과학기술정보통신부는 16일 아파치 로그(Log)4j 보안 취약점 대응을 위한 긴급 정보보호 최고책임자(CISO) 간담회를 개최했다.이번 간담회는 지난 과기정통부의 취약점 관련 상황 전파 등 초동조치 이후, 보다 체계적이고 신속한 보안조치를 위해 기업의 정보 보안을 책임지는 정보보호최고책임자(CISO)를 대상으로 취약점 대응 현황을 긴급 점검했다.로그4j 취약점 공격 방어전략, 취약 여부 점검 방법, 보안조치 방안 등 세부적인 취약점 대응 방안에 대한 정보 공유 및 피해를 최소화하기 위한 민관 협력 대응 방안을 논의하고, 그간 대응
인터넷 서버용 소프트웨어 ‘아파치 로그포제이 2(로그4j)'에서 심각한 해킹을 야기할 수 있는 취약점이 발견됐다. 전 세계 IT 업계가 비상에 걸렸다. 한국내 피해 사례는 아직 없지만, 일부 금융사가 해킹 공격에 노출된 것으로 알려지며 긴장감이 고조된다. 로그4j는 기업 홈페이지에서 로그 기록을 남기기 위해 사용하는 소프트웨어(SW)다. 개발자가 프로그램을 개발할 때 로그 기록을 관리하는 용도로 사용한다. 하지만 해커들이 악용할 경우 서버를 탈취할 수 있다. 컴퓨터를 원격으로 조종하는 것도 가능하다. 로그4j는 무료 제공 오픈소스다
정부가 기업규모에 따라 정보보호 최고책임자(CISO) 임원급 지위를 세분화하고 신고의무 대상기업 합리화했다. 기업의 부담을 완화한 대신에 겸직금지 의무 위반 시 과태료 금액을 내야 한다.과학기술정보통신부는 기업의 정보보호 최고책임자(CISO) 제도 개선 내용을 담은 ‘정보통신망 이용 촉진 및 정보보호 등에 관한 법률(이하 정보통신망법)’시행령 개정안이 30일 국무회의를 통과해 9일부터 시행될 예정이라고 밝혔다.이번 시행령 개정은 6월 8일 개정된 정보통신망법 후속 조치 차원이다. 그간 획일적이던 기존 정보보호 최고 책임자의 임원급
5월 미국 최대 송유관 회사 콜로니얼 파이프라인이 랜섬웨어 해킹을 당했다. 사건은 세계를 당혹케 했다. 일반적인 민간 기업 해킹은 고객의 개인정보나 기업의 기밀 정보를 담보로 대가(몸값)를 요구하지만, 이번엔 달랐다. 산업계 전반에 영향을 미칠 수 있는 ‘석유' 공급이 달린 문제였다. 석유 공급 이슈는 기름값 폭등으로 이어질 수 있다. 해커는 500만달러(약 57억원)에 달하는 몸값을 요구했는데, 유류 공급 중단이 장기화될 경우 그 피해는 막대하다. 콜로니얼 측은 울며 겨자먹기로 이에 응할 수밖에 없었다. 세계 최고 사이버 보안 기
민간의 최고정보보호책임자(CISO) 제도가 내실화 단계에 접어들었다. 하지만 공공부문은 여전히 공회전 중이다. 미국에서 발생한 송유관 마비 사태처럼 공공부문이 해킹 피해를 입을 시 그 파급력이 크다. 공공부문 역시 해킹 발생시 치명적인 위협을 노출하는 만큼 CISO 의무 도입이 필요하다. 전형적인 탁상공론에 따라 민간만 CISO를 강요했다는 지적이 나온다. 20일 보안업계 등에 따르면, 최근 한국원자력연구원 내부시스템 해킹 논란이 불거지며 공공기관 CISO 제도 도입이 필요하다는 목소리가 거세진다. 수년간 정부에서 관련 법안 발의
정부와 민간 기업이 머리를 맞대고 전 세계적인 랜섬웨어 피해 사고 급증에 대응한다. 과학기술정보통신부는 11일 조경식 제2차관 주재로 ’랜섬웨어 대응강화를 위한 정보보호최고책임자(CISO) 간담회‘를 개최했다.최근 국내·외 기업을 대상으로 랜섬웨어 피해 사고가 증가했다. 과기정통부는 주요 기업을 대상으로 대응현황을 점검했다. 랜섬웨어 사이버위협 동향을 공유하며 사이버위협 관련 기업의 애로 및 건의 사항 의견수렴 등 랜섬웨어 피해를 최소화하기 위한 민·관 협력 대응방안을 논의했다.간담회에는 SK텔레콤, SK하이닉스, 삼성생명, 삼성바
정부가 정보보호 최고책임자(CISO) 겸직 제한을 완화하는 등 기업 부담을 줄였다.과학기술정보통신부(과기정통부)는 기업의 사이버 침해사고 예방 및 대응 역량을 강화하기 위한 정보보호 최고책임자(CISO) 제도 개선사항을 담은 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)’ 일부 개정안이 1일 국무회의에서 의결됐다고 밝혔다.과기정통부는 이번 개정으로 현장에서 지속적으로 개선을 요구한 기업규모에 따른 정보보호 최고책임자의 획일적 지위(임원급) 다양화, 신고대상범위 명확화, 겸직제한 완화 등으로 기업의 부담을 줄였다고
각 기업에서 보안업무를 전담하는 정보보호최고책임자(CISO) 신고 제도가 유명무실하게 운영되고 있다는 지적이 제기됐다. 5일 김영식 국회 과학기술정보방송통신위원회 의원(국민의힘)은 "CISO를 신고한 국내 기업 중 현행법을 위반했음에도 처벌받은 기업은 없는 것으로 드러났다"며 "부적정 CISO 신고를 여러 건 확인하고 이 중 10개 기업 사례를 공개했다"고 밝혔다.현행법(정보통신망법제45조의3 정보보호 최고책임자의 지정 등)에 따르면 정보통신서비스 제공자는 보안 강화를 위해 2019년 6월부터 CISO를 지정, 과기정통부에 신고해야
물류 브랜드 ‘부릉(VROONG)’을 운영하는 IT 기반 물류 기업 메쉬코리아는 물류 사업 확대 및 수익성 증대를 위해 서병교 신임 전략사업본부장을 영입했다고 30일 밝혔다.서병교 전략사업본부장은 CJ대한통운 최고정보관리책임자(CIO) 및 정보보호최고책임자(CISO), 삼성SDS SCM 컨설팅 팀장을 역임했다. 다양한 업종의 비즈니스와 기술 분야에 높은 이해도를 바탕으로 다수의 대형 프로젝트를 성공적으로 이끌었다는 평가를 받는다.최근에는 CJ대한통운에서 회사 중장기 IT 전략 수립과 디지털 트랜스포메이션을 통해 원가 및 서비스 경쟁
줌 비디오 커뮤니케이션즈(줌)는 보안 문제를 개선하기 위해 내놓은 90일 보안 계획(4월 시작해 90일간 기존 업무 대신 보안과 개인정보 보호 작업만 진행한 개선 작업)을 마무리했다고 1일(현지시각) 밝혔다. 향후에도 보안과 개인정보 보호를 경영 최일선에 두겠다는 계획이다.줌은 이날 자사 블로그에 "줌은 지난 90일 동안 뜻깊은 변화를 겪었다"며 "줌 DNA에 보안과 개인정보 보호를 새겼기 때문이다"라고 밝혔다. 또 90일 보안 계획 실시 때 밝힌 7가지(▲엔지니어링 리소스 신뢰, 보안, 개인정보 보호 집중 ▲외부 전문가·사용자 대
영상회의 서비스 줌(Zoom)이 신임 최고정보보호책임자(CISO)에 제이슨 리 전 세일즈포스 보안 운영 부사장을 선임했다.줌은 24일(현지시각) 자사 블로그에 "제이슨 리 CISO가 6월 29일부터 근무를 시작한다"며 "줌 보안팀을 이끌게 된다"고 밝혔다. 이어 "사용이 편리한 플랫폼을 안전하게 유지하고 사용자 보안과 개인정보 보호에 초점을 맞추겠다"고 덧붙였다.제이슨 리 CSIO는 정보 보안과 관련 서비스 운영 분야에서 20년간 경력을 쌓았다. 세일즈포스와 마이크로소프트(MS)에서 각각 보안 운영 부문 수석 부사장과 보안 엔지니어
3만여개 기업의 개인정보보호최고책임자(CISO) 지정·신고 의무를 부여하는 정보통신망법 개정안과 관련 시행령이 올해 본격 시행됐다. 하지만 여전히 절반에 가까운 기업이 미신고 상태에 머물러 있다. 설상가상 글로벌 기업 한국 법인은 법적 대상 여부조차 명확하지 않아 법 사각지대 머물러 있다는 지적이다. 4일 관련 업계에 따르면 1월 1일부로 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법) 개정안과 관련 시행령이 본격 시행됐다. 당초 2019년 6월부터 시행됐어야 하지만 업계 혼란을 감안해 6개월 계도 기간을 거쳤다. 정
기업의 클라우드 서비스 사용이 늘면서 데이터 보안 처리에도 문제를 겪고 있다는 조사 결과가 나왔다. 각 기업의 부주의한 서비스 사용이 원인이다. 클라우드 서비스 업체와 사용 기업 간 보안 처리를 분담하면서 생긴 사각지대와 모호성도 한몫했다. 오라클은 기업 컨설팅 업체 KPMG와 ‘2020 오라클-KPMG 연간 클라우드 보안 위협 보고서'를 18일 발표했다. 북미와 서유럽, 아시아·태평양 지역 사이버 보안 및 IT 전문가를 대상으로 연구한 결과다.보고서에 따르면 각 기업 클라우드 활용도는 높았다. 조사에 참여한 기업의 90%는 서비스
기업의 정보보호 최고책임자(CISO) 겸직 금지를 담은 법안이 올해 본격적인 시행에 들어갔다. 2018년 국회 본회의를 통과하고 1년 동안의 유예기간과 추가 6개월의 유예기간을 거쳐 올해부터 본격화한다. 그럼에도 업계는 업무가 중첩돼 오랜 기간 겸직 비율이 높았던 CISO와 개인정보보호 최고책임자(CPO) 분리에 난색을 표한다. 정보보호 중요성을 높이려던 법안 취지와 달리 기업의 관련 업무에 어려움을 더한다는 주장이다.코로나19 확신 이유로 올해까지 유예기간 연장 요청12일 정보보호 업계에 따르면 한국CPO포럼은 기업 CISO 겸직
물류 스타트업 메쉬코리아가 정보보호최고책임자(CISO, Chief Information Security Officer)로 백제현 박사를 영입했다고 19일 밝혔다.백제현 CISO는 보안인식제고와 디지털포렌식 분야 전문가다. 국제공인 정보시스템보안전문가(CISSP)는 물론 국제공인 정보시스템 감사사(CISA), EnCase 조사전문가(EnCE) 등 국제공인 자격증 5종을 보유했다. 그는 사이버 정보보안전문가 단체인 (ISC)²에서 수여하는 Asia-Pacific ISLA를 수상하고, (ISC)² 코리아 챕터(KOREA Chapter)
정부는 기업의 최고 정보보안 책임자의 겸직제한을 골자로 한 법률을 시행한다. 하지만 준비가 부족하다는 의견이 있어 연말까지 한시적으로 완충기간을 둔다. 과학기술정보통신부(이하 과기정통부)는 19일 최고 정보보호 책임자(CISO)의 겸직 제한과 자격요건 등 내용의 법률 시행에 따른 기업의 부담을 줄이고 제도의 안정적 정착 도모를 위한 계도기간을 운영한다고 밝혔다. 과기정통부는 2018년 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 개정 후 준비기간을 거쳐 13일 시행에 들어갔다. 하지만 시행령이 입법 과정에서 수정된 점, 제도
[IT조선 유진상] 미래창조과학부(장관 최양희)가 17일 양재동 엘타워에서 ‘2015 정보보호최고책임자(CISO) 워크숍’을 개최했다고 밝혔다.미래부는 지난해 말 정보보호최고책임자(CISO, Chief Information Security Officer) 신고 의무화 제도를 시행했다. 4100개 기업들이 올 10월까지 CISO를 지정했다. 이에 미래부는 기업의 정보보호 대응 능력은 CISO 간 정보교류와 협력이 중요하다는 인식하에 네트워킹이 가능하도록 핫라인을 구축하고, ‘2015 정보보호최고책임자(CISO) 워크숍’을 개최했다.
[IT조선 노동균] 금융 정보보안 강화 방안을 모색하기 위해 국내 금융사 최고정보보호책임자(CISO)와 SK인포섹의 보안 전문가가 한 자리에 모였다.SK인포섹(대표 한범식)은 10일 을지로 더 플라자 호텔에서 금융사 최고정보보호책임자 30여 명이 참석한 가운데 ‘정보보안 컴플라이언스와 보안 트렌드’를 주제로 세미나를 개최했다.이번 세미나는 정보보안과 관련한 주요 정책과 보안 위협, 보안 트렌드 등의 정보를 제공함으로써 금융사의 내년 정보보안정책 수립에 도움을 주고자 마련됐다.이날 세미나에서는 법무법인 테크앤로의 구태언 대표 변호사를
[IT조선 유진상] “전세계는 공인인증서에 지문인식시스템을 더하는 추세로 움직이고 있다. 그런데 한국은 공인인증서를 없애려고 하고 있다. 전세계의 움직임과는 정반대로 가고 있는 것이다. 공인인증서를 기반으로 한 인프라는 우리나라 최대의 강점이다. 이를 수출하면 전세계 인증시스템을 우리가 리드할 수 있을 것이다.” ▲최운호 UN난민기구 최고정보책임자(사진 = UNHCR) 최근 공인인증서를 둘러싼 논쟁이 한참이다. 공인인증서와 액티브X가 온라인 결제를 불편하게 한 주범으로 낙인 찍히면서 이를 폐지해야 한다는 목소리가 높아지고 있다. 또
[IT조선 김남규 기자] 스탠다드차타드은행(이하 SC은행)은 14일 보안 전문가인 김홍선(54) 전 안랩 대표이사를 정보보호최고책임자(CISO·부행장)로 선임했다고 밝혔다. 신임 김 부행장은 행장 직속의 독립적인 정보보안 조직을 총괄하며 CISO와 CPO(개인정보보호책임자)를 겸임하게 된다. 또 김 부행장은 SC그룹의 글로벌 보안팀과도 긴밀한 협력체제를 구축해 나갈 예정이다. SC은행은 최근 CISO의 독립성과 중요성이 급부상함에 따라 김 부행장 영입과 더불어 CISO 직급을 기존 전무 급에서 부행장 급으로 격상하는 등 최고의 보안