728x90
반응형
정보보호위원회 중심으로 보안위협 리포팅, 보안예산, 보안대책 등 마련·시행
부서간 긴밀한 협업체계, 지속적인 교육·훈련 등 통해 보안 강화
기술적·관리적·물리적 보안조치 등 보안은 어떻게 강화하고 있나
관리적 측면에서는
- CPO(개인정보보호최고책임자) 부서 산하에서는 개인정보를,
- CISO(정보보호최고책임자) 부서에서는 정책·기술 보안 등
- 정보보호위원회를 중심으로 보안위협 리포팅, 보안예산, 보안대책 등을 마련 및 시행
법적 측면
- 법에서 요구하는 보안사항에 대해 집중 점검하고, 모니터링을 강화
- 침해사고 대응 정책 수립·운영, 디도스 모의훈련
- ISMS/PIMS/PCI DSS/ISO27001 등 각종 인증에 대해 유지·평가·개선·운영 활동
기술적 보안 측면
- 암호화, 인증, 보안요구사항 등 체크 및 보안 검수를 수시로 진행
이용자 입장에서부터 기업 비즈니스 측면에서 사업 확장에 따른 보안 적용 등 고민이 한 두가지가 아니다. 관련 법규, 정책, 인적 리소스 문제 등 다양한 영역에서 보안을 고려해야 하는 게 가장 큰 애로사항
(http://www.boannews.com/media/view.asp?idx=67740&kind=0
고우찬 CISO에게 들어본 ‘카카오’ 보안이야기
국내 디지털 음악 플랫폼 멜론(MelOn)을 운영하는 로엔엔터테인먼트, 브랜드 스토어 사업을 하고 있는 카카오프렌즈, 이동 서비스를 제공하는 카카오모빌리티, 핀테크 등 다양한 금융 서비스를
www.boannews.com
CISO로써의 역할
기업보안 법률과 정책, 보안관리론, 개인정보보호 과목 등을 통해 정보보호·개인정보보호 관련 전반적인 법제도나 컴플라이언스 등에 대해 학습
안경제성 분석, 기업보안 투자 및 성과분석 과목 등을 통해 보안분야에서 정량화·계량화하고 성과평가를 할 수 있는 방안
(http://www.boannews.com/media/view.asp?idx=67725&kind=0
보안 ‘기술’ 아닌 ‘경영’에 초점, 상명대 사이버보안경영학과
대학원은 심층 교육을 위한 장소이기 때문에 대부분 ‘특화’된 교육을 하는 곳들이 많다. 이번에 소개할 상명대학교 대학원 사이버보안경영학과 역시 그렇다. 보통 정보보호 관련 대학원들이
www.boannews.com
사이버보안관제 분야에서의 인공지능 적용 필요성
도시 사이버보안관제 효율화 위한 AI 연구 활성화돼야
보안이슈가 4차 산업혁명 시대의 보편적 화두가 되고 있는 현실에서 사이버보안에 새롭게 적용할 수 있는 기술이 무엇인지 생각해 볼 시점인 것 같다.
(http://www.boannews.com/media/view.asp?idx=57675
해킹에 의한 도시 마비는 재앙...AI 기반 보안관제 연구 서둘러야
보안이슈가 4차 산업혁명 시대의 보편적 화두가 되고 있는 현실에서 사이버보안에 새롭게 적용할 수 있는 기술이 무엇인지 생각해 볼 시점인 것 같다. 그동안 서울시를 포함한 대부분의 지자체
www.boannews.com
대부분의 기업은 보안 아키텍쳐를 설계할 때 전형적인 Perimeter Model 을 적용하고 있다.
Perimeter Security Model은 외곽 경계, 즉 방화벽, IDS, IPS 등등의 보안 제품이나 서비스를
성벽을 쌓듯이 겹겹이 설치하여 자산을 보호하는 방식이다.
그러나, 이러한 Perimeter 방식은 몇가지 문제점을 안고 있다.
첫번째, 공격자의 방식이 진화하면서 어플라이언스 장비의 방어 효용성이 낮아졌으며,
둘째, 여러 장비가 있더라도 취약점은 항상 존재한다는 점이다.
따라서 공격자가 Perimeter 모델을 공격/또는 우회하여 내부로 진입할 수만 있다면
그 이후부터는 정상 유저와 공격자의 구분이 어려워 관리자 입장에서 탐지와 조치가 매우 어렵다.
또한 모빌리티 업무 환경이 확산되면서 “언제 어디서든 편하게 접속 가능하면서도”
“안전한” 기업 네트워크 아키텍쳐의 필요성이 대두되었다.
기존 Perimeter 모델의 한계를 극복하면서도
사용자 Usability를 동시에 만족시킬 수 있는 새로운 보안 아키텍쳐 BeyondCorp모델을 발표
-
모든 엔터프라이즈 시스템 접속 시 Authentication, Authorization, Encryption 적용
-
사내/외 구분없이 어디서든 접속이 가능해야 함 (Cloud Based)
-
VPN 접속 프로그램과 같은 별도의 연결절차 없이 Security Policy 만으로도 네트워크 접근 통제 가능
-
모든 접속은 기기와 사용자에 대한 안전성(Secure)이 완벽하게 검증되었을 경우만 허용
|
① 기기 인증 (Device Inventory)
– 접근을 요청한 호스트가 정상적으로 구글에서 제공한 신뢰할수 있는 기기임을 확인② 사용자 인증 (User/Group Database)
– 접근하는 호스트 사용자가 정상적인 구글 임직원인지 여부 확인
– 사용자의 소속 그룹과 업무 (Job Description) 확인
③ 접근 제어 엔진 (Access Control Engine)
– 기기정보, 사용자 정보, 취약점 정보등을 상관분석 (Correlation) 하여
사용자 접근 허용 여부를 결정하는 엔진
|
728x90
'03.Security' 카테고리의 다른 글
| 해킹 (Hacking) (0) | 2023.07.13 |
|---|---|
| 정보보안 - 보안관제, 침해사고 대응 - SOAR (Security Orchestration, Automation and Response) (0) | 2023.07.13 |
| 정보보안 - 보안관제, 침해사고 대응 - 인공지능 (0) | 2023.07.13 |
| 정보보안 - 제로 트러스트 (Zero Trust) - 디지털 건전성(Digital Soundness) (0) | 2023.06.02 |
| 빅데이터 - 데이터 소유권 - 마이데이터 (MyData) - 스크래핑 기술 (0) | 2023.05.17 |
