[기고-8] 기업정보보안의 핵심적 가치는? - SKT 사보기고 나왔네요

Lecture&Comlumn 2010/06/30 13:29

며칠전 우연한 기회에 한 통신사에서 사보에 기고를 해달라는 청탁이 와서 기고를 하였습니다. 사보라는 것은 회사의 소식지 같은 것으로 아무래도 회사에 동향이나 정책, 그리고 구성원에 대한 캠페인성 글들이 주류를 이루게 되고 성격상 그런류로 많이 가겠지요..

이번에는 <보안>에 대한 주제를 가지고 기고를 하였습니다. 그중에서도 특히 <사내보안>에 대한 내용입니다. 처음 접근은 하드웨어적인 접근을 조금 하였더니 아니나 다를까 대기업이라 그런지 하드웨어적인 보안은 역시 우수한 상태였습니다. 물론 제가 직접 방문하여 본 것은 아니지만 ...그만큼 대기업의 하드웨어적인 보안수준은 그나마 많이 올라가 있다는 것이죠

클릭하시면 크게 보실수 있습니다. -SKT사보기고



특히 담당하시는 분께서 친절하게 많은 도움을 주셨는데, 이 자리를 빌어 감사하다는 말씀 드리겠습니다. 원고마감과 데드라인이 있기 때문에 긴박감이 느껴졌습니다.

보통, 구성원들은 <사보>하면 아무렇게나 그냥 몇번 슬쩍 지나가듯이 읽고 하지만 담당자들은 야근과 밤늦게까지 작업을 하여 만들어 내는 산출물이니만큼 가볍게 여기지 말고 하나하나 꼼꼼히 읽고 도움되는 부분이 있다면 감사의 메일이라도 보내주면 담당자는 더 힘이나고 좋은 사보를 만들지 않을까요.

제가 기고했던 주된 내용은 <사내보안>으로 케이스별로 몇개 만들어 흔히 실수로 이루어질수 있는 사내 정보유출을 짚어 보았습니다.

  • 사례1 - 문서보안 해제 , 파트너사에게 문서보안이 되어있는 파일을 귀찮다는 것때문에 문서보안을 해제하고 보냈는 데 넘기지 말아야 할 정보까지 넘기는 경우, 결국 경쟁사에 데이터 분석까지 유출
  • 사례2 - SNS 잘못이용하여 사내 정보유출, 최근 뉴미디어의 변화의 축에 있는 블로그, 트위터를 통하여 부분별한 과다 정보 제공으로 인한 정보유출
  • 사례3 - 사소한 대화에도 정보유출, 보통 회식자리나 식사자리에서 큰소리로 통화하거나 대화를 할때  업무적인 내용이나 조직에 대한 이야기를 하게 되어 자연스럽게 주변 인물들에게 정보가 유출되는 사례


이러한 상황들은 흔히 우리가 주변에서 겪을수 있는 상황으로 <물리적>인 경계선을 넘어서 또 다른 <사내보안>에 대한 이슈로 나타나고 있습니다. 따라서 보안은 생활에 밀착하게 있다고 보고 각기 구성원들은 보안에 대한 인식과 마인들 변화를 가지고 늘 조심하는 것이 중요하겠습니다.  보안에 대한 관심을 함께 공유하고 픈 분들은 보안인닷컴 커뮤니티를 이용하시면 더 많은 정보와 보안에 대한 흐름을 만날수 있습니다. @엔시스.

'Lecture&Comlumn' 카테고리의 다른 글

[강연-16] 수도권집중된 보안세미나, 지방에서도 똑같이 들을수 있어  (3) 2010/07/18
[칼럼-116] 정보보안인력 취업 위한 전문교육 실시, 지방은 늘 소외돼  (4) 2010/07/01
[기고-8] 기업정보보안의 핵심적 가치는? - SKT 사보기고 나왔네요  (3) 2010/06/30
[칼럼-115] USB 사용하시는 분들 보안의 생활화 - 다시 찾은 USB 이동저장장치  (7) 2010/06/04
[칼럼-113] SIS 자격증, 국가기술자격증 확정에 즈음하여  (8) 2010/05/27
[강연-16] "보안전문가가 되기 위한 나만의 로드맵 " -쿠시스 영남지역  (4) 2010/05/23
Posted by 엔시스
TAG SKT사보기고, 보안마인드, 보안의 생활화, 자발적 참여와 인식
트랙백 0, 댓글 3개가 달렸습니다

벤쳐 창업에 젊은피 수혈 시급해

IT Trend 2010/06/28 22:39

오늘자 신문 기사에 따르면  "벤쳐에 젊은피가 없다" 고 한다.  다음은 관련 기사에서 보여주고 있는 통계를 보면 현재 벤쳐에 대한 현황을 읽어 볼수 있다.


                                                                               <출처: 전자신문>

지난 10년 전에는 30대의 벤쳐기업가가 50%가 넘었지만 지금은 11%에 지나지 않는다. 또한 40대는 31%인 반면에 2009년에는 50.2%로 20% 이상이나 증가세를 나타내고 있다.

그것은 그만큼 젊은 창업가의 기회가 줄어 들거나 아니면 규제가 늘어난 것이라 생각이 든다. 벤쳐 붐이 일어난 시대에 아이디어 하나만 있으면 창업을 했던 시대와 지금 불경기 시대에 벤쳐 창업을 한다는 것은 쉽지 않은 것이다.

그만큼 보수적으로 접근 하려는 의도가 많은 것이다. 어쩌면 40대에 한번 실패 했다가 다시 재기 할수 있는 기회가 더 줄어든 것은 아닌가 생각을 한다.

30대에 실패를 하더라도 다시 40대에 일어설수 있는 기회가 있어야 하는데 현실이 그렇지 않다보니 자유로운 벤쳐창업이 아닌 38선 45선에 있던 사람들이 먹고 살기 위한 생업형 벤쳐 창업이 아닌가 생각이 든다. 그것은 어쩌면 기성 세대들의 구조적인 문제일 수도 있다는 생각이 든다.

이런 환경속에서 경험이 없는 젊은 벤쳐 창업가는 위축 될수 밖에 없고, 우선은 학연,혈연,지연등을 따지고 나이를 따져 비지니스를 해야 하는 구조이니 당연히 자본금이나 인맥등이 부족한 젊은 벤쳐 창업가는 힘이 들수 밖에 없는 구조를 안고 있는 것이다.

요즘은 가끔 생각해 보는데 정부에서 '1인 창조기업'이나  스마트폰 개발 같은 것이 새로운 먹거리로 탄생 될 것처럼 보이지만 실제 그리 쉬운 모양은 주변에서도 볼때 아닌듯 하다.

지난번 새싹 대장정  2010/04/08 - [Lecture&Comlumn] - 새싹희망 대장정 인터뷰 - 쇼셜네트워크로 지역적 한계를 넘어서자    인터뷰를 하던 한 젊은 청년도 기존 기성세대의 틀 안에서는 젊은 피를 수혈 할수 없다는 이야기를 들었다..

아무튼,  새로운 벤쳐업계에 젊은 피를 수혈 하기 위해서는 각종 제도와 규제, 그리고 구조적인 문제가 무엇인지를 다시한 번 살펴 보고 조금 더 진입장벽을 낮추는 것이 필요하겠다.. 그리고 보면 요즘 들어 경험과 인맥이라는 것의 힘이 없는 젊은 이들이 자칫 허울좋은 벤쳐 창업이라는 화려한 수식에만 현혹이 되어 다시 일어설수 없는 상황까지 가기 두려운 그런 모습때문에 위축이 되고 있는 것 같아 씁쓸한 모습이기도 하다. 하루 빨리 좋은 젊은피를 수혈 할수 있는 정책 마련이 되었으면 한다.. @엔시스.



'IT Trend' 카테고리의 다른 글

스마트폰으로 보는 기사가 광고로 가로막혀 불편  (4) 2010/09/10
지메일 자동분류 베타 버전  (0) 2010/09/05
벤쳐 창업에 젊은피 수혈 시급해  (3) 2010/06/28
[스카이프 체험후기] 스카이프(Skype), 무료전화 한통이면 밤새도록 보안강의를~~  (2) 2010/04/29
엔시스정보보호따라잡기 모바일에서도 구독 가능  (2) 2010/04/14
애플 어디까지 변화시킬까?- 아이패드(ipad) 출시에 즈음하여  (4) 2010/04/05
Posted by 엔시스
TAG 벤쳐, 젊은피 수혈
트랙백 1, 댓글 3개가 달렸습니다

오리지널 OSI 란 무엇인가?

Security Data 2010/06/25 16:45

제목이 조금 자극적이긴 한데요..오리지널 OSI가 무엇인가? 라는 제목으로 나온 글과 자료가 있어 포스팅 합니다. 네트워크 공부하는 사람이라면 OSI 7 에 대하여 많이 배울텐데.. 다시 한번 정리 할수 있는 기회가 되었으면 합니다.

년도를 보니까 상당히 오래된 내용인듯 합니다.  참고 바랍니다.



T-REC-X.200-199407-I!!PDF-E.pdf


출처 : http://packetlife.net/blog/2010/may/28/origin-osi-model/

'Security Data' 카테고리의 다른 글

2009년 해킹.바이러스 현황 및 대응 보고서 -KISA  (2) 2010/08/24
2010년 국가정보보호 백서  (0) 2010/07/08
오리지널 OSI 란 무엇인가?  (0) 2010/06/25
스펨 메일을 통한 악성코드 분석  (0) 2010/04/03
최근 침해사고 사례분석 -KISA  (2) 2009/11/08
정보보호(보안) 캐리어 마인드맵 공개  (4) 2009/11/04
Posted by 엔시스
TAG OSI 7 layer, 네트워크
트랙백 0, 댓글 0개가 달렸습니다.

내가 안철수교수님 팬카페를 만든 이유는?

Security People 2010/06/25 13:41


2010년 들어서 많은 고민을 하게 되는 한해인듯 합니다. 상반기에는 '전주현의 보안같지 않은 보안이야기 -보보톡' 아프리카 개인인터넷 방송을 시작 하였습니다. 그리고 또하나 '안철수 교수님 팬카페를 ' 개설 하였습니다.

                                      

                                          < 안철수 교수 팬카페  http://cafe.naver.com/loveahn.cafe >


전 이미 지난 포스팅을 통하여 많은 공감과 자극을 받았습니다.  솔직히 '기업가 정신' 이라는 분야에 대하여 잘 몰랐고 아직도 잘 모릅니다. 하지만 그분의 방송을 보고 있노라면 왠지 무엇인가 알아 갈수 있을꺼 같고, 그렇게 하고픈 마음이 있습니다.


그런 내용은 다음 포스팅에 고스란히 적혀 있습니다.

2010/01/22 - [Security People] - 안철수교수가 말하는 기업가(起業家) 정신이란?


그리고 최근 언론이나 방송에 자주 등장하시는 분이 있으니 바로 '안철수 교수님' 이었습니다. 이미 책이나 다른 방송등을 통하여 대부분 알고 있는 내용이나 중복된 내용이지만 아직도 그의 많은 부분에 공감하고 존경하는 사람들이 많습니다.

그분의 팬카페를 만들게 된 결정적인 계기는 최근 화제의 동영상 특강 관련하여 보았습니다.

<관련 동영상보기 >

1. ' 아이폰 교훈 3가지 ' 

http://news.kbs.co.kr/special/digital/vod/newspuri/2010/06/11/2110948.html

2.  '21세기형 전문가란'

http://bit.ly/aRO40f



이 두가지 동영상을 보고 깊은 감명을 받았습니다.  또한 안철수 교수님이 기업가 정신(여기서 말하는 기업가 정신은
한자로 '기(起)'를 사용하는 기업가 정신입니다. 아시는 분은 아시겠지만. 아무튼 그 기업가 정신을 함께 공부하고 연구 해 보고자 '안철수 교수팬카페' 를 개설하였습니다.

앞으로 어떻게 운영이 될지는 잘 모르겠지만, 먼 발치에서 안철수 교수님을 바라보면서 여러가지 그분의 인생과 삶의 철학을 한번 공유하고 함께 해 볼수 있도록 하겠습니다.

제목에 대한 답을 아직 내리지 않았군요.

  • 삶에 대한 진정성이 보였습니다. 그래서 배우고 싶었습니다.
  • 새로운 기업가 정신 을 전파하는데 같이 동참하고 일조 하고 싶었습니다. 그래서 연구해 보고 싶었습니다. (아직 아는게 잘 없지만 서당깨 삼년하면 풍월이라도 읖지 않을까요)
  • 안철수 하면 떠 오르는게 '보안' , '백신' '바이러스' 이런 단어입니다. 국민들에게 보안에 대한 홍보와 인식제고를 더 많이 하고 싶었습니다.

아무튼,  지금까지 존경 받고 여러가지 삶을 아주 유유자적하듯이 그리고 부드러운 이미지와 웃음으로 이야기 하니까 쉽게만 느껴질수도 있지만 정작 당사자인 본인은 얼마나 고통에 나날들이었을까요? 그런 것은 책이나 방송 곳곳에서 묻어나옴을 느낄수 있었습니다. 부담되지 않게 멀리서 먼 발치에서 바라 보듯이, 진정한 삶이 무엇인지, 내가 걸어가야 할 길이 어떤 것인지를 함께 고민하면서 운영해 보도록 하겠습니다. 안철수 교수님을 존경 하시는 분들은 함께 해 주었으면 하는 바램을 가져 봅니다. @엔시스.

'Security People' 카테고리의 다른 글

내가 안철수교수님 팬카페를 만든 이유는?  (0) 2010/06/25
안철수교수가 말하는 기업가(起業家) 정신이란?  (4) 2010/01/22
Posted by 엔시스
TAG 보안인닷컴, 안철수, 엔시스, 전주현
트랙백 0, 댓글 0개가 달렸습니다.

'트위터', 미연방통상위원회(FTC)로부터 "개인정보 유출" 위협 지적받아

Security Skill&Trend 2010/06/25 09:02

마이크로 블로깅 서비스를 하고 있는 '트위터'에서는 미연방통상위원회 (FTC)에 개인정보의 유출 위험이 많아 보완 조치하기로 합의 하였다.


FTC는 지난해 부터 트위터에 개인정보 노출에 대한 위협을 제기 하였는데, 한 해커는 트위터의 관리자 권한을 이용하여 트위터를 컨트롤 할수 있었고, 140자 또는 그보다 적게 단문메세지를 보낼수 있었다고 한다.

FTC에 따르면, 2009년 1월과 5월 사이에 해커는 사용자들의 공개 하지 않은 정보와 DM(귓속말)을 볼수 있었고, 직접 차단할수도 있었고 패스워드로 리셋 할수 있었다고  말했다.

트위터측은 2009년 1월부터 4월10일까지 45개의 계정에 짧은 시간내에 해커들이 접근 되어졌다는 것을 인정하였다. 

해커들에 따르면, 2009년 1월에 9개의 계정에서는 " 임의적인 트윗을 하였고, 또한 이메일,전화번호 그리고 회사정보까지 열어 볼수 있었다고 말했다.

4월에도 침해사고가 일어났는데, 18분동안 해커들이 트위터 관리자 권한을에 접근 하였는데 빠르게 조치를 취했다. 이에대해 FTC는 다음과 같이 말했다.

트위터는 해커에 노출이 되어 있다, 그 이유는 시스템에서 관리자 권한에 접근 하는 것을 방어하는데에 실질적인 단계를 수립하지 않았기 때문이다   - 아마도 미국사회가 개방적이다보니까 보안규제가 낮아서 그런게 아닌가 하는 생각이듭니다.(역자주)
FTC에 따르면, 트위터는 " 매년마다 서드파디를 10년 동안 만들어서 보안프로그램을 보완하겠다" 는 포괄적인 보안종합대책을 약속하였다.

또한 트위터는 " 이미 많은 인기있는 페이스북 같은  쇼셜사이트에 대해서도  두달전에 이와 같은 제안을 받았다고 이야기하였다. 이와 같은 내용은 30일동안 공개되고, 2010년 7월26일에 되면 FTC는 최종결정을 내리게 된다.

출처: http://www.foxnews.com/scitech/2010/06/24/ftc-forces-twitter-shape-security/

---------------

*** 시사점

  • 쇼셜네트워크의 사용증가에 따른 보안위협이 점점 대두되고 있고, 트위터는 이에 따른 보안대책을 수립해야 하는데 정부에서 지시를 하는 듯합니다. 무엇이든 순기능과 역기능이 있게 마련인데 역기능은 늘 대두가 됨으로 이에 따른 보완 대책이 필요 합니다.
  • 국내 트위터 사용자의 경우 남이 하니까 따라 하는 경우가 많은데, 혹시 자신의 개인정보 노출이나 해킹을 당했을 시에 이에 따른 피해나 규제를 어디에서 할것인지에 대한 대책 마련이 필요하겠습니다. 아시다시피 '트위터'는 한국에서 서비스 하는것이 아닌 미국에서 서비스를 하기에 이러한 요구조건을 처리하는데에만 해도 시간이 걸리고 또한가지 서비스 사업자가 미국이다보니 영어로 의사소통을 해야 하는 어려움이 있어 피해를 본다고 해도 제대로 구제 받기는 어려울꺼 같습니다.
  • 따라서 쇼셜네트워크를 사용함에 있어 '자신만의 보안수칙을 가지고 ' 스스로 개인정보가 유출되지 않도록 만전을 기해야 겠습니다. 추후에는 이러한 쇼셜네트워크 보안위협성에 대하여 정리 포스팅 해 보도록 하겠습니다.

 

'Security Skill&Trend' 카테고리의 다른 글

[이슈키워드] 청와대 대변인 내정에 "김희정" KISA 전 원장  (0) 2010/07/16
아이튠즈 계정 '해킹' 이렇게 대비해야  (2) 2010/07/06
'트위터', 미연방통상위원회(FTC)로부터 "개인정보 유출" 위협 지적받아  (2) 2010/06/25
중국에선 ATM기 가짜로 카드번호와 비밀번호를 빼내  (0) 2010/06/22
아이패드(ipad) 개인정보유출관련, 정확히 알아야  (1) 2010/06/11
6.2 지방선거, 北 인터넷 전사들, 선거 이기고 “개선”  (3) 2010/06/10
Posted by 엔시스
TAG FTC, 미연방통상위원회, 트위터, 트위터보안위협성
트랙백 0, 댓글 2개가 달렸습니다

중국에선 ATM기 가짜로 카드번호와 비밀번호를 빼내

Security Skill&Trend 2010/06/22 17:51

역시 중국은 못 만드는게 없다라는 생각이 듭니다. 최근 중국에서 ATM기를 가짜로 만들어 카드번호와 비밀번호를 빼 가지고 간다고 하는데요..

정말 이런 수법을 쓸수도 있겠다라는 생각이 듭니다.  각자 조심해야 겠습니다. 


                                         출처: 한겨레신문 2010년6월22일자

세상은 먹고 먹히고, 속고 속이는 세상인가 봅니다. 이젠 신뢰를 바탕으로 하는 것은 찾기 어렵나 봅니다. 아무튼 기계를 이용한 모든 것에는 항상 예의 주시하고 잘 모니터링 하고 이용하는 수 밖에는 없을 듯 합니다..

'Security Skill&Trend' 카테고리의 다른 글

아이튠즈 계정 '해킹' 이렇게 대비해야  (2) 2010/07/06
'트위터', 미연방통상위원회(FTC)로부터 "개인정보 유출" 위협 지적받아  (2) 2010/06/25
중국에선 ATM기 가짜로 카드번호와 비밀번호를 빼내  (0) 2010/06/22
아이패드(ipad) 개인정보유출관련, 정확히 알아야  (1) 2010/06/11
6.2 지방선거, 北 인터넷 전사들, 선거 이기고 “개선”  (3) 2010/06/10
올림푸스 재팬, 카메라 일부에서 맬웨어 감염된채 판매  (0) 2010/06/09
Posted by 엔시스
TAG ATM, 계좌번호, 비밀번호
트랙백 0, 댓글 0개가 달렸습니다.

G-ISMS 정보보호 통제항목 및 인증지침

Security ISMS 2010/06/21 14:30

전자정부에서도 정보보호관리체계를 도입하여 시작을 하게 되는데요., 그에 따른 통제 항목과 인증지침에 대한 자료 입니다.

관련 포스팅

2009/11/18 - [Security ISMS] - 공공기관 정보보호관리체계 (G-ISMS) 의무화


일정부분이 K-ISMS 부분과 유사한 부분이 있으며, 기존에 공공기관에 체계적이지 못 하였다면 정보보호에 대한 관련 정책 수립이 이제는 조금 더 견고히 되는 제도가 되지 않을까 생각이 됩니다.






모든것이 바라보는 관점에 따라 틀릴수 있다고 생각합니다. 규제라고 생각을 하기보다는 조금은 내부적 정보에 대한 보호를 견고히 하고, 구성원들의 정보보호에 대한 교육과 인식을 바꾸는 기회가 되는 쪽에서 바라 보아야겠습니다. 그렇지 않으면 자칫 규제가 되어 버린다면 오히려 불편함을 초래 할 수 있기 때문입니다.  많은 구성원의 이해가 요구되는 사항이기도 합니다.

올해에는 영 시간이 나지 않아서, 심사에 참여 하고 있지는 못하지만 좋은 기회가 있으면 공공기관에 G-ISMS 심사에도 참여를 하여 더욱 내실을 기하는데에 일조 하였으면 하는 바램을 가져 봅니다.

이러한 관리체계 인증심사나 심사원은 기술적 스킬만 가지고 되는 것보다는 겸손하고 사람의 됨됨이 심사원으로서 자질과 스킬을 골고루 갖춘 분들이면 더욱 좋겠지요. 저도 많은 노력을 하고 있습니다.

참고 하실분들은 해당 참고 첨부파일을 참조 하시면 되겠습니다. 출처는 보안인닷컴 커뮤니티에서 한 회원분께서 올려 주셨습니다..

g-isms 정보보호 대책 통제사항(인증심사기준).hwp
전자정부 정보보호관리체계(g-isms) 인증 등에.hwp



'Security ISMS' 카테고리의 다른 글

정보보호관리체계(ISMS) 핵심은 바로 "체크리스트"  (2) 2010/09/19
IS0 27001 ~ 27008 에 대한 소개 사이트  (1) 2010/08/11
G-ISMS 정보보호 통제항목 및 인증지침  (0) 2010/06/21
ISMS 인증심사원 양성교육 모집하네요  (4) 2010/06/09
2010 정보보호관리체계(ISMS) 인증 모범사례집 기고가 나왔네요  (0) 2010/05/10
방통위, ISMS 인증 확대 위한 활성화 방안 본격 추진  (0) 2010/04/28
Posted by 엔시스
TAG G-ISMS, ISMS, 보안인닷컴, 전자정부, 정보보호관리체계
트랙백 0, 댓글 0개가 달렸습니다.

한국CISSP협회 제8회 정보보호리더십 세미나

Seminar&Association 2010/06/21 10:25

한국CISSP협회에서 정보보호리더십 세미나를 개최합니다. CISSP 자격증에 관심이 있거나 가지고 있으신 분들은 참석 하시면 좋겠네요. 참고 하시기 바랍니다.

======================================================================================================================



안녕하십니까? 한국CISSP협회입니다.
어느덧 올해의 절반이 지나가고 있습니다.
월드컵의 열기가 가득한 6월의 마지막을 항상 협회에 관심을 갖고 응원해주시는 여러분들과
함께 하고자 8번째 세미나를 개최합니다.
 
금번 세미나는 정보보호전문가들이 놓치기 쉬운
정보보호관련 법률에 대해 같이 고민하는 시간을 갖도록 하겠습니다.
회원여러분들의 적극적인 참여 부탁드립니다.


주제 : 정보보호전문가가 알아야할 법률
일시 : 2010년 6월 30일(수) 19:00 ~ 22:00     
장소 : 서울특별시 교수학습지원센터 
         *서울시 동대문구 신설동(신설동역 1호선, 2호선 근접) 약도
혜택 : 3 CPE 부여
         * 세미나 사전등록 정보를 기준으로 (ISC)2에 통보하여 자동 입력되므로 참석 후, 별도로 CPE를 입력할 필요가 없습니다.
         * 사전등록시 정보를 잘못 입력하여 CPE 자동 휙득 처리가 안된 것에 대한 책임은 등록자 본인에게 있습니다.
비용 : 무료
사전등록 : 6/21(월) ~ 6/30(수), 협회 사이트를 통한 온라인 등록.
               *  신청인원을 감안하여 조기마감 될 수 있음.
문의 : pr@cisspkorea.or.kr
 
Agenda
 
  19:00 ~ 19:30 : 현장등록 및 협회활동 안내
  19:30 ~ 19:50 : Opening - 클라우드 컴퓨팅환경에서의 보안
                        강용남 / 한국CISSP협회 부회장 / 델 인터네셔널
  19:50 ~ 20:20 : Chapter 1 - 국내 정보보호 법률 체계
                        성윤기 / KISA
  20:20 ~ 20:30 : 휴 식
  20:30 ~ 21:00 : Chapter 2. 정보통신 망 이용촉진 및 정보보호등에 관한 법률
                        남경식 / 삼일회계법인
  21:00 ~ 21:30 : Chapter 3. 영업비밀, 저작권, 개인정보보호에 관한 법률
                        박종석 / 안철수 연구소
  21:00 ~ 22:00 : 질의응답 및 CPE가이드라인 안내


(참 고) CPE 입력 정보
Domain for CPE Credit : Multiple Domains (Group A)
Activity Start Date : 06/30/2010
CPE Type : Education Courses and Seminars
Course Name : 8th Information Security Leadership Seminar
Vendor Name : Other
Other : CISSP Korea Chapter
Number of Hours Completed : 3


'Seminar&Association' 카테고리의 다른 글

인제로시스템즈, 한국진출기념 해킹대회 2000만원상금  (0) 2010/08/10
보안, 이제는 커뮤니티가 앞장선다 -보안인닷컴  (0) 2010/07/07
한국CISSP협회 제8회 정보보호리더십 세미나  (0) 2010/06/21
KUCIS 영남권 세미나 강연하러 갑니다.  (2) 2010/05/21
KPC CISSP공인과정 설명회 및 한국CISSP협회 영남지부 간담회 안내  (0) 2010/05/03
한국CISSP협회 제7회 정보보호리더쉽 세미나 개최  (0) 2010/04/13
Posted by 엔시스
트랙백 0, 댓글 0개가 달렸습니다.

[독서리뷰-24] 오리진이 되라

My Hobby/Book Review 2010/06/15 13:53

요즘 들어 책을 많이 접하고 있습니다. 아무래도 시간이 부족한 직장인들에게는 간접경험으로 '독서' 만한게 없는 듯 합니다. 또한 1주일에 책 한권 읽기 목표를 세우고 있는데 쉽지는 않군요. 그래도 꾸준히 쫓아가고 있습니다.

지난 주말에 읽었던 책은 바로 '오리진이되라' 라는 책입니다.  책 겉장을 받아들던 순간  순에 들어오는 두가지가 있었는데요 .

하나는 추천서를 쓰신 분들이 상당히 유명인들과 사회 저명하신분들이 쓰셨다는거와 또 다른 하나는 출판사가 얼마전에 책을 읽었던 '일본전산이야기' 출판사와 동일한 출판사라는 것입니다.

저자는 '강신장' 대표님으로 삼성에서 오랜동안 근무 하신 분이더만요. SERI CEO 를 기획 하신 분으로 상당한 애정을 가지고 있는 듯 하였습니다.

한가지 놀라운 점은 세리 CEO 가 연회비 100만원이 되는 회원이 1만명이 넘가고 되어있습니다. 그만큼 연회비를 투자 할 만큼 CEO 들에게 유익한 공간이 되는 모양입니다.

아무튼 저자는 전반적으로 '가치창조' '창조' 에대하여 많이 언급을 하던데요. 상당히 공감이 가고 예전에는 잘 몰랐던 내용이지만 지금은 어느정도 공감이 가는 내용으로 구성이 되어 있습니다. 특히 실제 경영현장에서 있으면서 느낀 생각이나 창조를 하기 위해서는 어떻게 해야 하는지에 대한 영감을 얻을수 있는 책인듯 합니다.

'창조' 에 대한 다양한 정의와 방법론을 적어 놓고 있는데  아주 쉽게 적어 놓아서 누구나 천천히 읽을 수 있는 그런 책인듯합니다.



그리고 각 챕터가 끝나는 무렵에 당신이 성공하려면? 이란 질문에 대하여 책에 내용을 다시 한번 질문함으로 인하여 책을 읽은후 성공하기 위한 답변을 독자 스스로 하게끔 만들어 놓았습니다.

전 책을 읽는내내 그 질문에 대하여 책에서 언급한 내용과 상관 없이 저나름대로 그 질문에 대한 답을 고민하곤 했는데 책을 덮는 순간 '창조' 라는 것이 어렵게만 느낄 것이 아니라 새롭게 접근 할수 있는 기회가 된 책이라 생각이 됩니다. 아무튼 먼 미래에 성공을 고민하시는 분들과 '가치창조'에 대한 의미를 다시 한번 되새겨 보고자 하시는 분들은 한번 권해드립니다.
@엔시스.


'My Hobby > Book Review' 카테고리의 다른 글

[독서리뷰-26] 윈도우7 무작정 따라하기  (4) 2010/08/29
[독서리뷰-25] 김미경의 아트스피치  (2) 2010/08/28
[독서리뷰-24] 오리진이 되라  (0) 2010/06/15
[독서리뷰-23] 일본전산이야기  (3) 2010/06/08
[책소개] 인사이드 윈도우즈 포렌식  (10) 2010/05/27
[독서리뷰-22] '심리학이 청춘에게 묻다' 저자 인터뷰 - 정철상교수  (3) 2010/05/24
Posted by 엔시스
TAG 가치창조, 보안인, 보안인닷컴, 엔시스, 오리진이되라, 전주현, 창조
트랙백 0, 댓글 0개가 달렸습니다.

아이패드(ipad) 개인정보유출관련, 정확히 알아야

Security Skill&Trend 2010/06/11 10:19


최근 빅 트렌드 이슈인 '아이패드' 관련 기사가 외신을 통해 올라오자 국내 언론에서는 일제히 자극적인 문구를 삽입하여 관련 소식을 전해 주고 있습니다. 


                          △ 출처:  아이패드 사용자 정보가 유출되었다고 하는 메일과 ICC-ID 
                          http://gawker.com/5559346/apples-worst-security-breach-114000-ipad-owners-exposed

하지만, 일부 제목에서는 실제 '아이패드' 단말기에 대한 해킹일수 있다는 오해의 소지를 담고 있는 것 같습니다. 그래도 언론중에 가장 잘 전달하고 있는 매일경제 신문이 가장 잘 기사화 한 듯 합니다.

출처: 매경 아이패드 개인정보 유출 개념도


특히 보안에 관련된 기사일 경우 정확한 '팩트(fact)' 를 전달 하는 것이 중요한데 어떠한 다른 기사에도 해당 사건에 대한 이해를 집중하려는 기사는 없는 듯 합니다. 매경의 경우에는 그림을 삽입 함으로 인하여 기사를 이해하는데 도움을 주고 있습니다.

결국, 기사 작성자는 정확하게 파악을 하고 그림까지 삽입하여 기사화 한것이 아닌가 생각이 듭니다. 그림을 자세히 보면 이번 사건은 해커가 AT&T 서버를 침입함으로 인하여 일어난 개인정보 유출이지 아이패드 단말기와는 직접적인 상관이 없다는 사실입니다.

아이패드 단말기는 AT&T 서버에 접근에 가입자 정보를 넘긴 것 밖에 없는 것이죠, 단말기 자체에 대한 취약점 보다는 그 단말기를 이용하여 정보를 수집하는 서버사이드에 취약점 문제인듯합니다.

이러한 형태는 대부분 개인정보유출에서 나타나는 전형적인 문제이며, 특별히 새로울것도 특별할 것도 없는 것이지만 최근 아이패드의 관심을 나타내 주는 단적인 예가 아닌가 생각을 합니다.

아이패드라서 개인정보유출이 이슈화가 되고, 일반 개인 단말기라서 개인정보 유출이 조명을 못 받는다는 것은 그만큼 보안의식이 낮다라는 반증이 아닐까 생각합니다. 굳이 포스팅 할 이유도 없지만 혹시 보안관련 이슈 언론 기사를 접할때 올바르게 접해야 하고 또한 이러한 기사를 전달하는 기자 입장에선 조금 더 자세히 알아보고 어디를 찾아봐도 글씨 하나 안틀리고 똑 같이 기사화 되는 그런 소식은 없었으면 하는 바램이 듭니다.  @엔시스.

'Security Skill&Trend' 카테고리의 다른 글

'트위터', 미연방통상위원회(FTC)로부터 "개인정보 유출" 위협 지적받아  (2) 2010/06/25
중국에선 ATM기 가짜로 카드번호와 비밀번호를 빼내  (0) 2010/06/22
아이패드(ipad) 개인정보유출관련, 정확히 알아야  (1) 2010/06/11
6.2 지방선거, 北 인터넷 전사들, 선거 이기고 “개선”  (3) 2010/06/10
올림푸스 재팬, 카메라 일부에서 맬웨어 감염된채 판매  (0) 2010/06/09
휴대폰 실명 인증우회기법은 몇년전에 나와  (0) 2010/06/08
Posted by 엔시스
TAG iPad, 개인정보유출, 아이패드, 애플
트랙백 0, 댓글 1개가 달렸습니다.

6.2 지방선거, 北 인터넷 전사들, 선거 이기고 “개선”

Security Skill&Trend 2010/06/10 21:17

북한에 조직적인 해커부대가 있다고 하는 것은 공공연 한  사실이다.  그런데 이번에 6.2 지방선거에도 북에 사이버전이 있었다는 언론 기사가 올라왔다.

관련 포스팅

北 인터넷 전사들, 선거 이기고 “개선”

http://www.newdaily.co.kr/html/article/2010/06/10/ART49302.html


내용을 보면 이미 주민번호 유출과 도용으로 인하여 개인정보는 유출된 상태이며, 6.2 지방선거에서도 나타났듯이 국민에 심리전을 이용하여 혼란한 사회를 틈타서 분열시키는 선동을 하는 것이다.

이제는 사이버전이다. 사이버 안전에 대한 경계를 늦추지 말아야한다.

국민의 온 힘을 집중시켜도 모자랄 판에 분열시키고 조장시키는 심리전을 만들고, 서로 헐뜯게 만들고 사이버 비방을 하고 이러한 글들은 순식간에 대한민국 인터넷으로 퍼져 나간다. 이제는 이러한 소식들은 외국에서도 금방 모니터링이되고 원래 의도 하지 않은 방향으로 나갈수 있다.

조직적으로 선동하기 위하여 중국에 위장하여 30명이 사이버전을 치르는 사이, 대한민국은 얼마나 정신을 차리고 어떤 것이 옳고 그름인지 모르고, 분위기에 휩쓸려 결국 그들이 원하는 바대로 이끌려 갈 수 밖에 없을 것이다. 이제 정말 정신 차리자.,.그리고 대한민국도 사이버전에 대비하여 철저한 방어태세를 갖추어야 한다. 물리적인 군사분계선만 지키는 것이 아닌 인터넷에서도 군사분계선의 경계 태세와 같은 경각심을 가져야 할 것이다.


'Security Skill&Trend' 카테고리의 다른 글

중국에선 ATM기 가짜로 카드번호와 비밀번호를 빼내  (0) 2010/06/22
아이패드(ipad) 개인정보유출관련, 정확히 알아야  (1) 2010/06/11
6.2 지방선거, 北 인터넷 전사들, 선거 이기고 “개선”  (3) 2010/06/10
올림푸스 재팬, 카메라 일부에서 맬웨어 감염된채 판매  (0) 2010/06/09
휴대폰 실명 인증우회기법은 몇년전에 나와  (0) 2010/06/08
KISA, 사이버공격 위험성 증가에 따른 '관심'경보 발령  (0) 2010/05/24
Posted by 엔시스
TAG 사이버전, 심리전, 해커부대
트랙백 0, 댓글 3개가 달렸습니다

ISMS 인증심사원 양성교육 모집하네요

Security ISMS 2010/06/09 08:50

정보보호관리체계(ISMS) 인증심사원 양성 교육 안내


한국인터넷진흥원(KISA)에서는 정보보호관리체계(ISMS) 인증심사에 참여할 인증심사원 양성을 위하여 교육을 아래와 같이 진행하오니 여러분의 적극적인 참여를 부탁드립니다.


교육명 : 정보보호관리체계(ISMS) 인증심사원 양성 교육


대상 및 인원

ISMS 심사원 활동이 가능한 정보통신 및 정보보호 분야 종사자 50명

※ 참여 자격요건: 학사취득자는 정보통신 유관경력 6년 이상, 석사취득자는 3년 이상이 필요하며 이중 최소 2년 이상의 정보보호 실무경력 필요

※ 교육 수료 후 경력증명이 된 경우에 한하여 심사원 위촉 예정


일시

2010. 6. 21(월) ~ 25(금), 9:00 ~ 18:00(40시간)


장소

한국인터넷진흥원 KISA 아카데미 강의장(강남역 소재)

[첨부1]KISA아카데미오시는길 참조


신청기간 및 신청방법

2010. 6. 8(화) ~ 14(월)

[첨부2]ISMS심사원양성교육신청서를 작성하시어 아래 링크를 통해 첨부 및 신청

http://kisa.nahs.or.kr/isms2.html

문의처

KISA 기업보안관리팀
(Tel : 02-405-5233 / E-mail : securitycheck@kisa.or.kr)

교육운영 대행업체: 한국해킹보안협회 사무국 고승욱 팀장
(Tel : 02-3406-9225 / E-mail : ksw@nahs.or.kr)


기타

주차는 지원이 안 되오니 대중교통을 이용하여 주시기 바랍니다.

ISMS 심사원 양성 교육 교육비와 교재는 무료입니다.

80% 이상 출석하고 시험 실시 후 일정점수 이상이면 수료증이 발급됩니다.


교육프로그램

인증심사 실무에 필요한 내용으로 [첨부3]ISMS심사원양성교육프로그램 참조

 








한국인터넷진흥원에서 ISMS 인증심사원 양성 교육 교육생을 모집하고 있네요. 한번쯤 들어 두시면 좋을듯 싶습니다. 그런데 약간의 경력이 필요 하기에 아무나 신청할 수 있는 대상은 아닌듯 합니다. 아무튼 IT경력과 정보보호 경력이 되신다면 시간내어 교육을 받아 보시는게 좋겠습니다.

일주일씩 업무중에 시간을 뺀 다는게 쉽지는 않겠지만요..

ISMS 인증심사원에 대한 자세한 포스팅은 아래 링크를 참고 하시면 됩니다. 지금까지 ISMS 인증심사를 하면서 느낀점이나 제도 정책에 대한 개인적인 의견을 담아두었습니다.

http://www.sis.pe.kr/category/Security%20%20ISMS


[첨부1]KISA아카데미오시는길.pdf
[첨부2]ISMS심사원양성교육신청서.hwp
[첨부3]ISMS심사원양성교육프로그램.hwp




'Security ISMS' 카테고리의 다른 글

IS0 27001 ~ 27008 에 대한 소개 사이트  (1) 2010/08/11
G-ISMS 정보보호 통제항목 및 인증지침  (0) 2010/06/21
ISMS 인증심사원 양성교육 모집하네요  (4) 2010/06/09
2010 정보보호관리체계(ISMS) 인증 모범사례집 기고가 나왔네요  (0) 2010/05/10
방통위, ISMS 인증 확대 위한 활성화 방안 본격 추진  (0) 2010/04/28
전자정부 ISMS 관련 자료  (0) 2010/04/16
Posted by 엔시스
TAG ISMS, 인증심사원, 정보보호관리체계
트랙백 0, 댓글 4개가 달렸습니다

올림푸스 재팬, 카메라 일부에서 맬웨어 감염된채 판매

Security Skill&Trend 2010/06/09 08:36

삼성에서 판매되는 일부 카메라에서도 메모리 카드에 맬웨어가 감염이 되어 판매된 적이 있습니다. 그런데 이번에는 올림푸스 카메라 일부 기종에서 메모리 카드에 맬웨어가 감염이 되어 판매가 되었다네요.

일본에서 판매된 올림푸스 스타일러스 6010 디지털 콤팩트 카메라에 약 1700개 정도 메모리 카드에 맬웨어가 감염되어 판매가 되었다고 합니다.

이번에 맬웨어 감염된 올림푸스 스타일러스 6010



소포스에 따르면 카메라를 PC에 플러그인하게 되면 자동으로 실행되게 되어 있다고 전하고 있습니다. 올림푸스측은 "진심으로 사과한다"고 전하고 있으며 앞으로 재발 방지를 위하여 노력 하겠다고 하였습니다.

또한 해당 제품이 맬웨어 대상인지 아닌지는 다음 사이트에서 확인 가능하다고 합니다.




과거에도 이와 유사한 사례들이 있었습니다.


일반 사용자가 이러한 USB를 이용한 디바이스기기에 안전 하려면 반드시 플러그인 할때 AUTORUN 기능을 DISABLE 시키는게 좋다고 소포스는 전하고 있습니다. 이와 유사한 경우라도 많은 사례에서 플러그인 되자 마자 실행되는 오토런 형태로 감염이 되는 경우가 많이 있으니 그 기능을 비활성화 시켜 놓는 것이 좋겠습니다.  이젠 카메라까지 맬웨어가 감염이 되면 아무튼 모든 것을 철저하게 검증하는 보안마인드를 가져야겠습니다.  조금 과대포장하여 확장하여 생각한다면 외국으로 수출되는 다양한 제품에 탑재되는 메모리에 악의적인 생각으로 맬웨어를 탑재해도 밝혀지지 않는 한 중요한 시설에는 위협요소로 작용이 될수 있겠다라는 생각이 들었습니다.  이젠 주요시설에는 제품 도입시에 꼼꼼히 살피는 지혜가 필요하겠습니다.  @엔시스.

'Security Skill&Trend' 카테고리의 다른 글

아이패드(ipad) 개인정보유출관련, 정확히 알아야  (1) 2010/06/11
6.2 지방선거, 北 인터넷 전사들, 선거 이기고 “개선”  (3) 2010/06/10
올림푸스 재팬, 카메라 일부에서 맬웨어 감염된채 판매  (0) 2010/06/09
휴대폰 실명 인증우회기법은 몇년전에 나와  (0) 2010/06/08
KISA, 사이버공격 위험성 증가에 따른 '관심'경보 발령  (0) 2010/05/24
정보보호,보안메타 전문블로그 오픈합니다.  (0) 2010/05/19
Posted by 엔시스
TAG 맬웨어, 올림푸수 6010, 올림푸스
트랙백 0, 댓글 0개가 달렸습니다.

[독서리뷰-23] 일본전산이야기

My Hobby/Book Review 2010/06/08 16:15

우연히 사무실 책장에 꽂여 있는 책하나.  "일본전산이야기"

신문이나 언론 또는 경제 경영서에서 추천 목록으로 올라온 책 목록이 눈에 보였습니다. 사실 이 책을 읽기 전까지는 일본전산이라는 기업을 알지도 못했습니다.

직장생활이 따분하다고 생각되는 분이 반드시 읽어야 하는 책



아무튼 그렇게 해서 집어들게 된 책은 아주 빠른 스피드로 읽게 되면서 몰입을 하게 만든 책이었습니다. 우선 그중에 하나는 무엇보다 이 책은 나가모리 사장에 대한 경영자 관점에서 피력하고 있다는 사실입니다. 그것은 아직까지 고용자와 피고용자 입장에서 있는 부분에서는 많은 부분이 공감이 안 가는 부분도 있겠지만, 이제 어느정도 사회 경험이 있고 삶에 대한 고민을 하는 나이대에서는 상당히 공감가는 부분들이 많이 있습니다.

책 내용중에 인상적인 부분이 있어 잠시 소개 합니다.

워크숍을 하던 회의를 하건 취할건 취할 것이있고 버릴 것이 있다.
진정 버려야 할 것은 '안된다'는 사고 패턴이다. 그리고 취해야 할 것은 '되는 방법을 찾아 전달하는 습관이다,'
- p 105

"직장은 ' 생산적이고도 창조적으로 문제를 해결하는 곳이다. 그것도 기존과는 아주 다른 새로운 방법으로 문제를 해결해야 하고 , 그결과를 고객이 돈을 지불하고 사주어야 비로소 '일'이라는 의미가 성립이 된다. 생산재를 다루는 회사건 서비스를 다루는 회사건 , 모두 똑 같은 논리가 적용된다. '

일본전산에 쓸모없는 사람

- 변명만 하고 혼을 내는 진의를 이해하려 하지 않는 사람
- 혼을 내도 진보적 반발심(승부욕)을 가지지 않고 태연한 사람
- 다른 사람이 혼나고 있는 것에 대해 무관심한 사람
- 다른 사람을 나무랄 줄 모르는 사람
- 개인적인 사생활을 전혀 이야기 하지 않는 사람

일본전산에서 떠나야 하는 사람

-지혜를 내지 않는 사람
-지시받은 것만 하는 직원
- 처음부터 다른 사람 힘에 의존 하는 사원
- 곧바로 책임을 전가부터 하는 직원
- 혈기 왕성 하지 않는 사람
- 자주 불평불만을 말하는 직원
- 자주 쉬고 자주 늦는 직원

등용문으로 들어서기 위한 직원 7가지 조건

- 건강관리를 제대로 하는 직원
- 일에대한 정열, 열의,집념을 기복 없이 가질수 있는 직원
- 어떤 경우에도 비용에대한 인식을 가지는 직원
- 일에 대한 강한 책임감을 가진 직원
- 지적받기 전에 할수 있는 직원
- 꼼꼼하게 마무리를 하는 직원
- 당장 행동으로 옮길수 있는 직원


책의 전반적인 내용은 나가모리 사장에 대한 기업경영 철학과 경영 방식에 대한 내용인데 오너가 성공하기 위해서는 부단한 노력을 해야 한다는 내용이 주된 내용이고, 이 책이 주목 받는것 중에 하나가 기존에 나와 있던 경영 이론에 상당히 어색하리 만큼 차별화 된 부분이 있다는 것입니다. 그것은 입사를 하기 위한 조건으로 ' 밥 빨리 먹는 사람' '목소리 큰사람' 등등

내가 이책에 대하여 더욱 공감하는 이유는?

본인도 첫 사회생활 발 걸음을 일본전산에 인재채용과 비슷하게 시작을 했기 때문입니다. 1996년 한창 잘나가던 중소 pc 제조 전문업체인 S사에 학력철폐,나이철폐 , 전공무시, 라는 파격적인 조건으로 입사를 했기 때문입니다. 그렇게 시작해서 발들여 놓은 IT밥을 15년째 먹고 있으니 말입니다..추후 기회가 되면 이야기하기로 하고..일본전산은 다음과 같은 캐치플레이를 가지고 경영을 한다고 합니다.

"즉시한다" "반드시한다"  "될때까지한다"  그리고 3Q와6베이직 등등...그중에 하나가 바로 "청소"와 "정리정돈"입니다. 최근 아이들에게 말하고 있는 부분이기도 한데 나가모리 사장은 조직원들에게 이야기하고 있고 경영에 사용하고 있군요. 그러고 보면 경영(Mamagement) 한다는 것은 아주 단순한 것에서 부터 출발을 하는가 봅니다.


책을 펼쳐서 덮는순간까지 , 경영자 마인드를 읽을수 있어, 누구나 오너가 되는 것은 아니다.

책을 펼쳐서 덮는 순간까지 경영자라면 누구나 가지고 있는 공통된 마음이 아닐까 하는 생각을 했습니다. 다만 방법에 차이고 표현에 차이일뿐이지. 추후 자신이 창업을 하던 아니면 스스로 자신을 경영을 하던 무엇이든 관리를 해야 하는 상황에서는 많이 반성을 해야 겠다는 생각을 책을 읽는내내 들었습니다.  그리고 누구나 머리속으로는 생각을 하지만 절대적으로 앉아서는 될수 없는 것을 다시한번 책을 통하여 알수 있었고, 역시 발로 뛰어야 하고 작은 것에서도 성취감을 느낄수 있는 환경 조성도 중요 한듯 하였습니다.

아무튼, 경영자로서의 마인드, 또한 배울점..그리고 참고 할점들이 많이 있는 책이라 생각이 듭니다. 조직생활을 하거나 아니면, 나약한 마음 , 그리고 수동적인 자세, 메너리즘에 빠져 있는 분들은 꼭 한번 읽어 보시길 권해드립니다..


'My Hobby > Book Review' 카테고리의 다른 글

[독서리뷰-25] 김미경의 아트스피치  (2) 2010/08/28
[독서리뷰-24] 오리진이 되라  (0) 2010/06/15
[독서리뷰-23] 일본전산이야기  (3) 2010/06/08
[책소개] 인사이드 윈도우즈 포렌식  (10) 2010/05/27
[독서리뷰-22] '심리학이 청춘에게 묻다' 저자 인터뷰 - 정철상교수  (3) 2010/05/24
[독서리뷰-21] "닌텐도처럼 창조한다는 것" 을 읽고  (2) 2010/04/14
Posted by 엔시스
트랙백 0, 댓글 3개가 달렸습니다

휴대폰 실명 인증우회기법은 몇년전에 나와

Security Skill&Trend 2010/06/08 10:23

개인정보보호 대체 수단인 아이핀(i-pin)의 부정 발급 사건이 발생이 되었습니다. 이 사건을 바라보고 있노라면 보안이라는 것은 100% 안전한 것은 없다는 것을 다시 한번 실감 하게 됩니다.


출처: 디지털 타임즈




그리고 우리가 기억해야 하는 것 중에  하나가 바로 '보안'에 대한 기본적인 개념입니다.  100% 안전한 보안은 절대 없다는 것입니다.

보안이란? 위험(risk) 요소를 우리가 감수할수 있는 수준까지 줄이는 것을 보안으로 생각을 해야 한다.
왜냐하면 100% 안전한 것은 없기 때문이다.
아마도 이러한 부분들이 보안관련해서 연구나 공부하는 사람들에 대한 애로 사항이 아닐까 생각합니다. 다시 포커스로 돌아와서 이번 아이핀에 대한 부정발급에 대한 부분이 이미 몇년전에 예견이 되었을지도 모릅니다.

우리는 실명 인증시에 보통 휴대폰을 이용한 실명인증을 많이 하고 있는데 이 부분이 각 보안 커뮤니티나 보안 세미나시에 우회 할수 있는 데모 시연들이 많이 있었습니다. 즉,  어디선가 주민번호를 도용하여 그 도용한 사람 휴대폰으로 인증 메세지가 가야 하지만 주민번호 도용한 사람 휴대폰으로 메세지를 전송하여 인증을 받을수 있는 방법이죠..

이미 휴대폰인증을 우회하는 기법들은 나왔지만 이것이 일반적인 쇼핑몰이나 전자상거래 부분이 아니라  '이이폰'에 적용이 되어 부정발급이 되다 보니 더 이슈가 되네요..

추후 실명인증 방법에 대한 또 다른 보완 기술이 나와야 할 듯 합니다. 한가지 안타까운 점은 모든 기술에는 위협과 취약성이 있게 마련인데 어떻게 하면 사전에 그런 위협과 취약점을 제거 할수있는지에 대한 다양한 논의가 좀 활발하게 이루어 질수 있는 사회적 여건과 보안에 대한 인식의 변화가 와야 할 것입니다. 꼭 사건 사고가 터지고 난 이후에 대처하는 모습보다는 사전 예방이 무엇보다 중요하겠지요.. 보안인식제고와 보안마인드 확산...그리고 사회의 정보보호에 대하여 바라보는 시각의 변화를 위하여 더욱 노력 해야 겠습니다. @엔시스.

'Security Skill&Trend' 카테고리의 다른 글

6.2 지방선거, 北 인터넷 전사들, 선거 이기고 “개선”  (3) 2010/06/10
올림푸스 재팬, 카메라 일부에서 맬웨어 감염된채 판매  (0) 2010/06/09
휴대폰 실명 인증우회기법은 몇년전에 나와  (0) 2010/06/08
KISA, 사이버공격 위험성 증가에 따른 '관심'경보 발령  (0) 2010/05/24
정보보호,보안메타 전문블로그 오픈합니다.  (0) 2010/05/19
Grepping Packets With ngrep  (0) 2010/05/18
Posted by 엔시스
TAG 아이핀, 아이핀부정발급
트랙백 0, 댓글 0개가 달렸습니다.

[칼럼-115] USB 사용하시는 분들 보안의 생활화 - 다시 찾은 USB 이동저장장치

Lecture&Comlumn 2010/06/04 12:53

얼마전에 일이다.  가끔 외부 활동을 할 경우, 또는 중요한 파일을 외부에 주려고 할때 우리는 USB 이동디스크를 이용을 많이 한다. 또한 인터넷 뱅킹과 쇼핑몰 결제를 많이 하기 때문에 공인인증서를 담고..또한 각종 중요 파일도 담고 다닌다.

보안에 소중함을 다시 일깨워준 usb 저장장치



아이폰을 구매 하기전까지는 폰에  USB를 매달에 휴대를 하곤 했는데 , 최근 아이폰으로 바꾸고 나서는 폰에 액서사리 같은 것은 매달수 없다. 또한 USB가 조금 망가졌기 때문이기도 하다.

하는 수없이 주머니에 넣고 다니는데 얼마전에 문제가 생겼다. 어느날 주머니를 살펴 보았는데 USB가 없어진 것이다.
순간 가슴이 철렁하고 내려 앉았다. 아..최근에 USB 사용은 인터넷 뱅킹 한다고 공인인증서 사용하고 분명히 챙겼는데 없어 진 것이다.

아..그 안에 분명 파일 몇개가 있었는데..그리고 그다지 중요한 파일은 아니지만 개인정보가 담긴 파일이 있었던거 같은데..하는 생각으로 몇날 몇일이 머리에서 떠나지 않았다.  그리고 며칠이 지나자 이제는 다시 찾을 수 없다는 생각에 서서히 잊어 버리기로 하자.

늘 주머니에서 휴대폰을 넣고 빼는 사이에 어디선가 끌려 나와 떨어졌을텐데..어디서 분실을 했는지 도저히 알수 없으니 이젠 포기하기로 하였다. 물론 혹시 가방이나 다른 바지 주머니를 모두 살펴 보았는데도 말이다.

그렇게 약 7일정도 지났을까? 아이들 공부방 청소를 하다가  둘째 녀석이 어디선가 찾은 USB 메모리 .. 내가 그동안 찾았던것을 아이들도 알기에

" 아빠 이거 뭐에요? " " 혹시 이거 찾던거 아니에요? "

" 오..그래 ...." " 이거 어디서 찾았니? "

" 우리 공부방 책상 구석에 있던데요.."  " 그래? ... 아무튼 고맙다..아빠가 맛있는거 사줄께..고마워 "

가만히 생각해 보니 아이들 공부방 책상이 있는데 지난번 바지 세탁기에 넣는다고 와이프가 주머니 안에 모든거 꺼내고 달라고 하는 바람에 잠시 아이들 공부방 책상위에 지갑이랑 동전, 그리고 USB를 올려 놓았는데 아이들이 손을 댄가 봅니다..
세상에...그렇게 가슴 졸이던 USB.

혹시 모를 마음에 빨리 PC에 연결하고 안에 어떤 자료가 있는지 살펴 보았다. 그동안 인증서로만 좀 사용하다가 안에 내용을 보지 못하였거든요..그런데 안에는 인증서 외에는 별다른 내용이 없었다 파일 몇개가 있었지만 파일에는 암호가 전부 걸려 있었다. 그러고 보니 지난번 다음과 같은 작업을 한 것이 기억이 났다.

    • USB 메모리 이동저장장치에 있는 파일과 데이터 백업받기 (복사하기가 아닌 잘라내기)
    • 중요한 파일엔 암호 걸기

지난번에 위와 같은 작업을 했는데 기억이 가물가물 했는데 그나마 다행이었다. 물론 집안에서 분실한 USB를 찾았으니 다행이고 혹여 다른 장소에서 분실 했다 하더라도 그다지 위험한 부분은 없었다. 그래도 혹여나 그안에 중요한 파일이 있지 않았을까? 하는 마음에 마음을 졸였던 기억이다.

언제가 교육받으면서 이야기한 강사님 생각이 난다. 그분은 한 기업을 경영하는 중소기업 경영자인데 위와 비슷한 상황에서 USB메모리를 분실 하였다는 것이다. 거기에는 각종 중요서류 및 대외비등..여러가지 중요 파일들이 많이 있었다고 한다. 그러면서 이젠 사업 망했구나.  누군가 습득한 사람이 중요 정보를 인터넷라도 배포 하는 날엔 큰일 났구나하는 마음으로 정말 마음고생이 많이 했다라는 것을 교육시간에 이야기 하였다.


USB를 사용하시는 분들이 많이 있을 텐데 꼭 기억 하길 바란다. 잘 아는 내용이라고 그냥 무시하고 아무생각없이 USB저장 장치에 중요한 파일 넣고 다니다..휴대폰 분실하면서 같이 분실 하던지..어쨌든 분실시에는 마음 졸이게 된다. 그렇다고 USB 메모리를 사용 안 할수는 없는 노릇 아닌가? 잘 관리하여 보관하고 그리고 파일에 암호를 걸어 놓고 ..주기적으로 중요한 파일은 백업을 받아 놓는 습관을 들이자.  @엔시스.

'Lecture&Comlumn' 카테고리의 다른 글

[칼럼-116] 정보보안인력 취업 위한 전문교육 실시, 지방은 늘 소외돼  (4) 2010/07/01
[기고-8] 기업정보보안의 핵심적 가치는? - SKT 사보기고 나왔네요  (3) 2010/06/30
[칼럼-115] USB 사용하시는 분들 보안의 생활화 - 다시 찾은 USB 이동저장장치  (7) 2010/06/04
[칼럼-113] SIS 자격증, 국가기술자격증 확정에 즈음하여  (8) 2010/05/27
[강연-16] "보안전문가가 되기 위한 나만의 로드맵 " -쿠시스 영남지역  (4) 2010/05/23
[칼럼-112] 보안관련 기사를 쓰시는 기자분들에게  (5) 2010/05/22
Posted by 엔시스
TAG USB, 보안생활화, 보안실천
트랙백 0, 댓글 7개가 달렸습니다

[동영상] 웸캠 익스플로잇

Security Movie 2010/06/01 08:23



항간에 한참 이야기 했던 웸캠에 대한
익스플로잇이 동영상을 시연하는게
올라 왔네요..
모두들 조심하셔야 겠습니다.


'Security Movie' 카테고리의 다른 글

eEye Retina scanner 사용법  (0) 2011/05/04
[동영상 ] iPad and iPhone PDF exploit  (5) 2010/08/05
[동영상] 웸캠 익스플로잇  (2) 2010/06/01
페이스북 사용자, 동영상 클릭으로 악성코드 우려  (0) 2010/05/27
이젠 해킹,바이러스,악성코드 신고는 118로 (118송)  (0) 2010/01/29
레이어 1 컨퍼런스 동영상  (0) 2010/01/06
Posted by 엔시스
TAG 웹캠, 익스플로잇
트랙백 0, 댓글 2개가 달렸습니다