(ISC)² Blog

(ISC)² CANDIDATE 프로그램에 참여하세요 - 시험, 경험 또는 비용이 필요하지 않습니다.

오늘, (ISC)²는 누구나 협회에 (ISC)² Candidate으로 가입할 수 있도록 새로운 프로그램을 발표했습니다. (ISC)² Candidate이 되면 (ISC)² 자격증 보유 회원 및 (ISC)²의 associate이 누리는 다양한 혜택과 리소스에 액세스 할 수 있습니다. 그러나 시험, 업무 경험이 요구되지 않으며, 한정 기간 동안 비용이 필요하지 않습니다.

누가 (ISC)² Candidate이 되어야 할까요?

(ISC)² 자격증, 또는 사이버 보안 경력을 추구하는 데 관심이 있는 사람들을 위해 (ISC)² Candidate을 만들었습니다. 사이버 보안 인력에 합류하고 싶으시다면, 본 프로그램이 최적입니다! 사이버 보안 분야에서 일해 왔으며, 사이버 보안의 초급 자격증인 Certified in Cybersecurity(CC)이든, 숙련된 전문가들을 위한 골드 스탠더드인 CISSP이든, 첫 번째 (ISC)² 자격증을 취득하려는 경우 이 프로그램은 여러분의 자격증 여정에서 가장 힘찬 시작을 약속할 것입니다.

혜택은 무엇일까요?

(ISC)² Candidate들은 One Million Certified in Cybersecurity 프로그램을 이용할 수 있으며 시험 등록과 온라인 자기 주도형 교육과정에 대한 액세스가 모두 무료로 제공됩니다. (ISC)² Candidate들의 혜택에는 다음 또한 포함됩니다.

ㆍ(ISC)² 자격증 온라인 과정 20% 할인
ㆍ(ISC)² Security Congress에 앞선 콘퍼런스 전 교육 프로그램에 대한 (ISC)² 회원가 적용
ㆍ수상 경력에 빛나는 (ISC)² 웨비나 채널들인 Think Tank, Security Briefings, Knowledge Vault 그리고 (ISC)² Security Congress의 이전 세션들에 대한 액세스
ㆍ(ISC)² SECURE Summit 이벤트와 Security Congress에 대한 회원가
ㆍCommon Body of Knowledge 텍스트 포함되어 있는 CRC Press 제품 30% 할인
ㆍ자격증 연습 시험 책과 학습 가이드가 포함된 Wiley 출판물 50% 할인

어떻게 가입할까요?

https://www.isc2.org/에서 계정을 만들고, https://my.isc2.org/s/Candidate-Application-Form을 방문해서 (ISC)² Candidate으로 즉시 가입하세요! 응시할 시험도 없고 경력 요구 조건도 없습니다. 이 새로운 프로그램의 시작을 기념하여 (ISC)² Candidate들에게 필요한 연간 회비 $50를 면제해 드리고 있습니다. 여러분께서는 배지, 할인 및 액세스 권한을 즉시 받아 사이버 보안 경력 강화를 위한 귀중한 리소스를 활용할 수 있습니다.

질문이 있으십니까? candidate@isc2.org로 문의하세요. (ISC)² 후보자로 함께 하시기를 바랍니다.


 

(ISC)² 100만 명의 사이버 보안 자격증, Certified in Cybersecurity 약속

저희 (ISC)²는 사이버 보안 업계에 긍정적인 영향을 미칠 수 있도록 최선을 다하고 있습니다. 이사회 및 (ISC)² 경영진은 사이버 보안 분야의 경력을 시작하는 100만 명의 신입 전문가들에게 초급 사이버 보안 자격증 시험 및 자기 주도형 학습 프로그램 과정의 무료 제공을 발표하게 되어 기쁘게 생각합니다.

100만 명의 사이버 보안 자격증(One Million Certified in Cybersecurity) 약속은 올해 초 영국 거주자들에게 100,000개의 무료 시험과 과정 등록을 약속한 (ISC)² ‘100K in the UK’ 이니셔티브를 확장하는 글로벌 약속입니다.
(ISC)² CEO Clar Rosso는 2022년 7월 19일 백악관에서 열린 사이버 인력 및 교육 정상회의(Cyber Workforce and Education Summit at the White House)에 참석하여 (ISC)² 사이버 보안 인력 연구((ISC)² Cybersecurity Workforce Study)에 따라, 전 세계적으로 필요한 270만 명의 사이버 보안 전문가의 격차를 줄이기 위한 사이버 보안 인력의 확대를 지지했습니다. 새로운 이니셔티브는 더 많은 새로운 인력들이 해당 분야에 진출할 수 있는 길을 제공하여 안전하고 보호된 사이버 세계를 고무하고자 하는 우리의 사명을 지속할 것입니다.

연구에서는 또한 조직이 기술 경험이 거의 또는 전혀 없는 직원을 포함하여 초급 사이버 보안 직원을 모집하고 개발하는 데 중점을 두고 차세대 전문가들이 필요로 하는 성공적인 사이버 보안 경력을 구축하는 데 귀중한 실무 경험을 가속화하도록 제안합니다.
현재 글로벌 파일럿 프로그램의 마지막 단계에 있는 (ISC)² Certified in Cybersecurity 자격증을 취득한 사람들은 초급 사이버 보안 역할에 필요한 기본 지식, 기술 및 능력이 있음을 고용주에게 보여줄 수 있습니다.

프로그램 시행 방안

9월 초, 자격을 갖춘 개인들이 어떻게 참여할 수 있는지를 발표할 예정입니다. (이미 10,000명의 관심 지원자가 확보된) ‘100K in the UK’ 프로그램과 마찬가지로, 참가들은 무료로 시험에 응시할 수 있고, (ISC)² Certified in Cybersecurity 온라인 자기 주도 교육 과정에 액세스 할 수 있습니다. 해당 과정은 Certified in Cybersecurity 시험 개요에 게시된 주제에 대한 검토를 제공하며, 다음과 같이 자격증 지원자들이 평가될 보안 도메인을 공유합니다.

ㆍ보안 원칙(Security Principles)
ㆍ비즈니스 연속성(BC), 재해 복구(DR) 및 사고 대응 개념(Business Continuity (BC), Disaster Recovery (DR) and Incident Response Concepts)
ㆍ액세스 제어 개념(Access Controls Concepts)
ㆍ네트워크 보안(Network Security)
ㆍ보안 운영(Network Security)

대학생, 최근 졸업생, 진로 변경자 및 기술과 기회를 확장하고자 하는 기타 전문가, 그리고 특히 중소기업에 취업해 있거나 취업을 원하는 분들께 권장됩니다.
(ISC)²는 신규 및 기존 파트너 조직들과 긴밀하게 협력하여 사이버 보안 분야에서 과소 대표되었던 인구를 확보함으로써 인력 내 다양성을 강화할 것입니다. (ISC)²는 확장된 약속의 절반인 500,000개의 과정 등록 및 시험을 전 세계의 흑인 대학 및 대학교(HBCU), 소수 민족을 지원하는 기관(MSI), 부족 조직 및 여성 조직에게 배정할 것이라고 약속했습니다.

시험을 성공적으로 마친 후에는 인증받은 (ISC)² 회원이 되어 경력을 쌓는 동안 다양한 전문 개발 리소스를 이용할 수 있습니다. (ISC)² Certified in Cybersecurity 자격증은 사이버 보안 전문가들이 경험을 쌓고 (ISC)² CISSP 및 (ISC)² CCSP와 같은 고급 자격증을 취득하며 역량을 강화하는데 도움이 되는 장기적인 경력 여정의 첫걸음입니다.

(ISC)² Certified in Cybersecurity에 대한 자세한 내용은 www.isc2.org/certified-in-cybersecurity를 참조하세요. (ISC)² Community의 Cybersecurity Study Group에서 (ISC)² 자격증을 추구하는 다른 사람들과 연락하고 교류하세요.


 

성공적인 CISSP 및 CCSP 스터디 그룹을 만드는 방법

(ISC)² Pittsburgh Chapter는 CISSP 및 CCSP 시험을 위한 스터디 세션들을 제공함으로써 큰 성공을 거두고 있다.

스터디 그룹에 참여한다고 해서 시험 합격이 보장되는 것은 아니지만, 다른 사람들과 연결하고, 배움을 실천하고 스터디 팁을 실현해 보는 데 도움이 된다. 우리는 Pittsburgh Chapter에 성공적인 스터디 그룹 호스팅과 높은 합격률을 위한 비법에 대해 물었다.

만일 다른 챕터들이 성공을 재현하고 싶다면, 다음과 같이 해야 한다.

세션들을 진행할 열정적인 리더를 가지십시오.
ㆍ지리적인 지역을 넘어 많은 사람들을 초대하십시오.
ㆍ대면 및 온라인 스터디 세션들을 제공하십시오.
ㆍ기술과 경력에 있어 모든 수준의 사람들이 참여할 수 있도록 개방적이고 포용적이십시오.

가장 성공적인 스터디 그룹들은 그룹을 안내하고 세션을 관리해서 궤도를 유지할 수 있도록 하는 리더를 가지고 있다. 해당 챕터에서는 학생들이 도메인을 선택하여 전체 그룹에 가르치는 것이 가장 효과적이라는 것을 발견했다. 그렇게 하면 각 학생은 다른 학생을 도울 수 있을 만큼 충분히 자신의 도메인을 배울 수 있는 권한과 책임이 주어진다.

대면 모임이 가능하지 않은 경우 화상 회의 플랫폼에서 이러한 교육 세션들을 복제할 수 있다.

본 무료 웨비나를 시청하여 (ISC)² Pittsburgh Chapter에서 어떻게 이러한 성공적인 스터디 그룹들을 만들었는지 알아보십시오.

우리는 Pittsburgh 챕터에 몇 가지 추가적인 식견을 요청했고, 그들이 대답한 내용은 다음과 같다.

5번의 스터디 그룹 세션을 완료한 참석자들은 지금까지 몇 명입니까?

5개의 스터디 그룹에 걸쳐 약 200명의 다른 학생들이 있었다. 최소 60명이 합격했다. 일부 학생들은 한 세션 이상에 참여했다. 많은 학생들이 현재 CISSP 보유자들로부터 초대받았다.

모두 자격증 시험에 합격했습니까?

우리는 처음 네 번의 세션들에서 도메인을 발표한 사람들의 100%가 시험을 통과했음을 발견했다. 방금 완료한 다섯 번째 세션에서도 동일한 결과를 볼 수 있기를 희망한다. 모두가 아직 통과한 것은 아니지만, 합격에 매우 가까운 몇 명의 개인이 참석했다. 어린 자녀들과 같은 다른 약속들로 인해 일부는 아직 시험을 치르지 않았지만 거의 마무리 단계에 있으며, 곧 이름 뒤에 CISSP라는 글자가 표시되기를 희망한다.

어떤 자격증들을 위해 스터디 세션을 개최합니까?

대부분의 세션들은 CISSP에 중점을 두었다. 우리는 CCSP를 위해 하나의 세션을 개최했지만, 단 5명 정도만 모집할 수 있었다. 초급 자격증을 위한 스터디 세션을 만들어서 우리 지역의 많은 대학생들을 초대할 계획이다. 우리는 사이버 보안에 참여하는 개인들과 네트워크를 만들고, 여성들과 소수자들과 같이 과소평가된 집단들을 포함시키기를 원한다. 우리의 목표는 모두가 소속감을 느끼는 문화를 만드는 것이다.

학생들이 서로 도울 수 있도록 도와준 성공의 비법은 무엇이라고 말할 수 있을까?

두 가지다. 다른 사람에게 가르칠 수 있을 만큼 주제에 대해 잘 배울 수 있다면 일반적으로 그것에 대해 상당히 잘 알고 있는 것이다. 또한 개념에 대한 이해를 돕기 위해 다른 사람들과 대화할 수 있는 공개 포럼도 큰 도움이 된다.

다른 챕터들은 어떻게 유사한 세션들을 주최할 수 있을까? 성공을 위한 본보기로 어떤 것을 추천하는지?

지역 보안 이벤트/모임에 가서 계획하고 있는 것에 대해 다른 사람들에게 이야기하십시오. 스터디 그룹 목적으로만 특별히 사용할 이메일 계정을 설정하십시오. 세션을 시작할 날짜를 선택하십시오. 비 전통적인 방식으로 보안 전문가들에게 연락해 보십시오. 우리는 LinkedIn과 Twitter뿐만 아니라 사이버 보안 업계의 여성들을 대상으로 한 여러 페이스북 그룹에 글을 올린다. 지역 대학과 협력하여 초급 수준의 개인들도 데려오십시오. 또한, 현재의 회원들에게 어디에 살든지 상관없이 직장 동료들과 친구들을 모집하도록 요청하십시오. (ISC)² Community Study Group 페이지에 각 자격증에 대한 스터디 세션을 게시할 수도 있다.

스터디 그룹에 참여하신 분들의 피드백이 있습니까?

“스터디 그룹들은 재미있습니다. 몇 년 전에 CISSP를 받은 이후로 새로운 보안 주제들에 대한 최신 정보를 얻을 수 있는 방법입니다.” - Diana Planton, CISSP

“제가 참여하는 주된 이유는 사회에 환원하기 위해서입니다. 개인들이 훈련 장소에 가서 교육 세션 비용을 지불할 돈이 항상 있는 것은 아닙니다. 혼자 하는 것보다 그룹으로 하는 게 훨씬 좋았습니다.” - Anna Cotter, CISSP, CCSP

“22년 동안 공교육에서 일한 전직 교사로서, 당신이 알지 못하는 한 과목을 가르칠 수 없습니다. 학생에게 한두 번의 수업 동안 선생님의 입장이 되어 보는 것보다 더 좋은 경험은 없습니다. 그룹은 이전 학생들과 현재 CISSP 보유자가 내용을 가르쳐주는 행운을 받았습니다.” 이 CISSP 지원자의 말에 따르면, “나보다 먼저 성공한 사람들로부터 겸손과 동기를 배웠습니다. Pittsburgh 지역 CISSP 스터디 그룹은 좋은 속도로 학습 자료를 계속 진행할 수 있도록 동기와 페이스를 제공했습니다. 세션 전후의 대화는 세션 자체만큼이나 많은 도움이 되었고, 시험 일정을 잡고 응시해야 한다는 좋은 동료들의 압력이 날짜를 정하고 그 날짜를 향해 계속해서 부지런히 공부하는 데 도움이 되었습니다.” - Ron Reyer, Jr., CISSP

"스터디 그룹에 발표하는 것은 커뮤니티에 참여하고 다른 사람들이 목표를 달성하도록 도울 수 있는 좋은 방법이었습니다." - Jon Zeolla, CISSP (창립 발표자 및 후원자)

"저는 몇 달 내로 CISSP를 취득할 계획이었습니다. 저는 이미 혼자 공부를 마쳤고, CISSP 도메인 위주의 항목들을 일상 업무에 많이 적용했었습니다. 그러나 결승선을 통과하기 위해서는 분발할 필요가 있었습니다. 커뮤니티 게시물을 통해 지역 (ISC)² 챕터에서 운영하는 이 스터디 그룹을 발견하고 다른 사람들이 시험을 준비하는 방법에 대한 호기심에서 합류했습니다. 콘텐츠 리뷰와 대화 그 이상으로, 제 프로세스를 지원하는 사람들이 있고 시험 시간 전에 질문을 던질 수 있는 것이 유용하다는 것을 알게 되었습니다. 누구나 내용을 읽을 수는 있지만, 경험을 가진 사람들은 어떻게 시험에 접근했는지를 설명했으며, 저는 그 사고방식을 시험 시간에 적용했습니다. 이 스터디 그룹은 단순히 자료나 강의를 통해 작업하는 것보다 더 간단한 통찰력을 제공했습니다. 또한 업계 및 (ISC)² 전문가들의 방대한 네트워크에 대한 현실에서의 연결을 제공했습니다. 심지어 시험에 합격하기도 전, (ISC)² Pittsburgh Chapter를 위해 Solarwinds 타협에 대한 브리핑을 요청받았습니다. - Eric Lansbery, CISSP

이러한 학습 세션들에 다른 사람들(Pittsburgh 지역 내/외)이 어떻게 참여할 수 있습니까?

초급부터 은퇴자까지 관심이 있는 모든 사람들이 포함된다. 우리 모두는 서로에게서 배울 수 있다.

우리는 입소문을 타며 성장할 수 있었고 Facebook, Twitter, LinkedIn, Meetup 및 Pittsburgh Slack을 포함한 다양한 소셜 미디어에 자주 게시하고 있다. 스터디 그룹을 찾고 있는 사람들은 (ISC)² Community Study Group 페이지에서도 각 자격증에 대한 스터디 그룹을 찾을 수 있다.


 

CCSP 시험 - 많은 변화가 준비되어 있습니다!

8월 1일, CCSP 시험에 몇 가지 변화가 있을 예정입니다. CCSP 시험이 4개 언어로 추가 제공될 예정임을 알려드리게 되어 매우 기쁩니다. 현재 CCSP 시험은 영어와 일본어로 제공됩니다. 더불어, 8월부터 한국어, 중국어, 독일어, 스페인어 CCSP 시험이 제공될 예정입니다.

이러한 새로운 언어들 외에도 CCSP 시험 시간이 업데이트될 예정입니다. 올해 초 CISSP 시험에 대해 발표된 바와 같이, 25개의 사전 테스트(채점되지 않는) 문항들이 모든 언어 시험에 추가됩니다. 이 문항들은 응시자의 시험 합격/불합격에 영향을 미치지 않지만 운영(채점되는) 문항들과 구별되지 않으므로, 시험을 응시할 때 각 문항을 신중하게 고려하여 가장 적합한 답을 선택해야 합니다. 지원자들이 모든 문항들에 충분한 시간을 소요할 수 있도록, CCSP 최대 시험 시간이 3 시간에서 4 시간으로 늘어나게 됩니다.

마지막으로, 2021년 12월에 발표된 것과 같이, CCSP 시험 내용이 8월 1일 새롭게 변경될 예정입니다. 구체적으로, 도메인 2: 클라우드 데이터 보안(Cloud Data Security)은 19%에서 20%으로 증가하고, 도메인 5: 클라우드 보안 관제(Cloud Security Operations)는 17%에서 16%로 감소할 것입니다. CCSP 시험 개요의 2022년 8월 1일 버전은 https://www.isc2.org/-/media/ISC2/Certifications/Exam-Outlines/CCSP-Exam-Outline-2022.ashx에서 확인하실 수 있으며, CCSP Exam Outline page에서 추가된 언어들로도 제공됩니다.

8월 1일 이후로 CCSP 시험을 등록했지만, 이러한 변경 사항들이 적용되기 전으로 시험 일정을 조정하고자 한다면 Pearson VUE에 연락하시기 바랍니다. 이러한 변경 사항들에 대해 질문이 있으시면, 시험 관리 팀(examadministration@isc2.org)에 연락 주십시오.


 

침해 사건 전, 중, 후, 사이버 보안 전문가의 번아웃을 방지하는 방법

작성자: Diana-Lynn Contesti (Chief Architect, CISSP-ISSAP, ISSMP, CSSLP, SSCP), John Martin (Senior Security Architect, CISSP-ISSAP, CISM, Open Group Certified Architect Master), 그리고 Richard Nealon (Senior Security Consultant, CISSP-ISSMP, SSCP, SABSA SCF)

사이버 보안 전문가들은 비즈니스에 장기적으로 영향을 미칠 가능성과 극심한 압박 속에서 어려운 결정을 내려야 하는 상황에 직면하는 경우가 많다. 시간이 지남에 따라 이러한 스트레스는 사이버 보안 전문가들에게 부담이 될 수 있으며 잠재적으로 직원들 사이에 "번아웃"과 함께 장기적인 심리적 영향을 유발할 수 있다.

직원들 사이에서 번아웃을 방지하기 위해 무엇을 할 수 있으며 동료 직원들을 어떻게 지원할 수 있을까? 이러한 질문들은 보안 침해가 다반사가 됨에 따라 업계에서 더욱 만연해지고 있다.

최근 (ISC)² Community의 한 회원은 이벤트들로 인한 PTSD(외상 후 스트레스 장애) 또는 번아웃을 겪을 수 있는 사이버 보안 종사자들을 위한 가이드, 팸플릿 또는 간단한 도움을 요청했다. 수년에 걸쳐 업계의 많은 사람들이 웰빙에 지속적인 영향을 미칠 수도 있고 그렇지 않을 수도 있는 이벤트들을 겪었다. 그러나, 아무것도 기록되거나 문서화된 적이 없다.

아마 여러분에게는 일어나지 않을 것이라고 생각할지도 모른다. 모두가 자신만은 침해를 경험하지 않기를 바랄 뿐이다. 최신 Verizon Data Breach 보고서에 따르면 모든 침해의 61%가 기밀 데이터에 영향을 미친다. 무슨 일이 일어났는지 이해하고 시정 조치를 계획해야 하는 사람이 바로 여러분이 될 수도 있다. 처음에, 여러분과 여러분의 팀은 인지되는 어떠한 살패에도 책임을 지게 될 것이고, 이미 사기가 저하되었다고 느낄 수도 있다.

긴급 구조 대원들이나 군인들처럼, 사이버 보안 전문가들은 도덕적 딜레마에 직면할 수 있다. 보안 종사자들은 도덕적으로 힘들고 스트레스가 많으며 트라우마를 유발할 수 있는 작업을 수행하도록 요청받을 수도 있다.

사이버 보안 종사자들은 조사가 끝나면 고용이 종료되지 않을까에 대해 의문을 갖게 되는 추가적인 스트레스를 받는다. 일부 국가에서는 고용 상실에 대한 두려움을 높일 수 있는 사건들에 대해 외부 조사 위탁 업체를 활용하고 의무적으로 신고를 하도록 하는 법을 개발했다. 최근에는 보안 사고로 직원들을 해고하는 조직들은 거의 없지만, 이러한 가능성은 여전히 사고 대응 스트레스의 요인 중 하나이다.

스트레스를 받거나 난관이 될 사이버 이벤트들에 직면할 수 있는 사람들에게 몇 마디 조언을 하고자 한다. 예를 들면 (하지만 이에 국한되지 않음), 식수와 오수를 섞는 것을 막지 못한 것, 중요한 서비스(수력, 가스, 물)를 운영하지 못하는 것, 또는 충돌 가능성이 있는 지역에서 감시를 하는 것 등이 포함될 수 있다.

어디서 스트레스를 줄일 수 있을까?

가족 라이프와 같은 외부 스트레스는 비상시 보안 전문가의 부담을 증가시킬 수 있다. 사건 기간 동안, (때로는) 긴 시간이 요구되는 점은 가족과의 약속들과 결합되어 개인에게 내부 갈등을 유발할 수 있다. 이러한 경우 업무량을 공유하고 다른 사람이 상황을 관리할 수 있도록 할 것을 추천한다(이는 보안 침해 또는 재해 발생 시에도 해당된다). 가족을 먼저 돌보아야 한다. 가정 내 문제가 있는 경우, 스트레스를 받는 상황에서 최선을 다하는 데 방해가 될 수 있음을 기억해야 한다.

사건이 일어나기 전, 가능하면 항상 지정된 교육 세션들에 참석하고 실습하는 것이 좋다. 불가피한 상황에 대비하십시오. 그러나 각각의 모든 상황에 대해 계획하는 것은 거의 불가능하다는 것을 기억하십시오. 하지만 이러한 세션들을 통해 실제 상황에서 수행할 수/하지 않을 수 있는 단계들을 문서화할 수 있다. 이 단계를 통해 침해/사고 대응 계획을 개발할 수 있다. 재해 복구 플래너의 페이지를 가져와서 테이블탑 연습(https://www.ready.gov/exercises)을 수행해 보는 것을 제안한다.

누구에게 지시를 받아야 하는지를 미리 알면 스트레스를 줄일 수 있다 - 다양한 관리자/감독자들로부터 온 혼합된 메시지들은 불필요한 스트레스를 유발할 수 있다. 이벤트가 발생하기 전, 명확한 보고 라인을 문서화하면 시간을 절약하고 스트레스를 줄일 수 있다. 상황 조정을 담당하는 직원에게 명백하게 권한을 부여하는 문서를 만들도록 추천한다. 이 문서는 조직 전반에 걸쳐 이해하고 받아들여져야 한다(중간 및 고위 관리 참여 포함). 이 문서에는 담당자가 필요에 따라 직원을 모집하거나 인수하는 데 필요한 권한을 부여하고, 지출 능력, 초과 근무 승인 능력 및 상황 구성 요소에 대한 권한을 부여해야 한다는 내용들이 포함되어야 한다.

상황 발생 시 스트레스를 유발할 수 있는 항목들(실업, 가족 약속, 도덕적 문제 등)에 대해 논의했으므로 이제 상황이 선언되었을 때 스트레스를 완화하는 데 도움이 될 수 있는 사항들을 살펴보자.

여러분이 하는 일, 이야기 한 사람, 이야기 한 내용 등 모든 것을 문서화하십시오.

ㆍ이것이 핵심입니다. 상황을 문서화하면(관리자의 지시 포함), 상황이 진정되었을 때 느끼게 될 압박을 어느 정도 완화할 수 있다. 항상 날짜/시간 및 작업과 함께 로그를 기록하십시오. 반드시 본인의 사인을 사용하여 항목에 서명하십시오. 상황 후 피드백 세션에서 본 문서를 사용하십시오.

ㆍNDA(Non-Disclosure Agreement)에 서명하고 준수하십시오. 도덕적 잣대를 사용하십시오.

ㆍ직원이나 부하 직원에게도 모든 것을 문서화하도록 요청하십시오.

ㆍ상황이 진정되면, 일어났던 모든 일들에 대한 로드맵을 개발하고 무엇이 잘 되었는지 그리고 잠재적으로 잘못되었을 수 있는 모든 것을 정확히 찾아낼 수 있을 것입니다. 이벤트 후에는 항상 공식적인 피드백 세션이 있어야 한다.

침해/사고 대응 프로토콜을 따르며, 어떠한 변경 사항이 있을 경우 이를 기록하십시오.

ㆍ도덕적으로 또는 윤리적으로 상충되지 않도록 하십시오. 양심에 걸려 괴로워하는 것은 정신 건강에 추가적인 압박을 줄 것이며, 사건이 끝난 후에도 오래 지속될 수 있다.

ㆍ원칙에 충실하고 팀 내에서 불필요한 긴장이나 갈등을 유발하는 원인이 되지 않도록 하십시오.

ㆍ팀 내에서 긍정적이고 비난하지 않는 문화를 발전시키고, 객관적으로, 하지만, 적극적으로 경청하십시오.

ㆍ자신의 한계를 알고, 업무를 잘할 수 있다고 생각되지 않으면 자신을 피하고 지원을 요청하십시오.

ㆍ홍보(PR)를 처리할 대변인을 지명하고, 그들에게 브리핑을 제공하여, 그들이 해당 일을 처리할 수 있도록 하십시오- 다른 사람들이 여러분의 사고 과정과 의사 결정 능력을 방해하는 것을 막도록 하십시오.

ㆍ집중을 방해하는 일이 생기지 않도록 하십시오.

ㆍ승인되고, 필수적인, 그리고 합의된 커뮤니케이션만 허용하십시오.

ㆍ집단 사고의 징후를 인식하고 함정에 빠지지 마십시오.

ㆍ비정상적인 일이 정상화될 수 있는 집단 사고에 굴복하지 마십시오.

ㆍ하루에 적어도 한 두 번은 상황을 재평가하기 위해 잠시 시간을 내십시오.

ㆍ상사가 휴식을 권하기 위해 어깨를 두드리면 휴식을 취하고 그들의 조언을 무시하지 마십시오. 교대 근무를 해야 할 수도 있다.

ㆍ상황이 진행되는 동안 감정이 북받친 상태라면 한발 물러나 휴식을 취하고 참여도와 상황을 재평가하십시오.

혼자가 아니라는 것을 이해하십시오.

ㆍ공개와 관련하여 법적으로 금지될 수도 있다는 것은 항상 염두에 두고, 상황에 대한 도움을 요청하기 위해, 또는 단지 압박을 완화할 수 있도록 대화할 수 있는 사람들을 찾으십시오.

ㆍ상황에 대해 동료나 네트워크 내 다른 사람들과 논의하는 것은 잠재적으로 해결책을 찾을 수 있는 부수적인 이익과 함께 감정적인 해방을 제공하므로 유익하다.

집에 도착하면, 자신을 고립시키지 말고, 가족과 대화를 하고, 그들에게 어떤 느낌과 영향을 받고 있는지 알리십시오.

ㆍ이 단계를 통해 압력을 줄이고 가족과 친구들의 도움을 받고 휴식을 취할 수 있다.

ㆍ그것은 또한 가족/친구들이 왜 여러분의 기분이 평소와 다른지 이해하도록 도와준다.

참여, 활동, 휴식 및 식사 등을 유지하십시오.

ㆍ휴식을 취하지 않으면, 초기 반응이 문제를 철회하거나 해결하기로 약속하는 것이 될 수 있다.

ㆍ식사와 휴식을 통해 체력을 유지하십시오.

ㆍ만약 운동을 규칙적으로 한다면, 그대로 고수하십시오. 규칙적으로 하는 운동이 없다면, 머리를 비우기 위해 산책을 하는 것도 나쁘지 않을 것이다. 산책을 위해 개를 데리고 나가십시오.

ㆍ방해받지 않고 적절한 수면을 취하도록 하십시오(방해를 받을 수 있는 환경에서 벗어나야 할 수도 있음).

ㆍ원기 회복을 위한 짧은 낮잠을 즐기고 있다면 현명하게 사용하십시오.

이제 자신을 돌보았으니, 상황에 종사한 직원 또는 다른 사람들을 위해서 무엇을 할 수 있을까?

직원들이 하는 모든 일을 메모하도록 하고, 항상 일지를 보관하도록 하십시오.

사고 발생 시 보안이 유지된 커뮤니테이션을 사용하여 미디어 및 승인되지 않은 인력에게 유출될 가능성을 줄이십시오. 도구들의 예시: 메시지를 암호화하는 “Signal” 또는 “Telegram” 마약, 술, 그리고 다른 형태의 가짜 행복감을 피하십시오. 종종 가짜이며, 상황에 도움이 되지 않고 자극하기 위해 사용되는 소셜미디어와 같은 파괴적인 인플루언서들을 멀리하십시오.

직원에게 리더십 제공:

ㆍ본보기가 되어 이끄십시오.

ㆍ직원을 모니터링하고 그들이 번아웃되는지 살피십시오.

ㆍ그들이 휴식을 취하도록 하십시오.

ㆍ그들이 식사를 하도록 하십시오.

ㆍ필요하다면, 그들을 한쪽으로 데리고 가서 그들이 어떤 감정을 느끼는지 이야기해 보십시오.

ㆍ필요할 때에는 간섭하십시오. 그것은 당신이 관리자 등을 중지해야 할 수도 있으며, 그들의 할당된 작업을 방해할 수 있다는 것을 의미한다.

ㆍ할 수 있는 모든 방법으로 그들을 지원하십시오.

마지막으로, 팀에 브리핑을 하고 최종 보고서를 작성하는 것이 마지막 단계이다. 우리는 다음과 같이 하도록 권장한다.

ㆍ모든 참여자를 모으십시오(비참여자 제외). 비참여자들은 물을 흐리게 할 수 있으며 일부 사람들이 솔직하지 못하게 할 수도 있다.

ㆍ무슨 일이 있었는지 토론하십시오.

ㆍ작성된 메모들을 사용하십시오.

ㆍ메모의 공백을 채우십시오.

ㆍㆍ필요할 때 요점을 명확히 파악하십시오.

ㆍ무엇이 옳았는지 그리고 무엇이 틀렸는지를 토론하십시오, 당연히 잘못된 것들이 있을 것입니다.

ㆍㆍ여기에는 상황의 타임라인이 포함되어야 한다.

ㆍㆍ연락망은 정확했습니까?

ㆍ그들의 참여가 적절했는지 또는 누군가를 누락되었는지 토론하십시오.

ㆍㆍ다음에 이를 사용할 때 (바라건대 없기를 바라지만), 당신이 적절한 인원을 신속하게 적소에 배치할 수 있게 한다.

ㆍㆍ누군가를 누락했다면, 그들은 어떻게 도움을 줄 수 있었을까?

ㆍ정확히 무슨 일이 일어났었는지 토론하십시오.

ㆍㆍ무슨 침해였습니까?

ㆍㆍ무슨 데이터를 잃었습니까?

ㆍㆍ조직의 재정적인 손실이 있었습니까?

ㆍㆍ명성의 상실을 초래했습니까?

브리핑을 마치면, 다음을 수행하십시오.

휴식을 취하십시오.

보고서를 공식화하십시오.

ㆍ생각을 수집하십시오.

ㆍ결과를 문서화하십시오.

ㆍ권장 사항을 문서화하십시오.

경영진과 만나십시오(참가자들 제외).

공식 보고서를 발행하십시오.

경영진과 만나 최종 보고서를 발표한 후에는 잠시 휴식을 취하여 다시 활력을 찾는 것이 좋다. 단지 커피와 도넛일 뿐라도, 감사하다고 말하고 팀에 보답하십시오.

이것은 완전한 목록이 아니며 보안 사건 전후에 당신 또는 당신의 직원들이 느끼는 스트레스/불안을 최소화하는 데 도움이 될 수 있는 예시들의 스냅숏을 의미한다.

사이버 보안 전문가들이 스트레스나 PTSD를 다룰 수 있게 되기를 희망하면서, 우리는 모든 피드백을 환영한다.


 

CISO로부터의 팁: 보안 프로그램을 만드는 방법

작성자: Marco Tulio Moraes, CISSP, 정보 보안 이사, CISO, OITI Marco는 테크놀로지, 리스크 및 인포섹 분야에서 20년 이상 경력을 쌓은 임원으로, 10년 이상의 국제 경력을 보유하고 있다. 그는 금융, 기술, 건강, 소매/시장, 스타업 및 공공사업 등의 다양한 분야의 경력을 갖추고 있다. Marco는 브라질 최초의 사이버 보안 프로그램들 중 하나를 개발했으며 경력 멘토, 강연자, 보안 전도사 및 이사회 고문으로 일하고 있다.

보안 프로그램을 개발하는 것은 때때로 초집중하고 있는 것을 누군가가 방해하고 있는 와중에 시계는 똑딱거리는 거리며 3,000개의 조각 퍼즐을 맞추는 것과 같은 느낌이 들기도 한다. 도전을 더 어렵게 만들기의 일환으로, 여러분께서 그리고 있는 큰 그림은 끊임없이 진화하게 된다.

CISO의 일반적인 과제는 주제별 전문 지식을 적용하는 것 이상으로 조직 문화를 이끌고 비즈니스 번영을 촉진하기 위해 리더십, 전략 및 커뮤니케이션 기술을 적용해야 한다. 비즈니스를 이해하고, 이해 관계자들의 기대치를 관리하며 회사 전체에 동일한 위험 인식 수준을 설정하는 것은 CISO가 해결해야 하는 과제들 중 일부 예시일 뿐이다. 주제 전문가로서의 역할은, 일반적으로 위험 평가 및 격차 분석으로 시작하여 공식적인 사이버 보안 프로그램 계획이 이어진다.

계획을 수립하는 데 있어 아무리 많은 노력을 기울인다 해도, 미러링 하고 있던 큰 그림이 더 이상 비즈니스에 가치를 제공하지 않는다는 것을 깨닫게 되는 순간은 항상 있다. 인수 합병, 새로운 경쟁, 새로운 기술 적용, 내부 비즈니스 전략 변경 등이 비즈니스 환경을 혼란스럽게 하므로, 계획들은 적응 및 지속 가능해야 한다. 변화하는 비즈니스 환경 외에도, 새로운 사이버 사고, 새롭게 대두되는 높은 위험, 새로운 규제 기한, 코로나19와 같은 글로벌 이벤트 등이 보안 프로그램을 변화하게 한다.

지속 가능하고 적응 가능한 보안 프로그램을 개발하는 방법은 무엇일까?
첫 번째는 올바른 기초 기둥을 세우는 것이다. CISO 생태계에서 변화는 늘 존재한다는 것을 알고 있기 때문에 이를 게임 계획의 일부라고 생각하고 최대한 빨리 감지하고 대응할 수 있도록 전략을 세워야 한다. 나는 보안 경영진들이 다음과 같은 특정 관점에 전략을 집중할 것을 제안한다.

1. 비즈니스 인식
CISO 직무에서 비즈니스는 일회성 활동이 아니라 지속적이어야 함을 이해하십시오. 비즈니스 목표, 제품, 서비스, 문제 및 전략을 이해하는 것은 보안 팀이 비즈니스 목표를 지원함과 동시에 기존 보안 작업을 수행하는 데 도움이 된다. 그러나 CISO가 스스로 비즈니스의 한 부분으로 자리매김할 수 있도록 하여 조직이 비즈니스 및 사이버 보안 지형에 기반하여 위험을 평가하고 현명한 결정을 할 수 있도록 해야 한다.

2. 전략적 포지셔닝
정보 보안 프로그램이 비즈니스에 제공할 수 있는 가치의 종류를 이해하는 것은 프로그램이 받아들여지고 지원을 받는 데 필수적이다. 디지털 비즈니스 전환 움직임을 감안할 때, 사이버 및 정보 보안은 이제 CISO가 유지 및 보호 역할을 넘어 비즈니스 개발자 및 비즈니스를 가능하게 하는 역할까지 수행하는 데 중요한 비즈니스 구성 요소로 인식되기 시작했다. 이러한 성숙도를 달성하려면 CISO가 전략적 마인드를 유지해야 한다.

3. 연대
보안 프로그램은 1인 도전 과제가 되어서는 안 된다. 부서는 조직 전체의 보안 문화를 보급하는 데 기여할 수 있는 모든 사람들을 참여시켜야 한다. 주요 이해 관계자들과 함께 전략을 정의하고, 비즈니스를 이러한 일부의 계획들로 이끌어 나가는 것은 위험 소유권과 책임 문화를 형성하는 것 외에도 프로그램이 받아들여지고, 프로그램 효율성을 창출하는 데 도움이 된다.

4. 강력한 팀 구축
도전적이고 열정적이며 숙련된 팀을 보유는 것은, 조직이 이해 관계자들 및 전체 조직을 검토된 전략에 연결하는 동시에, 해결해야 할 기술적 변화를 추진하도록 도울 것이다. 지침, 자율성 및 지속적인 피드백을 갖춘 팀은 기술적인 전문성과 회사를 선도하고, 영향력을 주며, 변화를 제안하는 것의 양쪽 측면에 있어서 보안 프로그램의 성공에 필수적인 요소이다. 또한 강력한 팀은 조직이 위험을 더 잘 관리하기 위해 필요한 기술적 노하우를 대표한다.

5. 커뮤니케이션
보안 프로그램을 이끄는 것은 특정 목표를 달성하기 위한 올바른 도구, 프로세스 및 거버넌스를 정의하는 것을 넘어선다. 그것은 보안 측면에서 조직 문화를 이끄는 것이다. 이는 기업의 마인드를 바꾸고 조직의 변화를 주도하는 경우가 많다. 커뮤니케이션은 올바른 메시지를 주는 것과 커뮤니케이션이 이루어지고 있는 것을 듣는 것 사이의 핵심 연결고리이다. 변화는 시간이 걸리고 지속 가능한 변화를 만들기 위해 계속적인 상호 작용을 필요로 한다.
정보 보안 분야를 단순한 기술적인 관점을 넘어 비즈니스의 일부로 옮기려면 CISO가 여러 가지 역할을 해야 한다. 이는 위험을 완화하는 것이 유일한 선택이 아니라는 것을 의미하며, 결국, 보안 부서는 회사의 지킴이가 아니라 탄력적이고 변화에 적응할 수 있는 중요한 사업부로서 일해야 한다. 이런 접근에서, 기업이나 위험 상황에서 어떤 일이 발생하든지 간에 보안은 비즈니스를 실현하는 데 있어 계속해서 그의 역할을 할 것이다.


 

사이버 보안 분야의 젊은 여성들을 축하하며 - WEIJIA YAN, (ISC)² 학부 장학금 수령자

(ISC)² 장학금 프로그램은 전 세계의 미래 사이버 보안 전문가들에게 장학금을 제공하여 이 중요한 분야에서 보람 있는 경력을 준비할 수 있도록 지원하는 노력의 일환으로 272만 명의 전문가가 필요한 사이버 보안 인력 격차를 해소하는데 기여하고자 한다.

동시에, 업계는 오늘과 내일의 문제들을 해결하기 위해 보다 다양한 시각과 새로운 인재가 절실히 필요하다. 장학금을 통해 (ISC)²는 이제까지 불충분하게 대변된 소수의 개인들에게 더 많은 기회를 창출하고 더 많은 젊은이들이 사이버 보안에서 경력을 추구하도록 고무하고자 한다.

2021년, Weijia Yan은 Texas A&M 대학에서 4학년 과정을 마칠 수 있도록 지원된 (ISC)² 학부 장학금을 수령했다. Weijia는 정보 시스템 경영 전공 및 사이버 보안 부전공으로 학사 학위를 취득하며, 2021년 12월에 우등으로 졸업했다. 그녀는 현재 Carnegie Mellon 대학에서 정보 기술-정보 보안 분야의 석사 과정을 밟고 있다.




왜 사이버 보안일까
Texas A&M에 있었을 때, 한 교수가 그녀에게 사이버 보안 클럽을 확인해보라고 제안했다. Weijia는 바로 그 클럽과 연락했고, 가능한 한 최대로 많이 배울 수 있는 모든 기회들을 흡수하고, 업계 전문가들을 만나고, 사이버 보안 분야의 경력을 스스로 개척하면서 그 중간에 사이버 보안을 부전공으로 선택했다.

Weijia는 사이버 보안에 매우 열정적이며, 더 많은 여성들을 그 직종으로 데려오고 싶었다. 업계에서 흔히 관찰되는 것으로, Weijia는 그 클럽에 여성이 충분하지 않다는 것을 알아차렸고 더 많은 여성들을 회의에 데려오고 그들이 환영받는다고 느낄 수 있도록 나섰다. Weijia는 Texas A&M 대학의 사이버 보안(WiCyS) 여성 챕터를 설립하고 회장으로 활동했다. 1년이 채 되지 않아 클럽은 3명의 회원으로부터 30명으로 성장했다.

사이버 보안은 항상 Weijia에게 관심의 대상이 되어 왔고, Texas A&M에서 공부하면서 열정으로 발전했다. 어린 시절, 그녀는 사이버 보안 전문가들에게 일반적인 진입점인 CTF(Capture the Flag) 게임을 실험하고 윤리적인 해킹에 손대기 시작했다. 이제 그녀는 언젠가 정보 보안 최고 책임자가 되기를 꿈꾼다.

Weijia의 사이버 보안 신입 대학생들을 위한 조언
Weijia는 사이버 보안에 관심이 있는 대학생이라면 누구든지 자신의 대학 사이버 보안 클럽을 확인하도록 추천한다. 이 주제에 관심이 조금밖에 없는 사람들조차도, 심지어 그들이 아직 기술적인 사이버 보안 능력을 가지고 있지 않음에도, 기회를 통해 얻게 되는 가치에 놀라게 될 것이다. 최근의 (ISC)² 연구는 이 직업군이 새로운 진입자들이 가져올 수 있는, 다른 가치가 있는, 비 기술적인 재능들을 적극적으로 찾고 있음을 확인했다. 기술적인 능력은 직업에서 항상 학습할 수 있다. 사이버 보안 전문가들에 따르면, 자격증 및 관련된 사이버 보안 경험과 동등한 또는 더 중요한 특징은 강력한 문제 해결 능력, 호기심, 학습에 대한 열정, 강력한 의사소통 능력, 전략적 사고 등이다.

Weijia는 관계 구축과 커뮤니티의 중요성을 강조한다. 그녀가 Texas A&M 사이버 보안 클럽을 통해 이룬 많은 사이버 보안 관계들은 그녀가 기술을 개발하고 커리어를 발전시킬 수 있는 문들을 열어주었다. 그녀는 또한 가능한 한 빨리 인턴십을 신청하거나 IT 헬프 데스크에서 일하면서 보안에 직접 노출될 것을 권장한다.

(ISC)² 및 그 자선 재단인 Center for Cyber Safety and Education(사이버 안전 및 교육 센터)에서는 그녀의 성취를 축하하고, 앞으로의 경력에 행운이 있기를 기원한다.

사이버 보안 분야에서 경력을 시작할 준비가 되셨습니까?
사이버 보안은 보람 있는 직업이며, 사이버 보안을 추구하는 데 관심이 있는 많은 사람들은 직접적인 경험이 부족하더라도 이미 전환이 가능한 기술들을 보유하고 있다.

학생들 및 사이버 보안으로 경력을 변경하는 사람들에게는 (ISC)² entry-level 사이버 보안 자격증 파일럿 시험에 등록하는 것이 권장된다. 현재 파일럿 프로그램이 진행 중이며 관심 있는 지원자들은 지금 시험에 등록할 수 있다. 새로운 사람들에게 도전적이면서도 달성 가능하도록 설계된 이 기초 자격증은 사이버 분야에서 경력을 쌓는 데 관심이 있는 전문가들이 보상받는 커리어로 가는 길에 필요한 교육과 정보를 얻도록 도움을 줄 것이다.

(ISC)² entry-level 사이버 보안 파일럿 프로그램과 시험 개요에 대해 더욱 자세히 알아보시려면, https://www.isc2.org/Notice/New-Cert를 방문하십시오.

 

사이버 보안이 왜 젊은 사람들이 진입하기에 가장 좋은 분야 중 하나일까?

사이버 보안 업계는 인재 부족을 겪고 있으며 272만 명에 달하는 글로벌 인력 격차를 해소하기 위해 전문가들을 찾고 있다. 중요한 자산을 적절히 보호해야 한다는, 조직들이 당면한 필요성을 충족시키려면 젊은 사람들이 그 답이 될 수 있다. 유일하게 한결같은 것이라고는 진보, 진화하는 도전 그리고 계속적인 교육인 사이버 보안 업계야 말로 혁신적이고 보람 있는 분야에 관심 있는 Z세대와 젊은 밀레니얼 세대에게 적합한 선택이다.

만족과 보상
"사이버 보안 전문가들이 스트레스를 받고, 인정받지 못하고, 압도적인 압박을 받고 있다는 일부 언론을 통해 널리 알려진 이야기들에도 불구하고, 우리의 연구는 높은 참여도와 만족도를 보이는 인력임을 드러내고 있다."(2021 (ISC)² 사이버 보안 인력 연구 / 2021 (ISC)² Cybersecurity Workforce Study) 인력 연구 응답자들의 77%는 자신의 직무에 만족하거나 매우 만족한다고 보고했으며, Z세대와 밀레니얼 세대가 79%로 가장 높은 만족도를 경험하고 있다.

Z세대와 밀레니얼 세대가 추구하는 자유와 일/사생활 균형이 원격 근무의 유동성을 통해 가능해졌으며 사이버 보안 업계에서는 이를 잘 수용하고 있다. 인력 연구에 따르면 전 세계 응답자들의 약 85%가 2020년과 2021년에 원격 근무를 한 것으로 나타났다. 팬데믹으로 원격 근무 추세가 확대되었지만 원격 근무를 구현한 기업들 중 단 24%만이 기존의 사무실 환경으로 완전히 돌아갈 계획을 가지고 있다.

사이버 보안 전문가들은 높은 직업 만족도를 느끼고 있을 뿐만 아니라 업무에 대한 훌륭하게 보상받고 있다. 응답자들은 세금 전 평균 연봉이 미화 90,900달러로, 2020년 응답자들의 미화 83,000달러에서 상승했으며, 그중 31%는 평균 연봉이 미화 10만 달러 이상이라고 보고했다.

사이버로 가는 길
Z세대와 밀레니얼 세대는 현재 사이버 인력의 39%를 차지하며 그들의 진출과 함께 사이버 보안으로 들어가는 경로는 이전 세대보다 훨씬 다양해졌다. 젊은 전문가들에게는 IT 이 외의 분야에서 시작하는 것이 점점 흔해지고 있으며, 이는 사이버 보안이 젊은 인력들과 학생들에게 직업적 기회로 더 잘 이해되고 있다는 것을 나타낸다. X세대의 경우 53%, Boomers의 경우 55%인 반면, 젊은 사이버 전문가들의 38%만이 IT에서 시작했으며 교육 및 자율 학습을 통한 진입률이 더 높다. IT 배경이 전체적으로 가장 일반적인 단일 경로로 남아있지만, 조사 참여자들의 47%를 통해 다양한 진입점이 있음을 찾을 수 있다.

사이버 보안 인력 격차를 채우기 위해 (ISC)²는 새로운 Entry-Level Certification 개발을 모색하는 흥미로운 과정을 시작했다. 이 기초 자격증은 사이버 분야에서 경력을 쌓는 데 관심이 있는 전문가들이 보상받는 커리어로 가는 필요한 교육과 정보를 얻는 데 도움을 줄 것이다. 업계 경험이 있거나 전문 분야에 관심이 있는 사람들을 위해 (ISC)² 자격증 패스파인더 / (ISC)² Qualification Pathfinder는 어떤 (ISC)² 자격증이 가장 적합한지 쉽게 찾을 수 있는 간단한 온라인 설문지를 제공한다.

(ISC)² 연구에 대한 자세한 내용 및 2021 (ISC)² 인력 연구 전문을 보시려면 https://www.isc2.org/Research를 방문하십시오.


 

설문 조사 자료: 2022년 사이버 보안에 대해 CEO들이 알아야 할 사항

한 해의 시작은 지난 12개월을 돌아보고 2022년 개선 계획을 세우기에 좋은 시기다. 2021년, 지난 해들과 마찬가지로 사이버 보안 업계에서도 보안 사고, 대규모 랜섬웨어 공격, 위험 요소 증가 등 여러 가지 문제가 더 많이 드러났다. 2021년, JBS Foods, Kaseya, Colonal Pipeline 등 가장 치명적인 사이버 공격들이 발생했다. 이러한 공격들은 전 세계적으로 관심을 받았고 사이버 보안 모범 사례에 대한 더 많은 관심이 필요함을 강조했다.

전 세계 CEO들이 사이버 위험을 더 잘 이해하고 비즈니스를 보다 안전하게 만들 수 있도록, (ISC)²는 사이버 보안 리더부터, 사이버 보안 팀 구성원에 이르는 200명의 사이버 보안 실무자들을 대상으로 온라인 설문조사를 실시했으며 그들에게 간단한 질문을 했다. 다가오는 내년, 비즈니스를 더욱 안전하게 하기 위해 모든 CEO들이 알아야 할 사항은 무엇입니까? 응답을 분석한 결과, 모든 CEO들이 2022년까지 알아야 할 다섯 가지 권고들은 다음과 같다.

사이버 보안이 수익에 미치는 영향을 파악하십시오.
갈수록 디지털화되는 우리 사회에서 사이버 보안은 비즈니스 연속성 보장과 고객 데이터 및 개인 정보 보호를 위해 매우 중요하다. 그러나, 대부분의 사이버 보안 전문가들은 사이버 보안이 비즈니스에 있어 충분히 높은 우선순위에 있지 않다고 단호히 주장한다. 사이버 보안 관리 역할을 맡고 있는 한 응답자는 "보안은 비즈니스의 핵심으로 깔려있어야 한다. 그냥 나중에 생각해야 할 것이 아니다."라고 말했다. 또 다른 응답자는 "CEO들은 보안이 IT 문제나 기술 문제가 아니라 회사의 모든 측면에 영향을 미치는 비즈니스 문제임을 알아야 한다"라고 말했다.

한 응답자는 사이버 보안을 세일즈 툴로 사용하여 경쟁 우위를 확보할 수 있도록 권장했다. 또 다른 응답자도 비슷한 관점을 가지고 있었으며, "제품, 서비스 또는 프로세스에 보안을 고려하고, 회사와 고객에게 보다 탄력성 있고 더 나은 결과를 제공할 수 있도록 보안을 개발 단계에서 고려할 수 있어야 할 것"을 CEO들에게 제안했다. 사이버 보안은 차별화 요소일 뿐이기에 더 나아가, 만약 첨단 기술이 공격 또는 데이터 유출에 취약할 경우 이러한 첨단 기술에 대한 투자가 쓸모없어 지므로 사이버 보안은 반드시 디지털 전환 전략의 핵심이 되어야 한다.

2021년 데이터 침해의 평균 비용이 미화 4.24 만 달러로 증가한 것을 고려하면, 사이버 보안이 핵심 비즈니스 목표가 될 때, 기업은 고객 신뢰를 구축하고 브랜드 명성을 강화하며 장기적으로 비용을 절감할 수 있다. 한 응답자는 “보안은 비즈니스 비용 일 뿐만 아니라 타당한 비즈니스 요구 사항이며 랜섬웨어 및 정교한 위협으로부터 보호하기 위해 적절히 재정 지원을 받아야 한다"라고 말했다. 사이버 공격이 성공한다면, 준비된 조직들은 이를 더 빨리 감지, 보완하고 피해를 최소화할 수 있다.

모든 사람이 사이버 보안을 책임지도록 하십시오.
조직 내 사이버 보안의 책임은 모든 사람에게 있다는 것이 전반적으로 공통된 주제다. 피싱은 사이버 공격자들 사이에서 가장 흔한 공격 방법 중 하나로, 업계는 사이버 보안 인식 교육이 결코 충분할 수 없다는 데 동의한다. 실제로 설문 조사에 응한 응답의 12%에서 사이버 보안 교육이나 인지도 교육이 언급됐다. 한 응답자는 모든 조직들이 사이버 공격에 취약하며, "작은 조직들조차 공격과 갈취를 당할 수 있기 때문에, 보안은 모든 사람의 의무임을 강조한다"라고 말했다.

사이버 보안 교육을 자주 실시하는 것은 직원들이 사이버 보안을 최우선으로 고려하도록 하는 가장 좋은 방법이며, 인상적인 ROI를 보이는 높은 비용 효율적인 솔루션이다. 사이버 보안 리더십 역할을 맡고 있는 한 응답자는 "[단순] 변화는 [조직의 보안 태세에] 중요한 영향을 미칠 수 있다. MFA, 보안 인식 교육, 의무적 취약성 관리 등의 항목은 방어를 강화하는 데 큰 역할을 한다."라고 언급했다.

응답자들은 CEO들이 인식 교육의 중요성을 간과해서는 안된다고 경고했다. 간단히 말해서, 사이버 보안 관리 직책에 있는 한 응답자는 "오늘날의 세계에서 회사를 보호하려면 보안 인식 및 내부 위협 프로그램이 필요하다."라고 말했다.

보안 팀을 고용하고, 적절한 보상을 제공하십시오.
적절한 사이버 보안 도구를 갖추는 것은 필수적이지만, 사이버 보안 팀이 이러한 도구를 이용할 수 있도록 적절한 교육을 받지 않았거나 보안 프로그램을 관리하기 위해 적절한 인력을 배치하지 않았다면 사이버 보안 도구들도 소용이 없게 된다. 한 응답자는 CEO들에게 "인증받은 또는 다른 자격을 갖춘 사이버 보안 인력을 고용해서, 적절히 지불하며, 취약점을 평가하고, 확인하고, 보완하기 위해 필요한 자원과 권한을 제공해야 합니다"라고 권고했다.

사이버 보안은 비즈니스 투자이다. 한 응답자는 "[내부] 팀이든 제삼자 계약자든 정보 보안에 더 큰 투자가 있어야 한다. 보안은 투자이고, 구인과 급여 사이에는 상관관계가 있다. 교육, 임금 및 성장 기회에 투자하십시오."라고 말했다.

조직의 규모와 운영 산업에 따라 한 명의 사이버 보안 전담 인력으로는 부족할 수 있다. 한 응답자는 CEO들이 "조직 내에서 필요한 직책에 대한 인력을 고용하고 [적절한 교육]하는 방법”을 알아야 한다고 지적했다. CEO들과 채용 담당자들은 보안팀 리더들과 함께 필요한 직원들의 수요를 파악해야 한다. 현재 272만 명의 사이버 보안 전문인력이 부족하며, 사이버 보안 "올스타"만을 좇는 것은 실행 가능한 전략이 아니다.

사이버 보안 리더들은 분석적 사고, 호기심, 문제 해결 등 사이버 보안 경력 성공에 필수적인 기초적인 비기술적 스킬을 모색 중인 커리어를 변경하는 사람들을 점점 더 채용하고 있다. 숙련도와 상관없이, 모든 직원은 전문적인 개발 기회를 이용할 수 있어야 하며 효과적인 수행을 위해 조직의 사이버 보안 도구에 대한 교육을 받아야 한다.

사이버 보안 전문가에게 임금을 잘 지급하는 것도 중요하다. 직종에 관계없이 직원들이 경쟁적으로 교육, 지원, 급여를 받을 때 높은 수준의 직무 만족도를 보고하고 회사에 머무른다. 사이버 보안 일자리 시장은 전문인력의 절반 가까이가 리크루터들로부터 매주 접근이 있다고 보도되는 것처럼 치열하다.

랜섬웨어에 대비하십시오.
2021년 버라이존 데이터 침해 조사 보고서에 따르면 올해 랜섬웨어 공격 빈도가 2배 증가했으며 FBI는 랜섬웨어 민원이 매년 62% 증가했다고 보고했다. 랜섬웨어는 최근 발생한 새로운 형태로, 공급망 공격, 이중 갈취와 함께 랜섬웨어는 사이버 공격자들 사이에서 인기가 높아지고 있는 서비스이다. 랜섬웨어는 응답자의 10%가 랜섬웨어를 언급한 만큼 사이버 보안 업계의 최대 관심사 중 하나다.

랜섬웨어는 피할 수 없다 - 한 응답자가 "랜섬웨어는 다른 사람에게만 발생하는 것이 아니다"라고 말한 것처럼 말이다. 성공적인 운영을 위해 기업들은 빈번한 테스트를 거친 랜섬웨어 대응 계획을 보유하고 매년 위험 평가를 수행해야 한다. 사이버 보안 관리 역할을 수행하는 한 응답자는 "[CEO들은] 여러분의 조직에서 피싱 및 랜섬웨어에 대한 효과적이고 테스트된 교육 및 개선 계획을 보유하는 데 개인적인 오너쉽과 책임을 져야 한다."라고 말했다. 비슷한 직책을 맡은 또 다른 응답자는 랜섬웨어를 차단하기 위해 CEO들이 사이버 기본을 제대로 익힐 필요가 있다고 강조했다.

한 응답자는 계획을 세우고 사이버 기본 사항을 수행하는 것 외에도 고급 위협 탐지 기술을 구현하고 사이버 보안 팀을 구성하여 방어를 강화하는 것이 중요하다고 강조했다.

원격 근무를 가능하게 하는 기술에 투자하십시오(이는 사라지지 않기 때문에)
원격 및 하이브리드 근무 가능화가 가장 중요한 설문 주제 중 하나로 응답의 13%를 차지했다. 세계적 팬데믹이 특히 우리가 일하는 방식을 발전시켜 나가고 있다. 한 응답자는 "모든 CEO들이 COVID-19로 인한 재택근무 콘셉트와 관련된 위험을 이해해야 한다"라고 권고했다.

원격 및 하이브리드 근무는 비록 사이버 위험이 따르지만 사무실 외부에서 업무를 수행할 수 있는 많은 전문가들이 이를 핵심 특전으로 인식하고 있다. 한 응답자는 “특히 생산성이 저하되지 않았기 때문에, 보다 유연하고 원격으로 근무하는 것에 대한 직원의 요구가 사라지지 않고 있다. CEO들은 계속해서 직원의 근무 유연성을 가능하게 하는 기술에 투자해야 한다."라고 말했다.

설문 응답자들은 원격 인력 보안, CEO들의 자산 관리 투자 독려, 제로 트러스트 구현, 보안 상 위협이 없는 유동성과 유연성 도모, 비즈니스 위험 재평가, 안전한 원격 기술 구현, BYOD 정책 검토, 수시 보안 의식 교육 추진 등 다양한 의견을 제시했다. 체크리스트가 길어질 수 있지만 CEO는 보안 담당자와 우선순위와 필요성에 대해 논의하여 원격 근무 전략을 개발해야 한다.

CEO들이 2022년을 향한 사이버 보안에 대해 무엇을 알아야 한다고 생각하십니까? (ISC)² 커뮤니티에서 의견을 공유하고 대화에 참여하십시오.


 

진정한 IoT(사물 인터넷) 보안의 새벽

IoT(Internet of Things) 디바이스들은 이제 어디에나 있다. 가장 초기의 디바이스들이 시장, 가정, 그리고 더 나쁘게는 기업들에서 나타난 이후, 보안 전문가들은 이러한 디바이스들이 보안에 대한 고려 없이 구축되었음에 대해 경종을 울렸다.

NIST(National Institute of Standards and Technology)는 출시하기 전에 이러한 디바이스들을 안전하게 하는 것과, 구매 및 통합에 관한 새로운 초안 지침서를 지금 발표했다. 이 새로운 간행물들은 기업과 소비자 모두에게 긍정적인 효과를 줄 것이다. 하지만, 다른 기술적인 지침들처럼, 이 아이디어들은 유능하고 자격을 갖춘 사람들을 통해서만 효과적이다.

수년 동안, 사이버 보안 전문가들은 수많은 IoT(사물 인터넷) 디바이스들의 성급한 시장 출시 확산에 대해 한탄했다. 왜 그렇게 걱정했을까? 초창기에는 많은 사람들에게 차 주전자, 집 CCTV 카메라, 그리고 냉장고까지도 인터넷에 연결된다는 개념이 매우 편리하게 보였다. 인포섹 전문가들은 왜 그렇게 우려했을까?

네트워크 공격에서의 내부망 이동(래터럴 무브먼트)은 가장 일반적인 공격 매개체 중 하나가 되었고, 홈 네트워크에 IoT 디바이스를 부착한 대부분의 사람들은 네트워크 분할과 같은 것들에 익숙하지 않으며, 게스트 네트워크를 통해 기밀 정보가 저장될 수 있는 가정용 컴퓨터와 같은 더욱 귀중한 자산으로부터 이러한 장치를 격리시키는 방법에도 익숙하지 않다.

홈 네트워크 외에도 기업 네트워크 역시 IoT 디바이스들로부터 악명 높은 카지노 수족관 공격과 같은 위험에 노출되어 있다. 다행스럽게도, 잘 문서화된 그 공격은 일반적인 것보다 더 특이하게 보이지만, 요점들은 분명하다:

ㆍ대부분의 IoT 디바이스들은 보안을 염두에 두고 제작되지 않았다;
ㆍ대부분의 사람들은 이 제품들의 잠재적인 취약점을 알지 못한다.
ㆍ이러한 결함을 해결하기 위한 업데이트 메커니즘을 가지고 있는 제조업체는 거의 없다.

IoT의 상황은 개선되었을까? 보아하니, 사이버 보안 커뮤니티를 안심시키기에는 충분치 않으며, 심지어 전체적 대중들을 안심시키기도 역부족이다. 보안만 중요한 것은 아니다; 프라이버시 역시 중요하다. 최근 조사에 따르면, 응답자의 63%가 "사람과 그들의 행동에 대한 데이터를 수집한다는 점에서 연결된 디바이스들이 '소름 끼친다'라고 느낀다"라고 말했다. 현재 이렇게 편재하는 디바이스들의 보안과 프라이버시 우려를 동시에 해결할 수 있는 방법이 있을까?

NIST의 새로운 지침
다행스럽게도, NIST(National Institute of Standards and Technology)로부터 도움의 손길이 새로운 지침의 형태로 도착했는지도 모른다. 새로운 IR(Interagency Reports)에 따르면, 예를 들어 "Foundational Cybersecurity Activities for IoT Device Manufacturers (IoT 디바이스 제조업체를 위한 기본적인 사이버 보안 활동)", "IoT Device Cybersecurity Capability Core Baseline ( IoT 디바이스 사이버 보안 역량 핵심 기준)" 및 초안 형식의 새로운 특별 간행물인 "IoT Device Cybersecurity Guidance for the Federal Government (연방 정부를 위한 IoT 디바이스 사이버 보안 지침)"에서 이러한 디바이스에 대한 신뢰를 향상할 수 있는 방향을 NIST는 제시한다. 이 새 문서들은 계속해서 사이버 보안 프레임워크를 강화하는 방향으로 나아가고 있다.

IoT 디바이스는 다른 모든 시스템 구성 요소에 적용되는 엄격한 표준을 따르지 않고 어떻게 연방 정보 시스템에 진입할 수 있었을까? SP800-213 소개에서 설명한 대로 IoT 디바이스는 "정보 시스템" 레벨보다 낮으며 "시스템 요소" 보다 낮은 레벨에서도 작동한다. 이 특별 간행물의 목적은 연방 기관들이 해당 "디바이스 관점"에서 시스템 보안을 고려하도록 지원하는 것이다.

일부 보안 전문가들은 IoT 보안 약점에 대한 모든 나쁜 뉴스를 고려했을 때 이러한 디바이스가 네트워크에서 어떤 용도로 사용될 수 있는지 궁금해 할 수 있다. NIST 문서는 IoT 디바이스들이 실제로 시스템 보안을 지원한다는 것을 보여주면서 좀 더 실용적인 견해를 취하고 있다. 이것은 보이는 것처럼 그렇게 설득력이 없는 것이 아니다. 온도 센서부터 백업 배터리 전압 모니터, 데이터 센터의 문 알람 등에 이르기까지 우리의 네트워크에서 사용되는 "전통적인" 도구의 대부분은 시스템 요소의 범주에 속한다.

실용적인 조언
NIST 접근 방식은 매우 실용적인 관점이다. 일부는 전화 접속 모뎀보다 약간 더 많이 보호되어 워 다이얼링(war-dialing) 공격처럼 단순한 공격에도 취약하므로, 올바르게 적용될 경우 IoT 디바이스의 보안이 기존 시스템보다 더 나은 보안 제어를 제공한다는 데에는 논쟁의 여지가 있다.

이는 NIST가 IoT 디바이스의 내재적인 위험을 무시한다는 의미로 해석될 수 없다. 그것은 Interagency Reports (IR)의 공개가 그 역할을 하게 되는 것이다. NIST.IR.8259A는 IoT 디바이스의 제조, 통합 및 획득 관점에서 기준선 설정에 대한 지침을 제공한다. IR.8259에서 "Foundational Cybersecurity Activities for IoT Device Manufacturers (IoT 디바이스 제조업체를 위한 기본적인 사이버 보안 활동)"은 IoT 제조업체가 시장에 출시되기 전에 디바이스에 구축할 수 있는 방법을 설명한다.

이러한 지침이 NIST.IR.8228에 "사이버 보안 및 개인 정보 보호 위험 (Considerations for Managing Internet of Things Cybersecurity and Privacy Risks)"라는 제목의 IoT 개인 정보 보호 지침과 함께 준수된다면, 우리는 모든 사람에게 궁극적으로 도움이 될 수 있는 새로운 IoT 보안 시대에 진입할 수도 있다. 모든 조언이 실용적이지만, 실행하기 위한 올바른 교육을 갖춘 자격 있는 사이버 보안 전문가가 그것을 가장 잘 처리할 수 있다.

백미러 없음
NIST.IR8259에 수록된 한 간략한 메모에는 다음과 같은 내용이 있다:

"본 간행물은 이미 제작된 디바이스들이 아닌, 새롭게 제작 중인 디바이스들에게 알리기 위한 것이나 일부의 정보는 이미 제작된 일부 디바이스들에도 적용될 수 있다.”

즉, 제조업체는 이전에 제조된 디바이스를 보호할 의무가 없다는 뜻이다.

전반적으로, NIST 서류에서 명시한 바와 같이, 이것들은 지침이며 어떠한 규제력도 가지고 있지 않다. 그러나, NIST 간행물들에 오랫동안 관심을 갖고 있는 사람들은 이러한 것들이 규정 제정 전에 선행된다는 것을 잘 알고 있다.

건강한 수준의 겸손
NIST 기반 설명서의 저자들은 다음과 같은 내용을 명확히 기술한다:

"이 기준선만이 존재하는 유일한 기능 집합은 아니다. 이 기준선은 포괄적인 목록이 아닌 공통 기능의 정의를 만들어내기 위한 조직화된 노력을 나타낸다. 따라서, 시행 조직은 자신의 조직에 더 적합한 기능을 정의할 수 있다. IoT 디바이스 사이버 보안 위험 관리를 지원하기 위해 이러한 추가 기능들을 사용할 것을 추천한다."

항상 그렇듯, 저자들은 그들의 것이 이 주제에 대한 마지막 문구가 아니며, 더 많은 발견과 지속적인 개선을 위한 여지도 항상 있다는 것을 분명하게 보여준다. 어쨌든, 드디어 IoT 보안과 관련하여 통합된 생각을 볼 수 있게 되어 좋다.

CISSP가 성공을 돕는 방법
NIST 문서를 작성과 관련하여 그 의도와 신중한 생각을 보다 잘 이해하고자 한다면 CISSP CBK(Common Body of Knowledge) 만큼 좋은 학습 과정이 없을 것이다. CISSP 도메인은 모든 조직에 대해 효과적인 보안 프로그램을 구축하거나 유지 관리할 때 고려해야 하는 광범위한 주제 집합을 학생에게 제공한다.

NIST의 간행물들이 주제 탐색에 빈틈이 없듯이, CISSP CBK에서 주제에 대한 엄격한 시험은 완전히 실현된 보안 계획과 동일하다.

게다가, CISSP는 보안은 현재 진행 중인 과정이며, 다른 과학과 마찬가지로, 새로운 발견은 보다 안전한 정보 시스템을 향한 진보를 가져올 것이라는 것 또한 학생들에게 이해시킨다.

자세히 보기
보안 전문가로서 CISSP 자격증을 어디에 활용할 수 있을까? Cyber Pop-up의 설립자이자 CEO인 Dr. Christine Izuakor와의 최신 인터뷰 시리즈에서 가능성을 살펴보십시오.

블로그 보기


사이버 보안 리더로 성공하기 위해 필요한 9 가지 특성 (9 Traits You Need to Succeed as a Cybersecurity Leader) 백서에서 CISSP에 대해 더 자세히 확인할 수 있다.

백서 보기


 

볼티모어 랜섬웨어 공격으로부터 얻은 교훈

Martin R. Okumu는 2018년 광역 자치구의 애플리케이션 90%가 영향을 받았던 볼티모어 시에서 일어난 랜섬웨어 공격을 겪었다. 그 당시 도시의 IT 인프라의 담당 이사로서, 그는 랜섬웨어 공격으로부터 방어하고 회복하는 것에 대한 많은 귀중한 교훈을 배웠다.

화요일 오후, 그는 (ISC)² Security Congress 2021의 버추얼 세션에서 참석자들과 교훈을 공유했다. 그는 현재 샌프란시스코 시 및 카운티의 최고 정보 책임자이다.

Okumu는 여러 측면에서, 볼티모어는 공격에 준비가 되어있지 않았었다고 말했다. 시는 사이버 사고 대응 팀(CIRT)이나 사고 대응 실행화 하거나, 또는 커뮤니케이션 및 에스컬레이션 처리 방법 등에 대한 명확한 계획이 없었다.

이러한 요소들은 랜섬웨어 공격을 막기 위해 조직이 필요로 하는 요소들이다. "만약 여러분이 이러한 것들을 잘 구비해 두고 있으며 이러한 절차들의 개요가 정리되어 있다면, 여러분은 그때의 우리보다 더 나은 상태에 있다, "라고 그는 말했다.

Okumu는 명확하게 규정된 절차와 역할이 부족했기 때문에 도시는 혼돈과 혼란으로 빠져들었다고 말했다. 유일한 장점은 시 당국이 온-프레미스 및 클라우드 백업 모두에 투자했다는 것이다. Okumu는 "볼티모어가 1~5개의 비트코인을 요구하는 랜섬을 거부하고도 피해복구 비용으로 1800만 달러를 들었다"라고 말했다.

공격
이 공격은 2018년 5월 19일 이른 아침 처음 발견되었다. Okumu는 오전 4시에서 7시 사이에 시작되었다고 말했다. 컴퓨터에 로그온 하려고 할 때, 사용자들은 시스템이 Ransom.Robinhood 랜섬웨어로 암호화되었다고 하는 메시지를 받았다. 범인들은 "무슨 일이 일어났는지 당신이 알기를 원한다. 그들은 숨지 않는다."라고 그는 말했다.

도시는 공격자들에게 대응하지 않았고 이들은 이후 더 많은 강요를 시도했으며 자신들의 행위를 증명하기 위해 한 기기의 잠금을 해제하겠다고 제안했다"라고 말했다. 그들이 도시에 보내는 메시지는 시간이 갈수록 더 공격적이 되었고, 마침내 6월 7일의 최종 응답 기한을 발표했다. 시는 그에 대응하기보다는 수개월이 걸린 복구 과정을 진행했다.

준비
Okumu는 랜섬웨어 공격에 대비하기 위해 기술 및 비즈니스 측면의 회복 모두를 다루는 사고 대응 계획(IRP)의 중요성을 강조했다. 전자의 경우, 환경을 파악하고, 커뮤니케이션 및 에스컬레이션 절차를 확립하고, 계획 활성화를 위한 방법적 절차를 마련하는 것이 중요하다. 비즈니스 측면에서는 CISO, CIO 및 회사 경영진을 위한 커뮤니케이션 계획을 수립하는 것은 물론 사이버 보험을 포함한 위험 관리 구성 요소를 갖추는 것과 같은 요소들을 다루어야 한다. 랜섬웨어 전문가를 보유해 사건 여파에 몰두하지 말고 몸값을 지불하기로 한 경우에 비트코인 계정을 설정하는 것도 현명하다.

백업 전략
백업 전략을 세우는 것도 중요하다. "이 때문에 우리는 회복할 수 있었다"라고 Okumu는 말했다. "귀하의 조직이 확실한 백업 계획을 가지고 있는지 확인하십시오. 이는 한 가지 이유 또는 다른 이유로 기업들이 돈을 쓰고 싶어 하지 않는 가장 큰 영역이다. 나는 그 이유를 알 수 없다."

데이터 백업은 랜섬웨어로부터 보호하기 위해 조직이 수행해야 하는 여러 단계 중 하나일 뿐이다. Okumu는 사고 평가, CIRT 조성 등 일련의 다른 단계들을 짚고 넘어갔다. CIRT의 성공을 보장하기 위해, 그는 그 팀에 간부급 후원자와 명확한 임무 성명을 갖는 것이 중요하다고 말했다.

그 밖의 절차에는 사고 발생 시 내부 의사소통 방법과 FBI, 국토안보부, CISA, 현지 법 집행기관, 규제 기관 등의 외부 기관과 의사소통 방법을 생각해 내는 것이다.

사건에 대한 중요한 사실을 기록하고 피해 컴퓨터의 이미지를 캡처하는 등의 조치를 취함으로써 사건을 범죄 현장으로 보는 것이 중요하다. Okumu는 또한 자체 내에 또는 아웃소싱 방식으로 디지털 포렌식 전문가를 두어야 한다고 조언했다.

그는 외부인력을 고용할 필요가 있다면 이 문제를 해결할 것을 약속하지만 그 상황을 이용하여 돈벌이가 주된 목표인 제삼자들에 대해 경고했다. 조직은 보험 회사, 외부 법률 자문, 법의학 조사관, 규제 기관, 위기 통신 관리자 및 "대응 업체"와 같이 연락할 수 있는 담당자들의 간단한 목록을 가지고 있어야 한다.

 

내부에서 고용 및 사이버 보안 재능 재교육: 전략 수립

사이버 보안 팀을 구축하는 데 있어 상당한 어려움을 겪고 있는 조직에서는 사이버 보안 역할 수행을 위해 내부에서 이동 가능한 인재를 찾는데 점점 많은 노력을 기울이고 있다. 이는 최근 (ISC)²에서 발간된 Cybersecurity Career Hiring Study (사이버 보안 직업 고용 연구)Cybersecurity Workforce Study (사이버 보안 인력 연구)에서 강력히 뒷받침된다.

문제는 상당수의 조직이 사이버 보안을 위해 내부 인력을 양성해야 하는 과제에 별 신경을 쓰지 않는다는 점이다. 최근 연구에 따르면, 기업의 약 절반(45%)에서 그렇게 할 능력이 없다고 말한다.

그리고 문제는 거기서 끝나지 않는다. 또한, IT 리크루팅 회사 Hays US가 실시한 연구에 따르면, 응답자의 39%만이 그들의 조직이 "사이버 인력을 유지할 능력이 있다"라고 믿는다고 밝혔다. 따라서 문제는 두 가지다:
ㆍ사이버 보안 직책을 채우기 위해 조직 내에서 인재를 채용하기 위한 전략 및 인프라 구축
ㆍ사이버 보안 전문 인력이 그들의 현 직책에 만족하고 행복하게 느껴 다른 곳에 구직을 알아보지 않을 수 있는 여건을 마련하는 것

내부에서 찾기
(ISC)² Cybersecurity Career Pursuers Study (사이버 보안 경력 추구자 연구)는, 사이버 보안 업무에 자연스럽게 적합한 기술을 지닌 직원을 식별하기 위한 전략을 개발해야 한다는데 긍정적인 의견을 피력한다. 구두 및 서면 커뮤니케이션, 창의성, 문제 해결 능력, 비판적, 분석적 사고 등이 이에 해당한다.

이러한 기술들은 전이가 가능하며, 채용 담당자와 채용 관리자들이 경쟁이 치열한 취업 시장에서 사이버 보안의 "올스타"들을 찾아야 한다는 부담을 덜어준다. 전 세계적으로 312만 명의 전문 인력이 부족한 사이버 보안 업계에서 "올스타" 지원자들은 극히 드물다.

이는 왜 내부 채용 접근이 관심을 끌고 있는지를 설명한다. 한 예로, 사이버 보안 전문가 Alyssa Miller는 이에 대한 강력한 옹호자이다. "우리는 조직 내에 어떤 사람들이 그들의 기술을 보안 영역으로 확장하기를 원하는지 살펴봐야 합니다. 우리는 어떻게 그 사람들을 발전시킬 수 있는지, 어떻게 그들을 가능하게 할 수 있는지, 어떻게 트레이닝을 제공할 수 있는지, 그리고 어떻게 그들에게 그들이 보안 분야에서 할 수 있는 일들을 보여줄 수 있는 기회를 제공할 수 있는지를 살펴봐야 합니다"라고 그녀는 말한다.

하지만 Hays도 생각했듯이, 말하는 것은 이행하는 것보다 쉽기 마련이다. 그래도 그것이 가망이 없는 것은 아니다.

인재 보유
기업들이 사이버 보안을 위해 내부로부터 채용을 성공하려면 보유 문제도 해결해야 한다. 원하는, 그리고 가치 있는 기술을 습득한 후 조직을 떠나가는 것을 막을 수 없다면 인재를 찾는 수고를 겪는 것은 거의 의미가 없다.
Hays US 연구에 관한 Tripwire 기사는 "존경받는 IT 보안 교육 기관"과의 제휴를 통해 숙련의 기회를 제공하는 것을 포함하여 인재 보유를 위한 몇 가지 권장 사항을 제시한다. 이 기사는 또한 조직 내 다른 곳에서 재능과 관련 업무 경험을 쉽게 찾을 수 있도록 사이버 보안 업무 요구 사항을 재평가하도록 권장한다.

Hays는 또한 경쟁적인 보수를 제공하고, 사이버 보안 실무를 홍보하며, 최신 기술에 투자하는 문화를 육성할 것을 권하고 있다.

이 조언을 가슴으로 받아들이는 조직들은 내부 채용이 저 너머에 있는 것이 아니라는 것을 알아야 한다. 그저 몇 가지 체계와 좋은 계획이 필요할 뿐이다. 강력한 사이버 보안 팀을 구성하는 방법에 대한 자세한 내용을 보려면, 여기를 클릭하십시오.


 

높은 가능성, 또는 낮은 확률: 진정한 정량 보안 분석이 가능할까?

손익의 언어
보안 전문가들은 전문 분야를 연마하는데 많은 시간을 투자한다. 여러분의 강점이 패킷 분석이나 프로그래밍 일 수 있고... 보안 엔지니어링 또는 펜 테스트 분야에서 최고일 수 있다. 또는 여러분께서 최고의 전문적인 기술을 보유하고 있을 수도 있지만, 프로젝트나 새로운 보안 툴에 대한 예산을 확보하는 데 있어서는 가능성과 확률의 차이를 이해하고 설명할 필요가 있다.

왜 이것이 중요할까? 이는 중요하다. 왜냐하면, 비즈니스 언어는 손익을 기반으로 하고, 그 구성 요소들이 여러분의 프로그램 진행에 있어 핵심이기 때문이다. 여러분은 새로운 보안 계획 사업의 필요성을 사업상의 모험에 자금을 지원하게 될 사람들을 어떻게 납득할 수 있도록 설명하겠는가?

이를 추진하는 가장 좋은 방법은 정량 또는 정성 분석이다. 구체적으로, 얼마나 가능성이 있는지, 또는 얼마나 사건이 일어날 확률이 있는지. CISSP CBK(Common Body of Knowledge)에서 설명된 것에 따르면, "어떤 일이 일어날 가능성 (Likelihood)은 정성 분석과 관련이 있으며, 확률 (probability)은 정량 분석과 관련된다." 일부 사전은 가능성과 확률을 동일시하여 명확한 구분을 하지 않지만, 이는 보안 업계에서는 현명하지 않은 접근이다.

차이점은 무엇인가?
차이점을 기억하는 간단한 방법은 정성 분석은 품질을, 정량 분석은 수량을 다루는 것이다.
정성/품질 = 가능성 (Likelihood) 측정
정량 = 확률 (Probability) 측정

정성 평가 사용 시 구체적 숫자들이 없기 때문에 정성 분석을 정량적 분석보다 덜 신뢰가 간다고 평가하는 경우가 많다.

리스크 관리 업무에서는, 주로 정성 분석이 대부분의 경우 적절하다. 이는 일반적으로 가능성 및 영향에 대한 위험 사건을 보여주는 표로 표현된다. 예를 들어, 수년 전에 제시되었던 한 가지 방식은 뉴욕과 샌프란시스코에서 지진에 대항하여 건물을 세우는 것에 대한 정성 위험 분석이 어떻게 동등했는지 보여주었다.

"위협 (Threat) x 취약성 (Vulnerability() = 위험 (Risk)"이라는 대표적인 공식을 사용하면 다음과 같은 방법으로 이 개념을 구축할 수 있다.

샌프란시스코 - 위협 (Threat) 수준 7(지진이 발생할 위험이 매우 크기 때문)에 취약점 (Vulnerability) 수준 3을 곱한다(건축 법규가 엄격한 지진 기준을 가지고 있기 때문).
따라서 위험 (Risk) 수준은 21이다.

뉴욕 - 위협 (Threat) 수준 3(그동안 그 지역에 치명적인 지진이 한 번도 없었기 때문)에 취약성 (Vulnerability) 수준 7을 곱한다(심각한 지진이 발생할 경우, 건축 법규에 지진에 대한 보호가 없어 모든 건물이 취약하기 때문). 이 또한 21의 위험 (Risk) 수준을 생성한다.

정확한 숫자를 중심으로 하는 비즈니스 경영자가 정성적 분석을 정량적 분석보다 덜 진지한 방법으로 취급하는 이유를 쉽게 알 수 있다. 정성 분석의 숫자들은 좀 지나치게 치환적이다.

숫자의 정확성
정량 분석은 수치 구성 요소에 있어서 훨씬 분명하다. CISP CBK에서 볼 수 있는 정량 분석을 위한 간단한 계산은 다음과 같다:

연간 손실 예상 (Annual Loss Expectancy/ALE) = 단일 손실 예상 (Single Loss Expectancy/SLE) x 연간 발생률 (Annual Rate of Occurrence/ARO)

이것을 쉽게 기억하는 방법은 분실된 휴대폰을 생각하는 것이다. 여기에 숫자를 더하면 합계가 명확해진다. 대략 참고로 휴대폰은 600달러이며, 100명의 사람들이 매년 그 기기를 잃어버리거나 망가뜨리고 있다면: $60,000 (연간 손실 예상) = $600 (단일 손실 예상) x 100 (연간 발생률).

오히려, 이 예시는 모든 보안 분석가들의 조언에도 불구하고 “Bring Your Own Device-개인 소유 스마트 기기들을 업무에 사용" 운동이 왜 그렇게 성공적이었는지 증명할 것이다. 너무 많은 기업들이 분실된 전화에 너무 많은 돈을 잃고 있었다.

정량 분석은 더욱 심화되어 '단일 손실 예상' 계산은 물론, 보호 장치 값 역시 계산하는 방법을 보여준다. 분실된 전화들의 경우, 최상의 보험조차도 연간 손실 예상 비용을 적절히 조정할 수 없었다. (역설적으로, 어떤 경우에는 회사 소유 기기에 대한 손실 보험이 있다는 것을 알고 있을 경우, 이들은 회사 소유 기기를 자기 개인 소유보다 덜 조심스럽게 다루는 경향이 있어 연간 발생률이 더욱 높아진다.)

CISSP CBK는 정량 분석의 깊이를 다루며, 손실 관점에서 명확하게 이해할 수 있어 가치가 있을 뿐만 아니라 제안된 보호 조치가 조직에 건전한 가치인지 계산할 수 있어 더욱 중요하다. 조직에게 있어 절약되기는커녕 더 많은 비용이 드는 솔루션을 제안하는 것, 그 보다 더 실패하기 쉬운 일은 없다.

함께 사용할 때 더 설득적인
위의 분석으로, 정량 분석이 매우 설득력 있는 도구인 이유를 쉽게 알 수 있다. 하지만 이것이 정성 분석의 가치를 떨어뜨리는가? 전혀 그렇지 않다. 사실상, 정량 분석과 함께 사용될 때, 그것은 제안을 촉진시킬 수 있다.

새로운 MDM(모바일 기기 관리) 플랫폼에 대한 예산을 확보하려고 한다고 가정해보자. 휴대폰 계속적으로 예로 들어본다면, 정성 분석은 기기 분실 가능성이 높다는 것을 보여주고, 만약 해당 기기가 고성능 MDM으로 보호되지 않은 채 회사 데이터를 보관하는 경우, 조직에 미치는 위험이 매우 높으며, 이는 명성 훼손 및 규제로 인한 처벌 가능성도 있음을 보여줄 수 있다.

추가 작업은 그만한 가치가 있는가? 결국, 정량 분석만으로도 충분해야 하지 않는가? 가장 완고한 최고 재무책임자(CFO)의 얼굴에 미소를 가져오는 것이 구체적이고 세부적 숫자들이다. 그렇다, 하지만 때로는 상황 및 문제의 위험 관리 측면 또한 포함하는 추가 부분을 더하는 것이 가장 좋다.

CISSP 자격증이 여러분을 성공으로 이끄는 방법
CISSP CBK는 위험 관리, 그리고 더 중요하게, 위험 완화라는 관점에서 각 도메인을 살펴본다. 비즈니스의 모든 측면에서, 여러분이 독립 컨설턴트든, 혹은 어떤 규모의 기업에서 일하든, 여러분이 정량, 정성 분석을 이해함으로써 혜택을 받을 때가 올 것이다. CISSP CBK를 공부하면서 얻은 지식은 기업 계층 구조의 모든 레벨에서 사례를 설명하는 데 도움이 된다.
CISSP에 대해 더 자세히 알아보려면 사이버 보안 리더로 성공하기 위해 필요한 9 가지 특성 (9 Traits You Need to Succeed as a Cybersecurity Leader) 백서에서 확인할 수 있다.


 

사이버 위협: 금융 시스템의 가장 큰 위험

연방 준비제도 이사회 의장 Jerome Powell에 따르면, 현재 금융기관과 은행기관을 대상으로 한 사이버 공격이 매일 발생하고 있는 가운데, 사이버 위협은 세계 금융 시스템에 가장 큰 위험이 되고 있다.

CBS 뉴스의 60분 인터뷰에서 Powell은 사이버 리스크들이 2008년 대공황을 초래한 대출 및 유동성 리스크의 유형들을 능가한다고 말했다. 그는 2008년에 가까운 금융 붕괴의 가능성은 "매우 낮다"라고 말했다. "그러나 세상은 변하고, 세상은 진화하고, 리스크들도 변한다. 우리가 가장 주시하는 리스크는 사이버 리스크이다."

만약 해커들이 주요 지불 프로세서를 폐쇄하는 데 성공한다면, 이는 금융기관 간의 돈의 흐름을 심각하게 방해할 것이고, 이것은 전반적인 금융 시스템의 큰 부분을 무릎 꿇게 할 수 있다고, 그는 말했다.

지난 4월 11일 방송된 60분 에피소드에서 "우리는 이에 맞서 싸우기 위해 너무나 많은 시간과 에너지와 돈을 쓴다"라고 Powell은 말했다. "현재 모든 주요 기관들에서 매일 사이버 공격이 발생하고 있다." 그것이 오늘날 세계의 위협 현황의 큰 부분이다." 그는 연방 정부와 민간 기관들이 모두 사이버 위협에 대한 보호에 많은 노력을 기울이고 있다고 말했다.

Powell은 4월 14일 Washington D.C. 의 경제 클럽에서 David Rubenstein과의 인터뷰에서 사이버 리스크에 대한 그의 발언을 재차 강조했다.

대공황은 은행들과 담보 대출업자들이 위험한 대출을 승인하고 다른 금융기관에 재판매한 것에서 비롯되었다. 이 같은 관행으로 인해 주택 가격이 치솟았으나 또한 대출업자들에게 지속 불가능한 리스크를 발생시켰고, 그중 일부는 실패하여 세계적인 금융 붕괴를 초래했다.

Powell이 현재 사이버 위험을 2008년 붕괴의 원인과 유사한 사건보다 더 큰 위협으로 간주하고 있다는 것은 사이버 위협 지형이 얼마나 위험해졌는지를 분명하게 보여준다. 국제 통화 기금(International Monetary Fund)은 사이버 위협으로 인해 전 세계적으로 은행 순이익의 9 %가 손실될 수 있으며, 이는 약 1,000 억 달러에 달할 것으로 예상한다.

사이버 보안 팀을 만들기 위해 자격을 갖춘 전문가들을 고용해야 한다는 어려움이 사이버 리스크를 가중시키고 있다. 이는 금융 기관들 뿐만 아니라 전체 조직들에 영향을 미치는 어려움이다.

(ISC)²는 사이버 보안 기술 격차가 현재 전 세계적으로 약 3 백만에 달하는 것으로 추정한다. 조직의 모든 부문에서 숙련된 사이버 보안 팀을 구성할 수 있도록 (ISC)²는 엔터프라이즈 트레이닝 프로그램 가이드를 출간했으며, 이곳에서 다운로드할 수 있다.

 

아무도 보지 않을 때 당신은 무엇을 하십니까

윤리의 내외부적 어려움과 CISSP 자격증

신화만큼 오래된 것
정보 보안을 공부한 모든 학생들은 Caesar cipherSpartan Scytale에 대해 들어왔다. 이러한 초기 암호화 방법들은 인간의 마음이 교묘하다는 것을 증명한다. 암호화는 진화하고 정교해졌다. 암호화는 사회의 발전에 중요한 역할을 해왔다. 변함없이 사회가 움직이는 데 여전히 중요하게 남아있는 인류의 또 다른 고대 정신 구조를 생각해 낼 수 있을까? 윤리에 관한 주제를 생각해보자.

윤리의 개념은 고대로부터 존재했고, 그 주제는 오늘날에도 삶의 모든 분야에서 적용 가능하며, 의료, 법률, 금융 분야와 같이 많은 직업들에서 요구 사항으로 규정되어 있다. 정보 보안 또한 윤리 강령을 가지고 있으며, 이 규범을 준수하는 것은 삶의 다른 분야에서와 마찬가지로 어려운 일이다.
윤리에 대한 간단한 정의는 다음과 같이 명시될 수 있다: 아무도 지켜보지 않아도 옳은 일을 하는 것이다.
윤리는 대인관계에만 적용된다고 생각하기 쉽다. 결국, 윤리는 대체로 사람이 다른 사람들을 어떻게 대하는지를 포함한다. 정보 보안의 맥락에서, 윤리는 인간과 인간의 직접적인 상호 작용이 없는 상황에서도 동일하게 중요하다.

보안은 어렵고, 윤리적 행동은 더 어렵다.
정보 보안은 전향적인 자세가 아닌 리액티브 방식의 업종 전반에 있어 오래된 게임, “Whac-A-Mole”과 비교되는 경우가 많다. 반면에 윤리는 같은 문제를 겪지 않는다. 윤리의 정적 본성은 많은 사람들에게 결코 흥미롭지 않지만 이는 지나친 단순화이다. 정보 보안과 마찬가지로, 75% 윤리를 실천하면서 완벽한 규정 준수를 주장할 수는 없다. 어려운 점은 사람이 아닌 기계가 관여하기 때문에, 어떤 사람들은 이 둘의 관계를 이해하지 못하는 경우가 있다.
정보 보안 전문가들은 종종 다양한 윤리적 규범들을 위반하는 생산과정에 시스템을 도입해야 문제에 부딪히게 된다. 많은 정보 보안 전문가들의 불법적인 경력 궤적을 고려해 볼 때, 이 개념은 전적으로 초점이 맞춰진다. 보안이 보장되지 않은 제품을 시장에 서둘러 출시하려는 합법적인 기업들을 포함하여, 일부에게는 윤리적 위반이 인지되지 않는다. 왜냐하면 단지 기계가 문제가 되는 것이지, 사람이 직접적인 문제는 아니기 때문이다.
물론 최근 각종 규정, 특히 GDPR(General Data Protection Regulation), HIPAA(Health Information Portability and Accountability Act), 그리고 중국의 사이버 보안법 등의 규정 덕분에 데이터 프라이버시 윤리는 더 이상 문제가 아닌 필수 사항이다.

위임의 죄, 누락의 죄
새로운 규정이 위반자들에게 벌금을 부과하고 있지만, 윤리적인 행동을 하지 못했을 때 처벌로 이어지는 경우도 여전히 있다. 아마도 이러한 가장 두드러진 사례는 두 명의 유명인 환자들의 기록들이 시설에서 허가되지 않은 사람들에 의해 보여졌다는 사실을 포함하여, 환자 데이터를 보호하지 않은 것에 대해 UCLA Health System에 부과된 벌금에서 보여졌다.
때로는 보호되지 않은 데이터와 같은 외부 상황 때문에 윤리적인 위반이 발생할 수도 있다. 다른 경우, 개인 데이터가 이용 가능할 지라도 적절한 승인 없이는 열람해서는 안된다는 지식과 같은 내부 갈등에서 윤리적 위반이 비롯된다. UCLA 사례에서의 위반은 그 선의 양쪽에 걸쳐있는 것처럼 보인다.
정보 보안 전문가로서, 업무 책임의 기본적인 부분으로 매우 민감한 데이터를 자연스럽게 액세스 할 수 있는 경우가 종종 있을 것이다. 또 다른 경우로, 볼 수 있는 권한이 없는 데이터를 찾아낼 수 있는 특별한 능력을 가진 경우도 있을 수 있다. 이는 심각한 윤리적 문제를 낳는다. 그렇기 때문에, 정보보안 전문인력에 대한 윤리강령이 중요한 이유이다.

(ISC)² 윤리강령
(ISC)²에서 제공하는 CISSP 자격증을 공부하고 있습니까?
회원의 필수 조건 중 하나가 윤리강령을 준수하는 것이다.
시험 전에 강령 설명이 표시될 뿐만 아니라, 시험 과정에서 몇 가지 윤리적인 문제가 제출될 수도 있다. 언뜻 보기에는 아주 간단해 보이지만 실제로는 처음 생각했던 것보다 더 자주 이를 기억해야 할 것이다.
https://www.isc2.org/ethics# 에 설명된 강령은 다음과 같이 표시된다 (약어);

강령
(ISC)² 인증을 받은 모든 정보 보안 전문가는 자격증이 반드시 취득되고 유지되어야 하는 특권임을 인지해야 한다. 이 원칙을 준수하기 위해, 모든 (ISC)² 회원은 본 윤리 강령("강령")을 온전히 지지하기로 약속해야 한다.
강령에는 단 4개의 필수 규범이 있다. 필요에 따라, 이런 높은 수준의 지침이 전문가의 윤리적인 판단력을 대신하려는 의도는 아니다. 윤리 강령 규범
ㆍ사회, 공공의 이익, 필요한 공적인 신뢰와 신의, 그리고 인프라를 보호하십시오.
ㆍ명예롭게, 정직하게, 정당하게, 책임감 있게, 그리고 합법적으로 행동하십시오.
ㆍ고용주에게 성실하고 적합한 서비스를 제공하십시오.
ㆍ직업을 보호하고 발전시키십시오.

심도 있는 논의
물론 때로 윤리는 단순히 옳은 일을 하는 것 이상의 성가신 딜레마를 수반한다. “트롤리 딜레마(Trolley Dilemma)”를 생각해보면 이해가 쉽다. 트롤리 딜레마는 다음과 같은 방법으로 제시된다.
"상상해 본다: 당신은 철로에 묶인 다섯 명을 향해 곧장 달려오는 기차를 본다. 당신 옆에, 고속 열차를 다른 선로로 돌릴 수 있는 레버가 있다. 하지만, 이 두 번째 철로에는 한 사람이 묶여있다.
다른 다섯 명의 생명을 구하기 위해 실질적으로 누군가를 죽이도록 레버를 당기겠는가?"
이 문제는 그 주제를 훨씬 더 깊은 토론을 야기한다. 인공 지능자율 주행 차량들의 모든 새로운 발전을 생각할 때, 이 깊이가 필요하다. 다행스럽게도, 이러한 고려사항들은 현재 연구되고 있으며, 이는 더 나아가 우리 현대 사회에서 윤리적 우려들이 여전히 관련되어 있음을 보여준다. 우리 조상들이 그랬던 만큼 현재에도 윤리에 대한 확고한 헌신이 필요하다.

CISSP 자격증이 여러분을 성공으로 이끄는 방법
윤리의 복잡한 특성을 탐색하는 것은 정보 보안 전문가에게 매우 어려운 과제일 수 있다. 그러나, CISSP 자격증을 취득한 전문가들은 윤리 기준을 유지하기 위한 확고한 신념을 이미 입증하였으며 확인되었다. 기업이 전문화된 보안 기능을 필요로 할 때, 정보 보안에 국한되지 않은 광범위한 지식과 경험을 보유한 CISSP 자격증 보유자들에게 의존할 수 있다.
CISSP는 다음과 같은 직책을 비롯하여 다양한 보안 실무 및 원칙 전반에 걸쳐 자신의 지식을 제공하고자 하는 숙련된 보안 전문가, 관리자 및 경영자에게 적합하다: 보안 담당 이사, 보안 시스템 엔지니어 또는 보안 분석가
(ISC)²는 ANSI(American National Standards Institute) ISO/IEC Standard 17024의 요구 사항을 충족하는 최초의 정보 보안 인증 기관이며 CISSP 인증은 DoD(Department of Defense) Directive 8570.1을 충족한다.
CISSP에 대한 자세한 내용은 백서 Discover the Importance of being a qualified cybersecurity professional을 다운로드하십시오.


 

접근통제 및 망분리를 통한 자산 보호

기업들은 점점 더 새로운 기술에 대한 의존도를 높이고 있으며 신기술을 활용하여 더 나은 서비스를 제공하고, 직원 및 고객과 협업하고 상호작용하는 방식으로 변해 가고 있다. 기업 데이터는 멀티 클라우드 환경으로 이동하고 있으며, 컨테이너 채택은 애플리케이션의 빠르고 신속한 개발을 지원하고 있다. IoT 장치 및 센서는 시기적절하고 정확한 의사 결정에 유용한 많은 데이터를 기업에 제공한다.

확장되고 있는 위협 환경
하지만, 기업들만 이 기술을 활용하는 것이 아니다. 범죄자들도 마찬가지다. Verizon DBIR 2020 보고서에 따르면, 클라우드 자산을 침해당한 것이 약 24%를 차지하였다. 이는 사이버 범죄자들이 피해자들에게 접근하기 위한 가장 빠르고 쉬운 경로를 찾는 경향을 보여주는 사례이기 때문에 클라우드 보안에 대한 문제점을 제시하는 지표는 아니다.

또한 컨테이너화 된 환경도 위협을 받는다. 컨테이너를 사용하는 94%의 조직이 컨테이너 환경에서 심각한 보안 문제를 경험했다고 답했다.

IBM X-Force Threat Intelligence 2020 보고서에 따르면 2020년 380 억대 이상의 기기가 인터넷에 연결될 것으로 예상됨에 따라 IoT 위협 영역은 소비자와 기업 모두에게 영향을 미칠 수 있는 위협 요소 중 하나로 자리 잡고 있다고 밝혔다.

2019년 IBM X-Force는 여러 건의 Mirai 악성 프로그램의 활동을 추적했는데, 이 맬웨어 활동은 개인의 전자가전제품을 대상으로하다가 기업등급의 하드웨어로 그 목표 대상을 변경하였다. 네트워크 액세스가 가능한 손상된 장치는 공격자가 타깃으로한 조직에 침투하기 위한 중심점으로서 활용될 수 있다.

사이버 보안 조직은 점점 더 고도화되어가는 공격에 대처해야 한다. 조직의 사이버 위협 방어 능력을 평가해달라는 질문을 받았을 때, CyberEdge 2020 Cyberthreat Defense Report의 응답자들은 물리적 자원 및 가상 서버, 데이터베이스, 웹 사이트 및 웹 애플리케이션이 포함된 자신들이 직접 제어하고, 모니터링, 패치 및 수정 작업이 가장 쉬운 자산에 대해 가장 자신 있게 방어할 수 있다고 답변했다.

IT 전문가들은 주로 컨테이너와 같이 비교적 새로운 IT 구성 요소나 산업 제어 시스템 및 SCADA 장치 등 사이버 보안을 염두에 두고 설계되지 않은 구형 IT 구성 요소에 대해 주로 우려하고 있었다.

IBM 보고서에 따르면 위협 요인들이 ICS(Industrial Control Systems) 및 유사한 OT(Operational Technology) 자산을 대상으로 한 공격이 2018년 이후 2000% 이상 증가했음을 나타낸다. 지금은 IT/OT 기반시설이 융합되어 IoT 기기를 광범위하게 사용하게 되었다. 공격자들이 OT기기를 대상으로 공격을 진행하는 이유는 더 쉽고 광범위하게 데이터를 수집할 수 있기 때문이다. 물리적 자산을 제어하는 OT기기가 침해당했을 경우 복구비용이 크게 증가한다.

취약한 시스템으로 인한 데이터 침해는 브랜드 평판을 크게 손상시키고 고객의 신뢰를 잃게 된다. 그러나 기업은 자산을 보호하기 위해 아래 두 가지 모범 사례를 채택할 수 있을 것이다.

강력한 접근 통제
현실을 직시하자. 이러한 모든 기술의 사용으로 인해 기존의 접근통제 방식은 변해야 한다.

요즘은 누가 어떤 자산에, 어떤 위치에서, 어떤 목적에 따라, 얼마 동안 액세스 할 수 있는지를 제어하기 위한 정책을 설정하고 적절히 구성하며 실행하는 것이 중요하다.

또한 자산에 접근을 요청하는 사람이 실제로 필요한 본인인지 확인하는 것도 중요하다. IAM(Identity and Access Management) 제어의 주요 목적은 자산의 기밀성, 무결성 및 가용성을 보호하는 것이다.

다중 인증 MFA(Multi-Factor Authentication) 및 통합 인증 SSO(Single-Sign-On)을 조합하여 사용하는 것을 접근통제의 초석으로 간주해야 한다. MFA로 더 강력한 사용자 인증을 제공하는 동시에, SSO로 하이브리드 환경에서 여러 플랫폼과 시스템에 접근하는 사용자의 부담을 덜어준다. MFA와 SSO의 조합이 원활한 인증 환경을 제공하므로 사용자가 여러 암호를 사용하여 회사의 자원에 접근해야하는 어려움과 번거로움을 줄일 수 있게 되었다.

MFA 및 SSO 외에도 조직에서는 두 가지 접근 관리 개념을 추가해야 한다. 최소한의 접근 권한 및 적응형 인증이다. 최소 권한의 원칙을 적용하면 개인이 사내, 컨테이너 또는 클라우드 기반에 관계없이 권한이 부여된 자산에만 접근할 수 있는 최소한의 권한만 가질 수 있게 된다. 역할 기반으로 정보를 세분화하고 필요한 자산에 대한 접근만 허용하면 자산 보안 상태가 크게 향상된다.

마지막으로 인증 및 권한 부여는 일회성이 아니어야 한다. 직원들이 여러 부서로 이동하고 계정 침입을 통한 계좌 탈취 공격이 증가하는 상황에서 인증 프로세스는 적응력이 있어야 한다. 사용자 환경을 모니터링하고 단계적인 위험 기반 인증을 제공하면 인증 절차를 강화하고 중간자 공격(Man-in-the-middle)을 줄일 수 있다.

망분리
사이버 범죄자들은 우리의 계정 정보와 개인 데이터에 열광하지만, 헬스 케어 또는 산업 제어 조직과 같은 중요한 기반시설에 관련해서는 DDoS 공격과 같은 운영을 중단하게 하는 것을 선호한다. 운영 조직에 가용성과 안정성 문제가 생기는 것은 권한 없는 접근 또는 비밀 공개로 인한 기밀 및 무결성을 훼손하는 것과 마찬가지로 매우 위험한 일이다.

또한, 보안 위협에 대한 분석된 정보에 따르면 첫 번째 단계로 사이버 범죄자들이 도용하거나 가짜 자격증명을 통해 회사 네트워크에 기반을 둔 다음 모든 자산에 걸쳐 순차적으로 이동하면서 감시하는 작업을 수행한다. 그러므로 그들의 작업을 어렵게 하는 것이 중요한다. 올바른 네트워크 아키텍처를 선택하는 것이 필수적이며 망분리를 수행하는 것이 가장 좋다.

망분리에는 여러 가지 장점이 있다. 성능 향상과 통신 문제 감소 이외에도, 분리된 네트워크는 전반적인 보안상태를 개선하는 데 크게 기여한다. 분리되지 않은 네트워크는 통합 플랫폼으로 간주되며, 이는 자체 설비 또는 클라우드 또는 컨테이너에 관계없이 네트워크를 통해 모든 장치에 접근 할 수 있다는 것을 의미한다.

망분리는 공격이 확산될 수 있는 범위를 제한함으로써 보안성을 향상한다. 예를 들어, 망분리는 맬웨어 발생이 조직의 다른 섹션에 있는 시스템에 영향을 주지 않고 한 섹션에만 머물 수 있도록 방지할 수 있다. 또한, 분리된 네트워크는 공격으로부터 자신을 보호할 수 없는 장치에 유해한 트래픽이 도달하는 것을 막을 수 있다.

마지막으로, 망분리를 통해 범위 내 시스템 수를 제한함으로써 규정 준수와 관련된 비용을 줄일 수 있다. 이렇게 함으로써, 전체 네트워크가 아닌 범위 내 시스템에만 값비싼 규정 준수 요구 사항과 감사 프로세스가 적용된기 때문에 전체적으로는 보안 예산을 절감할 수 있다.

CISSP 자격증이 성공에 도움이 되는 방법
복잡한 윤리 문제를 탐색하는 것은 정보 보안 전문가에게 매우 어려운 과제일 수 있다. 그러나, CISSP 자격증을 취득한 보안전문가들은 윤리적인 기준을 유지하기 위해 입증되고 검증된 의지를 지니고 있다. 기업이 전문화된 보안 기능을 필요로 할 때, 정보 보안뿐 아니라 광범위한 지식과 경험을 보유한 CISSP 자격증 보유자들에게 의지하게 될 것이다.

CISSP는 다음과 같은 직책을 비롯하여 다양한 보안 실무 및 원칙 전반에 걸쳐 자신의 지식을 검증하고자 하는 숙련된 보안 전문가, 관리자 및 경영자에게 적합하다: 보안 담당 이사, 보안 시스템 엔지니어 또는 보안 분석가들이다.

(ISC)²는 ANSI(American National Standards Institute) ISO/IEC Standard 17024의 요구 사항을 충족하는 최초의 정보 보안 인증 기관이며 CISSP 인증은 DoD(Department of Defense) Directive 8570.1을 충족한다.

CISSP에 대한 자세한 내용은 백서 Discover the Importance of being a qualified cybersecurity professional를 참조하십시오.


 

설문 조사: CISSP는 2021년 가장 가치 있는 보안 자격증이다.

(ISC)²의 Certified Information Systems Security Professional(CISSP) 자격증은 9만 명의 사이버 보안 전문가 회원들로 구성된 LinkedIn 커뮤니티로부터 최고 점수를 받았다. 본 커뮤니티 구성원들은 사이버 보안 업계를 선두 하는 50개의 자격증 및 코스 목록에서 본 자격증을 가장 가치 있다고 선정했다.

Information Security Careers Network (ISCN)는 ISCN 회원들로 구성된 LinkedIn 커뮤니티를 통해 2021년 가장 선호하는 10대 자격증 리스트를 작성하기 위해 최고의 자격증들의 등급을 매기도록 요청했다. 해당 리스트에는 다른 협회 및 벤더의 자격증도 포함되어 있으며 (ISC)²의 Certified Cloud Security Professional (CCSP) 자격증도 포함되어 있다.

왜 CISSP는 가장 가치 있는 보안 자격증일까?
Security Boulevard에 의해 보고된 바에 따르면, 응답자의 거의 3/4(72%)는 CISSP가 사이버 보안업계에서 가장 요구되는 자격증이라고 밝혔다. Security Boulevard는 "CISSP는 오랫동안 전 세계적으로 인정받는 정보 보안 전문가 자격증이다."라고 보고했다.

CISSP는 동급 최고의 사이버 보안 프로그램을 설계, 구현 및 관리하는 노하우와 기술을 검증한다. 자격을 갖추려면 지원자들은 5년의 사이버 보안 업무 경력 또는 사이버 보안 관련 학위가 있는 경우에는 4년의 경력이 있어야 한다. Security Boulevard는 "CISSP 과정이 매우 광범위한 정보 보안 분야를 다루기 때문에, 100-150 상당의 문제와 3시간 동안 치러지는 CISSP 시험은 일부에게는 악명 높게 통과하기 어렵다는 것을 증명한다 ,"라고 보고했다.

2021년 가장 원하는 자격증으로 선택된 것은 그 유효성과 명성에 대한 증거이다. 코로나 19 펜데믹으로 유발된 엄청난 변화에 바로 뒤따라 올해가 시작되었다. 대부분의 조직들은 직원들을 위해 원격 근무 환경을 신속하게 구축해야 했고, 이는 사이버 보안 팀들은 이러한 환경을 적절하게 보호해야 한다는 압력으로 이어졌다.

원격 환경을 구현을 서두르면서 너무 많은 보안 조치가 무시되고 건너뛰어 넘겨졌다는 우려가 생겨났다 - 그리고 사이버 공격자들은 확실히 그것을 이용하려고 들었다. - 하지만 (ISC)²의 2020 사이버 보안 인력 연구에 따르면, 사이버 보안 팀들은 사이버 사고들에 있어 눈에 띄는 증가를 발견하지는 못했다고 한다.

CISSP의 평균 급여는 얼마일까?
CISSP를 취득한 사이버 보안 전문가들은 세계에서 수요가 많은 보안 전문가들이다. 다양한 (ISC)² 리서치, 벤치마킹 설문 조사 및 제삼자 연구를 통해, 우리는 전 세계로부터 CISSP 추정 월급 리스트를 작성했으며, 전 세계 평균은 미화 9만 2천6백39달러에서 시작한다.

경계 유지
조직이 팬데믹으로 인해 사이버 경보 수준을 얼마나 높였는지와 상관없이, 사이버 보안 전문가들은 경계 태세를 유지할 필요성을 인식하고 있다. 인력 연구에서, 응답자의 56%가 사이버 보안 직원의 부족이 그들의 조직에 위협을 초래하고 있다고 말했다.

또한 이번 연구는 자격증의 중요성을 강조했으며, 사이버 보안 전문가들의 2/3(63%)가 CISSP와 같은 보안 관련 자격증을 추구하거나 계획하고 있는 것으로 나타났다. 조사 결과, 보안 자격증은 평균적으로 연봉 6만 7천 달러에서 8만 5천 달러로, 1만 8천 달러를 향상하는 것으로 나타났다.

자격증은 고용주들로부터 점점 더 많이 요구되고 있으며, 보유한 사람들에게 성공적인 경력을 만드는데 도움을 준다. (ISC)² 자격증에 대한 자세한 내용을 보려면 이곳을 클릭하시오.