공급망 보안, 이제는 ‘평가’가 아니라 ‘탐지와 대응’의 시대입니다

제3자 보안관리, 평가 이후가 더 중요합니다.안녕하세요. 동훈아이텍입니다.많은 기업이 협력사와 공급업체를 대상으로 보안 평가를 진행합니다.계약 전 보안 검토를 수행하고, 정기적으로 설문지를 발송하며, 필요 시 보안 관련 자료를 요청하기도 합니다.하지만 제3자 위험관리에서 정말 중요한 질문은 따로 있습니다.“평가 이후, 실제 위험은 줄어들고 있는가?”공급업체가 설문에 응답했다고 해서 리스크가 사라지는 것은 아닙니다.보안 점검표가 완료되었다고 해서 취약점이 해결된 것도 아닙니다.문제는 평가 결과를 바탕으로 어떤 위험을 먼저 조치하고, 공급업체와 어떻게 개선을 이어갈 것인가입니다.기존의 제3자 보안관리는 평가 자체에 많은 시간이 소요됩니다.보안 설문을 만들고, 답변을 취합하고, 증빙 자료를 확인하고, 결과를 정리하는 과정이 대부분 수작업으로 이루어지는 경우가 많습니다.이 과정에서 보안팀과 리스크 관리팀은 반복적인 행정 업무에 많은 시간을 쓰게 됩니다.정작 중요한 고위험 공급업체 식별, 취약점 우선순위화, 개선 조치 추적에는 충분한 리소스를 투입하기 어렵습니다.또 하나의 문제는 공급업체의 보안 상태가 계속 변한다는 점입니다.평가 당시에는 문제가 없었던 업체도 이후 신규 취약점에 노출될 수 있고, 보안 등급이 하락할 수 있으며, 침해 사고와 연관될 수도 있습니다.따라서 제3자 위험관리는 단순히 평가를 완료하는 업무가 아니라, 평가 이후의 변화까지 지속적으로 확인하고 조치하는 운영 체계가 되어야 합니다.SecurityScorecard TITAN AI Platform은 이러한 제3자 보안관리의 한계를 보완합니다.공급업체의 보안 상태를 지속적으로 모니터링하고, 외부 공격 표면과 취약점, 보안 등급 변화, 위협 이벤트를 기반으로 실제 조치가 필요한 위험을 식별할 수 있도록 지원합니다.또한 TITAN Assess를 통해 보안 설문과 평가 업무를 간소화하고, TITAN Secure를 통해 공급업체 리스크를 단일 워크플로에서 관리할 수 있습니다.TITAN MAX는 내부 리소스가 부족한 조직을 위해 평가, 모니터링, 대응, 개선 조치까지 전문가 기반으로 지원합니다.이제 제3자 보안관리는 “평가했는가?”에서 끝나서는 안 됩니다.중요한 것은 평가 이후입니다.어떤 공급업체가 가장 위험한지,어떤 취약점을 먼저 해결해야 하는지,공급업체가 실제로 개선 조치를 완료했는지,그리고 그 결과 기업의 공급망 리스크가 줄어들었는지를 확인해야 합니다.공급망 보안의 목표는 점검 완료가 아니라 위험 감소입니다.SecurityScorecard는 기업이 제3자 위험을 지속적으로 파악하고, 우선순위에 따라 대응하며, 실제 개선으로 이어지는 공급망 보안 체계를 구축할 수 있도록 지원합니다.읽어주셔서 감사합니다.자세한 문의는 marketing@dhitech.co.kr 로 문의 부탁드립니다.#제3자보안관리 #제3자위험관리 #TPRM #공급망보안 #협력사보안관리 #공급업체보안평가 #벤더리스크관리 #보안평가자동화 #보안설문자동화 #고위험공급업체 #리스크모니터링 #위험감소 #SecurityScorecard #시큐리티스코어카드 #SecurityScorecardTITAN

Shadow IT-Skyhigh Security CASB로 보호하다.

Shadow IT-Skyhigh Security CASB로 보호하다.Shadow IT는 “보이지 않는 사용”에서 시작됩니다.업무 생산성을 위해 개인 계정 SaaS, 무료 파일공유, 생성형 AI, 협업 도구 등을 빠르게 사용하는 과정에서 발생합니다. 문제는 사용 자체가 아니라, 데이터가 어디로 이동하고 누가 접근하는지 보안 관리자가 알기 어렵다는 점입니다.​현대 기업에서 Shadow IT를 관리해야 하는 이유자주 발생하는 상황• 무료 SaaS로 대용량 파일을 외부 공유• 개인 계정으로 문서/코드/고객정보 업로드• 현업이 직접 도입한 협업·마케팅·AI 도구 사용​방치 시 발생하는 일• 민감정보 유출 및 외부 반출 경로 증가• 비인가 저장소에 데이터 잔존• 컴플라이언스 위반, 감사 대응 어려움​관리 관점의 핵심• 모든 앱을 수작업으로 확인하기 어려움• 사용량/위험도 기반 우선순위 필요• 차단보다 “가시성 → 분류 → 정책”이 중요​Skyhigh Security CASB로 Shadow IT를 관리하면 얻는 이점​가시성누가, 어떤 앱을, 얼마나 사용하고 있는지 파악​위험 기반 의사결정업무 앱 승인·대체·차단 기준을 객관화​데이터 보호민감정보 업로드/공유/다운로드 통제​감사 대응사용 이력과 정책 결과를 보고서로 관리​운영 효율수작업 앱 점검 대신 대시보드와 정책으로 관리결론 : Shadow IT 가시성은 현대 기업의 기본 보안 체계입니다.수많은 상용 애플리케이션과 AI 서비스가 빠르게 확산되는 환경에서 보안 관리자가 모든 사용을 직접 확인하기는 어렵습니다. 따라서 기업은 사용 현황을 자동으로 식별하고, 위험 기반으로 분류하며, 정책을 통해 통제할 수 있는 가시적인 보안 체계를 구축해야 합니다.Skyhigh Security CASB는 Shadow IT를 발견하고, 위험을 평가하며, 데이터 보호 정책까지 연결하는 실질적인 관리 기반을 제공합니다.원문 링크 참조 : https://lnkd.in/gXnmBXEt읽어주셔서 감사합니다.자세한 문의는 marketing@dhitech.co.kr 로 문의 부탁드립니다.

2025년 백서 : BigID를 활용한 데이터, AI 보안 및 규정 준수를 위한 GenAI 준비 썸네일

안녕하세요. 동훈아이텍입니다. 오늘은 BigID를 활용한 데이터, AI 보안 및 규정 준수를 위한 GenAI 준비에 대해 말씀드리겠습니다. 기업들이 생성형AI(GenAI) 도입을 가속화함에 따라, 가장 중요하면서도 종종 간과되는 과제 중 하나는 비정형 데이터를 관리하고 분류하는 것입니다.이메일과 문서부터 클라우드 스토리지 저장소와 협업 도구에 이르기까지, 비정형 데이터는 기업의 디지털 발자국(Digital Footprint)에서 상당 부분을 차지합니다. 이러한 데이터를 처리할 탄탄한 전략이 없다면, 기업은 보안 위험, 규정 위반, 그리고 AI 기반 혁신의 비효율성에 직면하게 됩니다.데이터 위험(Data Risk) 관리에서 DSPM의 역할데이터 보안 태세 관리(DSPM, Data Security Posture Management)는 클라우드 및 SaaS 환경에서 민감한 데이터를 발견하고 보호하는 핵심 솔루션으로 부상했습니다. DSPM은 GDPR, HIPAA 등의 규제 의무 또는 과도한 권한 부여 또는 노출된 데이터와 같은 보안 취약점으로 인해 발생하는 고위험 데이터 자산에 대한 가시성을 조직에 제공합니다.그러나 기존 DSPM 솔루션은 주로 정형 데이터에 초점을 맞춰 비정형 데이터 거버넌스에 공백을 남겼습니다. 바로 이러한 점에서 DSPM에서 포괄적인 데이터 보안 플랫폼(DSP, Data Security Platform)으로 전환하는 진화된 접근 방식이 중요해 집니다.BigID 접근 방식: DSPM에서 DSP로BigID는 더욱 광범위하고 통합된 데이터 보안 플랫폼을 제공하여 DSPM 시장에서 두각을 나타냅니다. 이러한 접근 방식을 통해 기업은 통합 솔루션을 통해 정형 데이터와 비정형 데이터를 모두 관리할 수 있습니다. BigID가 주요 과제를 해결하는 방식은 다음과 같습니다.1. 포괄적인 데이터 검색발견되지 않은 데이터는 보호되지 않은 데이터입니다. BigID는 SaaS 플랫폼(예: Salesforce, ServiceNow), 클라우드 환경(예: Snowflake, AWS, Azure), 협업 도구(예: Slack, Google Drive, Microsoft 365) 등 광범위한 데이터 소스를 지원합니다. 고급 AI 기반 분류를 통해 조직은 다음과 같은 작업을 수행할 수 있습니다.l 다양한 저장소에서 중요한 비정형 데이터를 식별합니다.l 문서, 이메일, 파일을 자동으로 분류합니다.l 불필요한 위험(unnecessary risk)을 가중시키는 중복(duplicate), 버려진(orphaned), 오래된(stale) 데이터를 탐지합니다.2. 고급 AI 기반 분류(classification)사전 정의된 정규 표현식에 의존하는 기존 DSPM과 달리 BigID는 다음을 제공합니다:l 고유한 비즈니스 요구 사항에 맞춰 조정되는 AI 기반 분류(AI-Driven classification)l 매우 민감한 정보에 대한 정확한 데이터 매칭l 자연어 처리(NLP, Natural language processing)을 통해 비정형 데이터를 분류합니다.l 변화하는 규제 및 비즈니스 요구 사항에 맞춰 사용자 정의가 가능한 분류기(classifiers) 입니다.3. 비정형 데이터(Unstructured Data에 대한 위험 태세 분석(Risk Posture Analysis)조직은 비정형 데이터와 관련된 위험을 파악해야 합니다. BigID는 다음을 제공합니다:l 데이터 민감성과 보안 태세(Security Posture)에 대한 통찰력.l 규정 준수 프레임워크에 대한 데이터 자동 매핑.l 과도하게 허가되거나 과도하게 공유된 데이터를 식별합니다.l 섀도우 데이터와 잘못 구성된 접근 제어를 탐지합니다.4. 실행 가능한 개선책BigID는 데이터 위험을 식별하는 것 외에도 다양한 자동화된 작업을 통해 교정(remediation)을 지원합니다.l 데이터 소유자(Data Owners)가 보안 문제를 해결할 수 있도록 위임된 교정 워크플로우(Delegated remediation workflow)를 제공합니다.l 권한 및 접근 제어를 관리하기 위한 데이터 접근 거버넌스(DAG, Data Access Governance).l 중복되고, 쓸모없고, 사소한(ROT, Redundant-Obsolete-Trivial) 데이터를 줄이기 위한 보존 관리(Retention Management)l SIEM, SOAR 및 Ticketing(ex, Jira) 시스템과 통합하여 보안 운영을 간소화 합니다.읽어주셔서 감사합니다.자세한 문의는 marketing@dhitech.co.kr 로 문의 부탁드립니다.​#GenAI보안#생성형AI보안#AI데이터보안#AI거버넌스#GenAI준비#생성형AI도입준비#데이터보안플랫폼#DSPM#DataSecurityPostureManagement#DSP#DataSecurityPlatform#비정형데이터보안#비정형데이터관리

망분리 없는 시대, 데이터는 누가 책임집니까? – BigID로 대비하십시오 썸네일

26년을 기점으로 국내 IT 보안 환경은 ‘통제 중심 보안’에서 ‘데이터 중심 보안’으로 구조적인 전환을 맞이하고 있습니다.최근 발표된 정책 변화와 실제 사고는 한 가지 공통된 메시지를 던지고 있습니다.“이제 보안의 마지막 책임은 ‘망’이 아니라 ‘데이터’다.”1. N2SF 시행과 함께 달라지는 보안 기준국정원은 기존 망분리 조항을 삭제하고, 정보를 기밀(C), 민감(S), 공개(O) 등으로 구분해 차등적인 보안 통제를 적용하는 국가망보안체계(N2SF)를 2026년 5월부터 시행할 예정이라고 밝혔습니다.이는 획일적인 망분리 중심 보안에서 벗어나, 데이터 중요도에 따라 보안 수준을 달리 적용하는 방향으로 보안 체계가 변화하고 있음을 보여줍니다.이제 기업과 기관은 단순히 망을 분리하는 것만으로는 충분하지 않습니다.어떤 데이터가 어디에 있는지, 얼마나 민감한지, 누가 접근할 수 있는지를 파악해야 실제 보안 통제가 가능합니다.즉, 보안의 중심이 망에서 데이터로 이동하고 있는 것입니다.​2. AI 시대, 더 중요해진 데이터와 권한 통제최근 앤트로픽의 ‘미토스(Mythos)’ 관련 보도에서는, 고성능 AI 모델이 보안 취약점 탐지에 활용될 수 있는 동시에 공격에 악용될 수 있다는 우려도 함께 제기됐습니다.또한 관련 기사와 공지에서는 AI 고도화가 사이버 보안 환경 전반에 큰 영향을 주고 있으며, 이에 대한 점검과 대응이 필요하다는 점이 강조됐습니다.이러한 흐름은 단순히 “AI가 위험하다”는 의미가 아닙니다.오히려 중요한 것은 AI가 접근하는 데이터, AI와 연결된 시스템, 그리고 권한이 열려 있는 정보 자산을 얼마나 체계적으로 관리하고 있는가입니다.AI를 활용하는 환경이 확대될수록 데이터 가시성과 접근 통제의 중요성은 더욱 커질 수밖에 없습니다.​3. 금융 분야 설치형 보안 SW 논의가 보여주는 변화국가인공지능전략위원회는 2026년 4월 16일 공지를 통해, 보안특별위원회 첫 정례회의에서 금융분야 설치형 보안 소프트웨어의 단계적 철폐 계획을 관계 부처와 함께 논의했다고 밝혔습니다.공지에는 생성형 AI와 AI 에이전트 확산으로 보안 환경이 빠르게 바뀌고 있으며, 기존 설치형 보안 SW가 이용자 불편을 초래하거나 새로운 공격 경로로 악용될 수 있다는 문제의식도 담겨 있습니다.이는 보안 책임이 사용자 단말에만 머무르는 것이 아니라, 서버·시스템·데이터 중심의 관리 체계로 확장되고 있음을 보여줍니다.앞으로는 무엇을 설치했는가보다, 우리 조직의 데이터를 얼마나 정확히 파악하고 보호할 수 있는지가 더욱 중요해질 것입니다.지금 기업에 필요한 것은 무엇일까요?최근의 정책 변화와 보안 이슈를 종합해 보면, 기업이 지금 점검해야 할 질문은 분명합니다.​우리 조직에는 어떤 데이터가 있는가그 데이터는 어디에 저장되어 있는가어떤 데이터가 개인정보, 민감정보, 중요정보에 해당하는가누가 접근하고 있으며, 어떤 권한이 부여되어 있는가AI, 클라우드, 외부 협력사와 연결된 데이터는 무엇인가이 질문에 답할 수 있어야 데이터 보호 정책을 세우고, 리스크를 줄이며, 규제 대응까지 체계적으로 준비할 수 있습니다.​BigID가 필요한 이유BigID는 이러한 변화에 대응할 수 있도록 설계된 Data Security Platform입니다.온프레미스, 클라우드, SaaS, 데이터베이스, 파일 서버 등 다양한 환경에 분산된 데이터를 식별하고, 민감정보를 자동으로 분류하며, 데이터 접근과 보안 리스크를 보다 체계적으로 관리할 수 있도록 지원합니다.BigID로 기대할 수 있는 핵심 가치​1. 전사 데이터 가시성 확보조직 전반에 흩어져 있는 데이터를 식별하고 분류해, 개인정보(PII), 민감정보, 중요정보, 비정형 데이터, AI 관련 데이터까지 폭넓게 파악할 수 있습니다.​2. 데이터 중요도 기반 보안 대응데이터의 민감도와 중요도에 따라 분류 체계를 세우고, 누가 어떤 데이터에 접근할 수 있는지 기준을 보다 명확하게 정리할 수 있습니다.​3. AI·클라우드·외부 연계 환경의 리스크 관리AI 활용 데이터, 외부 연동 데이터, 다양한 클라우드 환경에서 발생할 수 있는 보안 리스크를 보다 입체적으로 파악하는 데 도움이 됩니다.​4. 규제 대응과 감사 준비 지원개인정보보호, 내부통제, 데이터 거버넌스, 보안 감사 대응에 필요한 데이터 인벤토리와 관리 체계를 강화하는 데 유용합니다.​이제 보안의 중심은 ‘망’이 아니라 ‘데이터’입니다망분리 완화, AI 보안 이슈의 부상, 설치형 보안 SW 체계 변화는 모두 보안의 방향이 달라지고 있음을 보여줍니다.​앞으로의 보안 경쟁력은 얼마나 많은 솔루션을 설치했는가가 아니라,우리 조직의 데이터를 얼마나 정확히 이해하고, 얼마나 체계적으로 보호할 수 있는가에 달려 있습니다.​BigID는 이러한 변화 속에서 기업이 데이터 중심 보안 체계를 준비할 수 있도록 돕는 플랫폼입니다.보안 패러다임이 바뀌는 지금, 데이터 가시성과 통제를 기반으로 한 전략을 점검해야 할 시점입니다.​l N2SF 물적 망분이와 논리적 망분리 완전 폐지n https://v.daum.net/v/BsNWlAztoLl 미토스 엔트로픽 AI 해킹사고n https://www.khan.co.kr/article/202604191447001#ENTn https://www.hitech.co.kr/news/articleView.html?idxno=56591l 금융분야 설치형 보안 소프트웨어 철폐n https://www.aikorea.go.kr/web/board/brdDetail.do?menu_cd=000012&num=533읽어주셔서 감사합니다.자세한 문의는 marketing@dhitech.co.kr 로 문의 부탁드립니다.​#BigID #데이터보안 #데이터중심보안 #정보보호 #망분리 #N2SF #AI보안 #클라우드보안 #개인정보보호 #보안거버넌스

공급망 보안, 이제는 ‘평가’가 아니라 ‘탐지와 대응’의 시대입니다

공급망 보안, 이제는 ‘평가’가 아니라 ‘탐지와 대응’의 시대입니다기업의 보안 위협은 더 이상 내부 시스템에만 국한되지 않습니다.최근 사이버 공격은 기업을 직접 침투하기보다, 상대적으로 보안 수준이 낮은 협력사, 공급업체, 외부 파트너를 통해 우회적으로 확산되는 양상을 보이고 있습니다.즉, 우리 회사의 보안 수준이 아무리 높더라도 연결된 제3자 환경에서 취약점이 발생하면 기업 전체가 공급망 리스크에 노출될 수 있습니다.특히 클라우드, SaaS, 외주 개발, 협력사 시스템 연동이 늘어나면서 기업의 디지털 생태계는 더욱 복잡해졌습니다. 이제 보안은 “우리 내부만 잘 지키면 되는 문제”가 아니라, 우리와 연결된 모든 공급망을 얼마나 지속적으로 파악하고 관리할 수 있는가의 문제로 확장되고 있습니다.기존 제3자 위험관리는 왜 한계가 있을까?많은 기업은 제3자 위험관리를 위해 보안 설문지, 연례 평가, 스프레드시트 기반 점검을 활용해 왔습니다.하지만 이러한 방식은 대부분 특정 시점에만 이루어지는 정적인 평가에 가깝습니다.문제는 사이버 위협이 특정 시점에만 발생하지 않는다는 점입니다.공급업체의 보안 등급은 시간이 지나며 변할 수 있고, 신규 취약점이 발견될 수 있으며, 협력사의 또 다른 협력사, 즉 4th-party에서 침해 사고가 발생할 수도 있습니다.기존 방식만으로는 다음과 같은 한계가 발생합니다.공급망 전반에 대한 실시간 가시성 부족 공급업체 보안 문제 발생 시 책임 소재 불명확 수작업 중심의 설문 및 평가로 인한 업무 부담 증가 침해 발생 후에야 대응하는 사후 대응 중심 구조 고위험 공급업체를 선제적으로 식별하고 조치하기 어려움 결국 기업은 “평가는 했지만 실제 위험은 줄이지 못하는” 상황에 놓일 수 있습니다.SecurityScorecard TITAN AI Platform이 제시하는 새로운 접근SecurityScorecard의 TITAN AI Platform은 기존의 제3자 위험관리 방식을 넘어, 위협 인텔리전스 기반의 지속적인 공급망 보안 관리를 제공합니다.TITAN AI Platform은 AI와 데이터를 기반으로 제3자 위협 인텔리전스를 통합하고, 기업이 공급망 전반의 위험을 더 빠르게 탐지하고 우선순위화하며 대응할 수 있도록 지원합니다.핵심은 단순히 공급업체의 보안 점수를 확인하는 것이 아닙니다.공급업체의 외부 공격 표면, 취약점, 보안 등급 변화, 침해 가능성, 위협 이벤트를 지속적으로 모니터링하고, 실제 조치가 필요한 위험을 식별하는 것입니다.이를 통해 기업은 다음과 같은 질문에 답할 수 있습니다.“우리 공급업체 중 현재 가장 위험한 곳은 어디인가?”“특정 취약점이 우리 공급망에 어떤 영향을 미치는가?”“공급업체가 실제로 문제를 해결했는가?”“침해 발생 시 어떤 협력사에 먼저 연락해야 하는가?”TITAN Watch, Assess, Secure, MAX로 이어지는 공급망 보안 체계SecurityScorecard TITAN은 기업의 보안 성숙도와 운영 목적에 따라 단계적으로 활용할 수 있습니다.TITAN Watch는 공급망 생태계 전반에 대한 기본적인 가시성을 제공합니다. 알려지지 않은 제3자 및 제4자 연결 관계를 발견하고, 공급업체의 보안 상태를 지속적으로 모니터링할 수 있도록 지원합니다.TITAN Assess는 보안 설문 및 평가 프로세스를 자동화합니다. 수작업으로 진행되던 벤더 평가 업무를 줄이고, 신규 파트너 온보딩과 보안 검토를 보다 빠르게 수행할 수 있도록 돕습니다.TITAN Secure는 공급망 위험을 실시간으로 탐지하고 대응하는 체계를 제공합니다. 보안 이벤트를 단일 워크플로에서 관리하고, 공급업체와의 조치 프로세스를 체계화하여 운영 효율성을 높일 수 있습니다.TITAN MAX는 관리형 서비스 기반으로 제3자 위험관리 운영을 지원합니다. 내부 인력이 부족하거나 공급망 보안 운영 체계를 빠르게 고도화해야 하는 기업에게 적합하며, 공급업체 평가, 지속 모니터링, 위험 대응, 개선 조치까지 전문가 기반으로 지원합니다.공급망 보안의 핵심은 ‘지속적인 관리’입니다공급망 보안에서 중요한 것은 단순한 점검이 아니라 지속적인 관리입니다.한 번의 설문, 한 번의 평가, 한 번의 계약 검토만으로는 변화하는 사이버 위협을 따라가기 어렵습니다.이제 기업은 공급업체를 단순히 “평가 대상”으로 보는 것을 넘어, 함께 보안 수준을 개선해야 하는 생태계의 일부로 바라봐야 합니다.SecurityScorecard는 공급업체의 보안 상태를 지속적으로 모니터링하고, 위험을 정량화하며, 우선순위에 따라 조치를 실행할 수 있도록 지원합니다. 이를 통해 기업은 공급망 전반의 보안 가시성을 확보하고, 침해 사고 발생 가능성을 줄이며, 규제 대응과 이사회 보고에도 활용 가능한 체계적인 데이터를 확보할 수 있습니다.침해 이후가 아니라, 침해 이전에 움직여야 합니다공급망 침해 사고가 발생한 후에는 이미 피해 범위 파악, 협력사 연락, 영향 분석, 고객 대응 등 많은 리소스가 소모됩니다.반면 침해 이전에 고위험 공급업체를 식별하고, 취약점을 우선순위화하며, 공급업체와 개선 조치를 진행할 수 있다면 대응의 출발점이 완전히 달라집니다.SecurityScorecard가 제시하는 공급망 탐지 및 대응, 즉 SCDR 접근 방식은 기업이 침해 사고 이후에 급하게 대응하는 구조에서 벗어나, 사전에 위험을 줄이고 사고 발생 시에도 신속하게 대응할 수 있는 운영 모델을 구축하도록 돕습니다.읽어주셔서 감사합니다. 자세한 문의는 아래로 부탁드립니다.marketing@dhitech.co.kr#협력사보안관리 #협력업체보안점검 #벤더리스크관리 #공급업체보안 평가 #외부협력사보안 #보안등급평가 #사이버보안등급