Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
TOPIC

IT 관리

캐리어가 ‘적절한 제품에 적절한 보안’을 제공하는 방법

존 데스큐라키스는 2020년 4월 캐리어 글로벌(Carrier Global Corp.)에 최고 제품 보안 책임자로 들어오면서 새로운 기회를 잡았다. 유나이티드 테크놀로지(United Technologies)는 캐리어를 분사할 때 기존의 제품 보안 기능을 가져갔는데, 그 덕에 완전히 새로운 프로그램, 각 캐리어 제품군의 고유한 보안 요구사항을 충족할 수 있는 프로그램 구축 기회를 얻은 것이다.   데스큐라키스는 “유나이티드 테크놀로지의 방식은 항공우주에 초점을 두기 때문에 그 방식을 답습하고 싶지 않았다. 캐리어의 제품과 고객, 고객의 요구사항도 항공우주 분야와는 다르므로 우리만의 영역에 집중하고자 했다. 그래서 최종 사용자를 위한 최선의 결과가 무엇인지 생각하며 캐리어 고객의 다양한 요구에 적합한 기능을 다시 구축하기로 결정했다”라고 말했다. 다음 단계는 다양한 보안 위험이 있는 광범위한 영역의 제품을 만드는 캐리어에서 이런 목표를 달성할 최선의 방법을 알아내는 것이었다. 그것이 데스큐라키스가 해결해야 할 문제였다. 다양한 위험, 광범위한 제품군 HVAC 분야의 대표적인 브랜드인 캐리어는 80가지 이상의 브랜드 비즈니스를 보유하고 있으며, 수천 가지의 부품과 제품, 복잡한 시스템을 제조한다. 캐리어의 제품은 산업용 제어 시스템, 건물 관리 시스템, 자동화 시스템, 연기 탐지 및 상업용 냉동시설 등으로, 일부는 국가 핵심 인프라로 분류된다. 운영 기술과 펌웨어, 소프트웨어도 만든다. 다른 제조업체와 마찬가지로 캐리어 역시 기계제품에 디지털 기술을 접목하면서 인터넷과 연결하는 ‘스마트’한 제품을 만들어왔고, 그에 따라 제품이 잠재적인 사이버 공격에도 노출됐다. 데스큐라키스는 “디지털로 연결된 모든 것은 공격을 당하거나 침해를 당할 수 있다. 첨단 설계를 구상할 때는 보호 방법도 고민해야 한다. 생각에 그치지 말고 실행해야 한다”라고 말했다.     데스큐라키스와 GPC(Global Product Cyberse...

인터뷰 캐리어 사이버보안 2022.08.31

네트워크 툴 스프롤을 완화하는 7가지 방법

중복되는 툴 스프롤(tool sprawl)은 데이터센터 운영부터 사이버보안, 네트워크 안정성, 애플리케이션 성능 등 모든 부분에서 엔터프라이즈 IT를 괴롭히는 어려운 문제다. 툴 스프롤은 기업이 관련 있지만 완전히 겹치지는 않는 문제점을 다루는 여러 툴에 대한 라이선스를 구입할 때(오픈소스 제외) 발생한다. 계층형 보안이 툴 스프롤의 가장 대표적인 사례다. 이 문제는 네트워킹, 데브옵스, 클라우드팀을 괴롭힌다.  IDC의 네트워크 애널리틱스 및 자동화 담당 이사인 마크 리어리는 “네트워크 및 인프라 관리에 얼마나 많은 툴을 투입하든 간에 여전히 격차가 있을 것이다. 관찰 가능성(observability)은 엄청난 작업이다. 모니터링 및 측정만 해도 대부분 기업이 6~20가지 이상의 툴을 보유하고 있다. 모든 툴이 약간씩 다른 작업을 하기 때문이다”라고 말했다.   툴 스프롤 해결이 어려운 이유 451 리서치(451 Research)가 실시한 설문조사에 따르면, 응답자의 39%가 애플리케이션, 인프라 및 클라우드 환경을 모니터링하기 위해 11~30가지의 모니터링 툴을 사용하고 있으며, 8%는 21~30가지의 툴을 사용하는 것으로 나타났다. IT팀은 네트워크 모니터링 및 관리만을 위해 수모로직(Sumo Logic), 페리미터 81(Perimeter 81), 트렌드마이크로(TrendMicro), 옵스뷰(Opsview), 나지오스(Nagios), 매니지엔진(ManageEngine), 솔라윈즈 및 익스트라홉(Extrahop)뿐 아니라 틈새 또는 새로운 문제를 해결하는 솔루션 업체별 툴과 몇 가지 포인트 툴을 조합할 수 있다.   451 리서치의 모기업인 S&P 글로벌 마켓 인텔리전스(S&P Global Market Intelligence)의 응용 인프라 및 데브옵스 수석 리서치 애널리스트인 마이크 프라토는 “운영적 관점에서 볼 때 IT 관리와 네트워크 관리의 모든 측면에서 비효율성이 생긴다. 운영자가 모든 툴을 다 사...

네트워크 툴스프롤 스프롤 2022.08.22

주요 SBOM 포맷 SPDX와 사이클론DX의 비교

소프트웨어 자재 명세서(Software Bill of Material, SBOM)는 취약점 관리에서 점차 중요한 역할을 담당하고 있다. 그럼에도 불구하고 아직까지 많은 기업이 SBOM 포맷 간 차이점 같은 기본적인 주제를 이해하려 애쓰고 있다.   SBOM 포맷이란 무엇인가? SBOM 포맷은 SBOM을 생성하기 위한 통합 구조를 정의하고 최종 사용자 또는 고객과 공유하기 위한 표준이며, 소프트웨어의 구성을 다른 툴이 이해할 수 있도록 공통의 형식으로 설명한다. 주요 SBOM 포맷은 SPDX(Software Package Data Exchange), SWID 태그(Software Identification Tags), 사이클론DX(CycloneDX)가 대표적이다. 이중 SPDX와 사이클론DX만이 보안 사용례로 채택되고 있다. SWID는 주로 라이선스에 중점을 두고 있기 때문에 이번 논의 대상에서 제외된다. 미국 사이버보안 및 인프라 보안국(Cybersecurity and Infrastructure Security Agency, CISA)과 기타 기관이 언급한 것처럼 당분간 업계에는 여러 가지 SBOM 포맷이 혼재할 것이다.  SPDX 리눅스 재단에서 운영하는 프로젝트인 SPDX는 공유 및 수집을 위한 소프트웨어 패키지와 관련된 정보에 대해 공통 데이터 교환 포맷을 만드는 것이 목적이었다. SPDX는 주요 SBOM 포맷 중에서 가장 많은 파일 형식을 지원한다. RDFa, .xlsx, .spdx, .xml, .json, .yaml.가 포함된다. 또한 SPDX는 일련의 소프트웨어 패키지, 파일 또는 스니펫(Snippet)을 설명함으로써 동적 사양이 되는 것을 목표로 하고 있다. SPDX는 국제 표준화 기구(ISO)의 인증 자격을 취득한 유일한 SBOM 포맷이다. ISO에서 정의한 표준화 및 품질 보증 요건을 모두 충족함을 의미한다. 2021년 9월에 발표된 ISO 인증 소식과 함께 리눅스 재단은 SPDX 커뮤니티에 속하는 인텔, 마이크로...

SBOM SPDX 사이클론DX 2022.08.16

'불경기에 가장 민감한 부서' IT 비용 절감 방안 7가지

IT 리더는 경기침체에 대비해 계약, 기술 포트폴리오, 프로젝트 목록, 구인 공고 등을 재평가하고 사전 예방적인 조치를 취해야 한다.  IT는 몰라도 CEO는 이미 경기침체의 여파를 생각하고 있다. 컨퍼런스 보드(Conference Board)의 ‘중반기 C-레벨 전망(C-Suite Outlook Mid-Year)’에 따르면 기업 고위 이사진의 10명 중 거의 8명이 향후 12~18개월 이내에 주요 사업 지역의 경기침체를 예상하거나 이미 경기침체가 진행 중이라고 보고 있었다. 해당 설문조사에 참여한 전 세계 CEO 가운데 15%는 경기침체가 이미 본격화됐으며, 61%는 경기침체가 2023년 말 이전에 도래할 것으로 예상한다고 답했다. 오울렛 앤 어소시에이츠(Oullette & Associates)의 대표 겸 CIO 댄 로버츠는 “경기침체는 불가피하며, 언제 닥칠지 모른다”라면서, “균형 잡기가 까다롭다. 이사진으로서는 브레이크를 밟아 기회를 놓치는 위험을 감수할 수 없다. 그렇다고 반대로 불황 이전과 계속 동일한 수준으로 투자하면 지출이 수익을 넘어설 위험이 있다”라고 고민했다.   마지막 경기침체 이후로 지난 10년 동안은 CIO가 경제적 난관을 뚫고 조직을 이끌어야 했던 적이 많지 않았지만, 이제 CIO는 기업이 살아남을 수 있도록 비용 절감과 효율성 향상이라는 임무를 맡게 될 것이다. 하지만 기술 투자가 부족한 기업은 최악의 상황에 처할 위험이 있다. 파인 라인 파트너스(Fine Line Partners) 상무이사 겸 선임 컨설턴트 피터 피쇼타는 “(기술 투자가 부족한 기업은) 소파에 파묻힌 동전이라도 꺼내 돈을 아껴야 하는 생존 모드로 가는 것 외에는 선택의 여지가 별로 없다. 그다지 낙관적인 상황이 아니다”라고 전했다. IT 비용은 운영 비용(SG&A)과 자본 투자의 상당 부분을 차지한다. 따라서 비용 절감이 필요하면 IT가 최우선 삭감 대상이다. 글로벌 컨설팅 회사 프로티비티(Protiviti) 기...

경기침체 불황 CIO 2022.08.05

글로벌 칼럼 | 클라우드를 품은 중소기업들이 가야 할 길

최근 필자가 ‘블로그 | 모두가 '클라우드' 외칠 때 '로컬 서버' 선택해야 하는 이유’에서 언급한 것처럼, 중소기업(small and mid-sized business, SMB)에는 로컬 서버가 더 적합한 경우가 많다. 그럼에도 많은 SMB가 클라우드로 마이그레이션하고 있다.  지금은 변화의 지점이다. 최근 플렉세라(Flexera)가 발행한 연례 클라우드 현황 보고서(State of the Cloud Report)에 따르면, 직원 규모가 1,000명 이하인 SMB 중에서 클라우드에 매년 120만 달러 이상을 지출하는 곳은 53%에 달한다. 2년 전만 해도 이 수치는 38%에 불과했다. 플렉세라는 내년이면 SMB 워크로드의 63%와 SMB 데이터의 62%가 퍼블릭 클라우드에 위치할 것이라고 전망했다.   이런 변화를 주도하는 몇 가지 요소 중에서 많은 사람이 생각하지 못하는 것이 코로나19 팬데믹이다. 팬데믹 덕분에 IT 직원들은 사무실과 서버실 밖에서 근무하게 됐다. 응답자의 66%가 클라우드 사용량이 도입 당시 계획했던 것보다 훨씬 많았다고 답했다.  SMB는 어디로 가고 있는 것일까? AWS는 클라우드 분야의 강자다. 그러나 현재 AWS의 시장 점유율은 계속 감소하고 있다. 지난해 53%의 SMB가 AWS를 사용하고 있다고 답했으나, 올해는 31%에 불과했다. 대기업 시장에서는 마이크로소프트 애저가 AWS를 따라잡았다. 일부 분야에서는 AWS를 넘어서기까지 했다. 3년 전만 해도 지형이 이렇게 바뀔 것이라고는 아무도 짐작하지 못했을 것이다. SMB 분야도 마찬가지다. 애저가 AWS를 따라잡고 있다. 구글 클라우드 플랫폼은 3위를 차지했으며, 오라클 클라우드가 4위다. 흥미롭게도 오라클 클라우드에서 상당한 양의 워크로드를 실행한다고 응답한 SMB 응답자 비율은 지난해 6%에서 15%로 2배 이상 증가했다. 또한 SMB의 31%는 향후 프로젝트를 준비하는 과정에서 구글 클라우드 플랫폼에 가장 많은 관심...

클라우드 AWS 구글클라우드플랫폼 2022.08.03

“더 나은 보안을 위한 종합적인 접근” 심층 방어의 이해

‘심층 방어(Defense in depth)’란 하나가 실패하면 다른 것이 버틸 것이라고 가정해 여러 개의 보안 도구, 메커니즘, 정책을 배치하는 보안 전략이다. 예컨대 해커들이 네트워크에 침투하지 못하도록 방화벽에만 의존하는 대신, 엔드포인트 보안 소프트웨어와 IDS(Intrusion Detection System)를 배포해 방화벽을 통과한 공격자를 찾아낸다.   다양한 도구를 통해 다양한 위협에 대응하는 것이 목적이 아니다. 심층 방어 전략은 공격자가 하나의 도구를 무너뜨리거나 우회할 때 다른 도구로 이를 찾아내 다른 방식으로 대응할 것이라고 가정한다.      심층 방어는 ‘성(castle) 접근법’이라고 불리기도 한다. 공격자가 돌파해야 하는 해자와 난간이 많은 중세 시대의 요새와 같아서다. 심층 방어라는 용어 자체는 군대에서 유래됐다. 약한 방어군이 전략적으로 자국 내부로 후퇴해 공간과 시간을 확보하는 전쟁 시나리오를 묘사한다. 하지만 사이버 심층 방어는 전쟁 시나리오와는 다르다. 허니팟(honeypot)과 달리 공격자에게 절대로 시스템 통제력을 넘겨주지 않는다. 공격자는 무수히 많은 방어책에 맞닥뜨려야 하며, 하나를 무너뜨릴 때마다 새로운 것이 나타난다. 각 도구는 최종 방어선이라는 가정하에 구축된다. ‘안전한 코드 작성하기(Writing Secure Code)’의 저자 마이클 하워드와 데이비드 르블랑은 “방화벽이 보호해줄 것이라 기대한다면, 방화벽이 해킹된 것처럼 시스템을 구축하라”라고 설명했다.  심층 방어가 중요한 이유 전통적인 경계 방어 모델은 스스로 방어할 수 없다. 경계 방어 철학은 개별 기기에 대한 방화벽과 방어책으로 엣지의 보안을 강화해 공격자가 네트워크에 침투하지 못하도록 하는 데 가능한 한 많은 자원을 투입하는 것이다. 하지만 오늘날과 같이 어디에서나 근무할 수 있고 공공 및 사설 클라우드 사용이 보편화된 환경에서는 보호가 필요한 경계를 정의하기가 어렵다. 즉, 경계 방어는 점...

심층방어 보안 레이어드보안 2022.08.01

블로그 | 알파 베타 필요 없는 시브…구글 내부 서버의 리눅스 이야기

캘리포니아 주 마운틴뷰에 위치한 구글 사무실에서는 윈도우 컴퓨터와 크롬북, 맥, 그리고 g리눅스를 볼 수 있다. g리눅스가 과연 뭘까?  구글은 서버 운영을 리눅스에 의존하지 않고 자체 리눅스 데스크톱 배포판도 사용하고 있다. 아쉽게도 이 배포판은 구글 외부에는 제공되지 않는다. 구글은 10년 이상 전부터 리눅스 데스크톱 배포판을 자체적으로 개발해왔다. 첫 버전의 이름은 구분투(Goobuntu)였다(이름에서 짐작할 수 있듯 우분투를 기반으로 했다).   구글은 2018년 내부 리눅스 데스크톱을 구분투에서 데비안(Debian) 기반의 g리눅스라는 새로운 리눅스 배포판으로 전환했다. 구글이 설명한 이유는 구분투를 그대로 사용할 경우 우분투의 장기 지원(LTS) 2년 릴리즈로 “운영체제 수명 종료 날짜 전에 10만 개 이상의 디바이스를 일일이 업그레이드해야 했기 때문”이다.    그것 자체도 어려운 일인데 엔지니어 직원의 PC를 완전히 맞춤 구성하는 데 소요될 시간도 감안해야 했다. 구글은 비용이 지나치게 크다고 판단했다. 게다가 구분투 시스템군을 업그레이드하는 데만 보통 1년 가까이의 시간이 필요했다. 2년의 지원 기간을 감안하면 고작 1년이 지나면 바로 다음 LTS가 도래해서 전체 프로세스를 온전히 다시 거쳐야 했다. 이 과정에서 수많은 버그와 지원 요청에 대처해야 했으므로 팀에 큰 스트레스 요소였다.   결국 더 이상 구분투를 유지할 의미가 없다고 판단한 구글은 데비안 리눅스로 바꿨다(기본 상태 그대로의 데비안은 아니지만). 구글은 롤링 데비안 배포판인 G리눅스 롤링 데비안 테스팅(Rolling Debian Testing: Rodete)을 만들었다. 최신 업데이트와 패치가 만들어져 프로덕션 준비가 되는 즉시 사용자와 개발자에게 제공하는 것이 최선이라는 개념에 기반을 두는 것인데, 이와 같은 종류의 배포판으로는 아크(Arch) 리눅스, 데비안 테스팅, 오픈수세 텀블위드(openSUSE Tumbleweed) 등이 ...

구분투 g리눅스 리눅스 2022.08.01

SK쉴더스, 이바코리아시스템과 OT 데이터 수집 및 분석 솔루션 국내 총판 계약 체결

SK쉴더스가 독일 스마트팩토리 전문기업인 ‘이바코리아시스템’과 OT(Operation Technology) 데이터 수집/분석 솔루션 총판 계약을 체결했다고 밝혔다.   양사는 이번 계약 체결을 통해 SK쉴더스의 융합보안 컨설팅 노하우 및 기술 영업 네트워크와 이바코리아시스템의 기술력을 활용해 OT 데이터 수집 솔루션 공급 확대를 위한 영업 기회 발굴 및 마케팅, 기술지원 등 비즈니스 전반에 대한 상호 협력을 강화해 나갈 예정이다. 이바코리아시스템의 OT 데이터 수집 솔루션은 제어시스템, 센서, CCTV 등 스마트팩토리의 모든 장치로부터 별도의 개발 없이 데이터를 수집하고 실시간 동기화할 수 있는 장점이 있다. 최대 10마이크로초의 고속 데이터 수집이 가능하며 대량의 데이터를 단일 서버에 저장할 수 있다. MES(Manufacturing Execution System, 생산지원관리시스템) 등 IT 시스템을 비롯해 스마트팩토리 시스템과의 데이터 연계성이 우수하다. SK쉴더스는 이번 계약을 통해 OT 보안 컨설팅, 솔루션 구축/적용, OT 보안 운영/관제에 이어 스마트팩토리의 생산/설비 관리 역량을 향상시키는 OT 데이터 시장에 본격 진출한다. 기존의 스마트팩토리를 타깃한 외부로부터의 해킹 위협에 대비하는 OT 보안 사업을 바탕으로 스마트팩토리 내부의 이상을 사전에 감지해 대응하는 OT 데이터 사업을 추진해 진정한 스마트팩토리 구현에 앞장선다. SK쉴더스의 융합보안 플랫폼 ‘써미츠(SUMiTS)’와의 향후 연동도 추진해 나갈 예정이다. SK쉴더스 이용환 사업총괄은 “SK쉴더스는 OT 보안의 전 영역을 서비스하며 쌓은 스마트팩토리에 대한 높은 이해도를 바탕으로 스마트팩토리의 안전성과 생산성을 향상하는데 필요한 전략을 지속적으로 선보일 것”이라며 “이바코리아시스템과의 협업을 통해 OT 데이터 시장혁신을 주도해 나가겠다”고 밝혔다. 이바코리아시스템 이상훈 대표는 “기존에 스마트팩토리에서 사고가 발생하게 되면 사후 분석용으로 활용되던 데이터가 현재는 현...

SK쉴더스 이바코리아시스템 스마트팩토리 2022.08.01

"선택 아닌 필수" SBOM을 작성하는 베스트 프랙티스와 추천 프로그램 8선

소프트웨어를 실제로 보호하려면 코드 안에 무엇이 있는지 알아야 한다. 그렇기 때문에 오늘날 소프트웨어 자재 명세서(Software Bill of Material, SBOM)는 필수적이다. 과거에는 코드 보안에 대해 크게 걱정하지 않았다. 어리석은 일이었다.   그리고 보안 문제가 잇따라 발생했다. 솔라윈즈 소프트웨어 공급망 공격, 여전히 진행 중인 Log4j 취약점 및 npm 메인테이너 항의 코드가 잘못된 사건으로 보안 업계는 소프트웨어 공급망을 정리해야 한다는 사실을 분명히 깨달았다. 독점 소프트웨어는 제작자가 프로그램 내부에 무엇이 있는지 알려주지 않으므로 불가능하다. 그러나 오픈소스 프로그램을 사용하면 SBOM(s-bomb으로 발음됨)으로 정리할 수 있다. 사실 SBOM은 더 이상 ‘하면 좋은 것’이 아니다. 미국에서는 연방정부의 명령이다. 미국 대통령 조 바이든이 2021년 7월 12일 발표한 ‘국가 사이버보안 개선에 관한 행정명령’에서는 SBOM이 요구사항에 포함된다. 행정명령은 SBOM을 ‘소프트웨어 구축에 사용되는 다양한 구성요소의 세부 사항 및 공급망 관계를 포함하는 공식 기록’으로 정의한다. ‘소프트웨어 개발자와 공급업체는 종종 기존 오픈소스 및 상용 소프트웨어 구성요소를 조립하여 제품을 만드는 경우가 많다’는 점 때문에 오픈소스 소프트웨어에서 특히 중요한 문제다. 그렇다. 오픈소스 소프트웨어가 모든 곳에서, 모든 것을 위해 사용된다는 것은 모두가 안다. 하지만 오픈소스 구성요소를 포함한 애플리케이션이 무려 92%에 달한다는 사실을 알고 있었는가? 사실 평균적인 현대 프로그램은 70%가 오픈소스 소프트웨어로 구성되어 있다.  분명히 조치가 필요하다. 리눅스 재단과 오픈소스 보안 재단(Open Source Security Foundation, OpenSSF), 오픈체인(OpenChain)에 따르면 정답은 SBOM이다. 리눅스 재단의 연구 담당 부사장 스티븐 헨드릭은 SBOM을 다음과 같이 정의한다.   ...

SBOM 추천 오픈소스 2022.07.27

기업이 '네트워크 자동화, SASE, 5G'를 우선순위로 삼아야 하는 이유

클라우드 서비스 도입부터 하이브리드 인력의 원활한 업무 지원에 이르기까지, 네트워크 관리자와 설계자는 매일 수많은 과제에 직면한다. 145억 달러 규모의 글로벌 기술 서비스 제공업체인 월드 와이드 테크놀로지(World Wide Technology)의 부사장 닐 앤더슨에 따르면, 대기업에서는 이런 과제에 우선순위를 부여하고 네트워크 아키텍처를 조정해 광범위하게 분산된 애플리케이션과 서비스, 사용자에 대처하고 기업 리소스를 안전하게 보호하는 것을 주된 목표로 삼는다.   코로나19 팬데믹이 발발하자 분산된 대규모 직원들을 지원하는 부분에서 전통적인 네트워크 아키텍처의 약점이 드러났다. 기업들은 원격 액세스 VPN과 같은 임시방편 솔루션으로 그럭저럭 위기는 넘겼지만, 앤더슨은 장기적인 성공을 위해서는 근본적인 아키텍처 변화가 필요하다는 것이 명확해졌다고 말했다. 이와 관련하여 WWT는 최근 기업이 네트워킹의 핵심 우선순위로 삼아야 할 부분을 세부적으로 다룬 보고서를 발행했다.   네트워크 자동화 이니셔티브의 발전 첫 번째 우선순위는 자동화다. 앤더슨은 “자동화 분야에서는 SDN의 새로운 단계로 진입하는 중이다. 첫 단계는 예를 들어 시스코는 시스코와, 아루바는 아루바와 호환되던 사유적 단계였다. 고객들은 SDN을 실험하면서 프로그래밍 기능을 포함한 SDN이 제공하는 혜택을 활용했다”라고 말했다. WWT는 이제 고객들이 솔루션 업체의 플랫폼을 기반으로 자체 자동화 플랫폼을 구축 중이며, 대체로 멀티벤더 환경에서 레드햇의 앤서블, 하시코프와 같은 플랫폼을 활용해 이들 시스템을 기반으로 자체 런타임 엔진과 자체 플레이북을 구축한다고 했다. 앤더슨은 “규모가 큰 고객 사이에서 자동화 비즈니스가 매우 빠르게 부상하고 있다. 이들은 WWT에 연락해 자동화 역량을 강화할 방법을 묻곤 한다”라고 설명했다. 앤더슨에 따르면, 자동화 기술은 IT 자원 부족에 시달리는 기업에 도움이 될 수 있으나 자동화를 구축하기 위한 스킬을 인력을 찾기가 어...

네트워크자동화 SASE SSE 2022.07.26

인터뷰 | CMO 4인이 말하는 콘텐츠 제작 역량을 내재화할 이유

자사(Owned), 평가(Earned), 유료(paid) 디지털 미디어 수가 급증하면서 지속적인 ‘콘텐츠 제작’이 그 어느 때보다 중요해지고 있다. 이에 따라 마케터가 내부 역량을 강화하는 건 놀라운 일은 아니다. ‘2022 CMO 현황 보고서’에 따르면 전체 응답자의 절반 이상이 지난 12개월 동안 콘텐츠 제작에 투자했다고 밝혔다. 또 4명 중 1명은 앞으로 12~24개월 이내에 콘텐츠 제작 및 관련 기술에 투자할 예정이라고 답했다.  여기에서는 4명의 마케팅 책임자에게 ▲인하우스 콘텐츠 제작이 매력적인 이유 ▲인하우스 콘텐츠 제작 역량을 갖추는 게 중요한 채널, 활동, 고객 상호작용/접점 ▲마케팅 측면에서의 성과를 물어봤다.    알릭스 러셀(Alix Russell) - 파마케어(PharmaCare)의 마케팅 미디어, 디지털, 커뮤니케이션, 액티브 웰니스 부문 총괄 책임자 “디지털 마케팅, 콘텐츠 제작, 전자상거래는 파마케어의 인하우스 에이전시 더 하이브(The Hive)가 초점을 맞추고 있는 영역이다. 하이브는 비타민, 데오드란트, 보습제, 슈퍼푸드 스낵 등 35년 역사의 호주 헬스케어 및 웰니스 브랜드를 위한 매력적인 크리에이티브와 콘텐츠를 제작해왔다.”    “파마케어는 광고 카피, POS(Point-Of-Sale), 기타 브랜드 커뮤니케이션을 위해 크리에이티브 에이전시 파트너와 협력하는 대신, 하이브에 투자하여 전체 제품 포트폴리오의 콘텐츠 역량을 강화하기로 했다.”  “하이브는 기존 23명의 팀원으로 구성돼 있었으며, 지난 12개월 동안 5명의 디지털 마케팅 전문가를 채용했다. 이제 전략가, 디자이너, 크리에이티브 브랜딩 전문가, 인사이트 및 분석 전문가가 모두 있으며, 브랜드 커뮤니케이션 전략부터 맞춤형 크리에이티브 콘셉트, 패키징, 엔드투엔드 TVC 제작까지 모든 업무를 담당하고 있다.”  “자체 팀을 구성한다는 것은 캠페인을 빠르게 실행할 뿐만 아니라 변경할 수도 있다...

콘텐츠 제작 디지털 미디어 마케팅 2022.07.26

"보안 점검 및 개선, 교육을 한번에" 효과적인 모의 훈련을 위한 8단계

모의 훈련(tabletop exercise)은 사고 대응 계획을 연습할 수 있는 좋은 기회다. 기존 계획을 연습 및 개선하고 신규 직원을 훈련시킬 수 있는 기회이기도 하다.  CIS(Center for Internet Security)의 선임 운영 디렉터인 스티븐 젠슨은 모의 훈련을 제대로 실행하면 “위협 표면을 줄이는 방법을 찾을 수 있다. 모의 형식의 연습을 통해 단순한 서면상의 정책을 효과적인 정책과 절차로 다듬을 수 있다”라고 말했다.   보안 권고와 벤치마크로 잘 알려진 CIS는 주 정보 공유 및 분석 센터(Multi-State Information Sharing and Analysis Center, MS-ISAC)와 선거 인프라 정보 공유 및 분석 센터(Elections Infrastructure Information Sharing Analysis Center, EI-ISAC)의 본거지이기도 하다. 젠슨은 두 ISAC를 지원하면서 주, 지방, 그룹, 구역 단위의 12,000개 회원 기관을 대상으로 사고 대응과 취약점 관리를 감독한다.  CIS의 위기관리팀에 소속된 젠슨은 MS-ISAC에서 훈련 코디네이터 역할도 담당한다. 미국 국토안보부 산하의 CISA(Cybersecurity and Infrastructure Security Agency) 및 지방 정부와 협력해 모의 훈련을 준비하고 실행한다. 젠슨은 CSO가 최근 주최한 ‘정보 보안의 미래 회담(Future of InfoSec Summit)’에서 연사로 나와 모의 훈련을 구성하고 실행하는 방법과 모의 훈련이 보안 프로세스 및 절차의 공백을 파악하는 데 어떻게 도움이 되는지 설명했다. 효과적인 모의 훈련을 수행하는 방법을 알아보자. 1. 목표 설정 가장 먼저 해야 할 일은 목표 진술문을 만드는 것이다. 목표 진술문은 팀이 구체적인 훈련 목표를 정의하고 시나리오 개발을 위한 틀을 제공하고 전체적인 수준에서 훈련 평가 기준을 제공하는 데 ...

모의훈련 보안 2022.07.22

제로 트러스트를 구현할 때 반드시 피해야 할 5가지 실수

지난 2년 동안 많은 기업이 원격 근무자, 협력 업체, 서드파티 업체가 클라우드와 온프레미스 환경의 데이터에 접근하는 더 나은 방법을 모색했다. 이런 상황에서 주목받기 시작한 것이 바로 제로 트러스트(Zero Trust) 보안이다.   제로 트러스트 보안을 트렌드로 이끈 요인은 매우 다양하다. 갈수록 정교해지는 사이버 위협, 클라우드 도입의 가속, 코로나19 팬데믹으로 인한 원격 및 하이브리드 근무환경 도입 등이 대표적이다. 많은 기업이 경계 안에 있는 모든 것을 암묵적으로 신뢰하는 전통적인 보안 모델이 경계가 존재하지 않고 데이터와 사용자가 갈수록 탈중앙화되는 오늘날 환경에 적합하지 않다는 사실을 깨달았다. 미국에서는 2021년 5월 바이든 행정부가 연방 기관에 제로 트러스트 보안을 구현하라는 행정 명령을 내리면서 제로 트러스트 보안에 대한 연방 기관의 관심이 커졌다. 보안 업체 일루미오(Illumio)의 위탁을 받아 포레스터 리서치가 실시한 최근 조사에 따르면, 응답자의 2/3가 2022년 제로 트러스트 예산을 높였다고 답했다. 응답자 중 절반 이상(52%)이 자사 제로 트러스트 프로그램이 중대하고 전사적인 이점을 가져올 것이라고 답했고, 50%는 클라우드 마이그레이션이 더 안전해질 것이라고 전망했다. 사이버보안 업체들은 큰 기회를 감지하고 ‘제로 트러스트’라는 단어가 붙은 제품들을 서둘러 내놨다. 리서치 업체인 IT하베스트(IT-Harvest)가 약 2,800곳의 업체의 웹사이트를 대상으로 시행한 비공식 조사에 따르면, 조사 대상 사이트 중 238곳이 제로 트러스트를 유독 강조하는 것으로 나타났다. IT하베스트의 최고 연구 애널리스트 리처드 스타이넌은 “백악관과 CISA가 제로 트러스트 접근법으로 전환하라는 가이드를 발표한 후부터 모두가 이 가이드에 발맞추고 싶어 하는 것”이라고 말했다.  제로 트러스트를 둘러싼 과대 선전은 상당한 혼란을 초래했다. 급기야 제로 트러스트라는 개념을 처음 소개했던 포레스터 리서치는 2022년 초 ...

제로트러스트 ZTNA 2022.07.14

2022년 인플레이션에 대응해 IT 책임자가 준비해야 할 것

IT 책임자는 IT 제품 및 서비스의 가격 상승, 인력 비용의 상승에 대응해 IT 포트폴리오를 수정하고 IT 지출 우선순위를 변경해야 한다. 가트너 애널리스트 로버트 니글은 인플레이션이 기업에 미치는 영향과 IT 예산이 처한 위험성을 IT 관리자가 면밀히 살펴봐야 한다고 지적했다. 이런 분석에 따라 IT 지출을 조정할 방법을 결정해야 한다. 또한 IT 서비스 업체는 인플레이션으로 인해 가격을 인상할 것이 확실하다. 상황이 어떻게 변하든, 이에 대응하기 위해 IT 관리자가 해야 할 일이 많다.    인플레이션 상황에서도 기업은 IT 투자를 멈출 수 없다. 우선은 하이브리드 업무 환경으로, 홈 오피스 장비, 인터넷 연결, 보안 등의 투자가 필요하다. 또한 사이버 공격 및 위협 시나리오가 증가하고, 설상가상 랜섬웨어는 여전히 사이버 범죄집단에 수익성 좋은 비즈니스이기 때문에 IT 보안에 대한 지출은 빠르게 증가하고 있다. 글로벌 공급망의 계속되는 중단도 비용 증가의 요인이 되며, 높은 수요로 인해 클라우드 서비스 가격도 상승하고 있다.  마지막으로 팬데믹 기간 동안 많은 작업이 취소 또는 보류되면서 기업 곳곳에 기술 부채가 쌓여 있다. 기한이 지난 소프트웨어 업데이트와 버그 수정, 교체해야 할 오래된 하드웨어 등은 이미 대가를 치르고 있다. 가트너의 니글이 설명하는 것처럼, 많은 기업이 소비자 물가 추세와 같은 지표에 따라 요금이 인상되는 구독 서비스를 이용하고 있다. 이런 변동성 있는 계약은 경우에 따라 극적인 비용 증가를 초래할 수도 있다. IT 책임자는 이런 위험을 파악하고 문서화해야 하며, 결과에 따라 예산을 조정해야 한다.   주요 솔루션 업체와의 재협상 니글은 IT 책임자가 기업의 중요 솔루션 및 서비스 업체 목록을 작성할 것으로 권고했다. 가능하다면 이들 업체와 새로운 협력관계를 맺어야 하며, 이 때 양측이 위험을 같이 나눌 수 있도록 해야 한다. 이는 긴급한 문제인데, IT 솔루션 업체는 정기적인 계약 갱신을...

인플레이션 물가상승 가격인상 2022.07.12

글로벌 칼럼 | 자동화와 변화 관리의 보조를 맞추어야 하는 이유

네트워크 운영 자동화를 추진하는 것은 좋은 일이다. 하지만 더 많은 네트워크 운영이 자동화될수록 네트워크팀의 변경 관리 프로세스는 반드시 적절하게 수행되어야 한다.   제로 트러스트 보안 아키텍처와 엔드 투 엔드 엔터프라이즈 최적화 노력에서 네트워크가 수행하는 역할이 많아지면서 네트워크는 점차 필수적인 요소가 되어가고 있다. 오늘날 네트워크는 그 어느 때보다 많은 것을 연결한다. 데이터센터 및 IaaS 환경 외부에서는 모바일 기기와 IoT 노드가, 기업 내부에서는 VM과 컨테이너가 계속 증가하고 있으며, 보안을 위해 이들 그룹을 서로 분리하는 별도의 환경도 많아지고 있다.  그러나 네트워크팀은 네트워크의 발자국이나 기능 범위가 확장하는 속도를 따라가지 못하고 있다. 깊이 내장된 ‘자율 네트워킹’ 기능부터 직접 작성하는 애드혹 네트워크까지 모든 수준의 자동화는 네트워크 전문가들이 따라가야만 하는 일종의 생명줄이 됐다. 자동화가 필수적이고 불가피한 상황에서 네트워크팀은 자동화를 통해 얻을 수 있는 모든 이점이 엔터프라이즈 IT의 또 다른 요소인 변화 관리(change management)와 상충하거나 이를 훼손하지 않도록 주의해야 한다. 네트워크팀은 변화 관리로 자동화를 제어할 수 있는지, 변화 관리 프로세스가 자동화에 대한 높아진 의존도와 보조를 맞추고 있는지 확인해야 한다. 한 가지 측면은 네트워크 관리에 사용되는 스크립트, 구성 파일 및 플레이북을 포함한 자동화에 변경 관리를 구현하는 것이다. 코드 관리 툴을 사용하면 이벤트 체크아웃/체크인 시 팀원들이 적절한 프로세스의 다른 부분을 따르도록 도와준다. 이런 수준에서 변화 관리를 적용하는 것은 곧 자동화에 대한 의도된 수정 사항을 설명하고, 이를 테스트하고, 배치를 계획하고, 이전에 알려진 적용할 수 있는 코드로 롤백 계획을 수립하고, 변경 성공이나 롤백 여부를 판단할 수 있는 구체적인 기준을 결정한다는 의미다.  또 다른 측면은 변화 관리 프로세스에서 자동화의 존속과 운...

네트워크 자동화 변화관리 2022.07.04

클라우드 비용을 낮추는 3가지 방법과 29가지 서비스 및 툴

클라우드로 옮기는 워크로드가 많아질수록 매월 지출하는 클라우드 비용을 예측하기 어려워진다. 아마존, 구글, 마이크로소프트 같은 클라우드 솔루션 업체의 서비스는 새로운 하드웨어 구매를 위한 자본 비용을 피하는 데는 도움이 될 수 있지만, 클라우드 업체가 제공하는 서비스를 가장 비용 효과적으로 사용하는 것이라고는 볼 수는 없다.    또한 필요한 서비스에 대한 비용만 지불한다는 것은 좋지만, 월별 청구서 내용을 분석하기 위해서는 CPA, 소프트웨어 엔지니어, 상품 거래에 대한 능력과 세세한 것까지 놓치지 않는 날카로운 눈이 필요하다. 고성능, 다중 CPU 인스턴스와 고용량 스토리지 저장소와 같은 일부 클라우드 리소스는 매우 빠르게 요금이 올라갈 수 있으며, 가격도 자주 바뀐다. 솔루션 업체가 경쟁력을 유지하기 위해 지속적으로 요금을 낮추기도 하고, 예비 인스턴스라고 하는 사전 약정에 대한 보상책으로 미래 리소스 소비에 특별 가격을 적용하면서 계산법이 달라지기도 하기 때문이다. 일부 솔루션 업체는 고객 데이터를 유치하기 위해 인바운드 또는 아웃바운드 데이터 전송에 대한 요금을 면제하기도 한다. 게다가 여러 솔루션 업체가 계속 새로운 클라우드 서비스를 들고나오므로 수많은 서비스의 비용을 파악하고 결정하는 일은 벅찰 수 있다. 마지막으로, CPU 또는 하드 드라이브의 가상 인스턴스라고 해도 모든 업체가 동일하지는 않기 때문에 비교 쇼핑이 거의 불가능하다. 다행인 점은 기업이 클라우드 비용을 관리하고 최적화하는 데 도움이 되기 위한 툴과 서비스가 많다는 것이다. 포레스터 리서치의 트레이시 우는 최근 이 시장에 대해 새로 업데이트된 보고서를 내놨다. 가트너도 ‘클라우드 관리 및 툴’ 범주를 만들고 20개 솔루션 업체를 이 범주로 분류했다. 기업에서 클라우드 관리 툴을 사용해야 하는 이유 클라우드 관리 툴과 서비스 도입을 고려해야 하는 이유는 많다. 기능을 추가하기 위해서라거나, 또는 기존 업체의 다운타임이나 고객 지원 수준...

클라우드 비용관리 클라우드최적화 2022.06.28

마이크로포커스, SMAX 업계 최고 PinkVERIFY ITIL4 인증 획득

마이크로포커스는 SMAX가 핑크베리파이(PinkVERIFY) ITIL4 툴셋 인증을 획득했다고 발표했다. 핑크베리파이 ITIL은 조직이 IT기술을 활용해 새로운 서비스 관리 과제를 해결하도록 필요한 지침을 제공한다. 또한, 조직의 모든 구성 요소와 활동이 서비스 가치 시스템에 초점을 맞춰 하나의 시스템으로 함께 작동하도록 지원한다.   SMAX의 ITIL4 인증 외에도, 마이크로포커스는 2022년 6월 19일부터 22일까지 라스베이거스에서 열리는 제25회 국제 IT 서비스 관리 컨퍼런스 및 전시회인 핑크22에서 서비스 관리 솔루션인 SMAX, 유니버설 디스커버리 및 UCMDB를 선보였다. 마이크로포커스 SMAX는 ITSM, ESM 및 IT 자산 관리를 위한 솔루션으로 가치 창출 시간을 단축하고 TCO를 절감한다. 유니버설 디스커버리 및 UCMDB는 하이브리드 IT 자산을 실시간으로 검색, 매핑, 모니터링 및 제어한다.  최근 2022.05 릴리스에서는 마이크로포커스 SMAX, 유니버설 디스커버리 및 UCMDB에 ▲자동으로 티켓에 적합한 담당자를 할당 ▲구성 가능한 포털 위젯 ▲포괄적 검색 ▲소프트웨어 자산 관리(SAM) 대시보드 ▲통합 엔진 ▲IT 유니버스 모델링 기능 ▲검색 에이전트를 위한 인증서 등의 새로운 기능이 도입됐다.  마이크로포커스 IT운영관리(ITOM) 제품 담당 신경환 이사는 “마이크로포커스의 SMAX는 ITIL기반 IT 서비스관리의 선두 제품”이라며, “많은 기업들이 서비스 관리 영역을 IT서비스 뿐만 아니라 전사적 서비스(ESM)로 확대하는 상황에서, 마이크로포커스의 SMAX는 내장된 머신러닝 기능을 통해 업무의 효율성을 증대시키며, 고객의 다양한 환경(On-Premise, Cloud, SaaS)에 적용할 수 있다”고 설명했다. editor@itworld.co.kr

마이크로포커스 2022.06.27

IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.