Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
TOPIC

IT 관리

금융사 '섀도우 IT'에 칼 빼든 미국 "은밀한 커뮤니케이션 관행 멈춰야"

미국의 대형 금융사들이 사설 문자 앱을 업무용으로 사용하고 여기서 오간 메시지를 제대로 저장하지 않았다는 이유로 미 증권거래위원회(SEC)로부터 총 18억 달러(약 2조 5,800억 원)에 이르는 벌금 처분을 받았다. 벌금에는 SEC가 부과한 11억 달러와 미 상품선물거래위원회(CFTC)가 부과한 7억 1,000만 달러가 포함된다.   SEC는 “조사 결과 직원의 기기에서 채널 외 커뮤니케이션이 만연하게 일어난 것으로 드러났다”라고 밝혔다. 해당 직원에는 고위 및 하위 증권 인수 담당자, 부채 및 증권 거래인이 포함된다. CFTC에 따르면, 수많은 커뮤니케이션이 은행 내부의 규정 준수 및 감독관을 피할 명확한 의도를 갖고 사용됐다. 이런 사설 커뮤니케이션 채널은 종단간 암호화를 통해 은행의 감독 활동에 필요한, 복구 가능한 기록을 남기지 않는다. 또한 CFTC는 “또 다른 공통적인 특징은 은행 내부를 바로잡아야 할 책임이 있는 당사자인 고위급 인사가 무단 커뮤니케이션 채널을 사용하고 메시지를 삭제하도록 직원들을 유도했다는 점이다. 일부 경영진은 CFTC와 SEC에 거짓말까지 했다”라고 덧붙였다. 승인되지 않은 사설 앱을 사용하고 커뮤니케이션 내역을 저장하지 않은 것은 기록 보관 및 개인정보보호 규칙에 반한다. SEC와 CFTC는 미국 규제 기관과 은행 경영진이 무단 불법 커뮤니케이션을 차단, 감지 및 교정할 수 있도록 “내부 정책과 관행을 수정”할 것을 촉구했다. 이번에 규정 위반으로 벌금 처분을 받은 업체는 바클레이즈 캐피탈(Barclays Capital Inc.), BofA 증권(BofA Securities Inc.), 메릴린치(Merrill Lynch), 피어스(Pierce), 페너 앤 스미스(Fenner & Smith Inc.), 씨티그룹 글로벌 마켓(Citigroup Global Markets Inc.), 크레딧 스위스 증권(Credit Suisse Securities (USA) LLC), 도이체방크 증권(Deutsche Ba...

SEC 벌금 규제 6일 전

‘IT도 고객 중심으로’ 7가지 KPI

진정한 고객 중심 서비스를 하려면 심층적인 인사이트와 신속한 조치가 필요하다. 기업 내외부 고객이 진정으로 원하는 바를 파악할 수 있도록 도와줄 7가지 핵심성과지표(KPI)를 살펴본다.  오늘날 IT에서 ‘고객 중심성(Customer centricity)’은 더 이상 제품이나 서비스의 품질만을 의미하지 않는다. ISG의 소비자 서비스 부문 책임자 프라팁하 살완은 고객 중심성이 총체적 경험이라고 말했다. 살완은 초기 고려 단계부터 구매, 제품 및 서비스 제공 이후까지 고객 여정 속 브랜드와의 모든 접점에서 고객에게 어떤 경험을 줄 것인지가 고객 중심성이라고 설명했다. 이어 “고객 경험 제공에 기여하는 모든 기술이 ‘고객 중심적인 IT’의 핵심”이라고 덧붙였다.    캡제미니 아메리카(Capgemini Americas)의 인사이트 및 데이터 부문 고객 우선 전략 담당 리더 니라브 브야스는 고객 중심적인 IT가 고도로 개인화되고, 다양한 기능을 갖췄으며, 지능적이고, 탄력적인 제품 또는 서비스를 제공해 최적화된 고객 경험을 구축한다고 언급했다.  일반적으로 고객은 제품 혹은 서비스를 구매하거나 대여하는 개인 및 단체지만, 여기에는 다양한 IT 기술 서비스를 쓰는 여러 부서의 내부 사용자도 포함될 수 있다. 인포시스(Infosys)의 고객, 소매, 물류 부문 부사장 겸 글로벌 책임자 카메쉬 바스와니는 “고객 중심적인 IT는 기존의 IT 딜리버리 방식에서 제품 중심 방식으로 전환해 고객 중심성을 보장하고 있다”라고 전했다.  진정으로 고객의 니즈를 이해하고 충족하고 있는가? 다음 7가지 KPI는 그 해답을 찾기 위한 가이드라인이 될 것이다.  1. 제품 및 서비스 도입률(Product/service adoption rate) 기획 및 개발 단계에서 제품이나 서비스가 아무리 좋아 보이더라도 구매한 고객이 사용하지 않는다면 실패하기 마련이다. 제품 및 서비스 도입률은 실제로 제품 또는 서비스를 사용...

고객 중심 IT 고객 중심성 고객 경험 2022.09.23

맥라렌이 포뮬러 원에서 엣지 컴퓨팅을 활용하는 방법

“1년에 22번, 우리는 엣지 바로 아래에 데이터센터를 구축한다.” 영국 서리주에 본사를 둔 자동차 경주 팀 맥라렌 레이싱(McLaren Racing)의 상업 기술 책임자 에드워드 그린이 최근 개최된 VM웨어 익스플로어(VMware Explore) 컨퍼런스에서 한 말이다.   맥라렌에 있어 엣지는 세계 최고의 자동차 경주 대회 포뮬러 원(Formula 1) 레이싱 팀이 경쟁하는 전 세계 모든 곳에 존재한다. 맥라렌의 자동차 정비 담당자, 엔지니어, 그 외 팀원뿐 아니라 2대의 출전 차량을 운전하는 카레이서를 포함한 전체 팀을 연결하는 것이 바로 IT의 역할이다.  그린은 “랜도 노리스와 다니엘 리카르도가 운전하는 2대의 자동차가 시속 322km로 트랙을 달릴 때 300개의 센서가 1.5테라바이트에 해당하는 정보를 수집한다. 우리는 엣지를 찾아 이 정보를 분석해야 한다. 밀리초(millisecond) 단위로 이뤄진다”라고 말했다. 그린에 따르면, 밀리초에 따라 1등이 될 수도, 마지막 순위가 될 수도 있다. 그린은 “팀이 하는 모든 일은 한계 이익(marginal gain)에 관한 것이며 더 빠른 방법을 찾으려는 것이다. 이는 곧 직원들이 전 세계에서 일해야 한다는 것을 의미한다”라고 덧붙였다.  코로나19 팬데믹이 닥쳤을 때, 맥라렌은 원격 근무 직원에게 기술적 요구사항을 지원하는 데 이미 익숙하다는 이점이 있었다. 맥라렌은 “30년 넘게 해왔던 일이었다. 맥라렌 직원은 차고, 트럭, 호텔 객실, 비행기 라운지 등 어디에서나 일해왔다”라고 말했다.  IT팀은 “80명의 엔지니어로 구성된 팀이 전 세계를 여행하면서 근무지를 침실, 호텔 응접실 같은 곳으로 확장하면서 얻은 교훈”에 집중했지만, 한편으로는 그렇게 간단한 일이 아니었다. 그린은 “엣지에 있는 사람에게 IT 서비스를 제공한다는 것이 과거에는 단순히 노트북을 제공하는 것에 불과했다. 맥라렌은 과거와는 다른 일을 해야 했다”라고 덧붙였다. 맥라렌이 ...

포뮬러 원 맥라렌 엣지컴퓨팅 2022.09.05

캐리어가 ‘적절한 제품에 적절한 보안’을 제공하는 방법

존 데스큐라키스는 2020년 4월 캐리어 글로벌(Carrier Global Corp.)에 최고 제품 보안 책임자로 들어오면서 새로운 기회를 잡았다. 유나이티드 테크놀로지(United Technologies)는 캐리어를 분사할 때 기존의 제품 보안 기능을 가져갔는데, 그 덕에 완전히 새로운 프로그램, 각 캐리어 제품군의 고유한 보안 요구사항을 충족할 수 있는 프로그램 구축 기회를 얻은 것이다.   데스큐라키스는 “유나이티드 테크놀로지의 방식은 항공우주에 초점을 두기 때문에 그 방식을 답습하고 싶지 않았다. 캐리어의 제품과 고객, 고객의 요구사항도 항공우주 분야와는 다르므로 우리만의 영역에 집중하고자 했다. 그래서 최종 사용자를 위한 최선의 결과가 무엇인지 생각하며 캐리어 고객의 다양한 요구에 적합한 기능을 다시 구축하기로 결정했다”라고 말했다. 다음 단계는 다양한 보안 위험이 있는 광범위한 영역의 제품을 만드는 캐리어에서 이런 목표를 달성할 최선의 방법을 알아내는 것이었다. 그것이 데스큐라키스가 해결해야 할 문제였다. 다양한 위험, 광범위한 제품군 HVAC 분야의 대표적인 브랜드인 캐리어는 80가지 이상의 브랜드 비즈니스를 보유하고 있으며, 수천 가지의 부품과 제품, 복잡한 시스템을 제조한다. 캐리어의 제품은 산업용 제어 시스템, 건물 관리 시스템, 자동화 시스템, 연기 탐지 및 상업용 냉동시설 등으로, 일부는 국가 핵심 인프라로 분류된다. 운영 기술과 펌웨어, 소프트웨어도 만든다. 다른 제조업체와 마찬가지로 캐리어 역시 기계제품에 디지털 기술을 접목하면서 인터넷과 연결하는 ‘스마트’한 제품을 만들어왔고, 그에 따라 제품이 잠재적인 사이버 공격에도 노출됐다. 데스큐라키스는 “디지털로 연결된 모든 것은 공격을 당하거나 침해를 당할 수 있다. 첨단 설계를 구상할 때는 보호 방법도 고민해야 한다. 생각에 그치지 말고 실행해야 한다”라고 말했다.     데스큐라키스와 GPC(Global Product Cyberse...

인터뷰 캐리어 사이버보안 2022.08.31

네트워크 툴 스프롤을 완화하는 7가지 방법

중복되는 툴 스프롤(tool sprawl)은 데이터센터 운영부터 사이버보안, 네트워크 안정성, 애플리케이션 성능 등 모든 부분에서 엔터프라이즈 IT를 괴롭히는 어려운 문제다. 툴 스프롤은 기업이 관련 있지만 완전히 겹치지는 않는 문제점을 다루는 여러 툴에 대한 라이선스를 구입할 때(오픈소스 제외) 발생한다. 계층형 보안이 툴 스프롤의 가장 대표적인 사례다. 이 문제는 네트워킹, 데브옵스, 클라우드팀을 괴롭힌다.  IDC의 네트워크 애널리틱스 및 자동화 담당 이사인 마크 리어리는 “네트워크 및 인프라 관리에 얼마나 많은 툴을 투입하든 간에 여전히 격차가 있을 것이다. 관찰 가능성(observability)은 엄청난 작업이다. 모니터링 및 측정만 해도 대부분 기업이 6~20가지 이상의 툴을 보유하고 있다. 모든 툴이 약간씩 다른 작업을 하기 때문이다”라고 말했다.   툴 스프롤 해결이 어려운 이유 451 리서치(451 Research)가 실시한 설문조사에 따르면, 응답자의 39%가 애플리케이션, 인프라 및 클라우드 환경을 모니터링하기 위해 11~30가지의 모니터링 툴을 사용하고 있으며, 8%는 21~30가지의 툴을 사용하는 것으로 나타났다. IT팀은 네트워크 모니터링 및 관리만을 위해 수모로직(Sumo Logic), 페리미터 81(Perimeter 81), 트렌드마이크로(TrendMicro), 옵스뷰(Opsview), 나지오스(Nagios), 매니지엔진(ManageEngine), 솔라윈즈 및 익스트라홉(Extrahop)뿐 아니라 틈새 또는 새로운 문제를 해결하는 솔루션 업체별 툴과 몇 가지 포인트 툴을 조합할 수 있다.   451 리서치의 모기업인 S&P 글로벌 마켓 인텔리전스(S&P Global Market Intelligence)의 응용 인프라 및 데브옵스 수석 리서치 애널리스트인 마이크 프라토는 “운영적 관점에서 볼 때 IT 관리와 네트워크 관리의 모든 측면에서 비효율성이 생긴다. 운영자가 모든 툴을 다 사...

네트워크 툴스프롤 스프롤 2022.08.22

주요 SBOM 포맷 SPDX와 사이클론DX의 비교

소프트웨어 자재 명세서(Software Bill of Material, SBOM)는 취약점 관리에서 점차 중요한 역할을 담당하고 있다. 그럼에도 불구하고 아직까지 많은 기업이 SBOM 포맷 간 차이점 같은 기본적인 주제를 이해하려 애쓰고 있다.   SBOM 포맷이란 무엇인가? SBOM 포맷은 SBOM을 생성하기 위한 통합 구조를 정의하고 최종 사용자 또는 고객과 공유하기 위한 표준이며, 소프트웨어의 구성을 다른 툴이 이해할 수 있도록 공통의 형식으로 설명한다. 주요 SBOM 포맷은 SPDX(Software Package Data Exchange), SWID 태그(Software Identification Tags), 사이클론DX(CycloneDX)가 대표적이다. 이중 SPDX와 사이클론DX만이 보안 사용례로 채택되고 있다. SWID는 주로 라이선스에 중점을 두고 있기 때문에 이번 논의 대상에서 제외된다. 미국 사이버보안 및 인프라 보안국(Cybersecurity and Infrastructure Security Agency, CISA)과 기타 기관이 언급한 것처럼 당분간 업계에는 여러 가지 SBOM 포맷이 혼재할 것이다.  SPDX 리눅스 재단에서 운영하는 프로젝트인 SPDX는 공유 및 수집을 위한 소프트웨어 패키지와 관련된 정보에 대해 공통 데이터 교환 포맷을 만드는 것이 목적이었다. SPDX는 주요 SBOM 포맷 중에서 가장 많은 파일 형식을 지원한다. RDFa, .xlsx, .spdx, .xml, .json, .yaml.가 포함된다. 또한 SPDX는 일련의 소프트웨어 패키지, 파일 또는 스니펫(Snippet)을 설명함으로써 동적 사양이 되는 것을 목표로 하고 있다. SPDX는 국제 표준화 기구(ISO)의 인증 자격을 취득한 유일한 SBOM 포맷이다. ISO에서 정의한 표준화 및 품질 보증 요건을 모두 충족함을 의미한다. 2021년 9월에 발표된 ISO 인증 소식과 함께 리눅스 재단은 SPDX 커뮤니티에 속하는 인텔, 마이크로...

SBOM SPDX 사이클론DX 2022.08.16

'불경기에 가장 민감한 부서' IT 비용 절감 방안 7가지

IT 리더는 경기침체에 대비해 계약, 기술 포트폴리오, 프로젝트 목록, 구인 공고 등을 재평가하고 사전 예방적인 조치를 취해야 한다.  IT는 몰라도 CEO는 이미 경기침체의 여파를 생각하고 있다. 컨퍼런스 보드(Conference Board)의 ‘중반기 C-레벨 전망(C-Suite Outlook Mid-Year)’에 따르면 기업 고위 이사진의 10명 중 거의 8명이 향후 12~18개월 이내에 주요 사업 지역의 경기침체를 예상하거나 이미 경기침체가 진행 중이라고 보고 있었다. 해당 설문조사에 참여한 전 세계 CEO 가운데 15%는 경기침체가 이미 본격화됐으며, 61%는 경기침체가 2023년 말 이전에 도래할 것으로 예상한다고 답했다. 오울렛 앤 어소시에이츠(Oullette & Associates)의 대표 겸 CIO 댄 로버츠는 “경기침체는 불가피하며, 언제 닥칠지 모른다”라면서, “균형 잡기가 까다롭다. 이사진으로서는 브레이크를 밟아 기회를 놓치는 위험을 감수할 수 없다. 그렇다고 반대로 불황 이전과 계속 동일한 수준으로 투자하면 지출이 수익을 넘어설 위험이 있다”라고 고민했다.   마지막 경기침체 이후로 지난 10년 동안은 CIO가 경제적 난관을 뚫고 조직을 이끌어야 했던 적이 많지 않았지만, 이제 CIO는 기업이 살아남을 수 있도록 비용 절감과 효율성 향상이라는 임무를 맡게 될 것이다. 하지만 기술 투자가 부족한 기업은 최악의 상황에 처할 위험이 있다. 파인 라인 파트너스(Fine Line Partners) 상무이사 겸 선임 컨설턴트 피터 피쇼타는 “(기술 투자가 부족한 기업은) 소파에 파묻힌 동전이라도 꺼내 돈을 아껴야 하는 생존 모드로 가는 것 외에는 선택의 여지가 별로 없다. 그다지 낙관적인 상황이 아니다”라고 전했다. IT 비용은 운영 비용(SG&A)과 자본 투자의 상당 부분을 차지한다. 따라서 비용 절감이 필요하면 IT가 최우선 삭감 대상이다. 글로벌 컨설팅 회사 프로티비티(Protiviti) 기...

경기침체 불황 CIO 2022.08.05

글로벌 칼럼 | 클라우드를 품은 중소기업들이 가야 할 길

최근 필자가 ‘블로그 | 모두가 '클라우드' 외칠 때 '로컬 서버' 선택해야 하는 이유’에서 언급한 것처럼, 중소기업(small and mid-sized business, SMB)에는 로컬 서버가 더 적합한 경우가 많다. 그럼에도 많은 SMB가 클라우드로 마이그레이션하고 있다.  지금은 변화의 지점이다. 최근 플렉세라(Flexera)가 발행한 연례 클라우드 현황 보고서(State of the Cloud Report)에 따르면, 직원 규모가 1,000명 이하인 SMB 중에서 클라우드에 매년 120만 달러 이상을 지출하는 곳은 53%에 달한다. 2년 전만 해도 이 수치는 38%에 불과했다. 플렉세라는 내년이면 SMB 워크로드의 63%와 SMB 데이터의 62%가 퍼블릭 클라우드에 위치할 것이라고 전망했다.   이런 변화를 주도하는 몇 가지 요소 중에서 많은 사람이 생각하지 못하는 것이 코로나19 팬데믹이다. 팬데믹 덕분에 IT 직원들은 사무실과 서버실 밖에서 근무하게 됐다. 응답자의 66%가 클라우드 사용량이 도입 당시 계획했던 것보다 훨씬 많았다고 답했다.  SMB는 어디로 가고 있는 것일까? AWS는 클라우드 분야의 강자다. 그러나 현재 AWS의 시장 점유율은 계속 감소하고 있다. 지난해 53%의 SMB가 AWS를 사용하고 있다고 답했으나, 올해는 31%에 불과했다. 대기업 시장에서는 마이크로소프트 애저가 AWS를 따라잡았다. 일부 분야에서는 AWS를 넘어서기까지 했다. 3년 전만 해도 지형이 이렇게 바뀔 것이라고는 아무도 짐작하지 못했을 것이다. SMB 분야도 마찬가지다. 애저가 AWS를 따라잡고 있다. 구글 클라우드 플랫폼은 3위를 차지했으며, 오라클 클라우드가 4위다. 흥미롭게도 오라클 클라우드에서 상당한 양의 워크로드를 실행한다고 응답한 SMB 응답자 비율은 지난해 6%에서 15%로 2배 이상 증가했다. 또한 SMB의 31%는 향후 프로젝트를 준비하는 과정에서 구글 클라우드 플랫폼에 가장 많은 관심...

클라우드 AWS 구글클라우드플랫폼 2022.08.03

“더 나은 보안을 위한 종합적인 접근” 심층 방어의 이해

‘심층 방어(Defense in depth)’란 하나가 실패하면 다른 것이 버틸 것이라고 가정해 여러 개의 보안 도구, 메커니즘, 정책을 배치하는 보안 전략이다. 예컨대 해커들이 네트워크에 침투하지 못하도록 방화벽에만 의존하는 대신, 엔드포인트 보안 소프트웨어와 IDS(Intrusion Detection System)를 배포해 방화벽을 통과한 공격자를 찾아낸다.   다양한 도구를 통해 다양한 위협에 대응하는 것이 목적이 아니다. 심층 방어 전략은 공격자가 하나의 도구를 무너뜨리거나 우회할 때 다른 도구로 이를 찾아내 다른 방식으로 대응할 것이라고 가정한다.      심층 방어는 ‘성(castle) 접근법’이라고 불리기도 한다. 공격자가 돌파해야 하는 해자와 난간이 많은 중세 시대의 요새와 같아서다. 심층 방어라는 용어 자체는 군대에서 유래됐다. 약한 방어군이 전략적으로 자국 내부로 후퇴해 공간과 시간을 확보하는 전쟁 시나리오를 묘사한다. 하지만 사이버 심층 방어는 전쟁 시나리오와는 다르다. 허니팟(honeypot)과 달리 공격자에게 절대로 시스템 통제력을 넘겨주지 않는다. 공격자는 무수히 많은 방어책에 맞닥뜨려야 하며, 하나를 무너뜨릴 때마다 새로운 것이 나타난다. 각 도구는 최종 방어선이라는 가정하에 구축된다. ‘안전한 코드 작성하기(Writing Secure Code)’의 저자 마이클 하워드와 데이비드 르블랑은 “방화벽이 보호해줄 것이라 기대한다면, 방화벽이 해킹된 것처럼 시스템을 구축하라”라고 설명했다.  심층 방어가 중요한 이유 전통적인 경계 방어 모델은 스스로 방어할 수 없다. 경계 방어 철학은 개별 기기에 대한 방화벽과 방어책으로 엣지의 보안을 강화해 공격자가 네트워크에 침투하지 못하도록 하는 데 가능한 한 많은 자원을 투입하는 것이다. 하지만 오늘날과 같이 어디에서나 근무할 수 있고 공공 및 사설 클라우드 사용이 보편화된 환경에서는 보호가 필요한 경계를 정의하기가 어렵다. 즉, 경계 방어는 점...

심층방어 보안 레이어드보안 2022.08.01

블로그 | 알파 베타 필요 없는 시브…구글 내부 서버의 리눅스 이야기

캘리포니아 주 마운틴뷰에 위치한 구글 사무실에서는 윈도우 컴퓨터와 크롬북, 맥, 그리고 g리눅스를 볼 수 있다. g리눅스가 과연 뭘까?  구글은 서버 운영을 리눅스에 의존하지 않고 자체 리눅스 데스크톱 배포판도 사용하고 있다. 아쉽게도 이 배포판은 구글 외부에는 제공되지 않는다. 구글은 10년 이상 전부터 리눅스 데스크톱 배포판을 자체적으로 개발해왔다. 첫 버전의 이름은 구분투(Goobuntu)였다(이름에서 짐작할 수 있듯 우분투를 기반으로 했다).   구글은 2018년 내부 리눅스 데스크톱을 구분투에서 데비안(Debian) 기반의 g리눅스라는 새로운 리눅스 배포판으로 전환했다. 구글이 설명한 이유는 구분투를 그대로 사용할 경우 우분투의 장기 지원(LTS) 2년 릴리즈로 “운영체제 수명 종료 날짜 전에 10만 개 이상의 디바이스를 일일이 업그레이드해야 했기 때문”이다.    그것 자체도 어려운 일인데 엔지니어 직원의 PC를 완전히 맞춤 구성하는 데 소요될 시간도 감안해야 했다. 구글은 비용이 지나치게 크다고 판단했다. 게다가 구분투 시스템군을 업그레이드하는 데만 보통 1년 가까이의 시간이 필요했다. 2년의 지원 기간을 감안하면 고작 1년이 지나면 바로 다음 LTS가 도래해서 전체 프로세스를 온전히 다시 거쳐야 했다. 이 과정에서 수많은 버그와 지원 요청에 대처해야 했으므로 팀에 큰 스트레스 요소였다.   결국 더 이상 구분투를 유지할 의미가 없다고 판단한 구글은 데비안 리눅스로 바꿨다(기본 상태 그대로의 데비안은 아니지만). 구글은 롤링 데비안 배포판인 G리눅스 롤링 데비안 테스팅(Rolling Debian Testing: Rodete)을 만들었다. 최신 업데이트와 패치가 만들어져 프로덕션 준비가 되는 즉시 사용자와 개발자에게 제공하는 것이 최선이라는 개념에 기반을 두는 것인데, 이와 같은 종류의 배포판으로는 아크(Arch) 리눅스, 데비안 테스팅, 오픈수세 텀블위드(openSUSE Tumbleweed) 등이 ...

구분투 g리눅스 리눅스 2022.08.01

SK쉴더스, 이바코리아시스템과 OT 데이터 수집 및 분석 솔루션 국내 총판 계약 체결

SK쉴더스가 독일 스마트팩토리 전문기업인 ‘이바코리아시스템’과 OT(Operation Technology) 데이터 수집/분석 솔루션 총판 계약을 체결했다고 밝혔다.   양사는 이번 계약 체결을 통해 SK쉴더스의 융합보안 컨설팅 노하우 및 기술 영업 네트워크와 이바코리아시스템의 기술력을 활용해 OT 데이터 수집 솔루션 공급 확대를 위한 영업 기회 발굴 및 마케팅, 기술지원 등 비즈니스 전반에 대한 상호 협력을 강화해 나갈 예정이다. 이바코리아시스템의 OT 데이터 수집 솔루션은 제어시스템, 센서, CCTV 등 스마트팩토리의 모든 장치로부터 별도의 개발 없이 데이터를 수집하고 실시간 동기화할 수 있는 장점이 있다. 최대 10마이크로초의 고속 데이터 수집이 가능하며 대량의 데이터를 단일 서버에 저장할 수 있다. MES(Manufacturing Execution System, 생산지원관리시스템) 등 IT 시스템을 비롯해 스마트팩토리 시스템과의 데이터 연계성이 우수하다. SK쉴더스는 이번 계약을 통해 OT 보안 컨설팅, 솔루션 구축/적용, OT 보안 운영/관제에 이어 스마트팩토리의 생산/설비 관리 역량을 향상시키는 OT 데이터 시장에 본격 진출한다. 기존의 스마트팩토리를 타깃한 외부로부터의 해킹 위협에 대비하는 OT 보안 사업을 바탕으로 스마트팩토리 내부의 이상을 사전에 감지해 대응하는 OT 데이터 사업을 추진해 진정한 스마트팩토리 구현에 앞장선다. SK쉴더스의 융합보안 플랫폼 ‘써미츠(SUMiTS)’와의 향후 연동도 추진해 나갈 예정이다. SK쉴더스 이용환 사업총괄은 “SK쉴더스는 OT 보안의 전 영역을 서비스하며 쌓은 스마트팩토리에 대한 높은 이해도를 바탕으로 스마트팩토리의 안전성과 생산성을 향상하는데 필요한 전략을 지속적으로 선보일 것”이라며 “이바코리아시스템과의 협업을 통해 OT 데이터 시장혁신을 주도해 나가겠다”고 밝혔다. 이바코리아시스템 이상훈 대표는 “기존에 스마트팩토리에서 사고가 발생하게 되면 사후 분석용으로 활용되던 데이터가 현재는 현...

SK쉴더스 이바코리아시스템 스마트팩토리 2022.08.01

"선택 아닌 필수" SBOM을 작성하는 베스트 프랙티스와 추천 프로그램 8선

소프트웨어를 실제로 보호하려면 코드 안에 무엇이 있는지 알아야 한다. 그렇기 때문에 오늘날 소프트웨어 자재 명세서(Software Bill of Material, SBOM)는 필수적이다. 과거에는 코드 보안에 대해 크게 걱정하지 않았다. 어리석은 일이었다.   그리고 보안 문제가 잇따라 발생했다. 솔라윈즈 소프트웨어 공급망 공격, 여전히 진행 중인 Log4j 취약점 및 npm 메인테이너 항의 코드가 잘못된 사건으로 보안 업계는 소프트웨어 공급망을 정리해야 한다는 사실을 분명히 깨달았다. 독점 소프트웨어는 제작자가 프로그램 내부에 무엇이 있는지 알려주지 않으므로 불가능하다. 그러나 오픈소스 프로그램을 사용하면 SBOM(s-bomb으로 발음됨)으로 정리할 수 있다. 사실 SBOM은 더 이상 ‘하면 좋은 것’이 아니다. 미국에서는 연방정부의 명령이다. 미국 대통령 조 바이든이 2021년 7월 12일 발표한 ‘국가 사이버보안 개선에 관한 행정명령’에서는 SBOM이 요구사항에 포함된다. 행정명령은 SBOM을 ‘소프트웨어 구축에 사용되는 다양한 구성요소의 세부 사항 및 공급망 관계를 포함하는 공식 기록’으로 정의한다. ‘소프트웨어 개발자와 공급업체는 종종 기존 오픈소스 및 상용 소프트웨어 구성요소를 조립하여 제품을 만드는 경우가 많다’는 점 때문에 오픈소스 소프트웨어에서 특히 중요한 문제다. 그렇다. 오픈소스 소프트웨어가 모든 곳에서, 모든 것을 위해 사용된다는 것은 모두가 안다. 하지만 오픈소스 구성요소를 포함한 애플리케이션이 무려 92%에 달한다는 사실을 알고 있었는가? 사실 평균적인 현대 프로그램은 70%가 오픈소스 소프트웨어로 구성되어 있다.  분명히 조치가 필요하다. 리눅스 재단과 오픈소스 보안 재단(Open Source Security Foundation, OpenSSF), 오픈체인(OpenChain)에 따르면 정답은 SBOM이다. 리눅스 재단의 연구 담당 부사장 스티븐 헨드릭은 SBOM을 다음과 같이 정의한다.   ...

SBOM 추천 오픈소스 2022.07.27

기업이 '네트워크 자동화, SASE, 5G'를 우선순위로 삼아야 하는 이유

클라우드 서비스 도입부터 하이브리드 인력의 원활한 업무 지원에 이르기까지, 네트워크 관리자와 설계자는 매일 수많은 과제에 직면한다. 145억 달러 규모의 글로벌 기술 서비스 제공업체인 월드 와이드 테크놀로지(World Wide Technology)의 부사장 닐 앤더슨에 따르면, 대기업에서는 이런 과제에 우선순위를 부여하고 네트워크 아키텍처를 조정해 광범위하게 분산된 애플리케이션과 서비스, 사용자에 대처하고 기업 리소스를 안전하게 보호하는 것을 주된 목표로 삼는다.   코로나19 팬데믹이 발발하자 분산된 대규모 직원들을 지원하는 부분에서 전통적인 네트워크 아키텍처의 약점이 드러났다. 기업들은 원격 액세스 VPN과 같은 임시방편 솔루션으로 그럭저럭 위기는 넘겼지만, 앤더슨은 장기적인 성공을 위해서는 근본적인 아키텍처 변화가 필요하다는 것이 명확해졌다고 말했다. 이와 관련하여 WWT는 최근 기업이 네트워킹의 핵심 우선순위로 삼아야 할 부분을 세부적으로 다룬 보고서를 발행했다.   네트워크 자동화 이니셔티브의 발전 첫 번째 우선순위는 자동화다. 앤더슨은 “자동화 분야에서는 SDN의 새로운 단계로 진입하는 중이다. 첫 단계는 예를 들어 시스코는 시스코와, 아루바는 아루바와 호환되던 사유적 단계였다. 고객들은 SDN을 실험하면서 프로그래밍 기능을 포함한 SDN이 제공하는 혜택을 활용했다”라고 말했다. WWT는 이제 고객들이 솔루션 업체의 플랫폼을 기반으로 자체 자동화 플랫폼을 구축 중이며, 대체로 멀티벤더 환경에서 레드햇의 앤서블, 하시코프와 같은 플랫폼을 활용해 이들 시스템을 기반으로 자체 런타임 엔진과 자체 플레이북을 구축한다고 했다. 앤더슨은 “규모가 큰 고객 사이에서 자동화 비즈니스가 매우 빠르게 부상하고 있다. 이들은 WWT에 연락해 자동화 역량을 강화할 방법을 묻곤 한다”라고 설명했다. 앤더슨에 따르면, 자동화 기술은 IT 자원 부족에 시달리는 기업에 도움이 될 수 있으나 자동화를 구축하기 위한 스킬을 인력을 찾기가 어...

네트워크자동화 SASE SSE 2022.07.26

인터뷰 | CMO 4인이 말하는 콘텐츠 제작 역량을 내재화할 이유

자사(Owned), 평가(Earned), 유료(paid) 디지털 미디어 수가 급증하면서 지속적인 ‘콘텐츠 제작’이 그 어느 때보다 중요해지고 있다. 이에 따라 마케터가 내부 역량을 강화하는 건 놀라운 일은 아니다. ‘2022 CMO 현황 보고서’에 따르면 전체 응답자의 절반 이상이 지난 12개월 동안 콘텐츠 제작에 투자했다고 밝혔다. 또 4명 중 1명은 앞으로 12~24개월 이내에 콘텐츠 제작 및 관련 기술에 투자할 예정이라고 답했다.  여기에서는 4명의 마케팅 책임자에게 ▲인하우스 콘텐츠 제작이 매력적인 이유 ▲인하우스 콘텐츠 제작 역량을 갖추는 게 중요한 채널, 활동, 고객 상호작용/접점 ▲마케팅 측면에서의 성과를 물어봤다.    알릭스 러셀(Alix Russell) - 파마케어(PharmaCare)의 마케팅 미디어, 디지털, 커뮤니케이션, 액티브 웰니스 부문 총괄 책임자 “디지털 마케팅, 콘텐츠 제작, 전자상거래는 파마케어의 인하우스 에이전시 더 하이브(The Hive)가 초점을 맞추고 있는 영역이다. 하이브는 비타민, 데오드란트, 보습제, 슈퍼푸드 스낵 등 35년 역사의 호주 헬스케어 및 웰니스 브랜드를 위한 매력적인 크리에이티브와 콘텐츠를 제작해왔다.”    “파마케어는 광고 카피, POS(Point-Of-Sale), 기타 브랜드 커뮤니케이션을 위해 크리에이티브 에이전시 파트너와 협력하는 대신, 하이브에 투자하여 전체 제품 포트폴리오의 콘텐츠 역량을 강화하기로 했다.”  “하이브는 기존 23명의 팀원으로 구성돼 있었으며, 지난 12개월 동안 5명의 디지털 마케팅 전문가를 채용했다. 이제 전략가, 디자이너, 크리에이티브 브랜딩 전문가, 인사이트 및 분석 전문가가 모두 있으며, 브랜드 커뮤니케이션 전략부터 맞춤형 크리에이티브 콘셉트, 패키징, 엔드투엔드 TVC 제작까지 모든 업무를 담당하고 있다.”  “자체 팀을 구성한다는 것은 캠페인을 빠르게 실행할 뿐만 아니라 변경할 수도 있다...

콘텐츠 제작 디지털 미디어 마케팅 2022.07.26

"보안 점검 및 개선, 교육을 한번에" 효과적인 모의 훈련을 위한 8단계

모의 훈련(tabletop exercise)은 사고 대응 계획을 연습할 수 있는 좋은 기회다. 기존 계획을 연습 및 개선하고 신규 직원을 훈련시킬 수 있는 기회이기도 하다.  CIS(Center for Internet Security)의 선임 운영 디렉터인 스티븐 젠슨은 모의 훈련을 제대로 실행하면 “위협 표면을 줄이는 방법을 찾을 수 있다. 모의 형식의 연습을 통해 단순한 서면상의 정책을 효과적인 정책과 절차로 다듬을 수 있다”라고 말했다.   보안 권고와 벤치마크로 잘 알려진 CIS는 주 정보 공유 및 분석 센터(Multi-State Information Sharing and Analysis Center, MS-ISAC)와 선거 인프라 정보 공유 및 분석 센터(Elections Infrastructure Information Sharing Analysis Center, EI-ISAC)의 본거지이기도 하다. 젠슨은 두 ISAC를 지원하면서 주, 지방, 그룹, 구역 단위의 12,000개 회원 기관을 대상으로 사고 대응과 취약점 관리를 감독한다.  CIS의 위기관리팀에 소속된 젠슨은 MS-ISAC에서 훈련 코디네이터 역할도 담당한다. 미국 국토안보부 산하의 CISA(Cybersecurity and Infrastructure Security Agency) 및 지방 정부와 협력해 모의 훈련을 준비하고 실행한다. 젠슨은 CSO가 최근 주최한 ‘정보 보안의 미래 회담(Future of InfoSec Summit)’에서 연사로 나와 모의 훈련을 구성하고 실행하는 방법과 모의 훈련이 보안 프로세스 및 절차의 공백을 파악하는 데 어떻게 도움이 되는지 설명했다. 효과적인 모의 훈련을 수행하는 방법을 알아보자. 1. 목표 설정 가장 먼저 해야 할 일은 목표 진술문을 만드는 것이다. 목표 진술문은 팀이 구체적인 훈련 목표를 정의하고 시나리오 개발을 위한 틀을 제공하고 전체적인 수준에서 훈련 평가 기준을 제공하는 데 ...

모의훈련 보안 2022.07.22

제로 트러스트를 구현할 때 반드시 피해야 할 5가지 실수

지난 2년 동안 많은 기업이 원격 근무자, 협력 업체, 서드파티 업체가 클라우드와 온프레미스 환경의 데이터에 접근하는 더 나은 방법을 모색했다. 이런 상황에서 주목받기 시작한 것이 바로 제로 트러스트(Zero Trust) 보안이다.   제로 트러스트 보안을 트렌드로 이끈 요인은 매우 다양하다. 갈수록 정교해지는 사이버 위협, 클라우드 도입의 가속, 코로나19 팬데믹으로 인한 원격 및 하이브리드 근무환경 도입 등이 대표적이다. 많은 기업이 경계 안에 있는 모든 것을 암묵적으로 신뢰하는 전통적인 보안 모델이 경계가 존재하지 않고 데이터와 사용자가 갈수록 탈중앙화되는 오늘날 환경에 적합하지 않다는 사실을 깨달았다. 미국에서는 2021년 5월 바이든 행정부가 연방 기관에 제로 트러스트 보안을 구현하라는 행정 명령을 내리면서 제로 트러스트 보안에 대한 연방 기관의 관심이 커졌다. 보안 업체 일루미오(Illumio)의 위탁을 받아 포레스터 리서치가 실시한 최근 조사에 따르면, 응답자의 2/3가 2022년 제로 트러스트 예산을 높였다고 답했다. 응답자 중 절반 이상(52%)이 자사 제로 트러스트 프로그램이 중대하고 전사적인 이점을 가져올 것이라고 답했고, 50%는 클라우드 마이그레이션이 더 안전해질 것이라고 전망했다. 사이버보안 업체들은 큰 기회를 감지하고 ‘제로 트러스트’라는 단어가 붙은 제품들을 서둘러 내놨다. 리서치 업체인 IT하베스트(IT-Harvest)가 약 2,800곳의 업체의 웹사이트를 대상으로 시행한 비공식 조사에 따르면, 조사 대상 사이트 중 238곳이 제로 트러스트를 유독 강조하는 것으로 나타났다. IT하베스트의 최고 연구 애널리스트 리처드 스타이넌은 “백악관과 CISA가 제로 트러스트 접근법으로 전환하라는 가이드를 발표한 후부터 모두가 이 가이드에 발맞추고 싶어 하는 것”이라고 말했다.  제로 트러스트를 둘러싼 과대 선전은 상당한 혼란을 초래했다. 급기야 제로 트러스트라는 개념을 처음 소개했던 포레스터 리서치는 2022년 초 ...

제로트러스트 ZTNA 2022.07.14

2022년 인플레이션에 대응해 IT 책임자가 준비해야 할 것

IT 책임자는 IT 제품 및 서비스의 가격 상승, 인력 비용의 상승에 대응해 IT 포트폴리오를 수정하고 IT 지출 우선순위를 변경해야 한다. 가트너 애널리스트 로버트 니글은 인플레이션이 기업에 미치는 영향과 IT 예산이 처한 위험성을 IT 관리자가 면밀히 살펴봐야 한다고 지적했다. 이런 분석에 따라 IT 지출을 조정할 방법을 결정해야 한다. 또한 IT 서비스 업체는 인플레이션으로 인해 가격을 인상할 것이 확실하다. 상황이 어떻게 변하든, 이에 대응하기 위해 IT 관리자가 해야 할 일이 많다.    인플레이션 상황에서도 기업은 IT 투자를 멈출 수 없다. 우선은 하이브리드 업무 환경으로, 홈 오피스 장비, 인터넷 연결, 보안 등의 투자가 필요하다. 또한 사이버 공격 및 위협 시나리오가 증가하고, 설상가상 랜섬웨어는 여전히 사이버 범죄집단에 수익성 좋은 비즈니스이기 때문에 IT 보안에 대한 지출은 빠르게 증가하고 있다. 글로벌 공급망의 계속되는 중단도 비용 증가의 요인이 되며, 높은 수요로 인해 클라우드 서비스 가격도 상승하고 있다.  마지막으로 팬데믹 기간 동안 많은 작업이 취소 또는 보류되면서 기업 곳곳에 기술 부채가 쌓여 있다. 기한이 지난 소프트웨어 업데이트와 버그 수정, 교체해야 할 오래된 하드웨어 등은 이미 대가를 치르고 있다. 가트너의 니글이 설명하는 것처럼, 많은 기업이 소비자 물가 추세와 같은 지표에 따라 요금이 인상되는 구독 서비스를 이용하고 있다. 이런 변동성 있는 계약은 경우에 따라 극적인 비용 증가를 초래할 수도 있다. IT 책임자는 이런 위험을 파악하고 문서화해야 하며, 결과에 따라 예산을 조정해야 한다.   주요 솔루션 업체와의 재협상 니글은 IT 책임자가 기업의 중요 솔루션 및 서비스 업체 목록을 작성할 것으로 권고했다. 가능하다면 이들 업체와 새로운 협력관계를 맺어야 하며, 이 때 양측이 위험을 같이 나눌 수 있도록 해야 한다. 이는 긴급한 문제인데, IT 솔루션 업체는 정기적인 계약 갱신을...

인플레이션 물가상승 가격인상 2022.07.12

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.