011년과 2012년 2위를 차지했고, 그 후 2019년까지 매년 1위 자리를 고수했다. 다른 황당한 비밀번호도 수없이 많다. 위에서 언급한 ‘password’ (언제나 상위 5위권이었고, 2011년과 2012년에는 1위였음), ‘qwerty’ (언제나 10위권 내), 그리고 약간 변형된 ‘12345678’ (언제나 6위권 내) 등이다.  2020년의 가장 흔했던 비밀번호 10가지  노드패스의 흔한 비밀번호 순위에 따르면 2020년 가장 흔히 사용된 최악의 비밀번호 10가지는 아래와 같다.      123456     123456789     picture1     password     12345678     111111     123123     12345     1234567890     senha 스플래시데이터, 영국의 국가 사이버 보안 센터(National Cyber Security Center, NCSC)등에서 나온 다른 최악의 비밀번호 목록들도 비슷하다. 쉽게 상상할 수 있는 수열, 표준 QWERTY 키보드 상에 서로 인접한 문자로 이루어진 ‘단어’들은 언제나 높은...

패스워드 비밀번호 패스워드 매니저 MFA SSO NIST

2021.04.19

2013년 이후 가장 널리 쓰이는 비밀번호는 무엇이었을까? 상상할 수 있는 특히 단순한 비밀번호, 즉 ‘123456’이다. 그리고 ‘password’, ‘Qwerty’ 등이 이어진다.  노드패스(NordPass)가 데이터 침해에 의해 노출된 비밀번호 분석을 바탕으로 선정한 2020년 ‘올해의 가장 흔한 비밀번호들’에 따르면 아직도 ‘123456’을 비밀번호로 사용하는 사람이 수없이 많다. 이 6자리 숫자는 여러 해에 걸쳐 다른 순위 목록에서도 높은 위치를 차지했다. 스플래시데이터(SplashData)는 위와 비슷한 방식을 이용해 목록을 만든 결과, ‘123456’은 2011년과 2012년 2위를 차지했고, 그 후 2019년까지 매년 1위 자리를 고수했다. 다른 황당한 비밀번호도 수없이 많다. 위에서 언급한 ‘password’ (언제나 상위 5위권이었고, 2011년과 2012년에는 1위였음), ‘qwerty’ (언제나 10위권 내), 그리고 약간 변형된 ‘12345678’ (언제나 6위권 내) 등이다.  2020년의 가장 흔했던 비밀번호 10가지  노드패스의 흔한 비밀번호 순위에 따르면 2020년 가장 흔히 사용된 최악의 비밀번호 10가지는 아래와 같다.      123456     123456789     picture1     password     12345678     111111     123123     12345     1234567890     senha 스플래시데이터, 영국의 국가 사이버 보안 센터(National Cyber Security Center, NCSC)등에서 나온 다른 최악의 비밀번호 목록들도 비슷하다. 쉽게 상상할 수 있는 수열, 표준 QWERTY 키보드 상에 서로 인접한 문자로 이루어진 ‘단어’들은 언제나 높은...

2021.04.19

MS 액티브 디렉토리에서 ‘도메인 암호 보안’ 강화하기

제로 트러스트(zero trust)의 개념은 ‘그 어떤 것도 다짜고짜 신뢰해서는 안 된다’라는 것이다. 많은 기업이 제로 트러스트로 가기 위해 노력 중이지만 아직 미치지 못하고 있다. 제로 트러스트에 다다르기 전까지는 네트워크 보호 강화 조치를 취해야 한다. 마이크로소프트 환경에서 우석적으로 해야 할 도메인에서의 암호 처리 개선 요령을 소개한다. 마이크로소프트의 LAPS 툴킷을 사용할 것 어떤 조직이든 일단 마이크로소프트 LAPS(Local Administrator Password Solution) 툴킷을 배치하는 것부터 시작해야 한다. 마이크로소프트의 다운로드 페이지에서 설명하는 지침은 다음과 같다. “[LAPS 솔루션은] 고객이 컴퓨터에서 동일한 관리 로컬 계정 및 암호 조합을 사용할 때 발생하는 수평 에스컬레이션 위험을 완화합니다. LAPS는 AD에 있는 각 컴퓨터의 로컬 관리자 계정에 대한 암호를 저장하고 컴퓨터의 해당 AD 개체에 있는 기밀 특성으로 보호합니다. 컴퓨터에서 AD에 있는 자체 암호 데이터를 업데이트할 수 있으며, 도메인 관리자가 워크스테이션 기술 지원팀 관리자와 같은 권한 있는 사용자 또는 그룹에 읽기 권한을 부여할 수 있습니다.” 도메인에 가입되지 않은 머신이나 클라우드 가상 머신으로 이동하는 사람들을 위해 애저 마켓플레이스(Azure Marketplace)는 인튠 가입 머신에 고유한 관리자 암호를 배치할 수 있는 여러 가지 옵션을 제공하고 있다.  첫번째는 시너직스 랩(Synergix Labs)의 LAPS 위드 인튠(LAPS with Intune)이다. 이 밖에 시저닉스 랩의 LAPS 포 애저(LAPS for Azure)와 그레이코벨 솔루션(GreyCorbel Solutions)의 APME(Admin Password Manager for Enterprise)도 있다. 클라우드로 자산을 옮길 때 로컬 관리자 암호를 통해 공격자가 손쉽게 침입하는 일이 없도록 해 주는 솔루션들이다. -> '해킹에 강한' ...

액티브 디렉토리 LAPS 툴킷 2FA 임무 분리 도메인 암호 정책 패스워드 NIST

2021.04.16

제로 트러스트(zero trust)의 개념은 ‘그 어떤 것도 다짜고짜 신뢰해서는 안 된다’라는 것이다. 많은 기업이 제로 트러스트로 가기 위해 노력 중이지만 아직 미치지 못하고 있다. 제로 트러스트에 다다르기 전까지는 네트워크 보호 강화 조치를 취해야 한다. 마이크로소프트 환경에서 우석적으로 해야 할 도메인에서의 암호 처리 개선 요령을 소개한다. 마이크로소프트의 LAPS 툴킷을 사용할 것 어떤 조직이든 일단 마이크로소프트 LAPS(Local Administrator Password Solution) 툴킷을 배치하는 것부터 시작해야 한다. 마이크로소프트의 다운로드 페이지에서 설명하는 지침은 다음과 같다. “[LAPS 솔루션은] 고객이 컴퓨터에서 동일한 관리 로컬 계정 및 암호 조합을 사용할 때 발생하는 수평 에스컬레이션 위험을 완화합니다. LAPS는 AD에 있는 각 컴퓨터의 로컬 관리자 계정에 대한 암호를 저장하고 컴퓨터의 해당 AD 개체에 있는 기밀 특성으로 보호합니다. 컴퓨터에서 AD에 있는 자체 암호 데이터를 업데이트할 수 있으며, 도메인 관리자가 워크스테이션 기술 지원팀 관리자와 같은 권한 있는 사용자 또는 그룹에 읽기 권한을 부여할 수 있습니다.” 도메인에 가입되지 않은 머신이나 클라우드 가상 머신으로 이동하는 사람들을 위해 애저 마켓플레이스(Azure Marketplace)는 인튠 가입 머신에 고유한 관리자 암호를 배치할 수 있는 여러 가지 옵션을 제공하고 있다.  첫번째는 시너직스 랩(Synergix Labs)의 LAPS 위드 인튠(LAPS with Intune)이다. 이 밖에 시저닉스 랩의 LAPS 포 애저(LAPS for Azure)와 그레이코벨 솔루션(GreyCorbel Solutions)의 APME(Admin Password Manager for Enterprise)도 있다. 클라우드로 자산을 옮길 때 로컬 관리자 암호를 통해 공격자가 손쉽게 침입하는 일이 없도록 해 주는 솔루션들이다. -> '해킹에 강한' ...

2021.04.16

“엣지 기기 보안 향상 목표”··· 美 IoT 사이버보안 개선법, 상원 통과

‘사물인터넷 사이버보안 개선법(The Internet of Things Cybersecurity Improvement Act)’에 따르면 기기 제조사들은 새로운 보안 표준을 충족해야 한다. 아직까진 정부 기관과 관련된 업체에만 적용되는 법이지만, 향후 민간 부문으로 확대될 것으로 전망된다.    전 세계가 모든 전자기기를 상호연결하는, 즉 사물인터넷(IoT) 시대로 나아가고 있다. 하지만 ‘보안’보다 시장 출시 속도와 가격만 우선시하는 기기 제조사들이 많다. 노키아(Nokia)의 최신 위협 인텔리전스 보고서(Threat Intelligence Report 2020)에 의하면 전체 모바일 및 와이파이 네트워크 감염에서 IoT 기기가 차지하는 비율은 무려 3분의 1가량에 달했다.  IoT 기기 수가 기하급수적으로 증가하면서 이 비율 또한 많이 늘어날 것으로 예상된다. 포티넷(Fortinet)의 최근 보고서는 엣지 기기의 급속한 도입으로 공격 기회가 커질 것이라면서, “지능형 악성코드가 새로운 ‘엣지 액세스 트로이목마(edge access Trojans, EAT)’를 사용하여 민감한 데이터를 발견하고 로컬 네트워크에서 요청을 가로채 시스템을 손상시키거나 추가 공격 명령을 주입하는 등의 침입 활동을 수행할 수 있다”라고 경고했다.  지난 9월 美 하원을 통과했고 지난주 상원에서 만장일치로 승인된 ‘사물인터넷 사이버보안 개선법’은 이러한 위협을 방지하고 IoT 기기 보안을 강화하기 위한 조치다. 이제 남은 것은 도널드 트럼프 대통령의 서명 절차뿐이다.  처음부터 이 법안을 적극 후원했던 월 허드 하원의원과 로빈 켈리 하원의원의 말을 빌리자면, 해당 개선법의 목표는 “국가 안보와 국민의 개인정보를 보호하기 위해 미국 정부가 안전한 기기를 구매할 수 있도록 보장하는 것 그리고 기존 취약점을 차단할 수 있도록 하는 것”이다. 연방정부가 따를 수 있는 표준 및 가이드라인을 만드는 것 또한 목표다.  이 법안은 이...

사물인터넷 IoT 엣지 기기 엣지 디바이스 노키아 엣지 액세스 트로이목마 악성코드 NIST

2020.11.25

‘사물인터넷 사이버보안 개선법(The Internet of Things Cybersecurity Improvement Act)’에 따르면 기기 제조사들은 새로운 보안 표준을 충족해야 한다. 아직까진 정부 기관과 관련된 업체에만 적용되는 법이지만, 향후 민간 부문으로 확대될 것으로 전망된다.    전 세계가 모든 전자기기를 상호연결하는, 즉 사물인터넷(IoT) 시대로 나아가고 있다. 하지만 ‘보안’보다 시장 출시 속도와 가격만 우선시하는 기기 제조사들이 많다. 노키아(Nokia)의 최신 위협 인텔리전스 보고서(Threat Intelligence Report 2020)에 의하면 전체 모바일 및 와이파이 네트워크 감염에서 IoT 기기가 차지하는 비율은 무려 3분의 1가량에 달했다.  IoT 기기 수가 기하급수적으로 증가하면서 이 비율 또한 많이 늘어날 것으로 예상된다. 포티넷(Fortinet)의 최근 보고서는 엣지 기기의 급속한 도입으로 공격 기회가 커질 것이라면서, “지능형 악성코드가 새로운 ‘엣지 액세스 트로이목마(edge access Trojans, EAT)’를 사용하여 민감한 데이터를 발견하고 로컬 네트워크에서 요청을 가로채 시스템을 손상시키거나 추가 공격 명령을 주입하는 등의 침입 활동을 수행할 수 있다”라고 경고했다.  지난 9월 美 하원을 통과했고 지난주 상원에서 만장일치로 승인된 ‘사물인터넷 사이버보안 개선법’은 이러한 위협을 방지하고 IoT 기기 보안을 강화하기 위한 조치다. 이제 남은 것은 도널드 트럼프 대통령의 서명 절차뿐이다.  처음부터 이 법안을 적극 후원했던 월 허드 하원의원과 로빈 켈리 하원의원의 말을 빌리자면, 해당 개선법의 목표는 “국가 안보와 국민의 개인정보를 보호하기 위해 미국 정부가 안전한 기기를 구매할 수 있도록 보장하는 것 그리고 기존 취약점을 차단할 수 있도록 하는 것”이다. 연방정부가 따를 수 있는 표준 및 가이드라인을 만드는 것 또한 목표다.  이 법안은 이...

2020.11.25

칼럼 | 'NIST 지침과는 무관한' 최고의 비밀번호 조언

미국 국립표준기술연구소(NIST)가 디지털 신원 가이드라인, 특별판 800-63-3(Digital Identity Guidelines, Special Publication 800-63-3)에서 발표한 통념을 거스르는 비밀번호 정책 권고안은 많은 논란을 불러일으켰다. 이 가이드라인에는 논란의 여지가 없는 인증 정보가 다수 포함되어 있지만, 새 권고안이 심하게 틀렸다고 생각하는 사람도 많다. 필자는 NIST의 비밀번호 정책에 대해 생각하는 바가 변한 것은 사실이다. 그러나 이를 다루기 전에 필자가 최고의 비밀번호 정책 조언이라고 믿는 것을 설명한다.    올바른 비밀번호 정책 방향  컴플라이언스 우려를 가지고 있지 않다면, 일반적인 비밀번호 정책은 다음과 같을 것이다.  - 가급적 다중 인증(Multi-Factor Authentication, MFA)을 이용할 것 - MFA가 가능하지 않은 경우, 특히 보안 도메인 별로 유일하고, 길고, 무작위 비밀번호를 생성한다면, 가급적 비밀번호 관리자(password managers)를 이용할 것  - 비밀번호 관리자가 가능하지 않을 경우, 길고 단순한 패스프레이즈(passphrases)을 사용할 것 - 어떠한 경우라도, 평범한 비밀번호를 사용하지 말 것(예. 'password', 'qwerty' 등). 그리고 다른 사이트에서 비밀번호를 재사용하지 말 것  이 조언에 있어서 문제라면 MFA와 비밀번호 관리자가 모든 사이트에서, 그리고 모든 기기에 걸쳐 사용할 수 있는 것은 아니라는 점이다. 따라서 사용자는 어쩔 수 없이 비밀번호를 사용해야 할 경우가 있다. 비밀번호 관리자가 무작위의 길고 복잡한 비밀번호를 선택한다면, 그리고 일부 기기에서만 유효하고 다른 기기에서 유효하지 않다면, 이는 길고 복잡한 비밀번호를 기억하거나 기록해둬야 한다는 의미다.   NIST가 비밀번호 정책을 바꾼 이유  어찌됐든 사용자는 스스로 ...

비밀번호 NIST

2019.03.11

미국 국립표준기술연구소(NIST)가 디지털 신원 가이드라인, 특별판 800-63-3(Digital Identity Guidelines, Special Publication 800-63-3)에서 발표한 통념을 거스르는 비밀번호 정책 권고안은 많은 논란을 불러일으켰다. 이 가이드라인에는 논란의 여지가 없는 인증 정보가 다수 포함되어 있지만, 새 권고안이 심하게 틀렸다고 생각하는 사람도 많다. 필자는 NIST의 비밀번호 정책에 대해 생각하는 바가 변한 것은 사실이다. 그러나 이를 다루기 전에 필자가 최고의 비밀번호 정책 조언이라고 믿는 것을 설명한다.    올바른 비밀번호 정책 방향  컴플라이언스 우려를 가지고 있지 않다면, 일반적인 비밀번호 정책은 다음과 같을 것이다.  - 가급적 다중 인증(Multi-Factor Authentication, MFA)을 이용할 것 - MFA가 가능하지 않은 경우, 특히 보안 도메인 별로 유일하고, 길고, 무작위 비밀번호를 생성한다면, 가급적 비밀번호 관리자(password managers)를 이용할 것  - 비밀번호 관리자가 가능하지 않을 경우, 길고 단순한 패스프레이즈(passphrases)을 사용할 것 - 어떠한 경우라도, 평범한 비밀번호를 사용하지 말 것(예. 'password', 'qwerty' 등). 그리고 다른 사이트에서 비밀번호를 재사용하지 말 것  이 조언에 있어서 문제라면 MFA와 비밀번호 관리자가 모든 사이트에서, 그리고 모든 기기에 걸쳐 사용할 수 있는 것은 아니라는 점이다. 따라서 사용자는 어쩔 수 없이 비밀번호를 사용해야 할 경우가 있다. 비밀번호 관리자가 무작위의 길고 복잡한 비밀번호를 선택한다면, 그리고 일부 기기에서만 유효하고 다른 기기에서 유효하지 않다면, 이는 길고 복잡한 비밀번호를 기억하거나 기록해둬야 한다는 의미다.   NIST가 비밀번호 정책을 바꾼 이유  어찌됐든 사용자는 스스로 ...

2019.03.11

동남아시아에서 인기 있는 IT보안 자격증 6선

기업에서 가장 빠르게 성장하는 분야 중 하나가 사이버보안이다. 매년 사이버공격이 늘어나는 가운데 기업은 IT예산을 보안에 더 할당해 사이버보안 전문가 고용을 늘리는 추세다. AT커니의 연구에 따르면, 2017년 동남아시아에서 미화 19억 달러가 사이버보안에 쓰였으며 이는 2025년까지 두 자릿수 성장률이 기대된다. 싱가포르만 해도 작년 한 해 GDP의 0.22%를 사이버보안에 투자했는데 이는 전세계 평균보다 높다. 안타깝게도 사이버보안에 대한 수요를 맞추려면 먼저 해결해야 할 과제가 있다. 전세계적으로 보안은 기술력 부족 문제가 심각한 산업 중 하나며, 사이버시큐리티벤처스(Cybersecurity Ventures)는 2021년까지 전세계적으로 350만 개의 보안 인재가 부족할 것으로 전망했다. 동남아시아도 예외는 아니다. 말레이시아에서는 2020년까지 필요한 사이버보안 인재의 절반 이상이 채용할 방침이며 싱가포르와 필리핀은 각국의 사이버보안 인재를 늘린다는 국가 계획을 발표했다. 맥아피에 따르면, 82%의 IT 및 사이버보안 전문가들은 조직 내에서 필요한 기술 인재를 제대로 갖추지 못했다고 생각했다. 하지만 이들 대다수는 사내 교육으로 직원을 교육하는 방법 이외에 달리 대안이 없는 것으로 나타났다. 자격증은 종종 자신의 전문 분야에서 올바른 지식과 기술을 습득해 업무에 능률을 발휘할 수 있는 최상의 방법이 된다. 말레이시아는 '사이버보안 말레이시아 정보보안 경영 시스템 감사 및 인증(CSM27001)' 계획에 따라 운영되는 자체 인증 기관을 설립하기까지 했다. 이 기관은 NIST(National Institute of Standard and Technology) 프레임워크를 기반으로 하는 권장 사항을 제공하고 모든 자격에 대한 포괄적인 평가가 포함된 현지 공급 업체를 위한 엄격한 프로세스를 개발했다. 다음은 기업이 신입 사원을 채용하든 경력 사원을 채용하든 현재 인기 있는 IT보안 자격증이다. 시큐리티...

자격증 시큐티리+ NCSF ASEAN 동남아시아 CISM CISSP AT커니 NIST 보안 투자 컴티아 CEH 사이버보안 CISO CSO CIO CPP

2018.10.19

기업에서 가장 빠르게 성장하는 분야 중 하나가 사이버보안이다. 매년 사이버공격이 늘어나는 가운데 기업은 IT예산을 보안에 더 할당해 사이버보안 전문가 고용을 늘리는 추세다. AT커니의 연구에 따르면, 2017년 동남아시아에서 미화 19억 달러가 사이버보안에 쓰였으며 이는 2025년까지 두 자릿수 성장률이 기대된다. 싱가포르만 해도 작년 한 해 GDP의 0.22%를 사이버보안에 투자했는데 이는 전세계 평균보다 높다. 안타깝게도 사이버보안에 대한 수요를 맞추려면 먼저 해결해야 할 과제가 있다. 전세계적으로 보안은 기술력 부족 문제가 심각한 산업 중 하나며, 사이버시큐리티벤처스(Cybersecurity Ventures)는 2021년까지 전세계적으로 350만 개의 보안 인재가 부족할 것으로 전망했다. 동남아시아도 예외는 아니다. 말레이시아에서는 2020년까지 필요한 사이버보안 인재의 절반 이상이 채용할 방침이며 싱가포르와 필리핀은 각국의 사이버보안 인재를 늘린다는 국가 계획을 발표했다. 맥아피에 따르면, 82%의 IT 및 사이버보안 전문가들은 조직 내에서 필요한 기술 인재를 제대로 갖추지 못했다고 생각했다. 하지만 이들 대다수는 사내 교육으로 직원을 교육하는 방법 이외에 달리 대안이 없는 것으로 나타났다. 자격증은 종종 자신의 전문 분야에서 올바른 지식과 기술을 습득해 업무에 능률을 발휘할 수 있는 최상의 방법이 된다. 말레이시아는 '사이버보안 말레이시아 정보보안 경영 시스템 감사 및 인증(CSM27001)' 계획에 따라 운영되는 자체 인증 기관을 설립하기까지 했다. 이 기관은 NIST(National Institute of Standard and Technology) 프레임워크를 기반으로 하는 권장 사항을 제공하고 모든 자격에 대한 포괄적인 평가가 포함된 현지 공급 업체를 위한 엄격한 프로세스를 개발했다. 다음은 기업이 신입 사원을 채용하든 경력 사원을 채용하든 현재 인기 있는 IT보안 자격증이다. 시큐리티...

2018.10.19

美 표준기술연구소, 기업 사이버보안 권고 발표

NIST에 따르면, 사이버보안 준비 수준을 개선하고자 하는 기업들은 리스크를 측정하고 자사 보안 격차를 해결하기 위한 방법을 최우선으로 두는 등 여러 가지 단계를 취할 수 있다. NIST의 예비 사이버 보안 프레임워크는 사이버 공격을 방어하는데 정교함의 수준을 높이고 현재의 사이버 관행과 목표를 평가할 것을 기업에 요구하고 있다. 프레임워크 준수는 미국 기업에게 강요가 아닌 자발적인 것이며 문서의 아이디어 대부분은 기존의 사례에서 얻을 수 있다. 그러나 NIST 국장 패트릭 갤러거는 대부분의 기업은 권고의 일부를 채택해 사이버보안 노력을 향상시킬 수 있어야 한다고 말했다. "사이버 위협이 중요한 인프라 사업에서 늘어나고 실제로 모든 기업 커뮤니티가 공식적으로 자사의 데이터 자산을 보호하기 위해 강력하고 검증된 방법을 필요로 한다는 데는 전혀 의심의 여지가 없다"라고 갤러거는 언론 브리핑에서 밝혔다. "우리는 사이버보안이 좋은 사업이라고 생각한다"라고 그는 덧붙였다. 프레임워크는 서로의 책임을 유지하기 위해 공조하는 기업들을 돕고, 사이버보안 노력의 성숙 정도를 측정하는 것을 도우며 보안 목표를 수립을 도울 수 있다고 그는 설명했다. 프레임워크는 기업들의 보안을 향상시켜줄 것이라고 갤러거는 주장했다. "프레임워크가 하지 않는 것은 위협 교정을 제공하는 것이다"라고 갤러거는 말했다. "마법의 탄환같은 것은 여기에 없다. 이는 사이버 위험을 제거하는 약이 아니다. 프레임워크는 효과적인 리스크 관리에 관한 것이다"라고 그는 강조했다. 권고의 대부분은 다양한 기업이 채택할 만큼 유연성 면에서 독특하게 보이지 않을 수 있지만 문서는 NIST, 국제 사회 자동화(International Society of Automation), 국제 표준화기구(ISO) 등에서 많은 많은 표준들을 인용했다고 갤러거는 밝혔다. 이러한 표준들은 정보 보안 관리의 거의 모든 면을 커버한다&rd...

CSO CISO 사이버보안 NIST 사이버위협 권고 미 표준기술연구소

2013.10.23

NIST에 따르면, 사이버보안 준비 수준을 개선하고자 하는 기업들은 리스크를 측정하고 자사 보안 격차를 해결하기 위한 방법을 최우선으로 두는 등 여러 가지 단계를 취할 수 있다. NIST의 예비 사이버 보안 프레임워크는 사이버 공격을 방어하는데 정교함의 수준을 높이고 현재의 사이버 관행과 목표를 평가할 것을 기업에 요구하고 있다. 프레임워크 준수는 미국 기업에게 강요가 아닌 자발적인 것이며 문서의 아이디어 대부분은 기존의 사례에서 얻을 수 있다. 그러나 NIST 국장 패트릭 갤러거는 대부분의 기업은 권고의 일부를 채택해 사이버보안 노력을 향상시킬 수 있어야 한다고 말했다. "사이버 위협이 중요한 인프라 사업에서 늘어나고 실제로 모든 기업 커뮤니티가 공식적으로 자사의 데이터 자산을 보호하기 위해 강력하고 검증된 방법을 필요로 한다는 데는 전혀 의심의 여지가 없다"라고 갤러거는 언론 브리핑에서 밝혔다. "우리는 사이버보안이 좋은 사업이라고 생각한다"라고 그는 덧붙였다. 프레임워크는 서로의 책임을 유지하기 위해 공조하는 기업들을 돕고, 사이버보안 노력의 성숙 정도를 측정하는 것을 도우며 보안 목표를 수립을 도울 수 있다고 그는 설명했다. 프레임워크는 기업들의 보안을 향상시켜줄 것이라고 갤러거는 주장했다. "프레임워크가 하지 않는 것은 위협 교정을 제공하는 것이다"라고 갤러거는 말했다. "마법의 탄환같은 것은 여기에 없다. 이는 사이버 위험을 제거하는 약이 아니다. 프레임워크는 효과적인 리스크 관리에 관한 것이다"라고 그는 강조했다. 권고의 대부분은 다양한 기업이 채택할 만큼 유연성 면에서 독특하게 보이지 않을 수 있지만 문서는 NIST, 국제 사회 자동화(International Society of Automation), 국제 표준화기구(ISO) 등에서 많은 많은 표준들을 인용했다고 갤러거는 밝혔다. 이러한 표준들은 정보 보안 관리의 거의 모든 면을 커버한다&rd...

2013.10.23

"IT업계가 사이버보안 표준 주도해야" 미 NIST 주장

기업들이 운영하는 중요 인프라용 사이버보안 프레임워크를 만들고자 하는 미국 정부기관이 이러한 표준에 무엇을 포함시켜야 할 지에 대해 업계의 생각을 듣고 싶어 하는 것으로 알려졌다. 버락 오바마 대통령의 사이버보안 표준 수립 요구에 따라, 국립표준기술연구소(The U.S. National Institute of Standards and Technology)는 기업에서 최고의 아이디어를 얻고자 한다고 수요일 열린 워크숍에서 공무원들이 말했다. "사이버공격으로부터 미국의 기업과 미국의 인프라를 보호하는 것은 우리 경제가 지속적으로 성장하도록 하는데 매우 중요하다"라고 NIST의 모기관인 미국 상공부 장관 레베카 블랭크는 말했다. "문제는 우리가 그것을 어떻게 하느냐다. 여기 그에 대한 유일한 해답이 있다. 바로 민•관이 함께하는 것이다"라고 블랭크는 강조했다. NIST는 기업이 NIST에 어떤 베스트 프랙티스와 표준이 프레임워크에 포함돼야 하는지 말해야 한다고 블랭크는 덧붙였다. 프레임워크의 개발에서 NIST의 역할은 기업과 핵심 인프라 운영자를 지원하는 것이라고 NIST 이사 패트릭 갤러거는 말했다. NIST는 업계의 사이버보안 요구에 기반한 프레임워크를 개발할 예정이라고 그는 전했다. "이 프레임워크는 당신의 비즈니스와 관심사에 반영돼야 하며 당신의 일상 생활에서 실행하도록 해야 하다”라고 그는 수요일 워크숍에 참석한 청중들에게 말했다. "우리는 업계에 당신의 제품을 구축하거나 당신의 비즈니스를 운영하는 방법에 대해 말하고자 하지 않을 것이다. 대신, 우리는 IT 제품과 서비스에 대한 산업계의 요구를 지시하는 중요한 인프라 산업에 의존할 것이다"라고 그는 밝혔다. 이 워크숍에 참가한 비자의 글로벌 기업 리스크 담당 고문 변호사인 러셀 슈뢰더는 “프레임워크 개발 과정 동안, 참가자들은 가이드라인을 유연하게 설정할 것을 목표로 해야 한다&rd...

표준 사이버보안 사이버공격 미 정부 NIST 미 국립표준기술연구소

2013.04.04

기업들이 운영하는 중요 인프라용 사이버보안 프레임워크를 만들고자 하는 미국 정부기관이 이러한 표준에 무엇을 포함시켜야 할 지에 대해 업계의 생각을 듣고 싶어 하는 것으로 알려졌다. 버락 오바마 대통령의 사이버보안 표준 수립 요구에 따라, 국립표준기술연구소(The U.S. National Institute of Standards and Technology)는 기업에서 최고의 아이디어를 얻고자 한다고 수요일 열린 워크숍에서 공무원들이 말했다. "사이버공격으로부터 미국의 기업과 미국의 인프라를 보호하는 것은 우리 경제가 지속적으로 성장하도록 하는데 매우 중요하다"라고 NIST의 모기관인 미국 상공부 장관 레베카 블랭크는 말했다. "문제는 우리가 그것을 어떻게 하느냐다. 여기 그에 대한 유일한 해답이 있다. 바로 민•관이 함께하는 것이다"라고 블랭크는 강조했다. NIST는 기업이 NIST에 어떤 베스트 프랙티스와 표준이 프레임워크에 포함돼야 하는지 말해야 한다고 블랭크는 덧붙였다. 프레임워크의 개발에서 NIST의 역할은 기업과 핵심 인프라 운영자를 지원하는 것이라고 NIST 이사 패트릭 갤러거는 말했다. NIST는 업계의 사이버보안 요구에 기반한 프레임워크를 개발할 예정이라고 그는 전했다. "이 프레임워크는 당신의 비즈니스와 관심사에 반영돼야 하며 당신의 일상 생활에서 실행하도록 해야 하다”라고 그는 수요일 워크숍에 참석한 청중들에게 말했다. "우리는 업계에 당신의 제품을 구축하거나 당신의 비즈니스를 운영하는 방법에 대해 말하고자 하지 않을 것이다. 대신, 우리는 IT 제품과 서비스에 대한 산업계의 요구를 지시하는 중요한 인프라 산업에 의존할 것이다"라고 그는 밝혔다. 이 워크숍에 참가한 비자의 글로벌 기업 리스크 담당 고문 변호사인 러셀 슈뢰더는 “프레임워크 개발 과정 동안, 참가자들은 가이드라인을 유연하게 설정할 것을 목표로 해야 한다&rd...

2013.04.04

IDG 설문조사

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.9