Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

컴플라이언스

‘보안과 컴플라이언스’ 두 마리 토끼를 다 잡는 5가지 방법

데이터 관련 법안이 전 세계적으로 늘어나면서 기업 내 보안 담당자가 신경 써야 할 컴플라이언스도 점점 많아지고 있다. 위험성을 줄이기 위해서는 해당 요구사항을 꼼꼼히 살펴봐야 하는 상황인데, 사실 보안성을 높이며 컴플라이언스까지 잘 준수하는 건 굉장히 어렵다. 다음 전문가들의 조언을 잘 활용하면 이런 문제를 보다 쉽게 해결할 수 있다.      1. 데이터 보호에 집중할 것 컴플라이언스는 데이터 보호가 목적인 반면, 사이버 보안은 해커의 침입 방지에 더 집중한다. 데이터 보호 관점에서 볼 때 핵심적인 보안 조치는 불필요한 규제 데이터의 처리나 저장을 피하는 것이다. 인프라 구축 전문 업체 인텔리시스(Intelisys)의 공공 사이버보안 전문가 제임스 모리슨은 “규제를 받는 데이터를 저장할 경우 반드시 권장 수준을 넘는 강력한 암호화를 사용해야 한다”라고 강조했다. FBI 소속 컴퓨터 과학자였던 모리슨은 “현직에 있을 당시 소규모 의료 업체가 환자 정보를 평문(암호화되지 않고 전송 또는 저장된 데이터)으로 보내는 것을 많이 봤다. 규정을 준수하는 정책을 만들려면 규제를 받는 데이터가 처음부터 끝까지 어떻게 처리되는지 질문해야 한다. 데이터가 어디에 존재하고 어디에 저장되며 어떻게 얼마나 오랫동안 저장되는지 유념해야 한다. 컴플라이언스와 보안 관련 기업의 정책은 이런 질문에서 시작한다”라고 설명했다.   2. 보안 감사팀과 친해질 것 보안팀이 감사팀의 관점을 배우는 것도 중요하지만 동시에 감사팀에 사이버 보안의 기초를 알려주는 것도 중요하다. 모리슨은 CISO로 근무했던 예전 회사에서 감사팀과 매주 회의를 했다. 컴플라이언스와 보안 주제를 함께 이야기하는 ‘양방향’ 대화를 유지하기 위해서였다. 그런 과정 이후 ISO 27001 정보보안 관리 업데이트를 수행할 때가 오자 감사팀은 보안팀에게 무엇을 필요한지 명확하고 분명하게 표현할 수 있었다. 모리슨은 감사팀이 요청한 정보를 직접 수집했다. 모리슨은 “최고정보책임자가...

컴플라이언스 보안 2022.08.03

글로벌 칼럼 | 컴플라이언스 관리에 마이크로소프트 ‘퍼뷰’가 필요한 이유

많은 국가가 랜섬웨어 위협을 줄이기 위한 규제 조치를 마련했다. 예를 들어, 3월 미국 정부는 랜섬웨어 보고와 관련한 새로운 법안을 통과시켰다. 이에 따라 사이버 사고를 경험한 기업은 해당 사고 발생 72시간 이내에 CISA(Cybersecurity and Infrastructure Security Agency)에 보고해야 한다. 추가 지침은 아직 마련 중이지만 다음과 같은 요구사항이 포함될 가능성이 크다.   사이버 사고의 영향을 받았거나 합리적으로 받았을 것이라고 생각되는 정보 시스템이나 네트워크의 기능 식별 및 설명 영향을 받은 정보 시스템이나 네트워크에 대한 무결성/가용성/기밀성의 상당한 손실과 비즈니스 혹은 산업 운영의 중단에 대한 무단 액세스에 대한 설명 추정되는 사이버 사고 발생 시기 해당 사고가 기업의 운영에 미치는 영향 평가 랜섬웨어 몸값 지불이 이루어진 후 24시간 이내에 보고 랜섬웨어 공격과 관련해 검토할 수 있는 새로운 혹은 다른 모든 정보를 CISA에 제출 사이버 사고 또는 몸값 지불과 관련한 모든 데이터 보존 기업은 이런 요구사항에 따라 랜섬웨어 사고 발생 72시간 이내에 관련 내용을 보고할 수 있을까? 72시간이 지날 때까지도 사고 복구에 한창인 것은 아닐까? 이는 기업의 규모에 따라 다를 수 있다. 소규모 기업은 그저 비즈니스를 재개하기만을 바랄 것이다. 소규모 기업은 보고와 씨름하기를 원하지 않으며, 심지어 데이터가 위험에 처해 있다는 사실을 전체 고객에게 알릴 수단이 없을 수도 있다.  랜섬웨어 통지는 아직 의무사항이 아니지만, 데이터 유출 통지를 의무화한 국가는 많다. 얼마 전 필자가 작성한 사이버 보험 청약서에서는 기업에서 보유한 개인식별정보(PII)의 수를 요청했다. 하지만 기업의 네트워크에는 알지 못하고 보호하지 못하는 정보 사일로와 숨겨진 데이터베이스가 있기 마련이다.  퍼뷰를 통한 컴플라이언스 관리 마이크로소프트는 마이크로소프트 365 고객이 이런 정보를 더 잘 보...

컴플라이언스 퍼뷰 마이크로소프트 2022.06.23

'잘못된 비즈니스 결정'이 또 다른 '내부자 위협'이 된 사례

비즈니스 전략 이행과 관련된 정책과 절차의 존재는 기업의 성숙도를 나타내는 중요한 척도다. 내부자가 법률 혹은 기업의 정책을 위반하는 결정을 내리면 비즈니스에 대한 위험이 커질 수 있다. 고의(절도)든 우발적(인적 오류)이든 신뢰하는 위치에 있는 개인이 정책이나 절차상 제약을 위반해 데이터가 분실되거나 대중에 공개되는 사례가 종종 발생한다.    최근 미국 연방거래위원회(FTC)와 건강 관리 업체 WW(Weight Watchers), WW가 지분을 100% 소유한 자회사인 커보(Kurbo) 사이의 합의 명령은 내부자가 법을 무시하는 비즈니스 결정을 내렸을 때 어떤 일이 일어날 수 있는지를 명확하게 보여준다. 어린이/청소년 건강 관리 업체인 커보와 WW는 ‘13세 미만 어린이에게서 불법적으로 수집한 정보’를 모두 삭제하고 ‘해당 데이터에서 파생된 모든 알고리즘을 파괴’하기로 합의했으며, 150만 달러의 벌금을 지불하기로 했다. 스스로 저버린 지적 재산 지난 2017년 폭스바겐은 미국 배기가스 테스트 결과를 속이는 비즈니스 결정을 내렸다. 그 결과 폭스바겐은 43억 달러의 벌금을 지불하고 수백만 대의 피해자 차량을 재구매하도록 강요받았다. 관련 직원 6명도 기소됐다. 커보와 WW도 비즈니스에 직접적인 영향을 미치는 좋지 않은 결정을 내렸다. 미국 법무부가 직원을 기소할지는 아직 결정되지 않았다.  보안 솔루션 업체 DTEX 시스템(DTEX Systems)의 엔지니어링 및 사이버 인텔리전스 SVP인 라지 쿠는 기업이 자사의 지적 재산권을 파괴하기로 정부와 합의한 사례는 본 적이 없다고 말했다. 쿠는 “이런 합의는 상당한 감사 추적(audit trail) 작업을 수반한다”라고 말했다.  DTEX 시스템의 보안 및 비즈니스 인텔리전스 부문 이사 아르만 마보드는 “세상이 변하면서 이 같은 사례를 더 많이 목격하게 될 것이다. EU 및 미국의 데이터 보호법이 정보에 대한 개별 통제 방향으로 발전하면서 데이터 보유 기간의 투명성...

내부자위협 지적재산 컴플라이언스 2022.04.05

2022년 주목해야 할 보안 스타트업

사이버 보안 스타트업이 해결하고자 하는 문제는 주류보다 앞서 있을 때가 많다. 빈틈을 메우고 새로 등장한 문제에 대응하기 위해 기성 업체보다 더 빨리 움직일 수 있으며, 설치 기반이 없기 때문에 아무런 제약없이 혁신에 나설 수 있다. 물론 단점은 스타트업이기 때문에 자원도 부족하고 성숙도 역시 떨어진다. 스타트업의 제품이나 플랫폼을 시도하는 것은 기업에 상당한 위험이 되며, 그렇기 때문에 다른 수준의 고객/업체 관계가 필요하다. 하지만 성공 보상은 크다. 기업은 경쟁 우위를 차지하거나 보안 자원에 대한 부담을 덜 수 있다.   여기서 소개하는 업체는 가장 흥미로운 보안 스타트업 중 대표주자로, 지난 2년 이내에 설립했거나 스텔스 모드에서 벗어난 곳이다.   그립 시큐리티(Grip Security) 기업의 SaaS 활용이 증가하면서 보안팀은 SaaS 관련 위험을 감시하고 방어하는 것이 어렵다는 것을 알게 됐다. 그립 시큐리티의 솔루션은 기업이 사용하는 모든 SaaS 플랫폼에 걸쳐 높은 가시성을 제공할 것을 약속한다. 그립 시큐리티에 따르면, 이를 통해 보안 정책을 강화하고 보안 허점을 더 잘 파악할 수 있다. 그립 플랫폼은 스탠드얼론 방식이나 CASB(Cloud Access Security Broker)를 통해 이용할 수 있다.   주피터원(JupiterOne) 주피터원 사이버 자산 공격 표면 관리 플랫폼은 클라우드 네이티브 솔루션으로, 취약점 관리, 컴플라이언슨, IDAM 등의 다양한 보안 프로세스를 좀 더 맥락 중심으로 만들어준다. 주피터원은 또한 자사 플랫폼이 기존 보안 환경 내에서 동작할 수 있는 통합 역량이 뛰어나 기업이 보안 규제를 더 잘 준수할 수 있다고 주장한다.   라이트스핀(Lightspin) 라이트스핀은 클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP)를 제공하는데, 클라우드 스택 내에서 공격 경로를 파악하고 우선순위를 정하고 문제를 바로잡는다. AWS부터 애저, GCP 등 어떤 클라우드 호스팅 ...

사이버보안 스타트업 클라우드네이티브 2022.02.07

IDG 블로그 | 주류 시장으로 부상하는 인더스트리 클라우드

산업별 맞춤 클라우드를 표방하는 인더스트리 클라우드(Industry Cloud)가 전혀 새로운 것은 아니다. 초기클라우드 시장은 빅3 구도로 굳어지기 전에는 수많은 퍼블릭 클라우드 서비스 업체가 있었다. 그리고 경쟁을 따라가지 못한 일부 업체는 특정 수직 산업군을 위한 클라우드가 되겠다고 선언하곤 했다. 다른 말로 하면 인더스트리 클라우드이다.   인더스트리 클라우드는 유통이나 보험, 은행, 의료, 제조 등의 특정 산업군용으로 만들어진 클라우드 서비스를 제공한다. 이는 기업이 속한 시장의 법률이나 규제 등의 수직적인 문제, 그리고 지역적으로 필요한 프로세스나 감사, 데이터 보호 및 운영 등을 처리할 수 있다는 의미다. 과거에는 클라우드로 이전하는 것에만 초점이 맞춰졌고, 산업 특화 기능은 그리 강조되지 않았다. 현재는 대부분 기업이 워크로드의 20~30%를 클라우드 옮긴 상태이다. 이제 기업은 산업 특화 서비스를 갖춘 퍼블릭 클라우드 서비스의 이점을 알 수 있다. 그리고 앞으로는 기업이 자사가 이용하는 클라우드 서비스 업체에 이런 특화 서비스를 요구하게 될 것이다. 산업 특화 서비스가 본격화되고 있다는 것을 보여주는 증거는 다음과 같다.   AWS와 골드만 삭스는 금융 서비스 기관을 위한 데이터 관리 및 분석 솔루션을 만들기 위해 협업하고 있다. IBM은 자사의 금융 서비스 전용 클라우드(Cloud for Financial Services)를 주요 고객과 협력업체로 확대했다. 마이크로소프트는 2021년 11월 금융 서비스용 마이크로소프트 클라우드를 정식 출시했다. 산업 특화 서비스를 원하는 기업은 날로 증가하고 있다. 이는 퍼블릭 클라우드 서비스 업체의 서비스 중 많은 수가 기능으로는 포화점에 도달했기 때문이다. 쉽게 말해, 범용 시장을 대상으로 한 서비스는 스토리지나 컴퓨트, 데이터베이스는 물론, AI나 엣지 같은 전문 서비스도 이미 글로벌 2,000대 기업이 쫓아가지 못할 만큼 너무 빠른 속도로 전개되고 있다. 아니면 새...

인더스트리클라우드 산업특화 컴플라이언스 2022.01.19

구글 클라우드 CIO가 말하는 클라우드 보안의 미래

2021년 3월, 구글 클라우드(Google Cloud)는 위험 보호 프로그램(Risk Protection Program)이란 새로운 서비스를 발표했다. 자사 클라우드 고객의 보안 위험을 낮추고 보험 협력사인 알리안츠, 뮌헨 Re와의 연결을 지원하는 것이 핵심이다. 두 보험사는 구글 클라우드 고객만을 위한 특수한 사이버 보험인 클라우드 프로텍션+(Cloud Protection +)를 만들었다.  구글이 대형 클라우드 서비스 업체와 선도적인 사이버 보험사 간의 첫 협력관계라고 밝힌 이 서비스의 목적은 중요한 워크로드를 클라우드로 이전하는 것을 고려 중인 기업의 신뢰도를 높이기 위한 것이다. 이 프로그램에는 리스크 매니저(Risk Manager)라는 새로운 보안 진단 도구가 포함되어 있으며, 기업은 구글 클라우드에 대한 위험을 측정하고 관리하며 보안 상태에 대한 보고서를 획득하고 더욱 표적화 된 사이버 보안 보험에 대한 비용을 절감할 수도 있다.    CSO는 최근 전 골드만 삭스의 CISO이자 현재 구글 클라우드의 부사장 겸 CISO인 필 베너블스와 클라우드 보안 동향과 구글 클라우드의 새로운 서비스가 클라우드 서비스 전반에 미칠 영향에 관해 이야기했다. CISO가 잠재적인 협력사와 고객을 위해 자체적인 클라우드 보안 상태를 인증하기 위해 준법감시 설문조사지를 작성하는 것이 중요한 일인가? 고객, 감사자, 규제 당국의 문의에 응답하는 것은 중요한 서비스 운영에 있어서 필요한 부분이다. 이런 평가 프레임워크의 표준화가 크게 진전되었으며, ISO, SOC1/2 등이 제공하는 인증의 측면에서 더욱 그렇다. 준법감시 친화적인 클라우드 서비스의 장점 중 하나는 일련의 인증을 보유하고 있으며, 서비스 사용의 일환으로 모든 필요한 정보를 제공함으로써 CISO 또는 다른 팀의 대응을 돕는 것이다.  구글 클라우드가 최근에 발표한 것과 같은 새로운 서비스가 이 문제를 어떻게 해결할 수 있는가? 보안 건전성 분석 및 준법감시 보고를 위...

클라우드보안 구글 보험 2021.07.23

보안∙소통∙규제준수를 모두 달성한 의료 기업의 비밀은 '슬랙'

팀 협업 도구가 다양한 산업 부문에서 인기를 얻고 있다. 실시간 의사소통 면에서 이메일이 그룹 채팅 ‘채널’로 대체되는 현상이 나타나는 것이다.  슬랙으로 직원 간 정보 흐름을 개선하면서 특허 데이터를 보호하는 미국 정신 건강 서비스 기업인 VBH(Valley Behavioral Health)의 사례를 살펴보자. VBH는 주로 마이크로소프트 제품을 사용하지만, 750명 직원의 내부 의사소통을 위해 슬랙의 엔터프라이즈 그리드(Enterprise Grid)로 의사, 치료사, 사회복지사 등 여러 서비스 주체를 연결한다.   VBH는 HR 관련 문의부터 자산 관리 문제(사용자가 사무실 건물 내 고장난 장비의 사진을 업로드하는 등)와 IT 부서 티켓 제출까지, 치료 일정 조율과 기타 광범위한 목적을 위한 채널을 만들었다. 또한, 동료끼리 비공식적인 대화를 나눌 수 있는 ‘일반’ 채널도 있다.  VBH CIO 타일러 테이트는 최근 인터뷰에서 “(슬랙은)기업 전체를 위한 진정한 의사소통 허브다”라고 말했다.   환자 정보 보안 규제가 엄격한 의료 부문 조직이므로 VBH 직원이 전송한 PHI(Protected Health Information)를 는 디지털 통신 플랫폼으로 관리하고 있다. 처음부터 규제가 엄격한 산업을 겨냥한 것은 아니었지만, 슬랙의 엔터프라이즈 그리드는 2018년에 발표된 이후 암호화 및 데이터 보호 기능이 추가되면서 HIPAA(Health Insurance Portability and Accountability Act)에 따라 구성할 수 있다. 엔터프라이즈 그리드를 통해 VBH의 PHI 데이터는 슬랙 서버에서 암호화되어 보관 및 전송되고 자체 암호화된 드라이브에 저장할 수 있다. 감사에서 어떤 PHI를 누구와 언제 공유했는지 파악할 수 있다.   직원에게도 실질적 이점이 있었다. 테이트는 HIPAA 규제 준수를 통해 VBH 직원이 특정 채널에서 PHI 정보가 포함된 메시지를 전송할 수 있어 조직 전...

컴플라이언스 규제준수 슬랙 2021.07.23

컨테이너 및 쿠버네티스 보안에 대한 계층화된 접근 방식

컨테이너는 애플리케이션과 그 종속 요소를 단일 이미지로 패키징하여 개발에서 테스트, 프로덕션에 이르는 전 과정에서 활용할 수 있다는 장점 때문에 광범위하게 사용되고 있습니다. 컨테이너를 사용하면 물리 서버, VM(가상 머신), 프라이빗 클라우드 또는 퍼블릭 클라우드와 같은 다양한 배포 대상과 환경에 걸쳐 일관성을 쉽게 유지할 수 있습니다. 쿠버네티스는 기업용 컨테이너 오케스트레이션 플랫폼입니다. 많은 조직에서 컨테이너를 사용하여 필수 서비스를 실행하는 오늘날, 컨테이너의 보안 유지는 무엇보다 중요한 문제입니다. 이 문서에서는 컨테이너화된 애플리케이션을 위한 핵심 보안 요소에 대해 설명합니다. <16p> 주요 내용 - 컨테이너와 쿠버네티스의 포괄적 보안: 계층 및 라이프사이클 - 애플리케이션 자체에 보안 구축 - 배포: 배포에 필요한 구성, 보안 및 컴플라이언스 관리 - 실행 중인 애플리케이션 보호 - 강력한 에코시스템으로 폭넓은 보안 범위 제공  

컨테이너 쿠버네티스 보안 2021.07.15

클라우드 세계에서 새롭게 여는 분석의 미래 : SAS와 AZURE의 만남

SAS Analytics가 Microsoft Azure에 기본으로 통합되면서 컴플라이언스 관리에 필요한 가시성을 넓힐 뿐만 아니라, 전 세계 60곳이 넘는 Azure 리전(region)에 데이터를 저장함으로써 높은 보안성과 유연성을 갖게 되었습니다. 클라우드에서 분석이 발휘하는 혁신적인 능력에 확신이 없습니까? Azure에 최적화된 SAS Viya를 통해 한 글로벌 은행이 어떻게 비즈니스 성과를 개선했는지 그 비결을 살펴보십시오. <8p> 주요 내용 - CIO의 과제 : 업무 병목 식별 - 마케팅팀, 사기방지팀, 일선 근무자의 과제 - 데이터 분석팀의 과제 : 분석 현대화 - CFO의 과제 : 손익 계산 - CEO 제출용 보고서

애널리틱스 컴플라이언스 애저 2021.06.07

개인정보보호 규정(GDPR) 준수를 위한 데이터 관리와 전략

GDPR을 준수하는 것은 오늘날 기업들의 주된 목표일 것입니다. 그러나 더 큰 목표가 있다는 사실을 명심해야 합니다. 탄탄한 데이터 전략과 보다 우수한 데이터 품질, 그리고 거버넌스 프로세스를 갖추면 GDPR을 준수하는 것 이상의 효과를 달성할 수 있습니다 SAS가 제공하는 업계 최고의 데이터 관리 및 분석 솔루션을 이용하면 날로 까다로워지는 데이터 보호 규정을 훨씬 수월하게 준수할 수 있습니다. 5가지 단계를 통해 규정 준수 체계를 효과적으로 관리하는 방법을 소개합니다. <9p> 주요 내용 - 개인정보에 대한 정의 - GDPR이 중요한 이유 - 만반의 준비  - GDPR 규정을 준수하기 위한 5가지 단계 - 신뢰할 수 있는 소프트웨어, 통합 전략  

GDPR 개인정보 컴플라이언스 2020.07.06

IT 및 네트워크 전반의 자동화를 통해 개선된 사전 예방적 보안 실현

네트워크가 프로그래밍 가능 방향으로 진화하고 네트워크 기능 가상화(NFV)와 같은 기타 기술에 복잡성이 가중됨에 따라 IT 및 네트워크 환경을 관리하기 위해 자동화가 필수 요소로 인식되고 있습니다. Red Hat 자동화 및 컴플라이언스 솔루션을 구성하는 기술은 IT 및 네트워크에 대한 엔드 투 엔드 자동화를 통해 서비스 제공업체의 우려 사항을 해결해 줍니다. 자동화 대상이 되는 보안 및 컴플라이언스 프로세스와 수동 검사의 과제를 알아보고, Red Hat의 엔드 투 엔드 소프트웨어 스택 자동화 전략을 제시합니다. <8p> 주요 내용 - 자동화로 보안 및 컴플라이언스 해결 - 보안 및 컴플라이언스 자동화 과제 - RED HAT을 통한 지능형 보안 자동화 - 활용 사례 - 패치 관리 자동화

레드햇 컴플라이언스 자동화 2020.03.11

IDG 블로그 | 클라우드 마이그레이션 전에 반드시 해야 할 "현황 파악"

200개나 되는 워크로드를 클라우드로 이전한다. 물론 연결된 데이터도 함께 옮긴다. 안타깝게도 이전한 애플리케이션을 라이브한 지 3개월 만에 업계의 법과 규제를 제대로 준수하지 못했다는 사실을 발견한다. 문제를 더 어렵게 만드는 것은 선택한 클라우드 서비스 업체가 규제 준수에 필요한 서비스를 제공하지 않는다는 것이다.   딜레마에 빠진다. 컴플라이언스 요구사항을 만족하는 다른 퍼블릭 클라우드 서비스 업체로 워크로드와 데이터를 다시 옮겨야 하는가? 아니면 원래 있던 온프레미스 환경으로 되돌려야 하는가? 기대했던 클라우드 컴퓨팅의 가치 같은 것은 더는 없다. 더 많은 돈을 들이고 비즈니스는 붕괴 위기에 빠진다. 흔한 이야기다. 기업은 알맞은 클라우드 컴퓨팅 서비스 업체를 고를 때 기존 애플리케이션 워크로드와 데이터 세트를 충분히 이해할 만한 시간을 갖지 않는다. 심하면 워크로드를 온프레미스 환경에 그대로 남겨두는 것이 최상이라고 결정할 때도 마찬가지이다. 클라우드 마이그레이션의 세계에서 만능은 없다. 퍼블릭 클라우드 이전하는 대부분 기업이 멀티 클라우드로 이전하는 이유 중 하나이다. 어떤 클라우드는 애플리케이션 그룹에 필요한 보안을 제공하고, 어떤 클라우드는 워크로드에 필요한 데이터 분석 기능을 제공하고, 또 어떤 클라우드는 다른 워크로드의 요구사항을 만족하는 AI 기반 시스템을 제공한다.  좀 더 나은 접근 방법은 클라우드 서비스 업체를 선택하기 전에 모든 애플리케이션의 요구사항을 잘 파악하는 것이다. 최소한 뭔가를 놓치지는 않았다고 자신할 만큼 매우 세세하게 살펴야 한다. 앞서 든 예에서 컴플라이언스 부분을 빠뜨린 것은 이해하기 어려운 일로, 애플리케이션 마이그레이션팀이 실제 애플리케이션 사용자로부터 필요한 정보를 제대로 얻지 못했기 때문이다. 간단히 말해, 기업은 마이그레이션 후보 워크로드 모두의 현재 상태를 파악하는 시간을 가져야 한다. 이는 애플리케이션을 기본적인 기능까지 분해해 애플리케이션 사용자의 이해를 넘어서는 수준까지 ...

컴플라이언스 마이그레이션 멀티클라우드 2020.01.20

데이터 기반 디지털 트랜스포메이션 구현 전략 : IDC 웨비나

오늘날 주요 기업의 차세대 성장 전략 내에 디지털 트랜스포메이션(DX)이 핵심 과제로 자리매김하고 있습니다. IDC에 따르면, DX 경제로의 이동을 예고하면서 최근 몇 년간 클라우드, 모바일, 빅데이터 분석, 소셜 등의 차세대 기술을 핵심 기반으로 한 제 3의 플랫폼의 출현과 그 변화 양상을 얘기해 왔습니다. 본 브리핑에서는 디지털 시대에 비즈니스의 혁신을 구현하기 위한 데이터 주도의 엔터프라이즈란 비전하에 온프레미스 및 클라우드를 포괄하는 하이브리드 클라우드 환경에 걸쳐 데이터 관리 방안에 대해 살펴보고자 합니다. 주요 내용 - 하이브리드 클라우드 - 비즈니스 모델의 혁신 - 데이터와 인텔리전스가 핵심 역할 - 데이터 관리, 보호 및 컴플라이언스, 통합 및 오케스트레이션 - 데이터 패브릭

컴플라이언스 하이브리드 넷앱 2019.11.27

신뢰 유지 : 안전하고 일정하며 반응이 빠른 금융 서비스

금융 업계는 고객과의 관계에 대한 신뢰를 유지하고 확립함에 있어 중요한 도전을 경험하고 있습니다. 공개된 데이터에 대한 침입과 보안 침해로 끊임없이 공격 받고 있는 고객은 자신의 거래에서 이러한 징후에 매우 민감합니다. 고객들은 자신의 사업이나 개인적인 재무 활동에 있어서 어떤 교란도 있어서는 안 된다고 생각하기 때문에, 위험성이 느껴지는 조직으로부터는 쉽게 겁을 먹고 달아나게 됩니다. Solitaire Interglobal Ltd의 본 보고서는 금융기관의 사이버 보안을 둘러싼 각종 규제의 동향과 규제와 보안성의 관계를 분석해 규제를 받는 금융기관이 비규제 기업과 경쟁할 수 있는 방안을 제시합니다.  주요 내용 - 규제 및 은행 - 가장 중요한 보안 - IBM LinuxONE 및 규제를 받는 은행

컴플라이언스 규제 금융기관 2019.11.12

2019년 보안 우선순위, 컴플라이언스와 사이버보안 베스트 프랙티스…IDG 조사 보고서

IDG의 보안 우선순위 연구(Security Priorities Study) 보고서에 따르면, 대부분 조직의 보안 노력은 컴플라이언스 요구사항과 사이버보안 베스트 프랙티스를 개선하려는 노력에 의해 추진된다는 것을 보여준다.    보안 환경은 절대 정적이지 않다. 점점 더 똑똑해지는 사이버 범죄자와 진화하는 악성코드, 더 많은 규제와 증가하는 재정 비용, 국가 규모의 보안 위험 등으로 인해 조직과 보안 팀은 우선순위를 지속적으로 조정해야 한다.  2019년 7월 말, 발행된 IDG 2019 보안 우선순위 연구 보고서는 향후 12개월 동안 보안 우선순위가 어떻게 변하는 지 정의하는 데 도움이 된다. 이 조사는 전세계 528명의 보안 전문가를 대상으로 실시한 조사를 기반으로 하며 사이버보안 지출, 보고 구조, 기술 채택, 그리고 모든 요소의 추진 동력에 대해 다뤘다. 이 보고서의 주요 내용은 다음과 같다.  - 보안 예산이 상승하고 있다 거의 모든 기업이 내년에 보안에 투자할 금액이 더 많아지거나 같을 것으로 예상하지만, 보안 전문가들이 가장 필요하다고 생각하는 것이 반드시 필요한 것이 아니다. 보안 전문가들은 새로운 개인 정보보호 및 보안 규정에 대해 감사히 생각할 수도 있다. 응답자의 2/3(66%)가 컴플라이언스 의무가 증가한 보안 예산의 원동력이라고 답했다. 그러나 일부 의견을 제출한 응답자(27%)는 컴플라이언스 의무가 전략적 이니셔티브에서 벗어나는 것으로 생각한다.  응답자의 4%만이 보안 예산이 줄어들 것이라고 예상한 반면, 50%는 증가할 것이라 응답했고, 46%는 예산이 동결될 것이라고 예상했다. 보안 예산의 결정 요소는 베스트 프랙티스(73%), 조직의 보안 사고에 대한 대응(39%), 이사회의 지시 및 다른 조직 또는 협력 업체의 보안 사고에 대한 대응(55%)였다.  이 보고서 저자들은 과거에는 퍼스트 아메리칸(First American Corporation)의 8억 8,800만 ...

컴플라이언스 예산 우선순위 2019.10.24

신뢰 유지 : 안전하고 일정하며 반응이 빠른 금융 서비스

금융 업계는 고객과의 관계에 대한 신뢰를 유지하고 확립함에 있어 중요한 도전을 경험하고 있습니다. 공개된 데이터에 대한 침입과 보안 침해로 끊임없이 공격 받고 있는 고객은 자신의 거래에서 이러한 징후에 매우 민감합니다. 고객들은 자신의 사업이나 개인적인 재무 활동에 있어서 어떤 교란도 있어서는 안 된다고 생각하기 때문에, 위험성이 느껴지는 조직으로부터는 쉽게 겁을 먹고 달아나게 됩니다. Solitaire Interglobal Ltd의 본 보고서는 금융기관의 사이버 보안을 둘러싼 각종 규제의 동향과 규제와 보안성의 관계를 분석해 규제를 받는 금융기관이 비규제 기업과 경쟁할 수 있는 방안을 제시합니다.  주요 내용 - 규제 및 은행 - 가장 중요한 보안 - IBM LinuxONE 및 규제를 받는 은행

컴플라이언스 규제 금융기관 2019.08.29

“기업용 소프트웨어의 배신” 포닝 홈으로 보안 및 컴플라이언스 위반

한때 필자가 마이크로소프트에 관한 모든 것을 추적할 때, 필자는 윈도우 10이 사용자를 염탐하는 측면을 비난하곤 했다. 하지만 윈도우 10은 기업용 보안 및 분석, 하드웨어 관리 툴이 하는 것과 비교하면 아무 것도 아니다.   분석 전문업체 엑스트라홉(ExtraHop)은 자사 고객의 네트워크를 검사해 보안 소프트웨어와 분석 소프트웨어가 고객 네트워크의 외부에 있는 서버에 조용히 정보를 올리고 있다는 사실을 발견했다. 이른바 ‘포닝 홈(Phoning Home)’이 아무런 제지없이 이루어지고 있는 것이다. 엑스트라홉은 관련 보고서를 발간하며 이런 사실을 경고했다. 엑스트라홉은 고객이나 사용자에게 알리지 않고 데이터를 전송하는 문제의 기업용 보안 툴 이름을 교묘하게 숨겼다. 엑스트라홉 대변인은 “이런 경향이 있다는 것을 보고하는 데 집중하고자 한다. 우리는 여러 사례를 조사했고 걱정스러운 사실을 발견했다. 특정 집단에 중점을 두면 기업의 더 많은 주의가 필요하다는 이 문제의 핵심이 손상될 수 있다”고 설명했다. 엑스트라홉의 보고에 따르면, 꽤 다양한 제품이 은밀하게 서버와 통신을 하고 있는 것으로 나타났는데, 엔드포인트 보안 소프트웨어부터 병원의 장비 관리 소프트웨어, 감시용 카메라, 금융기관의 보안 분석 소프트웨어 등이었다. 이들 소프트웨어의 동작은 유럽연합의 GDPR 규정과 충돌할 수도 있다고도 지적했다. 모든 사례에서 엑스트라홉은 해당 소프트웨어가 데이터를 외부로 전송했다는 증거를 제시했다. 어떤 사례에서는 30분마다 네트워크에 연결된 장비가 UDP 트래픽을 잘 알려진 악성 IP 주소로 전송하는 것을 발견하기도 했다. 문제의 장비는 중국산 보안 카메라로, 중국과 연계된 것으로 알려진 악성 IP 주소로 서버 통신을 했다. 이 카메라는 해당 기업의 직원이 개인 보안을 목적으로 독자적으로 설치한 것으로 나타나 섀도우 IT의 허점도 드러냈다. 병원 의료기기 관리 툴과 금융기관 분석 툴의 경우는 데이터 보안 관련 법규도 위반해 해당 기업이 알지 못하...

컴플라이언스 포닝홈 2019.08.06

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.