Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

사이버 보안

"기술적 스킬이 전부가 아니다" 차세대 CISO의 5가지 조건

사이버 보안 세계는 빠르게 변화한다. 차세대 CISO로서 역량을 발휘하려면 다음 단계로 나아갈 수 있는 스킬과 관계를 구축 및 유지하기 위한 5가지 지침을 고려하라.  랜섬웨어와 데이터 유출은 기업에 막대한 위험을 초래한다. 이를테면 고객의 신뢰 및 주주 가치 하락, 평판 훼손, 막대한 벌금 등의 피해를 입을 수 있어서다. 사이버 위험은 미국 기업 이사회의 가장 큰 관심사이며, 이에 CISO의 역할이 더욱더 중요해지고 있다. CISO의 절반 이상(61%)이 이사회에 보고하고, 이사회 구성원은 CISO가 말하는 내용에 점점 더 관심을 가지고 있다. 하지만 오늘날의 CISO는 기술적 스킬만으론 충분하지 않다.    1. 전략적 목표를 제시하라 차세대 CISO는 ‘가시성’으로 구분된다. 차세대 CISO는 기술적 또는 전술적 관점이 아닌, 비즈니스 관점에서 문제의 틀을 잡는다. 또한 자신을 ‘비상시에만 활약하는 소방관’이 아니라 ‘선견지명 있는 리더’로 내세운다. 아울러 사이버 보안 그리고 진화하는 위협 벡터 및 규제 명령에 광범위한 전략적 비전을 가지고 있으며, 비즈니스가 이해하는 언어로 말하고, 사이버 보안 개념을 비즈니스 목표 및 전략에 정렬하는 강력한 커뮤니케이터다.  2. 기회와 위험의 균형을 유지하라 모든 위험이 나쁘거나 해로운 건 아니지만 ‘관리되지 않는 위험’은 확실히 그럴 수 있다. 만약 CISO가 모든 위험이 나쁘고 반드시 제거해야 한다고 주장한다면 동료의 지지를 받는 데 실패하고, (따라서) 계획에 차질을 빚을 수 있다. 차세대 CISO는 블로커가 아니라 인에이블러가 돼야 한다.  즉, 경영진이 기회와 위험의 균형을 맞출 수 있도록 지원해야 한다. 허용할 수 있는 (위험) 수준은 어느 정도인가? 비즈니스 부문이 넘지 말아야 할 선은? 이는 CISO가 도움을 줘야 하는 질문이다. 위험은 비즈니스 결정이지 보안 결정이 아니다. 위험과 보상에 관한 논의를 시작하는 건 CISO지만 위험을 수용할지 ...

사이버 보안 CISO 최고정보보안책임자 4일 전

"이제는 선택 아닌 필수" 성공적인 보안 자동화 팁 4가지

ESG가 지난달 발표한 보고서(SOC Modernization and the Role of XDR)에 따르면 기업의 52%가 위험한 위협 환경, 증가하는 공격 표면, 보안 경고의 양과 복잡성 등으로 인해 보안 운영이 2년 전보다 더 어려워졌다고 답했다. 이러한 데이터를 분석할 때 공통적인 주제가 있다. 바로 규모(scale)다.  보안팀은 증가하는 모든 것을 처리하기 위해 운영을 확장할 수 있어야 한다. 아울러 전 세계적인 사이버 보안 인력 부족에서 벗어날 대안도 필요하다. 여기서 ‘보안 운영 프로세스 자동화’가 해법일 수 있다. ESG 보고서에 의하면 SOC(Security Operations Center) 팀의 46%가 보안 운영 프로세스를 ‘광범위하게’ 자동화하고 있으며, 나머지 44%는 보안 운영 프로세스를 ‘다소’ 자동화하고 있다고 밝혔다.    다양한 보안 자동화 접근 방식 보안 운영 프로세스 자동화를 보안 오케스트레이션, 자동화, 대응(SOAR; Security Orchestration, Automation and Response) 기술과 동일시할 수 있다. 기업의 37%가 특정 유형의 상용 SOAR 도구를 사용한다는 점에서 이는 올바른 가정이다.  흥미롭게도 기업의 절반 이상(53%)은 SOAR 대신 (이를테면) SIEM(Security Information and Event Management), TIP(Threat Intelligence Platform), IT 운영 도구 또는 XDR(Extended Detection and Response) 등 다른 보안 기술 내에서 보안 운영 프로세스 자동화 기능을 사용한다고 말했다. SOAR을 사용하는 기업은 (SOAR이) 쉽지 않다고 언급했다. 80%는 SOAR 사용이 예상보다 더 복잡하고 시간이 오래 걸린다고 답했다.    성공적인 보안 자동화를 위한 팁  ESG에 따르면 보안 전문가들은 보안 운영 프로세스 자동화가 MTTR 개선...

SOC 사이버 보안 인력난 2022.11.07

블로그ㅣ디지털 트윈과 사이버 보안

임베디드 오픈소스 라이브러리의 취약점을 악용하는 소프트웨어 공급망 공격은 지난 2020년 무려 430% 증가했다. 2021년에는 더욱더 악화돼 650% 늘어났다. 물론 사이버 보안 전문가에게 새로운 소식은 아니다. 어쨌든 ‘사이버’는 관리할 수 없는 극도의 복잡성을 특징으로 하는 영역이다. 사고 분석처럼 간단해 보이는 일이라도 많은 플랫폼과 도구에서 데이터 및 로그를 수집해야 한다. 증가하는 사이버 보안 공격에 효과적으로 대처하려면 실제 규모에서 연결을 상호 연관시키고 분석할 수 있는 고급 데이터 솔루션이 필요하다. 그리고 마침내 좋은 소식이 있다. 바로 그래프 기반 방어를 적용하는 것이다.    기존에는 소프트웨어 도구의 경고 및 로그를 주로 사용했다. 문제는 이러한 접근 방식을 활용하면 시스템에 관한 전체적인 관점을 얻지 못하고, 사각지대가 생성될 수 있다는 점이다. 이와 동시에 공격자는 기회주의적이기 때문에 아무리 작더라도 취약점을 탐지한 다음 이를 악용하여 더 많은 네트워크에 액세스할 수 있다. 아울러 사용자의 네트워크를 그래프로 생각해 공격을 시도한다. 이를테면 한 노드에 액세스할 수 있으면 해당 노드에서 공격 그래프를 만들 수 있으며, 가장 중요한 시스템과 데이터를 향해 느리지만 은밀하게 작업할 수 있다.  강력한 사이버 보안 적합성 그렇다. 우리는 더 똑똑해지고 (공격자를) 본받을 필요가 있다. 안될 이유가 있을까? 그래프 기술은 IT 인프라 및 보안 도구의 복잡성을 쉽게 포착한다. 특히 그래프는 네트워크 및 사이버 수준에서 데이터를 처리하는 가장 자연스러운 방법이다. 현실 세계를 정확하게 표현(high-fidelity)하는 모델을 제공하기 때문이다. 그래프 데이터 모델은 엔터티와 그 관계의 복잡한 네트워크를 나타내며, 테이블과 같은 기존 표현으로는 감지하기 어려운 패턴을 찾아낸다. 관계형 테이블은 데이터 수집 및 처리하는 데 유용하지만 데이터 요소 간의 관계를 놓친다.  또한 그래프 데...

디지털 트윈 사이버 보안 그래프 기술 2022.09.07

"IIoT와 OT 보안 프로젝트 93%가 실패…투자 확대해야" 바라쿠다 보고서

산업 시스템 공격이 증가하고 있지만 이러한 시스템을 보호하기 위한 보안은 계속 뒤처지고 있다.  클라우드 보안 회사 바라쿠다(Barracuda)가 의뢰해 실시한 설문조사 결과에 따르면 전체 응답자의 94%가 지난 12개월 동안 산업용 IoT(IIoT) 또는 운영 기술(OT) 시스템 공격을 경험한 것으로 나타났다.    ‘2022 산업 보안 현황(The State of Industrial Security in 2022)’은 바라쿠다가 산업 시스템을 담당하는 고위 IT 및 보안 책임자를 대상으로 설문조사를 실시하고, 그 결과를 발행한 보고서다.  바라쿠다의 데이터 보호, 네트워크, 애플리케이션 보안 부문 수석 부사장 팀 제퍼슨은 “현 위협 환경에서 중요 인프라는 사이버 범죄자에게 매력적인 표적이다. 하지만 안타깝게도 IIoT/OT 보안 프로젝트는 다른 보안 이니셔티브에 밀리거나, 비용이나 복잡성으로 인해 실패하여 기업을 위험에 빠뜨리게 된다”라고 말했다.  지정학적 긴장 고조  솔라윈즈 공격, 지난달 리투아니아를 표적으로 한 러시아의 디도스 공격 등 최근 사례는 산업 시스템을 노리는 국가 지원 공격(nation state-backed attacks)에 관한 우려를 불러일으켰다. 그 결과 전체 응답자의 89%가 현 지정학적 상황을 매우 또는 상당히 우려하고 있는 것으로 조사됐다.  콘스텔레이션 리서치의 애널리스트 리즈 밀러는 “러시아의 우크라이나 침공이 사이버 공간으로 진입할 경우 IIoT 기기의 취약점이 주요 표적이 되리라 예상됐기 때문에 전 세계를 긴장시켰다”라고 언급했다.  뒤처진 제조 및 의료 산업  바라쿠다의 보고서에 의하면 전체 응답자의 93%는 소속 기업이 IIoT/OT 보안 프로젝트에서 실패했으며, 그 원인으로 인력과 도구의 부족을 꼽았다. 또 이번 설문조사에 참여한 기업의 18%만이 네트워크 액세스를 제한하고, MFA(다중 요소 인증)를 시행하고 있다고 답했...

사이버 보안 위협 환경 IIoT 2022.07.14

사이버 위협 환경 더 나빠졌다⋯"기업 66% 랜섬웨어 피해 입어"

사이버 위협 환경이 갈수록 나빠지고 있다. 전 세계 31개국 IT 전문가 5,600명을 대상으로 한 설문조사 결과를 담은 소포스의 ‘2022 랜섬웨어 현황(The State of Ransomware 2022)’에 따르면 전체 응답 기업의 72%가 지난해 사이버 공격의 규모, 복잡성, 영향이 증가했다고 밝혔다.    랜섬웨어만 놓고 보면 전체 응답 기업의 66%가 피해를 입었다고 답했다. 전년도 37%에서 크게 증가한 수치다. 팬데믹에 따른 디지털화와 재택근무가 원인으로 추정된다. 아울러 이 걱정스러운 증가세의 또 다른 원인으로는 ‘서비스형 랜섬웨어(RaaS)의 인기’가 꼽혔다. 랜섬웨어 공격을 받았다고 답한 기업의 약 3분의 2(65%)는 공격의 마지막 단계인 데이터 암호화를 당했다. 아시아 태평양 지역에서는 기업의 72%가 랜섬웨어 공격을 받았으며, 이 공격의 72%가 데이터 암호화로 이어졌다. 10곳의 회사 중 9곳은 랜섬웨어 공격이 비즈니스 운영에 영향을 미쳤다고 말했다. 데이터를 되찾기 위해 몸값을 지불했다고 밝힌 비율은 인도(78%)에서 가장 높았으며, 전 세계에서는 기업 2곳 중 1곳 미만이 몸값을 지불한다고 밝혔다.    지역 분석 사이버 보안 업체 소포스(Sophos)의 아시아 태평양 지역 수석 부사장 개빈 스트러더스는 인도가 몸값을 지불했다고 답한 비율이 가장 높은 이유는 데이터 백업 시스템이 제대로 갖춰져 있지 않아 취약하기 때문이라고 진단했다. 두 번째 이유는 랜섬웨어 공격이 보편화되면서 많은 기업이 강화된 방어 수단을 갖추고 몸값 지불을 중단했기 때문이다. 이로 인해 범죄자는 기업의 데이터를 다크웹에 유출하겠다고 위협하는 등의 갈취를 하고 있다. 스트러더스에 의하면 인도 기업은 브랜드와 고객의 개인정보를 침해할 수 있다는 두려움 때문에 더 빠르게 돈을 지불하는 것으로 드러났다.  이러한 2가지 이유는 (인도뿐만 아니라) 아시아 태평양 지역 전체에도 적용될 수 있다. 첫째, 모든...

사이버 보안 랜섬웨어 아시아 태평양 2022.07.13

“의료기관 노린다” 미국 FBI, 마우이 랜섬웨어 경고

美 연방수사국(FBI), 사이버보안국(CISA), 재무부가 ‘마우이’라고 알려져 있는 랜섬웨어에 관한 사이버 보안 경고를 발령했다. 북한의 국영 사이버 범죄자가 적어도 2021년 5월부터 이 악성코드를 사용해 의료 및 공중보건 부문 조직을 공격해 왔다고 밝혔다.  FBI는 해당 위협 행위자가 의료기관을 노리고 있다고 추정했다. 인간의 생명과 건강을 다루는 의료기관이 의료 서비스 중단 위험을 감수하기보다는 몸값을 지불할 가능성이 높기 때문이다. 이러한 이유로 국가에서 후원받는 행위자가 계속해서 의료기관을 표적으로 삼을 것이라고 설명했다.    연방기관이 주의보를 발령한 가운데, 위협 사냥, 탐지, 대응 전문업체 스테어웰(Stairwell)은 블로그에 마우이 분석 보고서를 게시했다. 이 회사의 수석 리버스 엔지니어 사일러스 커틀러에 따르면, 마우이는 복구 지침을 제공하는 내장형 랜섬노트 또는 공격자에게 암호화 키를 전송하는 자동화된 수단 등 RaaS 업체의 도구에서 일반적으로 볼 수 있는 몇 가지 기능이 없다. 그 대신 수동으로 작동하며, 운영자는 실행 시 암호화할 파일을 지정한 다음 결과 런타임 아티팩트를 추출하는 것으로 보인다.   마우이 랜섬웨어는 최신 엔드포인트 보호를 우회할 수 있다 보안 컨설팅 업체 라레스 컨설팅(Lares Consulting)의 적대적 엔지니어링 부문 책임자 팀 맥거핀은 마우이 갱단에서 사용하는 접근법이 상당히 드문 방식이라고 평가했다. 시스템 전체에서 자동화된 랜섬웨어를 경고하고 제거하는 최신 엔드포인트 보호 및 카나리아 파일을 우회할 수 있는 방법이라는 것이다. 그는 “무작위로 흩뿌려 놓고 누군가 걸리길 바라는 ‘스프레이 앤 프레이(spray-and-pray)’ 방식의 랜섬웨어와 비교할 때 특정 파일을 표적으로 삼아 공격자가 훨씬 더 전술적인 방식으로 민감한 항목과 유출할 항목을 선택할 수 있다. 이는 중요한 파일만 표적으로 삼고 복구할 수 있게 하며, 운영체제 파일이 암호화됐을 때도 전체...

마우이 북한 랜섬웨어 2022.07.12

"아시아 기업 최대 보안 과제는 개인정보 침해와 데이터 손실"

아시아 기업의 12%만이 사이버 위협의 재정적 영향을 정량화한 것으로 나타났다. 전 세계 평균(26%)의 절반에도 못 미치는 수치다.  마이크로소프트 그리고 위험 자문 회사 마시(Marsh)가 공동으로 실시한 설문조사 결과에 의하면 아시아 보안 리더의 3분의 2 이상(69%)이 소속 기업의 사이버 보안 복원력을 확신하고 있으며, 48%는 이를 개선해야 한다고 답했다.    이어 사이버 복원력 현황 보고서(The State of Cyber Resilience)의 아시아판은 아시아 기업이 훨씬 더 많은 수의 개인정보 침해(28%)와 서비스 거부 공격(21%)을 경험했다고 밝혔다. 글로벌 기업은 각각 18%와 14%였다.  아시아 기업은 ‘개인정보 침해 또는 데이터 손실(68%)’을 가장 큰 보안 문제로 봤고, 전 세계적으로는 ‘랜섬웨어(79%)’가 꼽혔다. 따라서 데이터 손실은 사이버 위험 관리 전략에 반영 및 해결돼야 하는 중요한 문제라고 보고서는 지적했다. 글로벌과 달리 아시아에서는 58%만이 랜섬웨어를 가장 큰 사이버 보안 문제라고 지목했다.  올해 초 IBM 시큐리티(IBM Security)의 보고서에 의하면 랜섬웨어는 전체 사이버 공격의 20%를 차지하는 글로벌 공격 유형 1위로 조사됐다. 랜섬웨어의 주요 감염 경로는 피싱 및 취약점 익스플로잇이었다.    아시아 기업은 보안에 수동적인 접근 방식을 취하고 있다 보고서는 아시아 기업이 사이버 보안 사고 대응과 관련해 주로 ‘사후 평가’에 초점을 맞춘 수동적인 접근 방식을 취하고 있다고 밝혔다. 아시아 기업 3곳 중 1곳(34%)은 핵심 보험 요건인 ‘엔드포인트 탐지 및 대응’이 없다고 답했다. 또 26%는 지난 12개월 동안 기기를 개선하지 않았다고 말했다. 이렇게 답한 비율이 글로벌에서는 9%에 불과했다.  아울러 아시아 기업의 3분의 1 이상(35%)은 사이버 공격이나 사고가 발생했을 때만 사이버 위험 관련 신기술을 평가하...

사이버 보안 사이버 위협 사이버 복원력 2022.07.07

블로그ㅣ정보보안 ‘영웅’은 필요하지 않다

많은 보안 전문가 사이에는 자신이 소속 기업의 ‘수호자’라는 점에서 특별하다는 믿음이 있다. 만약 그렇지 않다면 회사는 끔찍한 방식으로 붕괴되고 불타버릴 것이라고 생각한다. 또 침해가 만연하고 데이터가 곳곳에서 도난당할 것이라고 생각한다. 클라우드 환경은 적으로 가득 차 있다. 엔터프라이즈 시스템은 랜섬웨어에 잠식될 수 있다. 보안 전문가의 영웅적인 노력이 없다면 이런 일은 항상 일어날 것이다!    보안 전문가가 수호자일 수 있지만 보안 전문가만 그런 건 아니다. 데브옵스 팀도 항상 안정성을 방어한다. 변호사도 법적 책임에서 (회사를) 보호한다. 제품 관리팀과 영업팀도 급여를 보호한다(오히려 진정한 영웅이 아닐까?). 영웅 역할이 되려면 다른 역할도 있어야 한다. 이를테면 어떤 사람은 ‘악역’이 돼야 하고(예: 완벽하지 않은 제품을 감히 출시하는 악덕 제품 관리자 또는 모든 구성요소를 패치하면서 기능 파이프라인을 중단하지 않는 부주의한 엔지니어링 관리자 등), 다른 사람은 선택의 여지없이 ‘희생자’가 돼야 한다(예 : 링크를 클릭하는 불행한 사용자 또는 리스크 관련 의사결정을 제대로 내리지 못하는 경영진 등).  그리곤 자신이 악역 또는 희생자보다 훨씬 더 많이 알고 있다고 생각하기 때문에 모두를 무시하기 시작한다. 전혀 사실이 아니다. 정보보안 전문가는 고도로 전문화된 지식을 가지고 있긴 하지만 대부분은 여전히 회사가 어떻게 돈을 버는지는 이해하지 못한다. 마지막으로 담당했던 프로젝트를 떠올려보자. 갑자기 기득권도 없고, 이해관계도 없는 누군가가 이상한 조언을 했다고 해보자. 이론적으로 또는 적어도 다른 상황에서는 해당 조언이 효과적일지 몰라도 현 프로젝트에서는 아니었다. 이것이 바로 비즈니스 파트너가 종종 정보보안 전문가를 바라보는 관점이다. 즉, 자신의 조언이 얼마나 유용하지 않은지 판단할 실질적인 경험이 없는 오만한 전문가다.  조력자가 돼라 자신을 영웅으로 생각하는 대신 조력자로 생각할 때다(원더우먼도,...

정보보안 사이버 보안 제품 보안 2022.07.06

“버전 설정 악용해 셰어포인트·원드라이브 파일 해킹할 수 있다” 프루프포인트 연구

개념증명(PoC) 익스플로잇이 발생하면 원드라이드 또는 셰어포인트에 저장된 오피스 365 또는 마이크로소프트 365 문서에 액세스하지 못하게 될 수 있다.  프루프포인트(Proofpoint) 연구진에 따르면 클라우드에 호스팅되는 문서가 랜섬웨어 공격자의 손이 닿지 않는 곳에 있고(랜섬웨어 공격은 전통적으로 엔드포인트 또는 네트워크 드라이브의 데이터를 타깃으로 삼았다), 아울러 클라우드 서비스의 자동 백업 기능으로 (랜섬웨어 공격자의) 암호화가 통하지 않을 수 있지만 그렇다 하더라도 기업들을 난관에 봉착하게 만드는 방법은 여전히 존재한다.  연구진은 오피스 365와 마이크로소프트 365 클라우드에서 마이크로소프트 원드라이브 및 셰어포인트 온라인 서비스의 문서 버전 설정을 악용하는 개념증명 공격 시나리오를 발견했다고 밝혔다. 이런 서비스는 API를 통해 대부분의 기능에 액세스할 수 있기 때문에 명령줄 인터페이스와 파워셸 스크립트를 사용하여 이 잠재적인 공격을 자동화할 수도 있다고 회사 측은 덧붙였다.  문서 버전 수 줄이기 프루프포인트에 의하면  공격 체인은 해커가 1개 이상의 셰어포인트 온라인 또는 원드라이브 계정을 손상시키는 것으로 시작된다. 이는 피싱이나, 사용자 컴퓨터에 맬웨어를 감염시킨 다음 인증된 세션을 하이재킹하거나, 오쓰(OAuth)를 통해 서드파티 애플리케이션에 계정 액세스 권한을 부여하도록 사용자를 속이는 등 다양한 방법으로 이뤄질 수 있다.    이를 통해 공격자는 계정이 손상된 사용자의 모든 문서에 액세스할 수 있게 된다. 셰어포인트에서 이를 문서 라이브러리라고 하며, 기본적으로 여러 문서와 해당되는 메타데이터를 저장할 수 있는 목록이다. 원드라이브와 셰어포인트의 한 가지 문서 기능은 편집할 때마다 자동 저장 기능에서 사용되는 파일 버전 관리다. 기본적으로 문서에는 최대 500개의 버전이 있을 수 있지만 이 설정은 하나의 버전으로만 구성할 수 있다.  연구진은 “셰어포인...

마이크로소프트 원드라이브 셰어포인트 2022.06.20

블로그ㅣ보안을 '비즈니스와 정렬한다’는 것의 의미

사이버 보안 리더 사이에서 흔하게 하는 말이 있다. ‘비즈니스와 정렬하는 법을 배워야 한다(We have to learn to align with the business)’라는 것이다. 안타깝게도, 사이버 보안 부분의 리더는 많은 시간을 비즈니스가 ‘사이버 보안과 정렬’되도록 하는 데 쓰고, 그렇게 되지 않을 때 좌절감을 느끼는 듯하다. ‘그렇게 되지 않는’ 이유는 비즈니스 부문처럼 말하려고 하지 않거나 또는 그렇게 말할 수 없기 때문이다. 현실은 사이버 보안이 비용 센터(Cost Center), 즉 소위 말해서 돈만 축내는 곳이라는 점이다. 게다가 그 가치를 인지시키기가 매우 어렵다.   사이버 보안을 비즈니스에 정렬하는 2단계  기본적인 수준에서 사이버 보안을 비즈니스와 정렬하는 것은 2단계 프로세스로 이뤄진다. 비즈니스 언어를 이해하는 게 첫 번째다. 모든 기업의 공통어는 재무다. 이는 사이버 보안 리더의 가장 큰 과제가 될 수 있다. 대부분 산업에는 자체적인 비용 효율성 측정 방법이 있다. 예를 들면 소매업의 단위 면적당 매출액, 의료업의 환자당 치료 비용 등이다. 사이버 보안에서도 다른 비즈니스 부문 또는 사업부처럼 행동해야 한다.  두 번째는 이익이 아닌 가치 방식으로 편익-비용 분석과 ROI를 결정하는 방법 및 측정 기준을 개발하는 것이다. 활동기준원가계산(ABC) 등을 사용해 비용을 계산하고, 손익 분기점 분석을 활용해 투자를 평가하는 것으로 시작할 수 있다. 이는 지출 금액을 결정하고 투자가 ‘그럴 만한 가치가 있는지’ 정성적으로 판단하는 것만큼이나 명확하다. 아울러 이 지점에서 (감소시키고자 하는) 위험의 하한선에 도달하게 된다. 예를 들어 특정 솔루션에 미화 100만 달러를 지출하는 것이 ‘그럴 만한 가치가 있다면’ 최소한 해당 금액만큼 위험을 줄일 수 있으리라 예상한다. 필자가 이러한 하한선이 (기업의) 사이버 보안 지출 총량에 적용된다고 말하면 우려하는 사람들도 있다(정말 관심이 있다면 경제학...

사이버 보안 비즈니스 정렬 CISO 2022.05.31

클라우드 보안팀은 반드시 답을 알고 있어야 하는 질문 9가지

사이버 보안 전문가가 클라우드 인프라와 애플리케이션을 노리는 해커를 퇴치하기 위해 필요한 지식을 얻으려면 패튼 장군(정확하게는 1970년 영화 <패튼 대전차군단(Patton)>에서 패튼 장군을 연기해 아카데미 남우주연상을 수상한 배우 조지 스콧처럼) 생각해야 한다. 이 영화 초반의 한 장면에서 패튼 장군은 적군이 쓴 책(독일 장군 에르빈 롬멜의 책)을 읽고 있다. 패튼 장군이 군사 정보만 의존하지 않는다는 점을 보여준다. 패튼 장군은 적이 어떻게 생각하고 작전을 벌이는지 최대한 파악했다. 그다음 장면에는 영국 부대가 독일군의 탱크와 보병 부대에 가공할 만한 공격을 퍼붓는 모습이 펼쳐진다. 망원경으로 이 상황을 유심히 보고 있던 패튼 장군은 미소를 띠며 “롬멜, 이 대단한 XX! 네가 쓴 책 내가 읽었다!”라고 소리친다.    이와 마찬가지로 비즈니스 책임자와 보안 책임자도 해커의 동기와 전술에 관해 최대한 많은 지식을 미리 알아 둬야 한다. 보안 솔루션이 알려주는 정보만 의존해서는 안 된다. 잘못된 보안 감각만 얻을 수 있기 때문이다. 이 순간에도 해커는 보안 경계를 우회하고, 임의의 경계를 건너며, 보안 솔루션을 회피하여 원하는 데이터를 얻고 있다.  ‘스니크(Snyk)’의 최고 아키텍트이자 클라우드 보안 SaaS 업체 ‘푸가(Fugue)’의 CEO 조시 스텔라는 경영진이 보안 팀에 클라우드 환경 관련 지식을 제공해 달라고 요청하고, 이를 다른 경영진에게 효과적으로 전달해야 보안 투자를 정당화할 수 있다고 강조했다.  아마도 기업의 적(해커)은 자신의 공격 방법을 사전에 공부할 수 있는 책을 써 주진 않을 것이다. 따라서 다음에 소개하는 9가지 질문을 주의 깊게 살펴보자. 클라우드 보안과 관련해 모든 고위 경영진(CISO, CIO, CEO)이 해야 할 질문이자, 클라우드 보안팀이 항상 답을 알고 있어야 할 질문이다. 클라우드 환경의 규정 준수 상태가 어떠한가? 클라우드에서 운영되는 기업 중에서 규제 및...

클라우드 클라우드 보안 사이버 보안 2022.05.19

“사이버 보안 및 네트워킹, IT 지출 우선순위로 꼽혀” ETR

‘ETR(Enterprise Technology Research)’이 미국과 EMEA 지역의 IT 의사결정권자 1,200명을 대상으로 실시한 최신 설문조사 결과에 따르면 기술 채용은 기록적인 수준에 도달했지만 올 2분기 전반적인 IT 지출 증가세는 다소 둔화될 전망이다.  ETR에서 분기별로 발행하는 ‘기술 지출 의향 설문조사(Technology Spending Intentions Survey)’의 최신 버전이 공개됐다. TSIS 보고서는 IT 인력 수요가 지금까지 보고된 결과 중에서 가장 높은 수준이라고 밝혔다. 美 노동통계국(BLS)은 2020년에서 2030년 사이에 미국 시장에서 66만 7,600개 이상의 IT 일자리가 추가될 것이라고 예측했다.  반면에 올 2분기 IT 지출 증가율은 지난 조사 결과(6.8%)보다 감소한 5.5%로 예측된다고 보고서는 전했다. 이에 따라 2022년 총 IT 지출 전망이 6.7%로 하향 조정됐다. 지난 설문 조사에서는 8.3%였다.  IT 지출 우선순위는 ‘보안 및 네트워킹’ 이 결과는 IT 부문이 지속적으로 성장하고 있다는 것을 의미하며, 그중 대부분이 ‘원격근무로의 전환’ 그리고 이에 따른 ‘효과적인 사이버 보안 조치 및 네트워크 기술 수요’에 의해 주도되고 있다고 보고서는 밝혔다. 사이버 보안(5.7%)은 최우선 순위로 꼽혔으며, 클라우드 마이그레이션(4.5%), 애널리틱스 및 데이터 웨어하우징(4.2%)이 뒤를 이었다. 네트워킹은 급격한 순위 상승을 보였다.   아울러 TSIS 보고서는 IT 직원의 42%가 풀타임 원격근무를 하고 있고, 31%는 원격근무와 사무실 근무를 병행하고 있으며, 27%는 현장으로 복귀했다고 전했다. 하지만 팬데믹 종식이 다가오고 있고, 더 많은 인력이 풀타임 또는 시간제로 사무실에 복귀함에 따라 재택근무를 하는 IT 직원의 비율은 계속 줄어들 것으로 예상됐다. 원격근무의 확산은 네트워크 장비의 새로운 우선순위를 촉발했고, 그 결과 공급이 수요를...

사이버 보안 네트워킹 재택근무 2022.05.04

IT리더, 기본으로 돌아가 혁신을 운영하다··· 2022 CIO 현황 보고서 – Deep Dive

팬데믹 위기로 혁신 리더십을 거머쥔 CIO들이 보안과 IT 운영 개선에 더욱 집중하면서 기본으로 돌아가고 있다. ‘팬데믹 영웅’이자 ‘디지털 혁신의 원동력’이었던 CIO들은 엔터프라이즈 아키텍처 현대화부터 운영의 민첩성, 탄력성, 보안 확보까지 기본적인 것들에 집중하고 있다. CIO들이 새로운 기술 투자를 운용하고, 계획된 비즈니스 결과를 제공하면서 올 한 해 기본적인 IT 거버넌스 작업으로 회귀하는 것이 퇴보 또는 역행을 의미하는 건 아니다. 오히려 이 변화는 기술 중심 비즈니스의 자연스러운 주기이며, CIO들은 비즈니스 트랜스포메이션을 주도하는 데 있어 계속해서 핵심적인 역할을 하고 있다.  주요 내용 - 혁신 리더십은 여전히 중요하다 - 사이버 보안이 이니셔티브 및 투자를 주도한다 - 전략적 고문이자 파트너 - 새 워크플레이스를 강화하다 - LOB와 IT의 협력  - 여전히 어려운 인재 찾기 - 아직 남아 있는 D&I 문제

CIO IT 리더 CIO 현황 보고서 2022.03.08

'패치만 잘해줬어도…' 관리 프로세스 6단계

전 세계 사이버 보안 관계자들이 지난 20년 동안 제조된 대부분 컴퓨터에 영향을 끼치는 보안 결함의 총체인 스펙터(Spectre) 및 멜트다운(Meltdown)과 씨름하면서 소프트웨어 패치의 중요성이 다시 한번 주목받고 있다. 왜냐하면 제공되는 소프트웨어 패치가 결함을 해결할 수 있기 때문이다. 단, 칩 성능은 희생해야 한다. 오늘의 상황은 워너크라이(WannaCry)와 페티야(Petya) 랜섬웨어에 대한 작년의 이야기가 반복되는 듯하다. 둘 다 자체적으로 복잡할 여지가 있는 패치로 업데이트되지 않은 소프트웨어 취약점을 공격했다. 이런 균형에서 패치 관리의 복잡성이 드러나고 있으며, IT 및 사이버 보안팀은 보안 위험을 파악하고 패치 적용 시 발생할 수 있는 비즈니스 중단 위험 그리고 IT 인프라 고장과 비교하여 저울질해야 한다. 패치 관리란 무엇인가? 패치 관리는 소프트웨어를 새로운 코드로 업데이트하는 것으로, 대부분 해커가 악용할 수 있는 취약성을 해결하는 것이지만 기존 프로그램의 다른 문제를 해결하거나 새 기능을 추가하기도 한다. 이 활동이 꽤 간단해 보이기도 하지만 대부분 IT 조직에게 패치 관리는 쉬운 일이 아니다. 복잡한 사용자 정의 환경과 복수의 통합 포인트가 있는 현대의 기업에서 소프트웨어 패치를 적용하면 스펙터 및 멜트다운 취약성을 해결하기 위해 개발된 패치와 마찬가지로 하드웨어 또는 소프트웨어가 느려질 수 있다. 패치로 포트가 닫히거나 중요한 인프라가 비활성화되거나 시스템이 충돌하거나 가용성이 저하될 수 있다. 기업이 거래를 운용 또는 처리하기 위해 사용하는 시스템이 사라질 수 있다. IT 거버넌스에 집중하는 국제적인 전문협회 ISACA의 이사 겸 사이버 보안 활동 전문가 프랭크 다운스는 "대형 조직 또는 다양한 네트워크가 있는 경우 패치를 적용하면 여러 시스템에 여러 가지 일이 발생할 수 있다. 배치가 보안 구멍을 해결할 수 있지만 여러 의도하지 않은 결과가 발생할 수 있다"고 말했다. 또한 조직은 패치를 이...

취약점 멜트다운 페티야 2019.01.04

사이버 보안 솔루션 평가를 위한 최종 안내서

새로운 공격 기술을 따라잡고 지능적인 위협에 효과적으로 대응하는 것이 현재의 보안 팀이 직면한 가장 큰 과제일 것이다. 변화가 거듭되는 사이버 위협 환경에서는 지속적인 변화에 동적으로 적응하는 사이버 보안 솔루션을 설계하는 것이 중요하다. 본 안내서를 통해 사이버 보안 솔루션이 갖춰야할 기능들을 살펴보고, RFP 프로세스를 사용해 솔루션을 선택하는 방법을 알아보기로 하자. <16p> 주요 내용 - 공격자의 입장에서 생각하기 - 사이버 보안의 정의 - 사이버 보안 솔루션이 갖춰야할 10가지 기능 - RFP 프로세스를 사용해 솔루션을 선택하는 방법 - 차세대 보안 플랫폼을 통한 사이버 보안  

사이버 보안 2017.11.20

“사이버 보안 위협 심각성 인지 수준 높지만 대응은 미흡”...시스코

시스코(www.cisco.com)는 날로 지능화되고 있는 전세계 보안 위협 현황과 사이버 보안 동향을 조사한 ‘시스코 2015 연례 보안 보고서(Cisco 2015 Annual Security Report)’를 통해 사이버 보안 위협 심각성에 대한 인지 수준과 대응 노력간에는 큰 차이가 있다고 발표했다. 또한 ▲대량의 IP 주소에서 소량의 스팸을 분산 발송하는 스노우슈(Snowshoe) 스팸 ▲일반 사이트의 취약점 공격 ▲조합형 보안 공격의 증가를 최신 3대 보안 위협 트렌드로 제시하며, 보안 공격 탐지가 더욱 어려워지고 있는 만큼 기업들이 보다 다각적이고 종합적인 측면에서 보안 정책을 수립하는 동시에 대비책을 마련해 가야 한다고 강조했다. 한편, 시스코는 이번 조사 결과를 토대로 보안은 ▲비즈니스를 지원해야 하고 ▲기존 아키텍처와 연동해 사용할 수 있어야 하며, ▲투명하고 유용해야 한다고 밝혔다. 또한 ▲가시성을 보장해야 하며, 적절한 행동을 수행할 수 있어야 하고, ▲‘사람’과 밀접한 관련이 있는 문제임을 인식해야 한다는 다섯 가지 보안 행동 강령도 발표했다. 시스코의 이번 보고서에는 9개국 1,700개 기업의 CISO(Chief Information Security Officer)와 보안 담당 중역을 대상으로 실시한 보안 벤치마크 조사(Security Benchmark Study)도 포함된다. 그 결과, 설문에 응답한 CISO의 75%가 사용 중인 보안 툴을 매우 효과적이라고 평가했다. 그러나 보안 침해 사고를 막을 수 있도록 최신 버전의 보안 소프트웨어를 상시적으로 운영할 수 있게 돕는 패칭과 컨피규레이션 등의 표준 툴을 사용하고 있다는 응답자는 44%에 불과했다. 또한 시스코 위협 인텔리전스 조사 결과, 감염 사이트에서 다운로드하는 일반 사용자들이 늘면서 서버와 운영체제 대신 이들을 공격하는 양상이 늘고 있음에도 인터넷 익스플로러(Internet Explorer) 사용자 가운데 불과...

시스코 사이버 보안 2015.01.26

사이버 공격, 단계별 킬 체인을 적용하라 - 웹센스 2014 위협 보고서

2013년 사이버 보안 관련 사건은 무척이나 다양하면서도 새로운 위협이 매달 출현했다. 또한 이 위협이 전반적으로 성공을 거둠으로써 지능형 공격과 타깃 공격이 이제는 예외적인 것이 아닌 일반적 공격이 됐다. 대다수의 공격 목표는 데이터 유출이지만 공격자의 동기와 공격 기법은 매우 다양했다. 이 보고서는 2013년 사이버 공격에 대한 데이터와 예시를 연구해 조직에서 가장 효과적인 방어 전략을 수립하는데 도움을 주고자 한다. 7단계 킬 체인은 위협 환경을 파악하는데 좋은 출발점이 된다. 세분화를 통해 사이버 공격의 작동 원리를 이해하고 각 단계와 모든 단계에서 방어체계를 구축하는 데 필요한 구조를 파악해보자. 주요 내용 사이버 보안의 실태 공격 에코시스템 7단계 킬 체인 적용 킬 체인 방어로의 통합 접근 방식

웹센스 사이버 보안 킬 체인 2014.05.28

IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.