Offcanvas

CISO

인터뷰ㅣ“패치 속도보다 중단 제로에 주목” ARM CISO의 취약점 관리 전략

지난 2017년 ‘워너크라이(WannaCry)’ 공격은 英 반도체 회사 ARM에 경종을 울렸다. 이 회사가 전 세계 시스템을 무력화시킨 이 랜섬웨어 크립토웜(Ransomware Cryptoworm)에 대응하는 데 2주가 넘게 걸린 것이다. ARM의 해묵은 문제였던 부적절한 취약점 대응 역량이 여실히 드러난 순간이었다.    ARM의 CISO 팀 피츠제럴드는 “회사의 대응 역량이 제대로 기능하지 못했다. 반도체 IP 회사인 ARM의 과제였다. 즉, 핵심 시스템을 계속 실행해야 했기 때문에 패치 적용에 필요한 다운타임이 문제였다. 이 문제를 해결하는 게 목표였다”라고 밝혔다.  그는 2017년 9월 ARM의 첫 CISO이자 수석 부사장으로 합류했다. 이 직위는 해당 기업이 한층 철저한 보안 사건 대응과 전반적으로 성숙한 보안 운영이 필요하다는 점을 인식하면서 신설됐다는 게 피츠제럴드의 설명이다. 그는 취약점 관리 운영 전문성을 개발하는 등 이 2가지 니즈를 성공적으로 해결하고 있다고 덧붙였다.     패치 적용에 집중 피츠제럴드는 보안 기본 사항에 중점을 두는 일부터 시작했다고 말했다. 보안 기본 사항을 바로잡는다면 (물론 생각보다 더 어려운 일이지만) 위험의 상당 부분을 제거할 수 있을 것이고, 그렇게 되면 보안팀은 일반적으로 더 전문화된 스킬과 전문적인 전략이 필요한 나머지 위험에 집중할 수 있다고 그는 전했다.  이를 염두에 두고, 그는 먼저 패치 프로그램의 가시성을 높이고, 해당 프로세스를 개선하고자 했다. 이러한 작업은 쉽지 않은 게 보통이지만 ARM의 비즈니스 목표와 이를 지원하는 데 필요한 기술 환경 때문에 특히 어려웠다고 피츠제럴드는 언급했다.  이를테면 ARM은 수십만 개의 CPU로 구성되고 항상 95% 이상의 용량으로 실행되는 매우 복잡한 고성능 컴퓨팅 인프라를 활용한다. 그는 “유지 관리해야 하는 시스템이 굉장히 많고, 이는 기업 인프라의 최상위에 위치한다. 즉, 자사 제품...

보안 CSO CISO ARM 랜섬웨어 워너크라이 취약점 패치 회복탄력성

3일 전

지난 2017년 ‘워너크라이(WannaCry)’ 공격은 英 반도체 회사 ARM에 경종을 울렸다. 이 회사가 전 세계 시스템을 무력화시킨 이 랜섬웨어 크립토웜(Ransomware Cryptoworm)에 대응하는 데 2주가 넘게 걸린 것이다. ARM의 해묵은 문제였던 부적절한 취약점 대응 역량이 여실히 드러난 순간이었다.    ARM의 CISO 팀 피츠제럴드는 “회사의 대응 역량이 제대로 기능하지 못했다. 반도체 IP 회사인 ARM의 과제였다. 즉, 핵심 시스템을 계속 실행해야 했기 때문에 패치 적용에 필요한 다운타임이 문제였다. 이 문제를 해결하는 게 목표였다”라고 밝혔다.  그는 2017년 9월 ARM의 첫 CISO이자 수석 부사장으로 합류했다. 이 직위는 해당 기업이 한층 철저한 보안 사건 대응과 전반적으로 성숙한 보안 운영이 필요하다는 점을 인식하면서 신설됐다는 게 피츠제럴드의 설명이다. 그는 취약점 관리 운영 전문성을 개발하는 등 이 2가지 니즈를 성공적으로 해결하고 있다고 덧붙였다.     패치 적용에 집중 피츠제럴드는 보안 기본 사항에 중점을 두는 일부터 시작했다고 말했다. 보안 기본 사항을 바로잡는다면 (물론 생각보다 더 어려운 일이지만) 위험의 상당 부분을 제거할 수 있을 것이고, 그렇게 되면 보안팀은 일반적으로 더 전문화된 스킬과 전문적인 전략이 필요한 나머지 위험에 집중할 수 있다고 그는 전했다.  이를 염두에 두고, 그는 먼저 패치 프로그램의 가시성을 높이고, 해당 프로세스를 개선하고자 했다. 이러한 작업은 쉽지 않은 게 보통이지만 ARM의 비즈니스 목표와 이를 지원하는 데 필요한 기술 환경 때문에 특히 어려웠다고 피츠제럴드는 언급했다.  이를테면 ARM은 수십만 개의 CPU로 구성되고 항상 95% 이상의 용량으로 실행되는 매우 복잡한 고성능 컴퓨팅 인프라를 활용한다. 그는 “유지 관리해야 하는 시스템이 굉장히 많고, 이는 기업 인프라의 최상위에 위치한다. 즉, 자사 제품...

3일 전

쉬쉬하던 분위기 바뀐다··· CISO들이 개방과 소통을 지향하는 이유

보안 임원 채드 클리워는 2020년 12월 해킹 피해자로 지명된 기업들에 대한 기사를 접했다. 이내 그는, 추가 정보를 확인하고 조언을 전하려는 업계 동료들로부터 메시지를 받기 시작했다. 그는 오클라호마 킹피셔에 본사를 두고 있는 작은 통신 기업 파이오니어 텔레폰(Pioneer Telephone Cooperative Inc.)에서 근무하고 있다. 이렇듯 클리워에게는 동료 보안 리더들로 구성된 직종 내 정보 공유 커뮤니티가 구축돼 있다. 클리워는 소규모 광대역 제공자를 위한 ISAC(Information Sharing and Analysis Center) 사이버셰어(CyberShare)의 회원이었다. 또한 그는 IGO(InfraGard Oklahoma)와 CSCC(Communications Sector Coordinating Council)에 소속되어 있다. 그리고 그는 다른 보안 리더들과 정보를 나누는 소규모 친목 커뮤니티에도 속해 있다. 그는 그가 한 때 바빠서 이런 그룹의 중요성을 간과했다고 전했다. 하지만 솔라윈즈 이벤트처럼 커뮤니티의 유용성을 경험하면서 외부 활동의 필요성을 절감하게 됐다. 그는 “나는 현재 정보를 공유하고 공개하라고 설파하고 있다. 우리는 모두 같은 고통을 안고 있다. 우리가 이런 고통을 공유하고 신뢰할 수 있는 그룹에서 일부 부족한 점을 공유하여 다른 사람들이 같은 고통을 겪지 않도록 할 의지가 있는지가 중요하다”라고 말했다.   함께 앞서 나아가기 사이버 보안 실무자들 사이의 정보를 공유하는 트렌드는 정량화하기 어렵다. 이런 활동에 참여하고자 하는 의지를 측정하기란 사실상 불가능하다. 하지만 클리워와 다른 베테랑 보안 리더들은 한 때 운영, 내부적인 위협 활동, 전반적인 위협 영역 등에 관해 말을 아끼던 CISO들의 생각이 바뀌고 있다고 말했다. 특히 최근에 달라지고 있다. 현재 많은 CISO들이 여러 정보 공유 그룹에 속해 있으며 지금은 동료들에게 이를 추천하고 있고, 이것이 모두가 위협적인 악당들보다 앞서...

CISO ISAC 정보 공유 커뮤니티 피어 네트워크

7일 전

보안 임원 채드 클리워는 2020년 12월 해킹 피해자로 지명된 기업들에 대한 기사를 접했다. 이내 그는, 추가 정보를 확인하고 조언을 전하려는 업계 동료들로부터 메시지를 받기 시작했다. 그는 오클라호마 킹피셔에 본사를 두고 있는 작은 통신 기업 파이오니어 텔레폰(Pioneer Telephone Cooperative Inc.)에서 근무하고 있다. 이렇듯 클리워에게는 동료 보안 리더들로 구성된 직종 내 정보 공유 커뮤니티가 구축돼 있다. 클리워는 소규모 광대역 제공자를 위한 ISAC(Information Sharing and Analysis Center) 사이버셰어(CyberShare)의 회원이었다. 또한 그는 IGO(InfraGard Oklahoma)와 CSCC(Communications Sector Coordinating Council)에 소속되어 있다. 그리고 그는 다른 보안 리더들과 정보를 나누는 소규모 친목 커뮤니티에도 속해 있다. 그는 그가 한 때 바빠서 이런 그룹의 중요성을 간과했다고 전했다. 하지만 솔라윈즈 이벤트처럼 커뮤니티의 유용성을 경험하면서 외부 활동의 필요성을 절감하게 됐다. 그는 “나는 현재 정보를 공유하고 공개하라고 설파하고 있다. 우리는 모두 같은 고통을 안고 있다. 우리가 이런 고통을 공유하고 신뢰할 수 있는 그룹에서 일부 부족한 점을 공유하여 다른 사람들이 같은 고통을 겪지 않도록 할 의지가 있는지가 중요하다”라고 말했다.   함께 앞서 나아가기 사이버 보안 실무자들 사이의 정보를 공유하는 트렌드는 정량화하기 어렵다. 이런 활동에 참여하고자 하는 의지를 측정하기란 사실상 불가능하다. 하지만 클리워와 다른 베테랑 보안 리더들은 한 때 운영, 내부적인 위협 활동, 전반적인 위협 영역 등에 관해 말을 아끼던 CISO들의 생각이 바뀌고 있다고 말했다. 특히 최근에 달라지고 있다. 현재 많은 CISO들이 여러 정보 공유 그룹에 속해 있으며 지금은 동료들에게 이를 추천하고 있고, 이것이 모두가 위협적인 악당들보다 앞서...

7일 전

‘보안과 ESG 전략을 정렬하기’··· 앞선 CISO의 새로운 과제

ESG(environmental, social, and governance)에 대한 관심이 전방위로 고조되고 있다. CISO 또한 이제 보안 및 위험 전략을 수립함에 있어 ESG를 감안해야 한다.    KPMG의 사이버 서비스 수석 매튜 밀러는 작년에 고객사의 CISO로부터 낯선 요청을 받았다. 그 CISO는 ESG에 대한 자신의 관점을 묻는 한편, 이사회로부터의 ESG 질문에 응답하는 방법에 대한 조언을 원했다.  CISO가 이러한 질문을 제기한 사례는 처음이었다고 밀러가 말했다. 밀러는 “초기 단계이기는 하지만 이러한 대화가 출현하기 시작했고 없어지지 않을 것이다”라고 말했다. ESG는 환경, 사회, 정부 문제에 대한 회사의 정책 및 조치를 의미한다. ESG에 대한 관심이 투자자들의 전유물인 적인 있었다. 그들은 회사의 비즈니스를 탐색해 이것들이 잠재적인 미래의 수익을 지원하거나 저해할 수 있는지 판단했다. 하지만 시간이 지남에 따라 ESG에 대한 관심이 확대되었다. 일부 기업들도 비즈니스 파트너와 공급자뿐만이 아니라 인수 대상 등의 다른 기업을 ESG 지표에 기초하여 평가하고 있다. 그리고 이제는 일반 대중 및 직원들도 이를 확ㅇ인하고 있다. 소비자들은 점차 소비 결정을 내릴 때 조직의 ESG 정책을 살펴보고 있으며, 직원들은 회사를 고를 때 이를 고려한다. 수치로 드러나는 동향 통계에 따르면 다양한 이해관계자들의 관심이 높음이 드러난다. 전문 서비스 기업 PwC의 ‘2021년 글로벌 투자자 ESG 설문조사’에 따르면 조사한 투자자 중 79%가 회사가 ESG 위험과 기회를 관리하는 방법을 투자 의사결정의 중요한 요소로 보았다. 한편, PwC의 ‘2021년 ESG에 대한 소비자 정보 시리즈 설문조사’에서는 소비자 중 83%가 기업들이 ESG 모범 사례를 능동적으로 형성해야 한다고 말했으며 직원 중 86%는 자신과 같은 문제에 관심을 갖는 기업에서 근무하는 것을 선호하고 있었다. 이 모든 것들은 CISO에게 영향을 미...

ESG CISO 보안 전략

2022.01.06

ESG(environmental, social, and governance)에 대한 관심이 전방위로 고조되고 있다. CISO 또한 이제 보안 및 위험 전략을 수립함에 있어 ESG를 감안해야 한다.    KPMG의 사이버 서비스 수석 매튜 밀러는 작년에 고객사의 CISO로부터 낯선 요청을 받았다. 그 CISO는 ESG에 대한 자신의 관점을 묻는 한편, 이사회로부터의 ESG 질문에 응답하는 방법에 대한 조언을 원했다.  CISO가 이러한 질문을 제기한 사례는 처음이었다고 밀러가 말했다. 밀러는 “초기 단계이기는 하지만 이러한 대화가 출현하기 시작했고 없어지지 않을 것이다”라고 말했다. ESG는 환경, 사회, 정부 문제에 대한 회사의 정책 및 조치를 의미한다. ESG에 대한 관심이 투자자들의 전유물인 적인 있었다. 그들은 회사의 비즈니스를 탐색해 이것들이 잠재적인 미래의 수익을 지원하거나 저해할 수 있는지 판단했다. 하지만 시간이 지남에 따라 ESG에 대한 관심이 확대되었다. 일부 기업들도 비즈니스 파트너와 공급자뿐만이 아니라 인수 대상 등의 다른 기업을 ESG 지표에 기초하여 평가하고 있다. 그리고 이제는 일반 대중 및 직원들도 이를 확ㅇ인하고 있다. 소비자들은 점차 소비 결정을 내릴 때 조직의 ESG 정책을 살펴보고 있으며, 직원들은 회사를 고를 때 이를 고려한다. 수치로 드러나는 동향 통계에 따르면 다양한 이해관계자들의 관심이 높음이 드러난다. 전문 서비스 기업 PwC의 ‘2021년 글로벌 투자자 ESG 설문조사’에 따르면 조사한 투자자 중 79%가 회사가 ESG 위험과 기회를 관리하는 방법을 투자 의사결정의 중요한 요소로 보았다. 한편, PwC의 ‘2021년 ESG에 대한 소비자 정보 시리즈 설문조사’에서는 소비자 중 83%가 기업들이 ESG 모범 사례를 능동적으로 형성해야 한다고 말했으며 직원 중 86%는 자신과 같은 문제에 관심을 갖는 기업에서 근무하는 것을 선호하고 있었다. 이 모든 것들은 CISO에게 영향을 미...

2022.01.06

강은성의 보안 아키텍트ㅣ2022년 보안 위협 전망? 해 아래 새것이 없다! 

백신과 치료약이 우리를 코로나19에서 해방해줄 거라는 희망이 희망 고문으로 끝나가는 한 해다. 백신은 부족하나마 바닥을 기던 우리 삶의 질을 조금 높여줬음에도 치료약이 지지부진하기 때문이다. 그래도 들리는 몇 가지 반가운 소식이 새해에는 어느새 우리 현실로 다가올 수 있기를 희망해 본다.   지난 2년 동안 주간 개인정보 뉴스레터를 만드느라 매주 개인정보 사고와 규제 등 개인정보 관련 뉴스를 찾아보고, 매달 기고를 위해 국내외 보안 위협 관련 이슈를 분석하면서 한 가지 깨달음을 얻었다.   “해 아래 새것이 없다!” 새해 보안 위협을 전망하는 것은 미래의 예측력을 자랑하기 위해서가 아니라 각 조직에서 어떤 보안 목표와 전략을 세우고, 보안 투자를 결정하는 데 도움이 되기 위해서일 것이다. 하지만 미래를 예측하는 것은 쉽지 않다. 분명한 것은 올해의 보안 위협은 작년의 연장선 위에 있다는 것이다. 물론 새롭게 나타난 것도 있지만 말이다. 이번 달 칼럼에서 올해의 보안 위협을 좀 더 상세하게 정리해 보려고 한 이유다. 굳이 새해 보안 위협 전망을 하지 않더라도 자연스럽게 새해의 보안 이슈를 조망해 볼 수 있지 않을까 한다. 2021년 ‘올해의 보안 위협’은 작년에 이어 단연코 랜섬웨어다. 랜섬웨어는 미국 대형 보험사 CNA(3월), 세계를 떠들썩하게 했던 미국 송유관 업체 콜로니얼 파이프라인과 세계적인 프랑스 보험사 AXA(5월), 세계 최대의 브라질 육류가공회사 JBS SA(6월) 등 세계적으로 막대한 피해를 줬고, 2020년 11월 대형 유통기업에 이어 국내 자동차 기업의 국외 법인(2월), 10위권의 배달대행업체(5월) 등 국내에서도 피해가 커서 과학기술정보통신부에서 ‘랜섬웨어 대응 지원반’을 운영하기도 했다. 지능형 표적 공격을 통한 랜섬웨어 유포, 서비스형 랜섬웨어 확산, 중요 정보를 훔친 뒤 암호화와 디도스 공격으로 협박하는 이중·삼중 갈취형 랜섬웨어 공격은 범인이 피해자에게 본인 물건을 돈을 내고 도로 사가라는 파렴치...

강은성 강은성의 보안 아키텍트 랜섬웨어 보안 위협 CSO CISO 지능형 표적 공격 디도스 공격 공급망 공격 악성코드 개인정보 유출

2021.12.31

백신과 치료약이 우리를 코로나19에서 해방해줄 거라는 희망이 희망 고문으로 끝나가는 한 해다. 백신은 부족하나마 바닥을 기던 우리 삶의 질을 조금 높여줬음에도 치료약이 지지부진하기 때문이다. 그래도 들리는 몇 가지 반가운 소식이 새해에는 어느새 우리 현실로 다가올 수 있기를 희망해 본다.   지난 2년 동안 주간 개인정보 뉴스레터를 만드느라 매주 개인정보 사고와 규제 등 개인정보 관련 뉴스를 찾아보고, 매달 기고를 위해 국내외 보안 위협 관련 이슈를 분석하면서 한 가지 깨달음을 얻었다.   “해 아래 새것이 없다!” 새해 보안 위협을 전망하는 것은 미래의 예측력을 자랑하기 위해서가 아니라 각 조직에서 어떤 보안 목표와 전략을 세우고, 보안 투자를 결정하는 데 도움이 되기 위해서일 것이다. 하지만 미래를 예측하는 것은 쉽지 않다. 분명한 것은 올해의 보안 위협은 작년의 연장선 위에 있다는 것이다. 물론 새롭게 나타난 것도 있지만 말이다. 이번 달 칼럼에서 올해의 보안 위협을 좀 더 상세하게 정리해 보려고 한 이유다. 굳이 새해 보안 위협 전망을 하지 않더라도 자연스럽게 새해의 보안 이슈를 조망해 볼 수 있지 않을까 한다. 2021년 ‘올해의 보안 위협’은 작년에 이어 단연코 랜섬웨어다. 랜섬웨어는 미국 대형 보험사 CNA(3월), 세계를 떠들썩하게 했던 미국 송유관 업체 콜로니얼 파이프라인과 세계적인 프랑스 보험사 AXA(5월), 세계 최대의 브라질 육류가공회사 JBS SA(6월) 등 세계적으로 막대한 피해를 줬고, 2020년 11월 대형 유통기업에 이어 국내 자동차 기업의 국외 법인(2월), 10위권의 배달대행업체(5월) 등 국내에서도 피해가 커서 과학기술정보통신부에서 ‘랜섬웨어 대응 지원반’을 운영하기도 했다. 지능형 표적 공격을 통한 랜섬웨어 유포, 서비스형 랜섬웨어 확산, 중요 정보를 훔친 뒤 암호화와 디도스 공격으로 협박하는 이중·삼중 갈취형 랜섬웨어 공격은 범인이 피해자에게 본인 물건을 돈을 내고 도로 사가라는 파렴치...

2021.12.31

풍요 속 빈곤··· 제대로 된 ‘CISO’ 일자리 찾으려면?

때때로 ‘최고정보보호책임자(Chief Information Security Officer; CISO)’라고 했지만 실제로는 CISO가 아니거나, 역할에 필요한 권한 및 리소스를 제공받지 못하는 경우가 있다. 이러한 상황을 피할 수 있는 방법은 다음과 같다.  CISO가 새로운 일자리를 찾을 때 알아둬야 할 사항은 ‘C-레벨 보안 전문가가 귀중하다’라는 점이다. 시간이 걸리더라도 좋은 직장을 까다롭게 구하라는 의미다. CISO 역할을 개척한 스티브 카츠는 “배고플 땐 쇼핑하지 마라”라고 말했다. 왜냐하면 CISO 일자리가 많긴 하지만 동등하진 않기 때문이다. 링크드인에서 검색만 해보더라도 1,000개 이상의 CISO 관련 일자리가 나오는데, 임원급이 대부분이다. 반면에 인디드닷컴에서는 4,000개 이상의 CISO 관련 일자리가 검색되긴 하지만 임원급이 아닌 게 많고 심지어 관리자급도 아니다. 이는 CISO가 새로운 일자리를 찾을 때 고려해야 할 중요한 부분이라고 전문가들은 언급했다. 이사회에 참여하고 CEO와 직간접적으로 연결된 진정한 C-레벨인가? 아니면 과장된 타이틀에 불과한가? (기업에서 규제 요건을 충족하기 위해 몸만 있으면 되는 전리품일 수도 있다.)     C-레벨 지위가 빠져 있는가? 美 캘리포니아주 오렌지카운티의 명문 사립대 채프먼대학교(Chapman University)의 CISO 조지 비거스는 “CISO가 조직 내에서 어디에 위치하는지 파악하면 해당 기업이 보안에 얼마나 투자했는지 알 수 있어서 ‘CISO가 누구에게 보고하는가?’를 가장 먼저 질문한다”라면서, “CISO가 CEO에게 보고하면 실질적으로 C-레벨급이라는 점을 알 수 있다. 반면에 CISO가 재무, 위험, 컴플라이언스에 보고한다면 경영진에서 배제돼 있다는 뜻이다”라고 전했다. 지난 2020년 말 발표된 포레스터의 보고서에 따르면 C-레벨로 간주되는 CISO는 13%에 불과했다. CISO 역할에 필요한 영향력 및 지원을 확보하고 있는 C-레벨급 ...

CSO CISO 보안 사이버 보안 C-레벨 커리어 최고정보보호책임자

2021.12.29

때때로 ‘최고정보보호책임자(Chief Information Security Officer; CISO)’라고 했지만 실제로는 CISO가 아니거나, 역할에 필요한 권한 및 리소스를 제공받지 못하는 경우가 있다. 이러한 상황을 피할 수 있는 방법은 다음과 같다.  CISO가 새로운 일자리를 찾을 때 알아둬야 할 사항은 ‘C-레벨 보안 전문가가 귀중하다’라는 점이다. 시간이 걸리더라도 좋은 직장을 까다롭게 구하라는 의미다. CISO 역할을 개척한 스티브 카츠는 “배고플 땐 쇼핑하지 마라”라고 말했다. 왜냐하면 CISO 일자리가 많긴 하지만 동등하진 않기 때문이다. 링크드인에서 검색만 해보더라도 1,000개 이상의 CISO 관련 일자리가 나오는데, 임원급이 대부분이다. 반면에 인디드닷컴에서는 4,000개 이상의 CISO 관련 일자리가 검색되긴 하지만 임원급이 아닌 게 많고 심지어 관리자급도 아니다. 이는 CISO가 새로운 일자리를 찾을 때 고려해야 할 중요한 부분이라고 전문가들은 언급했다. 이사회에 참여하고 CEO와 직간접적으로 연결된 진정한 C-레벨인가? 아니면 과장된 타이틀에 불과한가? (기업에서 규제 요건을 충족하기 위해 몸만 있으면 되는 전리품일 수도 있다.)     C-레벨 지위가 빠져 있는가? 美 캘리포니아주 오렌지카운티의 명문 사립대 채프먼대학교(Chapman University)의 CISO 조지 비거스는 “CISO가 조직 내에서 어디에 위치하는지 파악하면 해당 기업이 보안에 얼마나 투자했는지 알 수 있어서 ‘CISO가 누구에게 보고하는가?’를 가장 먼저 질문한다”라면서, “CISO가 CEO에게 보고하면 실질적으로 C-레벨급이라는 점을 알 수 있다. 반면에 CISO가 재무, 위험, 컴플라이언스에 보고한다면 경영진에서 배제돼 있다는 뜻이다”라고 전했다. 지난 2020년 말 발표된 포레스터의 보고서에 따르면 C-레벨로 간주되는 CISO는 13%에 불과했다. CISO 역할에 필요한 영향력 및 지원을 확보하고 있는 C-레벨급 ...

2021.12.29

CISO가 출장 프로그램에서 검토해야 할 보안 체크포인트

지난 2년 동안, CISO는 직원이 출장 모드에 대한 기업 데이터 보안 업무에서 잠시 벗어날 수 있었다. 출장을 떠나 신선한 공기를 마시는 대신, 팬데믹으로부터 서로를 보호하기 위해 떨어져야 하는 현실에 직면하게 됐다. 이제 코로나 검사와 백신 접종이 흔히 시행되면서 출장도 조금씩 증가하고 있으며, 여행 업계는 2022년 중반 내지 하반기에 팬데믹 이전 수준으로 복구될 것으로 전망했다.   따라서 모든 CISO는 자신이 속한 기업이 이런 상황에 준비되어 있는지 점검해볼 필요가 있다. 출장이 늘면 그만큼 위험성도 높아지기 때문이다. CISO는 출장 프로그램에 포함되어야 할 내용을 경영진과 담당 팀에 물어봐야 한다. 스티브 트체르치안은 직원들이 정기적으로 여러 국가로 출장을 가는 XYPRO에서 CISO를 맡고 있다. 트체르치안의 회사에는 장치에 대한 인식과 절차가 있으며, 데이터를 가지고 국경을 넘나드는 출장 방식이 지역별로 위험을 구분하고 있다고 지적한다. 또한, 직원이 출장을 갈 때마다 출장용 장치를 따로 준비하지는 않는다고 덧붙였다. 앱노멀 시큐리티(Abnormal Security) CISO 마이크 브리튼은 직원이 고위험 국가로 출장 갈 때, 대여 노트북을 가지고 가는 것이 일반적인 관행이라고 말했다. 브리튼은 “예를 들어, 직원이 미국이나 유럽, 중국 등 평소 근무지를 벗어나 멀리 출장 가는 경우, 직원의 안전과 회사 자산 및 정보를 적절히 보호하기 위해 모든 위험과 제한 사항을 검토한다”라고 설명했다. 그렇다면 한 국가가 다른 국가보다 위험성이 높다는 것은 어떻게 판단할까? 가장 참고하기 좋은 것은 미 국무부의 여행 경보 프로그램이다. 캐나다와 호주, 영국에도 일반인이 쉽게 이용할 수 있는 여행 경보 프로그램이 있다. 외교안보국이 주관하는 국무부의 ‘해외 안전 자문 위원회(OSAC)’에 가입하는 것이 필수적이다. OSAC 애널리스트는 조사 내용을 수집해서 핵심을 뽑아낸 후, 국제 행사에서 참석자가 쉽게 이해할 수 있도록 발표한다. 이런 ...

CISO 보안

2021.12.27

지난 2년 동안, CISO는 직원이 출장 모드에 대한 기업 데이터 보안 업무에서 잠시 벗어날 수 있었다. 출장을 떠나 신선한 공기를 마시는 대신, 팬데믹으로부터 서로를 보호하기 위해 떨어져야 하는 현실에 직면하게 됐다. 이제 코로나 검사와 백신 접종이 흔히 시행되면서 출장도 조금씩 증가하고 있으며, 여행 업계는 2022년 중반 내지 하반기에 팬데믹 이전 수준으로 복구될 것으로 전망했다.   따라서 모든 CISO는 자신이 속한 기업이 이런 상황에 준비되어 있는지 점검해볼 필요가 있다. 출장이 늘면 그만큼 위험성도 높아지기 때문이다. CISO는 출장 프로그램에 포함되어야 할 내용을 경영진과 담당 팀에 물어봐야 한다. 스티브 트체르치안은 직원들이 정기적으로 여러 국가로 출장을 가는 XYPRO에서 CISO를 맡고 있다. 트체르치안의 회사에는 장치에 대한 인식과 절차가 있으며, 데이터를 가지고 국경을 넘나드는 출장 방식이 지역별로 위험을 구분하고 있다고 지적한다. 또한, 직원이 출장을 갈 때마다 출장용 장치를 따로 준비하지는 않는다고 덧붙였다. 앱노멀 시큐리티(Abnormal Security) CISO 마이크 브리튼은 직원이 고위험 국가로 출장 갈 때, 대여 노트북을 가지고 가는 것이 일반적인 관행이라고 말했다. 브리튼은 “예를 들어, 직원이 미국이나 유럽, 중국 등 평소 근무지를 벗어나 멀리 출장 가는 경우, 직원의 안전과 회사 자산 및 정보를 적절히 보호하기 위해 모든 위험과 제한 사항을 검토한다”라고 설명했다. 그렇다면 한 국가가 다른 국가보다 위험성이 높다는 것은 어떻게 판단할까? 가장 참고하기 좋은 것은 미 국무부의 여행 경보 프로그램이다. 캐나다와 호주, 영국에도 일반인이 쉽게 이용할 수 있는 여행 경보 프로그램이 있다. 외교안보국이 주관하는 국무부의 ‘해외 안전 자문 위원회(OSAC)’에 가입하는 것이 필수적이다. OSAC 애널리스트는 조사 내용을 수집해서 핵심을 뽑아낸 후, 국제 행사에서 참석자가 쉽게 이해할 수 있도록 발표한다. 이런 ...

2021.12.27

블로그 | ‘이야기의 힘!’ CISO에게 전하는 보안 내러티브 구축 경험담

직원들이 보안 수칙을 지키도록 하려면, 그들을 납득시키는 것이 우선이다. 이를 위한 탁월한 수단이 ‘훌륭한 이야기’다.  보안 분야에서 영원한 논의 주제 중 하나가 있다면, 기술, 프로세스 또는 사람이 정보 보안의 요소로서 각각 어느 정도의 비중을 차지하는 지다. 대부분의 보안 리더들은 사람의 중요성을 소홀히 하지 않을 것이다. 사람들이 적절한 보안 관행을 준수하도록 만들기란 무척 어렵다. 새로운 습관과 동기를 필요로 한다.    훈련과 소통이 행동을 바꾸지 않을 때  보안 관행과 씨름하는 사람들 중 일부는 내러티브를 사용한다. 필자는 몇 년 전 컨설팅 조직의 리더로서 데이터 보호와 관련한 끝없는 도전에 직면했던 바 있다. 바로 영업이었다. 우리의 정책은 계정 정보를 처리하는 확실한 방법을 명시하고 있었다. 즉, 어디에 저장할 것인지, 비즈니스 연락처를 얼마나 오랫동안 보관할 지, 표준이 제공하는 장소 등을 명시했다.  많은 툴과 이메일 및 교육이 있었다. 하지만 동일하게 위험한 행동의 징후가 나타났다. 이유가 무엇이었을까? 우리 팀은 변화의 동기를 제공하지 못했다. 사람이라는 변인에 대해 크게 생각하지 못했다. 그들은 우리가 원하는 방향으로 나아가기 시작해야 하는 이유를 이해하지 못했다. 즉 그들을 움직이게 하는 넛지(nudge)가 부족했다. 간단히 말해서, 우리는 내러티브를 추진해야 했다. 훌륭한 변화의 이야기에는 시작, 움직여야 할 이유, 반대 세력에도 불구하고 계속 움직여야 할 동기(말미에 다시 언급할 것이다)가 있다. 당신의 팀은 이야기를 들려줄 수 있는가? 사람들에게 역할, 부서, 고객 또는 결과에 대한 이야기를 들려준 적이 있는가? 변화에는 자신감, 능력과 역량이 필요하다. 오랜 시간 직원들이 믿을 수 있는 내러티브를 이끌어 감으로써 그러한 것들을 구축하기 시작하라. Wayne Anderson 설득 미끄럼틀 많은 CISO가 내러티브를 구축하기를 원한다. 그러나 소통 지원을 받거나 특정 ...

내러티브 스토리텔링 CISO 보안 넛지

2021.12.10

직원들이 보안 수칙을 지키도록 하려면, 그들을 납득시키는 것이 우선이다. 이를 위한 탁월한 수단이 ‘훌륭한 이야기’다.  보안 분야에서 영원한 논의 주제 중 하나가 있다면, 기술, 프로세스 또는 사람이 정보 보안의 요소로서 각각 어느 정도의 비중을 차지하는 지다. 대부분의 보안 리더들은 사람의 중요성을 소홀히 하지 않을 것이다. 사람들이 적절한 보안 관행을 준수하도록 만들기란 무척 어렵다. 새로운 습관과 동기를 필요로 한다.    훈련과 소통이 행동을 바꾸지 않을 때  보안 관행과 씨름하는 사람들 중 일부는 내러티브를 사용한다. 필자는 몇 년 전 컨설팅 조직의 리더로서 데이터 보호와 관련한 끝없는 도전에 직면했던 바 있다. 바로 영업이었다. 우리의 정책은 계정 정보를 처리하는 확실한 방법을 명시하고 있었다. 즉, 어디에 저장할 것인지, 비즈니스 연락처를 얼마나 오랫동안 보관할 지, 표준이 제공하는 장소 등을 명시했다.  많은 툴과 이메일 및 교육이 있었다. 하지만 동일하게 위험한 행동의 징후가 나타났다. 이유가 무엇이었을까? 우리 팀은 변화의 동기를 제공하지 못했다. 사람이라는 변인에 대해 크게 생각하지 못했다. 그들은 우리가 원하는 방향으로 나아가기 시작해야 하는 이유를 이해하지 못했다. 즉 그들을 움직이게 하는 넛지(nudge)가 부족했다. 간단히 말해서, 우리는 내러티브를 추진해야 했다. 훌륭한 변화의 이야기에는 시작, 움직여야 할 이유, 반대 세력에도 불구하고 계속 움직여야 할 동기(말미에 다시 언급할 것이다)가 있다. 당신의 팀은 이야기를 들려줄 수 있는가? 사람들에게 역할, 부서, 고객 또는 결과에 대한 이야기를 들려준 적이 있는가? 변화에는 자신감, 능력과 역량이 필요하다. 오랜 시간 직원들이 믿을 수 있는 내러티브를 이끌어 감으로써 그러한 것들을 구축하기 시작하라. Wayne Anderson 설득 미끄럼틀 많은 CISO가 내러티브를 구축하기를 원한다. 그러나 소통 지원을 받거나 특정 ...

2021.12.10

랜섬웨어는 건재할 것 外··· 2022년 ‘사이버 보안’ 전망 5가지

올 한 해 ‘최고정보보호책임자(CISO)’가 해결해야 했던 문제를 검토하면 미래를 더욱더 잘 계획하는 데 도움이 될 수 있다. CISO 입장에서 2021년은 썩 좋은 해가 아니었다. 솔라윈즈 사이버 공격부터 시작해 전례 없는 수준으로 증가한 랜섬웨어 공격으로 끝을 맺고 있어서다.  이에 따라 CISO는 일상적인 업무를 처리하는 동시에 코로나19 사태로 인한 지속적인 보안 문제, 인력 부족, 하이브리드 인력 관리, 주요 인프라 사이버 공격까지 처리해야 했다. 아울러 사이버 보안에서 암호화폐의 성장이 갖는 의미도 파악해야 했다.  2021년이 저물어 가고 있다. CISO가 직/간접적으로 해결해야 했던 사이버 공격과 표면화됐던 트렌드 및 문제를 살펴보면 2022년을 예측하는 데 도움이 될 수 있을 것이다.    1. 랜섬웨어(Ransomware) 랜섬웨어는 건재할 전망이다. 한 보고서에 따르면 지난 9월 말까지 무려 약 5억 건의 랜섬웨어 공격 시도가 있었다. 이 수치는 새해 전야까지 약 7억 건에 근접할 것으로 예상된다. 은행 업계만 하더라도 2021년 한 해 동안 랜섬웨어 공격이 1,300% 이상 증가했다. 그중에서도 콜로니얼 파이프라인(Colonial Pipeline) 랜섬웨어 공격이 가장 유명할 것이다. 이를 통해 미국인들은 중요 기반 시설에 대한 사이버 공격이 얼마나 치명적인지 처음으로 실감하게 됐다. 이 공격은 콜로니얼의 재무 부문을 노린 것이었지만 (이로 인해) 동부 지역의 석유 공급이 중단돼 상당한 패닉을 일으켰다.  에너지 그리드 또는 식량 공급을 장기간 중단시키는 공격은 언제든지 발생할 수 있다. 이를 방지하는 확실하고도 유일한 방법은 기업의 랜섬웨어 취약성을 지속적으로 모니터링하고 평가하는 도구를 사용하는 것이다. 2. 웹 사이트 복제(Website cloning) 올해에는 랜섬웨어에 많은 관심이 집중됐지만 내년에는 웹 사이트 복제 및 온라인 사기 문제가 더 심각해질 전망이다. ...

CSO CISO 보안 사이버 보안 랜섬웨어 대퇴직 웹 사이트 복제 암호화폐 사이버 공격

2021.12.09

올 한 해 ‘최고정보보호책임자(CISO)’가 해결해야 했던 문제를 검토하면 미래를 더욱더 잘 계획하는 데 도움이 될 수 있다. CISO 입장에서 2021년은 썩 좋은 해가 아니었다. 솔라윈즈 사이버 공격부터 시작해 전례 없는 수준으로 증가한 랜섬웨어 공격으로 끝을 맺고 있어서다.  이에 따라 CISO는 일상적인 업무를 처리하는 동시에 코로나19 사태로 인한 지속적인 보안 문제, 인력 부족, 하이브리드 인력 관리, 주요 인프라 사이버 공격까지 처리해야 했다. 아울러 사이버 보안에서 암호화폐의 성장이 갖는 의미도 파악해야 했다.  2021년이 저물어 가고 있다. CISO가 직/간접적으로 해결해야 했던 사이버 공격과 표면화됐던 트렌드 및 문제를 살펴보면 2022년을 예측하는 데 도움이 될 수 있을 것이다.    1. 랜섬웨어(Ransomware) 랜섬웨어는 건재할 전망이다. 한 보고서에 따르면 지난 9월 말까지 무려 약 5억 건의 랜섬웨어 공격 시도가 있었다. 이 수치는 새해 전야까지 약 7억 건에 근접할 것으로 예상된다. 은행 업계만 하더라도 2021년 한 해 동안 랜섬웨어 공격이 1,300% 이상 증가했다. 그중에서도 콜로니얼 파이프라인(Colonial Pipeline) 랜섬웨어 공격이 가장 유명할 것이다. 이를 통해 미국인들은 중요 기반 시설에 대한 사이버 공격이 얼마나 치명적인지 처음으로 실감하게 됐다. 이 공격은 콜로니얼의 재무 부문을 노린 것이었지만 (이로 인해) 동부 지역의 석유 공급이 중단돼 상당한 패닉을 일으켰다.  에너지 그리드 또는 식량 공급을 장기간 중단시키는 공격은 언제든지 발생할 수 있다. 이를 방지하는 확실하고도 유일한 방법은 기업의 랜섬웨어 취약성을 지속적으로 모니터링하고 평가하는 도구를 사용하는 것이다. 2. 웹 사이트 복제(Website cloning) 올해에는 랜섬웨어에 많은 관심이 집중됐지만 내년에는 웹 사이트 복제 및 온라인 사기 문제가 더 심각해질 전망이다. ...

2021.12.09

블로그ㅣ새 스파이웨어 ‘폰스파이’가 기업 IT 보안에 시사하는 바

‘모바일 앱 보안’을 둘러싼 문제가 끊이질 않고 있다. 모바일 보안 솔루션 회사 짐페리움(Zimperium)에 따르면 최근 발견된 한 스파이웨어는 데이터를 훔칠 뿐만 아니라 마이크와 카메라를 자동으로 제어하고, 보안 앱까지 은밀하게 삭제할 수 있다.  IT는 회사 소유의 기기에서 애플리케이션을 제어하는 데는 상당히 능숙하다. 그러나 직원에게 제공된 기기에 추가되는 애플리케이션을 보호하는 것에는 (능숙해야 함에도 불구하고) 그렇지 못하다. 더욱이 직원들이 개인용 기기를 사용해 일하는 BYOD 환경이라면 IT 및 보안 관리자는 훨씬 더 엄격해져야 한다.    이를 감안해 대부분의 IT는 각종 보안 엔터프라이즈 앱과 주요 보안 앱을 설치하라고 요구한다. 일이 꼬이는 지점이다. 기업의 데이터, 네트워크, 기기를 보호하는 데 있어 IT 및 보안 담당자가 어디까지 할 수 있고, 또 어디까지 해야 하는가?  한편으론 BYOD 기기는 직원 개인 소유이기 때문에 원하는 앱을 다운로드할 수 있는 게 당연해 보인다. 허나 그 권리가 기업 보안을 위협한다면 제한해야 하지 않을까? 엔터프라이즈 시스템을 분할하는 것만으로 충분할까?  이미 답을 알고 있으리라 생각한다. 그렇다. 충분하지 않다. 악성 앱이 기기를 제어하게 되면 일반적으로 모든 것 또는 거의 모든 것에 액세스할 수 있다.  최근에 발견된 위협을 살펴보자. 테크크런치(Techcruch)에 따르면 “일반적으로 기기 내 취약점을 악용하는 스파이웨어 캠페인과 달리, ‘폰스파이(PhoneSpy)’로 알려진 이 캠페인은 TV 스트리밍부터 요가 앱까지 합법적인 안드로이드 라이프스타일 앱으로 가장하여 피해자의 기기에 쉽게 숨는다. 하지만 이 스파이웨어는 피해자의 기기에서 데이터(예: 로그인 자격 증명, 메시지, 정확한 위치 및 이미지 등)를 은밀하게 삭제한다. 또 모바일 보안 앱을 포함한 모든 앱을 제거할 수 있다.”  이어서 해당 매체는 “23개 앱에서 폰스파...

스파이웨어 악성코드 악성 앱 안드로이드 iOS 앱스토어 구글 플레이 애플리케이션 BYOD 보안 기업 보안 CISO 모바일

2021.11.19

‘모바일 앱 보안’을 둘러싼 문제가 끊이질 않고 있다. 모바일 보안 솔루션 회사 짐페리움(Zimperium)에 따르면 최근 발견된 한 스파이웨어는 데이터를 훔칠 뿐만 아니라 마이크와 카메라를 자동으로 제어하고, 보안 앱까지 은밀하게 삭제할 수 있다.  IT는 회사 소유의 기기에서 애플리케이션을 제어하는 데는 상당히 능숙하다. 그러나 직원에게 제공된 기기에 추가되는 애플리케이션을 보호하는 것에는 (능숙해야 함에도 불구하고) 그렇지 못하다. 더욱이 직원들이 개인용 기기를 사용해 일하는 BYOD 환경이라면 IT 및 보안 관리자는 훨씬 더 엄격해져야 한다.    이를 감안해 대부분의 IT는 각종 보안 엔터프라이즈 앱과 주요 보안 앱을 설치하라고 요구한다. 일이 꼬이는 지점이다. 기업의 데이터, 네트워크, 기기를 보호하는 데 있어 IT 및 보안 담당자가 어디까지 할 수 있고, 또 어디까지 해야 하는가?  한편으론 BYOD 기기는 직원 개인 소유이기 때문에 원하는 앱을 다운로드할 수 있는 게 당연해 보인다. 허나 그 권리가 기업 보안을 위협한다면 제한해야 하지 않을까? 엔터프라이즈 시스템을 분할하는 것만으로 충분할까?  이미 답을 알고 있으리라 생각한다. 그렇다. 충분하지 않다. 악성 앱이 기기를 제어하게 되면 일반적으로 모든 것 또는 거의 모든 것에 액세스할 수 있다.  최근에 발견된 위협을 살펴보자. 테크크런치(Techcruch)에 따르면 “일반적으로 기기 내 취약점을 악용하는 스파이웨어 캠페인과 달리, ‘폰스파이(PhoneSpy)’로 알려진 이 캠페인은 TV 스트리밍부터 요가 앱까지 합법적인 안드로이드 라이프스타일 앱으로 가장하여 피해자의 기기에 쉽게 숨는다. 하지만 이 스파이웨어는 피해자의 기기에서 데이터(예: 로그인 자격 증명, 메시지, 정확한 위치 및 이미지 등)를 은밀하게 삭제한다. 또 모바일 보안 앱을 포함한 모든 앱을 제거할 수 있다.”  이어서 해당 매체는 “23개 앱에서 폰스파...

2021.11.19

“한 ‘보안’ 우물만 파던 시대는 끝났다” 깃허브 CSO

깃허브(GitHub)의 CSO 마이크 핸리는 ‘CISO’의 역할이 전통적인 기대치를 넘어 확대되면서 성공적인 역할 수행에 필요한 것 역시 고객 중심적 사고와 심도 있는 비즈니스 컨텍스트 이해를 중심으로 바뀌고 있다고 진단했다. ‘보안’은 깃허브가 세일즈 피치에서 내세우는 것 중 하나다. 이 회사는 깃허브 플랫폼을 ‘보호하고 방어하여’ 개발자가 신뢰하고 사용할 수 있도록 하겠다고 말한다.  이 약속을 이행해야 하는 사람은 깃허브의 CSO 마이크 핸리다. 그는 자신의 역할을 “내부 IT 및 기업 보안, 제품 보안, 플랫폼 건정성, GRC(거버넌스, 위험, 컴플라이언스), 깃허브 보안 랩(GitHub Security Lab), 보안 제품 개발을 위한 협력 등을 모두 포괄한다”라고 설명했다.    깃허브의 보안 요구사항은 대부분의 기업과는 다른 (깃허브의) 비즈니스 모델을 반영한다. 깃허브는 개발자가 오픈소스 프로그래밍 프로젝트를 관리, 유지, 협업할 수 있는 코드 호스팅 플랫폼이다. 또한 개발자, 작업, 온라인 협업 커뮤니티를 활성화하는 다양한 기능도 제공한다.  이 모든 것을 감안한다면 핸리가 맡고 있는 일의 범위가 전통적인 기업 최고보안책임자에 비해 넓다는 게 놀라운 일은 아니다. 그는 이러한 업무 범위가 깃허브와 해당 업계 및 제품에 특화돼 있다고 인정하는 한편, CISO의 역할이 전통적인 기대치를 넘어 점점 더 확장되는 추세는 앞으로도 계속될 것이라고 내다봤다. 핸리는 “오늘날의 보안 리더는 본인의 주된 책임이 기업과 고객을 보호하는 것이며, 앞으로는 이를 위해 보안뿐만 아니라 비즈니스까지 심도 있게 이해해야 한다는 것을 깨달아야 한다. 한 우물만 파던 시대는 끝났다”라고 강조했다.  이어서 그는 “따라서 보안 리더는 고객은 물론이고 비즈니스를 이끄는 동료와 대화해야 하고, 또 의사결정을 내리는 비즈니스 리더가 돼야 한다. 고객 중심적 사고와 비즈니스 컨텍스트 및 비즈니스 인사이트가 매우 중요해졌다. ...

CIO CSO CISO 커리어 경력 IT 리더십 보안 깃허브

2021.11.11

깃허브(GitHub)의 CSO 마이크 핸리는 ‘CISO’의 역할이 전통적인 기대치를 넘어 확대되면서 성공적인 역할 수행에 필요한 것 역시 고객 중심적 사고와 심도 있는 비즈니스 컨텍스트 이해를 중심으로 바뀌고 있다고 진단했다. ‘보안’은 깃허브가 세일즈 피치에서 내세우는 것 중 하나다. 이 회사는 깃허브 플랫폼을 ‘보호하고 방어하여’ 개발자가 신뢰하고 사용할 수 있도록 하겠다고 말한다.  이 약속을 이행해야 하는 사람은 깃허브의 CSO 마이크 핸리다. 그는 자신의 역할을 “내부 IT 및 기업 보안, 제품 보안, 플랫폼 건정성, GRC(거버넌스, 위험, 컴플라이언스), 깃허브 보안 랩(GitHub Security Lab), 보안 제품 개발을 위한 협력 등을 모두 포괄한다”라고 설명했다.    깃허브의 보안 요구사항은 대부분의 기업과는 다른 (깃허브의) 비즈니스 모델을 반영한다. 깃허브는 개발자가 오픈소스 프로그래밍 프로젝트를 관리, 유지, 협업할 수 있는 코드 호스팅 플랫폼이다. 또한 개발자, 작업, 온라인 협업 커뮤니티를 활성화하는 다양한 기능도 제공한다.  이 모든 것을 감안한다면 핸리가 맡고 있는 일의 범위가 전통적인 기업 최고보안책임자에 비해 넓다는 게 놀라운 일은 아니다. 그는 이러한 업무 범위가 깃허브와 해당 업계 및 제품에 특화돼 있다고 인정하는 한편, CISO의 역할이 전통적인 기대치를 넘어 점점 더 확장되는 추세는 앞으로도 계속될 것이라고 내다봤다. 핸리는 “오늘날의 보안 리더는 본인의 주된 책임이 기업과 고객을 보호하는 것이며, 앞으로는 이를 위해 보안뿐만 아니라 비즈니스까지 심도 있게 이해해야 한다는 것을 깨달아야 한다. 한 우물만 파던 시대는 끝났다”라고 강조했다.  이어서 그는 “따라서 보안 리더는 고객은 물론이고 비즈니스를 이끄는 동료와 대화해야 하고, 또 의사결정을 내리는 비즈니스 리더가 돼야 한다. 고객 중심적 사고와 비즈니스 컨텍스트 및 비즈니스 인사이트가 매우 중요해졌다. ...

2021.11.11

보안 앞에선 '공동 운명체'··· CIO-CISO의 새 책임 역학

CISO와 CIO는 비즈니스 환경과 위협 지형의 변화에 따라 사이버 보안의 책임 소재가 어떻게 변화하고 있는지 파악해야 한다.  대부분의 기업에서 일반적으로 CISO와 CIO는 모두 사이버 보안과 관련된 책임을 진다. 오늘날 사이버 보안은 효과적인 비즈니스 운영에 중요한 문제다. 명확하게 정의된 사이버 보안 책임은 성공적인 기업 보안 포지셔닝에 필수적이다. ISACA가 최근 3,700명의 글로벌 사이버 보안 전문가를 대상으로 실시한 설문조사 결과에 따르면 사이버 보안팀의 절반가량(48%)이 CISO에 보고하는 반면에 4명 중 1명은 CIO에 보고하는 것으로 나타났다.    이러한 보고 관계의 차이에도 불구하고 해당 설문조사에서는 사이버 공격 증가 또는 감소에 대한 견해, 사이버 위협 탐지 및 대응 능력, 사이버 범죄 보고와 관련된 CISO와 CIO 간 보안 책임에 큰 차이가 없는 것으로 드러났다.  하지만 보고서는 사이버 위험 평가에 대한 경영진의 평가, 이사회의 사이버 보안 우선순위 결정 방식, 전략적 정렬과 관련된 변화를 발견했다고 밝혔다.  이 밖에 보고서는 특히 CISO의 책임 범위에 거버넌스, 위험, 컴플라이언스, 비즈니스 연속성 및 재해 복구, 사기, 신뢰, 안전 또는 위기관리가 포함되는 경우 CISO가 CIO 이외의 다른 사람에게 보고하는 업계 관행도 증가하고 있다고 전했다.  사이버 보안의 책임 소재는 기업의 규모, 산업 부문, 규제 요건 등 여러 이유로 인해 CIO와 CISO에 따라 다를 수 있다. 하지만 사이버 보안이 광범위한 비즈니스 요소와 점차 밀접하게 연결되면서 누가 어떤 유형의 사이버 보안 책임을 담당하는지 갈수록 중요해지고 있다.  사이버 보안 책임: CISO vs. CIO 라이티코(Lightico)의 CIO 오므리 브라운은 CIO와 CISO의 사이버 보안 책임 소재 간의 차이를 두고 “CIO는 적절한 도구를 사용하도록 하는 데 중점을 둔다. 효율성을 극대화...

CISO CIO 보안 IT 리더십 위험 관리

2021.09.23

CISO와 CIO는 비즈니스 환경과 위협 지형의 변화에 따라 사이버 보안의 책임 소재가 어떻게 변화하고 있는지 파악해야 한다.  대부분의 기업에서 일반적으로 CISO와 CIO는 모두 사이버 보안과 관련된 책임을 진다. 오늘날 사이버 보안은 효과적인 비즈니스 운영에 중요한 문제다. 명확하게 정의된 사이버 보안 책임은 성공적인 기업 보안 포지셔닝에 필수적이다. ISACA가 최근 3,700명의 글로벌 사이버 보안 전문가를 대상으로 실시한 설문조사 결과에 따르면 사이버 보안팀의 절반가량(48%)이 CISO에 보고하는 반면에 4명 중 1명은 CIO에 보고하는 것으로 나타났다.    이러한 보고 관계의 차이에도 불구하고 해당 설문조사에서는 사이버 공격 증가 또는 감소에 대한 견해, 사이버 위협 탐지 및 대응 능력, 사이버 범죄 보고와 관련된 CISO와 CIO 간 보안 책임에 큰 차이가 없는 것으로 드러났다.  하지만 보고서는 사이버 위험 평가에 대한 경영진의 평가, 이사회의 사이버 보안 우선순위 결정 방식, 전략적 정렬과 관련된 변화를 발견했다고 밝혔다.  이 밖에 보고서는 특히 CISO의 책임 범위에 거버넌스, 위험, 컴플라이언스, 비즈니스 연속성 및 재해 복구, 사기, 신뢰, 안전 또는 위기관리가 포함되는 경우 CISO가 CIO 이외의 다른 사람에게 보고하는 업계 관행도 증가하고 있다고 전했다.  사이버 보안의 책임 소재는 기업의 규모, 산업 부문, 규제 요건 등 여러 이유로 인해 CIO와 CISO에 따라 다를 수 있다. 하지만 사이버 보안이 광범위한 비즈니스 요소와 점차 밀접하게 연결되면서 누가 어떤 유형의 사이버 보안 책임을 담당하는지 갈수록 중요해지고 있다.  사이버 보안 책임: CISO vs. CIO 라이티코(Lightico)의 CIO 오므리 브라운은 CIO와 CISO의 사이버 보안 책임 소재 간의 차이를 두고 “CIO는 적절한 도구를 사용하도록 하는 데 중점을 둔다. 효율성을 극대화...

2021.09.23

강은성의 보안 아키텍트ㅣ보안 제품에 보안취약점이 있다고?

최근 한 국책연구소가 국내 기업에서 개발한 가상사설망(VPN)의 취약점으로 인해 해킹을 당했다. 한국인터넷진흥원(KISA)의 보안 공지에 따르면 이 VPN에 “관리자페이지 접근 가능 및 계정 변경 가능 취약점”이 있었다고 한다. 지난 5월 세계를 떠들썩하게 한 미국 콜로니얼 파이프라인의 송유관 마비 사태 역시 VPN을 통한 랜섬웨어 공격으로 발생했다. 이 회사 사장이 미국 상원 청문회에서 한 증언에 따르면 이 VPN이 오래되어 2단계 인증 기능이 없었고, (복잡한 패스워드를 사용했지만) 범인은 이 VPN 계정을 통해 내부에 침투했다고 한다.  올해 상반기에는 세계적으로도 잘 알려진 VPN 기업인 포티넷과 펄스시큐어의 VPN 취약점을 악용한 공격이 기승을 부렸다. 전반적으로 코로나19 상황에서 재택근무가 급증하면서 VPN의 사용이 많아졌고, 그것을 노린 범행자들의 공격 또한 크게 늘어난 것으로 보인다. 지난 4월에는 세계적인 네트워크 보안기업인 소닉월의 이메일보안 제품에서 원격에서 관리자 권한으로 접근할 수 있는 심각한 제로데이 취약점(CVSS 9.8점)을 파이어아이에서 발견해 소닉월에 제공했다. 파이어아이는 이 문제를 자신의 고객사에 대한 공격을 탐지하는 과정에서 알아냈다고 하니 이미 피해가 상당히 발생했을 가능성이 있다. 보안 제품에 보안취약점이 있다고?  그렇다. SW가 들어가는 이상 ‘당연히’(!) 보안취약점이 있을 수 있다. (물론 HW에도 보안취약점이 있을 수 있다.) 보안 제품이라면 보안취약점이 생기지 않도록 다른 제품보다 더 노력해야겠지만, 보 안제품이라고 보안취약점이 없어야 한다고 생각하는 것은 합리적이지 않다.  ‘오류’가 하나도 없는 SW가 존재하기 어렵듯이 보안취약점이 하나도 없는 SW 역시 존재하기 어렵다. 심지어 출시할 때까지는 보안취약점이 없었으나 새로운 공격 방법이 나타나 보안취약점이 생기기도 한다. SW 오류와 보안취약점의 차이점이다.   SW를 업그레이드할 때마다 쏟아지는 보안취약...

강은성 강은성의 보안 아키텍트 CISO 보안 보안 제품 가상사설망 해킹 VPN 랜섬웨어 보안취약점 마이크로소프트 구글 오라클 아마존 삼성전자 LG전자 네이버 SDL 보안공학 모의해킹 위협 모델링

2021.08.27

최근 한 국책연구소가 국내 기업에서 개발한 가상사설망(VPN)의 취약점으로 인해 해킹을 당했다. 한국인터넷진흥원(KISA)의 보안 공지에 따르면 이 VPN에 “관리자페이지 접근 가능 및 계정 변경 가능 취약점”이 있었다고 한다. 지난 5월 세계를 떠들썩하게 한 미국 콜로니얼 파이프라인의 송유관 마비 사태 역시 VPN을 통한 랜섬웨어 공격으로 발생했다. 이 회사 사장이 미국 상원 청문회에서 한 증언에 따르면 이 VPN이 오래되어 2단계 인증 기능이 없었고, (복잡한 패스워드를 사용했지만) 범인은 이 VPN 계정을 통해 내부에 침투했다고 한다.  올해 상반기에는 세계적으로도 잘 알려진 VPN 기업인 포티넷과 펄스시큐어의 VPN 취약점을 악용한 공격이 기승을 부렸다. 전반적으로 코로나19 상황에서 재택근무가 급증하면서 VPN의 사용이 많아졌고, 그것을 노린 범행자들의 공격 또한 크게 늘어난 것으로 보인다. 지난 4월에는 세계적인 네트워크 보안기업인 소닉월의 이메일보안 제품에서 원격에서 관리자 권한으로 접근할 수 있는 심각한 제로데이 취약점(CVSS 9.8점)을 파이어아이에서 발견해 소닉월에 제공했다. 파이어아이는 이 문제를 자신의 고객사에 대한 공격을 탐지하는 과정에서 알아냈다고 하니 이미 피해가 상당히 발생했을 가능성이 있다. 보안 제품에 보안취약점이 있다고?  그렇다. SW가 들어가는 이상 ‘당연히’(!) 보안취약점이 있을 수 있다. (물론 HW에도 보안취약점이 있을 수 있다.) 보안 제품이라면 보안취약점이 생기지 않도록 다른 제품보다 더 노력해야겠지만, 보 안제품이라고 보안취약점이 없어야 한다고 생각하는 것은 합리적이지 않다.  ‘오류’가 하나도 없는 SW가 존재하기 어렵듯이 보안취약점이 하나도 없는 SW 역시 존재하기 어렵다. 심지어 출시할 때까지는 보안취약점이 없었으나 새로운 공격 방법이 나타나 보안취약점이 생기기도 한다. SW 오류와 보안취약점의 차이점이다.   SW를 업그레이드할 때마다 쏟아지는 보안취약...

2021.08.27

랜섬웨어 관련 소송으로부터 기업을 보호하기 위한 7단계

국제적인 랜섬웨어 범죄 조직만 기업의 돈을 노리는 것은 아니다. 랜섬웨어 공격이 사라진 오랜 뒤에도 기업은 재무적으로 큰 타격이 될 수 있는 위협에 직면할 수 있다. 바로 공격자의 손에 넘어간 개인정보 또는 비즈니스 정보가 넘어간 고객을 대신해 변호사들이 제기하는 소송이다. 킹 앤 스팰딩(King & Spalding)의 소송 및 글로벌 분쟁 부문 리더인 데이비드 밸서는 악의적 행위자들이 계속 기업 IT 시스템의 취약점을 악용하고 개인 데이터에 접근하는 한 데이터 유출과 관련한 법적 소송은 사라지지 않을 것이라면서 “사안이 발전하면서 원고들은 정작 소비자에게 아무런 피해가 없더라도 인과관계와 피해에 관한 새로운 이론을 들고 나온다”라고 설명했다. 법률업체 베이커호스테틀러(BakerHostetler)의 디지털 자산 및 디지털 관리 부문 실장인 테드 코버스는 랜섬웨어 소송 환경이 빠르게 변화할 것으로 전망하면서 “과거에는 소비자가 이런 소송을 제기해왔다. 그러나 공급망 공격이 증가하면서 공급망의 하류에 있는 기업들이 비즈니스 중단, 사고 대응 비용 및 기타 피해에 대한 배상을 받기 위한 소송을 제기하고 나설 가능성이 높아졌다”라고 말했다. 다행히 랜섬웨어 공격이 발생했다고 해서 무조건 소송 위험에 노출되는 것은 아니다. 랜섬웨어 공격의 위험을 최소화하고, 공격이 발생할 경우 즉시 필요한 조치를 취해 피해를 억제하는 것은 전적으로 CISO의 책임이다. CISO가 랜섬웨어 관련 소송으로부터 기업을 보호하기 위한 조치는 다음과 같다.  1. 위험 평가 소송 가능성은 주로 랜섬웨어 공격의 유형, 그리고 정보가 도난당한 경우 그 정보의 종류에 따라 좌우된다. 법률업체 뉴메이어 앤 딜리언(Newmeyer & Dillion)의 파트너인 제프 데니스는 “예를 들어 소비자 대면 웹사이트를 운영하는데 랜섬웨어로 인해 이 웹사이트가 중단되었더라도 소비자 정보가 유출되지 않았다면 집단 소송 가능성은 희박하다”라고 말했다. 그러나 랜섬웨어 공격이 소비자...

랜섬웨어 소송 위험평가 CISO

2021.08.23

국제적인 랜섬웨어 범죄 조직만 기업의 돈을 노리는 것은 아니다. 랜섬웨어 공격이 사라진 오랜 뒤에도 기업은 재무적으로 큰 타격이 될 수 있는 위협에 직면할 수 있다. 바로 공격자의 손에 넘어간 개인정보 또는 비즈니스 정보가 넘어간 고객을 대신해 변호사들이 제기하는 소송이다. 킹 앤 스팰딩(King & Spalding)의 소송 및 글로벌 분쟁 부문 리더인 데이비드 밸서는 악의적 행위자들이 계속 기업 IT 시스템의 취약점을 악용하고 개인 데이터에 접근하는 한 데이터 유출과 관련한 법적 소송은 사라지지 않을 것이라면서 “사안이 발전하면서 원고들은 정작 소비자에게 아무런 피해가 없더라도 인과관계와 피해에 관한 새로운 이론을 들고 나온다”라고 설명했다. 법률업체 베이커호스테틀러(BakerHostetler)의 디지털 자산 및 디지털 관리 부문 실장인 테드 코버스는 랜섬웨어 소송 환경이 빠르게 변화할 것으로 전망하면서 “과거에는 소비자가 이런 소송을 제기해왔다. 그러나 공급망 공격이 증가하면서 공급망의 하류에 있는 기업들이 비즈니스 중단, 사고 대응 비용 및 기타 피해에 대한 배상을 받기 위한 소송을 제기하고 나설 가능성이 높아졌다”라고 말했다. 다행히 랜섬웨어 공격이 발생했다고 해서 무조건 소송 위험에 노출되는 것은 아니다. 랜섬웨어 공격의 위험을 최소화하고, 공격이 발생할 경우 즉시 필요한 조치를 취해 피해를 억제하는 것은 전적으로 CISO의 책임이다. CISO가 랜섬웨어 관련 소송으로부터 기업을 보호하기 위한 조치는 다음과 같다.  1. 위험 평가 소송 가능성은 주로 랜섬웨어 공격의 유형, 그리고 정보가 도난당한 경우 그 정보의 종류에 따라 좌우된다. 법률업체 뉴메이어 앤 딜리언(Newmeyer & Dillion)의 파트너인 제프 데니스는 “예를 들어 소비자 대면 웹사이트를 운영하는데 랜섬웨어로 인해 이 웹사이트가 중단되었더라도 소비자 정보가 유출되지 않았다면 집단 소송 가능성은 희박하다”라고 말했다. 그러나 랜섬웨어 공격이 소비자...

2021.08.23

강은성의 보안 아키텍트ㅣ9년 만에 바뀐 정보통신망법의 CISO 업무와 직급

정보보호 최고책임자(CISO) 제도는 2012년 2월에 정보통신망법에 처음 들어왔다. 2011년에 전산망 마비 사태, 개인정보 유출 사건 등 굵직한 사건에 대한 정부 정책과 법 측면의 대응인 셈이다. ‘임원급 정보보호 최고책임자’를 지정할 수 있다고 규정하여 지정 여부는 정보통신서비스 제공자의 재량에 맡겼다.    2014년 5월에는, 그해 1월 카드 3사 개인정보 유출 사태가 발생하면서 개인정보 보호를 강화하겠다는 취지로 일정 요건에 해당하는 정보통신서비스 제공자는 임원급 CISO를 의무적으로 지정, 신고하도록 하였다. 2018년 6월에는 최근까지 뜨거운 이슈였던 일정 규모 이상의 정보통신서비스 제공자의 CISO에 다른 업무 겸직을 금지하는 개정이 있었다.  다른 제도에 비해 큰 변화가 없던 정보통신망법의 CISO 관련 규정에 지난 6월 8일 주목할만한 변화가 있었다. 가장 큰 변화는 CISO의 업무를 완전히 새로 작성한 것이다. 9년 만의 일이다. 좀 더 내용을 상세하게 살펴보자.   개정 전: 제45조의3 (정보보호 최고책임자의 지정 등) 제3항  ③ 정보보호 최고책임자는 다음 각 호의 업무를 총괄한다.      1. 정보보호관리체계의 수립 및 관리·운영    2. 정보보호 취약점 분석·평가 및 개선    3. 침해사고의 예방 및 대응    4. 사전 정보보호대책 마련 및 보안조치 설계·구현 등    5. 정보보호 사전 보안성 검토    6. 중요 정보의 암호화 및 보안서버 적합성 검토    7. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행 개정 후: 제45조의3 (정보보호 최고책임자의 지정 등) 제4항  ④ 정보보호 최고책임자의 업무는 다음 각 호와 같다. &...

강은성 강은성의 보안 아키텍트 정보통신망법 CISO 정보보호 보안

2021.07.22

정보보호 최고책임자(CISO) 제도는 2012년 2월에 정보통신망법에 처음 들어왔다. 2011년에 전산망 마비 사태, 개인정보 유출 사건 등 굵직한 사건에 대한 정부 정책과 법 측면의 대응인 셈이다. ‘임원급 정보보호 최고책임자’를 지정할 수 있다고 규정하여 지정 여부는 정보통신서비스 제공자의 재량에 맡겼다.    2014년 5월에는, 그해 1월 카드 3사 개인정보 유출 사태가 발생하면서 개인정보 보호를 강화하겠다는 취지로 일정 요건에 해당하는 정보통신서비스 제공자는 임원급 CISO를 의무적으로 지정, 신고하도록 하였다. 2018년 6월에는 최근까지 뜨거운 이슈였던 일정 규모 이상의 정보통신서비스 제공자의 CISO에 다른 업무 겸직을 금지하는 개정이 있었다.  다른 제도에 비해 큰 변화가 없던 정보통신망법의 CISO 관련 규정에 지난 6월 8일 주목할만한 변화가 있었다. 가장 큰 변화는 CISO의 업무를 완전히 새로 작성한 것이다. 9년 만의 일이다. 좀 더 내용을 상세하게 살펴보자.   개정 전: 제45조의3 (정보보호 최고책임자의 지정 등) 제3항  ③ 정보보호 최고책임자는 다음 각 호의 업무를 총괄한다.      1. 정보보호관리체계의 수립 및 관리·운영    2. 정보보호 취약점 분석·평가 및 개선    3. 침해사고의 예방 및 대응    4. 사전 정보보호대책 마련 및 보안조치 설계·구현 등    5. 정보보호 사전 보안성 검토    6. 중요 정보의 암호화 및 보안서버 적합성 검토    7. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행 개정 후: 제45조의3 (정보보호 최고책임자의 지정 등) 제4항  ④ 정보보호 최고책임자의 업무는 다음 각 호와 같다. &...

2021.07.22

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.5