아파치(Apache)와 빅 데이터(Big Data)
빅 데이터와 H베이스(HBase), 하이브(Hive), 아파치 카산드라(Apache Cassandra), 아파치 카우치DB(Apache CouchDB)를 포함한 아파치 하둡(Apache Hadoop)에 능숙한 IT 전문가를 찾는 선도적 기업들로 인해 올해 아파치 기술 전문가 수요가 늘어났다. 맵리듀스(MapReduce) 프레임워크/프로그래밍 모델과 NoSQL 오픈 시스템 데이터베이스 기술 역시 수요가 늘어났다고 푸트는 말했다.
SAP 개발
컨텐츠가 웹 상의 제왕으로 군림했던 것처럼, 인증서보다는 실질적 경험을 갖춘 SAP 개발자에 대한 수요가 늘고 있다. 고용주들은 SAP HANA(인-메모리 어플라이언스), SAP SEM(전략 기업 관리), SAP ESA(기업 서비스 아키텍처), SAP PLM(제품 수명 관리), SAP 솔루션 매니저(Solution Manager), SAP 리테일(Retail), SAP SRM(공급자 관계 관리), SAP CRM, SAP CO-PA(수익성 분석), SAP PS(프로젝트 시스템), SAP BI, 그리고 SAP EHS(환경 관리)등을 전문으로 한 프로를 찾기 위해 혈안이 되어있다.
모바일 애플리케이션 개발
전통적인 애플리케이션 개발 기술이 뒤쳐지는 추세와 함께, 모바일 애플리케이션에 대한 관심이 점점 커지고 있다. 이러한 현상은, HTML5, 자바(Java), 그리고 모바일 애플리케이션 개발에 연관된 기술에 능통한 이에게 유리하다. HTML5 기술에는시 자바스크립트와 캐스케이딩 스타일 시트 3(Cascading Style Sheets 3:CSS3)이 포함된다. 특정 안드로이드와 iOS 관련 기술/전문성 역시 수요가 늘어나고 있다.
데이터베이스 개발
항상 보호하고, 유지해야 할 데이터를 가지고 있는 회사들로 인해, 데이터베이스 개발 기술은 여전히 가장 인기 있는 기술 분야 중 하나다. 데이터베이스 관리 전문성은 초급 단계의 IT 전문가들을 찾는 CIO들이 가장 많이 입에 올리는 기술이다. 채용 담당자들은 특히 오라클 디벨로퍼 스위트(Oracle Developer Suite), 오라클(Oracle), 인포매티카(Informatica), 몽고DB(MongoDB), MySQL/MySQL 클러스터 분야의 전문가를 구하고 있다.
웹/전자상거래 개발자
웹은 따라잡기 힘들 정도로 계속 빠르게 진화하고 있지만, 인터넷의 기둥이라 할 수 있는 전통적 웹 개발에 대한 수요도 여전하다. 마이크로소프트 커머스 서버(Microsoft Commerce Server), 마이크로소프트 닷넷(Microsoft .Net), EMC 코퍼레이션 다큐멘텀(EMC Corporation’s Documentum) (기업 콘텐츠 관리 플랫폼), 파이썬(Phython), 셰어포인트 서버, 오라클 워크플로우, SOAP, 구글 앱 엔진(Google App Engine), 그리고 물론 소셜 네트워크 등이다.
관리, 프로세스, 방법론
IT 관리 기술 중 가장 수요가 많은 분야는 비즈니스 프로세스 관리, 정보 위험 관리, 비즈니스 성과 관리, TOGAF(더 오픈 그룹 아키텍쳐 프레임워크:The Open Group Architecture Framework), 프로젝트 관리, 정량 분석, 위험 산정/위험 관리, 그리고 변화 관리다.
시스템과 네트워킹
2012년의 가상화와 클라우드 컴퓨팅에 대한 증가추세로 인해, 기업들은 보안(DW/BI, DRP, 웹, 프로젝트 할당), 가상화, 네트워크 보안 관리, 무선 네트워크 관리, RFID분야에서 관련 기술을 가진 사람을 구하고 있다.
자바SE, EE, ME
“많은 자바가 많은 빅 데이터의 기반이 되고 있다.” 푸트 파트너스의 CEO 데이비드 푸트는 이렇게 진단했다. 기업들은 모든 기본 라이브러리와 API를 포함한 핵심 자바 프로그래밍 플랫폼인 자바 스탠다드 에디션(Standard Edition:SE), 데이터베이스 접속을 위한 라이브러리(JDBC, JPA)를 포함한 엔터프라이즈 에디션(Enterprise Edition:EE), 메시징(JSM), 원격 메소드 호출(RMI), XML 프로세싱, 웹 서비스, 기업 자바빈(Enterprise JavaBeans)를 위한 스탠다드 API, 서브렛(servlets), 포트렛(portlets), 자바서버 페이지(JavaServer Pages), 그리고 임베드 시스템을 위한 모바일 애플리케이션과 앱을 만드는데 쓰이는 마이크로 에디션(Micro Edition:ME) 등을 자유자재로 다룰 수 있는 개발자를 찾고 있다.
인프라 아키텍처
인프라 아키텍트의 임무는 이전까지 기업 아키텍트와 솔루션 아키텍트가 결정했던 요구사항과 제약들을 한데 모으는 것이다. 관련 환경에는 가상 컴퓨팅(VDI와 VI), 물리적 컴퓨팅(클라이언트/서버), 스토리지, 네트워크, 백업&복구, 음성, 비디오, 관리 서비스와 이동성 등이 있다.
정보 보안
기술 발전과 함께 새로운 취약점을 통한 보안 침투 위험성이 발생하고 있다. 2012년은 사이버 공격의 빈도와 범위, 복잡성이 증가를 보인 한 해였는데, 고용주들은 보안은 물론 위험 관리를 포함한 감사 기술, 네트워크와 클라우드/가상화 보안, 작업 보안, 모바일 기기 보안분야의 IT 전문가들을 찾고 있다
[출처 : http://www.ciokorea.com/news/14214?page=0,1 ]
2012년 10월 30일 화요일
BYOD 필수 정책 7가지
1. 정책 먼저, 그 다음에 툴:
드비시에 따르면, 기업들의 가장 큰 실수는 정책을 도입하기 앞서 모바일 관리(MDM) 툴부터 조사를 한다는 것이다. 드비시는 "툴을 골라 구매하는 것은 정말 쉽다. 하지만 이 툴이 정책을 집행해야 한다"라고 강조했다.
예를 들어, 모든 MDM 시스템이 (안드로이드, 블랙베리, 아이폰 등) 기기마다 동일한 기능을 제공하는 것은 아니다. MDM 툴에는 제약이 있다. 기기, 데이터, 애플리케이션 접속을 관리하지만, 대신 네트워크 접속이나 비용 관리는 처리할 수 없다.
2. 고용주의 '지울 권리':
BYOD 정책 도입 시 가장 큰 위험은 기기를 잃어버리거나 도난당했을 때 중요한 정보가 유출된다는 것이다. 대부분의 정책들이 패스워드 관리, 기기 잠금, 암호화, 직원 해고나 이직 등 특정 상황 발생시 원거리에서 데이터를 삭제하는 권리를 요구하는 이유가 여기에 있다. 일부 회사들은 업무용 데이터와 앱을 분리할 수 있는 관리 기술을 사용하고 있다. 이렇게 하면 기업에 필요한 부분만 선별해 삭제할 수 있기 때문이다. 또 개인 데이터를 포함해 모든 데이터를 삭제하는 방식을 선택하는 회사들도 있다. 골드는 "직원 개인이 서명한 정책이 없다면, 예를 들어 자녀 사진 300장을 지워버렸을 때 소송을 당할 수도 있다"라고 지적했다. 이보다 더 엄격한 정책도 있다. 특정 모바일 기기가 정책의 규칙을 위반했을 때, 원격에서 데이터를 지울 수 있도록 규정하고 있는 정책이다.
3. 직원의 책임:
드비시는 직원들이 스스로의 책임이 무엇인지 이해해야 한다고 설명했다. 최소한의 하드웨어 또는 소프트웨어 요건을 유지하는 것 등이다. 다시 말해, 기업이 업무 목적에서 아이폰 앱을 보급하기 원할 때 오래된 하드웨어에서 충분히 빠르게 실행이 되지 않을 수 있다. 드비시는 "이 경우, 직원들이 아이폰 4, 4S, 5를 구입하도록 강요할 수 있다. 그리고 만약 업그레이드를 하지 않는다면 앱을 사용하지 못하도록 하는 것이다"라고 말했다. 매사추세츠 주 니드햄 은행(Needham Bank)의 IT 담당 부사장 제임스 고든은 이렇게 최소 사양을 규정하는 또 다른 이유는 모든 기기에 최신 패치를 유지하기 위한 것이라고 설명했다. 이와 관련, 특정 기기 버전이 컴플라이언스를 준수하지 못할 경우 자동으로 모바일 접속을 차단하는 정책도 있다.
4. 허용되는 활동:
정책은 모바일 기기에서 무엇을 허용하고 금지할 지에 따라 달라지게 된다. 일반적인 규칙으로는 기업 문서 다운로드 금지, 네트워크나 애플리케이션 접속 제한, 카메라나 USB 포트 같은 기능 사용 금지, '탈옥' 금지, 앱 및 웹사이트의 화이트리스팅 및 블랙리스팅 등을 들 수 있다. 드롭박스나 아이클라우드 같은 웹사이트를 금지할 수도 있다. 그러나 박현 애널리스트는 기업들이 소셜 네트워킹 사용을 금지할 수 있지만, 너무 많은 개인 기능을 금지하게 되면 직원들이 업무 시간 외에 기기를 사용할 수 있다고 경고했다.
고든의 MDM 툴인 직원들이 정책 제한 사항을 위반할 때 이를 경고하고, 다시 정상 상태로 돌아올 때까지 접근을 차단한다. 그러나 MDM 툴 하나로만 카메라나 네트워크 접속 사용 같은 모든 규칙을 강제할 수 없다. 박현 애널리스트는 "무선 LAN 사용 기업들이 BYOD 정책과 관련해 초점을 맞추고 있는 부분이다. 이들은 기기 아이덴티티를 기준으로 네트워크 접속 수준을 관리할 수 있다"라고 설명했다.
5. 허용되는 기기:
많은 정책들이 기기 허용에는 제약을 두고 있지 않다. 그러나 골드는 지원 비용 절감과 보안 관리 정책 이행을 위해서는 기기에도 제약을 둬야 한다고 주장하고 있다. 최소한 기기 형태 별로 정책을 계층화 하는 방안을 고려해야 한다. 예를 들어, 블랙베리는 기업용 애플리케이션에 접속할 수 있도록 하고, 아이폰과 아이패드는 이메일과 네트워크만 이용 또는 접속할 수 있도록 하며, 안드로이는 이메일만 이용할 수 있도록 하는 방식이다. 골드는 "사용자에 이유를 설명해야 한다. 그래야만 이를 바탕으로 기기를 선택할 수 있기 때문이다"라고 말했다.
6. 누가 지원할 것인가?:
일부 기업들은 직원들의 기기가 잘못 작동했을 때도 회사가 이를 책임지고 있다. 그러나 이런 지원을 하다 보면 생산성이 손실된다. 그는 "직원 한 명이 IT부서에 30분 정도 도움을 요청함으로써 회사는 수백 달러를 손해 볼 수 있다"라고 지적했다.
드비시는 책임을 나눠야 한다고 제안했다. 그는 "기업이 휴대폰용으로 개발한 앱이 문제를 일으키거나, 네트워크 접속과 관련된 시스코 VPN 클라이언트에 문제가 발생한 경우라면 헬프 데스크에 도움을 요청해야 한다. 그러나 하드웨어나 업무와 상관없는 문제라면 스스로 해결을 해야 한다"라고 강조했다.
어느 쪽이든, 정책을 통해 이를 구분해야 한다. 또 셀프 서포트 지식 기반이나 포럼을 도입하는 것을 고려할 수 있다. 아니면 인트라넷 포털이나 셰어포인트 사이트를 이용하는 것도 방법이다. 이를 통해 지원 대상과 지원이 불가능한 대상을 알릴 수도 있다.
7. 누가 비용을 부담할 것인가? :
기업이 BYOD를 공식적으로 도입하면 발생하는 문제가 있다. 누가 기기와 사용료를 부담할 것인가 하는 문제다. 드비시는 "4G 기기라면 몇 기가 바이트도 금방 다운로드 받을 수 있다. 그러나 누가 비용을 부담할 것인가?"라고 말했다. 만약 다운로드 받는 데이터의 대부분이 업무와 관련돼 있다면 직원들은 회사가 이를 부담해 줄 것이라고 기대할 것이다. 그러나 일부 기업은 한계를 정하고 싶어한다. 그리고 이 경우에도, 정책을 통해 세부적인 사항을 규정해야 한다.
박현 애널리스트는 보통 3가지 선택이 있다고 말했다. 비용을 일체 지불하지 않거나, 월 사용 요금의 일부를 부담하거나, 딱 1회 또는 지속적으로 부담을 하거나다. 직원의 직책과 역할 별로 달리 적용을 할 수도 있다. 예를 들어 전액 공제를 받는 직원도 있을 것이고, 일부만 공제를 받는 직원도 있을 수 있다.
BYOD로 인해 초래되는 많은 문제들을 무력화 할 수 있다. 그러나 행동에 옮기는 것이 중요하다. 드비시는 "완벽하지 않더라도, 그리고 아주 간단한 정책이라도 수립해 이행해야 한다. BYOD는 경험이 중요한 트렌드다. 모든 가능성을 고려하고 분석해 학습을 할 수 있는 트렌드가 아니다"라고 설명했다.
[출처 : http://www.ciokorea.com/news/14223?page=0,1 ]
드비시에 따르면, 기업들의 가장 큰 실수는 정책을 도입하기 앞서 모바일 관리(MDM) 툴부터 조사를 한다는 것이다. 드비시는 "툴을 골라 구매하는 것은 정말 쉽다. 하지만 이 툴이 정책을 집행해야 한다"라고 강조했다.
예를 들어, 모든 MDM 시스템이 (안드로이드, 블랙베리, 아이폰 등) 기기마다 동일한 기능을 제공하는 것은 아니다. MDM 툴에는 제약이 있다. 기기, 데이터, 애플리케이션 접속을 관리하지만, 대신 네트워크 접속이나 비용 관리는 처리할 수 없다.
2. 고용주의 '지울 권리':
BYOD 정책 도입 시 가장 큰 위험은 기기를 잃어버리거나 도난당했을 때 중요한 정보가 유출된다는 것이다. 대부분의 정책들이 패스워드 관리, 기기 잠금, 암호화, 직원 해고나 이직 등 특정 상황 발생시 원거리에서 데이터를 삭제하는 권리를 요구하는 이유가 여기에 있다. 일부 회사들은 업무용 데이터와 앱을 분리할 수 있는 관리 기술을 사용하고 있다. 이렇게 하면 기업에 필요한 부분만 선별해 삭제할 수 있기 때문이다. 또 개인 데이터를 포함해 모든 데이터를 삭제하는 방식을 선택하는 회사들도 있다. 골드는 "직원 개인이 서명한 정책이 없다면, 예를 들어 자녀 사진 300장을 지워버렸을 때 소송을 당할 수도 있다"라고 지적했다. 이보다 더 엄격한 정책도 있다. 특정 모바일 기기가 정책의 규칙을 위반했을 때, 원격에서 데이터를 지울 수 있도록 규정하고 있는 정책이다.
3. 직원의 책임:
드비시는 직원들이 스스로의 책임이 무엇인지 이해해야 한다고 설명했다. 최소한의 하드웨어 또는 소프트웨어 요건을 유지하는 것 등이다. 다시 말해, 기업이 업무 목적에서 아이폰 앱을 보급하기 원할 때 오래된 하드웨어에서 충분히 빠르게 실행이 되지 않을 수 있다. 드비시는 "이 경우, 직원들이 아이폰 4, 4S, 5를 구입하도록 강요할 수 있다. 그리고 만약 업그레이드를 하지 않는다면 앱을 사용하지 못하도록 하는 것이다"라고 말했다. 매사추세츠 주 니드햄 은행(Needham Bank)의 IT 담당 부사장 제임스 고든은 이렇게 최소 사양을 규정하는 또 다른 이유는 모든 기기에 최신 패치를 유지하기 위한 것이라고 설명했다. 이와 관련, 특정 기기 버전이 컴플라이언스를 준수하지 못할 경우 자동으로 모바일 접속을 차단하는 정책도 있다.
4. 허용되는 활동:
정책은 모바일 기기에서 무엇을 허용하고 금지할 지에 따라 달라지게 된다. 일반적인 규칙으로는 기업 문서 다운로드 금지, 네트워크나 애플리케이션 접속 제한, 카메라나 USB 포트 같은 기능 사용 금지, '탈옥' 금지, 앱 및 웹사이트의 화이트리스팅 및 블랙리스팅 등을 들 수 있다. 드롭박스나 아이클라우드 같은 웹사이트를 금지할 수도 있다. 그러나 박현 애널리스트는 기업들이 소셜 네트워킹 사용을 금지할 수 있지만, 너무 많은 개인 기능을 금지하게 되면 직원들이 업무 시간 외에 기기를 사용할 수 있다고 경고했다.
고든의 MDM 툴인 직원들이 정책 제한 사항을 위반할 때 이를 경고하고, 다시 정상 상태로 돌아올 때까지 접근을 차단한다. 그러나 MDM 툴 하나로만 카메라나 네트워크 접속 사용 같은 모든 규칙을 강제할 수 없다. 박현 애널리스트는 "무선 LAN 사용 기업들이 BYOD 정책과 관련해 초점을 맞추고 있는 부분이다. 이들은 기기 아이덴티티를 기준으로 네트워크 접속 수준을 관리할 수 있다"라고 설명했다.
5. 허용되는 기기:
많은 정책들이 기기 허용에는 제약을 두고 있지 않다. 그러나 골드는 지원 비용 절감과 보안 관리 정책 이행을 위해서는 기기에도 제약을 둬야 한다고 주장하고 있다. 최소한 기기 형태 별로 정책을 계층화 하는 방안을 고려해야 한다. 예를 들어, 블랙베리는 기업용 애플리케이션에 접속할 수 있도록 하고, 아이폰과 아이패드는 이메일과 네트워크만 이용 또는 접속할 수 있도록 하며, 안드로이는 이메일만 이용할 수 있도록 하는 방식이다. 골드는 "사용자에 이유를 설명해야 한다. 그래야만 이를 바탕으로 기기를 선택할 수 있기 때문이다"라고 말했다.
6. 누가 지원할 것인가?:
일부 기업들은 직원들의 기기가 잘못 작동했을 때도 회사가 이를 책임지고 있다. 그러나 이런 지원을 하다 보면 생산성이 손실된다. 그는 "직원 한 명이 IT부서에 30분 정도 도움을 요청함으로써 회사는 수백 달러를 손해 볼 수 있다"라고 지적했다.
드비시는 책임을 나눠야 한다고 제안했다. 그는 "기업이 휴대폰용으로 개발한 앱이 문제를 일으키거나, 네트워크 접속과 관련된 시스코 VPN 클라이언트에 문제가 발생한 경우라면 헬프 데스크에 도움을 요청해야 한다. 그러나 하드웨어나 업무와 상관없는 문제라면 스스로 해결을 해야 한다"라고 강조했다.
어느 쪽이든, 정책을 통해 이를 구분해야 한다. 또 셀프 서포트 지식 기반이나 포럼을 도입하는 것을 고려할 수 있다. 아니면 인트라넷 포털이나 셰어포인트 사이트를 이용하는 것도 방법이다. 이를 통해 지원 대상과 지원이 불가능한 대상을 알릴 수도 있다.
7. 누가 비용을 부담할 것인가? :
기업이 BYOD를 공식적으로 도입하면 발생하는 문제가 있다. 누가 기기와 사용료를 부담할 것인가 하는 문제다. 드비시는 "4G 기기라면 몇 기가 바이트도 금방 다운로드 받을 수 있다. 그러나 누가 비용을 부담할 것인가?"라고 말했다. 만약 다운로드 받는 데이터의 대부분이 업무와 관련돼 있다면 직원들은 회사가 이를 부담해 줄 것이라고 기대할 것이다. 그러나 일부 기업은 한계를 정하고 싶어한다. 그리고 이 경우에도, 정책을 통해 세부적인 사항을 규정해야 한다.
박현 애널리스트는 보통 3가지 선택이 있다고 말했다. 비용을 일체 지불하지 않거나, 월 사용 요금의 일부를 부담하거나, 딱 1회 또는 지속적으로 부담을 하거나다. 직원의 직책과 역할 별로 달리 적용을 할 수도 있다. 예를 들어 전액 공제를 받는 직원도 있을 것이고, 일부만 공제를 받는 직원도 있을 수 있다.
BYOD로 인해 초래되는 많은 문제들을 무력화 할 수 있다. 그러나 행동에 옮기는 것이 중요하다. 드비시는 "완벽하지 않더라도, 그리고 아주 간단한 정책이라도 수립해 이행해야 한다. BYOD는 경험이 중요한 트렌드다. 모든 가능성을 고려하고 분석해 학습을 할 수 있는 트렌드가 아니다"라고 설명했다.
[출처 : http://www.ciokorea.com/news/14223?page=0,1 ]
CSO의 고민과 해결책
1. 복잡성이 아닌 단순성이 필요하다
우리의 IT 세상에는 너무나도 많은 일들이 벌어지고 있다. 새로운 클라우드 컴퓨팅, 모바일, 소셜 네트워킹 기술, 기타 혁신들이 우리의 인프라에 넘쳐난다. 현업에도 아주 많은 기술들이 있는데, 서로 어울리지 못하는데다 서로간에 소통도 잘 일어나지 않는게 현실이다.
불행히도 이 문제는 점점 악화되고 있다. 운영 효율과 효과를 부정하는 것은 전체 조직에 나쁜 영향을 미친다. 너무 많은 보안 솔루션들이 1,000가지 기능을 제공하지만, 대부분 사람들은 겨우 100개 가량을 활용할 뿐이다. 우리는 실제로 이야기하고, 지식을 공유하고, 서로에게 배울 수 있는 솔루션들로 효과를 높여야 한다.
2. 너무 많은 데이터와 정보에 압도되고 싶지 않다
방화벽, AV, IDS/IPS, 로드 밸런서, 라우터, 스위치, DLP, 웹 보안 게이트웨이, MDM, 이메일 게이트웨이, 액티브 디렉토리(Active Directory), 수 천 개의 애플리케이션, 수 천 개의 데이터베이스 등등. 우리는 우리가 일상적으로 볼 필요가 없는 데이터 속에 파묻혀 있다. 많은 CISO들에게 물었다: “당신이 IDS나 방화벽 로그에서 얻는 가치는 무엇인가?”
대부분의 CISO들은 너무 많은 데이터가 있기 때문에 거의 가치를 얻지 못한다고 말한다. 그리고 이 문제는 앞으로도 해결되지 않을 것이다. 심지어 SIEM(보안 정보 및 이벤트 관리)같은 아이템들도 지능적이지 않다. 그들은 구동하기 복잡하고, 단순히 데이터를 정보로 바꿀 뿐이다. 그러나 우리가 필요로 하는 게 꼭 정보만은 아니다. 어떤 행동을 취해야 할 지 이해하기 위해서는, 여전히 정보를 수집하고 분석해야 한다. 거기에다 행동 목록보다 더 많은 것들이 필요할 것이다. CSO들은 효과적인 전반적 위험 관리 전략을 제공하는 안내 지침이 필요하다.
3. 우리는 데이터를 지혜로 바꿔야 한다
CSO는 최선의 보안 결정을 내리기 위해 지혜를 활용하려면 데이터가 필요하다. 그렇게 하기 위해서, 데이터는 정보로 전환돼야 한다. 또한 정보는 인텔리전스를 제공해야 한다. 인텔리전스는 CSO가 그들의 보안 지혜를 구축하는데 도움을 줄 것이다. CSO가 더 많은 인텔리전스를 받을수록, 혜택 또한 커진다. 불행히도 필자가 위에 제시한 솔루션들 중 다수는 정보를 인텔리전스로 바꿔주지 못한다. 그저 단순 정보만 제공해, 수동적인 행동과 능동적인 행동 사이의 고민을 초래할 뿐이다.
4. 우리는 미래의 위험에 대응하는 자세가 필요하다
필자는 간편하게 구축할 수 있는 위험-기반 접근방식의 지금 당장 필요하다는 말을 하고 있다. 오늘날의 구매 결정은 오래된 경험과 과거의 환경에 근거한 배짱 구매가 대부분이다. 그리고 거버넌스, 위험 관리, 규제 준수(GRC) 솔루션들이 존재하지만, 보통 이런 솔루션들은 규칙을 기반으로 하며 지능적이지 않은데다, 지나치게 복잡하다. 게다가 데이터-중심적 견해도 취하지 않는다.
또한 많은 위험과 준수 솔루션들은 상당히 비싸기 때문에, 비용을 감당할 수 있는 회사가 많지 않다. 우리는 구축과 관리가 쉬운 GRC 솔루션이 필요하다. 더 많은 CSO들이 다른이들과 협력하고 클라우드를 도입함에 따라 GRC는 직접적 인프라 통제를 점점 줄일 것이기 때문에, 위험 관리를 도와주는 미래의 툴이 될 것이다.
5. 우리는 항상 데이터에 대한 가시성, 통제, 보호가 필요하다
이 문제는 하드웨어나 IT업체가 아닌 데이터에 관한 것이다. 그러므로 스마트폰이건, 태블릿이건, 혹은 클라우드 안이건 상관없이 우리는 데이터가 어디 있고 누가 그 데이터를 사용하고 있는지, (비록 방금 전에 작성했다 하더라도) 언제 데이터에 접속했는지를 파악해야 한다. 우리는 데이터도 제어해야 한다. 데이터 공동작업 활성화, 언제 데이터의 파트너 출발 시점 파악, 우리의 데이터가 정확한 지점에 있지 않다면 킬 스위치(kill switch)하는 것 등을 포함한다. 우리는 우리의 보안 프로그램을 처음부터 다시 생각해야만 한다.
6. 우리는 BYOD를 허용하고 싶다.
우리는 비즈니스에 BYOD를 허용하고 싶지만, 대부분의 CIO들은 모바일 기기 관리(mobile device management:MDM)에 그리 우호적이지 않다. 그들은 보안과 데이터 보호를 원하지만 기기를 잠그거나 제어하는 것을 원하지는 않는다. 이 문제는 우리가 최고 경영진들로부터 네트워크상에 개인 기기를 허용하라는 압력을 받을 때 더 심해진다. 우리는 어떤 기기든 우리의 네트워크와 데이터에 쉽게 접속할 수 있도록 허용해야 하는 동시에, 전체 가시성과 데이터 제어권을 가져야 한다.
필자는 DLP와 DRM이 가상화 세션과 합쳐진 하이브리드가 미래를 열 것으로 믿는다. 그리고 특정 애플리케이션에서는 데이터가 데이터센터로 다시 라우트될 것이다. 개인적으로 MDM이 미래가 될 것으로 보지는 않는다. 그건 종점 보안의 모든 구식 방법들을 새로운 모바일 기기 패러다임에 적용한 것에 불과해 실질적 문제를 해결하지 못하기 때문이다.
7. 우리는 스피어피싱을 중단시켜야 한다.
스피어피싱(spearphishing)은 대부분의 타깃 공격(targeted attacks)이 이용자들을 위험에 빠트리는 가장 흔한 방법이다. 피싱은 오래된 기법이지만, 연구를 거쳐 잘 정비된 소셜 엔지니어링 방식의 미끼는 상당히 효과적이다. 200명의 CISO들에게 “당신의 CEO에게 가해지는 스피어피싱유형의 공격을 잘 막을 수 있다고 장담할 수 있는 사람이 얼마나 되는가?”라고 물었을 때, 그들 중 그 어느 누구도 자신하지 못했다. 우리는 이 문제를 해결하기 위해 완전히 다른 방식으로 생각해야 한다. 이 문제 해결의 가장 성공적인 방법은 과학과 인문을 동시에 융합하는 것이다.
피시미닷컴(PhishMe.com)이 그 좋은 예다. [공지 – 필자는 최근 피시미의 이사진 중 한 사람이됐다.] 필자는 기술과 의식에 따라, 70%가량의 직원들이 스피어피싱 미끼를 클릭한다는 사실을 발견했다. 15%정도는 여전히 그것을 클릭할 것이기 때문에, 당신의 보안 기술은 당신의 의식 프로그램과 결합해야 한다.
당신은 클라우드-기반 스피어피싱 보호를 이용하여 이전에 본 적 없는 URL들을 잡아내고 검사하는 이메일 보안 솔루션을, 그들이 네트워크에 침투하기 이전에 미리 이용해야 한다. 당신의 기본 스팸 필터로는 이런 대비가 불가능하다. 최근, 많은 스피어피싱 이메일들이 회사의 이메일 시스템을 돌아들어가 CEO의 지메일 계정을 노리고 있다. 그러므로 이용자들이 스피어 피싱 링크를 클릭했을 때, 그들을 보호할 수 있는 웹 보안 게이트웨이가 필요하다. 현재 스피어피싱을 감지할 수 있는 웹 보안 게이트웨이는 아주 적은 실정이다. 이것이 바로 핵심이다.
8. 우리는 우리의 성공을 측정하고 홍보할 수 있는 쉬운 방법을 원한다
이것은 큰 주제다. 보안은 회의실 문제지만, 우리는 성공에 영향을 주는 트렌드를 측정하는 동시에, 이 문제가 이사진들의 문제라는 점을 이해시킬 수 있어야 한다. 우리는 많은 새로운 보안 어려움들과 새로 등장하는 위협등을 상대해야 한다. 우리의 가치를 어떻게 CEO나 이사진들에게 보여줄 수 있을까? 필자는 개인적인 베스트 프랙티스 몇 가지를 여기에 소개했지만, 여러분의 제안에 항상 귀를 열고 있다.
[출처 : http://www.ciokorea.com/news/14284?page=0,1 ]
우리의 IT 세상에는 너무나도 많은 일들이 벌어지고 있다. 새로운 클라우드 컴퓨팅, 모바일, 소셜 네트워킹 기술, 기타 혁신들이 우리의 인프라에 넘쳐난다. 현업에도 아주 많은 기술들이 있는데, 서로 어울리지 못하는데다 서로간에 소통도 잘 일어나지 않는게 현실이다.
불행히도 이 문제는 점점 악화되고 있다. 운영 효율과 효과를 부정하는 것은 전체 조직에 나쁜 영향을 미친다. 너무 많은 보안 솔루션들이 1,000가지 기능을 제공하지만, 대부분 사람들은 겨우 100개 가량을 활용할 뿐이다. 우리는 실제로 이야기하고, 지식을 공유하고, 서로에게 배울 수 있는 솔루션들로 효과를 높여야 한다.
2. 너무 많은 데이터와 정보에 압도되고 싶지 않다
방화벽, AV, IDS/IPS, 로드 밸런서, 라우터, 스위치, DLP, 웹 보안 게이트웨이, MDM, 이메일 게이트웨이, 액티브 디렉토리(Active Directory), 수 천 개의 애플리케이션, 수 천 개의 데이터베이스 등등. 우리는 우리가 일상적으로 볼 필요가 없는 데이터 속에 파묻혀 있다. 많은 CISO들에게 물었다: “당신이 IDS나 방화벽 로그에서 얻는 가치는 무엇인가?”
대부분의 CISO들은 너무 많은 데이터가 있기 때문에 거의 가치를 얻지 못한다고 말한다. 그리고 이 문제는 앞으로도 해결되지 않을 것이다. 심지어 SIEM(보안 정보 및 이벤트 관리)같은 아이템들도 지능적이지 않다. 그들은 구동하기 복잡하고, 단순히 데이터를 정보로 바꿀 뿐이다. 그러나 우리가 필요로 하는 게 꼭 정보만은 아니다. 어떤 행동을 취해야 할 지 이해하기 위해서는, 여전히 정보를 수집하고 분석해야 한다. 거기에다 행동 목록보다 더 많은 것들이 필요할 것이다. CSO들은 효과적인 전반적 위험 관리 전략을 제공하는 안내 지침이 필요하다.
3. 우리는 데이터를 지혜로 바꿔야 한다
CSO는 최선의 보안 결정을 내리기 위해 지혜를 활용하려면 데이터가 필요하다. 그렇게 하기 위해서, 데이터는 정보로 전환돼야 한다. 또한 정보는 인텔리전스를 제공해야 한다. 인텔리전스는 CSO가 그들의 보안 지혜를 구축하는데 도움을 줄 것이다. CSO가 더 많은 인텔리전스를 받을수록, 혜택 또한 커진다. 불행히도 필자가 위에 제시한 솔루션들 중 다수는 정보를 인텔리전스로 바꿔주지 못한다. 그저 단순 정보만 제공해, 수동적인 행동과 능동적인 행동 사이의 고민을 초래할 뿐이다.
4. 우리는 미래의 위험에 대응하는 자세가 필요하다
필자는 간편하게 구축할 수 있는 위험-기반 접근방식의 지금 당장 필요하다는 말을 하고 있다. 오늘날의 구매 결정은 오래된 경험과 과거의 환경에 근거한 배짱 구매가 대부분이다. 그리고 거버넌스, 위험 관리, 규제 준수(GRC) 솔루션들이 존재하지만, 보통 이런 솔루션들은 규칙을 기반으로 하며 지능적이지 않은데다, 지나치게 복잡하다. 게다가 데이터-중심적 견해도 취하지 않는다.
또한 많은 위험과 준수 솔루션들은 상당히 비싸기 때문에, 비용을 감당할 수 있는 회사가 많지 않다. 우리는 구축과 관리가 쉬운 GRC 솔루션이 필요하다. 더 많은 CSO들이 다른이들과 협력하고 클라우드를 도입함에 따라 GRC는 직접적 인프라 통제를 점점 줄일 것이기 때문에, 위험 관리를 도와주는 미래의 툴이 될 것이다.
5. 우리는 항상 데이터에 대한 가시성, 통제, 보호가 필요하다
이 문제는 하드웨어나 IT업체가 아닌 데이터에 관한 것이다. 그러므로 스마트폰이건, 태블릿이건, 혹은 클라우드 안이건 상관없이 우리는 데이터가 어디 있고 누가 그 데이터를 사용하고 있는지, (비록 방금 전에 작성했다 하더라도) 언제 데이터에 접속했는지를 파악해야 한다. 우리는 데이터도 제어해야 한다. 데이터 공동작업 활성화, 언제 데이터의 파트너 출발 시점 파악, 우리의 데이터가 정확한 지점에 있지 않다면 킬 스위치(kill switch)하는 것 등을 포함한다. 우리는 우리의 보안 프로그램을 처음부터 다시 생각해야만 한다.
6. 우리는 BYOD를 허용하고 싶다.
우리는 비즈니스에 BYOD를 허용하고 싶지만, 대부분의 CIO들은 모바일 기기 관리(mobile device management:MDM)에 그리 우호적이지 않다. 그들은 보안과 데이터 보호를 원하지만 기기를 잠그거나 제어하는 것을 원하지는 않는다. 이 문제는 우리가 최고 경영진들로부터 네트워크상에 개인 기기를 허용하라는 압력을 받을 때 더 심해진다. 우리는 어떤 기기든 우리의 네트워크와 데이터에 쉽게 접속할 수 있도록 허용해야 하는 동시에, 전체 가시성과 데이터 제어권을 가져야 한다.
필자는 DLP와 DRM이 가상화 세션과 합쳐진 하이브리드가 미래를 열 것으로 믿는다. 그리고 특정 애플리케이션에서는 데이터가 데이터센터로 다시 라우트될 것이다. 개인적으로 MDM이 미래가 될 것으로 보지는 않는다. 그건 종점 보안의 모든 구식 방법들을 새로운 모바일 기기 패러다임에 적용한 것에 불과해 실질적 문제를 해결하지 못하기 때문이다.
7. 우리는 스피어피싱을 중단시켜야 한다.
스피어피싱(spearphishing)은 대부분의 타깃 공격(targeted attacks)이 이용자들을 위험에 빠트리는 가장 흔한 방법이다. 피싱은 오래된 기법이지만, 연구를 거쳐 잘 정비된 소셜 엔지니어링 방식의 미끼는 상당히 효과적이다. 200명의 CISO들에게 “당신의 CEO에게 가해지는 스피어피싱유형의 공격을 잘 막을 수 있다고 장담할 수 있는 사람이 얼마나 되는가?”라고 물었을 때, 그들 중 그 어느 누구도 자신하지 못했다. 우리는 이 문제를 해결하기 위해 완전히 다른 방식으로 생각해야 한다. 이 문제 해결의 가장 성공적인 방법은 과학과 인문을 동시에 융합하는 것이다.
피시미닷컴(PhishMe.com)이 그 좋은 예다. [공지 – 필자는 최근 피시미의 이사진 중 한 사람이됐다.] 필자는 기술과 의식에 따라, 70%가량의 직원들이 스피어피싱 미끼를 클릭한다는 사실을 발견했다. 15%정도는 여전히 그것을 클릭할 것이기 때문에, 당신의 보안 기술은 당신의 의식 프로그램과 결합해야 한다.
당신은 클라우드-기반 스피어피싱 보호를 이용하여 이전에 본 적 없는 URL들을 잡아내고 검사하는 이메일 보안 솔루션을, 그들이 네트워크에 침투하기 이전에 미리 이용해야 한다. 당신의 기본 스팸 필터로는 이런 대비가 불가능하다. 최근, 많은 스피어피싱 이메일들이 회사의 이메일 시스템을 돌아들어가 CEO의 지메일 계정을 노리고 있다. 그러므로 이용자들이 스피어 피싱 링크를 클릭했을 때, 그들을 보호할 수 있는 웹 보안 게이트웨이가 필요하다. 현재 스피어피싱을 감지할 수 있는 웹 보안 게이트웨이는 아주 적은 실정이다. 이것이 바로 핵심이다.
8. 우리는 우리의 성공을 측정하고 홍보할 수 있는 쉬운 방법을 원한다
이것은 큰 주제다. 보안은 회의실 문제지만, 우리는 성공에 영향을 주는 트렌드를 측정하는 동시에, 이 문제가 이사진들의 문제라는 점을 이해시킬 수 있어야 한다. 우리는 많은 새로운 보안 어려움들과 새로 등장하는 위협등을 상대해야 한다. 우리의 가치를 어떻게 CEO나 이사진들에게 보여줄 수 있을까? 필자는 개인적인 베스트 프랙티스 몇 가지를 여기에 소개했지만, 여러분의 제안에 항상 귀를 열고 있다.
[출처 : http://www.ciokorea.com/news/14284?page=0,1 ]
애플리케이션 포트폴리오 합리화를 위한 전략
1 유지할 수 있는 애플리케이션을 빌드하라.
애플리케이션 설계, 개발, 유지에 관련된 그룹 사이에 협업이 증가하면 유지하기 쉬운 애플리케이션을 빌드할 수 있게 해주고, IT에게는 작업을 간소화하며 비용 절감과 향상된 민첩성을 달성할 수 있게 해준다.
2 포트폴리오 관리 전략을 실행하라.
분명한 관리 전략은 IT 요구의 우선순위를 정하고, IT를 사업적 필요와 부합하도록 유지하는데 필수 요건이다. 포트폴리오 관리 프랙티스와 도구들을 설치함으로써 각각의 IT 프로젝트가 전체적 기업 아키텍쳐에 잘 맞는지 검토할 수 있게 된다.
3 비즈니스와 더 부합할 수 있게 하라.
캡제미니에 의하면, IT가 아닌 비즈니스가 대부분의 애플리케이션 개발 프로젝트를 시작시킨다. 이 말은, IT가 진정한 사업부문과 IT의 “퓨전(fusion)”을 조성해야 함을 의미한다. 이 “퓨전”은 비즈니스 이용자와 애플리케이션을 개발하고 지원하는 팀 사이의 지지로부터 시작되지만, IT가 향상된 비즈니스 이해를 통해 혁신 주도의 촉매가 될 수 있게 해준다.
4 변화에 대한 저항을 극복하라.
이용자들은 종종 새 애플리케이션 도입에 저항한다. 사람들은 구식 애플리케이션이 비효율적이라 할지라도, 구식 앱을 더욱 편안히 사용하곤 한다. 단순히 앱 하나 빌드하는 것으로는 부족하다. 이용자들이 받아들이도록 해야 한다. 이 저항을 이겨내려면, 애플리케이션 전략 구상 시에 사업 이해관계자들을 포함시키고, 개발, 단계적 시행, 소개, 학습 등 모든 절차의 단계들이 긴밀히 측정되고 부합되는지 확인해야 한다.
5 가시성을 획득하라.
변화를 주도하거나 신 제품에 착수하기 이전에, 당신은 애플리케이션과 그들의 종속 사이의 연관관계를 이해하기 위해 분석과 측정을 사용해야 한다. 자동화된 발견과 관계 지도 툴은 당신이 앱과 기저의 인프라 사이의 관계를 파악하는데 도움을 줄 것이다. APM 툴들은 누가 당신의 애플리케이션을 이용하는지, 그들이 어떻게 이용하며, 어떤 자원을 소모하는지에 대한 이해를 도와줄 수 있다. 전후 맥락은 필수다. 애플리케이션을 얼마나 많은 이들이 사용하느냐는 각각의 특정 시스템의 위험상황과 그 애플리케이션이 회사 매출에 어떻게 영향을 미치는지보다 종종 중요도가 떨어진다.
6 문제가 아닌 솔루션을 외주하라.
캡제미니에 의하면 74%의 모든 애플리케이션 포트폴리오들이 부분적 혹은 전체적으로 외주되고 있다. 그러나 애플리케이션 포트폴리오가 우선 합리화되지 않으면 외주는 오히려 더 많은 문제를 야기할 수도 있다.
캡제미니는 복잡한 IT 시스템을 유지하는 데에는 종종 사내 고유의 지식을 필요로 하여 학습하기 어려운 측면이 있다고 지적했다. 그리고 이로 인해 외주 제공사가 규모의 경제와 자원의 최적화된 활용을 시도함에도 불구하고 비용이 증가할 수 있다고 덧붙였다.
7 애플리케이션과 데이터에 제대로 된 수명주기 접근법을 적용하라.
만약 애플리케이션이 더 이상 현재의 비즈니스 과정을 지원하는데 사용되지 않고, 앱의 데이터 또한 그리 증가하지 않으면, 데이터를 보존시키고 애플리케이션은 은퇴시켜야 한다. 그렇게 함으로써 전기요금을 아끼고, 규모를 줄여 엔지니어들이 오래된 시스템 관리가 아닌 새롭고 혁신적인 IT 시스템 개발에 집중할 수 있게 해준다
[출처 : http://www.ciokorea.com/news/14412?page=0,2 ]
애플리케이션 설계, 개발, 유지에 관련된 그룹 사이에 협업이 증가하면 유지하기 쉬운 애플리케이션을 빌드할 수 있게 해주고, IT에게는 작업을 간소화하며 비용 절감과 향상된 민첩성을 달성할 수 있게 해준다.
2 포트폴리오 관리 전략을 실행하라.
분명한 관리 전략은 IT 요구의 우선순위를 정하고, IT를 사업적 필요와 부합하도록 유지하는데 필수 요건이다. 포트폴리오 관리 프랙티스와 도구들을 설치함으로써 각각의 IT 프로젝트가 전체적 기업 아키텍쳐에 잘 맞는지 검토할 수 있게 된다.
3 비즈니스와 더 부합할 수 있게 하라.
캡제미니에 의하면, IT가 아닌 비즈니스가 대부분의 애플리케이션 개발 프로젝트를 시작시킨다. 이 말은, IT가 진정한 사업부문과 IT의 “퓨전(fusion)”을 조성해야 함을 의미한다. 이 “퓨전”은 비즈니스 이용자와 애플리케이션을 개발하고 지원하는 팀 사이의 지지로부터 시작되지만, IT가 향상된 비즈니스 이해를 통해 혁신 주도의 촉매가 될 수 있게 해준다.
4 변화에 대한 저항을 극복하라.
이용자들은 종종 새 애플리케이션 도입에 저항한다. 사람들은 구식 애플리케이션이 비효율적이라 할지라도, 구식 앱을 더욱 편안히 사용하곤 한다. 단순히 앱 하나 빌드하는 것으로는 부족하다. 이용자들이 받아들이도록 해야 한다. 이 저항을 이겨내려면, 애플리케이션 전략 구상 시에 사업 이해관계자들을 포함시키고, 개발, 단계적 시행, 소개, 학습 등 모든 절차의 단계들이 긴밀히 측정되고 부합되는지 확인해야 한다.
5 가시성을 획득하라.
변화를 주도하거나 신 제품에 착수하기 이전에, 당신은 애플리케이션과 그들의 종속 사이의 연관관계를 이해하기 위해 분석과 측정을 사용해야 한다. 자동화된 발견과 관계 지도 툴은 당신이 앱과 기저의 인프라 사이의 관계를 파악하는데 도움을 줄 것이다. APM 툴들은 누가 당신의 애플리케이션을 이용하는지, 그들이 어떻게 이용하며, 어떤 자원을 소모하는지에 대한 이해를 도와줄 수 있다. 전후 맥락은 필수다. 애플리케이션을 얼마나 많은 이들이 사용하느냐는 각각의 특정 시스템의 위험상황과 그 애플리케이션이 회사 매출에 어떻게 영향을 미치는지보다 종종 중요도가 떨어진다.
6 문제가 아닌 솔루션을 외주하라.
캡제미니에 의하면 74%의 모든 애플리케이션 포트폴리오들이 부분적 혹은 전체적으로 외주되고 있다. 그러나 애플리케이션 포트폴리오가 우선 합리화되지 않으면 외주는 오히려 더 많은 문제를 야기할 수도 있다.
캡제미니는 복잡한 IT 시스템을 유지하는 데에는 종종 사내 고유의 지식을 필요로 하여 학습하기 어려운 측면이 있다고 지적했다. 그리고 이로 인해 외주 제공사가 규모의 경제와 자원의 최적화된 활용을 시도함에도 불구하고 비용이 증가할 수 있다고 덧붙였다.
7 애플리케이션과 데이터에 제대로 된 수명주기 접근법을 적용하라.
만약 애플리케이션이 더 이상 현재의 비즈니스 과정을 지원하는데 사용되지 않고, 앱의 데이터 또한 그리 증가하지 않으면, 데이터를 보존시키고 애플리케이션은 은퇴시켜야 한다. 그렇게 함으로써 전기요금을 아끼고, 규모를 줄여 엔지니어들이 오래된 시스템 관리가 아닌 새롭고 혁신적인 IT 시스템 개발에 집중할 수 있게 해준다
[출처 : http://www.ciokorea.com/news/14412?page=0,2 ]
가트너, 향후 5년간 주목해야 할 10대 IT트렌드- IT 수요
IT 수요
데이터센터의 환경적 영향에 대한 인식이 성장하면서 데이터센터의 효율성 지표에 대한 필요를 중심으로 다양한 활동이 이루어지고 있다.
제안된 것으로는 PUE(Power Usage Effectiveness), DCiE(Data Center infrastructure Efficiency), 제공되는 전체적인 설비 전력과 이용할 수 있는 IT장비 전력 사이의 직접적인 관계를 규명하려는 시도 등이 있다. 비록 이런 지표들은 데이터센터 사이의 목적 비교를 위한 높은 수준의 벤치마크를 제고하지만 시간이 지나면서 점진적으로 증가하는 효율성을 보여줄 수 있는 기준을 제공하지 못한다. 그리고 공급되는 전력의 효과적인 사용이 아니라 공급되는 전력과 소비되는 전력 사이의 차이만을 확인할 수 있을 뿐이다.
예를 들어, 데이터센터에 PUE 2.0의 평균값을 매길 수 있지만 해당 데이터센터의 관리자가 서버의 평균 활용도를 10%에서 60%로 향상시키기 위해 가상화를 사용하기로 결정한 경우, 데이터센터 자체는 기존의 자원을 더욱 효율적으로 사용하겠지만 전반적인 PUE는 전혀 바뀌지 않을 것이다.
에너지 소비를 바라보는 더욱 효과적인 방법은 기존 IT 장비의 성능과 비교하여 그 효과적인 에너지 사용을 분석하는 것이다. 이런 것들이 당연하게 들리겠지만 일반적인 x86 서버는 사용량이 극히 낮은 상태에서도 전체 전력 부하의 60~70%를 사용할 것이다. 활용도를 높이는 것은 소비되는 전원에 명목상의 효과밖에 갖지 못하지만 실제적인 KW당 성능에 상당한 영향을 갖는다.
IT 자원의 실제적인KW당 성능을 높이면 에너지 소비 개선(에너지 활용)과 향상된 처리량을 통한 기존 자산의 수명 연장 등 두 마리 토끼를 한 번에 잡을 수 있다. PPE(Power to Performance Effectiveness) 지표는 이런 효과를 실현하도록 설계되었다
[출처 : http://www.ciokorea.com/news/14431?page=0,3 ]
데이터센터의 환경적 영향에 대한 인식이 성장하면서 데이터센터의 효율성 지표에 대한 필요를 중심으로 다양한 활동이 이루어지고 있다.
제안된 것으로는 PUE(Power Usage Effectiveness), DCiE(Data Center infrastructure Efficiency), 제공되는 전체적인 설비 전력과 이용할 수 있는 IT장비 전력 사이의 직접적인 관계를 규명하려는 시도 등이 있다. 비록 이런 지표들은 데이터센터 사이의 목적 비교를 위한 높은 수준의 벤치마크를 제고하지만 시간이 지나면서 점진적으로 증가하는 효율성을 보여줄 수 있는 기준을 제공하지 못한다. 그리고 공급되는 전력의 효과적인 사용이 아니라 공급되는 전력과 소비되는 전력 사이의 차이만을 확인할 수 있을 뿐이다.
예를 들어, 데이터센터에 PUE 2.0의 평균값을 매길 수 있지만 해당 데이터센터의 관리자가 서버의 평균 활용도를 10%에서 60%로 향상시키기 위해 가상화를 사용하기로 결정한 경우, 데이터센터 자체는 기존의 자원을 더욱 효율적으로 사용하겠지만 전반적인 PUE는 전혀 바뀌지 않을 것이다.
에너지 소비를 바라보는 더욱 효과적인 방법은 기존 IT 장비의 성능과 비교하여 그 효과적인 에너지 사용을 분석하는 것이다. 이런 것들이 당연하게 들리겠지만 일반적인 x86 서버는 사용량이 극히 낮은 상태에서도 전체 전력 부하의 60~70%를 사용할 것이다. 활용도를 높이는 것은 소비되는 전원에 명목상의 효과밖에 갖지 못하지만 실제적인 KW당 성능에 상당한 영향을 갖는다.
IT 자원의 실제적인KW당 성능을 높이면 에너지 소비 개선(에너지 활용)과 향상된 처리량을 통한 기존 자산의 수명 연장 등 두 마리 토끼를 한 번에 잡을 수 있다. PPE(Power to Performance Effectiveness) 지표는 이런 효과를 실현하도록 설계되었다
[출처 : http://www.ciokorea.com/news/14431?page=0,3 ]
가트너, 향후 5년간 주목해야 할 10대 IT트렌드- 가상 데이터센터 발전
가상 데이터센터 발전
가상화의 3단계에 진입하면서(1단계: 메인프레임/유닉스, 2단계: 기본적인 x86) 우리는 가상화된 인스턴스의 비율이 높아질수록 연결된 분산형 네트워크 노트에서의 작업부하 모빌리티가 증가하고 패브릭(Fabric)과 클라우드 컴퓨팅이 성공할 수 있는 아키텍처로 입증되는 현실을 목격하고 있다. IT인프라를 가상화할수록 이를 재구성하게 된다. 우리는 ‘패브릭’이 결과적으로 최적의 경로를 생성하고 변화하는 환경에 맞춰 변화하며 어려운 매개변수 조정을 거치지 않고도 이런 것을 가능하게 하는 정책 규칙을 통해 자체적인 특성을 분석할 수 있는 지성을 갖게 될 미래에 더 많은 가능성을 목격할 수 있을 것이다. X86 가상화는 실제로 데이터센터의 현대화를 뒷받침하는 가장 중요한 기술적 혁신이다. 이를 통해 우리가 컴퓨터, 네트워크, 스토리지 구성요소의 역할을 보는 관점이 물리적 구성요소에서 논리적이며 독립적인 애플리케이션으로 크게 변화할 것이다.
[출처 : http://www.ciokorea.com/news/14431?page=0,3 ]
가트너, 향후 5년간 주목해야 할 10대 IT트렌드- 복잡성
복잡성
IT 내 복잡성의 원천은 찾아내기가 어렵지 않다. 여기에는 오라클의 데이터베이스를 시작하기 위한 투입요소에 대한 많은 초기화 매개변수(1,600)와 시스코의 스위치를 사용하기 위한 많은 분량의 매뉴얼(2,300)이 포함된다. 하지만 VM웨어에서 구동하는 마이크로소프트 익스체인지(Microsoft Exchange) 등 다양한 요소를 조합하려 할 때는 복잡성이 증가하게 된다. 그리고 투자의 가치를 완벽하게 실현할 수 없다는 사실로 인해 복잡성이 더욱 악화된다. 역사적인 연구에 따르면 IT부서들은 실제 시스템이 제공하는 기능의 약 20%만을 사용한다고 한다. 따라서 ‘시스템 유지’에 대한 높은 유지보수 비용으로 인해 프로젝트에 필요한 (비즈니스 경쟁력을 제고할 수 있는) 재정지원을 받지 못하게 되어 상당한 수준의 IT 부채가 발생한다.
[출처 : http://www.ciokorea.com/news/14431?page=0,3 ]
IT 내 복잡성의 원천은 찾아내기가 어렵지 않다. 여기에는 오라클의 데이터베이스를 시작하기 위한 투입요소에 대한 많은 초기화 매개변수(1,600)와 시스코의 스위치를 사용하기 위한 많은 분량의 매뉴얼(2,300)이 포함된다. 하지만 VM웨어에서 구동하는 마이크로소프트 익스체인지(Microsoft Exchange) 등 다양한 요소를 조합하려 할 때는 복잡성이 증가하게 된다. 그리고 투자의 가치를 완벽하게 실현할 수 없다는 사실로 인해 복잡성이 더욱 악화된다. 역사적인 연구에 따르면 IT부서들은 실제 시스템이 제공하는 기능의 약 20%만을 사용한다고 한다. 따라서 ‘시스템 유지’에 대한 높은 유지보수 비용으로 인해 프로젝트에 필요한 (비즈니스 경쟁력을 제고할 수 있는) 재정지원을 받지 못하게 되어 상당한 수준의 IT 부채가 발생한다.
[출처 : http://www.ciokorea.com/news/14431?page=0,3 ]
가트너, 향후 5년간 주목해야 할 10대 IT트렌드- 어플라이언스 열기
어플라이언스 열기
일반적으로 기업들은 애플리케이션과 기능 요건에 간섭받지 않는 솔루션을 제공받을 때 장비에 매료되지만 관리를 위한 추가적인 투자(시간 또는 소프트웨어)가 필요할 때는 장비 때문에 문제를 겪는다. 따라서, 성공적인 제품은 비용 효율적인 애플리케이션 솔루션을 제공할 뿐 아니라 관리에 대한 간접비를 최소화해야 한다.
역사적으로 많은 성공과 실패를 거듭했지만 IT업체들은 시장에 지속적으로 장비를 도입하고 있다. 왜냐하면 장비는 업체들이 솔루션 스택(Stack)에 대한 더 큰 통제권을 확보하고 규모면에서 더 큰 마진을 얻을 수 있는 특별한 기회를 의미하기 때문이다. 다시 말해서, 단기적으로 장비가 사라질 가능성은 전무하다. 하지만 새로운 점은 가상 장비가 도입된다는 것이다. 가상의 장비를 통해 서버 업체들은 통제된 환경에서 실제적인 하드웨어를 제공할 필요 없이 완전한 솔루션 스택을 제공할 수 있다. 현재 가상의 장비에 대한 인기가 날로 더해가고 있으며 향후 5년 동안 광범위한 가상 장비 서비스가 등장할 것으로 기대되고 있다. 하지만 가상 장비에 대한 필요성 때문에 물리적 장비에 대한 필요성이 사라지지는 않을 것이다. 물리적 보안, 특화된 하드웨어 요건, 생태계 관계 등의 문제들이 지속적으로 물리적 요건을 발생시킬 것이다.
장비와 관련된 전문용어가 사용되면서 일부 물리적 장비 업체와 사용자들 사이에 불안이 고조되고 있다. 엄격히 말해서 오라클의 엑사데이터(Exadata) 또는 VCE V블록(Vblock) 등의 긴밀히 통합된 플랫폼은 진정한 의미의 장비가 아니다. 심지어 소프트웨어 스택이 통합되더라도 일정 수준의 환경설정 및 튜닝을 필요로 하는 제조사 통합 시스템이 존재한다. 이런 것들은 피자 상자처럼 얇은 컴퓨터 본체에는 절대 들어맞지 않는다. 하지만 이런 시스템을 장비로서 소비하지는 않겠지만 장비와 매우 유사한 방식으로 패키지화되고 판매될 것이다. 설정된 일련의 서비스만을 제공할 수 있는 플러그 앤 플레이(Plug & Play) 기기 등 이 개념에 좀 더 충실한 많은 물리적 장비도 존재할 것이다.
[출처 : http://www.ciokorea.com/news/14431?page=0,3 ]
가트너, 향후 5년간 주목해야 할 10대 IT트렌드- IOT(Internet of Things)
IOT(Internet of Things)
이것은 소비자 기기와 물리적 자산 등의 물리적 기기가 인터넷에 연결되면서 인터넷이 어떻게 확장될 지를 설명하는 개념이다. 그 비전과 개념은 수 년 동안 지속되어 왔지만 연결되는 사물의 수와 종류 그리고 확인, 감지, 통신을 위한 기술의 발전이 가속화되었다. IOT의 주요 이점은 다음과 같다.
-임베디드형 센서: 변경사항을 감지하고 통신하는 센서(예 - 가속도계, GPS, 나침반, 카메라)는 모바일 기기뿐만이 아니라 점차 많은 장소 및 객체에 내장되어 있다.
-이미지 인식: 이미지 인식 기술은 소비자와 기업에 가치가 있는 객체, 사람, 건물, 장소, 로고 등을 인식하기 위해 노력하고 있다. 스마트폰과 태블릿 등 카메라가 탑재된 기기 덕분에 주로 산업 분야에 적용되던 이 기술이 광범위한 소비자 및 기업용 애플리케이션으로까지 확산되고 있다.
-NFC 결제: NFC를 통해 사용자들은 호환되는 단말기 앞에서 자신의 휴대폰을 흔들어 대금을 결제할 수 있다. 일단, 결제를 위해 NFC가 휴대폰에 적용되면, 대중교통, 항공, 소매, 의료 등의 산업분야에서 NFC가 효율성과 고객 서비스를 향상시킬 수 있는 다른 영역을 연구할 수 있게 된다.
[출처 : http://www.ciokorea.com/news/14431?page=0,3 ]
이것은 소비자 기기와 물리적 자산 등의 물리적 기기가 인터넷에 연결되면서 인터넷이 어떻게 확장될 지를 설명하는 개념이다. 그 비전과 개념은 수 년 동안 지속되어 왔지만 연결되는 사물의 수와 종류 그리고 확인, 감지, 통신을 위한 기술의 발전이 가속화되었다. IOT의 주요 이점은 다음과 같다.
-임베디드형 센서: 변경사항을 감지하고 통신하는 센서(예 - 가속도계, GPS, 나침반, 카메라)는 모바일 기기뿐만이 아니라 점차 많은 장소 및 객체에 내장되어 있다.
-이미지 인식: 이미지 인식 기술은 소비자와 기업에 가치가 있는 객체, 사람, 건물, 장소, 로고 등을 인식하기 위해 노력하고 있다. 스마트폰과 태블릿 등 카메라가 탑재된 기기 덕분에 주로 산업 분야에 적용되던 이 기술이 광범위한 소비자 및 기업용 애플리케이션으로까지 확산되고 있다.
-NFC 결제: NFC를 통해 사용자들은 호환되는 단말기 앞에서 자신의 휴대폰을 흔들어 대금을 결제할 수 있다. 일단, 결제를 위해 NFC가 휴대폰에 적용되면, 대중교통, 항공, 소매, 의료 등의 산업분야에서 NFC가 효율성과 고객 서비스를 향상시킬 수 있는 다른 영역을 연구할 수 있게 된다.
[출처 : http://www.ciokorea.com/news/14431?page=0,3 ]
가트너, 향후 5년간 주목해야 할 10대 IT트렌드- 클라이언트 서버
클라이언트 서버
지난 25년간의 PC 세상에서 운영체제와 애플리케이션은 기본적으로 데스크톱에 설치 돼 있었다(ERP 등의 일부 복잡한 대형 애플리케이션은 클라이언트에서 원격으로 접속할 수 있는 서버에 있었다). 오늘날, 모든 것들이 변화하고 있다. 애플리케이션뿐 아니라 운영체제도 PC 또는 서버에서 실행하거나 필요한 경우에 PC로 스트림(Stream) 처리할 수 있다. 아키텍처의 선택은 사용자의 필요와 이행을 위한 기간에 따라 달라진다. 더 이상 획일적인 크기로 모든 것을 해결할 수 없다.
윈도우 8 배치의 경우, 90%의 기업들이 광범위한 규모의 배치를 우회할 것이며 특정 플랫폼을 위한 최적화된 윈도우 8 배치에 초점을 맞출 것이다 (예 - 모바일과 태블릿). 서버는 장기적인 혁신의 과정을 겪고 있다. 서버는 단독형에서 랙 캐비넷(Rack Cabinet)에 탑재된 폼 팩터(From Factor)로 전환되고 있다. x86 서버 하드웨어의 최신 혁신은 블레이드 서버다. 이를 통해 랙 캐비넷에 위치한 내부적인 주변기기가 탑재된 싱글 서버가 공유된 백 플레인(Back Plain)과 냉각 및 전원을 가진 단일 섀시에 위치한 다수의 더욱 밀집된 서버로 탈바꿈했다. 진정한 구성요소의 서례로 프로세서, 메모리, 스토리지, I/O 구성요소 등의 좀 더 세부적인 구성품의 독립적인 추가가 가능하게 되었다.
블레이드 서버 시장이 성장하면서 서버 제공업체들은 블레이드 서버를 서버 발전에 있어서 차기의 가장 발전된 기술 또는 심지어 궁극적인 서버 솔루션으로 홍보하려 하고 있다. 블레이드 서버, 랙, 스킨레스(Skinless) 서버의 진정한 장점이 무엇인지 밝히기 위해서는 필요한 밀도, 전원/냉각 효율 요건, 높은 이용성, 작업 부하 등 다양한 요소를 더욱 심도 있게 시험해야 한다. 기기의 사용이 증가하고 특수한 서버(예 - 분석 플랫폼)가 등장하면서 다양한 방향으로 발전이 이루어질 것이다.
[출처 : http://www.ciokorea.com/news/14431?page=0,2 ]
지난 25년간의 PC 세상에서 운영체제와 애플리케이션은 기본적으로 데스크톱에 설치 돼 있었다(ERP 등의 일부 복잡한 대형 애플리케이션은 클라이언트에서 원격으로 접속할 수 있는 서버에 있었다). 오늘날, 모든 것들이 변화하고 있다. 애플리케이션뿐 아니라 운영체제도 PC 또는 서버에서 실행하거나 필요한 경우에 PC로 스트림(Stream) 처리할 수 있다. 아키텍처의 선택은 사용자의 필요와 이행을 위한 기간에 따라 달라진다. 더 이상 획일적인 크기로 모든 것을 해결할 수 없다.
윈도우 8 배치의 경우, 90%의 기업들이 광범위한 규모의 배치를 우회할 것이며 특정 플랫폼을 위한 최적화된 윈도우 8 배치에 초점을 맞출 것이다 (예 - 모바일과 태블릿). 서버는 장기적인 혁신의 과정을 겪고 있다. 서버는 단독형에서 랙 캐비넷(Rack Cabinet)에 탑재된 폼 팩터(From Factor)로 전환되고 있다. x86 서버 하드웨어의 최신 혁신은 블레이드 서버다. 이를 통해 랙 캐비넷에 위치한 내부적인 주변기기가 탑재된 싱글 서버가 공유된 백 플레인(Back Plain)과 냉각 및 전원을 가진 단일 섀시에 위치한 다수의 더욱 밀집된 서버로 탈바꿈했다. 진정한 구성요소의 서례로 프로세서, 메모리, 스토리지, I/O 구성요소 등의 좀 더 세부적인 구성품의 독립적인 추가가 가능하게 되었다.
블레이드 서버 시장이 성장하면서 서버 제공업체들은 블레이드 서버를 서버 발전에 있어서 차기의 가장 발전된 기술 또는 심지어 궁극적인 서버 솔루션으로 홍보하려 하고 있다. 블레이드 서버, 랙, 스킨레스(Skinless) 서버의 진정한 장점이 무엇인지 밝히기 위해서는 필요한 밀도, 전원/냉각 효율 요건, 높은 이용성, 작업 부하 등 다양한 요소를 더욱 심도 있게 시험해야 한다. 기기의 사용이 증가하고 특수한 서버(예 - 분석 플랫폼)가 등장하면서 다양한 방향으로 발전이 이루어질 것이다.
[출처 : http://www.ciokorea.com/news/14431?page=0,2 ]
가트너, 향후 5년간 주목해야 할 10대 IT트렌드- 하이브리드 클라우드
하이브리드 클라우드
IT업체들이 많은 구식 기술과 서비스를 위한 마케팅의 수단으로 클라우드 컴퓨팅을 사용하면서 이 용어와 트렌드가 평가 절하되고 있다. 비록 클라우드 컴퓨팅이 다양한 기업 및 웹 기반 기술과 트렌드의 자연스러운 발전이라고는 하지만 단순히 이런 구식 기술의 이름을 ‘클라우드 컴퓨팅’이라고 바꾸는 것은 실수다. 이 새로운 컴퓨팅 모델은 솔루션을 설계하고 구축하며 제공하고 자원을 확보하고 관리하는 방식을 혁신적으로 변화시킨다.
클라우드 컴퓨팅은 인터넷과 해당 업체에 큰 영향을 받고 있다. 구글과 같은 기업들은 신뢰할 수 있는 하드웨어보다는 소프트웨어 기법을 통해 제공되는 신뢰성을 통해 자동화된 거대한 병렬 아키텍처에 구축된 다양한 서비스를 제공하고 있다. 비용은 중소기업들에게 잠재적인 장점이 될 수 있지만 클라우드 컴퓨팅의 가장 큰 장점은 내재된 탄력성과 확장성이다. 기업들은 진입 장벽을 낮추고 신속하게 성장할 수 있기 때문이다. 하이브리드 클라우드 서비스는 기존의 기능을 넘어서는 향상된 기능(서비스 통합, 맞춤 개발, 두 가지 이상의 서비스 통합) 또는 추가적인 기능을 위해 결합되는 서비스의 집합체다.
하이브리드 데이터센터에서 애플리케이션의 임계성 및 국지성의 관점에서 성장을 바라보는 트렌드가 등장하고 있다. 한 예로, 데이터센터가 한계에 가까워질 때, 신규 데이터센터를 구축하기보다는 해당 기업에 대한 임계성, 손실 위험, 마이그레이션의 용이성에 기반해 작업부하를 평가하고 일부 작업부하를 같은 곳에 위치한 설비, 호스팅, 심지어 클라우드 유형의 서비스로 옮길지 여부를 결정한다. 이를 통해 기존의 데이터센터에서 확장 문제를 해결하고 잠재적으로 수 년 동안 재정 지출을 연기하면서 미래의 성장을 위한 영역을 확보할 수 있다. 오래된 데이터센터의 경우, 그 대안으로 중요한 작업을 다른 곳으로 옮겨 다운타임의 위험과 비즈니스 중단 사태를 감소시키면서 (중요하지 않은) 추가적인 작업 또는 속도가 느린 새로운 프로젝트를 위한 역량을 확보할 수 있다.
[출처 : http://www.ciokorea.com/news/14431?page=0,1 ]
가트너, 향후 5년간 주목해야 할 10대 IT트렌드- 더 커진 데이터와 스토리지
더 커진 데이터와 스토리지
현재 데이터센터에서는 데이터의 성장세가 수그러들 기미를 보이지 않고 있다. IT의 입장에서 중요한 것은 문제에 대한 인식이 아니라 문제의 우선순위를 정하는 것이다. 우리는 이런 문제를 해결하기 위해 오랜 시간을 투자했으며 지금까지 살아남았고, 일반적으로 스토리지 관리 프로젝트는 톱다운(Top-Down) 방식이 아니라 기초부터 시작되면서 많은 부분들이 장기적인 재정 지원이 거의 확보되지 않는 ‘작은 실험실’로 전락하게 된다.
선두 기업들은 이런 문제를 인식하고 공간 및 에너지 사용량을 감소시키고 규제를 준수하며 데이터센터 가용량 증가에 대한 통제력을 향상시키기 위한 수단으로 스토리지 활용 및 관리에 초점을 맞추기 시작했다. 향후 5년 동안 대부분의 성장은 처리 또는 툴의 관점에서 관리하기 어려운, 정형화되지 않은 데이터에서 나타날 것이기 때문에 지금이 적기라 할 수 있다. 향후 5년 동안 중요해질 기술로는 즉각적인 중복 제거, 킬로와트(KW)당 가장 효율적인 사용 패턴을 알아내기 위한 자동화된 데이터 계층화, 더욱 뛰어난 성능 최적화를 위한 플래시 또는 SSD 드라이브, 에너지 비용 절감 등이 있다. 낸드(NAND)의 경우, 1997년에는 기가바이트당 7,870달러였던 가격이 현재는 1.25달러로 낮아지는 등 가격이 빠른 속도로 안정화되고 있으며 이런 추세는 앞으로도 계속될 것이다.
[출처 : http://www.ciokorea.com/news/14431?page=0,1 ]
현재 데이터센터에서는 데이터의 성장세가 수그러들 기미를 보이지 않고 있다. IT의 입장에서 중요한 것은 문제에 대한 인식이 아니라 문제의 우선순위를 정하는 것이다. 우리는 이런 문제를 해결하기 위해 오랜 시간을 투자했으며 지금까지 살아남았고, 일반적으로 스토리지 관리 프로젝트는 톱다운(Top-Down) 방식이 아니라 기초부터 시작되면서 많은 부분들이 장기적인 재정 지원이 거의 확보되지 않는 ‘작은 실험실’로 전락하게 된다.
선두 기업들은 이런 문제를 인식하고 공간 및 에너지 사용량을 감소시키고 규제를 준수하며 데이터센터 가용량 증가에 대한 통제력을 향상시키기 위한 수단으로 스토리지 활용 및 관리에 초점을 맞추기 시작했다. 향후 5년 동안 대부분의 성장은 처리 또는 툴의 관점에서 관리하기 어려운, 정형화되지 않은 데이터에서 나타날 것이기 때문에 지금이 적기라 할 수 있다. 향후 5년 동안 중요해질 기술로는 즉각적인 중복 제거, 킬로와트(KW)당 가장 효율적인 사용 패턴을 알아내기 위한 자동화된 데이터 계층화, 더욱 뛰어난 성능 최적화를 위한 플래시 또는 SSD 드라이브, 에너지 비용 절감 등이 있다. 낸드(NAND)의 경우, 1997년에는 기가바이트당 7,870달러였던 가격이 현재는 1.25달러로 낮아지는 등 가격이 빠른 속도로 안정화되고 있으며 이런 추세는 앞으로도 계속될 것이다.
[출처 : http://www.ciokorea.com/news/14431?page=0,1 ]
가트너, 향후 5년간 주목해야 할 10대 IT트렌드- SDN : Software Defined Networks
소프트웨어 정의 네트워크(SDN : Software Defined Networks)
SDN은 서버 가상화가 서버를 추상화하는 것과 마찬가지로 네트워크를 추상화하는 수단이다. 이것은 네트워크 위상을 시간 환경에서의 박스(Box)/포트(Port)를 애플리케이션과 관계된 한 순간의 흐름으로 변화시킨다. 서버를 추상화하는 하이퍼바이저(Hypervisor)처럼 네트워크를 추상화하면서 계획에 따른 통제력을 제공한다. SDN을 통해 제어장치는 전체 네트워크 위상에서 스위치, 방화벽, ADC 등의 가상 및 물리적 구성요소를 확인할 수 있으며 애플리케이션 및 운영자가 필요로 하는 네트워크 연결 및 서비스를 제공하고 관리하는데 대한 추상적인 관점을 제공한다.
오픈플로우(OpenFlow)는 어떤 네트워크 운영자든 기관의 애플리케이션 요건에 기반하여 자신만의 통제 및 관리 계획을 세우는데 사용할 수 있는 포괄적인 API를 제공하는 일반화된 네트워크 터널링(Tunneling) 프로토콜의 좋은 예이다. 그리고 프로토콜, 기기, 링크 기반 사고방식의 전통적인 네트워크 패러다임보다는 애플리케이션 수준의 로직(Logic)으로부터 다시 설계된 다른 오픈플로우 타입의 SDN 프로토콜도 생겨날 것이다.
오픈플로우처럼 압축되어 사용될 때, SDN은 프라이빗 클라우드를 하이브리드 모델과 클라우드 업체의 인프라에서 얻을 수 있는 기업 전용 IP 주소로까지 역학적으로 확장하는데 사용될 수 있다. 또한 SDN을 통해 서비스 제공업체들은 잠재적으로 다중 제공업체/멀티벤더 네트워크에서 역학적으로 제공되는 WAN 서비스를 제공할 수 있을 것이다. 물론, 전통적인 네트워크 기술이 변화하면서 기관 내에 상당한 혼란이 야기될 가능성이 있으며, 특정 업체의 제품 또는 플랫폼과의 관계도 약화될 것이다.
[출처 : http://www.ciokorea.com/news/14431?page=0,0 ]
SDN은 서버 가상화가 서버를 추상화하는 것과 마찬가지로 네트워크를 추상화하는 수단이다. 이것은 네트워크 위상을 시간 환경에서의 박스(Box)/포트(Port)를 애플리케이션과 관계된 한 순간의 흐름으로 변화시킨다. 서버를 추상화하는 하이퍼바이저(Hypervisor)처럼 네트워크를 추상화하면서 계획에 따른 통제력을 제공한다. SDN을 통해 제어장치는 전체 네트워크 위상에서 스위치, 방화벽, ADC 등의 가상 및 물리적 구성요소를 확인할 수 있으며 애플리케이션 및 운영자가 필요로 하는 네트워크 연결 및 서비스를 제공하고 관리하는데 대한 추상적인 관점을 제공한다.
오픈플로우(OpenFlow)는 어떤 네트워크 운영자든 기관의 애플리케이션 요건에 기반하여 자신만의 통제 및 관리 계획을 세우는데 사용할 수 있는 포괄적인 API를 제공하는 일반화된 네트워크 터널링(Tunneling) 프로토콜의 좋은 예이다. 그리고 프로토콜, 기기, 링크 기반 사고방식의 전통적인 네트워크 패러다임보다는 애플리케이션 수준의 로직(Logic)으로부터 다시 설계된 다른 오픈플로우 타입의 SDN 프로토콜도 생겨날 것이다.
오픈플로우처럼 압축되어 사용될 때, SDN은 프라이빗 클라우드를 하이브리드 모델과 클라우드 업체의 인프라에서 얻을 수 있는 기업 전용 IP 주소로까지 역학적으로 확장하는데 사용될 수 있다. 또한 SDN을 통해 서비스 제공업체들은 잠재적으로 다중 제공업체/멀티벤더 네트워크에서 역학적으로 제공되는 WAN 서비스를 제공할 수 있을 것이다. 물론, 전통적인 네트워크 기술이 변화하면서 기관 내에 상당한 혼란이 야기될 가능성이 있으며, 특정 업체의 제품 또는 플랫폼과의 관계도 약화될 것이다.
[출처 : http://www.ciokorea.com/news/14431?page=0,0 ]
가트너, 향후 5년간 주목해야 할 10대 IT트렌드- 혼란(Disruption)
혼란(Disruption)
비즈니스 사용자들은 소비자 기반의 애플리케이션과 서비스에서 경험한 것과 동일한 수준의 IT 성능과 지원을 기대하고 있다. 비즈니스 사용자들의 고객 만족에 대한 기대치는 IT지원 부서가 제공할 수 있는 것보다 훨씬 높다.
IT부서들은 반드시 IT서비스 창구에서 일하는 분석가의 기술과 자질 발전에 투자하고 적절히 관리하여 기관의 나머지 부분들이 인지하는 IT의 가치를 향상시켜야 한다.
비즈니스 사용자들의 만족도는 가변적인 목표일 수 있지만 IT서비스 창구에서 높은 생산성을 달성하게 되면, IT부서가 비즈니스를 중요시 여기며 사용자들이 목표와 목적을 달성하는데 물심양면으로 도울 준비가 되어있다는 것을 보여줄 수 있다.
전통적인 교육, 절차, 보안 접근, 지식관리, 스크립트에 대한 초점은 보장되는 반면에 비즈니스의 필요와 기대를 더욱 효율적으로 충족시키기 위해서는 차세대 지원에 대한 초점이 더욱 중요할 것이다.
[출처 : http://www.ciokorea.com/news/14431?page=0,0 ]
비즈니스 사용자들은 소비자 기반의 애플리케이션과 서비스에서 경험한 것과 동일한 수준의 IT 성능과 지원을 기대하고 있다. 비즈니스 사용자들의 고객 만족에 대한 기대치는 IT지원 부서가 제공할 수 있는 것보다 훨씬 높다.
IT부서들은 반드시 IT서비스 창구에서 일하는 분석가의 기술과 자질 발전에 투자하고 적절히 관리하여 기관의 나머지 부분들이 인지하는 IT의 가치를 향상시켜야 한다.
비즈니스 사용자들의 만족도는 가변적인 목표일 수 있지만 IT서비스 창구에서 높은 생산성을 달성하게 되면, IT부서가 비즈니스를 중요시 여기며 사용자들이 목표와 목적을 달성하는데 물심양면으로 도울 준비가 되어있다는 것을 보여줄 수 있다.
전통적인 교육, 절차, 보안 접근, 지식관리, 스크립트에 대한 초점은 보장되는 반면에 비즈니스의 필요와 기대를 더욱 효율적으로 충족시키기 위해서는 차세대 지원에 대한 초점이 더욱 중요할 것이다.
[출처 : http://www.ciokorea.com/news/14431?page=0,0 ]
2012년 10월 26일 금요일
가트너가 선정한 2013년 전략적 기술 및 트렌드
1. 모바일 기기 전쟁 '
2. 모바일 애플리케이션과 HTML5
3. 퍼스널 클라우드
4. 기업용 앱 스토어
5. IoT(Internet of Things)
6. 하이브리드 IT 및 클라우드 컴퓨팅
7. 전략적 빅데이터 △실행 가능한 분석
8. 인 메모리 컴퓨팅
9. 통합 에코시스템
2012년 10월 20일 토요일
빅데이터와 하둡 개요
하둡은 구글의 분산파일시스템과 맵리듀스의 오픈소스 구현체이다. 2006년 아파치 검색엔진 프로젝트의 Nutch의 서브 프로젝트로 시작되었으며 창시자는 더그커팅이다. 2007년부터 야후에서는 하둡 창시자의 더그커팅과 주요 오픈소스 개발자들을 고용하면서 하둡 프로젝트에 전폭적인 지원을 하게 되었다.
빅데이터와 하둡빅데이터 처리 기술은 크게 분석인프라, 분석 기술, 표현 기술 등으로 분류해 볼 수 있다. 분석 기술은 데이터를 분석하는 기술과 방법을 의미하며, 통계, 데이터마이닝, 기계학습, 자연어처리, 패턴인식 등이 이에 해당한다.
표현 기술은 일반적으로 데이터 시각화로 알려져 있으며, 분석된 데이터의 특징이나 의미를 쉽게 이해할 수 있도록 잘 표현해 주는 기술이다.
분석 인프라는 분석과 표현을 수행할 수 있도록 해주는 기반 기술과 플랫폼들이라고 할 수 있으며, 이러한 분석 인프라는 다시 대규모 데이터를 안정적으로 수집해서 저장하는 기술, 저장된 것을 효과적이면서도 빠르게 처리할 수 있는 기술, 저장된 데이터를 다양한 방식과 용도로 사용할 수 있도록 가공하고 관리해 주는 기술 등으로 나누어 볼 수 있다.
비즈니스인텔리전스, 데이터웨어하우징, 클라우드 컴퓨팅, 분산 데이터베이스(NoSQL), 분산 병렬처리(하둡 맵리듀스), 분산파일시스템 등이 분석 인프라에 해당하는 기술들이다. 빅데이터 얘기가 나오면 빠지지 않고 나오는 솔루션인 하둡은 빅데이터의 분석 인프라에 속하는 기술로서 대용량의 비정형 데이터를 분석하고 저장하는 데 많이 활용되고 있다. 이미 많은 글로벌 기업들이 분석인프라 기술로 하둡을 사용하고 있으며, 하둡 자체를 솔루션화해서 사업을 하는 기업도 점점 더 늘고 있다. 그 만큼 성능과 안정성이 검증된 기술이라고 할 수 있다.
하둡이 대규모의 비정형 데이터 분석을 배치로 처리하는 데 주로 사용된다고 했는데, 실제 빅데이터 시스템을 구축한다고 하면, 비정형 분석뿐만 아니라, 데이터의 실시간 분석, 정형 데이터 처리, 다양한 분석 알고리즘, 웍 플로우(Workflow), 시각화(Visualization) 같은 기술이 필요하다. 이러한 주요 기술들 중 상당 부분은 이미 다양한 오픈소스 프로젝트의 형태로 개발이 되어서 바로 활용 가능한 수준이며 이러한 기술들의 집합을 하둡 에코시스템 또는 빅데이터 에코시스템으로 표현을 하기도 한다
이러한 빅데이터 생태계에서 하둡의 위치는, 시스템의 운영체제로 생각해 볼 수 있다. 운영 체제만으로는 시스템을 완성하기 힘들다. 하나의 시스템을 구축하기 위해서는 운영체제 외에도 개발환경도 있어야 하고 다양한 도구와 라이브러리들도 필요하다. 이러한 다양한 도구와 라이브러리들이 하둡 에코시스템의 솔루션들이라고 할 수 있다. 지금은 하둡 자체 보다 더 강력한 솔루션으로 발전하고 있는 이러한 에코시스템 기술들을 잘 이해하고 필요 시 활용할 수 있다면, 빅데이터 처리를 위한 준비는 충분히 되었다고 할 수 있다.
빅데이터와 하둡빅데이터 처리 기술은 크게 분석인프라, 분석 기술, 표현 기술 등으로 분류해 볼 수 있다. 분석 기술은 데이터를 분석하는 기술과 방법을 의미하며, 통계, 데이터마이닝, 기계학습, 자연어처리, 패턴인식 등이 이에 해당한다.
표현 기술은 일반적으로 데이터 시각화로 알려져 있으며, 분석된 데이터의 특징이나 의미를 쉽게 이해할 수 있도록 잘 표현해 주는 기술이다.
분석 인프라는 분석과 표현을 수행할 수 있도록 해주는 기반 기술과 플랫폼들이라고 할 수 있으며, 이러한 분석 인프라는 다시 대규모 데이터를 안정적으로 수집해서 저장하는 기술, 저장된 것을 효과적이면서도 빠르게 처리할 수 있는 기술, 저장된 데이터를 다양한 방식과 용도로 사용할 수 있도록 가공하고 관리해 주는 기술 등으로 나누어 볼 수 있다.
비즈니스인텔리전스, 데이터웨어하우징, 클라우드 컴퓨팅, 분산 데이터베이스(NoSQL), 분산 병렬처리(하둡 맵리듀스), 분산파일시스템 등이 분석 인프라에 해당하는 기술들이다. 빅데이터 얘기가 나오면 빠지지 않고 나오는 솔루션인 하둡은 빅데이터의 분석 인프라에 속하는 기술로서 대용량의 비정형 데이터를 분석하고 저장하는 데 많이 활용되고 있다. 이미 많은 글로벌 기업들이 분석인프라 기술로 하둡을 사용하고 있으며, 하둡 자체를 솔루션화해서 사업을 하는 기업도 점점 더 늘고 있다. 그 만큼 성능과 안정성이 검증된 기술이라고 할 수 있다.
하둡이 대규모의 비정형 데이터 분석을 배치로 처리하는 데 주로 사용된다고 했는데, 실제 빅데이터 시스템을 구축한다고 하면, 비정형 분석뿐만 아니라, 데이터의 실시간 분석, 정형 데이터 처리, 다양한 분석 알고리즘, 웍 플로우(Workflow), 시각화(Visualization) 같은 기술이 필요하다. 이러한 주요 기술들 중 상당 부분은 이미 다양한 오픈소스 프로젝트의 형태로 개발이 되어서 바로 활용 가능한 수준이며 이러한 기술들의 집합을 하둡 에코시스템 또는 빅데이터 에코시스템으로 표현을 하기도 한다
이러한 빅데이터 생태계에서 하둡의 위치는, 시스템의 운영체제로 생각해 볼 수 있다. 운영 체제만으로는 시스템을 완성하기 힘들다. 하나의 시스템을 구축하기 위해서는 운영체제 외에도 개발환경도 있어야 하고 다양한 도구와 라이브러리들도 필요하다. 이러한 다양한 도구와 라이브러리들이 하둡 에코시스템의 솔루션들이라고 할 수 있다. 지금은 하둡 자체 보다 더 강력한 솔루션으로 발전하고 있는 이러한 에코시스템 기술들을 잘 이해하고 필요 시 활용할 수 있다면, 빅데이터 처리를 위한 준비는 충분히 되었다고 할 수 있다.
빅데이터 프로젝트 성공 전략 - 시작 단계에서 주의해야 할 점
빅데이터 프로젝트는 “빅” 데이터라는 타이틀에 걸맞게끔 대규모의 다양한, 그리고 시의적절한 데이터를 다룰 수 있는 충분한 파워의 분석 툴, 프레임워크를 제공하는 것 이상의 정확성을 요구한다. 많은 조직들이 직면한 문제 중 하나는 대부분의 조직에 공통된 이슈를 정의한, 일관되고 유용한 베스트 프랙티스 가이드가 부족하다는 것이다.
비즈니스 데이터 분석의 한 종류로서 빅데이터는 새롭고 아직 잘 정의되지 않았으며 관련 툴들은 아직 미완성 단계다. 빅데이터의 투자회수(ROI)나 가치 제안, 빅데이터의 혜택을 받도록 해주는 툴 등 불확실성이 팽배하다. 인포메이션위크에서는 빅데이터 프로젝트를 성공으로 이끌기 위해 시작 단계에서 주의해야 할 점을 여러 컨설팅 업체들의 조언을 통해 소개했다.
1. 툴 또는 데이터, 어디에서 무엇이 빠졌는지 규명하라
빅데이터 프로젝트에서 큰 갭은 데이터를 수집, 중복제거하며 태깅하고 새로운 유형의 메타데이터를 처리하는 툴에 있다. 이 툴은 빅데이터를 가치있게 하며 맥락화할 수 있게 해준다.
텍스트 메시지의 데이터베이스, 자산관리 정보, 사용자에 의해 모바일로 생성된 기타 콘텐츠들에 위치 데이터를 결합하면 대단히 유용해질 수 있다. 그러나 극히 일부 분석 툴 또는 데이터 관리 툴만이 스마트폰의 GPS 칩으로부터 데이터를 모으고 기존 DB와 결합하는 기능을 제공한다.
2. 기업이 보유한 데이터와 기업에게 필요한 데이터를 이해하라
빅데이터 프로젝트를 복잡하게 만드는 또 다른 요인은 사용 가능한 데이터들을 평가하고 리포팅하는 것이다. 전통적인 개발 프로세스와는 반대로 빅데이터에서는 이런 일련의 일들이 프로젝트 요구사항을 수집하기 위해 엔드유저들에게 접근하기 이전에 수행된다.
3. 기업이 성취하려고 하는 바를 알아야 한다
명료하고 이해하기 쉬운 비즈니스 요구사항을 생성하는 것이다. 요구사항이 명료하지 않으면 프로젝트를 완료하는 데 소요되는 시간 계획이나 세부 단계를 세울 수 없다. 임직원들에게 유용한 스킬이나 트레이닝이 무엇인지도 물론 파악하기 어렵다.
4. 데이터 사이언티스트를 찾아 고용하라
어떤 빅데이터 프로젝트에서도 성공을 위해서는 다양한 형태, 다양한 소스들로부터 데이터를 정의, 이해하며 관리하고 상황에 맞춰 해석하는(contextualize) 능력이다. 대부분의 IT부서, 나아가 대부분의 기업에서 이러한 직무는 한 단어로 귀결된다. 바로 데이터 사이언티스트다.
실패한 비즈니스 인텔리전스(BI) 프로젝트에서 45%가 실패의 원인으로 스태프의 데이터 전문성 부족을 꼽았다. 빅데이터 프로젝트는 BI 프로젝트보다 훨씬 더 엄격히 데이터 전문성을 요구한다. 전문성 결여에 따른 실패율이 더 높기 때문이다.
IBM의 정의에 따르면 데이터 사이언스는 컴퓨터 사이언스, 애플리케이션, 데이터 모델링, 통계학, 분석학, 고급수학의 훈련을 요구한다. 또 비즈니스 프로세스 혹은 비즈니스 매니지먼트 훈련도 요구된다. 조직의 요구 사항을 규정하고 그에 맞는 데이터를 찾기 위해서다.
5. 속도를 이해하고 기대치를 관리하라
빅데이터에서 데이터의 신속한 획득과 분석은 중요한 요소다. 빅데이터 시스템은 쉽고 빠르게 적용할 수 있어야 한다. 전형적인 데이터 프로젝트들 대부분은 18~24개월의 개발 주기를 가진다. 그러나 빅데이터 프로젝트에는 이 주기를 적용할 수 없다. 빅데이터 프로젝트는 3~6개월 주기로 데이터의 유형이나 소스가 변경될 수 있어야 한다.
적절한 빅데이터 분석을 위해 데이터는 (기업으로)투입되는 것과 동시에 분석 시스템에 배포되고 프로덕션 시스템에서 사용할 수 있어야 한다. 이 일련의 작업들은 동시 혹은 거의 곧바로 이뤄져야 한다.
이러한 일들을 수행해내기 위해 빅데이터 프로젝트 관리자들은 새로운 시스템을 프로토타이핑하거나 기존 시스템 변경을 당연하게 받아들여야 한다. 그리고 데이터를 수집하고 품질을 검증하는, 데이터 샘플링 프로세스를 수립해야 한다.
데이터 품질이 의심스럽다면 어떤 분석도 할 필요가 없다. 시스템이 얼마나 뛰어난지도 상관없다.
6. 엔드유저와 함께 논의하고 점검하라
빅데이터 프로젝트 시작부터 구현 전 과정, 그리고 그 이후에도 반복되는 중요한 원칙이 있다. 빅데이터는 구체적으로 실제 사업부 임직원들의 업무에 도움을 줄 수 있는 질문에 답해야 한다는 것이다. 이는 모든 전문가들이 이구동성으로 지적하는 것이다.
매끄러운 분석은 훌륭한 것이지만, 엔드유저에게 실제로 영향을 줄 수 있는 질문에 간단명료하고 직접적인 답을 제공하진 않는다. 어떤 데이터가 어떤 관련성이 있는지, 어떤 답변이 유용한지 엔드유저로부터 엄격하고 규칙적인 인풋이 없다면 빅데이터 프로젝트는 성공할 수 없다. 아무리 정교하게 설계되고 효과적으로 구현된 시스템이라고 해도 말이다.
[출처] 전자신문
비즈니스 데이터 분석의 한 종류로서 빅데이터는 새롭고 아직 잘 정의되지 않았으며 관련 툴들은 아직 미완성 단계다. 빅데이터의 투자회수(ROI)나 가치 제안, 빅데이터의 혜택을 받도록 해주는 툴 등 불확실성이 팽배하다. 인포메이션위크에서는 빅데이터 프로젝트를 성공으로 이끌기 위해 시작 단계에서 주의해야 할 점을 여러 컨설팅 업체들의 조언을 통해 소개했다.
1. 툴 또는 데이터, 어디에서 무엇이 빠졌는지 규명하라
빅데이터 프로젝트에서 큰 갭은 데이터를 수집, 중복제거하며 태깅하고 새로운 유형의 메타데이터를 처리하는 툴에 있다. 이 툴은 빅데이터를 가치있게 하며 맥락화할 수 있게 해준다.
텍스트 메시지의 데이터베이스, 자산관리 정보, 사용자에 의해 모바일로 생성된 기타 콘텐츠들에 위치 데이터를 결합하면 대단히 유용해질 수 있다. 그러나 극히 일부 분석 툴 또는 데이터 관리 툴만이 스마트폰의 GPS 칩으로부터 데이터를 모으고 기존 DB와 결합하는 기능을 제공한다.
2. 기업이 보유한 데이터와 기업에게 필요한 데이터를 이해하라
빅데이터 프로젝트를 복잡하게 만드는 또 다른 요인은 사용 가능한 데이터들을 평가하고 리포팅하는 것이다. 전통적인 개발 프로세스와는 반대로 빅데이터에서는 이런 일련의 일들이 프로젝트 요구사항을 수집하기 위해 엔드유저들에게 접근하기 이전에 수행된다.
3. 기업이 성취하려고 하는 바를 알아야 한다
명료하고 이해하기 쉬운 비즈니스 요구사항을 생성하는 것이다. 요구사항이 명료하지 않으면 프로젝트를 완료하는 데 소요되는 시간 계획이나 세부 단계를 세울 수 없다. 임직원들에게 유용한 스킬이나 트레이닝이 무엇인지도 물론 파악하기 어렵다.
4. 데이터 사이언티스트를 찾아 고용하라
어떤 빅데이터 프로젝트에서도 성공을 위해서는 다양한 형태, 다양한 소스들로부터 데이터를 정의, 이해하며 관리하고 상황에 맞춰 해석하는(contextualize) 능력이다. 대부분의 IT부서, 나아가 대부분의 기업에서 이러한 직무는 한 단어로 귀결된다. 바로 데이터 사이언티스트다.
실패한 비즈니스 인텔리전스(BI) 프로젝트에서 45%가 실패의 원인으로 스태프의 데이터 전문성 부족을 꼽았다. 빅데이터 프로젝트는 BI 프로젝트보다 훨씬 더 엄격히 데이터 전문성을 요구한다. 전문성 결여에 따른 실패율이 더 높기 때문이다.
IBM의 정의에 따르면 데이터 사이언스는 컴퓨터 사이언스, 애플리케이션, 데이터 모델링, 통계학, 분석학, 고급수학의 훈련을 요구한다. 또 비즈니스 프로세스 혹은 비즈니스 매니지먼트 훈련도 요구된다. 조직의 요구 사항을 규정하고 그에 맞는 데이터를 찾기 위해서다.
5. 속도를 이해하고 기대치를 관리하라
빅데이터에서 데이터의 신속한 획득과 분석은 중요한 요소다. 빅데이터 시스템은 쉽고 빠르게 적용할 수 있어야 한다. 전형적인 데이터 프로젝트들 대부분은 18~24개월의 개발 주기를 가진다. 그러나 빅데이터 프로젝트에는 이 주기를 적용할 수 없다. 빅데이터 프로젝트는 3~6개월 주기로 데이터의 유형이나 소스가 변경될 수 있어야 한다.
적절한 빅데이터 분석을 위해 데이터는 (기업으로)투입되는 것과 동시에 분석 시스템에 배포되고 프로덕션 시스템에서 사용할 수 있어야 한다. 이 일련의 작업들은 동시 혹은 거의 곧바로 이뤄져야 한다.
이러한 일들을 수행해내기 위해 빅데이터 프로젝트 관리자들은 새로운 시스템을 프로토타이핑하거나 기존 시스템 변경을 당연하게 받아들여야 한다. 그리고 데이터를 수집하고 품질을 검증하는, 데이터 샘플링 프로세스를 수립해야 한다.
데이터 품질이 의심스럽다면 어떤 분석도 할 필요가 없다. 시스템이 얼마나 뛰어난지도 상관없다.
6. 엔드유저와 함께 논의하고 점검하라
빅데이터 프로젝트 시작부터 구현 전 과정, 그리고 그 이후에도 반복되는 중요한 원칙이 있다. 빅데이터는 구체적으로 실제 사업부 임직원들의 업무에 도움을 줄 수 있는 질문에 답해야 한다는 것이다. 이는 모든 전문가들이 이구동성으로 지적하는 것이다.
매끄러운 분석은 훌륭한 것이지만, 엔드유저에게 실제로 영향을 줄 수 있는 질문에 간단명료하고 직접적인 답을 제공하진 않는다. 어떤 데이터가 어떤 관련성이 있는지, 어떤 답변이 유용한지 엔드유저로부터 엄격하고 규칙적인 인풋이 없다면 빅데이터 프로젝트는 성공할 수 없다. 아무리 정교하게 설계되고 효과적으로 구현된 시스템이라고 해도 말이다.
[출처] 전자신문
예산삭감시 보안관리자의 대응
경제 여건이 어떠하든 기본적인 수준의 보안 투자는 사치가 아니다. 패치 작업을 하지 않은 시스템은 인터넷에 연결되자마자 수 분 내에 악성 코드에 의해 손상될 수 있으며, 보안을 갖추지 않은 네트워크 경계는 순식간에 해커들의 공격 대상이 될 수 있다. 멀웨어와 해커들은 잘 알려진 위협이며, 운영 기준선(operational baselines)에 통합돼 상대적으로 간단한 형태로 제어가 가능하다. 가상사설망(VPN)이 제공하는 인증 및 암호화와 같은 보안 메커니즘은 기밀과 관련된 내부 시스템에 원격으로 접근하기 위한 보편적 의무사항이다.
일부 보안 수준은 의무적인 것으로 간주돼야 하지만, 정보 보안 장애를 100% 예측 및 계량화하는 것이 불가능하기 때문에 보안 전문가들은 예측하지 못한 위험이나 과소평가된 위험에 대비해 추가적 노력을 한다.
안전 요소는 어떤 종류의 설계 과정에도 포함된다. 만약 관리자들이 그럴 여유가 있다면 사용자가 영향을 받지 않는 선에서 대부분은 과보호 쪽으로 기울게 된다. 정확하게 파악된 작업과 스트레스를 다루는 구조적 엔지니어들과 달리 보안 전문가는 인간 위협에 맞서야 하고 해커의 공격 노력을 미리 아는 것은 불가능하다. 적당한 보안 지출 수준은 누가 지불 하는가, 사고 발생 시 누가 해고되는 지에 따라 결정된다. 보안 사고에 대해 명시적으로 책임을 지는 최고정보보안책임자(CISO)는 사업조직에서 자체 정보 보안 위험을 수용하기 바라는 CISO보다 분명 보안 지출에 더 적극적일 것이다.
IT 보안 위험 책임자가 누구든 매출이 예산을 더 이상 뒷받침해주지 못한다면, 예산을 삭감해야 한다. 보안 지출과 같이 분명하고 즉각적으로 매출에 기여를 하지 못하는 예산 항목은 철저한 조사를 받아야 한다.
보안 관리자가 집중해야 할 핵심 요소
- 예산 위기가 시작되면 보안 관리자들은 네 가지 전술에 집중해야 한다.
1. 우선 기준선 보호를 유지한다.
안정적으로 사업을 운영하기 위해 필요한 최소 보안 수준을 확실하게 파악해야 한다. 네트워크 방화벽 유지보수, 이메일 게이트웨이 보안, 취약성 관리, 데스크톱 멀웨어 차단 서비스 가입과 같은 기술 및 프로세스는 필수적인 것으로 간주해야 한다.
2. 품위 있는 절충
직원과 제공업체에 지급할 현금이 부족하다면, 기업 운영의 영속을 위한 절충이 필요하다. 조직의 여러 분야가 타격을 받는 상황이라면 보안 관리자들의 절충도 피할 수 없다. 절충을 위한 협력은 대부분 개선 작업 연기나 원래 계획된 경비의 삭감 형태를 취하게 된다. 일부 선택적 프로젝트나 실험적 프로젝트는 별 문제 없이 연기할 수 있다. 과거 투자에 대한 심리적 편견을 인식하고, 선호하는 프로젝트와 관련해 진행 중이던 작업을 중단할 경우를 대비 한다. 이미 지출된 돈(매몰 비용)은 우선 순위 조정 결정에 영향을 미쳐서는 안 된다. 재무적 지급불능 상황이 가까워진다면, 현 보안 지출도 어쩔 수 없이 일부 삭감해야 한다.
3. 분명한 의사결정을 요구
보안 지출은 정확하게 파악된 비즈니스 니즈를 기준으로 할 때만 최적화될 수 있다. IT 자산 소유권을 해당 사업 관리자에 할당하고, 해당 관리자가 명시적으로 보안 위험을 수용토록 한 기업들은 IT 보안과 관련된 최적의 의사결정을 내리기 가장 적합하다. 반면 책임을 사업부서 관리자에게 전환하지 않은 기업들은 일단 예산 부족으로 혼란한 상황이 시작되면 과감한 변화를 가져오기 어렵다. IT 보안 책임자가 누구든 보안 예산 삭감 결정과 개선 작업 축소 또는 연기 결정은 반드시 문서화해야 한다. 관련 관리자가 서명한 의사 결정 문서에는 비즈니스 타당성, 마련될 보완 통제 장치, 잔여 위험의 예상 형태 및 수준(모니터링 및 정기적 위험 재평가), 서비스 재개나 개선 계획 가속화의 선행 조건이 명시돼야 한다.
4. 계약상 법적 및 윤리적 의무를 충족한다.
기업들에 있어 파산을 피하는 것은 최우선 순위다. 보안 사고가 발생한다면 그 역시 안타까운 일이지만, 완전히 사업이 실패하는 것만큼 심각하진 않다. 매출이 줄면 일부 조직은 외부 요건과 기대를 충족하지 못한다. 보안 전문가들은 비즈니스 생존과 관계없이 충족시켜야 할 의무가 있으며, 국제공인정보시스템보안전문가(CISSP)·국제공인정보보안관리자(CISM) 등 프로그램에서는 서면윤리규약 준수 동의가 요구된다. 서비스 제공업체나 정부가 더 이상 보안 의무를 준수하지 못하면, 유료 고객들과 납세자들은 당연히 해당업체나 정부가 사업 운영권을 상실했다고 생각할 것이다. 이같은 처지의 기업들은 의무 변경을 협상하거나 운영을 중단한다고 발표해야 한다. 아무도 모르게 조용히 보안 노력을 법적 및 계약 약정 수준 이하로 낮추는 것은 용인될 수 없다.
보안 관리자들은 늘어나는 사이버 범죄와 강화되는 규제준수 부담에 대처하기 위해 보안 지출을 유지하거나 늘릴 수 있다. 재택근무 지원을 위한 원격 접근 등 경우에 보안 기술은 비용 절감 노력에 직접적 역할을 한다. 그러나 보안이 비즈니스에 주는 혜택을 증명해 보일 수 없거나 특정 보안 통제 수준에 대한 비즈니스 니즈를 완전히 파악하지 못하는 보안 관리자들은 보안에 배정된 예산이 줄어들 것을 예상해야 한다. 직감적으로 보안 활동 축소 결정을 한 많은 조직들은 안타깝게도 나중에 해당 결정을 후회하게 되지만 이런 사실이 해고된 보안 관리자들에게 위안이 되지는 못한다.
대부분의 임원들은 경쟁, 범죄 및 직원 위험이 금융 위기 기간 동안 늘어난다는 것을 잘 알고 있다. 비즈니스 성공을 위해서는 보안이 튼튼해야 하며, 보안은 사치품이 아니라 필수품이다. 금융 위기가 경제 전반으로 확산 되면, 경험 많고 영향력 있는 보안 관리자들이 중요한 역할을 하게 될 것이며, 점점 늘어나는 위험에 맞서 개인 기밀 정보와 독점 정보를 비용 효율적으로 보호할 것이다. [출처] 전자신문
일부 보안 수준은 의무적인 것으로 간주돼야 하지만, 정보 보안 장애를 100% 예측 및 계량화하는 것이 불가능하기 때문에 보안 전문가들은 예측하지 못한 위험이나 과소평가된 위험에 대비해 추가적 노력을 한다.
안전 요소는 어떤 종류의 설계 과정에도 포함된다. 만약 관리자들이 그럴 여유가 있다면 사용자가 영향을 받지 않는 선에서 대부분은 과보호 쪽으로 기울게 된다. 정확하게 파악된 작업과 스트레스를 다루는 구조적 엔지니어들과 달리 보안 전문가는 인간 위협에 맞서야 하고 해커의 공격 노력을 미리 아는 것은 불가능하다. 적당한 보안 지출 수준은 누가 지불 하는가, 사고 발생 시 누가 해고되는 지에 따라 결정된다. 보안 사고에 대해 명시적으로 책임을 지는 최고정보보안책임자(CISO)는 사업조직에서 자체 정보 보안 위험을 수용하기 바라는 CISO보다 분명 보안 지출에 더 적극적일 것이다.
IT 보안 위험 책임자가 누구든 매출이 예산을 더 이상 뒷받침해주지 못한다면, 예산을 삭감해야 한다. 보안 지출과 같이 분명하고 즉각적으로 매출에 기여를 하지 못하는 예산 항목은 철저한 조사를 받아야 한다.
보안 관리자가 집중해야 할 핵심 요소
- 예산 위기가 시작되면 보안 관리자들은 네 가지 전술에 집중해야 한다.
1. 우선 기준선 보호를 유지한다.
안정적으로 사업을 운영하기 위해 필요한 최소 보안 수준을 확실하게 파악해야 한다. 네트워크 방화벽 유지보수, 이메일 게이트웨이 보안, 취약성 관리, 데스크톱 멀웨어 차단 서비스 가입과 같은 기술 및 프로세스는 필수적인 것으로 간주해야 한다.
2. 품위 있는 절충
직원과 제공업체에 지급할 현금이 부족하다면, 기업 운영의 영속을 위한 절충이 필요하다. 조직의 여러 분야가 타격을 받는 상황이라면 보안 관리자들의 절충도 피할 수 없다. 절충을 위한 협력은 대부분 개선 작업 연기나 원래 계획된 경비의 삭감 형태를 취하게 된다. 일부 선택적 프로젝트나 실험적 프로젝트는 별 문제 없이 연기할 수 있다. 과거 투자에 대한 심리적 편견을 인식하고, 선호하는 프로젝트와 관련해 진행 중이던 작업을 중단할 경우를 대비 한다. 이미 지출된 돈(매몰 비용)은 우선 순위 조정 결정에 영향을 미쳐서는 안 된다. 재무적 지급불능 상황이 가까워진다면, 현 보안 지출도 어쩔 수 없이 일부 삭감해야 한다.
3. 분명한 의사결정을 요구
보안 지출은 정확하게 파악된 비즈니스 니즈를 기준으로 할 때만 최적화될 수 있다. IT 자산 소유권을 해당 사업 관리자에 할당하고, 해당 관리자가 명시적으로 보안 위험을 수용토록 한 기업들은 IT 보안과 관련된 최적의 의사결정을 내리기 가장 적합하다. 반면 책임을 사업부서 관리자에게 전환하지 않은 기업들은 일단 예산 부족으로 혼란한 상황이 시작되면 과감한 변화를 가져오기 어렵다. IT 보안 책임자가 누구든 보안 예산 삭감 결정과 개선 작업 축소 또는 연기 결정은 반드시 문서화해야 한다. 관련 관리자가 서명한 의사 결정 문서에는 비즈니스 타당성, 마련될 보완 통제 장치, 잔여 위험의 예상 형태 및 수준(모니터링 및 정기적 위험 재평가), 서비스 재개나 개선 계획 가속화의 선행 조건이 명시돼야 한다.
4. 계약상 법적 및 윤리적 의무를 충족한다.
기업들에 있어 파산을 피하는 것은 최우선 순위다. 보안 사고가 발생한다면 그 역시 안타까운 일이지만, 완전히 사업이 실패하는 것만큼 심각하진 않다. 매출이 줄면 일부 조직은 외부 요건과 기대를 충족하지 못한다. 보안 전문가들은 비즈니스 생존과 관계없이 충족시켜야 할 의무가 있으며, 국제공인정보시스템보안전문가(CISSP)·국제공인정보보안관리자(CISM) 등 프로그램에서는 서면윤리규약 준수 동의가 요구된다. 서비스 제공업체나 정부가 더 이상 보안 의무를 준수하지 못하면, 유료 고객들과 납세자들은 당연히 해당업체나 정부가 사업 운영권을 상실했다고 생각할 것이다. 이같은 처지의 기업들은 의무 변경을 협상하거나 운영을 중단한다고 발표해야 한다. 아무도 모르게 조용히 보안 노력을 법적 및 계약 약정 수준 이하로 낮추는 것은 용인될 수 없다.
보안 관리자들은 늘어나는 사이버 범죄와 강화되는 규제준수 부담에 대처하기 위해 보안 지출을 유지하거나 늘릴 수 있다. 재택근무 지원을 위한 원격 접근 등 경우에 보안 기술은 비용 절감 노력에 직접적 역할을 한다. 그러나 보안이 비즈니스에 주는 혜택을 증명해 보일 수 없거나 특정 보안 통제 수준에 대한 비즈니스 니즈를 완전히 파악하지 못하는 보안 관리자들은 보안에 배정된 예산이 줄어들 것을 예상해야 한다. 직감적으로 보안 활동 축소 결정을 한 많은 조직들은 안타깝게도 나중에 해당 결정을 후회하게 되지만 이런 사실이 해고된 보안 관리자들에게 위안이 되지는 못한다.
대부분의 임원들은 경쟁, 범죄 및 직원 위험이 금융 위기 기간 동안 늘어난다는 것을 잘 알고 있다. 비즈니스 성공을 위해서는 보안이 튼튼해야 하며, 보안은 사치품이 아니라 필수품이다. 금융 위기가 경제 전반으로 확산 되면, 경험 많고 영향력 있는 보안 관리자들이 중요한 역할을 하게 될 것이며, 점점 늘어나는 위험에 맞서 개인 기밀 정보와 독점 정보를 비용 효율적으로 보호할 것이다. [출처] 전자신문
기업의 성공적인 빅데이터 관리 플랫폼 3가지 원칙
1. 적절한 빅데이터 저장소 선택
자사 요구에 가장 적절한 기술이 무엇인지 먼저 이해해야 한다.
어떤 기업에는 NoSQL와 같은 것이 더 적절한 빅데이터 저장소 및 프레임워크 소프트웨어가 될 수 있다. 하둡은 뛰어난 확장성을 제공하고 구현 비용도 상대적으로 저렴하다. 또 혼합되어 있는 데이터 유형을 처리하는 데 탁월하다. 그러나 실시간 데이터 스트리밍에는 적절하지 못하다.
하둡이나 NoSQL, 분석 데이터 스토어 등 백엔드 기술을 선택할 때 가장 중요한 것은 자사 데이터의 볼륨, 다양성, 속도에 매칭되는 기술이 무엇이냐는 것이다. 각 기술들은 모두 장단점을 갖고 있으며 기업은 백엔드 기술을 선택하기 전에 이러한 장단점부터 이해하고 있어야 한다.
2. 깊이 있는 현업 지식을 갖출 것
빅데이터 프로젝트는 근본적으로 소프트웨어 및 컴퓨팅 기술자들의 투입을 요구한다. 그러나 이것이 비기술자를 배제하라는 뜻은 아니다. 다른 어떤 프로젝트보다도 빅데이터 프로젝트에는 비즈니스 현업 인력과 기술 인력이 협력이 요구된다. 어떤 데이터가 어디에 사용되는지, 얼마나 빨리 실무에 반영할 수 있는지, 당면한 비즈니스 문제를 해결할 수 있는지는 현업에서 지식을 제공할 수 있다. 현업의 지식은 빅데이터 프로젝트에 대단히 중요하며 이 지식이 배제될 때 기업은 많은 시행착오를 거치게 된다. 결과적으로 잘못된 판단으로 빅데이터 프로젝트 또한 실패하게 될 것이다.
3. 적절한 리포팅과 분석 툴을 적용할 것
빅데이터용 리포팅과 분석 툴들은 세 가지 주요 특성
첫째 빅데이터, 전통적인 데이터 등을 포함해 모든 필요한 데이터 소스에 곧바로(native) 인텔리전트 액세스를 제공해야 한다는 것이다. 모든 필요한 데이터 소스에 제공해야 한다는 것이다. 오늘날 기업들은 전통적이지 않은 유형의 빅데이터를 전통적인 유형인 관계형 데이터와 결합 및 혼합하려 하고 있다.
두 번째, 데이터 아키텍처는 데이터 볼륨 확장에 따라 필연적으로 확장된다. 따라서 기업은 확장성이 뛰어나고 현대적 아키텍처를 구현해야 한다. 그렇지 않을 경우 프론트엔드의 리포팅과 분석 툴은 데이터 양이 기하학적으로 증가하게 되면서 기능을 제대로 수행하지 못할 수 있다.
세 번째로 기업이 사용하는 툴은 반드시 빅데이터의 지연 현상이나 다양성을 처리할 수 있어야 한다. 시스템 센서나 폭주하는 웹사이트로부터 데이터가 대용량 데이터 볼륨 내로 실시간 전송되고 데이터가 들어오는 즉시 사용 가능한 것으로 신속히 만들어낼 수 있어야 한다.
이때 중요한 것은 기업이 해결하려는 비즈니스 문제가 무엇인지 알고 있어야 한다는 것이다. 또 당면 과제를 해결하기 위해 얼마나 빨리 이 데이터를 사용할 수 있느냐도 중요하다. [출처] 전자신문
자사 요구에 가장 적절한 기술이 무엇인지 먼저 이해해야 한다.
어떤 기업에는 NoSQL와 같은 것이 더 적절한 빅데이터 저장소 및 프레임워크 소프트웨어가 될 수 있다. 하둡은 뛰어난 확장성을 제공하고 구현 비용도 상대적으로 저렴하다. 또 혼합되어 있는 데이터 유형을 처리하는 데 탁월하다. 그러나 실시간 데이터 스트리밍에는 적절하지 못하다.
하둡이나 NoSQL, 분석 데이터 스토어 등 백엔드 기술을 선택할 때 가장 중요한 것은 자사 데이터의 볼륨, 다양성, 속도에 매칭되는 기술이 무엇이냐는 것이다. 각 기술들은 모두 장단점을 갖고 있으며 기업은 백엔드 기술을 선택하기 전에 이러한 장단점부터 이해하고 있어야 한다.
2. 깊이 있는 현업 지식을 갖출 것
빅데이터 프로젝트는 근본적으로 소프트웨어 및 컴퓨팅 기술자들의 투입을 요구한다. 그러나 이것이 비기술자를 배제하라는 뜻은 아니다. 다른 어떤 프로젝트보다도 빅데이터 프로젝트에는 비즈니스 현업 인력과 기술 인력이 협력이 요구된다. 어떤 데이터가 어디에 사용되는지, 얼마나 빨리 실무에 반영할 수 있는지, 당면한 비즈니스 문제를 해결할 수 있는지는 현업에서 지식을 제공할 수 있다. 현업의 지식은 빅데이터 프로젝트에 대단히 중요하며 이 지식이 배제될 때 기업은 많은 시행착오를 거치게 된다. 결과적으로 잘못된 판단으로 빅데이터 프로젝트 또한 실패하게 될 것이다.
3. 적절한 리포팅과 분석 툴을 적용할 것
빅데이터용 리포팅과 분석 툴들은 세 가지 주요 특성
첫째 빅데이터, 전통적인 데이터 등을 포함해 모든 필요한 데이터 소스에 곧바로(native) 인텔리전트 액세스를 제공해야 한다는 것이다. 모든 필요한 데이터 소스에 제공해야 한다는 것이다. 오늘날 기업들은 전통적이지 않은 유형의 빅데이터를 전통적인 유형인 관계형 데이터와 결합 및 혼합하려 하고 있다.
두 번째, 데이터 아키텍처는 데이터 볼륨 확장에 따라 필연적으로 확장된다. 따라서 기업은 확장성이 뛰어나고 현대적 아키텍처를 구현해야 한다. 그렇지 않을 경우 프론트엔드의 리포팅과 분석 툴은 데이터 양이 기하학적으로 증가하게 되면서 기능을 제대로 수행하지 못할 수 있다.
세 번째로 기업이 사용하는 툴은 반드시 빅데이터의 지연 현상이나 다양성을 처리할 수 있어야 한다. 시스템 센서나 폭주하는 웹사이트로부터 데이터가 대용량 데이터 볼륨 내로 실시간 전송되고 데이터가 들어오는 즉시 사용 가능한 것으로 신속히 만들어낼 수 있어야 한다.
이때 중요한 것은 기업이 해결하려는 비즈니스 문제가 무엇인지 알고 있어야 한다는 것이다. 또 당면 과제를 해결하기 위해 얼마나 빨리 이 데이터를 사용할 수 있느냐도 중요하다. [출처] 전자신문
정보보호 위한 기업 망 분리
정통망법에 따르면 100만명 이상 개인정보를 보유한 기업은 망 분리를 해야 한다. 금융감독원 등 각 기관에서 정한 유예 기간은 2013년 3월까지다. 권장사항이기는 하지만 강제성을 띄고 있어 연말부터 내년 상반기까지 상당수 기업이 망 분리에 나설 전망이다. PC 두 대로 일찌감치 물리적 망 분리를 끝낸 공공기관도 편의성을 위해 다시 논리적 망 분리를 검토하는 곳이 생겨나고 있다.
1. 물리적 망 분리
- PC 두 대를 도입해 내부 업무 망과 외부 업무 망을 분리
- 여러 망 분리 방식 가운데서도 보안성이 가장 탁월
(단점)
1) 도입 비용 높다. PC를 두 대 사용하기 때문에 그만큼 상면 공간도 많이 차지하고 전기세도 많이 든다. 더운 여름에는 실내 온도 상승 주범 노릇을 한다. 유지보수에도 갑절의 인력과 비용이 필요하다.
2) 업무 편의성이 현저히 떨어지는 게 물리적 망 분리의 최대 단점이다.
예를 들어 인터넷 검색이 꼭 필요한 특허업무 등은 한 쪽 PC에서 인터넷을 검색하고 다시 다른 PC로 자리를 옮겨 내부 업무를 봐야 한다. 자료를 활용해야 할 때는 보안 USB 등 저장장치를 활용해 다른 PC로 자료를 옮겨야 한다.
2. 논리적 망 분리
논리적 망 분리에 먼저 사용된 것은 가상 데스크톱(VDI) 솔루션이다. PC 업무 영역을 서버의 가상머신(VM)에 구축해두고 접속해 사용하는 방식이다. PC의 가상 영역을 제외한 나머지 부분은 인터넷 영역과 연결해 사용하기 때문에 자연스럽게 망이 분리될 수 있다.
VDI 솔루션으로 망 분리를 할 수 있지만 VDI는 태생이 업무 효율성 제고를 위한 솔루션이다. 언제 어디서나 웹에 접속해 업무를 처리할 수 있다는 점이 VDI 최대 강점이다. 중앙 서버에 업무 환경이 구축되기 때문에 보안성도 높일 수 있다. 하지만 VDI 솔루션이 외산 솔루션 일색이기 때문에 비싼 라이선스 비용이 단점으로 꼽힌다.
최근에는 보안성을 극대화하고자 VDI와 망 분리 솔루션을 동시에 구축하는 사례가 생겨나고 있다. 기존 PC를 VDI화하는 경우 망은 분리되더라도 PC 자체가 감염돼 가상 영역까지 악성코드가 옮겨갈 가능성이 있다. 제로클라이언트를 사용하는 VDI는 VM 영역에서는 망 분리가 되지 않고 인터넷과 업무 영역이 혼재한다.
3. 적용 대상 업무 정의가 최우선 과제
가능하면 적은 비용으로, 더 효율적인 방식으로 망 분리 프로젝트를 추진 필요
전문가들은 우선 망 분리 솔루션을 먼저 적용하고 이후 점진적으로 VDI 환경으로 전환하는 게 가장 이상적인 방안이라고 말한다. VDI를 전면 도입하기에는 비용 부담이 크고 프로젝트 실패 위험도 있기 때문에 망 분리 솔루션 기반 위에 단계적으로 VDI를 추가하라는 설명이다.
망 분리는 단순한 솔루션 적용이 아닌 인프라의 대대적 변화를 가져오는 프로젝트기 때문에 프로젝트 시작 전에 고려할 사항이 상당히 많다 - 우선 업무를 분석해 전사 또는 특정부서에만 도입할지를 정하고 예산과 각 부서 업무를 평가해 가장 적절한 망 분리 방식을 찾아야 한다
영역 간 파일 공유 방안, 메일 시스템 구성 변경 여부, 소프트웨어 라이선스 추가 구매 필요 여부, 인터넷 망 및 업무 망에 추가 보안 솔루션 구축, 업무 망 PC 패치 및 백신 업데이트 등이 고려돼야 한다
프로젝트 진행에 앞서 사용 중인 프로그램과 사이트를 업무 망에서 사용할 것인지, 인터넷 망에서 사용할 것인지 일일이 구분하는 작업이 선행돼야 한다. 가령 사내 그룹웨어에 회사 홈페이지가 링크돼 있으면 이를 업무 망으로 볼 것인지, 인터넷 망으로 볼 것인지 정의해야 한다.
망 분리 프로젝트의 가장 큰 도전사항은 변화관리
망 분리 이전엔 인터넷과 업무영역을 자유롭게 드나들 수 있지만 망 분리 이후에는 불가능하다. 두 영역 간 자료 이동은 보안 USB나 망 연계 솔루션을 이용해야만 가능하다. 따라서 업무 효율성이 저하된다는 불만이 많이 제기된다.
망 분리로 발생하는 업무 방식과 시스템 변화를 사용자가 수용하는 데 노력과 시간이 들 수 있음을 고려해야 한다.
망 분리 대상자들과 많은 커뮤니케이션을 거쳐 망 분리의 목적과 방안을 충분히 주지시켜야 프로젝트를 성공적으로 완료할 수 있다
"끝"
[출처] 전자신문
1. 물리적 망 분리
- PC 두 대를 도입해 내부 업무 망과 외부 업무 망을 분리
- 여러 망 분리 방식 가운데서도 보안성이 가장 탁월
(단점)
1) 도입 비용 높다. PC를 두 대 사용하기 때문에 그만큼 상면 공간도 많이 차지하고 전기세도 많이 든다. 더운 여름에는 실내 온도 상승 주범 노릇을 한다. 유지보수에도 갑절의 인력과 비용이 필요하다.
2) 업무 편의성이 현저히 떨어지는 게 물리적 망 분리의 최대 단점이다.
예를 들어 인터넷 검색이 꼭 필요한 특허업무 등은 한 쪽 PC에서 인터넷을 검색하고 다시 다른 PC로 자리를 옮겨 내부 업무를 봐야 한다. 자료를 활용해야 할 때는 보안 USB 등 저장장치를 활용해 다른 PC로 자료를 옮겨야 한다.
2. 논리적 망 분리
논리적 망 분리에 먼저 사용된 것은 가상 데스크톱(VDI) 솔루션이다. PC 업무 영역을 서버의 가상머신(VM)에 구축해두고 접속해 사용하는 방식이다. PC의 가상 영역을 제외한 나머지 부분은 인터넷 영역과 연결해 사용하기 때문에 자연스럽게 망이 분리될 수 있다.
VDI 솔루션으로 망 분리를 할 수 있지만 VDI는 태생이 업무 효율성 제고를 위한 솔루션이다. 언제 어디서나 웹에 접속해 업무를 처리할 수 있다는 점이 VDI 최대 강점이다. 중앙 서버에 업무 환경이 구축되기 때문에 보안성도 높일 수 있다. 하지만 VDI 솔루션이 외산 솔루션 일색이기 때문에 비싼 라이선스 비용이 단점으로 꼽힌다.
최근에는 보안성을 극대화하고자 VDI와 망 분리 솔루션을 동시에 구축하는 사례가 생겨나고 있다. 기존 PC를 VDI화하는 경우 망은 분리되더라도 PC 자체가 감염돼 가상 영역까지 악성코드가 옮겨갈 가능성이 있다. 제로클라이언트를 사용하는 VDI는 VM 영역에서는 망 분리가 되지 않고 인터넷과 업무 영역이 혼재한다.
3. 적용 대상 업무 정의가 최우선 과제
가능하면 적은 비용으로, 더 효율적인 방식으로 망 분리 프로젝트를 추진 필요
전문가들은 우선 망 분리 솔루션을 먼저 적용하고 이후 점진적으로 VDI 환경으로 전환하는 게 가장 이상적인 방안이라고 말한다. VDI를 전면 도입하기에는 비용 부담이 크고 프로젝트 실패 위험도 있기 때문에 망 분리 솔루션 기반 위에 단계적으로 VDI를 추가하라는 설명이다.
망 분리는 단순한 솔루션 적용이 아닌 인프라의 대대적 변화를 가져오는 프로젝트기 때문에 프로젝트 시작 전에 고려할 사항이 상당히 많다 - 우선 업무를 분석해 전사 또는 특정부서에만 도입할지를 정하고 예산과 각 부서 업무를 평가해 가장 적절한 망 분리 방식을 찾아야 한다
영역 간 파일 공유 방안, 메일 시스템 구성 변경 여부, 소프트웨어 라이선스 추가 구매 필요 여부, 인터넷 망 및 업무 망에 추가 보안 솔루션 구축, 업무 망 PC 패치 및 백신 업데이트 등이 고려돼야 한다
프로젝트 진행에 앞서 사용 중인 프로그램과 사이트를 업무 망에서 사용할 것인지, 인터넷 망에서 사용할 것인지 일일이 구분하는 작업이 선행돼야 한다. 가령 사내 그룹웨어에 회사 홈페이지가 링크돼 있으면 이를 업무 망으로 볼 것인지, 인터넷 망으로 볼 것인지 정의해야 한다.
망 분리 프로젝트의 가장 큰 도전사항은 변화관리
망 분리 이전엔 인터넷과 업무영역을 자유롭게 드나들 수 있지만 망 분리 이후에는 불가능하다. 두 영역 간 자료 이동은 보안 USB나 망 연계 솔루션을 이용해야만 가능하다. 따라서 업무 효율성이 저하된다는 불만이 많이 제기된다.
망 분리로 발생하는 업무 방식과 시스템 변화를 사용자가 수용하는 데 노력과 시간이 들 수 있음을 고려해야 한다.
망 분리 대상자들과 많은 커뮤니케이션을 거쳐 망 분리의 목적과 방안을 충분히 주지시켜야 프로젝트를 성공적으로 완료할 수 있다
"끝"
[출처] 전자신문
SSPL 도입 목적
유럽연합(EU)은 1990년대 초 범EU 차원에서 기술력 선진화를 위한 ITEA(IT for European Advancement) 프로그램을 시작했다. 미국과의 경쟁에서 앞서나가고 중국과 인도의 추격을 뿌리치기 위해서다. SSPL은 ITEA 프로그램의 근간인 소프트웨어(SW) 분야의 핵심이다. EU는 SSPL을 통한 기술혁명으로 대량맞춤생산체계를 구축하고 품질경쟁 우위를 확보했다. 이를 기반으로 지속적 경제성장과 신규 일자리 창출이라는 커다란 성과를 거뒀다.
SSPL은 SW를 필요로 하는 모든 시스템의 개발에서 공통적으로 활용될 수 있는 효과적인 개발 방법론이다. SW의 공통요소(Domain)와 가변요소(Application)를 자산화해 개발기간 단축, 비용절감, 품질향상 등 모든 목표를 만족시킬 수 있는 선진 개발기법이다.
전문가들은 SSPL을 시장과 고객, 기술 변화 속도와 글로벌 시장을 대상으로 하는 대량맞춤생산 추세에 대응할 수 있는 수단으로 보고 있다. 플랫폼·재사용 역량의 극대화, 고급인재 양성, SW 시장의 세계화를 통한 경쟁력 확보를 위한 방안이라고 주장한다.
1. EU가 SSPL을 도입한 목적 8가지
2. SSPL의 핵심 역량을 지속적으로 개발하여 기업 고유 플랫폼 개발 필요
3. SSPL 7대 기본전략
SSPL은 SW를 필요로 하는 모든 시스템의 개발에서 공통적으로 활용될 수 있는 효과적인 개발 방법론이다. SW의 공통요소(Domain)와 가변요소(Application)를 자산화해 개발기간 단축, 비용절감, 품질향상 등 모든 목표를 만족시킬 수 있는 선진 개발기법이다.
전문가들은 SSPL을 시장과 고객, 기술 변화 속도와 글로벌 시장을 대상으로 하는 대량맞춤생산 추세에 대응할 수 있는 수단으로 보고 있다. 플랫폼·재사용 역량의 극대화, 고급인재 양성, SW 시장의 세계화를 통한 경쟁력 확보를 위한 방안이라고 주장한다.
- 고객만족도 제고
- 품질개선
- 제품 개량 용이성 증대
- 복잡도 증가에 대한 대응력 제고
- 원가절감
- 원가산정의 정확도 개선
- 유지보수비 절감
- 제품출시 소요기간 단축
- 비즈니스 가치에 기반을 둔 제품군 범위 최적화
- 개별 고객을 만족시킬 수 있는 계층 플랫폼 실용화
- 재사용 자산과 가변자산의 형상·추적·변경의 자동화
- 제품군에 속하는 각 제품의 시장 차별화
3. SSPL 7대 기본전략
- 대량맞춤생산
- 혁신적 제품의 지능화
- 제품 플랫폼의 최적화
- SW 개발공정의 자동화
- 기업 가치와 SW 가치의 동조화
- 수요에 부응하는 SW·시스템 인재육성
- 글로벌 역량을 키워나갈 수 있는 SSPL 생태계 조성.
시스템&소프트웨어 프로덕트 라인(SSPL)
1. SSPL 정의
-. 대량고객맞춤화 생산이 가능하도록 플랫폼·프로세스를 사용해 SW와 시스템을 개발하기 위한 패러다임.
-. 핵심은 다품종 다수고객 맞춤생산을 위해 SW 아키텍처나 컴포넌트 등 핵심 자산을 재사용하는 데 있다. 대신 가변 요소를 집중적으로 개발해 SW 개발 공정을 집약적으로 변화시켜 원가절감과 품질개선, 적기출하 등을 가능하게 해준다.
2. SSPL의 4대 요소
1) 대량고객맞춤화 역량
-. SSPL이 다수의 고객을 만족시키기 위한 대량고객 맞춤화를 목적으로 함
모든 산업은 고객 만족을 높이는 방향을 발전해왔다. 기업 역시 고객 만족을 최우선 가치로 두고 경쟁을 펼친다. 고객 만족을 위해서는 기능, 성능, 신뢰성, 안전성, 편리성 등의 품질 측면 뿐만 아니라 가격, 유지비 등 경제성과 적시출시 등도 중요하다.
2) 플랫폼
-. 플랫폼은 다른 기술이나 프로세스가 만들어지는 기술 기반이다. 즉 체계적으로 재사용되는 자산 체계를 의미한다. 제품라인(프로덕트 라인)은 같은 플랫폼을 공유하면서 유사한 특징을 갖는 제품군을 의미한다. SSPL은 내부 플랫폼을 기반으로 제품라인을 개발함으로써 개발비용과 시간을 줄이고 다수 고객을 만족시킬 수 있다.
3) 프로세스
-. 프로세스는 작업 처리 공정을 의미한다. SSPL에서는 사용자 업무 프로세스, 개발 프로세스, 운영 프로세스를 모두 의미하며 플랫폼과 프로세스를 융합·개발해 최적화한다. 사용자, 개발자, 운영자 업무 프로세스가 플랫폼에 통합 반영돼 자동화되고 최적화되기 때문에 비용과 시간을 절약해준다.
4) SW와 시스템의 융합 -. SSPL은 SW와 일반 시스템 개발에 모두 적용될 수 있다. 또 SW와 시스템이 융합된 SW 집약시스템 개발에도 적용될 수 있다. SSPL은 SW와 시스템을 통일된 관점에서 개발함으로써 시스템 개발을 더욱 용이하게 해준다
3. SSPL 적용분야
1) 현재 SSPL은 SW 중심 제품을 생산하는 여러 제조 분야에서 다양하게 적용되고 있다. 특히 자동차 전기장치 SW 분야에서 두각을 나타내고 있다. 보쉬, 컨티네털 같은 유럽 자동차 전기장치 부품업체는 일찌감치 SSPL을 적용해 자동차 전기장치 부품 시장을 선도하고 있다. 이런 흐름에 델파이, 덴소와 같은 미국 및 일본 자동차 전지장치 부품업체도 동참하고 있다.
2) 서비스·컨설팅에도 적용- SSPL은 컨설팅 산업에서도 이미 적용 사례가 존재한다. 자유무역협정(FTA)에 준거한 원산지 판정솔루션이 그 사례다. FTA를 활용하려는 수출기업은 FTA 협정조항과 각국 관세법에 의한 요건충족을 증명해야 한다. 이를 돕는 것이 원산지 판정솔루션이다. "끝"
-. 대량고객맞춤화 생산이 가능하도록 플랫폼·프로세스를 사용해 SW와 시스템을 개발하기 위한 패러다임.
-. 핵심은 다품종 다수고객 맞춤생산을 위해 SW 아키텍처나 컴포넌트 등 핵심 자산을 재사용하는 데 있다. 대신 가변 요소를 집중적으로 개발해 SW 개발 공정을 집약적으로 변화시켜 원가절감과 품질개선, 적기출하 등을 가능하게 해준다.
2. SSPL의 4대 요소
1) 대량고객맞춤화 역량
-. SSPL이 다수의 고객을 만족시키기 위한 대량고객 맞춤화를 목적으로 함
모든 산업은 고객 만족을 높이는 방향을 발전해왔다. 기업 역시 고객 만족을 최우선 가치로 두고 경쟁을 펼친다. 고객 만족을 위해서는 기능, 성능, 신뢰성, 안전성, 편리성 등의 품질 측면 뿐만 아니라 가격, 유지비 등 경제성과 적시출시 등도 중요하다.
2) 플랫폼
-. 플랫폼은 다른 기술이나 프로세스가 만들어지는 기술 기반이다. 즉 체계적으로 재사용되는 자산 체계를 의미한다. 제품라인(프로덕트 라인)은 같은 플랫폼을 공유하면서 유사한 특징을 갖는 제품군을 의미한다. SSPL은 내부 플랫폼을 기반으로 제품라인을 개발함으로써 개발비용과 시간을 줄이고 다수 고객을 만족시킬 수 있다.
3) 프로세스
-. 프로세스는 작업 처리 공정을 의미한다. SSPL에서는 사용자 업무 프로세스, 개발 프로세스, 운영 프로세스를 모두 의미하며 플랫폼과 프로세스를 융합·개발해 최적화한다. 사용자, 개발자, 운영자 업무 프로세스가 플랫폼에 통합 반영돼 자동화되고 최적화되기 때문에 비용과 시간을 절약해준다.
4) SW와 시스템의 융합 -. SSPL은 SW와 일반 시스템 개발에 모두 적용될 수 있다. 또 SW와 시스템이 융합된 SW 집약시스템 개발에도 적용될 수 있다. SSPL은 SW와 시스템을 통일된 관점에서 개발함으로써 시스템 개발을 더욱 용이하게 해준다
3. SSPL 적용분야
1) 현재 SSPL은 SW 중심 제품을 생산하는 여러 제조 분야에서 다양하게 적용되고 있다. 특히 자동차 전기장치 SW 분야에서 두각을 나타내고 있다. 보쉬, 컨티네털 같은 유럽 자동차 전기장치 부품업체는 일찌감치 SSPL을 적용해 자동차 전기장치 부품 시장을 선도하고 있다. 이런 흐름에 델파이, 덴소와 같은 미국 및 일본 자동차 전지장치 부품업체도 동참하고 있다.
2) 서비스·컨설팅에도 적용- SSPL은 컨설팅 산업에서도 이미 적용 사례가 존재한다. 자유무역협정(FTA)에 준거한 원산지 판정솔루션이 그 사례다. FTA를 활용하려는 수출기업은 FTA 협정조항과 각국 관세법에 의한 요건충족을 증명해야 한다. 이를 돕는 것이 원산지 판정솔루션이다. "끝"
2012년 10월 17일 수요일
MxM 용어정의
MDM (Mobile Device Management)
MAM (Mobile Application Management)
MIM (Mobile Information Management)
MVM (Mobile Virtualization Management)
MSM (Mobile Security Management)
MAM (Mobile Application Management)
MIM (Mobile Information Management)
MVM (Mobile Virtualization Management)
MSM (Mobile Security Management)
2012년 10월 16일 화요일
우리나라의 국가 사이버 안보 마스터 플랜
□ 수립 경과
◦ 2011년 5월 국가 사이버 안전 전략회의 개최, 마스터 플랜 수립 결정
‘3.4 DDoS 공격’, ‘농협 전산망 장애사건’ 등을 계기로 외부로부터의 사이버 공격이
국민의 재산과 국가 안보를 위협하여 대응책 마련에 인식을 공유
◦ 2011년 5월~7월 관련기관 합동 초안 마련, 전문가 자문
◦ 2011년 7월 국가 사이버 안전 대책회의 심의․의결
◦ 2011년 8월 50개 세부 추진과제 도출․시행
□ 5대 추진 전략
◦ 사이버 공간을 영토‧영공‧영해에 이어 국가가 수호해야 할 또 하나의 영역으로 선정,
이를 위해 5대 분야(예방, 탐지, 대응, 제도, 기반)의 중점 전략과제 선정‧추진
◦ 民‧官‧軍 합동 대응체계 정립
- 사이버 공간을 작전 대상영역으로 정의, 담당 조직을 설립하고 훈련, 무
◦ 핵심시설‧기밀보호 강화
- 국방부 네트워크 및 시스템 보호를 위한 새로운 방어 전략 도입
◦ 汎국가적 사이버 공격 탐지‧차단
- 미국 기타 정부부처 및 기관, 민간 영역과 협력 강화를 통한 국가 전반의 사이버 보안 전략 실행
◦ 국제공조를 통한 억지력 확보
- 동맹국을 포함한 국제 협력 강화를 통해 사이버 보안의 국제 공조 강화
◦ 사이버안전 기반 조성
- 사이버 보안 관련 우수 인력 확보 및 기술 혁신
□ 대응체계 정비 및 부처 간 역할 정립
◦ 사이버 위협 정보 공유․공조 등 합동성 강화를 위해 국가사이버안전센터 내 민․관․군 참여하여 국가 사이버 위협 합동대응팀 구축
- 종합 판단․합동 상황․합동 분석․합동 조사 분야로 구성, 2012년 1월부터 본격 가동
◦ 국정원(평․위기 시 총괄), 방통위(방송․통신 등), 행안부(전자정부대민서비스, 통합전산 센터, 지자체 등), 지경부(관련 산업‧인력 육성 및 기술개발) 등 유관부처 역할 정립
□ 중점 추진 사항
◦ 사이버 공격 조기탐지대응체계 확립
- 공격 조기 탐지차단을 위한 3선 방어체계 정립(국제관문국↔인터넷서비스업체↔개인기관)
- 금융 분야 대응체계 강화(금융기관 보안시스템 보강 및 보험카드사 등으로 보안 관제 확대 등)
- 사이버 치료 체계 보강(좀비PC 신속 치료를 위한 전용 백신 개발배포에 민관 협력 강화 등) 및 DDoS 긴급 대피소 확대 구축
◦ 중요 자료핵심 시설 보안관리 수준 제고
- 비밀관리시스템 확대 구축(국가기밀 보호) 및 암호체계 개선
- 정보통신시스템 보안대책 강화(전력교통 등 핵심시설) 및 관련 기관 합동 기동점검 체계 구축
- 보안 관리 강화 및 책임범위 명확화(외주 용역 사업), 보안 취약점 진단 제도 의무화(정부 S/W)
◦ 사이버 안보 강화 기반 조성
- 법제도적 사이버 위협 대응체계 보강(국가사이버안전관리규정(대통령훈령) 개정, 관련 법률 신규 제정 추진 등)
- 전담 조직인력 보강, 인력 양성 선순환 체계 구축(정부 소관 분야별 사이버 보안)
- 정보보호 제품 수출 지원 및 정보보호 R&D 예산 비중 확대(5%→10%)
◦ 사이버 도발 억지력 확보 및 국제 공조 강화
- 양자다자간 사이버 분야 협력 확대 및 정보공유 체계 구축(주요 국가 및 국제기구)
- 민간 검증단 운영(사이버 공격 주체의도 등에 대한 국민의혹 해소 및 공신력 확보)
- 사이버 위기 대응을 위한 유관기관 통합훈련 내실화활성화
◦ 사회전반 사이버 안보 마인드 확산
- 범정부 차원의 정보보호의 날(법정기념일) 제정시행(대국민 사이버 보안 인식 제고 및 저변확대)
- 민간분야 클린인터넷 운동 활성화(개인정보보호 및 좀비PC 양산 방지), 초중고 정보보호 교육 강화
시사점
1) 국가 아젠다로서의 사이버안보 강화가 필요
2) 정기적인 사이버보안 훈련 평가와 모니터링 강화
3) 사이버범죄 수사에 대한 국제 공조 강화
4) 전문 인력 양성과 선제적 대응 기술의 개발
[출처] 정보통신산업진흥원 - IT R&D 정책동향(2012.07)
◦ 2011년 5월 국가 사이버 안전 전략회의 개최, 마스터 플랜 수립 결정
‘3.4 DDoS 공격’, ‘농협 전산망 장애사건’ 등을 계기로 외부로부터의 사이버 공격이
국민의 재산과 국가 안보를 위협하여 대응책 마련에 인식을 공유
◦ 2011년 5월~7월 관련기관 합동 초안 마련, 전문가 자문
◦ 2011년 7월 국가 사이버 안전 대책회의 심의․의결
◦ 2011년 8월 50개 세부 추진과제 도출․시행
□ 5대 추진 전략
◦ 사이버 공간을 영토‧영공‧영해에 이어 국가가 수호해야 할 또 하나의 영역으로 선정,
이를 위해 5대 분야(예방, 탐지, 대응, 제도, 기반)의 중점 전략과제 선정‧추진
◦ 民‧官‧軍 합동 대응체계 정립
- 사이버 공간을 작전 대상영역으로 정의, 담당 조직을 설립하고 훈련, 무
◦ 핵심시설‧기밀보호 강화
- 국방부 네트워크 및 시스템 보호를 위한 새로운 방어 전략 도입
◦ 汎국가적 사이버 공격 탐지‧차단
- 미국 기타 정부부처 및 기관, 민간 영역과 협력 강화를 통한 국가 전반의 사이버 보안 전략 실행
◦ 국제공조를 통한 억지력 확보
- 동맹국을 포함한 국제 협력 강화를 통해 사이버 보안의 국제 공조 강화
◦ 사이버안전 기반 조성
- 사이버 보안 관련 우수 인력 확보 및 기술 혁신
□ 대응체계 정비 및 부처 간 역할 정립
◦ 사이버 위협 정보 공유․공조 등 합동성 강화를 위해 국가사이버안전센터 내 민․관․군 참여하여 국가 사이버 위협 합동대응팀 구축
- 종합 판단․합동 상황․합동 분석․합동 조사 분야로 구성, 2012년 1월부터 본격 가동
◦ 국정원(평․위기 시 총괄), 방통위(방송․통신 등), 행안부(전자정부대민서비스, 통합전산 센터, 지자체 등), 지경부(관련 산업‧인력 육성 및 기술개발) 등 유관부처 역할 정립
□ 중점 추진 사항
◦ 사이버 공격 조기탐지대응체계 확립
- 공격 조기 탐지차단을 위한 3선 방어체계 정립(국제관문국↔인터넷서비스업체↔개인기관)
- 금융 분야 대응체계 강화(금융기관 보안시스템 보강 및 보험카드사 등으로 보안 관제 확대 등)
- 사이버 치료 체계 보강(좀비PC 신속 치료를 위한 전용 백신 개발배포에 민관 협력 강화 등) 및 DDoS 긴급 대피소 확대 구축
◦ 중요 자료핵심 시설 보안관리 수준 제고
- 비밀관리시스템 확대 구축(국가기밀 보호) 및 암호체계 개선
- 정보통신시스템 보안대책 강화(전력교통 등 핵심시설) 및 관련 기관 합동 기동점검 체계 구축
- 보안 관리 강화 및 책임범위 명확화(외주 용역 사업), 보안 취약점 진단 제도 의무화(정부 S/W)
◦ 사이버 안보 강화 기반 조성
- 법제도적 사이버 위협 대응체계 보강(국가사이버안전관리규정(대통령훈령) 개정, 관련 법률 신규 제정 추진 등)
- 전담 조직인력 보강, 인력 양성 선순환 체계 구축(정부 소관 분야별 사이버 보안)
- 정보보호 제품 수출 지원 및 정보보호 R&D 예산 비중 확대(5%→10%)
◦ 사이버 도발 억지력 확보 및 국제 공조 강화
- 양자다자간 사이버 분야 협력 확대 및 정보공유 체계 구축(주요 국가 및 국제기구)
- 민간 검증단 운영(사이버 공격 주체의도 등에 대한 국민의혹 해소 및 공신력 확보)
- 사이버 위기 대응을 위한 유관기관 통합훈련 내실화활성화
◦ 사회전반 사이버 안보 마인드 확산
- 범정부 차원의 정보보호의 날(법정기념일) 제정시행(대국민 사이버 보안 인식 제고 및 저변확대)
- 민간분야 클린인터넷 운동 활성화(개인정보보호 및 좀비PC 양산 방지), 초중고 정보보호 교육 강화
시사점
1) 국가 아젠다로서의 사이버안보 강화가 필요
2) 정기적인 사이버보안 훈련 평가와 모니터링 강화
3) 사이버범죄 수사에 대한 국제 공조 강화
4) 전문 인력 양성과 선제적 대응 기술의 개발
[출처] 정보통신산업진흥원 - IT R&D 정책동향(2012.07)
2012년 10월 11일 목요일
U-헬스케어
▶U-헬스케어란 유비쿼터스(ubiquitous)와 헬스케어(Healthcare)의 약어로 정보통신기술이 의료와 접목돼 환자가 병원을 찾지 않더라도 언제 어디서나 질병의 예방, 진단, 치료, 사후관리를 받을 수 있는 건강관리 및 의료서비스를 의미
▶ U유헬스는 좁은 의미로는 Ubiquitous Healthcare의 의미로 보건의료 혹은 건강관리로써 IT(Information Technology), BT(Biology Technology), NT(Nano Technology) 등과 연관한 인본주의적 의료를 말함
▶ 넓은 의미로는 건강, 즉 의료를 포함한 도처에 존재하는 IT, BT, NT, CT(Culture Technology) 등과 연관한 유·무형의 융합기술에 의한 인본주의적 건강을 의미. 즉 U-healthcare는 정보통신과 의료를 연결하여 언제 어디서나 질병의 예방, 진단, 사후관리 서비스를 제공받는 것임
▶ 유비쿼터스(Ubiquitous) IT기술을 활용하여 언제, 어디서, 누구나 안전하고 자유롭게 이용할 수 있는 건강관리 및 의료서비스를 제공하는 것으로 텔레-Medicine, 텔레-Health 및 e-Health 등을 포괄하는 것임
u-Healthcare 개념
융 · 복합시대를 맞이하여 u-Health산업은 ITㆍBTㆍ서비스 등이 복합된 대표적인 융합신산업이자 일자리 창출의 보고인 미래 성장동력
u-Healthcare 기술의 변화
유비쿼터스(Ubiquitous) IT기술을 활용하여 언제, 어디서, 누구나 안전하고 자유롭게 이용할 수 있는 건강관리 및 의료서비스를 제공하는 것으로 텔레-Medicine, 텔레-health 및 e-Health 등을 포괄하는 것임
융 · 복합시대를 맞이하여 u-Health산업은 ITㆍBTㆍ서비스 등이 복합된 대표적인 융합 신산업이자 일자리 창출의 보고인 미래 성장동력으로 u-Health 산업의 국내시장은 연평균 12% 이상의 고속성장 전망임
단계별 비즈니스 모델 발굴 전략
-. u-Health 가치사슬에 의한 비스니스모델 발굴강화를 위해서 가치사슬로 분석하면 제조사, 솔루션제공자,건강관리서비스 제공자, 재정적 중개자, 최종고객 단계별로 새로운 비스니스창출이 가능한 바, 이에 대한 비즈니스모델을 발굴함
보안의 구조적 관점(An Architectureal View)
각 환경은 설치되어진 하드웨어, 소프트웨어, 기술 그리고 설정 때문에 다르다.
하지만 환경 간의 주요한 차이점은 각각이 성취하려고 하는 목적이다.
LAN(Local Area Network)은 인증과 사용자들에게 리소스, 그리고 전체적인 통제된 내부환경 제공. WAN(Wide Area Network)은 사용자들과 원격 사이트 간의 연결과 프로토콜 터널링, 그리고 접근통제를 제공한다. 전자상거래 구성은 인터넷 사용자들에게 웹 인터페이스, back-end 서버가 보유하고 있는 데이터에 대한 연결, 접근통제, 그리고 LAN과 WAN에서와는 다른 종류의 인증을 제공한다. 이러한 다양한 목적은 다른 구성요소들을 요구하지만, 같은 기본보안개념을 요구한다.
다음은 대책들(countermeasures)과 그 대책들이 동작하는 레이어 그리고 보호되어야 할 취약성에 대한 짧은 목록들이다.
* Firewall에 내트워크 레이어에서 보호를 제공하는 Packet filtering이 설정되어 있다.
(이것은 IP Spoofing)과 위장(masquerading)을 포합하는 범위의 공격을 방지한다)
* 응용 프로그램 레이어에서 보호를 하는 프록시 소프트웨어 설정(인증되지 않은 접근과 Packet Spoofing을 포함하는 범위의 공격을 막아낸다.)
* Network layer에서 동작하는 네트워크 주소 변환(Netowrk Adress reanslation, NAT)
(LAN IP 주소와 네트워크 topology를 숨긴다.
* Physical Layer에서 STP(Shielded twisted pair) wiring (네트워크 도청(eavesdropping)과 신호방해(signal interference)에 대한 보호를 돕는다.)
* 네트워크 침입 탐지기(Network intrusion detection sensor)는 알려진 "공격징후(attack signatures)"에 대하여 네트워크 수준에서 네트워크 트래픽을 감시한다. (알려진 공격들을 구분하고 필요하다면 TCP 연결을 재설정한다.
*경계선(perimeter) 도메인 이름 서버(domain name server, DNS)는 오직 public records, network mapping, 그리고 개별 컴퓨터 정보를 보호한다.
계획적인 정보보호정책 수립 필요
보안에 대한 투자는 보험 가입과 유사함.
DDos공격, 좀비PC, 스마트폰 악성코드, 내부정보 유출사고 등에 대비해 가입해야 할 보험이 너무도 많은 것이 현실이다.
또한 클라우드 보안, 빅데이터 보안 등 계속 신규 상품이 출시되고 있는 것을 보면 부담스러울 정도다.
이 모든 것들을 도입하기 위해서는 예산 문제가 걸릴 수 밖에 없다.
정보보안에 대한 투자는 반드시 계획적이고 단계적으로 이루어져야 한다.
그 시작은 정보보호정책에서 출발하는 것이 바람직 하다.
보안 사고는 언제든지 일어날 수 있다.
문제는 보안 사고를 최소화하기 위해 어떤 조치를 취했는지, 직원들의 정보의식고취를 위해 어떤 노력을 했는지 그리고 얼마만큼 어떤 기준에 따라 정보보호 예산을 투자했는지가 중요하다.
정보보호 정책 및 지침은 매년 정보보호트랜드와 회사의 사업방향 그리고 관련 컴플라이언스에 부합되도록 매년 갱신되고 관리되어야 한다.
"끝"
DDos공격, 좀비PC, 스마트폰 악성코드, 내부정보 유출사고 등에 대비해 가입해야 할 보험이 너무도 많은 것이 현실이다.
또한 클라우드 보안, 빅데이터 보안 등 계속 신규 상품이 출시되고 있는 것을 보면 부담스러울 정도다.
이 모든 것들을 도입하기 위해서는 예산 문제가 걸릴 수 밖에 없다.
정보보안에 대한 투자는 반드시 계획적이고 단계적으로 이루어져야 한다.
그 시작은 정보보호정책에서 출발하는 것이 바람직 하다.
보안 사고는 언제든지 일어날 수 있다.
문제는 보안 사고를 최소화하기 위해 어떤 조치를 취했는지, 직원들의 정보의식고취를 위해 어떤 노력을 했는지 그리고 얼마만큼 어떤 기준에 따라 정보보호 예산을 투자했는지가 중요하다.
정보보호 정책 및 지침은 매년 정보보호트랜드와 회사의 사업방향 그리고 관련 컴플라이언스에 부합되도록 매년 갱신되고 관리되어야 한다.
"끝"
2012년 10월 8일 월요일
RFP 예제 (보안체계구축 컨설팅 RFP_제안안내)
1. 추진 일정
m제안요청 설명회
Ø제안사
개별 미팅으로 제안요청 설명회를 대신함
m제안서 접수
Ø일 시:
Ø접 수 처:
Ø접 수 처:
Ø원본화일은 접수전에 E-mail로 발송 하여야 함(하단 E-mail)
m제안서 발표
Ø일 시:
Ø장 소:
m유의 사항
Ø제안서는 제안업체가 직접 제출하며 우편 접수는
인정하지 않음
Ø제안요청 설명회를 반드시 참석하여야 하며, 불참 시 본 사업에 제안 할 수 없음
Ø제안서 발표는 사업이행 PM이 직접 발표하여야 함
Ø제출 기한 내 미 제출 시 제안의사가 없는 것으로
처리함
※ 본 제안과 관련되어 제출된 모든 문서는 반환
및 공개하지 않음
※ 상기 일정과 장소는 당사 사정에 따라 조정 / 변경될 수 있음
※ 변경 시 통보할 연락처 및 대표인은 제안서에 기재된 내용으로 통보함
※ 계약 이후라도 보안검증 솔루션등이 당사에 적용하기에 부적
합 하다고 판단 되는 경우 해당 솔루션을 배제 할 수 있으며, 일체의 이의 제기를 할 수 없음.
m문의처
2. 입찰 참가자격
m지명 업체 중 사업 설명회 참가 업체
3. 제안서 작성
및 제출
m제안서는 제안 요구사항을 최대한 충족하도록 하고, 꼭 필요한 사항 위주로 명료하게 작성해야 하고, ~를 제공 할 수도 있다, ~이 가능하다, ~을 고려하고 있다 등과 같은 모호한 표현은 제안서 평가 시
불가능한 것으로 간주 함
m제안서에는
보안레벨에 대한 정의 및 현재의 전사의 보안수준진단에 대한 방법과 향후 전사의 보안 목표수준에 대한 명확한
제시를 해야
함
m제안서 작성시
전사에 대한 보안
진단방법과 사업
수행 시
제안사의 보유 방법론에 의해 구체적인 실행을 어떻게 할
것인지를 명확히 해야 하며, 제안사의 수행능력에 대한 평가가 이루
어 질 수
있도록 세부적인 실행계획이 제시 되어야 함.
m제안내용의 근거자료 및
참고자료 등을 첨부하여야 함
m제안서는 A4 종 방향 작성을 원칙으로 하되 부득이한 경우
A4 횡방향 또는 기타용지를 일부 사용할수 있으며, 제본하여 제출하도록 함
m제안서의 각 페이지는 쉽게 참조할 수 있도록 페이지
하단 중앙에 일련번호를 붙이되, 각 장 별로 번호를 부여해야 함
m제안서는 한글작성이 원칙이며, 사용된 영문약어에 대해서는 약어표를 제공 해야 함
m제안서는 ppt (파워포인트)로 작성되어야 함
m제출 부수
Ø제안서 5부, 제안요약서 5부
Ø제안서 원본을 파일로
제출 (E-MAIL)
4. 제안서의 효력
m제안서의 내용은 제안사가 사업자로 선정된 후, 계약서에 명시되지 않더라도 계약서와 동일한
효력을 가진다. 단, 계약서에 명시한 경우는 계약서 사항이
우선하도록 함
m필요 시 제안업체에 대하여 추가제안 또는 자료를
요청할 수 있으며, 이에 따라 제출된 자료는 제안서와 동일한
효력을 갖도록 함
m우선협상 사업자에 선정되면 기술 협상록을 작성 제출 하여야 하며 이는 계약서에
포함되어 계약서에 준하는 효력을 갖도록 함
5. 협상 적격자 및 협상순위
선정
m입찰 및 낙찰방식 : 제한경쟁입찰/협상에 의한 계약
m협상순서는 협상적격자의 기술능력평가 점수와 입찰가격평가
점수를 합산하여 합산점수의 고득점 순으로 우선
협상함
m ※ 기술평가 80점, 가격평가 20점으로 총점 100점 만점
m제안서 평가 : 제안서평가는 당 평가위원회를 개최하여 평가위원의 평가점수를 합산하여 산술 평균한 점수로 하며, 평균점수 산정결과 소수점 이하의 숫자가 있는
경우에는 소수점 셋째 자리에서 반올림함
6. 협상 절차 및
진행
m계약담당자는 결정된 협상순위에 따라 협상대상자와 협상을 하며, 협상이 성립된 때에는 다른 협상적격자와
협상을 실시하지 아니한다.
m협상대상자와의 협상이 성립되지 않으면 동일한 기준과 절차에
따라 순차적으로 차 순위 협상적격자와 협상을 실시한다.
m협상은 협상대상자가 제안한 사업내용, 이행방법, 이행일정, 등 제안서 내용을 대상으로 협상을 실시하고, 협상대상자와 협상을 통해 제안서 내용 일부를 조정할 수
있다.