2012.05.17

금융 IT, 이제는 효율성보다는 보안이다 - Finance IT World 2012

편집부 | IDG Korea
"금융 IT, 이제는 효율성보다는 보안이다."
최한묵 금융감독원 IT감독국장은 한국IDG가 5월 16일 개최한 Finance IT World 2012 컨퍼런스에서 현재 국내 전자금융과 보안에 대한 현실을 직시하면서 이렇게 말했다. 
 
금융 IT의 현 과제를 돌아보고, 최신 정보를 제공하기 위한 이번 컨퍼런스에서는 금융 IT의 영원한 숙제인 보안 문제를 시작으로 빅 데이터, IT 인프라 관리 등에 대한 최신 기술을 심도깊게 논의했다. 
박형미 한국 IDG 사장은 "금융 IT의 최고 화두는 스마트다. 금융업체의 IT부서는 이제 기존의 비즈니스를 지원함은 물론 새로운 비즈니스 요구를 먼저 파악하고 이에 따른 기술 도입을 주체적으로 주도해야 한다"며, 이번 컨퍼런스를 통해 선진 IT 트렌드를 파악하고 스마트한 고객들을 대상으로 스마트한 IT 환경을 구현하길 바란다"고 말했다. 
 
정보보안, 기술보다는 예방 과학에 가깝다 
짐 넴스 세계은행 최고정보보안책임자(CISO)는 기조연설에서 "비즈니스는 국가별, 지역별로 하겠지만, 우리의 비즈니스를 위협하는 적은 글로벌이며, 우리가 해야할 일은 이들로부터 어떻게 데이터를 보호하고 손실을 최소화하는가인데, 이는 최소한의 역할일 뿐"이라고 밝혔다. 
 
넴스 CSIO는 빅 데이터를 거론하면서 "오늘날에는 보안 담당자들이 도저히 다룰 수 없는 데이터들이 돌아다니고 있으며, 해커들은 점점더 똑똑해지고, 조용하게 우리를 위협하고 있다"고 말했다. 
 
한번 손실된 데이터에 대한 마무리를 하려면 대단히 어렵다. 그래서 예방이 중요하다. 적을 찾았을 때는 이미 손실이 발생한 것이다. 넴스는 "그래서 이제 정보보안은 기술이 아니라 예방 과학에 가깝다"고 주장했다. 
 
위협을 미리 파악해야 하는 과제를 풀기 위해서는 전문가가 필요한데, 이는 전문가에게 맡기면 된다. 
그는 "사실 우리를 위협하는 것은 새로운 해킹 소프트웨어나 기술이 아니라 하이 테크닉이다. 해커들은 자신이 할 수 있는 모든 것을 해 본다. 기업의 취약점, 직원의 개인정보, 보안 체계 등 다양한 방면에서 새로운 방법으로 침입하려 한다. 한 마디로 해커는 모든 차원, 단계에서 취약점을 공격, 침입한다는 것"이라고 설명했다.  
 
짐 넴스는 "위협 모델의 세 가지 요소는 사람 + 프로세스 + 기술인데, 우리는 이에 대해 기술적으로만 접근한다. 누군가 전화로 비밀번호를 묻는 것은 기술문제가 아니라 사람의 문제"라고 말했다. 
 
흔히 실수하는 위험은 해커들이 사용하는 소프트웨어만 있는 것이 아니다. 그래서 보안 소프트웨어를 도입하고 최신의 막강한 것으로 교체한다고 될 일이 아니다. 바로 방법론 문제이며, 이는 돈으로 해결될 수 없다. 
컴플라이언스 이행을 한다고 리스크로부터 보호할 수 있는 것이 아니라는 말이다. 
 
2011년 데이터 침해 보고서에 따르면, 기업의 80%이상이 데이터 침해 경험이 있으며, 이 가운데 컴플라이언스를 이행한 기업이 80~90%였다. 
 
넴스는 "우리의 데이터를 지키는 데 고려해야 할 사항은 취약성, 위협 그리고 자사의 주요 자산이다. 이 세 가지 고려사항의 교집합이 바로 그 기업이 가장 먼저 보호해야 할 우선 순위가 된다. 몇 단계의 계층을 만들어 핵심 데이터는 가장 코어에 두는 것으로 마음이 좀더 편해질 것"이라고 말했다. 
 
짐 넴스는 이에 대해 "보안 담당자는 리스크를 피하고 위협에서 벗어나야 하며, 취약점을 분석하고 받아들여야 한다"며, "지금껏 해 오던 보안 정책으로는 APT와 같은 지능적인 공격에 무의미하기 때문에 데이터 움직임을 현명하게 파악해야 한다"고 주장했다. 
 
넴스는 "데이터가 생성되고 이동, 활용에 이르는 데이터 워크플로우 전 단계에 걸쳐 데이터 보호가 필요하며, 무엇보다도 뭘 보호해야 하는지를 파악해야 한다. 보호 대상을 모르면 그 효과는 미미할 뿐"이라고 덧붙였다. 
 


2012.05.17

금융 IT, 이제는 효율성보다는 보안이다 - Finance IT World 2012

편집부 | IDG Korea
"금융 IT, 이제는 효율성보다는 보안이다."
최한묵 금융감독원 IT감독국장은 한국IDG가 5월 16일 개최한 Finance IT World 2012 컨퍼런스에서 현재 국내 전자금융과 보안에 대한 현실을 직시하면서 이렇게 말했다. 
 
금융 IT의 현 과제를 돌아보고, 최신 정보를 제공하기 위한 이번 컨퍼런스에서는 금융 IT의 영원한 숙제인 보안 문제를 시작으로 빅 데이터, IT 인프라 관리 등에 대한 최신 기술을 심도깊게 논의했다. 
박형미 한국 IDG 사장은 "금융 IT의 최고 화두는 스마트다. 금융업체의 IT부서는 이제 기존의 비즈니스를 지원함은 물론 새로운 비즈니스 요구를 먼저 파악하고 이에 따른 기술 도입을 주체적으로 주도해야 한다"며, 이번 컨퍼런스를 통해 선진 IT 트렌드를 파악하고 스마트한 고객들을 대상으로 스마트한 IT 환경을 구현하길 바란다"고 말했다. 
 
정보보안, 기술보다는 예방 과학에 가깝다 
짐 넴스 세계은행 최고정보보안책임자(CISO)는 기조연설에서 "비즈니스는 국가별, 지역별로 하겠지만, 우리의 비즈니스를 위협하는 적은 글로벌이며, 우리가 해야할 일은 이들로부터 어떻게 데이터를 보호하고 손실을 최소화하는가인데, 이는 최소한의 역할일 뿐"이라고 밝혔다. 
 
넴스 CSIO는 빅 데이터를 거론하면서 "오늘날에는 보안 담당자들이 도저히 다룰 수 없는 데이터들이 돌아다니고 있으며, 해커들은 점점더 똑똑해지고, 조용하게 우리를 위협하고 있다"고 말했다. 
 
한번 손실된 데이터에 대한 마무리를 하려면 대단히 어렵다. 그래서 예방이 중요하다. 적을 찾았을 때는 이미 손실이 발생한 것이다. 넴스는 "그래서 이제 정보보안은 기술이 아니라 예방 과학에 가깝다"고 주장했다. 
 
위협을 미리 파악해야 하는 과제를 풀기 위해서는 전문가가 필요한데, 이는 전문가에게 맡기면 된다. 
그는 "사실 우리를 위협하는 것은 새로운 해킹 소프트웨어나 기술이 아니라 하이 테크닉이다. 해커들은 자신이 할 수 있는 모든 것을 해 본다. 기업의 취약점, 직원의 개인정보, 보안 체계 등 다양한 방면에서 새로운 방법으로 침입하려 한다. 한 마디로 해커는 모든 차원, 단계에서 취약점을 공격, 침입한다는 것"이라고 설명했다.  
 
짐 넴스는 "위협 모델의 세 가지 요소는 사람 + 프로세스 + 기술인데, 우리는 이에 대해 기술적으로만 접근한다. 누군가 전화로 비밀번호를 묻는 것은 기술문제가 아니라 사람의 문제"라고 말했다. 
 
흔히 실수하는 위험은 해커들이 사용하는 소프트웨어만 있는 것이 아니다. 그래서 보안 소프트웨어를 도입하고 최신의 막강한 것으로 교체한다고 될 일이 아니다. 바로 방법론 문제이며, 이는 돈으로 해결될 수 없다. 
컴플라이언스 이행을 한다고 리스크로부터 보호할 수 있는 것이 아니라는 말이다. 
 
2011년 데이터 침해 보고서에 따르면, 기업의 80%이상이 데이터 침해 경험이 있으며, 이 가운데 컴플라이언스를 이행한 기업이 80~90%였다. 
 
넴스는 "우리의 데이터를 지키는 데 고려해야 할 사항은 취약성, 위협 그리고 자사의 주요 자산이다. 이 세 가지 고려사항의 교집합이 바로 그 기업이 가장 먼저 보호해야 할 우선 순위가 된다. 몇 단계의 계층을 만들어 핵심 데이터는 가장 코어에 두는 것으로 마음이 좀더 편해질 것"이라고 말했다. 
 
짐 넴스는 이에 대해 "보안 담당자는 리스크를 피하고 위협에서 벗어나야 하며, 취약점을 분석하고 받아들여야 한다"며, "지금껏 해 오던 보안 정책으로는 APT와 같은 지능적인 공격에 무의미하기 때문에 데이터 움직임을 현명하게 파악해야 한다"고 주장했다. 
 
넴스는 "데이터가 생성되고 이동, 활용에 이르는 데이터 워크플로우 전 단계에 걸쳐 데이터 보호가 필요하며, 무엇보다도 뭘 보호해야 하는지를 파악해야 한다. 보호 대상을 모르면 그 효과는 미미할 뿐"이라고 덧붙였다. 
 


X