Offcanvas

CISO

“CISO 되길 잘했다” ··· 현직자들이 전하는 7가지 가치

CISO라는 직무는 많은 고충을 수반한다. 그럼에도 현직 CISO들은 이 일에 여러 가치가 있다고 입을 모았다.    CISO라는 직무에도 나름의 문제, 어려움과 복잡함이 온갖 뒤섞여 있다. 이들의 시련과 고뇌는 진화하는 사이버 위협 환경에서 기업의 중요한 자산인 데이터를 보호하는 일, 복잡하고 엄격한 규제 요구사항을 파악하며, 보안과 동시에 중요한 비즈니스 요구사항의 균형을 맞추는 일, 그리고 보안 기술과 인재 부족을 헤쳐 나가는 일 등의 난제에서 비롯된다.  CISO를 괴롭히는 수많은 고민거리는 이 밖에도 다양하다. 하지만 너무 비관적으로 바라볼 필요는 없다. CISO가 되기 위해 경력을 쌓고 있거나 되고자 하는 꿈을 가지고 있다면 눈 여겨 볼 장점도 많다. 현직 CISO가 말하는 CISO 직무의 장점 7가지를 소개하고자 한다.  1. 절대 무시할 수 없는 존재감  몽고DB의 CISO 르나 스마트는 오늘날 CISO의 가장 큰 장점은 존재감이 확실하다는 점이라고 말했다. 회사를 운영하는 데 CISO의 통찰력과 전문지식이 갖는 무게는 상당하다. “현대 사회에서 경영진 및 이사회는 보안이 최우선이라는 점을 안다. 따라서 모든 의사 결정 단계에서 CISO의 의견을 소중히 여긴다. 게다가 다른 기업 내 프로그램과 이니셔티브에서도 CISO를 중요시한다. 설령 그렇지 않더라도 보안이 필수인 시대에서 최소한 이렇게 해야 맞다”라고 그는 말했다. 사이버GRX의 CISO 데이브 스테이플톤도 이에 동의했다. 특히 솔루션 개발에 참여하려는 CISO라면 필수적인 비즈니스 파트너로 나설 수 있다고 그는 전했다. 항공 통제 및 보호 업체 에어아이의 CISO 사브 셈비는 “많은 기업이 과거와 달리 보안의 중요성을 인지하고 있다. 이제 기업 구성원들은 CISO라는 직무를 예전처럼 낯설어하지 않고 생각보다 호의적으로 생각한다”라고 말했다.   2. 활짝 열린 성장 기회  폭넓은 비즈니스 영역에서 핵심 역할을 맡...

CISO 목적의식 DRI 다양성 사이버보안 전문가

2022.08.12

CISO라는 직무는 많은 고충을 수반한다. 그럼에도 현직 CISO들은 이 일에 여러 가치가 있다고 입을 모았다.    CISO라는 직무에도 나름의 문제, 어려움과 복잡함이 온갖 뒤섞여 있다. 이들의 시련과 고뇌는 진화하는 사이버 위협 환경에서 기업의 중요한 자산인 데이터를 보호하는 일, 복잡하고 엄격한 규제 요구사항을 파악하며, 보안과 동시에 중요한 비즈니스 요구사항의 균형을 맞추는 일, 그리고 보안 기술과 인재 부족을 헤쳐 나가는 일 등의 난제에서 비롯된다.  CISO를 괴롭히는 수많은 고민거리는 이 밖에도 다양하다. 하지만 너무 비관적으로 바라볼 필요는 없다. CISO가 되기 위해 경력을 쌓고 있거나 되고자 하는 꿈을 가지고 있다면 눈 여겨 볼 장점도 많다. 현직 CISO가 말하는 CISO 직무의 장점 7가지를 소개하고자 한다.  1. 절대 무시할 수 없는 존재감  몽고DB의 CISO 르나 스마트는 오늘날 CISO의 가장 큰 장점은 존재감이 확실하다는 점이라고 말했다. 회사를 운영하는 데 CISO의 통찰력과 전문지식이 갖는 무게는 상당하다. “현대 사회에서 경영진 및 이사회는 보안이 최우선이라는 점을 안다. 따라서 모든 의사 결정 단계에서 CISO의 의견을 소중히 여긴다. 게다가 다른 기업 내 프로그램과 이니셔티브에서도 CISO를 중요시한다. 설령 그렇지 않더라도 보안이 필수인 시대에서 최소한 이렇게 해야 맞다”라고 그는 말했다. 사이버GRX의 CISO 데이브 스테이플톤도 이에 동의했다. 특히 솔루션 개발에 참여하려는 CISO라면 필수적인 비즈니스 파트너로 나설 수 있다고 그는 전했다. 항공 통제 및 보호 업체 에어아이의 CISO 사브 셈비는 “많은 기업이 과거와 달리 보안의 중요성을 인지하고 있다. 이제 기업 구성원들은 CISO라는 직무를 예전처럼 낯설어하지 않고 생각보다 호의적으로 생각한다”라고 말했다.   2. 활짝 열린 성장 기회  폭넓은 비즈니스 영역에서 핵심 역할을 맡...

2022.08.12

인터뷰ㅣ'현실에 안주하면 끝이다'··· 존슨앤드존슨 CISO의 임무

존슨앤드존슨(Johnson & Johnson)의 CISO 마렌 앨리슨은 다가올 상황을 예측하고, 신속하게 전환할 수 있는 로드맵이 중요하다고 강조했다.  현재 글로벌 제약 및 소비재 기업에서 사이버 보안을 이끌고 있는 앨리슨은 지금 하고 있는 일이 몇 년 전 그가 FBI에서 했던 일과 동일한 원칙을 따른다고 밝혔다. 존슨앤드존슨의 CISO로 12년 넘게 일해온 앨리슨은 " 사이버 세계에서 회사의 안전을 도모하고 보장하는 것이 임무다"라고 말했다. 그는 "인간의 건강과 의료를 다루는 회사의 안전을 보호하는 중차대한 일을 맡고 있다는 것에 무거운 책임감을 느낀다. 하루도 빠짐없이 이 임무에 충실하는 자세를 유지하고자 노력하는 이유다”라고 전했다.   그는 웨스트포인트 미국 육군 사관학교를 졸업한 첫 여성 기수이며, 과학 학사 학위를 받았다. 현재도 웨스트포인트 여성 이사회와 뉴저지주의 육군사관학교 연락 장교 및 의회 코디네이터직을 맡으며 육군사관학교와의 인연을 이어 나가고 있다. 그리고 사기업의 세계에 발을 들여놓기 전, FBI에서 특별 요원으로 활동했다. 뉴저지주의 마약 조직범 검거와 샌디에이고 테러 사건의 잠입수사에 참여한 경험이 있다.   FBI 요원에서 존슨앤드존슨의 사이버 수호자로  지난 12년 동안 앨리슨은 존슨앤드존슨의 글로벌 정보 기술 시스템과 비즈니스를 보호하는 데 주력해 왔다. 책임이 막중한 업무다.   136년 된 이 미국 회사는 타이레놀 진통제, 반창고, 리스테린, 아비노 바디 로션과 같은 유명한 소비자 제품부터 정형외과용 임플란트와 의료기기까지 제조하고 판매하는, 이름만 대면 알 만한 대중적인 브랜드다. 또한 2019년 코로나19 팬데믹 기간 동안 이 회사는 코로나 백신(얀센)을 개발해 전 세계 헤드라인을 장식했다.  의료 회사의 정보 시스템, 데이터 및 직원을 모두 안전하게 보호하는 데는 그 나름대로의 어려움이 있다. 게다가 보안 업무는 더욱 골치 아파졌다고 앨리슨...

CISO 존슨앤드존슨 얀센백신

2022.07.18

존슨앤드존슨(Johnson & Johnson)의 CISO 마렌 앨리슨은 다가올 상황을 예측하고, 신속하게 전환할 수 있는 로드맵이 중요하다고 강조했다.  현재 글로벌 제약 및 소비재 기업에서 사이버 보안을 이끌고 있는 앨리슨은 지금 하고 있는 일이 몇 년 전 그가 FBI에서 했던 일과 동일한 원칙을 따른다고 밝혔다. 존슨앤드존슨의 CISO로 12년 넘게 일해온 앨리슨은 " 사이버 세계에서 회사의 안전을 도모하고 보장하는 것이 임무다"라고 말했다. 그는 "인간의 건강과 의료를 다루는 회사의 안전을 보호하는 중차대한 일을 맡고 있다는 것에 무거운 책임감을 느낀다. 하루도 빠짐없이 이 임무에 충실하는 자세를 유지하고자 노력하는 이유다”라고 전했다.   그는 웨스트포인트 미국 육군 사관학교를 졸업한 첫 여성 기수이며, 과학 학사 학위를 받았다. 현재도 웨스트포인트 여성 이사회와 뉴저지주의 육군사관학교 연락 장교 및 의회 코디네이터직을 맡으며 육군사관학교와의 인연을 이어 나가고 있다. 그리고 사기업의 세계에 발을 들여놓기 전, FBI에서 특별 요원으로 활동했다. 뉴저지주의 마약 조직범 검거와 샌디에이고 테러 사건의 잠입수사에 참여한 경험이 있다.   FBI 요원에서 존슨앤드존슨의 사이버 수호자로  지난 12년 동안 앨리슨은 존슨앤드존슨의 글로벌 정보 기술 시스템과 비즈니스를 보호하는 데 주력해 왔다. 책임이 막중한 업무다.   136년 된 이 미국 회사는 타이레놀 진통제, 반창고, 리스테린, 아비노 바디 로션과 같은 유명한 소비자 제품부터 정형외과용 임플란트와 의료기기까지 제조하고 판매하는, 이름만 대면 알 만한 대중적인 브랜드다. 또한 2019년 코로나19 팬데믹 기간 동안 이 회사는 코로나 백신(얀센)을 개발해 전 세계 헤드라인을 장식했다.  의료 회사의 정보 시스템, 데이터 및 직원을 모두 안전하게 보호하는 데는 그 나름대로의 어려움이 있다. 게다가 보안 업무는 더욱 골치 아파졌다고 앨리슨...

2022.07.18

'싸고 긴 3년, 유연한 1년'··· 보안 벤더 계약, 적정 기간은?

보안 비즈니스의 세계는 변화무쌍하다. 민첩성, 안정성 그리고 비용 사이에서 적절한 균형을 찾는 방법에 대해 여러 보안 전문가가 전한 조언을 들어보자.    스테파니 베노이트 커츠는 이전 회사에서 CISO로 일할 때, 한 서비스형 취약성 관리 제공업체와 3년 계약을 체결했다. 당시만 해도 괜찮은 거래라고 생각했다. 그는 회사의 보안 운영 팀이 기능을 십분 활용할 것이라고 생각하면서 계약을 체결했다. 하지만 그는 이내 팀이 사용하는 기능의 비율은 60%에 그친다는 사실을 발견했다.  큰 곤경이었다. 회사에 적합하지 않은 제품에 비용은 계속 나가고 있었고, 계약을 끝낼 방법은 없었던 것이다.  현재 피닉스대학교(University of Phoenix)의 CIST(College of Information Systems&Technology)에서 책임 교원을 맡고 있는 베노이트 커츠는 “업체를 찾아가 ‘이 모듈이 필요 없으니 환불을 받을 수 있는가?’라고 말하기가 어려웠다”라고 회상했다. 대화 자체를 원치 않는 것 같았다”라고 그는 말했다. 그는 이런 일화에서 크게 배웠다고 말했다. 이처럼 초기에 비용을 조절하기 위해 협상하고, 기업의 미래 상태를 살펴 벤더의 서비스가 정말 적합한지 판단하는 법을 배우는 것은 매우 중요하다.   또한 그는 이런 경험을 통해 최적의 계약 기간을 결정하는 게 얼마나 어려운지 깨달을 수 있었다고 전했다. 일반적으로 계약 기간이 길어질수록 비용이 내려가지만, 민첩성, 유연성 등 회사의 상황에 맞게 그때그때 수정할 권한을 타협해야 하므로 까다로운 의사결정 과정이 될 수밖에 없다고 그는 설명했다.   섬세한 문제 적절한 업체를 선택하고, 최상의 계약 조건과 기간을 협상해내는 것은 모두에게 매우 어려운 일이다. 하지만 특히 보안 임원들은 이런 일을 처리할 때 다른 부서의 리더들보다 더 어려움을 겪는 경우가 많으며, 적절한 계약 기간을 결정해야 할 때 더욱 그렇다.  ...

계약기간 CISO 보안솔루션

2022.07.14

보안 비즈니스의 세계는 변화무쌍하다. 민첩성, 안정성 그리고 비용 사이에서 적절한 균형을 찾는 방법에 대해 여러 보안 전문가가 전한 조언을 들어보자.    스테파니 베노이트 커츠는 이전 회사에서 CISO로 일할 때, 한 서비스형 취약성 관리 제공업체와 3년 계약을 체결했다. 당시만 해도 괜찮은 거래라고 생각했다. 그는 회사의 보안 운영 팀이 기능을 십분 활용할 것이라고 생각하면서 계약을 체결했다. 하지만 그는 이내 팀이 사용하는 기능의 비율은 60%에 그친다는 사실을 발견했다.  큰 곤경이었다. 회사에 적합하지 않은 제품에 비용은 계속 나가고 있었고, 계약을 끝낼 방법은 없었던 것이다.  현재 피닉스대학교(University of Phoenix)의 CIST(College of Information Systems&Technology)에서 책임 교원을 맡고 있는 베노이트 커츠는 “업체를 찾아가 ‘이 모듈이 필요 없으니 환불을 받을 수 있는가?’라고 말하기가 어려웠다”라고 회상했다. 대화 자체를 원치 않는 것 같았다”라고 그는 말했다. 그는 이런 일화에서 크게 배웠다고 말했다. 이처럼 초기에 비용을 조절하기 위해 협상하고, 기업의 미래 상태를 살펴 벤더의 서비스가 정말 적합한지 판단하는 법을 배우는 것은 매우 중요하다.   또한 그는 이런 경험을 통해 최적의 계약 기간을 결정하는 게 얼마나 어려운지 깨달을 수 있었다고 전했다. 일반적으로 계약 기간이 길어질수록 비용이 내려가지만, 민첩성, 유연성 등 회사의 상황에 맞게 그때그때 수정할 권한을 타협해야 하므로 까다로운 의사결정 과정이 될 수밖에 없다고 그는 설명했다.   섬세한 문제 적절한 업체를 선택하고, 최상의 계약 조건과 기간을 협상해내는 것은 모두에게 매우 어려운 일이다. 하지만 특히 보안 임원들은 이런 일을 처리할 때 다른 부서의 리더들보다 더 어려움을 겪는 경우가 많으며, 적절한 계약 기간을 결정해야 할 때 더욱 그렇다.  ...

2022.07.14

보안 리더가 흔히 범하는 ‘취약성 관리’ 실수 10가지

신용 보고 기관 에퀴팩스(Equifax)에서 발생한 2017년의 대규모 데이터 유출을 비롯해, 다수의 유출 사고가 패치 되지 않은 취약성으로 인해 발생했다. 2019년 트립와이어(Tripwire)의 조사에 따르면 전체 유출 중 27%는 패치 되지 않은 취약성에 의해 발생했으며, 2018년 포네몬(Ponemon)의 조사에서는 60%라는 엄청난 수치를 기록했다. 보안 전문가에게는 전혀 놀라운 이야기가 아닐 것이다. 지난 7년 동안 매년 확인되는 취약성의 수가 증가했다. 이와 동시에 보안팀들은 안전한 재택근무를 지원하고 다른 팬데믹 관련 필요를 해결하면서 인재 채용 문제까지 처리하느라 매우 바쁜 상황이다. 즉 취약성 관리 프로그램 개선이 최우선순위가 아닌 시절이었다. 베테랑 보안 책임자들은 보편적인 실수가 이어지는 가운데 해결할 방안이 있다고 조언하고 있다. 보안 리더가 자주 범하는 10가지 실수를 살펴본다.   임원의 지원 확보 실패 좋은 취약성 관리 프로그램에는 보안팀만으로는 부족하다. 위험 관련 결정에는 임원의 참여가 필요하며, 패치는 IT 전문지식이 필요하다. 업데이트로 인한 다운타임은 여러 비즈니스 기능에 영향을 미친다. 즉 이 작업을 잘 수행하기 위해서는 조직 내 여러 구성원의 지원이 필요하며, 그들은 기업 내 최상위 리더들로부터 이런 노력을 위한 지원을 확보할 때 지원을 받을 가능성이 높다고 관리형 서비스 제공자 쓰라이브(Thrive)의 CTO 마이클 그레이가 말했다. 취약성 관리 노력에 대한 임원 수준의 지원을 받지 못한 CISO는 IT 및 비즈니스 부서의 반발로 인해 방해를 받을 수 있다. 하지만 좋은 소식도 있다. 사이버 보안이 이사회 수준의 우려사항이 되면서 CISO들이 점차 필요한 임원 지원을 확보하고 있다. 실제로 가트너의 2021년 임원 설문조사에 따르면, 이사회 중 88%가 현재 사이버 보안을 비즈니스 위험으로 보고 있었다. 공동 책임감 조성하지 않기 언더 아머(Under Armour)의 CISO 알렉스 아투말릴리...

취약성 취약점 관리 VM CISO

2022.06.16

신용 보고 기관 에퀴팩스(Equifax)에서 발생한 2017년의 대규모 데이터 유출을 비롯해, 다수의 유출 사고가 패치 되지 않은 취약성으로 인해 발생했다. 2019년 트립와이어(Tripwire)의 조사에 따르면 전체 유출 중 27%는 패치 되지 않은 취약성에 의해 발생했으며, 2018년 포네몬(Ponemon)의 조사에서는 60%라는 엄청난 수치를 기록했다. 보안 전문가에게는 전혀 놀라운 이야기가 아닐 것이다. 지난 7년 동안 매년 확인되는 취약성의 수가 증가했다. 이와 동시에 보안팀들은 안전한 재택근무를 지원하고 다른 팬데믹 관련 필요를 해결하면서 인재 채용 문제까지 처리하느라 매우 바쁜 상황이다. 즉 취약성 관리 프로그램 개선이 최우선순위가 아닌 시절이었다. 베테랑 보안 책임자들은 보편적인 실수가 이어지는 가운데 해결할 방안이 있다고 조언하고 있다. 보안 리더가 자주 범하는 10가지 실수를 살펴본다.   임원의 지원 확보 실패 좋은 취약성 관리 프로그램에는 보안팀만으로는 부족하다. 위험 관련 결정에는 임원의 참여가 필요하며, 패치는 IT 전문지식이 필요하다. 업데이트로 인한 다운타임은 여러 비즈니스 기능에 영향을 미친다. 즉 이 작업을 잘 수행하기 위해서는 조직 내 여러 구성원의 지원이 필요하며, 그들은 기업 내 최상위 리더들로부터 이런 노력을 위한 지원을 확보할 때 지원을 받을 가능성이 높다고 관리형 서비스 제공자 쓰라이브(Thrive)의 CTO 마이클 그레이가 말했다. 취약성 관리 노력에 대한 임원 수준의 지원을 받지 못한 CISO는 IT 및 비즈니스 부서의 반발로 인해 방해를 받을 수 있다. 하지만 좋은 소식도 있다. 사이버 보안이 이사회 수준의 우려사항이 되면서 CISO들이 점차 필요한 임원 지원을 확보하고 있다. 실제로 가트너의 2021년 임원 설문조사에 따르면, 이사회 중 88%가 현재 사이버 보안을 비즈니스 위험으로 보고 있었다. 공동 책임감 조성하지 않기 언더 아머(Under Armour)의 CISO 알렉스 아투말릴리...

2022.06.16

'기후 변화'는 이제 CISO의 의제다··· 4가지 이유

기후 변화가 사이버보안과 높은 관련성을 가지지는 않는다. 그러나, 기후 변화로 인한 영향을 보안 부문에서 인식하고 해결해야 할 필요성이 커지고 있다. 세계기상기구(WMO) ‘신규 보고서’에 따르면 향후 5년 동안 전세계 평균 표면 온도가 이례적인 수준으로 상승할 가능성이 높다. 최초로 산업화 전 평균값보다 1.5°C 넘어설 확률이 50%이다. 사이버보안 지형은 이미 복잡하다. 여기에 변화하는 기상 패턴, 자원 가용성, 집단 이주와 같은 기후 관련 요인도 감안해야 할 수 있다. 이들 요인으로 새로운 위협이나 고조된 위협이 등장하면서 사이버보안의 양상이 달라질 수 있기 때문이다. 사이버보안 전문가 클로에 메스다기는, 그러나 기후 변화가 대부분의 기업 내 이사회와 팀에서 거의 논의되지 않는 주제라고 지적했다. 그녀는 최근 블로그 게시물에서 “내가 만나 본 사이버보안 부문의 여러 임원들은 기후 변화가 미칠 잠재적인 영향에 대한 논의를 아직 하지 않았다. 기후 변화에 대한 언급은 대개 묵살된다. 기후 변화의 존재를 부인하는 의견이나 잠재적 위험성에 대한 무지가 주요 이유”라고 기술했다. 메스다기는 기후 변화가 사이버보안 분야의 잠재적 주요 과제에 속하며 각 기업은 이 주제의 논의 우선순위를 높여야 한다고 강조했다. 사이버보안 분야가 기후 변화를 무시하지 않아야 할 이유 4가지를 살펴본다.   이유 1 : 중요 자원을 노린 공격 기후 변화로 인한 중요한 충격 중 하나는 기후 변화가 핵심 자원에 대한 접근성에 영향을 미치기 때문이다. 예를 들어, 가뭄이 지속되면 깨끗한 물에 대한 접근이 제한될 수 있고 폭풍우로 전기 및 가스 배선이 파손되면 에너지 공급이 끊길 가능성이 있다. 중요 자원이 위협을 받으면 중요 자원 자체와 이를 공급하는 시스템은 혼란을 야기하려는 악성 사이버 공격자들에게 매우 매력적인 표적이 된다. 메스다기는 대표적인 예로 캘리포니아의 가뭄을 들었다. “수자원은 매우 제한됨에 따라 보호해야 할 대상이 됐다. 향후 적성국이 캘리포니아를 공...

기후변화 CISO 공급망 에너지

2022.06.07

기후 변화가 사이버보안과 높은 관련성을 가지지는 않는다. 그러나, 기후 변화로 인한 영향을 보안 부문에서 인식하고 해결해야 할 필요성이 커지고 있다. 세계기상기구(WMO) ‘신규 보고서’에 따르면 향후 5년 동안 전세계 평균 표면 온도가 이례적인 수준으로 상승할 가능성이 높다. 최초로 산업화 전 평균값보다 1.5°C 넘어설 확률이 50%이다. 사이버보안 지형은 이미 복잡하다. 여기에 변화하는 기상 패턴, 자원 가용성, 집단 이주와 같은 기후 관련 요인도 감안해야 할 수 있다. 이들 요인으로 새로운 위협이나 고조된 위협이 등장하면서 사이버보안의 양상이 달라질 수 있기 때문이다. 사이버보안 전문가 클로에 메스다기는, 그러나 기후 변화가 대부분의 기업 내 이사회와 팀에서 거의 논의되지 않는 주제라고 지적했다. 그녀는 최근 블로그 게시물에서 “내가 만나 본 사이버보안 부문의 여러 임원들은 기후 변화가 미칠 잠재적인 영향에 대한 논의를 아직 하지 않았다. 기후 변화에 대한 언급은 대개 묵살된다. 기후 변화의 존재를 부인하는 의견이나 잠재적 위험성에 대한 무지가 주요 이유”라고 기술했다. 메스다기는 기후 변화가 사이버보안 분야의 잠재적 주요 과제에 속하며 각 기업은 이 주제의 논의 우선순위를 높여야 한다고 강조했다. 사이버보안 분야가 기후 변화를 무시하지 않아야 할 이유 4가지를 살펴본다.   이유 1 : 중요 자원을 노린 공격 기후 변화로 인한 중요한 충격 중 하나는 기후 변화가 핵심 자원에 대한 접근성에 영향을 미치기 때문이다. 예를 들어, 가뭄이 지속되면 깨끗한 물에 대한 접근이 제한될 수 있고 폭풍우로 전기 및 가스 배선이 파손되면 에너지 공급이 끊길 가능성이 있다. 중요 자원이 위협을 받으면 중요 자원 자체와 이를 공급하는 시스템은 혼란을 야기하려는 악성 사이버 공격자들에게 매우 매력적인 표적이 된다. 메스다기는 대표적인 예로 캘리포니아의 가뭄을 들었다. “수자원은 매우 제한됨에 따라 보호해야 할 대상이 됐다. 향후 적성국이 캘리포니아를 공...

2022.06.07

블로그ㅣ사이버 보안이 ‘비즈니스와 정렬’된다는 의미는?

보안이 비즈니스 목표 달성에 어떻게 도움을 주는지 보여주는 것은 2단계 프로세스로 이뤄진다. 첫째, 비즈니스 언어로 말해야 하고, 둘째, 가치 창출을 입증하는 비용-편익 분석을 수행해야 한다.  사이버 보안 리더들 사이에서 흔하게 하는 말이 있다. ‘비즈니스와 정렬하는 법을 배워야 한다(We have to learn to align with the business)’라는 것이다. 안타깝게도, 사이버 보안 부분의 리더들은 많은 시간을 비즈니스가 ‘사이버 보안과 정렬’되도록 하는 데 쓰고, 그렇게 되지 않을 때 좌절감을 느끼는 듯하다.    ‘그렇게 되지 않는’ 이유는 비즈니스 부문처럼 말하려고 하지 않거나 또는 그렇게 말할 수 없기 때문이다. 현실은 사이버 보안이 비용 센터(Cost Center), 즉 소위 말해서 돈만 축내는 곳이라는 점이다. 게다가 그 가치를 인지시키기가 매우 어려울 수 있는 비용 센터이기도 하다.  사이버 보안을 비즈니스에 정렬하는 2단계  기본적인 수준에서 사이버 보안을 비즈니스와 정렬하는 것은 2단계 프로세스로 이뤄진다. 비즈니스 언어를 이해하는 게 첫 번째다. 모든 기업의 공통어는 재무다. 이는 사이버 보안 리더들의 가장 큰 과제가 될 수 있다. 대부분의 산업에는 자체적인 비용 효율성 측정 방법이 있다. 예를 들면 소매업의 단위 면적당 매출액, 의료업의 환자당 치료 비용 등이다. 사이버 보안에서도 다른 비즈니스 부문 또는 사업부처럼 행동해야 한다.  두 번째는 이익이 아닌 가치 방식으로 편익-비용 분석과 ROI를 결정하는 방법 및 측정 기준을 개발하는 것이다. 활동기준원가계산(ABC) 등을 사용하여 비용을 계산하고, 손익 분기점 분석을 활용하여 투자를 평가하는 것으로 시작할 수 있다. 이는 지출 금액을 결정하고 투자가 ‘그럴 만한 가치가 있는지’ 정성적으로 판단하는 것만큼이나 간단할 수 있다.  아울러 이 지점에서 (감소시키고자 하는) 위험의 하한선에 도달하게 된...

사이버 보안 비즈니스 정렬 CISO 비용 센터 비즈니스 언어 ROI

2022.05.30

보안이 비즈니스 목표 달성에 어떻게 도움을 주는지 보여주는 것은 2단계 프로세스로 이뤄진다. 첫째, 비즈니스 언어로 말해야 하고, 둘째, 가치 창출을 입증하는 비용-편익 분석을 수행해야 한다.  사이버 보안 리더들 사이에서 흔하게 하는 말이 있다. ‘비즈니스와 정렬하는 법을 배워야 한다(We have to learn to align with the business)’라는 것이다. 안타깝게도, 사이버 보안 부분의 리더들은 많은 시간을 비즈니스가 ‘사이버 보안과 정렬’되도록 하는 데 쓰고, 그렇게 되지 않을 때 좌절감을 느끼는 듯하다.    ‘그렇게 되지 않는’ 이유는 비즈니스 부문처럼 말하려고 하지 않거나 또는 그렇게 말할 수 없기 때문이다. 현실은 사이버 보안이 비용 센터(Cost Center), 즉 소위 말해서 돈만 축내는 곳이라는 점이다. 게다가 그 가치를 인지시키기가 매우 어려울 수 있는 비용 센터이기도 하다.  사이버 보안을 비즈니스에 정렬하는 2단계  기본적인 수준에서 사이버 보안을 비즈니스와 정렬하는 것은 2단계 프로세스로 이뤄진다. 비즈니스 언어를 이해하는 게 첫 번째다. 모든 기업의 공통어는 재무다. 이는 사이버 보안 리더들의 가장 큰 과제가 될 수 있다. 대부분의 산업에는 자체적인 비용 효율성 측정 방법이 있다. 예를 들면 소매업의 단위 면적당 매출액, 의료업의 환자당 치료 비용 등이다. 사이버 보안에서도 다른 비즈니스 부문 또는 사업부처럼 행동해야 한다.  두 번째는 이익이 아닌 가치 방식으로 편익-비용 분석과 ROI를 결정하는 방법 및 측정 기준을 개발하는 것이다. 활동기준원가계산(ABC) 등을 사용하여 비용을 계산하고, 손익 분기점 분석을 활용하여 투자를 평가하는 것으로 시작할 수 있다. 이는 지출 금액을 결정하고 투자가 ‘그럴 만한 가치가 있는지’ 정성적으로 판단하는 것만큼이나 간단할 수 있다.  아울러 이 지점에서 (감소시키고자 하는) 위험의 하한선에 도달하게 된...

2022.05.30

'기업 데이터 보안의 3T'··· 우버 전 CSO의 재판의 교훈

모든 CISO와 CSO가 기업 및 데이터를 안전하게 유지하기 위해 반드시 수용해야 하는 3가지 ‘T’가 있다. 바로 진실(truth), 투명성(transparency), 신뢰(trust)다. 3가지 T를 준수하지 않으면 기업에 심각한 결과를 초래할 수 있다. 적절한 사례가 있다. 미국 연방 판사는 최근 우버 테크놀로지스의 전 CSO 조셉 설리번(2015년 4월부터 2017년 11월까지 CSO 직책을 맡음)과 관련한 재판에서 설리번에게 다가오는 형사 재판에서 자신을 변호하기 위해 요청한 수많은 미편집 우버 문서를 검토하라고 명령했다.   우버의 전임 CSO에 대한 소송 우선 소송의 배경을 살펴보자. 우버의 전 CSO 조셉 설리번은 2016년 우버의 데이터 유출에 처리와 관련한 5건의 중죄로 기소됐다. 2021년 12월 제출된 법원 문서에 따르면, 설리번은 ‘데이터 유출이 공개되지 않도록 은폐하고, 연방거래위원회(FTC)와 피해를 입은 사용자와 운전자에게 노출되지 않도록 설계된 계획에 관여했다’는 혐의를 받는다. 더군다나 해킹에 영향을 미치고 비공개적으로 금전 지불을 요구한 것으로 추정되는 2명은 우버의 버그 바운티 프로그램으로 10만 달러를 수령한 것으로 알려졌다. 이들은 토론토에 거주하는 캐나다 시민권자 바실 메레아커와 미국 플로리다주에 거주하는 브랜든 글로버로, 이후 링크드인 교육사이트 린다닷컴(Lynda.com) 유출 건으로 기소된 인물들이다. 우버의 뒤늦은 유출 통지  당시 우버의 신임 CEO 다라 코스로샤히는 2017년 11월 데이터 유출에 관한 정황을 공개하며 경고 고치를 1년이 지나서야 취하는 것임을 인정했다. 유출 당시 사내에서 이루어진 논의에서는 해당 사건을 유출이 아닌 ‘버그 바운티’ 지불로 분류했기 때문에 공개할 필요가 없다고 판단한 것으로 보인다. 단어의 의미론적인 부분이나 속임수, 후속 해결 조치, 그리고 코스로샤히의 진술에서 이런 관행이 작용하고 있을 수 있음을 알 수 있다. 유출된 정보에는 전 세계 5,7...

우버 소송 CISO

2022.05.24

모든 CISO와 CSO가 기업 및 데이터를 안전하게 유지하기 위해 반드시 수용해야 하는 3가지 ‘T’가 있다. 바로 진실(truth), 투명성(transparency), 신뢰(trust)다. 3가지 T를 준수하지 않으면 기업에 심각한 결과를 초래할 수 있다. 적절한 사례가 있다. 미국 연방 판사는 최근 우버 테크놀로지스의 전 CSO 조셉 설리번(2015년 4월부터 2017년 11월까지 CSO 직책을 맡음)과 관련한 재판에서 설리번에게 다가오는 형사 재판에서 자신을 변호하기 위해 요청한 수많은 미편집 우버 문서를 검토하라고 명령했다.   우버의 전임 CSO에 대한 소송 우선 소송의 배경을 살펴보자. 우버의 전 CSO 조셉 설리번은 2016년 우버의 데이터 유출에 처리와 관련한 5건의 중죄로 기소됐다. 2021년 12월 제출된 법원 문서에 따르면, 설리번은 ‘데이터 유출이 공개되지 않도록 은폐하고, 연방거래위원회(FTC)와 피해를 입은 사용자와 운전자에게 노출되지 않도록 설계된 계획에 관여했다’는 혐의를 받는다. 더군다나 해킹에 영향을 미치고 비공개적으로 금전 지불을 요구한 것으로 추정되는 2명은 우버의 버그 바운티 프로그램으로 10만 달러를 수령한 것으로 알려졌다. 이들은 토론토에 거주하는 캐나다 시민권자 바실 메레아커와 미국 플로리다주에 거주하는 브랜든 글로버로, 이후 링크드인 교육사이트 린다닷컴(Lynda.com) 유출 건으로 기소된 인물들이다. 우버의 뒤늦은 유출 통지  당시 우버의 신임 CEO 다라 코스로샤히는 2017년 11월 데이터 유출에 관한 정황을 공개하며 경고 고치를 1년이 지나서야 취하는 것임을 인정했다. 유출 당시 사내에서 이루어진 논의에서는 해당 사건을 유출이 아닌 ‘버그 바운티’ 지불로 분류했기 때문에 공개할 필요가 없다고 판단한 것으로 보인다. 단어의 의미론적인 부분이나 속임수, 후속 해결 조치, 그리고 코스로샤히의 진술에서 이런 관행이 작용하고 있을 수 있음을 알 수 있다. 유출된 정보에는 전 세계 5,7...

2022.05.24

'솔라윈즈 해킹' 관련 소송 점화… CISO가 배워야 할 6가지 교훈

2020년 솔라윈즈 해킹은 전 세계적으로 큰 영향을 미쳤다. 전방위적인 개선 노력에 공공 및 민간 부문의 자원이 투입됐으며, 솔라윈즈의 주가에도 부정적인 영향을 미쳤다. 그 결과 솔라윈즈를 상대로 민사 소송이 뒤따랐다. 이에 솔라윈즈 CISO 팀 브라운, 사모펀드 회사 실버 레이크(Silver Lake)와 토마 브라보(Thoma Bravo)는 소송 기각을 요청했다. 하지만 미 연방법원이 이를 거부함에 따라 솔라윈즈 해킹과 관련한 소송이 시작될 참이다.   보안 업체 레드포인트 사이버시큐리티(Redpoint Cybersecurity)의 고객 참여 담당 사이버보안 및 개인정보보호 변호사 바이올렛 설리번은 판사가 원고들에게 “청구권이 있을 수 있다고 판단해 심리하려고 하는 것이다. 흥미로운 것은 판결 결과가 아니라 판결 과정에서 발견되는 사항들일 것이다. 이 소송에서는 다음과 같은 질문을 할 수 있다. ‘침해가 발견되는 동안 포렌식 보고서를 마련했는가’, ‘포렌식 보고서에 변호사-의뢰인 비밀 보호 제도가 적용되는가’이다”라고 말했다.  핵심 질문 : 솔라윈즈는 보안 절차를 무시했는가? 소송 기각 요청을 거부한 판사는 모든 CISO가 두려워하는 것, 즉 기본적인 사이버보안 방안을 구현하는 과정에서 직원이 ‘지름길’을 택했는지에 집중했다. 비밀번호 관리에는 대가가 따른다. 솔라윈즈는 보안 연구원이 2019년 11월 ‘업데이트 서버’에서 발견한 악명 높은 암호 ‘solarwinds123’이 통보된 지 한 시간 이내에 해당 비밀번호를 변경했으며, 러시아의 솔라윈즈 침해와 해당 비밀번호는 관련이 없다고 선을 그었다. 그러나 설리번은 “업데이트 서버의 비밀번호 문제는 단지 진입점일 뿐”이라고 말했다. 판사는 ‘근본적인 보안 문제에 대한 혐의(예컨대 solarwinds123 비밀번호 침해)’만으로 솔라윈즈의 보안 문제가 직접적으로 손실을 일으켰다고 볼 필요는 없다고 판단했다. 다만 이런 혐의는 솔라윈즈 경영진이 무엇인가가 심각할 정도로 잘못되었다는 것을...

솔라윈즈 CISO 보안

2022.04.27

2020년 솔라윈즈 해킹은 전 세계적으로 큰 영향을 미쳤다. 전방위적인 개선 노력에 공공 및 민간 부문의 자원이 투입됐으며, 솔라윈즈의 주가에도 부정적인 영향을 미쳤다. 그 결과 솔라윈즈를 상대로 민사 소송이 뒤따랐다. 이에 솔라윈즈 CISO 팀 브라운, 사모펀드 회사 실버 레이크(Silver Lake)와 토마 브라보(Thoma Bravo)는 소송 기각을 요청했다. 하지만 미 연방법원이 이를 거부함에 따라 솔라윈즈 해킹과 관련한 소송이 시작될 참이다.   보안 업체 레드포인트 사이버시큐리티(Redpoint Cybersecurity)의 고객 참여 담당 사이버보안 및 개인정보보호 변호사 바이올렛 설리번은 판사가 원고들에게 “청구권이 있을 수 있다고 판단해 심리하려고 하는 것이다. 흥미로운 것은 판결 결과가 아니라 판결 과정에서 발견되는 사항들일 것이다. 이 소송에서는 다음과 같은 질문을 할 수 있다. ‘침해가 발견되는 동안 포렌식 보고서를 마련했는가’, ‘포렌식 보고서에 변호사-의뢰인 비밀 보호 제도가 적용되는가’이다”라고 말했다.  핵심 질문 : 솔라윈즈는 보안 절차를 무시했는가? 소송 기각 요청을 거부한 판사는 모든 CISO가 두려워하는 것, 즉 기본적인 사이버보안 방안을 구현하는 과정에서 직원이 ‘지름길’을 택했는지에 집중했다. 비밀번호 관리에는 대가가 따른다. 솔라윈즈는 보안 연구원이 2019년 11월 ‘업데이트 서버’에서 발견한 악명 높은 암호 ‘solarwinds123’이 통보된 지 한 시간 이내에 해당 비밀번호를 변경했으며, 러시아의 솔라윈즈 침해와 해당 비밀번호는 관련이 없다고 선을 그었다. 그러나 설리번은 “업데이트 서버의 비밀번호 문제는 단지 진입점일 뿐”이라고 말했다. 판사는 ‘근본적인 보안 문제에 대한 혐의(예컨대 solarwinds123 비밀번호 침해)’만으로 솔라윈즈의 보안 문제가 직접적으로 손실을 일으켰다고 볼 필요는 없다고 판단했다. 다만 이런 혐의는 솔라윈즈 경영진이 무엇인가가 심각할 정도로 잘못되었다는 것을...

2022.04.27

인터뷰 | “블랙스완조차 대비해야 한다” VM웨어 카렌 워스텔 보안 전략가

“오늘날 보안팀과 그들이 속한 조직은 현재 제로데이(Zero Day) 세계에 살고 있다.” 카렌 F. 워스텔은 오늘날의 보안 지형에 대해 냉정하게 바라본다. 그녀는 “그것이 우리의 새로운 현실이며, 우리는 유출을 가정하고 운영해야 한다”라고 말했다. 그녀는 또 오늘날 CISO들이 각종 기술 부채와 제한적인 예산뿐 아니라 비즈니스 속도 저하 없이 보안을 확보해야 한다는 기대에 맞닥뜨리고 있는 상황이라고 진단했다. 이 모든 것들을 고려할 때 보안 분야가 직면한 과제는 결코 만만치 않다고 워스텔은 강조했다. 하지만 VM웨어의 수석 사이버 보안 전략가인 워스텔은 자신의 직업에 대한 믿음이 있다. 그녀는 CISO가 “기업을 방해하지 않고 (미래에) 민첩하게 대응할 수 있도록 보호하는 접근방식을 고안하여) 이런 위기를 기회를 바꿀 수 있다”라고 말했다. 그녀에게 있어서 이것은 일상적인 업무의 일환이다. 워스텔은 전 세계 CISO들과 만나 ‘앞으로 닥칠 일과 미래를 위해 우리가 대비해야 할 일’에 대해 이야기를 나눈다. 여러 CISO와 소통하는 전략팀의 일원으로서 그녀는 VM웨어가 CISO들을 도울 방안을 파악하도록 돕는 업무를 수행하고 있다. 그녀는 “아무도 100% 완벽하다고 말할 수 없지만 최대한 합리적인 보안 조치를 취하는 것이 중요하며, 이것이 내가 이곳에서 일하는 이유다”라고 말했다.   과거를 통해 미래를 알다 워스텔은 과거로부터 미래에 대한 많은 힌트를 얻을 수 있다고 말했다. 워스텔은 “오랜 사이버 보안 역사를 살펴보면 정말로 도움이 된다. 왜냐하면 지난 30년 동안 우리의 업무 방식을 완전히 바꾸어 놓은 파괴적인 이벤트가 많았기 때문이다”라고 말했다. 인터넷의 확산으로 조직의 위협이 어떻게 극적으로 바뀌었으며, 국가 또는 조직적 차원의 움직임을 인해 어떻게 새로운 보안 문제가 발생했고, 코로나19 팬데믹으로 인해 재택근무로의 전환이 갑자기 추진되면서 보안 지형이 어떻게 변화했는지 생각해 보라고 그녀가 말했다. 워스텔에 따르...

VM웨어 카렌 워스텔 제로 트러스트 제로데이 블랙스완 CISO

2022.03.29

“오늘날 보안팀과 그들이 속한 조직은 현재 제로데이(Zero Day) 세계에 살고 있다.” 카렌 F. 워스텔은 오늘날의 보안 지형에 대해 냉정하게 바라본다. 그녀는 “그것이 우리의 새로운 현실이며, 우리는 유출을 가정하고 운영해야 한다”라고 말했다. 그녀는 또 오늘날 CISO들이 각종 기술 부채와 제한적인 예산뿐 아니라 비즈니스 속도 저하 없이 보안을 확보해야 한다는 기대에 맞닥뜨리고 있는 상황이라고 진단했다. 이 모든 것들을 고려할 때 보안 분야가 직면한 과제는 결코 만만치 않다고 워스텔은 강조했다. 하지만 VM웨어의 수석 사이버 보안 전략가인 워스텔은 자신의 직업에 대한 믿음이 있다. 그녀는 CISO가 “기업을 방해하지 않고 (미래에) 민첩하게 대응할 수 있도록 보호하는 접근방식을 고안하여) 이런 위기를 기회를 바꿀 수 있다”라고 말했다. 그녀에게 있어서 이것은 일상적인 업무의 일환이다. 워스텔은 전 세계 CISO들과 만나 ‘앞으로 닥칠 일과 미래를 위해 우리가 대비해야 할 일’에 대해 이야기를 나눈다. 여러 CISO와 소통하는 전략팀의 일원으로서 그녀는 VM웨어가 CISO들을 도울 방안을 파악하도록 돕는 업무를 수행하고 있다. 그녀는 “아무도 100% 완벽하다고 말할 수 없지만 최대한 합리적인 보안 조치를 취하는 것이 중요하며, 이것이 내가 이곳에서 일하는 이유다”라고 말했다.   과거를 통해 미래를 알다 워스텔은 과거로부터 미래에 대한 많은 힌트를 얻을 수 있다고 말했다. 워스텔은 “오랜 사이버 보안 역사를 살펴보면 정말로 도움이 된다. 왜냐하면 지난 30년 동안 우리의 업무 방식을 완전히 바꾸어 놓은 파괴적인 이벤트가 많았기 때문이다”라고 말했다. 인터넷의 확산으로 조직의 위협이 어떻게 극적으로 바뀌었으며, 국가 또는 조직적 차원의 움직임을 인해 어떻게 새로운 보안 문제가 발생했고, 코로나19 팬데믹으로 인해 재택근무로의 전환이 갑자기 추진되면서 보안 지형이 어떻게 변화했는지 생각해 보라고 그녀가 말했다. 워스텔에 따르...

2022.03.29

이사회 발표에서 보안 의제 다루기 '7가지 잦은 실수'

기업 이사회는 CISO에게 사이버 보안 위험에 관해 더 자주 알려 달라고 요구한다. 보안 리더는 고위 경영진이 보안의 가치를 이해하도록 도울 수 있고 보안 전략을 지원하고 강화할 가능성을 높일 수 있다. 하지만 이사회에서 보안을 이야기할 때 생산적인 방식으로 진행하기는 쉽지 않고, 효과적으로 하지 못하면 경영진, 보안 부서, 나머지 조직에서 혼란과 비협조가 발생할 수 있다. CISO가 다른 경영진 앞에서 보안을 이야기할 때 흔히 일어나는 실수와 올바르게 협조를 구하는 방법을 알아보자.     1. 지나친 기술 용어를 사용하지 말 것 사이렌(Cyren)의 CISO 마이클 타미르는 “이사회에 발표할 때는 사용하는 언어에 주의해야 한다. 너무 기술적이면 듣는 사람이 없다”라고 말했다. 이사들은 보안 전문가가 아니며 과도하게 기술적인 전문 용어를 사용하면 역효과를 낳는다고 그가 덧붙였다. ISF(Information Security Forum)의 CISO 출신 애널리스트인 폴 와트는 “이사회 구성원은 자신이 이해하지 못하는 것을 싫어하며 대부분은 머리속으로 수천 가지의 다른 일을 생각하고 있기 때문에 집중력이 지속되는 시간이 짧을 수밖에 없다”라고 말했다. 따라서 CISO는 가능하면 어려운 기술 용어를 비즈니스 용어로 바꾸고, 용어를 대체할 수 없는 개념은 설명해야 한다. “최대한 간단명료하고 합리적인 속도를 활용하며 말을 많이 하는 것보다 시각화해야 한다.”   2. 잘못된 위협 영향에 집중하지 않을 것 사이버GRX(CyberGRX)의 CISO 데이브 스테이플턴은 CISO는 보안 위협이 조직에 미치는 비즈니스적 영향 수준을 벗어나지 않도록 해야 한다고 말했다. 스테이플턴은 “CISO는 특정 코드 라이브러리 의존성이 인터넷에 노출된 자산에 위협을 끼치는 이유를 이해할 수 있지만 이사회는 이해하지 못할 가능성이 높다”라고 덧붙였다. 주피터원(JupiterOne)의 CISO 선일 유도 이에 동의했다. “이사회가 돈과 상식을 기준으로 이...

보안 CISO

2022.03.04

기업 이사회는 CISO에게 사이버 보안 위험에 관해 더 자주 알려 달라고 요구한다. 보안 리더는 고위 경영진이 보안의 가치를 이해하도록 도울 수 있고 보안 전략을 지원하고 강화할 가능성을 높일 수 있다. 하지만 이사회에서 보안을 이야기할 때 생산적인 방식으로 진행하기는 쉽지 않고, 효과적으로 하지 못하면 경영진, 보안 부서, 나머지 조직에서 혼란과 비협조가 발생할 수 있다. CISO가 다른 경영진 앞에서 보안을 이야기할 때 흔히 일어나는 실수와 올바르게 협조를 구하는 방법을 알아보자.     1. 지나친 기술 용어를 사용하지 말 것 사이렌(Cyren)의 CISO 마이클 타미르는 “이사회에 발표할 때는 사용하는 언어에 주의해야 한다. 너무 기술적이면 듣는 사람이 없다”라고 말했다. 이사들은 보안 전문가가 아니며 과도하게 기술적인 전문 용어를 사용하면 역효과를 낳는다고 그가 덧붙였다. ISF(Information Security Forum)의 CISO 출신 애널리스트인 폴 와트는 “이사회 구성원은 자신이 이해하지 못하는 것을 싫어하며 대부분은 머리속으로 수천 가지의 다른 일을 생각하고 있기 때문에 집중력이 지속되는 시간이 짧을 수밖에 없다”라고 말했다. 따라서 CISO는 가능하면 어려운 기술 용어를 비즈니스 용어로 바꾸고, 용어를 대체할 수 없는 개념은 설명해야 한다. “최대한 간단명료하고 합리적인 속도를 활용하며 말을 많이 하는 것보다 시각화해야 한다.”   2. 잘못된 위협 영향에 집중하지 않을 것 사이버GRX(CyberGRX)의 CISO 데이브 스테이플턴은 CISO는 보안 위협이 조직에 미치는 비즈니스적 영향 수준을 벗어나지 않도록 해야 한다고 말했다. 스테이플턴은 “CISO는 특정 코드 라이브러리 의존성이 인터넷에 노출된 자산에 위협을 끼치는 이유를 이해할 수 있지만 이사회는 이해하지 못할 가능성이 높다”라고 덧붙였다. 주피터원(JupiterOne)의 CISO 선일 유도 이에 동의했다. “이사회가 돈과 상식을 기준으로 이...

2022.03.04

강은성의 보안 아키텍트ㅣ정보보호최고책임자(CISO)와 개인정보보호책임자(CPO)의 자격 요건

2012년 정보통신망법에 정보보호최고책임자(CISO) 규정이 들어온 뒤 처음으로 임원이 아니라 직원이 CISO가 될 수 있도록 작년 6월에 법이 개정된 뒤 작년 12월 시행령에 구체적인 요건이 들어갔다.   “다. 정보보호 관련 업무를 총괄하는 부서의 장”  (시행령 제36조의7(정보보호 최고책임자의 지정 및 겸직금지 등) 제1항 제3호 다목) 즉, 직전 사업연도 말 기준 자산총액이 5조 원 미만이거나 ISMS 인증 의무대상이면서 자산총액 5천억 원 미만인 기업에서는 과장급 정보보안팀장이 CISO가 될 수 있게 된 것이다. CISO 업무는 통제 권한이 있어야 수행할 수 있는 업무가 많은데, 기업에서는 아무리 직책이 CISO라고 해도 직급을 뛰어넘는 권한이 생기기 어렵다. 직원 CISO는 권한은 없고 책임만 지게 되기 십상이다.  중소기업도 아니고 자산총액 수조 원인 중견기업에 임원이 적지 않은데, 과기정통부가 왜 시행령을 저렇게 만들었는지 의문이다. CISO의 취지와 배경, 그것이 기업 현장에서 어떻게 작동하는지 제대로 이해하고 있는지 모르겠다. 이에 관한 상세한 내용은 지난 칼럼(강은성의 보안 아키텍트ㅣ9년 만에 바뀐 정보통신망법의 CISO 업무와 직급)을 참고하기 바란다.  ‘임원’ 요건과 연관된 또 하나의 CISO 요건이 ‘자격’ 요건이다. 정보통신망법에 따라 지정·신고해야 하는 기업의 CISO는 다음과 같은 ‘자격’을 갖춰야 한다.   1. 정보보호 또는 정보기술 분야의 국내 또는 외국의 석사학위 이상 학위를 취득한 사람 2. 정보보호 또는 정보기술 분야의 국내 또는 외국의 학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 3년 이상 수행한 경력이 있는 사람 3. 정보보호 또는 정보기술 분야의 국내 또는 외국의 전문학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 5년 이상 수행한 경력이 있는 사람 4...

강은성 강은성의 보안 아키텍트 정보보호최고책임자 개인정보보호책임자 CISO CPO 정보통신망법 정보보호 개인정보보호

2022.02.14

2012년 정보통신망법에 정보보호최고책임자(CISO) 규정이 들어온 뒤 처음으로 임원이 아니라 직원이 CISO가 될 수 있도록 작년 6월에 법이 개정된 뒤 작년 12월 시행령에 구체적인 요건이 들어갔다.   “다. 정보보호 관련 업무를 총괄하는 부서의 장”  (시행령 제36조의7(정보보호 최고책임자의 지정 및 겸직금지 등) 제1항 제3호 다목) 즉, 직전 사업연도 말 기준 자산총액이 5조 원 미만이거나 ISMS 인증 의무대상이면서 자산총액 5천억 원 미만인 기업에서는 과장급 정보보안팀장이 CISO가 될 수 있게 된 것이다. CISO 업무는 통제 권한이 있어야 수행할 수 있는 업무가 많은데, 기업에서는 아무리 직책이 CISO라고 해도 직급을 뛰어넘는 권한이 생기기 어렵다. 직원 CISO는 권한은 없고 책임만 지게 되기 십상이다.  중소기업도 아니고 자산총액 수조 원인 중견기업에 임원이 적지 않은데, 과기정통부가 왜 시행령을 저렇게 만들었는지 의문이다. CISO의 취지와 배경, 그것이 기업 현장에서 어떻게 작동하는지 제대로 이해하고 있는지 모르겠다. 이에 관한 상세한 내용은 지난 칼럼(강은성의 보안 아키텍트ㅣ9년 만에 바뀐 정보통신망법의 CISO 업무와 직급)을 참고하기 바란다.  ‘임원’ 요건과 연관된 또 하나의 CISO 요건이 ‘자격’ 요건이다. 정보통신망법에 따라 지정·신고해야 하는 기업의 CISO는 다음과 같은 ‘자격’을 갖춰야 한다.   1. 정보보호 또는 정보기술 분야의 국내 또는 외국의 석사학위 이상 학위를 취득한 사람 2. 정보보호 또는 정보기술 분야의 국내 또는 외국의 학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 3년 이상 수행한 경력이 있는 사람 3. 정보보호 또는 정보기술 분야의 국내 또는 외국의 전문학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 5년 이상 수행한 경력이 있는 사람 4...

2022.02.14

CISO들이 지쳐 나가떨어지고 있다

한 CISO가 보낸 문자 메시지는 간단했다. “나는 다시는 보안 운영 업무를 맡지 않을 겁니다.” 보안팀들이 Log4j에 대응하느라 분투했던 12월, 제프 폴라드의 스마트폰에 도착한 문자 메시지였다. 포레스터 리서치의 부사장 겸 수석 분석가 폴라드는 “그는 오랫동안 재직한 능력 있는 CISO였다. 그는 보안팀이 해야만 하는 엄청나게 힘든 작업에 관해 이야기하고 있었다. 마치 ‘나는 여기까지다’라고 말하는 것처럼 보였다”라고 말했다.   -> 블로그 | 지금 당신의 IT 직원들에게 친절해야 할 이유 대부분의 임직원은 한 번쯤 ‘나는 여기까지이다’라는 느낌(I’m done feeling)을 받은 적이 있다. 연구에 따르면 많은 사람들이 팬데믹과 이로 인한 혼란 때문에 압도감과 피로감을 느끼고 있다. CISO들도 이런 압박을 느끼고 있다. 보안 소프트웨어 기업 테시안(Tessian)의 ‘잃어버린 시간’ 보고서를 살펴본다. 미국과 영국에 있는 300명의 CISO들을 대상으로 조사한 결과를 담은 이 보고서에 따르면 CISO들이 매주 평균적으로 계약한 것보다 11시간 이상을 근무하고 있으며 10%는 주당 20~24시간을 추가적으로 근무하고 있는 것으로 나타났다.  또한 42%는 추수감사절 또는 크리스마스 등의 공휴일에도 일했고, 40%는 일 때문에 가족 휴가를 가지 못했으며, CISO 중 59%는 업무 시간이 끝난 후 업무 생각을 떨쳐 버리기 위해 분투하고 있다고 말했다. IT자문 및 서비스 제공기업 데프트(Deft)의 CISO 토마스 존슨은 “CISO 번아웃은 분명 문제이다. 우리는 인재 부족, 재택근무, 국내뿐만이 아니라 국제적인 위협의 증가 등이 발생하고 있는 전례 없는 시대에 살고 있기 때문에 과거보다 더 큰 문제가 되고 있다. 이 모든 것이 보안 영역이 기학급수적으로 확대되고 있다는 점과 연관되어 있다”라고 말했다. 번아웃 수준에 도달한 (CISO를 포함한) 임직원에게는 개인적인 수준에서 문제가 발생할 수 있다. CISO로...

CISO 번아웃 Log4j 탈진

2022.02.09

한 CISO가 보낸 문자 메시지는 간단했다. “나는 다시는 보안 운영 업무를 맡지 않을 겁니다.” 보안팀들이 Log4j에 대응하느라 분투했던 12월, 제프 폴라드의 스마트폰에 도착한 문자 메시지였다. 포레스터 리서치의 부사장 겸 수석 분석가 폴라드는 “그는 오랫동안 재직한 능력 있는 CISO였다. 그는 보안팀이 해야만 하는 엄청나게 힘든 작업에 관해 이야기하고 있었다. 마치 ‘나는 여기까지다’라고 말하는 것처럼 보였다”라고 말했다.   -> 블로그 | 지금 당신의 IT 직원들에게 친절해야 할 이유 대부분의 임직원은 한 번쯤 ‘나는 여기까지이다’라는 느낌(I’m done feeling)을 받은 적이 있다. 연구에 따르면 많은 사람들이 팬데믹과 이로 인한 혼란 때문에 압도감과 피로감을 느끼고 있다. CISO들도 이런 압박을 느끼고 있다. 보안 소프트웨어 기업 테시안(Tessian)의 ‘잃어버린 시간’ 보고서를 살펴본다. 미국과 영국에 있는 300명의 CISO들을 대상으로 조사한 결과를 담은 이 보고서에 따르면 CISO들이 매주 평균적으로 계약한 것보다 11시간 이상을 근무하고 있으며 10%는 주당 20~24시간을 추가적으로 근무하고 있는 것으로 나타났다.  또한 42%는 추수감사절 또는 크리스마스 등의 공휴일에도 일했고, 40%는 일 때문에 가족 휴가를 가지 못했으며, CISO 중 59%는 업무 시간이 끝난 후 업무 생각을 떨쳐 버리기 위해 분투하고 있다고 말했다. IT자문 및 서비스 제공기업 데프트(Deft)의 CISO 토마스 존슨은 “CISO 번아웃은 분명 문제이다. 우리는 인재 부족, 재택근무, 국내뿐만이 아니라 국제적인 위협의 증가 등이 발생하고 있는 전례 없는 시대에 살고 있기 때문에 과거보다 더 큰 문제가 되고 있다. 이 모든 것이 보안 영역이 기학급수적으로 확대되고 있다는 점과 연관되어 있다”라고 말했다. 번아웃 수준에 도달한 (CISO를 포함한) 임직원에게는 개인적인 수준에서 문제가 발생할 수 있다. CISO로...

2022.02.09

인터뷰ㅣ“패치 속도보다 중단 제로에 주목” ARM CISO의 취약점 관리 전략

지난 2017년 ‘워너크라이(WannaCry)’ 공격은 英 반도체 회사 ARM에 경종을 울렸다. 이 회사가 전 세계 시스템을 무력화시킨 이 랜섬웨어 크립토웜(Ransomware Cryptoworm)에 대응하는 데 2주가 넘게 걸린 것이다. ARM의 해묵은 문제였던 부적절한 취약점 대응 역량이 여실히 드러난 순간이었다.    ARM의 CISO 팀 피츠제럴드는 “회사의 대응 역량이 제대로 기능하지 못했다. 반도체 IP 회사인 ARM의 과제였다. 즉, 핵심 시스템을 계속 실행해야 했기 때문에 패치 적용에 필요한 다운타임이 문제였다. 이 문제를 해결하는 게 목표였다”라고 밝혔다.  그는 2017년 9월 ARM의 첫 CISO이자 수석 부사장으로 합류했다. 이 직위는 해당 기업이 한층 철저한 보안 사건 대응과 전반적으로 성숙한 보안 운영이 필요하다는 점을 인식하면서 신설됐다는 게 피츠제럴드의 설명이다. 그는 취약점 관리 운영 전문성을 개발하는 등 이 2가지 니즈를 성공적으로 해결하고 있다고 덧붙였다.     패치 적용에 집중 피츠제럴드는 보안 기본 사항에 중점을 두는 일부터 시작했다고 말했다. 보안 기본 사항을 바로잡는다면 (물론 생각보다 더 어려운 일이지만) 위험의 상당 부분을 제거할 수 있을 것이고, 그렇게 되면 보안팀은 일반적으로 더 전문화된 스킬과 전문적인 전략이 필요한 나머지 위험에 집중할 수 있다고 그는 전했다.  이를 염두에 두고, 그는 먼저 패치 프로그램의 가시성을 높이고, 해당 프로세스를 개선하고자 했다. 이러한 작업은 쉽지 않은 게 보통이지만 ARM의 비즈니스 목표와 이를 지원하는 데 필요한 기술 환경 때문에 특히 어려웠다고 피츠제럴드는 언급했다.  이를테면 ARM은 수십만 개의 CPU로 구성되고 항상 95% 이상의 용량으로 실행되는 매우 복잡한 고성능 컴퓨팅 인프라를 활용한다. 그는 “유지 관리해야 하는 시스템이 굉장히 많고, 이는 기업 인프라의 최상위에 위치한다. 즉, 자사 제품...

보안 CSO CISO ARM 랜섬웨어 워너크라이 취약점 패치 회복탄력성

2022.01.24

지난 2017년 ‘워너크라이(WannaCry)’ 공격은 英 반도체 회사 ARM에 경종을 울렸다. 이 회사가 전 세계 시스템을 무력화시킨 이 랜섬웨어 크립토웜(Ransomware Cryptoworm)에 대응하는 데 2주가 넘게 걸린 것이다. ARM의 해묵은 문제였던 부적절한 취약점 대응 역량이 여실히 드러난 순간이었다.    ARM의 CISO 팀 피츠제럴드는 “회사의 대응 역량이 제대로 기능하지 못했다. 반도체 IP 회사인 ARM의 과제였다. 즉, 핵심 시스템을 계속 실행해야 했기 때문에 패치 적용에 필요한 다운타임이 문제였다. 이 문제를 해결하는 게 목표였다”라고 밝혔다.  그는 2017년 9월 ARM의 첫 CISO이자 수석 부사장으로 합류했다. 이 직위는 해당 기업이 한층 철저한 보안 사건 대응과 전반적으로 성숙한 보안 운영이 필요하다는 점을 인식하면서 신설됐다는 게 피츠제럴드의 설명이다. 그는 취약점 관리 운영 전문성을 개발하는 등 이 2가지 니즈를 성공적으로 해결하고 있다고 덧붙였다.     패치 적용에 집중 피츠제럴드는 보안 기본 사항에 중점을 두는 일부터 시작했다고 말했다. 보안 기본 사항을 바로잡는다면 (물론 생각보다 더 어려운 일이지만) 위험의 상당 부분을 제거할 수 있을 것이고, 그렇게 되면 보안팀은 일반적으로 더 전문화된 스킬과 전문적인 전략이 필요한 나머지 위험에 집중할 수 있다고 그는 전했다.  이를 염두에 두고, 그는 먼저 패치 프로그램의 가시성을 높이고, 해당 프로세스를 개선하고자 했다. 이러한 작업은 쉽지 않은 게 보통이지만 ARM의 비즈니스 목표와 이를 지원하는 데 필요한 기술 환경 때문에 특히 어려웠다고 피츠제럴드는 언급했다.  이를테면 ARM은 수십만 개의 CPU로 구성되고 항상 95% 이상의 용량으로 실행되는 매우 복잡한 고성능 컴퓨팅 인프라를 활용한다. 그는 “유지 관리해야 하는 시스템이 굉장히 많고, 이는 기업 인프라의 최상위에 위치한다. 즉, 자사 제품...

2022.01.24

쉬쉬하던 분위기 바뀐다··· CISO들이 개방과 소통을 지향하는 이유

보안 임원 채드 클리워는 2020년 12월 해킹 피해자로 지명된 기업들에 대한 기사를 접했다. 이내 그는, 추가 정보를 확인하고 조언을 전하려는 업계 동료들로부터 메시지를 받기 시작했다. 그는 오클라호마 킹피셔에 본사를 두고 있는 작은 통신 기업 파이오니어 텔레폰(Pioneer Telephone Cooperative Inc.)에서 근무하고 있다. 이렇듯 클리워에게는 동료 보안 리더들로 구성된 직종 내 정보 공유 커뮤니티가 구축돼 있다. 클리워는 소규모 광대역 제공자를 위한 ISAC(Information Sharing and Analysis Center) 사이버셰어(CyberShare)의 회원이었다. 또한 그는 IGO(InfraGard Oklahoma)와 CSCC(Communications Sector Coordinating Council)에 소속되어 있다. 그리고 그는 다른 보안 리더들과 정보를 나누는 소규모 친목 커뮤니티에도 속해 있다. 그는 그가 한 때 바빠서 이런 그룹의 중요성을 간과했다고 전했다. 하지만 솔라윈즈 이벤트처럼 커뮤니티의 유용성을 경험하면서 외부 활동의 필요성을 절감하게 됐다. 그는 “나는 현재 정보를 공유하고 공개하라고 설파하고 있다. 우리는 모두 같은 고통을 안고 있다. 우리가 이런 고통을 공유하고 신뢰할 수 있는 그룹에서 일부 부족한 점을 공유하여 다른 사람들이 같은 고통을 겪지 않도록 할 의지가 있는지가 중요하다”라고 말했다.   함께 앞서 나아가기 사이버 보안 실무자들 사이의 정보를 공유하는 트렌드는 정량화하기 어렵다. 이런 활동에 참여하고자 하는 의지를 측정하기란 사실상 불가능하다. 하지만 클리워와 다른 베테랑 보안 리더들은 한 때 운영, 내부적인 위협 활동, 전반적인 위협 영역 등에 관해 말을 아끼던 CISO들의 생각이 바뀌고 있다고 말했다. 특히 최근에 달라지고 있다. 현재 많은 CISO들이 여러 정보 공유 그룹에 속해 있으며 지금은 동료들에게 이를 추천하고 있고, 이것이 모두가 위협적인 악당들보다 앞서...

CISO ISAC 정보 공유 커뮤니티 피어 네트워크

2022.01.20

보안 임원 채드 클리워는 2020년 12월 해킹 피해자로 지명된 기업들에 대한 기사를 접했다. 이내 그는, 추가 정보를 확인하고 조언을 전하려는 업계 동료들로부터 메시지를 받기 시작했다. 그는 오클라호마 킹피셔에 본사를 두고 있는 작은 통신 기업 파이오니어 텔레폰(Pioneer Telephone Cooperative Inc.)에서 근무하고 있다. 이렇듯 클리워에게는 동료 보안 리더들로 구성된 직종 내 정보 공유 커뮤니티가 구축돼 있다. 클리워는 소규모 광대역 제공자를 위한 ISAC(Information Sharing and Analysis Center) 사이버셰어(CyberShare)의 회원이었다. 또한 그는 IGO(InfraGard Oklahoma)와 CSCC(Communications Sector Coordinating Council)에 소속되어 있다. 그리고 그는 다른 보안 리더들과 정보를 나누는 소규모 친목 커뮤니티에도 속해 있다. 그는 그가 한 때 바빠서 이런 그룹의 중요성을 간과했다고 전했다. 하지만 솔라윈즈 이벤트처럼 커뮤니티의 유용성을 경험하면서 외부 활동의 필요성을 절감하게 됐다. 그는 “나는 현재 정보를 공유하고 공개하라고 설파하고 있다. 우리는 모두 같은 고통을 안고 있다. 우리가 이런 고통을 공유하고 신뢰할 수 있는 그룹에서 일부 부족한 점을 공유하여 다른 사람들이 같은 고통을 겪지 않도록 할 의지가 있는지가 중요하다”라고 말했다.   함께 앞서 나아가기 사이버 보안 실무자들 사이의 정보를 공유하는 트렌드는 정량화하기 어렵다. 이런 활동에 참여하고자 하는 의지를 측정하기란 사실상 불가능하다. 하지만 클리워와 다른 베테랑 보안 리더들은 한 때 운영, 내부적인 위협 활동, 전반적인 위협 영역 등에 관해 말을 아끼던 CISO들의 생각이 바뀌고 있다고 말했다. 특히 최근에 달라지고 있다. 현재 많은 CISO들이 여러 정보 공유 그룹에 속해 있으며 지금은 동료들에게 이를 추천하고 있고, 이것이 모두가 위협적인 악당들보다 앞서...

2022.01.20

‘보안과 ESG 전략을 정렬하기’··· 앞선 CISO의 새로운 과제

ESG(environmental, social, and governance)에 대한 관심이 전방위로 고조되고 있다. CISO 또한 이제 보안 및 위험 전략을 수립함에 있어 ESG를 감안해야 한다.    KPMG의 사이버 서비스 수석 매튜 밀러는 작년에 고객사의 CISO로부터 낯선 요청을 받았다. 그 CISO는 ESG에 대한 자신의 관점을 묻는 한편, 이사회로부터의 ESG 질문에 응답하는 방법에 대한 조언을 원했다.  CISO가 이러한 질문을 제기한 사례는 처음이었다고 밀러가 말했다. 밀러는 “초기 단계이기는 하지만 이러한 대화가 출현하기 시작했고 없어지지 않을 것이다”라고 말했다. ESG는 환경, 사회, 정부 문제에 대한 회사의 정책 및 조치를 의미한다. ESG에 대한 관심이 투자자들의 전유물인 적인 있었다. 그들은 회사의 비즈니스를 탐색해 이것들이 잠재적인 미래의 수익을 지원하거나 저해할 수 있는지 판단했다. 하지만 시간이 지남에 따라 ESG에 대한 관심이 확대되었다. 일부 기업들도 비즈니스 파트너와 공급자뿐만이 아니라 인수 대상 등의 다른 기업을 ESG 지표에 기초하여 평가하고 있다. 그리고 이제는 일반 대중 및 직원들도 이를 확ㅇ인하고 있다. 소비자들은 점차 소비 결정을 내릴 때 조직의 ESG 정책을 살펴보고 있으며, 직원들은 회사를 고를 때 이를 고려한다. 수치로 드러나는 동향 통계에 따르면 다양한 이해관계자들의 관심이 높음이 드러난다. 전문 서비스 기업 PwC의 ‘2021년 글로벌 투자자 ESG 설문조사’에 따르면 조사한 투자자 중 79%가 회사가 ESG 위험과 기회를 관리하는 방법을 투자 의사결정의 중요한 요소로 보았다. 한편, PwC의 ‘2021년 ESG에 대한 소비자 정보 시리즈 설문조사’에서는 소비자 중 83%가 기업들이 ESG 모범 사례를 능동적으로 형성해야 한다고 말했으며 직원 중 86%는 자신과 같은 문제에 관심을 갖는 기업에서 근무하는 것을 선호하고 있었다. 이 모든 것들은 CISO에게 영향을 미...

ESG CISO 보안 전략

2022.01.06

ESG(environmental, social, and governance)에 대한 관심이 전방위로 고조되고 있다. CISO 또한 이제 보안 및 위험 전략을 수립함에 있어 ESG를 감안해야 한다.    KPMG의 사이버 서비스 수석 매튜 밀러는 작년에 고객사의 CISO로부터 낯선 요청을 받았다. 그 CISO는 ESG에 대한 자신의 관점을 묻는 한편, 이사회로부터의 ESG 질문에 응답하는 방법에 대한 조언을 원했다.  CISO가 이러한 질문을 제기한 사례는 처음이었다고 밀러가 말했다. 밀러는 “초기 단계이기는 하지만 이러한 대화가 출현하기 시작했고 없어지지 않을 것이다”라고 말했다. ESG는 환경, 사회, 정부 문제에 대한 회사의 정책 및 조치를 의미한다. ESG에 대한 관심이 투자자들의 전유물인 적인 있었다. 그들은 회사의 비즈니스를 탐색해 이것들이 잠재적인 미래의 수익을 지원하거나 저해할 수 있는지 판단했다. 하지만 시간이 지남에 따라 ESG에 대한 관심이 확대되었다. 일부 기업들도 비즈니스 파트너와 공급자뿐만이 아니라 인수 대상 등의 다른 기업을 ESG 지표에 기초하여 평가하고 있다. 그리고 이제는 일반 대중 및 직원들도 이를 확ㅇ인하고 있다. 소비자들은 점차 소비 결정을 내릴 때 조직의 ESG 정책을 살펴보고 있으며, 직원들은 회사를 고를 때 이를 고려한다. 수치로 드러나는 동향 통계에 따르면 다양한 이해관계자들의 관심이 높음이 드러난다. 전문 서비스 기업 PwC의 ‘2021년 글로벌 투자자 ESG 설문조사’에 따르면 조사한 투자자 중 79%가 회사가 ESG 위험과 기회를 관리하는 방법을 투자 의사결정의 중요한 요소로 보았다. 한편, PwC의 ‘2021년 ESG에 대한 소비자 정보 시리즈 설문조사’에서는 소비자 중 83%가 기업들이 ESG 모범 사례를 능동적으로 형성해야 한다고 말했으며 직원 중 86%는 자신과 같은 문제에 관심을 갖는 기업에서 근무하는 것을 선호하고 있었다. 이 모든 것들은 CISO에게 영향을 미...

2022.01.06

강은성의 보안 아키텍트ㅣ2022년 보안 위협 전망? 해 아래 새것이 없다! 

백신과 치료약이 우리를 코로나19에서 해방해줄 거라는 희망이 희망 고문으로 끝나가는 한 해다. 백신은 부족하나마 바닥을 기던 우리 삶의 질을 조금 높여줬음에도 치료약이 지지부진하기 때문이다. 그래도 들리는 몇 가지 반가운 소식이 새해에는 어느새 우리 현실로 다가올 수 있기를 희망해 본다.   지난 2년 동안 주간 개인정보 뉴스레터를 만드느라 매주 개인정보 사고와 규제 등 개인정보 관련 뉴스를 찾아보고, 매달 기고를 위해 국내외 보안 위협 관련 이슈를 분석하면서 한 가지 깨달음을 얻었다.   “해 아래 새것이 없다!” 새해 보안 위협을 전망하는 것은 미래의 예측력을 자랑하기 위해서가 아니라 각 조직에서 어떤 보안 목표와 전략을 세우고, 보안 투자를 결정하는 데 도움이 되기 위해서일 것이다. 하지만 미래를 예측하는 것은 쉽지 않다. 분명한 것은 올해의 보안 위협은 작년의 연장선 위에 있다는 것이다. 물론 새롭게 나타난 것도 있지만 말이다. 이번 달 칼럼에서 올해의 보안 위협을 좀 더 상세하게 정리해 보려고 한 이유다. 굳이 새해 보안 위협 전망을 하지 않더라도 자연스럽게 새해의 보안 이슈를 조망해 볼 수 있지 않을까 한다. 2021년 ‘올해의 보안 위협’은 작년에 이어 단연코 랜섬웨어다. 랜섬웨어는 미국 대형 보험사 CNA(3월), 세계를 떠들썩하게 했던 미국 송유관 업체 콜로니얼 파이프라인과 세계적인 프랑스 보험사 AXA(5월), 세계 최대의 브라질 육류가공회사 JBS SA(6월) 등 세계적으로 막대한 피해를 줬고, 2020년 11월 대형 유통기업에 이어 국내 자동차 기업의 국외 법인(2월), 10위권의 배달대행업체(5월) 등 국내에서도 피해가 커서 과학기술정보통신부에서 ‘랜섬웨어 대응 지원반’을 운영하기도 했다. 지능형 표적 공격을 통한 랜섬웨어 유포, 서비스형 랜섬웨어 확산, 중요 정보를 훔친 뒤 암호화와 디도스 공격으로 협박하는 이중·삼중 갈취형 랜섬웨어 공격은 범인이 피해자에게 본인 물건을 돈을 내고 도로 사가라는 파렴치...

강은성 강은성의 보안 아키텍트 랜섬웨어 보안 위협 CSO CISO 지능형 표적 공격 디도스 공격 공급망 공격 악성코드 개인정보 유출

2021.12.31

백신과 치료약이 우리를 코로나19에서 해방해줄 거라는 희망이 희망 고문으로 끝나가는 한 해다. 백신은 부족하나마 바닥을 기던 우리 삶의 질을 조금 높여줬음에도 치료약이 지지부진하기 때문이다. 그래도 들리는 몇 가지 반가운 소식이 새해에는 어느새 우리 현실로 다가올 수 있기를 희망해 본다.   지난 2년 동안 주간 개인정보 뉴스레터를 만드느라 매주 개인정보 사고와 규제 등 개인정보 관련 뉴스를 찾아보고, 매달 기고를 위해 국내외 보안 위협 관련 이슈를 분석하면서 한 가지 깨달음을 얻었다.   “해 아래 새것이 없다!” 새해 보안 위협을 전망하는 것은 미래의 예측력을 자랑하기 위해서가 아니라 각 조직에서 어떤 보안 목표와 전략을 세우고, 보안 투자를 결정하는 데 도움이 되기 위해서일 것이다. 하지만 미래를 예측하는 것은 쉽지 않다. 분명한 것은 올해의 보안 위협은 작년의 연장선 위에 있다는 것이다. 물론 새롭게 나타난 것도 있지만 말이다. 이번 달 칼럼에서 올해의 보안 위협을 좀 더 상세하게 정리해 보려고 한 이유다. 굳이 새해 보안 위협 전망을 하지 않더라도 자연스럽게 새해의 보안 이슈를 조망해 볼 수 있지 않을까 한다. 2021년 ‘올해의 보안 위협’은 작년에 이어 단연코 랜섬웨어다. 랜섬웨어는 미국 대형 보험사 CNA(3월), 세계를 떠들썩하게 했던 미국 송유관 업체 콜로니얼 파이프라인과 세계적인 프랑스 보험사 AXA(5월), 세계 최대의 브라질 육류가공회사 JBS SA(6월) 등 세계적으로 막대한 피해를 줬고, 2020년 11월 대형 유통기업에 이어 국내 자동차 기업의 국외 법인(2월), 10위권의 배달대행업체(5월) 등 국내에서도 피해가 커서 과학기술정보통신부에서 ‘랜섬웨어 대응 지원반’을 운영하기도 했다. 지능형 표적 공격을 통한 랜섬웨어 유포, 서비스형 랜섬웨어 확산, 중요 정보를 훔친 뒤 암호화와 디도스 공격으로 협박하는 이중·삼중 갈취형 랜섬웨어 공격은 범인이 피해자에게 본인 물건을 돈을 내고 도로 사가라는 파렴치...

2021.12.31

풍요 속 빈곤··· 제대로 된 ‘CISO’ 일자리 찾으려면?

때때로 ‘최고정보보호책임자(Chief Information Security Officer; CISO)’라고 했지만 실제로는 CISO가 아니거나, 역할에 필요한 권한 및 리소스를 제공받지 못하는 경우가 있다. 이러한 상황을 피할 수 있는 방법은 다음과 같다.  CISO가 새로운 일자리를 찾을 때 알아둬야 할 사항은 ‘C-레벨 보안 전문가가 귀중하다’라는 점이다. 시간이 걸리더라도 좋은 직장을 까다롭게 구하라는 의미다. CISO 역할을 개척한 스티브 카츠는 “배고플 땐 쇼핑하지 마라”라고 말했다. 왜냐하면 CISO 일자리가 많긴 하지만 동등하진 않기 때문이다. 링크드인에서 검색만 해보더라도 1,000개 이상의 CISO 관련 일자리가 나오는데, 임원급이 대부분이다. 반면에 인디드닷컴에서는 4,000개 이상의 CISO 관련 일자리가 검색되긴 하지만 임원급이 아닌 게 많고 심지어 관리자급도 아니다. 이는 CISO가 새로운 일자리를 찾을 때 고려해야 할 중요한 부분이라고 전문가들은 언급했다. 이사회에 참여하고 CEO와 직간접적으로 연결된 진정한 C-레벨인가? 아니면 과장된 타이틀에 불과한가? (기업에서 규제 요건을 충족하기 위해 몸만 있으면 되는 전리품일 수도 있다.)     C-레벨 지위가 빠져 있는가? 美 캘리포니아주 오렌지카운티의 명문 사립대 채프먼대학교(Chapman University)의 CISO 조지 비거스는 “CISO가 조직 내에서 어디에 위치하는지 파악하면 해당 기업이 보안에 얼마나 투자했는지 알 수 있어서 ‘CISO가 누구에게 보고하는가?’를 가장 먼저 질문한다”라면서, “CISO가 CEO에게 보고하면 실질적으로 C-레벨급이라는 점을 알 수 있다. 반면에 CISO가 재무, 위험, 컴플라이언스에 보고한다면 경영진에서 배제돼 있다는 뜻이다”라고 전했다. 지난 2020년 말 발표된 포레스터의 보고서에 따르면 C-레벨로 간주되는 CISO는 13%에 불과했다. CISO 역할에 필요한 영향력 및 지원을 확보하고 있는 C-레벨급 ...

CSO CISO 보안 사이버 보안 C-레벨 커리어 최고정보보호책임자

2021.12.29

때때로 ‘최고정보보호책임자(Chief Information Security Officer; CISO)’라고 했지만 실제로는 CISO가 아니거나, 역할에 필요한 권한 및 리소스를 제공받지 못하는 경우가 있다. 이러한 상황을 피할 수 있는 방법은 다음과 같다.  CISO가 새로운 일자리를 찾을 때 알아둬야 할 사항은 ‘C-레벨 보안 전문가가 귀중하다’라는 점이다. 시간이 걸리더라도 좋은 직장을 까다롭게 구하라는 의미다. CISO 역할을 개척한 스티브 카츠는 “배고플 땐 쇼핑하지 마라”라고 말했다. 왜냐하면 CISO 일자리가 많긴 하지만 동등하진 않기 때문이다. 링크드인에서 검색만 해보더라도 1,000개 이상의 CISO 관련 일자리가 나오는데, 임원급이 대부분이다. 반면에 인디드닷컴에서는 4,000개 이상의 CISO 관련 일자리가 검색되긴 하지만 임원급이 아닌 게 많고 심지어 관리자급도 아니다. 이는 CISO가 새로운 일자리를 찾을 때 고려해야 할 중요한 부분이라고 전문가들은 언급했다. 이사회에 참여하고 CEO와 직간접적으로 연결된 진정한 C-레벨인가? 아니면 과장된 타이틀에 불과한가? (기업에서 규제 요건을 충족하기 위해 몸만 있으면 되는 전리품일 수도 있다.)     C-레벨 지위가 빠져 있는가? 美 캘리포니아주 오렌지카운티의 명문 사립대 채프먼대학교(Chapman University)의 CISO 조지 비거스는 “CISO가 조직 내에서 어디에 위치하는지 파악하면 해당 기업이 보안에 얼마나 투자했는지 알 수 있어서 ‘CISO가 누구에게 보고하는가?’를 가장 먼저 질문한다”라면서, “CISO가 CEO에게 보고하면 실질적으로 C-레벨급이라는 점을 알 수 있다. 반면에 CISO가 재무, 위험, 컴플라이언스에 보고한다면 경영진에서 배제돼 있다는 뜻이다”라고 전했다. 지난 2020년 말 발표된 포레스터의 보고서에 따르면 C-레벨로 간주되는 CISO는 13%에 불과했다. CISO 역할에 필요한 영향력 및 지원을 확보하고 있는 C-레벨급 ...

2021.12.29

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.13