엔시스의 정보보호(보안) 따라잡기

KISA, 개인정보 암호화 구현 방법 쉽게 이해할 수 있는 안내서 발간

 

최근 대형 개인정보 유출사고의 발생 빈도가 잦아지고 개인정보보호 관련 법이 강화되면서 기법, 공공기관은 물론 소규모 개인 사업자들까지 암호에 대한 관심이 높아지는 가운데, KISA가 개인정보의 안전한 저장을 위해 암호기술을 구현하고자 하는 업계 실무자에게 암호기술 구현 방법을 쉽게 알려주는 '암호기술 구현 안내서'를 11월 29일 발간했다. KISA는 보다 다양한 정보를 제공하고자 지난 8월부터 이동통신사, 주요 포털사이트 및 개임 업체 등의 실무담당자들과 한국암호포털 등 암호기술 관련 전문가들의 경로를 거쳐 안낸서를 제작하게 됐다.

 

 

 

이번에 KISA가 발간한 ‘암호기술 구현 안내서’는 ▲암호화가 필요한 개인정보의 종류와 이에 대한 법적 근거 ▲개인정보별로 적용이 필요한 암호기술 및 적용 시나리오 ▲암호키 관리 방법 ▲안전한 비밀번호의 생성·변경·이용·검증방법 등이 담겨있다.

특히, 개발자들이 참고할 수 있도록 사용자 비밀번호와 주민등록번호를 암호화하는 예시를 소스코드와 함께 제공하고 있으며, 암호기술 구현이 불가한 영세 업체들을 위해 예시에 사용된 암호 소스코드의 라이브러리도 함께 보급할 예정이라고 KISA는 밝혔다.

서종렬 KISA 원장은 “암호에 대한 관심은 높아졌지만, 여전히 일부 업체에서는 안전성을 담보할 수 없는 취약한 암호기술을 별 의심 없이 사용하거나, 잘못된 방법으로 암호기술을 구현하는 등 문제점이 많다”며 “이번 안내서 발간을 통해 안전한 암호기술 구현방법이 널리 공유돼 보다 안전하게 개인정보를 보호 할 수 있게 되기를 바란다”고 말했다.

 

 

『암호기술 구현 안내서』
  - 주요 내용 요약 - 

 

 

1. 배경 및 목적
최근 인터넷을 통한 개인정보 유출 사고가 빈번해지면서 개인정보 암호화 여부 뿐만 아니라, 개인정보 암호화에 이용된 암호기술의 안전성에 대한 논란이 일고 있다. 개인정보보호를 위해 자체적으로 암호기술을 도입·구현시, 안전하지 않은 암호기술을 도입하거나 구현을 잘못 한 경우에는 개인정보를 암호화했을 지라도, 여전히 개인정보 노출의 가능성이 있기 때문이다.

 

『암호기술 구현 안내서』는 이와 같은 개인정보 노출 가능성을 최소화하기 위한 안전한 암호기술들을 소개하고, 이러한 암호기술을 안전하게 구현하는 방법도 함께 제시하고 있다.

 

 

2. 대상
『암호기술 구현 안내서』는 정보통신망법, 개인정보보호법 등에서 개인정보 보호 의무를 가지는 기업 및 기관, 단체 등의 개발자들에게 암호기술을 구현하기 위한 방법을 제시하고 있다.

 

3. 주요 내용

3.1 암호화가 필요한 정보의 종류
암호화가 필요한 정보는 암호화된 정보를 다시 복원할 수 없어야 하는 정보와 암호화된 정보를 다시 복원할 수 있어야 하는 정보들로 분류한다.
⊙ 암호화된 정보를 다시 복호화할 수 없어야 하는 정보 ⇒ 비밀번호 등
 ※ 개인정보의 소유자를 제외하고는 개인정보 관리자를 포함한 그 누구도 암호화된 정보의 원래 정보가 무엇이었는지 알 수 없어야 하는 정보들
⊙ 암호화된 정보를 다시 복호화할 수 있어야 하는 정보 ⇒ 바이오 정보, 주민등록번호, 신용카드번호, 계좌번호, 여권번호, 운전면허번호, 외국인등록번호 등
 ※ 저장 시에는 암호화하나, 사용 시에는 복호화하여 원래 정보를 알 수 있어야 하는 정보들

 

관련 근거 법령 ◇ 개인정보의 기술적·관리적 보호조치 기준    제6조(개인정보의 암호화) ① 정보통신서비스 제공자등은 비밀번호 및 바이오정보는 복호화 되지 아니하도록 일방향 암호화하여 저장한다. ② 정보통신서비스 제공자등은 주민등록번호, 신용카드번호 및 계좌번호에 대해서는 안전한 암호알고리듬으로 암호화하여 저장한다. ◇ 개인정보의 안전성 확보조치 기준    제7조(개인정보의 암호화) ① 영 제21조 및 영 제30조제1항제3호에 따라 암호화하여야 하는 개인정보는 고유식별정보, 비밀번호 및 바이오정보를 말한다. ③ 개인정보처리자는 비밀번호 및 바이오정보는 암호화하여 저장하여야 한다. 단 비밀번호를 저장하는 경우에는 복호화되지 아니하도록 일방향 암호화하여 저장하여야 한다.

 

3.2 암호화가 필요한 정보의 종류에 따른 암호기술
개인정보 암호화에 적용 가능한 암호기술은 개인정보의 저장 시 요구되는 기술과 개인정보 송·수신 시 요구되는 기술로 분류할 수 있다.

 

□ 개인정보 저장 시 요구되는 기술
  - 비밀번호 등 암호화된 정보를 다시 복원할 수 없어야 하는 정보는 일방향 해쉬함수를 이용
  - 주민등록번호 등 다시 복원할 수 있어야 하는 정보는 블록암호 알고리즘을 이용

⊙ 일방향 해쉬함수 ⇒ 비밀번호 등에 적용(다시 복호화할 수 없는 정보 저장 시)
   보안강도별 해쉬함수 분류

 

 

 

 

 

 

※ 권고 해쉬함수는 ’11년 현재 기준으로 선정되었으며, IT환경(컴퓨팅 파워, 해킹 능력 등)이 변화하면 달라질 수 있다.

※ 현재 많은 응용에서 사용되고 있는 SHA-1은 알고리즘 변경에 따른 비용, 구축 시간 등을 고려하여 2013년까지 112비트 이상의 보안 강도를 가지는 해쉬함수로 변경 권고

⊙ 블록암호 알고리즘 ⇒ 바이오 정보, 주민등록번호, 신용카드번호, 계좌번호, 여권번호, 운전면허번호, 외국인등록번호 등에 적용(다시 복호화할 수 있는 정보 저장 시)

 

보안강도별 블록암호 알고리즘의 사용 권고 기간

 

 

 

 

 

 

※ 권고 알고리즘은 ’11년 현재 기준으로 선정되었으며, IT환경(컴퓨팅 파워, 해킹 능력 등)이 변화하면 달라질 수 있다.

 

□ 개인정보 송·수신시 요구되는 기술
  - SSL 및 TLS와 같은 통신 암호기술 또는 응용프로그램에서 제공하는 암호화 방법을 사용
 ※ 웹서버에서 SSL/TLS 등의 보안 통신 기능을 적용하기 위한 보다 상세한 정보는 한국인터넷진흥원에서 발간한 「보안서버 구축 안내서」를 참조

 

 

3.3 암호기술 적용을 위한 시나리오

앞서 기술한 암호기술을 적용하기 위한 시나리오를 소개한다.
 
□ 해쉬함수 신규 적용 시나리오
비밀번호와 같이 일방향 해쉬함수가 필요한 정보에 대하여 신규로 해쉬함수를 적용하는 경우, 다음과 같이 처리할 수 있다.

 

 

 

 

비밀번호에 Salt라는 비밀값을 추가하여 해쉬함수에 적용하게 되는데, 이는 단순히 비밀번호만을 일방향 해쉬함수에 적용할 경우 비밀번호 사전공격에 취약할 수 있는 문제를 해결하기 위한 것이다. Salt를 추가하는 방법은 다양한 방식을 활용할 수 있으며, 선택한 방법은 외부에 노출되지 않도록 해야 한다.

 

 

hash ( SALT || 비밀번호 || SALT )                           hash ( SALT || hash (비밀번호)) hash ( 비밀번호 || hash ( 비밀번호 || SALT))            hash ( hash (SALT) || hash (비밀번호)) hash1 ( hash2 ( 비밀번호 || SALT))

 

특히, Salt는 사용자마다 랜덤하게 생성하여 사용하여 할당된 비트열 등과 같이 해커가 예측하기 어렵고 언제라도 변경 가능한 값을 사용할 것을 권고한다.

 

□ 해쉬함수 변경 적용 시나리오
해쉬함수를 변경하기 위해서는 암호화되기 전 원래의 비밀번호를 알아야 하는데, 해쉬된 비밀번호는 복호화가 불가능하므로 모든 사용자가 비밀번호를 다시 입력한 후 이를 새로운 해쉬함수로 해쉬하여 저장하여야 한다. 그러나 모든 사용자의 비밀번호를 일시에 다시 입력받는 것은 불가능하므로 사용자가 다시 로그인하여 비밀번호를 입력하기 전까지는 자체적으로 과거에 해쉬되어 저장된 비밀번호에 변경된 안전한 해쉬함수를 적용해놓아야 한다.

 

 

 

이렇게 비밀번호가 새로운 해쉬함수로 두 번 해쉬되어 저장된 이후에 사용자가 로그인하여 비밀번호를 입력하면, 이 비밀번호를 새로운 해쉬함수로 한 번만 해쉬하여 저장하는 작업을 수행해야 한다. 이를 위한 절차는 다음과 같다.

①  사용자가 비밀번호를 입력하면 웹 서버는 사용자가 입력한 비밀번호에 MD5(기존에 쓰던 취약한 해쉬함수) → SHA-256(변경된 안전한 해쉬함수) 순서로 두 번의 해쉬함수를 적용한 해쉬값(해쉬값 a)과 SHA-256으로 한번만 해쉬함수를 적용한 해쉬값(해쉬값 b)을 생성한다.
② 해쉬값 a가 기존에 저장되어 있던 해쉬값과 동일한지 확인한다.
③  ②의 값이 동일한 경우, 서버는 해당 사용자가 정당한 사용자라고 판단하고, 기존 두 번 해쉬된 값 대신 ①에서 생성한 해쉬값 b를 사용자의 비밀번호 해쉬값으로 다시 저장한다.

 

□ 블록암호 알고리즘 신규 적용 시나리오
주민등록번호 등에 대해서 신규로 블록암호 알고리즘을 적용하는 시나리오는 다음 그림과 같다. 이 때, 암호화에 사용되는 비밀키는 본 안내서에서 제시한 방법을 통해 안전하게 보관되어 쉽게 노출되지 않도록 하여야 한다.

 

 

 

 

□ 블록암호 알고리즘 변경 적용 시나리오
블록암호 알고리즘을 변경하고자 하는 경우에는 기존 DB에 암호화 되어 저장되어 있던 암호문들을 복호화 한 후, 새로운 암호 알고리즘으로 암호화하여 다시 DB에 저장한다. 이 때 비밀키는 기존 비밀키과 다른 것으로 새롭게 생성하여 사용한다.

 

 

 

 

3.4 안전한 비밀번호의 생성·변경·이용·검증 방법
⊙ 안전한 비밀번호 생성 
- 안전한 비밀번호는 제3자가 쉽게 추측할 수 없으며, 시스템에 저장되어 있는 사용자 정보 또는 인터넷을 통해 전송되는 정보를 해킹하여 알아낼 수 없거나, 알아낸다 하더라도 많은 시간이 요구됨
 

<안전한 비밀번호의 문자구성 및 길이 조건>    -  3가지 종류 이상의 문자구성으로 8자리 이상의 길이로 구성된 비밀번호    -  2가지 종류 이상의 문자구성으로 10자리 이상의 길이로 구성된 비밀번호       ※ 문자 종류는 알파벳 대문자와 소문자, 특수기호, 숫자의 4가지임

 

⊙ 비밀번호 변경
- 업체는 모든 사용자에게 주기적(3개월에서 6개월 이하)으로 비밀번호를 변경하도록 유도하여 비밀번호의 노출 위협을 최소화

 

⊙ 비밀번호 이용
- 사용자 비밀번호는 해쉬 함수를 적용하여 저장
- 오직 인가된 관리자만이 사용자의 비밀번호가 저장된 시스템에 접근할 수 있어야 하며, 해당 시스템은 외부의 침입으로부터 안전한 장소에 보관

 

⊙ 비밀번호 검증 
- 서비스 종류, 취급하는 개인정보의 종류, 개인정보 노출시 파급 효과 등을 고려하여 적합한 비밀번호 정책을 수립하고 공시해야 하며, 비밀번호 정책에는 최소 비밀번호 길이 및 문자조합, 변경 주기 등을 포함
- 사용자 비밀번호가 자사의 비밀번호 정책을 만족하는지 확인할 수 있는 비밀번호 검증 기능을 구현하여 적용해야 함
  ※ 비밀번호에 대한 검증은 KISA에서 배포하는 「비밀번호 검증 S/W」를 활용

 

 

 

 

 

3.5 암호키 관리 방안
암호키 관리는 암호를 효과적으로 사용하기 위해 필수적인 요소이다. 만약 암호키가 공격자에게 노출되었다면 공격자는 해당 암호문을 쉽게 복호할 수 있기 때문이다. 
즉, 암호키 관리를 잘못하는 경우 아무리 보안성 높은 암호 알고리즘을 적용하는 경우에도 암호화된 중요 정보가 쉽게 노출될 수 있다.

⊙ 암호키 사용기간 및 유효기간 
- 암호키는 보안을 위해 사용기간과 유효기간을 구분할 필요가 있음
  ※ 암호키의 사용기간은 사용자 또는 관리자가 암호키를 사용할 수 있도록 허용된 기간, 유효기간은 사용기간이 완료된 이후라도 추후 복호화를 위해 해당 암호키를 사용하도록 허용된 기간임
- 키의 사용기간 및 유효기간을 설정할 때는 키 노출을 야기하는 위험 요소와 키 노출에 따른 비용 등을 고려해야 함
- 암호키의 사용기간은 최대 2년, 유효기간은 최대 5년으로 설정

⊙ 암호키 생성 방법의 예 
- 암호키를 생성하는 방법은 비밀번호, 난수발생기 등을 이용하는 다양한 방법들이 있으며 RSA, NIST 표준 등 참조 가능

⊙ 암호키 저장 방법의 예
- 암호키는 서버 또는 하드웨어 토큰에 저장될 수 있으며, 암호키를 저장하는 서버는 웹서버 또는 DB 서버와 같은 서버일 수 있으나, 물리적으로 분리되어 있는 서버를 사용하는 것을 권고
   ※ 하드웨어 토큰은 저장된 정보가 위·변조 또는 외부로 노출되기 어려운 장치로, 스마트카드, USB 토큰 등의 보안토큰(HSM, Hardware Security Module)을 의미

 

 

<예제1. 서비스 및 DB에서 사용되는 암호키>  쪾하나의 암호키를 사용하는 경우, 암호키는 서버 또는 하드웨어 토큰에 저장. 만일, 사용 중인 서버가 Trusted Platform Module(TPM)을 지원한다면 TPM에 저장  쪾두 개 이상의 암호키생성키를 사용하는 경우, 각각의 암호키생성키들을 물리적으로 다른 공간에 저장. 즉, 하나의 암호키생성키는 서버에, 다른 암호키생성키는 하드웨어 토큰에 저장하여 사용   <예제2. 직원 PC에서 사용되는 암호키>  쪾한명의 사용자가 한 개의 암호키를 사용하는 경우(개인PC), 비밀번호를 기반으로 암호키를 생성하는 표준 암호키 생성 방법에 따라 암호키 생성하여 사용하면, 암호키 저장이 필요하지 않음  쪾다수의 사용자가 한 개의 암호키를 사용하는 경우(공용PC), 해당 암호키를 사용자마다 다른 “사용자별암호키”로 다시 암호화하는 방법 이용.    ※ 사용자별암호키는 표준 패스워드기반 암호키 생성 방법으로 생성할 수 있으며, 이때 사용되는 비밀번호는 사용자마다 각각 다른 비밀번호를 사용해야 함

 

 

3.6 암호기술 구현 방법
해쉬함수 SHA-256와 블록암호 알고리즘 SEED에 대한 암호라이브러리를 이용해 웹사이트에서 개인정보를 입력받아 해쉬 및 암호화하는 예시를 소개한다.

특히, 안내서에서는 개발자들이 참고할 수 있도록 위 두 예시에 대한 HTML 소스를 제공하고 있으며, 실제 개인정보를 해쉬 또는 암호화해서 DB에 저장하기 위해 HTML 소스를 변경해야 하는 부분도 따로 표시하고 있다.

 ※ 예시에 대한 HTML 소스는 개인정보 해쉬 및 암호화해서 웹페이지로 출력하는 형태임

KISA는 안내서에서 소개하고 있는 블록암호 알고리즘 SEED(CBC 운영모드) 및 해쉬함수 SHA-256의 ASP, JSP용 암호라이브러리를 배포하고 있다.

 

4. 기대 효과 및 향후 계획
개인정보보호법 시행 등으로 개인정보를 암호화해야 하는 대상의 수가 기하급수적으로 증가함에 따라, 개인정보를 안전하게 암호화하기 위한 방법을 제시하는 본 안내서의 활용이 증가할 것으로 예상된다. 특히, 암호화 관련 전문지식이 없는 업체의 경우, 본 안내서와 함께 배포하는 암호라이브러리를 활용해 보다 손쉽게 개인정보 암호화 기능을 구현할 수 있을 것으로 기대된다.

 

본 안내서는 KISA의 암호이용활성화(ssed.kisa.or.kr) 등을 통해 상시 보급될 예정이며, KISA는 영세 업체 등의 개인정보 암호화를 기술적으로 지원하기 위한 추가적인 안내서를 지속적으로 개발·보급할 예정이다.

 

 

 

글/전인경(KBA 연구개발팀 책임연구원)

 

그동안 똑딱이만 사용하다가 작년 12월에 캐논에서 대대적인 마케팅을 벌이는 바람에 큰맘 먹고 하나 장만을 했습니다. 그덕분에 라푸마 구스다운 파카도 준다고 하니 혹 했었더랬죠.. 물론 지금 잘 입고 다니고 있습니다..

 

아직 초짜라서 배워야 할 것이 많겠지만 지난 두달 동안 약 3000장 정도 찍어 본듯 합니다. 하지만 아직도 뭐가 뭔지..잘 모르겠네요..우선 많이 찍으라는 주위 조언이 있어 찍긴 하는데 아직도 갈길이 멀고...렌즈나 액서사리등이 아주 돈을 많이 잡아 먹네요...


그중에 몇 컷만 올려 보겠습니다...

역시 렌즈가 좋으니 대충 찍어도 잘나오는게 아닌가 생각이 듭니다... 마지막 테드엑스해운대 흑백 커플 머그컵은
작년 테드엑스해운대 디렉팅 하면서  행사에 오신분들에게 나누어 주기 위하여 제작한 컵입니다.. ^^;;

날씨 좋으면 출사한번 나가 봐야겠습니다. 사진에 일가견이 있으신 분들 많은 도움 부탁드립니다.. @엔시스.

                                                         다운로드                                            
     

오늘 흥미로운 기사 하나가 눈에 들어 왔습니다. 모바일 시대에 변하는 시대상을 읽을 수 있는 좋은 기사입니다. 한번 같이 공유해 보겠습니다.

1. 직장인의 로망, 고액연봉 - 금융권 이제 내리막

자본주의시대에 자고로 돈을 취급 하는 사람은 부를 누리게 되었습니다. 돈과 숫자를 업으로 삼는 사람은 과거에서부터 고액의 연봉을 받고 상당히 보수적인 직업으로 자리매김 하였지요. 하지만 이제 시대가 변하고 있습니다. 그에 따른 흥미로운 기사가 하나 있네요.

 
 전자신문 기사 



기사에 스마트폰 모바일 뱅킹 이용자가 1000만명이 돌파하였다는 내용에 기사입니다. 그럼 모바일뱅킹 서비스 이용건수를 한번 살펴 보겠습니다.

 (일평균 기준)

(단위 : 천건, 십억원, %)

		2008	2009	2010	2011
이용건수		1,058	1,721	3,736	7,697
		(47.8)	(62.7)	(117.1)	(106.0)
(스마트폰 기반)			19	907	5,910
				(4,673.7)	(551.6)
	조회서비스	899	1,462	3,334	6,931
		(50.3)	(62.6)	(128.0)	(107.9)
		<85.0>	<85.0>	<89.2>	<90.0>
	자 금 이 체	159	259	403	766
		(34.7)	(62.9)	(55.5)	(90.1)
		<15.0>	<15.0>	<10.8>	<10.0>
이용금액		150.8	266.2	415.6	652.6
		(42.1)	(76.5)	(56.1)	(57.0)
	(스마트폰 기반)		0.0	46.7	372.7
				(〃)	(698.1)

*주=( )내는 전년대비 증감률, < >내는 전체 이용건수에서 차지하는 비중

<자료=한국은행>

2008년에 비해 이용건수가 무려 약 7배에 달하는 것을 볼 수 있습니다. 또한 스마트폰 기반으로는 폭발적으로 증가하는 것을 볼수 있습니다.

2. 금융권도 이제 몸집줄이기 수순으로

이제는 오프라인 은행점을 굳이 방문하지 않아도 스마트폰으로 금융업무를 모두 볼수 있게 되었습니다. 그 수가 점점 증가하게 되면 당연히 창구 업무가 줄어 들수 밖에 없고, 그러면 최소 업무만을 하는 인력만 남겨두고 구조조정에 들어가는 것은 불보듯 뻔합니다.  가장 기본적인 신규 개설이나 꼭 방문하여서 처리하는 업무외에는 점점 업무가 줄어들 것입니다. 한번 상상해 보세요.. 스마트폰 뱅킹 사용자 2000만명 시대가 온다고 하면 이제는 그 많은 사용자들이 직접 방문하지 않고도 금융업무를 볼 수있다는 이야기니까요. 그러니 지금 취업을 준비하시는 분들은 잘 한번 생각해 보셔야 할 것입니다, 

시대는 변한다는 사실을 기억해야 합니다. 물론 금융권이 아직까지는 못먹어도 준치이면서 대우받고 하겠지만 점점 그 갭이 줄어들고 있고 안심을 해서는 안된다는 사실이죠. 불과 2-3년 사이에 변하는 사실입니다. 그러면 향후 2-3년에는 어떻게 될까요?

3. 향후방향

이제 모바일뱅킹과 스마트폰을 이용한 금융거래는 일반화 되고 그 수요는 점점 늘어나고 사용자도 늘어 날 것입니다. 사이버 지점이 생기고 은행원이나 창구 업무를 점점 사용자 업무로 전환하여 효율성을 추구하게 될 것이고 과거에 줄서면서 번호표 기다리는 풍경은 과거의 추억으로 남겨질지 모릅니다. 그러니 금융권에 있는 분들은 천년만년 먹고 살것이라 생각하기보다는 자신의 경쟁력과 더욱 성장 발전할 수 있는 그리고 몸집 줄이기에서 경쟁력을 갖추어 살아 남을수 있는 방안을 모색하는 것이 바람직 할 것입니다.  

이렇게 포스팅 하는 것은 어떠한 직종이나 직업을 폄하하려는 것이 아님을 분명히 말씀 드리고 우연히 기사를 보다가 미래 트렌드에 대한 예측을 필자가 해 보는 것입니다., 그것이 맞을 수도 있고 틀릴수도 있지만 세상이 변하는데 금융권도 안 변할 수는 없겠지요,. 

또한 미래를 한번 생각해 볼때 이제 막 사회에 진출하려고 하는 사람들도 향후를 예측하는 인사이트를 가질 필요가 있기 떄문입니다. 우린 무한한 정보 홍수속에서 자신이 미래를 예측하고 바라볼수 있는 통찰력을 가져야 하는 것이죠. 그렇지 않고 이리저리 휘둘리다가는 결국 자신이 살아남는데 그만한 댓가를 치러야 할 것입니다. 


결론

금융권이라 안전하게 생각만 했다가는 안될 것입니다. 금융권의 인력이 할 일을 이제는 앱을 이용한 사용자가 할 수있는 세상이 점점 도래를 하고 최소한의 업무만 하면 될 것입니다. 또한 사용자는 이러한 학습효과를 이용하여 굳이 금융 오프 매장을 방문하지 않고도 대부분의 업무를 할 수 있는 세상이 올 것입니다. 신문 기사를 보더라도 그냥 스쳐지나가지 말고 다시 한번 세밀하게 세상을 내다보는 안목을 길러야 겠습니다. 자신만의 시각으로 재 해석 할 줄 알아야 합니다. 그것이 통찰력이고 인사이트이겠지요.  아마도 향후 2-3년후에는 사이버지점이 더욱 늘어 나 사이버 지점장님이 많이 늘어날 듯합니다.  @엔시스.








보안이라는 분야는 참 넓고 다양합니다. 흔히 기술적,관리적,물리적이라는 단어는 참 다양하고 넓게 쓰이는듯 합니다. 지금까지 관리적 부분에 많은 할애를 하였는데, 올해부터 영어공부를 목표 중에 하나로 넣었습니다. 따라서 발번역이 될텐데요. 동기부여 차원에서 기술적 부문의 해외 사이트 번역을  해 보려고 합니다. 그러면 기술적 지식공유도, 그리고 번역공부도 될듯해서 말이죠.. 아무튼 달려 봅니다. 오늘은 첫 제목이 "anonymous DDoS 활동" 정도 되겠네요.

1. 개요.

US-CERT는 공공기관과 민간 기업 웹사이트로부터 분산서비스거부공격 (DDoS) 의 대상이 되는 다양한 공격 정보를 받게 됩니다. 어나니머스가 공격하는 집단은 파일호스팅, 사이트 메가 업로드의 종료에 대한 응답과 저작권으로 지적 재산권 및 위조 상품(온라인불법 복제법, SOPA,PIPA)에 실시간 온라인 위협을 가합니다.

2.  설명

US-CERT는 두종류의 DDoS 공격을 증명합니다. : 하나는 HTTP GET reguest 이고, 하나는 단순한 udp flood 입니다.

The Low Orbit Ion Cannon (LOIC) 는 (루이) 어나니머스 활동과 관련된 서비스거부 공격 도구입니다. US-CERT는 적어도 2개의 구현을 검토하였습니다. 한개는 자바스크립트로 작성되었으며 웹브라우져에서 사용토록 설계되었습니다. 공격자는 웹사이트에서 루이 변종에 액세스하여 목표를 선택하고 선택적인 메세지, 공격트래픽 및 공격 모니터 공격 진행을 지정 할 수 있습니다. 루이의 바이너리 변종 노드 IRC 또는 RSS 명령 채널(이하 HiveMind")를 통해 제어 할 수 있도록 봇넷에 참여 하는 능력을 가집니다.

툴 사진은 여기

LOIC 서버 로그를 보면 다음과 같습니다.


다음 사이트는 루이 트래픽이 HTTP로그 에서 확인이 되었습니다. 완전하지 않지만 그들은 아직도 루이 또는 기타 악성코드가 작동 하여 호스팅 할 수 있으므로 다음 링크는 방문하지 않는 것이 좋겠습니다.


아래는 2012년 1월20일 로그입니다.


[*번역자주]

-위 로그를 보시면 한국 도메인도 2개나 나타나 있는 것을 보았습니다. 특히 IP정보까지 직접 나타나 있습니다. 
  관련 사이트 담당자분들은 점검을 해 볼 필요가 있겠습니다. -   


HTTP에 대한 요청은 예를들어 유닉스에 사용자 정의 "오류"값을 토대로 "ID"값을 포함한 예시입니다.


다른 오류값


"메세지"필드는 임의의 공격자가 설정할 수 있습니다.

2012년 1월20일 기준으로 US-CERT는 포트25, 80에 UDP 패킷으로 구성되어 다른 공격을 관찰했습니다. 예를 들면 패딩의 변수에 다음 메세지를 포함하여 공격합니다.



3. 솔루션

공격뿐만 아니라 대상 네트워크 인프라 종류에 따라 DDoS 공격과 수용가능한 전략은 여러가지가 있을 수 있습니다. 일반적으로 DDoS 공격에 대한 최상의 방어는 철저한 준비과정을 포함하고 있습니다.

• 점검이나 DDoS 공격의 경우에 따라야 하는 표준운영절차(SOP)를 개발 할 수있습니다. 점검 또는 SOP에서 중요한 포인트는 ISP와 호스팅 업체의 연락처 정보를 가지고 DDoS 공격동안 연락해야 하는 사람을 파악해야하는 것이죠. 또한 어떠한 식별과 어떤 프로세스가 필요한지 어떻게 해야 하는지에 따른 행동은 공격하는 동안 수반이 됩니다.
• ISP 또는 호스팅 업체는 DDoS 공격을 방어하는 서비스를 제공할 수 있습니다. 직원들이 귀하의 서비스수준계약 (SLA)의 규정을 인식한지 확인해야 합니다.
• 방화벽팀, IDS팀, 네트워크팀에 대한 정보를 문의하고 그것이  공격 방어에 쉽게 수행 할 수 있도록 유지 합니다.
• 공격에 대응하는 것 뿐만 아니라 그들이 최우선 동안 유지되어야 하는 중요한 서비스를 식별하는 것이 더 중요합니다. 서비스는 공격의 효과를 제한 할  필요에 따라 자원이 해제 또는 차단 될수 있는지 확인하기 위해 사전에 우선시 되어야 합니다. 중요한 시스템이 DDoS에 견딜수 있는 충분한 능력이 있는지도 확인합니다.
• 현재 상태에서 네트워크 다이어그램, IT인프라세부정보, 자산, 재고등을 파악해야 합니다. 공격이 진행이 되면 행동과 우선순위를 결정하는데 도움이 될 것입니다.
• 현재 환경을 이해하고 네트워크 트랙픽 볼륨의 기준, 유형 및 성능을 가지고 말입니다. 이것은 공격 종류를 식별 할 수있도록 공격시점과 공격벡터로 사용됩니다. 필요한 경우 기존의 병목현상과 보완 작업을 식별 합니다.
• 일부 서비스 비활성화와 응용프로그램의 비활성화하여 기능을 강화하고 네트워크 구성설정, 운영체제 강화는 의도된 기능을 수행합니다.
• 같은 방화벽과 같은 stateful 보안장치에 부하를 감소하기 위해 에지 라우팅이 가능한다면 서비스 검사를 할 수있는 직원이 있어야 합니다.
• 중요한 서비스 분리
• 공공 및 개인서비스
• 인트라넷, 익스트라넷 및 인터넷서비스
• HTTP,FTP 및 DNS와 같은 각 서비스에 대한 단일 목적 서버 만들기
• US-CERT 사이버 보안팁 이해하기  http://www.us-cert.gov/cas/tips/ST04-015.html

4. 참고문헌

• Cyber Security Tip ST04-015 - <http://www.us-cert.gov/cas/tips/ST04-015.html>
• Anonymous's response to the seizure of MegaUpload according to CNN - <http://money.cnn.com/2012/01/19/technology/megaupload_shutdown/index.htm>
• The Internet Strikes Back #OpMegaupload - <http://anonops.blogspot.com/2012/01/internet-strikes-back-opmegaupload.html>
• Twitter Post from the author of the JavaScript based LOIC code - <http://www.twitter.com/#!/mendes_rs>
• Anonymous Operations tweets on Twitter - <http://twitter.com/#!/anonops>
• @Megaupload Tweets on Twitter - <http://twitter.com/#!/search?q=%2523Megaupload>
• LOIC DDoS Analysis and Detection - <http://blog.spiderlabs.com/2011/01/loic-ddos-analysis-and-detection.html>
• Impact of Operation Payback according to CNN - <http://money.cnn.com/2010/12/08/news/companies/mastercard_wiki/index.htm>
• OperationPayback messages on YouTube - <http://www.youtube.com/results?search_query=operationpayback>
• The Bogon Reference - Team Cymru - <http://www.team-cymru.org/Services/Bogons/>

원본 출처: http://www.us-cert.gov/cas/techalerts/TA12-024A.html

번역이 그리 매끄럽지 않아 이상 할 수도 있습니다만 아무튼 그냥 남에게 보여주기식 보다는 제가 공부한다는 자세로 포스팅 해 볼 생각입니다. 혹시 이해가 안되시는 분은 출처를 남겨 놓았으니 영문 원본 출처 사이트를 이용해 주시면 좋겠구요. 덧붙여 매끄럽게 번역이 안되면 지적도 해 주시면 포스팅을 수정해서 놓겠습니다. 전문가는 나이와는 상관이 없는 듯 합니다. 꾸준히 노력 해야 할 뿐이지요. @엔시스.

* 최종수정일 :2012.02.09  10:38:40

 

2011년 작년 한해에는 많은 보안 사건 사고가 일어 났습니다. 이에 국가에서도 조금은 보안에 대한 중요성을 인식하지 않았나 하는 생각을 가지고 있습니다. 하지만 늘 그렇듯이 여러가지 이슈가 있고 난 이후에 일정 시간이 지나면 또 같은 사건이 재발 되는 형태는 보안사고에 있어서 고쳐야 할 점 중에 하나입니다. 보안은 100% 완벽함이 없기 때문에 불확실성은 있지만 최대한 예방과 통제를 할 수 있는 대비를 더욱 권고히 할 필요가 있겠습니다.  이에 보안인력에 대하여 한번 살펴보겠습니다.


보안사고의 지능형지속가능위협의 증가가능 높아

올 2012년에는 4월에 총선이 있고 12월19일에는 대통령선거가 있습니다.  그야 말로 선거로 인한 정치적 혼란이 일어날 수 있는 한해 중에 하나입니다. 사회가 혼란스럽고 선거철에 여러가지 정치적 이슈들이 나타나면 이에 따라 보안사건 사고 이슈가 나타날 가능성이 있습니다. 이에 대비하여 사이버 안전을 책임지는 많은 전문 인력이 필요로 하게 됩니다.

늘 사건사고가 터지고 나면 나오는 이야기는 바로 "사람에 따른 재난" 이라는 말이 뉴스에 가장 많이 나옵니다. 즉, 천재지변 보다는 사람이 통제 할수 있는 부분이지만 사람에 재난으로 인하여 사건사고가 발생하였다는 것이지요.

최근 보안사고의 경향을 보면 지능형지속가능위협(APT·Advanced Persistent Threat)으로 발전하고 있습니다. 이는 다음과 같은 절차를 통하여 공격이 됩니다.

• • 침투 - 공격자가 취약한 시스템이나 직원들을 악성코드로 감염시켜 네트워크 내부로 침투
  • 검색 - 침투한 내부시스템 및 인프라 구조에 대한 정보를 수집한후 다음 단계를 계획
  • 수집 - 보호되지 않는 시스템상의 데이터 수집 또는 시스템 운영 방해
  • 유출 - 공격자의 근거지로 데이터 전송 시스템 운영방해 또는 장비 파괴
    
    ▲ 시만텍 APT공격 프로세스
    

  
  출처: http://www.zdnet.co.kr/news/news_view.asp?artice_id=20120112004506&type=xml
  

이렇듯 보안사고도 다양화와 지능화 되고 있습니다. 이런 가운데 보안인력의 전문화와 계약직 , 전문직으로 전락하는 현상은 참 안타까운 일 중에 하나입니다.

기술은 진화하고 공격은 점점 지능화 되어 가는데 자신의 신분을 보장 받지 못하고 비정규직이나 전문직으로 혹은 프리랜서로 떠 돌면서 언제 짤릴지 모르는 신분으로는 제대로 된 보안방어를 하기 어렵다는 것입니다.


 ■  공공기관의 보안인력 문제점

1. 순환근무에 따른 잦은 인사이동

순환근무 정책에 따른 잦은 인사이동으로 업무에 대한 이해도가 낮고 기술습득 및 축적이 이루어지지 않아 전문성 결여 되는 경우가 있습니다. 업무를 지속적으로 해야  업무에 대한 이해도와 기술이 축적되는데 그렇지 못한 것이 현실입니다. 제가 작년 개인정보보호 교육시  교육 섭외 할때 담당자와 실제 교육을 위해 방문했을때 담당자가 바뀌었더군요. 그 이유는 바로 인사발령으로 업무가 바뀌어서 지금 업무 파악중이라고 하는 것을 보았습니다.

2. 정보보호 업무나 보안담당 부서 배치꺼려

보안업무의 특성상 잘 하면 기본이고 보안사고 나면 책임을 져야하는 자발적으로 원해서 업무를 하는경우는 그다지 많지 않을 것입니다. 특히 어쩌다가 보안 사건 사고가 발생하여 책임을 지게 되면 동분야에 근무하기를 기피하게 되고 심지어는 부서 이동을 하게 되겠지요. 같은 업무라도 조금은 직접적인지 않은 업무로.


3. 전산.통신직렬이 승진 오래 소요

전산.통신직렬이 행정직렬에 비해 승진 소요기간이 오래 걸리는 경우가 발생이 됩니다.  특히 정보보호분야에 대하 최신기술과 전문성 확보를 위하여 대학원 진학이나 연수등의 학습을 하여야 하지만 이보다 승진에 도움이 되는 분야로 직렬변경이나 학습과목 선택하는 경우가 많아 전문성이 결여 되고 있습니다.

4. 공공시스템 민간전문업제가 외주 하여 개발과 관리

대부분 공공기관에서 사업발주만을 하여 민간 기업에서 외주하여 개발하고 운영도 아웃소싱하여 관리하는 경우가 대부분입니다. 이러다 보니 외주업체에 의존하게 되고 개발이 제대로 되었는지 오류가 발생이 어디서 되었는지등을 전적으로 외주업체에 의존하게 됩니다. 당연히 전문성이 결여되고 사이버 위협에 제대로 대응을 하지 못하는 현상이 발생이 됩니다.


■  민간기업의 보안인력 문제점

1. 비정규직, 전문직 형태 많아

보통 보안에 관심이 있는 사람들은 보안전문회사에 취직을 할것인지 아니면 일반 기업에 보안담당부서에 취직을 할것인지에 대하여 고민을 하게 됩니다. 대부분 보안전문회사에 취직 하기를 원하는 인력이 많이 있으나 대기업이나 공공기관을 고객사로 하다보니 대부분 갑과 을에서 갑의 위치에 있는 담당부서 담당자로 선호 하는 경우도 있습니다.

하지만 대기업과 금융권 , 공공기관 대부분 비정규직과 전문직 형태로 고용하는 경우가 많아서 고용에 대한 불안정성이 많습니다.

2. 경력자나 능력인정 받아 안정된 곳으로 이탈 혹은 프리랜서

상황이 이렇다보니 자신이 조금만 경력을 쌓게 되면 조금 더 안정적인 곳으로 이동을 하게 되고 혹은 프리랜서 시장으로 나오게 됩니다. 왜냐하면 프로젝트 단위로 하는 프리랜서의 경우 일반 기업에서 받는 대우보다 자신의 몸값에 따라 움직이기 때문이죠.


■  악순환에서 선순환의 구조로 만들거나 정규직 확대로


무엇보다 어떠한 분야에서도 고용이 안정이 되어야 전문화가 나오고 이에 따른 롤모델도 나오게 됩니다. 특히 공공기관이나 금융권에서 보안인력을 채용하고자 할때 롤 모델이 되기 위하여 정규직 채용을 확대하고 보다 안정적인 기회를 제공을 해 준다면 조금 더 장기적인 안목에서 개선되어 나가지 않을까 생각이 됩니다. 처음부터 무리하게 확대 적용하기 보다는 기업 한곳에서 하나 하나씩 케이스를 만들어 가면서 그 케이스가 베스트프랙티스가 되는 사례가 되면 업계에서 벤치마킹을 하게 되고 점점 선순환의 구조로 나가지 않을까 생각이 듭니다.

다소 급하게 러프하게 적느라 조금은 밀도감 있게 적지는 못하였지만 공공기관에서도 보안담당자의 문제점을 개선하고 민간에서도 너무 안정만 추구하는 공공으로의 전문능력을 가진 인력을 이탈하지 않도록 기회제공을 하여 대한민국 보안강국으로 발전하는데 보안업무를 하는 사이버 전사들의 미래를 밝게 밝혀 주었으면 하는 바램이 듭니다.

글을 적다보니 더 할이야기와 할말이 많았는데 다른 할일때문에 급마무리 된는것에 양해 부탁드립니다. 또 기회가 있으면 다시 수정보완해 올리겠습니다. @엔시스



관련기사및 포스팅

보안뉴스
보안전문 인력 정규직 확대·보안예산 확충·보안의식 제고 등이 우선
http://www.boannews.com/media/view.asp?idx=29861&kind=0

[참고문헌]

1. 한근희.  "전자정부 정보보호관리체계 적용정책 " , 정보보호학회  2009.10
2. 지디넷코리아

최근 다양한 디바이스 기기와 멀티 플랫폼과 기술발전이 이루어지면서 이런것을 어떻게 관리해야 할 것인지에 대한 IT관리자의 고민이 커져만 갑니다.

그중에 하나가 바로 'MDM(Mobile Device Management)' 솔루션입니다.  이와 관련된 자료가 있어 함께 공유하고자 합니다.

제가 이에 관심을 가지는 이유는 MDM 이후에 보안이 또 대두 될 것이기에 MDM을 이해를 해야만 여러가지 아이디어들을 적용하고 이해할 수 있겠습니다. 시장에서 요구하는 트렌드와 기술을 이해하는 것이죠,.

자료 다운로드 아래링크
출처: NIPA

 

 

IT의 기술은 점점 빠르게 발전하고 있기 때문에 이러한 트렌드를 익히지 않으면 시장의 추이나 향후 방향에 대한 이해가 부족하게 되는 것이죠.

블로터닷넷에  인포섹 신수정 대표님 코멘트에도 MDM에 올해는 올인하겠다는 사업전략이 올라와 있네요.

출처: http://www.bloter.net/archives/94408

P.S
혹시 MDM을 개발하고 계신 소프트웨어 회사에서 제안서나 혹은 적용한 사례가 있으면 sis@sis.pe.kr 로 메일 주시면 조금 더 MDM을 이해하고 알수 있도록 함께 지식을 블로그에 공유 하도록 하겠습니다.  댓글도 환영합니다.
@엔시스.

1. 국회통과된 ''정보통신망법 개정안' 통과 주요 내용

보안뉴스기사에 따르면 국회 통과된 ‘정보통신망법 개정안’ 살펴보니... 에서 국회본회의를 통과하고 여러가지 미비한점 또는 개인정보보호법에 있는 것을 망법에 도입하였다고 밝히고 있다. 그중에 대표적인 것이 '개인정보 유출신고, 통지제' '정보보호안전진단 폐지, 정보보호관리체계(ISMS) 인증제도 일원화등을 들고 있다.  이러한 내용을 보면 개인정보보호법과 기존 망법에서 수정 보완해야 하는 내용적인 부분이 들어가 있다. 이번 개정을 통하여 망법에 명시되는 않은 사항은 개인정보보호법에 적용을 받고, 이런경우가 많으면 정작 망법 적용사업자는 2개의 법률을 알아야 하기에 상당히 혼란스럽고 힘든 부분이 많다. 따라서 망법 적용대상자는 미비한 부분을 도입함으로 인하여 가급적 하나의 법에 적용으로 하는 것이 혼란을 덜수 있다.


2. 개인정보보호법 시행후 망법과의 관계

개인정보보호법 법률,고시해설서 42p 에 따르면

「

개인정보 보호법」의 시행에 따라, ｢공공기관 개인정보 보호법｣은 폐지한다(부칙 제2조). 또한 다른 법령에서 ｢공공기관 개인정보 보호법｣을 인용하였던 조문은 ｢개인정보 보호법｣을 인용하는 것으로 개정된다.

｢정보통신망법｣의 일부 규정도 「개인정보 보호법」의 시행에 따라 일부 규정이 개정되거나 삭제되었다. 특히 개인정보분쟁조정위원회 관련 조문(제4장제4절, 제66조제1호) 및 ｢정보통신망법｣상 준용사업자 관련 조문(제67조)은 「개인정보 보호법」 시행에 따라 이 법의 적용대상이 되므로 삭제되었다.

과거 ｢정보통신망법｣은 원칙적으로 정보통신서비스 제공자와 정보통신서비스를 이용하는 자의 관계에서 개인정보를 처리하는 경우에 적용되었으며, 이 외에 ‘회원제로 개인정보를 수집하여 재화․용역을 공급하는 사업자’(여행업자, 호텔업자, 항공운송업자, 학원, 교습소 등)를 준용사업자로 규정하여 정보통신서비스 제공자와 마찬가지로 ｢정보통신망법｣의 개인정보 보호 관련 내용을 적용하여 왔다. 이는 정보통신서비스 업종 이외의 업종에서도 다량의 개인정보를 수집․이용함에 따라서 이러한 업종에도 정보통신망법을 적용하여 개인정보를 보호하기 위한 취지였다. 그러나「개인정보 보호법」이 시행됨으로써 「정보통신망법」에서 준용사업자 규정(제67조)을 별도로 둘 필요가 없어짐에 따라 해당 조항은 삭제되었으며, 준용사업자 업종들은 「개인정보 보호법」에 따른 개인정보 처리자에 포함되게 되었다.

다른 법률과의 관계를 명시하고 있는데 개인정보보호법 시행으로 인하여 [공공기관에 관한 개인정보보호법률]은 폐지 한다고 되어 있고, 정보통신망법 제67조는 삭제된다고 명시하고 있다.

3. 정보통신망법 개정시에 다음 문구 수정도 필요


또한  국회법률지식정보시스템에서도 명시를 하고 있다.  여기

하지만 같은 국회법률지식정보시스템 다른 조항을 보면 다음과 같이 <제67조에 따라 준용되는 자를 포함한다> 라는 문구를 포함하고 있는 것을 볼수 있다. 망법 67조는 이미 삭제가 되아야하지만  제64조, 제71조, 73조,76조 에 그대로 사용되고 있다는 것이다.  법 개정시 같이 문구 수정이 이루어져야 할 것이다.

즉, 준용사업자가 정보통신서비스제공자에서 분리됨으로 인하여 개인정보보호법으로 빠지고 망법은 준용사업자를가 아닌 망법대상자만을 적용하는 법률이 된 것이다.

이러한 제보는 본 블로그에 방문하는 블로그 구독자 "박영식" 님 댓글로 확인이 되었다. 법령을 찾아 보고 많이 보는 필자도 너무 간과한 부분이 아닌가 생각이 든다. 

다시한번 제보해 주신 박영식님에게 감사의 말씀을 전하고 '정보통신망법' 개정시에 참조하면 좋겠다는 의견을 제시해 본다.  @엔시스.

구 분	관련조문	시행시기
개인정보 보호법 전체	유예기간이 있는 조문을 제외한 모든 조문	공포후 6개월(11.9.30)부터
주민번호 대체수단 제공	법 제24조제2항	공포후 1년(12.3.30)부터
주민번호 대체수단 관련 공시	영 제23조
주민번호 대체수단 미제공자에 대한 과태료 부과	법 제75조제2항제5호
제1차(‘12～‘14) 기본계획 수립	법 제9조, 영 제14조	11.12.31까지
2012년도 및 2013년도 시행계획 수립	법 제10조, 영 제15조	12.4.30까지
저장․전송 중 개인정보․고유식별정보 암호화 조치	법 제29조, 영 제33조제1항제3호 및 제24조	12.12.31까지
개인정보파일 등록	법 제34조, 영 제34조	영 시행일부터 60일 이내 (11.11.31까지)
개인정보 영향평가	법 제33조, 영 제35조	영 시행일로부터 5년 이내 (‘16.9.29까지)
개인정보 영향평가 (2011년 정보시스템 구축․운용․연계 변경시)	영향평가 고시 부칙 제2조	‘12.9.30까지

<표 -1 > 개인정보보호법상 각종 법적 시행일

<표-1> 에서 보시는 바와 같이  이미 시행이 된 부분이 많고 유예조항이 있는 경우에는 그 시일이 점점 다가 오고 있습니다.

따라서, 개인정보를 취급, 처리하고 있는 기관이나 기업은 위 기간내에 시행이 될 수 있도록 대응책 마련과 준비를 게을리 하지 말아야 겠습니다.  @엔시스.

오늘은 개인정보보호법과 정보통신망법 사이에서 차이점 중에 중요한 부분이 있어 함께 논의하고자 포스팅 해 봅니다. 그 주요 핵심 사항은 "정기자체감사"에 대한 부분인데요..

                         <그림-1 출처: 전주현개인정보보호따라잡기: http://cafe.naver.com/privacyguide >


위 커뮤니티에서 다니엘초이라는 닉네임을 사용하시는 분께서 의문을 제기해 주셨습니다. 그럼 한번 살펴 보도록 하겠습니다.

주요내용은 "정보통신망법"과 "개인정보보호법"에 있어서 내부관리계획 수립.시행에 대한부분이 있습니다. 그 내용을 살펴보면 위 <그림-1>과 같습니다.

즉,

정보통신망법에는 정기적자체감사에 대한 사항이 명시적으로 나타난 반면에 개인정보보호법에는  정기적 자체감사에 대한 부분이 누락되어 있다는 것입니다.

그럼 무엇이 문제인가?

정기적인 자체감사


이러한 측면에서 "정보통신망법"에서 제시하고 있는 정기자체감사 부분이 "개인정보보호법"에는 누락되었다는 것은 일반법과 특별법 사이에서 서로가 뒤 바뀌어진 형세가 됩니다. 즉, 특별법에 누락된 것은 일반법인 개인정보보호법이 적용되는 논리로 개인정보보호에 대한 법 시행이 되고 있는데, 일반법에서 정기자체감사가 누락되는 것은 안될것이며 고시개정이 이루어져야 겠습니다.

혹시 본 포스팅을 보고 계시는 정부관계자분이 있으시면 확인 부탁드리겠습니다. 혹시 잘못 알고 있는 부분이 있다면 해명을 해 주시면 감사하겠습니다.

다시한번 의문을 제기해 주신 다니엘초이님에게 감사의 말씀을 드리면서 법률적 하자나 개정이 필요한 부분은 지속적으로 모니터링하여 개인정보보호에 대한 법 조기정착 및 혼란 방지를 위하여 올 바른 법 시행이 되도록 관심을 가지겠습니다.  의견 있으신 분들은 댓글 환영 합니다.  @엔시스.

[CES2012] 아카마이, 온라인 엔터테인먼트 업계 지원하는 HD 네트워크 발표 (디지털데일리)
http://www.ddaily.co.kr/news/news_view.php?uid=86636

아카마이(www.akamai.com)가 11일(현지시각) 라스베이거스에서 열리는 ‘CES(소비자가전 전시회) 2012’에서 빠르게 진화하는 온라인 엔터테인먼트 업계를 위한 차세대 방송 솔루션인 ‘아카마이 HD 네트워크’를 발표했다. 아카마이의 핵심 솔루션인 인텔리전트 플랫폼상에 구축돼 있는 HD 네트워크는 점차 확대되고 있는 커넥티드 디바이스에 대한 수익 창출 기회를 넓히고, 비즈니스 모델을 유연하게 확장 지원한다. 또 워크플로우를 간소화하고 보안 문제까지도 해결할 수 있다.

아마존 클라우드, 전년대비 매출 2배 ‘껑충’ (디지털데일리)
http://www.ddaily.co.kr/news/news_view.php?uid=86482

아마존의 클라우드 컴퓨팅 서비스인 ‘아마존웹서비스(AWS)’의 지난해 매출이 약 2배 이상 늘어난 것으로 알려졌다. 주요 외신에 따르면, AWS는 2010년 5억 달러의 매출을 달성했던 것에 비해 2011년에는 이보다 2배 이상 늘어난 약 10억 달러 이상 매출을 기록한 것으로 나타났다. 이와 관련, 회사 측은 AWS의 구체적인 매출을 밝히고 있지 않다. 다만 AWS는 기타(others)로 분류되고 있다.

피어링포탈, 세계 최초 모바일 그리드 딜리버리 솔루션 개발 (전자신문)
http://www.etnews.com/201201120141

토털 그리드 딜리버리 서비스 선두업체 피어링포탈 (대표 한봉우 www.peeringportal.com)은 세계 최초로 '모바일 그리드 딜리버리 솔루션'(Mobile Grid Delivery Solution)을 개발했다고 밝혔다. 피어링포탈이 개발한 모바일 그리드 딜리버리 솔루션은 모바일 기기에 적용한 가장 효율적인 멀티미디어 데이터 전송 솔루션이다. 사용자가 콘텐츠 이용자인 동시에 제공자가 되는 이 기술은 서비스 사업자의 서버 및 네트워크 비용을 크게 줄여주면서도 데이터 트래픽을 50% 이상 절감할 수 있는 것이 특징이다.

지상파, 통합플랫폼 합작사 설립 초읽기 (전자신문)
http://www.etnews.com/201201060149

한국판 '훌루' 서비스를 위한 지상파방송 합작사 설립이 초읽기에 들어갔다. 6일 업계에 따르면 MBC•SBS는 이르면 이번 주 중 50:50 지분을 투자해 합작사 설립을 발표하고 통합 플랫폼을 운영할 계획이다. KBS는 지분 투자는 하지 않고 콘텐츠 공급만 협의 중이다. 합작사에서는 '푹(pooq)' '고릴라' 'K플레이어'로 나뉘어 있던 N스크린 서비스를 한데 모아 공동으로 송출한다.

삼성-아마존, 콘텐츠 클라우드 발 맞춘다...'울트라바이올렛' 도입 (전자신문)
http://www.etnews.com/201201120124

삼성전자와 아마존이 클라우드 시장에서 또 한 번 발을 맞춘다. 두 회사는 나란히 클라우드를 이용한 콘텐츠 N스크린•공유 시스템인 '울트라바이올렛(UV)' 도입에 나섰다. 삼성전자는 하드웨어 연동 기술로, 아마존은 콘텐츠 유통 채널로 각각 지원한다. 11일(현지시간) 강태진 삼성전자 MSC 전무는 CES 2012에서 열린 UV 간담회에 패널로 참석해 “올해 생산하는 블루레이 플레이어에 UV 시스템을 이용할 수 있는 인증을 위해 '디스크 투 디지털(Disc-to-Digital)' 기능을 탑재할 예정”이라고 밝혔다.

비트토렌트, 클라우드 진출 “무제한 무료“ (ZDNet)
http://www.zdnet.co.kr/news/news_view.asp?artice_id=20120106181841&type=xml

파일전송 프로토콜이자 소프트웨어인 비트토렌트가 클라우드 기반 스토리지 서비스를 출시했다. 피어투피어(P2P)에 기반한 클라우드로 무한용량의 무료 저장매체가 탄생했다. 개인용 클라우드 서비스에 바람을 일으킬 수 있을 지 주목된다. 5일(현지시간) 지디넷은 비트토렌트가 클라우드 스토리지 서비스 '셰어(Share)'를 출시했다고 보도했다.

`클라우드 인증제` 2월부터 시행 (디지털타임스)
http://www.dt.co.kr/contents.html?article_no=2012011702010931693001

일정 수준 이상의 클라우드 서비스에 인증을 부여하는 `클라우드 서비스 인증제'가 2월부터 본격 시행된다. 방송통신위원회는 클라우드 업체의 서비스를 평가, 일정 수준이상의 품질, 정보보호 등을 제공하는 경우 클라우드 인증을 부여키로 했다고 16일 밝혔다.

AT&T, 오픈스택 클라우드 진영에 합류 (한국IDG)
http://www.itworld.co.kr/news/73583

AT&T가 오픈소스 클라우드 소프트웨어 개발 단체인 오픈스택에 합류한 첫번째 미국 통신업체가 됐다. 오픈스택의 최고 스태커인 짐 커리는 AT&T와 같은 대형 통신업체가 오픈스택을 지지함으로써 프로젝트의 진행이 한층 가속화될 것이라고 밝혔다. 이번 발표는 CES의 AT&T 개발자 서밋에서 이루어졌다. AT&T는 지난 해부터 기업용 신규 클라우드 서비스 제공에 대한 논의를 시작했다. 오픈스택을 지지하는 것과 함게 AT&T는 모바일 개발자용의 새로운 클라우드 서비스도 개시했다.

“웹하드•ASP 발달한 국내, 퍼블릭 클라우드 성공할까” (데이터넷)
http://www.datanet.co.kr/news/articleView.html?idxno=58809

VM웨어와 포레스터리서치가 공동으로 조사한 ‘2011 아태지역 클라우드 리포트’를 발표하기 위해 한국을 찾은 브라이언 왕(Bryan Wang) 포레스터리서치 부사장은 한국의 클라우드 시장에 대해 “한국의 주요 통신사들이 클라우드 서비스를 제공하고 있지만 큰 수익을 거둘 수 있을 것으로 보이지 않는다”고 전망했다. 클라우드 서비스 사업은 규모의 경제로 경쟁하는 사업으로, 사용자가 많을수록 수익이 높아지며 어느 정도 규모에 이를 때까지 막대한 예산을 투자해 기술을 개발해야 하기 때문이다.

클라우드 바람타고 ADN•WAN 최적화 ‘확산일로’ (데이터넷)
http://www.datanet.co.kr/news/articleView.html?idxno=58656

비즈니스 애플리케이션의 다양화, 복잡화, 대용량화는 물론 분산 기업 환경 증가는 애플리케이션 딜리버리 네트워크(ADN)의 변화를 재촉하고 있다. 여기에 가상화 기반의 클라우드 컴퓨팅을 비롯 소셜 네트워킹, 보안, 모바일 등 다양한 이슈들은 ADN의 진화를 견인하기 시작했다. 이처럼 급변하는 IT 환경은 차세대 ADN 인프라 구축을 선택이 아닌 필수로 만들고 있다.

“클라우드 성공열쇠 플랫폼, 규모의 경제로 승부” (데이터넷)
http://www.datanet.co.kr/news/articleView.html?idxno=58712

클라우드 컴퓨팅의 성공열쇠는 ‘플랫폼’ 기술에 있다. 클라우드의 핵심은 ‘온디맨드’며, 이를 위해서는 자원을 자유롭게 할당, 회수, 재사용할 수 있어야 한다. 따라서 가상화 기술이 유용하게 사용되지만 클라우드를 위해 가상화가 반드시 필요한 것은 아니며, 하드웨어와 소프트웨어를 잇는 플랫폼이 얼마나 유연하게 자동화된 자원관리와 서비스 이관을 지원해주는지에 따라 서비스 수준이 달라진다.

클라우드 시대… SW 라이선스 폭탄 맞을라 (디지털데일리)
http://www.ddaily.co.kr/news/news_view.php?uid=86704

무형의 생산물인 소프트웨어(SW)는 일반적으로 제품 자체를 사는 것이 아니고, 라이선스(사용권)을 삽니다. 이는 사용자가 구매한 SW를 소유하는 것이 아니라 계약에 따라 사용할 수 있는 권한만 가진다는 것을 의미입니다. MS 윈도 운영체제 CD를 샀다고 해서 친구에게 빌려주거나, 회사에 있는 PC에 설치하는 것이 불법인 이유입니다.

클라우드 서비스 기반 M→N의 시대로 간다 (한국경제)
http://www.ddaily.co.kr/news/news_view.php?uid=86704

‘M(모바일)에서 N(네트워킹)의 시대로.’ 올해 CES에 전시된 제품들의 특징 중 하나는 연결성(네트워킹)이다. 독립적인 기기 간 경계가 무너지고 콘텐츠와 서비스를 호환하는 흐름이 두드러지고 있다. 삼성전자는 이번 CES에서 ‘삼성 N 서비스’라는 이름의 콘텐츠 포털을 공개했다. 이 서비스는 개인용 클라우드 서비스를 기반으로 TV PC 스마트폰 태블릿PC 등에서 동일한 콘텐츠를 즐길 수 있도록 하는 것이다.

[CES2012]LG전자, 스마트TV서 '클라우드 게임' 서비스 (아시아경제)
http://www.asiae.co.kr/news/view.htm?idxno=2012011108075408664

X박스, 플레이스테이션3 등의 차세대 게임기가 없어도 스마트TV에서 최신 3D 게임을 이용할 수 있게 된다. 클라우드 기술을 응용한 새로운 게임 서비스다.  LG전자는 10일(현지시간) 미국 라스베이거스에서 개최된 세계 최대 가전 전시회 'CES 2012'에서 클라우드 기반 게임 서비스를 제공하는 업체 가이카이(Gaikai)와 전략적 제휴를 맺었다.

글로벌 SW기업이 한국에 클라우드센터를 설립하는 이유는 (전자신문)
http://www.etnews.com/201201090131

우리나라가 글로벌 소프트웨어(SW)기업 클라우드 데이터센터 구축 최적지로 부상하고 있다. 마이크로소프트(MS), 오라클, 마이크로스트래티지 등이 올해 한국에 클라우드 데이터센터를 설립하기로 한 데 이어 전사자원관리(ERP) 전문업체 어프라이즈소프트웨어가 대열에 합류했다. 이들 회사는 한국 데이터센터를 활용해 국내 고객은 물론이고 아시아권 고객을 대상으로 클라우드 서비스를 계획하고 있다. 한국이 아시아 지역 클라우드 허브로 부상한 것은 중국, 일본 등 주변국보다 입지조건 면에서 다양한 장점을 제공하기 때문이다.

‘에이서 클라우드’ 등장…아이클라우드 판박이 (블로터닷넷)
http://www.bloter.net/archives/91116

PC 제조업체 에이서가 클라우드 시장에 뛰어들었다. 에이서는 1월8일(현지기준) ‘에이서 클라우드’를 선보였다. 에이서 클라우드는는 다양한 모바일 기기에서 언제 어디서나, 간편하게 사진, 동영상 같은 멀티미디어 콘텐츠와 문서를 쉽고 빠르게 공유할 수 있는 웹기반 스토리지 서비스다.

오픈마켓 지각변동 ‘초읽기’…네이버 ‘샵N’ 3월 선봬 (이투데이)
http://www.etoday.co.kr/news/section/newsview.php?TM=news&SM=2310&idxno=530557

지난해 초 오픈마켓 진출을 공식 선언한 네이버가 오랜 침묵을 깨고 올해 3월 신개념의 오픈마켓 서비스를 선보인다고 밝힘에 따라 국내 오픈마켓 시장의 지각변동이 불가피해질 전망이다. ‘포털공룡’등장에 불편한 기색이 역력한 G마켓, 11번가 등 기존 업체들은 주력사업부문의 경쟁력 강화, 신규 즈니스 사업 추진 등 다가올 ‘총성없는 전쟁’에 만발의 준비태세를 갖추고 있다.

한국형 구글어스 사업 본격화, 1월 중 시범 서비스 시작 (디지털데일리)
http://www.ddaily.co.kr/news/news_view.php?uid=86806

한국형 구글 어스 프로젝트가 1월 말부터 시범 서비스에 들어간다. 국토해양부(장관 권도엽)는 지난해 5월부터 추진해온“공간정보 오픈플랫폼”사업이 오는 1월말 시범서비스를 시작할 계획이라고 밝혔다. 또, 오픈플랫폼 운영을 위해 설립 중인 플랫폼 운영기구(비영리법인)도 CEO영입 등 조직기반 마련을 본격적으로 추진해 3월경에 정식 발족할 예정이라고 밝혔다.

경희사이버대, 모든 모바일기기 지원하는 `스마트러닝` 앱 개발 (디지털타임스)
http://www.dt.co.kr/contents.html?article_no=2012011102019957744008

경희사이버대학교는 IOS와 안드로이드 운영체제를 모두 지원하는 스마트러닝 애플리케이션을 개발했다고 11일 밝혔다. 경희사이버대는 지난해 6월부터 11월말까지 5개월에 걸쳐 이 애플리케이션을 개발해 왔다. 그동안 일부 통신사와 기기에만 지원하는 서비스는 있었지만 경희사이버대의 이 앱은 통신사 제한없이 국내 대부분 스마트폰과 태블릿PC를 지원한다.

LTE•MS, 2012년 모바일 시장‘양대 화두’… 막내린 CES (디지털데일리)
http://www.ddaily.co.kr/news/news_view.php?uid=86684

미국 라스베이거스에서 열린 ‘소비자가전전시회(CES) 2012’가 막을 내렸다. CES는 매년 1월 한 해 정보기술(IT) 업계 화두를 보여주는 전시회다. TV와 가전 등에 집중돼 왔으나 작년부터 모바일 비중이 커졌다. 올해 CES를 관통했던 모바일 화두는 4세대(4G) 이동통신 롱텀에볼루션(LTE)과 마이크로소프트(MS)였다. 13일(현지시각) 미국 라스베이거스에서 CES 2012가 폐막됐다. 행사를 주최한 미국 소비자가전협회(CEA)는 이번 행사에는 3100여개 기업이 2만여개의 신제품을 소개했다고 전했다. 총 15만3000명의 관람객이 방문했다.

[CES 2012] 스마트 넘어 초고화질•클라우드 입은 TV (조선비즈)
http://biz.chosun.com/site/data/html_dir/2012/01/11/2012011100949.html

‘스마트 넘어 초고화질에 조작•콘텐츠 이동까지 자유롭게’ 10일(현지시간) 미국 라스베이거스 컨벤션센터에서 개막한 세계 최대 전자전시회 ‘CES 2012’에서는 진화하는 ‘미래형 TV’의 모습을 한눈에 확인할 수 있었다. TV에서 인터넷검색을 하고 스마트폰처럼 애플리케이션(앱)을 내려받아 실행하는 스마트 기능에 화질•조작•서비스 측면에서 또 한번 발전을 거듭했다.

티스토리를 사용하다보면 최근 들어 스팸댓글에 아주 곤혼스러운 때가 많습니다. 이제는 번역기를 사용하여 댓글을 달기 때문에 이게 진짜 댓글인지 혼란스러울때도 있더군요,

이제 댓글 정책을 로그인한 사람과 쇼셜댓글 플로그인 "라이브리" 로만 운영하겠습니다. 그동안에는 블로그 방문자 편의를 위하여 아무나 댓글을 달도록 하였더니 스팸 댓글로 많은 스트레스가 쌓이는군요..

우선 1차로 기존 댓글떄문에 로그인한 댓글과 "라이브리"로만 운영을 하다가 커다란 불편함이 없으면 쇼셜댓글로만 운영해 보고자 합니다. 최근에 플러그인 형태로 티스토리에 제공하고 있어 아주 사용이 편리 하더군요.

1. 관리자 모드에서 플러그인을 활성화 해 준다.

2. 라이브리 옵션을 설정하고 발급키를 받는다.

3. 블로그 댓글 대신에 쇼셜댓글 "라이브리"

위 그림에서 보듯이 이름,패스워드, 웹사이트 형태로 쇼셜네트워크 서비스를 사용하지 않는 사람은 댓글을 달면 되구요.. 아래 그림은 최근에 SNS서비스 하나 정도 사용하고 있으니 클릭하여 인증 허가만 허용이 되면 가장 대표되는 쇼셜네트워크서비스로 댓글을 달수 있습니다.


우선은 티스토리 로그인과 함께 사용하다가 "라이브리"로 쇼셜댓글로만 운영하여도 무리가 없으면 쇼셜댓글 "라이브리"로만 운영 해 보고자 합니다.


"라이브리"라는 이름도 실시간 댓글이라는 라이브리플에서 가져 온게 아닌가 하는 생각이 드네요. 닉네임 센스까지 있으십니다.

스팸 댓글에 짜증나시는 분들은 당장 플러그인 적용해 보세요~~ 올해에는 블로그 포스팅에도 주력을 해 보려고 합니다. ^^ @엔시스

보안인닷컴은 국내 최대 보안커뮤니티로서 지금까지 8년동안 네이버에서 운영되어 온 보안전문 커뮤니티입니다. 
보안인닷컴 캐치 프레이즈는 "전국민 보안마인드 업데이트" 와 "전국중심의 보안" 입니다. 올 한해 또 다른 다양한 보안 이슈가 일어 날 듯 한데요..

보안인식제고의 일환으로 아이디어를 생각하다가 기부도 하고 동참도 하고 함께 나눔도 실천 할 수 있는 방법을 생각해 보았습니다. 

 

                             보안인닷컴 페이스북 팬페이지  https://www.facebook.com/jeonjuhyun 


이에 올 한해  보안캠페인을  위한 이벤트를 한번 기획해 보았습니다.  자발적인 보안인식제고는 기관이 하기에도 어렵고, 그렇다고 기업이 하기에도 쉽지 않습니다. 쇼셜이라는 측면에서 집단지성과 자발성은 커뮤니티가 가장 적합할듯 합니다.

그런 차원에서  보안인닷컴 페이스북 팬페이지에 "좋아요" 버튼 한번 클릭시마다 "10원"을 적립하여  연말에 보안커뮤니티 세미나를 개최하거나 아니면 불우이웃에 기부 할 수 있도록 하겠습니다..

제 개인이 감당해야 하는 금액이라서 부득이 부담되는 금액은 어려워 "10원" 정도로 하였고, 굳이 금액보다는 팬페이지를 통하여 많은 보안인식제고에 같이 동참한다는 차원에서 클릭 해 주시면 되겠습니다.^^;

과연 올 연말 12월에는 얼마정도 적립이 될지 궁금하네요...보안인식제고 캠페인과 이벤트 동시에 합니다..~~~~

적립금 사용처 :  보안인식제고를 위한 세미나 비용과 선물 + 불우이웃 돕기 기부금

 
혹시 함께 보안인식제고에 같이 힘써 주실분은 boanin@naver.com 으로 메일 주셔서 서포팅 해 주시면 금액을 합쳐서 같이 사용하도록 하겠습니다. 

대한민국 전국민이 보안마인드가 업데이트 되는 그날까지 화이팅 입니다.~~~  

아래 링크에서 "좋아요" 클릭하는 만큼 대한민국 보안인식 지수는 올라갑니다.  
https://www.facebook.com/jeonjuhyun   




 

올 한해에는 조금 살림살이 나아지는 한해가 되었으면 하는 바램이 듭니다. 정부에서 올 한해 어떤 사업을 추진 계획하고 있는지 관련 자료를 함께 공유합니다.

여러가지 부처가 있지만 관련업무와 관련된  방통위, 지경부, 행안부, 중기청 핵심과제입니다...

 

많은분들  올 한해에도 살림살이 나아지길 기대해 봅니다.  

 
도움되셨다면 댓글 한줄씩 남겨 주셔도 좋겠습니다..^^

나이 불혹이 되어서야 깨달음이 하나 더 생겼다. 그나마 지금이라도 깨달을수 있다는 사실에 감사한다. 그것은 바로 '독서'의 필요성이다.,


독서가 왜 필요한가?

지금까지 그냥 말로만 하는 독서를 하였다. 정말 창피한 이야기지만 일년에 책 읽는 수가 그리 많지 않았고, 인스턴트적인 책읽기만 하였다. 그런데 독서를 함으로 인하여 사유와 어휘가 늘어간다는 사실을 깨닭게 된 것이다. 우리는 말을 한다고 해서 모든 것이 말이 아니고 글을 쓴다고 해서 모든 것이 글이라고 생각하면 오산이다. 얼마나 말을 조리있게 하고 얼마나 글을 조리있게 쓰는 것은 많은 어휘력이 있어야 하고 그 문장에 맥락을 잘 조절하는 문맥의 논리성도 가져야 하는것이다. 그것을 불혹이 되어서야 깨달았고 필요성을 느꼈단 말이다. 실로 부끄러운 일이 아닐수 없다. 하지만 늘 그렇지만 죽을때까지 자신이 깨닭지 못하고 살아가는 진실도 많기에 한개라도 깨달았기 때문에 다행이라 생각한다.



독서습간 들이는데 1년이란 시간이 필요했다.

독서는 습관이라는 생각이 든다. 책이라는 것은 늘 가까이 해야 하고 늘 가방에 자신의 근거리에 있어야 책을 읽게 되는 것이다. 책읽기 즉, 독서의 제일 적은 바로 '시간이없다' 책 읽을 시간이 없다는 것이 최대 적이다. 필자도 그랬고 대부분 사람들이 책읽을 시간을 따로 마련해서 꼭 읽어야 한다고 생각을 한다. 그런데 그 습관을 지난 1년동안 만들어서 스스로 체화시킨 것이다. 나 자신도 그점에 대해서는 나에게 칭찬해 주고 싶다. 어느날 갑자기 책읽고 싶다고 해서 책 읽고, 읽기 싫다고해서 그만두는 것이 아닌 습관적으로 책을 가까이 하고 꾸준히 독서를 하는 습관이 중요한 것이다. 그 구체적인 방법에 대해서는 기회가 있을때 소개하도록 하겠다.



독서후의 나 자신 변화를 위한 내면화

책을 읽는다는 것은 기계적인 책 읽기나 그냥 베스트 셀러이기 때문에 그냥 읽고 나서 그 순간 감흥에 젖어, 혹은 감동으로 지나고 며칠이 지나면 그대로 머리속에서 사라져 버리는 그런 책읽기는 바람직 하지 않다.

독서는 먼저 문자를 읽고 거기서 담긴  저자의 생각과 사상, 지식을 지식을 이해해야한다. 그리고 이해한 것들을 기반으로 나를 변화시키는 내면화 과정을 거쳐야 한다.   -박경철 '자기혁명' p287

우연히도 내가 가지고 있던 생각이 유명한 저자의 책을 읽다가 위와 같은 생각의 일치로 나타날때 그 짜릿함이 있다. 나만 그렇게 생각하는 것이 아닌 저자도 그렇게 생각하는구나, 결국 나와 저자가 일치가 될때 자신도 저자와 동기화 되는 느낌을 가진다.

그렇게 하기 위하여 자신은 독서후에 저자가 던지 메세지를 통하여 자신이 스스로 변화하는 -무엇보다 실천이 중요하다- 모습을 상상하여 반드시 실천으로 옮겨 내면화 시키는 것이 독서의 목적이다. 그렇지 않을 경우에는 기계적인 책읽기에 불과하다.

그 일환으로 필자는 페이스북에서 [독.실.연] 독서실천연구모임이라고 해서 독서쇼셜 모임을  운영하고 있다. 다양한 사람들의 다양한 분야에 책 읽기를 통하여 자신이 어떻게 변화하고 어떻게 실천하는 지를 함께 공유하는 모임을 운영하고 있다.

그렇게 생각하게 된 이유는 우선 이런 모임을 운영함으로 인하여 나 자신에게 의무감을 부여함이고 실천력을 기르기 위한 하나의 방편이기도 하다. 또한 자신이 책읽기를 통하여 변화된 모습을 혼자만 알고 있는 것이 아닌 서로 공유함으로 인하여 타인도 함께 변화 할수 있는 도구로 책읽기를 권장하고 함께 성장해 가는 모습은 자신도 변화되고 타인도 변화시킬수 있는 모토를 가지고 있는 것이다.

2011년도 책읽기를 통하여 1주일에 1권 목표로 하여 50권에 도전을 하였는데 40권 읽었다. 목표량에 약 80%정도 도달한 셈이다. 여러분도 책을 읽어 보면 알겠지만 1주일에 1권 읽기가 만만치 않을 것이다. 하지만 1년동안 나 자신을 스스로 절제하고 통제함으로 인하여 독서 습관을 들여 이제는 체화가 되었다. 그 탄력으로 올해 목표는 우선 1주일에 1권 책 읽기 목표로 삼아 50권에 도전하지만 작년의 관성으로 인하여 목표의 150% 달성을 노력해 보려고 한다.

그리고 그 모든 책읽기 이후에 변화된 모습을 독서쇼셜모임인 [독실연] 에서 함꼐 행동하는 분들과 공유해 보고자 한다. 책읽기를 시작하시는 분이면 혼자보다는 함께 할수 있는 독실연에서 뵙길 바란다.

페이스북 독서실천연구모임
https://www.facebook.com/#!/groups/340691332627535/

작년 12월부터 서류 준비를 거쳐서 부족한 부분은 보완작업을 거쳐 '소프트웨어기술자 경력신고'를 하여 특급기술자 승인을 받았습니다.

보통 노임이나 단가 산정시에 기준으로 사용하고 있기에 공공기관에 프로젝트 투입시에는 반드시 필요한 기준이라 판정을 받아야만 합니다.

이번 기술자 신고를 하면서 느낀점은 상당히 엄격하다는 느낌을 받았습니다. 또한 그 사유에 대해서는 몇가지 요인이 있더군요..




지금은 약 10만명 정도 등록이 되어 있지 않을까 하는 생각이 드네요..초기 무료로 등록한 부분을 감안 하더라도 10만정도 잡고 초기 연회비 3만원을 친다면 30억정도 되는군요...


2011년도 8월기준 일급여 기준

노임단가표를 보니  특급기술자의 경우 일 급여기준으로 340,793 원이군요. 월 평균 근로 근무일수 21.5일 근무한다고 보았을때 약 700만원 정도 계산이 되는군요.

이 노임단가대로 지급해주는 경우가 얼마나 될지는 모르겠지만 아무튼 특급기술자에 맞는 산출물과 퀄리티를 보일수 있도록 노력 하는 자세가 중요하겠지요.

위 소프트웨어기술자경력신고를 하실려는 분들은 http://career.sw.or.kr/ 을 이용하면 됩니다. 아무래도 연초에는 해당 연도에 많은 사업수주를 위하여 한꺼번에 몰리기 때문에 많이 바쁜 모양이더군요..전화 통화하기가 하늘에 별따기 수준이었습니다.

필요로 하시는 분들은 미리미리 준비해 놓는게 좋겠습니다. 이미 도산,폐업이나 기존 직장에서 단위당 프로젝트 서류 검증을 받는다는 것이 쉽지만은 않더군요.  @엔시스.

                                                                <출처: 전자신문 2012.01.17일자>


1. 정보보호관리체계란?

정보보호의 목적인 정보자산의 비밀성, 무결성, 가용성을 실현하기 위한 절차와 과정을 체계적으로 수립ㆍ문서화 하고 지속적으로 관리ㆍ운영하는 시스템 즉 조직에 적합한 정보보호를 위해 정책 및 조직 수립, 위험관리, 대책구현, 사후관리 등의 정보보호관리과정을 통해 구현된 여러 정보보호대책들이 유기적으로 통합된 체계 (이하 “정보보호관리체계”라 한다)에 대하여 제3자의 인증기관(한국인터넷진흥원)이 객관적이고 독립적으로 평가하여 기준에 대한 적합 여부를 보증해주는 제도  - 출처: KISA 홈페이지


2. 왜 필요한가?

최근 들어 "왜"라는 단어와 "본질"이라는 단어에 많은 관심을 가지고 있다. 그럼 왜 "관리체계"가 필요한가?에 대한 본질적인 부분을 우리는 고민을 해야 한다. 그 부분을 심사를 하면서 느꼈던 생각을 고려하여 몇가지로 정리 해 보기로 하자.

• 기업과 조직의 입장
• 우선 기업이나 조직의 입장에서 관리체계 도입의 필요성은 그냥 단순히 도입하면 좋을것 같으니까 도입하는것이 아닌 뚜렷한 목적이 있어야 한다. KISA가 말하는 목적은 다음과 같다.
• 정보자산의 안전, 신뢰성 향상
• 정보보호관리에 대한 인식제고
• 국제적 신뢰도 향상
• 정보보호서비스 산업의 활성화
• 개인적인 입장
• 괸리체계를 도입하여 실제 사이클대로 움직여 본다면 전체적인 맥락에서 우리 기업에서 우리조직에서 정보를 보호해야 할 자산을 식별 할수 있고, 위험도를 산정하여 중요도를 체크하여 체계적인 관리를 함으로 인하여  갑작스러운 사고나 장애에 대비하여 즉각적인 대응시나리오를 관리 하는 방법을 숙지 할 수 있다.

3.  관리체계에는 어떤 것들이 있는가?

• 국제적
• ISO27001 : ISMS에 대한 국제적인 표준으로써 전세계 선진기업이 합의한 좋은 사례를 활용하여 조직이 정보보호 경영을 실행하기 위한 프레임웤을 확인하고 이를 자사에 적용할 수 있게 하는 인증체계를 말한다.
• 국내적
• K-ISMS : 방통위와 KISA에서 주관하는 ISMS로 민간에 적용되며 정보통신망 이용촉진 및 정보보호 등에 관한 법률”제47조
• “정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령”제50조
• 정보보호관리체계 인증 (제2010-3호) 법적근거를 가지고 있다.

                    ※ 정보보호관리체계 인증은 조직에서 정보보호관리를 위한 체계 수립 및 운영이 효율적일 수 있    
                        도 록   하는 방법으로 최선의 노력을 하고 있음을 확인하는 것으로 법적 책임과는 무관함

• G-ISMS : 공공기관에 적용되는 ISMS 제도

4. 연도별 인증서 발급현황

                                                               <출처: 한국인터넷진흥원>


2002년부터 발급을 시작해서 매년마다 점점 많은 수의 인증을 받고 있지만 총 10년에 걸쳐 126건 밖에 되지 않았다는 것은 그동안 얼마나 정보보호에 많은 무관심을 가지고 있는가에 대한 반증이기도 합니다. 그동안 ISMS 인증제도는 법적 의무사항이 아닌 권고 사항이었기 때문에 위와 같은 숫자가 나왔다고 하지만 보안에 대한 이슈는 점점 커지고 있어서 그 역할은 커지리라 생각이 듭니다.


5.  최근 시사점과 향후 방향

• 정보통신망법 개정
• 안전진단제도 폐지

• ‘12년도 안전진단 예비대상자는 370여개 업체로, 전년대비 25.4% 증가

  ※ (‘05) 142개 ➡ (’06) 160개 ➡ (’07) 207개 ➡ (’08) 232개 ➡ (’09) 247개 ➡ (’10) 272개 ➡ (’11) 292개 ➡ (’12) 370여개 예상
  
  안전진단 대상자가 점점 많아 짐으로 인하여 관리체계에 대한 법적 의무 시행 사업자도 증가할 전망.
  
  

• '13년도 관리체계 의무화
• 관리체계 의무화
• 개인정보보호법 시행에서도 느꼈지만 13년도 시행이면 ISMS의 경우에는 올 12년도에 이미 컨설팅이나 사전 준비작업에 들어가야 한다. 그렇지 못할 경우 자체적으로 정책 수립에서부터 끝까지 마무리 작업을 해야 하는 부담을 가진다. 하지만 대부분 초기 관리체계 수립은 컨설팅을 많이 받음으로 한꺼번에 몰릴 가능성이 있다.
• 또 한가지는 ISMS의 경우 관리체계 수립후 증적 사항을 수집하기 까지 오랜 시간이 걸린다. 컨설팅은 보통 빠르면 2-3개월에서 끝나지만 이에 따른 이행증적 사항은 6개월 정도 관리체계 사이클대로 움직일때 가능하다. 따라서 안전진단 해당 기업은 올해 부터 관심을 가져야 할 것이다.

• 기업 관리체계 담당 인력 및 보안 컨설팅 인력 수요급증
• 인력과 예산
• 정보통신망법 개정으로 인하여 올 7월1일부터 시행이 되고 '13년도에는 ISMS제도가 의무화가 됨에 따라서 안전진단 대상 기업에서는 ISMS 전담 인력을 따로 구성하는 것이 좋다. 또한 초기 컨설팅을 위한 예산 마련도 중요하겠다.  특히 취업을 하지 못한 예비 취업자나 이직자 그리고 컨설팅에 관심이 있는 사람이라면 "관리체계"에 대한 관심도 가져 보는 것이 좋겠다.
• 또한 이러한 관리쳬계 수립후에 이것을 체크리스트에 따라 인증하는 인증심사원에 대한 인력에 대한 부분도 수요가 늘어 날 것으로 전망된다. 따라서 기존 IT경력과 경험이 있는 그리고 인증 심사 스킬을 보유한 유능한 인증심사원등이 대거 등장하거나 많은 수요가 전망된다.

 

• KISA의 역할강화
• 기존 부서 역할증대
• 지금현재 관리체계에 대한 대부분 업무을 추진 하는 기관은 방통위 산하 '한국인터넷진흥원'에서 추진하고 있다. 이러한 시대적 요구사항에 있어 KISA 해당 부서에 대한 역할 강화가 필요 할 것으로 보인다. 그동안 추진해 왔던 경쟁력과 경험을 바탕으로 하여 보다 더 확대 적용 되기 위한 힘을 실어 주어야 한다.

맺음말

한국에 인터넷이 사용된지 이제 불과 15여년밖에 되지 않았다. 그동안 많은 성장을 이루었고, 대한민국은 그중에서도 IT인프라 강국으로 도약이 되었다. 필자도 초고속 인터넷 사업에 인프라 구축 PM도 하였고, 그 이후 대규모 서버들이 들어있는 집적정보통신시설이 들어 서고 각 통신사 및 이통사 데이터 센터가 건립이 되었다. 이러한 데이터 센터는 이제 각 기업마다 관리 포인트가 늘어남에 따라 자체 데이터센터를 보유하게 되었고, 장애시에 대비하여 복구센터도 갖추게 되었다.

특히 이러한 인프라를 기반으로 성장하는 대한민국에 순기능에 따른 역기능 또한 만만치 않아 잇따른 보안사건사고가 발생을 하고 특히 '11년 작년의 경우에는 금융권에서 대거 개인정보 유출 및 금융 보안 사건사고가 일어나면서 많은 보안이슈가 제기되기도 하였다.

IT보안은 이제 IT융합으로 갈 것이고 산업전반에 걸쳐 보안의 중요성은 점점 커질수 밖에 없다. 또한 최근 SNS와 스마트폰을 이용한 모바일 보안이 이제는 엔드유저단인 '사용자 보안'으로 그 바톤이 넘어가게 되었다.

이러한 보안적 이슈를 잘 해결하고 대응을 하기 위한 가장 기초적인 작업이 '체계적인관리'에는 누구나 공감대가 형성이 되었다. 따라서 국내 정보보호관리체계중에 하나인 ISMS에 대한 중요도가 높아지고 정부는 지금까지 권고사항에 그쳤던 ISMS제도를 법적 의무화와 규제를 함으로 인하여 보안성을 높이려 할 것이다.

이러한 관점에서 보았을때, 이제는 IT보안을 바라보는 시야를 조금 크게 바라 볼 필요가 있고 기업이나 조직의 전체적인 틀(Frame)안에서 기획,설계,수립해 나가야 하는 시기이다.

본 포스팅은 혹시나 ISMS인증심사에 관심이 있는 사람을 대상으로 하여 ISMS,PIMS인증심사를 하면서 느낀점과 향후 대응책에 대하여 알아 보았다.  미래를 보는 눈을 가진 사람이 유능한 사람이다. @엔시스.

 블로그의 성격에 맞지는 않지만 오늘은 정치 이야기 좀 해 봐야 겠다.. 종교이야기, 정치이야기는 어디가서나 하지 않는 것이 좋다라는 말이 있다. 올해 2012년도에는 총선과 대선이 있어 선거 바람이 거세게 나타날듯 하다. 예전에 기사에서 "늘 선거철만 같아라"라는 기사를 본 적이 있다. 

평소에 보기 힘든 정치인들이 한표를 얻기 위하여 손을 내밀고, 이제 막 정치생명을 출발하려는 새내기 정치인에 도전장을 내민 정치인들이 검증을 받는다.

오늘자 부산일보에 재미있는 기사가 났다. 그래프를 보면 조금 더 와 닿을 듯 하다. 

                      <출처: 부산일보 http://news20.busan.com/news/newsController.jsp?newsId=20120113000099>

 
부산일보에 따르면, 한나라당 후보를 지지 하는 비율이 낮아지고 범야권 후보에 지지율이 높아지는 그림과 투표시에는 후보 됨됨이를 보겠다라는 조사가 눈길을 끈다.

정치가 바뀌고 있다.

최근 불어닥친 SNS바람을 타고 이제 정치 무관심자들이 젊은층을 중심으로  하고자 하는 말과 이제는 바뀌어야 한다는 분위기가 팽배해지다 보니 너도 나도 관심을 가지고 자신이 지지하는 후보를 검증 하기에 이르렀다.

 이제는 지역색과 당을 보는 것이 아니라, 후보의 선거 공략과 지금까지 자신의 지역구를 변화 시키지 못한 부분에 대한 열망이 더 크게 작용하는 것이다. 

위 그림에서 보는 바와 같이 부산일보에 따르면 부산경상권에 한나라당 아성이 20대30대 40대에서 범야권후보가 더 지지를 하는 부분으로 바뀌고 있네요.. 물론 이 그래프만 가지고 짐작하기에는 어렵겠지만 아무튼 무엇인가 바뀌고 있다는 증거일 것입니다.


부산저축은행 피해자들은 망각하면 안된다.

작년 2월17일 부산저축은행이 영업정지를 당하여 많은 피해자가 나왔고, 아직도 마음에 상처를 안고 살아가는 사람들이 많다.  그 피해자들은 절대 그 상처 받은 마음을 망각해서는 안된다. 피해자는 피해자일뿐이고 나와는 상관없다는 것이 아니라, 누구 하나 나서서 앞장서서 도와준 사람들이 많지 않다. 그것을 기억을 해야 한다. 그렇기에 또 변화 한다는 것이다.  정말 무엇인가를 바꾸어 줄 수 있는 사람으로..정말 됨됨이가 될수 있는 사람으로 ..


정치인이 인기에 영합하거나 잘 알려진 사람보다는 정말 우리 지역을 위해서 조금이라도 진심으로 우러나오는 바꾸어야겠다는 준비된 사람을 이제는 선택해야 한다. 그만큼 유권자가 눈이 높아 졌다는 이야기이다. 이제는 정말 한표 한표가 피마른 전쟁인 것이다. 출마하는 분들은 더 많이 뛰고 더 많이 듣고 더 많이 준비하고 더 많이 노력해야 할 것이다.  그 기나긴 4년을 기다려 온 것이다.  또 시간이 지나면 잊어버리는 그런 망각의 한표가 아니라 가슴에서 진정으로 자신의 마음을 헤아릴 줄 아는 이를 선택하는 선거이다.

이번에 유권자가 되는 분들은 후보 선거사무실에 방문도 하고 이런 저런 이야기도 들어보고 SNS을 통하여 검증도 하고 소중한 한표를 찍어야 한다. 당을 선택하는 것이 아니라 사람을 선택 하는 것이다. 그러니 준비된 사람은 선택되는 것은 당연한 것이다.  후회없는 한표를    @엔시스.




 

 

질문>

안녕하세요.. 엔시스님

저는 현재 000 전산팀 대리로 근무하고 있는 올해 34살 된 000 라고 합니다. 

불확실한 미래에 대한 복잡한 심경이 들어 쪽지를 보내게 되었습니다. 2년제 대학을 졸업후 2003년 00정보통신에 입사하여 00전산팀 및 00전산팀에서 시스템 운영및 관리 업무를 하였고 현재는 00 전산팀에서 전산운영(IT자산,네트웍,보안장비등)관리 업무를 맡고 있습니다. 저희 회사  특성상 인원4명으로 운영되다 보니 거의 모든 업무를 아웃소싱 하고 저는 업체 관리만 하고 운영만 하고 있다고 생각되어 집니다. 아직 어린 나이라고 생각되어지고 매너리즘에 빠지지 않을까 걱정되어 보안 공부에 조금씩 관심을 가지고 있습니다.

작년에 00 컴퓨터과학과를 졸업하여 대학원을 들어가 사이버 포렌식에 관한 공부를 해보고 싶은데 미래에 대한 괜찮은 투자인지 고민됩니다. 미래에 저의 적성에 맡고 재밌고 보람되는 일을 하고 싶은데 현재 그렇지 않은것 같습니다. 대기업SI업체에 있을때 보다 현재 스킬은 점점 떨어지고 있어 좀 불안하기도 합니다. 그대신 관리 능력은 배우고 있지만 스펙이 부족하여 고민 스럽습니다.

엔시스님의 조언 부탁 드리겠습니다.

긴글 읽어 주셔서 감사드립니다.


답변>

안녕하세요,. 엔시스입니다.

지금까지 상담쪽지 중에 가장 형식을 갖춘 분이시네요. 어떤 사람들은 자신이 누구인지 무엇이문제인지도 알리지 않고 어떻게 하면 되는지를 물어 봅니다.  그에 따른 답변은 동일하겠지요.

1. 기술 + 관리

우선 IT쪽은 기술이 우선입니다. 기본적인 기술을 바탕으로 하고 있기에 자신의 기술 개발을 게을리 해서는 안될 것입니다. 하지만 업무와 기술이 결합되면 가장 좋은데 관리적 측면이 강하니 보내진 고민을 하게 될 것입니다. 또한 관리도 중요한 포인트입니다. 결국 관리로 갈테니 말이죠.

2. 포렌식

그래서 자신만의 한 분야를 만들어야 합니다. 포렌식에 관심이 있다고 하니 좋습니다. 하지만 아직까지 시장이 그리 크지 않고 특정 검찰,경찰이나 회계법인등에 특화가 되어 있습니다. 시장이 커지기 까지는 시간이 걸릴듯 합니다. 이부분을 자신이 어떻게 커버 할 것인지에 대한 고민이 필요합니다.

3. 꾸준한 자기계발

보통 갑과 을에서 갑에 위치에 있다보면 자신을 소홀히 하게 되고 고인물이 썩듯이 안이함에 시장 트렌드와 멀어지고 결국 시간이 지나면 자신에게 경쟁력이 떨어집니다.그래서 갑의 위치가 안정적이긴 하지만 자신의 성장에는 그만큼 물이 고이지 않도록 하는 노력이 필요합니다.

보안인닷컴(http://www.boanin.com)에 좌측에 운영자 칼럼이 수록이 되어 있으니 많이 참고 하시고 근본에 충실 하시면 좋겠습니다. 그래서 부단히 노력하는 사람들과 친분이나 인맥형성을 하여 동기부여와 자극을 받아야 합니다.

쪽지의 한계가 있으니 추후 더 궁금한점 있으면 연락처를 알려 주시면 조금 더 자세한 말씀 드릴 수있겠네요.

화이팅 하시고 회신 주세요.
감사합니다.

엔시스 드림

회신>

화이팅 할수 있도록 답변 주신것 감사드립니다.
기술적인 발전을 소홀히 하지 않고 제가 하고 싶은 부분을 잘 찾아야 될것 같습니다.

엔시스님의 글들 읽어보고 추가 적인 질문 드리겠습니다.
바쁘실텐데 이런글에 답변 달아 주시고 정말 진심으로 감사드립니다. 수고하십시오. 

* 개인정보를 제외하고 오픈 할 수 있도록 협조 해 주신 님께 감사드립니다. ^^;;  다르다고 틀린것은 아니니 정답은 아니더라도 조금 이라도 방향성을 잡을 수 있지 않을까 해서 공유합니다.

1. 개인정보보호관리사(CPPG)란?

한국CPO포럼에서 주관하고 있는 민간 자격증 시험으로서 - CPPG (Certified Privacy Protection General) : 개인정보관리사 개인정보보호 정책 및 대처 방법론에 대한 지식 및 능력을 갖춘 인력 또는 향후 기업 또는 기관의 개인정보 관리를 희망하는 자로서, 다음의 업무능력을 보유한 자 - 라고 소개가 되어 있습니다.
출처 (http://www.cpptest.or.kr/)

2.  2012년도 8회 시험이 4월시행, 지금까지 지방에서는 시험을 볼수 없다(?)

보통 1년에 2-3회 시험을 치른다고 가정을 하면 시험 진행한지 약 2-3년이 흘러갔습니다. 올해에는 4월에 시험이 있습니다...

개인정보보호법의 시행과 최근 보안 이슈사항으로 인하여 많은 사람들이 관심을 끌고 있는데 유독 시험은 서울에서만 시험을 보고 있습니다.

따라서, 지방에 거주하는 사람이 시험을 보기 위해서는 서울까지 가야만 하는 경우가 발생을 합니다. 이러한 사항들은 관계자분들을 통하여 필자는 여러채널을 통하여 말씀을 드렸으나 아직까지 이루어지지 않고 있네요.

초기에는 사업진행하기 위한 초석이라고 생각을 하겠지만 이제 조금 더 폭 넓은 수요층을 감안한다면 전국에서 시험을 볼수 있도록 조치를 취해야 할 것입니다.  그렇지 않는다면 단순한 자격사업에 일관으로 밖에는 볼 수 없을 것입니다. 2012년도에는 꼭 전국 주요도시에서도 시험을 볼 수 있도록 관계자 분들께서는 조치를 취해 주시면 감사하겠습니다.


3.  정보통신망법 위주가 아닌 개인정보보호법도 포함하는 시험이 되어야


개인정보보호관리사 시험이 정보통신망법 위주의 시험으로 출제가 되어 있고, 지난해 개인정보보호법이 통과된 이후에는 개인정보보호법도 포함이 되어야 합니다.

이러한 사항은 가이드라인에도 반드시 반영이 되어야 하고, 실제 개인정보보호 관련하여 일반인들이 정보통신망법에 적용이 되는지 개인정보보호법에 적용이 되는지를 알아야 하고 자격증 소지자라면 반드시 2개의 법적 이해도와 지식을 포함하고 있어야 진정한 자격인증이 된다고 생각이 듭니다. 따라서, 이번 2012년 8회차 부터는 이러한 부분을 반영하여 적극 시험이 되어야 겠습니다.


개인정보보호에 대한 지식을 측정하는 자격으로서 올바른 방향으로 가야 한다는 것은 바람직 하다는 생각이며 평소 이에 관련된 생각을 가지고 있었기에 블로그에 포스팅 해 봅니다.  이제는 지방에서 더 이상 먼곳으로 가지 않더라도 시험을 볼 수 있는 조치가 취해지길 기대해 봅니다.   @엔시스.

정보보호안전진단 제도가 2013년도에는 폐지가 되고 정보보호관리체계(ISMS) 제도가 기간통신업체나 집적정보통신시설등 일정한 규모의 사업장에서는 의무화가 시행이 됩니다.

ISMS제도가 시행된지 10년이 넘었는데 아직까지 그리 활성화 되지 못하였습니다. 처음수립하기 어려워 그렇지 수립후에는 체계적인 관리가 되어 오히려 더 편리함을 느끼게 되는 것을 인증심사를 나가 보면 담당자들은 이야기 합니다.

취득시에 나타내는 혜택들인데 앞으로 더 많은 혜택을 주어서 조금 더 활성화 되도록해야겠습니다..

올 한해에도 기업의 보안인식에 대한 관심도가 높아졌으면 하는 바램을 가져 봅니다. 또한 실무를 하시는 분들은 화이팅 하시길 기원해 봅니다. 홧팅.   @엔시스.

* ISMS제도가 무엇인지 잘 모르시는 분들은 검색신공으로 찾아 보세요..


2012년도 1월2일에 보안인닷컴 e-매거진 [보안人] 제 7호가 발행되었습니다. 늘 부족한 시간 쪼개에 만들다보니 애로사항도 있지만 화려함 보다는 "가치제공" "지식공유"에 목적을 두려고 합니다.

앞으로도 많은 관심 갖어 주시고 이번호에는 [새해 특집기획] 으로 고려대학교 "사이버국방학과"와 "안철수 연구소"를 탐방하는 글을 실어 보았습니다.  8호에도 많은 참여와 관심 부탁드리겠습니다.

보안에 관련된 글이면 언제든지 환영하며, 검토후 실어 드립니다. 함께 보안에 대한 정보를 공유하겠습니다.

첨부파일 다운로드 받으시면 무료로 보실 수 있습니다. @엔시스.

보안인닷컴7호_2012-01_V 1.1.pdf

 

아듀~~2011

안녕하세요..엔시스입니다.  제 블로그를 찾아 주시는 분들에게 이렇게 늦게나마 인사를 드리네요. 몇분이나 방문하시는지 모르겠지만요.

올 한해 수고들 많이 하셨습니다. 저도 올 한해에는 많은 일들이 일어난듯 합니다. 여러가지 사항이 있었지만 누군가와 늘 함께 할 수 있었다는 것이 기쁘기만 했습니다.

이제 나이를 한살 더 먹는군요. 올해에는 생업에 시간을 할애 하다보니 블로그등에 신경을 잘 쓰지 못했습니다. 물론 트위터나 페이스북의 영향도 있겠지요.

아무튼, 조금 더 깊이 있고 인사이트 있는 보안에 대한 성찰이나 개선점 그리고 나름대로 느낌을 정리하려 했으나 쉽지 않았습니다.


과거와 미래는 늘 현재 시점에서 이루어짐

과거와 미래는 늘 현재시점 현재 시간이 이루어짐으로 인하여 과거가 되고 또 미래는 현재가 되고 합니다. 점이 연결되어 선이 되듯이 현실에 충실하는 것이 가장 바람직 하겠지요..

이제 새로운 2012년이 다가옵니다..

뭐 2012년이라고 해봐야 당장 무엇인가 바뀔것 같지만 미리 준비하지 않은 사람들은 12월31일이나 1월1일이나 별반 달라지는 것이 없을 것입니다.. 올 한해 무엇보다 다른해와 달랐던 것은 바로 "실천" 이었습니다.

72:1 법칙을 철저히 지킬려고 노력했고, 무엇보다 책을 많이 읽고 독서하는 습관을 들이려고 했습니다. 그 두가지에 많은 것이 변하고 또 조금 성장한 느낌도 듭니다.

인생은 "마라톤"이라고들 합니다. 이제 인생의 절반을 뛰어 왔습니다. 앞으로 더 가야할 길이 멀기만 합니다. 긴 호흡으로 멀리 바라보고 조금은 여유를 가지고 한발짝 한발짝씩 나가야 겠습니다.

제 블로그를 방문하시는 모든 분들 올 한해 수고 하셨고, 내년에도 하시고자 하는 일 꼭 이루시길 마음에 담아 적어 봅니다. 그동안 블로그 조금 소홀히 한점 양해 바랍니다. 앞으로 여러가지 채널로 자주 소통 할 수있는 사람이 되겠습니다. 내년에도 블로그 많이 많이 관심 가져 주세요...그럼 이만. @엔시스.

최근 IT보안의 실력 있는 사람들이 몸값이 천정부지로 올라가도 있다고 합니다.  과거에는 홀대를 받다가 최근들어 금융사건사고가 터지면서 법 제.개정이 들어가고 지침과 시행령이 마련이되니까 어쩔수 없이 인력 수급을 하게 됩니다.

하지만 보안분야는 진입장벽이 상당히 높습니다. 당장 신입이 들어가서 할 수있는 부분이 잘 없습니다. 밑바닥에서 부터 차근차근 자신의 커리어를 잘 관리하고 또한 여러가지 다양한 경험과 체험을 통하여 전체적인 맥을 짚을 수 있는 인사이트를 가지게 되는 분야 중에 하나입니다.

그러다보니 조금 자신이 인사이트나 어느정도 경험과 지식이 있으면 안정적인 금융권이나 공무원그리고 대기업으로 흡수가 됩니다...

그리고 과거에 고생했던 부분을 보상 받으려고 합니다. 이제는 안정적이니 또 게을러지기 시작합니다. 그러다 보니 IT보안기술과 트렌드는 급격히 변화하는데 반해 벌써 1-2년이 지나면 갑에 포스가 느껴지고 예전에 잡초처럼 살았던 생각은 잊어버리게 되는거죠.. 

사정이 이렇다보니 민간 수급상황은 더 않좋게 됩니다. 우수한 인력이 전부 빠져나기기 때문입니다.  또한  보안기업이 사업은 밀려있고 즉 돈되는 프로젝트는 많은데 , 인력수급이 원활하지 못한 구조이기 때문입니다. 그러다보니 무리한 프로젝트 수주를 하게 되고, 자질과 자격이 있는 전문가가 투입이 되는 것이 아닌 말 그대로 레퍼런스 삼기 위한 주니어가 투입이 되다보니 제대로된 프로젝트가 될리가 없습니다.

프로젝트가 딱 정해진 기일에 끝나는 일은 정말 드문입니다. 그 시일보다 늘 늦어지거나 변수가 생겨 더 많은 요구사항과 인력 그리고 더 나은 산출물을 기대하기에 늘 팍팍한게 사실입니다. 

이러한 악순환의 구조가 되다보니 갑은 을을 시키려고만 하고 을은 업무에 허덕이게 되는 높은 강도에 일에 지쳐 또 업계를 떠나려고 하는 사람들이 많습니다.

어제 어떤 분과 대화에서 그분은 이런 말씀을 하더군요..

" 자신이 알고 있는 지인이 보안 1세대인데 최근 보안분야에 남아 있는 사람이 거의 없다고"
참 가슴 아픈 이야기인데요...

왜 그럴까요?

우리는 이미 그답을 알고 있습니다. 그것은 빠른 환경 변화와 급속하게 변하는 IT기술을 나이가 들면서 순발력이 떨어지고 따라가지 못하기 때문입니다.

그렇다면 우리가 IT에 발을 담그고 있던 사람이 다른 분야에 가서 쉽게 전문가가 될 수 있을까요?

이렇게 한번 생각해 보죠 

이직을 생각해 보려는 사람이 있습니다. 회사가 너무 많이 일이 있고, 여러가지 사정으로 다른 회사를 알아보려고 합니다. 그리고 돈도 많이 받고 싶고..그래서 이직을 하게 됩니다. 옮기는 것이다 보니 돈은 더 받았는데 일은 지난 회사보다 더 많습니다.  과연 그것은 올바른 이직일까요?
그럼 또 이직에 대한 후회가 들겠지요...돈은 조금 적어도 그 회사에 그냥 있을껄..사람은 일과 라이프를 균형을 맞추려고 하기 때문이죠. 어디 두마리 토끼를 잡기 쉬울까요?

지방에 있는 사람이 서울로 갈려고 합니다. 지방에서는 IT로 먹고 살기 힘으니 서울에 가면 무엇인가 기회가 있고, 당장 자신에게 밥벌이를 막 만들어 줄것만 같습니다. 그래서 서울로 올라갔습니다. 하지만 기회는 많이 있지만 물가와 집문제 그리고 경쟁이 치열해서 지방에 있을때 보다 더 많이 노력해야 합니다.

대한민국에 살고 있습니다. 대한민국이 진저리나서 해외로 나가보려고 합니다. 해외에는 더 많은 기회와 그곳에서 무엇인가 새로운 기회를 얻을 것만 같습니다. 그래서 이민을 갑니다. 하지만 한국에서보다 더 비참한 생활과 더 고된 삶을 살아야만 합니다.

보안분야도 힘이 듭니다. 해야할 일도 많고, 범위도 넓고 기술도 빠르게 발전하고 하지만 지금 있는 회사에서 더욱 열심히 노력하고 지방에 있을 때 서울에 있는 것 처럼 더 노력하고 국내에 있을때 해외에 있는 것처럼 더 부지런하고 성실하다면  반드시 다른 환경 조건에서도 더욱 우뚝 설 것입니다. 전 그것을 경험하고 체험하고 있습니다. 

최근 서바이벌, 오디션 프로그램이 인기입니다. 사회분위기가 경쟁을 부추키기도 합니다. 우리는 또 그것을 즐깁니다. 자신은 경쟁하지 않으면서 자신의 분야에서 최고가 되려고 노력하지 않으면서 다른 회사, 서울, 이민을 기울이면 그곳에서는 나이들도록 인생을 보장 해 줄까요?

준비되지 않는 사람, 노력하지 않는 사람, 연습하지 않는사람은 절대 최고가 될 수 없다고 생각합니다. 

제가 하고자 하는 말은 우리 모두 자신의 분야에서 최고 탑(TOP)이 되어 보자는 이야기입니다.  말에 약간 앞뒤가 안 맞지요... 모두 탑이 될 수 없다는 것을 저는 이미 알고 있기 때문에 그렇게 이야기 한 것입니다.

                                                       <사진출처: http://bit.ly/sEE7sj>

늘 힘들다고 입에 달고 사는게 아닌 정말 내 인생을 한번 내 삶을 주도적으로 살아 볼 수 있는 스스로 만들어가는 개척하는 삶을 만들고 노력 해 보자는 말입니다.  물은 흘러야 하고 고여 있으면 썩게 마련입니다. 부단한 움직임을 가져야 하고 불안정하기 때문에 살아 있는 것입니다. 안정적이다면 이미 죽은 것이나 다름 없다는 이야기를 들은적 있습니다. 

부단히 움직이고 노력하고 준비하고 하나라도 더 나누어 줄려고 하고 베풀려고 할때 자신에게 덕으로 돌아 오지 않을까 하는 생각입니다.

그러면 반드시 나이가 들어서도 업계를 떠나는 것이 아닌 명퇴는 숫자에 불과하고 자신이 롱런 할 수 있는 방법을 찾고 업계에서 롤모델이 되어 스타가 되어 스타를 바라보는 것이 아닌 자신이 스타가 한번 되어 보시면 어떻겠습니까? 저도 그 험난한 길을 걷고 있습니다. 함께라면 같이 해 낼 자신이 있다고 생각합니다. 오늘도 화이팅 하시길 바라면서...  @엔시스.

 * 본 칼럼은 보안인닷컴 커뮤니티와 보안인닷컴 세리포럼에서 많은 공감과 댓글이 있어 블로그에 옮겨봅니다.
    다양한 의견 환영합니다. 반대글도 괜찮습니다.  댓글 달아 주시면 되겠습니다.

2012년도에는 클라우드와 스마트폰, 보안등이 주요 키워드가 되는데에는 누구도 이견(異見)이 없을 듯 합니다.  최근 데이터센터(IDC)의 요충지로 꼽히는 곳중에 한 곳이 바로 '부산시'입니다.

입지적 요충지로서 일본과도 가깝고 해서 최근 관심들을 많이 가지고 있는데요. 필자도 데이터센터에 근무를 하고 있기때문에 관심을 가지고 보고 있는 관전 포인트이기도 합니다.

출처: http://www.boannews.com/media/view.asp?idx=29265&kind=1




1. KTSB 데이터 센터

우선 부산위치에 데이터센터 건립 물꼬를 튼 것은 바로 일본의 소프트뱅크에서 부산에 국내 통신사 KT와 손잡고 김해연수원을 리모델링하여 오픈 한 경우입니다..


클라우딩컴퓨팅에 대한 이해 동영상 참고
 http://news.naver.com/main/read.nhn?mode=LPOD&mid=tvh&oid=374&aid=0000005629

KT,소프트뱅크 제휴 클라우드 IDC
http://news.naver.com/main/read.nhn?mode=LPOD&mid=tvh&oid=215&aid=0000020182


2. LGCNS 글로벌 클라우드 데이터센터 허브 구축

 

이처럼 큰 데이터센터가 부산에 속속 들어선다는 사업 발표가 이어지고 있습니다. 지방IT 측면에 보아서는 좋은 기회라고 생각이 들고, 일자리 창출에도 많은 기여를 할 것으로 예상이 되어 기대가 됩니다.


3. 왜 부산시이냐?

그럼 왜 부산시인지 궁금하게 됩니다. 아마도 해저터널과 제2의 도시 그리고 인접해 있는 국가와 지리적 요충지 때문이 아닌가 하는 생각이 듭니다. 이러한 사업기회를 잘 살려 부산시는 IT일자리 창출을 위하여 노력하는 것에 대하여 박수를 보내고 싶습니다. 사실 IT산업은 서울과 수도권을 벗어나면 대부분 서울의 총판,채널사 형태로 운영이 되고, 제대로 된 IT서비스 컨설팅사와 보안전문 업체로서 입지가 부족하기 때문입니다. 늘 아쉬운 부분중에 하나인데 지방IT업체 자구책 노력도 필요하고 지자체나 정부의 지방 활성화 방안도 지원이 되어야 합니다.


4.  일자리 창출, 문제 없는가?

데이터센터라는 것은 IT서비스를 하기 위한 집적정보통신 시설로 각종 다양한 시설이 집적해 있는 시설입니다. 전력과 항온항습, 난방, 그리고 각종 서버, 네트워크 장비, 인력등이 많이 필요하고 소요가 되는 시설입니다.

얼핏보기에는 일자리 창출에 기여 할 듯하지만 조금 더 신경을 써야 하는 부분이 있습니다. 그것은 '인력수급' 문제입니다.  초기 기업은 리스크를 부담하지 않기 위하여  고급 인력보다는 초급 인력을 선호 하게 됩니다. 

혹은 고급인력을 선호하더라도 서울과 수도권에서 인력을 수급하게 되면 비싼 임금이 문제가 됩니다.  여러가지 딜레마에 빠지게 됩니다. 이러한 현상은 대부분 글로벌 IDC는 해외 고객과 업무를 해야 함으로 영어와 일본어등 기본적인 언어에 장벽이 있어서는 애로 사항이 있다는 것입니다. 이러한 인력을 수급하기란 그리 쉬운 일이 아니고, 만약 이러한 인력을 구한다 하더라도 높은 임금을 요구하게 됩니다.


5. 앞으로 해결 방안 

지리적 요충지로 인하여 부산시에 다양한 글로벌 데이터센터 사업이 들어서게 되는데 여러기업이 한꺼번에 관심을 가지다 보니 이 또한 출혈경쟁에 나서서는 안될 것이며, 서로 윈-윈 할수 있는 특화된 서비스로 자리 매김 하는 것이 바람직 하겠습니다. 

또한 인력수급에 있어서도 데이터센터로서 입지를 다지고 성공적인 모델을 정착하기 위해서는 로컬라이제이션 할 수 있는 고급인력과 경험이 있는 인력을 영입하여, 안정적이고 집중할 수있는 방안을 제시해야 합니다. 

이는 앞으로 공공기관 지방 이전을 앞둔 다양한 공공기관이 지방 이전지로 데이터센터를 구축하게 됩니다. 이러한 부분에 있어서 롤모델이 될 수 있고 오랜만에 부산시는 지방IT 활력소를 찾은 만큼  일자리 창출과 글로벌 IT경쟁력을 모두 가질 수 있는 제2의 도시가 될 수있는 두마리 토끼를 잡는 도시가 되었으면 하는 바램을 가져 봅니다. @엔시스.

 

안녕하세요. 국내 최대 보안 커뮤니티 보안인닷컴 (http://www.boanin.com) 대표 운영자 엔시스입니다..

지난달에는 개인적으로 바쁘고, 또한 발행할만한 내용과 주제를 잡지 못하여 배포하지 못하였습니다.  그냥 취미로 만들어서, "전국민 보안마인드 업데이트와 전국중심의 보안"을 만들어 보겠다는 생각으로 하는것이니...

그래도 조금이나마 기다리시는 분들에게는 죄송하더군요...저도 생업에 투입되다보니 쉽지 많은 안네요..

하지만 그래도 조금씩 주위에서 도와주시고 서로 참여 해 주셔서 함께 조금씩 조금씩 예전보다는 성장 발전해 가는 것이 아닌가 생각해 봅니다. 그래서 제6호가 발행이 되었습니다.

이번호에는 [A3시큐리티 한재호대표님, 김휘강교수님 ] 인터뷰도 실려 있습니다. 직접 발로 뛰어준 기자단 분들에게도 감사드립니다.

                           <보안인닷컴 E-매거진 (보안人) 6호 발행목차>


보안 , 중요하다는 것은 모두 알고 있습니다. 하지만 모르는 것이 더 많은 분야가 보안이고 자신이 알고 있으면, 조직에 소속이 되어서, 또는 대외비라서, 또는 기술적 위협때문에...이런저런 핑계로 정보 공유하기가 쉽지 않습니다.

그래서 또 혼자 대부분 체험과 업무에서 독학을 해야 합니다.  너무 민감한 부분은 제외하더라도 함께 공유하고 나눌수 있는 문화와 이제는 "보안은 생활 문화"로 자리 매김 할 수 있도록 미흡하지만 하나씩 실천해 보려고 합니다..

늘 부족함을 느끼는 것은 당연한 것입니다. 그렇기에 더욱 발전 가능성이 있는 것이구요. 조금 할말이 많아서 말이 길어 졌는데, 아무튼 보안에 관심이 있는 많은 분들이 참여 해 주시고 함께 관심 가져 주었으면 하는 바램이라는 말이 결론 입니다... 더욱 노력해 보겠습니다.

최근 주말을 통하여 주요 사이트를 통하여 악성코드가 많이 배포 되고 있습니다. 사용자 주의가 당부되고 있습니다.

현재 유명 포털 사이트 메인에 링크되어 있는 글 링크를 클릭하였을때 해당 콘텐츠 링크되는 웹페이지에서 악성코드 발견되고 있습니다.

 

각종 무료백신에서도 탐지를 하고 있습니다.

 

특정 브라우져에서도 관련 내용에 대한 경고를 보여 주고 있습니다. 주말이라 방심한 틈을 타서 악성코드를 무자비하게 배포 하고 있습니다..


[대응방안] 

1. 백신업데이트

기본적인 것이지만 사용자 주의를 당부 드리고 혹시 최근 백신으로 업데이트 안되어 있는 사람들은 업데이트를 하고 최소한 백신 한두개 정도 설치 해 놓고 반드시 정밀 검사등을 해 보시길 권해 드립니다.

2. 각종 윈도우 및 응용프로그램 패치

감염이 되는 이유는 결함이나 취약점이 있기 때문입니다. 건강하면 감기나 바이러스 감염에 안되듯이 여러분의 pc도 잘 관리하여 운영체제 패치나 응용프로그램 패치등을 통하여 취약점 을 없애 주어야 합니다.

아주 간단한 방법이라도 실천하지 않으면, 보안에서는 아무소용이 없기에 꼭 실천해야 합니다. 아무리 보안에 잘 안다고 하더라도 실천이 없다가 포털 메인에 뜬 기사를 클릭하였을때 자신에게 취약점이 있으면 악성코드에 자신도 모르게 감염이 되는 것이죠. 그것은 그 사람이 보안을 잘 몰라서가 아닌 실천을 안해서 입니다.    -엔시스.

지방언론인 '부산일보'(http://www.busan.com) 가 내부 사정으로 인하여 인터넷 사이트가 폐쇄 되었다는 내용의 글을 접하게 되었습니다.

과연 이럴수도 있구나 !!!

제가 아는 지인분도 부산일보에 근무를 하고 계신데, 사태가 심상치 않네요.. 늘 지역신문으로 우리들의 이야기를 전해 주던 신문인데요...

네이버 발(發) 기사내용입니다..

http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=102&oid=082&aid=0000318587

조속한 시일내에 조기 정상화 되었으면 합니다.  제가 이런 경우를 제법 겪어 봐서 아는데, 노측 사측 모두 피해나 손해를 본다는 것입니다.  빨리 마무리 지었으면 좋겠네요..

내년도 개인정보보호 예산이 반에 반토막이 났다는 기사가 있어서 몇자 포스팅 해 보고자 합니다.

관련 뉴스 : http://www.itdaily.kr/news/articleView.html?idxno=28398#

 

                                                 <사진출처: http://bit.ly/temZY1>

개인정보보호법 주무부처인 행정안전부의 내년도 개인정보보호 예산이 반에 반 토막 났다. 당초 300억 원 넘게 책정했으나 70억원으로 3분의 2 가까이 대폭 삭감됐다.

그간 정보화 투자에 인색했던 MB정부였지만, 최근 발생한 개인정보유출 등 각종 보안 사고가 사회적으로 크게 이슈화됐던 만큼 개인정보보호 투자만큼은 흡족할 수준이 되리라 기대가 컸다. 그러나 그 결과는 역시나 실망스럽기 그지없다.

그나마도 개인정보보호법이 시행된 것을 감안해 올해 행안부 개인정보보호과의 예산인 46억 보다는 늘었고, 정부의 내년도 IT정보화 예산이 전년대비 20~30% 줄게 된데 비해 늘어난 것으로 전해진다. 예산이 줄지 않은 것만으로도 다행이라고 여겨야 할지 의문이다.  -중략.

1. 자신의 업종이 아직도 개인정보보호법 적용인지 정보통신 망법적용인지도 모르는 수가 태반


필자는 이번에 개인정보보호관련하여 전문 강사단에 위촉이 되면서  지방 공공기관 (주로 경상권) 지역에 교육을 지원 하였습니다. 그런데 여러곳을 다니면서 이야기 듣고, 교육을 하다보면 하나 같이 애로사항들이 공통적으로 있습니다.  그것은 교육 및 홍보를 강화 해 달라는 이야기입니다. 잠시 반짝하는 이벤트성홍보로 하지 말고.

아직도 모르는 곳이 너무 많다고 합니다. 물론 일부 '개인정보보호법'이 시행 된다는 정도의 분위기는 알지만 정작 어떻게 무엇을 해야 하는지..또는 부처 소관의 경우 빠른 지침과 시행 방침을 내려 보내 주어야 움직일 수 있다는 호소였습니다.  처음에는 나름 준비하면 되지라고 생각을 했지만 공공의 업무라는게 개인의 의지만 가지고 되는 것은 아니라는 생각을 하였습니다.  그러니 조금은 이해가 갔습니다.

민간의 경우에는 더욱 심각합니다.  자신의 업종이 '개인정보보호법' 적용을 받는지 '정보통신망법' 적용을 받는지 '신용정보보보호법'에 맞는지 조차도 구분하지 못하는 사람들이 많습니다.  왜 그럴까요? 물론 예산 범위내에서 대응책 마련을 고심할 것으로 압니다만 원래 예산이라는 것이 조금은 삭감 될 것을 예상하고 책정하는 경우가 다반사입니다.

하지만, 본격적으로 '개인정보보호법 정착' 이 진행될 2012년도에는 조금 그 상황이 다르다고 봐야 겠습니다.


2. 개인정보보호법 조직정착을 위해서는 추가 예산 편성할수는 없을까?

국가 사업과 예산이라는 것이 동네 구멍가게 사장 노릇 하듯이 맘대로 안되는 것을 잘 알고 있습니다. 하지만 법만 만들어 놓고 , 수 많은 사람들을 범법자로 만들수는 없는 것입니다.  대부분 중소기업, 소상공인들은 이러한 법이 있는 줄도 모르는 경우가 많습니다. 그리고 '개인정보보호법'을 지키라고 겁을 줍니다.

'법을 공개하고 설명서를 공개하였으니 당신네들이 알아서 공부하시오'라고 하면 과연 그들이 스스로 알아서 공부를 하면 얼마나 좋겠습니까만은 현실은 그렇지 못함에 있습니다. 실제 개인정보보호법을 공부하여 연구하다보면 기술과 법.제도를 함께 알아야 하고, 자신이 해당업종에 있으면 또한 특별법의 법률과 시행령,시행규칙까지 이해를 해야 합니다.

한가지 예를들어 보겠습니다. 병.의원에 근무를 하고 있다고 가정을 하겠습니다. 그러면 제일 먼저 개인정보보호법에 적용을 받는지, 정보통신망법에 적용을 받는지를 파악을 해야 합니다. 그리고 '개인정보'의 정의부터 확인을 해야 합니다. 그러면 관련 법에 의하면 "개인정보라 함은 살아있는 개인에 관한 정보로써 ~~~~"  라고 되어 있지요...그런데 병원에 살아서 입원하여 도중에 사망한 환자에 대한 정보는 개인정보보호법에 의하면 보호를 받지 못합니다. 어떻게 처리해야할지를 또 고민해야합니다. 누구한테 딱히 물어볼 곳도 없습니다. 미국과 독일의 개인정보보호법은 '살아있는 개인에 관한 정보'로 한정 지어 놓지 않았습니다. 혹시나 특별법에 관련 조항이 있는지 의료 관련법을 찾아 보아야 합니다. 

과연 이러한 연구를 일반 개인정보 취급자분들이 판단 할수 있을까요?  개인정보보호법은 이미 시행을 하였습니다. 하지만 아직도 준비가 덜한 상태로 암묵적인 유예기간을 두고 있습니다. 국가가 사업을 시행 한다 하더라도 사업비와 예산이 없으면 흉내만 내다가 그만 두게 됩니다. 

결국 '개인정보보호법'은 처음 의도했던 바가 아닌 다른 방향으로 흘러가게 될 것이고, 사람들은 법.제도의 이해부족과 불편함을 호소하게 되면 SNS등을 통한 여론 형성이 되어 이리저리 편법이 생기고, 그러면 법을 다시 제,개정하는 누더기 법이 될 가능성도 있습니다.


3.  전국민 보안마인드 업데이트 비용과 전국중심의 보안으로 예산이 사용되었으면

미국은 사이버(Cyber)를 제4의 영토로 지정을 하였습니다. 제4의 영토를 공격하거나 침략하려고 하면 즉각 대응하겠다는 발표를 한적도 있습니다. 과연 우리나라는 주변 강대국과 지정학적 위치에 있는 '중국' '일본' '북한'으로부터 얼마나 안전하게 대응 할 수 있는지 의구심이 듭니다.  이제는 물리적인 경계위치보다는 사회적 불안이나 민심을 뒤 흔드는 '사회공학적기법' 공격이 난무하게 될 것입니다. 그것은 여러정치적인 상황과 섞여서 무엇인 진짜이고 가짜이며 진심인지를 가려 내기 힘들 것입니다. 특히 지금처럼 쇼셜(Social)네트워크 서비스가 스마트폰과 어우려져 스피드하게 전파되는 상황에서는 말이죠..

이러한 사회적 비용까지 책정을 예산에서 반영해야 할 것이며,  전국민 보안마인드 업데이트를 가져 오게 끔 해야 합니다. 또한 서울과 수도권 집중적인 예산 투입보다는 2012년도에는 수평화 할 수 있는 지방과 지역 (local)에 대한 보안에 대한 인식제고 향상에도 힘을 쏟아야 합니다.   보안이라는 것은 유능한 사람 혼자만 해서 되는 것도 아니고, 서울 수도권에 한정되어 보호해야만 하는것도 아닙니다. 올해에도 지역에는 제대로된 보안컨퍼런스 행사하나 없었습니다. 혹자는 여러가지 사업과 행사를 진행하려고 해도 규모면에서 지역에서는 호응이 생각보다 없어서 안되다고 이야기 합니다.

일개 개인이 보안커뮤니티를 만들어서 지역활성화와 스터디모임 그리고 각종 SNS을 통하여 긴급 보안 이슈와 트렌드 전파하고 있습니다.. (커뮤니티와 블로그, SNS을 통하여)

2011/03/07 - [Lecture&Comlumn] - [칼럼] 3.3 DDoS 공격이 '개인정보보호법 제정'에 불씨를 당겨야
2009/09/16 - [Lecture&Comlumn] - [기고-4] 7.7 DDoS 사태이후, 변화는 아직도 미지수


정보보호에 대한 지식공유를 위하여 발 벗고 나서고 있습니다. 그 이유는 제가 지식이 필요했기 때문이고 그 보안지식을 같이 공유하는 것이 의미있다고 판단했기 때문입니다... 개인도 할 수 있는데, 기관과 정부가 왜 못하겠습니까? 의지만 있으면 10명이 모이든 100명이 모이든 꾸준히 진행해야만 하는 의지 표명이 중요하겠습니다.  최근 개그콘서트의 '비상대책위원회' 코너가 생각이 나네요.. "안돼~~~" " 그러면 결국 되는 것은 어떠한 것도 없다고 생각합니다."


4. 예산이라는 것은 모자라도 안되고 남아도 안되는 국민의 세금


비록, 개인의 블로그에 포스팅하는 힘없는 글이지만 관련기관에서는 분명한 의지를 보여 주었으면 하는 바램을 가져 봅니다. 개인도 그렇고 기업도 그렇고 국가도 마찬가지로 예산이라는 것은 부족하면 부족한대로 문제이고 남아도 남는대로 낭비를 하기 때문에 문제입니다.  예산을 편성하면 의례히 삭감되는 것은 당연한 것으로 받아들이고 삭감 할 것이 아니라 정말 소중한 국민의 세금이 '정보주체의 권리'를 강화하는 '개인정보호보법'의 조기 정착을 위하여 사용하게 끔 잘 편성하고 책정하여 사용 할 수 있도록 하면 좋겠습니다. 

분명한 것은 2012년도 본격적으로 보안 이슈가 더 거세질 전망입니다. 이제는 유선망은 기본이고 다양한 디바이스와 멀티채널을 이용하는 무선랜보안에 대한 이슈, 그리고 스마트폰과 테블릿PC가 봇물을 이루고 사용자 보안으로 공이 넘어갈 것입니다.  보안마인드가 안되어 있는 사용자들의 개인정보유출은 더욱 거세게 될 것이고, 시행중인 개인정보보호법에 논의가 더 활발하게 될 것입니다.

부디 개인정보보호법 조기 정착과 혼란 방지를 위하여 돈이야 많으면 많을수록 좋겠지만 그러한 의미를 조금 내실있게 파악하고, 서포팅 해 주는 것이 예산과 집행기관의 책임을 다하는 정부의 의지 반영일 것입니다. 다른 현안에 묻혀 '개인정보보호법'이 국민을 더욱 불편하게 만들고 옥죄는 법으로 남는 오점을 남겨서는 안될 것입니다. 이제 소중한 자신의 개인의 정보는 스스로 지킬수 있는 개인의 자발적 의지도 분명히 중요한 시점에 도래하였습니다. "개인정보 수집은 하지 않는 것이 최선입니다." "개인정보는 정보주체의 정보이지 조직이나 기업의 자산이 아닙니다."  -엔시스.

공감하시면 추천이나 무한RT해 주시면 더욱 좋겠지요 :)

출처: http://sbnow391.blog.me/150082627402 - 2010.03.14 서평

책 표지에 당당하게 서 있는 저자 '온대호' 난 그가 누구인지도 몰랐다. 하지만 이책을 처음부터 끝까지 읽기 시작한 후 많은 것을 느낄수 있는 기회가 되었다.

 

책 표지는 저자가 ING 생명에서 성공을 하였기에 주황색으로 디자인 한 것 같고 내용도 힘이 넘치는 필체로 적혀 있었다.

 

저자는 6개월만에 월 3억9천만원의 월급을 가져가고 ING 기네스에도 올라있고 지금은 교보생명 FMG에서 APEC 지점장까지 하게된 성공 노하우를 책에 기술하고 있다. 그것이 불과 2년이 안 걸렸다는 이야기이다. 보통 업계에서 지점장까지 가려면 7년이 걸린다고 한다. 그것도 아무나 되는 것은 아니겠지만 말이다.

보통 FC-> 부지점장-> 지점장 이런 단계로 승진이 되는 모양이다.

 

1. 남자 나이 40세에 제2의 삶

 

보통 대학교 졸업하고 나면 20대후반 약 10년간 직장생활하고 나면 40대 정도면 제2의 삶이나 중년 가장으로서 고민을 많이 하게 된다. 저자도 사회적 지위와 명예를 가지고 있었으나 2.2.2 법칙을 통하여 자신 스스로를 재 창조하였다. 비슷한 나이때라서 많은 공감이 가는 내용이기도 하다.

 

또한 친적중에 같은 회사에 근무를 하고 있어 또 다른 공감이 가곤한다. 하지만 분명히 느끼는 것은 책에도 나왔지만 자신의 노력이 없이는 아무것도 이룰수 없다는 것은 분명한 진리이다.

 

 

2. 저자가 말하는 성공의 요건은 '열정' 과 '커뮤니케이션'

 

저자는 이책에서 현장 컨설턴트에서 부지점장, 지점장이 되기까지 '열정'과 '커뮤니케이션'을 최고의 성공요인으로 삼고 스스로 실천하고 인재 채용에 주요요소로 삼고 있다. 본인도 지금 네이버에서 보안커뮤니티인 '보안인닷컴' 을 운영하고 있는데 열정과 커뮤니케이션에 대한 많은 점을 공감하고 있다.

 

 

3. 2.2.2 법칙

 

저자는 책에서 2.2.2 법칙을 통하여 성공에 가는 길로 이야기 하고 있다. 처음 알에서 깨어나기 위한 고통으로 철저하게 이틀(2)동안 아주 깊이 있게 고민하고 생각을 하라고 이야기 한다. 그리고 두달동안 자신의 모든 것을 버리고 새롭게 환골탈퇴 하라고 주문한다. 기존에 기득권과 마음에 있는 모든 것을 버리고 새롭게 시작하라고 한다. 나머지 2년동안 불광불급 ..하고자 하는 것에 대한 미쳐야 한다고 주문을 하고 있다. 스스로 원칙과 기준이 확실하게 정하여 자신만의 노력을 하였다고 이야기 하고 있다.

 

 

서평 마무리

 

본인도 자기계발을 좋아한다. 조금 나태해지려고하면 동기부여가 될수 있는 세미나나 글 책등을 이용하여 꺼진 엔진을 다시 불태우려고 하고 있다. 그런 의미에서 더탑에 대한 책을 읽고 나도 불꽃처럼 살아야 겠다는 마음을 더 느낄수 있었고, 그것이 마음에만 있는 것이 아닌 꼭 실천과 행동으로 나타내야 한다고 생각을 했다. 또한 하루만에 읽어 버린 책이지만 책을 읽으면서 좋은 아이디어도 몇개 떠 올라 수첩에 적어 두었다.

 

세상에는 성공하는 사람들이 많다. 그런 성공하는 사람들이 자신의 성공의 길을 이야기 하고 책으로 내고 하여도 늘 자신에게 꼭 같이 적용될수는 없는 것이다. 그래서 자기계발과 성공의 길이 어렵기만 한 것이다. 그런 책이나 강연을 들었을때 심장이 쿵쾅거리고 아...이 사람은 이런 삶을 살았구나 하는 동기부여를 받고 자기스스로의 새로운 계획과 실천 방안을 가지고 추후 나도 이런 사람들처럼 불꽃처럼 살았다고 이야기 할수 있게 노력과 실천을 해야 겠다고 다짐을 하는 것이다.

 

그것이 비록 작심삼일이 될지라도 작심삼일을 지속적으로 하면 되는것이다.,그래서 72:1 법칙이 있다. 무엇을하기로 마음먹은 다음 72시간 즉, 3일내에 하지않으면 성공할 확률이 단 1%도 되지 않는다는 이야기이다. 그만큼 실행이 중요하다는 이야기이다. 난 그래서 이 책을 읽고 바로 서평을 남기는 실천을 한 것이다. 마음 먹었으면 바로 실행하자. 그것이 성공하는 길이다.