Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
TOPIC

IT 관리

"진실·투명성·신뢰의 원칙 지켜라" 우버 전 CSO의 재판에서 배울 점

모든 CISO와 CSO가 기업 및 데이터를 안전하게 유지하기 위해 반드시 수용해야 하는 3가지 ‘T’가 있다. 바로 진실(truth), 투명성(transparency), 신뢰(trust)다. 3가지 T를 준수하지 않으면 기업에 심각한 결과를 초래할 수 있다. 적절한 사례가 있다. 미국 연방 판사는 최근 우버 테크놀로지스의 전 CSO 조셉 설리번(2015년 4월부터 2017년 11월까지 CSO 직책을 맡음)과 관련한 재판에서 설리번에게 다가오는 형사 재판에서 자신을 변호하기 위해 요청한 수많은 미편집 우버 문서를 검토하라고 명령했다.   우버의 전임 CSO에 대한 소송 우선 소송의 배경을 살펴보자. 우버의 전 CSO 조셉 설리번은 2016년 우버의 데이터 유출에 처리와 관련한 5건의 중죄로 기소됐다. 2021년 12월 제출된 법원 문서에 따르면, 설리번은 ‘데이터 유출이 공개되지 않도록 은폐하고, 연방거래위원회(FTC)와 피해를 입은 사용자와 운전자에게 노출되지 않도록 설계된 계획에 관여했다’는 혐의를 받는다. 더군다나 해킹에 영향을 미치고 비공개적으로 금전 지불을 요구한 것으로 추정되는 2명은 우버의 버그 바운티 프로그램으로 10만 달러를 수령한 것으로 알려졌다. 이들은 토론토에 거주하는 캐나다 시민권자 바실 메레아커와 미국 플로리다주에 거주하는 브랜든 글로버로, 이후 링크드인 교육사이트 린다닷컴(Lynda.com) 유출 건으로 기소된 인물들이다. 우버의 뒤늦은 유출 통지  당시 우버의 신임 CEO 다라 코스로샤히는 2017년 11월 데이터 유출에 관한 정황을 공개하며 경고 고치를 1년이 지나서야 취하는 것임을 인정했다. 유출 당시 사내에서 이루어진 논의에서는 해당 사건을 유출이 아닌 ‘버그 바운티’ 지불로 분류했기 때문에 공개할 필요가 없다고 판단한 것으로 보인다. 단어의 의미론적인 부분이나 속임수, 후속 해결 조치, 그리고 코스로샤히의 진술에서 이런 관행이 작용하고 있을 수 있음을 알 수 있다. 유출된 정보에는 전 세계 5,7...

우버 소송 CISO 2022.05.23

"위험 발생 수준 더 높아졌다, 뉴 노멀 될 정도"…포레스터 리서치 보고서

수요일 포레스터가 발행한 보고서에 따르면 전 세계 기업을 둘러싼 위기 관리의 중요성이 갈수록 커지고 있다. 북미와 유럽 기업 내 위기 관리를 맡은 의사결정권자 360여 명을 대상으로 한 2022 위험 관리 현황(State of Risk Management 2022) 보고서에 따르면, 응답 기업의 41%가 지난 12개월 동안 3가지 이상의 위험 이벤트에 노출된 적이 있다고 답했다. 포레스터는 위험 이벤트, 사고, 서비스 중단 등이 너무 자주 일어난 나머지 위험 발생 레벨이 ‘뉴 노멀’로 자리잡았을 정도라고 진단했다. 응답자의 절반 가까이(44%) 역시 지난해 기업 대상 위험이 더욱 커졌다고 답했다. 북미 응답자의 64%, 유럽 응답자의 37%가 각각 위험이 늘어났다고 답해 다소 지역별 차이가 나타난 것이 특징이다.   기업 위험 관리(ERM) 전문가에게 기업에 가장 큰 영향을 미칠 위험이 무엇인지를 물었을 때 정보 보안 위험(32%)이 가장 많은 답을 얻었다. 데이터 프라이버시(28%)가 그 뒤를 이었다. 그러나 포레스터는 산업에 따라 우선순위가 변한다고 덧붙였다. 소매업과 도매업은 공급망 위험이 가장 중요하다고 본 반면, 제조업처럼 랜섬웨어 공격의 목표가 되는 부문에서는 정보 보안을 가장 우려했다.   위험 관리로 혁신을 가속화해야 이어서 이번 조사에서는 위험 관리에 따르는 과제를 확인할 수 있었다. 응답 기업 27%는 위험 관리가 혁신을 늦추는 것이 가장 큰 문제라고 답했다. 약 1/4에 해당하는 24% 응답자는 위험 관리가 의사결정을 지연시킨다고, 17%는 사업 목표와의 연관성이 낮다고 지적했다. 보고서 공동 저자인 포레스터 시니어 애널리스트 알라 발렌티는 "프로세스 맨 마지막에 위험 관리를 두면 의사결정이 지연된다. 특히 어떤 것을 새로 추진하는 결정일 때 영향을 많이 받는다. 그러나 위험 관리는 실행과 마찬가지로 일종의 관념이므로 실제 혁신 속도를 늦추는 요소로 작용하지는 않는다. 사실 위험 관리는 혁신을 촉진한다. 발매 이후 ...

위험관리 ERM 포레스터리서치 2022.05.20

"멀티 클라우드의 ID 정책을 통합한다" 오픈소스 프로젝트 '헥사' 공개

18일(현지시간) ID 오케스트레이션 업체 스트라타 아이덴티티(Strata Identity)가 새로운 오픈소스 프로젝트를 공개했다. 애저, AWS 및 구글처럼 호환되지 않는 클라우드의 ID 시스템을 통합해 사용자가 멀티 클라우드 플랫폼에서 ID 및 액세스 정책을 일관적으로 적용하는 기능을 제공한다.  스트라타 아이덴티티에 따르면, 해당 프로젝트는 오픈소스 기술인 헥사(Hexa)와 ID 액세스 정책을 정의하는 새로운 공통 정책 형식인 IDQL로 구성되며 멀티 클라우드와 온프레미스 시스템 및 공급업체의 솔루션을 결합한다. 이는 과잉 권한이 부여되고 소홀하게 관리되는 클라우드 계정이 사이버 공격자에게 공격 경로를 열어주는 격이라는 내용의 최근 연구에 따른 결과다.  다중 클라우드 ID 관리의 사일로 해결 스트라타 아이덴티티는 현재 인기 있는 클라우드 플랫폼이 서로 호환되지 않는 개별 정책 언어와 독점 ID 시스템을 사용한다고 말했다. 각 애플리케이션은 특정 ID 시스템과 함께 작동하도록 하드코딩되어야 한다. 헥사는 IDQL을 사용해 여러 ID 시스템이 시스템이나 애플리케이션을 변경하지 않고도 통합된 상태로 함께 작동할 수 있도록 설계됐다. 클라우드 플랫폼과 권한 부여 시스템, 데이터 리소스 및 제로 트러스트 네트워크에서 ID 및 액세스 정책을 추상화해 존재하는 정책을 찾고, 네이티브 구문에서 제네릭 IDQL 선언적 정책으로 변환한다. 그런 다음 클라우드 기반 아키텍처를 통해 대상 시스템의 기본적인 필수 정책으로 다시 변환하고, 클라우드 시스템과 앱, 데이터 리소스, 플랫폼 및 네트워크 전반에 걸쳐 ID 및 액세스 정책을 오케스트레이션한다.  IDQL 작업 그룹 구성원이자 글로벌 ID 및 액세스 관리 책임자인 톰 몰타는 “처음으로 모든 CSP(Cloud Service Provider) 또는 솔루션 아키텍처의 사실상 모든 엔드포인트에서 동서(east-weat) 및 남북(north-south) 간 정책을 모두 통합하고 중...

스트라타 아이덴티티 IDQL 헥사 2022.05.19

최고의 취약점 관리 프로그램을 개발하는 12단계

보안 임원들은 IT 환경에서 취약점을 해결하는 것이 얼마나 중요한지 잘 알고 있다. 최근 패치되지 않은 시스템으로 인해 발생한 대규모 침해 사건으로 인해 다른 고위 경영진도 취약점 관리의 중요성을 깨닫게 됐다.  미국 연방거래위원회(FTC)는 1월 초 비즈니스 커뮤니티에 Log4j 취약점 해결에 대해 공지하며 “기업은 FTC법 및 그램 리치 블라일리법(Gramm Leach Bliley Act, GLBA)에 따라 알려진 소프트웨어 취약점을 완화하기 위해 합리적인 조치를 취할 의무가 있다. Log4j에 의존하는 기업과 이들의 제공업체는 소비자에 대한 피해 가능성을 줄이고 FTC의 소송을 방지하기 위해 당장 조치를 취해야 한다”라고 권고했다.   FTC가 Log4j 취약점에 대해 경고한 데는 이유가 있다. 여러 보고서에 따르면, 패치되지 않은 알려진 취약점은 주요 공격 벡터가 되기 때문이다.    보안 업체 이반티(Ivanti), CSW(Cyber Security Works), 싸이웨어(Cyware)의 ‘랜섬웨어 스포트라이트 2021년 연말 보고서’에 따르면, 2021년 발생한 랜섬웨어 공격 관련 취약점은 65개가 새롭게 추가되면서 전년 대비 29% 증가했다. 총 288가지의 알려진 취약점이 2021년의 랜섬웨어 공격과 관련 있었다.  이런 조사 결과에도 불구하고 취약점 관리 프로그램을 마련한 기업은 많지 않다. 사이버 교육 및 인증 업체 SANS 인스티튜트(SANS Institute)의 2020년 설문조사 결과, 취약점 관리에 대해 비공식적인 접근 방식을 취하고 있거나 프로그램이 전혀 없는 기업은 약 37%로 조사됐다.  많은 보안 전문가가 임시 또는 비공식적인 방법으로 취약점을 관리해서는 안 된다고 입을 모았다. 취약점에 대한 조치와 책무, 지속적인 개선은 체계적으로 이루어져야 한다. 이 목적을 달성하기 위해 보안 전문가들은 최고의 취약점 관리 프로그램을 개발하는 12단계를 제안했다. 하나씩 살펴보...

취약점관리 취약점관리프로그램 버그바운티 2022.05.18

'위기를 기회로' 한 기업이 하이브리드 업무 환경을 성공적으로 조성한 방법

고조 인더스트리(Gojo Industries, 이하 고조)는 전 세계에서 가장 잘 판매되는 손 세정제 퓨렐(Purell)을 만드는 회사다. 따라서 많은 사람이 고조라면 안전한 근무 환경을 조성하기 위해 각별한 주의를 기울일 것으로 기대할 것이다.  평소 고조는 협업 문화에 자부심을 갖고 있었기 때문에 본사가 소재한 미국 오하이오주 애크런시가 코로나19 팬데믹 락다운을 시행했을 때 타격이 예상됐다. 하지만 고조는 체계적인 접근 방식으로 변화하는 근무 환경에 대처했고, 고조의 접근법은 동일한 문제에 직면한 모든 기업에 지침서 역할을 하기에 충분하다. 고조의 접근법을 구체적으로 살펴보자.   고조의 근무 환경 및 직원 경험 부문 부사장 에밀리 에스털리는 “팬데믹 이전 고조는 대면 문화가 대부분이었다. 폐쇄된 사무실이 없고 협력적인 분위기의 근무 환경이었다”라고 말했다. 고조는 사회적 거리두기로 인한 새로운 요구사항을 충족하고 원격 근무를 하고자 하는 직원의 바람을 존중하면서도 기존 대면 문화를 유지하는 방법을 찾기 시작했다. 하지만 연구실 및 제조 부문 직원처럼 현실적으로 재택근무를 할 수 없는 직원도 있었으므로 이런 변화가 임의적이거나 전면적인 정책으로 보이는 것을 원하지는 않았다. 코로나19 봉쇄령이 해제되기 훨씬 전부터 고조 경영진은 미래 근무 환경이 어떤 모습일지 곰곰이 생각했다. 고조는 18개월간 직원을 대상으로 설문조사를 진행하고 집중 그룹을 운영하며 미래형 사무실의 원형을 만들어 나갔다. 미래형 사무실에 대한 기대와 일치하는 역할을 정의하는 데에 수백 명의 직원이 동참했다.  투명한 프로세스 구축 근무 환경을 바꾸는 작업에는 직원의 동의가 매우 필수적이므로 사용하는 언어가 중요했다. 예를 들어, 고조는 ‘사무실 복귀(return to office)’라는 표현 대신 ‘해야 할 일(work to be done)’이라는 표현을 사용했다. 또한 직원의 역할에 따라 복귀 시점이 다를 수 있으므로 복...

하이드리드근무환경 재택근무 2022.05.16

글로벌 칼럼 | 사이버 보험 청약서로 알아보는 랜섬웨어 기본 대처법

필자는 매년 이맘때쯤 사이버 보험 청약서를 작성한다. 청약서의 질문 사항을 작성하며 보험사들이 비즈니스의 위험과 위협을 평가하는 데 사용하는 기준과 베스트 프렉티스로 강조하는 것이 무엇인지 인사이트를 얻는다. 보험사가 중요하게 여기는 요소가 없다면 보험료와 사이버 보험 가입 자격 여부에 영향을 미칠 수 있다. 이번에 작성한 보험 청약서에서는 구체적인 랜섬웨어 예방 기법과 보호 장치에 관한 질문이 있어 흥미로웠다. 청약서에서 눈에 띄었던 질문을 자세히 살펴보자.   이중 인증이 마련돼 있는가? 필자의 보험사는 원격 네트워크 액세스를 보호하는 이중 인증(Two-factor authentication, 2FA) 절차가 마련돼 있는지 질문했다. VPN과 RDP(Remote Desktop Protocol)가 사용자뿐 아니라 공격자에게 효과적인 액세스를 제공하는 현실에 대응하고자 하는 것이다. 우리는 때때로 물리 및 가상 서버에 접근하기 위해 원격 액세스를 남겨두는데, 공격자는 네트워크 액세스 권한을 얻기 위해 이런 원격 액세스 툴을 표적으로 삼는다. 점프 서버 같은 시스템과 승인된 사용자의 RDP 연결만 허용하기 위해서 모든 도메인 컨트롤러 OU(Organizational Unit)에 연결되는 GPO(Group Policy Objects)를 구성해야 한다. 특히 서버에 대한 원격 액세스를 가능한 한 안전하게 설정하는 것이 중요하다. 최근 필자는 자격 증명을 한계로 느낀다. 자격 증명을 검증하고 추가 보호를 제공하는 툴을 확보하는 것이 공격자가 접근 권한을 획득하지 못하도록 하는 핵심적인 방법이다. 조건부 액세스를 통해 사용자의 행동에 기초해 보호를 구성할 수 있으며, 사용자가 특정 역할 또는 이례적인 위치에서 로그인할 때 추가적인 인증 조치를 의무화해야 한다. 필자는 관리자 역할에 2FA를 의무화했다. 이미 인증된 기기에서는 2FA가 선택사항이며, 사용자가 이례적인 위치에서 로그인할 때는 추가 인증 절차를 거쳐야 한다. 필자는 조건부 액세스를 설계...

사이버보험 보안 랜섬웨어 2022.05.13

'몇 시간에서 15분으로' 영국 정부 기관이 서비스 배포 시간을 단축한 방법

최근 영국 노동연금국(Department for Work and Pensions, DWP)은 클라우드 네이티브 서비스의 배포 시간을 몇 시간에서 15분으로 단축했다. 배포 단계를 자동화하고 공통 컨테이너 오케스트레이션 플랫폼에서 실행한 덕분이었다.   2001년 구성된 DWP는 영국 내 다양한 복지와 연금, 자녀 양육비 지급 제도를 포함해 연간 2,200만 명의 청구자에게 제공되는 공공 서비스를 책임지는 부서다. 코로나19 팬데믹 기간 동안 실업률이 높아지면서 DWP가 제공하는 서비스에 대한 수요가 치솟았고, DWP 내 기능 개발팀들은 변화하는 수요에 대응하기 위해 배포 속도를 높이는 방법을 고민했다. 공통 클라우드 네이티브 플랫폼 구축하기 5,000명의 직원을 고용해 DWP의 기술 자산을 책임지는 DWP 디지털(DWP Digital)은 18개월 전 레드햇에 연락을 취해 오픈시프트(OpenShift) 컨테이너 관리 플랫폼의 공통 계층을 통해 모든 엔지니어가 기반 인프라에 상관없이 단일 시스템에 마이크로서비스를 일관되게 배포하는 방법을 알아봤다. DWP 디지털의 기술 책임 딘 클라크는 InfoWorld에 “클라우드 네이티브 작업 방식을 채택하기를 원하던 팀이 있었고, 공통 플랫폼과 오픈소스 작업 방식으로 협업하는 데 레드햇이 도움이 주기를 바랐다”라고 말했다. 그간 DWP는 온프레미스와 AWS, 구글 클라우드 플랫폼 및 마이크로소프트 애저의 퍼블릭 클라우드 플랫폼을 혼합해 애플리케이션을 실행하는 자율적인 팀을 통해 기술 자산을 운영해왔다.  자체 관리하는 쿠버네티스 환경도 포함됐다. 클라크는 “AWS에서 제공하는 관리형 서비스 내에서도 모두가 함께 관리하는 환경을 구축하고 있었다”라고 말했다. 그러던 DWP 디지털은 오픈시프트를 기반으로 전문가로 구성된 ‘교차관리팀’이 관리하는 보다 일반적인 플랫폼을 구축하기 시작했다.  DWP 디지털의 통합 책임 재키 레게터는 InfoWorld에 “파이프라인과 아티팩트를 ...

네이티브클라우드 클라우드 플레이북 2022.05.10

태니엄, 신제품 ‘통합 엔드포인트 관리’ 솔루션 출시…실시간 문제 해결 지원

태니엄(www.tanium.com)은 통합 엔드포인트 관리(Converged Endpoint Management 이하 XEM) 솔루션을 출시했다.  XEM 솔루션은 보안과 기술 환경 관리 측면에서 현재 접근방식의 전환을 의미한다고 업체 측은 설명했다. 이 통합 솔루션은 IT, 운용, 보안 및 리스크를 한 화면으로 구현해 태니엄 고객에게 하나의 공통된 데이터 소스(Source of Truth), 통합 제어, 공통된 분류체계 기능을 제공한다. 태니엄은 데이터가 생성되는 엔드포인트에서 실시간 의사결정, 관리 및 이슈를 처리하는 XEM을 통해 문제 해결을 지원한다고 밝혔다. 경쟁제품 대비 가벼운 태니엄의 에이전트는 최소한의 자원과 대역폭을 사용해 가장 작은 칩 운영체제에서도 운영할 수 있다.  XEM 솔루션은 취약점 공격의 징후를 감지하고, 모든 취약점의 지표를 찾아내며, 엔드포인트 방어를 해결하고 하드닝(Hardening)을 실시한다. 더불어, 태니엄의 특허 받은 데이터 모델과 분산 통신 프로토콜은 즉시 신규 및 임시 정보를 추가하고, 수 초 안에 중간 인프라 없이 엔드포인트 수 백만 개로 데이터를 확산시킬 수 있다고 업체 측은 설명했다.  태니엄의 크리스 할렌백 미주 담당 CISO는 “태니엄의 플랫폼은 포인트 솔루션을 타깃으로 하는 공격뿐 아니라 그 외 위협들에 대해서도 보호 기능을 제공한다”며, “기존 포인트 솔루션들이 제공하지 않는 포괄적인 모듈을 기반으로 위협관리와 포렌직 등 기능을 제공해 사용자들이 더 정교한 사이버 위협으로부터 보호하는 것을 목표로 삼고 있다”고 말했다.  태니엄의 XEM 솔루션은 여러 팀이 통합적으로 세부적이고 완전한 디스커버리, 심층적 평가, 엔터프라이즈 우선순위 설정, 플랫폼간 문제 해결, 연속적 감시를 어디에서나 수행할 수 있도록 지원한다.  editor@itworld.co.kr

태니엄 2022.05.04

CIO 역할을 격상하는 7가지 방법

CIO는 오랫동안 이진급 경영자로 인식됐다. 그러나 이제 역할을 확장하고 고유한 비전과 가치를 주창해야 할 때다.    CIO의 역할이 그 어느 때보다도 더 중요한 시기다. 시시각각 바뀌는 IT 동향에 대응하고 수많은 규제를 검토해야 하기 때문이다. 보안 및 개인 정보 보호, 클라우드 컴퓨팅, 머신러닝, 원격 근무 등의 중요한 사안에 관여해야 하는 CIO 직급은 C급 레벨에서 다른 임원과 동등하거나 심지어 더 중요한 역할로 올라섰다. 그러나 안타깝게도 CIO에 대한 경영진의 인식은 아직도 완고하게 과거에 머물러있다.  기술 서비스 및 컨설팅 회사인 캡제니미 아메리카(Capgemini Americas)의 지능형 산업 부사장 크리스 쉬퍼는 CIO가 더 적극적으로 회사 내의 역할을 확장해야 한다고 말했다. 이전에는 담당하지 않았던 업무에 관여하거나 심지어 존재하지 않았던 업무를 만들어 내야 한다고 덧붙였다. 쉬퍼는 "CIO가 사무실 뒷전에서 IT 비용 관리자로 남아있던 시대는 지났다"라며 "오늘날의 CIO는 새로운 시대에 적응하여 비즈니스 전략가, 디지털 혁신가 그리고 여러 부서를 아우르는 지휘가가 되어야 한다"라고 말했다.  CIO로서 이렇게 할 자신이 있는가? 만약 그렇다면, 여기 CIO가 회사 내에서 역할을 더 확장하고 보람 있는 회사 생활을 하기 위해 할 수 있는 7가지 방법이 있다.  1. 변화에 앞장서기  CIO는 회사 전후방에서 업무를 체계화하는 것을 이끌면서 새로운 기술과 인재를 끊임없이 끌어들여 변화에 앞장서야 한다. 쉬퍼는 "디지털 기술을 활용하여 기업의 복원력, 민첩성을 구축하고 새로운 기술 혁신을 지속 가능한 경쟁 우위로 전환해내는 데 원동력을 불어넣는 것이 CIO의 역할"이라고 말했다. 쉬퍼는 CIO가 회사의 비즈니스 전략과 대규모 디지털 트랜스포메이션을 신속하게 진행하는 과정에서 C 레벨 임원진에게 엔진 같은 존재가 돼야 한다고 말했다. 쉬퍼는 "CIO가 단순...

CIO 조직관리 리더쉽 2022.05.02

'로그4셸부터 제로로그온까지' 2021년 가장 많이 악용된 취약점 15가지

전 세계 사이버보안 기관이 악의적인 사이버 행위자가 2021년 가장 일상적으로 악용한 15가지 CVE(Common Vulnerabilities and Exposures)에 대한 공동 주의보를 발간했다. 이번 작업에는 미국 사이버보안 및 인프라 보안국(CISA), 미 국가안전보장국(NSA), 미 연방수사국(FBI), 호주 사이버 보안 센터(Australian Cyber Security Centre, ACSC), 캐나다 사이버 보안 센터(Canadian Centre for Cyber Security, CCCS), 뉴질랜드 사이버 보안 센터(New Zealand National Cyber Security Centre, NZ NCSC), 영국 국립 사이버 보안 센터(United Kingdom’s National Cyber Security Centre, NCSC-UK)가 참여했다.   이들 조직은 적인 사이버 공격자들이 새롭게 공개된 중요한 소프트웨어 취약점을 악용해 지난해 전 세계 공공 및 민간 부문 조직을 포함한 광범위한 표적을 공격하는 데 사용했다고 경고했다. 또한 악의적인 행위자는 이미 공개적으로 잘 알려진 취약점도 계속해서 활용한 것으로 나타났다. 인터넷 기반 시스템을 겨냥한 15가지 취약점  주의보에 따르면, 2021년 전 세계적으로 악의적인 사이버 행위자는 새롭게 발견된 취약점을 악용해 이메일 서버나 VPN 서버 등 인터넷 기반 시스템을 공격 목표로 삼았다. 또한 상위 취약점 대부분의 경우 연구원 또는 기타 행위자가 취약점이 공개된 후 2주 이내에 개념증명(PoC) 코드를 발표했는데, 악의적인 행위자가 PoC 코드를 악용해 더욱 광범위한 공격을 진행했을 가능성이 높다. 또한 악의적인 사이버 행위자들은 공개적으로 알려진 오래된 소프트웨어 취약점을 계속해서 악용했다. 그중 일부는 2020년 또는 그 이전에도 일상적으로 악용되었다고 경고한 취약점이었다. CISA는 “오래된 취약점이 악용됐다는 것은 소프트웨어를 적시에 패치하지 못하거나 ...

취약점 CVE 아파치 2022.04.29

'통제 불능' 네트워크에 '관측가능성'을 부여하는 방법

라우터 네트워크와 유치원 사이에 공통점이 있을까? 자세히 살펴보면 생각보다 꽤 많은 공통점을 찾을 수 있다. 일반 기업에 ‘네트워크’란 ‘라우터 네트워크’를 의미한다. 네트워크에 라우터 이외의 다른 것이 없다는 뜻이 아니라 기업 네트워킹 전체의 목적이 ‘IP 연결성 구축’에 있다는 뜻이다. IP 네트워크의 요소를 설명하기 위해 수많은 용어가 만들어졌고 지금도 매일 새로운 용어가 추가되고 있다. 하지만 늘 그랬듯이 많은 기업이 자신의 네트워크 운영에 대해 충분히 알지 못한다. 이는 ‘관측가능성(observability)’이 없기 때문이다.   관측가능성이라는 말은 정의가 너무 많아서 의미가 없다. 그중에서 추적의 개념에만 집중하자. 추적을 통해 경로와 관계를 알 수 있으며, 이것이 네트워크의 핵심이다. ‘관측가능성’의 통제적 측면 네트워크는 상자로 구성되어 있다. 네트워크 관리와 모니터링은 네트워크 상태의 지표인 이 상자들의 행동에 집중했다. 모든 상자에 문제가 없으면 네트워크에도 문제가 없다. 애플리케이션 관리도 마찬가지다. 각 부분의 상태를 종합하면 전체의 상태를 알 수 있다. 그런데 IT 운영자들은 자명해 보이는 이런 방식이 메시지 플로우의 중요 지점을 놓친다는 사실을 발견했다. 애플리케이션의 작동 방식을 이해하려면 작업이 일련의 구성요소를 통해 이동하는 방식을 추적해야 한다. 네트워크도 마찬가지다. 네트워크는 한 개의 상자가 아니고 상자 여러 개가 모인 것도 아니며, 일종의 협동조합이기 때문이다. 서두의 질문으로 돌아가 보자. 네트워크는 유치원생으로 가득한 방과 비슷하다. 통제 불능의 무질서 상태다. 유치원생들에게 할 일을 알려주고 집단 활동을 조직할 수는 있다. 그러나 유치원생 한 명 한 명은 제멋대로인 악동이다. 통제에서 벗어나 예기치 못한 일을 저지를 수 있다. 거의 모든 IP 네트워크도 제멋대로인 악동의 모임이다. 각 라우터는 적응 행동으로 트래픽을 움직일 경로를 찾아낸다. 일반적으로 모든 라우터는 각자 도달할 수 있는...

네트워크 MPLS SDN 2022.04.27

“디지털 트랜스포메이션, ‘디지털 접점’으로 연결해야 한다”··· 서비스나우의 혁신적인 DT 전략은?

"다들 한다는 '디지털 트랜스포메이션(Digital Transformation)'. 하지만 그때그때 필요한 포인트 솔루션을 도입한 것만으로 디지털 트랜스포메이션을 했다고 간주하는 기업들이 많다. 사실상 개별적인 디지털 트랜스포메이션은 통합적인 뷰를 제공하지 못하고 있다." IDC에 따르면 지난 3년 동안 기업들의 디지털 트랜스포메이션 관련 투자는 무려 미화 3조 달러를 넘어섰다. 하지만 투자 대비 수익(ROI)을 달성한 기업들은 26%에 그쳤다. 한국IDG가 주최한 '퓨처 오브 워크 2022(Future of Work 2022)' 컨퍼런스에서 서비스나우(ServiceNow)의 장기훈 전무는 이제 전사적으로 디지털화돼 있는 각각의 포인트 솔루션을 연결하고 활용할 수 있는 '디지털 조정 역량'을 강화해야 한다고 강조했다.  디지털 트랜스포메이션, 점검이 필요할 때  기업들이 디지털 트랜스포메이션을 못 했다는 게 아니다. 잘해왔다. 문제는 IT부터 고객 서비스, 영업, 마케팅, 재무, 인사, 공급망 관리까지 모두 각각 디지털 트랜스포메이션을 해왔다는 점이라는 게 장기훈 전무의 진단이다.  그는 "물론 그럴 수밖에 없는 상황이다. 예를 들면 인사팀에서 사용하는 디지털 소프트웨어를 마케팅팀에서는 쓸 수 없다. 당연히 개별적으로 구축돼야 하고, 사일로화될 수밖에 없다. 하지만 사일로화된 디지털 스택으로는 클라우드 네이티브의 복잡성, 폭발적으로 발생하는 인시던트, 더 빠른 응답 속도에 관한 요구, 기술팀 자원 부족, 보안 위협 증가, 낮은 사용자 만족도 등의 문제를 해결하기가 쉽지 않다. 따라서 각기 디지털화돼 있는 부서를 연결하고 디지털 트랜스포메이션을 위한 전사 조정 능력을 갖춰야 한다”라고 말했다.  이것을 사용자가 쓰는 그 포인트가 바로 서비스나우에서 말하는 ‘디지털 접점’이다. 최종 사용자부터 시스템까지 디지털 접점을 연결하고, 이 디지털 접점을 기반으로 한 ‘디지털 워크플로우’를 구축하여 전사적으로 통합적인 뷰를 구축해...

서비스나우 나우플랫폼 디지털 트랜스포메이션 2022.04.21

“기술을 통한 고도화와 통합 관리가 필요” 하이브리드 업무환경을 위한 시스코의 제언

최근 기업의 업무환경이 급속도로 변화하고 있다. 구글 워크스페이스(Google Workspace)가 2021년 말 진행한 ‘하이브리드 근무에 대한 글로벌 설문조사(Making hybrid work human)’에 따르면, 응답자의 75%가 ‘향후 3년 내에 하이브리드 근무가 조직 내 표준 관행이 될 것’이라고 답했다. 이직이나 구직 시에도 원격/재택근무 여부가 필수 고려사항이 된 만큼 하이브리드 업무환경을 도입할 것인지 전통적인 방식을 유지할 것인지 깊은 고민에 빠진 기업이 많다.   기업은 하이브리드 업무환경의 장단점을 여러 가지 측면에서 분석한 후 결정을 내려야 한다. 한국IDG가 주최한 퓨처 오브 워크 2022(Future of Work 2022)에서 시스코 이덕주 이사는 “하이브리드 업무환경을 도입하면 기업은 비용과 에너지 소모를 줄일 수 있지만, 보안이나 자산 활용도, 사용자 경험은 낮을 수밖에 없다. 따라서 하이브리드 업무환경 도입에 따른 문제를 개선할 새로운 기술이 필요하다”라고 말했다. 이때 필요한 것이 고품질 하드웨어 솔루션과 종합적인 관리 툴이다. 이덕주 이사는 시스코 웹엑스(Webex)를 제안했다. 웹엑스는 화상회의, 온라인 미팅, 화면 공유 및 웨비나를 위한 기업용 솔루션으로, 하드웨어 단말과 소프트웨어를 쉽게 연결하는 클라우드 플랫폼, AI, 보안 서비스, 네트워크 및 보안 기술까지 아키텍처에 통합돼 있다. 이덕주 이사는 “웹엑스는 PC나 모바일 기기로 진행하는 화상 회의뿐만 아니라 기업 내 모든 커뮤니케이션 수단을 연결하는 일종의 연결 포인트이며, 시스코가 기업 고객에게 맞춤형 경험을 제공하는 컨택 센터(Contact Center)의 역할까지 포함한다”라고 설명했다. 하이브리드 업무환경을 구성하는 기기는 다양하다. 크게는 집에서 사용하는 PC와 모바일 기기, 이동 중 사용하는 모바일 기기, 사무실 복귀 시 사용하는 회의실 단말로 나뉘며, 다시 개인용 헤드셋, USB 연결형 카메라, 전화기, 화이트보드 등으로 세분화된다....

시스코 퓨처오브워크2022 한국IDG 2022.04.21

글로벌 칼럼 | 코드 개선과 적절한 계획 및 측정이 기술 부채를 줄이는 지름길

기술 부채는 성능 및 코드 가독성, 기타 지원 요소 개선에 드는 비용처럼 규모가 작을 수도 있지만, 곧 사용이 중단될 API나 CI/CD가 부족한 애플리케이션, 자동화된 테스트가 거의 없는 서비스, 혹은 운영에 영향을 주는 구형 시스템은 대규모 기술 부채를 낳을 수 있다.   소스와 크기, 영향에 관계없이 IT팀은 기술 부채를 측정하고 관리하며, 줄여야 한다. 또한, 추가 기술 부채 방지 및 제한 조치를 취하며 베스트 프랙티스를 시행하는 것도 중요하다. 액스웨이(Axway)의 부사장 루비 레일리는 오늘날 기술 부족과 심각한 재정 상태 때문에 무엇보다도 기술 부채를 줄이고 해결하는 것이 더 중요하다고 강조했다. 레일리는 “기술 부채를 줄이는 것이 CIO에게 가장 우선시될 것이다. 현재 인플레이션과 대퇴직, 직원 퇴사에 따른 인력난에 직면한 CIO는 새로운 프로젝트에 자금을 댈 운영 효율성을 찾아야 한다. 유지보수에 드는 지출을 줄이기 위한 기술 통합이 한 가지 방법이 될 수 있다”라고 말했다. 필자는 레일리에 동의한다. 항상 어려운 작업이지만, 개발팀은 기술 부채를 줄이기 위해 충분한 시간을 할애하고 새로운 소스 도입을 최소화하는 조치를 취해야 한다. 민첩한 개발팀 및 데브옵스(DevOps)를 따르는 기업은 이런 관행을 검토하고 고려해야 한다.   개발팀의 기술 부채 예방 관행 런치다클리(LaunchDarkly)의 CTO인 존 코두멀은 “소프트웨어 개발에서는 어쩔 수 없이 기술 부채가 발생하지만, 시간이 지나면서 기술 부채 감소 비용을 상환하는 정책과 관행, 프로세스를 수립함으로써 기술 부채를 방지할 수 있다. 다른 작업을 멈추고 산더미처럼 쌓인 빚에서 벗어나려고 애쓰는 것보다 훨씬 더 나은 방법이다”라고 말했다. 코두멀은 타사 종속성에 대한 업데이트 정책 및 주기 수립, 워크플로우 및 자동화를 사용해 기능 플래그의 라이프사이클 관리, 서비스 수준 목표 설정과 같은 몇 가지 관행을 추천했다. 새로운 기술 부채의 발생 가능성을 줄이려면...

기술부채 CICD 로우코드 2022.04.20

'기초부터 다시 시작하는' 애자일 방법론의 이해

애자일(Agile) 방법론이 등장한 지 2021년을 기준으로 꼭 20년이 됐다. 일부 스타트업이 공동 장소에서 스티커와 화이트보드를 가지고 협업하던 비주류 방법론이 이제는 정교하고 확장성 있고 널리 쓰이는 애자일 소프트웨어 개발 프로세스와 툴로 발전했다.   애자일 개발은 오랜 기간 사용되고 많은 기업이 스크럼, 칸반 등의 애자일 기법을 이용해 애플리케이션을 현대화하고 고객 경험을 개선하고 디지털 트랜스포메이션을 이행하는 데는 그만한 이유가 있다. 디자인 씽킹, 제품 관리, 데브옵스와의 접점에 대한 방대한 지식이 쌓이는 것도 같은 맥락이다. 이제 사람들은 ‘애자일이 무엇인가?’라고 묻지 않는다. 오히려 자기 팀에 최고의 애자일 방법론을 적용할 방법을 활발하게 논의한다. 여기서는 다시 기본으로 돌아가 사람과 팀, 프로세스, 툴과 함께 애자일 방법론의 기초를 알아본다. 또한, 애자일이 데브옵스와 어떻게 연결되는지 살펴보고, 애자일 문화를 양성하고 고품질의 소프트웨어를 완성하는 모범 관행을 소개한다.   애자일 방법론에서의 주요 역할들 애자일 소프트웨어 개발 프로세스는 언제나 특정 제품의 사용자를 정의하고, 다뤄야 할 문제와 기회, 가치의 범위에 관한 비전을 문서화하며 시작한다. 제품 소유자(Productowner)는 이 비전을 포착하고 이를 달성하기 위해 다양한 팀과 협업하며 애자일 개발 프로세스에는 여러 역할이 관여한다. 사용자 : 애자일 프로세스는 언제나 사용자(User) 또는 고객을 염두에 두면서 시작한다. 오늘날에는 일반적으로  고객 요구 및 행동의 다른 워크플로우 역할/유형을 정형화한 사용자 페르소나(User Personas)를 정의한다. 제품 소유자 : 제품 소유자는 내부 이해관계자 등 고객의 목소리를 담당한다. 통찰, 발상, 피드백을 종합해 제품 비전을 만든다. 보통 제품 비전은 단순하고 직접적이지만, 고객 또는 사용자가 누구이고, 어떤 가치를 다루는지, 이들을 다루는 전략에 대한 전체 그림을 반영한다. 예를 들면 ...

애자일 agile 2022.04.11

'잘못된 비즈니스 결정'이 또 다른 '내부자 위협'이 된 사례

비즈니스 전략 이행과 관련된 정책과 절차의 존재는 기업의 성숙도를 나타내는 중요한 척도다. 내부자가 법률 혹은 기업의 정책을 위반하는 결정을 내리면 비즈니스에 대한 위험이 커질 수 있다. 고의(절도)든 우발적(인적 오류)이든 신뢰하는 위치에 있는 개인이 정책이나 절차상 제약을 위반해 데이터가 분실되거나 대중에 공개되는 사례가 종종 발생한다.    최근 미국 연방거래위원회(FTC)와 건강 관리 업체 WW(Weight Watchers), WW가 지분을 100% 소유한 자회사인 커보(Kurbo) 사이의 합의 명령은 내부자가 법을 무시하는 비즈니스 결정을 내렸을 때 어떤 일이 일어날 수 있는지를 명확하게 보여준다. 어린이/청소년 건강 관리 업체인 커보와 WW는 ‘13세 미만 어린이에게서 불법적으로 수집한 정보’를 모두 삭제하고 ‘해당 데이터에서 파생된 모든 알고리즘을 파괴’하기로 합의했으며, 150만 달러의 벌금을 지불하기로 했다. 스스로 저버린 지적 재산 지난 2017년 폭스바겐은 미국 배기가스 테스트 결과를 속이는 비즈니스 결정을 내렸다. 그 결과 폭스바겐은 43억 달러의 벌금을 지불하고 수백만 대의 피해자 차량을 재구매하도록 강요받았다. 관련 직원 6명도 기소됐다. 커보와 WW도 비즈니스에 직접적인 영향을 미치는 좋지 않은 결정을 내렸다. 미국 법무부가 직원을 기소할지는 아직 결정되지 않았다.  보안 솔루션 업체 DTEX 시스템(DTEX Systems)의 엔지니어링 및 사이버 인텔리전스 SVP인 라지 쿠는 기업이 자사의 지적 재산권을 파괴하기로 정부와 합의한 사례는 본 적이 없다고 말했다. 쿠는 “이런 합의는 상당한 감사 추적(audit trail) 작업을 수반한다”라고 말했다.  DTEX 시스템의 보안 및 비즈니스 인텔리전스 부문 이사 아르만 마보드는 “세상이 변하면서 이 같은 사례를 더 많이 목격하게 될 것이다. EU 및 미국의 데이터 보호법이 정보에 대한 개별 통제 방향으로 발전하면서 데이터 보유 기간의 투명성...

내부자위협 지적재산 컴플라이언스 2022.04.05

“변화하는 시대, 진화하는 사이버 위협” 한국IDG, 퓨처 오브 시큐리티 2022 성료

한국IDG가 3월 24일 '퓨처 오브 시큐리티 2022(Future of Security 2022)' 컨퍼런스를 온라인으로 개최했다. '디지털 시대, 변화하는 기술 트렌드와 보안 위협'을 주제로 진행한 이번 행사에는 여러 보안 전문가가 참여해 디지털 시대의 핵심 보안 전략과 엔터프라이즈 보안 이슈를 살펴보고 구체적인 실행 방안을 논의했다.    뉴노멀과 디지털 시대가 도래하면서 정보 보안의 중요성이 강조되고 있다. 오프닝 기조연설을 맡은 IDC의 리서치 디렉터 크리스 키셀은 "사이버보안은 이제 회의실, 아이덴티티, 사람의 문제다. 사람들의 디지털 발자국이 확장되면서 사이버 공격은 개인적인 위협으로 다가온다"라고 말했다. 오늘날 기업은 온프레미스, 퍼블릭/프라이빗 클라우드, IoT, VPN, 모바일, OT, 와이파이, 소셜 미디어와 같은 다양한 경계(perimeter) 환경에 대응해야 한다. 새로운 디지털 사용 사례가 생겨날 때마다 새로운 디지털 공격도 생겨나기 마련이다. 키셀은 "한국은 국민과 기업의 약 84%가 인터넷에 연결돼 있으며 1인당 보급률은 전 세계 1위다. 하지만 한국의 IT는 의미 있는 애플리케이션, 프로페셔널 및 매니지드 서비스 요소를 갖추고 있지 않다. '셀프 문화'가 한국 기업의 보안 태세에도 자리 잡은 것"이라고 지적했다.  랜섬웨어 공격 행태도 변화하고 있다. IDC가 격주로 진행하는 미래 기업 탄력성 및 지출 설문조사 결과에 따르면, 과거에는 다른 지역보다 북미 지역의 기업이 랜섬웨어 공격의 표적이 된 경우가 많았다. 그러나 북미 기업이 보안 태세를 강화하면서 공격 표적이 유럽, 중동, 아프리카 및 아태지역으로 이동하고 있다. 키셀은 "아태지역을 중심으로 랜섬웨어 피해를 보고한 응답자의 비율이 2021년 7월 22.5%에서 12월 무려 70.4%로 급증했다"라고 말했다.    백업 데이터를 표적으로 하는 공격도 증가하는 추세다. IDC 조사에 따르면 기업의 90%는 백업/재해 복구...

한국IDG 퓨처오브시큐리티2022 Future Of Security 2022 2022.03.25

IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.