Offcanvas

CISO

올 한 해를 돌아보며... CISO가 얻을 수 있는 교훈 14가지

곧 마무리를 앞둔 2022년은 작년과 마찬가지로 다사다난했던 예측불허의 한 해였다. 일론 머스크가 트위터를 인수했고, 러시아가 우크라이나를 침공했으며, 많은 직원이 사무실로 복귀했다. 그뿐만 아니라 최고 보안 책임자가 데이터 유출 사건을 은폐한 죄목으로 실형을 선고받은 초유의 사태도 있었다.   비즈니스 지형은 다양한 사건을 겪으며 변했고 CISO들은 불확실한 앞길을 헤쳐 나갈 뿐이었다. 매니지드 보안 서비스 업체 트러스트웨이브(Trustwave) CISO 코리 대니얼스는 “사이버보안 지형의 변화와 함께 2022년은 사이버보안과 디지털 신뢰가 융합된 시기와 이유에 대해 공부할 때 돌아보게 될 중요한 한 해였다”라고 평가했다. 이어 “2022년에 여러 산업에 걸친 조직이 보안 예산을 늘렸지만, 보안팀이 조직 보호에 도움이 되는 방식을 제대로 입증하지 않는다면 투자는 ‘종이 호랑이’가 될 수 있다는 깨달음도 얻었다”라고 덧붙였다. 누구나 저마다의 방식으로 한 해를 분석하고 일어난 사건을 돌아본다. 이런 연습을 통해 미래를 위한 귀중한 지식을 얻는다. 보안 업체 베라코드(Veracode) CISO 소하일 이크발은 “이런 교훈을 얻지 않고 각자의 보안 관행을 성숙시키지 않는다면 감사 및 서드파티 위험 평가에서 철저한 검토를 거치게 되고 이로 인해 비즈니스에 재정, 평판, 운영, 심지어 규정 준수와 관련된 영향이 미칠 수 있다”라고 지적했다.  CISO들이 올해 얻은 가장 의미 있는 교훈은 무엇일까? 14가지로 정리했다.  1. 보안 강화는 지정학적 충돌이 일어날 때까지 미루면 안 된다 러시아가 본격적으로 우크라이나를 침공하면서 국수주의 조직과 범죄 집단의 편이 나뉘었다. 많은 조직은 정부에서 보안 태세를 강화할 목적으로 발표한 지침을 받아들일 수밖에 없었다. 대표적인 지침이 미국 사이버보안 및 인프라 보안국(Cybersecurity and Infrastructure Security Agency, CISA)의 쉴드업(Shie...

보안 사이버보안 CISO

2022.12.16

곧 마무리를 앞둔 2022년은 작년과 마찬가지로 다사다난했던 예측불허의 한 해였다. 일론 머스크가 트위터를 인수했고, 러시아가 우크라이나를 침공했으며, 많은 직원이 사무실로 복귀했다. 그뿐만 아니라 최고 보안 책임자가 데이터 유출 사건을 은폐한 죄목으로 실형을 선고받은 초유의 사태도 있었다.   비즈니스 지형은 다양한 사건을 겪으며 변했고 CISO들은 불확실한 앞길을 헤쳐 나갈 뿐이었다. 매니지드 보안 서비스 업체 트러스트웨이브(Trustwave) CISO 코리 대니얼스는 “사이버보안 지형의 변화와 함께 2022년은 사이버보안과 디지털 신뢰가 융합된 시기와 이유에 대해 공부할 때 돌아보게 될 중요한 한 해였다”라고 평가했다. 이어 “2022년에 여러 산업에 걸친 조직이 보안 예산을 늘렸지만, 보안팀이 조직 보호에 도움이 되는 방식을 제대로 입증하지 않는다면 투자는 ‘종이 호랑이’가 될 수 있다는 깨달음도 얻었다”라고 덧붙였다. 누구나 저마다의 방식으로 한 해를 분석하고 일어난 사건을 돌아본다. 이런 연습을 통해 미래를 위한 귀중한 지식을 얻는다. 보안 업체 베라코드(Veracode) CISO 소하일 이크발은 “이런 교훈을 얻지 않고 각자의 보안 관행을 성숙시키지 않는다면 감사 및 서드파티 위험 평가에서 철저한 검토를 거치게 되고 이로 인해 비즈니스에 재정, 평판, 운영, 심지어 규정 준수와 관련된 영향이 미칠 수 있다”라고 지적했다.  CISO들이 올해 얻은 가장 의미 있는 교훈은 무엇일까? 14가지로 정리했다.  1. 보안 강화는 지정학적 충돌이 일어날 때까지 미루면 안 된다 러시아가 본격적으로 우크라이나를 침공하면서 국수주의 조직과 범죄 집단의 편이 나뉘었다. 많은 조직은 정부에서 보안 태세를 강화할 목적으로 발표한 지침을 받아들일 수밖에 없었다. 대표적인 지침이 미국 사이버보안 및 인프라 보안국(Cybersecurity and Infrastructure Security Agency, CISA)의 쉴드업(Shie...

2022.12.16

빠르게 변하는 사이버 보안 세계, ‘차세대 CISO’의 5가지 조건

사이버 보안 세계는 빠르게 변화한다. 차세대 CISO로서 역량을 발휘하려면 다음 단계로 나아갈 수 있는 스킬과 관계를 구축 및 유지하기 위한 5가지 지침을 고려하라.  랜섬웨어와 데이터 유출은 기업에 막대한 위험을 초래한다. 이를테면 고객의 신뢰 및 주주 가치 하락, 평판 훼손, 막대한 벌금 등의 피해를 입을 수 있어서다. 사이버 위험은 미국 기업 이사회의 가장 큰 관심사이며, 이에 최고정보보안책임자(CISO)의 역할이 더욱더 중요해지고 있다. CISO의 절반 이상(61%)이 이사회에 보고하고, 이사회 구성원은 CISO가 말하는 내용에 점점 더 관심을 가지고 있다. 하지만 오늘날의 CISO는 기술적 스킬만으론 충분하지 않다.    1. 전략적 목표를 제시하라 차세대 CISO는 ‘가시성’으로 구분된다. 차세대 CISO는 기술적 또는 전술적 관점이 아닌, 비즈니스 관점에서 문제의 틀을 잡는다. 또한 자신을 ‘비상시에만 활약하는 소방관’이 아니라 ‘선견지명 있는 리더’로 내세운다. 아울러 사이버 보안 그리고 진화하는 위협 벡터 및 규제 명령에 광범위한 전략적 비전을 가지고 있으며, 비즈니스가 이해하는 언어로 말하고, 사이버 보안 개념을 비즈니스 목표 및 전략에 정렬하는 강력한 커뮤니케이터다.  2. 기회와 위험의 균형을 유지하라 모든 위험이 나쁘거나 해로운 건 아니지만 ‘관리되지 않는 위험’은 확실히 그럴 수 있다. 만약 CISO가 모든 위험이 나쁘고 반드시 제거해야 한다고 주장한다면 동료의 지지를 받는 데 실패하고, (따라서) 계획에 차질을 빚을 수 있다. 차세대 CISO는 블로커가 아니라 인에이블러가 돼야 한다.  즉, 경영진이 기회와 위험의 균형을 맞출 수 있도록 지원해야 한다. 허용할 수 있는 (위험) 수준은 어느 정도인가? 비즈니스 부문이 넘지 말아야 할 선은? 이는 CISO가 도움을 줘야 하는 질문이다. 위험은 비즈니스 결정이지 보안 결정이 아니다. 위험과 보상에 관한 논의를 시작하는 건 CISO지만 ...

사이버 보안 CISO 최고정보보안책임자 차세대 CISO

2022.12.01

사이버 보안 세계는 빠르게 변화한다. 차세대 CISO로서 역량을 발휘하려면 다음 단계로 나아갈 수 있는 스킬과 관계를 구축 및 유지하기 위한 5가지 지침을 고려하라.  랜섬웨어와 데이터 유출은 기업에 막대한 위험을 초래한다. 이를테면 고객의 신뢰 및 주주 가치 하락, 평판 훼손, 막대한 벌금 등의 피해를 입을 수 있어서다. 사이버 위험은 미국 기업 이사회의 가장 큰 관심사이며, 이에 최고정보보안책임자(CISO)의 역할이 더욱더 중요해지고 있다. CISO의 절반 이상(61%)이 이사회에 보고하고, 이사회 구성원은 CISO가 말하는 내용에 점점 더 관심을 가지고 있다. 하지만 오늘날의 CISO는 기술적 스킬만으론 충분하지 않다.    1. 전략적 목표를 제시하라 차세대 CISO는 ‘가시성’으로 구분된다. 차세대 CISO는 기술적 또는 전술적 관점이 아닌, 비즈니스 관점에서 문제의 틀을 잡는다. 또한 자신을 ‘비상시에만 활약하는 소방관’이 아니라 ‘선견지명 있는 리더’로 내세운다. 아울러 사이버 보안 그리고 진화하는 위협 벡터 및 규제 명령에 광범위한 전략적 비전을 가지고 있으며, 비즈니스가 이해하는 언어로 말하고, 사이버 보안 개념을 비즈니스 목표 및 전략에 정렬하는 강력한 커뮤니케이터다.  2. 기회와 위험의 균형을 유지하라 모든 위험이 나쁘거나 해로운 건 아니지만 ‘관리되지 않는 위험’은 확실히 그럴 수 있다. 만약 CISO가 모든 위험이 나쁘고 반드시 제거해야 한다고 주장한다면 동료의 지지를 받는 데 실패하고, (따라서) 계획에 차질을 빚을 수 있다. 차세대 CISO는 블로커가 아니라 인에이블러가 돼야 한다.  즉, 경영진이 기회와 위험의 균형을 맞출 수 있도록 지원해야 한다. 허용할 수 있는 (위험) 수준은 어느 정도인가? 비즈니스 부문이 넘지 말아야 할 선은? 이는 CISO가 도움을 줘야 하는 질문이다. 위험은 비즈니스 결정이지 보안 결정이 아니다. 위험과 보상에 관한 논의를 시작하는 건 CISO지만 ...

2022.12.01

검증은 대개 옳다··· 보안 제품·벤더 평가의 가치

노련한 CSIO 마이크 만로드는 사이버 보안 공급업체 평가의 가치를 인지하고 있다. 만로드는 이전 직장에서 장기 서비스 계약에 따라 매우 비싼 베이퍼웨어(vaporware)를 물려받았던 것을 기억한다. 전임자는 혁신적이라고 주장하는 신원증명 및 액세스 관리 플랫폼 베타 버전을 구매했으나, 제품에 대한 어떤 분석도 하지 않았고, 단순히 제품 효과가 좋다는 업체의 주장을 받아들였다. 어리석은 행동이었다.  이와는 반대로 만로드는 현재 직장인 그랜드 캐년 에듀케이션(Grand Canyon Education)의 CSIO로서 웹 애플리케이션 보안 제품 평가를 위해 별도의 부서를 구성하면서, 테스트를 통해 사용하는 기업이 검증하면 업체 측의 주장을 쉽게 전복할 수 있다는 점을 알아냈다. 기본 테스트만으로도 높은 비용을 물어야 하는 실수를 방지할 수 있었다.    이른바 ‘기발한’ 웹 애플리케이션 보안 제품 평가를 위해 팀을 구성했으나, 클라이언트 쪽의 검증이 제품을 쉽게 우회해 전복시킬 수 있다는 점을 테스트를 통해 발견했다. 이러한 기본적인 테스트 덕분에 높은 비용을 초래하는 실수를 방지할 수 있었다. 만로드는 “신생업체는 트라이스포밍(trysforming)하기 때문에 때때로 원점으로 돌아가는 경우가 있다. 이것 자체가 문제가 되지는 않지만, CISO 같은 보안 리더가 준비되지 않은 제품을 무턱대고 구매할 경우, 결국 CISO의 책임이 된다”라고 강조했다.  만로드는 성숙한 평가 프로그램은 문제에 대한 명확한 이해 및 문제 해결을 위한 방안에서 시작한다고 설명한다. 반면, 비성숙한 팀은 먼저 명확한 비즈니스 요구를 규정하지 않고 경영진이 회의에서 제품을 마음에 들어 했다는 것 말고는 더 나은 이유가 없어도 특정 제품을 구입한다. 또한 성숙한 평가 팀은 규정된 비즈니스 요구를 충족하는 솔루션으로 범위를 좁히기 전에 광범위한 솔루션을 두고 이해하고 검토한다. 성숙한 조직은 아무런 의문도 제기하지 않고 공급업체의 마케팅 소개 자...

사이버보안업체평가 업체평가 보안테스트 베타테스트 CISO

2022.11.22

노련한 CSIO 마이크 만로드는 사이버 보안 공급업체 평가의 가치를 인지하고 있다. 만로드는 이전 직장에서 장기 서비스 계약에 따라 매우 비싼 베이퍼웨어(vaporware)를 물려받았던 것을 기억한다. 전임자는 혁신적이라고 주장하는 신원증명 및 액세스 관리 플랫폼 베타 버전을 구매했으나, 제품에 대한 어떤 분석도 하지 않았고, 단순히 제품 효과가 좋다는 업체의 주장을 받아들였다. 어리석은 행동이었다.  이와는 반대로 만로드는 현재 직장인 그랜드 캐년 에듀케이션(Grand Canyon Education)의 CSIO로서 웹 애플리케이션 보안 제품 평가를 위해 별도의 부서를 구성하면서, 테스트를 통해 사용하는 기업이 검증하면 업체 측의 주장을 쉽게 전복할 수 있다는 점을 알아냈다. 기본 테스트만으로도 높은 비용을 물어야 하는 실수를 방지할 수 있었다.    이른바 ‘기발한’ 웹 애플리케이션 보안 제품 평가를 위해 팀을 구성했으나, 클라이언트 쪽의 검증이 제품을 쉽게 우회해 전복시킬 수 있다는 점을 테스트를 통해 발견했다. 이러한 기본적인 테스트 덕분에 높은 비용을 초래하는 실수를 방지할 수 있었다. 만로드는 “신생업체는 트라이스포밍(trysforming)하기 때문에 때때로 원점으로 돌아가는 경우가 있다. 이것 자체가 문제가 되지는 않지만, CISO 같은 보안 리더가 준비되지 않은 제품을 무턱대고 구매할 경우, 결국 CISO의 책임이 된다”라고 강조했다.  만로드는 성숙한 평가 프로그램은 문제에 대한 명확한 이해 및 문제 해결을 위한 방안에서 시작한다고 설명한다. 반면, 비성숙한 팀은 먼저 명확한 비즈니스 요구를 규정하지 않고 경영진이 회의에서 제품을 마음에 들어 했다는 것 말고는 더 나은 이유가 없어도 특정 제품을 구입한다. 또한 성숙한 평가 팀은 규정된 비즈니스 요구를 충족하는 솔루션으로 범위를 좁히기 전에 광범위한 솔루션을 두고 이해하고 검토한다. 성숙한 조직은 아무런 의문도 제기하지 않고 공급업체의 마케팅 소개 자...

2022.11.22

CIO의 새로운 보안 미션, ‘소프트웨어 공급망’을 지켜라

오픈소스가 기업에서 인기 있는 이유 중 하나는 정교한 애플리케이션 및 서비스의 개발 속도를 높이는 검증된 구성 요소를 제공하기 때문이다. 하지만 서드파티 소프트웨어 구성 요소, 패키지, 컨테이너의 편리함은 위험도 수반한다. 구축하는 애플리케이션의 보안이 이러한 종속성에 달려 있어서다.  소프트웨어 공급망 공격은 가트너가 이를 2022년에 두 번째로 큰 위협이라고 꼽을 만큼 광범위해지고 있다. 가트너에 따르면 2025년까지 전 세계 기업의 45%가 소프트웨어 공급망 공격을 한 번 이상 겪게 되리라 예측됐으며, CIO의 82%는 (소속 기업이) 이러한 공격에 취약할 것이라고 말했다. 여기에는 널리 사용되고 있는 소프트웨어 구성 요소의 취약점(예: 로그4j 등)을 통한 공격, 빌드 파이프라인 공격(예: 솔라윈즈(SolarWinds), 카세야(Kaseya), 코드코브(Codecov) 해킹 등), 패키지 저장소 해킹 등이 포함된다. 사이코드(Cycode)의 CEO 라이어 레비는 “공격자의 우선순위가 프로덕션 환경에서 소프트웨어 공급망으로 바뀌었다. 소프트웨어 공급망이 가장 취약한 고리이기 때문”이라며, “소프트웨어 공급망이 비교적 쉬운 표적으로 남아 있는 한 소프트웨어 공급망 공격은 증가할 것”이라고 전했다.   아쿠아 시큐리티(Aqua Security)의 전략 부문 수석 부사장 라니 오스냇은 “최근 세간의 이목을 끈 사건들이 소프트웨어 개발 업계에 경종을 울렸다. (업계는) 수십 년의 불투명성과 투명성의 부재를 발견했다”라고 언급했다.  오픈소스 코드를 사용하는 코드베이스를 조사한 결과 취약점 그리고 구식 또는 방치된 구성 요소가 흔했다. 코드베이스의 81%는 1개 이상의 취약점이, 50%는 1개 이상의 고위험 취약점이 있었고, 88%는 최신 버전이 아니거나 2년 동안 새로 개발되지 않은 구성 요소를 사용했다. 하지만 이러한 문제 때문에 오픈소스의 인기에 흠집이 날 가능성은 작으며, (무엇보다) 상용 소프트웨어와 서비스도 취약하긴...

소프트웨어 공급망 소프트웨어 공급망 보안 CIO CISO 오픈소스 컨테이너 종속성 로그4j 솔라윈즈 카세야 코드코드 라스트패스 트윌리오 섀도우 코드 SBOM

2022.11.07

오픈소스가 기업에서 인기 있는 이유 중 하나는 정교한 애플리케이션 및 서비스의 개발 속도를 높이는 검증된 구성 요소를 제공하기 때문이다. 하지만 서드파티 소프트웨어 구성 요소, 패키지, 컨테이너의 편리함은 위험도 수반한다. 구축하는 애플리케이션의 보안이 이러한 종속성에 달려 있어서다.  소프트웨어 공급망 공격은 가트너가 이를 2022년에 두 번째로 큰 위협이라고 꼽을 만큼 광범위해지고 있다. 가트너에 따르면 2025년까지 전 세계 기업의 45%가 소프트웨어 공급망 공격을 한 번 이상 겪게 되리라 예측됐으며, CIO의 82%는 (소속 기업이) 이러한 공격에 취약할 것이라고 말했다. 여기에는 널리 사용되고 있는 소프트웨어 구성 요소의 취약점(예: 로그4j 등)을 통한 공격, 빌드 파이프라인 공격(예: 솔라윈즈(SolarWinds), 카세야(Kaseya), 코드코브(Codecov) 해킹 등), 패키지 저장소 해킹 등이 포함된다. 사이코드(Cycode)의 CEO 라이어 레비는 “공격자의 우선순위가 프로덕션 환경에서 소프트웨어 공급망으로 바뀌었다. 소프트웨어 공급망이 가장 취약한 고리이기 때문”이라며, “소프트웨어 공급망이 비교적 쉬운 표적으로 남아 있는 한 소프트웨어 공급망 공격은 증가할 것”이라고 전했다.   아쿠아 시큐리티(Aqua Security)의 전략 부문 수석 부사장 라니 오스냇은 “최근 세간의 이목을 끈 사건들이 소프트웨어 개발 업계에 경종을 울렸다. (업계는) 수십 년의 불투명성과 투명성의 부재를 발견했다”라고 언급했다.  오픈소스 코드를 사용하는 코드베이스를 조사한 결과 취약점 그리고 구식 또는 방치된 구성 요소가 흔했다. 코드베이스의 81%는 1개 이상의 취약점이, 50%는 1개 이상의 고위험 취약점이 있었고, 88%는 최신 버전이 아니거나 2년 동안 새로 개발되지 않은 구성 요소를 사용했다. 하지만 이러한 문제 때문에 오픈소스의 인기에 흠집이 날 가능성은 작으며, (무엇보다) 상용 소프트웨어와 서비스도 취약하긴...

2022.11.07

'개인 성장기부터 취득한 자격증까지···' 현직 CISO 5명의 생생한 커리어 가이드

전 세계의 CISO 5명이 모여 자신이 어떤 자격증과 학위를 취득했는지 언급하며 구체적인 커리어 계발 이야기를 공유했다.     CISO의 역할과 책임이 진화했다. 사이버보안 전문가다운 기술적 역량과 경험을 갖춰야 한다고 믿는 이들이 있는 반면, 이사화와 소통하는 등 커뮤니케이션 및 리더십 능력이 더 중요하다고 생각하는 사람도 있다.  현실의 답은 업계에 따라 다르다는 것이다. 예컨대 금융과 보험 분야에서는 국가별 규정에 해박한 것이 중요하다. CISO가 책임을 져야할 수도 있기 때문이다. 통신 업계에서는 기술적 역량이 더 우선시되며, 공공 기관에서는 거버넌스 및 리스크 관리에 관한 지식이 우대사항이다.  인타소의 기술 보안 책임자 조셉 헤드는 “막 시작한 소규모 기업과 대규모 다국적 기업은 각기 다른 특성을 가진 CISO를 필요로 할 것이다”라며 “물론 몇 가지 공통점은 분명히 있다. 가령 리스크와 리스크 수용범위에 대한 이해는 필수다”라고 말했다.  CISO, CSO 혹은 보안 책임자 등의 역할을 맞기 위해 현업에 종사하고 있는 보안 전문가이 기술 및 커뮤니케이션 역량을 어떻게 쌓았는지 알아본다.   현직 보안 전문가들의 성장 스토리 헤드는 “기술적 역량이 중요하다는 점은 의심의 여지가 없지만, 그렇다고 해서 모든 기술적 세부사항을 속속들이 꿰고 있을 필요는 없다”라며 “가끔 파이썬 코딩, AWS 관리 역량 등을 기재한 CISO 채용 공고를 보는 데 이는 CISO의 업무가 아니다”라고 강조했다.  호주 전문 컨설팅, 법의학, 부동산, 구조 조정 및 투자 서비스업체 코다멘사(KordaMentha)의 전무이사 토니 비자에 따르면 CISO는 다음 4가지 분야에서 유능해야 한다. 1.    IT에 대한 전반적인 지식.  2.    정보보안과 리스크 관리의 기본 원칙에 대한 이해. 3.   &...

CISO CSO 최고보안책임자 최고정보보안책임자 보안자격증 리스크관리 거버넌스 보안거버넌스

2022.10.19

전 세계의 CISO 5명이 모여 자신이 어떤 자격증과 학위를 취득했는지 언급하며 구체적인 커리어 계발 이야기를 공유했다.     CISO의 역할과 책임이 진화했다. 사이버보안 전문가다운 기술적 역량과 경험을 갖춰야 한다고 믿는 이들이 있는 반면, 이사화와 소통하는 등 커뮤니케이션 및 리더십 능력이 더 중요하다고 생각하는 사람도 있다.  현실의 답은 업계에 따라 다르다는 것이다. 예컨대 금융과 보험 분야에서는 국가별 규정에 해박한 것이 중요하다. CISO가 책임을 져야할 수도 있기 때문이다. 통신 업계에서는 기술적 역량이 더 우선시되며, 공공 기관에서는 거버넌스 및 리스크 관리에 관한 지식이 우대사항이다.  인타소의 기술 보안 책임자 조셉 헤드는 “막 시작한 소규모 기업과 대규모 다국적 기업은 각기 다른 특성을 가진 CISO를 필요로 할 것이다”라며 “물론 몇 가지 공통점은 분명히 있다. 가령 리스크와 리스크 수용범위에 대한 이해는 필수다”라고 말했다.  CISO, CSO 혹은 보안 책임자 등의 역할을 맞기 위해 현업에 종사하고 있는 보안 전문가이 기술 및 커뮤니케이션 역량을 어떻게 쌓았는지 알아본다.   현직 보안 전문가들의 성장 스토리 헤드는 “기술적 역량이 중요하다는 점은 의심의 여지가 없지만, 그렇다고 해서 모든 기술적 세부사항을 속속들이 꿰고 있을 필요는 없다”라며 “가끔 파이썬 코딩, AWS 관리 역량 등을 기재한 CISO 채용 공고를 보는 데 이는 CISO의 업무가 아니다”라고 강조했다.  호주 전문 컨설팅, 법의학, 부동산, 구조 조정 및 투자 서비스업체 코다멘사(KordaMentha)의 전무이사 토니 비자에 따르면 CISO는 다음 4가지 분야에서 유능해야 한다. 1.    IT에 대한 전반적인 지식.  2.    정보보안과 리스크 관리의 기본 원칙에 대한 이해. 3.   &...

2022.10.19

칼럼 | 전 우버 CISO의 유죄판결에 겁먹을 필요 없다

데이터 유출 사건에 연루됐다는 혐의로 전 우버 CISO였던 존 설리번이 징역형을 선고받았다. 징역형을 선고받은 CISO는 처음이다. 이 사건으로 CISO라는 직책 자체가 무섭게 느껴질 수 있지만, 크게 걱정할 일은 아니다. 그럼에도 혹시라도 억울한 희생양이 되는 악재를 피하려면 어떻게 해야할지 생각해보는 것도 나쁘지 않을 것이다.    설리번 사건에 대한 두 가지 반응이 있는 것 같다. 한 가지는 CISO를 그만한 위험을 감수할 가치가 없는 직책으로 여기는 것이다. 이런 사건이 아니더라도 너무 많은 책임을 떠안고 있었다는 회의주의적 시각이다. 회의론자들은 CSO(Chief Security Officer)를 최고 희생양 책임자(Chief Scape Officer)라고 비꼬아 부를 정도다. 이번 사건에서 설리번은 실직은 둘째치고 한 인간으로서 자유를 잃어버렸기 때문이다. 이건 선을 넘은 것이 아니냐는 것이 회의론자들의 평가다.  두 번째 반응은 현실론적이다. 별일 아니라는 시각이다. 그저 우버라는 한 회사에서 벌어진 소동으로 치부한다.  인간은 위험이 개인적으로 다가올 때 더 위협을 느낀다. 존 설리번이 징역형을 받은 첫 CISO라는 점을 고려하면 몇몇 보안 업계 관계자들은 이 일을 개인적으로 받아들일 것이다. 하지만 직업적으로 동질감을 느끼기는 어려우리라. 이번 재판의 핵심은 간단하다. 우버가 개인 정보 보호 문제로 조사를 받고 있었고, 데이터 유출 사건이 있었다. 공격자는 우버의 데이터를 갈취했으며, 회사는 버그 바운티 프로그램을 통해 대가를 지급했다. 회사는 이런 위법 행위를 연방 수사 기관에 알리지 않았다. 이러한 사실들은 논란의 여지가 없다.  중요한 것은 정확히 누가 이 모든 일에 대해서 알고 있었냐는 것이다. 정말 존 설리번 CISO였을까? 우버의 변호사들이었을까? 다른 임원들이었을까?    2호 징역살이 CISO가 되지 않으려면  우버의 초기 스타트업 문화는 창업자인 트...

CISO CSO 데이터유출 데이터 침해 보안연구소 보안연구원

2022.10.17

데이터 유출 사건에 연루됐다는 혐의로 전 우버 CISO였던 존 설리번이 징역형을 선고받았다. 징역형을 선고받은 CISO는 처음이다. 이 사건으로 CISO라는 직책 자체가 무섭게 느껴질 수 있지만, 크게 걱정할 일은 아니다. 그럼에도 혹시라도 억울한 희생양이 되는 악재를 피하려면 어떻게 해야할지 생각해보는 것도 나쁘지 않을 것이다.    설리번 사건에 대한 두 가지 반응이 있는 것 같다. 한 가지는 CISO를 그만한 위험을 감수할 가치가 없는 직책으로 여기는 것이다. 이런 사건이 아니더라도 너무 많은 책임을 떠안고 있었다는 회의주의적 시각이다. 회의론자들은 CSO(Chief Security Officer)를 최고 희생양 책임자(Chief Scape Officer)라고 비꼬아 부를 정도다. 이번 사건에서 설리번은 실직은 둘째치고 한 인간으로서 자유를 잃어버렸기 때문이다. 이건 선을 넘은 것이 아니냐는 것이 회의론자들의 평가다.  두 번째 반응은 현실론적이다. 별일 아니라는 시각이다. 그저 우버라는 한 회사에서 벌어진 소동으로 치부한다.  인간은 위험이 개인적으로 다가올 때 더 위협을 느낀다. 존 설리번이 징역형을 받은 첫 CISO라는 점을 고려하면 몇몇 보안 업계 관계자들은 이 일을 개인적으로 받아들일 것이다. 하지만 직업적으로 동질감을 느끼기는 어려우리라. 이번 재판의 핵심은 간단하다. 우버가 개인 정보 보호 문제로 조사를 받고 있었고, 데이터 유출 사건이 있었다. 공격자는 우버의 데이터를 갈취했으며, 회사는 버그 바운티 프로그램을 통해 대가를 지급했다. 회사는 이런 위법 행위를 연방 수사 기관에 알리지 않았다. 이러한 사실들은 논란의 여지가 없다.  중요한 것은 정확히 누가 이 모든 일에 대해서 알고 있었냐는 것이다. 정말 존 설리번 CISO였을까? 우버의 변호사들이었을까? 다른 임원들이었을까?    2호 징역살이 CISO가 되지 않으려면  우버의 초기 스타트업 문화는 창업자인 트...

2022.10.17

칼럼 | 우버 전 CISO에의 유죄 평결··· 현실이 된 임원 개인의 법적 책임

미국 법무부에 따르면, 최근 미국 연방 배심원단이 우버의 전 CSO 조 설리번에게 “2016년 우버에서 발생한 해킹 사건을 은폐하려는 시도와 관련한 중범죄 은닉과 FTC(Federal Trade Commission)의 소송 절차 방해” 혐의로 유죄 평결을 내렸다.   미 캘리포니아주 북부지역 검찰청 소속 검사 스테파니 힌즈는 데이터를 보관하는 기업에는 "해당 데이터를 보호하고 데이터가 해커에게 탈취될 경우 고객과 당국에 알릴 책임이 있다. 설리번은 FTC에 데이터 유출 사실을 감추려 했고 해커가 잡히지 않도록 조치를 취한 사실을 인정했다. 검찰은 사용자보다 기업과 직원들의 평판 보호에 더 관심이 많은 임원진이 대중에게 필요한 정보를 은폐하는 행동을 용인하지 않는다. 그런 행위가 연방법을 위반할 경우 기소될 것이다"라고 말했다. 설리번 측 변호사 데이빗 안젤리는 뉴욕 타임즈에 "배심원단의 평결에 동의하지 않지만, 해당 사건에서 배심원단이 보인 헌신과 노력에 감사한다. 피고가 이 사건, 그리고 그의 경력 전반에 걸쳐 오로지 집중한 것은 인터넷 사용자의 개인정보 안전을 보장하는 것이었다"라고 설명했다. 우버 평결이 CISO에게 미칠 파문 유죄 평결은 데이터 유출에 관해 내려진 것이 아니었다. 데이터 유출 자체와 관련된 고소는 취하됐다. 재판과 유죄 평결은 설리번이 FTC와 논의한 내용과 관련해 내린 결정과 중범죄를 신고하지 않은 점에 관한 것이었다. 증언에서 주장한 바와 같이 설리번이 동료 임원진을 속인 것은 범죄 발생 사실을 인지했다는 의미였다. 또한 미 법무부는 2016년 체포된 우버 데이터 유출 사건의 범인 2명이 우버의 버그 바운티 프로그램에 참가하지 않았으며, 사이버 범죄를 저지른 혐의로 유죄 선고를 받은 점을 분명히 했다. 범인들은 2019년 말 컴퓨터 사기 모의 혐의에 대한 유죄를 인정했고 처분 판결을 기다리고 있다. 법무부는 공고에서 "각 해커들이 제출한 유죄 인정 답변에 따르면, 설리번이 우버 해킹 사실을...

우버재판 우버 CISO CSO

2022.10.13

미국 법무부에 따르면, 최근 미국 연방 배심원단이 우버의 전 CSO 조 설리번에게 “2016년 우버에서 발생한 해킹 사건을 은폐하려는 시도와 관련한 중범죄 은닉과 FTC(Federal Trade Commission)의 소송 절차 방해” 혐의로 유죄 평결을 내렸다.   미 캘리포니아주 북부지역 검찰청 소속 검사 스테파니 힌즈는 데이터를 보관하는 기업에는 "해당 데이터를 보호하고 데이터가 해커에게 탈취될 경우 고객과 당국에 알릴 책임이 있다. 설리번은 FTC에 데이터 유출 사실을 감추려 했고 해커가 잡히지 않도록 조치를 취한 사실을 인정했다. 검찰은 사용자보다 기업과 직원들의 평판 보호에 더 관심이 많은 임원진이 대중에게 필요한 정보를 은폐하는 행동을 용인하지 않는다. 그런 행위가 연방법을 위반할 경우 기소될 것이다"라고 말했다. 설리번 측 변호사 데이빗 안젤리는 뉴욕 타임즈에 "배심원단의 평결에 동의하지 않지만, 해당 사건에서 배심원단이 보인 헌신과 노력에 감사한다. 피고가 이 사건, 그리고 그의 경력 전반에 걸쳐 오로지 집중한 것은 인터넷 사용자의 개인정보 안전을 보장하는 것이었다"라고 설명했다. 우버 평결이 CISO에게 미칠 파문 유죄 평결은 데이터 유출에 관해 내려진 것이 아니었다. 데이터 유출 자체와 관련된 고소는 취하됐다. 재판과 유죄 평결은 설리번이 FTC와 논의한 내용과 관련해 내린 결정과 중범죄를 신고하지 않은 점에 관한 것이었다. 증언에서 주장한 바와 같이 설리번이 동료 임원진을 속인 것은 범죄 발생 사실을 인지했다는 의미였다. 또한 미 법무부는 2016년 체포된 우버 데이터 유출 사건의 범인 2명이 우버의 버그 바운티 프로그램에 참가하지 않았으며, 사이버 범죄를 저지른 혐의로 유죄 선고를 받은 점을 분명히 했다. 범인들은 2019년 말 컴퓨터 사기 모의 혐의에 대한 유죄를 인정했고 처분 판결을 기다리고 있다. 법무부는 공고에서 "각 해커들이 제출한 유죄 인정 답변에 따르면, 설리번이 우버 해킹 사실을...

2022.10.13

기고 | ‘스타 CISO’ 되고 싶다면 엔지니어링 마인드셋 벗어나야

일반적인 CISO는 뛰어난 기술 및 보안 전문가다. 하지만 임원 레벨에서 최고의 연봉을 받으며 활동하는 스타 CISO는 더 이상 엔지니어가 아니다.    영국 소재 검색 회사인 인타소(Intaso)의 CISO 검색 책임자 조 헤드는 몇 년 전 터무니없는 CISO 채용 공고를 하나 봤다. 파이썬 코딩 역량이 기재돼 있었는데, 이는 CISO 역할과 전혀 상관이 없었기 때문이다. 이 공고는 아마 기술에 대해 잘 모르는 사업, HR 담당자가 작성했으리라. 헤드를 비롯한 다른 전문가에 따르면 임원 레벨에서 CISO의 역할은 비즈니스가 대부분을 차지한다. 물론 대부분 CISO가 기술자 출신이므로 기술에 해박하지만, CISO라는 직책은 또 다른 얘기다.  임원 채용 업체 "Heidrick & Strongs"의 2022년 CISO 설문조사에서 대부분의 CISO는 기술자 출신이었다. (예를 들어, 2022년 CISO의 10%는 소프트웨어 공급망을 보호하기 위한 백악관의 지침에 따라 추적하는 소프트웨어 엔지니어링 배경에서 나왔다.) 보고서는 CISO의 대다수가 금융 서비스 산업에서 경험이 있다고 지적한다. 금융 서비스 산업은 위험 감수성이 낮고 보안에 더 많은 돈을 쓰는 곳이다. 또한 이 설문조사에 따르면 CISO 중 소수만이 각종 비즈니스 및 기술 역량을 모두 갖춰 임원급에 오른다고 한다. 이 조사에서 응답한 CISO의 3분의 2 이상이 7,125.95억 달러(50억 달러) 이상의 기업에서 일하고 있었다. 즉 훌륭한 CISO는 뛰어난 기술자가 아니라 비즈니스 역량을 갖춘 기술자라고 할 수 있다.    믹스 앤 매치  가상 CISO 고문이자 Fortune 50대 기업의 전 CISO인 르네 구트만은 “CISO에 얼마나 높은 수준의 기술적 역량이 필요한지는 정해져 있지 않다. 내 생각에 CISO는 새로운 기술과 공급업체에 대해 빠삭해야 한다. 그리고 기술 프로젝트를 구현하는 데 있어 기업 보안에 지장이 없도록 ...

CISO CSO 최고보안책임자 최고정보보안책임자

2022.10.13

일반적인 CISO는 뛰어난 기술 및 보안 전문가다. 하지만 임원 레벨에서 최고의 연봉을 받으며 활동하는 스타 CISO는 더 이상 엔지니어가 아니다.    영국 소재 검색 회사인 인타소(Intaso)의 CISO 검색 책임자 조 헤드는 몇 년 전 터무니없는 CISO 채용 공고를 하나 봤다. 파이썬 코딩 역량이 기재돼 있었는데, 이는 CISO 역할과 전혀 상관이 없었기 때문이다. 이 공고는 아마 기술에 대해 잘 모르는 사업, HR 담당자가 작성했으리라. 헤드를 비롯한 다른 전문가에 따르면 임원 레벨에서 CISO의 역할은 비즈니스가 대부분을 차지한다. 물론 대부분 CISO가 기술자 출신이므로 기술에 해박하지만, CISO라는 직책은 또 다른 얘기다.  임원 채용 업체 "Heidrick & Strongs"의 2022년 CISO 설문조사에서 대부분의 CISO는 기술자 출신이었다. (예를 들어, 2022년 CISO의 10%는 소프트웨어 공급망을 보호하기 위한 백악관의 지침에 따라 추적하는 소프트웨어 엔지니어링 배경에서 나왔다.) 보고서는 CISO의 대다수가 금융 서비스 산업에서 경험이 있다고 지적한다. 금융 서비스 산업은 위험 감수성이 낮고 보안에 더 많은 돈을 쓰는 곳이다. 또한 이 설문조사에 따르면 CISO 중 소수만이 각종 비즈니스 및 기술 역량을 모두 갖춰 임원급에 오른다고 한다. 이 조사에서 응답한 CISO의 3분의 2 이상이 7,125.95억 달러(50억 달러) 이상의 기업에서 일하고 있었다. 즉 훌륭한 CISO는 뛰어난 기술자가 아니라 비즈니스 역량을 갖춘 기술자라고 할 수 있다.    믹스 앤 매치  가상 CISO 고문이자 Fortune 50대 기업의 전 CISO인 르네 구트만은 “CISO에 얼마나 높은 수준의 기술적 역량이 필요한지는 정해져 있지 않다. 내 생각에 CISO는 새로운 기술과 공급업체에 대해 빠삭해야 한다. 그리고 기술 프로젝트를 구현하는 데 있어 기업 보안에 지장이 없도록 ...

2022.10.13

블로그ㅣCISO가 반면교사 삼을 한 금융기관의 ‘ITAD’ 실패

모건 스탠리 스미스 바니(Morgan Stanley Smith Barney; MSSB) 사례를 반면교사로 삼아야 한다. IT 자산 처분 프로그램은 폐기한 기기에서 발생할지도 모를 데이터 유출로부터 기업을 보호할 수 있다.  모든 기업은 정보 보안 프로세스 및 절차의 일환으로 ‘ITAD(IT 자산 처분)’ 프로그램을 갖추고 있어야 한다. 즉, 기업이 어떤 IT 자산을 구매한다고 할 때 해당 자산을 최종적으로 어떻게 처분할지 ITAD에서 이미 정의돼 있어야 한다는 이야기다. 이를 갖추고 있지 않다면 데이터가 노출되고, 침해가 발생하며, 벌금이 부과될 수 있다.    실제로 모건 스탠리 스미스 바니(MSSB)가 그러했는데, MSSB는 지난 몇 년 동안 ITAD 실패에 따른 영향을 계속 받고 있으며, 그 결과 현재 미화 1억 5,500만 달러의 벌금과 과태료가 부과됐다. 가장 최근인 2022년 9월 20일 MSSB는 고객 개인식별정보(PII)가 저장된 기기를 부적절하게 폐기한 혐의에 따라 3,500만 달러의 위약금을 지불하기로 美 증권거래위원회(SEC)와 합의했다.  또 지난 2020년 10월 美 통화감독청(Office of the Comptroller of Currency; OCC)은 MSSB에 6,000만 달러의 벌금을 부과했다. 아울러 이는 2022년 1월 ITAD 실패로 인해 데이터가 노출된 피해자에게 동일한 금액을 지불하기로 합의한 집단소송까지 이어졌다.  부적절한 ITAD 프로그램의 결과 SEC와 MSSB의 합의문을 살펴보면 이 회사에 분명 ITAD 프로그램이 있긴 했지만 “타당하게 설계되지 않았으며, 데이터를 폐기한 벤더가 적격한지 보장할 수 없었다”라는 점에서 부적절했다.  MSSB는 2013년 자체 위험 평가에서 ‘현지 트럭 운송, 보관, 장거리 이사’라고 식별한 이사 업체 ‘트리플 크라운(Triple Crown)’을 가지고 있었는데, 2021년 법원 제출에서 이 회사는 데이터 노출을 초...

CISO IT 자산 처분 ITAD 데이터 보안 정보 보안

2022.10.06

모건 스탠리 스미스 바니(Morgan Stanley Smith Barney; MSSB) 사례를 반면교사로 삼아야 한다. IT 자산 처분 프로그램은 폐기한 기기에서 발생할지도 모를 데이터 유출로부터 기업을 보호할 수 있다.  모든 기업은 정보 보안 프로세스 및 절차의 일환으로 ‘ITAD(IT 자산 처분)’ 프로그램을 갖추고 있어야 한다. 즉, 기업이 어떤 IT 자산을 구매한다고 할 때 해당 자산을 최종적으로 어떻게 처분할지 ITAD에서 이미 정의돼 있어야 한다는 이야기다. 이를 갖추고 있지 않다면 데이터가 노출되고, 침해가 발생하며, 벌금이 부과될 수 있다.    실제로 모건 스탠리 스미스 바니(MSSB)가 그러했는데, MSSB는 지난 몇 년 동안 ITAD 실패에 따른 영향을 계속 받고 있으며, 그 결과 현재 미화 1억 5,500만 달러의 벌금과 과태료가 부과됐다. 가장 최근인 2022년 9월 20일 MSSB는 고객 개인식별정보(PII)가 저장된 기기를 부적절하게 폐기한 혐의에 따라 3,500만 달러의 위약금을 지불하기로 美 증권거래위원회(SEC)와 합의했다.  또 지난 2020년 10월 美 통화감독청(Office of the Comptroller of Currency; OCC)은 MSSB에 6,000만 달러의 벌금을 부과했다. 아울러 이는 2022년 1월 ITAD 실패로 인해 데이터가 노출된 피해자에게 동일한 금액을 지불하기로 합의한 집단소송까지 이어졌다.  부적절한 ITAD 프로그램의 결과 SEC와 MSSB의 합의문을 살펴보면 이 회사에 분명 ITAD 프로그램이 있긴 했지만 “타당하게 설계되지 않았으며, 데이터를 폐기한 벤더가 적격한지 보장할 수 없었다”라는 점에서 부적절했다.  MSSB는 2013년 자체 위험 평가에서 ‘현지 트럭 운송, 보관, 장거리 이사’라고 식별한 이사 업체 ‘트리플 크라운(Triple Crown)’을 가지고 있었는데, 2021년 법원 제출에서 이 회사는 데이터 노출을 초...

2022.10.06

“CISO 되길 잘했다” ··· 현직자들이 전하는 7가지 가치

CISO라는 직무는 많은 고충을 수반한다. 그럼에도 현직 CISO들은 이 일에 여러 가치가 있다고 입을 모았다.    CISO라는 직무에도 나름의 문제, 어려움과 복잡함이 온갖 뒤섞여 있다. 이들의 시련과 고뇌는 진화하는 사이버 위협 환경에서 기업의 중요한 자산인 데이터를 보호하는 일, 복잡하고 엄격한 규제 요구사항을 파악하며, 보안과 동시에 중요한 비즈니스 요구사항의 균형을 맞추는 일, 그리고 보안 기술과 인재 부족을 헤쳐 나가는 일 등의 난제에서 비롯된다.  CISO를 괴롭히는 수많은 고민거리는 이 밖에도 다양하다. 하지만 너무 비관적으로 바라볼 필요는 없다. CISO가 되기 위해 경력을 쌓고 있거나 되고자 하는 꿈을 가지고 있다면 눈 여겨 볼 장점도 많다. 현직 CISO가 말하는 CISO 직무의 장점 7가지를 소개하고자 한다.  1. 절대 무시할 수 없는 존재감  몽고DB의 CISO 르나 스마트는 오늘날 CISO의 가장 큰 장점은 존재감이 확실하다는 점이라고 말했다. 회사를 운영하는 데 CISO의 통찰력과 전문지식이 갖는 무게는 상당하다. “현대 사회에서 경영진 및 이사회는 보안이 최우선이라는 점을 안다. 따라서 모든 의사 결정 단계에서 CISO의 의견을 소중히 여긴다. 게다가 다른 기업 내 프로그램과 이니셔티브에서도 CISO를 중요시한다. 설령 그렇지 않더라도 보안이 필수인 시대에서 최소한 이렇게 해야 맞다”라고 그는 말했다. 사이버GRX의 CISO 데이브 스테이플톤도 이에 동의했다. 특히 솔루션 개발에 참여하려는 CISO라면 필수적인 비즈니스 파트너로 나설 수 있다고 그는 전했다. 항공 통제 및 보호 업체 에어아이의 CISO 사브 셈비는 “많은 기업이 과거와 달리 보안의 중요성을 인지하고 있다. 이제 기업 구성원들은 CISO라는 직무를 예전처럼 낯설어하지 않고 생각보다 호의적으로 생각한다”라고 말했다.   2. 활짝 열린 성장 기회  폭넓은 비즈니스 영역에서 핵심 역할을 맡...

CISO 목적의식 DRI 다양성 사이버보안 전문가

2022.08.12

CISO라는 직무는 많은 고충을 수반한다. 그럼에도 현직 CISO들은 이 일에 여러 가치가 있다고 입을 모았다.    CISO라는 직무에도 나름의 문제, 어려움과 복잡함이 온갖 뒤섞여 있다. 이들의 시련과 고뇌는 진화하는 사이버 위협 환경에서 기업의 중요한 자산인 데이터를 보호하는 일, 복잡하고 엄격한 규제 요구사항을 파악하며, 보안과 동시에 중요한 비즈니스 요구사항의 균형을 맞추는 일, 그리고 보안 기술과 인재 부족을 헤쳐 나가는 일 등의 난제에서 비롯된다.  CISO를 괴롭히는 수많은 고민거리는 이 밖에도 다양하다. 하지만 너무 비관적으로 바라볼 필요는 없다. CISO가 되기 위해 경력을 쌓고 있거나 되고자 하는 꿈을 가지고 있다면 눈 여겨 볼 장점도 많다. 현직 CISO가 말하는 CISO 직무의 장점 7가지를 소개하고자 한다.  1. 절대 무시할 수 없는 존재감  몽고DB의 CISO 르나 스마트는 오늘날 CISO의 가장 큰 장점은 존재감이 확실하다는 점이라고 말했다. 회사를 운영하는 데 CISO의 통찰력과 전문지식이 갖는 무게는 상당하다. “현대 사회에서 경영진 및 이사회는 보안이 최우선이라는 점을 안다. 따라서 모든 의사 결정 단계에서 CISO의 의견을 소중히 여긴다. 게다가 다른 기업 내 프로그램과 이니셔티브에서도 CISO를 중요시한다. 설령 그렇지 않더라도 보안이 필수인 시대에서 최소한 이렇게 해야 맞다”라고 그는 말했다. 사이버GRX의 CISO 데이브 스테이플톤도 이에 동의했다. 특히 솔루션 개발에 참여하려는 CISO라면 필수적인 비즈니스 파트너로 나설 수 있다고 그는 전했다. 항공 통제 및 보호 업체 에어아이의 CISO 사브 셈비는 “많은 기업이 과거와 달리 보안의 중요성을 인지하고 있다. 이제 기업 구성원들은 CISO라는 직무를 예전처럼 낯설어하지 않고 생각보다 호의적으로 생각한다”라고 말했다.   2. 활짝 열린 성장 기회  폭넓은 비즈니스 영역에서 핵심 역할을 맡...

2022.08.12

인터뷰ㅣ'현실에 안주하면 끝이다'··· 존슨앤드존슨 CISO의 임무

존슨앤드존슨(Johnson & Johnson)의 CISO 마렌 앨리슨은 다가올 상황을 예측하고, 신속하게 전환할 수 있는 로드맵이 중요하다고 강조했다.  현재 글로벌 제약 및 소비재 기업에서 사이버 보안을 이끌고 있는 앨리슨은 지금 하고 있는 일이 몇 년 전 그가 FBI에서 했던 일과 동일한 원칙을 따른다고 밝혔다. 존슨앤드존슨의 CISO로 12년 넘게 일해온 앨리슨은 " 사이버 세계에서 회사의 안전을 도모하고 보장하는 것이 임무다"라고 말했다. 그는 "인간의 건강과 의료를 다루는 회사의 안전을 보호하는 중차대한 일을 맡고 있다는 것에 무거운 책임감을 느낀다. 하루도 빠짐없이 이 임무에 충실하는 자세를 유지하고자 노력하는 이유다”라고 전했다.   그는 웨스트포인트 미국 육군 사관학교를 졸업한 첫 여성 기수이며, 과학 학사 학위를 받았다. 현재도 웨스트포인트 여성 이사회와 뉴저지주의 육군사관학교 연락 장교 및 의회 코디네이터직을 맡으며 육군사관학교와의 인연을 이어 나가고 있다. 그리고 사기업의 세계에 발을 들여놓기 전, FBI에서 특별 요원으로 활동했다. 뉴저지주의 마약 조직범 검거와 샌디에이고 테러 사건의 잠입수사에 참여한 경험이 있다.   FBI 요원에서 존슨앤드존슨의 사이버 수호자로  지난 12년 동안 앨리슨은 존슨앤드존슨의 글로벌 정보 기술 시스템과 비즈니스를 보호하는 데 주력해 왔다. 책임이 막중한 업무다.   136년 된 이 미국 회사는 타이레놀 진통제, 반창고, 리스테린, 아비노 바디 로션과 같은 유명한 소비자 제품부터 정형외과용 임플란트와 의료기기까지 제조하고 판매하는, 이름만 대면 알 만한 대중적인 브랜드다. 또한 2019년 코로나19 팬데믹 기간 동안 이 회사는 코로나 백신(얀센)을 개발해 전 세계 헤드라인을 장식했다.  의료 회사의 정보 시스템, 데이터 및 직원을 모두 안전하게 보호하는 데는 그 나름대로의 어려움이 있다. 게다가 보안 업무는 더욱 골치 아파졌다고 앨리슨...

CISO 존슨앤드존슨 얀센백신

2022.07.18

존슨앤드존슨(Johnson & Johnson)의 CISO 마렌 앨리슨은 다가올 상황을 예측하고, 신속하게 전환할 수 있는 로드맵이 중요하다고 강조했다.  현재 글로벌 제약 및 소비재 기업에서 사이버 보안을 이끌고 있는 앨리슨은 지금 하고 있는 일이 몇 년 전 그가 FBI에서 했던 일과 동일한 원칙을 따른다고 밝혔다. 존슨앤드존슨의 CISO로 12년 넘게 일해온 앨리슨은 " 사이버 세계에서 회사의 안전을 도모하고 보장하는 것이 임무다"라고 말했다. 그는 "인간의 건강과 의료를 다루는 회사의 안전을 보호하는 중차대한 일을 맡고 있다는 것에 무거운 책임감을 느낀다. 하루도 빠짐없이 이 임무에 충실하는 자세를 유지하고자 노력하는 이유다”라고 전했다.   그는 웨스트포인트 미국 육군 사관학교를 졸업한 첫 여성 기수이며, 과학 학사 학위를 받았다. 현재도 웨스트포인트 여성 이사회와 뉴저지주의 육군사관학교 연락 장교 및 의회 코디네이터직을 맡으며 육군사관학교와의 인연을 이어 나가고 있다. 그리고 사기업의 세계에 발을 들여놓기 전, FBI에서 특별 요원으로 활동했다. 뉴저지주의 마약 조직범 검거와 샌디에이고 테러 사건의 잠입수사에 참여한 경험이 있다.   FBI 요원에서 존슨앤드존슨의 사이버 수호자로  지난 12년 동안 앨리슨은 존슨앤드존슨의 글로벌 정보 기술 시스템과 비즈니스를 보호하는 데 주력해 왔다. 책임이 막중한 업무다.   136년 된 이 미국 회사는 타이레놀 진통제, 반창고, 리스테린, 아비노 바디 로션과 같은 유명한 소비자 제품부터 정형외과용 임플란트와 의료기기까지 제조하고 판매하는, 이름만 대면 알 만한 대중적인 브랜드다. 또한 2019년 코로나19 팬데믹 기간 동안 이 회사는 코로나 백신(얀센)을 개발해 전 세계 헤드라인을 장식했다.  의료 회사의 정보 시스템, 데이터 및 직원을 모두 안전하게 보호하는 데는 그 나름대로의 어려움이 있다. 게다가 보안 업무는 더욱 골치 아파졌다고 앨리슨...

2022.07.18

'싸고 긴 3년, 유연한 1년'··· 보안 벤더 계약, 적정 기간은?

보안 비즈니스의 세계는 변화무쌍하다. 민첩성, 안정성 그리고 비용 사이에서 적절한 균형을 찾는 방법에 대해 여러 보안 전문가가 전한 조언을 들어보자.    스테파니 베노이트 커츠는 이전 회사에서 CISO로 일할 때, 한 서비스형 취약성 관리 제공업체와 3년 계약을 체결했다. 당시만 해도 괜찮은 거래라고 생각했다. 그는 회사의 보안 운영 팀이 기능을 십분 활용할 것이라고 생각하면서 계약을 체결했다. 하지만 그는 이내 팀이 사용하는 기능의 비율은 60%에 그친다는 사실을 발견했다.  큰 곤경이었다. 회사에 적합하지 않은 제품에 비용은 계속 나가고 있었고, 계약을 끝낼 방법은 없었던 것이다.  현재 피닉스대학교(University of Phoenix)의 CIST(College of Information Systems&Technology)에서 책임 교원을 맡고 있는 베노이트 커츠는 “업체를 찾아가 ‘이 모듈이 필요 없으니 환불을 받을 수 있는가?’라고 말하기가 어려웠다”라고 회상했다. 대화 자체를 원치 않는 것 같았다”라고 그는 말했다. 그는 이런 일화에서 크게 배웠다고 말했다. 이처럼 초기에 비용을 조절하기 위해 협상하고, 기업의 미래 상태를 살펴 벤더의 서비스가 정말 적합한지 판단하는 법을 배우는 것은 매우 중요하다.   또한 그는 이런 경험을 통해 최적의 계약 기간을 결정하는 게 얼마나 어려운지 깨달을 수 있었다고 전했다. 일반적으로 계약 기간이 길어질수록 비용이 내려가지만, 민첩성, 유연성 등 회사의 상황에 맞게 그때그때 수정할 권한을 타협해야 하므로 까다로운 의사결정 과정이 될 수밖에 없다고 그는 설명했다.   섬세한 문제 적절한 업체를 선택하고, 최상의 계약 조건과 기간을 협상해내는 것은 모두에게 매우 어려운 일이다. 하지만 특히 보안 임원들은 이런 일을 처리할 때 다른 부서의 리더들보다 더 어려움을 겪는 경우가 많으며, 적절한 계약 기간을 결정해야 할 때 더욱 그렇다.  ...

계약기간 CISO 보안솔루션

2022.07.14

보안 비즈니스의 세계는 변화무쌍하다. 민첩성, 안정성 그리고 비용 사이에서 적절한 균형을 찾는 방법에 대해 여러 보안 전문가가 전한 조언을 들어보자.    스테파니 베노이트 커츠는 이전 회사에서 CISO로 일할 때, 한 서비스형 취약성 관리 제공업체와 3년 계약을 체결했다. 당시만 해도 괜찮은 거래라고 생각했다. 그는 회사의 보안 운영 팀이 기능을 십분 활용할 것이라고 생각하면서 계약을 체결했다. 하지만 그는 이내 팀이 사용하는 기능의 비율은 60%에 그친다는 사실을 발견했다.  큰 곤경이었다. 회사에 적합하지 않은 제품에 비용은 계속 나가고 있었고, 계약을 끝낼 방법은 없었던 것이다.  현재 피닉스대학교(University of Phoenix)의 CIST(College of Information Systems&Technology)에서 책임 교원을 맡고 있는 베노이트 커츠는 “업체를 찾아가 ‘이 모듈이 필요 없으니 환불을 받을 수 있는가?’라고 말하기가 어려웠다”라고 회상했다. 대화 자체를 원치 않는 것 같았다”라고 그는 말했다. 그는 이런 일화에서 크게 배웠다고 말했다. 이처럼 초기에 비용을 조절하기 위해 협상하고, 기업의 미래 상태를 살펴 벤더의 서비스가 정말 적합한지 판단하는 법을 배우는 것은 매우 중요하다.   또한 그는 이런 경험을 통해 최적의 계약 기간을 결정하는 게 얼마나 어려운지 깨달을 수 있었다고 전했다. 일반적으로 계약 기간이 길어질수록 비용이 내려가지만, 민첩성, 유연성 등 회사의 상황에 맞게 그때그때 수정할 권한을 타협해야 하므로 까다로운 의사결정 과정이 될 수밖에 없다고 그는 설명했다.   섬세한 문제 적절한 업체를 선택하고, 최상의 계약 조건과 기간을 협상해내는 것은 모두에게 매우 어려운 일이다. 하지만 특히 보안 임원들은 이런 일을 처리할 때 다른 부서의 리더들보다 더 어려움을 겪는 경우가 많으며, 적절한 계약 기간을 결정해야 할 때 더욱 그렇다.  ...

2022.07.14

보안 리더가 흔히 범하는 ‘취약성 관리’ 실수 10가지

신용 보고 기관 에퀴팩스(Equifax)에서 발생한 2017년의 대규모 데이터 유출을 비롯해, 다수의 유출 사고가 패치 되지 않은 취약성으로 인해 발생했다. 2019년 트립와이어(Tripwire)의 조사에 따르면 전체 유출 중 27%는 패치 되지 않은 취약성에 의해 발생했으며, 2018년 포네몬(Ponemon)의 조사에서는 60%라는 엄청난 수치를 기록했다. 보안 전문가에게는 전혀 놀라운 이야기가 아닐 것이다. 지난 7년 동안 매년 확인되는 취약성의 수가 증가했다. 이와 동시에 보안팀들은 안전한 재택근무를 지원하고 다른 팬데믹 관련 필요를 해결하면서 인재 채용 문제까지 처리하느라 매우 바쁜 상황이다. 즉 취약성 관리 프로그램 개선이 최우선순위가 아닌 시절이었다. 베테랑 보안 책임자들은 보편적인 실수가 이어지는 가운데 해결할 방안이 있다고 조언하고 있다. 보안 리더가 자주 범하는 10가지 실수를 살펴본다.   임원의 지원 확보 실패 좋은 취약성 관리 프로그램에는 보안팀만으로는 부족하다. 위험 관련 결정에는 임원의 참여가 필요하며, 패치는 IT 전문지식이 필요하다. 업데이트로 인한 다운타임은 여러 비즈니스 기능에 영향을 미친다. 즉 이 작업을 잘 수행하기 위해서는 조직 내 여러 구성원의 지원이 필요하며, 그들은 기업 내 최상위 리더들로부터 이런 노력을 위한 지원을 확보할 때 지원을 받을 가능성이 높다고 관리형 서비스 제공자 쓰라이브(Thrive)의 CTO 마이클 그레이가 말했다. 취약성 관리 노력에 대한 임원 수준의 지원을 받지 못한 CISO는 IT 및 비즈니스 부서의 반발로 인해 방해를 받을 수 있다. 하지만 좋은 소식도 있다. 사이버 보안이 이사회 수준의 우려사항이 되면서 CISO들이 점차 필요한 임원 지원을 확보하고 있다. 실제로 가트너의 2021년 임원 설문조사에 따르면, 이사회 중 88%가 현재 사이버 보안을 비즈니스 위험으로 보고 있었다. 공동 책임감 조성하지 않기 언더 아머(Under Armour)의 CISO 알렉스 아투말릴리...

취약성 취약점 관리 VM CISO

2022.06.16

신용 보고 기관 에퀴팩스(Equifax)에서 발생한 2017년의 대규모 데이터 유출을 비롯해, 다수의 유출 사고가 패치 되지 않은 취약성으로 인해 발생했다. 2019년 트립와이어(Tripwire)의 조사에 따르면 전체 유출 중 27%는 패치 되지 않은 취약성에 의해 발생했으며, 2018년 포네몬(Ponemon)의 조사에서는 60%라는 엄청난 수치를 기록했다. 보안 전문가에게는 전혀 놀라운 이야기가 아닐 것이다. 지난 7년 동안 매년 확인되는 취약성의 수가 증가했다. 이와 동시에 보안팀들은 안전한 재택근무를 지원하고 다른 팬데믹 관련 필요를 해결하면서 인재 채용 문제까지 처리하느라 매우 바쁜 상황이다. 즉 취약성 관리 프로그램 개선이 최우선순위가 아닌 시절이었다. 베테랑 보안 책임자들은 보편적인 실수가 이어지는 가운데 해결할 방안이 있다고 조언하고 있다. 보안 리더가 자주 범하는 10가지 실수를 살펴본다.   임원의 지원 확보 실패 좋은 취약성 관리 프로그램에는 보안팀만으로는 부족하다. 위험 관련 결정에는 임원의 참여가 필요하며, 패치는 IT 전문지식이 필요하다. 업데이트로 인한 다운타임은 여러 비즈니스 기능에 영향을 미친다. 즉 이 작업을 잘 수행하기 위해서는 조직 내 여러 구성원의 지원이 필요하며, 그들은 기업 내 최상위 리더들로부터 이런 노력을 위한 지원을 확보할 때 지원을 받을 가능성이 높다고 관리형 서비스 제공자 쓰라이브(Thrive)의 CTO 마이클 그레이가 말했다. 취약성 관리 노력에 대한 임원 수준의 지원을 받지 못한 CISO는 IT 및 비즈니스 부서의 반발로 인해 방해를 받을 수 있다. 하지만 좋은 소식도 있다. 사이버 보안이 이사회 수준의 우려사항이 되면서 CISO들이 점차 필요한 임원 지원을 확보하고 있다. 실제로 가트너의 2021년 임원 설문조사에 따르면, 이사회 중 88%가 현재 사이버 보안을 비즈니스 위험으로 보고 있었다. 공동 책임감 조성하지 않기 언더 아머(Under Armour)의 CISO 알렉스 아투말릴리...

2022.06.16

'기후 변화'는 이제 CISO의 의제다··· 4가지 이유

기후 변화가 사이버보안과 높은 관련성을 가지지는 않는다. 그러나, 기후 변화로 인한 영향을 보안 부문에서 인식하고 해결해야 할 필요성이 커지고 있다. 세계기상기구(WMO) ‘신규 보고서’에 따르면 향후 5년 동안 전세계 평균 표면 온도가 이례적인 수준으로 상승할 가능성이 높다. 최초로 산업화 전 평균값보다 1.5°C 넘어설 확률이 50%이다. 사이버보안 지형은 이미 복잡하다. 여기에 변화하는 기상 패턴, 자원 가용성, 집단 이주와 같은 기후 관련 요인도 감안해야 할 수 있다. 이들 요인으로 새로운 위협이나 고조된 위협이 등장하면서 사이버보안의 양상이 달라질 수 있기 때문이다. 사이버보안 전문가 클로에 메스다기는, 그러나 기후 변화가 대부분의 기업 내 이사회와 팀에서 거의 논의되지 않는 주제라고 지적했다. 그녀는 최근 블로그 게시물에서 “내가 만나 본 사이버보안 부문의 여러 임원들은 기후 변화가 미칠 잠재적인 영향에 대한 논의를 아직 하지 않았다. 기후 변화에 대한 언급은 대개 묵살된다. 기후 변화의 존재를 부인하는 의견이나 잠재적 위험성에 대한 무지가 주요 이유”라고 기술했다. 메스다기는 기후 변화가 사이버보안 분야의 잠재적 주요 과제에 속하며 각 기업은 이 주제의 논의 우선순위를 높여야 한다고 강조했다. 사이버보안 분야가 기후 변화를 무시하지 않아야 할 이유 4가지를 살펴본다.   이유 1 : 중요 자원을 노린 공격 기후 변화로 인한 중요한 충격 중 하나는 기후 변화가 핵심 자원에 대한 접근성에 영향을 미치기 때문이다. 예를 들어, 가뭄이 지속되면 깨끗한 물에 대한 접근이 제한될 수 있고 폭풍우로 전기 및 가스 배선이 파손되면 에너지 공급이 끊길 가능성이 있다. 중요 자원이 위협을 받으면 중요 자원 자체와 이를 공급하는 시스템은 혼란을 야기하려는 악성 사이버 공격자들에게 매우 매력적인 표적이 된다. 메스다기는 대표적인 예로 캘리포니아의 가뭄을 들었다. “수자원은 매우 제한됨에 따라 보호해야 할 대상이 됐다. 향후 적성국이 캘리포니아를 공...

기후변화 CISO 공급망 에너지

2022.06.07

기후 변화가 사이버보안과 높은 관련성을 가지지는 않는다. 그러나, 기후 변화로 인한 영향을 보안 부문에서 인식하고 해결해야 할 필요성이 커지고 있다. 세계기상기구(WMO) ‘신규 보고서’에 따르면 향후 5년 동안 전세계 평균 표면 온도가 이례적인 수준으로 상승할 가능성이 높다. 최초로 산업화 전 평균값보다 1.5°C 넘어설 확률이 50%이다. 사이버보안 지형은 이미 복잡하다. 여기에 변화하는 기상 패턴, 자원 가용성, 집단 이주와 같은 기후 관련 요인도 감안해야 할 수 있다. 이들 요인으로 새로운 위협이나 고조된 위협이 등장하면서 사이버보안의 양상이 달라질 수 있기 때문이다. 사이버보안 전문가 클로에 메스다기는, 그러나 기후 변화가 대부분의 기업 내 이사회와 팀에서 거의 논의되지 않는 주제라고 지적했다. 그녀는 최근 블로그 게시물에서 “내가 만나 본 사이버보안 부문의 여러 임원들은 기후 변화가 미칠 잠재적인 영향에 대한 논의를 아직 하지 않았다. 기후 변화에 대한 언급은 대개 묵살된다. 기후 변화의 존재를 부인하는 의견이나 잠재적 위험성에 대한 무지가 주요 이유”라고 기술했다. 메스다기는 기후 변화가 사이버보안 분야의 잠재적 주요 과제에 속하며 각 기업은 이 주제의 논의 우선순위를 높여야 한다고 강조했다. 사이버보안 분야가 기후 변화를 무시하지 않아야 할 이유 4가지를 살펴본다.   이유 1 : 중요 자원을 노린 공격 기후 변화로 인한 중요한 충격 중 하나는 기후 변화가 핵심 자원에 대한 접근성에 영향을 미치기 때문이다. 예를 들어, 가뭄이 지속되면 깨끗한 물에 대한 접근이 제한될 수 있고 폭풍우로 전기 및 가스 배선이 파손되면 에너지 공급이 끊길 가능성이 있다. 중요 자원이 위협을 받으면 중요 자원 자체와 이를 공급하는 시스템은 혼란을 야기하려는 악성 사이버 공격자들에게 매우 매력적인 표적이 된다. 메스다기는 대표적인 예로 캘리포니아의 가뭄을 들었다. “수자원은 매우 제한됨에 따라 보호해야 할 대상이 됐다. 향후 적성국이 캘리포니아를 공...

2022.06.07

블로그ㅣ사이버 보안이 ‘비즈니스와 정렬’된다는 의미는?

보안이 비즈니스 목표 달성에 어떻게 도움을 주는지 보여주는 것은 2단계 프로세스로 이뤄진다. 첫째, 비즈니스 언어로 말해야 하고, 둘째, 가치 창출을 입증하는 비용-편익 분석을 수행해야 한다.  사이버 보안 리더들 사이에서 흔하게 하는 말이 있다. ‘비즈니스와 정렬하는 법을 배워야 한다(We have to learn to align with the business)’라는 것이다. 안타깝게도, 사이버 보안 부분의 리더들은 많은 시간을 비즈니스가 ‘사이버 보안과 정렬’되도록 하는 데 쓰고, 그렇게 되지 않을 때 좌절감을 느끼는 듯하다.    ‘그렇게 되지 않는’ 이유는 비즈니스 부문처럼 말하려고 하지 않거나 또는 그렇게 말할 수 없기 때문이다. 현실은 사이버 보안이 비용 센터(Cost Center), 즉 소위 말해서 돈만 축내는 곳이라는 점이다. 게다가 그 가치를 인지시키기가 매우 어려울 수 있는 비용 센터이기도 하다.  사이버 보안을 비즈니스에 정렬하는 2단계  기본적인 수준에서 사이버 보안을 비즈니스와 정렬하는 것은 2단계 프로세스로 이뤄진다. 비즈니스 언어를 이해하는 게 첫 번째다. 모든 기업의 공통어는 재무다. 이는 사이버 보안 리더들의 가장 큰 과제가 될 수 있다. 대부분의 산업에는 자체적인 비용 효율성 측정 방법이 있다. 예를 들면 소매업의 단위 면적당 매출액, 의료업의 환자당 치료 비용 등이다. 사이버 보안에서도 다른 비즈니스 부문 또는 사업부처럼 행동해야 한다.  두 번째는 이익이 아닌 가치 방식으로 편익-비용 분석과 ROI를 결정하는 방법 및 측정 기준을 개발하는 것이다. 활동기준원가계산(ABC) 등을 사용하여 비용을 계산하고, 손익 분기점 분석을 활용하여 투자를 평가하는 것으로 시작할 수 있다. 이는 지출 금액을 결정하고 투자가 ‘그럴 만한 가치가 있는지’ 정성적으로 판단하는 것만큼이나 간단할 수 있다.  아울러 이 지점에서 (감소시키고자 하는) 위험의 하한선에 도달하게 된...

사이버 보안 비즈니스 정렬 CISO 비용 센터 비즈니스 언어 ROI

2022.05.30

보안이 비즈니스 목표 달성에 어떻게 도움을 주는지 보여주는 것은 2단계 프로세스로 이뤄진다. 첫째, 비즈니스 언어로 말해야 하고, 둘째, 가치 창출을 입증하는 비용-편익 분석을 수행해야 한다.  사이버 보안 리더들 사이에서 흔하게 하는 말이 있다. ‘비즈니스와 정렬하는 법을 배워야 한다(We have to learn to align with the business)’라는 것이다. 안타깝게도, 사이버 보안 부분의 리더들은 많은 시간을 비즈니스가 ‘사이버 보안과 정렬’되도록 하는 데 쓰고, 그렇게 되지 않을 때 좌절감을 느끼는 듯하다.    ‘그렇게 되지 않는’ 이유는 비즈니스 부문처럼 말하려고 하지 않거나 또는 그렇게 말할 수 없기 때문이다. 현실은 사이버 보안이 비용 센터(Cost Center), 즉 소위 말해서 돈만 축내는 곳이라는 점이다. 게다가 그 가치를 인지시키기가 매우 어려울 수 있는 비용 센터이기도 하다.  사이버 보안을 비즈니스에 정렬하는 2단계  기본적인 수준에서 사이버 보안을 비즈니스와 정렬하는 것은 2단계 프로세스로 이뤄진다. 비즈니스 언어를 이해하는 게 첫 번째다. 모든 기업의 공통어는 재무다. 이는 사이버 보안 리더들의 가장 큰 과제가 될 수 있다. 대부분의 산업에는 자체적인 비용 효율성 측정 방법이 있다. 예를 들면 소매업의 단위 면적당 매출액, 의료업의 환자당 치료 비용 등이다. 사이버 보안에서도 다른 비즈니스 부문 또는 사업부처럼 행동해야 한다.  두 번째는 이익이 아닌 가치 방식으로 편익-비용 분석과 ROI를 결정하는 방법 및 측정 기준을 개발하는 것이다. 활동기준원가계산(ABC) 등을 사용하여 비용을 계산하고, 손익 분기점 분석을 활용하여 투자를 평가하는 것으로 시작할 수 있다. 이는 지출 금액을 결정하고 투자가 ‘그럴 만한 가치가 있는지’ 정성적으로 판단하는 것만큼이나 간단할 수 있다.  아울러 이 지점에서 (감소시키고자 하는) 위험의 하한선에 도달하게 된...

2022.05.30

'기업 데이터 보안의 3T'··· 우버 전 CSO의 재판의 교훈

모든 CISO와 CSO가 기업 및 데이터를 안전하게 유지하기 위해 반드시 수용해야 하는 3가지 ‘T’가 있다. 바로 진실(truth), 투명성(transparency), 신뢰(trust)다. 3가지 T를 준수하지 않으면 기업에 심각한 결과를 초래할 수 있다. 적절한 사례가 있다. 미국 연방 판사는 최근 우버 테크놀로지스의 전 CSO 조셉 설리번(2015년 4월부터 2017년 11월까지 CSO 직책을 맡음)과 관련한 재판에서 설리번에게 다가오는 형사 재판에서 자신을 변호하기 위해 요청한 수많은 미편집 우버 문서를 검토하라고 명령했다.   우버의 전임 CSO에 대한 소송 우선 소송의 배경을 살펴보자. 우버의 전 CSO 조셉 설리번은 2016년 우버의 데이터 유출에 처리와 관련한 5건의 중죄로 기소됐다. 2021년 12월 제출된 법원 문서에 따르면, 설리번은 ‘데이터 유출이 공개되지 않도록 은폐하고, 연방거래위원회(FTC)와 피해를 입은 사용자와 운전자에게 노출되지 않도록 설계된 계획에 관여했다’는 혐의를 받는다. 더군다나 해킹에 영향을 미치고 비공개적으로 금전 지불을 요구한 것으로 추정되는 2명은 우버의 버그 바운티 프로그램으로 10만 달러를 수령한 것으로 알려졌다. 이들은 토론토에 거주하는 캐나다 시민권자 바실 메레아커와 미국 플로리다주에 거주하는 브랜든 글로버로, 이후 링크드인 교육사이트 린다닷컴(Lynda.com) 유출 건으로 기소된 인물들이다. 우버의 뒤늦은 유출 통지  당시 우버의 신임 CEO 다라 코스로샤히는 2017년 11월 데이터 유출에 관한 정황을 공개하며 경고 고치를 1년이 지나서야 취하는 것임을 인정했다. 유출 당시 사내에서 이루어진 논의에서는 해당 사건을 유출이 아닌 ‘버그 바운티’ 지불로 분류했기 때문에 공개할 필요가 없다고 판단한 것으로 보인다. 단어의 의미론적인 부분이나 속임수, 후속 해결 조치, 그리고 코스로샤히의 진술에서 이런 관행이 작용하고 있을 수 있음을 알 수 있다. 유출된 정보에는 전 세계 5,7...

우버 소송 CISO

2022.05.24

모든 CISO와 CSO가 기업 및 데이터를 안전하게 유지하기 위해 반드시 수용해야 하는 3가지 ‘T’가 있다. 바로 진실(truth), 투명성(transparency), 신뢰(trust)다. 3가지 T를 준수하지 않으면 기업에 심각한 결과를 초래할 수 있다. 적절한 사례가 있다. 미국 연방 판사는 최근 우버 테크놀로지스의 전 CSO 조셉 설리번(2015년 4월부터 2017년 11월까지 CSO 직책을 맡음)과 관련한 재판에서 설리번에게 다가오는 형사 재판에서 자신을 변호하기 위해 요청한 수많은 미편집 우버 문서를 검토하라고 명령했다.   우버의 전임 CSO에 대한 소송 우선 소송의 배경을 살펴보자. 우버의 전 CSO 조셉 설리번은 2016년 우버의 데이터 유출에 처리와 관련한 5건의 중죄로 기소됐다. 2021년 12월 제출된 법원 문서에 따르면, 설리번은 ‘데이터 유출이 공개되지 않도록 은폐하고, 연방거래위원회(FTC)와 피해를 입은 사용자와 운전자에게 노출되지 않도록 설계된 계획에 관여했다’는 혐의를 받는다. 더군다나 해킹에 영향을 미치고 비공개적으로 금전 지불을 요구한 것으로 추정되는 2명은 우버의 버그 바운티 프로그램으로 10만 달러를 수령한 것으로 알려졌다. 이들은 토론토에 거주하는 캐나다 시민권자 바실 메레아커와 미국 플로리다주에 거주하는 브랜든 글로버로, 이후 링크드인 교육사이트 린다닷컴(Lynda.com) 유출 건으로 기소된 인물들이다. 우버의 뒤늦은 유출 통지  당시 우버의 신임 CEO 다라 코스로샤히는 2017년 11월 데이터 유출에 관한 정황을 공개하며 경고 고치를 1년이 지나서야 취하는 것임을 인정했다. 유출 당시 사내에서 이루어진 논의에서는 해당 사건을 유출이 아닌 ‘버그 바운티’ 지불로 분류했기 때문에 공개할 필요가 없다고 판단한 것으로 보인다. 단어의 의미론적인 부분이나 속임수, 후속 해결 조치, 그리고 코스로샤히의 진술에서 이런 관행이 작용하고 있을 수 있음을 알 수 있다. 유출된 정보에는 전 세계 5,7...

2022.05.24

'솔라윈즈 해킹' 관련 소송 점화… CISO가 배워야 할 6가지 교훈

2020년 솔라윈즈 해킹은 전 세계적으로 큰 영향을 미쳤다. 전방위적인 개선 노력에 공공 및 민간 부문의 자원이 투입됐으며, 솔라윈즈의 주가에도 부정적인 영향을 미쳤다. 그 결과 솔라윈즈를 상대로 민사 소송이 뒤따랐다. 이에 솔라윈즈 CISO 팀 브라운, 사모펀드 회사 실버 레이크(Silver Lake)와 토마 브라보(Thoma Bravo)는 소송 기각을 요청했다. 하지만 미 연방법원이 이를 거부함에 따라 솔라윈즈 해킹과 관련한 소송이 시작될 참이다.   보안 업체 레드포인트 사이버시큐리티(Redpoint Cybersecurity)의 고객 참여 담당 사이버보안 및 개인정보보호 변호사 바이올렛 설리번은 판사가 원고들에게 “청구권이 있을 수 있다고 판단해 심리하려고 하는 것이다. 흥미로운 것은 판결 결과가 아니라 판결 과정에서 발견되는 사항들일 것이다. 이 소송에서는 다음과 같은 질문을 할 수 있다. ‘침해가 발견되는 동안 포렌식 보고서를 마련했는가’, ‘포렌식 보고서에 변호사-의뢰인 비밀 보호 제도가 적용되는가’이다”라고 말했다.  핵심 질문 : 솔라윈즈는 보안 절차를 무시했는가? 소송 기각 요청을 거부한 판사는 모든 CISO가 두려워하는 것, 즉 기본적인 사이버보안 방안을 구현하는 과정에서 직원이 ‘지름길’을 택했는지에 집중했다. 비밀번호 관리에는 대가가 따른다. 솔라윈즈는 보안 연구원이 2019년 11월 ‘업데이트 서버’에서 발견한 악명 높은 암호 ‘solarwinds123’이 통보된 지 한 시간 이내에 해당 비밀번호를 변경했으며, 러시아의 솔라윈즈 침해와 해당 비밀번호는 관련이 없다고 선을 그었다. 그러나 설리번은 “업데이트 서버의 비밀번호 문제는 단지 진입점일 뿐”이라고 말했다. 판사는 ‘근본적인 보안 문제에 대한 혐의(예컨대 solarwinds123 비밀번호 침해)’만으로 솔라윈즈의 보안 문제가 직접적으로 손실을 일으켰다고 볼 필요는 없다고 판단했다. 다만 이런 혐의는 솔라윈즈 경영진이 무엇인가가 심각할 정도로 잘못되었다는 것을...

솔라윈즈 CISO 보안

2022.04.27

2020년 솔라윈즈 해킹은 전 세계적으로 큰 영향을 미쳤다. 전방위적인 개선 노력에 공공 및 민간 부문의 자원이 투입됐으며, 솔라윈즈의 주가에도 부정적인 영향을 미쳤다. 그 결과 솔라윈즈를 상대로 민사 소송이 뒤따랐다. 이에 솔라윈즈 CISO 팀 브라운, 사모펀드 회사 실버 레이크(Silver Lake)와 토마 브라보(Thoma Bravo)는 소송 기각을 요청했다. 하지만 미 연방법원이 이를 거부함에 따라 솔라윈즈 해킹과 관련한 소송이 시작될 참이다.   보안 업체 레드포인트 사이버시큐리티(Redpoint Cybersecurity)의 고객 참여 담당 사이버보안 및 개인정보보호 변호사 바이올렛 설리번은 판사가 원고들에게 “청구권이 있을 수 있다고 판단해 심리하려고 하는 것이다. 흥미로운 것은 판결 결과가 아니라 판결 과정에서 발견되는 사항들일 것이다. 이 소송에서는 다음과 같은 질문을 할 수 있다. ‘침해가 발견되는 동안 포렌식 보고서를 마련했는가’, ‘포렌식 보고서에 변호사-의뢰인 비밀 보호 제도가 적용되는가’이다”라고 말했다.  핵심 질문 : 솔라윈즈는 보안 절차를 무시했는가? 소송 기각 요청을 거부한 판사는 모든 CISO가 두려워하는 것, 즉 기본적인 사이버보안 방안을 구현하는 과정에서 직원이 ‘지름길’을 택했는지에 집중했다. 비밀번호 관리에는 대가가 따른다. 솔라윈즈는 보안 연구원이 2019년 11월 ‘업데이트 서버’에서 발견한 악명 높은 암호 ‘solarwinds123’이 통보된 지 한 시간 이내에 해당 비밀번호를 변경했으며, 러시아의 솔라윈즈 침해와 해당 비밀번호는 관련이 없다고 선을 그었다. 그러나 설리번은 “업데이트 서버의 비밀번호 문제는 단지 진입점일 뿐”이라고 말했다. 판사는 ‘근본적인 보안 문제에 대한 혐의(예컨대 solarwinds123 비밀번호 침해)’만으로 솔라윈즈의 보안 문제가 직접적으로 손실을 일으켰다고 볼 필요는 없다고 판단했다. 다만 이런 혐의는 솔라윈즈 경영진이 무엇인가가 심각할 정도로 잘못되었다는 것을...

2022.04.27

인터뷰 | “블랙스완조차 대비해야 한다” VM웨어 카렌 워스텔 보안 전략가

“오늘날 보안팀과 그들이 속한 조직은 현재 제로데이(Zero Day) 세계에 살고 있다.” 카렌 F. 워스텔은 오늘날의 보안 지형에 대해 냉정하게 바라본다. 그녀는 “그것이 우리의 새로운 현실이며, 우리는 유출을 가정하고 운영해야 한다”라고 말했다. 그녀는 또 오늘날 CISO들이 각종 기술 부채와 제한적인 예산뿐 아니라 비즈니스 속도 저하 없이 보안을 확보해야 한다는 기대에 맞닥뜨리고 있는 상황이라고 진단했다. 이 모든 것들을 고려할 때 보안 분야가 직면한 과제는 결코 만만치 않다고 워스텔은 강조했다. 하지만 VM웨어의 수석 사이버 보안 전략가인 워스텔은 자신의 직업에 대한 믿음이 있다. 그녀는 CISO가 “기업을 방해하지 않고 (미래에) 민첩하게 대응할 수 있도록 보호하는 접근방식을 고안하여) 이런 위기를 기회를 바꿀 수 있다”라고 말했다. 그녀에게 있어서 이것은 일상적인 업무의 일환이다. 워스텔은 전 세계 CISO들과 만나 ‘앞으로 닥칠 일과 미래를 위해 우리가 대비해야 할 일’에 대해 이야기를 나눈다. 여러 CISO와 소통하는 전략팀의 일원으로서 그녀는 VM웨어가 CISO들을 도울 방안을 파악하도록 돕는 업무를 수행하고 있다. 그녀는 “아무도 100% 완벽하다고 말할 수 없지만 최대한 합리적인 보안 조치를 취하는 것이 중요하며, 이것이 내가 이곳에서 일하는 이유다”라고 말했다.   과거를 통해 미래를 알다 워스텔은 과거로부터 미래에 대한 많은 힌트를 얻을 수 있다고 말했다. 워스텔은 “오랜 사이버 보안 역사를 살펴보면 정말로 도움이 된다. 왜냐하면 지난 30년 동안 우리의 업무 방식을 완전히 바꾸어 놓은 파괴적인 이벤트가 많았기 때문이다”라고 말했다. 인터넷의 확산으로 조직의 위협이 어떻게 극적으로 바뀌었으며, 국가 또는 조직적 차원의 움직임을 인해 어떻게 새로운 보안 문제가 발생했고, 코로나19 팬데믹으로 인해 재택근무로의 전환이 갑자기 추진되면서 보안 지형이 어떻게 변화했는지 생각해 보라고 그녀가 말했다. 워스텔에 따르...

VM웨어 카렌 워스텔 제로 트러스트 제로데이 블랙스완 CISO

2022.03.29

“오늘날 보안팀과 그들이 속한 조직은 현재 제로데이(Zero Day) 세계에 살고 있다.” 카렌 F. 워스텔은 오늘날의 보안 지형에 대해 냉정하게 바라본다. 그녀는 “그것이 우리의 새로운 현실이며, 우리는 유출을 가정하고 운영해야 한다”라고 말했다. 그녀는 또 오늘날 CISO들이 각종 기술 부채와 제한적인 예산뿐 아니라 비즈니스 속도 저하 없이 보안을 확보해야 한다는 기대에 맞닥뜨리고 있는 상황이라고 진단했다. 이 모든 것들을 고려할 때 보안 분야가 직면한 과제는 결코 만만치 않다고 워스텔은 강조했다. 하지만 VM웨어의 수석 사이버 보안 전략가인 워스텔은 자신의 직업에 대한 믿음이 있다. 그녀는 CISO가 “기업을 방해하지 않고 (미래에) 민첩하게 대응할 수 있도록 보호하는 접근방식을 고안하여) 이런 위기를 기회를 바꿀 수 있다”라고 말했다. 그녀에게 있어서 이것은 일상적인 업무의 일환이다. 워스텔은 전 세계 CISO들과 만나 ‘앞으로 닥칠 일과 미래를 위해 우리가 대비해야 할 일’에 대해 이야기를 나눈다. 여러 CISO와 소통하는 전략팀의 일원으로서 그녀는 VM웨어가 CISO들을 도울 방안을 파악하도록 돕는 업무를 수행하고 있다. 그녀는 “아무도 100% 완벽하다고 말할 수 없지만 최대한 합리적인 보안 조치를 취하는 것이 중요하며, 이것이 내가 이곳에서 일하는 이유다”라고 말했다.   과거를 통해 미래를 알다 워스텔은 과거로부터 미래에 대한 많은 힌트를 얻을 수 있다고 말했다. 워스텔은 “오랜 사이버 보안 역사를 살펴보면 정말로 도움이 된다. 왜냐하면 지난 30년 동안 우리의 업무 방식을 완전히 바꾸어 놓은 파괴적인 이벤트가 많았기 때문이다”라고 말했다. 인터넷의 확산으로 조직의 위협이 어떻게 극적으로 바뀌었으며, 국가 또는 조직적 차원의 움직임을 인해 어떻게 새로운 보안 문제가 발생했고, 코로나19 팬데믹으로 인해 재택근무로의 전환이 갑자기 추진되면서 보안 지형이 어떻게 변화했는지 생각해 보라고 그녀가 말했다. 워스텔에 따르...

2022.03.29

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2023 International Data Group. All rights reserved.

10.5.0.9