엔시스의 정보보호(보안) 따라잡기

                                                         다운로드                                            
     

오늘은 개인정보보호법과 정보통신망법 사이에서 차이점 중에 중요한 부분이 있어 함께 논의하고자 포스팅 해 봅니다. 그 주요 핵심 사항은 "정기자체감사"에 대한 부분인데요..

                         <그림-1 출처: 전주현개인정보보호따라잡기: http://cafe.naver.com/privacyguide >


위 커뮤니티에서 다니엘초이라는 닉네임을 사용하시는 분께서 의문을 제기해 주셨습니다. 그럼 한번 살펴 보도록 하겠습니다.

주요내용은 "정보통신망법"과 "개인정보보호법"에 있어서 내부관리계획 수립.시행에 대한부분이 있습니다. 그 내용을 살펴보면 위 <그림-1>과 같습니다.

즉,

정보통신망법에는 정기적자체감사에 대한 사항이 명시적으로 나타난 반면에 개인정보보호법에는  정기적 자체감사에 대한 부분이 누락되어 있다는 것입니다.

그럼 무엇이 문제인가?

정기적인 자체감사


이러한 측면에서 "정보통신망법"에서 제시하고 있는 정기자체감사 부분이 "개인정보보호법"에는 누락되었다는 것은 일반법과 특별법 사이에서 서로가 뒤 바뀌어진 형세가 됩니다. 즉, 특별법에 누락된 것은 일반법인 개인정보보호법이 적용되는 논리로 개인정보보호에 대한 법 시행이 되고 있는데, 일반법에서 정기자체감사가 누락되는 것은 안될것이며 고시개정이 이루어져야 겠습니다.

혹시 본 포스팅을 보고 계시는 정부관계자분이 있으시면 확인 부탁드리겠습니다. 혹시 잘못 알고 있는 부분이 있다면 해명을 해 주시면 감사하겠습니다.

다시한번 의문을 제기해 주신 다니엘초이님에게 감사의 말씀을 드리면서 법률적 하자나 개정이 필요한 부분은 지속적으로 모니터링하여 개인정보보호에 대한 법 조기정착 및 혼란 방지를 위하여 올 바른 법 시행이 되도록 관심을 가지겠습니다.  의견 있으신 분들은 댓글 환영 합니다.  @엔시스.

[CES2012] 아카마이, 온라인 엔터테인먼트 업계 지원하는 HD 네트워크 발표 (디지털데일리)
http://www.ddaily.co.kr/news/news_view.php?uid=86636

아카마이(www.akamai.com)가 11일(현지시각) 라스베이거스에서 열리는 ‘CES(소비자가전 전시회) 2012’에서 빠르게 진화하는 온라인 엔터테인먼트 업계를 위한 차세대 방송 솔루션인 ‘아카마이 HD 네트워크’를 발표했다. 아카마이의 핵심 솔루션인 인텔리전트 플랫폼상에 구축돼 있는 HD 네트워크는 점차 확대되고 있는 커넥티드 디바이스에 대한 수익 창출 기회를 넓히고, 비즈니스 모델을 유연하게 확장 지원한다. 또 워크플로우를 간소화하고 보안 문제까지도 해결할 수 있다.

아마존 클라우드, 전년대비 매출 2배 ‘껑충’ (디지털데일리)
http://www.ddaily.co.kr/news/news_view.php?uid=86482

아마존의 클라우드 컴퓨팅 서비스인 ‘아마존웹서비스(AWS)’의 지난해 매출이 약 2배 이상 늘어난 것으로 알려졌다. 주요 외신에 따르면, AWS는 2010년 5억 달러의 매출을 달성했던 것에 비해 2011년에는 이보다 2배 이상 늘어난 약 10억 달러 이상 매출을 기록한 것으로 나타났다. 이와 관련, 회사 측은 AWS의 구체적인 매출을 밝히고 있지 않다. 다만 AWS는 기타(others)로 분류되고 있다.

피어링포탈, 세계 최초 모바일 그리드 딜리버리 솔루션 개발 (전자신문)
http://www.etnews.com/201201120141

토털 그리드 딜리버리 서비스 선두업체 피어링포탈 (대표 한봉우 www.peeringportal.com)은 세계 최초로 '모바일 그리드 딜리버리 솔루션'(Mobile Grid Delivery Solution)을 개발했다고 밝혔다. 피어링포탈이 개발한 모바일 그리드 딜리버리 솔루션은 모바일 기기에 적용한 가장 효율적인 멀티미디어 데이터 전송 솔루션이다. 사용자가 콘텐츠 이용자인 동시에 제공자가 되는 이 기술은 서비스 사업자의 서버 및 네트워크 비용을 크게 줄여주면서도 데이터 트래픽을 50% 이상 절감할 수 있는 것이 특징이다.

지상파, 통합플랫폼 합작사 설립 초읽기 (전자신문)
http://www.etnews.com/201201060149

한국판 '훌루' 서비스를 위한 지상파방송 합작사 설립이 초읽기에 들어갔다. 6일 업계에 따르면 MBC•SBS는 이르면 이번 주 중 50:50 지분을 투자해 합작사 설립을 발표하고 통합 플랫폼을 운영할 계획이다. KBS는 지분 투자는 하지 않고 콘텐츠 공급만 협의 중이다. 합작사에서는 '푹(pooq)' '고릴라' 'K플레이어'로 나뉘어 있던 N스크린 서비스를 한데 모아 공동으로 송출한다.

삼성-아마존, 콘텐츠 클라우드 발 맞춘다...'울트라바이올렛' 도입 (전자신문)
http://www.etnews.com/201201120124

삼성전자와 아마존이 클라우드 시장에서 또 한 번 발을 맞춘다. 두 회사는 나란히 클라우드를 이용한 콘텐츠 N스크린•공유 시스템인 '울트라바이올렛(UV)' 도입에 나섰다. 삼성전자는 하드웨어 연동 기술로, 아마존은 콘텐츠 유통 채널로 각각 지원한다. 11일(현지시간) 강태진 삼성전자 MSC 전무는 CES 2012에서 열린 UV 간담회에 패널로 참석해 “올해 생산하는 블루레이 플레이어에 UV 시스템을 이용할 수 있는 인증을 위해 '디스크 투 디지털(Disc-to-Digital)' 기능을 탑재할 예정”이라고 밝혔다.

비트토렌트, 클라우드 진출 “무제한 무료“ (ZDNet)
http://www.zdnet.co.kr/news/news_view.asp?artice_id=20120106181841&type=xml

파일전송 프로토콜이자 소프트웨어인 비트토렌트가 클라우드 기반 스토리지 서비스를 출시했다. 피어투피어(P2P)에 기반한 클라우드로 무한용량의 무료 저장매체가 탄생했다. 개인용 클라우드 서비스에 바람을 일으킬 수 있을 지 주목된다. 5일(현지시간) 지디넷은 비트토렌트가 클라우드 스토리지 서비스 '셰어(Share)'를 출시했다고 보도했다.

`클라우드 인증제` 2월부터 시행 (디지털타임스)
http://www.dt.co.kr/contents.html?article_no=2012011702010931693001

일정 수준 이상의 클라우드 서비스에 인증을 부여하는 `클라우드 서비스 인증제'가 2월부터 본격 시행된다. 방송통신위원회는 클라우드 업체의 서비스를 평가, 일정 수준이상의 품질, 정보보호 등을 제공하는 경우 클라우드 인증을 부여키로 했다고 16일 밝혔다.

AT&T, 오픈스택 클라우드 진영에 합류 (한국IDG)
http://www.itworld.co.kr/news/73583

AT&T가 오픈소스 클라우드 소프트웨어 개발 단체인 오픈스택에 합류한 첫번째 미국 통신업체가 됐다. 오픈스택의 최고 스태커인 짐 커리는 AT&T와 같은 대형 통신업체가 오픈스택을 지지함으로써 프로젝트의 진행이 한층 가속화될 것이라고 밝혔다. 이번 발표는 CES의 AT&T 개발자 서밋에서 이루어졌다. AT&T는 지난 해부터 기업용 신규 클라우드 서비스 제공에 대한 논의를 시작했다. 오픈스택을 지지하는 것과 함게 AT&T는 모바일 개발자용의 새로운 클라우드 서비스도 개시했다.

“웹하드•ASP 발달한 국내, 퍼블릭 클라우드 성공할까” (데이터넷)
http://www.datanet.co.kr/news/articleView.html?idxno=58809

VM웨어와 포레스터리서치가 공동으로 조사한 ‘2011 아태지역 클라우드 리포트’를 발표하기 위해 한국을 찾은 브라이언 왕(Bryan Wang) 포레스터리서치 부사장은 한국의 클라우드 시장에 대해 “한국의 주요 통신사들이 클라우드 서비스를 제공하고 있지만 큰 수익을 거둘 수 있을 것으로 보이지 않는다”고 전망했다. 클라우드 서비스 사업은 규모의 경제로 경쟁하는 사업으로, 사용자가 많을수록 수익이 높아지며 어느 정도 규모에 이를 때까지 막대한 예산을 투자해 기술을 개발해야 하기 때문이다.

클라우드 바람타고 ADN•WAN 최적화 ‘확산일로’ (데이터넷)
http://www.datanet.co.kr/news/articleView.html?idxno=58656

비즈니스 애플리케이션의 다양화, 복잡화, 대용량화는 물론 분산 기업 환경 증가는 애플리케이션 딜리버리 네트워크(ADN)의 변화를 재촉하고 있다. 여기에 가상화 기반의 클라우드 컴퓨팅을 비롯 소셜 네트워킹, 보안, 모바일 등 다양한 이슈들은 ADN의 진화를 견인하기 시작했다. 이처럼 급변하는 IT 환경은 차세대 ADN 인프라 구축을 선택이 아닌 필수로 만들고 있다.

“클라우드 성공열쇠 플랫폼, 규모의 경제로 승부” (데이터넷)
http://www.datanet.co.kr/news/articleView.html?idxno=58712

클라우드 컴퓨팅의 성공열쇠는 ‘플랫폼’ 기술에 있다. 클라우드의 핵심은 ‘온디맨드’며, 이를 위해서는 자원을 자유롭게 할당, 회수, 재사용할 수 있어야 한다. 따라서 가상화 기술이 유용하게 사용되지만 클라우드를 위해 가상화가 반드시 필요한 것은 아니며, 하드웨어와 소프트웨어를 잇는 플랫폼이 얼마나 유연하게 자동화된 자원관리와 서비스 이관을 지원해주는지에 따라 서비스 수준이 달라진다.

클라우드 시대… SW 라이선스 폭탄 맞을라 (디지털데일리)
http://www.ddaily.co.kr/news/news_view.php?uid=86704

무형의 생산물인 소프트웨어(SW)는 일반적으로 제품 자체를 사는 것이 아니고, 라이선스(사용권)을 삽니다. 이는 사용자가 구매한 SW를 소유하는 것이 아니라 계약에 따라 사용할 수 있는 권한만 가진다는 것을 의미입니다. MS 윈도 운영체제 CD를 샀다고 해서 친구에게 빌려주거나, 회사에 있는 PC에 설치하는 것이 불법인 이유입니다.

클라우드 서비스 기반 M→N의 시대로 간다 (한국경제)
http://www.ddaily.co.kr/news/news_view.php?uid=86704

‘M(모바일)에서 N(네트워킹)의 시대로.’ 올해 CES에 전시된 제품들의 특징 중 하나는 연결성(네트워킹)이다. 독립적인 기기 간 경계가 무너지고 콘텐츠와 서비스를 호환하는 흐름이 두드러지고 있다. 삼성전자는 이번 CES에서 ‘삼성 N 서비스’라는 이름의 콘텐츠 포털을 공개했다. 이 서비스는 개인용 클라우드 서비스를 기반으로 TV PC 스마트폰 태블릿PC 등에서 동일한 콘텐츠를 즐길 수 있도록 하는 것이다.

[CES2012]LG전자, 스마트TV서 '클라우드 게임' 서비스 (아시아경제)
http://www.asiae.co.kr/news/view.htm?idxno=2012011108075408664

X박스, 플레이스테이션3 등의 차세대 게임기가 없어도 스마트TV에서 최신 3D 게임을 이용할 수 있게 된다. 클라우드 기술을 응용한 새로운 게임 서비스다.  LG전자는 10일(현지시간) 미국 라스베이거스에서 개최된 세계 최대 가전 전시회 'CES 2012'에서 클라우드 기반 게임 서비스를 제공하는 업체 가이카이(Gaikai)와 전략적 제휴를 맺었다.

글로벌 SW기업이 한국에 클라우드센터를 설립하는 이유는 (전자신문)
http://www.etnews.com/201201090131

우리나라가 글로벌 소프트웨어(SW)기업 클라우드 데이터센터 구축 최적지로 부상하고 있다. 마이크로소프트(MS), 오라클, 마이크로스트래티지 등이 올해 한국에 클라우드 데이터센터를 설립하기로 한 데 이어 전사자원관리(ERP) 전문업체 어프라이즈소프트웨어가 대열에 합류했다. 이들 회사는 한국 데이터센터를 활용해 국내 고객은 물론이고 아시아권 고객을 대상으로 클라우드 서비스를 계획하고 있다. 한국이 아시아 지역 클라우드 허브로 부상한 것은 중국, 일본 등 주변국보다 입지조건 면에서 다양한 장점을 제공하기 때문이다.

‘에이서 클라우드’ 등장…아이클라우드 판박이 (블로터닷넷)
http://www.bloter.net/archives/91116

PC 제조업체 에이서가 클라우드 시장에 뛰어들었다. 에이서는 1월8일(현지기준) ‘에이서 클라우드’를 선보였다. 에이서 클라우드는는 다양한 모바일 기기에서 언제 어디서나, 간편하게 사진, 동영상 같은 멀티미디어 콘텐츠와 문서를 쉽고 빠르게 공유할 수 있는 웹기반 스토리지 서비스다.

오픈마켓 지각변동 ‘초읽기’…네이버 ‘샵N’ 3월 선봬 (이투데이)
http://www.etoday.co.kr/news/section/newsview.php?TM=news&SM=2310&idxno=530557

지난해 초 오픈마켓 진출을 공식 선언한 네이버가 오랜 침묵을 깨고 올해 3월 신개념의 오픈마켓 서비스를 선보인다고 밝힘에 따라 국내 오픈마켓 시장의 지각변동이 불가피해질 전망이다. ‘포털공룡’등장에 불편한 기색이 역력한 G마켓, 11번가 등 기존 업체들은 주력사업부문의 경쟁력 강화, 신규 즈니스 사업 추진 등 다가올 ‘총성없는 전쟁’에 만발의 준비태세를 갖추고 있다.

한국형 구글어스 사업 본격화, 1월 중 시범 서비스 시작 (디지털데일리)
http://www.ddaily.co.kr/news/news_view.php?uid=86806

한국형 구글 어스 프로젝트가 1월 말부터 시범 서비스에 들어간다. 국토해양부(장관 권도엽)는 지난해 5월부터 추진해온“공간정보 오픈플랫폼”사업이 오는 1월말 시범서비스를 시작할 계획이라고 밝혔다. 또, 오픈플랫폼 운영을 위해 설립 중인 플랫폼 운영기구(비영리법인)도 CEO영입 등 조직기반 마련을 본격적으로 추진해 3월경에 정식 발족할 예정이라고 밝혔다.

경희사이버대, 모든 모바일기기 지원하는 `스마트러닝` 앱 개발 (디지털타임스)
http://www.dt.co.kr/contents.html?article_no=2012011102019957744008

경희사이버대학교는 IOS와 안드로이드 운영체제를 모두 지원하는 스마트러닝 애플리케이션을 개발했다고 11일 밝혔다. 경희사이버대는 지난해 6월부터 11월말까지 5개월에 걸쳐 이 애플리케이션을 개발해 왔다. 그동안 일부 통신사와 기기에만 지원하는 서비스는 있었지만 경희사이버대의 이 앱은 통신사 제한없이 국내 대부분 스마트폰과 태블릿PC를 지원한다.

LTE•MS, 2012년 모바일 시장‘양대 화두’… 막내린 CES (디지털데일리)
http://www.ddaily.co.kr/news/news_view.php?uid=86684

미국 라스베이거스에서 열린 ‘소비자가전전시회(CES) 2012’가 막을 내렸다. CES는 매년 1월 한 해 정보기술(IT) 업계 화두를 보여주는 전시회다. TV와 가전 등에 집중돼 왔으나 작년부터 모바일 비중이 커졌다. 올해 CES를 관통했던 모바일 화두는 4세대(4G) 이동통신 롱텀에볼루션(LTE)과 마이크로소프트(MS)였다. 13일(현지시각) 미국 라스베이거스에서 CES 2012가 폐막됐다. 행사를 주최한 미국 소비자가전협회(CEA)는 이번 행사에는 3100여개 기업이 2만여개의 신제품을 소개했다고 전했다. 총 15만3000명의 관람객이 방문했다.

[CES 2012] 스마트 넘어 초고화질•클라우드 입은 TV (조선비즈)
http://biz.chosun.com/site/data/html_dir/2012/01/11/2012011100949.html

‘스마트 넘어 초고화질에 조작•콘텐츠 이동까지 자유롭게’ 10일(현지시간) 미국 라스베이거스 컨벤션센터에서 개막한 세계 최대 전자전시회 ‘CES 2012’에서는 진화하는 ‘미래형 TV’의 모습을 한눈에 확인할 수 있었다. TV에서 인터넷검색을 하고 스마트폰처럼 애플리케이션(앱)을 내려받아 실행하는 스마트 기능에 화질•조작•서비스 측면에서 또 한번 발전을 거듭했다.

 

질문>

안녕하세요.. 엔시스님

저는 현재 000 전산팀 대리로 근무하고 있는 올해 34살 된 000 라고 합니다. 

불확실한 미래에 대한 복잡한 심경이 들어 쪽지를 보내게 되었습니다. 2년제 대학을 졸업후 2003년 00정보통신에 입사하여 00전산팀 및 00전산팀에서 시스템 운영및 관리 업무를 하였고 현재는 00 전산팀에서 전산운영(IT자산,네트웍,보안장비등)관리 업무를 맡고 있습니다. 저희 회사  특성상 인원4명으로 운영되다 보니 거의 모든 업무를 아웃소싱 하고 저는 업체 관리만 하고 운영만 하고 있다고 생각되어 집니다. 아직 어린 나이라고 생각되어지고 매너리즘에 빠지지 않을까 걱정되어 보안 공부에 조금씩 관심을 가지고 있습니다.

작년에 00 컴퓨터과학과를 졸업하여 대학원을 들어가 사이버 포렌식에 관한 공부를 해보고 싶은데 미래에 대한 괜찮은 투자인지 고민됩니다. 미래에 저의 적성에 맡고 재밌고 보람되는 일을 하고 싶은데 현재 그렇지 않은것 같습니다. 대기업SI업체에 있을때 보다 현재 스킬은 점점 떨어지고 있어 좀 불안하기도 합니다. 그대신 관리 능력은 배우고 있지만 스펙이 부족하여 고민 스럽습니다.

엔시스님의 조언 부탁 드리겠습니다.

긴글 읽어 주셔서 감사드립니다.


답변>

안녕하세요,. 엔시스입니다.

지금까지 상담쪽지 중에 가장 형식을 갖춘 분이시네요. 어떤 사람들은 자신이 누구인지 무엇이문제인지도 알리지 않고 어떻게 하면 되는지를 물어 봅니다.  그에 따른 답변은 동일하겠지요.

1. 기술 + 관리

우선 IT쪽은 기술이 우선입니다. 기본적인 기술을 바탕으로 하고 있기에 자신의 기술 개발을 게을리 해서는 안될 것입니다. 하지만 업무와 기술이 결합되면 가장 좋은데 관리적 측면이 강하니 보내진 고민을 하게 될 것입니다. 또한 관리도 중요한 포인트입니다. 결국 관리로 갈테니 말이죠.

2. 포렌식

그래서 자신만의 한 분야를 만들어야 합니다. 포렌식에 관심이 있다고 하니 좋습니다. 하지만 아직까지 시장이 그리 크지 않고 특정 검찰,경찰이나 회계법인등에 특화가 되어 있습니다. 시장이 커지기 까지는 시간이 걸릴듯 합니다. 이부분을 자신이 어떻게 커버 할 것인지에 대한 고민이 필요합니다.

3. 꾸준한 자기계발

보통 갑과 을에서 갑에 위치에 있다보면 자신을 소홀히 하게 되고 고인물이 썩듯이 안이함에 시장 트렌드와 멀어지고 결국 시간이 지나면 자신에게 경쟁력이 떨어집니다.그래서 갑의 위치가 안정적이긴 하지만 자신의 성장에는 그만큼 물이 고이지 않도록 하는 노력이 필요합니다.

보안인닷컴(http://www.boanin.com)에 좌측에 운영자 칼럼이 수록이 되어 있으니 많이 참고 하시고 근본에 충실 하시면 좋겠습니다. 그래서 부단히 노력하는 사람들과 친분이나 인맥형성을 하여 동기부여와 자극을 받아야 합니다.

쪽지의 한계가 있으니 추후 더 궁금한점 있으면 연락처를 알려 주시면 조금 더 자세한 말씀 드릴 수있겠네요.

화이팅 하시고 회신 주세요.
감사합니다.

엔시스 드림

회신>

화이팅 할수 있도록 답변 주신것 감사드립니다.
기술적인 발전을 소홀히 하지 않고 제가 하고 싶은 부분을 잘 찾아야 될것 같습니다.

엔시스님의 글들 읽어보고 추가 적인 질문 드리겠습니다.
바쁘실텐데 이런글에 답변 달아 주시고 정말 진심으로 감사드립니다. 수고하십시오. 

* 개인정보를 제외하고 오픈 할 수 있도록 협조 해 주신 님께 감사드립니다. ^^;;  다르다고 틀린것은 아니니 정답은 아니더라도 조금 이라도 방향성을 잡을 수 있지 않을까 해서 공유합니다.

1. 개인정보보호관리사(CPPG)란?

한국CPO포럼에서 주관하고 있는 민간 자격증 시험으로서 - CPPG (Certified Privacy Protection General) : 개인정보관리사 개인정보보호 정책 및 대처 방법론에 대한 지식 및 능력을 갖춘 인력 또는 향후 기업 또는 기관의 개인정보 관리를 희망하는 자로서, 다음의 업무능력을 보유한 자 - 라고 소개가 되어 있습니다.
출처 (http://www.cpptest.or.kr/)

2.  2012년도 8회 시험이 4월시행, 지금까지 지방에서는 시험을 볼수 없다(?)

보통 1년에 2-3회 시험을 치른다고 가정을 하면 시험 진행한지 약 2-3년이 흘러갔습니다. 올해에는 4월에 시험이 있습니다...

개인정보보호법의 시행과 최근 보안 이슈사항으로 인하여 많은 사람들이 관심을 끌고 있는데 유독 시험은 서울에서만 시험을 보고 있습니다.

따라서, 지방에 거주하는 사람이 시험을 보기 위해서는 서울까지 가야만 하는 경우가 발생을 합니다. 이러한 사항들은 관계자분들을 통하여 필자는 여러채널을 통하여 말씀을 드렸으나 아직까지 이루어지지 않고 있네요.

초기에는 사업진행하기 위한 초석이라고 생각을 하겠지만 이제 조금 더 폭 넓은 수요층을 감안한다면 전국에서 시험을 볼수 있도록 조치를 취해야 할 것입니다.  그렇지 않는다면 단순한 자격사업에 일관으로 밖에는 볼 수 없을 것입니다. 2012년도에는 꼭 전국 주요도시에서도 시험을 볼 수 있도록 관계자 분들께서는 조치를 취해 주시면 감사하겠습니다.


3.  정보통신망법 위주가 아닌 개인정보보호법도 포함하는 시험이 되어야


개인정보보호관리사 시험이 정보통신망법 위주의 시험으로 출제가 되어 있고, 지난해 개인정보보호법이 통과된 이후에는 개인정보보호법도 포함이 되어야 합니다.

이러한 사항은 가이드라인에도 반드시 반영이 되어야 하고, 실제 개인정보보호 관련하여 일반인들이 정보통신망법에 적용이 되는지 개인정보보호법에 적용이 되는지를 알아야 하고 자격증 소지자라면 반드시 2개의 법적 이해도와 지식을 포함하고 있어야 진정한 자격인증이 된다고 생각이 듭니다. 따라서, 이번 2012년 8회차 부터는 이러한 부분을 반영하여 적극 시험이 되어야 겠습니다.


개인정보보호에 대한 지식을 측정하는 자격으로서 올바른 방향으로 가야 한다는 것은 바람직 하다는 생각이며 평소 이에 관련된 생각을 가지고 있었기에 블로그에 포스팅 해 봅니다.  이제는 지방에서 더 이상 먼곳으로 가지 않더라도 시험을 볼 수 있는 조치가 취해지길 기대해 봅니다.   @엔시스.


2012년도 1월2일에 보안인닷컴 e-매거진 [보안人] 제 7호가 발행되었습니다. 늘 부족한 시간 쪼개에 만들다보니 애로사항도 있지만 화려함 보다는 "가치제공" "지식공유"에 목적을 두려고 합니다.

앞으로도 많은 관심 갖어 주시고 이번호에는 [새해 특집기획] 으로 고려대학교 "사이버국방학과"와 "안철수 연구소"를 탐방하는 글을 실어 보았습니다.  8호에도 많은 참여와 관심 부탁드리겠습니다.

보안에 관련된 글이면 언제든지 환영하며, 검토후 실어 드립니다. 함께 보안에 대한 정보를 공유하겠습니다.

첨부파일 다운로드 받으시면 무료로 보실 수 있습니다. @엔시스.

보안인닷컴7호_2012-01_V 1.1.pdf

 

아듀~~2011

안녕하세요..엔시스입니다.  제 블로그를 찾아 주시는 분들에게 이렇게 늦게나마 인사를 드리네요. 몇분이나 방문하시는지 모르겠지만요.

올 한해 수고들 많이 하셨습니다. 저도 올 한해에는 많은 일들이 일어난듯 합니다. 여러가지 사항이 있었지만 누군가와 늘 함께 할 수 있었다는 것이 기쁘기만 했습니다.

이제 나이를 한살 더 먹는군요. 올해에는 생업에 시간을 할애 하다보니 블로그등에 신경을 잘 쓰지 못했습니다. 물론 트위터나 페이스북의 영향도 있겠지요.

아무튼, 조금 더 깊이 있고 인사이트 있는 보안에 대한 성찰이나 개선점 그리고 나름대로 느낌을 정리하려 했으나 쉽지 않았습니다.


과거와 미래는 늘 현재 시점에서 이루어짐

과거와 미래는 늘 현재시점 현재 시간이 이루어짐으로 인하여 과거가 되고 또 미래는 현재가 되고 합니다. 점이 연결되어 선이 되듯이 현실에 충실하는 것이 가장 바람직 하겠지요..

이제 새로운 2012년이 다가옵니다..

뭐 2012년이라고 해봐야 당장 무엇인가 바뀔것 같지만 미리 준비하지 않은 사람들은 12월31일이나 1월1일이나 별반 달라지는 것이 없을 것입니다.. 올 한해 무엇보다 다른해와 달랐던 것은 바로 "실천" 이었습니다.

72:1 법칙을 철저히 지킬려고 노력했고, 무엇보다 책을 많이 읽고 독서하는 습관을 들이려고 했습니다. 그 두가지에 많은 것이 변하고 또 조금 성장한 느낌도 듭니다.

인생은 "마라톤"이라고들 합니다. 이제 인생의 절반을 뛰어 왔습니다. 앞으로 더 가야할 길이 멀기만 합니다. 긴 호흡으로 멀리 바라보고 조금은 여유를 가지고 한발짝 한발짝씩 나가야 겠습니다.

제 블로그를 방문하시는 모든 분들 올 한해 수고 하셨고, 내년에도 하시고자 하는 일 꼭 이루시길 마음에 담아 적어 봅니다. 그동안 블로그 조금 소홀히 한점 양해 바랍니다. 앞으로 여러가지 채널로 자주 소통 할 수있는 사람이 되겠습니다. 내년에도 블로그 많이 많이 관심 가져 주세요...그럼 이만. @엔시스.

2012년도에는 클라우드와 스마트폰, 보안등이 주요 키워드가 되는데에는 누구도 이견(異見)이 없을 듯 합니다.  최근 데이터센터(IDC)의 요충지로 꼽히는 곳중에 한 곳이 바로 '부산시'입니다.

입지적 요충지로서 일본과도 가깝고 해서 최근 관심들을 많이 가지고 있는데요. 필자도 데이터센터에 근무를 하고 있기때문에 관심을 가지고 보고 있는 관전 포인트이기도 합니다.

출처: http://www.boannews.com/media/view.asp?idx=29265&kind=1




1. KTSB 데이터 센터

우선 부산위치에 데이터센터 건립 물꼬를 튼 것은 바로 일본의 소프트뱅크에서 부산에 국내 통신사 KT와 손잡고 김해연수원을 리모델링하여 오픈 한 경우입니다..


클라우딩컴퓨팅에 대한 이해 동영상 참고
 http://news.naver.com/main/read.nhn?mode=LPOD&mid=tvh&oid=374&aid=0000005629

KT,소프트뱅크 제휴 클라우드 IDC
http://news.naver.com/main/read.nhn?mode=LPOD&mid=tvh&oid=215&aid=0000020182


2. LGCNS 글로벌 클라우드 데이터센터 허브 구축

 

이처럼 큰 데이터센터가 부산에 속속 들어선다는 사업 발표가 이어지고 있습니다. 지방IT 측면에 보아서는 좋은 기회라고 생각이 들고, 일자리 창출에도 많은 기여를 할 것으로 예상이 되어 기대가 됩니다.


3. 왜 부산시이냐?

그럼 왜 부산시인지 궁금하게 됩니다. 아마도 해저터널과 제2의 도시 그리고 인접해 있는 국가와 지리적 요충지 때문이 아닌가 하는 생각이 듭니다. 이러한 사업기회를 잘 살려 부산시는 IT일자리 창출을 위하여 노력하는 것에 대하여 박수를 보내고 싶습니다. 사실 IT산업은 서울과 수도권을 벗어나면 대부분 서울의 총판,채널사 형태로 운영이 되고, 제대로 된 IT서비스 컨설팅사와 보안전문 업체로서 입지가 부족하기 때문입니다. 늘 아쉬운 부분중에 하나인데 지방IT업체 자구책 노력도 필요하고 지자체나 정부의 지방 활성화 방안도 지원이 되어야 합니다.


4.  일자리 창출, 문제 없는가?

데이터센터라는 것은 IT서비스를 하기 위한 집적정보통신 시설로 각종 다양한 시설이 집적해 있는 시설입니다. 전력과 항온항습, 난방, 그리고 각종 서버, 네트워크 장비, 인력등이 많이 필요하고 소요가 되는 시설입니다.

얼핏보기에는 일자리 창출에 기여 할 듯하지만 조금 더 신경을 써야 하는 부분이 있습니다. 그것은 '인력수급' 문제입니다.  초기 기업은 리스크를 부담하지 않기 위하여  고급 인력보다는 초급 인력을 선호 하게 됩니다. 

혹은 고급인력을 선호하더라도 서울과 수도권에서 인력을 수급하게 되면 비싼 임금이 문제가 됩니다.  여러가지 딜레마에 빠지게 됩니다. 이러한 현상은 대부분 글로벌 IDC는 해외 고객과 업무를 해야 함으로 영어와 일본어등 기본적인 언어에 장벽이 있어서는 애로 사항이 있다는 것입니다. 이러한 인력을 수급하기란 그리 쉬운 일이 아니고, 만약 이러한 인력을 구한다 하더라도 높은 임금을 요구하게 됩니다.


5. 앞으로 해결 방안 

지리적 요충지로 인하여 부산시에 다양한 글로벌 데이터센터 사업이 들어서게 되는데 여러기업이 한꺼번에 관심을 가지다 보니 이 또한 출혈경쟁에 나서서는 안될 것이며, 서로 윈-윈 할수 있는 특화된 서비스로 자리 매김 하는 것이 바람직 하겠습니다. 

또한 인력수급에 있어서도 데이터센터로서 입지를 다지고 성공적인 모델을 정착하기 위해서는 로컬라이제이션 할 수 있는 고급인력과 경험이 있는 인력을 영입하여, 안정적이고 집중할 수있는 방안을 제시해야 합니다. 

이는 앞으로 공공기관 지방 이전을 앞둔 다양한 공공기관이 지방 이전지로 데이터센터를 구축하게 됩니다. 이러한 부분에 있어서 롤모델이 될 수 있고 오랜만에 부산시는 지방IT 활력소를 찾은 만큼  일자리 창출과 글로벌 IT경쟁력을 모두 가질 수 있는 제2의 도시가 될 수있는 두마리 토끼를 잡는 도시가 되었으면 하는 바램을 가져 봅니다. @엔시스.

 

안녕하세요. 국내 최대 보안 커뮤니티 보안인닷컴 (http://www.boanin.com) 대표 운영자 엔시스입니다..

지난달에는 개인적으로 바쁘고, 또한 발행할만한 내용과 주제를 잡지 못하여 배포하지 못하였습니다.  그냥 취미로 만들어서, "전국민 보안마인드 업데이트와 전국중심의 보안"을 만들어 보겠다는 생각으로 하는것이니...

그래도 조금이나마 기다리시는 분들에게는 죄송하더군요...저도 생업에 투입되다보니 쉽지 많은 안네요..

하지만 그래도 조금씩 주위에서 도와주시고 서로 참여 해 주셔서 함께 조금씩 조금씩 예전보다는 성장 발전해 가는 것이 아닌가 생각해 봅니다. 그래서 제6호가 발행이 되었습니다.

이번호에는 [A3시큐리티 한재호대표님, 김휘강교수님 ] 인터뷰도 실려 있습니다. 직접 발로 뛰어준 기자단 분들에게도 감사드립니다.

                           <보안인닷컴 E-매거진 (보안人) 6호 발행목차>


보안 , 중요하다는 것은 모두 알고 있습니다. 하지만 모르는 것이 더 많은 분야가 보안이고 자신이 알고 있으면, 조직에 소속이 되어서, 또는 대외비라서, 또는 기술적 위협때문에...이런저런 핑계로 정보 공유하기가 쉽지 않습니다.

그래서 또 혼자 대부분 체험과 업무에서 독학을 해야 합니다.  너무 민감한 부분은 제외하더라도 함께 공유하고 나눌수 있는 문화와 이제는 "보안은 생활 문화"로 자리 매김 할 수 있도록 미흡하지만 하나씩 실천해 보려고 합니다..

늘 부족함을 느끼는 것은 당연한 것입니다. 그렇기에 더욱 발전 가능성이 있는 것이구요. 조금 할말이 많아서 말이 길어 졌는데, 아무튼 보안에 관심이 있는 많은 분들이 참여 해 주시고 함께 관심 가져 주었으면 하는 바램이라는 말이 결론 입니다... 더욱 노력해 보겠습니다.

내년도 개인정보보호 예산이 반에 반토막이 났다는 기사가 있어서 몇자 포스팅 해 보고자 합니다.

관련 뉴스 : http://www.itdaily.kr/news/articleView.html?idxno=28398#

 

                                                 <사진출처: http://bit.ly/temZY1>

개인정보보호법 주무부처인 행정안전부의 내년도 개인정보보호 예산이 반에 반 토막 났다. 당초 300억 원 넘게 책정했으나 70억원으로 3분의 2 가까이 대폭 삭감됐다.

그간 정보화 투자에 인색했던 MB정부였지만, 최근 발생한 개인정보유출 등 각종 보안 사고가 사회적으로 크게 이슈화됐던 만큼 개인정보보호 투자만큼은 흡족할 수준이 되리라 기대가 컸다. 그러나 그 결과는 역시나 실망스럽기 그지없다.

그나마도 개인정보보호법이 시행된 것을 감안해 올해 행안부 개인정보보호과의 예산인 46억 보다는 늘었고, 정부의 내년도 IT정보화 예산이 전년대비 20~30% 줄게 된데 비해 늘어난 것으로 전해진다. 예산이 줄지 않은 것만으로도 다행이라고 여겨야 할지 의문이다.  -중략.

1. 자신의 업종이 아직도 개인정보보호법 적용인지 정보통신 망법적용인지도 모르는 수가 태반


필자는 이번에 개인정보보호관련하여 전문 강사단에 위촉이 되면서  지방 공공기관 (주로 경상권) 지역에 교육을 지원 하였습니다. 그런데 여러곳을 다니면서 이야기 듣고, 교육을 하다보면 하나 같이 애로사항들이 공통적으로 있습니다.  그것은 교육 및 홍보를 강화 해 달라는 이야기입니다. 잠시 반짝하는 이벤트성홍보로 하지 말고.

아직도 모르는 곳이 너무 많다고 합니다. 물론 일부 '개인정보보호법'이 시행 된다는 정도의 분위기는 알지만 정작 어떻게 무엇을 해야 하는지..또는 부처 소관의 경우 빠른 지침과 시행 방침을 내려 보내 주어야 움직일 수 있다는 호소였습니다.  처음에는 나름 준비하면 되지라고 생각을 했지만 공공의 업무라는게 개인의 의지만 가지고 되는 것은 아니라는 생각을 하였습니다.  그러니 조금은 이해가 갔습니다.

민간의 경우에는 더욱 심각합니다.  자신의 업종이 '개인정보보호법' 적용을 받는지 '정보통신망법' 적용을 받는지 '신용정보보보호법'에 맞는지 조차도 구분하지 못하는 사람들이 많습니다.  왜 그럴까요? 물론 예산 범위내에서 대응책 마련을 고심할 것으로 압니다만 원래 예산이라는 것이 조금은 삭감 될 것을 예상하고 책정하는 경우가 다반사입니다.

하지만, 본격적으로 '개인정보보호법 정착' 이 진행될 2012년도에는 조금 그 상황이 다르다고 봐야 겠습니다.


2. 개인정보보호법 조직정착을 위해서는 추가 예산 편성할수는 없을까?

국가 사업과 예산이라는 것이 동네 구멍가게 사장 노릇 하듯이 맘대로 안되는 것을 잘 알고 있습니다. 하지만 법만 만들어 놓고 , 수 많은 사람들을 범법자로 만들수는 없는 것입니다.  대부분 중소기업, 소상공인들은 이러한 법이 있는 줄도 모르는 경우가 많습니다. 그리고 '개인정보보호법'을 지키라고 겁을 줍니다.

'법을 공개하고 설명서를 공개하였으니 당신네들이 알아서 공부하시오'라고 하면 과연 그들이 스스로 알아서 공부를 하면 얼마나 좋겠습니까만은 현실은 그렇지 못함에 있습니다. 실제 개인정보보호법을 공부하여 연구하다보면 기술과 법.제도를 함께 알아야 하고, 자신이 해당업종에 있으면 또한 특별법의 법률과 시행령,시행규칙까지 이해를 해야 합니다.

한가지 예를들어 보겠습니다. 병.의원에 근무를 하고 있다고 가정을 하겠습니다. 그러면 제일 먼저 개인정보보호법에 적용을 받는지, 정보통신망법에 적용을 받는지를 파악을 해야 합니다. 그리고 '개인정보'의 정의부터 확인을 해야 합니다. 그러면 관련 법에 의하면 "개인정보라 함은 살아있는 개인에 관한 정보로써 ~~~~"  라고 되어 있지요...그런데 병원에 살아서 입원하여 도중에 사망한 환자에 대한 정보는 개인정보보호법에 의하면 보호를 받지 못합니다. 어떻게 처리해야할지를 또 고민해야합니다. 누구한테 딱히 물어볼 곳도 없습니다. 미국과 독일의 개인정보보호법은 '살아있는 개인에 관한 정보'로 한정 지어 놓지 않았습니다. 혹시나 특별법에 관련 조항이 있는지 의료 관련법을 찾아 보아야 합니다. 

과연 이러한 연구를 일반 개인정보 취급자분들이 판단 할수 있을까요?  개인정보보호법은 이미 시행을 하였습니다. 하지만 아직도 준비가 덜한 상태로 암묵적인 유예기간을 두고 있습니다. 국가가 사업을 시행 한다 하더라도 사업비와 예산이 없으면 흉내만 내다가 그만 두게 됩니다. 

결국 '개인정보보호법'은 처음 의도했던 바가 아닌 다른 방향으로 흘러가게 될 것이고, 사람들은 법.제도의 이해부족과 불편함을 호소하게 되면 SNS등을 통한 여론 형성이 되어 이리저리 편법이 생기고, 그러면 법을 다시 제,개정하는 누더기 법이 될 가능성도 있습니다.


3.  전국민 보안마인드 업데이트 비용과 전국중심의 보안으로 예산이 사용되었으면

미국은 사이버(Cyber)를 제4의 영토로 지정을 하였습니다. 제4의 영토를 공격하거나 침략하려고 하면 즉각 대응하겠다는 발표를 한적도 있습니다. 과연 우리나라는 주변 강대국과 지정학적 위치에 있는 '중국' '일본' '북한'으로부터 얼마나 안전하게 대응 할 수 있는지 의구심이 듭니다.  이제는 물리적인 경계위치보다는 사회적 불안이나 민심을 뒤 흔드는 '사회공학적기법' 공격이 난무하게 될 것입니다. 그것은 여러정치적인 상황과 섞여서 무엇인 진짜이고 가짜이며 진심인지를 가려 내기 힘들 것입니다. 특히 지금처럼 쇼셜(Social)네트워크 서비스가 스마트폰과 어우려져 스피드하게 전파되는 상황에서는 말이죠..

이러한 사회적 비용까지 책정을 예산에서 반영해야 할 것이며,  전국민 보안마인드 업데이트를 가져 오게 끔 해야 합니다. 또한 서울과 수도권 집중적인 예산 투입보다는 2012년도에는 수평화 할 수 있는 지방과 지역 (local)에 대한 보안에 대한 인식제고 향상에도 힘을 쏟아야 합니다.   보안이라는 것은 유능한 사람 혼자만 해서 되는 것도 아니고, 서울 수도권에 한정되어 보호해야만 하는것도 아닙니다. 올해에도 지역에는 제대로된 보안컨퍼런스 행사하나 없었습니다. 혹자는 여러가지 사업과 행사를 진행하려고 해도 규모면에서 지역에서는 호응이 생각보다 없어서 안되다고 이야기 합니다.

일개 개인이 보안커뮤니티를 만들어서 지역활성화와 스터디모임 그리고 각종 SNS을 통하여 긴급 보안 이슈와 트렌드 전파하고 있습니다.. (커뮤니티와 블로그, SNS을 통하여)

2011/03/07 - [Lecture&Comlumn] - [칼럼] 3.3 DDoS 공격이 '개인정보보호법 제정'에 불씨를 당겨야
2009/09/16 - [Lecture&Comlumn] - [기고-4] 7.7 DDoS 사태이후, 변화는 아직도 미지수


정보보호에 대한 지식공유를 위하여 발 벗고 나서고 있습니다. 그 이유는 제가 지식이 필요했기 때문이고 그 보안지식을 같이 공유하는 것이 의미있다고 판단했기 때문입니다... 개인도 할 수 있는데, 기관과 정부가 왜 못하겠습니까? 의지만 있으면 10명이 모이든 100명이 모이든 꾸준히 진행해야만 하는 의지 표명이 중요하겠습니다.  최근 개그콘서트의 '비상대책위원회' 코너가 생각이 나네요.. "안돼~~~" " 그러면 결국 되는 것은 어떠한 것도 없다고 생각합니다."


4. 예산이라는 것은 모자라도 안되고 남아도 안되는 국민의 세금


비록, 개인의 블로그에 포스팅하는 힘없는 글이지만 관련기관에서는 분명한 의지를 보여 주었으면 하는 바램을 가져 봅니다. 개인도 그렇고 기업도 그렇고 국가도 마찬가지로 예산이라는 것은 부족하면 부족한대로 문제이고 남아도 남는대로 낭비를 하기 때문에 문제입니다.  예산을 편성하면 의례히 삭감되는 것은 당연한 것으로 받아들이고 삭감 할 것이 아니라 정말 소중한 국민의 세금이 '정보주체의 권리'를 강화하는 '개인정보호보법'의 조기 정착을 위하여 사용하게 끔 잘 편성하고 책정하여 사용 할 수 있도록 하면 좋겠습니다. 

분명한 것은 2012년도 본격적으로 보안 이슈가 더 거세질 전망입니다. 이제는 유선망은 기본이고 다양한 디바이스와 멀티채널을 이용하는 무선랜보안에 대한 이슈, 그리고 스마트폰과 테블릿PC가 봇물을 이루고 사용자 보안으로 공이 넘어갈 것입니다.  보안마인드가 안되어 있는 사용자들의 개인정보유출은 더욱 거세게 될 것이고, 시행중인 개인정보보호법에 논의가 더 활발하게 될 것입니다.

부디 개인정보보호법 조기 정착과 혼란 방지를 위하여 돈이야 많으면 많을수록 좋겠지만 그러한 의미를 조금 내실있게 파악하고, 서포팅 해 주는 것이 예산과 집행기관의 책임을 다하는 정부의 의지 반영일 것입니다. 다른 현안에 묻혀 '개인정보보호법'이 국민을 더욱 불편하게 만들고 옥죄는 법으로 남는 오점을 남겨서는 안될 것입니다. 이제 소중한 자신의 개인의 정보는 스스로 지킬수 있는 개인의 자발적 의지도 분명히 중요한 시점에 도래하였습니다. "개인정보 수집은 하지 않는 것이 최선입니다." "개인정보는 정보주체의 정보이지 조직이나 기업의 자산이 아닙니다."  -엔시스.

공감하시면 추천이나 무한RT해 주시면 더욱 좋겠지요 :)

주말 반납하고 보안인닷컴 , 차세대 전문가 포럼 카페 회원 대상으로 특강을 하였습니다. 늘 이러한 세미나를 할때면, 장소를 구하지 못해 자주 할 수 없는 것이 안타까운 것이 사실입니다.  혹시 누군가 장소를 사용할 수 있게 해 주시면 감사하겠습니다.

아침 새벽6시30분에 부산에서 7시 KTX 를 타고 서울로 향하였습니다. 주말이라 표 구하기 어려움이 있어 아주 고생을 하였네요.. 덕분에 영화칸을 자리하게 되어 영화를 보고 비용은 더 들어가게 되었네요..

특강 시작전에 도착하여 세미나 준비를 하였습니다. 사전에 미리 도착하여 조금씩 도와 주시는 분들이 좀 있었더라면 하는 생각이 있었지만 그냥 혼자 묵묵히 했습니다.

남들이 도와 줄꺼라고 생각하고 했더라면 아예 황금 같은 주말에 부산에서 서울로 출발 하지도 않았겠지요 .

그렇게 해서 시작한 세미나는 사전에 참석 하겠다는 댓글을 달았음에도 불구하여 모두 참석하리라는 제 믿음을 저버렸습니다. 물론 장소가 그다지 넓지 않아 걱정했지만 70-80명정도는 참석 한듯 합니다..


블로그에 한동안 글을 담지 못하여 살아 있음을 알리려고 포스팅 합니다...^^;; 회사 업무에 이런저런 하는 일 없이 시간이 너무 빨리 지나가는 듯 합니다. 마음에 양식도 더 많이 담아야 겠습니다..

늘 건강하시고, 블로그 오시는 분들 죄송하구요..앞으로 더 많은 정보 업데이트 할 수 있도록 하겠습니다.
감사합니다.  -쥔장 올림.

얼마전에 휴가를 내고 외부 특강을 하게 되었습니다.  주제는 '개인정보보호 시스템 구축론' 이라는 주제를 가지고 '서울과학 종합대학원 산업보안 MBA' 과정에서 강의를 하였습니다.

 사실 처음에 강의 요청을 받았을때, 이미 실무에 있는 분들은 모두 아는 내용일 수도 있고, 또한 대부분 다른 내용으로 강의를 받았다고 해서 어떤 이야기를 가지고 할 것인지에 대한 고민을 하였습니다.

그 중에서 고민 하였던 것은 아무래도 기본적인 내용에서 딱 한단계만 더 깊이 들어가자라는 결론을 내린 것이지요..

그래서, 예를들어 앞으로 '주민번호대체수단'을 도입하라라고 만약 한다면 우리는 흔히 '아이핀' 이나 'G-PIN' , '공인인증서' 'OTP'를 도입하라고만 합니다.

하지만 그 다음 단계인 어떻게 도입할 것인지 막막한 경우가 많습니다.

즉, 주민번호외에도 대체수단을 도입하게 되면 도대체 어떻게 홈페이지에서 어떤 방법으로 적용을 해야 하는지를 모르는 것입니다...

이러한 결론에 이르자  그 방법을 같이 고민해 보면 좋겠다라고 생각하여 한 꼭지 넣어 습니다..


그리고 개인정보 유출에 대한 각종 솔루션에 대한 전체적인 종류별로 언급도 하였습니다. 특히 공개된 장소에서 특정 솔루션을 언급하는 것이 조심스럽기 때문에 그냥 어떠한 류의 솔루션이 있다는 정도만 언급을 하였습니다.

이렇게 3시간을 강의를 하고 나니 10시가 되더군요...관계자분과 담당 교수님이 직접 격려를 해 주시고 또한 질문도 많이 주셔서 좋은 경험을 할 수 있었습니다.

저도 대학원 석사 과정을 마칠때 , 연구실에 퇴근후 저녁도 대충 김밥이랑 라면으로 때우면서 논문을 준비하였던 기억이 새록 새록 났습니다. 그만큼 일하면서 공부한다는 것은 무척이나 힘든 과정입니다. 왜냐하면 어쩡쩡한 상태가 되면 이것도 못믿고, 저것도 못믿는 상태가 오거든요...대부분 일과 공부 두마리 토끼를 다 잡으려고 하지만 쉽지 않은게 현실입니다...

남 앞에 선다는 것은 그만큼 준비를 많이 해야 한다는 반증이기도 하지만 요즘 회사 업무와 교육으로 시간을 주로 퇴근후 공부하고 연구하는데에 할애를 하였는데, 들어 주신분들에게 부족한 부분은 아니었는지 모르겠습니다.  관계자분들과 그날 수업을 들어주신 분들에게 이자리를 빌어 감사의 말씀을 전해 드립니다.. @엔시스.


참, 이번에 aSSIST에서 산업보안관련 MBA 입학설명회를 한다고 하네요..관심있는 분들은 아래 참조 하세요..

 

최근 9월30일 개인정보보호법이 시행 됨으로 인하여 많은 요구사항들이 생겨나 담당자들로 하여금 고민에 빠지게 하였습니다.. 즉, 해야 할 일이 그만큼 많이 생겼다는 것이다. 그것은 업무 부담으로 다가 오지만 뾰족한 수가 없다면 스스로 공부하고 준비해 나가야 할 것입니다.

1. 두마리 토끼중 한마리라도..

원래 두마리 토끼를 쫓아 다니다 한마리도 제대로 잡지 못하는 경우가 있지요 제대로 한마리라도 꾸준히 잡아야 하는 경우가 있습니다., 하지만 현재 어디 그런가 ? 두마리 토끼를 잡아야 하는 환경에 처하게 되어 있는 것입니다.

개인정보보호법이 시행됨으로 인하여 법률적 지식과 IT기술적 기술을 모두 두루 갖춘 인재를 찾기란 쉽지 않다고 언론에서 이야기 하네요..

관련기사 : http://www.etnews.com/news/detail.html?id=201109290191

자신의 업무 한 분야도 잘 하기 쉽지 않는데, 그 분야를 모두 깊이 있는 지식을 습득 보유하려면 많은 노력이 필요하겠지요

                                          <두마리 토끼를 잡는다는 영어식 속담의 삽화

#2. IT기술쪽으로 업무 하는 사람은 이젠 법률과 절차를 , 법률적인 업무를 하는 사람은 IT기술을

이제는 '통섭'의 시대에 살고 있다고들 합니다.. 통섭이란 자신의 분야에서 깊이 있게 알면서 다른 분야를 포용할 수있는 인재를 말합니다..

따라서, 개인정보보호법 시행으로 인한  빠른 트렌드를 따라가는 IT 분야에서 두마리 토끼를 잡아서 롱런하고자 하는 사람은 디테일 한 부분까지 알수 있는 방법을 알아야 살아 남지 않을까 생각합니다.. 자신이 관심분야와 법제도 를 잘익히고 그 내용을 타인에게 잘 설명 할 수 있으면 두마리 토끼를 잡을 수 있다는 것입니다.

제 블로그에 오시는 모든 분들은 "두마리 토끼를 전부 잡으시길 바랍니다,"

어제 평소에 알고 있던 한 지인과 통화를 하게 되었습니다. 이런저런 이야기를하다가 업무적인 이야기중에서 아직도 하청에 재 하청..흔히 말하는 "갑을병정"으로 이어지는 용역을 수주하게 되어 점점 용역단가는 낮아지고 요구사항은 더욱 많아진다고 하소연 하였습니다.

사진출처 : http://blog.naver.com/ehot?Redirect=Log&logNo=40125106111


국내 대기업위주의 사업용역 수주 구조.

국내 커다란 국가 공공용역사업을 보면 대부분 국내 대기업 SI 업체가 수주하고 그 밑에 "을"이 붙고 "을"은 다시 "병"에게 넘기고 "병"은 다시 "정"에게 하청에 재하청을 주는 방식이 많다보니 여러가지 폐혜들이 많이 나타나게 됩니다.

용역을 발주하는 기관은 아무래도 사업의 중요도에 따라 안정적인 기업이 나서서 잘 컨트롤이 될수 있도록 하는 것은 어쩌면 당연한 일이 될것입니다. 하지만 이러한 "갑을병정"놀이가 되다보니 결국 용역 수주단가는 높아지고 최후에는 "갑"과 "정"만 일을 하는 꼴이 되어버리고 중간에 "을"과 "병"은 사라져 버리고 앉아서 마진만 챙기는 경우가 있습니다.

결국 "정"은 하소연 하게 되고, 이러한 상황에 있어 이렇게 해서라도 입에 풀칠을해야 하는 정은 모든 일을 하게 되는 구조로 되어 있습니다. 물론 약간은 비약적인 상황이긴 하겠지만 이제는 이러한 관행을 깨었으면 좋겠다라는 생각이 듭니다.

물론 용역 발주는 주는 기관에서는 "갑"에 능력을 보고 주는 것이지..그 밑에 하청에 재하청하여 프로젝트 품질을 떨어뜨리게 하라는 것은 아닐것입니다.

여러단계를 거친다는 것은 그만큼 환경변수도 많아

이러한 이해관계가 놓이 갑을병정놀이는 여러단계를 거치다 보니 늘 말이 많습니다. 정작 가야할 길이 있는데 배가 산으로 가는 경우가 비일비재하고 요구사항이 그때그때마다 변경 되면 처음으로 다시 돌아가 재구성해야 하는 경우도 있습니다.

만약 A라는 프로젝트가 시작이 되어 RFP 대로 어느정도 진행이 되어 이제 약 90%정도 완성도를 보였다고 가정을 할때, 갑자기 다른 변수가 작용이 되어 그것을 반영하라는 요구사항이 나오면 실제 진행한 90% 완성율을 다시 재구성해야 하는경우에는 정말 난감한 경우가 많겠지요..


그럼 대안은 없을까?

필자의 개인적인 생각에서는 가능하면 분명히 "정"에서 사업을 직접 수주하여 진행 할수있는 역량이 있는 곳이 있습니다. 발주 기관에서는 이러한 핵심적인 기업을 잘 골라서 선정하여 갑에게 주는 용역단가의 60-70%만 주어도 결국 마더만 서지 중간에서 이름만 빌려주는 을병까지 가져가는 마진만큼 정에게 주었을때 훨씬 저렴하고 또한 정에 입장에서는 갑을병정이 되었을떄보다 훨씬 큰 금액으로 가져 올수있기에 일하는 매리트도 훨씬 크다고 생각합니다.

대부분 , 그럼 이렇게 생각을 할수도 있겠지요. 그래도 든든한 마더가 가장 앞장서서 이끌어야지..사업에 불투명때문에 작은 기업에게 사업을 맡겼다가 그 기업이 도산하거나 폐업을 하게되면 담당자는 어떻게 그쪽에 사업을 줄수있겠는가? 맞습니다. 맞고요..

하지만 어차피 발주되는 것은 "갑"을 보고 발주 되는 것이니 "을,병,정"은 너희들끼리 찌지고 볶고 싸우든 아무튼 우리는 품질만 되면 되니까..그건 당신네들 알아서 할 문제이다" 라는 생각을 가지게 되면 "병정"은
매일 같은 야근에 다양한 요구사항에 좋은 품질이 나올수 없다는 것은 이미 알고 있는것이고, 이러한 부분을 개선하기 위한 고민을 해 보자는 화두를 가지는 것이겠지요..

중소기업 살리자고 말로만 외치지, 그에 따른 능력이 있음에도 불구하고 "마더"가 되지 못하는 현실은 어쩌면 덩치 작고 돈 없는 기업은 짊어져야 하는 숙명인지도 모르겠습니다.

어제 지인과 전화를 끝마칠 즈음에

"갑과 정"만 일하고 나머지는 그냥 마진만 챙기는 일이 있어 결국 "배째라" 하고 버텼더니 그때서야 관심을 갖더랍니다.."

이런 하소연을 한동안 통화하면서 듣고 있노라니, 자신의 능력을 마음껏 펼치수 있고, 수직적 구조가 아닌 수평적 구조로 벤쳐신화를 일구어 내고 하는 그런 것은 꿈 같은 이야기가 아닌가 하는 생각도 들었습니다.
부디 이제는 바뀌어야 할 어떤 좋은 대안이 있었으면 좋겠습니다. 너무 큰 주제라서 주제 넘게 제가 이러쿵 저러쿵 하지는 못하겠지만 힘들어하는 국내 중소규모 사업체에게 힘을 줄수 있는 정책적 대안들이 좀 있었으면 하는 바램에서 몇자 적어 보았습니다. @엔시스.

안녕하세요..TEDxHaeundae 디렉터 엔시스입니다..

이제 여러분들이 9월17일 TEDxHaeundae is ~~  답을 주실 차례입니다...^^;;

Comming Soon ~~

자세한 내용은 http://www.tedxhaeundae.com 과 http://cafe.naver.com/tedxhaeundae 를 참고 하시길 바랍니다... 상품도 많아요~~

참...이미 2회는 마감이 되었으니, 3회에 기대해 주세요~~

세상 바쁘게 살다보면 가끔은 돈 내야 하는 일에 소홀히 하게 되어 낭패를 보는 경우가 있습니다. 벌써 3년이 지나고 자격증 재 갱신하여 다시 유지 관리 하고 있는데요...유지비용도 만만치 않군요... 이미 알고 공부 한것이니 잘 관리 하도록 신경 쓰겠습니다.

오늘은 CISSP AMF 유지 비용 결제 하는 방법을 알려 드리겠습니다. 4단계만 하면 되니까 그리 어렵지 않겠습니다.


1. ISC2 홈페이지에 로그인하여 > AMF 부분을 클릭한다.

매년에 $85 씩 결제를 하여야 합니다. 물론 이는 한꺼번에 하여도 상관이 없습니다. 3년 안에만 결제를 하면 됩니다..


2. 자신이 결제하고자 하는 횟수만큼 선택을 합니다.

3. 자신의 신용카드 정보를 입력하면 됩니다. 여기에는 비자와 마스터카드 또는 익스프레스카드 등 해외 결제가 가능한 카드만 됩니다...

4.  최종 비용결제 하였다는 내용이 나옵니다...본 화면을 캡쳐 및 인쇄해서 보관해 놓고 OK 버튼을 클릭합니다.
     그리고 처음화면으로 돌아가 자신의 결제 횟수가 몇번 남아 있는지를 최종 확인합니다.

자신이 업무와 관련된 자격증을 정말 소중하고 값지게 열심히 공부해서 취득을 했다면 유지관리하는 비용도 아깝지 않을 것입니다. 하지만 자신이 1주일만 족보를 보고 공부했거나 아니면 자신의 비용이 아닌 회사나 다른 변수로 자격증을 취득을 했다면 그만큼 애착이 가지 않게 됩니다.

이런 유지비용마져도 아깝다고 생각이 드는 경우가 많습니다. 그러다보면 결국 3년 만기되어 재갱신 하지 못하고 그대로 폐기 되는 경우를 주변에서 많이 보았습니다. 그럴바엔 차라리 준비나 하지 말던지...아니면 잘 관리를 하던지...

해외 보안자격증의 경우 CPE나 AMF를 대부분 요구하고 있고 해당 일정기간내에 요구하는 정책이 있어 잘 살펴보고 유지관리하는 것도 시험 합격 못지 않게 중요한 부분입니다.  도움 되셨길 바랍니다.

보안인닷컴 e-매거진 제3호가 만들어졌습니다. 다른 분들은 어떨지 모르겠지만 매월마다 기획하고 하나씩 만들어 가는 성취감은 만들어 보지 않은 사람은 느낄수 없는 것이지요. 물론 혼자보다는 주변에서 많이 도와주시고 참여해 주셔서 만들어가는 것이긴 하지만요..

무엇보다 보안에 대한 중요성을 널리 알리고, 전국 어디에서라도 조금씩 하나씩 그 시야를 넓혀 갈 수 있는 좋은 조언자 같은 채널이 되었으면 좋겠습니다. 다시한번 글 보내주신 여러분들께 감사의 말씀을 드립니다...^^;; 그리고 편집하시면서 고생하신 석윤님께도 감사드립니다..

아래 pdf 파일을 받으셔서 PC뿐만 아니라 스마트폰과 테블릿PC에서도 구독하실 수 있습니다. 아직 부족함이 많지만 아무리 뛰어난 매거진이나 채널이라 하더라도 구독자가 없으면 아무소용이 없듯이 많은 격려와 관심과 참여를 주셔서 더욱 힘이 나기도 합니다.  부족한 부분은 조금씩 개선 발전시켜 나가겠습니다. 감사합니다. @엔시스.

보안인닷컴3호_2011-08_V 1.2.pdf

보안인식제고, 전국중심의 보안을 외치고 있는 국내 최대 보안커뮤니티 보안인닷컴 http://www.boanin.com 에서  '보안자가진단 앱 (아이패드용)을 개발 출시하여 무료로 배포 하고 있습니다.

아이패드용으로 한 이유는  스마트폰용은 너무 작아서 사실 컨설팅시에 화면 비율이나 폰트로 비주얼하게 보기 쉽지 않다고 판단했기 때문입니다.   다음은 아이패드용 스크린 샷입니다.

                              [그림-1] 보안인닷컴 '보안자가진단' 앱 화면 #1

                                  [그림-2] 보안인닷컴 '보안자가진단' 앱 화면 #2

                                   [그림-3] 보안인닷컴 '보안자가진단' 앱 화면 #3

                  다운로드 : http://itunes.apple.com/app/id449806870?mt=8

  부족하거나 수정 보완할점...그리고 추가로 아이디어 있으신 분들은 댓글 남겨 주시면 감사하겠습니다.  이제 보안 컨설팅시에 간단하게 고객사에게 '보안자가진단' 할 수 있도록 유도를 하고 현황파악하는 앱으로 이용하시면 조금이나마 도움이 되리라 생각이 됩니다. 앞으로 많은 격려와 관심 부탁드립니다.
@엔시스
  

지난번 정보보호전문가 자격증(SIS) 자격증 관련 1차 기사가 나오고 난 후에 조금은 보완해야 할 부분들이 있다는 주변에 이야기가 있었습니다.. 

관련글 포스팅 : http://www.sis.pe.kr/3327 

하지만 후속 취재를 요구하였고, 조금은 구체적인 방안이 나오기를 기대하였습니다. 마침 오늘 후속기사가 나왔네요.

전자신문 2011.07-12일자 온라인판

핵심의 요지는 다음과 같습니다.

• 2013년 국가기술 정보보안기사/산업기사가 시행이 되면 굳이 2번 시험 볼 필요 없으니 그때까지 기다리겠다. 하지만 지금까지 늘 예정이다, 고려사항이다 하다가 시행이 되지 않으면 그 공백기간에는 어떠한 대안을 제시 할 수 있는가? 아마도 SIS 기존 자격증 시험은 그냥 형식적으로 치러지거나 아니면 응시생이 줄어들어 원래 취지에 부합하지 못 한다.
• 기존 SIS 유자격자를 어떻게 처리 할 것인가? 이부분에서도 방안제시를 해야 하지만 아직 뚜렷한 방안이 없는듯 하다. 그동안 SIS시험의 난이도로 보아 쉽지 않은 시험을 패스한 부분이라 일정기간 보수교육후에 승인하면 좋지 않을까 하지만 그런 사례가 없어 난색을 표하는데, 꼭 사례만 가지고 한다면 누가 새로운 개척을 하겠는가? 늘 예외라는 것은 있지 않은가?

아무튼 이번에는 좀 확실한 대안제시가 되고, 작은 것 하나라도 조금씩 조금씩 실천해 나간다면 이러한 국가자격증제도의 경우 10년, 20년 장기간 가야 하는 제도이기에 빨리 정착되고 좋은 대안제시를 마련하여야 할 것입니다. 보안인력양성 정책시마다 울궈 먹는 재탕 삼탕이 되어서는 안될 것이라 생각이 듭니다.
이번엔 꼭 실현 되기를 기대해 봅니다.  @엔시스.




요즘에 보내기트위터에 보내기페이스북에 보내기미투데이에 보내기

'Security License' 카테고리의 다른 글

개인정보보호관리사 (CPPG)자격증 시험 개선 방안에 대하여  (0)	2012/01/11
CISSP 자격증 AMF 비용 결제하는 방법  (2)	2011/08/05
국내 대표하는 보안자격증, SIS 국가기술자격증 되어야  (0)	2011/07/12
정보보안기사 자격증 신설, 이번에는 공수표 날리면 안돼  (0)	2011/07/08
홀대받던 SIS자격증소지자 몸값상승, 취업바로 시켜준데요  (3)	2011/06/16
한국CISSP협회 2010년 정기총회 참석  (0)	2010/12/18

마소잡지 7월호에 보안특집기사로 보안에 대한 정리내용으로 간단하게 관리체계에 대한 부분을 언급하였습니다. 너무 기술에만 치우쳐도 되지 않고, 너무 관리에만 치우쳐도 되지 않아 보안은 기술과 관리가 적절하게 균형있게 조율이 되어야 겠습니다.

어제 잠시 서점에 들려서 다시 한번 인쇄본을 살펴 보았는데, 조금 분량을 늘려서 적을 것을 하는 느낌이었고 조금은 임팩트 있는 내용이 아니라서 평이한 수준에서 적지 않았나 하는 느낌이 들더군요. 아무튼 자신의 생각을 글로 표현한다는 것은 굉장히 중요한 문제라 저는 생각합니다. 그래서 부족하지만 노력하고 있는 중이구요. 여러분들도 자꾸 노력을 하여 그 부족함을 채워 나가는 것이 삶을 지탱하는 원동력이 아닐까 생각이 드네요.. 이러다 관리체계 홍보대사 되는것은 아닌지...ISMS, PIMS ㅎㅎ 하지만 중요하니까요.
많이 홍보해야지요..그것이 제 몫이라 생각합니다.

혹시 궁금하신 분들은 http://www.boanin.com 보안인닷컴 커뮤니티 공지사항 보시면 e-매거진 2호가 무료로 배포되고 있습니다. 거기에도 실렸으니 참고 하시면 됩니다. 또는 http://www.sis.pe.kr/3326 보시면 첨부되어 있으니 다운로드 받아 보시면 됩니다.

앞으로는 조금 더 깊이를 더해야 겠습니다. 비가 오네요..주말 잘 보내시길 바라고 비 피해 없기를 바랍니다.  @엔시스.

최근 보안이슈가 부각이되면서 각 정부기관과 관련 부처에서 많은 세미나와 정책이 쏟아지고 있습니다. 무엇보다 해당분야에서 근무할 인력이 부족하다는 것이 현실인데요. 이는 정책적인 지원과 노력이 있어야 하겠습니다.

그 중에 하나가 바로 '정보보호' 인력 기준을 어떻게 삼을 것인가? 에 대한 부분입니다. 작금의 현실은 보면 소프트웨어 초급자 기준, 중급자, 고급자 기준으로 삼는 경우가 많으며, 정보보호에 대한 기준이라고 해 봐야 'SIS,CISSP,CISA' 등 자격증이거나 정보보호관련 업계 근무 경력이나 정보보호 관련 전공 밖에 없습니다.

이는 한정된 부분과 전체적인 보안 수준을 올리는데에는 미흡함이 있습니다. 아무리 훌륭한 보안전문가가 있더라도 혼자서 모든 것을 할 수는 없는 것이라 큰 그림에서 바라보는 대한민국 정보보호 수준을 올리는 측면을 간과 할 수 없기 때문입니다.

그런 가운데 대한민국 유일의 국가공인 정보보호전문가 자격증 'SIS' 자격증이 국가기술 자격증으로 승격화 된다는 기사나 정책발표는 수차례있었지만 가시화 되고 있지 않았습니다.

또한 정보보호, 보안이 그렇게 중요하다고 하면서 아이러니 하게도 아직도 대한민국 보안에 대한 국가기술자격증이 마련이 되고 있지 않습니다. 관련 업계나 관심 있는 사람들이 공부나 연구를 하여 일정한 자격을 갖출수 있는 정보보호 인력 양성 기준중에 가장 먼저 주목받을수 있는 부분인데도 말이죠.

지난해에는 한국산업인력공단기관에 용역발주까지 진행이 되었습니다.

나라장터에서 '정보보안기사'로 검색을 하면 용역발주서(RFP)가 공개되어 있습니다.

오늘자 언론기사에서 또 관련기사가 나왔습니다..정보보호인력에 대한 정부의 정책적과제중에서 히든카드로 이제는 그 분위기가 팽배해져 있는게 아닌가 생각을 합니다. 필자는 수차례 이야기 했지만 이젠 정보처리를 하는 시대는 지났다는 것입니다. 이제는 정보를 보호해야 합니다. 그러기 위해서는 공공기관 담당자 자격증 소지의무화와 대기업 담당자 자격기준 강화가 필요합니다. 국내를 대표하는 정보보호전문가 자격기준을 우선 마련해야 할 것입니다.

하지만 현실은 국가공인에 머물고 있는 SIS 자격증에 대한 인센티브가 적어서 그동안 조금은 외면 받고 있었던것이 사실입니다.

따라서, 이번 관련 발표로 조금 더 박차를 가해야 할 것이며, 여기 저기 부처에서 공수표를 날리는 정책성 발표는 되지 않았으면 하는 바램을 가져 봅니다. 물론 해당 자격증이 있다고 해서 모든 보안수준이 높아지리라고는 생각하지 않지만 , 정보보호 선순환 구조를 만들수 있는 단초가 될 수 있는 부분임에는 틀림이 없습니다.

향후 정보보안기사,산업기사, 기술사 시행이 된다면 어떻게 될까?

제 개인적인 시각에서 이제 정부에서 히든카드인 국가기술자격증인 '정보보안기사, 산업기사, 기술사' 등의 자격기준이 마련이 되면 다음과 같은 파생 효과가 나타날 듯 합니다.

• 공공기관  및 대기업
• 국내를 대표하는 국가기술 정보보호에 대한 자격증이 신설 됨으로 인하여 관련 업무나 보안의 중요성 측면에서 자격 소지자 의무 고용확대가 이루어질 것입니다.
• 각 공공기관 프로젝트 수주시에 관련 자격 소지자 인력 보유 현황을 기본 필수 요건으로 보안품질 강화가 될 듯 합니다. 즉, 기존에 보안SI 사업등에서는 소프트웨어 기준별 초급,중급,고급으로 참여 해도 되었지만 이제는 관련 자격증 소지자로 한정 할 수 있을 듯 합니다.
• 정보보호업계
• 최소한 정보보호 업계에서 인력 채용 기준시 기초적인 자료로 사용될 듯 합니다. 정보보호에 관심이 있으면서 그 정도 준비하지 않았다는 것은 사실 준비 부족이라고 하고, 소지자는 그만큼 차별성이 있으니 선별 기준에서 유리하겠지요.
• 교육 업계
• 보안의 이슈만큼이나 수요가 생기니까 공급적인 측면도 많이 발생이 되리라 생각이 됩니다. 아마도 관련 학원이나 교육업계쪽에서도 많은 관심을 가지게 될 듯 합니다. 일자리 창출이 일어날수 있겠지요.
• 중소업계
• 개인정보보호법 시행으로 인하여 개인정보보호 기술적.관리적 조치 사항으로 본다면 사실 중소기업측면에서도 보안에 대한 이슈가 발생이 됩니다. 기존에는 전산 담당이나 혹은 총무, 또는 경영지원실등에서 역할을 담당했지만 최소한 정보보호 담당을 어느정도 일정 수준 근로자가 근무하는 기업에서는 담당을 둘수 있는 기준이 발생 할 것입니다.

정책은 실패할 수도 성공할 수도 있습니다. 하지만 장기적인 안목으로 바라 보았을때 어떠한 것이 도움이되고 지금 악순환의 고리를 끊고 , 선순환 구조로 갈 수 있는지에 대한 명확한 핵심을 짚는 것이 중요한 것이며, 혹자는 이러한 자격증 유무론을 이야기 하는 분들이 간혹 있습니다. 하지만 보안이라는 것은 전문가 한사람만 잘 한다고 되는 것은 아니라 함께 노력 하고 자연스럽게 실천 할 수 있는 문화와 그 이해를 도모하는 것이 중요하다고 생각이 듭니다.

결국 최소한 관련 자격증 패스 한 정도라면 그 정도 이해는 하고 있다는 기준이지, 그것이 모든 것을 해결 한다는 관점으로 접근 해서는 안되는 것입니다. 분명히 그 차이점을 바람직하게 이해하는 것이 중요하고, 관련 정책은 한 사람이나 한 단체의 이해관계를 가지고 펼치는 것이 아닌 전국민을 대상으로 보다 나은 대안으로서 정책을 제시 해야 함을 봐야 할 것입니다. 꼭 이루어지길 기대해 보겠습니다. 이젠 공수표 날리지 않았으면 좋겠고, 그 시행 시기도 구체적으로 명백히 밝혀주면 더욱 좋겠습니다. @엔시스.

요즘에 보내기트위터에 보내기페이스북에 보내기미투데이에 보내기

'Security License' 카테고리의 다른 글

CISSP 자격증 AMF 비용 결제하는 방법  (2)	2011/08/05
국내 대표하는 보안자격증, SIS 국가기술자격증 되어야  (0)	2011/07/12
정보보안기사 자격증 신설, 이번에는 공수표 날리면 안돼  (0)	2011/07/08
홀대받던 SIS자격증소지자 몸값상승, 취업바로 시켜준데요  (3)	2011/06/16
한국CISSP협회 2010년 정기총회 참석  (0)	2010/12/18
CISSP, ISC2 COEX 서울 리셉션 및 설명회  (1)	2010/11/15

오늘 회사 업무를 마치고, 부산신용보증재단에 정보보호 교육을 하러 갔습니다. 저는 늘 교육을 갈때 약속시간보다 2-30분 일찍 도착을 합니다. 그럼 대부분 담당자분들은 "일찍 오셨네요"라고 말씀하시죠..

하지만 제 지론은 최소한 프로는 제 시간에 가야 하고 시간에 쫓기어 허겁지겁 가지 말아야 하며, 대부분 담당자분들은 사전에 도착을 하게 되면 윗분들에게 인사를 시켜 드립니다.

이런 시간까지 감안한다면 2-30분 일찍 도착하는게 맞습니다. 차분히 교육장에 대한 파악도 하고 준비해간 준비물과 교육자료 점검 시간도 있습니다. 교육 시간이 다 되어가는데 강사가 허겁지겁 온다든지, 교육셋팅이 끝나지 않으며, 전혀 프로답지 못하다고 하겠습니다.

오늘 그렇게 해서 도착한 부산신용보증재단.. 처음 방문한 곳이었지만 담당자이신 문과장님은 상당히 쾌활하시고 반갑게 맞이해 주셔서 첫인상이 참 좋았습니다.

특히 특징적인 부분은 퇴근후 교육이라 교육생분들에게 토스트도 나누어 주면서 함께 교육을 받는다는 것이 참 인상적이었고, 강사인 저에게도 토스트를 주어서 저녁을 해결 할 수 있었습니다. 아주 맛있게 먹었네요.

 

또한 교육2시간 내내 졸고 있는 분이 없이 전부 초롱초롱한 눈으로 보안에 대한 교육에 귀를 기울이셨습니다. 사실 저야 자주 듣는 이야기이지만 처음 보안에 접하시는 분들은 사실 그렇게 쉬운 내용은 아니지만 교육 준비는 나름대로 눈높이를 맞추어 고민하여 준비하였습니다. 늘 교육을 하고 나면 조금 아쉬운 부분은 있지만 참석하신 분들이 꼭 실천할 수 있는 부분만 콕콕 찝어 강조하곤 하였습니다.

아무튼, 보안에 관심을 가지는 소중한 기회나 시간이 되었다면 저에게는 더 없는 영광의 자리였고, 비보안인들에게 보안의 중요성을 알린다는 것 또한 의미 있는 일이라 생각이 듭니다. 개인정보보호법도 시행을 앞두고 있는만큼  그분들에게 그냥 스쳐지나가는 교육에 하나는 아니었으면 하는 작은 바램을 가져 봅니다.

부산신용보증재단에서 보안 교육에 참석 하신 여러분들께 이자리를 빌어 다시 감사의 말씀을 드립니다. 너무 진지하게 들어 주셨습니다... @엔시스 올림.


개인정보보호법 시행이 점점 다가 오면서 많은 사람들이 개인정보보호에 관심을 많이가지게 됩니다. 물론 지방에서도 많은 관심을 가지게 되는데요. 아무래도 서울에 비해 그 기회나 정보가 적다보니 상대적으로 많이 궁금한 점들이 있습니다.

올 초에 3번에 걸쳐 부산글로벌IT교육센터에서 세미나가 준비되어 있었는데 그중에 2번을 진행 하였습니다. 지난번에는 정보보호관리체계의 이해 에 대하여 특강이 있었으며, 이번에는 "개인정보보호법 제정에 따른 법분석과 대응방안" "사례중심의 개인정보보호"등의 주제로 3시간 동안 진행을 하였습니다.

 

세미나는 7시부터 -10시까지 진행이 되었는데요. 모두들 퇴근후에 오셨지만 정말 수업집중도가 높았습니다. 한분도 졸고 계시는 분이 없었습니다. 사실 , 법관련 문제나 보안일반에 대한 수업은 조금 지루한 면이 없지 않아 있는데, 질문도 많이 해 주시고 그만큼 관심들이 있다는 말씀이겠지요.

분량이 워낙 많은 분량이라. 3시간에 소화해낸다는 것 자체도 쉽지 않더군요.

하물며, 일반적으로 1시간정도 대충 수박 겉핥기 식으로 뜬 구름 잡기식 세미나나 특강은 지양해야 할 것 같습니다. 어차피 질문하고 토론하고 들으러 온거 조금 디테일하게 수강하시는 분들에게 가려운 곳을 긁어 주는게 좋겠습니다.

세미나는 다음과 같은 내용으로 진행이 되었습니다.

• • 개인정보보호법의 배경과 필요성
  • 개인정보보호법의 법체계 (개별법과 개인정보보호법의 관계)
  • 개인정보보호법 시행후 행정체계의 변화
  • 개인정보보보법 주요 조항 분석
  • 개인정보보호법 시행에 따른 우리의 대응방안
  • 개인정보보법 이해
  • 개인정보보법 기술적.관리적 보호조치 대응방안
  • 개인정보보법 솔루션 이해등등
  • 실제 사례를 통한 개인정보보호법 FAQ까지

  
  
  이렇게 진행을 하다보니3시간을 정확하게 진행을 하게 되었습니다. 밤 늦은 시간까지 집중하여 들어주신 분들에게 이 자리를 빌어 감사의 말씀을 드립니다.
  
  무슨 교육이든 새로운 것은 잘 없습니다. 이미 조금 알고 있는 내용이거나 또는 어렴풋하게 아는 내용들이겠지요. 하지만 이러한 자리를 통하여 자신의 제한된 환경과 시간을 만듬으로 인하여 한번 더 확인하고 살펴 보는 자리가 되는 것입니다.
  
  아마도 개인정보보호법이 시행이 된다고 하여도 법조문 전체를 한번 줄 그어가면서 읽어 보시는 분들이 몇분이나 있을지 의문입니다. 사실 딱딱한 법이라 재미도 없지만 세미나나 특강시간에 앉아만 있어도 자주 접하게 되니..머리속에 남게 됩니다..
  
  처음에는 수업중에 PIMS(개인정보보호관리체계)부분도 있었지만 수업에 너무 많은 욕심을 내게 되면 오히려 메세지 전달력이 떨어지고 세미나 참석하신 분들에 집중도도 떨어지고 법 조문도 잘 모르는데, 혹은 개인정보보호 생명주기도 잘 모르는데 관리체계까지 한다는 것은 무리인듯 싶어 (참석자분들을 과소평가 한지도 모르겠지만) 제외하고 진행하였습니다. 다음에 기회가 있으면 마련토록해보겠습니다.
  
  저는 교육에 대한 두가지 원칙을 가지고 있습니다.
  
  1. 남을 가르치는것이 자신이 배우는 것이다. -철저하게 실천하고 있습니다.
  2. 교육은 내가 하고싶은 말을 하는것이 아니라 상대방에 귀에 들리게 말하는 것이 진정한 전달 메세지 이다.  결국 많이 알고 있다고 해서 좋은 교육이 아니라 수강자의 눈높이에 맞게 하나라도 알아갈수 있도록 하는 것이 진정한 교육이라 생각합니다.
  
  저도 퇴근후에 3시간이라는 에너지를 소비했지만 세미나에 대한 준비를 많이 한 만큼 열심히 전달하려고 노력하였고, 자료 준비하면서 많은 공부가 또 되었다는 사실이었습니다.
  
  최근에 정보보호관리체계나 개인정보보호법등 관리적 보안에 관심을 가지면서, 기존에 시스템관리, 네트워크등 인프라 운영에 대한 지식과 경험, 그리고 각종 SIS자격증과 CISSP를 공부하면서 연구한 여러가지 암호학 관련 이론적인 공부들이 전체적인 틀에서 내려다 볼수 있는 관리적인 정보보호체계마련에 많은 도움이 되고 있습니다.
  
  따라서, 한분야에 전문가는  현장에서 떠나지 않고 실무와 이론을 겸비한 사람이 전문가가되는게 아닌가 생각을 해 봅니다. 오랜만에 페이스북에서 뵙던 분도 오프라인에서 만나뵙게 되어 반가웠습니다.  전국중심의 보안 실천에 앞장서고 지방에 보안 활성화를 위하여 더욱 열심히 노력하고 달려가겠습니다. 감사합니다.  @엔시스 .
  
  

요즘에 보내기트위터에 보내기페이스북에 보내기미투데이에 보내기

'Lecture&Comlumn' 카테고리의 다른 글

[e-매거진] 보안인닷컴 e-매거진 [보안人] 2호 발행  (0)	2011/07/06
[강연-27] 정보시스템보안강화 및 사고예방대책 특강 -부산신용보증재단  (0)	2011/06/29
[강연-26] 개인정보보호법 분석과 대응방안 -부산글로벌IT교육센터 특강  (22)	2011/06/19
[강연-25] 부일전자 디자인고등학교 보안 특강  (0)	2011/06/08
보안인닷컴 e-매거진 [보안人] 창간호 발행  (2)	2011/06/01
[칼럼-123] 전국중심보안, 지방이라는 단점을 장점화 한다.  (0)	2011/05/25

오랜만에 '청소년' 대상으로 하는 보안특강을 하였습니다. 작년초에 v3 스쿨에 '안철수 연구소'에서 하고 난 이후에 학생들과는 오랜만에 만남이었습니다.

이번에 특강을 한 '부일전자디자인 고등학교'는 고등학교로서는 국내 처음으로  컴퓨터보안과 특성화 학교로 지정이 되어 시범 운영이 되고 있다고 합니다.  그래서 더 의미가 있고, 준비를 많이 하여 준비를 하였습니다.

특강주제는 학생들이기 때문에 다음과 같이 접근 하였습니다.

 

1. 최신 정보시스템의 보안위협 및 사례

1-1. 정보시스템 사이버 침해사고 동향

1-2 정보시스템 사이버 침해 사고사례

2. 시나리오를 통해 알아보는 해킹공격의 이해

2-1. 웹 해킹 공격(리눅스, 윈도우즈)

-웹쉘 , 패스워드 크랙

3. 보안장비를 통한 해킹 방지 방안

3-1. 방화벽

3-2. 침입탐지

3-3. VPN

3-4. IPS

4. 화이트 해커로서의 정보보안 윤리

어떻게 보면 조금 일상적인 주제일지 몰라도 학생들에게 우선 보안전문가의 로드맵에 대한 이야기를 먼저 잡아주고 왜 학생 여러분들이 보안전문가를 하고 싶은지에 대한 자신의 내면의 물음에 대하여 진지하게 고민할 필요가 있다고 강조를 하였습니다.

그리고 최근 보안이슈에 따른 사례 및 해킹 트렌드와 동영상 시연을 하였습니다. 역시 학생들에게는 비주얼 한것이 관심 집중을 잘 하더군요..그럼 잠시 분위기 좀 보겠습니다.

학생들이 진지하게 바라 볼때, 참 많은 생각들이 교차가 되었습니다. 부디 진정한 보안전문가가 탄생되었으면 하는 바램을 가지게 되었고, 특히 크랙커와 해커 사이에서 도덕적 윤리도 갖추는것이 중요하다는 것과 법의 테두리를 벗어 나지 말것..그리고 영어와 수학등 학교 수업도 충실해야 한다는 이야기도 곁들여 주었습니다.

 

그리고 현장감을 보여 주기 위하여 현재 실무에서 이용되고 있는 보안 솔루션에 대한 이야기를 해 주었으며, 학생들 눈높이에 맞은 안전한 패스워드 관리에 대한 부분을 아주 쉽게 설명을 해 주었습니다. 아마도 가장 잘 전달 된 내용이 아닌가 하는 생각을 하였습니다.

오랜만에 청소년들을 보니 마음이 뿌듯했으며, 향후 보안꿈나무가 탄생하길 기대해 보면서 나름대로 최선을 다해 학생들에게 조금이나마 도움이 되는 시간이었다고 생각이 듭니다. 이자리를 빌어 교감 선생님, 그리고 담당 부장선생님,..또한 특강을 준비하신 차xx선생님에게 감사의 말씀을 드립니다.

*에피소드 한가지.
특강의 현장감을 주기 위하여 패스워드 크랙하는 시연을 보이려고 미리 원격지 서버에 크랙시연을 준비하였지만 학교 내부 보안정책 때문에 원격지 서버가 접속이 되지 않는 바람에 그냥 말로 때웠다는...^^;; 준비 많이 했는데..시연은 못했지만 보안은 잘 되어 있다는 이야기겠죠.

1. TED 란? 

퍼뜨릴만한 가치가 있는 아이디어를 공유하는 전 세계적인 컨퍼런스 이벤트 행사입니다. 강연자가 18분 동안 강연을 하고 강연은 무료로 기부하는 형태로 진행이 됩니다. 작년과 올해에 테드에 대한 열풍이 일고 있습니다. 특히 한국은 인도 다음으로 전국적인 개최되고 있다고 하네요

2. TEDx 란?

이러한 TED에 직접 참가하거나 들을수 있으면 좋은데 그렇지 못하기 때문에 TED 스러운 취지와 철학을 가지고 경험해 보는게 바로 TEDx 입니다. 독립적으로 행사를 치를수 있고 TED에서 제시하는 가이드라인과 라이센스를 얻어야만 행사를 진행할 수 있습니다.


3. TEDxHaeundae 조직

TEDxHaeundae 를 네이밍을 하기 위하여 많은 고민을 하였으며, 결국 부산하면 해운대 해운대 하면 부산을 상기시키는 의미에서 haeundae 로 조직이 되었네요.. 대부분 일반인과 직장인이고 학생들이 조금 포함이 되어 있습니다. 차별점이라고 국내 대부분 대학생 위주로 조직화 되는 경향이 많은데 일반인과 직장인 위주였고, 지방에서도 얼마든지 좋은 강연 프리젠테이션 행사를 치를 수 있었다는 것입니다.


4. 왜 TEDx 인가?

강연 , 행사 하면 딱딱한 강연 문화, 또는 기관주도, 기업주도로 되는 경우가 많았는데 TEDx라는 브랜드를 이용한 즐기는 행사로 일반인들이 만들어 갈수 있는 그리고 지역화와 세계화 , 지역에 균형 발전적인 부분에 있어서도 문화적인 측면에서 많은 영향을 끼칠수 있다고 생각이 들었습니다. 


5. 강연자 - 연사 프로필

http://www.tedxhaeundae.com/TEDx/board/view.do?rbsIdx=31&idx=5

5. TEDxHaeundae 오거나이져.

TEDxHaeundae 행사를 위하여 보이지 않은 곳에서 함께 고생해 준 오거나이져 분들이 있었기에 뜻깊은 행사로 남게 되었습니다. 고생하신 오거나이져 분들에게 감사의 말씀을 드립니다.

http://www.tedxhaeundae.com/TEDx/freeForm/view.do?rbsIdx=25

                                                 ▲  킥오프 하면서 사전 답사후 오거나이져분들과 함께. 

                                                                ▲  라이센시와 디렉터 네임텍

                                            ▲  첫번째 이야기 "비상(非常)" 를 주제로 한 포스터

                                                                       ▲  행사 리플렛

                                                                            ▲  초대 연사에 대한 소개

                                                                     ▲  사전  행사 리허설 하고 있는 Director

 

                                                      ▲  행사마치고 화이팅 하는 오거나이져와 자원봉사분들


그리고 무엇보다 우리 초짜들에게 힘을 주실수 있었던 교통방송 아나운서 김정아님의 사회로 행사가 더 빛날수 있었던게 아닌가 하는 생각이 듭니다.  기부 사회를 해 주셔서 너무 감사하고 고맙습니다.  지금 사진으로 뵈어도 미인십니다. 이런거 제 블로그에 오픈해도 될라나 모르겠네,..페이스북에 있는거 퍼 왔으니 상관없겠지용~~

                                       ▲  미인이고 목소리까지 이쁘신 교통방송 김정아 아나운서


6. 소감

-쉽지 않은 여정이었지만 그래도 일반인과 직장인들, 그리고 학생이 각기 다른분야에 사람들이 모여서 행사를 무사히 잘 마쳤다는데에 의미를 두고 있습니다. 서로 각자 맡은바 역할에서 최선을 다했기에 행사는 더욱 빛난것이 아닌가 생각을 하구요. 부산에서도 이런 문화 행사가 많이 열리길 바라고, 무엇인가 지역발전을 위하여 한몫한듯 한 느낌이 들어 힘들었지만 보람되었다는 생각이 행사가 끝나고 나니 밀려 오네요. 사실 당일에는 행사에만 신경쓰느라 정신이 없었거든요.

- 행사를 위하여 후원해 주신 부산시와 부산인적자원개발원에 깊은 감사의 말씀을 드립니다. ^^;;


7.  각 방송과 언론 보도 매체 TEDxHaeundae 소개 되었네요.

요즘은 sns를 통하여 많은 홍보와 안내를 하다보니 각종 방송과 언론에서 기사화 해 놓았네요. 가이드라인에 규정이 있어 언론과 방송에는 접촉을 하지 않음에도 불구하고 지역에서 새로운 문화 창출과 행사가 많이 부족한 부분이 있어서 관심을 갖지 않았나 하는 생각이 드네요..

• 연합뉴스 2011-04-22 : http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=102&oid=001&aid=0005025790
• 뉴시스 2011-04-22 : http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=102&oid=003&aid=0003815624
• 뉴스와이어 2011-04-22 : http://media.daum.net/press/view.html?cateid=1065&newsid=20110422084841659&p=newswire
• 부산인터넷신문 2011-04-22 : http://www.bsinews.com/ArticleView.asp?intNum=6449&ASection=001013
• KBS 부산 9시 뉴스(2011-04-23) : http://nkoreanet.kbs.co.kr/asx/asx.php?title=%EB%89%B4%EC%8A%A49%28%EB%B6%80%EC%82%B0%29&url=2011%2F20110423%2Fnews920110423_01_00_00_m.asf&local=busan
• 국민일보 2011-04-24 : http://news.kukinews.com/article/view.asp?page=1&gCode=kmi&arcid=0004888414&cp=nv
• 국제신문 2011-04-24 : http://www.kookje.co.kr/news2006/asp/center.asp?gbn=v&code=0500&key=20110425.22002213449
• TEDx와 관련된 기사, 국민일보 2011-04-24 : http://news.kukinews.com/article/view.asp?page=1&gCode=kmi&arcid=0004888467&cp=nv 
• 부산일보 2011-04-25 : http://news20.busan.com/news/newsController.jsp?subSectionId=1010010000&newsId=20110425000113
• 
  http://www.befm.or.kr/03/playAgainPop.jsp?prgmId=efm18&plyDt=20110425&partSeq=0&aodFile=201104/20110425efm18_0.wma
  
  On Saturday, April 23rd, TEDx Haeundae, a conference for sharing ideas, was held at Nurimaru in Haeundae with support from the city of Busan. Reporter Leo Kim has the story.
  
  (On-site Effect)
  TED is a non-profit foundation which has carried out beneficial conferences under the slogan of “Ideas Worth Spreading” since 1984. Such famous speakers as Bill Gates, Al Gore and Jane Goodall have shared their ideas with others through the conference. Now, we are able to participate in the conference here in Busan with support from the city of Busan and the Busan Human Resources Development Institute. On April 23rd, the first conference was held at Nurimaru.
  
  (On-site Effect)
  Anyone could participate in the conference as a speaker to share his or her ideas with others. On Saturday, there were seven speakers, including a photographer, a traditional Korean singer appointed as an intangible cultural asset, a film director, a web-technology company CEO, a documentary producer, a social company CEO, and one of the TEDx founders.
  
  About 100 people, including university students and office workers, participated in the conference which was held under the topic of 'Soaring'. The registration process for participation was finished within five hours, reflecting the great level of interest shown by people in regard to the conference.
  
  (Interview with Participants)
  Currently, there are more than 30 TEDx conferences held in Korea, including TEDx Seoul and TEDx Daejeon. Now, we have the conference here in Busan.
  
  During the conference, each speaker spends about 18 minutes to present their ideas to others. The ideas shared at the conference are put on various media including social networks. Also, the ideas are translated into 42 languages in 96 countries with the help of 9,000 voluntary translators.
  
  (Interview with the Organizer)
  Nowadays, due to technological development, it has become easier for people to share their ideas over the Internet. Also, they can provide others with beneficial information. Such an effort shows a true human network where everybody can become happy. Now, it's your turn to participate.
  
  This is B-eFM Reporter Leo Kim.
  
  
  

며칠전 저녁에 KBS2 에서 방송하는 "생생정보통"이라는 프로그램에서 IT관련 주제를 방송하는 것을 우연히 본적이 있었습니다. 국내 대표하는 보안회사 직원들도 대거 나오더군요. 그중에서 아는 사람도 몇명이 있었더랬습니다.

하지만 , 결국 비추어지는 모습은 현재 이공계 기피현상에 따른 IT강국이지만 IT강국에서 자부심이 아니면 할수 없는 안타까운 실상을 보여 주는 프로그램이었습니다. 방송에 출연한 사람들의 늠늠한 모습이 보기 좋았지만 새롭게 빨리빨리 변화하는 기술을 따라 잡기란 그리 쉬운 일이 결코 아니다라는 것을 느꼈습니다.

특히 정보보호 분야에선 꾸준한 자기학습과 노력이 뒷받침이 되어야 합니다.

                             
                                                                                  (source:  여기 )


보안에 대한 두 딜레마

대한민국 IT에서 기술은을 따라가기엔  힘든 여러가지 요소들이 있습니다. 주로 환경적인 요소가 많이 있는데 특히 대한 민국의 경우 나이가 많이들면 관리직으로 빠지는 경우가 있죠. 그것은 자신의 분야에서 조금 전문적인 지식으로 거듭나야 하는데 자연스럽게 관리를 하게 되는 쪽으로 빠지게 됩니다.  그러다  보니 다음과 같은 딜레마에 빠지게 됩니다.

• • 관리자 - 갑에 위치
    
    
  • 일반적인 기업에서 관리자 위치나 또는 을에 있다가 갑의 위치로 가서 관리자 역할을 하는것이나 어쨌든 주로 사업관리적인 측면이 강하다 보니 진정한 보안에 대한 이슈나 기술 또는 자신이 원하는 보안에 대한 부분의 지식이나 욕구를 해소시키는 것이라기 보다는 연구 문서정리나 기획등을 하게 되어 혼란을 겪는 분들을 주변에서 몇번 보았습니다. 결국 기술과 멀어지는 것이지요.
  • 기술자 - 엔지니어 위치
  • 자신의 분야에서 오래동안 근무를 하고 또한 보안이라는 분야는 첫 접근 방식이 "기술"에 접근을 먼저 하기 때문에 일정 연령이 되기 전까지는 기술에 의존 할수 밖에 없다. 엔지니어의 최대 강점은 바로 "핵심기술" 이 생명입니다. 따라서 다양한 기술과 개선할수 있는 방식을 연구하다보니 전체적인 틀보다는 편협한 시각을 보는 경우가 많습니다. 생각이 유연하지 못한 경우가 발생이 됩니다.

결국 기술하는 엔지니어나 연구원은 마냥 기술쪽으로만 파고 나가는 것이다 보니 전체적인 틀에서 보안에 대한 통찰력을 갖기 어렵고, 관리자로 전환하여 갑에 위치에 있거나 혹은 자체 PM으로 실무를 멀리하다보면 기술적인 부분이 부족하여 그냥 이론적인 말뿐인 일이 벌어지고 있는 것이죠.. 2개를 믹스하여 복합적인 형태의 보안인재가 필요하고 향후 고민해야 하는 사항이기도 합니다. 전반적인 IT범위도 넓은데 법,제도 운영, 그리고 관리 ,,기술까지 전부 섭렵하고 통찰력을 키우려니 여간 힘든 것은 아니지요.  그 선택은 바로 당신에 몫이기도 합니다.


그나마 현장에 있는 것이 보안을 이해하고 감을 유지하기 좋아

요즘 여러가지 정보보호에 대한 이런 저런 대안들이 제시가 되고 있는데 위에서 언급한 이론+실무를 겸비한 문무를 겸비한 전문인을 찾기 어렵다는 것입니다.  어쩌면 이론을 잘 아시는 분과 실무에 능숙하신 분들이 잘 협조나 공조체계가 이루어지면 좋겠다라는 것이 가장 합리적이지만 쉽지 않는 것이 현실입니다.

나이가 들어도 운영체제 이론부터 , 운영체제설치 그리고 네트워크 , 이론과 실무..그리고 인프라 지식들의 바탕으로 정보보호를 어떻게 하면 잘 도입을 하고 체계적으로 관리 할 수 있는지에 대한 정보보호관리체계까지 현장에서 부딪히면서 이제 막 정보보호에 발을 들여 놓은 후배들에게 많은 사례를 통하여 더 나은 지식을 전파하는 것이 보안생태계(Security ecosystem) 를 조성하는 게 아닌가 하는 생각을 해 보았습니다. 그래서 어쩌면 저도 남는 시간을 대부분 블로그 포스팅 하는데에 할애 하는지도 모르겠습니다. 그것이 꼭 지식이 아니더라도 생각을 공유 할수 있는 공유의 장은 될수 있을테니까요.

늘 현장에서 다양한 보안에 대한 생각과 지식을 나눌수 있고, 대한민국 정보보호 발전에 이바지 하였으면 좋겠다라는 생각을 오늘도 가져 봅니다.  여러분들 제 블로그에 방문하시는 분들 힘들지만 화이팅 하시고 힘내시길 기원해 봅니다..
  @엔시스.

개인정보보호법 시행되면 파파라치 활개 치지 않을까?

법의 준거성 측면에서 법의 준수 여부를 가지는 성질이다보니 앞으로는 개인정보취급방침이나 개인정보 저장 , 열람과 수정권 등 ..각종 여러가지 혼란스러운 부분들이 발생 할 수 있습니다. 이러한 사항들만 골라서 신고하는 파파라치들도 나타나지 않을까 우려가 됩니다.
 
이러한 부분을 최대한 방지하기 위해서는 다양한 보완책을 마련하여  업종별, 산업규모별, 베스트프랙티스를 만들어 인식 전파에 최선의 노력을 다해야 할 것입니다. 불합리한 것이 있으면 개정을 통하여 수정하고 법이라고 해서 반드시 법이 옳다고는 할 수 없습니다. 하지만 대부분 무관심이 불러오는 것은 또 다른 구속으로 다가 올 것입니다.

따라서, 많은 관심과 국가기관과 업계, 그리고 산학협력등에서 조기 정착을 할 수 있도록 다 같이 노력하고 힘써 개인정보보호법제정의 취지와 의미를 꼭 되살려야 하겠습니다.  @엔시스.

개인정보보호법 관련 포스팅

2011/03/09 - [Privacy Security] - [보안칼럼] 개인정보보호법 법사위 통과의 의의와 배경
2011/01/17 - [Privacy Security] - 개인정보 출력, 복사물 관련 보호조치 완화돼~~
2010/09/30 - [Privacy Security] - '개인정보보호법' 통과의 의미와 향후 방향
2010/08/08 - [Privacy Security] - 개인정보보호법통과와 개인정보보호 감독 독립기구 설립 시급해
2010/04/11 - [Privacy Security] - [개인정보보호법] 제정으로 현재와 달라지는 점
2009/04/20 - [Privacy Security] - 우리동네에서 사업하는 삼촌, 개인정보보호 소홀로 처벌받을수 있어

*전주현의 개인정보보호길라잡이 : http://www.privacyguide.co.kr

관리체계를 수립하고 최종 KISA에서 인증하는 인증심사를 통과를 해야만 인증서가 발급이 됩니다. 제3자의 외부 전문가의 객관적 시각을 통하여 점검을 해 보는 것이죠.

인증 심사에서 주로 심사하는 관점은 3가지로 정리가 될 수 있습니다.

• 관리과정의 적절성 - 관리과정의 전반적인 적절성과 체계성을 심사.
• 위험관리 - 위험관리를 통하여 선택된 정보보호대책들이 정확히 구현 되고 사후 관리가 되었는지를 심사.
• 법의 준거성 - 관리체계 수립시 관련 법률과 제도에 근거한 법의 준거성 측면에서 심사.

아마도 이러한 3가지 측면에서 인증심사를 진행 하게 됩니다. 특히 관리체계의 적적성이란 전문가들 사이에 의견도 달라지고 환경 변화에 따라 변할수 있기 때문에 , 관리체계를 위한 적절한 조직,절차, 방법들이 사용되고 이들이 체계적으로 관리되는지를 보는 것이죠.

따라서, 인증심사시 허점을 찾아내기 보다 전체적인 틀과 운영상태를 중요하게 심사하게 되고, 단기적, 중기적 , 장기적 마스터 플랜을 세워 어떻게 체계적으로 관리해 나갈 것인가에 대한 의지도 중요한 포인트 중에 하나일 것입니다.

예를들어 전산실의 물리적 보호조치가 미흡하여 결함사항이 도출이 되었다고 하면 , 이미 해당년도 예산은 결정이 되어 있고 , 당장 투입할 예산이 없는데도 결함사항을 주어 그것을 보완조치하라는 것은  피 인증 심사기관으로도 힘든 부분일 것입니다.

이럴땐 실무담당자에게 중장기적인 계획을 수립하는 방안을 검토하게끔 조언을 주고 차년도 사후관리 심사시에 적용될 수있는 방안을 권고를 하고 차후 사후관리 심사시에는 반드시 이행 여부를 확인하여 , 보안 관리를 점점 강화해 나갈수 있도록 하는 것이 관리체계의 근본적인 취지일 것입니다. 또한 그것이 심사원의 심사 스킬이 아닌가 생각을 해 봅니다.

무조건 허점을 찾아 단기간 보완조치 하기 힘든 것을 결함을 준다면 실무 담당자는 오히려 더 힘들게 할 수도 있고 관리체계의 어려움을 호소 할 수 있기에 , 그 취지에 벗어날 수 있지 않는가 하는 생각도 해 봅니다.

예외는 있습니다. 실무 담당자가 의사결정자에게 관리체계의 외부 심사원으로부터 심사를 받고 결함을 도출하여 힘을 실리게끔 지원 사격을 원하는 경우가 있습니다. 이럴땐 의사결정자의 마음을 움직여야 함으로 종료보고회의때 실무담당자에 힘도 실어주고 의사결정자의 정보보호에 대한 인식제고도 시킬 겸 적절하게 수위 조절 하여 긴급 보완조치를 취하여야 한다는 당위성을 설명해 주는 것도 좋은 방법중에 하나라 생각합니다.

어떠한 경우 동일한 사업장에 인증심사를 나가보면 작년보다는 올해에 위험관리가 잘 되어 있어 그 취약점을 점점 제거해 나가고 보안이 강화되는 것을 보면 인증심사원으로서는 뿌뜻함을 느끼게 되는 경험도 느끼게 됩니다.  @엔시스.

"보안전문가가 되기위한 나만의 로드맵" 주제로 보안인닷컴 2011년 서울 정기 정모가 열렸습니다.

2011년 보안인닷컴 (네이버 보안커뮤니티 http://www.boanin.com ) 서울 정기모임을 새해들어 진행을 하였습니다. 다소 빠른 진행을 보이긴 했지만 많은 분들의 호응과 참여로 무사히 마치게 되었네요..

하필이면 가는 날이 장날이라고...가장 추운날 날짜를 잡게 되었지만 , 아마도 참석한 분들의 마음은 그 추운 날씨를 녹일수 있는 따뜻한 마음이었을 것이라 생각이 듭니다.



 

모임공간 토즈에서 첫번째 장소를 정하였으나 참석자가 많아지는 관계로 한국생산성 본부에서 도움을 주셔서 좋은 시간을 가질수 있었습니다. 관계자분들에게 감사의 말씀을 드립니다.

비록, 주말을 서울에서 보내긴 했지만 나름 의미있고, 가치 있고, 제가 잘 할수 있는 일을 하지 않았나 하는 생각이 듭니다.

힘들고 어렵고 지칠때 서로 격려해 주고 힘을 불어 넣어 줄수 있는 사람이 필요하다는 생각이고 이를 몸소 실천해 보려고 나름 노력은 하고 있습니다만 아직도 갈길이 멀기만 하네요.. 많은 격려와 참여 부탁드립니다.

자세한 내용은 아래 후기를 참고 하시면 되겠습니다. 부득이 하게 로그인해야 볼수 있음을 양해 바랍니다.

운영자 정모후기 http://cafe.naver.com/nsis/49058  (로그인 안하고 볼수 있어요..^^ 나머지는 제가 적은게 아니라서..로그인 해야)

정모후기 반가웠습니다 -니키
정모후기여 -빨간펜
KPC정모후기 -페르시안
15일 정모후기 -헬로우에브리원
2011년 신년 보안인닷컴 서울정모 후기 -YESK
2011년 보안인 서울 첫 정모 -사이다
1월15일 서울 정모후기 -김상현79
1월 15일 서울정모 -구르는 곰탱이
2011-01-15 서울정모후기 -세종파


다음에는 부산에서 정기 정모를 추진하겠습니다. 많은 참석 바라겠습니다...^^;;  올 한해에도 보안을 공부하고 연구하고 밥 벌어 먹는 모든 보안인 여러분들에게 행운이 있기를 바랍니다..

-엔시스 올림.

* 보안인닷컴 (http//www.boanin.com)   은 2004년7월에 포털 네이버에 개설된 보안관련 전문 커뮤니티로 각종 보안에 대한 자격증에 대한 정보공유와, 보안이슈, 그리고 정기적인 스터디모임등을 가지고 있으며 다양한 분야에 보안에 관심있는 사람들이 함께 어울어져 교류하는 커뮤니티입니다.

2010년12월. 어느덧 한해를 마무리 해 가는 시점에서 블로그에 지난 5년간 블로그를 운영하면서 나에게 안겨준 득과 실에 대하여 정리를 해 보고자 한다. -주인백.

2005년2월.

처음 테터툴즈라는 것을 접하였을때 신기함이 있었고, 블로그라는것이 이제 막 시작하는 단계라서 설치형 블로그에 매력을 느껴 설치를 하고 하나씩 이것저것 뜯어보면서 일기 형식처럼 글을 적기 시작했다. 처음엔 그냥 이러저런 이야기로 시작이 되었다.


1. 블로그의 정체성

시간이 지나고 흘러가면서 블로그를 왜 해야하는지에 대한 진지한 고민을 하겠되었다. 그렇게 해서 시작된 것이 "부산블로거 모임" 일명 "부블모" 지금은 그냥 유휴상태로 있지만 처음 오프라인에서 3-4명이 모여서 이런저런 이야기를 하게 되었고 그결과 여러가지 시도들을 하게 되었다. 블로그에 대한 글쓰기, 검색 최적화, 수익구조, 블로그 사용방법, 롤 모델등등..

한달에 한번씩 모여서 이야기도 하고, 부페집에서 같이 모여서 음식도 먹었다. 그때 고등학생이 이제는 어엿한 대학새이 되기도 하고 아직도 블로그에서 만나기도 한다.

2. 블로그 운영 콘텐츠 7:3 형식으로

그 당시 많은 혼란을 가져오면서 이런저런 시도들을 많이 했고, 주변에서 여러가지 조언도 주었다. 그때 블로그의 가장 핵심과 힘은 바로 "콘텐츠"이다. 콘텐츠가 쌓이게 되면 검색 엔진에서 많이 노출이 되고, 또한 질 좋은 글은 더 많이 블로그를 방문하게 될수 있다라는 여러가지 시행 착오 끝에 얻은 결론이었다. 그래서 난 보안이라는 주제를 7 그리고 사적인 것이나 그외적인 부분을 3으로 삼아 7:3 비율로 블로그를 운영하기 시작을 했다. 처음엔 스크랩 한 것도 많았고, 여러가지 보안에 대한 기술적인 부분도 찾아서 나름대로 글을 적기 시작하였다.

3. 콘텐츠의 전문화

해마다 열리는 블로그 관련 각종 우수블로그 시상에는 분야별로 우열을 가리는 시상이 있다. 자세히 보면 블로그를 얼마나 전문적으로 그리고 많은 사람들에게 유익한 정보를 전달 할수 있는 매체로써 운영을 했는지..사실 이렇게 주목 받으려면 정말 성실하게 여러가지 이슈 사항과 다양한 글감들을 찾아서 블로그를 운영하지 않으면 쉽지 않은 일이다. 아마도 블로그를 운영해 본 사람이라면 공감을 할 것이다.

각 분야에서 드디어 두각을 나타내는 사람들이 나타났고, 어떤 블로거는 요리로 어떤 블로거는 책으로 어떤 블로거는 음악으로 다양한 분야에서 자신의 경험과 노력을 글쓰기를 통하여 나타내고 다른 사람들에게 롤모델이 되기도 하면서 전면에 나타났다.

이러한 전문성을 띠기 위해 난 보안분야에 대한 글을 쓰려고 노력은 했지만 사실 보안이라는 기술적인 부분은 여러가지 오픈 할 수 없는 필수 불가결한 부분들이 있어 그러한 부분은 약간 비껴가면서 조금은 무미 건조하게 운영해 오고 있는것도 사실이다.

4. 질적 콘텐츠는 가치를 인정받아

그렇게 꾸준히 끊임없이 운영한 결과 주변에서 찾아 주고 알아 주고 해서 여러가지 채널을 통하여 블로그를 알리는 기회가 마련이 되었다. 여러번 기고도 하게 되고, 인터뷰도 하게 되고 심지어는 모 IT매체에 블로그에 대한 글을 콘텐츠로 제공도 하게 되었다. 물론 약간의 보상도 받게 되었다. 그 이후부터는 임의적인 글쓰기 보다는 조금은 신경을 써서 블로그에 올리게 되는 무미건조한 블로그가 되지 않았나 하는 생각도 든다. 어쩌면 나 자신의 아무렇게나 쓸수있는 글이 아닌 남이 항상 보고 있다는 것을 의식한 글을 쓰는게 아닌가 하는 생각이 든 것이다. 그것을 떨쳐 버리기엔 상당한 시간이 필요했다.

5. 블로그는 나를 표현하는 수단이자 아바타

블로그는 결국 나를 표현하는 수단이자 아바타이다라고 표현 하고 싶다. 글에 자신의 생각이 뭍어나게 되고 힘들면 힘든대고 기쁘면 기쁜대로 함께 이웃할수 있는 사이버상에 아바타인 것이다. 며칠전 오프라인에서 지인을 만나서 이런 저런 이야기를 하는데 내가 예전 직장이 부도를 당해 마음에 상실이 커서 어려움을 느꼈고 그때의 솔직한 심정을 적은 글이 있었는데 그 글도 기억하고 있다라고 이야기 하는 것을 보니 많은 사람들이 함께 공감하고 그 사람의 진솔하고 진실된 면을 블로그를 통하여 엿볼수도 있구나라는 생각을 했다. 그러면서 하는 말
" 엔시스님 ~~ 이제 착하게 사셔야겠습니다"
" 어디가서 이제 거짓말 못합니다"
지금까지는 아무런 꺼리낌없이 그냥 사이버공간에 내 자신의 생각과 느낌을 표출한다고 생각했지만 이제는 조금 모든 행동과 처신을 잘 해야겠다는 생각을 했다.

---

* 블로그를 운영함으로서 얻은  득(得)

블로그를 운영하면서 득(得)이 되었던 부분을 생각을 해보니 첫째,아무래도 나 자신이 무엇인가를 글로써 정리하면서 스스로 학습 능력이 좋아진 느낌이 들고 하나씩 축적되어 가는 나만의 공간에서 나를 나타낼수 있는 나만의 글이 , 또 다른 시행착오를 거치지 않고 다른 사람에게 유익한 정보가 된다라고 한다면 그 또한 보람있는 일이지 않는가를 생각하니 내 스스로가 자부심과 뿌듯함이 있었다. 그것이 가치있는 글이 아니든, 방문하는 한명이라도 소중한 정보라고 생각을 했다면 더 이상 바랄 것이 없는 것이다.

둘째는 대외적으로 많이 알려지게 되었다. 좋은 점이라고 생각하지만 어쩌면 또한 부담되는 사항중에 하나일수도 있겠지만 온라인이라는 똑 같은 판에서 성실하게 꾸준히 글쓰기를 하여 대외적으로 자신을 알린다는 것은 또 다른 경험이었다.
 
셋째는, 글쓰기가 훨씬 수훨해진 느낌이 든다. 이제는 어떠한 주제에 대한 두렴움은 조금 떨쳐 버린게 아닌가 생각을 한다. 즉, 글을 많이 써 보다보면 그만큼 실력이 늘어간다는 것을 본인도 알게 된다.

네째, 블로그를 운영하면서 나의 모습을 하나씩 찾아 가는 듯한 느낌을 받았다. 아직도 난 비밀글로 블로그에 하나씩 일기 형식으로 적고 있다. 언젠가 오픈할 날이 오겠지만 ..그렇게 스스로의 '나'라는 존재를 블로그에 글을 쓰면서 스스로 자기다짐과 자신의 모습을 찾아 가는 것이다.

다섯째, 투명과 신뢰를 원칙으로 살아가게 되었다. 요즘 비밀이라는 것은 없다, 특히 온라인에 활동을 하는 사람은 자신의 모습을 그대로 진솔하게 투명과 신뢰를 가지고 솔직하게 모든 것을 오픈해도 두려울 것이 없는 사람이 하는게 좋다. 그렇지 않을 경우, 여러가지 역기능들이 발생 할 수 있다. 그래서 더욱 성실하고 도전하고 열정적인 모습, 그리고 투명과 신뢰를 가지고 한분한분 만나는 사람들과 소중한 인연을 맺어 가고자 하는 습관이 생겼다.


블로그를 운영함으로서  잃은 실(失)

블로그를 운영하면서 잃은 것이 있다면 바로 그것은 시간일 것이다. 블로그 글 하나 포스팅 하는데 사용되는 시간은 그리 짧은 시간은 아니다. 또한 사진이나 여러가지 글을 신중하게 적어야 하는 글이면 최소한 2-30분에서 많게는 한시간 넘게 글을 포스팅하는데 투자를 하는 것이다. 그런데 이러한 블로그 운영에 있어서 자신만에 정체성이나 중심과 기준과 원칙이 없으면 이러한 소중한 시간을 낭비하는 꼴이 되어버린다. 다행히 나는 그 시간을 다시 돌려 받을 수 있어 그나마 아직까지는 다행이라 생각이 들지만 그래도 지난 5년 동안 블로그에 쏟은 정성은 많다. 주말에도 늘 블로그에 대한 연구와 고민을 했고, 어떠한 주제와 글로 포스팅 해야 할 것인지, 어떻게 하면 잘 운영 할 것인지에 대한 여러가지 시행착오를 겪었던 것이다. 그외에는 블로그를 운영하면서 실보다는 얻은 것이 더 많다라고 생각을 하고 있다. 그것은 지방에 거주 한다라는 핸디캡을 커버 할수 있는 유일한 방법은 온라인 밖에 없었기 때문이다.


마무리

블로그를 통한 수익도 좋고, 브랜딩도 좋고, 여러가지 의미도 있겠지만 무엇보다 자신이 스스로 체험해 보고 느끼고 무엇인가를 만들어 나갈 수 있는 하나의 소중한 경험이 제일이지 않은가 생각을 해 본다. 아직도 블로그를 왜 운영해하는지를 이해 하지 못하는 사람들이 있고, 또한 그것은 어떻게 해야 할지를 몰라 헤메는 사람들이 있다. 많은 고민을 해 보고 여러가지 실험과 스스로 체험을 해 보는 것이 무엇보다 중요하다 생각한다.

최근 SNS가 전세계에 유행처럼 번지고 있고 이것은 스마트폰과 맞물려 또 디지털 유목민으로서 해야 할지 말아야할지 사람들에게 고민을 던져 준다. 그리고 나에게 물어 본다.

"트위터를 해야 해요? 페이스북을 해야 해요? 라고

그럼 나는 대답한다

" 블로그를 운영하세요"

이 답에는 지금까지 카페, 블로그와 트위터,페이스북 등 각종 쇼셜 SNS을 사용해 본 나는 많은 함축적인 의미가 담겨져 있다. 왜 트위터와 페이스북이 아닌  제일 먼저 블로그 부터 운영해 보라고 하는지에 대한 질문에 대한 답변은 여러분들의 숙제로 남겨 두겠다. 숙제에 대한 댓글은 아주아주 환영을 한다. 오늘은 지난 5년간 블로그를 운영하면서 느꼈던 점을 조금 길게 한번 정리를 해 보았다., 즐거운 주말 보내시길..

P.S 혹시 다른 생각을 하거나 나름 블로그에 대한 생각이 있으신 분들은 댓글 환영합니다, 주저하지 마시고 댓글 올려 주시기 바랍니다. 그것이 자기 표현의 첫번째 실천입니다.