엔시스의 정보보호(보안) 따라잡기

[CES2012] 아카마이, 온라인 엔터테인먼트 업계 지원하는 HD 네트워크 발표 (디지털데일리)
http://www.ddaily.co.kr/news/news_view.php?uid=86636

아카마이(www.akamai.com)가 11일(현지시각) 라스베이거스에서 열리는 ‘CES(소비자가전 전시회) 2012’에서 빠르게 진화하는 온라인 엔터테인먼트 업계를 위한 차세대 방송 솔루션인 ‘아카마이 HD 네트워크’를 발표했다. 아카마이의 핵심 솔루션인 인텔리전트 플랫폼상에 구축돼 있는 HD 네트워크는 점차 확대되고 있는 커넥티드 디바이스에 대한 수익 창출 기회를 넓히고, 비즈니스 모델을 유연하게 확장 지원한다. 또 워크플로우를 간소화하고 보안 문제까지도 해결할 수 있다.

아마존 클라우드, 전년대비 매출 2배 ‘껑충’ (디지털데일리)
http://www.ddaily.co.kr/news/news_view.php?uid=86482

아마존의 클라우드 컴퓨팅 서비스인 ‘아마존웹서비스(AWS)’의 지난해 매출이 약 2배 이상 늘어난 것으로 알려졌다. 주요 외신에 따르면, AWS는 2010년 5억 달러의 매출을 달성했던 것에 비해 2011년에는 이보다 2배 이상 늘어난 약 10억 달러 이상 매출을 기록한 것으로 나타났다. 이와 관련, 회사 측은 AWS의 구체적인 매출을 밝히고 있지 않다. 다만 AWS는 기타(others)로 분류되고 있다.

피어링포탈, 세계 최초 모바일 그리드 딜리버리 솔루션 개발 (전자신문)
http://www.etnews.com/201201120141

토털 그리드 딜리버리 서비스 선두업체 피어링포탈 (대표 한봉우 www.peeringportal.com)은 세계 최초로 '모바일 그리드 딜리버리 솔루션'(Mobile Grid Delivery Solution)을 개발했다고 밝혔다. 피어링포탈이 개발한 모바일 그리드 딜리버리 솔루션은 모바일 기기에 적용한 가장 효율적인 멀티미디어 데이터 전송 솔루션이다. 사용자가 콘텐츠 이용자인 동시에 제공자가 되는 이 기술은 서비스 사업자의 서버 및 네트워크 비용을 크게 줄여주면서도 데이터 트래픽을 50% 이상 절감할 수 있는 것이 특징이다.

지상파, 통합플랫폼 합작사 설립 초읽기 (전자신문)
http://www.etnews.com/201201060149

한국판 '훌루' 서비스를 위한 지상파방송 합작사 설립이 초읽기에 들어갔다. 6일 업계에 따르면 MBC•SBS는 이르면 이번 주 중 50:50 지분을 투자해 합작사 설립을 발표하고 통합 플랫폼을 운영할 계획이다. KBS는 지분 투자는 하지 않고 콘텐츠 공급만 협의 중이다. 합작사에서는 '푹(pooq)' '고릴라' 'K플레이어'로 나뉘어 있던 N스크린 서비스를 한데 모아 공동으로 송출한다.

삼성-아마존, 콘텐츠 클라우드 발 맞춘다...'울트라바이올렛' 도입 (전자신문)
http://www.etnews.com/201201120124

삼성전자와 아마존이 클라우드 시장에서 또 한 번 발을 맞춘다. 두 회사는 나란히 클라우드를 이용한 콘텐츠 N스크린•공유 시스템인 '울트라바이올렛(UV)' 도입에 나섰다. 삼성전자는 하드웨어 연동 기술로, 아마존은 콘텐츠 유통 채널로 각각 지원한다. 11일(현지시간) 강태진 삼성전자 MSC 전무는 CES 2012에서 열린 UV 간담회에 패널로 참석해 “올해 생산하는 블루레이 플레이어에 UV 시스템을 이용할 수 있는 인증을 위해 '디스크 투 디지털(Disc-to-Digital)' 기능을 탑재할 예정”이라고 밝혔다.

비트토렌트, 클라우드 진출 “무제한 무료“ (ZDNet)
http://www.zdnet.co.kr/news/news_view.asp?artice_id=20120106181841&type=xml

파일전송 프로토콜이자 소프트웨어인 비트토렌트가 클라우드 기반 스토리지 서비스를 출시했다. 피어투피어(P2P)에 기반한 클라우드로 무한용량의 무료 저장매체가 탄생했다. 개인용 클라우드 서비스에 바람을 일으킬 수 있을 지 주목된다. 5일(현지시간) 지디넷은 비트토렌트가 클라우드 스토리지 서비스 '셰어(Share)'를 출시했다고 보도했다.

`클라우드 인증제` 2월부터 시행 (디지털타임스)
http://www.dt.co.kr/contents.html?article_no=2012011702010931693001

일정 수준 이상의 클라우드 서비스에 인증을 부여하는 `클라우드 서비스 인증제'가 2월부터 본격 시행된다. 방송통신위원회는 클라우드 업체의 서비스를 평가, 일정 수준이상의 품질, 정보보호 등을 제공하는 경우 클라우드 인증을 부여키로 했다고 16일 밝혔다.

AT&T, 오픈스택 클라우드 진영에 합류 (한국IDG)
http://www.itworld.co.kr/news/73583

AT&T가 오픈소스 클라우드 소프트웨어 개발 단체인 오픈스택에 합류한 첫번째 미국 통신업체가 됐다. 오픈스택의 최고 스태커인 짐 커리는 AT&T와 같은 대형 통신업체가 오픈스택을 지지함으로써 프로젝트의 진행이 한층 가속화될 것이라고 밝혔다. 이번 발표는 CES의 AT&T 개발자 서밋에서 이루어졌다. AT&T는 지난 해부터 기업용 신규 클라우드 서비스 제공에 대한 논의를 시작했다. 오픈스택을 지지하는 것과 함게 AT&T는 모바일 개발자용의 새로운 클라우드 서비스도 개시했다.

“웹하드•ASP 발달한 국내, 퍼블릭 클라우드 성공할까” (데이터넷)
http://www.datanet.co.kr/news/articleView.html?idxno=58809

VM웨어와 포레스터리서치가 공동으로 조사한 ‘2011 아태지역 클라우드 리포트’를 발표하기 위해 한국을 찾은 브라이언 왕(Bryan Wang) 포레스터리서치 부사장은 한국의 클라우드 시장에 대해 “한국의 주요 통신사들이 클라우드 서비스를 제공하고 있지만 큰 수익을 거둘 수 있을 것으로 보이지 않는다”고 전망했다. 클라우드 서비스 사업은 규모의 경제로 경쟁하는 사업으로, 사용자가 많을수록 수익이 높아지며 어느 정도 규모에 이를 때까지 막대한 예산을 투자해 기술을 개발해야 하기 때문이다.

클라우드 바람타고 ADN•WAN 최적화 ‘확산일로’ (데이터넷)
http://www.datanet.co.kr/news/articleView.html?idxno=58656

비즈니스 애플리케이션의 다양화, 복잡화, 대용량화는 물론 분산 기업 환경 증가는 애플리케이션 딜리버리 네트워크(ADN)의 변화를 재촉하고 있다. 여기에 가상화 기반의 클라우드 컴퓨팅을 비롯 소셜 네트워킹, 보안, 모바일 등 다양한 이슈들은 ADN의 진화를 견인하기 시작했다. 이처럼 급변하는 IT 환경은 차세대 ADN 인프라 구축을 선택이 아닌 필수로 만들고 있다.

“클라우드 성공열쇠 플랫폼, 규모의 경제로 승부” (데이터넷)
http://www.datanet.co.kr/news/articleView.html?idxno=58712

클라우드 컴퓨팅의 성공열쇠는 ‘플랫폼’ 기술에 있다. 클라우드의 핵심은 ‘온디맨드’며, 이를 위해서는 자원을 자유롭게 할당, 회수, 재사용할 수 있어야 한다. 따라서 가상화 기술이 유용하게 사용되지만 클라우드를 위해 가상화가 반드시 필요한 것은 아니며, 하드웨어와 소프트웨어를 잇는 플랫폼이 얼마나 유연하게 자동화된 자원관리와 서비스 이관을 지원해주는지에 따라 서비스 수준이 달라진다.

클라우드 시대… SW 라이선스 폭탄 맞을라 (디지털데일리)
http://www.ddaily.co.kr/news/news_view.php?uid=86704

무형의 생산물인 소프트웨어(SW)는 일반적으로 제품 자체를 사는 것이 아니고, 라이선스(사용권)을 삽니다. 이는 사용자가 구매한 SW를 소유하는 것이 아니라 계약에 따라 사용할 수 있는 권한만 가진다는 것을 의미입니다. MS 윈도 운영체제 CD를 샀다고 해서 친구에게 빌려주거나, 회사에 있는 PC에 설치하는 것이 불법인 이유입니다.

클라우드 서비스 기반 M→N의 시대로 간다 (한국경제)
http://www.ddaily.co.kr/news/news_view.php?uid=86704

‘M(모바일)에서 N(네트워킹)의 시대로.’ 올해 CES에 전시된 제품들의 특징 중 하나는 연결성(네트워킹)이다. 독립적인 기기 간 경계가 무너지고 콘텐츠와 서비스를 호환하는 흐름이 두드러지고 있다. 삼성전자는 이번 CES에서 ‘삼성 N 서비스’라는 이름의 콘텐츠 포털을 공개했다. 이 서비스는 개인용 클라우드 서비스를 기반으로 TV PC 스마트폰 태블릿PC 등에서 동일한 콘텐츠를 즐길 수 있도록 하는 것이다.

[CES2012]LG전자, 스마트TV서 '클라우드 게임' 서비스 (아시아경제)
http://www.asiae.co.kr/news/view.htm?idxno=2012011108075408664

X박스, 플레이스테이션3 등의 차세대 게임기가 없어도 스마트TV에서 최신 3D 게임을 이용할 수 있게 된다. 클라우드 기술을 응용한 새로운 게임 서비스다.  LG전자는 10일(현지시간) 미국 라스베이거스에서 개최된 세계 최대 가전 전시회 'CES 2012'에서 클라우드 기반 게임 서비스를 제공하는 업체 가이카이(Gaikai)와 전략적 제휴를 맺었다.

글로벌 SW기업이 한국에 클라우드센터를 설립하는 이유는 (전자신문)
http://www.etnews.com/201201090131

우리나라가 글로벌 소프트웨어(SW)기업 클라우드 데이터센터 구축 최적지로 부상하고 있다. 마이크로소프트(MS), 오라클, 마이크로스트래티지 등이 올해 한국에 클라우드 데이터센터를 설립하기로 한 데 이어 전사자원관리(ERP) 전문업체 어프라이즈소프트웨어가 대열에 합류했다. 이들 회사는 한국 데이터센터를 활용해 국내 고객은 물론이고 아시아권 고객을 대상으로 클라우드 서비스를 계획하고 있다. 한국이 아시아 지역 클라우드 허브로 부상한 것은 중국, 일본 등 주변국보다 입지조건 면에서 다양한 장점을 제공하기 때문이다.

‘에이서 클라우드’ 등장…아이클라우드 판박이 (블로터닷넷)
http://www.bloter.net/archives/91116

PC 제조업체 에이서가 클라우드 시장에 뛰어들었다. 에이서는 1월8일(현지기준) ‘에이서 클라우드’를 선보였다. 에이서 클라우드는는 다양한 모바일 기기에서 언제 어디서나, 간편하게 사진, 동영상 같은 멀티미디어 콘텐츠와 문서를 쉽고 빠르게 공유할 수 있는 웹기반 스토리지 서비스다.

오픈마켓 지각변동 ‘초읽기’…네이버 ‘샵N’ 3월 선봬 (이투데이)
http://www.etoday.co.kr/news/section/newsview.php?TM=news&SM=2310&idxno=530557

지난해 초 오픈마켓 진출을 공식 선언한 네이버가 오랜 침묵을 깨고 올해 3월 신개념의 오픈마켓 서비스를 선보인다고 밝힘에 따라 국내 오픈마켓 시장의 지각변동이 불가피해질 전망이다. ‘포털공룡’등장에 불편한 기색이 역력한 G마켓, 11번가 등 기존 업체들은 주력사업부문의 경쟁력 강화, 신규 즈니스 사업 추진 등 다가올 ‘총성없는 전쟁’에 만발의 준비태세를 갖추고 있다.

한국형 구글어스 사업 본격화, 1월 중 시범 서비스 시작 (디지털데일리)
http://www.ddaily.co.kr/news/news_view.php?uid=86806

한국형 구글 어스 프로젝트가 1월 말부터 시범 서비스에 들어간다. 국토해양부(장관 권도엽)는 지난해 5월부터 추진해온“공간정보 오픈플랫폼”사업이 오는 1월말 시범서비스를 시작할 계획이라고 밝혔다. 또, 오픈플랫폼 운영을 위해 설립 중인 플랫폼 운영기구(비영리법인)도 CEO영입 등 조직기반 마련을 본격적으로 추진해 3월경에 정식 발족할 예정이라고 밝혔다.

경희사이버대, 모든 모바일기기 지원하는 `스마트러닝` 앱 개발 (디지털타임스)
http://www.dt.co.kr/contents.html?article_no=2012011102019957744008

경희사이버대학교는 IOS와 안드로이드 운영체제를 모두 지원하는 스마트러닝 애플리케이션을 개발했다고 11일 밝혔다. 경희사이버대는 지난해 6월부터 11월말까지 5개월에 걸쳐 이 애플리케이션을 개발해 왔다. 그동안 일부 통신사와 기기에만 지원하는 서비스는 있었지만 경희사이버대의 이 앱은 통신사 제한없이 국내 대부분 스마트폰과 태블릿PC를 지원한다.

LTE•MS, 2012년 모바일 시장‘양대 화두’… 막내린 CES (디지털데일리)
http://www.ddaily.co.kr/news/news_view.php?uid=86684

미국 라스베이거스에서 열린 ‘소비자가전전시회(CES) 2012’가 막을 내렸다. CES는 매년 1월 한 해 정보기술(IT) 업계 화두를 보여주는 전시회다. TV와 가전 등에 집중돼 왔으나 작년부터 모바일 비중이 커졌다. 올해 CES를 관통했던 모바일 화두는 4세대(4G) 이동통신 롱텀에볼루션(LTE)과 마이크로소프트(MS)였다. 13일(현지시각) 미국 라스베이거스에서 CES 2012가 폐막됐다. 행사를 주최한 미국 소비자가전협회(CEA)는 이번 행사에는 3100여개 기업이 2만여개의 신제품을 소개했다고 전했다. 총 15만3000명의 관람객이 방문했다.

[CES 2012] 스마트 넘어 초고화질•클라우드 입은 TV (조선비즈)
http://biz.chosun.com/site/data/html_dir/2012/01/11/2012011100949.html

‘스마트 넘어 초고화질에 조작•콘텐츠 이동까지 자유롭게’ 10일(현지시간) 미국 라스베이거스 컨벤션센터에서 개막한 세계 최대 전자전시회 ‘CES 2012’에서는 진화하는 ‘미래형 TV’의 모습을 한눈에 확인할 수 있었다. TV에서 인터넷검색을 하고 스마트폰처럼 애플리케이션(앱)을 내려받아 실행하는 스마트 기능에 화질•조작•서비스 측면에서 또 한번 발전을 거듭했다.

보안인닷컴은 국내 최대 보안커뮤니티로서 지금까지 8년동안 네이버에서 운영되어 온 보안전문 커뮤니티입니다. 
보안인닷컴 캐치 프레이즈는 "전국민 보안마인드 업데이트" 와 "전국중심의 보안" 입니다. 올 한해 또 다른 다양한 보안 이슈가 일어 날 듯 한데요..

보안인식제고의 일환으로 아이디어를 생각하다가 기부도 하고 동참도 하고 함께 나눔도 실천 할 수 있는 방법을 생각해 보았습니다. 

 

                             보안인닷컴 페이스북 팬페이지  https://www.facebook.com/jeonjuhyun 


이에 올 한해  보안캠페인을  위한 이벤트를 한번 기획해 보았습니다.  자발적인 보안인식제고는 기관이 하기에도 어렵고, 그렇다고 기업이 하기에도 쉽지 않습니다. 쇼셜이라는 측면에서 집단지성과 자발성은 커뮤니티가 가장 적합할듯 합니다.

그런 차원에서  보안인닷컴 페이스북 팬페이지에 "좋아요" 버튼 한번 클릭시마다 "10원"을 적립하여  연말에 보안커뮤니티 세미나를 개최하거나 아니면 불우이웃에 기부 할 수 있도록 하겠습니다..

제 개인이 감당해야 하는 금액이라서 부득이 부담되는 금액은 어려워 "10원" 정도로 하였고, 굳이 금액보다는 팬페이지를 통하여 많은 보안인식제고에 같이 동참한다는 차원에서 클릭 해 주시면 되겠습니다.^^;

과연 올 연말 12월에는 얼마정도 적립이 될지 궁금하네요...보안인식제고 캠페인과 이벤트 동시에 합니다..~~~~

적립금 사용처 :  보안인식제고를 위한 세미나 비용과 선물 + 불우이웃 돕기 기부금

 
혹시 함께 보안인식제고에 같이 힘써 주실분은 boanin@naver.com 으로 메일 주셔서 서포팅 해 주시면 금액을 합쳐서 같이 사용하도록 하겠습니다. 

대한민국 전국민이 보안마인드가 업데이트 되는 그날까지 화이팅 입니다.~~~  

아래 링크에서 "좋아요" 클릭하는 만큼 대한민국 보안인식 지수는 올라갑니다.  
https://www.facebook.com/jeonjuhyun   




 

 

질문>

안녕하세요.. 엔시스님

저는 현재 000 전산팀 대리로 근무하고 있는 올해 34살 된 000 라고 합니다. 

불확실한 미래에 대한 복잡한 심경이 들어 쪽지를 보내게 되었습니다. 2년제 대학을 졸업후 2003년 00정보통신에 입사하여 00전산팀 및 00전산팀에서 시스템 운영및 관리 업무를 하였고 현재는 00 전산팀에서 전산운영(IT자산,네트웍,보안장비등)관리 업무를 맡고 있습니다. 저희 회사  특성상 인원4명으로 운영되다 보니 거의 모든 업무를 아웃소싱 하고 저는 업체 관리만 하고 운영만 하고 있다고 생각되어 집니다. 아직 어린 나이라고 생각되어지고 매너리즘에 빠지지 않을까 걱정되어 보안 공부에 조금씩 관심을 가지고 있습니다.

작년에 00 컴퓨터과학과를 졸업하여 대학원을 들어가 사이버 포렌식에 관한 공부를 해보고 싶은데 미래에 대한 괜찮은 투자인지 고민됩니다. 미래에 저의 적성에 맡고 재밌고 보람되는 일을 하고 싶은데 현재 그렇지 않은것 같습니다. 대기업SI업체에 있을때 보다 현재 스킬은 점점 떨어지고 있어 좀 불안하기도 합니다. 그대신 관리 능력은 배우고 있지만 스펙이 부족하여 고민 스럽습니다.

엔시스님의 조언 부탁 드리겠습니다.

긴글 읽어 주셔서 감사드립니다.


답변>

안녕하세요,. 엔시스입니다.

지금까지 상담쪽지 중에 가장 형식을 갖춘 분이시네요. 어떤 사람들은 자신이 누구인지 무엇이문제인지도 알리지 않고 어떻게 하면 되는지를 물어 봅니다.  그에 따른 답변은 동일하겠지요.

1. 기술 + 관리

우선 IT쪽은 기술이 우선입니다. 기본적인 기술을 바탕으로 하고 있기에 자신의 기술 개발을 게을리 해서는 안될 것입니다. 하지만 업무와 기술이 결합되면 가장 좋은데 관리적 측면이 강하니 보내진 고민을 하게 될 것입니다. 또한 관리도 중요한 포인트입니다. 결국 관리로 갈테니 말이죠.

2. 포렌식

그래서 자신만의 한 분야를 만들어야 합니다. 포렌식에 관심이 있다고 하니 좋습니다. 하지만 아직까지 시장이 그리 크지 않고 특정 검찰,경찰이나 회계법인등에 특화가 되어 있습니다. 시장이 커지기 까지는 시간이 걸릴듯 합니다. 이부분을 자신이 어떻게 커버 할 것인지에 대한 고민이 필요합니다.

3. 꾸준한 자기계발

보통 갑과 을에서 갑에 위치에 있다보면 자신을 소홀히 하게 되고 고인물이 썩듯이 안이함에 시장 트렌드와 멀어지고 결국 시간이 지나면 자신에게 경쟁력이 떨어집니다.그래서 갑의 위치가 안정적이긴 하지만 자신의 성장에는 그만큼 물이 고이지 않도록 하는 노력이 필요합니다.

보안인닷컴(http://www.boanin.com)에 좌측에 운영자 칼럼이 수록이 되어 있으니 많이 참고 하시고 근본에 충실 하시면 좋겠습니다. 그래서 부단히 노력하는 사람들과 친분이나 인맥형성을 하여 동기부여와 자극을 받아야 합니다.

쪽지의 한계가 있으니 추후 더 궁금한점 있으면 연락처를 알려 주시면 조금 더 자세한 말씀 드릴 수있겠네요.

화이팅 하시고 회신 주세요.
감사합니다.

엔시스 드림

회신>

화이팅 할수 있도록 답변 주신것 감사드립니다.
기술적인 발전을 소홀히 하지 않고 제가 하고 싶은 부분을 잘 찾아야 될것 같습니다.

엔시스님의 글들 읽어보고 추가 적인 질문 드리겠습니다.
바쁘실텐데 이런글에 답변 달아 주시고 정말 진심으로 감사드립니다. 수고하십시오. 

* 개인정보를 제외하고 오픈 할 수 있도록 협조 해 주신 님께 감사드립니다. ^^;;  다르다고 틀린것은 아니니 정답은 아니더라도 조금 이라도 방향성을 잡을 수 있지 않을까 해서 공유합니다.

1. 개인정보보호관리사(CPPG)란?

한국CPO포럼에서 주관하고 있는 민간 자격증 시험으로서 - CPPG (Certified Privacy Protection General) : 개인정보관리사 개인정보보호 정책 및 대처 방법론에 대한 지식 및 능력을 갖춘 인력 또는 향후 기업 또는 기관의 개인정보 관리를 희망하는 자로서, 다음의 업무능력을 보유한 자 - 라고 소개가 되어 있습니다.
출처 (http://www.cpptest.or.kr/)

2.  2012년도 8회 시험이 4월시행, 지금까지 지방에서는 시험을 볼수 없다(?)

보통 1년에 2-3회 시험을 치른다고 가정을 하면 시험 진행한지 약 2-3년이 흘러갔습니다. 올해에는 4월에 시험이 있습니다...

개인정보보호법의 시행과 최근 보안 이슈사항으로 인하여 많은 사람들이 관심을 끌고 있는데 유독 시험은 서울에서만 시험을 보고 있습니다.

따라서, 지방에 거주하는 사람이 시험을 보기 위해서는 서울까지 가야만 하는 경우가 발생을 합니다. 이러한 사항들은 관계자분들을 통하여 필자는 여러채널을 통하여 말씀을 드렸으나 아직까지 이루어지지 않고 있네요.

초기에는 사업진행하기 위한 초석이라고 생각을 하겠지만 이제 조금 더 폭 넓은 수요층을 감안한다면 전국에서 시험을 볼수 있도록 조치를 취해야 할 것입니다.  그렇지 않는다면 단순한 자격사업에 일관으로 밖에는 볼 수 없을 것입니다. 2012년도에는 꼭 전국 주요도시에서도 시험을 볼 수 있도록 관계자 분들께서는 조치를 취해 주시면 감사하겠습니다.


3.  정보통신망법 위주가 아닌 개인정보보호법도 포함하는 시험이 되어야


개인정보보호관리사 시험이 정보통신망법 위주의 시험으로 출제가 되어 있고, 지난해 개인정보보호법이 통과된 이후에는 개인정보보호법도 포함이 되어야 합니다.

이러한 사항은 가이드라인에도 반드시 반영이 되어야 하고, 실제 개인정보보호 관련하여 일반인들이 정보통신망법에 적용이 되는지 개인정보보호법에 적용이 되는지를 알아야 하고 자격증 소지자라면 반드시 2개의 법적 이해도와 지식을 포함하고 있어야 진정한 자격인증이 된다고 생각이 듭니다. 따라서, 이번 2012년 8회차 부터는 이러한 부분을 반영하여 적극 시험이 되어야 겠습니다.


개인정보보호에 대한 지식을 측정하는 자격으로서 올바른 방향으로 가야 한다는 것은 바람직 하다는 생각이며 평소 이에 관련된 생각을 가지고 있었기에 블로그에 포스팅 해 봅니다.  이제는 지방에서 더 이상 먼곳으로 가지 않더라도 시험을 볼 수 있는 조치가 취해지길 기대해 봅니다.   @엔시스.


2012년도 1월2일에 보안인닷컴 e-매거진 [보안人] 제 7호가 발행되었습니다. 늘 부족한 시간 쪼개에 만들다보니 애로사항도 있지만 화려함 보다는 "가치제공" "지식공유"에 목적을 두려고 합니다.

앞으로도 많은 관심 갖어 주시고 이번호에는 [새해 특집기획] 으로 고려대학교 "사이버국방학과"와 "안철수 연구소"를 탐방하는 글을 실어 보았습니다.  8호에도 많은 참여와 관심 부탁드리겠습니다.

보안에 관련된 글이면 언제든지 환영하며, 검토후 실어 드립니다. 함께 보안에 대한 정보를 공유하겠습니다.

첨부파일 다운로드 받으시면 무료로 보실 수 있습니다. @엔시스.

보안인닷컴7호_2012-01_V 1.1.pdf

 

2012년도에는 클라우드와 스마트폰, 보안등이 주요 키워드가 되는데에는 누구도 이견(異見)이 없을 듯 합니다.  최근 데이터센터(IDC)의 요충지로 꼽히는 곳중에 한 곳이 바로 '부산시'입니다.

입지적 요충지로서 일본과도 가깝고 해서 최근 관심들을 많이 가지고 있는데요. 필자도 데이터센터에 근무를 하고 있기때문에 관심을 가지고 보고 있는 관전 포인트이기도 합니다.

출처: http://www.boannews.com/media/view.asp?idx=29265&kind=1




1. KTSB 데이터 센터

우선 부산위치에 데이터센터 건립 물꼬를 튼 것은 바로 일본의 소프트뱅크에서 부산에 국내 통신사 KT와 손잡고 김해연수원을 리모델링하여 오픈 한 경우입니다..


클라우딩컴퓨팅에 대한 이해 동영상 참고
 http://news.naver.com/main/read.nhn?mode=LPOD&mid=tvh&oid=374&aid=0000005629

KT,소프트뱅크 제휴 클라우드 IDC
http://news.naver.com/main/read.nhn?mode=LPOD&mid=tvh&oid=215&aid=0000020182


2. LGCNS 글로벌 클라우드 데이터센터 허브 구축

 

이처럼 큰 데이터센터가 부산에 속속 들어선다는 사업 발표가 이어지고 있습니다. 지방IT 측면에 보아서는 좋은 기회라고 생각이 들고, 일자리 창출에도 많은 기여를 할 것으로 예상이 되어 기대가 됩니다.


3. 왜 부산시이냐?

그럼 왜 부산시인지 궁금하게 됩니다. 아마도 해저터널과 제2의 도시 그리고 인접해 있는 국가와 지리적 요충지 때문이 아닌가 하는 생각이 듭니다. 이러한 사업기회를 잘 살려 부산시는 IT일자리 창출을 위하여 노력하는 것에 대하여 박수를 보내고 싶습니다. 사실 IT산업은 서울과 수도권을 벗어나면 대부분 서울의 총판,채널사 형태로 운영이 되고, 제대로 된 IT서비스 컨설팅사와 보안전문 업체로서 입지가 부족하기 때문입니다. 늘 아쉬운 부분중에 하나인데 지방IT업체 자구책 노력도 필요하고 지자체나 정부의 지방 활성화 방안도 지원이 되어야 합니다.


4.  일자리 창출, 문제 없는가?

데이터센터라는 것은 IT서비스를 하기 위한 집적정보통신 시설로 각종 다양한 시설이 집적해 있는 시설입니다. 전력과 항온항습, 난방, 그리고 각종 서버, 네트워크 장비, 인력등이 많이 필요하고 소요가 되는 시설입니다.

얼핏보기에는 일자리 창출에 기여 할 듯하지만 조금 더 신경을 써야 하는 부분이 있습니다. 그것은 '인력수급' 문제입니다.  초기 기업은 리스크를 부담하지 않기 위하여  고급 인력보다는 초급 인력을 선호 하게 됩니다. 

혹은 고급인력을 선호하더라도 서울과 수도권에서 인력을 수급하게 되면 비싼 임금이 문제가 됩니다.  여러가지 딜레마에 빠지게 됩니다. 이러한 현상은 대부분 글로벌 IDC는 해외 고객과 업무를 해야 함으로 영어와 일본어등 기본적인 언어에 장벽이 있어서는 애로 사항이 있다는 것입니다. 이러한 인력을 수급하기란 그리 쉬운 일이 아니고, 만약 이러한 인력을 구한다 하더라도 높은 임금을 요구하게 됩니다.


5. 앞으로 해결 방안 

지리적 요충지로 인하여 부산시에 다양한 글로벌 데이터센터 사업이 들어서게 되는데 여러기업이 한꺼번에 관심을 가지다 보니 이 또한 출혈경쟁에 나서서는 안될 것이며, 서로 윈-윈 할수 있는 특화된 서비스로 자리 매김 하는 것이 바람직 하겠습니다. 

또한 인력수급에 있어서도 데이터센터로서 입지를 다지고 성공적인 모델을 정착하기 위해서는 로컬라이제이션 할 수 있는 고급인력과 경험이 있는 인력을 영입하여, 안정적이고 집중할 수있는 방안을 제시해야 합니다. 

이는 앞으로 공공기관 지방 이전을 앞둔 다양한 공공기관이 지방 이전지로 데이터센터를 구축하게 됩니다. 이러한 부분에 있어서 롤모델이 될 수 있고 오랜만에 부산시는 지방IT 활력소를 찾은 만큼  일자리 창출과 글로벌 IT경쟁력을 모두 가질 수 있는 제2의 도시가 될 수있는 두마리 토끼를 잡는 도시가 되었으면 하는 바램을 가져 봅니다. @엔시스.

 

안녕하세요. 국내 최대 보안 커뮤니티 보안인닷컴 (http://www.boanin.com) 대표 운영자 엔시스입니다..

지난달에는 개인적으로 바쁘고, 또한 발행할만한 내용과 주제를 잡지 못하여 배포하지 못하였습니다.  그냥 취미로 만들어서, "전국민 보안마인드 업데이트와 전국중심의 보안"을 만들어 보겠다는 생각으로 하는것이니...

그래도 조금이나마 기다리시는 분들에게는 죄송하더군요...저도 생업에 투입되다보니 쉽지 많은 안네요..

하지만 그래도 조금씩 주위에서 도와주시고 서로 참여 해 주셔서 함께 조금씩 조금씩 예전보다는 성장 발전해 가는 것이 아닌가 생각해 봅니다. 그래서 제6호가 발행이 되었습니다.

이번호에는 [A3시큐리티 한재호대표님, 김휘강교수님 ] 인터뷰도 실려 있습니다. 직접 발로 뛰어준 기자단 분들에게도 감사드립니다.

                           <보안인닷컴 E-매거진 (보안人) 6호 발행목차>


보안 , 중요하다는 것은 모두 알고 있습니다. 하지만 모르는 것이 더 많은 분야가 보안이고 자신이 알고 있으면, 조직에 소속이 되어서, 또는 대외비라서, 또는 기술적 위협때문에...이런저런 핑계로 정보 공유하기가 쉽지 않습니다.

그래서 또 혼자 대부분 체험과 업무에서 독학을 해야 합니다.  너무 민감한 부분은 제외하더라도 함께 공유하고 나눌수 있는 문화와 이제는 "보안은 생활 문화"로 자리 매김 할 수 있도록 미흡하지만 하나씩 실천해 보려고 합니다..

늘 부족함을 느끼는 것은 당연한 것입니다. 그렇기에 더욱 발전 가능성이 있는 것이구요. 조금 할말이 많아서 말이 길어 졌는데, 아무튼 보안에 관심이 있는 많은 분들이 참여 해 주시고 함께 관심 가져 주었으면 하는 바램이라는 말이 결론 입니다... 더욱 노력해 보겠습니다.

내년도 개인정보보호 예산이 반에 반토막이 났다는 기사가 있어서 몇자 포스팅 해 보고자 합니다.

관련 뉴스 : http://www.itdaily.kr/news/articleView.html?idxno=28398#

 

                                                 <사진출처: http://bit.ly/temZY1>

개인정보보호법 주무부처인 행정안전부의 내년도 개인정보보호 예산이 반에 반 토막 났다. 당초 300억 원 넘게 책정했으나 70억원으로 3분의 2 가까이 대폭 삭감됐다.

그간 정보화 투자에 인색했던 MB정부였지만, 최근 발생한 개인정보유출 등 각종 보안 사고가 사회적으로 크게 이슈화됐던 만큼 개인정보보호 투자만큼은 흡족할 수준이 되리라 기대가 컸다. 그러나 그 결과는 역시나 실망스럽기 그지없다.

그나마도 개인정보보호법이 시행된 것을 감안해 올해 행안부 개인정보보호과의 예산인 46억 보다는 늘었고, 정부의 내년도 IT정보화 예산이 전년대비 20~30% 줄게 된데 비해 늘어난 것으로 전해진다. 예산이 줄지 않은 것만으로도 다행이라고 여겨야 할지 의문이다.  -중략.

1. 자신의 업종이 아직도 개인정보보호법 적용인지 정보통신 망법적용인지도 모르는 수가 태반


필자는 이번에 개인정보보호관련하여 전문 강사단에 위촉이 되면서  지방 공공기관 (주로 경상권) 지역에 교육을 지원 하였습니다. 그런데 여러곳을 다니면서 이야기 듣고, 교육을 하다보면 하나 같이 애로사항들이 공통적으로 있습니다.  그것은 교육 및 홍보를 강화 해 달라는 이야기입니다. 잠시 반짝하는 이벤트성홍보로 하지 말고.

아직도 모르는 곳이 너무 많다고 합니다. 물론 일부 '개인정보보호법'이 시행 된다는 정도의 분위기는 알지만 정작 어떻게 무엇을 해야 하는지..또는 부처 소관의 경우 빠른 지침과 시행 방침을 내려 보내 주어야 움직일 수 있다는 호소였습니다.  처음에는 나름 준비하면 되지라고 생각을 했지만 공공의 업무라는게 개인의 의지만 가지고 되는 것은 아니라는 생각을 하였습니다.  그러니 조금은 이해가 갔습니다.

민간의 경우에는 더욱 심각합니다.  자신의 업종이 '개인정보보호법' 적용을 받는지 '정보통신망법' 적용을 받는지 '신용정보보보호법'에 맞는지 조차도 구분하지 못하는 사람들이 많습니다.  왜 그럴까요? 물론 예산 범위내에서 대응책 마련을 고심할 것으로 압니다만 원래 예산이라는 것이 조금은 삭감 될 것을 예상하고 책정하는 경우가 다반사입니다.

하지만, 본격적으로 '개인정보보호법 정착' 이 진행될 2012년도에는 조금 그 상황이 다르다고 봐야 겠습니다.


2. 개인정보보호법 조직정착을 위해서는 추가 예산 편성할수는 없을까?

국가 사업과 예산이라는 것이 동네 구멍가게 사장 노릇 하듯이 맘대로 안되는 것을 잘 알고 있습니다. 하지만 법만 만들어 놓고 , 수 많은 사람들을 범법자로 만들수는 없는 것입니다.  대부분 중소기업, 소상공인들은 이러한 법이 있는 줄도 모르는 경우가 많습니다. 그리고 '개인정보보호법'을 지키라고 겁을 줍니다.

'법을 공개하고 설명서를 공개하였으니 당신네들이 알아서 공부하시오'라고 하면 과연 그들이 스스로 알아서 공부를 하면 얼마나 좋겠습니까만은 현실은 그렇지 못함에 있습니다. 실제 개인정보보호법을 공부하여 연구하다보면 기술과 법.제도를 함께 알아야 하고, 자신이 해당업종에 있으면 또한 특별법의 법률과 시행령,시행규칙까지 이해를 해야 합니다.

한가지 예를들어 보겠습니다. 병.의원에 근무를 하고 있다고 가정을 하겠습니다. 그러면 제일 먼저 개인정보보호법에 적용을 받는지, 정보통신망법에 적용을 받는지를 파악을 해야 합니다. 그리고 '개인정보'의 정의부터 확인을 해야 합니다. 그러면 관련 법에 의하면 "개인정보라 함은 살아있는 개인에 관한 정보로써 ~~~~"  라고 되어 있지요...그런데 병원에 살아서 입원하여 도중에 사망한 환자에 대한 정보는 개인정보보호법에 의하면 보호를 받지 못합니다. 어떻게 처리해야할지를 또 고민해야합니다. 누구한테 딱히 물어볼 곳도 없습니다. 미국과 독일의 개인정보보호법은 '살아있는 개인에 관한 정보'로 한정 지어 놓지 않았습니다. 혹시나 특별법에 관련 조항이 있는지 의료 관련법을 찾아 보아야 합니다. 

과연 이러한 연구를 일반 개인정보 취급자분들이 판단 할수 있을까요?  개인정보보호법은 이미 시행을 하였습니다. 하지만 아직도 준비가 덜한 상태로 암묵적인 유예기간을 두고 있습니다. 국가가 사업을 시행 한다 하더라도 사업비와 예산이 없으면 흉내만 내다가 그만 두게 됩니다. 

결국 '개인정보보호법'은 처음 의도했던 바가 아닌 다른 방향으로 흘러가게 될 것이고, 사람들은 법.제도의 이해부족과 불편함을 호소하게 되면 SNS등을 통한 여론 형성이 되어 이리저리 편법이 생기고, 그러면 법을 다시 제,개정하는 누더기 법이 될 가능성도 있습니다.


3.  전국민 보안마인드 업데이트 비용과 전국중심의 보안으로 예산이 사용되었으면

미국은 사이버(Cyber)를 제4의 영토로 지정을 하였습니다. 제4의 영토를 공격하거나 침략하려고 하면 즉각 대응하겠다는 발표를 한적도 있습니다. 과연 우리나라는 주변 강대국과 지정학적 위치에 있는 '중국' '일본' '북한'으로부터 얼마나 안전하게 대응 할 수 있는지 의구심이 듭니다.  이제는 물리적인 경계위치보다는 사회적 불안이나 민심을 뒤 흔드는 '사회공학적기법' 공격이 난무하게 될 것입니다. 그것은 여러정치적인 상황과 섞여서 무엇인 진짜이고 가짜이며 진심인지를 가려 내기 힘들 것입니다. 특히 지금처럼 쇼셜(Social)네트워크 서비스가 스마트폰과 어우려져 스피드하게 전파되는 상황에서는 말이죠..

이러한 사회적 비용까지 책정을 예산에서 반영해야 할 것이며,  전국민 보안마인드 업데이트를 가져 오게 끔 해야 합니다. 또한 서울과 수도권 집중적인 예산 투입보다는 2012년도에는 수평화 할 수 있는 지방과 지역 (local)에 대한 보안에 대한 인식제고 향상에도 힘을 쏟아야 합니다.   보안이라는 것은 유능한 사람 혼자만 해서 되는 것도 아니고, 서울 수도권에 한정되어 보호해야만 하는것도 아닙니다. 올해에도 지역에는 제대로된 보안컨퍼런스 행사하나 없었습니다. 혹자는 여러가지 사업과 행사를 진행하려고 해도 규모면에서 지역에서는 호응이 생각보다 없어서 안되다고 이야기 합니다.

일개 개인이 보안커뮤니티를 만들어서 지역활성화와 스터디모임 그리고 각종 SNS을 통하여 긴급 보안 이슈와 트렌드 전파하고 있습니다.. (커뮤니티와 블로그, SNS을 통하여)

2011/03/07 - [Lecture&Comlumn] - [칼럼] 3.3 DDoS 공격이 '개인정보보호법 제정'에 불씨를 당겨야
2009/09/16 - [Lecture&Comlumn] - [기고-4] 7.7 DDoS 사태이후, 변화는 아직도 미지수


정보보호에 대한 지식공유를 위하여 발 벗고 나서고 있습니다. 그 이유는 제가 지식이 필요했기 때문이고 그 보안지식을 같이 공유하는 것이 의미있다고 판단했기 때문입니다... 개인도 할 수 있는데, 기관과 정부가 왜 못하겠습니까? 의지만 있으면 10명이 모이든 100명이 모이든 꾸준히 진행해야만 하는 의지 표명이 중요하겠습니다.  최근 개그콘서트의 '비상대책위원회' 코너가 생각이 나네요.. "안돼~~~" " 그러면 결국 되는 것은 어떠한 것도 없다고 생각합니다."


4. 예산이라는 것은 모자라도 안되고 남아도 안되는 국민의 세금


비록, 개인의 블로그에 포스팅하는 힘없는 글이지만 관련기관에서는 분명한 의지를 보여 주었으면 하는 바램을 가져 봅니다. 개인도 그렇고 기업도 그렇고 국가도 마찬가지로 예산이라는 것은 부족하면 부족한대로 문제이고 남아도 남는대로 낭비를 하기 때문에 문제입니다.  예산을 편성하면 의례히 삭감되는 것은 당연한 것으로 받아들이고 삭감 할 것이 아니라 정말 소중한 국민의 세금이 '정보주체의 권리'를 강화하는 '개인정보호보법'의 조기 정착을 위하여 사용하게 끔 잘 편성하고 책정하여 사용 할 수 있도록 하면 좋겠습니다. 

분명한 것은 2012년도 본격적으로 보안 이슈가 더 거세질 전망입니다. 이제는 유선망은 기본이고 다양한 디바이스와 멀티채널을 이용하는 무선랜보안에 대한 이슈, 그리고 스마트폰과 테블릿PC가 봇물을 이루고 사용자 보안으로 공이 넘어갈 것입니다.  보안마인드가 안되어 있는 사용자들의 개인정보유출은 더욱 거세게 될 것이고, 시행중인 개인정보보호법에 논의가 더 활발하게 될 것입니다.

부디 개인정보보호법 조기 정착과 혼란 방지를 위하여 돈이야 많으면 많을수록 좋겠지만 그러한 의미를 조금 내실있게 파악하고, 서포팅 해 주는 것이 예산과 집행기관의 책임을 다하는 정부의 의지 반영일 것입니다. 다른 현안에 묻혀 '개인정보보호법'이 국민을 더욱 불편하게 만들고 옥죄는 법으로 남는 오점을 남겨서는 안될 것입니다. 이제 소중한 자신의 개인의 정보는 스스로 지킬수 있는 개인의 자발적 의지도 분명히 중요한 시점에 도래하였습니다. "개인정보 수집은 하지 않는 것이 최선입니다." "개인정보는 정보주체의 정보이지 조직이나 기업의 자산이 아닙니다."  -엔시스.

공감하시면 추천이나 무한RT해 주시면 더욱 좋겠지요 :)

주말 반납하고 보안인닷컴 , 차세대 전문가 포럼 카페 회원 대상으로 특강을 하였습니다. 늘 이러한 세미나를 할때면, 장소를 구하지 못해 자주 할 수 없는 것이 안타까운 것이 사실입니다.  혹시 누군가 장소를 사용할 수 있게 해 주시면 감사하겠습니다.

아침 새벽6시30분에 부산에서 7시 KTX 를 타고 서울로 향하였습니다. 주말이라 표 구하기 어려움이 있어 아주 고생을 하였네요.. 덕분에 영화칸을 자리하게 되어 영화를 보고 비용은 더 들어가게 되었네요..

특강 시작전에 도착하여 세미나 준비를 하였습니다. 사전에 미리 도착하여 조금씩 도와 주시는 분들이 좀 있었더라면 하는 생각이 있었지만 그냥 혼자 묵묵히 했습니다.

남들이 도와 줄꺼라고 생각하고 했더라면 아예 황금 같은 주말에 부산에서 서울로 출발 하지도 않았겠지요 .

그렇게 해서 시작한 세미나는 사전에 참석 하겠다는 댓글을 달았음에도 불구하여 모두 참석하리라는 제 믿음을 저버렸습니다. 물론 장소가 그다지 넓지 않아 걱정했지만 70-80명정도는 참석 한듯 합니다..


블로그에 한동안 글을 담지 못하여 살아 있음을 알리려고 포스팅 합니다...^^;; 회사 업무에 이런저런 하는 일 없이 시간이 너무 빨리 지나가는 듯 합니다. 마음에 양식도 더 많이 담아야 겠습니다..

늘 건강하시고, 블로그 오시는 분들 죄송하구요..앞으로 더 많은 정보 업데이트 할 수 있도록 하겠습니다.
감사합니다.  -쥔장 올림.

얼마전에 휴가를 내고 외부 특강을 하게 되었습니다.  주제는 '개인정보보호 시스템 구축론' 이라는 주제를 가지고 '서울과학 종합대학원 산업보안 MBA' 과정에서 강의를 하였습니다.

 사실 처음에 강의 요청을 받았을때, 이미 실무에 있는 분들은 모두 아는 내용일 수도 있고, 또한 대부분 다른 내용으로 강의를 받았다고 해서 어떤 이야기를 가지고 할 것인지에 대한 고민을 하였습니다.

그 중에서 고민 하였던 것은 아무래도 기본적인 내용에서 딱 한단계만 더 깊이 들어가자라는 결론을 내린 것이지요..

그래서, 예를들어 앞으로 '주민번호대체수단'을 도입하라라고 만약 한다면 우리는 흔히 '아이핀' 이나 'G-PIN' , '공인인증서' 'OTP'를 도입하라고만 합니다.

하지만 그 다음 단계인 어떻게 도입할 것인지 막막한 경우가 많습니다.

즉, 주민번호외에도 대체수단을 도입하게 되면 도대체 어떻게 홈페이지에서 어떤 방법으로 적용을 해야 하는지를 모르는 것입니다...

이러한 결론에 이르자  그 방법을 같이 고민해 보면 좋겠다라고 생각하여 한 꼭지 넣어 습니다..


그리고 개인정보 유출에 대한 각종 솔루션에 대한 전체적인 종류별로 언급도 하였습니다. 특히 공개된 장소에서 특정 솔루션을 언급하는 것이 조심스럽기 때문에 그냥 어떠한 류의 솔루션이 있다는 정도만 언급을 하였습니다.

이렇게 3시간을 강의를 하고 나니 10시가 되더군요...관계자분과 담당 교수님이 직접 격려를 해 주시고 또한 질문도 많이 주셔서 좋은 경험을 할 수 있었습니다.

저도 대학원 석사 과정을 마칠때 , 연구실에 퇴근후 저녁도 대충 김밥이랑 라면으로 때우면서 논문을 준비하였던 기억이 새록 새록 났습니다. 그만큼 일하면서 공부한다는 것은 무척이나 힘든 과정입니다. 왜냐하면 어쩡쩡한 상태가 되면 이것도 못믿고, 저것도 못믿는 상태가 오거든요...대부분 일과 공부 두마리 토끼를 다 잡으려고 하지만 쉽지 않은게 현실입니다...

남 앞에 선다는 것은 그만큼 준비를 많이 해야 한다는 반증이기도 하지만 요즘 회사 업무와 교육으로 시간을 주로 퇴근후 공부하고 연구하는데에 할애를 하였는데, 들어 주신분들에게 부족한 부분은 아니었는지 모르겠습니다.  관계자분들과 그날 수업을 들어주신 분들에게 이자리를 빌어 감사의 말씀을 전해 드립니다.. @엔시스.


참, 이번에 aSSIST에서 산업보안관련 MBA 입학설명회를 한다고 하네요..관심있는 분들은 아래 참조 하세요..

 

최근 9월30일 개인정보보호법이 시행 됨으로 인하여 많은 요구사항들이 생겨나 담당자들로 하여금 고민에 빠지게 하였습니다.. 즉, 해야 할 일이 그만큼 많이 생겼다는 것이다. 그것은 업무 부담으로 다가 오지만 뾰족한 수가 없다면 스스로 공부하고 준비해 나가야 할 것입니다.

1. 두마리 토끼중 한마리라도..

원래 두마리 토끼를 쫓아 다니다 한마리도 제대로 잡지 못하는 경우가 있지요 제대로 한마리라도 꾸준히 잡아야 하는 경우가 있습니다., 하지만 현재 어디 그런가 ? 두마리 토끼를 잡아야 하는 환경에 처하게 되어 있는 것입니다.

개인정보보호법이 시행됨으로 인하여 법률적 지식과 IT기술적 기술을 모두 두루 갖춘 인재를 찾기란 쉽지 않다고 언론에서 이야기 하네요..

관련기사 : http://www.etnews.com/news/detail.html?id=201109290191

자신의 업무 한 분야도 잘 하기 쉽지 않는데, 그 분야를 모두 깊이 있는 지식을 습득 보유하려면 많은 노력이 필요하겠지요

                                          <두마리 토끼를 잡는다는 영어식 속담의 삽화

#2. IT기술쪽으로 업무 하는 사람은 이젠 법률과 절차를 , 법률적인 업무를 하는 사람은 IT기술을

이제는 '통섭'의 시대에 살고 있다고들 합니다.. 통섭이란 자신의 분야에서 깊이 있게 알면서 다른 분야를 포용할 수있는 인재를 말합니다..

따라서, 개인정보보호법 시행으로 인한  빠른 트렌드를 따라가는 IT 분야에서 두마리 토끼를 잡아서 롱런하고자 하는 사람은 디테일 한 부분까지 알수 있는 방법을 알아야 살아 남지 않을까 생각합니다.. 자신이 관심분야와 법제도 를 잘익히고 그 내용을 타인에게 잘 설명 할 수 있으면 두마리 토끼를 잡을 수 있다는 것입니다.

제 블로그에 오시는 모든 분들은 "두마리 토끼를 전부 잡으시길 바랍니다,"

보안인닷컴 e-매거진 제3호가 만들어졌습니다. 다른 분들은 어떨지 모르겠지만 매월마다 기획하고 하나씩 만들어 가는 성취감은 만들어 보지 않은 사람은 느낄수 없는 것이지요. 물론 혼자보다는 주변에서 많이 도와주시고 참여해 주셔서 만들어가는 것이긴 하지만요..

무엇보다 보안에 대한 중요성을 널리 알리고, 전국 어디에서라도 조금씩 하나씩 그 시야를 넓혀 갈 수 있는 좋은 조언자 같은 채널이 되었으면 좋겠습니다. 다시한번 글 보내주신 여러분들께 감사의 말씀을 드립니다...^^;; 그리고 편집하시면서 고생하신 석윤님께도 감사드립니다..

아래 pdf 파일을 받으셔서 PC뿐만 아니라 스마트폰과 테블릿PC에서도 구독하실 수 있습니다. 아직 부족함이 많지만 아무리 뛰어난 매거진이나 채널이라 하더라도 구독자가 없으면 아무소용이 없듯이 많은 격려와 관심과 참여를 주셔서 더욱 힘이 나기도 합니다.  부족한 부분은 조금씩 개선 발전시켜 나가겠습니다. 감사합니다. @엔시스.

보안인닷컴3호_2011-08_V 1.2.pdf

보안인식제고, 전국중심의 보안을 외치고 있는 국내 최대 보안커뮤니티 보안인닷컴 http://www.boanin.com 에서  '보안자가진단 앱 (아이패드용)을 개발 출시하여 무료로 배포 하고 있습니다.

아이패드용으로 한 이유는  스마트폰용은 너무 작아서 사실 컨설팅시에 화면 비율이나 폰트로 비주얼하게 보기 쉽지 않다고 판단했기 때문입니다.   다음은 아이패드용 스크린 샷입니다.

                              [그림-1] 보안인닷컴 '보안자가진단' 앱 화면 #1

                                  [그림-2] 보안인닷컴 '보안자가진단' 앱 화면 #2

                                   [그림-3] 보안인닷컴 '보안자가진단' 앱 화면 #3

                  다운로드 : http://itunes.apple.com/app/id449806870?mt=8

  부족하거나 수정 보완할점...그리고 추가로 아이디어 있으신 분들은 댓글 남겨 주시면 감사하겠습니다.  이제 보안 컨설팅시에 간단하게 고객사에게 '보안자가진단' 할 수 있도록 유도를 하고 현황파악하는 앱으로 이용하시면 조금이나마 도움이 되리라 생각이 됩니다. 앞으로 많은 격려와 관심 부탁드립니다.
@엔시스
  

A3가 교육사업을 실시하는가 봅니다.  최근 KISA등에서 무료교육을 실시함으로 인하여 민간 정보보호 교육시장이 침체되어 있는 것이 사실인데 어떻게 대처 할지 귀추가 주목되는군요. 화이팅 하시기 바랍니다.

특히 국내최대 보안커뮤니티 보안인닷컴 (http://www.boanin.com ) 회원인 경우에는 10% 할인을 해 준다고 합니다. 

보안 관제 분야에 관심 있는 분들은 참여 해 보시길 바라겠습니다.  감사합니다.

지난번 정보보호전문가 자격증(SIS) 자격증 관련 1차 기사가 나오고 난 후에 조금은 보완해야 할 부분들이 있다는 주변에 이야기가 있었습니다.. 

관련글 포스팅 : http://www.sis.pe.kr/3327 

하지만 후속 취재를 요구하였고, 조금은 구체적인 방안이 나오기를 기대하였습니다. 마침 오늘 후속기사가 나왔네요.

전자신문 2011.07-12일자 온라인판

핵심의 요지는 다음과 같습니다.

• 2013년 국가기술 정보보안기사/산업기사가 시행이 되면 굳이 2번 시험 볼 필요 없으니 그때까지 기다리겠다. 하지만 지금까지 늘 예정이다, 고려사항이다 하다가 시행이 되지 않으면 그 공백기간에는 어떠한 대안을 제시 할 수 있는가? 아마도 SIS 기존 자격증 시험은 그냥 형식적으로 치러지거나 아니면 응시생이 줄어들어 원래 취지에 부합하지 못 한다.
• 기존 SIS 유자격자를 어떻게 처리 할 것인가? 이부분에서도 방안제시를 해야 하지만 아직 뚜렷한 방안이 없는듯 하다. 그동안 SIS시험의 난이도로 보아 쉽지 않은 시험을 패스한 부분이라 일정기간 보수교육후에 승인하면 좋지 않을까 하지만 그런 사례가 없어 난색을 표하는데, 꼭 사례만 가지고 한다면 누가 새로운 개척을 하겠는가? 늘 예외라는 것은 있지 않은가?

아무튼 이번에는 좀 확실한 대안제시가 되고, 작은 것 하나라도 조금씩 조금씩 실천해 나간다면 이러한 국가자격증제도의 경우 10년, 20년 장기간 가야 하는 제도이기에 빨리 정착되고 좋은 대안제시를 마련하여야 할 것입니다. 보안인력양성 정책시마다 울궈 먹는 재탕 삼탕이 되어서는 안될 것이라 생각이 듭니다.
이번엔 꼭 실현 되기를 기대해 봅니다.  @엔시스.




요즘에 보내기트위터에 보내기페이스북에 보내기미투데이에 보내기

'Security License' 카테고리의 다른 글

개인정보보호관리사 (CPPG)자격증 시험 개선 방안에 대하여  (0)	2012/01/11
CISSP 자격증 AMF 비용 결제하는 방법  (2)	2011/08/05
국내 대표하는 보안자격증, SIS 국가기술자격증 되어야  (0)	2011/07/12
정보보안기사 자격증 신설, 이번에는 공수표 날리면 안돼  (0)	2011/07/08
홀대받던 SIS자격증소지자 몸값상승, 취업바로 시켜준데요  (3)	2011/06/16
한국CISSP협회 2010년 정기총회 참석  (0)	2010/12/18

마소잡지 7월호에 보안특집기사로 보안에 대한 정리내용으로 간단하게 관리체계에 대한 부분을 언급하였습니다. 너무 기술에만 치우쳐도 되지 않고, 너무 관리에만 치우쳐도 되지 않아 보안은 기술과 관리가 적절하게 균형있게 조율이 되어야 겠습니다.

어제 잠시 서점에 들려서 다시 한번 인쇄본을 살펴 보았는데, 조금 분량을 늘려서 적을 것을 하는 느낌이었고 조금은 임팩트 있는 내용이 아니라서 평이한 수준에서 적지 않았나 하는 느낌이 들더군요. 아무튼 자신의 생각을 글로 표현한다는 것은 굉장히 중요한 문제라 저는 생각합니다. 그래서 부족하지만 노력하고 있는 중이구요. 여러분들도 자꾸 노력을 하여 그 부족함을 채워 나가는 것이 삶을 지탱하는 원동력이 아닐까 생각이 드네요.. 이러다 관리체계 홍보대사 되는것은 아닌지...ISMS, PIMS ㅎㅎ 하지만 중요하니까요.
많이 홍보해야지요..그것이 제 몫이라 생각합니다.

혹시 궁금하신 분들은 http://www.boanin.com 보안인닷컴 커뮤니티 공지사항 보시면 e-매거진 2호가 무료로 배포되고 있습니다. 거기에도 실렸으니 참고 하시면 됩니다. 또는 http://www.sis.pe.kr/3326 보시면 첨부되어 있으니 다운로드 받아 보시면 됩니다.

앞으로는 조금 더 깊이를 더해야 겠습니다. 비가 오네요..주말 잘 보내시길 바라고 비 피해 없기를 바랍니다.  @엔시스.

보안인닷컴 e-매거진 2호가 산고 끝에 나왔습니다. 아직 가야 할 길이 멀지만 뭐, 중요한 것은 보안에 대한 지식을 함께 나눈다는데에 의미가 있으니, 조금 부족하더라도 꾸준히 만들어 보겠습니다. 퇴근이후나 주말을 기해서 시간을 쪼개어 조금씩 만들다 보니 아직 허접한 구석이 많습니다.

모두들 보안이 중요하다고는 하지만 실제 실천하는 사람은 잘 없습니다. 제가 몸 소 실천하는 보안을 보여주기 위한 활동으로서의 결과물이기에 꾸준히 진행하겠습니다. 다음 3호도 많이 기대해 주시고 보안에 관심 있는 분들은 참여도 해 주시면 감사하겠네요 ^^;;  @엔시스.

보안인닷컴_e-매거진-2011.07-2호-v_1.2.pdf

무엇이든 100% 완벽한 것은 없습니다. 그래서 늘 불안하기도 합니다. 하지만 그 보다 취약점이 발견이 되면 사용자들에게 알리고, 각 기업 홈페이지나 언론을 통하여 즉시 대응하는 자세가 매우 중요하고 바람직 합니다.

최근 한글과 컴퓨터 아래한글 취약점이 발견되었다는 것이 언론을 통하여 나왔습니다. 하지만 한컴 홈페이지 어디에도 그에 따른 대처 방안들이 나와 있지 않습니다.

                                                             <그림 - 한글과 컴퓨터 메인 홈페이지 화면>


대한민국 자국의 오피스라는 애국심의 발로로 각종 공공기관에서는 무조건 아래한글을 많이들 사용하고 있습니다. 이러한 상황에서 과연 얼마나 많은 사람들이 아래한글 취약점을 알고 있을 것이며, 이에 대한 대응과 패치를 할 것인가에는 의문이 드는게 사실입니다.

단지 보호나라에서만 공지가 하나 올라가 있을 뿐입니다...

http://www.boho.or.kr/dataroom/data_05_dtl.jsp?u_id=170&page=0&TempNum=176&page_id=6

링크를 따라가 보면 각종 아래한글 버전별로 되어 있어 사용자들은 자신이 무슨 버젼을 사용하는지 조차 몰라 어떻게 해야 하는지를 몰라 허둥지둥하게 됩니다. 자세한 내용도 잘 반영이 되어 있지 않습니다.


한컴은 즉각 공지사항과 사용자가 알기 쉽도록 설명해야

고객을 위하고 자신의 제품을 사용해 주는 고객에 대한 서비스는 최선을 다해야 합니다. 하지만 고객에 대한 무시는 그 제품에 대한 신뢰를 저 버리게 됩니다. 일련의 한글과 컴퓨터의 우역곡절은 있지만 지금이라도 환골탈퇴 하려면 이러한 서비스에 최선을 다해야 할 것입니다. 그냥 애국의 발로로 대한민국 워드라는 자만심만 가지고 있다보면 결국 경쟁력을 잃어 갈 것입니다.  꼭 실천하셔서 공지사항과 아래한글을 사용하는 사용자들이 쉽고 편리하게 패치 할 수 있도록 안내 해 놓으시길 바랍니다..


* 부족한 제 블로그를 방문하시는 분들을 위한 서비스 -초보자인분들에게

위에서도 설명하였듯이 링크를 따라가면 각종 아래한글 버젼별로 되어 있어 자신의 아래한글 워드 프로그램 버전을 알아내기도 쉽지 않고 어떻게 해야 할지 몰라 패치를 못하는 경우가 있습니다. 그렇다고 전부 파일을 다운받아 설치할 수도 없는 노릇입니다. 그래서 초보자분들을 위하여 간단하게 패치 하는 방법을 올려 놓을테니 꼭 패치하시기 바랍니다.

1. 자신의 아래한글 프로그램을 실행을 합니다.


2. 실행된 아래한글 프로그램에서  도움말을 클릭합니다.

3.  메뉴중에 <한글과 컴퓨터 자동 업데이트 > 메뉴를 클릭합니다.

위와 같은 업데이트 메뉴가 나오면 아래 하단에 <<업데이트 >> 버튼을 클릭하여 업데이트 하시면 가장 쉽게 업데이트 할 수 있습니다.  위 그림은 업데이트 모두하여 최신 버전을 사용하고 있다는 문구가 나오면 패치가 완료된 상태입니다. 중간에 아래한글 프로그램 종료를 하라는 메세지가 나오면 프로그램 종료를 하면 정상적으로 패치가 됩니다. 

사용자 눈높이에 맞게끔 서비스 해 주는 것이 제품을 사용해 주는 고객에 대한 배려라 생각이 듭니다. 한컴은 즉시 실천해 주시면 기업에 이미지에 더 신뢰를 줄듯 합니다. @엔시스.

오늘 회사 업무를 마치고, 부산신용보증재단에 정보보호 교육을 하러 갔습니다. 저는 늘 교육을 갈때 약속시간보다 2-30분 일찍 도착을 합니다. 그럼 대부분 담당자분들은 "일찍 오셨네요"라고 말씀하시죠..

하지만 제 지론은 최소한 프로는 제 시간에 가야 하고 시간에 쫓기어 허겁지겁 가지 말아야 하며, 대부분 담당자분들은 사전에 도착을 하게 되면 윗분들에게 인사를 시켜 드립니다.

이런 시간까지 감안한다면 2-30분 일찍 도착하는게 맞습니다. 차분히 교육장에 대한 파악도 하고 준비해간 준비물과 교육자료 점검 시간도 있습니다. 교육 시간이 다 되어가는데 강사가 허겁지겁 온다든지, 교육셋팅이 끝나지 않으며, 전혀 프로답지 못하다고 하겠습니다.

오늘 그렇게 해서 도착한 부산신용보증재단.. 처음 방문한 곳이었지만 담당자이신 문과장님은 상당히 쾌활하시고 반갑게 맞이해 주셔서 첫인상이 참 좋았습니다.

특히 특징적인 부분은 퇴근후 교육이라 교육생분들에게 토스트도 나누어 주면서 함께 교육을 받는다는 것이 참 인상적이었고, 강사인 저에게도 토스트를 주어서 저녁을 해결 할 수 있었습니다. 아주 맛있게 먹었네요.

 

또한 교육2시간 내내 졸고 있는 분이 없이 전부 초롱초롱한 눈으로 보안에 대한 교육에 귀를 기울이셨습니다. 사실 저야 자주 듣는 이야기이지만 처음 보안에 접하시는 분들은 사실 그렇게 쉬운 내용은 아니지만 교육 준비는 나름대로 눈높이를 맞추어 고민하여 준비하였습니다. 늘 교육을 하고 나면 조금 아쉬운 부분은 있지만 참석하신 분들이 꼭 실천할 수 있는 부분만 콕콕 찝어 강조하곤 하였습니다.

아무튼, 보안에 관심을 가지는 소중한 기회나 시간이 되었다면 저에게는 더 없는 영광의 자리였고, 비보안인들에게 보안의 중요성을 알린다는 것 또한 의미 있는 일이라 생각이 듭니다. 개인정보보호법도 시행을 앞두고 있는만큼  그분들에게 그냥 스쳐지나가는 교육에 하나는 아니었으면 하는 작은 바램을 가져 봅니다.

부산신용보증재단에서 보안 교육에 참석 하신 여러분들께 이자리를 빌어 다시 감사의 말씀을 드립니다. 너무 진지하게 들어 주셨습니다... @엔시스 올림.


개인정보보호법 시행이 점점 다가 오면서 많은 사람들이 개인정보보호에 관심을 많이가지게 됩니다. 물론 지방에서도 많은 관심을 가지게 되는데요. 아무래도 서울에 비해 그 기회나 정보가 적다보니 상대적으로 많이 궁금한 점들이 있습니다.

올 초에 3번에 걸쳐 부산글로벌IT교육센터에서 세미나가 준비되어 있었는데 그중에 2번을 진행 하였습니다. 지난번에는 정보보호관리체계의 이해 에 대하여 특강이 있었으며, 이번에는 "개인정보보호법 제정에 따른 법분석과 대응방안" "사례중심의 개인정보보호"등의 주제로 3시간 동안 진행을 하였습니다.

 

세미나는 7시부터 -10시까지 진행이 되었는데요. 모두들 퇴근후에 오셨지만 정말 수업집중도가 높았습니다. 한분도 졸고 계시는 분이 없었습니다. 사실 , 법관련 문제나 보안일반에 대한 수업은 조금 지루한 면이 없지 않아 있는데, 질문도 많이 해 주시고 그만큼 관심들이 있다는 말씀이겠지요.

분량이 워낙 많은 분량이라. 3시간에 소화해낸다는 것 자체도 쉽지 않더군요.

하물며, 일반적으로 1시간정도 대충 수박 겉핥기 식으로 뜬 구름 잡기식 세미나나 특강은 지양해야 할 것 같습니다. 어차피 질문하고 토론하고 들으러 온거 조금 디테일하게 수강하시는 분들에게 가려운 곳을 긁어 주는게 좋겠습니다.

세미나는 다음과 같은 내용으로 진행이 되었습니다.

• • 개인정보보호법의 배경과 필요성
  • 개인정보보호법의 법체계 (개별법과 개인정보보호법의 관계)
  • 개인정보보호법 시행후 행정체계의 변화
  • 개인정보보보법 주요 조항 분석
  • 개인정보보호법 시행에 따른 우리의 대응방안
  • 개인정보보법 이해
  • 개인정보보법 기술적.관리적 보호조치 대응방안
  • 개인정보보법 솔루션 이해등등
  • 실제 사례를 통한 개인정보보호법 FAQ까지

  
  
  이렇게 진행을 하다보니3시간을 정확하게 진행을 하게 되었습니다. 밤 늦은 시간까지 집중하여 들어주신 분들에게 이 자리를 빌어 감사의 말씀을 드립니다.
  
  무슨 교육이든 새로운 것은 잘 없습니다. 이미 조금 알고 있는 내용이거나 또는 어렴풋하게 아는 내용들이겠지요. 하지만 이러한 자리를 통하여 자신의 제한된 환경과 시간을 만듬으로 인하여 한번 더 확인하고 살펴 보는 자리가 되는 것입니다.
  
  아마도 개인정보보호법이 시행이 된다고 하여도 법조문 전체를 한번 줄 그어가면서 읽어 보시는 분들이 몇분이나 있을지 의문입니다. 사실 딱딱한 법이라 재미도 없지만 세미나나 특강시간에 앉아만 있어도 자주 접하게 되니..머리속에 남게 됩니다..
  
  처음에는 수업중에 PIMS(개인정보보호관리체계)부분도 있었지만 수업에 너무 많은 욕심을 내게 되면 오히려 메세지 전달력이 떨어지고 세미나 참석하신 분들에 집중도도 떨어지고 법 조문도 잘 모르는데, 혹은 개인정보보호 생명주기도 잘 모르는데 관리체계까지 한다는 것은 무리인듯 싶어 (참석자분들을 과소평가 한지도 모르겠지만) 제외하고 진행하였습니다. 다음에 기회가 있으면 마련토록해보겠습니다.
  
  저는 교육에 대한 두가지 원칙을 가지고 있습니다.
  
  1. 남을 가르치는것이 자신이 배우는 것이다. -철저하게 실천하고 있습니다.
  2. 교육은 내가 하고싶은 말을 하는것이 아니라 상대방에 귀에 들리게 말하는 것이 진정한 전달 메세지 이다.  결국 많이 알고 있다고 해서 좋은 교육이 아니라 수강자의 눈높이에 맞게 하나라도 알아갈수 있도록 하는 것이 진정한 교육이라 생각합니다.
  
  저도 퇴근후에 3시간이라는 에너지를 소비했지만 세미나에 대한 준비를 많이 한 만큼 열심히 전달하려고 노력하였고, 자료 준비하면서 많은 공부가 또 되었다는 사실이었습니다.
  
  최근에 정보보호관리체계나 개인정보보호법등 관리적 보안에 관심을 가지면서, 기존에 시스템관리, 네트워크등 인프라 운영에 대한 지식과 경험, 그리고 각종 SIS자격증과 CISSP를 공부하면서 연구한 여러가지 암호학 관련 이론적인 공부들이 전체적인 틀에서 내려다 볼수 있는 관리적인 정보보호체계마련에 많은 도움이 되고 있습니다.
  
  따라서, 한분야에 전문가는  현장에서 떠나지 않고 실무와 이론을 겸비한 사람이 전문가가되는게 아닌가 생각을 해 봅니다. 오랜만에 페이스북에서 뵙던 분도 오프라인에서 만나뵙게 되어 반가웠습니다.  전국중심의 보안 실천에 앞장서고 지방에 보안 활성화를 위하여 더욱 열심히 노력하고 달려가겠습니다. 감사합니다.  @엔시스 .
  
  

요즘에 보내기트위터에 보내기페이스북에 보내기미투데이에 보내기

'Lecture&Comlumn' 카테고리의 다른 글

[e-매거진] 보안인닷컴 e-매거진 [보안人] 2호 발행  (0)	2011/07/06
[강연-27] 정보시스템보안강화 및 사고예방대책 특강 -부산신용보증재단  (0)	2011/06/29
[강연-26] 개인정보보호법 분석과 대응방안 -부산글로벌IT교육센터 특강  (22)	2011/06/19
[강연-25] 부일전자 디자인고등학교 보안 특강  (0)	2011/06/08
보안인닷컴 e-매거진 [보안人] 창간호 발행  (2)	2011/06/01
[칼럼-123] 전국중심보안, 지방이라는 단점을 장점화 한다.  (0)	2011/05/25



                                            <출처: http://www.sistest.kr> 


그동안 홀대를 받던 공인 정보보호전문가 자격증(SIS) 자격증 유 소지자의 몸값이 올라가게 되었다. 최근 보안업계 관계자에 따르면 국가 보안프로젝트 용역 수주 사업을 진행하기 위하여 제안서 (RFP)에 정보보호인력 초급자 자격기준을 (SIS,CISA,CISSP) 소지자로 필수조항이 들어 있기 때문이다.
-D광역시 관제사업

기존의 경우 대부분 초급인력의 경우

• 기존 : 소프트웨어 초급기술자
• 변경 : SIS,CISSP,CISA (필수조항)
  
  관련글 링크 : http://cafe.naver.com/nsis/54489 
  

로 필수조항으로 명시되어 있기 때문에 공공기관의 용역 수주를 하려고 하는 업계에서는 인력확보에 분주하다는 업계의 전언이다. 

그런데 초급인력의 경우 사실 CISA,CISSP 자격을 소지할 가능성이 희박하다.

그 이유는 CISSP나 CISA자격증 시험응시 자격기준이 5년간의 경력을 요하기 때문이다. (물론 4년재 졸업하면 1년 차감)그러니 사업입찰을 위해서는 초급자의 경우 SIS자격증이 필수조항에 있으니 인력수급이 발등에 불이 떨어진 형국이다.

이는 최근 잇따른 보안사건사고로 인하여 보안품질 강화를 반영하려는 공공기관의 의지로도 풀이된다. 보안사건 사고 난 이후에 사건을 파헤쳐 보면 보안담당자가 자격기준이 미달한다든지, 사업수주 용역업체에도 전문자격자가 아니더라든지 하는 기존의 관행에서 벗어나려는 움직임이 포착된것이다.보안업계에서는 공공의 시장에 많이 의존하고 있는 형국이어서 사업수주에 해당 인력을 일일이 찾아 다니면서 수배하고 있다는 전언이다.

국내 최대보안커뮤니티 "보안인닷컴(http://www.boanin.com) 을 운영하고 있는 엔시스님은 "공공기관이 보안품질강화를 위하여 RFP에 필수조항으로 우선 전문인력을 넣은것은 선순환의 구조의 첫걸음이라며, 새로운 여러가지 일자리창출이 되며, 이번에 용역발주한 D광역시가 모범적인 사례가 될것이라며" "앞으로 공공기관 용역수주에서 보안초급자 기준을 필수조항으로 둔다면 많은 사람들이 보안에 관심을 가지게 될것이라며" 반색을 했다.
 
따라서, 보안에 관심이 있고 취업을 원하거나 이직을 하려는 분들은 보안초급자 기준을 충족하기 위한 준비를 미리 해 놓아야 하며, 하반기에 보안관제 업체 지정이라는 커다란 이슈가 있어 수요가 많으것으로 예상된다. 

*혹시 SIS 1급,2급 소지자는 sis@sis.pe.kr 로 메일 주시면 지인으로 부탁으로 바로 취업시켜 드립니다. 사업수주와 상관없이 입사된다고 하네요..급하긴 급만 모양입니다..^^;;

 

오랜만에 '청소년' 대상으로 하는 보안특강을 하였습니다. 작년초에 v3 스쿨에 '안철수 연구소'에서 하고 난 이후에 학생들과는 오랜만에 만남이었습니다.

이번에 특강을 한 '부일전자디자인 고등학교'는 고등학교로서는 국내 처음으로  컴퓨터보안과 특성화 학교로 지정이 되어 시범 운영이 되고 있다고 합니다.  그래서 더 의미가 있고, 준비를 많이 하여 준비를 하였습니다.

특강주제는 학생들이기 때문에 다음과 같이 접근 하였습니다.

 

1. 최신 정보시스템의 보안위협 및 사례

1-1. 정보시스템 사이버 침해사고 동향

1-2 정보시스템 사이버 침해 사고사례

2. 시나리오를 통해 알아보는 해킹공격의 이해

2-1. 웹 해킹 공격(리눅스, 윈도우즈)

-웹쉘 , 패스워드 크랙

3. 보안장비를 통한 해킹 방지 방안

3-1. 방화벽

3-2. 침입탐지

3-3. VPN

3-4. IPS

4. 화이트 해커로서의 정보보안 윤리

어떻게 보면 조금 일상적인 주제일지 몰라도 학생들에게 우선 보안전문가의 로드맵에 대한 이야기를 먼저 잡아주고 왜 학생 여러분들이 보안전문가를 하고 싶은지에 대한 자신의 내면의 물음에 대하여 진지하게 고민할 필요가 있다고 강조를 하였습니다.

그리고 최근 보안이슈에 따른 사례 및 해킹 트렌드와 동영상 시연을 하였습니다. 역시 학생들에게는 비주얼 한것이 관심 집중을 잘 하더군요..그럼 잠시 분위기 좀 보겠습니다.

학생들이 진지하게 바라 볼때, 참 많은 생각들이 교차가 되었습니다. 부디 진정한 보안전문가가 탄생되었으면 하는 바램을 가지게 되었고, 특히 크랙커와 해커 사이에서 도덕적 윤리도 갖추는것이 중요하다는 것과 법의 테두리를 벗어 나지 말것..그리고 영어와 수학등 학교 수업도 충실해야 한다는 이야기도 곁들여 주었습니다.

 

그리고 현장감을 보여 주기 위하여 현재 실무에서 이용되고 있는 보안 솔루션에 대한 이야기를 해 주었으며, 학생들 눈높이에 맞은 안전한 패스워드 관리에 대한 부분을 아주 쉽게 설명을 해 주었습니다. 아마도 가장 잘 전달 된 내용이 아닌가 하는 생각을 하였습니다.

오랜만에 청소년들을 보니 마음이 뿌듯했으며, 향후 보안꿈나무가 탄생하길 기대해 보면서 나름대로 최선을 다해 학생들에게 조금이나마 도움이 되는 시간이었다고 생각이 듭니다. 이자리를 빌어 교감 선생님, 그리고 담당 부장선생님,..또한 특강을 준비하신 차xx선생님에게 감사의 말씀을 드립니다.

*에피소드 한가지.
특강의 현장감을 주기 위하여 패스워드 크랙하는 시연을 보이려고 미리 원격지 서버에 크랙시연을 준비하였지만 학교 내부 보안정책 때문에 원격지 서버가 접속이 되지 않는 바람에 그냥 말로 때웠다는...^^;; 준비 많이 했는데..시연은 못했지만 보안은 잘 되어 있다는 이야기겠죠.

제가 운영하는 보안인닷컴 커뮤니티에서 [보안人]이라는 e-매거진을 만들었습니다. 매거진이라 해 봐야 기존 매거진 형태가 아닌 오히려 솔직 담백하고 아마추어적인 컨셉입니다..대신에 기존 매체에 대한 높은 문턱을 낮추고 누구나 보안에 대한 이야기이면 목소리를 낼수 있는 이야기를 담고자 하였습니다.  앞으로 많은 응원과 격려 부탁드립니다... 회원 중심의 이야기로 펼쳐 나갈 예정입니다.

보안인닷컴 e-매거진 [보안人] 다운로드  --> http://cafe.naver.com/nsis/54033  

세상에는 장점과 단점이 있다.  누구나 장점을 부각시키고 단점을 보완하려 한다. 자기계발 책을 읽더라도 여러가지 설이 나오는데, 단점을 보완 하기 보다는 장점을 더 개발 하라고 많이들 언급한다.  하지만 스스로 변할수 있는 것이라면 어느정도 변화를 시도 하지만 외부적 환경 요인이라면 쉽지 않은게 현실이다.

전국중심의 보안, 원년의 해로 삼을터

필자는 부산에서 거주 하고 있다. 나름 제2의 도시라고는 하지만 늘 수도권 서울만큼이야 하겠는가? 최근 보안의 중요성으로 대두되면서 여기저기서 많은 말로만 하는 정책을 쏟아 내고 있는데 과연 얼마나 실효성이 있는지를 되 묻고 싶다.

지난번에 얼핏 말했지만,

"쇠사슬의 강도는 연결고리와 같다" 고 말한 어느 신문기사에서 처럼 , 수도권에서 아무리 보안철저히 하여도 다른 곳에서 취약한 부분이 발생하면 전체가 타격을 입는 것은 누차 반복적으로 되풀이 되어 왔다. 그렇다면 역으로 한번 생각해 보자. 지방이기에 보안에 대한 정보의 기회와 세미나, 그냥 이차저차 서울에서 논의 되기만 하면 지방으로 하달 하는 수직적 구조는 이제는 더 이상 발전 가능성이 없다. 그것을 더 장점화하여 만들어 보자. 비록 미진한 힘일지라도.

그 이유는 다음과 같다.

• 쇼셜네트워크의 진화
• 교통의 편리
• 수도권의 집중화 등등

1) SNS가 발달 되면서 이제는 더 이상 수직적 구조나 폐쇄적인 구조를 가질 수 없게 되었다. 그것이 지식이든 , 상품이던 ,서비스이던 말이다. 1분안에 미국에서 무슨 일이 있는지를 실시간으로 알게 되고 이제는 더 이상 물리적인 제약은 사이버 공간에서는 무의미 해 졌다는 것이다.

2) 교통이 편리 해지면서 서울 부산이 KTX로 2시간30분이면 도달 한다. 물론 20-30분 더 걸리기도 하지만 아무튼 3시간이면 부산에서 서울을 갈 수 있다는것이다. 이것은 무엇을 의미하는 것일까?

     2.1) 수도권의 입지적인 측면 : 수도권에서 지방으로 출장을 가거나 업무를 가라고 한다면 선듯 나서지 않게 된다. 왜냐 하면 지방으로의 이동을 문화와 교통, 그리고 수도권에서 누릴수 있는 혜택이 지방으로 감으로 인하여 부족함을 잘 아니까. 물론 일탈은 있을것이지만 잦은 출장을 지방으로 가라고 한다면 당신이면 가겠는가?
            
     2.2) 지방의 입지적인 측면: 지방에서 서울로 출장을 가라고 하는 것은 대부분 서울에서 최신 정보를 얻기 위한 수단으로 삼는 경우가 많다. 그렇기에 서울로 업무차 출장 가는것이 자신이 발전하는데에는 굳이 마이너스 요인이 되는 것이 아니라는 것이다. 어쩌라 먹고 살려면 최신 정보를 오프에서 만나서 들어야 하니...


3) 수도권 과밀화와 집중화는 풀어야할 숙제이다. 그만큼 경쟁 상대도 많다는 것이다. 정보보호업체의 90%가 서울에 포진    하고 있고, 지역은 대리점형태나 채널사로 전락하여 스스로의 시장을 창출해 내지 못하고 있는 실정이다.


낙후될수록 모멘텀이 더 많아, 단점을 장점으로 승화할터

언제나 부족한 환경 때문에 안타까울 때가 많이 있었다. 그래서 대외적인 활동을 많이 하는 측면도 있고, 온라인을 통하여 여러가지 의견을 쏟아내고 공감을 이끌어 내고 합심하고 집단지성을 이용하려고 리드 하고 있기도 하다. 늘 단점속에 하소연 하기엔 시간이 너무 아깝다라는 생각이 있기에 용기를 내어 본다.  부동산 재테크시에 앞으로 발전 가능성이 있는 모멘텀이 있을때 값이 올라간다.  작년과 올해 부산시 사상구가 집값이 가장 많이 올랐다. 그 이유는 10년동안 집값이 그대로 였기 때문에 그만큼 낮았고, 단점을 가지고 있었으나 발전 가능성이 있는 경전철부터 여러가지 변수가 바뀌었다.

마찬가지로, 보안의 지방화 전멸에 있어서 , 하나씩 하나씩 지방이라는 단점을 이제는 장점으로 승화 시켜 네트워킹화 해 간다면 오히려 블루오션이라 생각을 한다. 사람은 마음 먹기에 딸렸다. 비록 힘든 일이지만 더 노력하고 의미있는 일로 개선시키고 준비하고 발전해 나간다면 언젠가는 꼭 그 보답이 돌아 오리라 생각을 한다. 오늘 그런 느낌이 더욱 와 닿고 더 뛰어야 겠다는 생각을 블로그에 녹여 본다.  지방의 보안 무지로부터 탈출시켜 전국민 보안마인드 업데이트를 시킬 것이다.
@엔시스.,

안녕하세요. 엔시스입니다. 그동안 블로그와 보안인닷컴에 관심갖어 주신 여러분들에게 감사의 말씀을 드립니다. 보안인닷컴은 "보안인식제고, 보안마인드 향상" 과 "전국 중심 보안"을 알리려 노력 하고 있습니다. 그만큼 보안에 관심 있는 분들과 일반인들로 하여금 보안의 중요성을 알리고 있습니다.

 늘 24시간 대기해야 하고, 명절에도 비상대기해야 하고, 사명감 없으면 절대 할수 없는 부분이기도 합니다. 보안업계에 종사하고, 힘들게 사명감 없으면 할수 없는 그런분들에게 힘과 용기를 일깨워 주는 차원에서 시작한 프로젝트입니다.

그 첫번째 프로젝트 중에  신인가수 싱어송 라이터인 "소원석"씨의 "눈물이 펑펑"을  개사하여 녹음을 직접 해 주셨습니다. 국내의 보안에 대한 중요성을 알리고자 도와 주신 "소원석"님에게 감사의 말을 드리겠습니다. ^^;;

개사는 제가 직접하였는데 쉽지 않더군요...부족하더라도 용기를 붇돋아 주는 차원에서 또는 보안의 중요성을 널리 알리는 차원이기 때문에 맞은 응원과 성원 바라겠습니다.

<보안인송>

                                                                  작(개)사: 전주현

보안인 닷컴,  어렵기만 하다는 그런 오해 제발 하지 말아요

어렵게 생각한 보안이 라도 이젠 해야하니까

보안인 닷컴,  힘들어 보인다는 그런 슬픈 말은 하지 말아요

보안을 향해 갔던 내 삶이 갈 곳이 없으니까

보안을 점점 알려

소중하고 소중한 주민번호 이제 나를 떠나갔죠

하지만 괜찮아요 보안인 이있으니

가끔 힘들고 지쳐 외우울땐 그대만을 생각하면서

외쳐요 그리고 즐겨요 소중한 내 정보 지켜냈기에

보안인 닷컴 어렵기만 하다는 그런 오해 제발 하지 말아요

어렵게 생각한 보안이라도 이젠 해야하니까

보안인 닷컴 힘들어 보인다는 그런 슬픈 말은 하지 말아요

보안을 향해 갔던 내 삶이 갈 곳이 없으니까

보안을 점점 알려


일부 중간에 코러스 부분에 원곡에 썼던 코러스가 들어가서 살짝 (?) 들리기도 하네요..ㅎㅎ

 
그리고 보안에 대하여 널리 널리 알려 주시고,  혹시 궁금해 하실 분들은 원곡의 "눈물이 펑펑" 곡도 한번 들어 봐 주시면 좋겠네요.. 늘 주위에서 도와 주시는 분들이 있어 , 국내 보안 발전에 이바지 할 수 있는 듯 합니다.

요즘 국내 사건사고 때문에 분위기 쇄신 차원에서도 힘내시고 더욱 보안역량 강화와 용기 내었으면 좋겠습니다.
보안인 화이팅입니다.. 들어 보니까 재미있네요...^^  @엔시스.

* 들어보시고, 괜찮다고 생각하시는 분들은 첨부한 mp3 파일을 메일을 남기면 보내드리겠습니다.

 

 

개인정보보호법 시행되면 파파라치 활개 치지 않을까?

법의 준거성 측면에서 법의 준수 여부를 가지는 성질이다보니 앞으로는 개인정보취급방침이나 개인정보 저장 , 열람과 수정권 등 ..각종 여러가지 혼란스러운 부분들이 발생 할 수 있습니다. 이러한 사항들만 골라서 신고하는 파파라치들도 나타나지 않을까 우려가 됩니다.
 
이러한 부분을 최대한 방지하기 위해서는 다양한 보완책을 마련하여  업종별, 산업규모별, 베스트프랙티스를 만들어 인식 전파에 최선의 노력을 다해야 할 것입니다. 불합리한 것이 있으면 개정을 통하여 수정하고 법이라고 해서 반드시 법이 옳다고는 할 수 없습니다. 하지만 대부분 무관심이 불러오는 것은 또 다른 구속으로 다가 올 것입니다.

따라서, 많은 관심과 국가기관과 업계, 그리고 산학협력등에서 조기 정착을 할 수 있도록 다 같이 노력하고 힘써 개인정보보호법제정의 취지와 의미를 꼭 되살려야 하겠습니다.  @엔시스.

개인정보보호법 관련 포스팅

2011/03/09 - [Privacy Security] - [보안칼럼] 개인정보보호법 법사위 통과의 의의와 배경
2011/01/17 - [Privacy Security] - 개인정보 출력, 복사물 관련 보호조치 완화돼~~
2010/09/30 - [Privacy Security] - '개인정보보호법' 통과의 의미와 향후 방향
2010/08/08 - [Privacy Security] - 개인정보보호법통과와 개인정보보호 감독 독립기구 설립 시급해
2010/04/11 - [Privacy Security] - [개인정보보호법] 제정으로 현재와 달라지는 점
2009/04/20 - [Privacy Security] - 우리동네에서 사업하는 삼촌, 개인정보보호 소홀로 처벌받을수 있어

*전주현의 개인정보보호길라잡이 : http://www.privacyguide.co.kr

출처: 한국인터넷진흥원



상위 랭킹 10위까지 전부 특정 개인에 대한 정보를 수집하고 조합을 하면 어느정도 일명 "신상털기"가 가는 하겠군요. 스스로 절재 할수 있는 방법이 있어야 하는데 , 자신이 전혀 웹을 사용하지 않고 살아간다면 모를까, 사실 일부는 감수해야 하는 경우도 있겠습니다.

하지만 스스로 최대한 개인스스로 자신의 정보를 잘 컨트롤 할 수 있는 마인드 컨트롤이 필요한 것은 분명합니다. 특히 스마트폰과 SNS의 연계에 따른 비(非)보안인들의 여러가지 역기능에 대한 문제점은 아마도 사회 곳곳에서 표출되지 않을까 생각이 듭니다. 아무튼 조심 하시죠 !!  @엔시스.

                                                                                  www.boanin.com 

" 보안은 비지니스다"  " 보안은 경영과 함께 한다"  "보안이 안된 기업은 하루 아침에 퇴출될 수있다"

이러한 보안에 대한 중요성을 일일이 열거 하지 않더라도 아직도 대한민국 정보보호의 수준은 미흡하기만 합니다. 그것은 빠른 성장과 기술의 발전으로 미쳐 사람의 인식이 변화 되지 않고 있기 때문입니다. 관련 분야에서는 보안이 중요하다고 외치고는 있지만 정작 경험해 보지 않고서는 인식의 변화는 쉽게 바꾸어지지 않습니다.

그 중심에는 조직의 최고 의사결정자인 CEO의 정보보호에 대한 마인드에 있습니다. 중요한 것은 알지만 그러나 쉽게 투자 하지 않는...늘 우선순위에서 밀려버리는 .....그리고 담당 업무 실무자도 정보보호에 대한 성과를 수치로 나타내지 못해 자신의 업무를 잘 하고  있음에도 성과가 드러나지 않는..

어쩌다 한번 정보 유출 사고가 난다면 실무담당자 처벌은 점점 강화되고 강력해지지만 보안을 담당하는 담당자들의 처후나 복지는 아직도 열악하기만 합니다. 새로 제정이 되려는 개인정보보호법에는 양벌규정도 있습니다. 담당자와 CEO가 함께 처벌 되는것이지요. 그러니 이제는 신경 좀 쓰셔야 합니다.

대한민국 CEO 여러분 ~~

감히 보안에 투자 하라고 말씀 드리겠습니다. 주제 넘지만  사업의 성장에만 주력을 하다보면 결국 내부에 집안 단속을 잘 못해 하루 아침에 사업에 커다란 위협이 될 수있습니다. 이러한 사항은 아마도 조직 내부에서 일어나는 것을 본다면 많은 공감을 하리라 생각합니다.
 

최고 의사결정 하시는 분이 정보보호에 대한 마인드를 조금이라도 더 가지고 대내외적인 부분을 신경을 쓴다면,  그것은 더 나은 조직에 발전을 가져 올 것입니다. 또한 그 기업에 대한 고객의 신뢰도도 더 높아질 것입니다.

그러한 대안중에 하나가 조직 경영과 밀접하게 접목 할수 있는 정보보호관리체계를 수립해 보시길 권해 드립니다. 정보보호수준제고를 하더라도 주먹구구식에서 빠져 나와 이제는 조직의 보안정책 수립과 자산의 식별, 그리고 위험도 산정을 통하여 자산의 중요성이 높은 것부터 위협으로부터 보호하는 위험관리가 되어야 하는 것입니다.

제가 알고 있는 지인분들 중에서 올해 ISMS 인증심사를 준비중인 분들이 몇분 계시는 듯합니다. 물론 정보의 중요성도 알고 보호적인 측면도 알지만 무엇보다 의사결정자의 마음을 열게 하는 것은 비용이 아닐까 생각합니다.  그 비용에 대한 부분이 문턱이 많이 낮아진게 아닌가 하는 생각을 합니다.  한국인터넷진흥원 홈페이지에서 한번 찾아 보았습니다.

                                                   <출처:  한국인터넷진흥원 홈페이지 >


위 사항을 보면 조직의 규모나 심사범위에 따라 다르겠지만 평균 700만원 정도 소요된다고 게시하고 있습니다. 이는 1회성이 아닌 3년동안 갱신 되는 사후관리 심사까지 포함한 금액이라는 것입니다..

또한 할인혜택이 많이 주어지고 있는데요...눈에 띄는 것이  위 빨간 네모안에 내용입니다. 상시 근로자수 50명 미만 또는 매출액 50억 미만으로 인정된사업자는 50% 할인 해 준다네요..

자...그러면 조금 욕심이 생기지 않나요?  평균 700만원에 50% 할인이면 350만원 정도 될것입니다. 해당기관에서 상당히 문턱을 낮춘 금액이라 생각이 듭니다. 정보보호관리체계를 수립하고 인증을 받는데 이 정도 금액이면 그리 비싼 금액은 아니라는 생각이 듭니다. 충분히 보안에 투자할 가치가 있다고 생각이 드네요.

하지만 가장 큰 문제는 해당 조직에서  ISMS 인증심사를 준비를 하기 위한 인력이나 스스로 준비를 할 수있는가에 대한문제입니다. 그러다 보니 컨설팅 업체에 도움을 받게 되는데 이 금액이 아마도 더 들어가지 않은가 싶네요..

앞으로 정보보호관리체계(ISMS ) 업무를 담당 할 수 있는 인력을 적극 배출해 내는 것이 주요 관건이라 하겠습니다. 물론 관련 업계는 이러한 컨설팅을 통하여 수익을 창출 하겠지만 근본적인 목적은 최초에는 컨설팅 도움을 받겠지만 그 이후에는 스스로 유지 관리 할 수있는 능력을 길러야 한다는 것입니다. 실무 담당자분들도 ISMS에 대해 연구할 수 있는 기회마련도 되어야 합니다. 이젠 체계적인 정보보호관리가 필요하다는 것입니다.

여러분 기업의 고객에게 신뢰를 주고 싶습니까?
그럼 정보보호관리체계 수립을 한번 계획해 보시기 바랍니다. 350만원이라는 금액이 많으면 많을수 있고, 어쩌다 영업을 위한 골프접대, 술접대보다는 고객에게 기업의 신뢰를 줄 수 있는 정보보호관리체계(ISMS)와 개인정보보호 관리체계(PIMS)에 투자하는 것이 더 효율적이지 않을까요? 뭐..제가 해당소속 기관에 있는 사람도 아니고 광고 하는것도 아니지만 단지 보안인식제고를 함께 하자는데 지금까지는 일반인상대, 보안실무자 상대였지만 오늘은 CEO분들을 상대로 글로써 표현하기에 이렇게 목소리 높여 외치게 되네요

대한민국 CEO 여러분 ~~

이젠 조직의 자산에 대한 보호와 고객의 정보인 개인정보를 보호하는데 투자를 아끼지 말아야 합니다. 곧 2월에 있으면 개인정보보호법 통과를 앞두고 관련 업계 및 관련 기관에서 상당히 준비를 많이 하고 있습니다. 실제 시행을 하기까지는 다소 시간이 걸리겠지만 미리 준비해 두시는게 좋겠습니다.

그 의지는 정보보호담당자가 아닌 바로 조직의 의사결정자인 CEO분들에게 있다는 사실을 기억하셔야 합니다. 아무리 실무담당자가 건의를 하고, 애로사항을 호소하여도 그대로 무시해 버린다면 양치기 소년이 될 것입니다. 그땐 진짜 해킹과 위협이 왔을땐 속수 무책이 될 것은 당연한 것입니다.

비록, 저는 네이버에서 보안 커뮤니티 보안인닷컴(http://www.boanin.com) 을 통하여 일반인들과 보안관련 그리고 비보안하시는 분들에게 보안인식제고를 외치고 있지만, 오늘은 감히 대한민국 ceo분들에게 당부에 말씀을 제 블로그을 통하여 한번 포스팅 해 보았습니다. 너무 주제 넘은게 아닌가 하는 생각도 해 보지만, CEO분들이니 너그러이 용서해 줄것으로 생각하며 포스팅을 마감해 봅니다. 이거 너무 오지랖이 넓은건지 보안에 대한 열정이 있는건지 이젠 저도 잘 모르겠네요..ㅎㅎ 
 @ 보안강국이 되는 그날까지 ~~

관리체계를 수립하고 최종 KISA에서 인증하는 인증심사를 통과를 해야만 인증서가 발급이 됩니다. 제3자의 외부 전문가의 객관적 시각을 통하여 점검을 해 보는 것이죠.

인증 심사에서 주로 심사하는 관점은 3가지로 정리가 될 수 있습니다.

• 관리과정의 적절성 - 관리과정의 전반적인 적절성과 체계성을 심사.
• 위험관리 - 위험관리를 통하여 선택된 정보보호대책들이 정확히 구현 되고 사후 관리가 되었는지를 심사.
• 법의 준거성 - 관리체계 수립시 관련 법률과 제도에 근거한 법의 준거성 측면에서 심사.

아마도 이러한 3가지 측면에서 인증심사를 진행 하게 됩니다. 특히 관리체계의 적적성이란 전문가들 사이에 의견도 달라지고 환경 변화에 따라 변할수 있기 때문에 , 관리체계를 위한 적절한 조직,절차, 방법들이 사용되고 이들이 체계적으로 관리되는지를 보는 것이죠.

따라서, 인증심사시 허점을 찾아내기 보다 전체적인 틀과 운영상태를 중요하게 심사하게 되고, 단기적, 중기적 , 장기적 마스터 플랜을 세워 어떻게 체계적으로 관리해 나갈 것인가에 대한 의지도 중요한 포인트 중에 하나일 것입니다.

예를들어 전산실의 물리적 보호조치가 미흡하여 결함사항이 도출이 되었다고 하면 , 이미 해당년도 예산은 결정이 되어 있고 , 당장 투입할 예산이 없는데도 결함사항을 주어 그것을 보완조치하라는 것은  피 인증 심사기관으로도 힘든 부분일 것입니다.

이럴땐 실무담당자에게 중장기적인 계획을 수립하는 방안을 검토하게끔 조언을 주고 차년도 사후관리 심사시에 적용될 수있는 방안을 권고를 하고 차후 사후관리 심사시에는 반드시 이행 여부를 확인하여 , 보안 관리를 점점 강화해 나갈수 있도록 하는 것이 관리체계의 근본적인 취지일 것입니다. 또한 그것이 심사원의 심사 스킬이 아닌가 생각을 해 봅니다.

무조건 허점을 찾아 단기간 보완조치 하기 힘든 것을 결함을 준다면 실무 담당자는 오히려 더 힘들게 할 수도 있고 관리체계의 어려움을 호소 할 수 있기에 , 그 취지에 벗어날 수 있지 않는가 하는 생각도 해 봅니다.

예외는 있습니다. 실무 담당자가 의사결정자에게 관리체계의 외부 심사원으로부터 심사를 받고 결함을 도출하여 힘을 실리게끔 지원 사격을 원하는 경우가 있습니다. 이럴땐 의사결정자의 마음을 움직여야 함으로 종료보고회의때 실무담당자에 힘도 실어주고 의사결정자의 정보보호에 대한 인식제고도 시킬 겸 적절하게 수위 조절 하여 긴급 보완조치를 취하여야 한다는 당위성을 설명해 주는 것도 좋은 방법중에 하나라 생각합니다.

어떠한 경우 동일한 사업장에 인증심사를 나가보면 작년보다는 올해에 위험관리가 잘 되어 있어 그 취약점을 점점 제거해 나가고 보안이 강화되는 것을 보면 인증심사원으로서는 뿌뜻함을 느끼게 되는 경험도 느끼게 됩니다.  @엔시스.

 

정보보호관리체계(이하 ISMS )란? 조직이나 기업에서 ISMS인증기준 체크리스트에 부합하는 15개 통제 도메인에 얼마나 부합하는지를 인증하는 관리적 보안의 주요 관리체계중에 하나로, 지난 2002년 부터 작년까지 사후 관리 심사를 받아야만 하는 기업이 71개 기업에 달한다.

이러한 사후관리 심사는 KISA에서 해야 하지만 심사인력의 한계로 외부심사원을 활용하여 심사를 추친하려고 하는 것이다. ISMS인증심사를 인증을 지속적으로 유지하기 위해선 매년 1회 사후관리 심사를 받아야 한다.

올해 사후관리심사 용역발주 주요 내용을 살펴 보겠습니다.

1. ISMS 인증심사 PM 양성교육

정보보호의 중요성이 날로 커지고 기업에서도 ISMS 인증심사에 대한 필요성을 인지하다보니 인증심사를 하는 심사팀장 즉 PM의 역량을 강화시키고, 정보보호관리체계의 실질적 PM으로 자질 확보가 중요하기에 시행하는게 아닌가 생각이 드네요.
상당히 고무적인 사항이고, 해당 PM Pool 을 형성하여 보다 다양한 인력을 활용하면 인증심사원의 자질 향상과 각자 노하우와 경험을 잘 활용할 수 있는 기회로 작용하지 않을까 하는 생각이 듭니다.

특히 인증심사는 심사원의 심사스킬도 중요한 부분이라 생각이 듭니다. 다양한 환경과 변화에 있는 부분을 어떻게 피 심사업체에게 잘 설명하면서 매끄럽게 진행 하는가에 대한 역량도 심사팀장의 역할이며, 인증심사원을 잘 리드해 나가고 isms인증심사의 품질을 높일수 있도록 역할을 다해야 하는 역량이 중요한 핵심일 것입니다. 이러한 것은 꼭 심사팀장 뿐만아니라 참여 심사원도 많은 참여를 통하여 스스로 자기역량 강화에 노력을 해야 할 것입니다. 

간단하게 언급해 보자면 이런게 아닐까 하는 생각이 드네요. 실제 제가 참여 할때 하는 방법이기도 합니다. 아직까지 경험이 많지 않아 부족하지만 열심히 노력 중에 있습니다.

아래 포스팅 참고 하시구요.

2009/09/22 - [Security ISMS] - 정보보호관리체계(ISMS) 인증심사는 어떻게 진행될까?

• 심사원은 인증심사전에 피 심사기업에 대하여 한번쯤 조사를 해 본다. - 사전에 피 심사기관이 어떠한 사업을 하고 있으며 비니지스 모델은 어떤 것이며, 대략적인 무엇을 하는 회사인지를 알고 가면 좋겠습니다. 또한 연혁이나 사업분야를 홈페이지등에서 참고 하면 좋겠지요.
• ISMS 인증심사기준을 한번씩 읽어 보고 가라 - 저의 경우에는 ISMS 인증심사기준표에 나와 있는 심사기준을 한번씩 전부 그 전날에 읽어 보고 갑니다. 그래야 인증심사 업무시 바로 적용 가능하기 때문이고, 심사를 많이 하신 분들은 이미 어느정도 머리속에 있지만 그렇지 못한 분들은 꼭 기억하시고 한번씩 준비하시고 참여 하는게 좋겠습니다.
• 보다 폭 넓은 지식과 연구를 하라 - 보통 심사를 하게 되면 한 사람이 모든 것을 심사 할 수는 없지요. 따라서 몇번 참여 한 사람은 조금 다양한 부분을 맡아서 하면 좋을 듯합니다. 그래야 심사팀장이 되었을때 전체적으로 큰 그림을 그릴수 있지 않을까 생각이 듭니다. 자신의 업무가 인프라 관련된 부분이라고 매번 운영관리쪽만 하면 심사는 쉽겠지만 발전은 없을듯 합니다.
• 선배 심사원의 심사스킬을 배운다 - 아무래도 많은 참여 경험이 있는 심사원의 심사스킬을 조금씩 배우는 것도 좋겠습니다. 심사원분들 중에서 경험과 지식이 많으신 분들이 많이 알려 주시기도 하죠.
• 결함보고서 작성 연습 - 가상의 결함 보고서 작성을 많이 연습해 보면 심사팀장의 부담을 줄여 줄수 있고, 결국 결함보고서의 내용으로 결함을 도출 해 내기에 성의 있고, 깔끔한 작성과 해결 방안을 적절하게 제시하면서 작성하는 방법을 찾으면 좋겠습니다. 저도 많이 노력해야겠습니다.
  

기타 여러가지가 있지만 추후 더욱 많은 경험이 생기면 다시 한번 정리해 보도록 하겠습니다.

2. 웹 모의진단 및 주요 시스템 취약점 점검 수행

작년에 비해 용역단가가 올라 갔기 때문에 요구하는 사항도 조금 늘지 않았나 생각이 듭니다. 실제 owasp 2010 10대 취약성을 이용한 모의진단 및 주요 시스템 취약성 점검을 요구 하고 있습니다. 취약점 진단을 따로 수행 진행 해야 하기 때문에 전담 인력이 있는 업체가 있으면 유리 하겠군요..


3. 객관적이고 전문화된 사후관리 심사 수행





3단계에 걸쳐 SOP를 제시 할수 있어야 겠습니다. 아마도 이러한 부분은 기존에 많은 사후관리 심사를 해본 업체가 유리 하지 않을까 하는 생각이 드는데요. 아무튼, 가장 중요한 부분이겠지요. 특히 이러한 3단계 진행을 잘 하려면 심사경험이 풍부하고 심사팀장이 역량이 뛰어나면 훨씬 수훨하게 진행이 되지 않을까 싶네요.. 심사원과 심사팀장의 실질적인 심사비도 현실화가 되는지 모르겠네요.


다음은 사후관리심사 대상 업체 현황입니다.

* 사후관리심사업체 현황



현황을 보니 주로 10월과 11월에 집중적으로 분포 되어 있네요. 1년중 가장 많은 업무가 있는 시기이기도 하겠지요. 이러한 사항을 고려 한다면 혹시 ISMS 인증심사 인증을  준비하시는 분들은 2/4분기에 준비하면 조금 넉넉하게 심사 받을 수 있지 않을까 싶네요. 아무래도 바쁜 시기에는 그만큼 서로가 힘든 부분이 있겠지요.



통신업체와 정보보호업체로 구성되어 있습니다. 2월에도 제법 많이 분포되어 있네요..일정이 빠르게 진행이 될 듯 싶네요..




원격 대학으로 17개 대상 학교가 되어 있습니다.  가군, 나군, 다군으로 분류되어 있어 인증심사시에 공정성과 객관성을 유지하고 있으며, 71개 대상 기업을 심사한다는게 쉽지는 않을 듯 합니다. 여러 팀에서 동시에 높은 품질을 보장하는 심사가 이루어진다면 별 무리가 없겠지만 그렇지 않을 경우에는 심사적체가 생길 수 있겠습니다. 이러한 사항을 용역 보고서에서 해소 할 수 있도록 요구 하고 있습니다.


4. 사후관리 심사팀 구성원칙

-심사팀은 심사팀장 1명, 심사원 1명, 심사원보 1명 총 3명으로 구성 심사팀장 이외의 심사원 295명은 인증심사원 중에서 KISA가 선정가 기본원칙이구 기업 규모에 따라 변경 가능 하게 되어 있습니다.

-심사수수료는 "KISA  인증업무지침" 준용하여 (심사원 30만원 이상, 심사원보 :20만원 이상) - 심사수수료 올랐죠?
- 최근 2년 동안 사후관리 대상 기업에 정보보호컨설팅에 참여한 경력이 있는 심사원은 구성에서 제외


5. 컨소시엄 구성이 가능 - PM교육, 사후관리심사진행, 취약성점검 진행


작년에 비해 용역단가는 올라가고 조금은 체계적이고 , 인증심사원을 적극 활용하는 방안으로 용역이 발주 된듯 합니다. 관리적 보안 특히 , 정보보호관리체계(ISMS)는 수립과 인증은 아무나 할 수 있는 것이 아닌, 업계 경력과 노하우 그리고 각종 인프라에 대한 경험이 어울어져 주어진 체크리스트에 얼마나 부합하는지를 심사하는것으로써 정보보호전문기관인 KISA를 대변하여 인증심사를 할 수 있는 역량 있는 인력을 요구 할 듯 합니다. 개인적으로는 저도 많은 관심을 가지고 있으며, 아직 부족하지만 , 심사스킬도 높이도록 노력을 해야겠습니다. 기술적 보안도 중요하고 , 시큐어코딩이나 개발도 중요하지만 큰 틀에서 보안을 생각할 수 있는 좋은 기회인 듯 합니다. 나름 보안전문가로서 큰 로드맵과 기업의 의사결정자로 하여금 정보보호의 인식제고 및 중요성을 알리는 것 중에 하나라고 생각이 듭니다. 역량 있는 기업이 많이 입찰하여 국내 ISMS 제도 정착에 이바지 하였으면 하는 바램을 갖어 봅니다.

첨부파일  : ISMS 사후관리심사 진행 용역발주서(RFP)

제안요청서(정보보호관리체계(ISMS)인증취득.hwp