넘버스 IT 리서치 자료

검색 결과 약 377개 (0.10ms)

“데이터 유출 관련 비용으로 인해 서비스·제품 가격을 인상했다”

넘버스

자료 제목 :

2023 데이터 유출 비용 연구 보고서 Cost of a Data Breach Report 2023

자료 출처 :

IBM Security

원본자료 다운로드

발행 날짜 :

2023년 11월 14일

주요 내용 :

IBM 시큐리티는 ‘2023 데이터 유출 비용 연구 보고서(Cost of a Data Breach Report 2023)’를 발표하며, 데이터 유출로 인한 전 세계 평균 비용이 지난 3년간 15% 증가한 445만 달러로 올해 사상 최고치를 기록했다고 밝혔다. 한국 역시 데이터 유출로 인한 평균 비용이 지난 3년간 19% 증가한 45억 3,600만 원으로 사상 최고치를 기록했다. 데이터 유출로 인한 평균 비용이 가장 높은 국가는 미국이었으며, 산업별로는 의료, 금융, 제조 분야가 평균 비용이 가장 높았다. 한국은 아시아 태평양 지역에서 일본에 이어 두 번째로 데이터 유출 비용이 큰 국가였으며 산업 측면에서는 금융, 제조, 서비스 순으로 가장 큰 비용을 기록했다. 이 조사에서 주목할 만한 또 다른 사항은 데이터 유출 피해액이 제품 및 서비스 가격에도 반영되며, 소비자에게 비용이 전가된다는 점이다. 조사에 참여한 기업의 57%가 데이터 유출 관련 비용 상승으로 인해 서비스나 제품 가격을 인상했다고 응답했다. 데이터 유출 발생 후 51%의 기업이 보안 지출을 늘린 것으로 나타났다. 사고 대응(IR) 계획 및 테스트에 가장 우선적인 투자가 이루어졌고 위협 탐지 및 대응 기술에 가장 많은 기술 및 툴이 도입됐다. 직원 교육과 더불어 특히 이 세 가지 투자는 데이터 유출 비용 절감과 밀접하게 연관된 것으로 확인된다. 문제는 공개된 데이터 침해 건수 중 33%만이 실제 기업 내부 보안팀에서 밝혀냈다는 점이다. 침해 사고의 40%는 제3자에 의해 확인되었고 1/4 이상(27%)은 랜섬웨어 공격자에 의해 공개됐다. 공격자가 유출 사실을 밝힌 경우에는 내부 탐지에 비해 약 100만 달러의 추가 비용이 발생했다. 긍정적인 점은 보안 AI와 자동화가 보안 침해를 식별하고 대응하는 데 드는 비용과 시간을 줄이는 데 실질적으로 도움이 되는 것으로 증명되었다는 것이다. 보안 AI와 자동화를 접근 방식에 광범위하게 사용한 기업은 침해 사고를 식별하고 복구하는 데 걸리는 시간을 평균 108일로 단축했다. 비용 측면에 있어서도 보안 AI 및 자동화 기능을 사용하지 않은 기업보다 데이터 유출 비용이 176만 달러 더 낮게 지출된 것으로 확인됐다. 한국IBM 보안사업부 조가원 기술총괄 상무는 “국내에서 지난 9월 15일 개인정보보호법 개정안이 시행됐고 현행 과징금 부과 기준이 ‘위반행위와 관련한 매출액의 3％ 이하’에서 ‘전체 매출액의 3％ 이하’로 바뀜에 따라 기업의 개인정보보호에 대한 의무가 강화되고 기업 측에서의 유출에 따른 리스크가 훨씬 커지고 있다”라며, “실제 유출 사례를 통해 AI 도입과 자동화가 비용과 보안 운영 측면에서 실효성이 있다는 것이 입증된 만큼 기업도 보안 강화를 위해 선제적으로 노력해야 할 때”라고 말했다. 한편, 2023 데이터 유출 비용 연구는 포네몬 연구소가 독립적으로 수행하고 IBM 시큐리티가 후원, 분석 및 발표했다. 2022년 3월부터 2023년 3월까지 발생한 데이터 유출 사고의 영향을 받은 16개 국가, 17개 산업에 걸친 553개 기업을 조사했다. editor@itworld.co.kr

관련 자료 :

2023년 주요 SNS의 평균 보안 점수(5점 만점)

3.02

점

넘버스

자료 제목 :

위협 브리핑: 소셜 미디어 보안 및 선거 제2권 Threat Briefing: Social Media Security and Elections Volume II

자료 출처 :

Cerby

원본자료 다운로드

발행 날짜 :

2023년 11월 07일

주요 내용 :

페이스북이 향상된 개인정보 관리 기능과 2FA(Two-factor Authentication) 지원 등으로 주요 SNS 가운데 가장 안전한 것으로 조사됐다. 하지만 다양한 유형의 계정 탈취 공격에는 여전히 취약한 것으로 나타났다. ⓒ Getty Images Bank 접근 관리 플랫폼 제공업체 서비(Cerby)는 최근 트위터, 페이스북, 인스타그램, 틱톡, 유튜브 등 5개 플랫폼에 대한 보안을 평가한 두 번째 연례 보고서를 발간하고 엔터프라이즈급 인증 및 권한 부여 기술에 대한 지원이 전반적으로 부족하다고 지적했다. 이런 기술에 대한 지원 부족은 광범위한 허위 정보 캠페인으로 이어질 수 있어서 특히 우려된다고 업체 측은 말했다. 서비 보고서 집필팀은 SCIM(Simple Cloud Identity Management) 및 SAML(Security Assertion Markup Language)와 같은 교차 환경 인증 기술에 대한 지원이 SNS를 보다 효과적으로 보호하는 데 큰 도움이 될 것이라며 “이런 표준이 없다면 정치인과 기업은 자격 증명 재사용 공격을 비롯한 여러 보안 위험에 취약할 수 있다”라고 설명했다. 이어 “2022년부터 2023년까지 이 부문의 평가 점수가 변하지 않았다는 것은 이런 플랫폼 내에서 엔터프라이즈급 보안 제어와 관련한 조정이 잘못 이뤄지고 있음을 보여준다”라고 덧붙였다. 서비는 엔터프라이즈급 인증 및 권한 부여 외에 2FA 수단, RBAC(Role-based Access Control), 개인정보 보호, 엔터프라이즈급 보안, 계정 사용 프로파일링 6가지 부문에서 0~5점 척도로 평가했다. 0점은 특정 기능 통합에 대한 지원/로드맵이 없음을 의미하고, 5점은 완전하고 성숙한 지원을 나타낸다. 2FA 부문에서는 페이스북, 유튜브, X(구 트위터)가 모두 스마트폰 또는 하드웨어 보안 키와 같은 인증 기기를 사용해 2단계 인증을 제공하는 개방형 표준인 FIDO2 프레임워크를 지원해 5점 만점을 받았다. RBAC 부문에서는 다섯 가지 SNS 모두 우수한 평가를 받았다. 5점 만점에 3점 이하의 점수를 받은 기업은 없었다. 보고서 집필팀은 “소셜 플랫폼 전반에서 엔터프라이즈급 인증 및 권한 부여를 발전시켜야 하는 중대한 과제가 남아있다. 이들 플랫폼은 대체로 비표준 애플리케이션 범주에 속하며, SAML 및 SCIM과 같은 일반적인 보안 표준에 대한 더 많은 지원이 필요하다”라고 말했다. 서비는 SNS를 안전한 방식으로 활용하고자 하는 정치인과 기업을 위해 3가지 주요 지침을 제시했다. 첫째, IdP(Identity Provider)와 통합된 비밀번호 관리자를 사용해 재사용되거나 취약한 비밀번호로 인한 위험을 최소화해야 한다. 둘째, 유비키(YubiKey) 같은 하드웨어 기반 보안 키를 사용한 2FA를 제안했다. 마지막으로 SNS를 애저 AD(Active Directory) 또는 옥타(Okta)와 같은 기존 SSO(Single Sign-on) 플랫폼과 통합하면 자격 증명 및 액세스 토큰을 중앙 집중식으로 관리하는 데 도움이 된다고 조언했다. editor@itworld.co.kr

네트워크 세그먼테이션 도입의 가장 큰 장애물

가지

넘버스

자료 제목 :

2023년 세그먼테이션 현황 The State of Segmentation 2023

자료 출처 :

Akamai

원본자료 다운로드

발행 날짜 :

2023년 11월 06일

주요 내용 :

“쿠버네티스와 컨테이너는 새로운 보안 사각지대를 만든다”

넘버스

자료 제목 :

2023년 머신 ID가 클라우드 네이티브 보안에 미치는 영향 The Impact of Machine Identities on the State of Cloud Native Security in 2023

자료 출처 :

Venafi

원본자료 다운로드

발행 날짜 :

2023년 11월 06일

주요 내용 :

사이버보안 업체 베나피(Venafi)의 최근 조사에 따르면, 많은 기업이 레거시 애플리케이션을 클라우드로 마이그레이션할 때 발생하는 보안 위협을 충분히 이해하지 못하는 것으로 나타났다. ⓒ Getty Images Bank 베나피는 오늘날의 클라우드 네이티브 보안 환경이 직면한 주요 위협과 과제를 조사하기 위해 미국, 영국, 독일, 프랑스 소재 기업의 보안 및 IT 리더 800명을 대상으로 설문조사를 실시했다. 보고서 집필팀은 “앱 개발팀은 컨테이너 및 마이크로서비스를 통해 앱을 빠르게 개선하고 있다. 하지만 클라우드 네이티브 보안은 대부분 뒤처져 있다. 엔지니어링, 플랫폼 및 개발팀 내에서 어떤 팀이 보안 기능을 소유해야 하는지 명확하지 않은 경우 많다”라고 말했다. 특히 베나피는 컨테이너 클러스터 내의 통신과 연결을 보호하는 인증자인 머신 ID를 보호할 때 이런 명확성 부족이 큰 문제가 된다고 지적했다. 머신 ID는 클라우드 네이티브 보안의 기반이 되는 요소로, 보고서 집필팀은 “서비스 메시, 소프트웨어 공급망 보안, 개발 아티팩트의 코드 서명과 같은 머신 ID는 상대적으로 중요함에도 불구하고 클라우드 네이티브 환경에서 간과되는 경우가 많다”라고 덧붙였다. 대부분 기업이 애플리케이션 개발 및 릴리즈 주기가 길어지는 문제를 해결하기 위해 클라우드로 빠르게 이동하고 있다. 레거시 애플리케이션을 클라우드로 마이그레이션했다고 답한 응답자는 87%에 달한다. 그러나 응답자 절반 이상(59%)은 레거시 애플리케이션을 클라우드로 마이그레이션할 때 수반하는 보안 위험을 이해하지 못했다고 답하며 격차가 드러났다. 53%는 앱 코드 대부분을 그대로 유지한 채 클라우드로 전환했다고 인정했다. 준비 미흡과 이해 부족으로 인해 기업은 비용에 관한 문제를 겪기도 한다. 응답자 52%는 레거시 앱을 클라우드로 마이그레이션한 후 서로 다른 클라우드를 여러 개 운영하는 클라우드 스프롤(cloud sprawl)과 높은 비용으로 어려움을 겪었다고 답했다. 보고서에 따르면, 이런 어려움을 겪은 응답자 중 77%는 앱을 클라우드로 이전하는 것을 재고했다. 개발자 사이에서 컨테이너화가 인기 선택지가 됐다는 점도 주목할 만한 트렌드다. 응답자의 84%는 컨테이너가 모든 종류의 앱 개발에 사용되는 주요 플랫폼이 될 것이라고 생각하고 있었다. 쿠버네티스 사용이 증가하고 성숙해지면서 클라우드 네이티브 전략의 복잡성은 더욱 분명해지고 있다. 응답자 75%는 쿠버네티스와 컨테이너의 속도 및 복잡성으로 인해 새로운 보안 사각지대가 생긴다고 생각하는 등 대부분 응답자가 쿠버네티스 도입과 관련해 어느 정도 불확실성이 존재한다는 데 동의했다. 컨테이너화와 관련한 주요 문제는 패치 적용의 어려움(43%), 구성오류로 인한 취약점(41%), 제대로 관리되지 않은 인증서로 인한 운영 중단(32%), 보안 감사 실패(22%) 등이 대표적이다. 실제로 쿠버네티스 또는 컨테이너 환경에서 보안 문제를 경험한 응답자는 59%에 달했다. 대부분 네트워크 침해(42%), API 취약점(41%), 인증서 구성 오류(39%) 등으로 인한 문제였다. 머신 ID 문제인 인증서 구성오류는 미국 소재 기업에서 45%를 차지하며 가장 큰 문제임이 확인됐다. 또한 응답자 68%는 인증서 발급이 개발 프로세스에 마찰을 더한다는 이유에서 개발자가 인증서를 사용하지 않는 경우가 있다고 답했다. 머신 ID 관리에 수반하는 어려움에도 불구하고 응답자의 88%는 제로 트러스트의 성공적인 도입을 위해 머신 ID 개념이 필수적이라고 생각했다. 그러나 74%의 응답자는 개발자가 여러 가지 상충하는 우선순위로 인해 보안을 최우선 순위로 두지 않는 것을 우려하는 등 머신 ID 관리에 대한 소유권은 여전히 불분명한 상황이다. editor@itworld.co.kr

한국인이 웹사이트 개인정보보호 정책 페이지를 읽는 데 매월 할애하는 시간

31.4

시간

넘버스

자료 제목 :

국가별 방문 웹사이트 개인정보 보호정책 읽기에 할애하는 한 달 평균 시간

자료 출처 :

NordVPN

발행 날짜 :

2023년 10월 31일

주요 내용 :

노드VPN은 한국을 포함한 전세계 19개국 인기 웹사이트들의 개인정보보호 정책을 읽는데 걸리는 시간을 분석하고 그 결과를 발표했다. 한국인이 가장 많이 방문하는 상위 20개 웹사이트의 개인정보보호 정책을 분석한 결과, 평균적으로 4,678개의 단어로 이루어져 있었으며, 한 사람이 1분에 약 238단어를 읽는다고 가정했을 때 한 웹사이트당 19분 37초, 20개 웹사이트 전체를 읽으려면 약 6시간 30분이 소요되는 것으로 나타났다. 이것을 한달 단위로 확장하여 한 사람이 한 달간 일반적으로 방문하는 웹사이트가 약 96개이므로 결국 월 31.4시간을 할애해야 방문하는 웹사이트의 개인정보보호 정책을 읽고 숙지할 수 있는 것이다. 이 시간동안 일을 한다면 국내 최저임금 기준 43만 원을 벌 수 있는 시간이었다. 그럼에도 불구하고 한국 상위 20개 웹사이트의 개인정보보호 정책을 읽는데 걸리는 시간과 단어 수는 다른 국가와 비교해 가장 짧았다. 가장 긴 독일의 경우, 개인정보보호 정책을 읽는데 웹사이트 한 곳당 평균 44분이 걸렸으며, 이는 한국의 약 2.2배에 달하는 시간이었다. 이는 2018년에 공식적으로 도입돼 유럽 연합의 국가에 적용되고 있는 일반 데이터 보호 규칙인 GDPR(General Data Protection Regulation) 때문으로 분석된다. 유럽 연합 가입국은 개인의 사적 정보를 보호하기 위해 기업과 조직이 준수해야 할 규정을 모아 놓은 지침을 웹사이트마다 반드시 넣어야 한다. 노드VPN은 조사국 중 개인정보보호 정책을 읽는 데 한국이 가장 짧은 시간이 소요된다 할지라도 꼼꼼히 읽으면 최소 31시간 이상이 걸리기 때문에 ▲웹사이트에서 수집하는 데이터 확인 ▲‘판매’, ‘공유’, ‘제3자’, ‘계열사’ 등의 위험 신호 키워드 유무 확인 ▲신뢰 가능한 웹사이트만 이용하기 등 쉽고 빠르게 읽을 수 있는 팁을 제시했다. 노드VPN 조성우 한국지사장은 “웹사이트를 가입할 때마다 개인정보보호 정책을 처음부터 끝까지 꼼꼼히 다 읽을 수 있다면 좋겠지만 실천하기 쉽지 않은 것이 현실”이라며, “그럴 때 개인정보를 다른 곳에 ‘판매’하거나 ‘공유’한다는 ‘위험 신호 키워드’를 찾고 그 웹사이트를 피하는 것 만으로도 개인정보를 어느정도 지킬 수 있다”라고 강조했다. editor@itworld.co.kr

2024년 가장 주목해야 할 사이버보안 위협

가지

넘버스

자료 제목 :

2024년 사이버보안 위협 글로벌 트렌드 2024 Threat Predictions

자료 출처 :

Trellix

원본자료 다운로드

발행 날짜 :

2023년 10월 30일

주요 내용 :

트렐릭스가 ‘2024년 사이버보안 위협 글로벌 트렌드’를 발표했다. 트렐릭스 어드밴스드 리서치 센터(Advanced Research Center)는 기업이 지정학적, 경제적 환경 변화로 인한 복잡함과 불확실성에 지속적으로 노출되는 상황을 점검하고 2024년 가장 염두해야 할 사항에 대한 인사이트를 담았다. 트렐릭스 어드밴스드 리서치 센터의 위협 인텔리전스 담당 총괄 존 포커는 “오늘날 사이버보안 환경은 그 어느 때보다 더 복잡하다. 랜섬웨어 공격집단부터 범국가적 공격자까지 사이버 범죄자들은 보다 지능적이고 신속하며, 조직적으로 전술을 재구성하고 신종 공격기법을 도입하고 있다. 이는 2024년에도 변함없을 것”이라고 예측했다. 또한 포커는 “증가하는 사이버 위협에서 벗어나 위협 행위자를 능가하고 압도하기 위해서는 전 업계가 지속적으로 경계하고 실행 가능한 판단을 통해 새로운 위협에 대응할 수 있는 사이버보안 전략을 수립해 공격자보다 한발 앞선 선제적 대응이 필수적”이라고 강조했다. 트렐릭스 어드밴스드 리서치 센터 전문 연구진은 2024년 기업이 가장 주목해야 할 트렌드로 ▲악성 LLM의 잠복 개발 ▲AI 로 생성된 소셜 엔지니어링 기반 음성 사기 ▲관계자 보호에서 시작되는 선거 보안을 꼽았다. 최근 AI의 발전으로 사람과 유사한 수준으로 텍스트를 생성할 수 있는 LLM(Large Language Model)이 등장했다. GPT-4, 클로드(Claude), PaLM2 등 주요 LLM은 논리적인 텍스트 생성, 복잡한 쿼리에 대한 답변, 문제 해결, 코딩 및 기타 수많은 자연어 작업에서 독보적인 성능을 증명했다. 하지만 고급 LLM의 가용성과 사용 편의성은 사이버 범죄자에게 새로운 가능성을 열었다. 비교적 정교성이 떨어지던 이전의 AI 시스템과 달리 최신 LLM은 광범위한 전문 지식, 시간, 리소스를 요하지 않아 해커에게 강력하고도 경제적인 도구가 됐다. 기술 전문성이 부족한 개인에게도 대규모 피싱 캠페인을 위한 인프라 구축이 쉬워지고 관련 비용이 저렴해졌다. FraudGPT, WormGPT와 같은 툴은 이미 사이버 범죄 네트워크에서 널리 활용되고 있다. 오늘날 대규모 다크넷 포럼 중 대다수가 수천 명의 사용자에게 피싱 이메일, 위조 웹페이지의 조직적인 개발은 물론 탐지를 회피하도록 설계된 맬웨어와 취약점을 제작하기 위한 플랫폼을 제공한다. 악성 LLM 애플리케이션은 사이버 범죄자가 기존 문제점을 해결하는 데 도움이 될 수 있으며, 2024년에는 관련 툴 개발 및 악의적인 사용이 보다 가속화될 것으로 예상된다. AI를 활용한 음성 사기는 2024년에도 증가해 개인과 기업에 상당한 위협을 초래할 것으로 예측된다. 최근 AI 기술이 더욱 발전함에 따라 AI 생성 음성은 실제 사람의 발화 패턴과 뉘앙스를 거의 비슷하게 모방해 구분이 더욱더 어려워지고 있다. 또한 AI 음성 생성 툴은 접근성 및 경제성으로 인해 기술적인 전문 지식이 없는 개인도 손쉽게 그럴듯한 인공 음성을 만들 수 있도록 대중화됐다. 사이버 범죄자는 AI가 생성한 음성으로 스캠 자동화 및 대규모 공격을 수행할 수 있다. 음성 메시지 혹은 통화를 개인화해 수많은 잠재적 피해자를 동시에 타겟팅하고, 도달 범위 및 성공률을 향상시킬 수 있다. AI 음성의 정확성이 갈수록 높아짐에 따라 특히 기술에 익숙하지 않은 개인이 진위 및 사기 여부를 알아차리기도 점점 어려워지고 있다. 또한 이런 사기는 언어의 제약을 받지 않아 범죄 행위자는 지역과 언어를 막론하고 다양한 피해자를 노릴 수 있다. 선거 보안 관련 주요 위협은 아직 기초적인 형태이나, 악의적인 행위자가 기발한 피싱 수법을 통해 선거 관계자의 자격을 손상시키는 이메일 혹은 SMS 메시지로 시작되는 경우가 많다. 이메일은 고도의 개인화 및 높은 성공률로 스피어 피싱 및 정교한 사칭과 같은 사이버 공격의 주요 진입점으로 활용된다. 2024년 총선이 다가옴에 따라 모든 선거 관계자는 지속적으로 이메일을 면밀히 검토하고 낯선 하이퍼링크를 경계해야 한다고 업체 측은 설명했다. 트렐릭스 측은 고도로 표적화된 정교한 사칭 및 BEC(Business Email Compromise) 공격, 스피어 피싱 캠페인에 각별히 주의하고 지능형 악성 파일과 URL을 탐지 및 차단하는 솔루션의 활용을 고려해야 하며, 선거 관계자는 불법적으로 선거 과정에 개입하려는 위협 행위자를 염두에 두고 대비해야 한다고 말했다. editor@itworld.co.kr

“생성형 AI가 보안팀 인력 부족 문제 완화할 것”

넘버스

자료 제목 :

2023 CISO 연구 보고서 The CISO Report 2023

자료 출처 :

Splunk

원본자료 다운로드

발행 날짜 :

2023년 10월 26일

주요 내용 :

스플렁크가 ‘2023 CISO 연구 보고서’를 발표했다. CISO 연구 보고서는 오늘날의 최고정보보호책임자(CISO), 최고정보보안책임자(CSO) 및 기타 자격을 갖춘 보안 리더를 위해 새로운 트렌드, 위협 및 전략을 제시한다고 업체 측은 설명했다. 스플렁크 CISO 제이슨 리는 “기업의 최고 경영진과 이사회는 정교한 위협 환경과 변화하는 시장 상황에 대한 지침을 얻기 위해 점점 더 CISO에게 의존하고 있다”라며, “이런 관계를 통해 CISO는 조직의 보안 문화를 강화하고 팀이 더욱 상호 협력적이고 탄력적인 조직으로 거듭나도록 이끌 수 있다”라 설명했다. 설문조사에 참여한 CISO의 86%는 생성형 AI가 보안팀에서 겪고 있는 기술 격차와 인재 부족 문제를 완화할 것이라고 믿고 있었다. 이는 노동 집약적이고 시간이 많이 소요되는 보안 업무를 대신해, 보안 전문가가 보다 전략적인 업무에 집중할 수 있게끔 도울 가능성이 높음을 의미한다. 응답자의 35%는 긍정적인 보안 애플리케이션을 위해 생성형 AI를 사용하고 있다고 답했으며, 61%는 향후 12개월 내에 생성형 AI를 사용할 가능성이 높은 것으로 나타났다. 보고서에 따르면, 응답자의 90%는 자신이 속한 조직이 지난 1년간 적어도 한 건의 파괴적인 사이버 공격을 경험했다고 응답했다. 금융 서비스(59%), 소매(59%), 보건 의료(52%) 등 많은 산업에서 시스템과 비즈니스 운영에 중대한 영향을 미치는 랜섬웨어 공격을 경험했다. 응답자 조직의 83%는 랜섬웨어 공격이 발생한 후 공격자에게 돈을 지불했으며, 이 중 절반 이상이 최소 10만 달러(약 1억3,000만 원)를 지불한 것으로 나타났다. 배상금을 지불할 가능성이 가장 높은 산업은 소매업으로, 해당 업계 응답자의 95%는 사이버 보험 또는 제3자를 통해 직접 돈을 지불했다고 답했다. 설문조사에 참여한 CISO의 대다수(70%)는 생성형 AI가 사이버 공격자에게 이점을 제공한다고 생각한다고 답한 반면, CISO의 35%는 이미 멀웨어 분석, 워크플로 자동화, 위험 평가와 같은 사이버 방어를 위해 AI를 실험하고 있다고 응답했다. 보건 의료(88%), 제조(76%), 금융 서비스(72%) 분야에 재직 중인 CISO는 생성형 AI가 사이버 공격자에게 크거나 약간의 이점을 제공할 수 있다는 우려를 가장 많이 표명했다. 또한, 금융 서비스 분야 CISO 51%는 AI 보안 위험을 완화하기 위해 특정 사이버 보안 통제를 시행할 계획이라고 답했다. 대다수 CISO(93%)는 프로세스에 자동화를 광범위하게, 또는 어느 정도 구현했다고 응답했다. 대부분의 CISO는 도구의 난립이 기존의 가시성 문제를 더욱 악화시킬 수 있는 주요 우려 사항이라고 응답했다. 응답자의 대다수(88%)가 보안 오케스트레이션, 자동화 및 대응(SOAR), 보안 정보 및 이벤트 관리(SIEM), 위협 인텔리전스 등의 솔루션을 통해 보안 분석 및 운영 도구를 통제해야 한다고 답했다. 이처럼 전 세계 CISO는 사용하는 도구의 수를 줄이고 자동화를 통해 프로세스를 간소화하려고 하는 것으로 나타났다. 설문조사에 참여한 CISO의 47%는 CEO에게 직접 보고하고 있다고 답했으며, 이는 CISO가 최고 경영진 및 각 이사회와 더욱 긴밀하게 협력하고 있다는 것을 나타낸다. 이사회는 사이버 보안 전략을 안내할 수 있는 CISO에게 점점 더 많은 것을 기대하고 있으며, 이는 CISO가 가치를 명확히 표현하고 커뮤니케이션 공백을 메울 수 있는 기회를 제공한다. 테크(100%), 정부 기관(100%), 통신 및 미디어(94%), 보건 의료(88%), 제조(86%) 등 산업별 수많은 CISO가 이사회 회의에 정기적으로 참여하고 있다고 답했다. 90%의 CISO는 의사결정자나 이사회가 현재 관심을 갖는 KPI 및 보안 지표가 2년 전과는 달라졌다고 답했다. 보안 테스트 결과, 보안 투자의 ROI, 사이버 보험 가입 여부는 CISO의 성공을 증명하는 상위 3가지 지표로 꼽혔다. CISO의 93%는 내년 사이버 보안 예산이 증가할 것으로 예측한 반면, CISO의 83%는 조직의 다른 부분에서 예산이 삭감될 것으로 예상했다. 또한, 응답자의 80%는 자신의 조직이 경기 침체와 동시에 점점 더 많은 위협에 직면하고 있다는 사실을 인지했다고 답하는 등 경제적 어려움이 보안에 영향을 미치고 있는 것으로 나타났다. 응답자의 92%는 디지털 혁신, 클라우드 네이티브 개발, 리스크 관리에 대한 강조와 같은 이니셔티브에 힘입어 보안팀, IT 및 엔지니어링 조직 간의 사이버 보안 협업이 크게 증가했거나 보통 수준이라고 답했다. 응답자의 77%는 사고 근본 원인 분석 및 해결을 위한 IT 및 개발 팀과의 협업이 잘 이루어지고 있다고 답한 반면, 42%는 아직 개선의 여지가 있다고 답했다. CISO들 사이에서는 가시성을 확보하고 조직 전체의 회복탄력성을 보장하기 위해서는 전략적 협업이 필수적이라는 데 동의했다. 스플렁크 코리아 최원식 지사장은 “끊임없이 진화하고 발전하는 위협 환경과 지속적인 인재 부족 문제로 인해 CISO들이 어려움을 겪고 있는 상황에서 대다수가 랜섬웨어 공격으로 인해 비용을 지불하고 있다는 사실은 놀랍지 않다”라며, “사이버 방어를 강화하기 위해서 CISO는 보안 분야에서 AI 기능 도입을 추진해야 한다”고 밝혔다. editor@itworld.co.kr

“정책 유무에 상관없이 생성형 AI를 사용한다”

넘버스

자료 제목 :

생성형 AI 2023 : ISACA 펄스 폴 Generative AI 2023: An ISACA Pulse Poll infographic

자료 출처 :

ISACA

원본자료 다운로드

발행 날짜 :

2023년 10월 25일

주요 내용 :

전 세계 비즈니스 리더 대부분이 조직 내에서 사용되는 생성형 AI 도구에 대한 통제력을 보유하지 못한 것으로 나타났다. 최근 발표된 여러 설문조사 결과를 종합하면 대부분 직원이 생성형 AI를 정기적인 업무에 사용하고 있는 상황이지만, 공식적인 생성형 AI 사용 정책을 마련한 기업은 10%에 불과했다. ⓒ Getty Images Bank 카스퍼스키의 최근 조사에 따르면, 설문조사에 참여한 1,863명의 영국 및 EU 지역 CEO 중 거의 대부분(95%)은 직원들이 생성형 AI를 정기적으로 사용하고 있다고 답했다. 생성형 AI가 특정 부서의 주요 도구로 자리 잡았다고 응답한 CEO는 절반 이상(53%)이었다. 응답자 59%는 직원이 AI를 사용함으로써 민감한 회사 정보를 위태롭게 하고 핵심 비즈니스 기능에 대한 통제력을 완전히 상실하게 되는 잠재적인 위험에 대해 깊은 우려를 나타냈다. 중대한 보안 위험이나 데이터 유출에서 보호하기 위해 직원들이 내부 데이터를 어떻게 사용하는지 이해할 필요가 있음을 인지하는 응답자는 91%에 달했지만, 정작 생성형 AI 사용을 모니터링하기 위한 규정 수립에 대해 논의한 응답자는 22%에 그쳤다. 생성형 AI 정책 및 직원 교육 부족 전 세계 디지털 신뢰 전문가 2,300명을 대상으로 한 정보시스템감사통제협회(ISACA)의 조사에서는 생성형 AI 사용이 증가하고 있지만, 대부분 기업은 정책이나 효과적인 위험 관리 방안을 마련하지 않은 것으로 드러났다. 응답자 41%는 직원이 생성형 AI를 사용하고 있다고 답했고 35%는 잘 모르겠다고 답한 것을 감안하면 실제 사용자는 더 많을 것으로 예상된다. ISACA에 따르면, 직원들은 서면 콘텐츠 제작(65%), 생산성 향상(44%), 반복 업무 자동화(32%), 고객 서비스 제공(29%), 의사 결정 개선(27%) 등 다양한 방식으로 생성형 AI를 사용하고 있다. 또한 응답자 41%는 AI 구현을 위한 윤리적 표준에 대한 관심이 부족하다고 생각했지만, AI 위험 관리를 최우선 순위로 고려하는 기업은 1/3에도 못 미쳤다. 응답자가 AI 기술의 가장 큰 위험 요소로 다음과 같은 사항을 꼽은 것을 고려하면 아이러니한 결과다. 잘못된 정보/왜곡된 정보(77%) 개인정보 침해(68%) 소셜 엔지니어링 공격(63%) 지식재산권 손실(58%) 일자리 이동 및 기술 격차 확대(각각 35%) ‘초보자를 위한 AI(Artificial Intelligence for Beginners)’ 저자 래프 미우위세는 “ISACA 설문조사는 생성형 AI가 다양한 용도로 널리 사용되고 있지만, 윤리적 고려 사항과 보안 조치에 있어서는 현격한 격차가 있음을 보여준다. 모든 직원에게 포괄적인 교육을 제공하는 조직은 6%에 불과하며, 54%는 전혀 교육을 제공하고 있지 않다”라고 지적했다. 윤리적 기준에 대한 관심과 교육 부족은 악의적 행위자의 악용과 같은 위험 증가로 이어진다. 미우위세는 “위협 행위자의 생성형 AI 악용을 우려하는 응답자가 57%에 달하는 것은 놀랍지 않다”라고 말했다. 지난 9월 디지털 마케팅 기업 애드 피플(Add Peopl)이 영국 노동자 2,000명을 대상으로 생성형 AI 사용 현황에 대해 조사한 결과, 응답자 1/3은 관리자 몰래 챗GPT 같은 도구를 사용하고 있었다. 이런 AI 도구의 사용을 규제하는 기업은 10%뿐이었다. editor@itworld.co.kr

“제로 트러스트 이니셔티브를 시행하고 있다”

넘버스

자료 제목 :

2023년 제로 트러스트 보안 현황 The State of Zero Trust Security 2023

자료 출처 :

Okta

원본자료 다운로드

발행 날짜 :

2023년 10월 18일

주요 내용 :

최근 옥타가 발행한 ‘2023년 제로 트러스트 보안 현황(The State of Zero Trust Security 2023)’ 보고서에 따르면, 제로 트러스트 이니셔티브를 구현한 전 세계 기업의 비율이 2021년 24%에서 2023년 61%로 지난 3년 사이 3배가량 증가했다. 직원 수가 5,000~9,999명인 기업은 직원 수가 500~999명인 기업보다 제로 트러스트를 도입할 가능성이 4곳 중 3곳으로 더 높았다. 이번 보고서는 북미(미국, 캐나다), EMEA(덴마크, 핀란드, 프랑스, 독일, 아일랜드, 네덜란드, 노르웨이, 스웨덴, 영국), APJ(일본, 호주) 지역 기업의 정보보안 의사 결정권자 860명의 응답을 기반으로 작성됐다. ⓒ Getty Images Bank 조사 결과, 향후 18개월 내에 제로 트러스트 보안 이니셔티브를 구현할 계획이라고 답한 응답자는 35%를 차지했고 계획이 없거나 구현한 적 없다고 답한 응답자는 4%에 불과했다. 이미 시행 중인 비율은 북미 지역이 가장 높았지만 EMEA와 APJ 기업에서도 제로 트러스트 이니셔티브가 빠르게 자리 잡고 있는 추세다. EMEA/APJ에서 제로 트러스트 도입을 계획 중인 거의 모든 기업은 향후 6~12개월 혹은 13~18개월 이내에 채택할 계획이라고 답했다. 비용 절감을 강요하는 거시 경제적 압박에도 불구하고 응답자 80%는 제로 트러스트 보안 이니셔티브에 대한 예산이 지난해보다 증가했다고 답했다. 이 중 60%는 예산이 1~24%, 20%는 20~25% 혹은 그 이상 증가했다고 응답했다. 전체 응답자의 51%는 ID가 제로 트러스트 전략에 있어서 중요한 부분이라고 말했다. 이는 2022년 27%보다 상당히 증가한 수치다. ‘다소 중요하다’라고 답한 응답자는 40%에 달했다. IT에서 보안팀 업무로 전환되는 ID 관리 IT 부서에서 담당하던 IAM(Identity and Access Management)가 점점 사이버보안팀의 영역으로 이동하고 있다. 북미에서는 IAM 솔루션을 보안팀이 관리하는 비율이 73%, EMEA에서는 50%인 것으로 조사됐다. APJ에서는 변화의 속도가 상대적으로 느린 편이다. APJ 지역 기업 중 보안팀에서 IAM을 관리하는 비율은 41%였다. 56%는 보안팀에서 ID 감독 혹은 관련 기술 관리를 담당하고 있었지만, 두 가지 모두를 수행하지는 않았다. ID 이니셔티브의 중요성을 나타내는 결과는 또 있었다. 응답자의 34%는 외부 사용자를 위해, 33%는 사내 직원을 위해 MFA(Multi-factor Authentication)을 사용한다고 답한 것이다. 옥타가 이번 조사에서 중점을 둔 4개 산업 전반에서 의료 기업은 내외부 사용자를 위한 MFA와 디렉토리를 클라우드 앱에 연결하는 데 우선순위를 두고 있는 것으로 나타났다. 공공 부문의 우선순위는 외부 사용자를 위한 MFA, API 보안 액세스, 직원을 위한 MFA 순이었고 금융업에서는 직원용 MFA, 외부 사용자용 MFA, 클라우드 인프라에 대한 특권 권한 관리 순으로, 소프트웨어 산업에서는 직원용 MFA, API 보안 액세스, 외부 사용자용 MFA 순으로 우선순위를 두고 있었다. 조사에 참여한 의사결정권자들은 향후 12~18개월 내 클라우드 인프라에 대한 권한 접근 관리(42%), API 액세스 보안(42%), 직원용 MFA 구현(42%)에 우선순위를 둘 것이라고 답했다. 또한 인증 보호와 관련해 서버와 데이터베이스에 MFA와 SSO(Single Sign-On)을 사용할 가능성이 높은 것으로 조사됐다. 최고 의사결정권자의 절반 이상은 제로 트러스트 전략에 있어 ID가 매우 중요하다고 답했으며, 40%는 어느 정도 중요하다고 답했다. ID가 비즈니스에 필수적이라고 답한 최고 의사결정권자가 26%에 불과했던 작년과 비교하면 큰 변화다. 실제로 많은 기업이 IAM 시스템을 MDM(Mobile Device Management) 솔루션과 통합하고 있다. 보고서에 따르면 SIEM, MDM, 엔드포인트 보호는 IAM 솔루션과 직접적으로 통합해야 하는 가장 중요한 3대 시스템으로 꼽혔다. 보안 수준이 낮은 비밀번호가 여전히 표준 비밀번호는 강력한 보안을 보장하는 요소가 아님에도 불구하고 여전히 전 세계적으로 인증을 위한 “완고한 표준”으로 남아 있다. 응답자의 절반 이상은 자신의 기업에서 여전히 비밀번호를 사용한다고 답했다. 보안 질문을 가장 많이 사용하는 지역은 북미, EMEA 및 APJ 순이었다. 옥타가 중간 수준의 보안을 제공한다고 판단한 물리적 토큰 OTP 및 푸시 알림을 통한 인증을 사용하는 조직은 상대적으로 적었다(각각 36%, 29%). 플랫폼 기반 인증 및 생체 인식과 같은 높은 수준의 보안 인증 수단을 사용하는 기업은 19%에 불과했다. 보고서 집필팀은 “MFA가 계속해서 주류로 자리 잡을 것으로 예상되며, 규제 강화로 인해 금융 서비스 및 공공 부문과 같은 산업에서 비밀번호 없는 인증 및 기타 피싱에 강한 인증 요소로 전환할 가능성이 크다”라고 설명했다. editor@itworld.co.kr

2023년 4분기 포레스터 선정 ‘엔드포인트 보안’ 부문 선도업체

곳

넘버스

자료 제목 :

2023년 4분기 포레스터 웨이브: 엔드포인트 보안 The Forrester Wave: Endpoint Security, Q4 2023

자료 출처 :

Forrester

원본자료 다운로드

발행 날짜 :

2023년 10월 18일

주요 내용 :

트렌드마이크로가 시장조사기관 포레스터가 발행한 ‘2023년 4분기 포레스터 웨이브: 엔드포인트 보안(The Forrester Wave: Endpoint Security, Q4 2023)’ 보고서에서 선도업체(Leader)로 선정됐다고 발표했다. 보고서에 따르면 트렌드마이크로는 모든 기능을 갖춘 엔드포인트 보안 제품으로 시장을 선도하는 베테랑 기업으로, 지속적인 노력을 통해 전 세계 모든 수준의 기업으로부터 높은 고객 충성도를 유지했다고 평가받았다. 트렌드마이크로 COO 케빈 심저는 “엔드포인트와 그 너머의 모든 자산을 포함한 조직의 엔터프라이즈 공격 표면을 파악해 위험을 줄여야 한다”라며 “트렌드마이크로의 플랫폼은 업계에서 가장 광범위한 가시성을 제공하며, 이 제품의 가장 핵심적인 강점은 엔드포인트 보안"이라고 말했다. 트렌드마이크로는 취약점 공격 및 맬웨어 방지, ID 보호, 네트워크 위협 탐지, 애플리케이션 제어, 모바일 기기 보안, 엔드포인트 성능 영향, 혁신, 로드맵, 채택, 매출 및 고객 수 등 12개 평가 기준에서 최고 점수인 5.0점을 받았다. 포레스터 보고서에 따르면, 트렌드마이크로는 엔드포인트 보호와 혁신에 대한 일관적인 투자를 통해 모든 엔터프라이즈 보안 제품이 엔드포인트 보호를 포괄하도록 보장하는 로드맵을 제공한다. 또한 트렌드마이크로의 공격 방어 엔진은 엔드포인트 보안 솔루션의 필수 요소로, XDR로의 진화를 지원하는 강력한 엔드포인트 보호 플랫폼을 필요로 하는 고객에게 적합하다. 트렌드 비전 원 엔드포인트 시큐리티(Trend Vision One–Endpoint Security)는 온프레미스, 하이브리드 및 멀티 클라우드 환경의 엔드포인트, 서버 및 클라우드 워크로드 전반에 걸친 위협 보호, 탐지, 대응을 제공하며, 포괄적인 위협 탐지 기능을 통해 실행 전 및 실행 시점 전반을 포괄하는 고성능 머신러닝, 행동 분석, 앱 제어, 랜섬웨어 롤백 등을 지원한다. 플랫폼의 통합 EDR은 위협 헌팅뿐 아니라 우선순위에 따른 실행 가능한 경고를 제공해 신속한 사고 대응을 지원한다. 또한 가상 패치는 제로데이 이니셔티브 인텔리전스를 활용하여 알려지지 않은 위협으로부터 엔드포인트를 보호하고 클라우드 네이티브 보안 기능을 통해 컨테이너와 워크로드 전반에서 의심스러운 활동을 보호하고 모니터링한다. editor@itworld.co.kr

포브스 글로벌 2000대 기업의 유사 도메인 소유자가 제3자인 경우

넘버스

자료 제목 :

2023년 도메인 보안 보고서 2023 Domain Security Report

자료 출처 :

CSC

원본자료 다운로드

발행 날짜 :

2023년 10월 17일

주요 내용 :

포브스 글로벌 2000대 기업 중 거의 절반이 제3자가 등록한 ‘.AI’ 도메인에 대한 통제권을 갖고 있지 않은 것으로 파악돼 주의가 요구된다. ⓒ Getty Images Bank 보안 업체 CSC가 최근 발행한 ‘2023년 도메인 보안 보고서(2023 Domain Security Report)’에 따르면, AI의 인기에 편승한 사이버 범죄자가 신뢰할 수 있는 브랜드의 .AI 도메인을 악용하고 있다. 자사 브랜드를 사용하는 .AI 도메인이 제3자에 의해 유용됐다는 사실을 발견한 기업의 도메인 분쟁 사례가 전년 대비 350% 증가한 것으로 나타났다. 또한 위협 행위자는 글로벌 2000대 기업의 브랜드와 유사한 도메인(동음이의어)을 이용해 피싱 공격, 다른 형태의 디지털 브랜드 남용, IP 침해를 지속하는 것으로 조사됐다. 심각한 보안 위험으로 떠오른 .AI 도메인 보고서 집필팀은 .AI 도메인 등록이 증가했다는 것은 더 광범위한 AI 기술 환경의 성장을 보여준다고 말했다. 전체 .AI 도메인에서 제3자가 등록했거나 침해한 비율은 글로벌 2000대 기업의 경우 43%에 달한다. .AI 도메인이 등록된 브랜드를 보유한 기업 중 84%는 해당 도메인을 제3자가 소유하고 있었고 49%는 사용 가능했다. 은행, 금융, IT 소프트웨어 및 서비스와 같은 특정 산업에서 .AI 도메인을 보유한 비율이 가장 많은 것으로 나타났다. CSC의 디지털 브랜드 서비스 부문 사장 마크 칼란드라는 “.AI는 등록 제한이 없는 도메인 확장자이므로 사이버 범죄자가 접근하기 쉽다. 기업은 여러 브랜드를 운영하기 때문에 사기꾼들은 신뢰할 수 있는 이름으로 ‘아직 사용할 수 있는 브랜드.AI’ 도메인을 확보할 준비가 되어 있다”라고 말했다. 따라서 브랜드를 모방한, 혼란스러울 정도로 유사한 도메인을 신속하게 탐지하고 비활성화하는 일은 매우 중요하다. 기업의 브랜드.AI 도메인이 위협 행위자의 손에 들어가면 웹사이트 리디렉션, 온라인 사기, 피싱 공격, 맬웨어의 위험에 처할 수 있다. 대중에 친숙한 브랜드와 .AI 도메인 조합에서 피해자는 잘못된 신뢰감을 느낄 수 있고 공격의 희생양이 되기 쉽다. 칼란드라는 “AI가 사기에 악용될 수 있다는 보도가 최근 잇따르고 있으므로 .AI 도메인으로 브랜드를 등록하는 것은 핵심 브랜드를 보호하는 데 중요하다”라고 강조했다. 유사 도메인의 ‘폭증’ CSC의 보고서는 제3가 소유한 유사 도메인 양이 2022년 4%에서 2023년 79%로 폭증했다는 사실을 발견했다. CSC가 평가한 유사 도메인 중 40%는 피싱 이메일을 보내거나 이메일을 가로채는 데 사용되는 MX(mail exchange) 레코드를 보유하고 있었다. 이외에 유사 도메인은 광고·클릭당 지불 광고·도메인 파킹(36%)이나 브랜드 소유자와 관련 없는 라이브 웹사이트로 연결(14%), 브랜드 평판 및 고객 신뢰를 손상하는 악성 콘텐츠(1%) 등에 악용되는 것으로 조사됐다. 유사 도메인이 합법적인 브랜드에 가하는 위협은 2023년 7월 인스타드램이 스레드(Threads)를 출시하면서 수면 위로 떠올랐다. 보안 업체 베리티(Veriti)는 매일 700개 이상의 스레드 관련 도메인이 등록되는 등 의심스러운 도메인 생성이 급증한 것을 관찰했다. 이런 도메인은 사용자를 속이고 맬웨어를 배포하며 의심하지 않는 개인이 신뢰할 수 없는 버전의 앱을 다운로드하도록 유도하는 데 사용될 수 있으므로 기업과 사용자의 주의가 요구된다. editor@itworld.co.kr

실질적 피해를 입힌 위험 요인으로 'AI 등 신기술'을 꼽은 한국 기업

넘버스

자료 제목 :

데이터 리스크 관리: 시장 현황-사이버에서 컴플라이언스까지 Data Risk Management: The State of the Market—Cyber to Compliance

자료 출처 :

Veritas

원본자료 다운로드

발행 날짜 :

2023년 10월 17일

주요 내용 :

IT World: About IDG; Privacy Statement; 이용약관; 개인정보처리방침; 이메일무단수집거부; 청소년보호정책; REPRINTS

News: 뉴스; Members Only; 리뷰; How-To; 오피니언

Topics: 윈도우; AI; 클라우드; 오피스&협업; 모바일; 데이터센터; 보안

Business: 테크라이브러리; 솔루션센터; 컨퍼런스; 마케팅 서비스; 리서치 서비스; 연락/문의

Join Us On: Twitter; Facebook; RSS

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Offcanvas

Offcanvas

세상의 모든 IT 리서치 자료 - 넘버스 Numbers