'Lecture&Comlumn'에 해당되는 글 203건

  1. 2014.12.12 [발제] 보안문화 정착을 위한 국가, 기업, 개인의 대응방안
  2. 2014.10.27 [컬럼] 정보주체,이용자 권리보장 더 요구해야 하는 이유
  3. 2014.08.27 [기고] 제2회, 당신의 패스워드 안전하십니까?
  4. 2014.08.13 [기고] 제1회, 마이핀(My-pin) 무엇에 쓰는 물건이고?
  5. 2014.05.01 [강의-40] 도로운영의 가치를 창조하는 신공항 하이웨이 (2)
  6. 2014.04.30 [강의-39] 매출 3조 대기업 정보보안, 개인정보 교육
  7. 2014.03.26 [강의-38] 기업 정보보안 교육 "경영진"부터 참석해야
  8. 2014.02.05 개인정보보호 교육170여차례, 눈높이 맞추면 반응좋아 (1)
  9. 2013.12.05 [강의-37] 산학융합관련 특강 - D대학교
  10. 2013.12.04 [강의-36] 클라우드 기반 망분리 구축 및 정보보호관리체계 세미나
  11. 2013.11.22 [강의-35] 스마트폰보안과 정보보안 - 대진정보통신고등학교
  12. 2013.07.17 [강의-33] 최근 보안경향과 정보보호의 이해 -부산정보고등학교
  13. 2013.05.12 [강연-32] 정보보안기사 산업기사 한권으로 끝내기 출판 기념 강연회
  14. 2013.04.30 [강연-31] 긴급점검 3.20 사이버 대란이후에 국내정보보호현황
  15. 2013.04.18 [강연-30] 긴급점검 3.20 이후 정보보호 동향
  16. 2012.11.24 초보자가 쓴 칼럼 , 쓰다보니 어느새...
  17. 2012.05.10 부산 IT기업 개인정보보호책임자 실무-I 교육후기
  18. 2012.04.29 내가 강의하는 이유는 내 말을 들을수 있기 때문에
  19. 2012.03.24 [칼럼-127] 보안은 기술일까? 정책일까?
  20. 2011.12.28 [칼럼-126] 왜 나이들면 보안업계를 떠나는가? (8)
  21. 2011.11.16 [강연-29] 보안인닷컴 특강 "개인정보보호법 이해" 성황리에 마쳐
  22. 2011.10.26 [강연-28] 서울과학종합대학원에서 개인정보시스템 구축론 강의
  23. 2011.09.24 [칼럼-125] 갑을병정놀이 중단해야 IT가 산다. (1)
  24. 2011.08.04 [칼럼-124] 개인정보 파기에서 "즉시파기한다"의 불편한 진실 (1)
  25. 2011.07.09 [기고-12] 관리체계 수립으로 Security Life Cycle 만들어야
  26. 2011.07.06 [e-매거진] 보안인닷컴 e-매거진 [보안人] 2호 발행
  27. 2011.06.29 [강연-27] 정보시스템보안강화 및 사고예방대책 특강 -부산신용보증재단
  28. 2011.06.19 [강연-26] 개인정보보호법 분석과 대응방안 -부산글로벌IT교육센터 특강 (22)
  29. 2011.06.08 [강연-25] 부일전자 디자인고등학교 보안 특강
  30. 2011.06.01 보안인닷컴 e-매거진 [보안人] 창간호 발행 (2)

                  보안문화 정착을 위한 국가, 기업, 개인의 대응방안

 

                                                                                                            

                                                                                                          전주현(경성대학교 컴공과 외래교수)

                                                                                                             (ISMS/PIMS/PIPL인증심사원/PIA)

                                                                                                                                  (보안인닷컴 대표)

 







2014년도 1월 카드 3사 개인정보유출로 올해 보안이 최대 화두로 떠 올랐다. 금융개인정보가 유출되었기 때문에 언제든지 자신의 통장에서 돈이 빠져 나갈수 있다는 불안감 때문에 국민들이 관심을 가지게 된 것이다. 비단 이는 개인에 국한되는 이야기가 아니다. 사이버 위협은 국가와 국가의 사이버전으로 발전하고 있다.

 

군사전문 매체인 디펜스뉴스가 최근 미정부와 의회, 방위산업체 내 국방 전문가 352명을 대상으로 처음 실시한 ‘미국의 위협인식’ 설문조사에서 미국과 그 국익에 가장 심각한 위협으로는 전체 응답자의 45.1%가 사이버전을 꼽았다. 이어 테러(26.3%), 중국(14.3%), 이란(7.9%), 기후변화(5.8%), 북한(0.7%) 순으로 나타났다. 미국은 위협은 사이버전이 북한보다더 큰 위협으로 인식하고 있다.

 

특히 세계 유일의 분단 국가인 대한민국은 사이버전과 위협에 대응해야 한다. 이에 국가, 기업, 개인의 3가지 측면에서 대응방안을 제시해 보고자 한다.

 

첫째, 국가는 사이버 안보 강화를 위한 최정예 인력양성에 힘써야 한다. 군 사이버 사령부가 2010년1월1일 창설이 되었으나 현재 200여명에 불과하여 아직도 갈길이 멀다. 미국의 사이버전 인력 규모는 8만여 명이며 전문 핵심 인력은 900여 명으로 알려졌다. 올해 사이버방호부대를 창설한 일본의 사이버전 인력 규모는 90여 명이다. 특히 북한은 최근 사이버전 인력을 2배가량 늘여 6000명으로 정찰총국 아래 해커부대를 운영하고 있으며 이 부대에는 전문 해커만 1200여 명이 활동하고 있으며 이 가운데 상당수는 중국 등 제3국에 국외거점을 구축해 비밀리에 사이버전을 수행 중이라는 관측이다.[각주:1]

 

둘째, 기업은 보안문화 정착에 심혈을 기울여야 한다. 작년 3.20 사이버대란을 기억하고 있을 것이다. 금융시스템과 업무용PC, 그리고 일부 방송시스템에 장애를 일으킨 사건이다. 해커조직의 실체가 북한 정찰총국으로 드러나 사실상 충격과 불안을 가져오게 하였다. 어쩌면 사이버전에 한걸음 더 다가온 경험을 한 것이다. 특히 국가기간 시설망이나 금융기관은 그 피해가 상당하기 때문에 기업과 기관내 보안교육이나 인식강화에 더 노력을 기울여야 한다. 특히 경영진이나 의사결정자의 보안을 바라보는 시각을 전환해야 한다. 보안을 투자가 아닌 비용으로 인식하는 한 조직내 보안문화 정착은 요원하기만하다. 피해로 인한 사회적 비용이 더 큰만큼 보안에 대한 투자는 경영자가 살펴봐야할 필수 덕목이 되었다.

 

셋째, 개인은 똑똑한 정보소비자가 되어야 한다. 발제자께서 말씀하셨듯이 1대9대90의 법칙처럼 잘못된 정보를 가지고 반복된 인지와 학습을 통하여 여론을 조작하고 계층간 분열을 심화 시킬 수 있다. 특히 스마트폰의 보급과 SNS 영향으로 빠른 전파력을 가져 올 수 있어 더 위험하다. 사이버상에 난무하는정보가운데 올바른 정보 습득이 중요하다.

 

분단된 나라에서 물리적인 충돌보다는 사이버상에 여러 가지 위협을 통하여 또 다른 전쟁이 다가올 가능성이 있다. 대부분 국가정책은 인력 양성에만 그치고 사후관리가 소홀하여 반복된 예산만 낭비되는 경우가 많았다. 최정예 인력을 양성하였다면 사이버전에 지속적이고 안정적으로 임할 수 있도록 처우와 보상체계가 뒤따라 주어야 한다. 앞으로 더 나아질 것이라 예상된다. 기업은 일정비율 보안전문가를 고용해야 한다. 또한, 기업이 보안분야 일자리 창출을 만들어야 한다. 필자는 1인 1기업 보안전문가 양성을 주장한바도 있다. 보안업체가 모두 수도권 중심이고 영세하다보니 악순환이 반복된다. 특히 부산지역만 하더라도 보안관련 업체는 찾아 보기 힘들정도로 열악한 수준이다. 최근 개인정보 유출 피해로 인하여 법으로 규제강화를 하고는 있지만 중소기업이 대부분인 현실에는 법 적용이 쉽지 않다.

 

사이버의 위협으로부터 안전한 국가와 건강한 기업의 보안 문화 정착을 위해서는 국가, 기업, 개인 모두가 노력해야 한다. 사이버 위협으로 이젠 더 이상 반복적인 소 잃고 외양간 고치는 우(愚)를 범해서는 안된다. 감사합니다. 


* 본 포스팅은 [가람뫼미래포럼]에 발제한 내용임을 밝힙니다.



  1. 아시아투데이 2014.07.07 [본문으로]
신고
Posted by 엔시스


                                                           사진출처 : http://bit.ly/1zdd5ZT>



개인정보 관련 법률에는 '정보통신망 이용촉진 및 정보보호등에 관한 법률'(이하 망법)이 있고, 개인정보보호법, 신용정보보호법등이 대표적으로 있습니다. 망법에는 정보통신서비스 제공자가 있고 이를 이용하는 이용자가 있습니다. 개인정보보호법에는 개인정보 처리자가 있고 이를 이용하는 정보주체가 있습니다...

지금까지 정부에서는 개인정보처리자, 정보통신서비스제공자 입장에서 개인정보를 보호해야 하는 측면이 강하게 강조하였습니다. 

그런데 말입니다. 제가 현장을 다녀보면서 수많은 담당자와 취급자, 그리고 심지어는 의사결정을 하는 책임자 분들과 잠시 대화를 나누어보면 말이죠..아직도 무엇을 더 준비하고 더 챙겨야 하는지에 대하여 아직도 그 체감을 못하시는 분들이 많으십니다.

즉, 교육이나 업무지시, 상위기관의 전달 사항은 받지만 그저 업무지시, 전달일뿐인 경우가 많습니다. 개인정보 관련 업무를 해야 겠다는 생각은 들지만 막상 어디서부터 어떻게 해야 하는지, 무엇부터 해야 하는지 막막하기만 한 것입니다. 그러니 그때 그때 상황에 따라 업무를 하다보면 어느새 시간이 흘러 담당자가 바뀌고 자신이 업무할 동안 사건사고 안 생기면 가슴을 쓸어 내리며 후임자에게 넘기게 되고 새로 업무를 담당한 사람은 또 처음부터 힘들게 업무를 하게 됩니다..

같이 한번 생각해 보시죠?

혹시 해당 조직이나 기관에 정보주체나 이용자가 자신의 개인정보를 열람,정정,삭제 요구를 한 건수가 얼마나 되는지요? 물론 대부분 회원 정보나 개인정보는 홈페이지 로그인하여 자신의 개인정보를 열람,수정하고, 삭제(탈퇴)할 수 있도록 시스템화 해 놓은 경우가 대부분입니다. 

그러나 정작 법에 따르면 열람,정정 요구권이나 정지 요구권을 정보주체나 이용자가 실제로 자신의 권리를 주장하지 않으면 정보통신서비스 제공자나 개인정보처리자 입장에서는 업무 프로세스를 규정이나 정착해 놓지 않는 경우가 많습니다.
즉, 어떠한 상황이 있어야 만들어 놓는 경우가 대부분이라는 것입니다. 법에 아무리 규정해 놓고 그런 조항이 있다 하더라도 형식적이 대부분입니다.

정보통신서비스 제공자가 움직이게 하고, 개인정보처리자가 조금 더 능동적인 대처를 하기 위해서는 가장 좋은 방법은 이용자나 정보주체가 기관이나 기업을 대상으로 자신의 권리를 요구 할 수 있어야 합니다. 이렇게 요구하는 자신의 권리를 마땅히 보호해 주고 미흡한 부분은 개선을 통하여 수정 보완 할 수 있는 분위기와 문화를 정착해 나가는 것이 중요합니다.

개인정보가 중요하다고 하면서 정작 정보주체나 이용자의 문의, 요구가 있을때 그를 진상으로 취급하고 등한시 하거나 무시해서는 안됩니다. 물론 이용자나 정보주체도 법의 기준을 넘어선 협박이나 금품요구등 오.남용을 해도 안됩니다..

개인정보 취급자로 개인정보를 '처리' 하지만 정작 자신도 다른 기관이나 기업에 자신의 개인정보를 제공해야 하는 경우가 발생할때 자신의 개인정보를 함부로 다루거나 처리 한다면 똑 같은 심정이 될 것입니다. 이러한 생각이 근간을 이룰때 소중한 정보주체나 이용자에 대한 정보를 소중하게 다룰수 있게 되는 것입니다.

앞으로 개인정보 유출에 대한 이슈는 끊임없이 제기가 될 것입니다. 이유는 제가 현장을 다녀 보면 아직도 법적 준수사항을 지켜야할  부분이 너무 많기 떄문입니다. 그러니 정부에서는 더 많은 규제와 업무 강화가 될 것입니다. 혹자는 규제강화에 대한 볼멘 소리를 하지만 그분들에게 묻고 싶습니다. 

자신의 개인정보로 인하여 본인이 피해를 입었다면 무엇이라고 말 하겠는지요? 개인정보 유출로 정신적 고통이나 자신의 통장 잔고에서 돈이 빠져 나갔다면 가만히 수용하고 모든 것이 내 잘못이다라고 이야기 하는 사람이 과연 몇명이나 있을까요? 

개인정보는 소중한 개인에 대한 인격관리차원에서 엄격하게 다루어져야 합니다. 그래서 법으로 보호를 하고 있는 것입니다. 솜방이 처벌이 되었기에 주민번호 유출시 5억원 과징금으로 법이 개정이 되었습니다. 최근 이슈가 된 유통마켓의 경우 경품행사을 통하여 개인정보를 수집해서 그 정보를 한건당 금액을 받고 기업이 개인정보를 팔아 영리를 추구하는 사업을 하고 있는 것이 드러났습니다. 이러한 기업은 비난 받아 마땅합니다. 

개인정보의 보호는 사회적책임(CSR)을 다해야 하는 부분이고 이는 정보주체나 이용자가 자신의 권리를 관련 법에 따라 보호를 받고 있다는 권리 보장을 적극 요구 할때 비로소 정보통신서비스 제공자나 개인정보처리자는 움직이는 것입니다. 자신의 권리를 포기하는 것은 또 다른 기업이 자신의 정보로 이윤 추구를 할때 묵시적인 동의를 하는 것이나 마찬가지라 생각이 듭니다. 

아직까지 한 개인이 자신의 개인정보로 권리를 주장하는데 인색하기만 합니다. 그러나 최근 '법정손해배상제도'(망법 14,11,29 시행)시행을 앞두고 있고, 개인정보보호법까지 확대 시행한다고 발표한 바가 있습니다. 피해 입증책임을 개인에서 정보통신서비스제공자나 개인정보처리자로 전환하게 된 것입니다. 300만원 이하의 정신적 피해 보상을 손해 배상 청구가 가능하게 된 것입니다.

정보주체나 이용자는 지금까지 개인정보 유출에 따른 학습효과로 공개정보라고 비아냥 거리며 그냥 넘기고 있지는 않는지 생각해 볼 문제입니다. 또한 정보통신 서비스제공자나 개인정보처리자 입장에서는 어떻게 되겠지...다른 기관이 하면 우리도 하고, 다른 기업이 하면 우리도 조금 지켜보고 하자라는 안일한 생각에서 벗어나야 합니다.

앞으로 사이버상에서 이슈는 '프라이버시'에 대한 권리와 방어로 인한 다툼과 분쟁이 더 많아 질 것으로 사료됩니다. 이는 컴플라이언스 문제의 중요성이 대두되는 계기가 될 것입니다. 특히 의사결정자나 경영자분들은 많은 관심을 가지고 격려와 칭찬을 아끼지 않으면서 책임지는 자세를 보여야 합니다. 막상 개인정보 유출사고가 나면 담당자 문책만하고 꼬리를 짤라 버리는 식이 된다면 정작 스스로 책임져야 하는 경영자의 비난을 면치 못할 것입니다...또한 관련자분들은 자신의 업무나 전문성 제고 측면에서도 보다 적극적인 연구와 대응자세가 중요하다 하겠습니다. 감사합니다.   
* 개인정보 관련한 내용은 정기적으로 전주현 개인정보따라잡기 http://cafe.naver.com/privacyguide  에서 생각나누기 하고 있습니다. 

 


신고
Posted by 엔시스





 

인터넷이 생활 속에 자리 잡으면서 수 많은 웹사이트에 가입을 위한 아이디와 패스워드를 생성한다.

사이트에서 사용자 식별을 위한 가장 많이 사용하는 쉬운 방법이기도 하기 때문이다. 그런데 여러 웹사이트에 가입을 하다보니 대부분 같은 아이디와 패스워드를 사용하게 되고, 한 곳에서 아이디와 패스워드가 유출되면 다른 곳의 로그인도 쉽게 할 수 있게 된다. 이에 이번 호에서는 안전한 패스워드(비밀번호)를 어떻게 관리하면 되는지 정리 해 보고자 한다.

 

안일한 패스워드 관리, 누구든지 해킹 당할 수 있어

 

누구나 한 개 이상의 아이디와 패스워드 관리는 하게 된다. 처음 생성시 아이디는 어떻게 만들까?” “ 패스워드는 무얼하지? ” 로 한번쯤 고민한 적이 있을 것이다. 웹사이트 가입할 때 마다 다르게 생성하기도 어렵고 , 너무 길거나 복잡하게 하면 기억하기 어려워 자주 방문하지 않는 웹사이트 경우 늘 비밀번호 찾기 버튼을 눌러 재발급 경험이 있을 것이다. 이렇다보니 아이디와 비밀번호를 웹사이트 가입할 때마다 동일하게 사용하는 것이 현실이다. 주로 많이 사용하는 포털이나 인터넷뱅킹 대부분 동일한 아이디와 패스워드를 사용하는 경우가 많다. 패스워드가 한 곳에서 유출이 되면 다른 곳에도 안전하지 못하다.

 

악의적인 목적을 가진 공격자는 취약한 패스워드를 이용하여 아주 손쉽게 계정을 탈취한다. 이러한 계정 탈취는 또 다른 피해로 이어진다. 금융감독원 보도자료에 따르면 (13.12.5) 무역대금 금융사기가 계정 탈취로 인하여 증가하고 있다는 것이다. 다음은 피해사례를 정리한 것이다. 


※피해사례

경남에서 화훼를 수입판매하는 F사는 네덜란드 소재 거래처 (G)와 2년간 거래관계를 유지하던 최근 이메일을 통해 영국소재 은행에 신규로 개설한 계좌에 물품대금을 송금 하도록 요청을 받음.

 

F사 해외 영업담당직원은 G사와 재차 이메일을 통해 동 사실을 확인한 후 신규계좌로 송금해도 괜찮다는 답변을 받았으며 이후 두차례에 걸쳐 EUR 35,000를 송금함

 

약 1개월후 F사는 G사에서 수입대금을 입금 받지 못했다는 연락을 받아 사실관계를 확인한 결과이메일 해킹에 의한 무역대금 사기 피해를 인지 하게 되었다.

 


위 사례에서 보는바와 같이 해외에 거래처가 있기 때문에 유선보다는 이메일을 통하여 주고 받는 것이 편리 하기 때문에 유선확인 없이 이메일로만 확인된 것으로 파악이 된다. 누군가 에 의해 계정이 탈취되고 패스워드가 노출 되었다는 이야기이다. 메일을 통하여 거래처를 속인 것이다. 만약 여러분의 계정이 탈취되어 알고 있는 지인에게 본인임을 사칭하여 이메일을 주고 받는다면 또 다른 피해가 일어나는 것은 자명한 것이다. 생각만 해도 오싹하다.

 

패스워드 관리는 사용자가 스스로 관리해야.

 

최근 구글 이메일에 다음과 같은 안내 메일을 받았다. 내용인 즉 , 누군가 필자의 구글 계정에 로그인 시도를 했다는 안내 메시지이다. 보안에 관련된 글이나 인터뷰를 자주 하다보니 의도적으로 테스트 삼아 시도하는 공격자가 있다. 그래서 더 패스워드 관리에 신경을 쓸 수 밖에 없다.



혹시나 하는 마음에 메일 확인 즉시 바로 패스워드를 바로 변경하였다. 이렇게 안내 메일이라도 보내주면 다행이지만 대부분 포털이나 쇼핑몰은 그렇지 않다. 사용자가 직접 패스워드 관리를 해야 하는 것이다. 이러한 원리는 최근 금융권에서도 많이 활용하고 있다. 자신이 주로 이용하는 IP주소와 지정된 PC가 아니면 이상 징후로 탐지 하는 것이다. 이상 징후가 탐지되면 정상적인 금융거래를 할 수 없다. 정상적인 거래를 위해서는 본인임을 입증해야 한다. 구글도 구글 서비스에 접속하고 있는 IP주소를 파악하고 있다가 그 범위를 벗어나게 되면 경고 메일을 보내주고 있는 것이다.

 

당신의 패스워드 얼마나 안전한가?

 

여러분의 패스워드는 얼마나 안전한지 점검하는 사이트가 있다. 패스워드를 어떻게 구성할 것인지를 적으면 얼마나 안전한지를 보여준다. 쉽게 말하면 패스워드가 풀리는데 얼마나 시간이 걸리는지를 알려주는 사이트이다.


패스워드 점검 사이트(http://howsecureismypassword.net/)


간단하게 몇 가지만 테스트 해 본 결과를 정리해 보자. 다음은 패스워드 해킹하는데 걸리는 시간을 나타낸 것이다.

 

1) 12345678 : 0.02(숫자)

2) abcdefg : 2(알파벳)

3) 3456cdef : 11(숫자 + 알파벳)

4) 3456*cde : 3시간 (숫자 + 특수문자 + 알파벳) - 8자리

5) 3456!@#cde : 344(숫자 + 특수문자 + 알파벳) - 10자리

 

물론 위 사이트가 얼마나 신뢰성이 있는지는 잘 모른다. 하지만 패스워드 관리를 함에 있어 자신의 패스워드를 어떻게 구성을 하면 안전하게 할 수 있는지를 가늠해 볼 수는 있다.

 

단 한 가지 주의 할 점은 위 사이트 메인 박스란에도 적혀 있지만 자신이 실제 사용하는 패스워드를 적어서 탈취 당하는 일이 없도록 주의하라는 문구가 적혀 있다. 이것은 패스워드 안전성을 측정해 준다고 하지만 유사한 사이트들이 많이 있어 패스워드를 탈취 할 수도 있다는 위험성을 알리는 것이다. 그러니 과거 사용했던 패스워드나 어떤 형태로 구성하면 안전한가 정도에서 검토해야지 실제 사용하는 패스워드를 적지 말도록 해야 한다.

 

패스워드 생성시 유의점과 안전한 관리를 위한 팁

 

그동안 필자도 패스워드에 대한 연구를 많이 하였고, 실제 패스워드 유출로 피해를 입는 사례도 많이 보았다. 주로 알고 있는 내용이지만 초보자 관점에서 다시 한번 상기하는 의미에서 조명해 보고자 한다. 패스워드 관리에 무관심 했던 사용자는 꼭 기억했다가 실행에 옮기도록 해 보자.

 

패스워드 생성시 유의점을 살펴 보면 다음과 같다. 잘 살펴보고 패스워드 생성 시에 활용토록 하자.

 

1) 패스워드 길이는 8자리 이상으로 한다.

 

-> 패스워드 길이가 짧은 것은 아무래도 긴 패스워드보다 풀릴 확률이 높다. 따라서 보통 8자리 이상으로 권장하고 있으니 규정에 따르도록 하자. 최근에는 컴퓨터의 기술 발전과 능력 향상으로 10자리 이상을 요구하기도 한다. 8자리도 안전하지 못하다는 것이다.

 

2) 주민번호,전화번호,생일 등 개인정보를 포함하는 것은 피해야 한다.

 

-> 패스워드에 자신의 주민번호나 집 전화번호,휴대폰 번호, 생일 등을 이용하는 경우가 있는데 굉장히 위험한 방법이다. 개인정보가 포함되어 있어 유출시 또 다른 피해를 입을 수 있다. 혹시 지금 사용하고 있다면 당장 변경하길 권한다. 보안사고는 사전 예방이 최고이다.

 

3) 사전(辭典)에 있는 단어나 문장,문구는 사용하지 말아야 한다.

 

-> 자신이 평소 좋아하는 단어나 문장을 이용하는 경우가 있다. 패스워드 크랙 공격 중에 사전 공격(Dictionary Attack)이라는 기법이 있다. 이는 사전에 있는 단어나 문장을 무작위로 대입시켜 패스워드를 유출하는 기법이다. 이 공격으로부터 자유롭지 못하기 때문에 사전에 있는 단어나 문장은 피하는 것이 좋다.

 

4) 숫자, 알파벳, 특수문자를 반드시 넣어서 구성한다.

 

-> 패스워드 구성의 이상적인 조합이 숫자, 알파벳, 특수문자 등을 조합하여 만드는 것이다. 그만큼 패스워드를 푸는데 시간이 오래 걸리기 때문이다. 대부분 웹사이트에서 요즘은 이 방법을 요구하고 있다. 이제는 패스워드도 복잡성을 요구하고 있는 것이다.

 

5) 각 사이트마다 다른 패스워드를 사용한다.

 

-> 누구나 알고는 있지만 사실 여러 사이트에 모든 패스워드를 다르게 하여 관리한다는 것이 쉽지만 않다. 그렇다 보니 동일한 아이디와 패스워드를 사용하게 된다. 이제는 다르게 생성하여 관리해 보면 어떨까? 다음과 같은 방법이 자주 언급되고 있으니 예시를 보고 여러분도 한번 응용해 보면 어떨까 싶다. 


※예시

가입하는 사이트 명 자신이 사용하는 패스워드

위와 같은 원칙을 가지고 있다면 다음과 같이 다양하게 활용 가능하고 각 사이트마다 다른 패스워드를 관리 할 수 있다.


1) NAVER +자신의패스워드

2) WOORIBANK +자신의 패스워드

3) 네이버 +자신의 패스워드

4) 우리은행 +자신의 패스워드

 

6) 패스워드는 변경은 주기적으로 한다.


-> 안전한 패스워드를 2-3개를 만들어 놓고 주기적으로 변경하는 방법도 좋다. 보통 6개월에 한 번씩은 변경 하도록 하자. 물론 6개월보다 더 앞당겨 변경하여도 무방하다. 일정 시간이 지난 후에 로그인 시 웹사이트에서 패스워드 변경 알림을 알려주고 있는 경우가 많은데 <다음에 변경>으로 로그인 하지 말고 바로 패스워드 변경하여 실천하는 것이 자신의 계정을 안전하게 관리하는 방법이다.

 

7) 영문자판에 한글로 타이핑하여 패스워드를 생성한다

 

-> 패스워드 관리에 너무 신경을 많이 쓰게 되어 머리 아픈 사용자에게 좋은 방법이다. 패스워드 생성 시에 영문자판에서 한글로 패스워드를 생성하는 것이다. 한글문자 배열이 영문으로 되었을 경우 무작위 배열이 되기 때문에 해킹으로부터 조금 더 안전하다. 필자도 패스워드 관리 문의가 오면 이 방법을 추천한다. 평소 자신이 좋아하는 한글 문구나 좌우명 등 다양한 형태로 구성해도 좋다.

 

8) 최신 백신의 엔진등을 이용하여 키보드 타이핑으로 인한 유출을 막는다.

 

-> 해킹 기술의 발달로 패스워드 규칙만 가지고 대응하기에는 한계가 있다. 만약 자신의 PC가 악성코드에 감염이 되어 키로그(키보드 자판시 그대로 정보 유출되는 해킹기법)로 인하여 자신이 타이핑한 것이 그대로 공격자에게 전달이 된다면 아무런 소용이 없다. 따라서, 악성코드에 감염이 되지 않도록 최신 백신을 설치하고 엔진을 업데이트 하여 실시간 감시토록 하는 것이 중요하다.

 

더 많은 관리 방법들이 있겠지만 간략하게 살펴 보았다. 보통 패스워드 관리 안내를 보면 일상적인 내용이지만 잘 실천하지 않는 것이 현실이다. 그것은 너무 복잡하거나 어렵게 만들면 관리에 효율성이 떨어지고 일일이 사람이 기억해야 하는 것이 불편하기 때문이다. 그럼에도 날로 발전하는 컴퓨터와 해킹 기술에 대응하기 위해서는 더 복잡하고 안전한 패스워드를 요구하게 된다.

 

온라인에서 본인임을 식별할 수 있는 가장 쉬운 방법으로 아이디와 패스워드가 널리 사용되는 만큼 패스워드 관리에 신중을 기할 필요가 있다. 어쩌면 보안이라는 것이 너무 멀리 있고 어렵게만 있는 것이 아니라 자신이 할 수 있는 가장 가까운 곳에서 직접 실천하는 것이 스스로를 지킬 수 있는 최선의 보안이 아닌가 생각해 보았다. 여러분들도 가장 쉽고 안전하게 관리 할 수 있는 패스워드 관리 방법이 있다면 서로 공유하여 함께 사용해 보는 것도 좋겠다. 보안은 실천이다. 패스워드 관리 소홀에 대한 책임은 고스란히 사용자에게 있다.

 

지금 당장 자신의 패스워드 관리가 허술하다면 본문을 참고하여 강력한 패스워드로 변경하길 권해본다. 다음 3회에는 개인정보처리단계별 의무 조치사항과 처벌에 대하여 자세히 잘 펴 보도록 하겠다.


*  본 포스팅은 부산시에서 운영하는 블로그 '쿨부산'에 기고된 내용임을 밝힙니다.


신고
Posted by 엔시스

 

201487일 개인정보보호법 개정에 따라 '주민번호수집 법정주의'가 시행이 되었다. 주민번호 수집을 법에 근거하지 않고는 수집할 수 없다는 것이 주요골자다. 한번 유출된 주민등록번호는 변경할 수 없는 단점이 있어 이를 보완하기 위한 수단으로 온라인에서 사용하는 아이핀(I-PIN)’과 오프라인까지 사용을 확대한 마이핀(My-PIN)'에 대하여 알아보고 발급 절차와 활용에 대하여 소개 하고자 한다.

 

카드3사 개인정보유출로 올해 보안 최대 화두 개인정보보호


1월 카드 3사 개인정보 유출로 인하여 보안의 최대 화두는 개인정보보호에 관심이 집중되고 있다. 그럼 이번 카드 금융정보 유출은 왜 유독 관심을 받을까? 그동안 개인정보유출은 없었던 것일까? 이유는 카드관련 금융정보 유출로 개인이 직접적인 피해를 입을 수 있기 때문이다. 일반적인 개인정보 유출로 2, 3차 피해가 생긴다고 하지만 개인들은 무관심 했다. 하지만 카드관련 개인정보는 쇼핑몰등에서 유출된 정보로 결재까지 이루어질 가능성이 제기되어 더 관심을 가진 것이다.

 


한국신용카드학회(대한상공회의소에서 개최한 춘계세미나)에서 김상봉 한성대학교 교수는 "카드 3사의 카드 재발급 비용 286억원, 사고수습 비용 173억원, 탈회 만회 비용 1649억원, 집단소송 패소 시 발생할 비용 1712억원, 영업정지에 따른 손실 비용 1072억원 등 추정 손실액이 총 48922000만원 달한다"고 말했다. (출처: 스페셜경제)

 

개인정보 유출시 수습하기 위한 사후 비용이 많이 든다. 위 카드 3사의 경우 약5000억 정도 비용이 들어갈 것으로 예측하였다. 이제는 개인정보 유출시 수습도 중요하지만 사전예방이 더 중요하다는 새로운 패러다임 인식의 전환이 필요한 때이다.

 

주민번호수집 법정주의와 ‘My-pin' 은 무엇인가?

 

개인정보보호법은 2011930일 제정이 되었다. 제정전 공공기관은 공공기관에 관한 개인정보보호법률과 민간은 정보통신망 이용촉진 및 정보보호등에 관한 법률(이하 정보통신망법)’에 적용이 되었다. 개인정보보호법 제정으로 공공기관에 관한 개인정보보호법률은 폐지가 되고, ‘정보통신망법의 준용사업자가 망법이 아닌 개인정보보호법에 적용을 받음으로써 공공과 민간을 모두 포함하는 개인정보보호법이 제정이 된 것이다. 정부에서는 기존 50만 사업자에서 350만 사업자까지 확대 적용된다고 발표하였다.

 

온라인에서 영리성을 추구하는 포털이나 온라인 쇼핑몰등은 정보통신망법에 우선 적용을 받는다. 법 제정이후 2013.08월에 개인정보보호법 개정이 이루어졌다. 주요내용은 다음과 같다. 정보주체의 동의가 아닌 법에 의한 주민번호 수집 이용 주민번호 유출시 5억원이하의 과징금 책임 있는자에 CEO, 임원 포함 명확화 등이다. 법개정이 공포되고 1년후 시행이 된다. 201487일 법적 효력이 발생된다. 개정된 이유는 개인정보보호법 제정이후에 올해 카드3사 개인금융정보 유출과 같은 반복적인 이슈가 생겼기 때문이다. 정부는 부담이 될 수밖에 없다. 여론이 거세지자 법을 개정하여 조금 더 강화하게 된 것이다. 안전행정부에서는 법 개정된 사항이 시행되더라도 20152월까지 6개월 동안 계도기간을 준다고 한다.






 

그럼 법에 근거하지 않고 주민번호를 써야 하는 경우에는 어떻게 해야 하는가? 즉 주민번호를 대체할 수 있는 수단은 어떤 것이 있는가? 대표적인 것이 아이핀(I-PIN'마이핀(My-PIN)'이 있다. 쉽게 설명하면 아이핀은 온라인에서 마이핀은 오프라인에서 주민번호 대신에 사용할 수 있는 식별번호로 생각하면 된다.

 

1. 마이핀(My-PIN) 소개

 

마이핀(My-PIN)은 인터넷이 아닌 오프라인(일상생활)에서 사용할 수 있는 본인확인수단으로서 개인식별 정보가 전혀 포함되어 있지 않은 13자리 무작위 번호를 의미한다.

 

인터넷이 아닌 일상생활에서 회원가입 신청서 등에 주민번호 대신 마이핀(My-PIN)을 입력, 사업자는 본인확인기관을 통해 My-PIN 정보로 신원을 확인 가능하다. 주요특징은 다음과 같다. 13자리의 임의의 숫자 개인정보 미포함 필요시 변경(5) 유효기간 3년이다.


마이핀 구성 체계(13자리)


마이핀 구성체계(출처: 안전행정부, privacy.go.kr)

 

주민등록번호가 아닌 13자리 임의의 숫자를 이용하여 대신 사용가능하다. 이는 필요시 변경가능하고 유효기간은 3년이다.

 

2. 주민등록번호, 아이핀, 마이핀 어떻게 다른가?

 

마이핀(My-PIN) 특징을 조금 더 세부적으로 살펴보면 다음과 같다. 마이핀에는 나이, 성별등이 포함되어 있지 않는 식별 번호로 되어 있다. 변경이 가능하여 유,노출 및 도용시 피해를 최소화 할 수 있다. 마이핀 하나로 포인트 적립 및 서비스 연계의 편리성을 제공해 준다. 마이핀 사용내역을 이메일이나 휴대폰 알림으로 알 수 있어 안전성을 제고 한다. 받고 싶은 사람만 발급받는 번호다. 아래 도표는 기존에 사용하는 주민번호와 아이핀 그리고 마이핀의 특징을 잘 구분하여 보여 주고 있다.


 주민번호,아이핀,마이핀 비교 (출처: 안전행정부, privacy.go.kr)

 

3. 마이핀(My-PIN) 발급 절차

 

현재 온라인에서 마이핀을 발급 받을 수 있는 기관은 다음과 같다. 공공아이핀, 나이스신용평가정보, 서울신용평가정보, KCB가 발급 기관이다.

 

마이핀 발급기관 (출처: 안전행정부, privacy.go.kr)

 

홈페이지에 쉽게 접근하는 방법은 검색사이트나 포털사이트에서 기관명 검색하는 것보다

도메인을 직접 브라우저에 작성하여 접속하는 것이 빠르다. 이유는 공공아이핀을 제외한 나머지 기관들은 메인홈페이지와 아이핀/마이핀 홈페이지를 따로 운영하기 때문이다. 홈페이지 도메인은 위 표 제일 하단을 참고 하면 된다. 발급방법은 온라인 홈페이지를 접속하여 발급하는 방법과 오프라인 읍,면사무소 및 주민센터를 직접 방문하여 이용하는 방법이 있다.

 

온라인 홈페이지를 이용한 발급방법

온라인에서 마이핀을 발급 받기 위해서는 우선 아이핀 발급 절차를 따라야 한다. 가입절차에 따라 정보입력시 마이핀 발급에 체크를 해 주면 된다.


아이핀 발급시 마이핀체크

 

발급절차를 완료한 후 발급받는 마이핀 번호는 반드시 기억하고 있어야 한다. 또 발급 다른 방법으로는 아이핀이 도입된 웹사이트 (본인 확인창)에서 신규 발급버튼을 클릭하면 홈페이지에서 제공하는 아이핀 기관 홈페이지로 연결이 된다. 같은 방법으로 발급 받으면 된다.


신규발급버튼 클릭

 

,면사무소나 주민센터 직접 방문하여 발급하는 방법

나이가 있는 어르신이나 온라인 가입이 어려운 이용자들은 가까운 읍,면사무소나 주민센터를 직접방문하여 발급 받을 수 있다.


 ,면사무소 또는 주민자치센터 마이핀 발급절차 (출처: 안전행정부, privacy.go.kr)

 

가까운 읍,면사무소나 주민자치센터를 방문하여 마이핀 방문 발급신청서를 작성한다. 신청서와 신분증을 담당 공무원에게 제시를 한다. 신분증으로는 주민등록증,여권,운전면허증등 이며, 청소년은 청소년증, 학생증을 사용가능하다.

 

마이핀을 개설하기 전에 아이핀 아이디 생성은 필수다. 온라인과 다르게 오프라인 신청시 아이핀 비밀번호를 정할 수 없다. 이에 초기 비밀번호는 주민번호 뒤의 7자리가 우선 부여된다.

 

아이핀은 온라인상에서 주민번호를 대체하는 것이므로 이를 활성화시키기 위해 신청서에서 미리 선택해놓은 발급기관 사이트에 방문, 비밀번호를 재등록해야 한다. 담당 공무원은 마이핀 카드를 발급해 준다.



마이핀은 스마트폰용 앱을 통하여 발급 및 관리도 가능하다. 하지만 일부 발급기관에서는 특정 운영체제(안드로이드용)앱만 있고 아이폰용은 아직 준비중으로 사용자 불편이 예상된다. 빠른 서비스가 되어야 할 것이다.

 

스마트폰 앱을 이용한 마이핀 관리 (출처: 안전행정부, privacy.go.kr)


4. 마이핀 활용 방법

주민번호 대체수단으로서 마이핀(My-PIN) 활용 예시는 아래 그림과 같이 활용이 가능하다.


마이핀 활용예시 (출처: 안전행정부, privacy.go.kr)

 

아울렛이나 마트등에서 회원으로 가입할 때 주민번호를 사용하지 않고 발급 받은 마이핀을 이용하면 된다. 또한 ARS로 본인확인시에 마이핀 번호 13자리를 불러주면 된다. 학원이나 교육이수등 증명시 특정 개인을 구분할 때도 활용하면 된다. 물론 이러한 마이핀 활용을 확대하기 위해서는 서비스 업체 및 기관에서 마이핀과 연계하는 시스템과 업무 프로세스가 빨리 정착이 되어 있어야 할 것이다.

 

대한민국 국민이면 누구나 주민등록번호를 가지고 있다. 한번 유,노출이 되면 변경할 수 없어 그동안 많은 논란이 되어 왔다. 그렇다고 당장 주민번호를 없앨수도 없는 노릇이다. 그 대안으로 아이핀과 마이핀을 정부에서 주민번호 대체수단으로 시행을 하게 되었다. 마이핀은 이제 막 시작한 초기 단계라 갈길이 멀다고 본다. 예를들면 마이핀으로 사이트에 가입이 되었는데 유출이 되어 다시 변경하고 재발급 받았다고 가정하자. 가입한 사이트가 여러개라면 기존 마이핀번호를 사용자가 일일이 변경한다는 것은 어렵다. 이러한 문제도 살펴봐야 할 것이다.

 

마이핀이 지금이라도 주민번호 대체수단으로 시행하면서 수정 보완 작업이 필요하고, 가급적 주민번호를 통한 식별의 의존도를 줄이는 것이 정부의 목적일 것이다. 앞으로 많은 홍보와 교육을 통하여 활성화 시키는 것이 급선무이고, 개선점에 대해서는 꾸준히 수정 보완하여 주민번호 대체수단으로서 굳게 자리매김 하길 기대해 본다.


 * 본 포스팅은 부산시 공식 블로그인 "쿨부산"에도  시리즈로 매월 2회씩 발행되는 포스팅임을 알려 드립니다. 

 

신고
Posted by 엔시스

내가 살아있음을 느낄수 있는 것은 가만히 앉아 있는 것이 아니라 나를 필요로 하는 곳에 기꺼이 달려 갈 수 있음을 느낄때 살아있는 것이다. 아무짝에도 쓸모없는 사람으로 취급 받는 것은 살아 있어도 살아 있는 것이 아니다. 사회전반에 걸쳐 이렇게 쓸모 없는 사람이 숨쉬고 있는 현실이 안타깝기만 하지만 일희일비 하지 않는다. 액프로버 하겠다. 


찾는 곳이 여러곳이다보니 별별 곳을 모두 다니게 된다. 지금까지 경험을 보면 구치소, 교도소, 세관, 항만청, 소년원, 교육청, 대학교, 복지관, 구청, 병원등등 많지만 이번에는 도로를 운영하는 기업에 다녀 왔다. 제법 먼 곳까지 다녀왔다. 영종대교, 인천공항도로를 운영하고 있는 '신공항하이웨이' .. 인천에 있다. 부산에서 인천까지. 


왜 그먼곳까지 다녀왔는지 나도 모른다. 하지만 이동하면서 여러가지 생각의 정리와 폐쇄된 공간보다는 오픈된 공간과 다양한 사람들을 현장에서 만나기 위함이 가장 크다고 보겠다. 사실 작년부터 협의한 사항이라 거절 할 수 없는 것도 있었다. 


어쩌면 4월의 잔인한 달을 더 빨리 보내기 위하여 일에 집중하고 있는지도 모른다. 뜨거운 날씨속에 현장에 도착하여 준비된 교육을 진행 하였다. 매번 느끼는 것이지만 늘 대상과 기관과 기업에 따라 느낌이 다르다. 





정보보안에 대한 내용 50% , 개인정보보호에 대한 내용 50%를 전달 하였다. 특히 중간 중간에 돌발 퀴즈등을 내어 조그만 상품이라도 제공하면 관심도가 올라 간다. 매번 써 먹다보니 그 돈도 제법 많이 소비가 된다. 그러나 무엇보다 재밌고 , 즐겁게 하는 것이 더욱 중요하기 때문에 아깝지 않다.


보안이라고 하면 어려운 기술적인 분야만 이야기 한다. 이제는 대중적인 그리고 핵심 주제에 집약적인 지식전달도 중요하다고 생각을 한다. 전문성과 대중성을 모두 갖추고 , 기술적 내용과 관리적 내용을 모두 포괄 하는 전문가가 되고자 노력을 한다. 


어려운 이야기를 어렵게 하는 것은 누구나 할수 있다. 그러나 어려운 이야기를 쉽게 하는 것은 아무나 할 수 있는 것은 아니다. 수 많은 경험과 노하우 그리고 지식뿐만 아니라 타인들 앞에 서서 듣는 사람들과 같이 '호흡' 하면서 전달하는 것이 굉장히 중요한 포인트이다. 분위기를 장악하고 주어진 핵심 주제를 정확하게 전달해서 가치 있는 시간을 만들어 주는 것이 핵심 포인트이다. 


끝으로 교육 준비에 애써주신 C 차장님에게 감사의 말씀을 드리며 앞으로도 쭈욱 도전을 계속된다. 






신고
Posted by 엔시스

대기업 정보보안, 개인정보보호 교육을 할 수 있는 기회가 마련이 되었다. 이번에 여러 사업장을 투어 하면서 느낀점을 기록해 본다. -주인백



1. 매출 3조 기업 , 정보보안과 개인정보


국내 굴지의 대기업이다. 이름을 말하면 모두 알만한 대기업이다. 그 대기업에는 그룹사별로 또 다양한 회사들이 많이 있다. 그룹사에서 한 기업만 하더라도 상당한 매출을 올리고 있다. 아무리 IT산업이 발달 하였다고 하여도 지금까지 근간이 되어 온 제조업 분야는 또 무시 못하겠다는 생각이 들었다. 그동안 IT바닥에서만 굴러 다녀서인지 이번 투어하면서 진행한 교육은 신선하고 재미 있었다.


제조업은 개인정보보호도 있지만 주로 산업보안쪽에 포커스가 맞추어져 있어 , 사내 기밀이나 영업비밀등과 같은 부분에 더 강화를 하고 있는 듯 보였다. 물론 그 제반적인 여건에서는 IT기술이 적용이 되긴 하지만 보다 큰 그림에서 보안에 대한 영역으로 자리매김 하고 있었다. 특히 물리적 보안도 굉장히 중요한 요소중에 하나였다.



2. 보안팀 권한 부여와 서포트


보안팀으로서 권한이 우선 부여 되어 있었다. 쉽게 말해 일반 중소기업처럼 컴퓨터 고장나면 수리해 달라고 하고, 프린터 고장나면 보안인력보고 다 해달라고 하는 요청을 처리하는 부서는 아니란 이야기이다. 보안에 대한 기술적 파트와 보안에 대한 관리적 파트가 나누어져 있고, 이에 대한 여러가지 권한이 부여되어 있어 체계적인 부분이 눈에 들어 왔다. 또한 업무처리를 함에 있어 다양한 서포트와 예산이 확보가 되어 있어 보안 솔루션도 대부분 구비하고 있는 상태이다. 


따라서, 보안강화가 되고 있었고, 임직원들은 어느정도 보안경계선 내에 있다는 느낌을 받았다. 단지 이것을 얼마나 효율적이고 얼마나 잘 운영할 것인가에 대한문제는 아무래도 내부적인 관심에 있겠다. 그러한 목적으로 이렇게 외부에서 초빙한 사람을 통하여 최신 보안에 대한 여러가지 현황을 전달 하려는 것이다. 그러니 교육을 하는 사람은 수 많은 날을 준비를 해서 분석하고 어렵지 않게 전달 하려는데 주목을 하게 된다. 



3.  교육시 그 회사 수준을 가늠하는 잣대는 바로 "다이어리" 준비 유무









수 많은 공공기관과 기업에 다니면서 교육을 진행해 보면 다양한 경험을 하게 된다. 그 중에 가장 인상적인 것은 아니 어쩌면 당연한 것인지도 모르는 교육시 '다이어리'를 준비하는가에 대한 점이다. 


어떤 기관은 교육시 하나같이 참여자분들이 다이어리를 지참하고 와서 중요한 것은 메모하는 모습이 보인다. 물론 교재가 준비되지 않았을때 이야기이다. 또 어느곳은 그냥 맨손으로 와서 팔짱끼고 앉아서 가만히 있다가 그냥 가는 경우도 자주 본다. 그 회사나 그 기관의 교육생 수준을 가늠하는 것은 '다이어리' 지참 유무를 가지고 판가름 할 수 있다. 


우리는 머리가 좋은 편이 아니다. 중요한 것은 메모하는 습관과 기록하는 습관이 중요하다. 이는 꼭 교육에서만 그런 것이 아니라 회의 미팅시에도 마찬가지이다. 아무것도 가지고 오지 않아서 가만히 앉아서 있는 것은 정말 기본이 안되어 있는 것이라 생각한다. 상대방과 대화시나 상대방과 가벼운 회의시에는 상대방이 하는 이야기를 잘 듣고 메모를 하는 모습을 보여주면 상대방은 자신의 말에 귀를 기울인다는 느낌을 받는다. 


마무리.


그동안 수많은 공공기관과 기업을 다니면서 정보보안에 대한 대중적 교육과 강의를 진행하였다. 그렇게 하면서 늘 생각하는 것이 누가 내 이야기를 이렇게 수백명이 들어 줄수 있을까라는 생각을 하면 언제나 소홀히 할 수 없다는 생각을 한다. 남 앞에 서는 것을 두려워 했던 시절에 비하면 일취월장한 것이다. 하지만 아직도 부족함을 느끼고 , 지식과 경험 그리고 늘 겸손함을 잃지 말고 낮은 자세로 세상을 향하여 한발한발 더 진실되게 걸어가야 겠다. 좋은 경험이었다. 


담당이신 000 대리님께서 손수 자가운전하면서 에스코트 해 주어서 불편함이 없이 무사히 마칠수 있었다. 000 대리님과 함께 근무하시는 000 대리님께도 감사드린다. 


며칠전 생활의 달인이라는 프로그램에서 어느 빵집 어르신이 이야기 한다. 

" 한 50년만 같은 것을 해봐...왜 빵이 안 맛있겠나? " 



* 에피소드 1.


여러곳에 환경에서 진행을 하다보면 다양한 에피소드들이 있다. 이번에도 있었다. 한참 교육을 진행하고 있는데 PC가 블루스크린이 뜨면서 장애가 발생되었다. 이럴경우 사람들은 잠시 술렁인다. 그러나 나는 침착하게 준비한 슬라이드를 모두 기억하고 있기 때문에 자연스럽게 이야기를 진행한다. 또는 막간을 이용하여 담당자 입장이 난처하지 않게 다른 곳에서 유사한 사례를 이야기 하면서 잠시 쉬는 타임으로 잠깐 전환하여 분위기를 환전 시킨다. 그 사이에 PC재부팅과 자료는 스크린에 다시 비친다. 교육이 끝나고 나서 담당자는 고마워 한다. 그리고 십년 감수 했다고 하고 "어떻게 그렇게 천연덕(자연)스럽게 넘어갈 수 있나요? 전 긴장되어 죽는줄 알았어요" 이 모든 것이 추억이다. 



신고
Posted by 엔시스



사람을 변화시키는 것은 간단하다. 자신부터 변하면 된다. 가정에서 아버지나 어머니는 TV를 보면서 아이들에게는 공부하라고 하면 시끄러운 TV소리 때문에 집중이 안되는 것은 당연하다. 자녀들은 무언의 반항을 한다. 부모는 나중에 왜 시험 못 보았느냐고 닥달한다.


조직내 보안교육을 한다고 하는데 바쁜 경영진은 대외 활동에 더 많은 시간을 쏟는다. 적당히 실무진에서 알아서 진행하라고 하면 결과도 적당히다. 


지금까지 수많은 교육중에서 경영자가 참석한 경우가 몇곳이 있었다. 모의료원에 병원장님께서 직접 참여하여 교육후에 인사하고 악수를 나눈 기억이 난다. 또, 모 대학에서는 교육에 참석하지는 않았지만 외부 손님을 직접 총장님께서 맞이하여 간단하게 차 한잔 나눈 기억이 있다. 총장님이 직접 손님을 챙기는 것이다. 


올해 한 벤쳐기업에 기업보안에 대하여 교육을 할 기회가 있었다. 이 자리에 해당 기업의 회장님, 사장님, 감사님등 기업경영진이 가장 앞자리에 자리하고 보안에 대한 교육을 경청하였다.





제주도에서 워크샵 형태로  아주 훌륭한 숙소에서 진행이 되었다. 낮시간에는 산행으로  상당히 피곤 하였을텐데 임직원 누구 하나 불만을 가지는 사람이 없었고, 저녁 늦은 시간임에도 불구하고 자세가 흩틀어지는 사람이 없었다. 


진행하시는 분들도 긴장하고 아주 신경써서 진행하는 것은 당연하다. 가끔 기업교육을 진행하다보면 사전에 아주 꼼꼼하게 체크하고 교육자료부터 내용, 폰트까지 신경 쓰는 분들이 있다. 물론, 강사 입장에서는 힘든 부분이 있는 것은 사실이다. 하지만 그러한 교육이 한번도 실패로 끝나는 경우는 못보았다. 모두 교육후 만족하는 결과를 가져 왔다.


경영진이 직접 관심을 보이고 참석하여 경청하는 모습을 보일때 직원들도 변화한다.


'하나를 보면 열을 안다'라는 속담이 있다. 보안이 최근 이슈가 되고 대.내외적으로 비지니스 환경에 중요한 변수로 떠 오르고 있다. 이런 가운데 경영진이 신경쓰지 않으면 다른 임직원들도 신경쓰지 않을 것은 자명한 사실이다. 


아마도 그 회장님과 사장님은 보안에 대한 교육을 듣기 위한 의미도 있었겠지만 먼저 솔선수범하여 특정한 이슈에 관심을 가지고 있다는 직원들에 대한 본보기를 보여주려는 의도는 아니었을까? 교육후에 인상에 남았다. 대한민국 기업의 경영자들이 하루 빨리 보안에 대한 관심을 가지고 직접 챙기는 모습을 기대하는 것은 무리일까?  사장님이나 기관장님께서 직접 참석 하면 교육자 입장에서는 상당히 부담 가는 것은 사실이지만 그만큼 효과도 크다고 생각이 든다. 


당부드리건데 기업의 경영자와 조직의 윗분들은 보안에 관심을 가져야 한다. 교육에도 참석을 해서 경영진이 관심을 표명하고 있다는 사실을 임직원들에게 보여 주어야 한다.  또한 보안 담당자에게 격려도 잊지 않았으면 하는 바램이다.  @엔시스.







신고
Posted by 엔시스


개인정보보호법이 제정된 2011년부터 2년정도 개인정보보호법과 정보통신망법에 따른 각종 특별법등을 중심으로 하여 정부에서 요구하는 수준의 개인정보보호 교육을 170여차례 공공기관과 민간에 다녔습니다. 이렇게 기회를 얻을 수 있었던 것은 (과거 행정안전부) 안전행정부 개인정보보호 전문 강사단에 위촉이 되면서 운이 좋게 기회를 많이 얻었기 때문입니다.


거듭되는 교육에 처음에는 법 위주로 교육이 진행이 되었으나 차츰 법내용이 어렵고 지루함에 따라 요구하는 사항도 조금 달라지기 시작했습니다. 즉, 맞춤형 교육을 원하는 것입니다. 그렇다보니 다음과 같은 카테고리로 나누어지게 되었습니다.


  • 공공기관에 맞는 개인정보보호 (일부 정부3.0 포함 )
  • 의료기관에 맞는 개인정보보호 
  • 교육기관에 맞는 개인정보보호
  • 복지기관에 맞는 개인정보보호

아마도 이렇게 다양한 포멧으로 교육을 경험한 분을 그리 많지 않으리라 생각이 듭니다. 앞으로도 더 분화되고 다양화 되리라 생각이 듭니다. 범용적인 수준에서 법해석이나 근거규정을 이야기하지만 그것은 전달하고자 하는 내용이고 듣고자 하는 사람들은 내 업무에서 내 일에서 개인정보를 어떻게 보호 할 것인가에 대한 니즈를 더 요구하기 때문입니다. 

보안이라는 개념에서는 산업보안 , IT보안, 물리적보안(영상포함) 이 큰 분류로 나눌수 있고, 이중에서 IT보안에서는 '기업보안'과 '개인정보보호'로 나눌수 있겠습니다. 그 출발점부터 다르기 때문에 나누어 볼수 있는데요..

'기업보안'은 유,무형 자산을 중심으로 하여 자산을 식별하고 위험(Risk)을 감소시키는 기업이 정보의 주체인 데 반하여 '개인정보보호'는 정보주체가 기업이 아닌 '개인'이라는 사실입니다. 대부분 영업과 홍보 마케팅을 위하여 과도한 개인정보를 수집하고 있어 자칫 그 정보가 기업에 자산으로 착각하는 경우가 많지만 그 정보의 주체는 바로 수집에 동의한 '개인'이라는 측면에서 달리 접근해야 합니다. 

카드사 금융 개인정보 유출도 이런 측면에서 개인에 대한 정보 소홀로 여겨져 국민들이 분개하고 있는 것입니다. 기업에 정보가 유출이 되었다면 아마도 그 해당 기업만 이미지 하락이나 정보 유출에 대한 타격을 입었을 것입니다. 이러한 측면에서 앞으로 개인정보보호에 대한 이슈와 관심 증대는 더욱 가속화 될 것입니다. 이는 삶의 질이 높아지고 개인 프라이버시를 존중하고자 하는 인간의 본능이기도 합니다.

기업보안을 근간으로 하여 경험한 필자는 이러한 측면에서 주목을 하고 개인정보보호에 대한 관심을 가지고 
있었고, 그 정보를 공유하고자 커뮤니티를 개설하고, 교육을 하게 되면 교육일지를 지속적으로 기록해 왔습니다. 


                       전주현의 개인정보보호 길라잡이 : http://cafe.naver.com/privacyguide

                       개인정보보호 교육 기관 및 리스트 
 http://cafe.naver.com/privacyguide/821

앞으로 보안 및 개인정보보호의 다양한 경험을 통하여 눈높이에 맞게 사전에 준비를 하여 최선을 다해 보안과 개인정보보호 인식제고에 노력을 경주 할 것입니다. @엔시스.



신고
Posted by 엔시스

11월과 12월에 걸쳐 4주동안에 D대학교 정보보호학과에서 시스템보안 중에서 리눅스 시스템 보안에 대하여 특강을 진행 하였습니다..보다 실무적인 이야기를 해 주려고 하였고, 다행히도 학생들은 한 사람도 졸지 않고 수업에 임해 주어서 감사하다는 말 드리겠습니다...





또한 강조한 것 중에 하나는 기초지식에 대하여 피력 하였습니다. 그리고 마지막 시간에는 실습을 통하여 여러가지 보안에 대한 감을 잡을 수 있도록 진행 하였습니다.





앞으로 많은 대학들이 실제 실무에서 경험이 있었던 사례나 경험을 토대로 하여 학생들에게 지식을 전달하는 방식을 많이 취할 것으로 사료 됩니다.. 수업 준비하면서 무엇을 전달해 줄까라고 매시간마다 고민이 있었지만 학생들이 아는 지식은 아는대로 모르는 지식은 배우는 것에 촛점을 두고 다시금 정리하는데 심혈을 쏟았습니다. 그 마음이 학생들에게 울림이 되어 전달 되었기를 진심으로 바랄뿐입니다.


앞자리에 앉아서 저를 쳐다보면서 대답해준 몇명 학생들과 그리고 매 시간마다 집중하여 들어주신 학생 여러분께 감사드립니다. 그리고 무엇보다 이러한 자리를 마련해 주신 *성* 교수님께 감사의 말씀을 드립니다. 더 나은 콘텐츠와 교수법으로 학생들에게 다가갈 수 있도록 하겠습니다.. @엔시스.



신고
Posted by 엔시스


세미나 발표일자: 2013.11.21


지난 11월21일 부산에서 클라우딩 망분리 구축 및 정보보호관리체계 세미나가 열렸습니다. 지역에서 이런 세미나가 열리기 쉽지 않는데 부산지역 IT관련 단체에서 기회를 마련하였습니다. 저는 이중에서 한꼭지인 정보보호관리체계(ISMS)에 대해서 현황 및 대응전략 정도로 간략하게만 언급하였습니다.



               

                                                                    ▲  다른분 발표중 


정보보호관리체계 관련하여 여러가지 현황과 준비사항과 그리고 대응방안에 대하여 저는 발표를 하였습니


다. 


처음에는 짧은 시간을 어떻게 활용할 것인지 걱정이 되었으나 발표하다보니 시간이 꽉 채워지더군요..


새로운 경험이었고, 전문분야에 몸 담고 있는 분 상대로 하여 발표하다보니 조금은 깊이 덜 전해지지 않았나 


하는 생각도 드네요... 여러 경험을 통하여 많은 지식을 축적하도록 하겠습니다.





신고
Posted by 엔시스


며칠전 오랜만에 고등학생들을 대상으로 스마트폰과 정보보안에 대한 교육을 진행하였습니다. 집합교육으로 고등학교에는 2번째인데요..재미있게 교육을 한 듯 합니다. 지난번  [강의-33] 최근 보안경향과 정보보호의 이해 -부산정보고등학교  교육시에는 방송반에서 방송으로 전체 교실에 전달이 될 수 있도록 하여 색다른 경험을 하였지만 이번에는 집합교육으로 진행 하였습니다.






역시 고등학생은 고등학생이더군요...고등학생들 교육을 하면 다음과 같은 특징이 있습니다.


  • 교육에 집중하지 못하고 산만합니다...
  • 스마트폰을 가지고 놉니다..
  • 일부는 아예 잠들어 버립니다.
  • 옆 친구와 대화를 합니다..

아마도 이러한 것을 미리 짐작 하였는데 교육 중간에 선생님께서 휴대폰을 모두 전원을 끄고 사용하는 학생은 압수한다고 엄포를 놓으시더군요..또한 저도 학생들의 관심과 집중을 유도하기 위하여 소정의 상품권 몇장을 준비해 갔습니다.

즉, 일방적인 교육이 아니라, 학생들이 답변할 수 있도록 참여를 이끌고, 집중하고 몰입할 수 있는 방법을 연구하여 준비를 많이 했더랬습니다. 그리고 딱딱한 PT보다는 동영상을 준비하여 임팩트 있게 진행을 하였습니다. 역시 제 전략이 맞아 떨어졌습니다..ㅎㅎ 

학생들은 반응하였고, 집중하였으며 특히 앞자리에 앉은 몇몇 여학생들은 역시 리액션도 최고더군요..대답 잘하는 친구에게 선물을 주었습니다.. 또한 몰입할 수 있는 영상을 보여주면서 간간히 설명하여 주었더니 그리 산만하지도 않고 집중력 있게 교육 할 수 있었습니다...물론 여기저기 눈감고 있거나 약간 대화하는 친구도 간간히 있었지만 집중력 있게 할 수 있었습니다. 특히 선생님께서 이리저리 다니면서 최소한 교육에 집중할 수 있도록 학생들을 통제 해 주셔서 더 잘 되었던 것 같네요..

마지막, 보안전문가가 되기 위하여 어떠한 트렌트에 관심을 가져야 하는 부분에서 자신이 관심이 있는 부분, 자신이 어떠한 분야로 진출 하고자 하는지를 당당하게 여러사람 앞에서 말할수 있는 사람 손들어 보라고 했습니다. 역시 요즘 아이들은 자기 주장도 강하더군요...성인들은 대부분 잘 없잖아요... 그 학생에게 상품권을 전달해 주고 나머지 학생들은 그 친구에게 잘 될 수 있도록 박수를 주라고 하였습니다.  가끔 여러 채널을 통하여 고등학교 학생을 대상으로 강의나 특강이 있으면 대부분 힘들어 하시고 다시는 하지 않겠다라는 글을 가끔 봅니다..

학생이든 성인이든 청중을 잘 유도하는 것은 그들이 아니라 무대 앞에선 강사라는 것을 다시 한번 경험 할 수 있는 기회였습니다..무엇이든 체험해 보고 경험해 보면서 점점 업그레이드 해 나가는 것입니다. 부족하지만 오전내내 교육을 들어 준 대진정보통신고등학교 학생들에게 감사드리고, 교육이 잘 진행 되도록 통제해 주신 선생님에게도 감사의 말씀 드립니다...^^ 좋은 기회에 또 뵙길 바라고, 국제통상전문가가 된다고 이야기 했던 그 학생은 꼭 훌륭한 국제통상전문가가 되길 바랍니다... @엔시스.




신고
Posted by 엔시스

오랜만에 고등학교 대상으로 정보보안에 대한 교육을 진행 하였습니다. 역시 생기 발랄하고 거침이 없었습니다. 그 추억을 기록해 보고자 합니다... 강의일자: 2013.07.08


최근 대학교와 교육청 그리고 일부 학교에서 보안교육 관련하여 진행을 많이 하였습니다. 대부분 개인정보보호 관련하여 요청하는 경우가 많고, 그외에는 보안기초 교육을 많이 의뢰 하십니다. 이번에는 고등학교였습니다. 과연 고등학교에서는 어떻게 교육을 진행 할까 궁금했는데요...그 인원이 무려 1000명이라고 하였습니다.


늘 교육을 하기 위해서는 교육시간보다 약 30분에서 1시간 일찍 도착하는 것이 제 원칙입니다. 만나봐야 할 분도 많고 혹시 차량으로 이동하다보면 변수가 많이 생기기 떄문에 꼭 시간에 맞추어 이동하다보면 실수할 경우가 많기 때문입니다...


도착을 해서 학교 주차장에 파킹을 하고 교무실을 향했습니다. 교무실...학창 시절에는 그다지 자주 들어가 보고 싶지 않은 장소중에 한곳이지요..어쨌든 이리저리 찾아서 담당 선생님을 뵙고 인사를 나누게 되었습니다.


방송실에서 각 교실로 전파, 교육의 실효성은 글쎄.


고등학교지만 방송실이 따로 마련이 되어 있었습니다. 1000명의 교육을 하려면 이런 멀티미디어 시설을 많이 이용한다고 합니다. 아마도 저 말고도 각종 학생들에게 도움이 되는 강사를 모아서 이렇게 교육을 많이 진행한 듯 하였습니다. 제가 알고 있는 지인 교수님도 스마트 모바일에 대하여 저와 같은 방법으로 교육을 한 기억이 난다고 말씀 하시더군요..




                                      ▲    캠코더로 촬영하여 각 교실에 전파되고 있는 방송시설



실제  컴퓨터 모니터에 나오는 모습이 각 교실로 전파가 된다고 하더군요.. 빈자리에는 방송부 학생들이 몇명 앉아서 교육을 같이 경청하였습니다. 그런데 이 방송실에 들어 갔을때 학생들의 발랄한 움직임은 잊을 수 없습니다. 외부사람에게도 붙임성이 있고 요즘 학생들은 자기 주장을 확실하게 표현하더군요.


한 친구는 자신은 10년만에 처음 이런 교육 들어 본다고 ...왜냐고 했더니 보안에 관심이 있어서랍니다. 그러더니 바로 의자 빈자리에 앉아서 저랑 시선을 마주치면서 아주 1시간동안 잘 들어 주었습니다. 고맙다고 생각합니다...이야기 할 수 있는 대상이 있어서 말이지요..




                 ▲  학생들 얼굴이 안보여 살짝 공개해 봅니다..동영상 보여주고 있는 장면. 마이크도 보이네요


특강을 하는 사람에게는 1시간은 아주 짧은 시간이지만 듣는 사람에게는 1시간은 아주 지겨운 시간입니다. 그것이 자신에게 관심이 없는 내용이라면 말이지요... 그래서 이러한 지루한 시간을 중간에 차단해 주어야 하는 것이 바로 강사의 몫입니다... 그중에 제일 일반적인 방법이 관련 동영상을 잠시 보여 주는 것이지요...대부분 내용은 미디어에서 중요하게 다루었던 내용을 보여주게 되면 강연의 신뢰도도 높아지고 우선 관심도 집중이 됩니다...


그렇게 1시간동안 보안에 대한 이야기를 진행 하였습니다. 그리고 중간중간에 교실에서 듣고 있는 학생들의 반응을 보기 위하여 리액션도 유도 하고 하였습니다. 한마디로 원맨쇼 같은 것이었습니다. ㅎㅎ 청중을 보고 이야기 한다면 반응을 즉시 볼수 있지만 각 반에서 듣고 있는 학생들을 볼수 없으니 지레짐작으로 유도하고 ....중간에 잠 자면 안된다는 경고 메시지도 보냈습니다. 아마 선생님들도 모두 경청하고 있었을텐데요...웃겼을 것입니다...^^ 워낙 교육을 많이 하다보니 요즘은 이제 조금씩 농담도 건넬수 있고, 다양한 연령대를 커버 할 수 있는 요령도 좀 생기더군요.


즉, 과거에는 프리젠테이션 하기에 급급하였지만 이제는 즉석에서 일어나는 반응에 대한 즉각적인 대처가 가능해 졌다는 것입니다. 순발력이 생겼다는 것이지요. 역시 이런것은 경험에 따라 자연적으로 생기더군요...



학생들에게는 그저 같은 내용의 교육이지만 강사에게는 색다른 체험


방송실에서 방송을 통하여 저의 목소리와 내용이 전달 되었다는 것 자체가 색다른 경험이고, 학생들에게는 자장가일지 아니면 어떠한 한쪽 구석에서 저의 목소리를 듣고, 그 내용에 귀를 기울였을지 모르지만 최선을 다했고, 그들의 눈높이에 맞추어 설명하려는 열성도 보였던 아주 기억에 남는 교육이었습니다. 학생들 요즘 날씨도 덥고 고민도 많을텐데 그날 교육 듣느라 수고 많았구요..열심히 공부해서 좋은 직장 , 좋은 대학으로 가길 기원합니다. 수고 했습니다...







신고
Posted by 엔시스

지난해 많은 인고의 시간끝내 올해 나온 책과 그리고 며칠전 문제집 출간 기념으로 강연회를 서울 교보문고 광화문점에서 가졌습니다. 간략한 후기를 남겨 보겠습니다. 아침 새벽 5시30분에 부산 출발하여 저녁 밤 11시 다시 부산으로 돌아오는 하루 일정을 스케치 해 봅니다. 이젠 나이가 드니 힘이 조금 드네요.. -주인백

 

 

정보보안기사 산업기사 첫 시행 수험전략

 

우선 대부분 사람들은 올해 시행되는 국가 기술 자격증 <정보보안기사 산업기사> 시험에 많은 관심을 가지고 있습니다. 그러나 어디에도 이러한 시험에 대한 정보가 많이 없습니다. 따라서 기존에 SIS관련 시험을 토대로 국가기술 자격 시험이라는 점을 감안하여 시험에 대한 수험 전략을 고민해 보았습니다. 이러한 내용을 조금이나마 궁금해 하는 분들과 나누면 좋겠다는 생각이 들었고 마침 많은 분들이 관심을 주셔서 자리가 마련 되었습니다.

 

 

 

   강연회를 알리는 작은 포스터

 

 

누군가의 생각을 받아 들일려면 그 사람의 살아온 과정을 이해하라.

 

꼭 강연회가 아니더라도 누군가의 생각을 받아 들이거나 관심이 있다면 그사람이 어떤 사람인지 어떠한 활동을 하였고, 어디에 근무하며 무슨 생각을 평소에 가지고 있고, 그사람의 평소 활동은 어떤 것이며 어떤 가치관을 가지고 있는지 사전에 알고 이해 하는 것이 중요합니다. 우리가 누군가를 인터뷰하려고 할때 그 사람에 대하여 어느정도 파악한다음 질문을 해야지 그냥 그 사람의 말만 듣고는 잘 알지 못합니다. 따라서, 강연회 참석한 사람들에게 짧은 시간에 어떻게 소통을 할까라는 생각을 하다가 제가 걸어온 길을 간단한 동영상을 통하여 보여 주었습니다. 아마도 다른 여러가지 말보다 바로 이해 할수 있었을 것입니다. 그것을 통하여 단순히 어느날 갑자기 툭 튀어나온 , 그리고 어느날 책 홍보 하겠다고 나온 그런 사람이 아니라는 것을 말하고 싶었던 것이지요. 전 언제나 보안에 대한 울림은 메아리에 불과 했으니까요. 그러나 그것이 의미있다고 생각하니까요..누군가는 지속적으로 외쳐야 하니까요...단지 이번에는 출판 기념이라는 형식으로만 달랐을뿐. 참석 한 분들에 울림을 주고 싶었으니까요. 공감대를 형성하고 싶었으니까요.

 

100점만점에 60점만 맞으면 되는 시험 준비하지 마라.

 

보안에 대한 의미, 보안전문가, 그리고 국내 정보보호 현황에 대한 개괄적인 이야기를 하였습니다. 장소 찾기가 조금 어려워 힘들었는지 어떤 분들은 조금 몽롱해 있었지만 대부분 귀를 기울이고 잘 들어 주셨습니다. 이렇게 먼저 밑그림을 그려서 이야기 한 이유는 모두 이유가 있습니다. 자신이 업을 삼고 있는 분야에 시장성이나 시장 규모 그리고 인력 현황을 아는 이는 잘 없습니다. 객관적인 자료를 근거로 하여 상식적인 수준에서 알고 있다면 훨씬 더 자신이 위치한 포지션을 파악하기 쉬울 것입니다.  그러한 기본적인 사항을 알려 드리고 싶었습니다. 우리는 늘 기본도 잘 알지 못하면서 더 깊은 지식을 알려고 하는 오류를 잘 범하니까요. 늘 사람도 기술도 기본이 되어 있어야 하니까요.

 

 

                   열심히 강연을 하고 있는 보안인닷컴 운영자 엔시스. 너무 큰 이름과 프랭카드로 살짝 부담(?)

 

주요 핵심 내용은 다음과 같습니다. 참석하지 못한 분들을 위하여 간략하게 정리해 봅니다

 

  • 시험에 너무 리소스를 투자 할 필요는 없지만 그렇다고 대충하지 마라.
  • 그냥 시험을 위한 시험 보다는 가짜 지식을 진짜 지식으로 만들어라.
  • 보안에 대한 분야가 넓으니 이 공부를 통하여 진짜 자신이 관심 있는 부분을 찾아라.
  • 기본기가 탄탄하면 어떤 일을 하더라도 헤쳐 나갈 수 있다.
  • 아는 것과 안다고 생각하는 것은 차이가 있다. 아는 것으로 만들어라.
  • 그리고 시험의 여러가지 출제방향, 범위, 난이도, 실기문제, 시험의 의미, 시험공부방법등

지금 정리해 보니 이러한 이야기들을 하였던 것 같네요., 처음에는 약 50분하고 10분 쉬고 하려 하였으나 분위기상 집중도가 떨어질 듯 하였고, 지하 공간이라 마땅히 쉴곳도 없는 것 같아 바로 90분 연강으로 들어 갔습니다. 물론 참석하신 분들의 동의를 구하였습니다. 어제 날씨가 갑자기 더워진 날씨라 조금 실내가 덥기도 하였네요. 송구합니다.

 

강연도 하나의 작품으로 생각하고 준비하였습니다.

 

저는 이 강연을 위하여 여러가지 고민을 하였습니다. 어떠한 컨셉으로 어떤 내용으로 어떻게 준비를 해야 하는지 참석하시는 분들이 황금 주말에 2시간의 시간을 할애하여 들을만큼 가치가 있는 이야기인지를 고려 해야 했습니다. 그져 그런 공감이 없고, 울림이 없고 책 출간 했다고 하니 알리기 위한 수단으로 전락하는 시야로 비쳐지는 것은 하고 싶지 않았습니다. 다만, 많은 분들이 책에 관심을 가지고 사랑해 주시는 것에 대한 고마움에 표시는 강연내내 말씀 드렸습니다. 그것이 다시 선순환의 구조를 만들 것이라는 이야기도 하였습니다. 그렇게 강연도 하나의 작품이라 생각하고 준비를 철저히 하였습니다. 내가 어떤 자세로 모든 것에 임하는냐에 따라 상대도 달라지게 마련이니까요.

 

 

 

                   사진을 찍어 주셨는데 대부분 흔들려서 쨍(?)한 사진이 없네요. ㅠㅠ

 

 

따라서, 모든 교육도 그렇지만 강연을 늘 남앞에 서면서 무대에 서면서 하나의 작품이라는 생각으로 구성하고 시나리오 만들고 준비를 하여 서게 됩니다. 이번 수험전략에 대한 강연회도 하나의 저의 프로젝트이며 , 개인작품으로 생각하고 준비를 하였더랬습니다. 그만큼 대충하지 않고, 준비를 많이 했다는 이야기입니다. 좋은 장소, 좋은 여건, 좋은 선물이 중요한 것이 아니라 바로 강연하고자 하는 사람의 진심성 있는 , 그리고 솔직한 마음이 전달 되는 신뢰성 있는 눈빛을 참석자가 읽어야 한다는 것입니다. 그만큼 내용이 알차야 하고 주말 시간을 할애 한 만큼의 가치를 전달해야 했습니다. 또한 그렇게 하기 위하여 노력하였습니다.^^ 언제나 진심은 통하니까요.

 

 

 

                                                  ▲  강연후 참석자들과 잠시 이야기

 

강연이 끝난후 몇분은 저자 사인을 해 달라고 해서 하였지만 사실은 아직은 약간 어색한 느낌도 있고, 그럴 자격이 있나 하는 생각도 들었습니다. 부디 참석하신 모든 분들 좋은 소식 있길 바라겠습니다.

 

끝으로 이런 기회가 있기까지 여러가지로 물심양면 도움을 주신 출판사 관계자분과 교보문고 관계자 분에게 진심으로 감사의 말씀을 드립니다. 앞으로 보안인식제고와 전국민 보안 마인드 업데이트 , 전국중심의 보안은 계속 이루어질 것이며 , 더 나은 콘텐츠로 보안 대중화에 앞장 서겠습니다. 그리고 마지막으로 끝까지 부족한 이야기지만 들어주신 참석한 보안인닷컴 회원 여러분께 진심으로 감사드립니다. 강연이 끝나고 격려를 해 주신 분들에게도 감사드립니다. @엔시스 . 2013.05.12일

 

 

 

 

 

신고
Posted by 엔시스

[긴급점검] 3.20 사이버 대란 이후에 국내 정보보호 현황이라는 주제로 어제 부산정보산업진흥원에서 세미나가 있었습니다. 처음 세미나 제목을 받고나서 너무 거창한 내용이라 거절 하려고도 하였지만 다시 한번 초심으로 돌아가서 보안의 필요성에 대한 공감대를 나눌수 있는 기회라고 생각해 수락 하였습니다. 



세미나의 컨셉을 잡기 위해 노력하였습니다. 세미나를 들었다 하더라도 그 세미나에서 주는 강한 임팩트 있는 한개의 주제를 명확히 심어 줄수 있다면 그 세미나는 성공적이라 생각합니다. 즉, 세미나에 참석을 했지만 자신에게 많은 것을 느끼게 해 줄수 있는 그런 자리가 되어야 한다는 것이지요. 그런 고민을 많이 했더랬습니다.


그러다가 우연히 알게 된 것이 바로 이것이었습니다.


" 아는 것과 안다고 생각하는 것은 다르다" 


우리는 흔히  보안 관련 업무를 하거나 비지니스를 하시는 분들은 잘 안다고 생각합니다. 그러한 현실적인 괴리감이 얼마나 있는지 실험을 해 보았습니다. 물론 저도 인터넷에서 본 내용이라 그대로 적용해 보았습니다.


그래서 세미나 시작하자 마자 자전거 그리기를 하였습니다.  A4용지를 나누어주고 자전거를 그려 보라고 하였습니다.

정말 보지 않고 자전거를 잘 그릴수 있는지... 그러나 참석하신 분 중에서 약 3명정도만 어느정도 자전거 모양으로 그리고 나머지 분들은 그리질 못하였습니다.


어른 중에 자전거 모르는 사람 있나요? 그러나 자신이 직접 자전거를 그리라고 하면 못그리는 현실은 실험했던 것이지요. 보안도 마찬가지라 생각하였습니다. 보안에 대하여 잘 안다라고 생각하지만 현실에서는 실천도 안되고 보안에 대한 지식도 잘 모르는 것이지요. 그러한 부분을 긁어 보고 싶었습니다.




       세미나  시작하기전에 "아는 것과 안다고 생각하는 것"에 대한 차이를 실험하기 위한 자전거 그리는 모습



세미나의 주된 내용은 다음과 같습니다.


  • 사이버 범죄의 유형
  • 해킹, 해커 , 크래킹, 크래커
  • 3.20 사이버 대란 원인 분석과 대응방안
  • 3.20 대란 이후에 사이버 공격 유형형태
  • 사이버 위협으로부터 대응하기 위한 우리의 자세등등

조금 단편적이고 쉬운 문제로 접근 하였습니다.  우리는 흔히 아주 어려운 기술로 깊이 있는 내용으로 지식 전달 해야만 그것이 아주 유용한 지식이라고 생각하는 경우가 있습니다. 

하지만 무엇보다 자신이 이해하고 많은 것을 생각하게 할 수 있는 보다 쉽고 깊이 있는 내용이 더 중요하다고 생각합니다. 

한가지 아쉬운 점은 늘 그렇지만 이런 발제자의 일방적인 생각을 전달하기만 하고 참석하시는 분들은 늘 수동적인 자세에서 그냥 듣기만 하는 그런 유형은 이제 좀 바뀌었으면 하는 바램이 됩니다. 그렇게 하기 위해서는 우선 자리배치부터 원으로 그려서 한다든지, 정 어려우면 서로 부담없이 담소 나누듯이 토론하는 세미나가 더 유용하지 않을까 생각합니다.

발제자는 발제를 하고 , 참석자는 자신의 생각을 이야기하는 그렇게 하여 각자 자신의 다른 생각을 존중하고 그 생각들이 모여 더 큰 나은 생각을 얻어 갈수 있는 자리가 되면 좋겠는데 현실에는 늘 한사람의 지식 전달에만 있어서 아쉬운 감이 있습니다.

추후 보안인닷컴에서 한번 색다른 세미나를 기획 , 시도해 보았으면 하는 바램이 있습니다. 아무튼 어제 저녁 늦게까지 식사도 못하시고 들어 주신 참석하신 분들에게 감사드립니다.

세미나가 끝나고 교육 참석자 몇명이 간단한 호프한잔과 근황을 물어 보는 시간도 가졌습니다. 힘들지만 하나하나씩 쌓아가는 것이 중요하겠지요. @엔시스.





신고
Posted by 엔시스

최근 3.20 사이버 대란 이후에 정보보호 동향에 대하여 긴급 점검 해 보는 정보보안 교육을 하였습니다. 직장인 교육의 일환으로 한국수자원관리공단에 보안인식제고 및 경각심 제고 수준에 보안 교육이었습니다.

 

주로 그동안 개인정보보호 관련하여 개인정보보호법이나 망법 그리고 의무조치사항, 개인정보 위험도 분석등 개인정보보호에 대한 교육이 주를 이루었는데 이번에는 보안인식제고여서 아주 쉽게 보안을 알리고 중요성을 알리는 교육이었습니다.

 

 

                                     

                             보안인식제고 및 경각심을 준비한 PT를 통하여 열심히 설명하는 엔시스. 

 

사람에게 지식을 전달 할 경우 가장 쉬운 방법으로 이해와 공감대를 이끌어 낼수 있는 부분이 중요한 포인트였습니다. 너무 어려운 개념을 설명하다보면 오히려 지루해 하고 모르는 내용이라 흥미가 떨어지니 교육에 효과도 반감이 되겠지요..

 

또한 , 남 앞에 서서 여러가지로 청자와 화자의 다양한 커뮤니케이션을 통하여 어떻게 하면 거리감을 없애는지, 어떻게 포인트를 주어야 하는지... 어떻게 지식전달을 잘 할수 있는지등은 스스로 수많은 무대에 서서 체험을 해 보는 것이 가장 효과적이라 생각이 됩니다.

 

보안에 기초적인 개념과 요즘 보안에 대한 트렌드 , 그리고 3,20 사태 이후에 보안의 공격 형태, 또한 이에 대한 우리의 자세등을 주어진 시간에 맞게 잘 마무리 하였습니다. ^^  어려운 내용을 어렵게 설명하는 것이 아닌 어려운 내용을 얼마나 쉽게 잘 전달하고 설명하는가가 훌륭한 강의의 핵심이 될 것입니다. 교육을 준비해 주시고 환대해 주신 담당자 분들에게 감사의 말씀을 드립니다. @엔시스.

 

 

 

신고
Posted by 엔시스

제목 낚시질 좀 해 봅니다. 블로그를 운영하고 카페를 운영하면서 틈틈히 자신의 생각을 기록해 봅니다. 그냥 일기라고 하기엔 좀 그렇고 그렇다고 전문적인 글도 아니고 하지만 스스로 동기부여를 하기 위하여 [칼럼]이라 의미를 부여하고 하나하나씩 생각을 정리 해 보다 보니 어느새 많은 글들이 모여지게 되었군요..

 

 

1. 보안인닷컴 칼럼 코너

 

 

 

                                               [그림-1]  보안인닷컴  운영자 '칼럼'

 

2004년 부터 보안을 주제로 하여 커뮤니티를 운영하고 있습니다. 약 8년동안 하루도 빠짐없이 모니터링 하고 관찰하고회원관리를 하면서 지금까지 오게 되었습니다. 보안은 자칫 기술적인 내용만 있다보면 무미건조하게 되고 그러다 보니 재미가 없어지게 됩니다. 저도 한살 한살 나이를 먹다보니 사회를 바라보는 관점이나 또는 직장생활 하면서 느낀 점 , 또는 커뮤니케이션 스킬 같은 것을 조금씩 공유해 보면 도움이 되겠다고 싶어서 하나씩 주제를 정해서 최소한 일주일에 1-2개는 적었야 겠다는 일념으로 지금까지 적다보니 이제 500개를 달려 가고 있습니다. 처음에는 그냥 생각날때 마다 적었지만 쓰다보니 이미 습관이 되어 버렸고 , 시간이 지날수록 조금씩 가속도가 붙는다는 사실을 알게 되어지요. 주로 삶에 대한 목표나 의미, 또는 보안에 대한 생각등등..다양한 주제로 적었습니다. 특히 동기부여에 대한 주제가 많네요..시간 나시는 분들은 꼭 보안이 아니더라도 칼럼만 읽어 보셔도 많은 도움이 되겠습니다.

 

 

 

 

 [그림-2] 보안인닷컴 운영자 '칼럼'

 

 

2.  개인정보보호 '칼럼'

 

2008년부터 개인정보보호에 관심을 가지게 되었고 그리고 준용사업자 대상 2009년 교육과 강의를 하게 되면서 개인정보보호의 중요성을 알게 되었습니다. 그래서 하나씩 꾸준히 개인정보만을 주제로 하여 또 쓰게 되었습니다. 이는 자신의 생각을 기록하게 되다보니 평소 그분야를 잘 관찰하게 되고 이러한 관찰은 비지니스에서도 아주 중요한 역할을 하게 됩니다. 그것은 평소 특정 주제에 대하여 '왜'라는 생각을 가졌기 때문에 어떠한 상대를 만나더라도 조금 더 심도있고 깊이 있는 대화와 주제를 나누게 되고 그 대화는 상대로 하여금 조금 더 전문성 있는 사람으로 보이게 마련입니다. 어느날 갑자기 그냥 자신 약간 알고 있는 지식과는 차별화된 대화가 됩니다. 그것은 사고의 산출물이기 떄문입니다.

 

 

                             

                                          [그림-3] 개인정보보호길라잡이 '개인정보보호칼럼코너'

 

 

3. 러브안 칼럼

 

저는 2010년 어느날  당시 안철수 교수의 동영상을 보게 되었고, 평소 알고 있던 한 기업의 ceo 이상을 뛰어넘는 감정을 가지게 됩니다. 그 이후에 그 분을 존경하게 되었고, 자신의 인생의 멘토로 삼는 사람중에 한 사람이 되었습니다. 제 가슴에 멘토로 남게 되었습니다. 그래서 먼발치에서지만 그 분을 바라보면서 글을 또 적기 시작하였습니다. 그것은 서울시장 출마전이었고, 그 이후에 서울시장 출마서부터 대통령 출마, 그리고 대통령 후보 사퇴까지 많은 사항을 멀리서 지켜 보면서 쓴 칼럼입니다.

 

 

 

                                        [그림-4]  러브안 '운영자 러브안 칼럼 코너'

 

 

참.,.오지랖이 넓은 것 같습니다. 하지만 저는 자신의 판단이 중요하다고 생각합니다. 그것은 원칙을 지키는 것이고 누가 뭐라고 하던 자신의 인생에 중심을 잡고 하나씩 하나씩 실천해 나가다 보니 어느새 하나의 점이 선이 되어 가고 있습니다. 인생은 그런것 같습니다. 현재에서 점을 찍어 그것을 선으로 이어지게 하는 것이 바로 인생이라 생각합니다. 그러다보면 그것이 습관이 되고 습관은 또 다른 습관을 불러 오게 됩니다. 나의 흔적을 만들고 그 당시 나의 생각은 어떤감정을 가지게 되었는지를 진심성 있게 솔직하게 기록을 해 본다는 것은 참 좋은 습관입니다. 내 나이 30대 시절에는 이런 생각을 가지고 있었구나, 내 나이 40대에는 이런 생각이었구나..혹은 특정 주제에 대한 생각은 이랬었구나 하는 근거와 흔적이 남게 되고 자신의 인생에서 가슴에 멘토로 삼는 사람을 품고 하나씩 배워 나가면서 또한 기록을 남겨 보는 것도 의미 있겠구나 하는 생각입니다.

 

사람에게는 누구나 똑 같은 시간이 주어집니다. 누구는 아주 잘 쓰고 자기관리가 철저하고 의미 있는 삶을 사는가 반면에 누구는 시간의 무한정속에 마구마구 소비해 버리게 됩니다. 돈 안들이는 소비이기에 마약보다 더 중독성이 강하다고 느낍니다. 하지만 세월이 흘러가면 그것이 무료가 아닌 유료이었다는 사실을 깨닫게 됩니다. 오늘 주말에도 이렇게 생각을 정리해 봅니다. 즐거운 주말 보내시길 바랍니다. 가슴따뜻한 남자 엔시스 올림. 끝.

 

 

 

 

신고
Posted by 엔시스
어제 "부산 IT기업 개인정보보호 실무자가 취해야할 실무조치 사항" 에 대하여 8시간 교육을 진행 하였습니다. 대한민국 중소기업이 90% 이상임을 감안하고, 또한 지방이라는 점을 감안 하면 지방에 교육에 대한 기회는 찾을 수도 없는 실정입니다.  또한 자신이 실천후에 피드백을 줌으로 인하여 개선점을 도출 할 수 있기 때문에 블로그에 기록해 봅니다... -주인장 백

 

 

1. 1-2시간으로 개인정보보호법을 이해하기엔 벅차

 

사람은 누구나 신기술이나 업무적 노하우등이 있으면 그 분야에 전문가에게 유,무료로 교육을 받습니다. 교육의 목적은 자신의 부족분을 채우기 위하여 , 중요한 시간을 할애하여 참석하게 됩니다. 작년 9월30일에 개인정보보호법이 시행된 이후에 법 홍보와 인식제고 차원에서 정부에서 교육을 진행 합니다. 하지만 범용적인 수준에서의 개인정보 이해는 될지 몰라도 실제 업무에 적용하기엔 부족함이 있습니다. 그런차에 부산정보산업진흥원에서 이러한 니즈를 반영한 프로그램을 만들어 부산지역에도 기회를 만들었습니다. 어제는 조금 천천히 그리고 자세히 살펴 볼수 있는 시간에 구애 받지 않은 시간이었습니다.

 

 

 

 

2. 크던 작던 주어진 기회에 최선을 다하는 자세가 필요.

 

제 삶에 모토중에 하나는 남을 교육함으로 인하여 자신의 목소리를 들을 수 있고, 교육을 통하여 자신이 더욱 그 분야에 깊이 있는 공부를 한다는 것이 제 모토입니다. 그러다 보니 가끔 교육을 할 수 있는 기회가 주어지는데요.  해당 분야를 정리 할수 있는 기회도 되고, 스스로 성장하는 기회도 됩니다. 교육준비만큼 고통스러운 작업은 없습니다. 결국 교육은 한번이지만 강사는 두번 교육한다고 보면 되겠지요. ^^ 사람의 인식의 변화는 쉽지 않습니다. 하지만 급박하게 변해가는 IT환경과 트렌드를 따라가려면 현실에 적응 할수 밖에 없는 것이지요. 작은 기회라도 자신의 모습을 단단히 할 수 있는 좋은 기회기에 최선을 다하는 자세가 중요합니다.  큰 기회만 잡겠다는 마음은 욕심이라 생각이 듭니다. 늘 준비된 자세가 필요합니다.

 

교육참석자가  졸고 있다고 하여도 진짜 졸고 있는게 아닌 귀는 열어놓고 듣고 있다는 사실. 하지만 앞에서 교육자가 건성건성으로 교육하면 준비부족으로 혹은 프로답지 못한 모습에 교육참석자는 바로 실망을 하겠지요. 그래서 최선을 다해야 합니다. 왜냐하면 바로 알아 차리니까요. 준비를 많이 했는지 아닌지를.. 사실 어제는 너무 의욕이 앞선 나머지 오후에는 목에 무리가 오더군요. 8시간 강의는 작년에도 주말을 통하여 해 본 경험이 있기에 그리 어려운 시간은 아니었지만 어제는 마이크 준비가 안돼 그냥 맨 목소리로 하다보니 무리가 된 모양입니다. 목이 쉬었네요.

 

3. 마무리

 

교육도 하나의 커뮤니케이션이라 생각합니다. 즉, 교감인데요.  교육자와 피교육자간에 소통이 되겠습니다. 우선 교육자 입장에서는 최선을 다해야 합니다. 건성 건성 준비 부족이 눈에 띄면 이미 그 교육에 대한 절반은 실패로 돌아갑니다. 특히 긴 시간의 교육시에는 또한 깊이 있고 전문적인 지식과 인사이트를 전해 줄수 있어야 합니다.  나이가 들어 감에 따라  교육 중간중간에 지혜를 전달해 주는 방법도 좋은 팁이 되겠습니다. 어젠 지식만 전달한게 아닌가 생각이 듭니다. 피 교육자 역시 참석시에는 어떠한 목적으로 왜 교육을 받아야 하는지에 대한 스스로 물음을 가지고 하나라도 더 알아가겠다는 마음으로 임하여 합니다. 그렇지 않으면 의미 없는 교육이 되고, 마이너스적인 요소가 됩니다. 궁금한 점이나 많은 질문들도 하는게 좋겠습니다. 교육장이 조금 좁은 관계로 수업내내 약간 더워서 힘든 부분이 있었습니다. 개선해야 할 점인듯 합니다.

 

블로그 마무리는 다음 문구로 마무리 해 보겠습니다.

 

" 미래는 자신이 미래를 만들어 가는 것이다"

" 남이 알아주지 않는다고 걱정하지 말고, 자신의 실력없음을 걱정 하라 - 공자 "

 

 

 

신고
Posted by 엔시스

 

"내가 가르치는 이유는 나 자신이 하는 말을 들을수 있기 때문이죠. -피터드러커 "프로페셔널의 조건 중에서 . p181-

 

지난 금요일에는 퇴근후에 "부산정보산업진흥원"에서  "개인정보보호" 에 대한 강의를 진행 하였습니다. 퇴근 시간후에 교육이었는데도 많은 분들이 참석해 주셨습니다.

 

피터드러커의 "프로페셔널의 조건"에서도 나오듯이 "강의를 잘해서, 많은 것을 알고 있어 교육을 하기보다는 남 앞에서 교육을 하다보면 자신의 말을 들을수 있기 때문입니다."

 

그것이 저를 더욱 성장발전 시킬수 있다라는 믿음때문입니다. 교육을 하기 위해서는 수 많은 자료수집과 트렌드 그리고 기술, 방법, 솔루션 다양하게 자료를 수집하고 파악해야 합니다. 그러다보면 자연스럽게 모르는 부분도 많이 알게 됩니다..

 

IT업계는 수시로 기술과 트렌드가 바뀌기 때문에 자기 스스로 알아서 공부하기란 정말 많은 고통이 수반이 됩니다. 스스로 알아서 마인드 콘트롤이 된다는 것은 정말 철저한 자기관리가 잘 되는 분입니다. 나름 저도 자기관리를 철처히 한다고 하지만 하루 일과를 마치고 피곤함에 다시 공부한다는 것은 그리 쉬운 일이 아니지요. 이럴때, 교육을 한다든지, 칼럼을 쓴다든지, 기고를 한다든지 하면서 부족한 지식을 메우는 기회로 삼습니다.

 

많은 지식을 넣을려면 때론 많은 지식을 버려야

 

머리속에 다양한 지식을 모두 가지고 있으면 좋으련만 하나만 잘하기에도 쉽지 않습니다. 많은 지식을 넣으려면 많은 지식을 버려야 합니다. 그것이 프로페셔널의 조건이 되지 않을까요? 주어진 기회를 잘 활용하고 자신의 분야에서 더 전문화된 지식을 교육을 통하여 함께 한다는 것은 특히 서울 수도권이 아닌 지방에서는 쉽게 접할 수 없는 지식에 대한 가치제공을 하는 기회라 생각을 합니다.

 

부디, 지방에서도 다양한 분야에서 많은 전문가가 더 많은 기회를 만들어 전문 지식을 마음껏 공유 할 수 있는 기회가 있었으면 좋겠습니다.

 

3시간이라는 짧지 않은 시간에 함께 해 주시고 참석해 주신 분들에게 감사드립니다. 더욱 전문화된 지식을 함께 나눌수 있는 기회가 있었으면 좋겠습니다. 감사합니다. @엔시스.

 

 

신고
Posted by 엔시스

본 칼럼은 필자의 주관적인 생각이고 보안쪽에 모든 생각을 대표하지 않음을 밝힙니다. - 주인장 백

필자는 학부전공이 상경계열 출신이다. 이런저런 사정으로 IT에 발을 들여 놓은지 어언 15년째 되어간다. 그동안 무수한 기술의 발전이 있었고, PC통신시절 나우누리에도 한때 빠져 보기도 하였고, 처음시작시에는 윈도우3.1 시절에 IT업무를 그것도 비전공자가 하였으니 얼마나 무식했겠는가?

할수 있는 일이 없으니 PC납품부터 시작하였다. 그리고 A/S, 그 다음 네트워크, 유닉스, 리눅스, 윈도우 시스템관리 보안솔루션, 컨설팅 ,ISMS,PIMS까지 꾸준히 자신을 업그레이드 하면서  대학원에서는 정보호학 공부에 매진하여 전문성을 키우려고 노력을 하였다. 그렇게 세월이 흘러가다보니 이제 조금 보안이라는 것이 무엇인지 자신만의 생각을 정립할수 있는 나름대로 개똥 철학을 가지게 되었다.

SNS의 전신인 포털 카페를 운영하다보니 자연스럽게 여러가지 답변과 조언을 하게 되는 경우가 많은데 최근에 젊은이들의 취업이 힘들고 어렵다 보니 보안에 대한 이슈가 부각이되고 하여 많은 질문과 조언을 구하는 일이 많아졌다.

어제에도 33살 된 이제 막 보안에 입문하려는 여성과 통화를 하게 되었는데, 나이가 조금 있어서인지 신중함을 보이고 미래를 걱정하는 모습이 역력했다.  이야기 도중에 "필자가 내 인생도 내가 책임을 잘 못지는데 어떻게 타인의 인생을 이렇게 저렇게 감히 조언한다는 것이 어찌보면 불편한 진실일지도 모른다" 라고 말이다.

그것은 보안을 시작하는 비기너(Beginner)의 경우 대부분 어떻게 시작을 해야 하는지 그 시작점을 찾지 못하는 것이다. 차라리 학교에 전공을 선택하는 것이라면 학교 교육이라도 받으면 수업에 매진이라도 할수 있겠지만 이미 학교를 모두 졸업하고 이도저도 아닌 상태에서 미래에 대한 전망만 바라보고 시작하는 사람들에 대한 접근이다.

보안은 상당히 광범위 하다. 기술도 많고 해야할 것도 많고 그중에 하나가 빠른게 변화하는 기술의 발전을 따라가기 위하여 체력을 키워야 하는데 이는 나이가 들어감에 따라 민첩성이나 순발력이 떨어질수 밖에 없다., 혹자는 백발이 성성하도록 외국에서는 개발이나 프로그램을 하고 하는데 우리나라는 그렇지 못하는 것이 현실적이다.






우리는 현실을 직시할 필요가 있다. 자신의 어느포지션에 있는지 파악이 중요


그럼 비기너는 어떻게 시작해야 할까?  보안이라고 하면 기술적인 부분부터 먼저 떠 올리는 것은 당연한 것이라 생각을 한다. 기술적인 부분이 중요하다. 기술이 중요하지 않다는 이야기가 아니라, 자신이 어느 위치 어느포지션에 있는지를 현실적으로 잘 파악하는것이 더 중요하다는 것이다. 지금 현실적으로 기술적 접근이 어려움에도 불구하고 그것만을 고집을 한다면 자신의 운신의 폭은 그만큼 줄어 든다는 것을 염두해 두어야 한다.


연령별로 살펴본 보안접근 방법

만약 20대라면 정말 열정적으로 기술적인 부분에 한번 빠져보라고 권해주고 싶다. 기본적인 전반적인 이해는 결국 기술에서 시작을 하니까..20대에 자신이 의사결정을 내려야 하고 정책을 수립할 일은 그다지 많지 않으니까.
기술에 몰입할 수밖에 없는 환경적 구조로 이루어져 있다.


30대라면 이제 슬슬 자신의 필살기를 만들고 최적화 내제화 할 필요가 있다. 점차 자신이 롱런 할수있는 방법을 찾아야하고 자신을 브랜딩 할수 있는 방법을 찾아야 한다. 보안에 대한 범위가 워낙 광범위 하기 때문에 그 모든 것에 자신이 전문가 일수는 없는 것이다.

보안도
  • IT보안
  • 산업보안
  • 물리적보안등등

으로 나뉘어지고 IT보안은  다시 역할별로 본다면 러프하게

  • 엔지니어
  • 개발자
  • 컨설턴트
  • 정보보호관리자로 구분이 된다.

기술적으로 본다면

  • 보안관제
  • 보안 컨설팅
  • 보안서트
  • 악성코드분석/침해사고대응
  • 보안솔루션개발
  • 보안정책수립
  • 보안교육
  • 보안솔루션판매
  • 보안포렌식
  • 개인정보보호등

여러가지 갈래길에서 자신의 집중할 수 있는 곳을 찾아야 한다.

40대에서는 이제 관리쪽으로 방향을 잡게 된다. 그 이유는 말 하지 않아도 잘 알것이다. 물론 모두 그렇다는 것이 아니라 대부분 그렇게 흘러 간다는 것이다. 2-30대에게 40대 50대에 IT에 있으면 무엇을 하고 싶은가? 혹은 뭘 하고 있을까라고 질문한다면 대부분 보안컨설팅, 감리등 자신의 그동안 지식이나 경험을 토대로 하여 지식을 활용할수 있는 연령대에 역할을 하기를 원한다. 하지만 현실은 그리 녹녹치 않다는 것,.

왜냐하면 한가지 기술을 알기에도 많은 시간이 필요하고 다양한 경험과 노력이 필요하기 때문이다. 그 모든 것으로 보안이라는 전체 지식을 아우르기에는 많은 노력과 다양한 지식이 필요하다는 것이다.

필자도 나이가 어렸을땐 스폰지처럼 빨아 들이기 위하여 한 없이 노력을 하였다. 왜냐하면 잘 모르기 때문에 더 없이 노력하였다.  모르는 것은 창피한 것이 아니다. 차라리 모르면서 아는척 하는것이 더 부끄러운 일이라 생각을 한다. 그렇게 달려오다보니 세월이 흘러갔다.

그러다 우연히 관리체계라는 분야를 접하게 되었다. 말 그대로 조직이나 기업이 보안을 관리하려면 체계적인 관리시스템이 필요한 것이다. 이것은 프로세스요 시스템인 것이다. 이러한 시스템이 잘 갖추어진다면 담당자가 갑자기 퇴사하여도 매뉴얼을 통하여 숙지되고 진행되는 것이다. 어쩌면 대기업이 관리체계를 다루고 있지만 역으로 생각하면사람 이동이 많은 중소기업이 더 체계적인 관리가 시급한 것이다. 그렇게 인증심사도 해 보고, 체크리스트도 점검해 보고 자문도 해보고, 공부도 해보면서 하나의 공통점을 발견하게 되었다.

그것은 우리네 인생도 마찬가지라는 것이다. 자신의 목표와 비젼 그리고 인생의 삶의 목표가 무엇인지. 그리고 내가왜 사는지, 삶에 대한 정체성등이 혼란스러운 사람들은 바로 인생관리체계가 수립이 되어 있지 않기 때문이다. 필자는 이러한 측면에 도달을 하게 되자 보안이나 인생이나 위험관리(Risk Manangement) 하는 것은 그 맥락은 같다라는 생각이 든다.

다시 보안으로 돌아와 보자. 기술이 중요하다는 것은 누구나 모두 안다. 하지만 체계적인 관리가 없이 기업이 어떠한 방향으로 가야하는지, 어떠한 위험을 감수하고 어떠한 자산을 보호해야 하는지 명확한 근거 규정이나 체계적인 관리없이는 어떠한 기술도 임시적인 방편이 지나지 않음을 깨닫게 되었다. 그것은 수많은 자문을 통하여 경험을 통하여 내 인생을 통하여 알게된 깨달음이기도 하였다. 그에 대한 공통점은 역시 보안도 "사람"이 하는 것이라는 공통점이 내재 되어 있다는 사실이다. 그 기술도 사람이 만들고 그 관리도 결국 사람이 한다는 사실이다.

이러한 사람이라는 공통된 사실에 기반하여 기술만 강조하다보면 어떤식으로 나가야 할지 어떻게 정책을 진행해야 할지에 대한 부분이 갈팡질팡 임시방면 정체성혼란등을 가져오다가 결국 미흡한 부분이나 결함사항 또는 정보유출로 인하여 기업이나 조직경영에 막대한 피해를 고스란히 가져오게 된다.

그렇다고 정책만 나열해 놓고 기술적으로 소홀히 한다면 이또한 안되는 부분이다. 그것은 형식적인 문서나 문구에지나지 않는 정책을 많이 보기 때문이다. 최근 개인정보보호법으로 인한 내부관리계획수립이나 개인정보취급방침과 처리방침에 대한 것을 많이 접하게 되는데 100에 하나 또는 둘은 정말 잘 적용하는 경우를 본다. 그런 것을 접하면서 나또한 배우기도 하는데 대부분 형식적인 정책 문서에 지나지 않는다는 생각이 든다.

결론

보안은 기술일까? 정책일까? 에 대한 물음에 답은 딱 이것이다라고 정하기는 어렵다., 다만 두 명제 모두 사람이라는 공통점이 있다. 보안하면 기술이라고 하는 부분도 있지만 필자는 늘 보안=사람=교육이라는 나름대로의 명확한 기준을 가지고 있다. 그렇기에 너무 기술적인 부분에 치우치다보면 결국 나무만 보게되고 그것은 조직의 비지니스에 보안이 어떠한 역할을 하는지에 대한 숲을 보지 못하는 결과를 초래하게 된다. 넓은 시야를 가지는 것이 보안전문가로서의 자질과 역할이라고 생각이 들고 너무 기술적인 부분에만 얶메이지 않았으면 하는 바램이 있다.

그래야 먼 시간에 자신도 CIO, CSO , CEO 등 최고 의사결정의 자리에 올랐을때 그동안 준비해온 역량을 바탕으로 의사결정시에 흔들림이 없을 것이다. @엔시스.

신고
Posted by 엔시스

최근 IT보안의 실력 있는 사람들이 몸값이 천정부지로 올라가도 있다고 합니다.  과거에는 홀대를 받다가 최근들어 금융사건사고가 터지면서 법 제.개정이 들어가고 지침과 시행령이 마련이되니까 어쩔수 없이 인력 수급을 하게 됩니다.

하지만 보안분야는 진입장벽이 상당히 높습니다. 당장 신입이 들어가서 할 수있는 부분이 잘 없습니다. 밑바닥에서 부터 차근차근 자신의 커리어를 잘 관리하고 또한 여러가지 다양한 경험과 체험을 통하여 전체적인 맥을 짚을 수 있는 인사이트를 가지게 되는 분야 중에 하나입니다.

그러다보니 조금 자신이 인사이트나 어느정도 경험과 지식이 있으면 안정적인 금융권이나 공무원그리고 대기업으로 흡수가 됩니다...

그리고 과거에 고생했던 부분을 보상 받으려고 합니다. 이제는 안정적이니 또 게을러지기 시작합니다. 그러다 보니 IT보안기술과 트렌드는 급격히 변화하는데 반해 벌써 1-2년이 지나면 갑에 포스가 느껴지고 예전에 잡초처럼 살았던 생각은 잊어버리게 되는거죠.. 

사정이 이렇다보니 민간 수급상황은 더 않좋게 됩니다. 우수한 인력이 전부 빠져나기기 때문입니다.  또한  보안기업이 사업은 밀려있고 즉 돈되는 프로젝트는 많은데 , 인력수급이 원활하지 못한 구조이기 때문입니다. 그러다보니 무리한 프로젝트 수주를 하게 되고, 자질과 자격이 있는 전문가가 투입이 되는 것이 아닌 말 그대로 레퍼런스 삼기 위한 주니어가 투입이 되다보니 제대로된 프로젝트가 될리가 없습니다.

프로젝트가 딱 정해진 기일에 끝나는 일은 정말 드문입니다. 그 시일보다 늘 늦어지거나 변수가 생겨 더 많은 요구사항과 인력 그리고 더 나은 산출물을 기대하기에 늘 팍팍한게 사실입니다. 

이러한 악순환의 구조가 되다보니 갑은 을을 시키려고만 하고 을은 업무에 허덕이게 되는 높은 강도에 일에 지쳐 또 업계를 떠나려고 하는 사람들이 많습니다.

어제 어떤 분과 대화에서 그분은 이런 말씀을 하더군요..

" 자신이 알고 있는 지인이 보안 1세대인데 최근 보안분야에 남아 있는 사람이 거의 없다고"
참 가슴 아픈 이야기인데요...

왜 그럴까요?

우리는 이미 그답을 알고 있습니다. 그것은 빠른 환경 변화와 급속하게 변하는 IT기술을 나이가 들면서 순발력이 떨어지고 따라가지 못하기 때문입니다.

그렇다면 우리가 IT에 발을 담그고 있던 사람이 다른 분야에 가서 쉽게 전문가가 될 수 있을까요?

이렇게 한번 생각해 보죠 

이직을 생각해 보려는 사람이 있습니다. 회사가 너무 많이 일이 있고, 여러가지 사정으로 다른 회사를 알아보려고 합니다. 그리고 돈도 많이 받고 싶고..그래서 이직을 하게 됩니다. 옮기는 것이다 보니 돈은 더 받았는데 일은 지난 회사보다 더 많습니다.  과연 그것은 올바른 이직일까요?
그럼 또 이직에 대한 후회가 들겠지요...돈은 조금 적어도 그 회사에 그냥 있을껄..사람은 일과 라이프를 균형을 맞추려고 하기 때문이죠. 어디 두마리 토끼를 잡기 쉬울까요?

지방에 있는 사람이 서울로 갈려고 합니다. 지방에서는 IT로 먹고 살기 힘으니 서울에 가면 무엇인가 기회가 있고, 당장 자신에게 밥벌이를 막 만들어 줄것만 같습니다. 그래서 서울로 올라갔습니다. 하지만 기회는 많이 있지만 물가와 집문제 그리고 경쟁이 치열해서 지방에 있을때 보다 더 많이 노력해야 합니다.

대한민국에 살고 있습니다. 대한민국이 진저리나서 해외로 나가보려고 합니다. 해외에는 더 많은 기회와 그곳에서 무엇인가 새로운 기회를 얻을 것만 같습니다. 그래서 이민을 갑니다. 하지만 한국에서보다 더 비참한 생활과 더 고된 삶을 살아야만 합니다.

보안분야도 힘이 듭니다. 해야할 일도 많고, 범위도 넓고 기술도 빠르게 발전하고 하지만 지금 있는 회사에서 더욱 열심히 노력하고 지방에 있을 때 서울에 있는 것 처럼 더 노력하고 국내에 있을때 해외에 있는 것처럼 더 부지런하고 성실하다면  반드시 다른 환경 조건에서도 더욱 우뚝 설 것입니다. 전 그것을 경험하고 체험하고 있습니다. 

최근 서바이벌, 오디션 프로그램이 인기입니다. 사회분위기가 경쟁을 부추키기도 합니다. 우리는 또 그것을 즐깁니다. 자신은 경쟁하지 않으면서 자신의 분야에서 최고가 되려고 노력하지 않으면서 다른 회사, 서울, 이민을 기울이면 그곳에서는 나이들도록 인생을 보장 해 줄까요?

준비되지 않는 사람, 노력하지 않는 사람, 연습하지 않는사람은 절대 최고가 될 수 없다고 생각합니다. 

제가 하고자 하는 말은 우리 모두 자신의 분야에서 최고 탑(TOP)이 되어 보자는 이야기입니다.  말에 약간 앞뒤가 안 맞지요... 모두 탑이 될 수 없다는 것을 저는 이미 알고 있기 때문에 그렇게 이야기 한 것입니다.


                                                       <사진출처: http://bit.ly/sEE7sj>

늘 힘들다고 입에 달고 사는게 아닌 정말 내 인생을 한번 내 삶을 주도적으로 살아 볼 수 있는 스스로 만들어가는 개척하는 삶을 만들고 노력 해 보자는 말입니다.  물은 흘러야 하고 고여 있으면 썩게 마련입니다. 부단한 움직임을 가져야 하고 불안정하기 때문에 살아 있는 것입니다. 안정적이다면 이미 죽은 것이나 다름 없다는 이야기를 들은적 있습니다

부단히 움직이고 노력하고 준비하고 하나라도 더 나누어 줄려고 하고 베풀려고 할때 자신에게 덕으로 돌아 오지 않을까 하는 생각입니다.

그러면 반드시 나이가 들어서도 업계를 떠나는 것이 아닌 명퇴는 숫자에 불과하고 자신이 롱런 할 수 있는 방법을 찾고 업계에서 롤모델이 되어 스타가 되어 스타를 바라보는 것이 아닌 자신이 스타가 한번 되어 보시면 어떻겠습니까? 저도 그 험난한 길을 걷고 있습니다. 함께라면 같이 해 낼 자신이 있다고 생각합니다. 오늘도 화이팅 하시길 바라면서...  @엔시스.

 * 본 칼럼은 보안인닷컴 커뮤니티와 보안인닷컴 세리포럼에서 많은 공감과 댓글이 있어 블로그에 옮겨봅니다.
    다양한 의견 환영합니다. 반대글도 괜찮습니다.  댓글 달아 주시면 되겠습니다.



신고
Posted by 엔시스

주말 반납하고 보안인닷컴 , 차세대 전문가 포럼 카페 회원 대상으로 특강을 하였습니다. 늘 이러한 세미나를 할때면, 장소를 구하지 못해 자주 할 수 없는 것이 안타까운 것이 사실입니다.  혹시 누군가 장소를 사용할 수 있게 해 주시면 감사하겠습니다.



아침 새벽6시30분에 부산에서 7시 KTX 를 타고 서울로 향하였습니다. 주말이라 표 구하기 어려움이 있어 아주 고생을 하였네요.. 덕분에 영화칸을 자리하게 되어 영화를 보고 비용은 더 들어가게 되었네요..

특강 시작전에 도착하여 세미나 준비를 하였습니다. 사전에 미리 도착하여 조금씩 도와 주시는 분들이 좀 있었더라면 하는 생각이 있었지만 그냥 혼자 묵묵히 했습니다.

남들이 도와 줄꺼라고 생각하고 했더라면 아예 황금 같은 주말에 부산에서 서울로 출발 하지도 않았겠지요 .

그렇게 해서 시작한 세미나는 사전에 참석 하겠다는 댓글을 달았음에도 불구하여 모두 참석하리라는 제 믿음을 저버렸습니다. 물론 장소가 그다지 넓지 않아 걱정했지만 70-80명정도는 참석 한듯 합니다..


블로그에 한동안 글을 담지 못하여 살아 있음을 알리려고 포스팅 합니다...^^;; 회사 업무에 이런저런 하는 일 없이 시간이 너무 빨리 지나가는 듯 합니다. 마음에 양식도 더 많이 담아야 겠습니다..

늘 건강하시고, 블로그 오시는 분들 죄송하구요..앞으로 더 많은 정보 업데이트 할 수 있도록 하겠습니다.
감사합니다.  -쥔장 올림.


신고
Posted by 엔시스

얼마전에 휴가를 내고 외부 특강을 하게 되었습니다.  주제는 '개인정보보호 시스템 구축론' 이라는 주제를 가지고 '서울과학 종합대학원 산업보안 MBA' 과정에서 강의를 하였습니다.

 사실 처음에 강의 요청을 받았을때, 이미 실무에 있는 분들은 모두 아는 내용일 수도 있고, 또한 대부분 다른 내용으로 강의를 받았다고 해서 어떤 이야기를 가지고 할 것인지에 대한 고민을 하였습니다.

그 중에서 고민 하였던 것은 아무래도 기본적인 내용에서 딱 한단계만 더 깊이 들어가자라는 결론을 내린 것이지요..

그래서, 예를들어 앞으로 '주민번호대체수단'을 도입하라라고 만약 한다면 우리는 흔히 '아이핀' 이나 'G-PIN' , '공인인증서' 'OTP'를 도입하라고만 합니다.

하지만 그 다음 단계인 어떻게 도입할 것인지 막막한 경우가 많습니다.

즉, 주민번호외에도 대체수단을 도입하게 되면 도대체 어떻게 홈페이지에서 어떤 방법으로 적용을 해야 하는지를 모르는 것입니다...

이러한 결론에 이르자  그 방법을 같이 고민해 보면 좋겠다라고 생각하여 한 꼭지 넣어 습니다..


그리고 개인정보 유출에 대한 각종 솔루션에 대한 전체적인 종류별로 언급도 하였습니다. 특히 공개된 장소에서 특정 솔루션을 언급하는 것이 조심스럽기 때문에 그냥 어떠한 류의 솔루션이 있다는 정도만 언급을 하였습니다.

이렇게 3시간을 강의를 하고 나니 10시가 되더군요...관계자분과 담당 교수님이 직접 격려를 해 주시고 또한 질문도 많이 주셔서 좋은 경험을 할 수 있었습니다.

저도 대학원 석사 과정을 마칠때 , 연구실에 퇴근후 저녁도 대충 김밥이랑 라면으로 때우면서 논문을 준비하였던 기억이 새록 새록 났습니다. 그만큼 일하면서 공부한다는 것은 무척이나 힘든 과정입니다. 왜냐하면 어쩡쩡한 상태가 되면 이것도 못믿고, 저것도 못믿는 상태가 오거든요...대부분 일과 공부 두마리 토끼를 다 잡으려고 하지만 쉽지 않은게 현실입니다...

남 앞에 선다는 것은 그만큼 준비를 많이 해야 한다는 반증이기도 하지만 요즘 회사 업무와 교육으로 시간을 주로 퇴근후 공부하고 연구하는데에 할애를 하였는데, 들어 주신분들에게 부족한 부분은 아니었는지 모르겠습니다.  관계자분들과 그날 수업을 들어주신 분들에게 이자리를 빌어 감사의 말씀을 전해 드립니다.. @엔시스.


참, 이번에 aSSIST에서 산업보안관련 MBA 입학설명회를 한다고 하네요..관심있는 분들은 아래 참조 하세요..



 

신고
Posted by 엔시스

어제 평소에 알고 있던 한 지인과 통화를 하게 되었습니다. 이런저런 이야기를하다가 업무적인 이야기중에서 아직도 하청에 재 하청..흔히 말하는 "갑을병정"으로 이어지는 용역을 수주하게 되어 점점 용역단가는 낮아지고 요구사항은 더욱 많아진다고 하소연 하였습니다.


사진출처 : http://blog.naver.com/ehot?Redirect=Log&logNo=40125106111


국내 대기업위주의 사업용역 수주 구조.

국내 커다란 국가 공공용역사업을 보면 대부분 국내 대기업 SI 업체가 수주하고 그 밑에 "을"이 붙고 "을"은 다시 "병"에게 넘기고 "병"은 다시 "정"에게 하청에 재하청을 주는 방식이 많다보니 여러가지 폐혜들이 많이 나타나게 됩니다.

용역을 발주하는 기관은 아무래도 사업의 중요도에 따라 안정적인 기업이 나서서 잘 컨트롤이 될수 있도록 하는 것은 어쩌면 당연한 일이 될것입니다. 하지만 이러한 "갑을병정"놀이가 되다보니 결국 용역 수주단가는 높아지고 최후에는 "갑"과 "정"만 일을 하는 꼴이 되어버리고 중간에 "을"과 "병"은 사라져 버리고 앉아서 마진만 챙기는 경우가 있습니다.

결국 "정"은 하소연 하게 되고, 이러한 상황에 있어 이렇게 해서라도 입에 풀칠을해야 하는 정은 모든 일을 하게 되는 구조로 되어 있습니다. 물론 약간은 비약적인 상황이긴 하겠지만 이제는 이러한 관행을 깨었으면 좋겠다라는 생각이 듭니다.

물론 용역 발주는 주는 기관에서는 "갑"에 능력을 보고 주는 것이지..그 밑에 하청에 재하청하여 프로젝트 품질을 떨어뜨리게 하라는 것은 아닐것입니다.

여러단계를 거친다는 것은 그만큼 환경변수도 많아

이러한 이해관계가 놓이 갑을병정놀이는 여러단계를 거치다 보니 늘 말이 많습니다. 정작 가야할 길이 있는데 배가 산으로 가는 경우가 비일비재하고 요구사항이 그때그때마다 변경 되면 처음으로 다시 돌아가 재구성해야 하는 경우도 있습니다.

만약 A라는 프로젝트가 시작이 되어 RFP 대로 어느정도 진행이 되어 이제 약 90%정도 완성도를 보였다고 가정을 할때, 갑자기 다른 변수가 작용이 되어 그것을 반영하라는 요구사항이 나오면 실제 진행한 90% 완성율을 다시 재구성해야 하는경우에는 정말 난감한 경우가 많겠지요..


그럼 대안은 없을까?

필자의 개인적인 생각에서는 가능하면 분명히 "정"에서 사업을 직접 수주하여 진행 할수있는 역량이 있는 곳이 있습니다. 발주 기관에서는 이러한 핵심적인 기업을 잘 골라서 선정하여 갑에게 주는 용역단가의 60-70%만 주어도 결국 마더만 서지 중간에서 이름만 빌려주는 을병까지 가져가는 마진만큼 정에게 주었을때 훨씬 저렴하고 또한 정에 입장에서는 갑을병정이 되었을떄보다 훨씬 큰 금액으로 가져 올수있기에 일하는 매리트도 훨씬 크다고 생각합니다.

대부분 , 그럼 이렇게 생각을 할수도 있겠지요. 그래도 든든한 마더가 가장 앞장서서 이끌어야지..사업에 불투명때문에 작은 기업에게 사업을 맡겼다가 그 기업이 도산하거나 폐업을 하게되면 담당자는 어떻게 그쪽에 사업을 줄수있겠는가? 맞습니다. 맞고요..

하지만 어차피 발주되는 것은 "갑"을 보고 발주 되는 것이니 "을,병,정"은 너희들끼리 찌지고 볶고 싸우든 아무튼 우리는 품질만 되면 되니까..그건 당신네들 알아서 할 문제이다" 라는 생각을 가지게 되면 "병정"은
매일 같은 야근에 다양한 요구사항에 좋은 품질이 나올수 없다는 것은 이미 알고 있는것이고, 이러한 부분을 개선하기 위한 고민을 해 보자는 화두를 가지는 것이겠지요..

중소기업 살리자고 말로만 외치지, 그에 따른 능력이 있음에도 불구하고 "마더"가 되지 못하는 현실은 어쩌면 덩치 작고 돈 없는 기업은 짊어져야 하는 숙명인지도 모르겠습니다.

어제 지인과 전화를 끝마칠 즈음에

"갑과 정"만 일하고 나머지는 그냥 마진만 챙기는 일이 있어 결국 "배째라" 하고 버텼더니 그때서야 관심을 갖더랍니다.."

이런 하소연을 한동안 통화하면서 듣고 있노라니, 자신의 능력을 마음껏 펼치수 있고, 수직적 구조가 아닌 수평적 구조로 벤쳐신화를 일구어 내고 하는 그런 것은 꿈 같은 이야기가 아닌가 하는 생각도 들었습니다.
부디 이제는 바뀌어야 할 어떤 좋은 대안이 있었으면 좋겠습니다. 너무 큰 주제라서 주제 넘게 제가 이러쿵 저러쿵 하지는 못하겠지만 힘들어하는 국내 중소규모 사업체에게 힘을 줄수 있는 정책적 대안들이 좀 있었으면 하는 바램에서 몇자 적어 보았습니다. @엔시스.


신고
Posted by 엔시스

 


 
최근 개인정보보호법 시행을 앞두고 여러가지로 개인정보에 많은 관심을 두고 있는데요. 최근 국내 포털에서 최대 개인정보가 유출됨으로 인하여 사회적 파장이 커지고 있습니다.

이러한 가운데 있어서 개인정보보호를 연구하다보니 한가지 불편한 진실이 있어서 정보를 공유해 보고자 합니다. 개인정보를 공부하다보면 '개인정보취급방침'을 정보주체가 알기 쉽게 공개 할 수 있도록 마련해야 하는데요.

대부분 메인 홈페이지나 웹사이트 하단에 식별하기 쉽게 공개를 해야 합니다. 따라서, 개인정보취급방침에 대한 정보주체로서의 가장 많이 보는 문구중에 하나일듯 합니다.

또한, 회원 가입시에도 개인정보 수집동의 부분에서 접하는 여러가지 내용들이 있습니다. 그중에서 필자는 개인정보라이프 사이클 중에서 오늘은 '파기'에 대한 부분을 한번 언급해 보고자 합니다.



                                                   <개인정보보호에서 라이프사이클 중 '파기'의 중요성>

즉시파기한다의 불편한 진실

대부분 법은 일반법으로 법이 존재하고 특별법으로 특별하게 준수해야 하는 법이 존재 합니다. 대부분 특별법 우선이 되겠지요,.

마찬가지로 개인정보를 수집. 이용.저장, 파기의 생명주기를 가지고 하나의 라이프 사이클을 그리면서 반복 순환 되는데요. 법의 원칙상에는 '파기'에는 '즉시파기한다'라는 문구가 아주 많이 있습니다. 얼핏 보기에는 개인정보의 목적 달성후에는 즉시 파기 한다라고 되어 있지만 지금까지 인증심사나 외부 자문시에는 대부분 즉시 파기하는 경우를 한번도 접하지 못하였습니다.

그것은 바로 특별법이나 개별법에 나타난 조항들 때문입니다. 아마도 다음과 같은 조항들이 포함이 되지 않을까 합니다.

표시/광고에 관한 기록
6개월 (전자상거래 등에서의 소비자보호에 관한 법률)

계약 또는 청약철회 등에 관한 기록
5년 (전자상거래 등에서의 소비자보호에 관한 법률)

대금결제 및 재화 등의 공급에 관한 기록
5년 (전자상거래 등에서의 소비자보호에 관한 법률)

소비자의 불만 또는 분쟁처리에 관한 기록
3년 (전자상거래 등에서의 소비자보호에 관한 법률)

신용정보의 수집/처리 및 이용 등에 관한 기록
3년 (신용정보의 이용 및 보호에 관한 법률)

제 개인적인 생각에는 '목적달성을 다 한 후에는 즉시 파기 한다'라는 것이 맞습니다. 하지만 한번도 목적 달성후 그냥 즉시 파기하는 경우가 없었습니다. 그것은 개인정보를 비지니스 목적으로 수집하는 경우가 대부분이었고, 그 비지니스 이면에는 여러가지 전자상거래나 신용정보 또는 금융에 대한 거래가 있었기 때문에 즉시 파기가 되지 않는 것입니다.

이러한 불편한 진실을 있음에도 '즉시파기한다'라는 용어를 쓰면서 마치 즉시 파기 되는 것처럼 느껴지는 것은 저만의 느낌은 아닐듯합니다. 결국 즉시파기는 즉시 파기가 아닌셈이 되는 것이죠.. 이러한 불편한 진실로 인하여 보관주기를 지켜려고 잘못 보관 관리하였다가 개인정보 유.노출로 이어질 가능성이 많다는 것입니다..

이러한 부분이 법과 현실과의 충돌성이나 현실과의 충돌성으로 나타나는게 아닌가 하는 개인적인 생각이 있어서 잠시 적어 보았습니다. 아마도 개선해야할 부분이 아닌가 생각해 봅니다.

그럼 어떻게 개선하는게 좋을까?

사실 비지니스 업무를 하면서 가장 좋은 케이스는 법에서 명시하는 것 처럼 '즉시파기한다'라고 해서 즉시 파기하면 가장 좋은 케이스이지만 그럴경우 여러가지 사후적인 부작용이 나타나게 됩니다. 따라서, 개별법에 따른 보관 주기를 조금 짧게 설정 하는 것은 어떨지 제안해 봅니다.

위의 경우에는 5년은 ->3년으로 3년은 ->1년으로 , 또는 그보다 짧게 3년,2년,1년 등으로 사실, 개인정보를 목적 달성후에 1년씩 일괄 보관후 파기 하는 것으로 하면 어떨까 하는 제안도 해 봅니다. 물론 여러가지 부작용이 있겠지만 개인정보보호관점에서 접근 해 보았다는 사실만 가지고 적어 보았습니다. 이젠 소중한 개인정보 열심히 지켜야 하는 것이 중요합니다.
@엔시스.

신고
Posted by 엔시스

마소잡지 7월호에 보안특집기사로 보안에 대한 정리내용으로 간단하게 관리체계에 대한 부분을 언급하였습니다. 너무 기술에만 치우쳐도 되지 않고, 너무 관리에만 치우쳐도 되지 않아 보안은 기술과 관리가 적절하게 균형있게 조율이 되어야 겠습니다.



어제 잠시 서점에 들려서 다시 한번 인쇄본을 살펴 보았는데, 조금 분량을 늘려서 적을 것을 하는 느낌이었고 조금은 임팩트 있는 내용이 아니라서 평이한 수준에서 적지 않았나 하는 느낌이 들더군요. 아무튼 자신의 생각을 글로 표현한다는 것은 굉장히 중요한 문제라 저는 생각합니다. 그래서 부족하지만 노력하고 있는 중이구요. 여러분들도 자꾸 노력을 하여 그 부족함을 채워 나가는 것이 삶을 지탱하는 원동력이 아닐까 생각이 드네요.. 이러다 관리체계 홍보대사 되는것은 아닌지...ISMS, PIMS ㅎㅎ 하지만 중요하니까요.
많이 홍보해야지요..그것이 제 몫이라 생각합니다.

혹시 궁금하신 분들은 http://www.boanin.com 보안인닷컴 커뮤니티 공지사항 보시면 e-매거진 2호가 무료로 배포되고 있습니다. 거기에도 실렸으니 참고 하시면 됩니다. 또는 http://www.sis.pe.kr/3326 보시면 첨부되어 있으니 다운로드 받아 보시면 됩니다.

앞으로는 조금 더 깊이를 더해야 겠습니다. 비가 오네요..주말 잘 보내시길 바라고 비 피해 없기를 바랍니다.  @엔시스.


신고
Posted by 엔시스

보안인닷컴 e-매거진 2호가 산고 끝에 나왔습니다. 아직 가야 할 길이 멀지만 뭐, 중요한 것은 보안에 대한 지식을 함께 나눈다는데에 의미가 있으니, 조금 부족하더라도 꾸준히 만들어 보겠습니다. 퇴근이후나 주말을 기해서 시간을 쪼개어 조금씩 만들다 보니 아직 허접한 구석이 많습니다.




모두들 보안이 중요하다고는 하지만 실제 실천하는 사람은 잘 없습니다. 제가 몸 소 실천하는 보안을 보여주기 위한 활동으로서의 결과물이기에 꾸준히 진행하겠습니다. 다음 3호도 많이 기대해 주시고 보안에 관심 있는 분들은 참여도 해 주시면 감사하겠네요 ^^;;  @엔시스.





신고
Posted by 엔시스

오늘 회사 업무를 마치고, 부산신용보증재단에 정보보호 교육을 하러 갔습니다. 저는 늘 교육을 갈때 약속시간보다 2-30분 일찍 도착을 합니다. 그럼 대부분 담당자분들은 "일찍 오셨네요"라고 말씀하시죠..

하지만 제 지론은 최소한 프로는 제 시간에 가야 하고 시간에 쫓기어 허겁지겁 가지 말아야 하며, 대부분 담당자분들은 사전에 도착을 하게 되면 윗분들에게 인사를 시켜 드립니다.

이런 시간까지 감안한다면 2-30분 일찍 도착하는게 맞습니다. 차분히 교육장에 대한 파악도 하고 준비해간 준비물과 교육자료 점검 시간도 있습니다. 교육 시간이 다 되어가는데 강사가 허겁지겁 온다든지, 교육셋팅이 끝나지 않으며, 전혀 프로답지 못하다고 하겠습니다.

오늘 그렇게 해서 도착한 부산신용보증재단.. 처음 방문한 곳이었지만 담당자이신 문과장님은 상당히 쾌활하시고 반갑게 맞이해 주셔서 첫인상이 참 좋았습니다.

특히 특징적인 부분은 퇴근후 교육이라 교육생분들에게 토스트도 나누어 주면서 함께 교육을 받는다는 것이 참 인상적이었고, 강사인 저에게도 토스트를 주어서 저녁을 해결 할 수 있었습니다. 아주 맛있게 먹었네요.

 





또한 교육2시간 내내 졸고 있는 분이 없이 전부 초롱초롱한 눈으로 보안에 대한 교육에 귀를 기울이셨습니다. 사실 저야 자주 듣는 이야기이지만 처음 보안에 접하시는 분들은 사실 그렇게 쉬운 내용은 아니지만 교육 준비는 나름대로 눈높이를 맞추어 고민하여 준비하였습니다. 늘 교육을 하고 나면 조금 아쉬운 부분은 있지만 참석하신 분들이 꼭 실천할 수 있는 부분만 콕콕 찝어 강조하곤 하였습니다.

아무튼, 보안에 관심을 가지는 소중한 기회나 시간이 되었다면 저에게는 더 없는 영광의 자리였고, 비보안인들에게 보안의 중요성을 알린다는 것 또한 의미 있는 일이라 생각이 듭니다. 개인정보보호법도 시행을 앞두고 있는만큼  그분들에게 그냥 스쳐지나가는 교육에 하나는 아니었으면 하는 작은 바램을 가져 봅니다.

부산신용보증재단에서 보안 교육에 참석 하신 여러분들께 이자리를 빌어 다시 감사의 말씀을 드립니다. 너무 진지하게 들어 주셨습니다... @엔시스 올림.


신고
Posted by 엔시스

개인정보보호법 시행이 점점 다가 오면서 많은 사람들이 개인정보보호에 관심을 많이가지게 됩니다. 물론 지방에서도 많은 관심을 가지게 되는데요. 아무래도 서울에 비해 그 기회나 정보가 적다보니 상대적으로 많이 궁금한 점들이 있습니다.

올 초에 3번에 걸쳐 부산글로벌IT교육센터에서 세미나가 준비되어 있었는데 그중에 2번을 진행 하였습니다. 지난번에는 정보보호관리체계의 이해 에 대하여 특강이 있었으며, 이번에는 "개인정보보호법 제정에 따른 법분석과 대응방안" "사례중심의 개인정보보호"등의 주제로 3시간 동안 진행을 하였습니다.

 

세미나는 7시부터 -10시까지 진행이 되었는데요. 모두들 퇴근후에 오셨지만 정말 수업집중도가 높았습니다. 한분도 졸고 계시는 분이 없었습니다. 사실 , 법관련 문제나 보안일반에 대한 수업은 조금 지루한 면이 없지 않아 있는데, 질문도 많이 해 주시고 그만큼 관심들이 있다는 말씀이겠지요.

분량이 워낙 많은 분량이라. 3시간에 소화해낸다는 것 자체도 쉽지 않더군요.

하물며, 일반적으로 1시간정도 대충 수박 겉핥기 식으로 뜬 구름 잡기식 세미나나 특강은 지양해야 할 것 같습니다. 어차피 질문하고 토론하고 들으러 온거 조금 디테일하게 수강하시는 분들에게 가려운 곳을 긁어 주는게 좋겠습니다.

세미나는 다음과 같은 내용으로 진행이 되었습니다.

    • 개인정보보호법의 배경과 필요성
    • 개인정보보호법의 법체계 (개별법과 개인정보보호법의 관계)
    • 개인정보보호법 시행후 행정체계의 변화
    • 개인정보보보법 주요 조항 분석
    • 개인정보보호법 시행에 따른 우리의 대응방안
      • 개인정보보법 이해
      • 개인정보보법 기술적.관리적 보호조치 대응방안
      • 개인정보보법 솔루션 이해등등
    • 실제 사례를 통한 개인정보보호법 FAQ까지

    이렇게 진행을 하다보니3시간을 정확하게 진행을 하게 되었습니다. 밤 늦은 시간까지 집중하여 들어주신 분들에게 이 자리를 빌어 감사의 말씀을 드립니다.

    무슨 교육이든 새로운 것은 잘 없습니다. 이미 조금 알고 있는 내용이거나 또는 어렴풋하게 아는 내용들이겠지요. 하지만 이러한 자리를 통하여 자신의 제한된 환경과 시간을 만듬으로 인하여 한번 더 확인하고 살펴 보는 자리가 되는 것입니다.

    아마도 개인정보보호법이 시행이 된다고 하여도 법조문 전체를 한번 줄 그어가면서 읽어 보시는 분들이 몇분이나 있을지 의문입니다. 사실 딱딱한 법이라 재미도 없지만 세미나나 특강시간에 앉아만 있어도 자주 접하게 되니..머리속에 남게 됩니다..

    처음에는 수업중에 PIMS(개인정보보호관리체계)부분도 있었지만 수업에 너무 많은 욕심을 내게 되면 오히려 메세지 전달력이 떨어지고 세미나 참석하신 분들에 집중도도 떨어지고 법 조문도 잘 모르는데, 혹은 개인정보보호 생명주기도 잘 모르는데 관리체계까지 한다는 것은 무리인듯 싶어 (참석자분들을 과소평가 한지도 모르겠지만) 제외하고 진행하였습니다. 다음에 기회가 있으면 마련토록해보겠습니다.

    저는 교육에 대한 두가지 원칙을 가지고 있습니다.

    1. 남을 가르치는것이 자신이 배우는 것이다. -철저하게 실천하고 있습니다.
    2. 교육은 내가 하고싶은 말을 하는것이 아니라 상대방에 귀에 들리게 말하는 것이 진정한 전달 메세지 이다.  결국 많이 알고 있다고 해서 좋은 교육이 아니라 수강자의 눈높이에 맞게 하나라도 알아갈수 있도록 하는 것이 진정한 교육이라 생각합니다.

    저도 퇴근후에 3시간이라는 에너지를 소비했지만 세미나에 대한 준비를 많이 한 만큼 열심히 전달하려고 노력하였고, 자료 준비하면서 많은 공부가 또 되었다는 사실이었습니다.

    최근에 정보보호관리체계나 개인정보보호법등 관리적 보안에 관심을 가지면서, 기존에 시스템관리, 네트워크등 인프라 운영에 대한 지식과 경험, 그리고 각종 SIS자격증과 CISSP를 공부하면서 연구한 여러가지 암호학 관련 이론적인 공부들이 전체적인 틀에서 내려다 볼수 있는 관리적인 정보보호체계마련에 많은 도움이 되고 있습니다.

    따라서, 한분야에 전문가는  현장에서 떠나지 않고 실무와 이론을 겸비한 사람이 전문가가되는게 아닌가 생각을 해 봅니다. 오랜만에 페이스북에서 뵙던 분도 오프라인에서 만나뵙게 되어 반가웠습니다.  전국중심의 보안 실천에 앞장서고 지방에 보안 활성화를 위하여 더욱 열심히 노력하고 달려가겠습니다. 감사합니다.  @엔시스 .

신고
Posted by 엔시스

오랜만에 '청소년' 대상으로 하는 보안특강을 하였습니다. 작년초에 v3 스쿨에 '안철수 연구소'에서 하고 난 이후에 학생들과는 오랜만에 만남이었습니다.

이번에 특강을 한 '부일전자디자인 고등학교'는 고등학교로서는 국내 처음으로  컴퓨터보안과 특성화 학교로 지정이 되어 시범 운영이 되고 있다고 합니다.  그래서 더 의미가 있고, 준비를 많이 하여 준비를 하였습니다.

특강주제는 학생들이기 때문에 다음과 같이 접근 하였습니다.

 

1. 최신 정보시스템의 보안위협 및 사례

1-1. 정보시스템 사이버 침해사고 동향

1-2 정보시스템 사이버 침해 사고사례

2. 시나리오를 통해 알아보는 해킹공격의 이해

2-1. 웹 해킹 공격(리눅스, 윈도우즈)

-웹쉘 , 패스워드 크랙

3. 보안장비를 통한 해킹 방지 방안

3-1. 방화벽

3-2. 침입탐지

3-3. VPN

3-4. IPS

4. 화이트 해커로서의 정보보안 윤리



어떻게 보면 조금 일상적인 주제일지 몰라도 학생들에게 우선 보안전문가의 로드맵에 대한 이야기를 먼저 잡아주고 왜 학생 여러분들이 보안전문가를 하고 싶은지에 대한 자신의 내면의 물음에 대하여 진지하게 고민할 필요가 있다고 강조를 하였습니다.

그리고 최근 보안이슈에 따른 사례 및 해킹 트렌드와 동영상 시연을 하였습니다. 역시 학생들에게는 비주얼 한것이 관심 집중을 잘 하더군요..그럼 잠시 분위기 좀 보겠습니다.


학생들이 진지하게 바라 볼때, 참 많은 생각들이 교차가 되었습니다. 부디 진정한 보안전문가가 탄생되었으면 하는 바램을 가지게 되었고, 특히 크랙커와 해커 사이에서 도덕적 윤리도 갖추는것이 중요하다는 것과 법의 테두리를 벗어 나지 말것..그리고 영어와 수학등 학교 수업도 충실해야 한다는 이야기도 곁들여 주었습니다.


 


그리고 현장감을 보여 주기 위하여 현재 실무에서 이용되고 있는 보안 솔루션에 대한 이야기를 해 주었으며, 학생들 눈높이에 맞은 안전한 패스워드 관리에 대한 부분을 아주 쉽게 설명을 해 주었습니다. 아마도 가장 잘 전달 된 내용이 아닌가 하는 생각을 하였습니다.

오랜만에 청소년들을 보니 마음이 뿌듯했으며, 향후 보안꿈나무가 탄생하길 기대해 보면서 나름대로 최선을 다해 학생들에게 조금이나마 도움이 되는 시간이었다고 생각이 듭니다. 이자리를 빌어 교감 선생님, 그리고 담당 부장선생님,..또한 특강을 준비하신 차xx선생님에게 감사의 말씀을 드립니다.

*에피소드 한가지.
특강의 현장감을 주기 위하여 패스워드 크랙하는 시연을 보이려고 미리 원격지 서버에 크랙시연을 준비하였지만 학교 내부 보안정책 때문에 원격지 서버가 접속이 되지 않는 바람에 그냥 말로 때웠다는...^^;; 준비 많이 했는데..시연은 못했지만 보안은 잘 되어 있다는 이야기겠죠.





신고
Posted by 엔시스

제가 운영하는 보안인닷컴 커뮤니티에서 [보안人]이라는 e-매거진을 만들었습니다. 매거진이라 해 봐야 기존 매거진 형태가 아닌 오히려 솔직 담백하고 아마추어적인 컨셉입니다..대신에 기존 매체에 대한 높은 문턱을 낮추고 누구나 보안에 대한 이야기이면 목소리를 낼수 있는 이야기를 담고자 하였습니다.  앞으로 많은 응원과 격려 부탁드립니다... 회원 중심의 이야기로 펼쳐 나갈 예정입니다.



보안인닷컴 e-매거진 [보안人] 다운로드  --> http://cafe.naver.com/nsis/54033  




신고
Posted by 엔시스