Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

서드파티

IDG 블로그 | 소프트웨어 자체 개발은 시간 낭비, “서드파티 적극적으로 활용해야”

필자는 IT 언론사를 떠나 IT 스타트업으로 이직한 친구에게 어떤 일을 하는지 물어봤다. 친구가 맞춤형 콘텐츠 관리 시스템(CMS)를 구축한다고 답했을 때, 필자도 모르게 “왜?”라는 말이 튀어나왔다.   세상에는 많은 CMS가 있다. 필자가 본 것만 100개가 족히 넘는다. 오픈소스와 독점, SaaS 등 종류도 다양하다. 일반 사용자가 이용할 수 있는 CMS만으로도 이 정도다. 맞춤형으로 구축한 CMS까지 합치면 더 많을 것이다. 말도 안 되는 일이다. 그 누구도 처음부터 또 다른 CMS를 만들 이유가 없다. 물론, 가끔 스트라피(Strapi)와 같은 헤드리스 CMS가 등장하는 등 큰 변화가 있기도 한다. 헤드리스 CMS는 사전 구축된 웹 인터페이스 테마는 물론, 이 테마를 만드는 데 필요한 툴도 제공하지 않는다. 다만 기존 CMS와 달리, 웹 사이트의 프론트엔드를 걱정할 필요가 없다. 구조화된 콘텐츠를 저장하고 배포하는 데 사용되는 백엔드 콘텐츠 리포지토리에 중점을 둔다. 그러면 일반적으로 JSON이나 XML을 사용하는 RESTful API를 통해 콘텐츠를 표시할 수 있다. 이제 어떤 기업은 스트라피를 유용하게 활용할 수도 있다. 스트라피 외에도 고스트(Ghost), 콘텐트풀(Contentful), 프리스믹(Prismic) 등 많은 헤드리스 CMS 업체가 있다. 그래서 기업은 헤드리스 CMS를 자체적으로 구축할 필요가 없다. 사실, 대부분은 워드프레스(WordPress)와 줌라(Joomla), 드루팔(Drupal)과 같은 구형 CMS만 있어도 문제없다. 워드프레스의 경우, 전 세계 웹사이트의 34%를 운영한다. 다시 말해서, CMS를 자체 구축하거나 유지 및 관리하는 것은 시간과 비용을 낭비하는 것이나 다름없다. CMS 외에도 비슷한 사례가 많다. 부동산, 소규모 은행, 소매업자를 위해 직접 구축한, 더 상태가 안 좋은 수직 프로그램도 많이 봤다. 1985년부터 아미가(Amiga) 1000에서 작동하는 유일한 맞춤형 부동산 프로그램은 ...

소프트웨어 서드파티 CMS 2021.12.22

글로벌 칼럼 | 서드파티 쿠키 제한이 바꿔놓은 온라인 광고 시장

지난 10월 넷플릭스와 월마트가 파트너십을 맺고 월마트 홈페이지에 ‘넷플릭스 허브’를 만들었다. 넷플릭스에서 인기를 끈 영화 및 드라마와 관련된 제품을 독점으로 판매하는 공간이다. 넷플릭스 허브는 넷플릭스의 첫 인터넷 상점이자, 전자상거래 시장이 6,500억 달러 규모의 광고 시장을 어떻게 바꾸었는지 보여주는 대표적인 사례다.    최근 B2C나 B2B 기업 마케팅 담당자는 규제의 역풍을 맞았다. 서드파티 쿠키를 사용한 온라인 고객 스토킹을 막고 프라이버시를 보호하기 위해 만들어진 규제다. 하지만 실리콘 밸리에서는 서드파티 쿠키 제한 조치가 마케팅 혁신을 끌어냈다. 보스턴 컨설팅 그룹(BCG)의 말을 빌리자면 ‘한 세대에 단 한 번 발생하는 상전벽해와도 같은 변화’다. 리테일 미디어 네트워크(Retail Media Networks)가 등장한 것이다. 리테일 미디어 네트워크가 생기면서 전자상거래 사이트는 소규모 광고 공간으로 변했다. BCG는 향후 몇 년 안에 전자상거래 사이트의 광고 수익이 연간 1,000억 달러가 될 것으로 예상했다. 마진이 적은 것으로 악명높은 마케팅·광고 업계에는 긍정적인 변화이며, 결과적으로 소비자는 저렴한 가격으로 제품을 구매할 수 있는 기회를 얻었다. 데이터에 대한 모든 것 리테일 미디어 네트워크의 작동 방식은 이렇다. 먼저 소매업체나 항공사 등 온라인 사업 비중이 큰 업체가 멤버십 프로그램 혹은 로열티 프로그램으로 고객의 행동이나 선호도에 대한 정보를 수집한다. 이런 방식은 고객의 결정에 따른 것이므로 완전히 합법이다. 이 데이터는 전자상거래 업체의 중요 자산이다. 수집한 데이터를 CPG(Consumer packaged goods) 판매 업체나 자동차 임대 업체, 호텔 같은 곳에 판매할 수 있기 때문이다. 소비자를 직접 상대하는 전자상거래 업체에서 광고를 하면 규제와 충돌하지 않고, 고객의 동의 하에 데이터를 수집하는 옵트인(opt-in) 방식의 이점을 활용할 수 있다.  리테일 미디어 네트워크...

서드파티 넷플릭스 월마트 2021.11.08

서드파티 사이버 위험 관리를 위한 6단계 접근법

많은 기업이 서드파티 공급업체 수백 곳과 거래를 한다. 글로벌 회계 법인 EY가 발표한 보고서 ‘글로벌 서드파티 위험 관리 조사 2019-2020’와 PwC의 조사 결과에 따르면, 서드파티와 관련된 위험은 계속 증가하고 있음에도 거래량이 줄어들 기미는 보이지 않는다. 보안 업체 엔코어(Anchore)의 최근 설문조사 결과, 지난 12개월 동안 기업 64%가 공급망 공격의 영향을 받았으며, ENISA(European Union Agency for Cybersecurity)의 조사 결과 올해 공급망 공격은 지난해 대비 4배 증가했다.   수준 높은 사이버 범죄자에게 공급 생태계는 좋은 공격 경로가 된다. 한 곳만 공격해도 여러 곳이 영향을 받기 때문이다. 사이버 범죄자는 서드파티 소프트웨어 업데이트를 공격하거나, 서드파티 업체에서 로그인 정보를 탈취하고, 취약한 소프트웨어나 애플리케이션에 악성 코드를 삽입하는 등의 방법으로 공급망을 공격한다. 서드파티에 생긴 헛점은 재정적 피해나 다운타임, 민감한 정보와 기업 평판 손실, 컴플라이언스 위반, 벌금 외에도 기타 법적 책임으로 이어진다. 이런 피해를 방지하기 위한 방법이 있다. 서드파티 업체와 공급업체, 서비스 제공업체와 관련된 사이버 위험을 분석 및 관리·관찰하며 피해를 완화하는 조직적인 접근법인 ‘서드파티 사이버 위험 관리(Third-party Cyber Risk Management, TPCRM)’다.  포괄적인 TPCRM 프레임워크를 구축하기 위해 거쳐야 할 6가지 단계를 살펴보자. 1. 서드파티 업체 정리하기 현재 이용 중인 서드파티 업체를 모두 목록화하는 것이 출발점이다. 기업 운영의 중심이 되고 가장 중요한 요소를 제공하는 업체부터 시작해 상대적으로 중요도가 낮은 지원 서비스 업체 순으로 정리해 보자. 모든 부서에서 사용하는 모든 업체를 정리하는 것이 중요하다. 규모가 어떻든 간에 기업 전체를 위험에 빠뜨릴 수 있기 때문이다.  2. 위험 가능성 정의하기 기업에 영향을...

서드파티 서드파티공격 위험관리 2021.10.01

글로벌 칼럼 | 서드파티 쿠키의 종말, 답은 ‘제로파티’ 데이터에 있다

온라인에서 잔디 깎는 기계를 사려고 제조사 홈페이지와 쇼핑몰을 몇 군데 클릭하고 나면, 몇 분 뒤 방문하는 모든 웹사이트에서 잔디 깎는 기계에 대한 광고가 나오기 시작한다. 이런 기습적인 광고는 며칠간 이어진다.   이머커스 기술 업체 RPOS 판매 전략 부문 부사장 존 브루노도 마찬가지 경험을 했다. 브루노는 몇 년 전 온라인에서 약혼 반지를 구매했을 당시를 회상하며, 아내가 될 사람에게 들키지 않기 위해 “내가 가진 모든 기기에서 일일이 광고를 숨겨야 했다”라고 말했다. 조금 오싹할지도 모르는 이런 사례는 사용자의 쿠키로 인해 발생한다. 좀처럼 모습을 드러내지 않는 쿠키는 컴퓨터 내부에 깊숙이 숨겨져 있어 사용자 대부분은 어디서 쿠키 파일을 찾아야 하는지조차 모른다. 하지만 웹 서버는 알고 있다. 스토커처럼 사용자 주변을 맴도는 광고는 바로 이 쿠키에 포함된 정보 때문이다. 마케터 대부분은 큰 노력 없이 대규모로 개인화가 가능한 쿠키를 선호한다. 하지만 서드파티 쿠키는 이제 사라지고 있다. 온라인 개인정보 침해에 대한 사용자 우려가 커지자 애플이나 구글과 같은 IT 대기업이 서드파티 쿠키 제한 정책을 내놓았기 때문이다. 이미 브라우저에서 서드파티 쿠키 추적을 제한하기 시작했고, 오는 2023년 말이면 쿠키의 가치가 무너질 것이라는 사실은 거의 확실하다. 뒤집어진 사용자 데이터 시장 브루노는 서드파티 쿠키 이용 제한에 대한 파급 효과가 엄청날 것으로 예상했다. 브루노는 “서드파티와 맥락 데이터(contextual data) 시장의 종말이 다가오고 있다. 서드파티 쿠키에 접근할 수 없게 되면 기업은 이미 보유하고 있는 데이터에 집중하게 된다”라고 말했다. 시장조사업체 포레스터 리서치가 ‘제로파티(zero-party)’라고 부르는 바로 그 데이터다. 그렇다고 해서 쿠키 자체가 완전히 사라지는 것은 아니다. 데이터 플랫폼 업체 엠파티클 대표 마이클 카츠는 “사용자 동의 없는 크로스 도메인 활동에 대한 서드파티 쿠키가 없어지는 것”이라고 설명했다...

서드파티 쿠키 네트워크쿠키 2021.09.13

클라우드에서 민감한 데이터를 보호하는 3가지 베스트 프랙티스

최근 베터클라우드(BetterCloud)의 설문에 따르면, 기업은 협업, 통신, 개발, 계약 및 인사 관리, 서명 인증, 기타 민감한 데이터를 처리하고 저장하는 비즈니스 기능을 지원하기 위해 평균 80가지 서드파티 클라우드 애플리케이션을 사용하는 것으로 나타났다. 또한 애플리케이션과 전체 비즈니스를 PaaS나 IaaS에서 구동하는 기업도 증가하고 있다. 2020년에만 기업의 76%가 AWS에서, 63%가 마이크로소프트 애저에서 애플리케이션을 실행했다.    캐피털 원(Capital One)의 고문이자 전 CISO인 마이클 존슨은 이런 퍼블릭 클라우드 서비스는 모두 필요하고 생산적이며 전통적인 데이터센터보다 더 안전한 환경까지 약속한다고 말했다. 그러나 이렇게 클라우드에서 처리하고 저장하는 민감한 데이터에는 위험이 따르게 되는데, 대부분의 위험은 서비스 설정 및 관리 과정에서 사용자의 실수로 발생한다.  존슨은 2019년 8,000만 명의 개인 기록이 유출된 사고 당시 캐피털 원의 대응을 이끌었다. 당시 사고에서 공격자는 잘못 구성된 서드파티 클라우드 환경을 이용했다. 존슨의 팀은 침해의 확산을 막는 한편, 강력한 대응 계획, 이사회 및 경영진과의 투명한 소통, 이전부터 유지해온 사법 당국과의 관계에 힘입어 데이터가 악용되기 전에 신속하게 범인을 체포하도록 지원했다.  클라우드에 민감한 데이터를 저장하는 데 따르는 위험에 대처하는 대응 계획은 모든 클라우드 보안 정책에 기본적으로 포함되어야 한다. 퍼블릭 클라우드를 위한 데이터 보호 정책을 시작하려면, 퍼블릭 서드파티 클라우드 서비스의 데이터가 어떻게 노출 또는 도난될 수 있는지 아는 것이 중요하다.    클라우드의 데이터는 어떻게 취약해지는가  클라우드 보안 연합(Cloud Security Alliance, CSA)의 연간 위협 보고서에 따르면, 서드파티 클라우드 서비스에서 데이터 침해나 유출이 발생하는 가장 일반적인 원인은 과도한 권한, 기...

클라우드보안 IAM 암호화 2021.03.17

'서드파티를 조심하라' 공급망 공격을 경계해야 하는 이유와 완화 방법

기업 보안의 취약한 연결 고리는 파트너 및 공급업체와 관련이 있을 수 있다. 공급망 위험을 이해하고 완화하는 방법에 대해 알아본다.    공급망 공격이란 공급망(supply chain) 또는 서드파티 공격이라 부르는 이 공격은 누군가가 시스템 및 데이터에 대한 접근 권한을 가진 외부 파트너 또는 공급업체를 통해 시스템에 침투할 때 발생한다. 지난 수년 동안 더 많은 공급업체와 서비스 제공업체가 그 어느 때보다 중요한 데이터를 취급하면서 일반적인 기업의 공격 표면이 크게 변했다.  새로운 유형의 공격, 위협에 대한 대중의 인식 증가, 규제 기관의 감독 강화로 인해 공급망 공격과 관련한 위험은 그 어느 때보다도 높아졌다. 한편 공격자는 더 많은 자원과 도구를 사용할 수 있어 완벽한 공격 형태를 만들어내는데, 최근의 솔라윈즈(SolarWinds) 공격이 대표적인 예다.  솔라윈즈 공격, 공급망 위험을 일깨워준다 네트워킹 도구 공급업체인 솔라윈즈의 최대 1만 8,000여 고객을 대상으로 한 공격 소식은 점점 더 악화되고 있다. 뉴욕타임스 보도에 따르면, 러시아에 의한 솔라윈즈 공격은 처음 보도된 것처럼 수십 개의 정부기관과 기업 네트워크에 침투했다. 이후 250개의 기관 및 기업이 피해를 입은 것으로 파악됐으며, 공격자는 여러 공급망 계층을 활용했다.  레비 스트라우스(Levi Strauss) 부 CISO 스티브 잘레브스키는 “이런 공격은 신뢰의 사슬을 파괴하는 것이며, 모든 서드파티 제품과 관련된 큰 문제”라며, “기업은 더이상 내부 공급망만을 고집할 수는 없다. 신뢰를 구축한 서드파티에 의존해야 하는데, 이를 위한 국내적, 국제적인 방법은 없다”라고 말했다.  기업이 외부 공급업체에 점점 더 의존하면서 문제는 갈수록 악화되고 있다. 잘레브스키는 “이제는 소프트웨어 산업의 전체 생태계를 살펴봐야 할 때다. 공급망 위협을 완전히 해결하려면 글로벌 PKI 시스템과 같은 국제적인 신뢰의 망이 필요하다. ...

서드파티 공급망공격 솔라윈즈 2021.02.09

인텔 CEO, “제조 공정 개선 위해 외부 설비 이용 고려”

사실 인텔이 자체 생산 공장을 보유하고 있다는 것을 일반 PC 사용자가 알 필요는 없다. 엔비디아 같은 다른 업체는 서드파티 생산공장을 이용한다. 하지만 인텔이 기존 방침을 약간 바꿀지도 모른다. 자사의 통제 아래 다른 업체의 설비를 이용하는 것이다.   이 방식은 자사의 설계를 전체적으로 아웃소싱할 필요없이 서드파티 업체의 제조 기술을 이용할 수 있으며, 특히 인텔을 제조 공정의 수렁에서 건져낼 수 있는 구명줄이 될 수도 있다. 그동안 자사 칩은 직접 제조한다는 것이 AMD와 인텔 모두의 원칙이었다. 하지만 인텔은 지난 해 7월 7나노로의 생산 공정 변경을 6개월 연기한다고 발표하면서 앞으로 다른 칩 제조업체와 협력할 수도 있다고 밝혔다. 14나노에서 10나노로의 생산 시설 전환에도 많은 어려움을 겪고 있었기 때문이다. 인텔이 자사의 칩을 어디에서 생산하건 문제될 것은 없다. 하지만 CEO 밥 스완이 다른 제조 공정을 자사 생산시설 내에 통합하는 것에 관해 이야기하면서 이 아이디어는 미래에 인텔의 경쟁력에 영향을 미치는 것이 될 수도 있다.  스완은 CES에 앞서 열린 줌 기자간담회에서 “앞으로 인텔이 다른 누군가의 공정 기술을 인텔의 제조 환경 내에서 사용할 때가 있을까? 대답은 ‘가능한 일’이다”라며, 서드파티 협력업체가 인텔이 사용할 수 있는 카드가 될 수 있음을 인정했다. 또 지난 10년 간 생태계가 상당히 진화했고, 이런 업계의 발전 중 일부를 이용할 기회나 방법이 있다면, 인텔이 업계의 혁신에 투자하는 데 최대의 관심사가 될 것이라 생각한다고 말했다. 스완은 이런 전망을 인텔이 새로운 아이디어를 구현하는 방법의 하나로 삼았다. 스완은 “모든 혁신을 우리가 다 할 필요는 없다”라며, “이는 더 많은 아웃소싱을 의미한다. 더 많은 가용 서드파티 IP를 사용할 수도 있으며, 자체 생산시설만이 아니라 다른 업체의 설비에서 생산할 수도 있다는 의미이다. 인텔이 다른 누군가의 공정 기술을 사용할 가능성도 있냐고 묻는다면, 가능하다...

인텔 제조공정 10나노 2021.01.12

경기 침체기 공급업체와 공급망 위험 관리 방안

2018년 포네몬(Ponemon) 보고서에 따르면, 기업은 평균 583개의 서드파티 업체와 기밀 정보 및 민감한 정보를 공유한다. 그러나 이 가운데에서 서드파티 목록을 관리하는 비율은 34%에 불과하다. 사이버보안 기능 하나만 봐도 기업은 평균 47가지의 솔루션과 기술을 구축한다.   포레스터의 선임 애널리스트 폴 맥케이는 “서드파티 사이버 위험 현황에 대한 CISO의 시야에는 구멍이 많다”면서, “일반적으로 공급업체 평가에 사용하는 보안 질문서는 현실과 다르고, 사이버 위험 등급 평가 솔루션, 서드파티 위험 관리 기술 등의 기술 솔루션은 아직 초기 단계”라고 말했다. 결과적으로 서드파티 또는 공급망 위험 관리가 화두로 떠올랐다. 맥케이는 "코로나19의 영향에 따른 지금의 경제 상황을 감안한다면 공급업체의 재무적 생존 가능성이 실질적인 문제가 될 수 있다. 또한 영향을 받을 공급업체의 유형에 대해서도 생각해보는 것이 좋다. 현금 흐름이 제한된 SME는 특히 취약하다. 규모가 큰 업체와 하이퍼스케일 클라우드 컴퓨팅 제공업체는 장기적으로 경제 상황을 견딜 여력이 있을 것”이라고 설명했다. 공급업체가 갑자기 파산하면 데이터에 접근할 수 없게 되고 중요한 툴이나 서비스에 대한 지원이 끊기고 이후의 악용 위험에 노출되거나, 주요 프로세스 또는 운영에 지장이 생길 수도 있다. 이와 함께 해당 업체 또는 업체의 장비가 팔린다면 판매하기 전에 데이터를 완전히 삭제했는지 확인해야 한다.   맥케이는 “주요 공급업체가 도산한다면 그 업체의 역할에 따라 시스템을 사용할 수 없거나 데이터를 가져오는 데 어려움을 겪는 정도의 간단한 문제에 그칠 수도 있고, 업체가 주요 아웃소싱 업체 또는 보안 제공업체 역할을 한다면 최악의 경우 비즈니스 전체가 중단되는 사태도 발생할 수도 있다. 계약이 종료되면 데이터 액세스가 방치되고 데이터가 적절히, 안전하게 폐기되지 않고 저장된 데이터를 적절히 파기하지 않은 채로 자산을 매각하는 경우가 많다”라고 말했다.  ...

공급업체 공급망 서드파티 2020.05.28

IDG 블로그 | 벌써 버렸어야 할 윈도우 7

아직도 윈도우 7에 대해 이야기하고 있는 이유는 무엇일까? 윈도우 7은 이미 끝났다. 묘지명에 “2009년 6월 22일~2020년 1월 14일”이라고 새겨져 있다. 좋은 운영체제였지만, 윈도우 7 확장 보안 업데이트(Extended Security Updates, ESU)에 상당한 비용을 내지 않는 이상 더는 사용해서는 안된다.   하지만 많은 사람이 윈도우 7을 사용한다. 2월 14일 미국 정부의 DAP(Digital Analytics Program)에 따르면, 윈도우 7의 수명이 끝난 이후 몇 주가 지났지만, 윈도우 사용자 20명 중의 한 명은 윈도우 7을 사용한다. 5%가 넘는 사용자가 이미 죽어 땅 속에 묻힌 운영체제를 사용하는 셈이다. DAP는 누가 어떤 운영체제를 사용하는지에 대한 최고의 설문조사라고 해도 과언이 아니다. 윈도우 7에서만 동작하는 형편없는 애플리케이션 하나를 지키고 싶은 사용자도 있을 것이다. 하기야 필자의 한 친구는 자기네 회사에서는 윈도우 95에서 동작하는 필수 애플리케이션도 여전히 사용한다고 한다. 농담이 아니었다. 현명한 처사는 아니다. 만약 그 애플리케이션 하나가 그렇게 중요하다면, 윈도우 7을 네트워킹 없이 가상머신으로 구동하면 된다. “최애” 프로그램이 네트워크 접속 없이는 실행되지 않는다면? 윈도우 10에서 구동되는 새 버전을 구하면 된다. 새 버전이 없다면? 다른 프로그램을 찾거나 정 안되면 직접 만들어라. 어떻게 하든 윈도우 7에서 그대로 실행하는 것만 안 하면 된다. 윈도우 7을 사용하는 것은 자신의 PC, 그리고 나아가 네트워크의 나머지 전부를 엉망진창으로 만드는 일일 뿐이다. 자신의 PC가 MyKings 봇넷 비트코인 채굴용으로 사용되기를 바라지는 않을 것이다. 순전히 습관 때문에 윈도우 7을 고수하는 사람도 있을 것이다. 이해는 한다. 오랫동안 사용했고, 그동안 잘 동작했고, 지금까지 아무것도 크게 잘못되지 않았다. 그런데 그건 어디까지나 지금까지 이야기다. 앞으로 뭔가 잘못되는 것은 시...

윈도우7 업데이트 서드파티 2020.02.19

2020년 사이버보안, 주시해야 할 9가지 위협

사이버보안에 대해 예측하는 일은 재미있는 일이지만, 가장 철저히 준비해야 할 위협을 결정해야 하는 보안 담당자에게 도움이 되지 않을 수도 있다. 아카마이(Akamai)의 보안 인텔리전스 대응팀 선임 엔지니어인 채드 시먼은 “항상 진짜 문제가 되는 부분은 갑자기 튀어나올 수 있기 때문에 미래에 대해 제대로 예측하는 것은 불가능하다”라고 말했다.     2020년 직면할 가장 큰 위협이 새롭고 예상 못한 위협이라면, 미래를 대비해 노력을 집중하는 최상의 방법은 무엇일까? 올해 가장 컸던 위협이 범위와 전술 측면에서 2020년에 어떻게 바뀔지 생각하는 것이 좋은 출발점이 될 수 있다. 본지는 2019년에 가장 빈번히 발생한 중대 위협에 대한 조사 결과들을 살펴봤다. 그리고 조사 및 연구 전문가에게 2020년의 위협 추세에 맞춰 방어 체계를 조정하는 방법에 대한 조언을 구했다.  1. 장치의 악성코드 감염 엔드포인트 보호는 항상 조직들의 큰 ‘전장’이었다. 카스퍼스키(Kaspersky)의 ‘2019년 IT 보안 경제(IT Security Economics in 2019) 보고서에 따르면, 2019년에 회사 소유 장치가 악성코드에 감염된 조직의 비율이 약 절반에 달한다. 또 직원 소유 장치가 악성코드에 감염된 비율도 절반에 달한다. 카스퍼스키 보고서에 따르면, 대기업의 경우에는 가장 많은 피해를 초래한 보안 사고가 회사 소유 장치가 악성코드에 감염된 사고였다. 구체적으로 사고당 평균 피해액이 273만 달러였다. SMB는 피해액이 여기에 크게 못 미치는 11만 7,000달러였다. - 2020년 전망: 카스퍼스키의 보안 연구원인 드미트리 갈로프는 2020년에 직원 소유 장치로부터 초래되는 위험이 증가할 것으로 내다봤다. 갈로프는 비용을 절감하고, 원격 근무제를 도입하고, 직원 만족도를 높이기 위해 직원들이 개인 소유 장치를 사용하도록 허락하는 기업들이 늘어날 것이라고 예측했다. 그 결과, 공격자들은 기업 방어선을 우회하는 방법으로 개인...

악성코드 사이버보안 서드파티 2019.12.16

사이버 공격으로부터 공급망을 보호하기 위한 5가지 핵심 사항

SANS 인스티튜트는 최근 기업의 공급망을 안전하게 유지하기 위한 핵심 사항에 대해 정의했다. 업계 전문가들이 각 핵심 사항이 중요하다고 생각하는 이유를 알아보자.          범죄자들과 국가가 후원하는 해커들이 취약한 곳을 찾으면서 공급망에 대한 사이버공격은 계속 증가하고 있다. SANS 인스티튜트가 최근 성공적인 공급망 보안 패턴에 대한 보고서에서 지적하듯이, 세간에 이목을 끄는 사건들은 공급망 보안을 만들거나 업그레이드가 중요하다는 것을 보여준다.  지난 4월, 많은 미국기업의 아웃소싱 업체인 위프로(Wipro)는 신뢰할 수 있는 네트워크가 해킹당해 공격자들이 이 회사의 고객에 대한 사이버공격을 시작하는 데 사용됐다.  지난 5월, 7,000개가 넘는 비즈니스 애플리케이션이 있는 어도비의 마젠토(Magento) 전자상거래 플랫폼과 기타 서드파티 서비스가 해킹 당해 티켓마스터(Ticketmaster)를 포함한 다수 회사의 비밀번호와 다른 민감한 정보들이 도용됐다.  같은 5월, 서드파티 계약자는 유니버셜 뮤직 그룹(Universal Music Group)의 내부 서버에 민감한 자격 증명을 노출해 해당 서버에 저장된 주요 정보를 위험에 빠뜨렸다.  지난 7월, 영국 정보 통신국(Information Commissioner)은 영국 항공이 자사 웹사이트와 앱에서 악성코드 감염 이후 약 50만 고객의 민감한 정보가 악의적인 웹사이트로 옮겨진 것에 대해 2017년 순 매출액의 1.5%인 2억 3,000만 달러(2,663억 원)의 벌금을 부과했다.   이 보고서의 저자인 SANS 이머징 트렌드 책임자 존 페스카토레는 “사이버범죄자들이 주요 표적으로 공급망을 추적하기 시작한 4년 전쯤부터 공급망 보안은 CISO에게 더욱 중요해졌다”고 설명했다. 페스카토레는 최근 러시아와 중국의 공급망 공격에 대해 언론이 관심을 갖고 보도하기 때문에 최근 공급망 보안이 더욱 악명을 ...

공급망 SANs 서드파티 2019.11.07

IBM 통합유지보수서비스로 IT 지원 관리 간소화

기업들이 IT 신기술을 도입함에 따라 기술지원 및 유지보수 모델이 급격히 확장되었습니다. 결국 수십 개 OEM 및 써드파티 유지보수 업체가 각자의 하드웨어/소프트웨어 제품을 서비스하게 됩니다. 기업은 데이터센터 내에서 그토록 많은 벤더를 관리하느라 물류 체계도 갈수록 복잡해지고 혼란스러워집니다. 하지만 귀사의 기술지원 요구사항을 모두 다룰 수 있는 전문성을 가진 전략 파트너를 선택하면 모든 IT 기술지원 및 벤더와의 계약을 통합하고 IT 관리를 간소화할 수 있습니다. 주요 내용 - IT 환경이 처한 과제  - IBM의 역할  - 오픈소스 소프트웨어 지원  - IBM의 차별성  - 고객의 평가 

서드파티 MVS 통합유지보수 2019.11.01

"신뢰하되 검증하라" 서드파티 위험 관리 시작 가이드

포괄적인 서드파티 위험 관리(Third-Party Risk Management, TPRM) 프로그램을 시작한다고 하면 비현실적인 버킷 리스트 중에서도 마지막 작업 정도로 생각하는 사람들이 있다. 따지고 보면 오늘날 대부분의 조직은 수십, 수백, 수천 개의 서드파티 공급업체와 관계를 맺고 있다. 이런 상황에서 위험 관리를 언제, 어떻게, 어디서부터 시작해야 할지 난감할 때가 있다.    그러나 흔히 말하듯 공급사슬의 강도는 가장 약한 고리에 의해 결정된다. 따라서 각각의 모든 연결 고리의 보안이 얼마나 강력한 지를 반드시 알아야 한다. 기업의 데이터 보안은 다른 조직의 보안에 따라 좌우되기 쉽기 때문이다. 그 증거로 2017년 감사 위원회 리더십 네트워크(Audit Committee Leadership Network)에서 약 400개의 민간 및 공공 조직을 대상으로 실시한 설문을 보자. 설문에 응한 조직의 2/3는 5,000개 이상의 서드파티 관계를 맺고 있다. 일부 조직에서는 이런 서드파티 공급업체가 침투를 노리는 해커를 위한 열린 뒷문 역할을 할 수 있다. 최근 사례로, 에어버스 SE(Airbus SE)는 지난 9월 협력업체의 컴퓨터 시스템을 통한 사이버 공격으로부터 시스템을 보호하기 위한 새로운 조치를 취할 것이라고 발표했다. 올해 초 해커들은 에어버스 SE의 직원 개인 정보를 탈취하기 위해 에어버스 SE의 공급업체 중에서 롤스로이스 홀딩스(Rolls-Royce Holdings Plc)와 익스플레오(Expleo)를 공격했다.  사이버보안 위협과 인식이 함께 높아지면서 정보 보안 전문가들은 공급업체와 파트너 측의 부족한 보안 부분을 상쇄하기 위해 모든 시스템과 네트워크를 더욱 강력하게 보호해야 하는 상황에 직면해 있다. 게다가 많은 경우 리소스와 인력도 부족하다. 결국 강력한 서드파티 위험 관리 프로그램이 그만큼 중요하다. 성공적인 서드파티 위험 관리 프로그램의 5단계 실제 프로그램 측면에서 IT 보안 전문가는 2017년...

가이드라인 위험관리 서드파티 2019.10.23

글로벌 칼럼 | 그 어느 때보다 개방된 시리, 하지만 여지는 있다

시리가 아이폰 4s에 도입된 이후, 서드파티 개발자들은 가상의 도우미인 시리와 그들의 앱을 더 긴밀하게 통합하라고 강력하게 요구했다. 그리고 애플이 지난 몇 년 동안 엄격한 기준을 완화하기는 했지만, 시리는 주의 깊게 선택한 몇 가지 예외를 제외하고는 대체로 애플의 자체 소프트웨어에 얽매여 있었다. 그러나 주요 소프트웨어 업데이트 때마다 애플은 조금씩 제한을 완화하고 있으며, 올해도 예외는 아니다. iOS 13은 시리와 함께 작동하는 앱의 카테고리를 다시 한 번 넓혔을 뿐만 아니라, 애플은 이러한 서드파티 앱들 중 일부를 보다 사용하기 쉽게 만들고 있다. 게다가, 시리에 대한 이들 변경사항은 애플 자체가 경쟁하는 소프트웨어 카테고리에 적용된다. 이는 이러한 유형의 앱을 음성으로 제어할 수 있는 능력을 갖게 될 사용자뿐만 아니라, 플랫폼으로서의 시리의 미래에도 좋은 징조다.   메시지 받기?  기본적으로, 시리는 오랫동안 모든 종류의 메시징 관련 작업을 아이메시지(또는 텍스트 메시징)와 동의어로 취급해 왔다. 왓츠앱이나 스카이프와 같은 서드파티 메시징 앱을 사용했다면, 그냥 운이 없었던 셈이다. 유일한 대안은 그 앱을 시작하고 메시지를 쓰기 위해 받아쓰기 기능을 사용하는 것이었다. 예를 들어, 운전 중 가장 좋은 해결책은 있을 수 없다. 그러나 메시징은 애플이 서드파티 개발자들에게 개방한 분야 중 하나이기 때문에, 예를 들어 “페이스북 메신저로 존에게 메시지를 보내”라고 말하는 것이 가능하다. 그러나 애플은 향후 소프트웨어 변화에서 더 나아갈 것이라고 알려졌다. 블룸버그의 한 이야기에 따르면, iOS는 사용자가 사람들과 의사소통하는 방법을 인식하고 그것을 통해 배울 것이다. 예를 들어 왓츠앱을 통해 친구 그레타와 이야기를 나누는 경향이 있는 경우, 시리를 사용하여 메시지를 보내는 것이 왓츠앱에 기본으로 설정된다(이 기능은 나중에 전화 걸기로도 확장될 것으로 알려져 있다.)   그것은 대단한 일이다. 아이메시지(iMessage)가...

서드파티 시리 애플 2019.10.08

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.