Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

사이버보안

EU, 회원국 간 사이버 보안 전략 통합 위한 지침 발표

유럽연합(EU) 이사회가 사이버 보안과 관련한 지침 'NIS2(Network and Information Systems 2)'을 28일 배포했다. 2016년에 제안된 NIS에서 한 단계 발전한 NIS2는 사이버 공격에 대한 대응 능력과 복원력을 늘리는 방안을 제안한다.    NIS2는 사이버 보안과 관련해서 EU 회원국이 지켜야 할 관리 방식과 보고 의무 사항을 명시하고 있다. EU 이사회는 이런 명문화된 지침으로 EU 회원국 간의 보안 요구 사항 및 실현 방식이 서로 조화를 이룰 수 있을 것이라 기대하고 있다.  EU 이사회는 보도자료를 통해 “NIS2는 에너지, 운송, 의료, 디지털 인프라 분야 등 지침에 언급되는 모든 부문에서 사이버 보안 위험 관리 조치 및 보고 의무에 대한 기준을 제공한다"라고 소개했다. 또한 EU 이사회는 "사이버 보안 관련 의무적 활동 분야와 활동 목록을 업데이트하고 집행을 보장하기 위한 구제책과 제재를 제공한다"라고 덧붙였다.  개정된 지침은 각 회원국이 지켜야 할 최소한의 규칙은 물론 관련 당국 간 협력을 효율적으로 진행할 수 있는 방식을 제안한다. 이번 지침 발표 이후 EU는 대규모 사이버 보안 사고의 관리를 지원하는 ‘유럽 사이버 위기 연락 기구 네트워크(EU-CycCLONe, European Cyber Crises Liaison Organization Network)’를 따로 만들었다.  NIS2에서 눈에 띄는 부분은 ‘기업 규모’를 따로 명시했다는 것이다. 앞으로 중대형 기업은 NIS2 지침에 영향을 받는다. EU 이사회는 “제재의 한계를 정하기 위해 NIS2에서는 높은 수준의 리스크 관리 요소와 기준을 명시했다”라고 설명했다. 또한 이번 지침은 기존 법률이나 정책과 조화를 이룰 수 있도록 조정됐다. 특히 DORA(Digital Operational Resilience Act)이나 CER(Center for European Reform)이라는...

EU 사이버보안 7일 전

KISA, '사이버보안 시장 점유율 2위' 이스라엘과 사이버 보안 산업 협력 방안 논의

한국인터넷진흥원(KISA)은 이스라엘과 사이버보안 분야 산업 교류를 위해 이스라엘 정보기관인 모사드의 타미르 파르도 전(前) 원장, 글로벌 투자회사인 요즈마그룹코리아, 사이버보안 벤처기업 나노록(NANOLOCK)과 함께 협력 방안을 논의했다고 밝혔다.   이스라엘은 미국에 이어 글로벌 사이버보안 시장 점유율 2위를 차지하고 있는 국가로, 사이버보안 산업 진흥을 위한 국가적 관심이 높다. 이에, KISA는 이스라엘 관계자들과 함께 양국 간 사이버보안 협력을 강화하고자 이번 면담을 추진했다. 이를 계기로, KISA는 글로벌 투자회사인 요즈마그룹 코리아와 협력해 국내 정보보호 유망기업 7개 기업의 글로벌 시장 경쟁력에 대한 심사 평가를 받아볼 수 있는 웨비나를 9월 28일에 개최하기도 했다. 이번 웨비나는 우리 정보보호 기업들이 보유한 기술 및 시장가치를 객관적으로 평가받아 글로벌 시장 진출의 경쟁력을 갖추기 위한 초석을 다질 수 있다는 점에서 의의가 있다고 KISA는 설명했다. 또한, KISA는 양국 비즈니스 매칭의 가교 역할로 국내 정보보호 중견기업과 이스라엘 사이버보안 벤처기업인 나노록과 연결해 양국 간 기술 및 투자 파트너십 강화에 지원할 예정이다. KISA 이원태 원장은 “이번 면담을 계기삼아 진행되는 양국 간의 사이버보안 협력 활동에 대한 기대가 크다”며, ”KISA는 앞으로도 글로벌 진출을 희망하는 우리 정보보호 유망기업이 다양한 글로벌 국가와 사이버보안 분야 기술 및 투자 협력을 강화할 수 있도록 가교 역할을 지속적으로 수행하겠다”고 말했다. editor@itworld.co.kr

KISA 이스라엘 사이버보안 2022.09.29

사이버보안 인력을 확보하는 5가지 해법

사이버보안 전문가의 수요가 지난 10년간 급증하고 있다. 사이버보안 교육 및 인증 협회 (ISC)²의 ‘2021년 사이버보안 인력 조사(2021 Cybersecurity Workforce Study)’에 따르면, 전 세계 사이버보안 전문가는 2020년 70만 명에서 2021년 419만 명으로 늘었다. 하지만 사이버보안 인력 부족을 호소하는 기업은 여전히 많다.    IT 컨설팅 업체 부즈 알렌(Booz Allen)에서 사이버 기업을 위한 인재 전략 전문가로 활동 중인 에린 와이스 카야는 “사이버보안 업계는 새로운 위협 행위자, 신기술, 5G의 진화 등 위협의 변화가 거의 매일 일어나는 곳이다. 현재 공급에 비해 수요가 훨씬 많아서 실업률은 여전히 0%다”라고 말했다. 사이버보안 업체 라이파스(LIFARS) CEO이자 디지털 과학수사 및 윤리적 해킹 전문가 온드레이 크레헬은 증가 일로가 예상되는 사이버보안 업계의 규모와 위험을 감안할 때 기업들이 기술 격차를 메우기 위한 정책 실행과 인재 유치에 당장 나서야 한다고 강조했다. 또한 “점점 똑똑하고 빨라지는 해커들의 추세에 맞춰 기업도 강력한 사이버보안팀을 구축하고 인력 부족을 겪지 않도록 해야 한다”라고 덧붙였다. 적임자 구인의 어려움 그러나 적합한 사이버보안 기술을 보유한 인재를 찾아 유치하는 일은 만만하지 않다. 오늘날에는 말단 사이버보안직에 요구되는 IT 기술도 매우 많다. 크레헬은 ‘말단’ 사이버보안직에 타 업계 중견 고위직 수준으로 과도한 보안 자격증을 요구하는 경우가 많으며 “기준이 비현실적으로 높다”라고 지적했다. 또한 카야는 민첩성, 유연성과 같은 일반적인 기술은 측정하기도, 채용 기준으로 삼기도 어렵지만 IT 기술 못지않게 절실히 필요하다면서 “필요한 기술은 기술적 도구가 아니라 도구를 배포하고 데이터를 실제로 해석하는 능력이다”라고 설명했다. 이런 기술 보유자를 찾으려면 채용 전략을 개선해야 한다. 카야는 “업계가 사이버 분야에 대한 비선형적인 진입점을 아직...

인재개발 인재유치 사이버보안 2022.09.27

여성 전문가 모임 ‘포르테 그룹’ 출범⋯"전 세계 보안 종사자 누구나 가입"

전 세계 여성 사이버보안 종사자를 위한 비영리 단체 ‘포르테 그룹(Forte Group)’이 출범했다. 이 단체를 이루는 90명 이상의 여성 사이버보안 종사자는 여성 사이버 보안 전문가를 육성하고 권리를 보장하는 것이 목표라고 밝혔다. 본부는 캘리포니아에 있지만, 전 세계 여성 사이버보안 종사자 누구나 가입할 수 있다.   사실 이 단체는 팬데믹 초기에 비공식적으로 결성됐다. 그때부터 구성원은 매달 만나 서로의 경험을 공유하며 변화를 만드는 방법에 대해 논의했다. 포르테 그룹의 부회장이자 퍼블릭 분산 원장 플랫폼 기업 헤데라 해시그래프(Hedera Hashgraph)에서 커뮤니케이션 부서를 이끄는 제노비아 갓샤크는 “소통을 할수록 더 많은 여성 사이버보안 종사자가 뭉치면 더 큰 변화를 만들 수 있으리라는 느낌이 들었다. 이제 공식 단체가 설립된 덕에 본격적인 활동에 필요한 자금을 모을 수 있게 됐다. 이전부터 몇몇 기업과 조직이 단체의 미션을 후원하고 싶다는 의사를 밝혀왔으므로 정식으로 힘을 모을 방법을 마련했다”라고 말했다.   여성 사이버보안 종사자 지원 활동 이 그룹은 커뮤니케이션 기법, 연봉 및 성과금 협상, 엔젤 투자, 랜섬웨어 모범 사례와 같은 주제에 대한 전문가로 이루어져 있다. 사이버보안 업계의 성별 불균형 문제를 공론화하고, 고위직 전문가를 설득해 잘못된 관행을 바꿔 나가는 것이 목표다. 실제로 사이버보안 업계의 성별 불균형 문제는 사이버보안 업계의 다양성에 대해 논의의 단골 주제다. 다양성 컨퍼런스에 오직 남성 종사자만 참여하게 되는 경우가 드물지 않다. 단체는 이런 컨퍼런스를 위한 행위 강령을 수립해 주최 측에 권고하는 식으로 변화를 만들 수 있다고 설명했다.   그룹의 회장이자 글로벌 채용 플랫폼 기업 트루서치(True Search)에서 플랫폼 및 커뮤니티 팀을 이끄는 디디 데이튼은 “포르테의 구성원들은 각자가 직장에서 겪는 어려움에 대해 얘기한다. 특히 CISO는 그 직위만큼 힘들어하는 경우...

사이버보안 다양성 사이버보안다양성 2022.09.02

캐리어가 ‘적절한 제품에 적절한 보안’을 제공하는 방법

존 데스큐라키스는 2020년 4월 캐리어 글로벌(Carrier Global Corp.)에 최고 제품 보안 책임자로 들어오면서 새로운 기회를 잡았다. 유나이티드 테크놀로지(United Technologies)는 캐리어를 분사할 때 기존의 제품 보안 기능을 가져갔는데, 그 덕에 완전히 새로운 프로그램, 각 캐리어 제품군의 고유한 보안 요구사항을 충족할 수 있는 프로그램 구축 기회를 얻은 것이다.   데스큐라키스는 “유나이티드 테크놀로지의 방식은 항공우주에 초점을 두기 때문에 그 방식을 답습하고 싶지 않았다. 캐리어의 제품과 고객, 고객의 요구사항도 항공우주 분야와는 다르므로 우리만의 영역에 집중하고자 했다. 그래서 최종 사용자를 위한 최선의 결과가 무엇인지 생각하며 캐리어 고객의 다양한 요구에 적합한 기능을 다시 구축하기로 결정했다”라고 말했다. 다음 단계는 다양한 보안 위험이 있는 광범위한 영역의 제품을 만드는 캐리어에서 이런 목표를 달성할 최선의 방법을 알아내는 것이었다. 그것이 데스큐라키스가 해결해야 할 문제였다. 다양한 위험, 광범위한 제품군 HVAC 분야의 대표적인 브랜드인 캐리어는 80가지 이상의 브랜드 비즈니스를 보유하고 있으며, 수천 가지의 부품과 제품, 복잡한 시스템을 제조한다. 캐리어의 제품은 산업용 제어 시스템, 건물 관리 시스템, 자동화 시스템, 연기 탐지 및 상업용 냉동시설 등으로, 일부는 국가 핵심 인프라로 분류된다. 운영 기술과 펌웨어, 소프트웨어도 만든다. 다른 제조업체와 마찬가지로 캐리어 역시 기계제품에 디지털 기술을 접목하면서 인터넷과 연결하는 ‘스마트’한 제품을 만들어왔고, 그에 따라 제품이 잠재적인 사이버 공격에도 노출됐다. 데스큐라키스는 “디지털로 연결된 모든 것은 공격을 당하거나 침해를 당할 수 있다. 첨단 설계를 구상할 때는 보호 방법도 고민해야 한다. 생각에 그치지 말고 실행해야 한다”라고 말했다.     데스큐라키스와 GPC(Global Product Cyberse...

인터뷰 캐리어 사이버보안 2022.08.31

글로벌 칼럼 | 보안 비상사태가 끊임없이 발생하는 이유

사이버보안 업계 애널리스트로서 필자는 여러 보안 전문가를 대상으로 정량적인 조사를 진행한다. 보안 전문가들에게 자신이 직면한 가장 큰 과제가 무엇인지 자주 묻곤 하는데, 이때 돌아오는 답변은 다양하다. 폭풍처럼 울리는 경고에 대처, 위협 지형 해결, 다양한 포인트 툴 관리, 수동 프로세스 확장, 인력 부족 등이다.   이와 함께 조사 때마다 매번 언급되는 한 가지 문제가 있다. 가장 높은 비율을 차지할 때도 있는 문제다. 사이버보안 팀이 우선순위가 높거나 긴급한 문제를 해결하는 데 대부분 시간을 보내느라 전략과 프로세스를 개선하지 못한다는 것이다. 이 문제는 필자가 무감각해질 정도로 자주 언급된다. 그러나 ESG(Enterprise Strategy Group)의 최근 조사 결과를 검토하며 데이터 포인트가 주는 다음과 같은 시사점을 고려했을 때, 필자는 엄청난 충격을 받았다.   미국 드라마 미스터 로봇(Mr. Robot)의 주인공 엘리엇 앨더슨처럼 보안 전문가는 사이버 공격자와 공격 행위가 야기할 손해에서 세상을 구하고 싶어 한다. 이런 목표를 추구하는 과정에서 보안 전문가의 일상은 비상 대응 조치로 혼란스러워질 때가 많다. 우선 모든 보안 전문가는 이런 마음 가짐만으로도 사람들의 존경과 감사를 받아야 마땅하다.  지름길 : 용감한 마음가짐에도 불구하고, 비상사태 진압에는 상당한 역효과가 따른다. 반응하고, 할 수 있는 일을 하고, 다음 위험 지점으로 이동하는 것이다. 때로는 생각할 시간도 없이 이런 일을 해야 한다. 지속적인 비상사태에 직면할 때는 보안운영팀이 어느 정도 타협하고 있다고 생각해야 한다. 대처해야 할 또 다른 비상사태가 발생한 경우에는 특히 그렇다. 비상사태 대응 시에는 유효성이 입증된 프로세스보다는 개인 혹은 조직 내 지식(tribal knowledge)을 따르는 경향이 있다. 아이러니하게도 지름길을 택하는 것은 비상 상황에 복잡성과 불확실성, 해결 시간을 더한다. 번아웃 : 자원이 부족...

사이버보안 비상사태 보안비상 2022.07.22

“파편화된 툴∙프로세스 관리가 필요” 의료 장비 업체가 직면한 사이버 보안 과제

4월 20일 발표된 소프트웨어 위험 평가 업체 사이벨리움(Cybellum)의 전 세계 설문조사 결과에 따르면, 의료 장비 업체가 직면한 주요 사이버 보안 과제는 갈수록 증가하는 툴과 기술을 관리하는 것이다.   이번 조사는 독립 설문조사 기업 글로벌 서베이즈(Global Surveyz)가 북미와 유럽, 아시아의 고위 의사결정자 150명을 대상으로 실시한 것으로, 장비 보안이 아직 초기 단계에 있지만 파편화된 툴에 의해 관리되고 있다는 것을 보여준다. 보고서에서 사일로화되고 파편화된 프로세스와 툴은 효율성 및 효과성 측면에서 매우 나쁘며, 장비 보안이 기업에 미치는 비즈니스 영향을 평가하는 기능을 제한하는 것으로 나타났다. 이번 조사에 따르면, 장비 업체의 중요한 과제는 제품 보안을 지속적으로 관리하는 것이다. 조사 응답자 중 43%가 꾸준한 보안 관리를 보안팀이 직면한 2번째 과제로 꼽았다. 이에 37%가 개발 라이프사이클에서 초기 단계에 우선순위를 두고 있다고 밝혔다. 사이벨리움의 CMO 데이비드 라이크너는 CSO와의 인터뷰를 통해 “개발 프로세스에서 초기 단계에 중점을 둘 경우, 취약점을 조기에 발견할수록 비용도 적게 든다. 모니터링은 연속적으로 실시돼야 하며, 설계뿐만 아니라 개발자가 컴포넌트와 소프트웨어를 통합하는 단계에서도 장비를 점검해 사이버 위협이 발생하지 않도록 해야 한다. 또한, 시장에 출시될 때에도 장비를 다시 한번 확인해야 한다”라고 말했다. 라이크너는 복잡한 보안 문제를 관리하는 것은 사이버 보안 인식이 없으면 쉽지 않다며, "이들 장비도 PC처럼 해킹될 수 있다. 장비 업체가 이런 사실을 인지하기 전까지 의료 장비 업계의 실질적인 보안 문제는 해결되지 않을 것이다”라고 덧붙였다. 보고서는 응답자의 사이버 보안에 대한 관점이 양면성을 띤다는 점에 주목했다. 응답자의 83%는 장비 보안이 시장에서 경쟁력을 확보할 수 있는 요소라고 밝혔다. 반면, 80%는 규제 당국이 부과하는 필요악이라고 답했다. 라이크너는 "이처럼 응답...

사이버보안 의료장비 사이벨리움 2022.04.25

디지털 ID 폭증이 기업 사이버 보안 위협 : 사이버아크 보고서

사이버아크(CyberArk)의 2022 ID 보안 위협 환경 보고서(2022 Identity Security Threat Landscape Report)에 따르면, 전 세계 기업의 디지털 이니셔티브로 인해 랜섬웨어와 공급망 위협에 노출된 디지털 ID가 폭증했다.   이번 보고서에서 연구에 참여한 IT 보안 의사결정자 1,750명 중 79%가 보안이 다른 IT 및 디지털 이니셔티브보다 뒷전이라는 사실을 인정한 것으로 나타났다. 특히 원격 및 하이브리드 업무 도입, 고객을 위한 새로운 디지털 서비스 등장, 원격 솔루션 공급업체의 아웃소싱 증가와 같은 디지털 이니셔티브의 여파로 각 기업에서 수십만 개 새로운 디지털 ID가 생성됐다. 이에 따라 사이버 보안 위협에 노출된 디지털 ID도 증가했다. 사이버아크의 기술 책임자 데이비드 히긴스는 "데이터 유출, 랜섬웨어, 서비스 중단 등 대부분 공격에서 나타난 공통점은 ID가 손상됐다는 것이다. 이것은 공격자의 흔한 목표 중 하나이기도 하다. 공격자가 ID의 리소스 인증 방식을 손상시키는 것은 횡방향 움직임에 해당된다. 더 많은 ID가 존재할수록 공격 범위는 더 커진다”라고 강조했다. 보고서에 따르면, 현재 기업의 디지털 ID는 셀 수 없이 많으며, 기업이 새로운 디지털 이니셔티브를 발표할 때마다 그 수치는 계속 증가할 것이라고 주장했다. 히긴스는 "사용자 1명이 보유한 ID는 평균 30개 혹은 그 이상이다. 만약 해당 사용자가 세상을 떠나면 훌륭한 라이프사이클 관리 프로그램이 있지 않는 한, 주인 없이 버려진 이들 ID는 모두 사이버 보안 위협에 고스란히 노출된다”라고 말했다. 또한, 인간 ID의 45배에 달하는 머신 ID의 경우 상황이 더욱 심각하다. 히긴스는 "머신 ID의 수는 오늘날 기업의 운영 방식을 반영한다. 자동화는 기업이 중점을 두고 있는 영역으로, 자동화가 혼합될수록 더 많은 머신 ID가 필요하다”라고 설명했다. 히긴스는 머신 ID는 모니터링이 더 어렵기 때문에 인간 ID보다 기업에 더 큰...

디지털ID 사이버아크 사이버보안 2022.04.15

사이버보안 위생 및 태세 관리를 개선하는 5가지 방법

피터 드러커는 “측정할 수 없는 것은 관리도 할 수 없다”라는 유명한 말을 남겼다. 사이버보안 위생 및 태세 관리 측면에서 드러커의 말은 분명한 사실이다. 기업은 내외부 공격 표면에 노출되는 자산을 파악하고, 해당 자산의 상태를 이해하고, 노출을 식별하고, 위험에 근거해 수정 조치의 우선순위를 설정하고, 지속적인 위험 완화를 위해 IT 운영팀과 협력해야 한다.   하지만 공격 표면이 하루가 다르게 커지고 복잡해지고, 프로세스 자동화와 함께 데이터 수집/처리/분석에 대한 새로운 요구사항이 생겨나면서 보안 위생 및 태세 관리도 쉽지 않은 상황이다. 기업의 보안 위생 및 태세 관리는 충분히 빠른 속도로 이뤄지지 않거나 혹은 전혀 수행되지 않는다. 여전히 많은 보안 전문가가 데이터를 정적 스프레드시트로 집계하고, 수동 프로세스에 의존하고, IT 운영팀 동료와 아무런 계획 없이 협력하는 등의 방식으로 보안 위생 및 태세 관리에 접근한다. 방어 담당자가 보안 위생 및 태세 관리 요구사항을 충족하느라 분주히 움직이는 동안 사이버 공격자는 자동화된 툴과 분업으로 공격 캠페인의 여러 측면을 전문가에게 일임한다. 걱정스러운 상황이지만, 많은 보안 전문가가 오늘날 보안 위생 및 태세 관리 불일치의 심각성을 인지하고 있다는 점은 다행스럽다. ESG(Enterprise Strategy Group) 조사 결과, 기업의 80%는 보안 위생 및 태세 관리와 관련한 2022년 예산을 늘렸다. 해당 조사는 로그4j(Log4j) 취약점과 러시아의 우크라이나 침공 전에 진행됐다는 점에 주목할 필요가 있다. 따라서 현재는 기업이 보안 위생 및 태세 관리에 투입하는 비용이 더 증가한 것으로 예상된다. 많은 정보보안 전문가가 데이터 보안 툴과 사이버 위험 수량화, 클라우드 보안 태세 관리(Cloud Security Posture Management, CSPM), 보안 자산 관리, 외부 공격 표면 관리(Attack Surface Management, ASM) 등에 투자할 예정이...

사이버보안 보안위생 2022.04.12

글로벌 칼럼 | ‘3월의 광란’과 ‘538 예측 사이트’가 사이버보안 위험에 주는 메시지

필자는 1년 중 3월을 가장 좋아한다. '3월의 광란'이 진행중이고, 필자가 다녔던 노틀담 대학교가 여전히 전미 대학농구선수권 토너먼트에 있는 현 상황(이 기사를 쓰고 있을 당시까지는)을 좋아한다. 더 중요한 것이 있다. 필자가 더 좋아하는 것은 매일 경기 후, 심지어 경기가 40분(미국 농구 경기는 총 48분)이 지날 때까지도 변하는 승률을 보여주는 538의 '3월의 광란' 예측 사이트를 모니터링하는 것이다.      필자는 보안 영역에서 이런 예측 방법이 일반적인 방식보다 사이버보안 위험을 더 잘 나타내기 때문에 좋아한다. 538 사이트에서는 경기 중 변수와 변수 외부의 컨텍스트(다른 게임)에 따라 성공(경기 승리, 다음 라운드로 이동) 및 실패(패배)의 기회가 어떻게 변하는 지 실시간으로 볼 수 있다.  또한 우승 확률이 변화하는 것을 보면서 기업의 컴퓨팅 환경(세션, 메시지, 트랜잭션, 플로우 등)의 실시간 활동과 사이버보안 관련 위험 또한 유사하게 변화한다는 것을 알아차릴 수 있었다.  사이버보안 위험, 실시간으로 변한다  필자는 이 비유에 대해 너무 깊게 설명하고 싶진 않다. 왜냐하면 어느 순간이 오면 이 비유는 무너지기 때문이다. 3월의 광란에 대한 데이터 분석처럼 사이버 위험 정량화가 사이버보안에 도움이 된다는 정도로만 이해하자.     여기서 중요한 것은 사이버보안 위험이 실시간으로 변화하고 있다는 것이다. 새로운 취약점과 공격을 발견할 때뿐만 아니라 사용자를 추가하거나 삭제하고, 시스템을 구현하거나 폐기하고, 간단하게는 기존 시스템을 사용할 때에도 마찬가지다.  IT 환경이 기업에 더 많은 가치를 가져다줄수록 위협으로 인해 더 많은 것을 잃을 수 있다는 점을 인지하기 어려울 수 있다. IT 가치를 점점 더 많이 끌어내어 번영하는 기업에서 위험 또한 더 커진다는 사실을 경영진에게 알리고 싶은 사람이 있을까? 그런데, 그것이 좋은 일일까?  ...

사이버보안 예측 정량화 2022.03.29

사이버보안 업체가 M&A 될 때 고객사가 해야 할 6가지 질문

2021년 사이버보안 업계에서 투자와 인수합병(M&A) 활동이 급증하고 있다. 주로 규모가 큰 종합 기술 기업이나 사이버보안 시장의 성장에서 수익을 노리는 사모펀드가 특정 분야에 전문화된 보안 기업을 인수한다. 이런 추세에 따라 인수합병 시 해당 솔루션을 이용하는 기업이 직면할 수 있는 과제에 대한 관심도 증폭되고 있다.    S&P 글로벌 마켓 인텔리전스(S&P Global Market Intelligence)의 2021년 11월 집계 데이터에 따르면, 2021년 1~3분기 동안에만 151건의 사이버보안 M&A가 성사됐다. 2020년 동기의 경우 94건, 2019년 88건, 2018년 80건이었다. 많은 기업이 사모펀드로부터 막대한 VC((Venture Capital) 투자를 받았고 아예 사모펀드가 직접 인수한 경우도 있다. VC 투자 기업들은 작년에만 사이버보안 시장에 220억 달러를 투자하면서 연간 최고 기록을 세웠다. 이런 추세에 따라 기업은 지금까지 투자한 보안 기술과 서비스가 갑자기 다른 플랫폼으로 통합되거나 우선순위에서 밀려나고, 시장에서 아예 사라지는 상황에 직면할 수 있다. 따라서 보안 책임자는 이용 중인 솔루션이 다른 기업에 인수될 때 어떤 일이 일어날지, 그리고 무엇을 물어야 하는지를 알고 있어야 한다. 포레스터 리서치 애널리스트 제프 폴라드는 “인수 기업이 피인수 기업의 기술이나 서비스를 대폭 축소하거나 인원을 줄일 계획을 가진 경우라면, 인수 또는 피인수 기업에서 직접 명확한 답을 얻을 가능성은 희박하다고 말했다. 설사 그렇다 해도 기업은 최대한 많은 정보를 얻기 위해 노력하는 것이 좋다”라고 말했다.  기업은 벤더가 다른 기업에 흡수될 경우 미치게 될 여파를 가능한 모든 범위에서 파악해야 한다. 인수 기업이 피인수 벤더의 기술을 자사 플랫폼에 통합할 것이라고 말한다면 사용자 인터페이스에 통합되는지, 더 큰 플랫폼의 일부가 되는지 등 그 말의 구체적인 의미를 물어야 한다는 ...

인수합병 CISO 조언 2022.03.25

블로그 | ‘백신 효능 연구처럼’ 경험적 데이터를 활용한 사이버 보안 측정의 중요성

코로나19 백신의 등장을 기다리던 2020년 가을을 회상해보자. 당시 몇 가지 백신 후보가 있었으며, 이들의 효능 연구가 진행 중이었다. 2020년 12월 초 백신 효능이 95%라는 사실이 알려지자 많은 국가가 환호했다. 물론 독감 백신의 효능이 일반적으로 약 60%라는 것을 알아야 코로나19 백신에 감탄할 수 있었을 것이다. 백신 효능을 테스트하는 무작위 대조 실험을 하지 않고, 화이자와 모더나가 백신은 무조건 효과가 있다고 단언했다면 기분이 어땠을까? 이들 업체가 백신을 만든 과학자의 강력한 권한과 적절히 관리된 연구실 환경, 완벽한 절차 준수, 순차적인 모든 서류 작업을 근거로 들어 이런 주장을 했다고 가정해보자. 필자는 아마도 큰 충격에 빠지고 화가 치밀었을 것이다. 사이버 보안에서도 사용자는 유사한 패턴을 따른다. 여기서 컴플라이언스 감사는 과감히 배제했다.   사이버 보안 효과성 측정 사이버 보안의 세계를 떠올려보자. 여기서는 보안 업체가 실제로 프로그램의 효과를 측정한다. 보안 업체는 PC 성능과 확장성을 사용해 다른 분야에서 최소 요건으로 취급되는 동일한 유형의 테스트를 수행한다. 또한, 제어 환경을 관리하고 결과를 평가해 프로그램의 강도를 결정한다. 이런 패턴에 대한 반응은 대부분 ‘비난’이나 ‘경멸’이다. PC 환경은 말도 안 되게 복잡해 이런 접근은 마치 인간 게놈의 염기쌍 30억 개를 서열화하는 것과 다를 바가 없기 때문에 불가능하다는 이유에서이다. 다만, 염기서열을 세포 분열과 뉴런 발사, 화학 작용으로 가득한 인류 70억 명의 참조 모델로 삼는 것은 간단하다. 하지만 실제로 컴퓨팅 환경을 측정하는 것은 매우 쉽다. 사이버 보안에서 얻을 수 있는 인공지능(AI)의 이점은 여전히 불분명하지만, AI를 활용하면 빠르게 측정할 수 있다. AI가 분석 중인 데이터를 수집해 사용하면 PC는 이런 목표에 쉽게 사용될 관련 작업의 인스턴스와 요소를 더 간단하게 셀 수 있다.     사이버 보안 ...

사이버보안 효과 측정 2022.03.23

2022년 주목해야 할 보안 스타트업

사이버 보안 스타트업이 해결하고자 하는 문제는 주류보다 앞서 있을 때가 많다. 빈틈을 메우고 새로 등장한 문제에 대응하기 위해 기성 업체보다 더 빨리 움직일 수 있으며, 설치 기반이 없기 때문에 아무런 제약없이 혁신에 나설 수 있다. 물론 단점은 스타트업이기 때문에 자원도 부족하고 성숙도 역시 떨어진다. 스타트업의 제품이나 플랫폼을 시도하는 것은 기업에 상당한 위험이 되며, 그렇기 때문에 다른 수준의 고객/업체 관계가 필요하다. 하지만 성공 보상은 크다. 기업은 경쟁 우위를 차지하거나 보안 자원에 대한 부담을 덜 수 있다.   여기서 소개하는 업체는 가장 흥미로운 보안 스타트업 중 대표주자로, 지난 2년 이내에 설립했거나 스텔스 모드에서 벗어난 곳이다.   그립 시큐리티(Grip Security) 기업의 SaaS 활용이 증가하면서 보안팀은 SaaS 관련 위험을 감시하고 방어하는 것이 어렵다는 것을 알게 됐다. 그립 시큐리티의 솔루션은 기업이 사용하는 모든 SaaS 플랫폼에 걸쳐 높은 가시성을 제공할 것을 약속한다. 그립 시큐리티에 따르면, 이를 통해 보안 정책을 강화하고 보안 허점을 더 잘 파악할 수 있다. 그립 플랫폼은 스탠드얼론 방식이나 CASB(Cloud Access Security Broker)를 통해 이용할 수 있다.   주피터원(JupiterOne) 주피터원 사이버 자산 공격 표면 관리 플랫폼은 클라우드 네이티브 솔루션으로, 취약점 관리, 컴플라이언슨, IDAM 등의 다양한 보안 프로세스를 좀 더 맥락 중심으로 만들어준다. 주피터원은 또한 자사 플랫폼이 기존 보안 환경 내에서 동작할 수 있는 통합 역량이 뛰어나 기업이 보안 규제를 더 잘 준수할 수 있다고 주장한다.   라이트스핀(Lightspin) 라이트스핀은 클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP)를 제공하는데, 클라우드 스택 내에서 공격 경로를 파악하고 우선순위를 정하고 문제를 바로잡는다. AWS부터 애저, GCP 등 어떤 클라우드 호스팅 ...

사이버보안 스타트업 클라우드네이티브 2022.02.07

2022년 주요 사이버 보안 전망 8가지

글로벌 경제가 팬데믹 혼란에서 벗어날 방법을 모색하고 있는 가운데, 뉴 노멀을 둘러싼 불확실성 역시 커지고 있다. 기업은 디지털 트랜스포메이션을 가속화하기 위한 노력을 내세우지만, 보안 담당자는 빠른 신기술 보급의 이면에도 주목할 필요가 있다.   원격 작업과 가상 회의, 하이브리드 클라우드 네트워크, SaaS 도입은 모두 새로운 위협 경로를 유발하는 복잡한 IT 인프라가 등장하는 계기가 됐다. 또한, CSO는 기업이 새 규정을 준수하도록 신경을 써야 한다. 최근 발생한 무차별 공격과 네트워크 취약점, 새로운 컴플라이언스 제도는 2022년 CSO가 해야 할 일이 많다는 것을 의미한다. CSO는 애널리스트 업체와 업계 전문가로부터 자문을 구해 올해 주요 사이버 보안 예측 목록을 만들었다.   1. 기업에서 공급망 탄력성과 책임감 있는 조달의 중요성 부각 공격자가 소규모 업체와 공급업체를 표적으로 삼는 사례가 증가하고 있어 공급망이나 서드파티 업체의 침해는 사실상 불가피하다. 서드파티 업체를 노린 공격으로 인해 기업이 타격을 입고 있다는 보도도 증가하고 있다. 가트너는 전망 보고서를 통해 “기업의 60%가 서드파티 업체와의 거래 및 비즈니스 활동에서 사이버 보안 위협을 주요 결정 요인으로 활용할 것이다”라고 밝혔다. 또한, 기업이 새 공급업체를 편입하거나 계약을 갱신하기 전에 업체가 서드파티 공격의 위험을 전제하고 공격에 따른 교정 비용을 부담할 것을 명시하는 정책에 동의하도록 요구할 것으로 전망했다.   2. 전 세계적으로 프라이버시 보호 입법 가속화 가트너 전망 보고서에 따르면, 데이터 상주(data residency)가 계속 보안의 가장 중요한 구성요소가 되고 있는 가운데, 전 세계 인구 75%의 개인정보에 프라이버시 보호 법이 적용될 것으로 예상된다. 또, GDPR, LGPD(브라질 일반 개인 데이터 보호법), CCPA(캘리포니아 소비자 프라이버시 보호법)와 같은 법의 범위는 매우 포괄적이기 때문에 기업 컴플라이언스...

사이버보안 2022년 전망 2022.01.10

커리어 로드맵 | '어디에나 꼭 필요한 보안 시스템 설계자' 보안 엔지니어

사이버 보안과 관련된 기술과 직책은 사실 종류를 막론하고 수요가 높다. 조직은 나날이 새롭게 등장하는 위협과 취약성에 대처하고 데이터 리소스 보호를 위해 최신 도구와 서비스를 구축하기 위해 안간힘을 쓰고 있지만, 전문 지식이 부족한 경우가 많다. 팬데믹으로 재택 근무 모델이 널리 보급됐지만, IT 및 비즈니스 임원은 더더욱 보안을 우려하게 되었다. 원격지에서 회사 네트워크와 데이터에 액세스하는 인력이 급격히 늘어났는데 대다수가 안전을 담보할 수 없는 기기와 네트워크를 사용하기 때문이다. 보안 엔지니어는 사이버 보안 부서의 핵심 직책이다. 보안 엔지니어는 본사와 떨어진 곳에 있는 것까지 포함해, IT 환경 내 모든 자산을 보호하는 시스템과 인프라를 설계한다.   또, 네트워크를 분석해 안전한 작동을 확인하고, 향후 발생 가능한 보안 위험을 예측할 수도 있다. 보안 소프트웨어를 테스트하고, 침입 등 기타 의심스러운 활동에 대해 네트워크와 시스템을 모니터링하는 역할도 담당한다. 보안 엔지니어는 위협 가능성을 빠르게 식별하고, 멀웨어 및 분산 서비스 거부(DDoS) 공격 같은 위협에 가장 잘 대비할 수 있는 방법을 알아야 한다. 보안 엔지니어의 책임으로는 조직을 위한 보안 표준 및 관행 수립지원, 관리 보안 개선 권고, 방화벽/침입 방지/데이터 암호화와 같은 툴 테스트, 배포 및 유지 관리, 취약성 발견을 위한 네트워크 검색 및 침투 테스트 수행, 침해 또는 침입에 대한 네트워크 모니터링, 침입 발생 방식에 대한 사고 대응 활동 및 조사 주도, 사이버 보안 전략 기획 지원 등이 있다. 보안 특화 교육 및 훈련 프로그램 제공 업체인 인포섹(Infosec)은 사이버 보안 엔지니어라는 역할이 정보 보안 분야에서 가장 각광받는 경력이라고 강조한다.  인포섹은 “사이버 보안 엔지니어 직위에 있는 정보 보안 전문가는 광범위한 정보 보안 기술을 사용하고, 조직이 해커로부터 정보 환경을 안전하게 보호할 수 있도록 도우며, 업무 기술을 더욱 ...

사이버보안 엔지니어 보안엔지니어 2021.12.27

미리 알아보는 2022년 사이버보안 지출 동향

2022년 기업의 사이버보안 지출은 2021년과 비슷한 수준을 유지할 것으로 예상된다. CISO의 2022년 예산은 대부분 2021년보다 늘거나 비슷했으며, 예산이 줄어든 경우는 극히 일부인 것으로 조사됐다.   CSO의 ‘2021년 보안 우선순위 조사’에 따르면, 보안 책임자 가운데 44%가 향후 12개월간 예산 증가를 예상하는 것으로 나타났다. 54%는 예산이 2021년과 같을 것으로 예측했다. 이는 지난 2021년 예산 증가 및 유지를 경험한 비율보다 높았다. 반면 예산 감소를 예상한 비율은 2%로, 2021년 예산 감소를 경험한 6%와 비교하면 소폭 감소했다. 다른 조사 결과도 비슷했다. PwC ‘2022년 글로벌 디지털 트러스트 인사이트’ 보고서에 따르면, 응답 기업 가운데 69%는 사이버보안 관련 지출이 증가할 것으로 전망했다. 26%는 관련 지출이 10% 이상 급증할 것으로 내다봤다. 가트너는 2022년 정보 보안 및 위험 관리 지출 총액이 2020년 1,370억 달러, 2021년 1,550달러에서 증가한 1,720억 달러로 추산했다. 안정적인 예산에도 불구하고 CISO의 지출은 더욱 신중해질 전망이다. 수많은 기업 책임자와 보안 경영진이 보안에 대한 투자가 그만큼의 가치를 제공하는지, 운영을 성숙하게 만드는지, 궁극적으로 기업의 보안 태세를 개선하는지를 계속 증명해야 한다고 입을 모았다. PwC 사이버 및 개인정보보호 혁신 연구소장 조 노세라는 “기업은 사이버 위험이 매일 늘어난다는 사실을 인지하기 때문에 사이버보안에도 계속 투자한다. 기업 경영진은 해킹으로 신문 1면을 장식하는 사태를 방지하기 위해 얼마든지 자금을 지출할 의향이 있지만, 필요 이상으로는 돈을 쓰려고 하지 않는다. 경영진은 항상 적절한 곳에 투자하기를 원한다”라고 말했다. 꼭 필요한 곳에 투자하기 위해서 CISO는 적정 보호 수준을 인지해야 하며, CEO와 협력해야 한다. 노세라는 “사이버보안 투자는 단순히 최신 제품을 갖추는 것을 의미하지 않는다. 최근에는 ...

동향 사이버보안 전망 2021.12.22

지표로 보는 국가별 사이버 보안 현주소 “투입 자원이 보안 결정한다”

사이버 범죄 위험이 확산하는 속도는 국가마다 다르다. 사기 탐지 소프트웨어 업체 세온(SEON)에 따르면, 일부 국가에는 강력한 사이버 범죄 처벌법이나 폭넓은 사이버 보안 프로그램이 마련되어 있지 않아 다른 국가보다 국민이 사이버 위험에 노출되는 정도가 훨씬 심했다.   세온은 다양한 사이버 보안 지수와 지표의 데이터를 결합해 사이버 범죄 위험이 가장 낮은 국가와 가장 높은 국가의 순위를 산출했다. 세온에 따르면, 가장 강력한 사이버 보안 정책과 프로그램을 마련한 국가는 덴마크다. 독일과 미국이 그 뒤를 이었다.  사이버 보안 순위의 결정 방법 세온은 글로벌 사이버 안전 지수(Global Cyber-Safety Index) 산출을 위해 사이버 보안 조치의 강도를 바탕으로 모든 국가의 순위를 매긴 ‘국가 사이버 보안 지수(National Cybersecurity Index)’와 사이버 보안 관행을 기준으로 국가별 순위를 매긴 ‘글로벌 사이버 보안 지수 2020(Global Cybersecurity Index 2020)’에서 데이터를 수집했다.  또한 세온은 자금세탁과 테러 자금 조달의 위험성을 기준으로 국가 순위를 책정한 ‘바젤 AML 지수 제9판(The Basel AML Index : 9th Edition)’을 사용했다. 자금세탁은 흔히 디지털 방식으로 이뤄지기 때문에 각 나라의 인터넷 정책과 안전성을 보여주는 좋은 지표다. 이와 함께 세온은 각국의 인터넷 사용자가 위험에 처한 정도를 측정하는 ‘사이버 보안 노출 지수(Cybersecurity Exposure Index) 2020’도 전체 순위 산출에 활용했다. 다양한 지수 외에도 세온은 각국의 사이버 범죄에 대한 법률도 참고했다. 보고서 저자 게르고 바가에 따르면, 세온은 각 법안에 1점씩, 법안 초안에는 0.5점씩 부여하고 법률 적용 범위도 점수에 포함하기 위해 법률 적용 범주마다 추가 점수를 부여했다. 글로벌 사이버 안전 지수는 앞선 4개 지표와 사이버 범죄 관련 법률 ...

보안 사이버보안 보고서 2021.11.16

IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.