Offcanvas

IT ������

블로그ㅣ정보보안 ‘영웅’은 필요하지 않다

많은 보안 전문가 사이에는 자신이 소속 기업의 ‘수호자’라는 점에서 특별하다는 믿음이 있다. 만약 그렇지 않다면 회사는 끔찍한 방식으로 붕괴되고 불타버릴 것이라고 생각한다. 또 침해가 만연하고 데이터가 곳곳에서 도난당할 것이라고 생각한다. 클라우드 환경은 적으로 가득 차 있다. 엔터프라이즈 시스템은 랜섬웨어에 잠식될 수 있다. 보안 전문가의 영웅적인 노력이 없다면 이런 일은 항상 일어날 것이다!    보안 전문가가 수호자일 수 있지만 보안 전문가만 그런 건 아니다. 데브옵스 팀도 항상 안정성을 방어한다. 변호사도 법적 책임에서 (회사를) 보호한다. 제품 관리팀과 영업팀도 급여를 보호한다(오히려 진정한 영웅이 아닐까?). 영웅 역할이 되려면 다른 역할도 있어야 한다. 이를테면 어떤 사람은 ‘악역’이 돼야 하고(예: 완벽하지 않은 제품을 감히 출시하는 악덕 제품 관리자 또는 모든 구성요소를 패치하면서 기능 파이프라인을 중단하지 않는 부주의한 엔지니어링 관리자 등), 다른 사람은 선택의 여지없이 ‘희생자’가 돼야 한다(예: 링크를 클릭하는 불행한 사용자 또는 리스크 관련 의사결정을 제대로 내리지 못하는 경영진 등).  그리곤 자신이 악역 또는 희생자보다 훨씬 더 많이 알고 있다고 생각하기 때문에 모두를 무시하기 시작한다. 전혀 사실이 아니다. 정보보안 전문가는 고도로 전문화된 지식을 가지고 있긴 하지만 대부분은 여전히 회사가 어떻게 돈을 버는지는 이해하지 못한다. 마지막으로 담당했던 프로젝트를 떠올려보자. 갑자기 기득권도 없고, 이해관계도 없는 누군가가 이상한 조언을 했다고 해보자. 이론적으로 또는 적어도 다른 상황에서는 해당 조언이 효과적일지 몰라도 현 프로젝트에서는 아니었다. 이것이 바로 비즈니스 파트너가 종종 정보보안 전문가를 바라보는 관점이다. 즉, 자신의 조언이 얼마나 유용하지 않은지 판단할 실질적인 경험이 없는 오만한 전문가다.  조력자가 돼라  자신을 영웅으로 생각하는 대신 조력자로 생각할 때다(원...

정보보안 사이버 보안 제품 보안 IT 보안 랜섬웨어

2022.07.05

많은 보안 전문가 사이에는 자신이 소속 기업의 ‘수호자’라는 점에서 특별하다는 믿음이 있다. 만약 그렇지 않다면 회사는 끔찍한 방식으로 붕괴되고 불타버릴 것이라고 생각한다. 또 침해가 만연하고 데이터가 곳곳에서 도난당할 것이라고 생각한다. 클라우드 환경은 적으로 가득 차 있다. 엔터프라이즈 시스템은 랜섬웨어에 잠식될 수 있다. 보안 전문가의 영웅적인 노력이 없다면 이런 일은 항상 일어날 것이다!    보안 전문가가 수호자일 수 있지만 보안 전문가만 그런 건 아니다. 데브옵스 팀도 항상 안정성을 방어한다. 변호사도 법적 책임에서 (회사를) 보호한다. 제품 관리팀과 영업팀도 급여를 보호한다(오히려 진정한 영웅이 아닐까?). 영웅 역할이 되려면 다른 역할도 있어야 한다. 이를테면 어떤 사람은 ‘악역’이 돼야 하고(예: 완벽하지 않은 제품을 감히 출시하는 악덕 제품 관리자 또는 모든 구성요소를 패치하면서 기능 파이프라인을 중단하지 않는 부주의한 엔지니어링 관리자 등), 다른 사람은 선택의 여지없이 ‘희생자’가 돼야 한다(예: 링크를 클릭하는 불행한 사용자 또는 리스크 관련 의사결정을 제대로 내리지 못하는 경영진 등).  그리곤 자신이 악역 또는 희생자보다 훨씬 더 많이 알고 있다고 생각하기 때문에 모두를 무시하기 시작한다. 전혀 사실이 아니다. 정보보안 전문가는 고도로 전문화된 지식을 가지고 있긴 하지만 대부분은 여전히 회사가 어떻게 돈을 버는지는 이해하지 못한다. 마지막으로 담당했던 프로젝트를 떠올려보자. 갑자기 기득권도 없고, 이해관계도 없는 누군가가 이상한 조언을 했다고 해보자. 이론적으로 또는 적어도 다른 상황에서는 해당 조언이 효과적일지 몰라도 현 프로젝트에서는 아니었다. 이것이 바로 비즈니스 파트너가 종종 정보보안 전문가를 바라보는 관점이다. 즉, 자신의 조언이 얼마나 유용하지 않은지 판단할 실질적인 경험이 없는 오만한 전문가다.  조력자가 돼라  자신을 영웅으로 생각하는 대신 조력자로 생각할 때다(원...

2022.07.05

가트너가 밝히는 10가지 IT 보안 미신들

가트너 애널리스트 제이 헤이저는 정보 보안에서 기업에게 닥친 위협이나 데이터 자산을 보호하는데 이용되어 온 기술과 관련해 많은 '오해'와 '과장'이 존재한다고 지적했다. 이런 오해들은 때론 보안 전문가 사이에서 널리 받아들여지며 '미신'으로까지 발전하기도 한다. 헤이저는 미국 메릴랜드주 내셔널 하버에서 진행된 가트너 보안 및 위협 관리 회담(Gartner Security & Risk Management Summit)에서 '10 가지 대표적 IT 보안 미신'을 소개하며 이것이 데이터 보안 노력에, 그리고 나아가서는 최고 정보보안 책임자(CISO, Chief Information Security Officer)와 비즈니스 간의 신뢰 구축에 악영향을 미칠 수 있음을 지적했다. 헤이저가 소개한 보안 미신들은 다음과 같다. 미신 No 1. '난 괜찮을 꺼야' 원인: 양치기 소년의 허풍에 질려 진짜 늑대 출현에 대응치 못한 주민들처럼, 과장된 위협에 마취된 기업들은 정보 보안 그룹에 가장 싼 비용으로 기본적 대비책을 마련할 것만을 요구하게 된다. 해결책: 보안 위협 수준을 등급별로 분류해 기업에 직면한 진짜 문제가 무엇인지 확인하라. 미신 No 2. '정보 보안 예산은 IT 지출의 10%면 충분하다' 원인: 반대의 의미로 현실과 거리가 먼 얘기다. 가트너의 조사에 따르면 실제 정보 보안 예산이 차지하는 평균 비중은 IT 지출의 5% 정도에 불과했다. 해결책: 제발 데이터를 가지고 이야기해라. 미신 No 3. '보안 위협은 정량화 할 수 있다' 원인: '머릿수가 많은 쪽이 최고'라는 생각에서 비롯된 '수치 만능주의 문화'의 결과물이다. 이런 미신을 믿는 이들은 엑셀 스프레드시트 한 장이면 보안 예산을 확보할 수 있다고 착각하곤 한다. 해결책: IT 관련 위협은 사실 비즈니스와 직결된 문...

가트너 CISO IT 보안

2013.06.13

가트너 애널리스트 제이 헤이저는 정보 보안에서 기업에게 닥친 위협이나 데이터 자산을 보호하는데 이용되어 온 기술과 관련해 많은 '오해'와 '과장'이 존재한다고 지적했다. 이런 오해들은 때론 보안 전문가 사이에서 널리 받아들여지며 '미신'으로까지 발전하기도 한다. 헤이저는 미국 메릴랜드주 내셔널 하버에서 진행된 가트너 보안 및 위협 관리 회담(Gartner Security & Risk Management Summit)에서 '10 가지 대표적 IT 보안 미신'을 소개하며 이것이 데이터 보안 노력에, 그리고 나아가서는 최고 정보보안 책임자(CISO, Chief Information Security Officer)와 비즈니스 간의 신뢰 구축에 악영향을 미칠 수 있음을 지적했다. 헤이저가 소개한 보안 미신들은 다음과 같다. 미신 No 1. '난 괜찮을 꺼야' 원인: 양치기 소년의 허풍에 질려 진짜 늑대 출현에 대응치 못한 주민들처럼, 과장된 위협에 마취된 기업들은 정보 보안 그룹에 가장 싼 비용으로 기본적 대비책을 마련할 것만을 요구하게 된다. 해결책: 보안 위협 수준을 등급별로 분류해 기업에 직면한 진짜 문제가 무엇인지 확인하라. 미신 No 2. '정보 보안 예산은 IT 지출의 10%면 충분하다' 원인: 반대의 의미로 현실과 거리가 먼 얘기다. 가트너의 조사에 따르면 실제 정보 보안 예산이 차지하는 평균 비중은 IT 지출의 5% 정도에 불과했다. 해결책: 제발 데이터를 가지고 이야기해라. 미신 No 3. '보안 위협은 정량화 할 수 있다' 원인: '머릿수가 많은 쪽이 최고'라는 생각에서 비롯된 '수치 만능주의 문화'의 결과물이다. 이런 미신을 믿는 이들은 엑셀 스프레드시트 한 장이면 보안 예산을 확보할 수 있다고 착각하곤 한다. 해결책: IT 관련 위협은 사실 비즈니스와 직결된 문...

2013.06.13

IT 보안 전문가를 바꾸는 7가지 트렌드··· 가트너

기업들은 빅 데이터, 소셜 네트워킹, 모바일, 그리고 클라우드 컴퓨팅이라는 큰 흐름 간 결합으로 인해 IT 보안에 대한 접근 방법을 바꿔야 하는 막중한 과제를 안게됐다. 가트너 보안 부문 부사장 레이 와그너는 미국 메릴랜드 주 네셔널 하버에서 개최된 가트너 시큐리티 & 리스크 매니지먼트 서밋에서 CISO(chief information security officers), CSO(chief security officers) 2,200명이 운집한 가운데 이런 흐름들을 정리했다. 와그너의 톱 트렌드 - 최종 사용자들이 IT 부서의 승인없이도 접속할 수 있게 하는 클라우드 서비스의 채택은 안티바이러스와 주변 방화벽과 같은 전통적인 보안 제어가 갈수록 효과가 없어짐을 의미한다. 또한 이는 네트워크와 디바이스 너머의 보안 체제 자체가 모두 변할 필요성 있다는 것을 의미한다. - 전체 네트워크 상에서 모든 패킷은 의심스럽다. 그러나 회사 자원 내에 침투당했거나 감염된 것을 탐지하기란 극도로 어렵기 때문에 모니터링은 공격을 탐지하기 위한 기본 수단으로 고려돼야 한다. 가트너는 2012년 10% 미만이었던 빠른 탐지와 대응을 위한 IT 예산이 2020년에는 IT 예산의 75%를 차지하게 될 것이라고 예측했다. - IT 보안 직업은 일반적으로 기술에 초점을 맞춘 보안 운영자(security operations)와 비즈니스 측면에서의 적극 참여하는 보안 관리자(security management)로 나뉜다 와그너는 비즈니스 감각이 있는 CISO가 되기 위해서는 보안 이슈에 대해 창조적인 접근법이 필요하다고 말했다. 좀더 확대한다면 프로그래머, 보안 테스터, 데이터베이스 관리자 측면에서 기업이 필요로 한 전문 지식들을 클라우드 자원을 통해 활용할 수 있다. - BYOD(Bring Your Own Device)와 모바일 기술은 이미 우리 생활의 일부이며, MDM(mobile-device management), 컨테이너화된 툴, 그리...

BYOD 클라우드 서비스 IT 보안 보안 자유 지대

2013.06.11

기업들은 빅 데이터, 소셜 네트워킹, 모바일, 그리고 클라우드 컴퓨팅이라는 큰 흐름 간 결합으로 인해 IT 보안에 대한 접근 방법을 바꿔야 하는 막중한 과제를 안게됐다. 가트너 보안 부문 부사장 레이 와그너는 미국 메릴랜드 주 네셔널 하버에서 개최된 가트너 시큐리티 & 리스크 매니지먼트 서밋에서 CISO(chief information security officers), CSO(chief security officers) 2,200명이 운집한 가운데 이런 흐름들을 정리했다. 와그너의 톱 트렌드 - 최종 사용자들이 IT 부서의 승인없이도 접속할 수 있게 하는 클라우드 서비스의 채택은 안티바이러스와 주변 방화벽과 같은 전통적인 보안 제어가 갈수록 효과가 없어짐을 의미한다. 또한 이는 네트워크와 디바이스 너머의 보안 체제 자체가 모두 변할 필요성 있다는 것을 의미한다. - 전체 네트워크 상에서 모든 패킷은 의심스럽다. 그러나 회사 자원 내에 침투당했거나 감염된 것을 탐지하기란 극도로 어렵기 때문에 모니터링은 공격을 탐지하기 위한 기본 수단으로 고려돼야 한다. 가트너는 2012년 10% 미만이었던 빠른 탐지와 대응을 위한 IT 예산이 2020년에는 IT 예산의 75%를 차지하게 될 것이라고 예측했다. - IT 보안 직업은 일반적으로 기술에 초점을 맞춘 보안 운영자(security operations)와 비즈니스 측면에서의 적극 참여하는 보안 관리자(security management)로 나뉜다 와그너는 비즈니스 감각이 있는 CISO가 되기 위해서는 보안 이슈에 대해 창조적인 접근법이 필요하다고 말했다. 좀더 확대한다면 프로그래머, 보안 테스터, 데이터베이스 관리자 측면에서 기업이 필요로 한 전문 지식들을 클라우드 자원을 통해 활용할 수 있다. - BYOD(Bring Your Own Device)와 모바일 기술은 이미 우리 생활의 일부이며, MDM(mobile-device management), 컨테이너화된 툴, 그리...

2013.06.11

IDG 설문조사

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.8