(ISC)² Blog

CISO로부터의 팁: 보안 프로그램을 만드는 방법

작성자: Marco Tulio Moraes, CISSP, 정보 보안 이사, CISO, OITI Marco는 테크놀로지, 리스크 및 인포섹 분야에서 20년 이상 경력을 쌓은 임원으로, 10년 이상의 국제 경력을 보유하고 있다. 그는 금융, 기술, 건강, 소매/시장, 스타업 및 공공사업 등의 다양한 분야의 경력을 갖추고 있다. Marco는 브라질 최초의 사이버 보안 프로그램들 중 하나를 개발했으며 경력 멘토, 강연자, 보안 전도사 및 이사회 고문으로 일하고 있다.

보안 프로그램을 개발하는 것은 때때로 초집중하고 있는 것을 누군가가 방해하고 있는 와중에 시계는 똑딱거리는 거리며 3,000개의 조각 퍼즐을 맞추는 것과 같은 느낌이 들기도 한다. 도전을 더 어렵게 만들기의 일환으로, 여러분께서 그리고 있는 큰 그림은 끊임없이 진화하게 된다.

CISO의 일반적인 과제는 주제별 전문 지식을 적용하는 것 이상으로 조직 문화를 이끌고 비즈니스 번영을 촉진하기 위해 리더십, 전략 및 커뮤니케이션 기술을 적용해야 한다. 비즈니스를 이해하고, 이해 관계자들의 기대치를 관리하며 회사 전체에 동일한 위험 인식 수준을 설정하는 것은 CISO가 해결해야 하는 과제들 중 일부 예시일 뿐이다. 주제 전문가로서의 역할은, 일반적으로 위험 평가 및 격차 분석으로 시작하여 공식적인 사이버 보안 프로그램 계획이 이어진다.

계획을 수립하는 데 있어 아무리 많은 노력을 기울인다 해도, 미러링 하고 있던 큰 그림이 더 이상 비즈니스에 가치를 제공하지 않는다는 것을 깨닫게 되는 순간은 항상 있다. 인수 합병, 새로운 경쟁, 새로운 기술 적용, 내부 비즈니스 전략 변경 등이 비즈니스 환경을 혼란스럽게 하므로, 계획들은 적응 및 지속 가능해야 한다. 변화하는 비즈니스 환경 외에도, 새로운 사이버 사고, 새롭게 대두되는 높은 위험, 새로운 규제 기한, 코로나19와 같은 글로벌 이벤트 등이 보안 프로그램을 변화하게 한다.

지속 가능하고 적응 가능한 보안 프로그램을 개발하는 방법은 무엇일까?
첫 번째는 올바른 기초 기둥을 세우는 것이다. CISO 생태계에서 변화는 늘 존재한다는 것을 알고 있기 때문에 이를 게임 계획의 일부라고 생각하고 최대한 빨리 감지하고 대응할 수 있도록 전략을 세워야 한다. 나는 보안 경영진들이 다음과 같은 특정 관점에 전략을 집중할 것을 제안한다.

1. 비즈니스 인식
CISO 직무에서 비즈니스는 일회성 활동이 아니라 지속적이어야 함을 이해하십시오. 비즈니스 목표, 제품, 서비스, 문제 및 전략을 이해하는 것은 보안 팀이 비즈니스 목표를 지원함과 동시에 기존 보안 작업을 수행하는 데 도움이 된다. 그러나 CISO가 스스로 비즈니스의 한 부분으로 자리매김할 수 있도록 하여 조직이 비즈니스 및 사이버 보안 지형에 기반하여 위험을 평가하고 현명한 결정을 할 수 있도록 해야 한다.

2. 전략적 포지셔닝
정보 보안 프로그램이 비즈니스에 제공할 수 있는 가치의 종류를 이해하는 것은 프로그램이 받아들여지고 지원을 받는 데 필수적이다. 디지털 비즈니스 전환 움직임을 감안할 때, 사이버 및 정보 보안은 이제 CISO가 유지 및 보호 역할을 넘어 비즈니스 개발자 및 비즈니스를 가능하게 하는 역할까지 수행하는 데 중요한 비즈니스 구성 요소로 인식되기 시작했다. 이러한 성숙도를 달성하려면 CISO가 전략적 마인드를 유지해야 한다.

3. 연대
보안 프로그램은 1인 도전 과제가 되어서는 안 된다. 부서는 조직 전체의 보안 문화를 보급하는 데 기여할 수 있는 모든 사람들을 참여시켜야 한다. 주요 이해 관계자들과 함께 전략을 정의하고, 비즈니스를 이러한 일부의 계획들로 이끌어 나가는 것은 위험 소유권과 책임 문화를 형성하는 것 외에도 프로그램이 받아들여지고, 프로그램 효율성을 창출하는 데 도움이 된다.

4. 강력한 팀 구축
도전적이고 열정적이며 숙련된 팀을 보유는 것은, 조직이 이해 관계자들 및 전체 조직을 검토된 전략에 연결하는 동시에, 해결해야 할 기술적 변화를 추진하도록 도울 것이다. 지침, 자율성 및 지속적인 피드백을 갖춘 팀은 기술적인 전문성과 회사를 선도하고, 영향력을 주며, 변화를 제안하는 것의 양쪽 측면에 있어서 보안 프로그램의 성공에 필수적인 요소이다. 또한 강력한 팀은 조직이 위험을 더 잘 관리하기 위해 필요한 기술적 노하우를 대표한다.

5. 커뮤니케이션
보안 프로그램을 이끄는 것은 특정 목표를 달성하기 위한 올바른 도구, 프로세스 및 거버넌스를 정의하는 것을 넘어선다. 그것은 보안 측면에서 조직 문화를 이끄는 것이다. 이는 기업의 마인드를 바꾸고 조직의 변화를 주도하는 경우가 많다. 커뮤니케이션은 올바른 메시지를 주는 것과 커뮤니케이션이 이루어지고 있는 것을 듣는 것 사이의 핵심 연결고리이다. 변화는 시간이 걸리고 지속 가능한 변화를 만들기 위해 계속적인 상호 작용을 필요로 한다.
정보 보안 분야를 단순한 기술적인 관점을 넘어 비즈니스의 일부로 옮기려면 CISO가 여러 가지 역할을 해야 한다. 이는 위험을 완화하는 것이 유일한 선택이 아니라는 것을 의미하며, 결국, 보안 부서는 회사의 지킴이가 아니라 탄력적이고 변화에 적응할 수 있는 중요한 사업부로서 일해야 한다. 이런 접근에서, 기업이나 위험 상황에서 어떤 일이 발생하든지 간에 보안은 비즈니스를 실현하는 데 있어 계속해서 그의 역할을 할 것이다.


 

사이버 보안 분야의 젊은 여성들을 축하하며 - WEIJIA YAN, (ISC)² 학부 장학금 수령자

(ISC)² 장학금 프로그램은 전 세계의 미래 사이버 보안 전문가들에게 장학금을 제공하여 이 중요한 분야에서 보람 있는 경력을 준비할 수 있도록 지원하는 노력의 일환으로 272만 명의 전문가가 필요한 사이버 보안 인력 격차를 해소하는데 기여하고자 한다.

동시에, 업계는 오늘과 내일의 문제들을 해결하기 위해 보다 다양한 시각과 새로운 인재가 절실히 필요하다. 장학금을 통해 (ISC)²는 이제까지 불충분하게 대변된 소수의 개인들에게 더 많은 기회를 창출하고 더 많은 젊은이들이 사이버 보안에서 경력을 추구하도록 고무하고자 한다.

2021년, Weijia Yan은 Texas A&M 대학에서 4학년 과정을 마칠 수 있도록 지원된 (ISC)² 학부 장학금을 수령했다. Weijia는 정보 시스템 경영 전공 및 사이버 보안 부전공으로 학사 학위를 취득하며, 2021년 12월에 우등으로 졸업했다. 그녀는 현재 Carnegie Mellon 대학에서 정보 기술-정보 보안 분야의 석사 과정을 밟고 있다.




왜 사이버 보안일까
Texas A&M에 있었을 때, 한 교수가 그녀에게 사이버 보안 클럽을 확인해보라고 제안했다. Weijia는 바로 그 클럽과 연락했고, 가능한 한 최대로 많이 배울 수 있는 모든 기회들을 흡수하고, 업계 전문가들을 만나고, 사이버 보안 분야의 경력을 스스로 개척하면서 그 중간에 사이버 보안을 부전공으로 선택했다.

Weijia는 사이버 보안에 매우 열정적이며, 더 많은 여성들을 그 직종으로 데려오고 싶었다. 업계에서 흔히 관찰되는 것으로, Weijia는 그 클럽에 여성이 충분하지 않다는 것을 알아차렸고 더 많은 여성들을 회의에 데려오고 그들이 환영받는다고 느낄 수 있도록 나섰다. Weijia는 Texas A&M 대학의 사이버 보안(WiCyS) 여성 챕터를 설립하고 회장으로 활동했다. 1년이 채 되지 않아 클럽은 3명의 회원으로부터 30명으로 성장했다.

사이버 보안은 항상 Weijia에게 관심의 대상이 되어 왔고, Texas A&M에서 공부하면서 열정으로 발전했다. 어린 시절, 그녀는 사이버 보안 전문가들에게 일반적인 진입점인 CTF(Capture the Flag) 게임을 실험하고 윤리적인 해킹에 손대기 시작했다. 이제 그녀는 언젠가 정보 보안 최고 책임자가 되기를 꿈꾼다.

Weijia의 사이버 보안 신입 대학생들을 위한 조언
Weijia는 사이버 보안에 관심이 있는 대학생이라면 누구든지 자신의 대학 사이버 보안 클럽을 확인하도록 추천한다. 이 주제에 관심이 조금밖에 없는 사람들조차도, 심지어 그들이 아직 기술적인 사이버 보안 능력을 가지고 있지 않음에도, 기회를 통해 얻게 되는 가치에 놀라게 될 것이다. 최근의 (ISC)² 연구는 이 직업군이 새로운 진입자들이 가져올 수 있는, 다른 가치가 있는, 비 기술적인 재능들을 적극적으로 찾고 있음을 확인했다. 기술적인 능력은 직업에서 항상 학습할 수 있다. 사이버 보안 전문가들에 따르면, 자격증 및 관련된 사이버 보안 경험과 동등한 또는 더 중요한 특징은 강력한 문제 해결 능력, 호기심, 학습에 대한 열정, 강력한 의사소통 능력, 전략적 사고 등이다.

Weijia는 관계 구축과 커뮤니티의 중요성을 강조한다. 그녀가 Texas A&M 사이버 보안 클럽을 통해 이룬 많은 사이버 보안 관계들은 그녀가 기술을 개발하고 커리어를 발전시킬 수 있는 문들을 열어주었다. 그녀는 또한 가능한 한 빨리 인턴십을 신청하거나 IT 헬프 데스크에서 일하면서 보안에 직접 노출될 것을 권장한다.

(ISC)² 및 그 자선 재단인 Center for Cyber Safety and Education(사이버 안전 및 교육 센터)에서는 그녀의 성취를 축하하고, 앞으로의 경력에 행운이 있기를 기원한다.

사이버 보안 분야에서 경력을 시작할 준비가 되셨습니까?
사이버 보안은 보람 있는 직업이며, 사이버 보안을 추구하는 데 관심이 있는 많은 사람들은 직접적인 경험이 부족하더라도 이미 전환이 가능한 기술들을 보유하고 있다.

학생들 및 사이버 보안으로 경력을 변경하는 사람들에게는 (ISC)² entry-level 사이버 보안 자격증 파일럿 시험에 등록하는 것이 권장된다. 현재 파일럿 프로그램이 진행 중이며 관심 있는 지원자들은 지금 시험에 등록할 수 있다. 새로운 사람들에게 도전적이면서도 달성 가능하도록 설계된 이 기초 자격증은 사이버 분야에서 경력을 쌓는 데 관심이 있는 전문가들이 보상받는 커리어로 가는 길에 필요한 교육과 정보를 얻도록 도움을 줄 것이다.

(ISC)² entry-level 사이버 보안 파일럿 프로그램과 시험 개요에 대해 더욱 자세히 알아보시려면, https://www.isc2.org/Notice/New-Cert를 방문하십시오.

 

사이버 보안이 왜 젊은 사람들이 진입하기에 가장 좋은 분야 중 하나일까?

사이버 보안 업계는 인재 부족을 겪고 있으며 272만 명에 달하는 글로벌 인력 격차를 해소하기 위해 전문가들을 찾고 있다. 중요한 자산을 적절히 보호해야 한다는, 조직들이 당면한 필요성을 충족시키려면 젊은 사람들이 그 답이 될 수 있다. 유일하게 한결같은 것이라고는 진보, 진화하는 도전 그리고 계속적인 교육인 사이버 보안 업계야 말로 혁신적이고 보람 있는 분야에 관심 있는 Z세대와 젊은 밀레니얼 세대에게 적합한 선택이다.

만족과 보상
"사이버 보안 전문가들이 스트레스를 받고, 인정받지 못하고, 압도적인 압박을 받고 있다는 일부 언론을 통해 널리 알려진 이야기들에도 불구하고, 우리의 연구는 높은 참여도와 만족도를 보이는 인력임을 드러내고 있다."(2021 (ISC)² 사이버 보안 인력 연구 / 2021 (ISC)² Cybersecurity Workforce Study) 인력 연구 응답자들의 77%는 자신의 직무에 만족하거나 매우 만족한다고 보고했으며, Z세대와 밀레니얼 세대가 79%로 가장 높은 만족도를 경험하고 있다.

Z세대와 밀레니얼 세대가 추구하는 자유와 일/사생활 균형이 원격 근무의 유동성을 통해 가능해졌으며 사이버 보안 업계에서는 이를 잘 수용하고 있다. 인력 연구에 따르면 전 세계 응답자들의 약 85%가 2020년과 2021년에 원격 근무를 한 것으로 나타났다. 팬데믹으로 원격 근무 추세가 확대되었지만 원격 근무를 구현한 기업들 중 단 24%만이 기존의 사무실 환경으로 완전히 돌아갈 계획을 가지고 있다.

사이버 보안 전문가들은 높은 직업 만족도를 느끼고 있을 뿐만 아니라 업무에 대한 훌륭하게 보상받고 있다. 응답자들은 세금 전 평균 연봉이 미화 90,900달러로, 2020년 응답자들의 미화 83,000달러에서 상승했으며, 그중 31%는 평균 연봉이 미화 10만 달러 이상이라고 보고했다.

사이버로 가는 길
Z세대와 밀레니얼 세대는 현재 사이버 인력의 39%를 차지하며 그들의 진출과 함께 사이버 보안으로 들어가는 경로는 이전 세대보다 훨씬 다양해졌다. 젊은 전문가들에게는 IT 이 외의 분야에서 시작하는 것이 점점 흔해지고 있으며, 이는 사이버 보안이 젊은 인력들과 학생들에게 직업적 기회로 더 잘 이해되고 있다는 것을 나타낸다. X세대의 경우 53%, Boomers의 경우 55%인 반면, 젊은 사이버 전문가들의 38%만이 IT에서 시작했으며 교육 및 자율 학습을 통한 진입률이 더 높다. IT 배경이 전체적으로 가장 일반적인 단일 경로로 남아있지만, 조사 참여자들의 47%를 통해 다양한 진입점이 있음을 찾을 수 있다.

사이버 보안 인력 격차를 채우기 위해 (ISC)²는 새로운 Entry-Level Certification 개발을 모색하는 흥미로운 과정을 시작했다. 이 기초 자격증은 사이버 분야에서 경력을 쌓는 데 관심이 있는 전문가들이 보상받는 커리어로 가는 필요한 교육과 정보를 얻는 데 도움을 줄 것이다. 업계 경험이 있거나 전문 분야에 관심이 있는 사람들을 위해 (ISC)² 자격증 패스파인더 / (ISC)² Qualification Pathfinder는 어떤 (ISC)² 자격증이 가장 적합한지 쉽게 찾을 수 있는 간단한 온라인 설문지를 제공한다.

(ISC)² 연구에 대한 자세한 내용 및 2021 (ISC)² 인력 연구 전문을 보시려면 https://www.isc2.org/Research를 방문하십시오.


 

설문 조사 자료: 2022년 사이버 보안에 대해 CEO들이 알아야 할 사항

한 해의 시작은 지난 12개월을 돌아보고 2022년 개선 계획을 세우기에 좋은 시기다. 2021년, 지난 해들과 마찬가지로 사이버 보안 업계에서도 보안 사고, 대규모 랜섬웨어 공격, 위험 요소 증가 등 여러 가지 문제가 더 많이 드러났다. 2021년, JBS Foods, Kaseya, Colonal Pipeline 등 가장 치명적인 사이버 공격들이 발생했다. 이러한 공격들은 전 세계적으로 관심을 받았고 사이버 보안 모범 사례에 대한 더 많은 관심이 필요함을 강조했다.

전 세계 CEO들이 사이버 위험을 더 잘 이해하고 비즈니스를 보다 안전하게 만들 수 있도록, (ISC)²는 사이버 보안 리더부터, 사이버 보안 팀 구성원에 이르는 200명의 사이버 보안 실무자들을 대상으로 온라인 설문조사를 실시했으며 그들에게 간단한 질문을 했다. 다가오는 내년, 비즈니스를 더욱 안전하게 하기 위해 모든 CEO들이 알아야 할 사항은 무엇입니까? 응답을 분석한 결과, 모든 CEO들이 2022년까지 알아야 할 다섯 가지 권고들은 다음과 같다.

사이버 보안이 수익에 미치는 영향을 파악하십시오.
갈수록 디지털화되는 우리 사회에서 사이버 보안은 비즈니스 연속성 보장과 고객 데이터 및 개인 정보 보호를 위해 매우 중요하다. 그러나, 대부분의 사이버 보안 전문가들은 사이버 보안이 비즈니스에 있어 충분히 높은 우선순위에 있지 않다고 단호히 주장한다. 사이버 보안 관리 역할을 맡고 있는 한 응답자는 "보안은 비즈니스의 핵심으로 깔려있어야 한다. 그냥 나중에 생각해야 할 것이 아니다."라고 말했다. 또 다른 응답자는 "CEO들은 보안이 IT 문제나 기술 문제가 아니라 회사의 모든 측면에 영향을 미치는 비즈니스 문제임을 알아야 한다"라고 말했다.

한 응답자는 사이버 보안을 세일즈 툴로 사용하여 경쟁 우위를 확보할 수 있도록 권장했다. 또 다른 응답자도 비슷한 관점을 가지고 있었으며, "제품, 서비스 또는 프로세스에 보안을 고려하고, 회사와 고객에게 보다 탄력성 있고 더 나은 결과를 제공할 수 있도록 보안을 개발 단계에서 고려할 수 있어야 할 것"을 CEO들에게 제안했다. 사이버 보안은 차별화 요소일 뿐이기에 더 나아가, 만약 첨단 기술이 공격 또는 데이터 유출에 취약할 경우 이러한 첨단 기술에 대한 투자가 쓸모없어 지므로 사이버 보안은 반드시 디지털 전환 전략의 핵심이 되어야 한다.

2021년 데이터 침해의 평균 비용이 미화 4.24 만 달러로 증가한 것을 고려하면, 사이버 보안이 핵심 비즈니스 목표가 될 때, 기업은 고객 신뢰를 구축하고 브랜드 명성을 강화하며 장기적으로 비용을 절감할 수 있다. 한 응답자는 “보안은 비즈니스 비용 일 뿐만 아니라 타당한 비즈니스 요구 사항이며 랜섬웨어 및 정교한 위협으로부터 보호하기 위해 적절히 재정 지원을 받아야 한다"라고 말했다. 사이버 공격이 성공한다면, 준비된 조직들은 이를 더 빨리 감지, 보완하고 피해를 최소화할 수 있다.

모든 사람이 사이버 보안을 책임지도록 하십시오.
조직 내 사이버 보안의 책임은 모든 사람에게 있다는 것이 전반적으로 공통된 주제다. 피싱은 사이버 공격자들 사이에서 가장 흔한 공격 방법 중 하나로, 업계는 사이버 보안 인식 교육이 결코 충분할 수 없다는 데 동의한다. 실제로 설문 조사에 응한 응답의 12%에서 사이버 보안 교육이나 인지도 교육이 언급됐다. 한 응답자는 모든 조직들이 사이버 공격에 취약하며, "작은 조직들조차 공격과 갈취를 당할 수 있기 때문에, 보안은 모든 사람의 의무임을 강조한다"라고 말했다.

사이버 보안 교육을 자주 실시하는 것은 직원들이 사이버 보안을 최우선으로 고려하도록 하는 가장 좋은 방법이며, 인상적인 ROI를 보이는 높은 비용 효율적인 솔루션이다. 사이버 보안 리더십 역할을 맡고 있는 한 응답자는 "[단순] 변화는 [조직의 보안 태세에] 중요한 영향을 미칠 수 있다. MFA, 보안 인식 교육, 의무적 취약성 관리 등의 항목은 방어를 강화하는 데 큰 역할을 한다."라고 언급했다.

응답자들은 CEO들이 인식 교육의 중요성을 간과해서는 안된다고 경고했다. 간단히 말해서, 사이버 보안 관리 직책에 있는 한 응답자는 "오늘날의 세계에서 회사를 보호하려면 보안 인식 및 내부 위협 프로그램이 필요하다."라고 말했다.

보안 팀을 고용하고, 적절한 보상을 제공하십시오.
적절한 사이버 보안 도구를 갖추는 것은 필수적이지만, 사이버 보안 팀이 이러한 도구를 이용할 수 있도록 적절한 교육을 받지 않았거나 보안 프로그램을 관리하기 위해 적절한 인력을 배치하지 않았다면 사이버 보안 도구들도 소용이 없게 된다. 한 응답자는 CEO들에게 "인증받은 또는 다른 자격을 갖춘 사이버 보안 인력을 고용해서, 적절히 지불하며, 취약점을 평가하고, 확인하고, 보완하기 위해 필요한 자원과 권한을 제공해야 합니다"라고 권고했다.

사이버 보안은 비즈니스 투자이다. 한 응답자는 "[내부] 팀이든 제삼자 계약자든 정보 보안에 더 큰 투자가 있어야 한다. 보안은 투자이고, 구인과 급여 사이에는 상관관계가 있다. 교육, 임금 및 성장 기회에 투자하십시오."라고 말했다.

조직의 규모와 운영 산업에 따라 한 명의 사이버 보안 전담 인력으로는 부족할 수 있다. 한 응답자는 CEO들이 "조직 내에서 필요한 직책에 대한 인력을 고용하고 [적절한 교육]하는 방법”을 알아야 한다고 지적했다. CEO들과 채용 담당자들은 보안팀 리더들과 함께 필요한 직원들의 수요를 파악해야 한다. 현재 272만 명의 사이버 보안 전문인력이 부족하며, 사이버 보안 "올스타"만을 좇는 것은 실행 가능한 전략이 아니다.

사이버 보안 리더들은 분석적 사고, 호기심, 문제 해결 등 사이버 보안 경력 성공에 필수적인 기초적인 비기술적 스킬을 모색 중인 커리어를 변경하는 사람들을 점점 더 채용하고 있다. 숙련도와 상관없이, 모든 직원은 전문적인 개발 기회를 이용할 수 있어야 하며 효과적인 수행을 위해 조직의 사이버 보안 도구에 대한 교육을 받아야 한다.

사이버 보안 전문가에게 임금을 잘 지급하는 것도 중요하다. 직종에 관계없이 직원들이 경쟁적으로 교육, 지원, 급여를 받을 때 높은 수준의 직무 만족도를 보고하고 회사에 머무른다. 사이버 보안 일자리 시장은 전문인력의 절반 가까이가 리크루터들로부터 매주 접근이 있다고 보도되는 것처럼 치열하다.

랜섬웨어에 대비하십시오.
2021년 버라이존 데이터 침해 조사 보고서에 따르면 올해 랜섬웨어 공격 빈도가 2배 증가했으며 FBI는 랜섬웨어 민원이 매년 62% 증가했다고 보고했다. 랜섬웨어는 최근 발생한 새로운 형태로, 공급망 공격, 이중 갈취와 함께 랜섬웨어는 사이버 공격자들 사이에서 인기가 높아지고 있는 서비스이다. 랜섬웨어는 응답자의 10%가 랜섬웨어를 언급한 만큼 사이버 보안 업계의 최대 관심사 중 하나다.

랜섬웨어는 피할 수 없다 - 한 응답자가 "랜섬웨어는 다른 사람에게만 발생하는 것이 아니다"라고 말한 것처럼 말이다. 성공적인 운영을 위해 기업들은 빈번한 테스트를 거친 랜섬웨어 대응 계획을 보유하고 매년 위험 평가를 수행해야 한다. 사이버 보안 관리 역할을 수행하는 한 응답자는 "[CEO들은] 여러분의 조직에서 피싱 및 랜섬웨어에 대한 효과적이고 테스트된 교육 및 개선 계획을 보유하는 데 개인적인 오너쉽과 책임을 져야 한다."라고 말했다. 비슷한 직책을 맡은 또 다른 응답자는 랜섬웨어를 차단하기 위해 CEO들이 사이버 기본을 제대로 익힐 필요가 있다고 강조했다.

한 응답자는 계획을 세우고 사이버 기본 사항을 수행하는 것 외에도 고급 위협 탐지 기술을 구현하고 사이버 보안 팀을 구성하여 방어를 강화하는 것이 중요하다고 강조했다.

원격 근무를 가능하게 하는 기술에 투자하십시오(이는 사라지지 않기 때문에)
원격 및 하이브리드 근무 가능화가 가장 중요한 설문 주제 중 하나로 응답의 13%를 차지했다. 세계적 팬데믹이 특히 우리가 일하는 방식을 발전시켜 나가고 있다. 한 응답자는 "모든 CEO들이 COVID-19로 인한 재택근무 콘셉트와 관련된 위험을 이해해야 한다"라고 권고했다.

원격 및 하이브리드 근무는 비록 사이버 위험이 따르지만 사무실 외부에서 업무를 수행할 수 있는 많은 전문가들이 이를 핵심 특전으로 인식하고 있다. 한 응답자는 “특히 생산성이 저하되지 않았기 때문에, 보다 유연하고 원격으로 근무하는 것에 대한 직원의 요구가 사라지지 않고 있다. CEO들은 계속해서 직원의 근무 유연성을 가능하게 하는 기술에 투자해야 한다."라고 말했다.

설문 응답자들은 원격 인력 보안, CEO들의 자산 관리 투자 독려, 제로 트러스트 구현, 보안 상 위협이 없는 유동성과 유연성 도모, 비즈니스 위험 재평가, 안전한 원격 기술 구현, BYOD 정책 검토, 수시 보안 의식 교육 추진 등 다양한 의견을 제시했다. 체크리스트가 길어질 수 있지만 CEO는 보안 담당자와 우선순위와 필요성에 대해 논의하여 원격 근무 전략을 개발해야 한다.

CEO들이 2022년을 향한 사이버 보안에 대해 무엇을 알아야 한다고 생각하십니까? (ISC)² 커뮤니티에서 의견을 공유하고 대화에 참여하십시오.


 

진정한 IoT(사물 인터넷) 보안의 새벽

IoT(Internet of Things) 디바이스들은 이제 어디에나 있다. 가장 초기의 디바이스들이 시장, 가정, 그리고 더 나쁘게는 기업들에서 나타난 이후, 보안 전문가들은 이러한 디바이스들이 보안에 대한 고려 없이 구축되었음에 대해 경종을 울렸다.

NIST(National Institute of Standards and Technology)는 출시하기 전에 이러한 디바이스들을 안전하게 하는 것과, 구매 및 통합에 관한 새로운 초안 지침서를 지금 발표했다. 이 새로운 간행물들은 기업과 소비자 모두에게 긍정적인 효과를 줄 것이다. 하지만, 다른 기술적인 지침들처럼, 이 아이디어들은 유능하고 자격을 갖춘 사람들을 통해서만 효과적이다.

수년 동안, 사이버 보안 전문가들은 수많은 IoT(사물 인터넷) 디바이스들의 성급한 시장 출시 확산에 대해 한탄했다. 왜 그렇게 걱정했을까? 초창기에는 많은 사람들에게 차 주전자, 집 CCTV 카메라, 그리고 냉장고까지도 인터넷에 연결된다는 개념이 매우 편리하게 보였다. 인포섹 전문가들은 왜 그렇게 우려했을까?

네트워크 공격에서의 내부망 이동(래터럴 무브먼트)은 가장 일반적인 공격 매개체 중 하나가 되었고, 홈 네트워크에 IoT 디바이스를 부착한 대부분의 사람들은 네트워크 분할과 같은 것들에 익숙하지 않으며, 게스트 네트워크를 통해 기밀 정보가 저장될 수 있는 가정용 컴퓨터와 같은 더욱 귀중한 자산으로부터 이러한 장치를 격리시키는 방법에도 익숙하지 않다.

홈 네트워크 외에도 기업 네트워크 역시 IoT 디바이스들로부터 악명 높은 카지노 수족관 공격과 같은 위험에 노출되어 있다. 다행스럽게도, 잘 문서화된 그 공격은 일반적인 것보다 더 특이하게 보이지만, 요점들은 분명하다:

ㆍ대부분의 IoT 디바이스들은 보안을 염두에 두고 제작되지 않았다;
ㆍ대부분의 사람들은 이 제품들의 잠재적인 취약점을 알지 못한다.
ㆍ이러한 결함을 해결하기 위한 업데이트 메커니즘을 가지고 있는 제조업체는 거의 없다.

IoT의 상황은 개선되었을까? 보아하니, 사이버 보안 커뮤니티를 안심시키기에는 충분치 않으며, 심지어 전체적 대중들을 안심시키기도 역부족이다. 보안만 중요한 것은 아니다; 프라이버시 역시 중요하다. 최근 조사에 따르면, 응답자의 63%가 "사람과 그들의 행동에 대한 데이터를 수집한다는 점에서 연결된 디바이스들이 '소름 끼친다'라고 느낀다"라고 말했다. 현재 이렇게 편재하는 디바이스들의 보안과 프라이버시 우려를 동시에 해결할 수 있는 방법이 있을까?

NIST의 새로운 지침
다행스럽게도, NIST(National Institute of Standards and Technology)로부터 도움의 손길이 새로운 지침의 형태로 도착했는지도 모른다. 새로운 IR(Interagency Reports)에 따르면, 예를 들어 "Foundational Cybersecurity Activities for IoT Device Manufacturers (IoT 디바이스 제조업체를 위한 기본적인 사이버 보안 활동)", "IoT Device Cybersecurity Capability Core Baseline ( IoT 디바이스 사이버 보안 역량 핵심 기준)" 및 초안 형식의 새로운 특별 간행물인 "IoT Device Cybersecurity Guidance for the Federal Government (연방 정부를 위한 IoT 디바이스 사이버 보안 지침)"에서 이러한 디바이스에 대한 신뢰를 향상할 수 있는 방향을 NIST는 제시한다. 이 새 문서들은 계속해서 사이버 보안 프레임워크를 강화하는 방향으로 나아가고 있다.

IoT 디바이스는 다른 모든 시스템 구성 요소에 적용되는 엄격한 표준을 따르지 않고 어떻게 연방 정보 시스템에 진입할 수 있었을까? SP800-213 소개에서 설명한 대로 IoT 디바이스는 "정보 시스템" 레벨보다 낮으며 "시스템 요소" 보다 낮은 레벨에서도 작동한다. 이 특별 간행물의 목적은 연방 기관들이 해당 "디바이스 관점"에서 시스템 보안을 고려하도록 지원하는 것이다.

일부 보안 전문가들은 IoT 보안 약점에 대한 모든 나쁜 뉴스를 고려했을 때 이러한 디바이스가 네트워크에서 어떤 용도로 사용될 수 있는지 궁금해 할 수 있다. NIST 문서는 IoT 디바이스들이 실제로 시스템 보안을 지원한다는 것을 보여주면서 좀 더 실용적인 견해를 취하고 있다. 이것은 보이는 것처럼 그렇게 설득력이 없는 것이 아니다. 온도 센서부터 백업 배터리 전압 모니터, 데이터 센터의 문 알람 등에 이르기까지 우리의 네트워크에서 사용되는 "전통적인" 도구의 대부분은 시스템 요소의 범주에 속한다.

실용적인 조언
NIST 접근 방식은 매우 실용적인 관점이다. 일부는 전화 접속 모뎀보다 약간 더 많이 보호되어 워 다이얼링(war-dialing) 공격처럼 단순한 공격에도 취약하므로, 올바르게 적용될 경우 IoT 디바이스의 보안이 기존 시스템보다 더 나은 보안 제어를 제공한다는 데에는 논쟁의 여지가 있다.

이는 NIST가 IoT 디바이스의 내재적인 위험을 무시한다는 의미로 해석될 수 없다. 그것은 Interagency Reports (IR)의 공개가 그 역할을 하게 되는 것이다. NIST.IR.8259A는 IoT 디바이스의 제조, 통합 및 획득 관점에서 기준선 설정에 대한 지침을 제공한다. IR.8259에서 "Foundational Cybersecurity Activities for IoT Device Manufacturers (IoT 디바이스 제조업체를 위한 기본적인 사이버 보안 활동)"은 IoT 제조업체가 시장에 출시되기 전에 디바이스에 구축할 수 있는 방법을 설명한다.

이러한 지침이 NIST.IR.8228에 "사이버 보안 및 개인 정보 보호 위험 (Considerations for Managing Internet of Things Cybersecurity and Privacy Risks)"라는 제목의 IoT 개인 정보 보호 지침과 함께 준수된다면, 우리는 모든 사람에게 궁극적으로 도움이 될 수 있는 새로운 IoT 보안 시대에 진입할 수도 있다. 모든 조언이 실용적이지만, 실행하기 위한 올바른 교육을 갖춘 자격 있는 사이버 보안 전문가가 그것을 가장 잘 처리할 수 있다.

백미러 없음
NIST.IR8259에 수록된 한 간략한 메모에는 다음과 같은 내용이 있다:

"본 간행물은 이미 제작된 디바이스들이 아닌, 새롭게 제작 중인 디바이스들에게 알리기 위한 것이나 일부의 정보는 이미 제작된 일부 디바이스들에도 적용될 수 있다.”

즉, 제조업체는 이전에 제조된 디바이스를 보호할 의무가 없다는 뜻이다.

전반적으로, NIST 서류에서 명시한 바와 같이, 이것들은 지침이며 어떠한 규제력도 가지고 있지 않다. 그러나, NIST 간행물들에 오랫동안 관심을 갖고 있는 사람들은 이러한 것들이 규정 제정 전에 선행된다는 것을 잘 알고 있다.

건강한 수준의 겸손
NIST 기반 설명서의 저자들은 다음과 같은 내용을 명확히 기술한다:

"이 기준선만이 존재하는 유일한 기능 집합은 아니다. 이 기준선은 포괄적인 목록이 아닌 공통 기능의 정의를 만들어내기 위한 조직화된 노력을 나타낸다. 따라서, 시행 조직은 자신의 조직에 더 적합한 기능을 정의할 수 있다. IoT 디바이스 사이버 보안 위험 관리를 지원하기 위해 이러한 추가 기능들을 사용할 것을 추천한다."

항상 그렇듯, 저자들은 그들의 것이 이 주제에 대한 마지막 문구가 아니며, 더 많은 발견과 지속적인 개선을 위한 여지도 항상 있다는 것을 분명하게 보여준다. 어쨌든, 드디어 IoT 보안과 관련하여 통합된 생각을 볼 수 있게 되어 좋다.

CISSP가 성공을 돕는 방법
NIST 문서를 작성과 관련하여 그 의도와 신중한 생각을 보다 잘 이해하고자 한다면 CISSP CBK(Common Body of Knowledge) 만큼 좋은 학습 과정이 없을 것이다. CISSP 도메인은 모든 조직에 대해 효과적인 보안 프로그램을 구축하거나 유지 관리할 때 고려해야 하는 광범위한 주제 집합을 학생에게 제공한다.

NIST의 간행물들이 주제 탐색에 빈틈이 없듯이, CISSP CBK에서 주제에 대한 엄격한 시험은 완전히 실현된 보안 계획과 동일하다.

게다가, CISSP는 보안은 현재 진행 중인 과정이며, 다른 과학과 마찬가지로, 새로운 발견은 보다 안전한 정보 시스템을 향한 진보를 가져올 것이라는 것 또한 학생들에게 이해시킨다.

자세히 보기
보안 전문가로서 CISSP 자격증을 어디에 활용할 수 있을까? Cyber Pop-up의 설립자이자 CEO인 Dr. Christine Izuakor와의 최신 인터뷰 시리즈에서 가능성을 살펴보십시오.

블로그 보기


사이버 보안 리더로 성공하기 위해 필요한 9 가지 특성 (9 Traits You Need to Succeed as a Cybersecurity Leader) 백서에서 CISSP에 대해 더 자세히 확인할 수 있다.

백서 보기


 

볼티모어 랜섬웨어 공격으로부터 얻은 교훈

Martin R. Okumu는 2018년 광역 자치구의 애플리케이션 90%가 영향을 받았던 볼티모어 시에서 일어난 랜섬웨어 공격을 겪었다. 그 당시 도시의 IT 인프라의 담당 이사로서, 그는 랜섬웨어 공격으로부터 방어하고 회복하는 것에 대한 많은 귀중한 교훈을 배웠다.

화요일 오후, 그는 (ISC)² Security Congress 2021의 버추얼 세션에서 참석자들과 교훈을 공유했다. 그는 현재 샌프란시스코 시 및 카운티의 최고 정보 책임자이다.

Okumu는 여러 측면에서, 볼티모어는 공격에 준비가 되어있지 않았었다고 말했다. 시는 사이버 사고 대응 팀(CIRT)이나 사고 대응 실행화 하거나, 또는 커뮤니케이션 및 에스컬레이션 처리 방법 등에 대한 명확한 계획이 없었다.

이러한 요소들은 랜섬웨어 공격을 막기 위해 조직이 필요로 하는 요소들이다. "만약 여러분이 이러한 것들을 잘 구비해 두고 있으며 이러한 절차들의 개요가 정리되어 있다면, 여러분은 그때의 우리보다 더 나은 상태에 있다, "라고 그는 말했다.

Okumu는 명확하게 규정된 절차와 역할이 부족했기 때문에 도시는 혼돈과 혼란으로 빠져들었다고 말했다. 유일한 장점은 시 당국이 온-프레미스 및 클라우드 백업 모두에 투자했다는 것이다. Okumu는 "볼티모어가 1~5개의 비트코인을 요구하는 랜섬을 거부하고도 피해복구 비용으로 1800만 달러를 들었다"라고 말했다.

공격
이 공격은 2018년 5월 19일 이른 아침 처음 발견되었다. Okumu는 오전 4시에서 7시 사이에 시작되었다고 말했다. 컴퓨터에 로그온 하려고 할 때, 사용자들은 시스템이 Ransom.Robinhood 랜섬웨어로 암호화되었다고 하는 메시지를 받았다. 범인들은 "무슨 일이 일어났는지 당신이 알기를 원한다. 그들은 숨지 않는다."라고 그는 말했다.

도시는 공격자들에게 대응하지 않았고 이들은 이후 더 많은 강요를 시도했으며 자신들의 행위를 증명하기 위해 한 기기의 잠금을 해제하겠다고 제안했다"라고 말했다. 그들이 도시에 보내는 메시지는 시간이 갈수록 더 공격적이 되었고, 마침내 6월 7일의 최종 응답 기한을 발표했다. 시는 그에 대응하기보다는 수개월이 걸린 복구 과정을 진행했다.

준비
Okumu는 랜섬웨어 공격에 대비하기 위해 기술 및 비즈니스 측면의 회복 모두를 다루는 사고 대응 계획(IRP)의 중요성을 강조했다. 전자의 경우, 환경을 파악하고, 커뮤니케이션 및 에스컬레이션 절차를 확립하고, 계획 활성화를 위한 방법적 절차를 마련하는 것이 중요하다. 비즈니스 측면에서는 CISO, CIO 및 회사 경영진을 위한 커뮤니케이션 계획을 수립하는 것은 물론 사이버 보험을 포함한 위험 관리 구성 요소를 갖추는 것과 같은 요소들을 다루어야 한다. 랜섬웨어 전문가를 보유해 사건 여파에 몰두하지 말고 몸값을 지불하기로 한 경우에 비트코인 계정을 설정하는 것도 현명하다.

백업 전략
백업 전략을 세우는 것도 중요하다. "이 때문에 우리는 회복할 수 있었다"라고 Okumu는 말했다. "귀하의 조직이 확실한 백업 계획을 가지고 있는지 확인하십시오. 이는 한 가지 이유 또는 다른 이유로 기업들이 돈을 쓰고 싶어 하지 않는 가장 큰 영역이다. 나는 그 이유를 알 수 없다."

데이터 백업은 랜섬웨어로부터 보호하기 위해 조직이 수행해야 하는 여러 단계 중 하나일 뿐이다. Okumu는 사고 평가, CIRT 조성 등 일련의 다른 단계들을 짚고 넘어갔다. CIRT의 성공을 보장하기 위해, 그는 그 팀에 간부급 후원자와 명확한 임무 성명을 갖는 것이 중요하다고 말했다.

그 밖의 절차에는 사고 발생 시 내부 의사소통 방법과 FBI, 국토안보부, CISA, 현지 법 집행기관, 규제 기관 등의 외부 기관과 의사소통 방법을 생각해 내는 것이다.

사건에 대한 중요한 사실을 기록하고 피해 컴퓨터의 이미지를 캡처하는 등의 조치를 취함으로써 사건을 범죄 현장으로 보는 것이 중요하다. Okumu는 또한 자체 내에 또는 아웃소싱 방식으로 디지털 포렌식 전문가를 두어야 한다고 조언했다.

그는 외부인력을 고용할 필요가 있다면 이 문제를 해결할 것을 약속하지만 그 상황을 이용하여 돈벌이가 주된 목표인 제삼자들에 대해 경고했다. 조직은 보험 회사, 외부 법률 자문, 법의학 조사관, 규제 기관, 위기 통신 관리자 및 "대응 업체"와 같이 연락할 수 있는 담당자들의 간단한 목록을 가지고 있어야 한다.

 

내부에서 고용 및 사이버 보안 재능 재교육: 전략 수립

사이버 보안 팀을 구축하는 데 있어 상당한 어려움을 겪고 있는 조직에서는 사이버 보안 역할 수행을 위해 내부에서 이동 가능한 인재를 찾는데 점점 많은 노력을 기울이고 있다. 이는 최근 (ISC)²에서 발간된 Cybersecurity Career Hiring Study (사이버 보안 직업 고용 연구)Cybersecurity Workforce Study (사이버 보안 인력 연구)에서 강력히 뒷받침된다.

문제는 상당수의 조직이 사이버 보안을 위해 내부 인력을 양성해야 하는 과제에 별 신경을 쓰지 않는다는 점이다. 최근 연구에 따르면, 기업의 약 절반(45%)에서 그렇게 할 능력이 없다고 말한다.

그리고 문제는 거기서 끝나지 않는다. 또한, IT 리크루팅 회사 Hays US가 실시한 연구에 따르면, 응답자의 39%만이 그들의 조직이 "사이버 인력을 유지할 능력이 있다"라고 믿는다고 밝혔다. 따라서 문제는 두 가지다:
ㆍ사이버 보안 직책을 채우기 위해 조직 내에서 인재를 채용하기 위한 전략 및 인프라 구축
ㆍ사이버 보안 전문 인력이 그들의 현 직책에 만족하고 행복하게 느껴 다른 곳에 구직을 알아보지 않을 수 있는 여건을 마련하는 것

내부에서 찾기
(ISC)² Cybersecurity Career Pursuers Study (사이버 보안 경력 추구자 연구)는, 사이버 보안 업무에 자연스럽게 적합한 기술을 지닌 직원을 식별하기 위한 전략을 개발해야 한다는데 긍정적인 의견을 피력한다. 구두 및 서면 커뮤니케이션, 창의성, 문제 해결 능력, 비판적, 분석적 사고 등이 이에 해당한다.

이러한 기술들은 전이가 가능하며, 채용 담당자와 채용 관리자들이 경쟁이 치열한 취업 시장에서 사이버 보안의 "올스타"들을 찾아야 한다는 부담을 덜어준다. 전 세계적으로 312만 명의 전문 인력이 부족한 사이버 보안 업계에서 "올스타" 지원자들은 극히 드물다.

이는 왜 내부 채용 접근이 관심을 끌고 있는지를 설명한다. 한 예로, 사이버 보안 전문가 Alyssa Miller는 이에 대한 강력한 옹호자이다. "우리는 조직 내에 어떤 사람들이 그들의 기술을 보안 영역으로 확장하기를 원하는지 살펴봐야 합니다. 우리는 어떻게 그 사람들을 발전시킬 수 있는지, 어떻게 그들을 가능하게 할 수 있는지, 어떻게 트레이닝을 제공할 수 있는지, 그리고 어떻게 그들에게 그들이 보안 분야에서 할 수 있는 일들을 보여줄 수 있는 기회를 제공할 수 있는지를 살펴봐야 합니다"라고 그녀는 말한다.

하지만 Hays도 생각했듯이, 말하는 것은 이행하는 것보다 쉽기 마련이다. 그래도 그것이 가망이 없는 것은 아니다.

인재 보유
기업들이 사이버 보안을 위해 내부로부터 채용을 성공하려면 보유 문제도 해결해야 한다. 원하는, 그리고 가치 있는 기술을 습득한 후 조직을 떠나가는 것을 막을 수 없다면 인재를 찾는 수고를 겪는 것은 거의 의미가 없다.
Hays US 연구에 관한 Tripwire 기사는 "존경받는 IT 보안 교육 기관"과의 제휴를 통해 숙련의 기회를 제공하는 것을 포함하여 인재 보유를 위한 몇 가지 권장 사항을 제시한다. 이 기사는 또한 조직 내 다른 곳에서 재능과 관련 업무 경험을 쉽게 찾을 수 있도록 사이버 보안 업무 요구 사항을 재평가하도록 권장한다.

Hays는 또한 경쟁적인 보수를 제공하고, 사이버 보안 실무를 홍보하며, 최신 기술에 투자하는 문화를 육성할 것을 권하고 있다.

이 조언을 가슴으로 받아들이는 조직들은 내부 채용이 저 너머에 있는 것이 아니라는 것을 알아야 한다. 그저 몇 가지 체계와 좋은 계획이 필요할 뿐이다. 강력한 사이버 보안 팀을 구성하는 방법에 대한 자세한 내용을 보려면, 여기를 클릭하십시오.


 

높은 가능성, 또는 낮은 확률: 진정한 정량 보안 분석이 가능할까?

손익의 언어
보안 전문가들은 전문 분야를 연마하는데 많은 시간을 투자한다. 여러분의 강점이 패킷 분석이나 프로그래밍 일 수 있고... 보안 엔지니어링 또는 펜 테스트 분야에서 최고일 수 있다. 또는 여러분께서 최고의 전문적인 기술을 보유하고 있을 수도 있지만, 프로젝트나 새로운 보안 툴에 대한 예산을 확보하는 데 있어서는 가능성과 확률의 차이를 이해하고 설명할 필요가 있다.

왜 이것이 중요할까? 이는 중요하다. 왜냐하면, 비즈니스 언어는 손익을 기반으로 하고, 그 구성 요소들이 여러분의 프로그램 진행에 있어 핵심이기 때문이다. 여러분은 새로운 보안 계획 사업의 필요성을 사업상의 모험에 자금을 지원하게 될 사람들을 어떻게 납득할 수 있도록 설명하겠는가?

이를 추진하는 가장 좋은 방법은 정량 또는 정성 분석이다. 구체적으로, 얼마나 가능성이 있는지, 또는 얼마나 사건이 일어날 확률이 있는지. CISSP CBK(Common Body of Knowledge)에서 설명된 것에 따르면, "어떤 일이 일어날 가능성 (Likelihood)은 정성 분석과 관련이 있으며, 확률 (probability)은 정량 분석과 관련된다." 일부 사전은 가능성과 확률을 동일시하여 명확한 구분을 하지 않지만, 이는 보안 업계에서는 현명하지 않은 접근이다.

차이점은 무엇인가?
차이점을 기억하는 간단한 방법은 정성 분석은 품질을, 정량 분석은 수량을 다루는 것이다.
정성/품질 = 가능성 (Likelihood) 측정
정량 = 확률 (Probability) 측정

정성 평가 사용 시 구체적 숫자들이 없기 때문에 정성 분석을 정량적 분석보다 덜 신뢰가 간다고 평가하는 경우가 많다.

리스크 관리 업무에서는, 주로 정성 분석이 대부분의 경우 적절하다. 이는 일반적으로 가능성 및 영향에 대한 위험 사건을 보여주는 표로 표현된다. 예를 들어, 수년 전에 제시되었던 한 가지 방식은 뉴욕과 샌프란시스코에서 지진에 대항하여 건물을 세우는 것에 대한 정성 위험 분석이 어떻게 동등했는지 보여주었다.

"위협 (Threat) x 취약성 (Vulnerability() = 위험 (Risk)"이라는 대표적인 공식을 사용하면 다음과 같은 방법으로 이 개념을 구축할 수 있다.

샌프란시스코 - 위협 (Threat) 수준 7(지진이 발생할 위험이 매우 크기 때문)에 취약점 (Vulnerability) 수준 3을 곱한다(건축 법규가 엄격한 지진 기준을 가지고 있기 때문).
따라서 위험 (Risk) 수준은 21이다.

뉴욕 - 위협 (Threat) 수준 3(그동안 그 지역에 치명적인 지진이 한 번도 없었기 때문)에 취약성 (Vulnerability) 수준 7을 곱한다(심각한 지진이 발생할 경우, 건축 법규에 지진에 대한 보호가 없어 모든 건물이 취약하기 때문). 이 또한 21의 위험 (Risk) 수준을 생성한다.

정확한 숫자를 중심으로 하는 비즈니스 경영자가 정성적 분석을 정량적 분석보다 덜 진지한 방법으로 취급하는 이유를 쉽게 알 수 있다. 정성 분석의 숫자들은 좀 지나치게 치환적이다.

숫자의 정확성
정량 분석은 수치 구성 요소에 있어서 훨씬 분명하다. CISP CBK에서 볼 수 있는 정량 분석을 위한 간단한 계산은 다음과 같다:

연간 손실 예상 (Annual Loss Expectancy/ALE) = 단일 손실 예상 (Single Loss Expectancy/SLE) x 연간 발생률 (Annual Rate of Occurrence/ARO)

이것을 쉽게 기억하는 방법은 분실된 휴대폰을 생각하는 것이다. 여기에 숫자를 더하면 합계가 명확해진다. 대략 참고로 휴대폰은 600달러이며, 100명의 사람들이 매년 그 기기를 잃어버리거나 망가뜨리고 있다면: $60,000 (연간 손실 예상) = $600 (단일 손실 예상) x 100 (연간 발생률).

오히려, 이 예시는 모든 보안 분석가들의 조언에도 불구하고 “Bring Your Own Device-개인 소유 스마트 기기들을 업무에 사용" 운동이 왜 그렇게 성공적이었는지 증명할 것이다. 너무 많은 기업들이 분실된 전화에 너무 많은 돈을 잃고 있었다.

정량 분석은 더욱 심화되어 '단일 손실 예상' 계산은 물론, 보호 장치 값 역시 계산하는 방법을 보여준다. 분실된 전화들의 경우, 최상의 보험조차도 연간 손실 예상 비용을 적절히 조정할 수 없었다. (역설적으로, 어떤 경우에는 회사 소유 기기에 대한 손실 보험이 있다는 것을 알고 있을 경우, 이들은 회사 소유 기기를 자기 개인 소유보다 덜 조심스럽게 다루는 경향이 있어 연간 발생률이 더욱 높아진다.)

CISSP CBK는 정량 분석의 깊이를 다루며, 손실 관점에서 명확하게 이해할 수 있어 가치가 있을 뿐만 아니라 제안된 보호 조치가 조직에 건전한 가치인지 계산할 수 있어 더욱 중요하다. 조직에게 있어 절약되기는커녕 더 많은 비용이 드는 솔루션을 제안하는 것, 그 보다 더 실패하기 쉬운 일은 없다.

함께 사용할 때 더 설득적인
위의 분석으로, 정량 분석이 매우 설득력 있는 도구인 이유를 쉽게 알 수 있다. 하지만 이것이 정성 분석의 가치를 떨어뜨리는가? 전혀 그렇지 않다. 사실상, 정량 분석과 함께 사용될 때, 그것은 제안을 촉진시킬 수 있다.

새로운 MDM(모바일 기기 관리) 플랫폼에 대한 예산을 확보하려고 한다고 가정해보자. 휴대폰 계속적으로 예로 들어본다면, 정성 분석은 기기 분실 가능성이 높다는 것을 보여주고, 만약 해당 기기가 고성능 MDM으로 보호되지 않은 채 회사 데이터를 보관하는 경우, 조직에 미치는 위험이 매우 높으며, 이는 명성 훼손 및 규제로 인한 처벌 가능성도 있음을 보여줄 수 있다.

추가 작업은 그만한 가치가 있는가? 결국, 정량 분석만으로도 충분해야 하지 않는가? 가장 완고한 최고 재무책임자(CFO)의 얼굴에 미소를 가져오는 것이 구체적이고 세부적 숫자들이다. 그렇다, 하지만 때로는 상황 및 문제의 위험 관리 측면 또한 포함하는 추가 부분을 더하는 것이 가장 좋다.

CISSP 자격증이 여러분을 성공으로 이끄는 방법
CISSP CBK는 위험 관리, 그리고 더 중요하게, 위험 완화라는 관점에서 각 도메인을 살펴본다. 비즈니스의 모든 측면에서, 여러분이 독립 컨설턴트든, 혹은 어떤 규모의 기업에서 일하든, 여러분이 정량, 정성 분석을 이해함으로써 혜택을 받을 때가 올 것이다. CISSP CBK를 공부하면서 얻은 지식은 기업 계층 구조의 모든 레벨에서 사례를 설명하는 데 도움이 된다.
CISSP에 대해 더 자세히 알아보려면 사이버 보안 리더로 성공하기 위해 필요한 9 가지 특성 (9 Traits You Need to Succeed as a Cybersecurity Leader) 백서에서 확인할 수 있다.


 

사이버 위협: 금융 시스템의 가장 큰 위험

연방 준비제도 이사회 의장 Jerome Powell에 따르면, 현재 금융기관과 은행기관을 대상으로 한 사이버 공격이 매일 발생하고 있는 가운데, 사이버 위협은 세계 금융 시스템에 가장 큰 위험이 되고 있다.

CBS 뉴스의 60분 인터뷰에서 Powell은 사이버 리스크들이 2008년 대공황을 초래한 대출 및 유동성 리스크의 유형들을 능가한다고 말했다. 그는 2008년에 가까운 금융 붕괴의 가능성은 "매우 낮다"라고 말했다. "그러나 세상은 변하고, 세상은 진화하고, 리스크들도 변한다. 우리가 가장 주시하는 리스크는 사이버 리스크이다."

만약 해커들이 주요 지불 프로세서를 폐쇄하는 데 성공한다면, 이는 금융기관 간의 돈의 흐름을 심각하게 방해할 것이고, 이것은 전반적인 금융 시스템의 큰 부분을 무릎 꿇게 할 수 있다고, 그는 말했다.

지난 4월 11일 방송된 60분 에피소드에서 "우리는 이에 맞서 싸우기 위해 너무나 많은 시간과 에너지와 돈을 쓴다"라고 Powell은 말했다. "현재 모든 주요 기관들에서 매일 사이버 공격이 발생하고 있다." 그것이 오늘날 세계의 위협 현황의 큰 부분이다." 그는 연방 정부와 민간 기관들이 모두 사이버 위협에 대한 보호에 많은 노력을 기울이고 있다고 말했다.

Powell은 4월 14일 Washington D.C. 의 경제 클럽에서 David Rubenstein과의 인터뷰에서 사이버 리스크에 대한 그의 발언을 재차 강조했다.

대공황은 은행들과 담보 대출업자들이 위험한 대출을 승인하고 다른 금융기관에 재판매한 것에서 비롯되었다. 이 같은 관행으로 인해 주택 가격이 치솟았으나 또한 대출업자들에게 지속 불가능한 리스크를 발생시켰고, 그중 일부는 실패하여 세계적인 금융 붕괴를 초래했다.

Powell이 현재 사이버 위험을 2008년 붕괴의 원인과 유사한 사건보다 더 큰 위협으로 간주하고 있다는 것은 사이버 위협 지형이 얼마나 위험해졌는지를 분명하게 보여준다. 국제 통화 기금(International Monetary Fund)은 사이버 위협으로 인해 전 세계적으로 은행 순이익의 9 %가 손실될 수 있으며, 이는 약 1,000 억 달러에 달할 것으로 예상한다.

사이버 보안 팀을 만들기 위해 자격을 갖춘 전문가들을 고용해야 한다는 어려움이 사이버 리스크를 가중시키고 있다. 이는 금융 기관들 뿐만 아니라 전체 조직들에 영향을 미치는 어려움이다.

(ISC)²는 사이버 보안 기술 격차가 현재 전 세계적으로 약 3 백만에 달하는 것으로 추정한다. 조직의 모든 부문에서 숙련된 사이버 보안 팀을 구성할 수 있도록 (ISC)²는 엔터프라이즈 트레이닝 프로그램 가이드를 출간했으며, 이곳에서 다운로드할 수 있다.

 

아무도 보지 않을 때 당신은 무엇을 하십니까

윤리의 내외부적 어려움과 CISSP 자격증

신화만큼 오래된 것
정보 보안을 공부한 모든 학생들은 Caesar cipherSpartan Scytale에 대해 들어왔다. 이러한 초기 암호화 방법들은 인간의 마음이 교묘하다는 것을 증명한다. 암호화는 진화하고 정교해졌다. 암호화는 사회의 발전에 중요한 역할을 해왔다. 변함없이 사회가 움직이는 데 여전히 중요하게 남아있는 인류의 또 다른 고대 정신 구조를 생각해 낼 수 있을까? 윤리에 관한 주제를 생각해보자.

윤리의 개념은 고대로부터 존재했고, 그 주제는 오늘날에도 삶의 모든 분야에서 적용 가능하며, 의료, 법률, 금융 분야와 같이 많은 직업들에서 요구 사항으로 규정되어 있다. 정보 보안 또한 윤리 강령을 가지고 있으며, 이 규범을 준수하는 것은 삶의 다른 분야에서와 마찬가지로 어려운 일이다.
윤리에 대한 간단한 정의는 다음과 같이 명시될 수 있다: 아무도 지켜보지 않아도 옳은 일을 하는 것이다.
윤리는 대인관계에만 적용된다고 생각하기 쉽다. 결국, 윤리는 대체로 사람이 다른 사람들을 어떻게 대하는지를 포함한다. 정보 보안의 맥락에서, 윤리는 인간과 인간의 직접적인 상호 작용이 없는 상황에서도 동일하게 중요하다.

보안은 어렵고, 윤리적 행동은 더 어렵다.
정보 보안은 전향적인 자세가 아닌 리액티브 방식의 업종 전반에 있어 오래된 게임, “Whac-A-Mole”과 비교되는 경우가 많다. 반면에 윤리는 같은 문제를 겪지 않는다. 윤리의 정적 본성은 많은 사람들에게 결코 흥미롭지 않지만 이는 지나친 단순화이다. 정보 보안과 마찬가지로, 75% 윤리를 실천하면서 완벽한 규정 준수를 주장할 수는 없다. 어려운 점은 사람이 아닌 기계가 관여하기 때문에, 어떤 사람들은 이 둘의 관계를 이해하지 못하는 경우가 있다.
정보 보안 전문가들은 종종 다양한 윤리적 규범들을 위반하는 생산과정에 시스템을 도입해야 문제에 부딪히게 된다. 많은 정보 보안 전문가들의 불법적인 경력 궤적을 고려해 볼 때, 이 개념은 전적으로 초점이 맞춰진다. 보안이 보장되지 않은 제품을 시장에 서둘러 출시하려는 합법적인 기업들을 포함하여, 일부에게는 윤리적 위반이 인지되지 않는다. 왜냐하면 단지 기계가 문제가 되는 것이지, 사람이 직접적인 문제는 아니기 때문이다.
물론 최근 각종 규정, 특히 GDPR(General Data Protection Regulation), HIPAA(Health Information Portability and Accountability Act), 그리고 중국의 사이버 보안법 등의 규정 덕분에 데이터 프라이버시 윤리는 더 이상 문제가 아닌 필수 사항이다.

위임의 죄, 누락의 죄
새로운 규정이 위반자들에게 벌금을 부과하고 있지만, 윤리적인 행동을 하지 못했을 때 처벌로 이어지는 경우도 여전히 있다. 아마도 이러한 가장 두드러진 사례는 두 명의 유명인 환자들의 기록들이 시설에서 허가되지 않은 사람들에 의해 보여졌다는 사실을 포함하여, 환자 데이터를 보호하지 않은 것에 대해 UCLA Health System에 부과된 벌금에서 보여졌다.
때로는 보호되지 않은 데이터와 같은 외부 상황 때문에 윤리적인 위반이 발생할 수도 있다. 다른 경우, 개인 데이터가 이용 가능할 지라도 적절한 승인 없이는 열람해서는 안된다는 지식과 같은 내부 갈등에서 윤리적 위반이 비롯된다. UCLA 사례에서의 위반은 그 선의 양쪽에 걸쳐있는 것처럼 보인다.
정보 보안 전문가로서, 업무 책임의 기본적인 부분으로 매우 민감한 데이터를 자연스럽게 액세스 할 수 있는 경우가 종종 있을 것이다. 또 다른 경우로, 볼 수 있는 권한이 없는 데이터를 찾아낼 수 있는 특별한 능력을 가진 경우도 있을 수 있다. 이는 심각한 윤리적 문제를 낳는다. 그렇기 때문에, 정보보안 전문인력에 대한 윤리강령이 중요한 이유이다.

(ISC)² 윤리강령
(ISC)²에서 제공하는 CISSP 자격증을 공부하고 있습니까?
회원의 필수 조건 중 하나가 윤리강령을 준수하는 것이다.
시험 전에 강령 설명이 표시될 뿐만 아니라, 시험 과정에서 몇 가지 윤리적인 문제가 제출될 수도 있다. 언뜻 보기에는 아주 간단해 보이지만 실제로는 처음 생각했던 것보다 더 자주 이를 기억해야 할 것이다.
https://www.isc2.org/ethics# 에 설명된 강령은 다음과 같이 표시된다 (약어);

강령
(ISC)² 인증을 받은 모든 정보 보안 전문가는 자격증이 반드시 취득되고 유지되어야 하는 특권임을 인지해야 한다. 이 원칙을 준수하기 위해, 모든 (ISC)² 회원은 본 윤리 강령("강령")을 온전히 지지하기로 약속해야 한다.
강령에는 단 4개의 필수 규범이 있다. 필요에 따라, 이런 높은 수준의 지침이 전문가의 윤리적인 판단력을 대신하려는 의도는 아니다. 윤리 강령 규범
ㆍ사회, 공공의 이익, 필요한 공적인 신뢰와 신의, 그리고 인프라를 보호하십시오.
ㆍ명예롭게, 정직하게, 정당하게, 책임감 있게, 그리고 합법적으로 행동하십시오.
ㆍ고용주에게 성실하고 적합한 서비스를 제공하십시오.
ㆍ직업을 보호하고 발전시키십시오.

심도 있는 논의
물론 때로 윤리는 단순히 옳은 일을 하는 것 이상의 성가신 딜레마를 수반한다. “트롤리 딜레마(Trolley Dilemma)”를 생각해보면 이해가 쉽다. 트롤리 딜레마는 다음과 같은 방법으로 제시된다.
"상상해 본다: 당신은 철로에 묶인 다섯 명을 향해 곧장 달려오는 기차를 본다. 당신 옆에, 고속 열차를 다른 선로로 돌릴 수 있는 레버가 있다. 하지만, 이 두 번째 철로에는 한 사람이 묶여있다.
다른 다섯 명의 생명을 구하기 위해 실질적으로 누군가를 죽이도록 레버를 당기겠는가?"
이 문제는 그 주제를 훨씬 더 깊은 토론을 야기한다. 인공 지능자율 주행 차량들의 모든 새로운 발전을 생각할 때, 이 깊이가 필요하다. 다행스럽게도, 이러한 고려사항들은 현재 연구되고 있으며, 이는 더 나아가 우리 현대 사회에서 윤리적 우려들이 여전히 관련되어 있음을 보여준다. 우리 조상들이 그랬던 만큼 현재에도 윤리에 대한 확고한 헌신이 필요하다.

CISSP 자격증이 여러분을 성공으로 이끄는 방법
윤리의 복잡한 특성을 탐색하는 것은 정보 보안 전문가에게 매우 어려운 과제일 수 있다. 그러나, CISSP 자격증을 취득한 전문가들은 윤리 기준을 유지하기 위한 확고한 신념을 이미 입증하였으며 확인되었다. 기업이 전문화된 보안 기능을 필요로 할 때, 정보 보안에 국한되지 않은 광범위한 지식과 경험을 보유한 CISSP 자격증 보유자들에게 의존할 수 있다.
CISSP는 다음과 같은 직책을 비롯하여 다양한 보안 실무 및 원칙 전반에 걸쳐 자신의 지식을 제공하고자 하는 숙련된 보안 전문가, 관리자 및 경영자에게 적합하다: 보안 담당 이사, 보안 시스템 엔지니어 또는 보안 분석가
(ISC)²는 ANSI(American National Standards Institute) ISO/IEC Standard 17024의 요구 사항을 충족하는 최초의 정보 보안 인증 기관이며 CISSP 인증은 DoD(Department of Defense) Directive 8570.1을 충족한다.
CISSP에 대한 자세한 내용은 백서 Discover the Importance of being a qualified cybersecurity professional을 다운로드하십시오.


 

접근통제 및 망분리를 통한 자산 보호

기업들은 점점 더 새로운 기술에 대한 의존도를 높이고 있으며 신기술을 활용하여 더 나은 서비스를 제공하고, 직원 및 고객과 협업하고 상호작용하는 방식으로 변해 가고 있다. 기업 데이터는 멀티 클라우드 환경으로 이동하고 있으며, 컨테이너 채택은 애플리케이션의 빠르고 신속한 개발을 지원하고 있다. IoT 장치 및 센서는 시기적절하고 정확한 의사 결정에 유용한 많은 데이터를 기업에 제공한다.

확장되고 있는 위협 환경
하지만, 기업들만 이 기술을 활용하는 것이 아니다. 범죄자들도 마찬가지다. Verizon DBIR 2020 보고서에 따르면, 클라우드 자산을 침해당한 것이 약 24%를 차지하였다. 이는 사이버 범죄자들이 피해자들에게 접근하기 위한 가장 빠르고 쉬운 경로를 찾는 경향을 보여주는 사례이기 때문에 클라우드 보안에 대한 문제점을 제시하는 지표는 아니다.

또한 컨테이너화 된 환경도 위협을 받는다. 컨테이너를 사용하는 94%의 조직이 컨테이너 환경에서 심각한 보안 문제를 경험했다고 답했다.

IBM X-Force Threat Intelligence 2020 보고서에 따르면 2020년 380 억대 이상의 기기가 인터넷에 연결될 것으로 예상됨에 따라 IoT 위협 영역은 소비자와 기업 모두에게 영향을 미칠 수 있는 위협 요소 중 하나로 자리 잡고 있다고 밝혔다.

2019년 IBM X-Force는 여러 건의 Mirai 악성 프로그램의 활동을 추적했는데, 이 맬웨어 활동은 개인의 전자가전제품을 대상으로하다가 기업등급의 하드웨어로 그 목표 대상을 변경하였다. 네트워크 액세스가 가능한 손상된 장치는 공격자가 타깃으로한 조직에 침투하기 위한 중심점으로서 활용될 수 있다.

사이버 보안 조직은 점점 더 고도화되어가는 공격에 대처해야 한다. 조직의 사이버 위협 방어 능력을 평가해달라는 질문을 받았을 때, CyberEdge 2020 Cyberthreat Defense Report의 응답자들은 물리적 자원 및 가상 서버, 데이터베이스, 웹 사이트 및 웹 애플리케이션이 포함된 자신들이 직접 제어하고, 모니터링, 패치 및 수정 작업이 가장 쉬운 자산에 대해 가장 자신 있게 방어할 수 있다고 답변했다.

IT 전문가들은 주로 컨테이너와 같이 비교적 새로운 IT 구성 요소나 산업 제어 시스템 및 SCADA 장치 등 사이버 보안을 염두에 두고 설계되지 않은 구형 IT 구성 요소에 대해 주로 우려하고 있었다.

IBM 보고서에 따르면 위협 요인들이 ICS(Industrial Control Systems) 및 유사한 OT(Operational Technology) 자산을 대상으로 한 공격이 2018년 이후 2000% 이상 증가했음을 나타낸다. 지금은 IT/OT 기반시설이 융합되어 IoT 기기를 광범위하게 사용하게 되었다. 공격자들이 OT기기를 대상으로 공격을 진행하는 이유는 더 쉽고 광범위하게 데이터를 수집할 수 있기 때문이다. 물리적 자산을 제어하는 OT기기가 침해당했을 경우 복구비용이 크게 증가한다.

취약한 시스템으로 인한 데이터 침해는 브랜드 평판을 크게 손상시키고 고객의 신뢰를 잃게 된다. 그러나 기업은 자산을 보호하기 위해 아래 두 가지 모범 사례를 채택할 수 있을 것이다.

강력한 접근 통제
현실을 직시하자. 이러한 모든 기술의 사용으로 인해 기존의 접근통제 방식은 변해야 한다.

요즘은 누가 어떤 자산에, 어떤 위치에서, 어떤 목적에 따라, 얼마 동안 액세스 할 수 있는지를 제어하기 위한 정책을 설정하고 적절히 구성하며 실행하는 것이 중요하다.

또한 자산에 접근을 요청하는 사람이 실제로 필요한 본인인지 확인하는 것도 중요하다. IAM(Identity and Access Management) 제어의 주요 목적은 자산의 기밀성, 무결성 및 가용성을 보호하는 것이다.

다중 인증 MFA(Multi-Factor Authentication) 및 통합 인증 SSO(Single-Sign-On)을 조합하여 사용하는 것을 접근통제의 초석으로 간주해야 한다. MFA로 더 강력한 사용자 인증을 제공하는 동시에, SSO로 하이브리드 환경에서 여러 플랫폼과 시스템에 접근하는 사용자의 부담을 덜어준다. MFA와 SSO의 조합이 원활한 인증 환경을 제공하므로 사용자가 여러 암호를 사용하여 회사의 자원에 접근해야하는 어려움과 번거로움을 줄일 수 있게 되었다.

MFA 및 SSO 외에도 조직에서는 두 가지 접근 관리 개념을 추가해야 한다. 최소한의 접근 권한 및 적응형 인증이다. 최소 권한의 원칙을 적용하면 개인이 사내, 컨테이너 또는 클라우드 기반에 관계없이 권한이 부여된 자산에만 접근할 수 있는 최소한의 권한만 가질 수 있게 된다. 역할 기반으로 정보를 세분화하고 필요한 자산에 대한 접근만 허용하면 자산 보안 상태가 크게 향상된다.

마지막으로 인증 및 권한 부여는 일회성이 아니어야 한다. 직원들이 여러 부서로 이동하고 계정 침입을 통한 계좌 탈취 공격이 증가하는 상황에서 인증 프로세스는 적응력이 있어야 한다. 사용자 환경을 모니터링하고 단계적인 위험 기반 인증을 제공하면 인증 절차를 강화하고 중간자 공격(Man-in-the-middle)을 줄일 수 있다.

망분리
사이버 범죄자들은 우리의 계정 정보와 개인 데이터에 열광하지만, 헬스 케어 또는 산업 제어 조직과 같은 중요한 기반시설에 관련해서는 DDoS 공격과 같은 운영을 중단하게 하는 것을 선호한다. 운영 조직에 가용성과 안정성 문제가 생기는 것은 권한 없는 접근 또는 비밀 공개로 인한 기밀 및 무결성을 훼손하는 것과 마찬가지로 매우 위험한 일이다.

또한, 보안 위협에 대한 분석된 정보에 따르면 첫 번째 단계로 사이버 범죄자들이 도용하거나 가짜 자격증명을 통해 회사 네트워크에 기반을 둔 다음 모든 자산에 걸쳐 순차적으로 이동하면서 감시하는 작업을 수행한다. 그러므로 그들의 작업을 어렵게 하는 것이 중요한다. 올바른 네트워크 아키텍처를 선택하는 것이 필수적이며 망분리를 수행하는 것이 가장 좋다.

망분리에는 여러 가지 장점이 있다. 성능 향상과 통신 문제 감소 이외에도, 분리된 네트워크는 전반적인 보안상태를 개선하는 데 크게 기여한다. 분리되지 않은 네트워크는 통합 플랫폼으로 간주되며, 이는 자체 설비 또는 클라우드 또는 컨테이너에 관계없이 네트워크를 통해 모든 장치에 접근 할 수 있다는 것을 의미한다.

망분리는 공격이 확산될 수 있는 범위를 제한함으로써 보안성을 향상한다. 예를 들어, 망분리는 맬웨어 발생이 조직의 다른 섹션에 있는 시스템에 영향을 주지 않고 한 섹션에만 머물 수 있도록 방지할 수 있다. 또한, 분리된 네트워크는 공격으로부터 자신을 보호할 수 없는 장치에 유해한 트래픽이 도달하는 것을 막을 수 있다.

마지막으로, 망분리를 통해 범위 내 시스템 수를 제한함으로써 규정 준수와 관련된 비용을 줄일 수 있다. 이렇게 함으로써, 전체 네트워크가 아닌 범위 내 시스템에만 값비싼 규정 준수 요구 사항과 감사 프로세스가 적용된기 때문에 전체적으로는 보안 예산을 절감할 수 있다.

CISSP 자격증이 성공에 도움이 되는 방법
복잡한 윤리 문제를 탐색하는 것은 정보 보안 전문가에게 매우 어려운 과제일 수 있다. 그러나, CISSP 자격증을 취득한 보안전문가들은 윤리적인 기준을 유지하기 위해 입증되고 검증된 의지를 지니고 있다. 기업이 전문화된 보안 기능을 필요로 할 때, 정보 보안뿐 아니라 광범위한 지식과 경험을 보유한 CISSP 자격증 보유자들에게 의지하게 될 것이다.

CISSP는 다음과 같은 직책을 비롯하여 다양한 보안 실무 및 원칙 전반에 걸쳐 자신의 지식을 검증하고자 하는 숙련된 보안 전문가, 관리자 및 경영자에게 적합하다: 보안 담당 이사, 보안 시스템 엔지니어 또는 보안 분석가들이다.

(ISC)²는 ANSI(American National Standards Institute) ISO/IEC Standard 17024의 요구 사항을 충족하는 최초의 정보 보안 인증 기관이며 CISSP 인증은 DoD(Department of Defense) Directive 8570.1을 충족한다.

CISSP에 대한 자세한 내용은 백서 Discover the Importance of being a qualified cybersecurity professional를 참조하십시오.


 

설문 조사: CISSP는 2021년 가장 가치 있는 보안 자격증이다.

(ISC)²의 Certified Information Systems Security Professional(CISSP) 자격증은 9만 명의 사이버 보안 전문가 회원들로 구성된 LinkedIn 커뮤니티로부터 최고 점수를 받았다. 본 커뮤니티 구성원들은 사이버 보안 업계를 선두 하는 50개의 자격증 및 코스 목록에서 본 자격증을 가장 가치 있다고 선정했다.

Information Security Careers Network (ISCN)는 ISCN 회원들로 구성된 LinkedIn 커뮤니티를 통해 2021년 가장 선호하는 10대 자격증 리스트를 작성하기 위해 최고의 자격증들의 등급을 매기도록 요청했다. 해당 리스트에는 다른 협회 및 벤더의 자격증도 포함되어 있으며 (ISC)²의 Certified Cloud Security Professional (CCSP) 자격증도 포함되어 있다.

왜 CISSP는 가장 가치 있는 보안 자격증일까?
Security Boulevard에 의해 보고된 바에 따르면, 응답자의 거의 3/4(72%)는 CISSP가 사이버 보안업계에서 가장 요구되는 자격증이라고 밝혔다. Security Boulevard는 "CISSP는 오랫동안 전 세계적으로 인정받는 정보 보안 전문가 자격증이다."라고 보고했다.

CISSP는 동급 최고의 사이버 보안 프로그램을 설계, 구현 및 관리하는 노하우와 기술을 검증한다. 자격을 갖추려면 지원자들은 5년의 사이버 보안 업무 경력 또는 사이버 보안 관련 학위가 있는 경우에는 4년의 경력이 있어야 한다. Security Boulevard는 "CISSP 과정이 매우 광범위한 정보 보안 분야를 다루기 때문에, 100-150 상당의 문제와 3시간 동안 치러지는 CISSP 시험은 일부에게는 악명 높게 통과하기 어렵다는 것을 증명한다 ,"라고 보고했다.

2021년 가장 원하는 자격증으로 선택된 것은 그 유효성과 명성에 대한 증거이다. 코로나 19 펜데믹으로 유발된 엄청난 변화에 바로 뒤따라 올해가 시작되었다. 대부분의 조직들은 직원들을 위해 원격 근무 환경을 신속하게 구축해야 했고, 이는 사이버 보안 팀들은 이러한 환경을 적절하게 보호해야 한다는 압력으로 이어졌다.

원격 환경을 구현을 서두르면서 너무 많은 보안 조치가 무시되고 건너뛰어 넘겨졌다는 우려가 생겨났다 - 그리고 사이버 공격자들은 확실히 그것을 이용하려고 들었다. - 하지만 (ISC)²의 2020 사이버 보안 인력 연구에 따르면, 사이버 보안 팀들은 사이버 사고들에 있어 눈에 띄는 증가를 발견하지는 못했다고 한다.

CISSP의 평균 급여는 얼마일까?
CISSP를 취득한 사이버 보안 전문가들은 세계에서 수요가 많은 보안 전문가들이다. 다양한 (ISC)² 리서치, 벤치마킹 설문 조사 및 제삼자 연구를 통해, 우리는 전 세계로부터 CISSP 추정 월급 리스트를 작성했으며, 전 세계 평균은 미화 9만 2천6백39달러에서 시작한다.

경계 유지
조직이 팬데믹으로 인해 사이버 경보 수준을 얼마나 높였는지와 상관없이, 사이버 보안 전문가들은 경계 태세를 유지할 필요성을 인식하고 있다. 인력 연구에서, 응답자의 56%가 사이버 보안 직원의 부족이 그들의 조직에 위협을 초래하고 있다고 말했다.

또한 이번 연구는 자격증의 중요성을 강조했으며, 사이버 보안 전문가들의 2/3(63%)가 CISSP와 같은 보안 관련 자격증을 추구하거나 계획하고 있는 것으로 나타났다. 조사 결과, 보안 자격증은 평균적으로 연봉 6만 7천 달러에서 8만 5천 달러로, 1만 8천 달러를 향상하는 것으로 나타났다.

자격증은 고용주들로부터 점점 더 많이 요구되고 있으며, 보유한 사람들에게 성공적인 경력을 만드는데 도움을 준다. (ISC)² 자격증에 대한 자세한 내용을 보려면 이곳을 클릭하시오.