Offcanvas

CISO

보안 리더가 흔히 범하는 ‘취약성 관리’ 실수 10가지

신용 보고 기관 에퀴팩스(Equifax)에서 발생한 2017년의 대규모 데이터 유출을 비롯해, 다수의 유출 사고가 패치 되지 않은 취약성으로 인해 발생했다. 2019년 트립와이어(Tripwire)의 조사에 따르면 전체 유출 중 27%는 패치 되지 않은 취약성에 의해 발생했으며, 2018년 포네몬(Ponemon)의 조사에서는 60%라는 엄청난 수치를 기록했다. 보안 전문가에게는 전혀 놀라운 이야기가 아닐 것이다. 지난 7년 동안 매년 확인되는 취약성의 수가 증가했다. 이와 동시에 보안팀들은 안전한 재택근무를 지원하고 다른 팬데믹 관련 필요를 해결하면서 인재 채용 문제까지 처리하느라 매우 바쁜 상황이다. 즉 취약성 관리 프로그램 개선이 최우선순위가 아닌 시절이었다. 베테랑 보안 책임자들은 보편적인 실수가 이어지는 가운데 해결할 방안이 있다고 조언하고 있다. 보안 리더가 자주 범하는 10가지 실수를 살펴본다.   임원의 지원 확보 실패 좋은 취약성 관리 프로그램에는 보안팀만으로는 부족하다. 위험 관련 결정에는 임원의 참여가 필요하며, 패치는 IT 전문지식이 필요하다. 업데이트로 인한 다운타임은 여러 비즈니스 기능에 영향을 미친다. 즉 이 작업을 잘 수행하기 위해서는 조직 내 여러 구성원의 지원이 필요하며, 그들은 기업 내 최상위 리더들로부터 이런 노력을 위한 지원을 확보할 때 지원을 받을 가능성이 높다고 관리형 서비스 제공자 쓰라이브(Thrive)의 CTO 마이클 그레이가 말했다. 취약성 관리 노력에 대한 임원 수준의 지원을 받지 못한 CISO는 IT 및 비즈니스 부서의 반발로 인해 방해를 받을 수 있다. 하지만 좋은 소식도 있다. 사이버 보안이 이사회 수준의 우려사항이 되면서 CISO들이 점차 필요한 임원 지원을 확보하고 있다. 실제로 가트너의 2021년 임원 설문조사에 따르면, 이사회 중 88%가 현재 사이버 보안을 비즈니스 위험으로 보고 있었다. 공동 책임감 조성하지 않기 언더 아머(Under Armour)의 CISO 알렉스 아투말릴리...

취약성 취약점 관리 VM CISO

2022.06.16

신용 보고 기관 에퀴팩스(Equifax)에서 발생한 2017년의 대규모 데이터 유출을 비롯해, 다수의 유출 사고가 패치 되지 않은 취약성으로 인해 발생했다. 2019년 트립와이어(Tripwire)의 조사에 따르면 전체 유출 중 27%는 패치 되지 않은 취약성에 의해 발생했으며, 2018년 포네몬(Ponemon)의 조사에서는 60%라는 엄청난 수치를 기록했다. 보안 전문가에게는 전혀 놀라운 이야기가 아닐 것이다. 지난 7년 동안 매년 확인되는 취약성의 수가 증가했다. 이와 동시에 보안팀들은 안전한 재택근무를 지원하고 다른 팬데믹 관련 필요를 해결하면서 인재 채용 문제까지 처리하느라 매우 바쁜 상황이다. 즉 취약성 관리 프로그램 개선이 최우선순위가 아닌 시절이었다. 베테랑 보안 책임자들은 보편적인 실수가 이어지는 가운데 해결할 방안이 있다고 조언하고 있다. 보안 리더가 자주 범하는 10가지 실수를 살펴본다.   임원의 지원 확보 실패 좋은 취약성 관리 프로그램에는 보안팀만으로는 부족하다. 위험 관련 결정에는 임원의 참여가 필요하며, 패치는 IT 전문지식이 필요하다. 업데이트로 인한 다운타임은 여러 비즈니스 기능에 영향을 미친다. 즉 이 작업을 잘 수행하기 위해서는 조직 내 여러 구성원의 지원이 필요하며, 그들은 기업 내 최상위 리더들로부터 이런 노력을 위한 지원을 확보할 때 지원을 받을 가능성이 높다고 관리형 서비스 제공자 쓰라이브(Thrive)의 CTO 마이클 그레이가 말했다. 취약성 관리 노력에 대한 임원 수준의 지원을 받지 못한 CISO는 IT 및 비즈니스 부서의 반발로 인해 방해를 받을 수 있다. 하지만 좋은 소식도 있다. 사이버 보안이 이사회 수준의 우려사항이 되면서 CISO들이 점차 필요한 임원 지원을 확보하고 있다. 실제로 가트너의 2021년 임원 설문조사에 따르면, 이사회 중 88%가 현재 사이버 보안을 비즈니스 위험으로 보고 있었다. 공동 책임감 조성하지 않기 언더 아머(Under Armour)의 CISO 알렉스 아투말릴리...

2022.06.16

'기후 변화'는 이제 CISO의 의제다··· 4가지 이유

기후 변화가 사이버보안과 높은 관련성을 가지지는 않는다. 그러나, 기후 변화로 인한 영향을 보안 부문에서 인식하고 해결해야 할 필요성이 커지고 있다. 세계기상기구(WMO) ‘신규 보고서’에 따르면 향후 5년 동안 전세계 평균 표면 온도가 이례적인 수준으로 상승할 가능성이 높다. 최초로 산업화 전 평균값보다 1.5°C 넘어설 확률이 50%이다. 사이버보안 지형은 이미 복잡하다. 여기에 변화하는 기상 패턴, 자원 가용성, 집단 이주와 같은 기후 관련 요인도 감안해야 할 수 있다. 이들 요인으로 새로운 위협이나 고조된 위협이 등장하면서 사이버보안의 양상이 달라질 수 있기 때문이다. 사이버보안 전문가 클로에 메스다기는, 그러나 기후 변화가 대부분의 기업 내 이사회와 팀에서 거의 논의되지 않는 주제라고 지적했다. 그녀는 최근 블로그 게시물에서 “내가 만나 본 사이버보안 부문의 여러 임원들은 기후 변화가 미칠 잠재적인 영향에 대한 논의를 아직 하지 않았다. 기후 변화에 대한 언급은 대개 묵살된다. 기후 변화의 존재를 부인하는 의견이나 잠재적 위험성에 대한 무지가 주요 이유”라고 기술했다. 메스다기는 기후 변화가 사이버보안 분야의 잠재적 주요 과제에 속하며 각 기업은 이 주제의 논의 우선순위를 높여야 한다고 강조했다. 사이버보안 분야가 기후 변화를 무시하지 않아야 할 이유 4가지를 살펴본다.   이유 1 : 중요 자원을 노린 공격 기후 변화로 인한 중요한 충격 중 하나는 기후 변화가 핵심 자원에 대한 접근성에 영향을 미치기 때문이다. 예를 들어, 가뭄이 지속되면 깨끗한 물에 대한 접근이 제한될 수 있고 폭풍우로 전기 및 가스 배선이 파손되면 에너지 공급이 끊길 가능성이 있다. 중요 자원이 위협을 받으면 중요 자원 자체와 이를 공급하는 시스템은 혼란을 야기하려는 악성 사이버 공격자들에게 매우 매력적인 표적이 된다. 메스다기는 대표적인 예로 캘리포니아의 가뭄을 들었다. “수자원은 매우 제한됨에 따라 보호해야 할 대상이 됐다. 향후 적성국이 캘리포니아를 공...

기후변화 CISO 공급망 에너지

2022.06.07

기후 변화가 사이버보안과 높은 관련성을 가지지는 않는다. 그러나, 기후 변화로 인한 영향을 보안 부문에서 인식하고 해결해야 할 필요성이 커지고 있다. 세계기상기구(WMO) ‘신규 보고서’에 따르면 향후 5년 동안 전세계 평균 표면 온도가 이례적인 수준으로 상승할 가능성이 높다. 최초로 산업화 전 평균값보다 1.5°C 넘어설 확률이 50%이다. 사이버보안 지형은 이미 복잡하다. 여기에 변화하는 기상 패턴, 자원 가용성, 집단 이주와 같은 기후 관련 요인도 감안해야 할 수 있다. 이들 요인으로 새로운 위협이나 고조된 위협이 등장하면서 사이버보안의 양상이 달라질 수 있기 때문이다. 사이버보안 전문가 클로에 메스다기는, 그러나 기후 변화가 대부분의 기업 내 이사회와 팀에서 거의 논의되지 않는 주제라고 지적했다. 그녀는 최근 블로그 게시물에서 “내가 만나 본 사이버보안 부문의 여러 임원들은 기후 변화가 미칠 잠재적인 영향에 대한 논의를 아직 하지 않았다. 기후 변화에 대한 언급은 대개 묵살된다. 기후 변화의 존재를 부인하는 의견이나 잠재적 위험성에 대한 무지가 주요 이유”라고 기술했다. 메스다기는 기후 변화가 사이버보안 분야의 잠재적 주요 과제에 속하며 각 기업은 이 주제의 논의 우선순위를 높여야 한다고 강조했다. 사이버보안 분야가 기후 변화를 무시하지 않아야 할 이유 4가지를 살펴본다.   이유 1 : 중요 자원을 노린 공격 기후 변화로 인한 중요한 충격 중 하나는 기후 변화가 핵심 자원에 대한 접근성에 영향을 미치기 때문이다. 예를 들어, 가뭄이 지속되면 깨끗한 물에 대한 접근이 제한될 수 있고 폭풍우로 전기 및 가스 배선이 파손되면 에너지 공급이 끊길 가능성이 있다. 중요 자원이 위협을 받으면 중요 자원 자체와 이를 공급하는 시스템은 혼란을 야기하려는 악성 사이버 공격자들에게 매우 매력적인 표적이 된다. 메스다기는 대표적인 예로 캘리포니아의 가뭄을 들었다. “수자원은 매우 제한됨에 따라 보호해야 할 대상이 됐다. 향후 적성국이 캘리포니아를 공...

2022.06.07

블로그ㅣ사이버 보안이 ‘비즈니스와 정렬’된다는 의미는?

보안이 비즈니스 목표 달성에 어떻게 도움을 주는지 보여주는 것은 2단계 프로세스로 이뤄진다. 첫째, 비즈니스 언어로 말해야 하고, 둘째, 가치 창출을 입증하는 비용-편익 분석을 수행해야 한다.  사이버 보안 리더들 사이에서 흔하게 하는 말이 있다. ‘비즈니스와 정렬하는 법을 배워야 한다(We have to learn to align with the business)’라는 것이다. 안타깝게도, 사이버 보안 부분의 리더들은 많은 시간을 비즈니스가 ‘사이버 보안과 정렬’되도록 하는 데 쓰고, 그렇게 되지 않을 때 좌절감을 느끼는 듯하다.    ‘그렇게 되지 않는’ 이유는 비즈니스 부문처럼 말하려고 하지 않거나 또는 그렇게 말할 수 없기 때문이다. 현실은 사이버 보안이 비용 센터(Cost Center), 즉 소위 말해서 돈만 축내는 곳이라는 점이다. 게다가 그 가치를 인지시키기가 매우 어려울 수 있는 비용 센터이기도 하다.  사이버 보안을 비즈니스에 정렬하는 2단계  기본적인 수준에서 사이버 보안을 비즈니스와 정렬하는 것은 2단계 프로세스로 이뤄진다. 비즈니스 언어를 이해하는 게 첫 번째다. 모든 기업의 공통어는 재무다. 이는 사이버 보안 리더들의 가장 큰 과제가 될 수 있다. 대부분의 산업에는 자체적인 비용 효율성 측정 방법이 있다. 예를 들면 소매업의 단위 면적당 매출액, 의료업의 환자당 치료 비용 등이다. 사이버 보안에서도 다른 비즈니스 부문 또는 사업부처럼 행동해야 한다.  두 번째는 이익이 아닌 가치 방식으로 편익-비용 분석과 ROI를 결정하는 방법 및 측정 기준을 개발하는 것이다. 활동기준원가계산(ABC) 등을 사용하여 비용을 계산하고, 손익 분기점 분석을 활용하여 투자를 평가하는 것으로 시작할 수 있다. 이는 지출 금액을 결정하고 투자가 ‘그럴 만한 가치가 있는지’ 정성적으로 판단하는 것만큼이나 간단할 수 있다.  아울러 이 지점에서 (감소시키고자 하는) 위험의 하한선에 도달하게 된...

사이버 보안 비즈니스 정렬 CISO 비용 센터 비즈니스 언어 ROI

2022.05.30

보안이 비즈니스 목표 달성에 어떻게 도움을 주는지 보여주는 것은 2단계 프로세스로 이뤄진다. 첫째, 비즈니스 언어로 말해야 하고, 둘째, 가치 창출을 입증하는 비용-편익 분석을 수행해야 한다.  사이버 보안 리더들 사이에서 흔하게 하는 말이 있다. ‘비즈니스와 정렬하는 법을 배워야 한다(We have to learn to align with the business)’라는 것이다. 안타깝게도, 사이버 보안 부분의 리더들은 많은 시간을 비즈니스가 ‘사이버 보안과 정렬’되도록 하는 데 쓰고, 그렇게 되지 않을 때 좌절감을 느끼는 듯하다.    ‘그렇게 되지 않는’ 이유는 비즈니스 부문처럼 말하려고 하지 않거나 또는 그렇게 말할 수 없기 때문이다. 현실은 사이버 보안이 비용 센터(Cost Center), 즉 소위 말해서 돈만 축내는 곳이라는 점이다. 게다가 그 가치를 인지시키기가 매우 어려울 수 있는 비용 센터이기도 하다.  사이버 보안을 비즈니스에 정렬하는 2단계  기본적인 수준에서 사이버 보안을 비즈니스와 정렬하는 것은 2단계 프로세스로 이뤄진다. 비즈니스 언어를 이해하는 게 첫 번째다. 모든 기업의 공통어는 재무다. 이는 사이버 보안 리더들의 가장 큰 과제가 될 수 있다. 대부분의 산업에는 자체적인 비용 효율성 측정 방법이 있다. 예를 들면 소매업의 단위 면적당 매출액, 의료업의 환자당 치료 비용 등이다. 사이버 보안에서도 다른 비즈니스 부문 또는 사업부처럼 행동해야 한다.  두 번째는 이익이 아닌 가치 방식으로 편익-비용 분석과 ROI를 결정하는 방법 및 측정 기준을 개발하는 것이다. 활동기준원가계산(ABC) 등을 사용하여 비용을 계산하고, 손익 분기점 분석을 활용하여 투자를 평가하는 것으로 시작할 수 있다. 이는 지출 금액을 결정하고 투자가 ‘그럴 만한 가치가 있는지’ 정성적으로 판단하는 것만큼이나 간단할 수 있다.  아울러 이 지점에서 (감소시키고자 하는) 위험의 하한선에 도달하게 된...

2022.05.30

'기업 데이터 보안의 3T'··· 우버 전 CSO의 재판의 교훈

모든 CISO와 CSO가 기업 및 데이터를 안전하게 유지하기 위해 반드시 수용해야 하는 3가지 ‘T’가 있다. 바로 진실(truth), 투명성(transparency), 신뢰(trust)다. 3가지 T를 준수하지 않으면 기업에 심각한 결과를 초래할 수 있다. 적절한 사례가 있다. 미국 연방 판사는 최근 우버 테크놀로지스의 전 CSO 조셉 설리번(2015년 4월부터 2017년 11월까지 CSO 직책을 맡음)과 관련한 재판에서 설리번에게 다가오는 형사 재판에서 자신을 변호하기 위해 요청한 수많은 미편집 우버 문서를 검토하라고 명령했다.   우버의 전임 CSO에 대한 소송 우선 소송의 배경을 살펴보자. 우버의 전 CSO 조셉 설리번은 2016년 우버의 데이터 유출에 처리와 관련한 5건의 중죄로 기소됐다. 2021년 12월 제출된 법원 문서에 따르면, 설리번은 ‘데이터 유출이 공개되지 않도록 은폐하고, 연방거래위원회(FTC)와 피해를 입은 사용자와 운전자에게 노출되지 않도록 설계된 계획에 관여했다’는 혐의를 받는다. 더군다나 해킹에 영향을 미치고 비공개적으로 금전 지불을 요구한 것으로 추정되는 2명은 우버의 버그 바운티 프로그램으로 10만 달러를 수령한 것으로 알려졌다. 이들은 토론토에 거주하는 캐나다 시민권자 바실 메레아커와 미국 플로리다주에 거주하는 브랜든 글로버로, 이후 링크드인 교육사이트 린다닷컴(Lynda.com) 유출 건으로 기소된 인물들이다. 우버의 뒤늦은 유출 통지  당시 우버의 신임 CEO 다라 코스로샤히는 2017년 11월 데이터 유출에 관한 정황을 공개하며 경고 고치를 1년이 지나서야 취하는 것임을 인정했다. 유출 당시 사내에서 이루어진 논의에서는 해당 사건을 유출이 아닌 ‘버그 바운티’ 지불로 분류했기 때문에 공개할 필요가 없다고 판단한 것으로 보인다. 단어의 의미론적인 부분이나 속임수, 후속 해결 조치, 그리고 코스로샤히의 진술에서 이런 관행이 작용하고 있을 수 있음을 알 수 있다. 유출된 정보에는 전 세계 5,7...

우버 소송 CISO

2022.05.24

모든 CISO와 CSO가 기업 및 데이터를 안전하게 유지하기 위해 반드시 수용해야 하는 3가지 ‘T’가 있다. 바로 진실(truth), 투명성(transparency), 신뢰(trust)다. 3가지 T를 준수하지 않으면 기업에 심각한 결과를 초래할 수 있다. 적절한 사례가 있다. 미국 연방 판사는 최근 우버 테크놀로지스의 전 CSO 조셉 설리번(2015년 4월부터 2017년 11월까지 CSO 직책을 맡음)과 관련한 재판에서 설리번에게 다가오는 형사 재판에서 자신을 변호하기 위해 요청한 수많은 미편집 우버 문서를 검토하라고 명령했다.   우버의 전임 CSO에 대한 소송 우선 소송의 배경을 살펴보자. 우버의 전 CSO 조셉 설리번은 2016년 우버의 데이터 유출에 처리와 관련한 5건의 중죄로 기소됐다. 2021년 12월 제출된 법원 문서에 따르면, 설리번은 ‘데이터 유출이 공개되지 않도록 은폐하고, 연방거래위원회(FTC)와 피해를 입은 사용자와 운전자에게 노출되지 않도록 설계된 계획에 관여했다’는 혐의를 받는다. 더군다나 해킹에 영향을 미치고 비공개적으로 금전 지불을 요구한 것으로 추정되는 2명은 우버의 버그 바운티 프로그램으로 10만 달러를 수령한 것으로 알려졌다. 이들은 토론토에 거주하는 캐나다 시민권자 바실 메레아커와 미국 플로리다주에 거주하는 브랜든 글로버로, 이후 링크드인 교육사이트 린다닷컴(Lynda.com) 유출 건으로 기소된 인물들이다. 우버의 뒤늦은 유출 통지  당시 우버의 신임 CEO 다라 코스로샤히는 2017년 11월 데이터 유출에 관한 정황을 공개하며 경고 고치를 1년이 지나서야 취하는 것임을 인정했다. 유출 당시 사내에서 이루어진 논의에서는 해당 사건을 유출이 아닌 ‘버그 바운티’ 지불로 분류했기 때문에 공개할 필요가 없다고 판단한 것으로 보인다. 단어의 의미론적인 부분이나 속임수, 후속 해결 조치, 그리고 코스로샤히의 진술에서 이런 관행이 작용하고 있을 수 있음을 알 수 있다. 유출된 정보에는 전 세계 5,7...

2022.05.24

'솔라윈즈 해킹' 관련 소송 점화… CISO가 배워야 할 6가지 교훈

2020년 솔라윈즈 해킹은 전 세계적으로 큰 영향을 미쳤다. 전방위적인 개선 노력에 공공 및 민간 부문의 자원이 투입됐으며, 솔라윈즈의 주가에도 부정적인 영향을 미쳤다. 그 결과 솔라윈즈를 상대로 민사 소송이 뒤따랐다. 이에 솔라윈즈 CISO 팀 브라운, 사모펀드 회사 실버 레이크(Silver Lake)와 토마 브라보(Thoma Bravo)는 소송 기각을 요청했다. 하지만 미 연방법원이 이를 거부함에 따라 솔라윈즈 해킹과 관련한 소송이 시작될 참이다.   보안 업체 레드포인트 사이버시큐리티(Redpoint Cybersecurity)의 고객 참여 담당 사이버보안 및 개인정보보호 변호사 바이올렛 설리번은 판사가 원고들에게 “청구권이 있을 수 있다고 판단해 심리하려고 하는 것이다. 흥미로운 것은 판결 결과가 아니라 판결 과정에서 발견되는 사항들일 것이다. 이 소송에서는 다음과 같은 질문을 할 수 있다. ‘침해가 발견되는 동안 포렌식 보고서를 마련했는가’, ‘포렌식 보고서에 변호사-의뢰인 비밀 보호 제도가 적용되는가’이다”라고 말했다.  핵심 질문 : 솔라윈즈는 보안 절차를 무시했는가? 소송 기각 요청을 거부한 판사는 모든 CISO가 두려워하는 것, 즉 기본적인 사이버보안 방안을 구현하는 과정에서 직원이 ‘지름길’을 택했는지에 집중했다. 비밀번호 관리에는 대가가 따른다. 솔라윈즈는 보안 연구원이 2019년 11월 ‘업데이트 서버’에서 발견한 악명 높은 암호 ‘solarwinds123’이 통보된 지 한 시간 이내에 해당 비밀번호를 변경했으며, 러시아의 솔라윈즈 침해와 해당 비밀번호는 관련이 없다고 선을 그었다. 그러나 설리번은 “업데이트 서버의 비밀번호 문제는 단지 진입점일 뿐”이라고 말했다. 판사는 ‘근본적인 보안 문제에 대한 혐의(예컨대 solarwinds123 비밀번호 침해)’만으로 솔라윈즈의 보안 문제가 직접적으로 손실을 일으켰다고 볼 필요는 없다고 판단했다. 다만 이런 혐의는 솔라윈즈 경영진이 무엇인가가 심각할 정도로 잘못되었다는 것을...

솔라윈즈 CISO 보안

2022.04.27

2020년 솔라윈즈 해킹은 전 세계적으로 큰 영향을 미쳤다. 전방위적인 개선 노력에 공공 및 민간 부문의 자원이 투입됐으며, 솔라윈즈의 주가에도 부정적인 영향을 미쳤다. 그 결과 솔라윈즈를 상대로 민사 소송이 뒤따랐다. 이에 솔라윈즈 CISO 팀 브라운, 사모펀드 회사 실버 레이크(Silver Lake)와 토마 브라보(Thoma Bravo)는 소송 기각을 요청했다. 하지만 미 연방법원이 이를 거부함에 따라 솔라윈즈 해킹과 관련한 소송이 시작될 참이다.   보안 업체 레드포인트 사이버시큐리티(Redpoint Cybersecurity)의 고객 참여 담당 사이버보안 및 개인정보보호 변호사 바이올렛 설리번은 판사가 원고들에게 “청구권이 있을 수 있다고 판단해 심리하려고 하는 것이다. 흥미로운 것은 판결 결과가 아니라 판결 과정에서 발견되는 사항들일 것이다. 이 소송에서는 다음과 같은 질문을 할 수 있다. ‘침해가 발견되는 동안 포렌식 보고서를 마련했는가’, ‘포렌식 보고서에 변호사-의뢰인 비밀 보호 제도가 적용되는가’이다”라고 말했다.  핵심 질문 : 솔라윈즈는 보안 절차를 무시했는가? 소송 기각 요청을 거부한 판사는 모든 CISO가 두려워하는 것, 즉 기본적인 사이버보안 방안을 구현하는 과정에서 직원이 ‘지름길’을 택했는지에 집중했다. 비밀번호 관리에는 대가가 따른다. 솔라윈즈는 보안 연구원이 2019년 11월 ‘업데이트 서버’에서 발견한 악명 높은 암호 ‘solarwinds123’이 통보된 지 한 시간 이내에 해당 비밀번호를 변경했으며, 러시아의 솔라윈즈 침해와 해당 비밀번호는 관련이 없다고 선을 그었다. 그러나 설리번은 “업데이트 서버의 비밀번호 문제는 단지 진입점일 뿐”이라고 말했다. 판사는 ‘근본적인 보안 문제에 대한 혐의(예컨대 solarwinds123 비밀번호 침해)’만으로 솔라윈즈의 보안 문제가 직접적으로 손실을 일으켰다고 볼 필요는 없다고 판단했다. 다만 이런 혐의는 솔라윈즈 경영진이 무엇인가가 심각할 정도로 잘못되었다는 것을...

2022.04.27

인터뷰 | “블랙스완조차 대비해야 한다” VM웨어 카렌 워스텔 보안 전략가

“오늘날 보안팀과 그들이 속한 조직은 현재 제로데이(Zero Day) 세계에 살고 있다.” 카렌 F. 워스텔은 오늘날의 보안 지형에 대해 냉정하게 바라본다. 그녀는 “그것이 우리의 새로운 현실이며, 우리는 유출을 가정하고 운영해야 한다”라고 말했다. 그녀는 또 오늘날 CISO들이 각종 기술 부채와 제한적인 예산뿐 아니라 비즈니스 속도 저하 없이 보안을 확보해야 한다는 기대에 맞닥뜨리고 있는 상황이라고 진단했다. 이 모든 것들을 고려할 때 보안 분야가 직면한 과제는 결코 만만치 않다고 워스텔은 강조했다. 하지만 VM웨어의 수석 사이버 보안 전략가인 워스텔은 자신의 직업에 대한 믿음이 있다. 그녀는 CISO가 “기업을 방해하지 않고 (미래에) 민첩하게 대응할 수 있도록 보호하는 접근방식을 고안하여) 이런 위기를 기회를 바꿀 수 있다”라고 말했다. 그녀에게 있어서 이것은 일상적인 업무의 일환이다. 워스텔은 전 세계 CISO들과 만나 ‘앞으로 닥칠 일과 미래를 위해 우리가 대비해야 할 일’에 대해 이야기를 나눈다. 여러 CISO와 소통하는 전략팀의 일원으로서 그녀는 VM웨어가 CISO들을 도울 방안을 파악하도록 돕는 업무를 수행하고 있다. 그녀는 “아무도 100% 완벽하다고 말할 수 없지만 최대한 합리적인 보안 조치를 취하는 것이 중요하며, 이것이 내가 이곳에서 일하는 이유다”라고 말했다.   과거를 통해 미래를 알다 워스텔은 과거로부터 미래에 대한 많은 힌트를 얻을 수 있다고 말했다. 워스텔은 “오랜 사이버 보안 역사를 살펴보면 정말로 도움이 된다. 왜냐하면 지난 30년 동안 우리의 업무 방식을 완전히 바꾸어 놓은 파괴적인 이벤트가 많았기 때문이다”라고 말했다. 인터넷의 확산으로 조직의 위협이 어떻게 극적으로 바뀌었으며, 국가 또는 조직적 차원의 움직임을 인해 어떻게 새로운 보안 문제가 발생했고, 코로나19 팬데믹으로 인해 재택근무로의 전환이 갑자기 추진되면서 보안 지형이 어떻게 변화했는지 생각해 보라고 그녀가 말했다. 워스텔에 따르...

VM웨어 카렌 워스텔 제로 트러스트 제로데이 블랙스완 CISO

2022.03.29

“오늘날 보안팀과 그들이 속한 조직은 현재 제로데이(Zero Day) 세계에 살고 있다.” 카렌 F. 워스텔은 오늘날의 보안 지형에 대해 냉정하게 바라본다. 그녀는 “그것이 우리의 새로운 현실이며, 우리는 유출을 가정하고 운영해야 한다”라고 말했다. 그녀는 또 오늘날 CISO들이 각종 기술 부채와 제한적인 예산뿐 아니라 비즈니스 속도 저하 없이 보안을 확보해야 한다는 기대에 맞닥뜨리고 있는 상황이라고 진단했다. 이 모든 것들을 고려할 때 보안 분야가 직면한 과제는 결코 만만치 않다고 워스텔은 강조했다. 하지만 VM웨어의 수석 사이버 보안 전략가인 워스텔은 자신의 직업에 대한 믿음이 있다. 그녀는 CISO가 “기업을 방해하지 않고 (미래에) 민첩하게 대응할 수 있도록 보호하는 접근방식을 고안하여) 이런 위기를 기회를 바꿀 수 있다”라고 말했다. 그녀에게 있어서 이것은 일상적인 업무의 일환이다. 워스텔은 전 세계 CISO들과 만나 ‘앞으로 닥칠 일과 미래를 위해 우리가 대비해야 할 일’에 대해 이야기를 나눈다. 여러 CISO와 소통하는 전략팀의 일원으로서 그녀는 VM웨어가 CISO들을 도울 방안을 파악하도록 돕는 업무를 수행하고 있다. 그녀는 “아무도 100% 완벽하다고 말할 수 없지만 최대한 합리적인 보안 조치를 취하는 것이 중요하며, 이것이 내가 이곳에서 일하는 이유다”라고 말했다.   과거를 통해 미래를 알다 워스텔은 과거로부터 미래에 대한 많은 힌트를 얻을 수 있다고 말했다. 워스텔은 “오랜 사이버 보안 역사를 살펴보면 정말로 도움이 된다. 왜냐하면 지난 30년 동안 우리의 업무 방식을 완전히 바꾸어 놓은 파괴적인 이벤트가 많았기 때문이다”라고 말했다. 인터넷의 확산으로 조직의 위협이 어떻게 극적으로 바뀌었으며, 국가 또는 조직적 차원의 움직임을 인해 어떻게 새로운 보안 문제가 발생했고, 코로나19 팬데믹으로 인해 재택근무로의 전환이 갑자기 추진되면서 보안 지형이 어떻게 변화했는지 생각해 보라고 그녀가 말했다. 워스텔에 따르...

2022.03.29

이사회 발표에서 보안 의제 다루기 '7가지 잦은 실수'

기업 이사회는 CISO에게 사이버 보안 위험에 관해 더 자주 알려 달라고 요구한다. 보안 리더는 고위 경영진이 보안의 가치를 이해하도록 도울 수 있고 보안 전략을 지원하고 강화할 가능성을 높일 수 있다. 하지만 이사회에서 보안을 이야기할 때 생산적인 방식으로 진행하기는 쉽지 않고, 효과적으로 하지 못하면 경영진, 보안 부서, 나머지 조직에서 혼란과 비협조가 발생할 수 있다. CISO가 다른 경영진 앞에서 보안을 이야기할 때 흔히 일어나는 실수와 올바르게 협조를 구하는 방법을 알아보자.     1. 지나친 기술 용어를 사용하지 말 것 사이렌(Cyren)의 CISO 마이클 타미르는 “이사회에 발표할 때는 사용하는 언어에 주의해야 한다. 너무 기술적이면 듣는 사람이 없다”라고 말했다. 이사들은 보안 전문가가 아니며 과도하게 기술적인 전문 용어를 사용하면 역효과를 낳는다고 그가 덧붙였다. ISF(Information Security Forum)의 CISO 출신 애널리스트인 폴 와트는 “이사회 구성원은 자신이 이해하지 못하는 것을 싫어하며 대부분은 머리속으로 수천 가지의 다른 일을 생각하고 있기 때문에 집중력이 지속되는 시간이 짧을 수밖에 없다”라고 말했다. 따라서 CISO는 가능하면 어려운 기술 용어를 비즈니스 용어로 바꾸고, 용어를 대체할 수 없는 개념은 설명해야 한다. “최대한 간단명료하고 합리적인 속도를 활용하며 말을 많이 하는 것보다 시각화해야 한다.”   2. 잘못된 위협 영향에 집중하지 않을 것 사이버GRX(CyberGRX)의 CISO 데이브 스테이플턴은 CISO는 보안 위협이 조직에 미치는 비즈니스적 영향 수준을 벗어나지 않도록 해야 한다고 말했다. 스테이플턴은 “CISO는 특정 코드 라이브러리 의존성이 인터넷에 노출된 자산에 위협을 끼치는 이유를 이해할 수 있지만 이사회는 이해하지 못할 가능성이 높다”라고 덧붙였다. 주피터원(JupiterOne)의 CISO 선일 유도 이에 동의했다. “이사회가 돈과 상식을 기준으로 이...

보안 CISO

2022.03.04

기업 이사회는 CISO에게 사이버 보안 위험에 관해 더 자주 알려 달라고 요구한다. 보안 리더는 고위 경영진이 보안의 가치를 이해하도록 도울 수 있고 보안 전략을 지원하고 강화할 가능성을 높일 수 있다. 하지만 이사회에서 보안을 이야기할 때 생산적인 방식으로 진행하기는 쉽지 않고, 효과적으로 하지 못하면 경영진, 보안 부서, 나머지 조직에서 혼란과 비협조가 발생할 수 있다. CISO가 다른 경영진 앞에서 보안을 이야기할 때 흔히 일어나는 실수와 올바르게 협조를 구하는 방법을 알아보자.     1. 지나친 기술 용어를 사용하지 말 것 사이렌(Cyren)의 CISO 마이클 타미르는 “이사회에 발표할 때는 사용하는 언어에 주의해야 한다. 너무 기술적이면 듣는 사람이 없다”라고 말했다. 이사들은 보안 전문가가 아니며 과도하게 기술적인 전문 용어를 사용하면 역효과를 낳는다고 그가 덧붙였다. ISF(Information Security Forum)의 CISO 출신 애널리스트인 폴 와트는 “이사회 구성원은 자신이 이해하지 못하는 것을 싫어하며 대부분은 머리속으로 수천 가지의 다른 일을 생각하고 있기 때문에 집중력이 지속되는 시간이 짧을 수밖에 없다”라고 말했다. 따라서 CISO는 가능하면 어려운 기술 용어를 비즈니스 용어로 바꾸고, 용어를 대체할 수 없는 개념은 설명해야 한다. “최대한 간단명료하고 합리적인 속도를 활용하며 말을 많이 하는 것보다 시각화해야 한다.”   2. 잘못된 위협 영향에 집중하지 않을 것 사이버GRX(CyberGRX)의 CISO 데이브 스테이플턴은 CISO는 보안 위협이 조직에 미치는 비즈니스적 영향 수준을 벗어나지 않도록 해야 한다고 말했다. 스테이플턴은 “CISO는 특정 코드 라이브러리 의존성이 인터넷에 노출된 자산에 위협을 끼치는 이유를 이해할 수 있지만 이사회는 이해하지 못할 가능성이 높다”라고 덧붙였다. 주피터원(JupiterOne)의 CISO 선일 유도 이에 동의했다. “이사회가 돈과 상식을 기준으로 이...

2022.03.04

강은성의 보안 아키텍트ㅣ정보보호최고책임자(CISO)와 개인정보보호책임자(CPO)의 자격 요건

2012년 정보통신망법에 정보보호최고책임자(CISO) 규정이 들어온 뒤 처음으로 임원이 아니라 직원이 CISO가 될 수 있도록 작년 6월에 법이 개정된 뒤 작년 12월 시행령에 구체적인 요건이 들어갔다.   “다. 정보보호 관련 업무를 총괄하는 부서의 장”  (시행령 제36조의7(정보보호 최고책임자의 지정 및 겸직금지 등) 제1항 제3호 다목) 즉, 직전 사업연도 말 기준 자산총액이 5조 원 미만이거나 ISMS 인증 의무대상이면서 자산총액 5천억 원 미만인 기업에서는 과장급 정보보안팀장이 CISO가 될 수 있게 된 것이다. CISO 업무는 통제 권한이 있어야 수행할 수 있는 업무가 많은데, 기업에서는 아무리 직책이 CISO라고 해도 직급을 뛰어넘는 권한이 생기기 어렵다. 직원 CISO는 권한은 없고 책임만 지게 되기 십상이다.  중소기업도 아니고 자산총액 수조 원인 중견기업에 임원이 적지 않은데, 과기정통부가 왜 시행령을 저렇게 만들었는지 의문이다. CISO의 취지와 배경, 그것이 기업 현장에서 어떻게 작동하는지 제대로 이해하고 있는지 모르겠다. 이에 관한 상세한 내용은 지난 칼럼(강은성의 보안 아키텍트ㅣ9년 만에 바뀐 정보통신망법의 CISO 업무와 직급)을 참고하기 바란다.  ‘임원’ 요건과 연관된 또 하나의 CISO 요건이 ‘자격’ 요건이다. 정보통신망법에 따라 지정·신고해야 하는 기업의 CISO는 다음과 같은 ‘자격’을 갖춰야 한다.   1. 정보보호 또는 정보기술 분야의 국내 또는 외국의 석사학위 이상 학위를 취득한 사람 2. 정보보호 또는 정보기술 분야의 국내 또는 외국의 학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 3년 이상 수행한 경력이 있는 사람 3. 정보보호 또는 정보기술 분야의 국내 또는 외국의 전문학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 5년 이상 수행한 경력이 있는 사람 4...

강은성 강은성의 보안 아키텍트 정보보호최고책임자 개인정보보호책임자 CISO CPO 정보통신망법 정보보호 개인정보보호

2022.02.14

2012년 정보통신망법에 정보보호최고책임자(CISO) 규정이 들어온 뒤 처음으로 임원이 아니라 직원이 CISO가 될 수 있도록 작년 6월에 법이 개정된 뒤 작년 12월 시행령에 구체적인 요건이 들어갔다.   “다. 정보보호 관련 업무를 총괄하는 부서의 장”  (시행령 제36조의7(정보보호 최고책임자의 지정 및 겸직금지 등) 제1항 제3호 다목) 즉, 직전 사업연도 말 기준 자산총액이 5조 원 미만이거나 ISMS 인증 의무대상이면서 자산총액 5천억 원 미만인 기업에서는 과장급 정보보안팀장이 CISO가 될 수 있게 된 것이다. CISO 업무는 통제 권한이 있어야 수행할 수 있는 업무가 많은데, 기업에서는 아무리 직책이 CISO라고 해도 직급을 뛰어넘는 권한이 생기기 어렵다. 직원 CISO는 권한은 없고 책임만 지게 되기 십상이다.  중소기업도 아니고 자산총액 수조 원인 중견기업에 임원이 적지 않은데, 과기정통부가 왜 시행령을 저렇게 만들었는지 의문이다. CISO의 취지와 배경, 그것이 기업 현장에서 어떻게 작동하는지 제대로 이해하고 있는지 모르겠다. 이에 관한 상세한 내용은 지난 칼럼(강은성의 보안 아키텍트ㅣ9년 만에 바뀐 정보통신망법의 CISO 업무와 직급)을 참고하기 바란다.  ‘임원’ 요건과 연관된 또 하나의 CISO 요건이 ‘자격’ 요건이다. 정보통신망법에 따라 지정·신고해야 하는 기업의 CISO는 다음과 같은 ‘자격’을 갖춰야 한다.   1. 정보보호 또는 정보기술 분야의 국내 또는 외국의 석사학위 이상 학위를 취득한 사람 2. 정보보호 또는 정보기술 분야의 국내 또는 외국의 학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 3년 이상 수행한 경력이 있는 사람 3. 정보보호 또는 정보기술 분야의 국내 또는 외국의 전문학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 5년 이상 수행한 경력이 있는 사람 4...

2022.02.14

CISO들이 지쳐 나가떨어지고 있다

한 CISO가 보낸 문자 메시지는 간단했다. “나는 다시는 보안 운영 업무를 맡지 않을 겁니다.” 보안팀들이 Log4j에 대응하느라 분투했던 12월, 제프 폴라드의 스마트폰에 도착한 문자 메시지였다. 포레스터 리서치의 부사장 겸 수석 분석가 폴라드는 “그는 오랫동안 재직한 능력 있는 CISO였다. 그는 보안팀이 해야만 하는 엄청나게 힘든 작업에 관해 이야기하고 있었다. 마치 ‘나는 여기까지다’라고 말하는 것처럼 보였다”라고 말했다.   -> 블로그 | 지금 당신의 IT 직원들에게 친절해야 할 이유 대부분의 임직원은 한 번쯤 ‘나는 여기까지이다’라는 느낌(I’m done feeling)을 받은 적이 있다. 연구에 따르면 많은 사람들이 팬데믹과 이로 인한 혼란 때문에 압도감과 피로감을 느끼고 있다. CISO들도 이런 압박을 느끼고 있다. 보안 소프트웨어 기업 테시안(Tessian)의 ‘잃어버린 시간’ 보고서를 살펴본다. 미국과 영국에 있는 300명의 CISO들을 대상으로 조사한 결과를 담은 이 보고서에 따르면 CISO들이 매주 평균적으로 계약한 것보다 11시간 이상을 근무하고 있으며 10%는 주당 20~24시간을 추가적으로 근무하고 있는 것으로 나타났다.  또한 42%는 추수감사절 또는 크리스마스 등의 공휴일에도 일했고, 40%는 일 때문에 가족 휴가를 가지 못했으며, CISO 중 59%는 업무 시간이 끝난 후 업무 생각을 떨쳐 버리기 위해 분투하고 있다고 말했다. IT자문 및 서비스 제공기업 데프트(Deft)의 CISO 토마스 존슨은 “CISO 번아웃은 분명 문제이다. 우리는 인재 부족, 재택근무, 국내뿐만이 아니라 국제적인 위협의 증가 등이 발생하고 있는 전례 없는 시대에 살고 있기 때문에 과거보다 더 큰 문제가 되고 있다. 이 모든 것이 보안 영역이 기학급수적으로 확대되고 있다는 점과 연관되어 있다”라고 말했다. 번아웃 수준에 도달한 (CISO를 포함한) 임직원에게는 개인적인 수준에서 문제가 발생할 수 있다. CISO로...

CISO 번아웃 Log4j 탈진

2022.02.09

한 CISO가 보낸 문자 메시지는 간단했다. “나는 다시는 보안 운영 업무를 맡지 않을 겁니다.” 보안팀들이 Log4j에 대응하느라 분투했던 12월, 제프 폴라드의 스마트폰에 도착한 문자 메시지였다. 포레스터 리서치의 부사장 겸 수석 분석가 폴라드는 “그는 오랫동안 재직한 능력 있는 CISO였다. 그는 보안팀이 해야만 하는 엄청나게 힘든 작업에 관해 이야기하고 있었다. 마치 ‘나는 여기까지다’라고 말하는 것처럼 보였다”라고 말했다.   -> 블로그 | 지금 당신의 IT 직원들에게 친절해야 할 이유 대부분의 임직원은 한 번쯤 ‘나는 여기까지이다’라는 느낌(I’m done feeling)을 받은 적이 있다. 연구에 따르면 많은 사람들이 팬데믹과 이로 인한 혼란 때문에 압도감과 피로감을 느끼고 있다. CISO들도 이런 압박을 느끼고 있다. 보안 소프트웨어 기업 테시안(Tessian)의 ‘잃어버린 시간’ 보고서를 살펴본다. 미국과 영국에 있는 300명의 CISO들을 대상으로 조사한 결과를 담은 이 보고서에 따르면 CISO들이 매주 평균적으로 계약한 것보다 11시간 이상을 근무하고 있으며 10%는 주당 20~24시간을 추가적으로 근무하고 있는 것으로 나타났다.  또한 42%는 추수감사절 또는 크리스마스 등의 공휴일에도 일했고, 40%는 일 때문에 가족 휴가를 가지 못했으며, CISO 중 59%는 업무 시간이 끝난 후 업무 생각을 떨쳐 버리기 위해 분투하고 있다고 말했다. IT자문 및 서비스 제공기업 데프트(Deft)의 CISO 토마스 존슨은 “CISO 번아웃은 분명 문제이다. 우리는 인재 부족, 재택근무, 국내뿐만이 아니라 국제적인 위협의 증가 등이 발생하고 있는 전례 없는 시대에 살고 있기 때문에 과거보다 더 큰 문제가 되고 있다. 이 모든 것이 보안 영역이 기학급수적으로 확대되고 있다는 점과 연관되어 있다”라고 말했다. 번아웃 수준에 도달한 (CISO를 포함한) 임직원에게는 개인적인 수준에서 문제가 발생할 수 있다. CISO로...

2022.02.09

인터뷰ㅣ“패치 속도보다 중단 제로에 주목” ARM CISO의 취약점 관리 전략

지난 2017년 ‘워너크라이(WannaCry)’ 공격은 英 반도체 회사 ARM에 경종을 울렸다. 이 회사가 전 세계 시스템을 무력화시킨 이 랜섬웨어 크립토웜(Ransomware Cryptoworm)에 대응하는 데 2주가 넘게 걸린 것이다. ARM의 해묵은 문제였던 부적절한 취약점 대응 역량이 여실히 드러난 순간이었다.    ARM의 CISO 팀 피츠제럴드는 “회사의 대응 역량이 제대로 기능하지 못했다. 반도체 IP 회사인 ARM의 과제였다. 즉, 핵심 시스템을 계속 실행해야 했기 때문에 패치 적용에 필요한 다운타임이 문제였다. 이 문제를 해결하는 게 목표였다”라고 밝혔다.  그는 2017년 9월 ARM의 첫 CISO이자 수석 부사장으로 합류했다. 이 직위는 해당 기업이 한층 철저한 보안 사건 대응과 전반적으로 성숙한 보안 운영이 필요하다는 점을 인식하면서 신설됐다는 게 피츠제럴드의 설명이다. 그는 취약점 관리 운영 전문성을 개발하는 등 이 2가지 니즈를 성공적으로 해결하고 있다고 덧붙였다.     패치 적용에 집중 피츠제럴드는 보안 기본 사항에 중점을 두는 일부터 시작했다고 말했다. 보안 기본 사항을 바로잡는다면 (물론 생각보다 더 어려운 일이지만) 위험의 상당 부분을 제거할 수 있을 것이고, 그렇게 되면 보안팀은 일반적으로 더 전문화된 스킬과 전문적인 전략이 필요한 나머지 위험에 집중할 수 있다고 그는 전했다.  이를 염두에 두고, 그는 먼저 패치 프로그램의 가시성을 높이고, 해당 프로세스를 개선하고자 했다. 이러한 작업은 쉽지 않은 게 보통이지만 ARM의 비즈니스 목표와 이를 지원하는 데 필요한 기술 환경 때문에 특히 어려웠다고 피츠제럴드는 언급했다.  이를테면 ARM은 수십만 개의 CPU로 구성되고 항상 95% 이상의 용량으로 실행되는 매우 복잡한 고성능 컴퓨팅 인프라를 활용한다. 그는 “유지 관리해야 하는 시스템이 굉장히 많고, 이는 기업 인프라의 최상위에 위치한다. 즉, 자사 제품...

보안 CSO CISO ARM 랜섬웨어 워너크라이 취약점 패치 회복탄력성

2022.01.24

지난 2017년 ‘워너크라이(WannaCry)’ 공격은 英 반도체 회사 ARM에 경종을 울렸다. 이 회사가 전 세계 시스템을 무력화시킨 이 랜섬웨어 크립토웜(Ransomware Cryptoworm)에 대응하는 데 2주가 넘게 걸린 것이다. ARM의 해묵은 문제였던 부적절한 취약점 대응 역량이 여실히 드러난 순간이었다.    ARM의 CISO 팀 피츠제럴드는 “회사의 대응 역량이 제대로 기능하지 못했다. 반도체 IP 회사인 ARM의 과제였다. 즉, 핵심 시스템을 계속 실행해야 했기 때문에 패치 적용에 필요한 다운타임이 문제였다. 이 문제를 해결하는 게 목표였다”라고 밝혔다.  그는 2017년 9월 ARM의 첫 CISO이자 수석 부사장으로 합류했다. 이 직위는 해당 기업이 한층 철저한 보안 사건 대응과 전반적으로 성숙한 보안 운영이 필요하다는 점을 인식하면서 신설됐다는 게 피츠제럴드의 설명이다. 그는 취약점 관리 운영 전문성을 개발하는 등 이 2가지 니즈를 성공적으로 해결하고 있다고 덧붙였다.     패치 적용에 집중 피츠제럴드는 보안 기본 사항에 중점을 두는 일부터 시작했다고 말했다. 보안 기본 사항을 바로잡는다면 (물론 생각보다 더 어려운 일이지만) 위험의 상당 부분을 제거할 수 있을 것이고, 그렇게 되면 보안팀은 일반적으로 더 전문화된 스킬과 전문적인 전략이 필요한 나머지 위험에 집중할 수 있다고 그는 전했다.  이를 염두에 두고, 그는 먼저 패치 프로그램의 가시성을 높이고, 해당 프로세스를 개선하고자 했다. 이러한 작업은 쉽지 않은 게 보통이지만 ARM의 비즈니스 목표와 이를 지원하는 데 필요한 기술 환경 때문에 특히 어려웠다고 피츠제럴드는 언급했다.  이를테면 ARM은 수십만 개의 CPU로 구성되고 항상 95% 이상의 용량으로 실행되는 매우 복잡한 고성능 컴퓨팅 인프라를 활용한다. 그는 “유지 관리해야 하는 시스템이 굉장히 많고, 이는 기업 인프라의 최상위에 위치한다. 즉, 자사 제품...

2022.01.24

쉬쉬하던 분위기 바뀐다··· CISO들이 개방과 소통을 지향하는 이유

보안 임원 채드 클리워는 2020년 12월 해킹 피해자로 지명된 기업들에 대한 기사를 접했다. 이내 그는, 추가 정보를 확인하고 조언을 전하려는 업계 동료들로부터 메시지를 받기 시작했다. 그는 오클라호마 킹피셔에 본사를 두고 있는 작은 통신 기업 파이오니어 텔레폰(Pioneer Telephone Cooperative Inc.)에서 근무하고 있다. 이렇듯 클리워에게는 동료 보안 리더들로 구성된 직종 내 정보 공유 커뮤니티가 구축돼 있다. 클리워는 소규모 광대역 제공자를 위한 ISAC(Information Sharing and Analysis Center) 사이버셰어(CyberShare)의 회원이었다. 또한 그는 IGO(InfraGard Oklahoma)와 CSCC(Communications Sector Coordinating Council)에 소속되어 있다. 그리고 그는 다른 보안 리더들과 정보를 나누는 소규모 친목 커뮤니티에도 속해 있다. 그는 그가 한 때 바빠서 이런 그룹의 중요성을 간과했다고 전했다. 하지만 솔라윈즈 이벤트처럼 커뮤니티의 유용성을 경험하면서 외부 활동의 필요성을 절감하게 됐다. 그는 “나는 현재 정보를 공유하고 공개하라고 설파하고 있다. 우리는 모두 같은 고통을 안고 있다. 우리가 이런 고통을 공유하고 신뢰할 수 있는 그룹에서 일부 부족한 점을 공유하여 다른 사람들이 같은 고통을 겪지 않도록 할 의지가 있는지가 중요하다”라고 말했다.   함께 앞서 나아가기 사이버 보안 실무자들 사이의 정보를 공유하는 트렌드는 정량화하기 어렵다. 이런 활동에 참여하고자 하는 의지를 측정하기란 사실상 불가능하다. 하지만 클리워와 다른 베테랑 보안 리더들은 한 때 운영, 내부적인 위협 활동, 전반적인 위협 영역 등에 관해 말을 아끼던 CISO들의 생각이 바뀌고 있다고 말했다. 특히 최근에 달라지고 있다. 현재 많은 CISO들이 여러 정보 공유 그룹에 속해 있으며 지금은 동료들에게 이를 추천하고 있고, 이것이 모두가 위협적인 악당들보다 앞서...

CISO ISAC 정보 공유 커뮤니티 피어 네트워크

2022.01.20

보안 임원 채드 클리워는 2020년 12월 해킹 피해자로 지명된 기업들에 대한 기사를 접했다. 이내 그는, 추가 정보를 확인하고 조언을 전하려는 업계 동료들로부터 메시지를 받기 시작했다. 그는 오클라호마 킹피셔에 본사를 두고 있는 작은 통신 기업 파이오니어 텔레폰(Pioneer Telephone Cooperative Inc.)에서 근무하고 있다. 이렇듯 클리워에게는 동료 보안 리더들로 구성된 직종 내 정보 공유 커뮤니티가 구축돼 있다. 클리워는 소규모 광대역 제공자를 위한 ISAC(Information Sharing and Analysis Center) 사이버셰어(CyberShare)의 회원이었다. 또한 그는 IGO(InfraGard Oklahoma)와 CSCC(Communications Sector Coordinating Council)에 소속되어 있다. 그리고 그는 다른 보안 리더들과 정보를 나누는 소규모 친목 커뮤니티에도 속해 있다. 그는 그가 한 때 바빠서 이런 그룹의 중요성을 간과했다고 전했다. 하지만 솔라윈즈 이벤트처럼 커뮤니티의 유용성을 경험하면서 외부 활동의 필요성을 절감하게 됐다. 그는 “나는 현재 정보를 공유하고 공개하라고 설파하고 있다. 우리는 모두 같은 고통을 안고 있다. 우리가 이런 고통을 공유하고 신뢰할 수 있는 그룹에서 일부 부족한 점을 공유하여 다른 사람들이 같은 고통을 겪지 않도록 할 의지가 있는지가 중요하다”라고 말했다.   함께 앞서 나아가기 사이버 보안 실무자들 사이의 정보를 공유하는 트렌드는 정량화하기 어렵다. 이런 활동에 참여하고자 하는 의지를 측정하기란 사실상 불가능하다. 하지만 클리워와 다른 베테랑 보안 리더들은 한 때 운영, 내부적인 위협 활동, 전반적인 위협 영역 등에 관해 말을 아끼던 CISO들의 생각이 바뀌고 있다고 말했다. 특히 최근에 달라지고 있다. 현재 많은 CISO들이 여러 정보 공유 그룹에 속해 있으며 지금은 동료들에게 이를 추천하고 있고, 이것이 모두가 위협적인 악당들보다 앞서...

2022.01.20

‘보안과 ESG 전략을 정렬하기’··· 앞선 CISO의 새로운 과제

ESG(environmental, social, and governance)에 대한 관심이 전방위로 고조되고 있다. CISO 또한 이제 보안 및 위험 전략을 수립함에 있어 ESG를 감안해야 한다.    KPMG의 사이버 서비스 수석 매튜 밀러는 작년에 고객사의 CISO로부터 낯선 요청을 받았다. 그 CISO는 ESG에 대한 자신의 관점을 묻는 한편, 이사회로부터의 ESG 질문에 응답하는 방법에 대한 조언을 원했다.  CISO가 이러한 질문을 제기한 사례는 처음이었다고 밀러가 말했다. 밀러는 “초기 단계이기는 하지만 이러한 대화가 출현하기 시작했고 없어지지 않을 것이다”라고 말했다. ESG는 환경, 사회, 정부 문제에 대한 회사의 정책 및 조치를 의미한다. ESG에 대한 관심이 투자자들의 전유물인 적인 있었다. 그들은 회사의 비즈니스를 탐색해 이것들이 잠재적인 미래의 수익을 지원하거나 저해할 수 있는지 판단했다. 하지만 시간이 지남에 따라 ESG에 대한 관심이 확대되었다. 일부 기업들도 비즈니스 파트너와 공급자뿐만이 아니라 인수 대상 등의 다른 기업을 ESG 지표에 기초하여 평가하고 있다. 그리고 이제는 일반 대중 및 직원들도 이를 확ㅇ인하고 있다. 소비자들은 점차 소비 결정을 내릴 때 조직의 ESG 정책을 살펴보고 있으며, 직원들은 회사를 고를 때 이를 고려한다. 수치로 드러나는 동향 통계에 따르면 다양한 이해관계자들의 관심이 높음이 드러난다. 전문 서비스 기업 PwC의 ‘2021년 글로벌 투자자 ESG 설문조사’에 따르면 조사한 투자자 중 79%가 회사가 ESG 위험과 기회를 관리하는 방법을 투자 의사결정의 중요한 요소로 보았다. 한편, PwC의 ‘2021년 ESG에 대한 소비자 정보 시리즈 설문조사’에서는 소비자 중 83%가 기업들이 ESG 모범 사례를 능동적으로 형성해야 한다고 말했으며 직원 중 86%는 자신과 같은 문제에 관심을 갖는 기업에서 근무하는 것을 선호하고 있었다. 이 모든 것들은 CISO에게 영향을 미...

ESG CISO 보안 전략

2022.01.06

ESG(environmental, social, and governance)에 대한 관심이 전방위로 고조되고 있다. CISO 또한 이제 보안 및 위험 전략을 수립함에 있어 ESG를 감안해야 한다.    KPMG의 사이버 서비스 수석 매튜 밀러는 작년에 고객사의 CISO로부터 낯선 요청을 받았다. 그 CISO는 ESG에 대한 자신의 관점을 묻는 한편, 이사회로부터의 ESG 질문에 응답하는 방법에 대한 조언을 원했다.  CISO가 이러한 질문을 제기한 사례는 처음이었다고 밀러가 말했다. 밀러는 “초기 단계이기는 하지만 이러한 대화가 출현하기 시작했고 없어지지 않을 것이다”라고 말했다. ESG는 환경, 사회, 정부 문제에 대한 회사의 정책 및 조치를 의미한다. ESG에 대한 관심이 투자자들의 전유물인 적인 있었다. 그들은 회사의 비즈니스를 탐색해 이것들이 잠재적인 미래의 수익을 지원하거나 저해할 수 있는지 판단했다. 하지만 시간이 지남에 따라 ESG에 대한 관심이 확대되었다. 일부 기업들도 비즈니스 파트너와 공급자뿐만이 아니라 인수 대상 등의 다른 기업을 ESG 지표에 기초하여 평가하고 있다. 그리고 이제는 일반 대중 및 직원들도 이를 확ㅇ인하고 있다. 소비자들은 점차 소비 결정을 내릴 때 조직의 ESG 정책을 살펴보고 있으며, 직원들은 회사를 고를 때 이를 고려한다. 수치로 드러나는 동향 통계에 따르면 다양한 이해관계자들의 관심이 높음이 드러난다. 전문 서비스 기업 PwC의 ‘2021년 글로벌 투자자 ESG 설문조사’에 따르면 조사한 투자자 중 79%가 회사가 ESG 위험과 기회를 관리하는 방법을 투자 의사결정의 중요한 요소로 보았다. 한편, PwC의 ‘2021년 ESG에 대한 소비자 정보 시리즈 설문조사’에서는 소비자 중 83%가 기업들이 ESG 모범 사례를 능동적으로 형성해야 한다고 말했으며 직원 중 86%는 자신과 같은 문제에 관심을 갖는 기업에서 근무하는 것을 선호하고 있었다. 이 모든 것들은 CISO에게 영향을 미...

2022.01.06

강은성의 보안 아키텍트ㅣ2022년 보안 위협 전망? 해 아래 새것이 없다! 

백신과 치료약이 우리를 코로나19에서 해방해줄 거라는 희망이 희망 고문으로 끝나가는 한 해다. 백신은 부족하나마 바닥을 기던 우리 삶의 질을 조금 높여줬음에도 치료약이 지지부진하기 때문이다. 그래도 들리는 몇 가지 반가운 소식이 새해에는 어느새 우리 현실로 다가올 수 있기를 희망해 본다.   지난 2년 동안 주간 개인정보 뉴스레터를 만드느라 매주 개인정보 사고와 규제 등 개인정보 관련 뉴스를 찾아보고, 매달 기고를 위해 국내외 보안 위협 관련 이슈를 분석하면서 한 가지 깨달음을 얻었다.   “해 아래 새것이 없다!” 새해 보안 위협을 전망하는 것은 미래의 예측력을 자랑하기 위해서가 아니라 각 조직에서 어떤 보안 목표와 전략을 세우고, 보안 투자를 결정하는 데 도움이 되기 위해서일 것이다. 하지만 미래를 예측하는 것은 쉽지 않다. 분명한 것은 올해의 보안 위협은 작년의 연장선 위에 있다는 것이다. 물론 새롭게 나타난 것도 있지만 말이다. 이번 달 칼럼에서 올해의 보안 위협을 좀 더 상세하게 정리해 보려고 한 이유다. 굳이 새해 보안 위협 전망을 하지 않더라도 자연스럽게 새해의 보안 이슈를 조망해 볼 수 있지 않을까 한다. 2021년 ‘올해의 보안 위협’은 작년에 이어 단연코 랜섬웨어다. 랜섬웨어는 미국 대형 보험사 CNA(3월), 세계를 떠들썩하게 했던 미국 송유관 업체 콜로니얼 파이프라인과 세계적인 프랑스 보험사 AXA(5월), 세계 최대의 브라질 육류가공회사 JBS SA(6월) 등 세계적으로 막대한 피해를 줬고, 2020년 11월 대형 유통기업에 이어 국내 자동차 기업의 국외 법인(2월), 10위권의 배달대행업체(5월) 등 국내에서도 피해가 커서 과학기술정보통신부에서 ‘랜섬웨어 대응 지원반’을 운영하기도 했다. 지능형 표적 공격을 통한 랜섬웨어 유포, 서비스형 랜섬웨어 확산, 중요 정보를 훔친 뒤 암호화와 디도스 공격으로 협박하는 이중·삼중 갈취형 랜섬웨어 공격은 범인이 피해자에게 본인 물건을 돈을 내고 도로 사가라는 파렴치...

강은성 강은성의 보안 아키텍트 랜섬웨어 보안 위협 CSO CISO 지능형 표적 공격 디도스 공격 공급망 공격 악성코드 개인정보 유출

2021.12.31

백신과 치료약이 우리를 코로나19에서 해방해줄 거라는 희망이 희망 고문으로 끝나가는 한 해다. 백신은 부족하나마 바닥을 기던 우리 삶의 질을 조금 높여줬음에도 치료약이 지지부진하기 때문이다. 그래도 들리는 몇 가지 반가운 소식이 새해에는 어느새 우리 현실로 다가올 수 있기를 희망해 본다.   지난 2년 동안 주간 개인정보 뉴스레터를 만드느라 매주 개인정보 사고와 규제 등 개인정보 관련 뉴스를 찾아보고, 매달 기고를 위해 국내외 보안 위협 관련 이슈를 분석하면서 한 가지 깨달음을 얻었다.   “해 아래 새것이 없다!” 새해 보안 위협을 전망하는 것은 미래의 예측력을 자랑하기 위해서가 아니라 각 조직에서 어떤 보안 목표와 전략을 세우고, 보안 투자를 결정하는 데 도움이 되기 위해서일 것이다. 하지만 미래를 예측하는 것은 쉽지 않다. 분명한 것은 올해의 보안 위협은 작년의 연장선 위에 있다는 것이다. 물론 새롭게 나타난 것도 있지만 말이다. 이번 달 칼럼에서 올해의 보안 위협을 좀 더 상세하게 정리해 보려고 한 이유다. 굳이 새해 보안 위협 전망을 하지 않더라도 자연스럽게 새해의 보안 이슈를 조망해 볼 수 있지 않을까 한다. 2021년 ‘올해의 보안 위협’은 작년에 이어 단연코 랜섬웨어다. 랜섬웨어는 미국 대형 보험사 CNA(3월), 세계를 떠들썩하게 했던 미국 송유관 업체 콜로니얼 파이프라인과 세계적인 프랑스 보험사 AXA(5월), 세계 최대의 브라질 육류가공회사 JBS SA(6월) 등 세계적으로 막대한 피해를 줬고, 2020년 11월 대형 유통기업에 이어 국내 자동차 기업의 국외 법인(2월), 10위권의 배달대행업체(5월) 등 국내에서도 피해가 커서 과학기술정보통신부에서 ‘랜섬웨어 대응 지원반’을 운영하기도 했다. 지능형 표적 공격을 통한 랜섬웨어 유포, 서비스형 랜섬웨어 확산, 중요 정보를 훔친 뒤 암호화와 디도스 공격으로 협박하는 이중·삼중 갈취형 랜섬웨어 공격은 범인이 피해자에게 본인 물건을 돈을 내고 도로 사가라는 파렴치...

2021.12.31

풍요 속 빈곤··· 제대로 된 ‘CISO’ 일자리 찾으려면?

때때로 ‘최고정보보호책임자(Chief Information Security Officer; CISO)’라고 했지만 실제로는 CISO가 아니거나, 역할에 필요한 권한 및 리소스를 제공받지 못하는 경우가 있다. 이러한 상황을 피할 수 있는 방법은 다음과 같다.  CISO가 새로운 일자리를 찾을 때 알아둬야 할 사항은 ‘C-레벨 보안 전문가가 귀중하다’라는 점이다. 시간이 걸리더라도 좋은 직장을 까다롭게 구하라는 의미다. CISO 역할을 개척한 스티브 카츠는 “배고플 땐 쇼핑하지 마라”라고 말했다. 왜냐하면 CISO 일자리가 많긴 하지만 동등하진 않기 때문이다. 링크드인에서 검색만 해보더라도 1,000개 이상의 CISO 관련 일자리가 나오는데, 임원급이 대부분이다. 반면에 인디드닷컴에서는 4,000개 이상의 CISO 관련 일자리가 검색되긴 하지만 임원급이 아닌 게 많고 심지어 관리자급도 아니다. 이는 CISO가 새로운 일자리를 찾을 때 고려해야 할 중요한 부분이라고 전문가들은 언급했다. 이사회에 참여하고 CEO와 직간접적으로 연결된 진정한 C-레벨인가? 아니면 과장된 타이틀에 불과한가? (기업에서 규제 요건을 충족하기 위해 몸만 있으면 되는 전리품일 수도 있다.)     C-레벨 지위가 빠져 있는가? 美 캘리포니아주 오렌지카운티의 명문 사립대 채프먼대학교(Chapman University)의 CISO 조지 비거스는 “CISO가 조직 내에서 어디에 위치하는지 파악하면 해당 기업이 보안에 얼마나 투자했는지 알 수 있어서 ‘CISO가 누구에게 보고하는가?’를 가장 먼저 질문한다”라면서, “CISO가 CEO에게 보고하면 실질적으로 C-레벨급이라는 점을 알 수 있다. 반면에 CISO가 재무, 위험, 컴플라이언스에 보고한다면 경영진에서 배제돼 있다는 뜻이다”라고 전했다. 지난 2020년 말 발표된 포레스터의 보고서에 따르면 C-레벨로 간주되는 CISO는 13%에 불과했다. CISO 역할에 필요한 영향력 및 지원을 확보하고 있는 C-레벨급 ...

CSO CISO 보안 사이버 보안 C-레벨 커리어 최고정보보호책임자

2021.12.29

때때로 ‘최고정보보호책임자(Chief Information Security Officer; CISO)’라고 했지만 실제로는 CISO가 아니거나, 역할에 필요한 권한 및 리소스를 제공받지 못하는 경우가 있다. 이러한 상황을 피할 수 있는 방법은 다음과 같다.  CISO가 새로운 일자리를 찾을 때 알아둬야 할 사항은 ‘C-레벨 보안 전문가가 귀중하다’라는 점이다. 시간이 걸리더라도 좋은 직장을 까다롭게 구하라는 의미다. CISO 역할을 개척한 스티브 카츠는 “배고플 땐 쇼핑하지 마라”라고 말했다. 왜냐하면 CISO 일자리가 많긴 하지만 동등하진 않기 때문이다. 링크드인에서 검색만 해보더라도 1,000개 이상의 CISO 관련 일자리가 나오는데, 임원급이 대부분이다. 반면에 인디드닷컴에서는 4,000개 이상의 CISO 관련 일자리가 검색되긴 하지만 임원급이 아닌 게 많고 심지어 관리자급도 아니다. 이는 CISO가 새로운 일자리를 찾을 때 고려해야 할 중요한 부분이라고 전문가들은 언급했다. 이사회에 참여하고 CEO와 직간접적으로 연결된 진정한 C-레벨인가? 아니면 과장된 타이틀에 불과한가? (기업에서 규제 요건을 충족하기 위해 몸만 있으면 되는 전리품일 수도 있다.)     C-레벨 지위가 빠져 있는가? 美 캘리포니아주 오렌지카운티의 명문 사립대 채프먼대학교(Chapman University)의 CISO 조지 비거스는 “CISO가 조직 내에서 어디에 위치하는지 파악하면 해당 기업이 보안에 얼마나 투자했는지 알 수 있어서 ‘CISO가 누구에게 보고하는가?’를 가장 먼저 질문한다”라면서, “CISO가 CEO에게 보고하면 실질적으로 C-레벨급이라는 점을 알 수 있다. 반면에 CISO가 재무, 위험, 컴플라이언스에 보고한다면 경영진에서 배제돼 있다는 뜻이다”라고 전했다. 지난 2020년 말 발표된 포레스터의 보고서에 따르면 C-레벨로 간주되는 CISO는 13%에 불과했다. CISO 역할에 필요한 영향력 및 지원을 확보하고 있는 C-레벨급 ...

2021.12.29

CISO가 출장 프로그램에서 검토해야 할 보안 체크포인트

지난 2년 동안, CISO는 직원이 출장 모드에 대한 기업 데이터 보안 업무에서 잠시 벗어날 수 있었다. 출장을 떠나 신선한 공기를 마시는 대신, 팬데믹으로부터 서로를 보호하기 위해 떨어져야 하는 현실에 직면하게 됐다. 이제 코로나 검사와 백신 접종이 흔히 시행되면서 출장도 조금씩 증가하고 있으며, 여행 업계는 2022년 중반 내지 하반기에 팬데믹 이전 수준으로 복구될 것으로 전망했다.   따라서 모든 CISO는 자신이 속한 기업이 이런 상황에 준비되어 있는지 점검해볼 필요가 있다. 출장이 늘면 그만큼 위험성도 높아지기 때문이다. CISO는 출장 프로그램에 포함되어야 할 내용을 경영진과 담당 팀에 물어봐야 한다. 스티브 트체르치안은 직원들이 정기적으로 여러 국가로 출장을 가는 XYPRO에서 CISO를 맡고 있다. 트체르치안의 회사에는 장치에 대한 인식과 절차가 있으며, 데이터를 가지고 국경을 넘나드는 출장 방식이 지역별로 위험을 구분하고 있다고 지적한다. 또한, 직원이 출장을 갈 때마다 출장용 장치를 따로 준비하지는 않는다고 덧붙였다. 앱노멀 시큐리티(Abnormal Security) CISO 마이크 브리튼은 직원이 고위험 국가로 출장 갈 때, 대여 노트북을 가지고 가는 것이 일반적인 관행이라고 말했다. 브리튼은 “예를 들어, 직원이 미국이나 유럽, 중국 등 평소 근무지를 벗어나 멀리 출장 가는 경우, 직원의 안전과 회사 자산 및 정보를 적절히 보호하기 위해 모든 위험과 제한 사항을 검토한다”라고 설명했다. 그렇다면 한 국가가 다른 국가보다 위험성이 높다는 것은 어떻게 판단할까? 가장 참고하기 좋은 것은 미 국무부의 여행 경보 프로그램이다. 캐나다와 호주, 영국에도 일반인이 쉽게 이용할 수 있는 여행 경보 프로그램이 있다. 외교안보국이 주관하는 국무부의 ‘해외 안전 자문 위원회(OSAC)’에 가입하는 것이 필수적이다. OSAC 애널리스트는 조사 내용을 수집해서 핵심을 뽑아낸 후, 국제 행사에서 참석자가 쉽게 이해할 수 있도록 발표한다. 이런 ...

CISO 보안

2021.12.27

지난 2년 동안, CISO는 직원이 출장 모드에 대한 기업 데이터 보안 업무에서 잠시 벗어날 수 있었다. 출장을 떠나 신선한 공기를 마시는 대신, 팬데믹으로부터 서로를 보호하기 위해 떨어져야 하는 현실에 직면하게 됐다. 이제 코로나 검사와 백신 접종이 흔히 시행되면서 출장도 조금씩 증가하고 있으며, 여행 업계는 2022년 중반 내지 하반기에 팬데믹 이전 수준으로 복구될 것으로 전망했다.   따라서 모든 CISO는 자신이 속한 기업이 이런 상황에 준비되어 있는지 점검해볼 필요가 있다. 출장이 늘면 그만큼 위험성도 높아지기 때문이다. CISO는 출장 프로그램에 포함되어야 할 내용을 경영진과 담당 팀에 물어봐야 한다. 스티브 트체르치안은 직원들이 정기적으로 여러 국가로 출장을 가는 XYPRO에서 CISO를 맡고 있다. 트체르치안의 회사에는 장치에 대한 인식과 절차가 있으며, 데이터를 가지고 국경을 넘나드는 출장 방식이 지역별로 위험을 구분하고 있다고 지적한다. 또한, 직원이 출장을 갈 때마다 출장용 장치를 따로 준비하지는 않는다고 덧붙였다. 앱노멀 시큐리티(Abnormal Security) CISO 마이크 브리튼은 직원이 고위험 국가로 출장 갈 때, 대여 노트북을 가지고 가는 것이 일반적인 관행이라고 말했다. 브리튼은 “예를 들어, 직원이 미국이나 유럽, 중국 등 평소 근무지를 벗어나 멀리 출장 가는 경우, 직원의 안전과 회사 자산 및 정보를 적절히 보호하기 위해 모든 위험과 제한 사항을 검토한다”라고 설명했다. 그렇다면 한 국가가 다른 국가보다 위험성이 높다는 것은 어떻게 판단할까? 가장 참고하기 좋은 것은 미 국무부의 여행 경보 프로그램이다. 캐나다와 호주, 영국에도 일반인이 쉽게 이용할 수 있는 여행 경보 프로그램이 있다. 외교안보국이 주관하는 국무부의 ‘해외 안전 자문 위원회(OSAC)’에 가입하는 것이 필수적이다. OSAC 애널리스트는 조사 내용을 수집해서 핵심을 뽑아낸 후, 국제 행사에서 참석자가 쉽게 이해할 수 있도록 발표한다. 이런 ...

2021.12.27

블로그 | ‘이야기의 힘!’ CISO에게 전하는 보안 내러티브 구축 경험담

직원들이 보안 수칙을 지키도록 하려면, 그들을 납득시키는 것이 우선이다. 이를 위한 탁월한 수단이 ‘훌륭한 이야기’다.  보안 분야에서 영원한 논의 주제 중 하나가 있다면, 기술, 프로세스 또는 사람이 정보 보안의 요소로서 각각 어느 정도의 비중을 차지하는 지다. 대부분의 보안 리더들은 사람의 중요성을 소홀히 하지 않을 것이다. 사람들이 적절한 보안 관행을 준수하도록 만들기란 무척 어렵다. 새로운 습관과 동기를 필요로 한다.    훈련과 소통이 행동을 바꾸지 않을 때  보안 관행과 씨름하는 사람들 중 일부는 내러티브를 사용한다. 필자는 몇 년 전 컨설팅 조직의 리더로서 데이터 보호와 관련한 끝없는 도전에 직면했던 바 있다. 바로 영업이었다. 우리의 정책은 계정 정보를 처리하는 확실한 방법을 명시하고 있었다. 즉, 어디에 저장할 것인지, 비즈니스 연락처를 얼마나 오랫동안 보관할 지, 표준이 제공하는 장소 등을 명시했다.  많은 툴과 이메일 및 교육이 있었다. 하지만 동일하게 위험한 행동의 징후가 나타났다. 이유가 무엇이었을까? 우리 팀은 변화의 동기를 제공하지 못했다. 사람이라는 변인에 대해 크게 생각하지 못했다. 그들은 우리가 원하는 방향으로 나아가기 시작해야 하는 이유를 이해하지 못했다. 즉 그들을 움직이게 하는 넛지(nudge)가 부족했다. 간단히 말해서, 우리는 내러티브를 추진해야 했다. 훌륭한 변화의 이야기에는 시작, 움직여야 할 이유, 반대 세력에도 불구하고 계속 움직여야 할 동기(말미에 다시 언급할 것이다)가 있다. 당신의 팀은 이야기를 들려줄 수 있는가? 사람들에게 역할, 부서, 고객 또는 결과에 대한 이야기를 들려준 적이 있는가? 변화에는 자신감, 능력과 역량이 필요하다. 오랜 시간 직원들이 믿을 수 있는 내러티브를 이끌어 감으로써 그러한 것들을 구축하기 시작하라. Wayne Anderson 설득 미끄럼틀 많은 CISO가 내러티브를 구축하기를 원한다. 그러나 소통 지원을 받거나 특정 ...

내러티브 스토리텔링 CISO 보안 넛지

2021.12.10

직원들이 보안 수칙을 지키도록 하려면, 그들을 납득시키는 것이 우선이다. 이를 위한 탁월한 수단이 ‘훌륭한 이야기’다.  보안 분야에서 영원한 논의 주제 중 하나가 있다면, 기술, 프로세스 또는 사람이 정보 보안의 요소로서 각각 어느 정도의 비중을 차지하는 지다. 대부분의 보안 리더들은 사람의 중요성을 소홀히 하지 않을 것이다. 사람들이 적절한 보안 관행을 준수하도록 만들기란 무척 어렵다. 새로운 습관과 동기를 필요로 한다.    훈련과 소통이 행동을 바꾸지 않을 때  보안 관행과 씨름하는 사람들 중 일부는 내러티브를 사용한다. 필자는 몇 년 전 컨설팅 조직의 리더로서 데이터 보호와 관련한 끝없는 도전에 직면했던 바 있다. 바로 영업이었다. 우리의 정책은 계정 정보를 처리하는 확실한 방법을 명시하고 있었다. 즉, 어디에 저장할 것인지, 비즈니스 연락처를 얼마나 오랫동안 보관할 지, 표준이 제공하는 장소 등을 명시했다.  많은 툴과 이메일 및 교육이 있었다. 하지만 동일하게 위험한 행동의 징후가 나타났다. 이유가 무엇이었을까? 우리 팀은 변화의 동기를 제공하지 못했다. 사람이라는 변인에 대해 크게 생각하지 못했다. 그들은 우리가 원하는 방향으로 나아가기 시작해야 하는 이유를 이해하지 못했다. 즉 그들을 움직이게 하는 넛지(nudge)가 부족했다. 간단히 말해서, 우리는 내러티브를 추진해야 했다. 훌륭한 변화의 이야기에는 시작, 움직여야 할 이유, 반대 세력에도 불구하고 계속 움직여야 할 동기(말미에 다시 언급할 것이다)가 있다. 당신의 팀은 이야기를 들려줄 수 있는가? 사람들에게 역할, 부서, 고객 또는 결과에 대한 이야기를 들려준 적이 있는가? 변화에는 자신감, 능력과 역량이 필요하다. 오랜 시간 직원들이 믿을 수 있는 내러티브를 이끌어 감으로써 그러한 것들을 구축하기 시작하라. Wayne Anderson 설득 미끄럼틀 많은 CISO가 내러티브를 구축하기를 원한다. 그러나 소통 지원을 받거나 특정 ...

2021.12.10

랜섬웨어는 건재할 것 外··· 2022년 ‘사이버 보안’ 전망 5가지

올 한 해 ‘최고정보보호책임자(CISO)’가 해결해야 했던 문제를 검토하면 미래를 더욱더 잘 계획하는 데 도움이 될 수 있다. CISO 입장에서 2021년은 썩 좋은 해가 아니었다. 솔라윈즈 사이버 공격부터 시작해 전례 없는 수준으로 증가한 랜섬웨어 공격으로 끝을 맺고 있어서다.  이에 따라 CISO는 일상적인 업무를 처리하는 동시에 코로나19 사태로 인한 지속적인 보안 문제, 인력 부족, 하이브리드 인력 관리, 주요 인프라 사이버 공격까지 처리해야 했다. 아울러 사이버 보안에서 암호화폐의 성장이 갖는 의미도 파악해야 했다.  2021년이 저물어 가고 있다. CISO가 직/간접적으로 해결해야 했던 사이버 공격과 표면화됐던 트렌드 및 문제를 살펴보면 2022년을 예측하는 데 도움이 될 수 있을 것이다.    1. 랜섬웨어(Ransomware) 랜섬웨어는 건재할 전망이다. 한 보고서에 따르면 지난 9월 말까지 무려 약 5억 건의 랜섬웨어 공격 시도가 있었다. 이 수치는 새해 전야까지 약 7억 건에 근접할 것으로 예상된다. 은행 업계만 하더라도 2021년 한 해 동안 랜섬웨어 공격이 1,300% 이상 증가했다. 그중에서도 콜로니얼 파이프라인(Colonial Pipeline) 랜섬웨어 공격이 가장 유명할 것이다. 이를 통해 미국인들은 중요 기반 시설에 대한 사이버 공격이 얼마나 치명적인지 처음으로 실감하게 됐다. 이 공격은 콜로니얼의 재무 부문을 노린 것이었지만 (이로 인해) 동부 지역의 석유 공급이 중단돼 상당한 패닉을 일으켰다.  에너지 그리드 또는 식량 공급을 장기간 중단시키는 공격은 언제든지 발생할 수 있다. 이를 방지하는 확실하고도 유일한 방법은 기업의 랜섬웨어 취약성을 지속적으로 모니터링하고 평가하는 도구를 사용하는 것이다. 2. 웹 사이트 복제(Website cloning) 올해에는 랜섬웨어에 많은 관심이 집중됐지만 내년에는 웹 사이트 복제 및 온라인 사기 문제가 더 심각해질 전망이다. ...

CSO CISO 보안 사이버 보안 랜섬웨어 대퇴직 웹 사이트 복제 암호화폐 사이버 공격

2021.12.09

올 한 해 ‘최고정보보호책임자(CISO)’가 해결해야 했던 문제를 검토하면 미래를 더욱더 잘 계획하는 데 도움이 될 수 있다. CISO 입장에서 2021년은 썩 좋은 해가 아니었다. 솔라윈즈 사이버 공격부터 시작해 전례 없는 수준으로 증가한 랜섬웨어 공격으로 끝을 맺고 있어서다.  이에 따라 CISO는 일상적인 업무를 처리하는 동시에 코로나19 사태로 인한 지속적인 보안 문제, 인력 부족, 하이브리드 인력 관리, 주요 인프라 사이버 공격까지 처리해야 했다. 아울러 사이버 보안에서 암호화폐의 성장이 갖는 의미도 파악해야 했다.  2021년이 저물어 가고 있다. CISO가 직/간접적으로 해결해야 했던 사이버 공격과 표면화됐던 트렌드 및 문제를 살펴보면 2022년을 예측하는 데 도움이 될 수 있을 것이다.    1. 랜섬웨어(Ransomware) 랜섬웨어는 건재할 전망이다. 한 보고서에 따르면 지난 9월 말까지 무려 약 5억 건의 랜섬웨어 공격 시도가 있었다. 이 수치는 새해 전야까지 약 7억 건에 근접할 것으로 예상된다. 은행 업계만 하더라도 2021년 한 해 동안 랜섬웨어 공격이 1,300% 이상 증가했다. 그중에서도 콜로니얼 파이프라인(Colonial Pipeline) 랜섬웨어 공격이 가장 유명할 것이다. 이를 통해 미국인들은 중요 기반 시설에 대한 사이버 공격이 얼마나 치명적인지 처음으로 실감하게 됐다. 이 공격은 콜로니얼의 재무 부문을 노린 것이었지만 (이로 인해) 동부 지역의 석유 공급이 중단돼 상당한 패닉을 일으켰다.  에너지 그리드 또는 식량 공급을 장기간 중단시키는 공격은 언제든지 발생할 수 있다. 이를 방지하는 확실하고도 유일한 방법은 기업의 랜섬웨어 취약성을 지속적으로 모니터링하고 평가하는 도구를 사용하는 것이다. 2. 웹 사이트 복제(Website cloning) 올해에는 랜섬웨어에 많은 관심이 집중됐지만 내년에는 웹 사이트 복제 및 온라인 사기 문제가 더 심각해질 전망이다. ...

2021.12.09

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.5