'Security Policy'에 해당되는 글 56건

  1. 2015.06.18 2016년 정보보안과 개인정보보호 어떤 정책 시행될까?
  2. 2014.03.12 정보보호 전문가, 공무원의 길 열리는가?
  3. 2013.02.07 개정된 망법에는 "정보보호현황"도 홈페이지에 공개해야
  4. 2012.02.03 보안전문인력 정규직 확대되고, 선순환 구조로 되어야 (2)
  5. 2011.03.21 보안관제 전문업체 지정등에 관한 공고 자료 (1)
  6. 2011.01.12 정보보호담당자, 이제는 정보보호전공하고 자격 갖춘 인력이 해야 (3)
  7. 2010.03.10 SIS(국가공인 정보보호전문가)자격증, 국가기술 자격증 가시화해야 (3)
  8. 2010.02.21 KISA에서 학술지를 창간하는군요
  9. 2010.02.18 일반인들에게 보안문화 전파를 위한 가장 좋은 방법은?
  10. 2010.02.17 보안, 어려서부터 교육하고 사명감은 필수 -보안인닷컴 설문결과 (2)
  11. 2010.02.09 [정책제언] 이젠 일반인도 보안인센티브 주면 어떨까?
  12. 2010.01.29 의료정보보호 가이드라인 요약집 (2)
  13. 2009.12.22 KISA, 보안 커뮤니티도 적극 지원 활용해야 (2)
  14. 2009.11.19 사이버보안관 3000명 인력양성, 백지화 되나? (2)
  15. 2009.11.11 시큐어넷, 웜,해킹바이러스 통계 활용 안되고 있어 아쉬워
  16. 2009.10.09 정보보호전문가 자격증이 국가기술자격증으로 빨리 되어야 하는 이유
  17. 2009.10.07 윤제균 '해운대' 영화감독, 정보보호 홍보대사에 바라는 점
  18. 2009.09.21 한국인터넷진흥원(KISA) 지방 지사설립은 어떨까? (4)
  19. 2009.05.18 보안 홍보도 "톡톡" 아이디어도 "톡톡" (4)
  20. 2009.05.15 방통위에 보안관련 정책 제안을 하였습니다. (3)
  21. 2009.05.09 공공·민간의 정보보호 종합대책 발표 - 2008.7.22 (3)
  22. 2009.05.06 정보보호 유지보수 요율 현실화 되어야 (2)
  23. 2009.03.22 기업을 위한 정보보호 가이드 CD수령 (5)
  24. 2009.03.09 정보보호 취약점 점검 서비스 희망 기업 모집 안내
  25. 2009.02.18 정보보호전문가(SIS) 자격증제도, 이대로 좋은가?
  26. 2009.01.30 행정인턴제도, 보안사각지대는 되지 않을까? (27)
  27. 2009.01.28 고용계약형, 지식정보보안 석사과정 지원사업 (1)
  28. 2009.01.18 작년 지경부 『Securing Knowledge Korea 2013』보도자료
  29. 2009.01.18 지경부, 보안산업 강화를 위한 중기 계획 어떻게 이끌어 갈 것인가?
  30. 2008.12.31 정보보호법안들 18대 국회에서도 통과는 될런지 (8)


오랜만에 블로그에 글 정리해 봅니다. 방문자가 그리 많지 않은 블로그지만 하나의 주제를 가지고 정리해 볼수 있는 수단으로는 블로그만큼 좋은 도구가 없기 때문에 기록하여 정리합니다. 중앙행정기관의 2016년도 개인정보보호에 대한 정책은 어떻게 준비하고 있는지 최근 개인정보보호위원회 심의.의결된 내용을 바탕으로 합니다. 관심 있는 분들 참고 해 보세요. -운영자 올림.

*추가 - 포스팅하고 비공개로 두었다가 최근 이슈를 반영하다보니 조금은 글 내용의 범위가 넓어졌음을 이해해 주길 바랍니다. 



들어가는말


대한민국은 법치국가이다. 법을 준수해야 하고, 법의 테두리 안에서 모든 국민의 자유는 보장이 된다. 법의 질서를 지켜야 하고 법이 바로 서야 국가 질서도 바로 선다. 이는 이제 보안분야까지 폭 넓게 적용되게 되었다. 과거에는 방화벽 하나면 보호할 수 있는 시스템이나 네트워크였다. 그러나 지금은 복잡성과 새로운 기술, 새로운 서비스의 출현으로 하나의 솔루션으로는 어림도 없다. 이러한 복잡한 ICT분야에서 주먹구구식의 관리는 이미 옛날 이야기가 되어 버렸고, 체계적인 관리의 필요성이 대두되었다. 이제 ICT는 산업 전반에 걸쳐 기반 산업이 되어 버렸고, 사물인터넷(IoT)이 미래 성장동력으로 떠 오르면서 S/W의 중요성도 더 가시화 되었다. 이런측면에서 서비스의 도입기 , 성장기, 성숙기를 지나면 역기능이 발생하게 되고 이는 보호(지켜)해야하는 보안관점으로 접근할 수 밖에 없는 구조적인 형태로 흘러간다. 또한 개발단계나 시스템 신규 구축,변경시 보안을 반영하여 설계하고 구축 운영해야 한다. 


혹자는 기업(기관)의 정보보호는 중요하지 않고, 개인정보만 중요 하냐고 반문하는 사람들이 있겠지만 기업(기관)정보보호도 역시 중요하다. 여기에는 한가지 배경지식을 이해할 필요성이 있다. 기업(기관)의 정보보호는 보호해야 할 자산이 기업(기관)이 소유하는 자산이고, 개인정보보호는 보호해야할 주체가 기업(기관)의 자산이 아닌 정보주체 또는 정보통신서비스 이용자의 개인의 정보라는 것이다. 이런 관점에서 본다면 보호 해야할 대상이 개인의 정보로 유출시 그 파급 효과가 더 크다는 것이다. 이는 손해배상제도에서 정보주체의 수 만큼 손해배상을 해야 하기 때문에 금액은 기하급수적으로 높아지기 때문이고 한번 유출되면 대량유출되는 개인정보는 반드시 보호 해야할 법적 의무사항이라는 점이다.국민의 의식수준 향상도 한몫을 한다. 자신의 권리 주장을 하는 채널(SNS등)이 많아졌고 여론 형성으로 이어진다. 유사한 사항이라도 그 당시 여론과 시기등을 고려하여 처벌 수위도 달라진다.


또한, 대한민국의 국민식별체계인 주민등록번호는 유니크한 식별 번호로 한번 유출되고 나면 악용될 소지가 많고, 모든 행정업무가 주민등록번호로 이용.활용되는 경우가 많아 규제는 불가피하게 되었다. 물론, 주민등록번호를 없애고 다른 식별체계를 만들자는 여론이 형성되긴 하지만 쉽지 않아 보인다. 수십년을 사용해 오던 국민식별체계를 변경한다는 것은 말처럼 그리 쉬운일이 아니기 때문이다. 어쨌거나 대안 마련은 필요해 보인다. 


2016년도 정보보안 및 개인정보보호 관련 정부의 중앙행정기관의 계획을 심의.의결한 개인정보보호위원회의 결정을 정리해 보고자 한다. 


1. 법적근거


개인정보보호법 제 10조 , 동법 시행령 제12조 


 ① 중앙행정기관의 장은 기본계획에 따라 매년 개인정보 보호를 위한 시행계획을 작성하여 보호위원회에 제출하고, 보호위원회의 심의·의결을 거쳐 시행하여야 한다.

② 시행계획의 수립·시행에 필요한 사항은 대통령령으로 정한다.






2. 특징


2016년도에는 대표적으로 점검해야 할 사항은 다음과 같은 사항이 있음. 지금부터 신경써서 준비해야 함. 


  • 주민등록번호 저장시 암호화 의무(2016.1.1)                                                                         - 주민등록번호 100만명 미만(2016.12.31까지 완료, 100만명이상은 2017.12.31일까지 완료
  • 개인정보보호법 제24조2 제2항 각호에 해당되지 않는 사항 주민번호 삭제 (2016.8.6. )
  • 개인정보보호법 시행 이전에 구축, 운영중이던 개인정보처리시스템 영향평가 시행 (2016.)
  • 클라우드 컴퓨팅 발전법 시행 (2015.9)
  • 개정된 개인정보보호 기술적,관리적보호조치 기준 고시 시행 (2015.5.18, 방통위고시)



3. 과제별 주요 내용중 눈여겨 볼 사항 


  • 잊힐 권리를 위한 정보통신망법 개정 - 스마트폰과 인터넷이 일상화 된 지금 온라인상에 많은 흔적을 남기게 되지만 이에 못지 않게 흔적을 지우고자 하는 권리도 있음. 우리나라도 잊혀질 권리에 대한 논의가 본격화 예상.       
  • 클라우드 발전법 시행 - 2015년9월에 클라우드 발전법이 시행이 됨. 모든 서비스들이 그렇듯이 초기에는 서비스 활성화에 신경을 쓰지만 결국 일정한 시간이 지나면 클라우드상의 저작권문제, 보안문제가 대두됨. 이에 따른 대응책 마련이 필요할 것임. 관련기사 : ('클라우드 컴퓨팅 발전법 이용자 보호수준 재논의') 를 보면 "시행령에 따르면 서비스 중단기간이 연속해서 10분 이상이면 서비스제공자는 이를 이용자에 알려야 한다. 24시간 이내 서비스가 2회 이상 중단된 기간이 15분이 넘어도 사실을 공개한다. 사고내용·사고원인·피해확산방지 조치 현황·예방 방법 등이 공개 대상이다. 공개 의무를 위반하면 300만원 과태료가 부과된다". 보안에 대한 문제도 당연히 대두됨.                                                                                                                                 
  • 영상정보처리기기 관련 법령정비 및 운영강화 - 영상정보처리기기(CCTV)에 대한 개인영상정보 법령 및 운영실태등에 대한 강화 예정. 최근 범죄 및 시설,화재 예방등으로 다양한 곳에서 CCTV등이 이용.활용되고 있지만 오.남용에 대한 대책 마련도 필요해 보임                                                                                       
  • 전담인력 확충 및 교육역량 강화 - 일선 공공기관과 기업에 근무하는 개인정보 담당자의 부담은 점점 증가하기만 하고 있음. 이런 추세라고 한다면  개인정보 업무 담당을 기피 하는 업무가 되어버림. 이미 현장에서는 나타나고 있으며, 어쩔수 없이 하는 업무다보니 만족도가 떨어질수 밖에 없음. 이에 대한 근본적인 대책이 강구 되어야 하는데 아마도 가장 중요한 핵심사안이라 생각됨. 담당자 인센티브나 승진시 가점등을 고려해 볼 필요가 있음. 현재는 채찍만 있지 당근이 없다는것이 맹점임. 무조건적인 지시와 법적 규제만 강제하다보면 또 다른 역기능 발생 가능성 있음. 형식적인 교육이 아닌 실질적인 교육을 위한 환경 조성 필요. 정보보호 유능한 인재를 육성한다는 것보다는 실질적인 안정적인 고용형태나 그에 따른 보상이 현실화되면 우수한 인력은 자연스럽게 모이게 마련임.                                                                                                                             
  • 개인정보 자기결정권 강화 - 지금까지 개인정보처리자 , 정보통신서비스 이용자측면에서 강조한 측면이 있다면 이제는 정보주체, 정보통신서비스이용자의 개인정보자기결정권을 강화하는 측면에서의 접근이 필요함. 개인정보 자기결정권을 행사하는 것이 마치 '진상'처럼 취급 되어서는 안됨. 단, 정보주체의 권리주장의 정당성 범위를 넘어 악용하거나 법의 테두리를 벗어난 부분에 대해서는 단호하게 대처할 필요가 있음.


4. 주먹구구식은 가라, 이제는 체계적으로 관리해야 할때

기업(기관) 정보보호나 개인정보보호도 이제는 체계적인 관리가 필요한 시점이 되었다. 정부는 보안의 체계적인 관리를 위하여 정보보호관리체계(ISMS), 개인정보보호관리체계(PIMS), 개인정보보호 인증(PIPL)제도를 시행하고 있다. 정보보호관리체계(ISMS)는 의무화 시행되고 있고, 후자 개인정보보호관련 제도는 현재 권고사항으로 의무제도는 아니다. 하지만 곧 의무화 될 것으로 예상한다. 

4.1 정보보호관리체계(ISMS) 확대적용

정보통신망법 개정('13.2.18)으로 정보보호관리체계 인증을 의무화 시행하고 있다. 법적근거 기준을 마련하였고, 다음 해당 되는 사업자는 의무적으로 인증을 받아야 한다. 

 대상기준

 세부분류(정보통신서비스제공자)

 

 전기통신사업법의 전기통신사업자로 전국적으로 통신망서비스를 제공하는 사업자 (ISP)

 -인터넷 접속서비스

 -인터넷 전화서비스

 서울 및 모든 광역시에서 서비스제공

 타인의 정보통신서비스 제공을 위하여 집적된 정보통신 시설은 운영관리하는 사업자(IDC)

 -서버호스팅,코로케이션 서비스

 정보통신서비스부분 전년도 매출 100억 이하인 영세 VIDC는 제외

 정보통신서비스 매출액 100억 또는 이용자수 100만명 이상인 사업자 (정보통신 서비스제공자)

 -인터넷 쇼핑몰, 포털,게임

  정보통신서비스 전년도 매출액 100억 또는 이용자수 전년도 말 기준 전 3개월 일일 평균 이용자수 100만명 이상인 사업자


※ 의무 대상자 미인증시 1000만원 이하의 과태료 


초기 한국인터넷진흥원(KISA)이 인증기관이자 심사기관으로 역할을 하다보니 늘어나는 대상을 심사하기에 시간이 오래걸린다는 단점이 있었다. 년초에 분산되어 신청하면 특별한 문제가 없지만 대부분 연말등에 집중되는 겨경향이 있어 한꺼번에 인증심사를 소화해 내는데에는 한계가 있었다. 시장의 요구에 따라 한국정보통신진흥협회 (KAIT,14.4월지정), 한국정보통신기술협회 (TTA,15.2월지정) 두개 심사기관이 지정이 되고 , 최근 금융관련하여 새로운 심사기관을 지정하기 위해 공모를 하고 있다. F-ISMS에 대하여 설왕설래가 많았지만 가시화 되는 듯 보여진다. 이는 아래 자료가 뒷받침해 준다.

                                       <그림출처: isms.kisa.or.kr.  isms 사업추진현황 자료>



여기서 보면 ISMS인증심사분야를 확대적용하여 금융과 공공으로 확대하고 있다는 사실이다. 보안에서 가장 많은 예산과 인력 그리고 적용범위가 넓은 곳이 바로 금융과 공공이다. F-ISMS가 시행 될 수 있는 분위기가 마련이 되고, 공공부분의 분위기는 최근 인증 심사 하기 위한 심사원 모집 현황을 살펴 보면 바로 알 수 있다. 

심사기관 

 심사위치

 심사기간

 인천광역시청

 인천 남동구

 2015-6-22(월)~2015-6-24(수) (총3일)

 대구광역시청

 대구 중구

 2015-6-24(수)~2015-6-26(금) (총3일)

 중앙선거관리위원회

 서울 관악구

 2015-6-17(수)~2015-6-19(금) (총3일)

 제주시청

 제주도 제주시

 2015-6-8(월)~2015-6-11(목) (총4일)

                          [표-1] 출처: isms.kisa.or.kr,  심사참여 안내 재구성


이미 시,도 광역시나 일부 지자체(구청)에서 정보보호관리체계에 대하여 진행이 되고 있다. 이는 기존에 G-ISMS가 ISMS로 통합되면서 시범 사업으로 진행한 지자체도 있지만 추가로 진행하는 공공기관도 점점 늘어나고 있는 추세로 전망이 된다. 공공기관의 경우 타 기관이 인증 받으면 우리 기관도 받아야 하는 경쟁적 심리가 있어 (사실은 담당자 업무 역할을 다하기 위해) 너도 나도 앞 다투어 진행이 예정된다. 또한 이는 교육,의료,금융등으로 확대 적용될 예정으로 되어 있어 공공기관 ISMS 의무 확대 시행도 예측해 볼 수 있다. 당연한 수순 아니겠는가? 

혹자는 우리나라는 인증 너무 좋아하는 경향이 있다고 하고, 실효성 측면에서 굳이 받아야만 하는가?에 의문을 제시하는 사람도 있다. 그러나 필자의 생각은 다르다. 현장을 다녀보면 대기업을 제외하고는 체계적인 보안을 하는 곳은 그다지 많지 않다는 사실을 바로 알 수 있다. 또한, 겉으로 보기엔 거대한 기업이나 기관이라 하더라도 보안업무를 하는 조직이나 팀이 없거나 아주 소수에 불과하다. 어쩌다 팀을 구성한다고 해도 1-2명이 고작이며 IT 대부분 전담하여 모든 일을 하다보니 업무때문에 번아웃(Burn Out) 되어 버리는 경우가 비일비재하다. 아무리 유능한 보안전문가라 하더라도 혼자서 모든 것을 처리 할 수는 없는 것이다. 

또한, 인증을 받는다고 해서 보안을 100% 안전을 담보하는 것도 아니다. 인증은 최소한 지켜야 할 보안 체크리스트를 외부 인증심사원들이 현장 실사를 통해 심사를 하고 결함사항을 도출해 내는 과정이다. 심사원 자질문제도 지적이 있어 인증 심사원 자격증 제도도 시행 예정이다. 앞으로 그 품질이 점점 높아지고 영역도 확대 적용되리라 생각된다. 
최근에는 정보보호인증심사원 협회도 구성도 되었으니 협회 활동도 기대해 본다. 


4.2 그렇다면 개인정보관리체계는 의무화 되지 않을까? 

앞서 기업 정보자산의 보호와 개인의 정보의 주체 대상에 대하여 살펴 보았다. 그 출발점이 다른만큼 개인정보보호에 대한 프라이버시 문제는 끊임없이 논쟁의 대상이 될 것이다. 개인정보보호법은 대한민국 헌법 제 17조에서 출발한다. 

 모든 국민은 사생활의 비밀과 자유를 침해받지 아니한다.

개인정보보호법이 시행된지 햇수로 5년이 되고 있다. 아직도 여러가지 애로사항과 인식 정착에는 시간이 다소 걸리지만 정보주체로서 자기결정권을 행사하는 권리강화는 점점 커질것으로 전망이 된다. 이는 법적분쟁을 가져오고, 법률마켓에 새로운 블로오션으로 떠 오르고 있다. ICT가 산업전반에 근간을 두다보니 법정 분쟁이나 소송으로 많이 이어지고 있기 때문이다. 며칠전 한 법률관련 미디어에서는 '클라우드 컴퓨팅 발전법'에 대하여 메인 기획 기사로 다룬적이 있다. 

보안분야도 이제는 법과 제도, 기술이 거미줄처럼 엮이게 되어 보호조치에 대한 우선순위를 가지게 된다. 이는 반드시 대응해야 하는 컴플라이언스 문제로 접근하게 된다. 반드시 준수해야 할 법적조치가 업무로 연결된다. 그런에 이런 일련의 업무 내용을 일일이 주먹구구식으로 급한것부터 처리하다보면 정작중요한 부분을 놓치는 경우가 많다. 현장에서 인터뷰하면서 느낀 사례를 들어보자.

사례)  담당자는 말한다. "우리 조직에서는 개인정보보호에 대하여 어느정도 업무처리에 대응을 하고 있으며, 컴플라이언스도 성실히 대응하고 있습니다." 그러나 정작 개인정보 파일이 몇개인지에 대한 질문에 대해선 함구한다. 물론 수량을 말할 수 있지만 누락하여 관리하고 있다는 느낌이 많다. 이 부분만 보더라도 개인정보 파일관리가 되지 않으면 , 어떤 것이 개인정보이고 어떤 것이 개인정보가 아닌지 구분이 되지 않는다. 원인은 체계적인 관리보다는 주먹구구식으로 관리하고 있기 때문이다.의외로 개인정보파일을 정화히 현행화 한 조직이 적다는 사실이다.

체계적인 관리를 위해 PIMS와 PIPL이 시행이 되고 있다. 조직이 적용받고 있는 법에 따라 체계적으로 관리하고 있는지를 인증받게 된다. 두 제도가 유사한 부분도 있어 통합된다는 목소리도 있지만 쉽지 않아 보인다. 관리하는 정부기관과 적용하고 있는 법이 상이하기 때문이다. 

5. 최근 눈여겨 봐야 할 ICT관련 정책 및 정보보안 관련 정책



                                                   <출처: 미래부 홈페이지 >


                       다운로드->  K-ICT 전략 발표자료 : http://www.msip.go.kr/include/K-ICT.pdf 


미래부에서는 K-ICT 전략을 발표하였다. 이는 앞으로 ICT 산업에 전체적인 큰 그림을 그리는 전략으로 관련 업무에 종사하는 사람들은 잘 살펴 볼 필요가 있다.


5.1  정보보호 특성화 대학 발표

(서울=연합뉴스) 정성호 기자 = 미래창조과학부와 한국인터넷진흥원은 11일 서울여대에서 2015년도 정보보호 특성화대학으로 선정된 서울여대 및 고려대, 아주대와 협약식을 가졌다.


정보보호 특성화대학은 그동안의 이론 중심 교육에서 탈피해 기업과 연계한 실무형 교육을 통해 최고의 보안인재를 양성하기 위한 프로그램이다. 


정보보호를 창조경제의 먹거리 산업으로 키우자는 'K-ICT 시큐리티 발전전략'의 중점 추진과제으로 이번에 처음 대상 학교가 선정됐다. 


출처: http://www.yonhapnews.co.kr/bulletin/2015/06/11/0200000000AKR20150611065900017.HTML?input=1195m


이들 3개 대학에는 앞으로 4년간 연간 5억원씩 지원이 된다. 국내 대표적인 정보보호를 전공으로 하는 대학이 선정이 되었다. 특히 특정대학은 이미 정보보호 특성화 대학으로 이미 학부도 자리매김하고 있어 대부분의 정보보호 관련 인력의 블랙홀이 되고 있다. 늘 그렇듯이 한쪽 쏠림 현상은 늘 경계해야만 한다. 한가지 아쉬운 점은 수도권 중심으로 선정이 되었다는 것이 아쉽다. 정보보호 특성화 대학 추가 계획을 보면 7개대학까지 늘린다고 하니 지역거점도 골고루 분포되어 다양한 곳에서 진행되었으면 하는 바램이다. 이를 위해서는 꾸준히 각 대학에서 정보보호 관련 커리큘럼 및 교수진을 확보하고 준비를 해야만 한다.


마무리

개인정보 오.남용 및 유,노출은 지속적으로 반복되고 있으며 이는 제2차 3차 악용하여 피해자를 발생시키고 있다. 특히 개인의 정보를 이용하여 사익을 추구하는 기업이나 공익을 목적으로 이용되는 개인의 정보가 오.남용을 하여 피해자가 발생되는 기관에게는 강력한 법적 조치를 취할 필요가 있음. 법적 규제는 최후의 수단이며 가능하면 소중한 자신의 정보처럼 다루어야 하는 문화적 인식이 이루어져야 함. 하지만 법이 있다고 범죄가 사라지지 않듯이 새로운 기술로 새로운 서비스 , 개인을 대상으로 한다면 개인정보 유출은 앞으로도 지속적으로 일어날 것임. 이에 대해서는 단호한 대처가 필요해 보이고, 징벌적 손해를 적용하여 이제는 중요한 정보 데이터의 보호적인 측면의 중요성도 보편화 되어야 함. 아무튼 정보보호 이슈는 앞으로 점점 더 가시화 될 것으로 예상된다. 관련하여 업무하는 정부 정책 담당자, 정보보호전문업체 담당자, 각 조직의 담당자, 대학 모두 화이팅하고 힘내었으면 한다. 

*추가사항 
- 부처별 상이로 기업에게 혼란을 주었던 개인정보 인증체계가 PIMS로 통합, 86개항목, 4개등급으로 분류 -> 클릭

[참고문헌 및 사이트] 

1. 개인정보보호위원회 심의 의결 자료 , 의안번호 2015-8-13호
2. 클라우드 컴퓨팅 발전법 관련 기사 , 전자신문, 2015.5.25
3. 정보보호관리체계 설명회 발표 자료 , 2015. KISA
4. 금융보안원, F-ISMS, 핀테크 보안검증 맡는다., 2015,4,24, 디지털데일리
5. 정보보호관리체계 자료실, isms.kisa.or.kr 
6. 이르면 9월 정보보호관리체계 인증심사원 자격증 제도 시행, 보안뉴스, 2015.4.7
7. 미래부 "사물인터넷 정보보호 로드맵 3년 계획". 2015.
8. 정보보호 특성화 대학 관련 뉴스 "고려대·서울여대·아주대, 정보보호 특성화대학 선정" 연합뉴스 2015.6.11












신고
Posted by 엔시스


연초 카드사 개인정보 유출 이후에 연인터지는 사건사고로 인하여 관련 업계와 담당자, 그리고 관련 기관은 대책마련에 촉각을 기울이고 있다. 그중에 가장 눈에 띄는 대목이 정보보호 관련하여 공무원이 될 수 있는 길이 열린다는 것이다.


관련 기사 내용을 보면 


정보보호 전담 공무원 키운다…안행부, 하반기 경력 채용

[ 강경민 기자 ] 정부가 개인 신용정보 유출 등 사이버 보안 문제에 대응하기 위해 정보보호 전담 공무원을 양성한다.

 

안전행정부는 12일 이 같은 내용을 담은 공무원임용령 개정안을 입법예고하고 의견 수렴과 부처 협의, 국무회의를 거쳐 6월부터 시행한다고 11일 발표했다. 개정안에 따르면 안행부는 3·20과 6·25 사이버테러 등 날로 지능화되는 국가 사이버 안보 위협과 카드사의 개인 신용정보 유출 등 사이버 보안 문제에 대응, 전문인력을 충원·육성하기 위해 전산직렬(전산분야) 내 정보보호 직류(분야)를 신설한다. 현재 전산개발, 전산기기, 정보관리 등 3개 직류로만 분류돼 있는 전산직렬에 ‘정보보호’ 분야를 신설키로 한 것이다.

 

안행부는 정보보호직류 채용·선발에 필요한 시험과목을 선정한 뒤 올해 하반기부터 경력경쟁채용을 진행할 예정이다. 구체적인 선발 인원은 아직 확정되지 않았다. 최재용 안행부 인사정책과장은 “부처별 수요 조사를 통해 인원을 선발할 예정”이라며 “기존 전산직렬의 결원 인원을 보충해 충원할 예정이어서 전체 공무원 인원에는 변화가 없을 것”이라고 말했다.

 

강경민 기자 kkm1026@hankyung.com


출처: http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&oid=015&aid=0003047879&sid1=001



긍정적인 측면


공무원이라는 직업은 공무(公務)를 하는 사람을 말하는 것이다. 즉 정보보호 업무를 공적인 업무로 인정하는 부분이다. 물론 그전에도 군무원이나 관련 분야에서 간간히 정보보호 관련 공무원을 채용한 바가 있었다. 하지만 이렇게 전산직렬에서 정보보호 직류로 개설해서 진행하는 것은 보안에 대한 책임과 역할의 중요성을 인지한 것이라 판단이 된다. 


따라서, 지금까지 전산직렬은 전반적인 전산에 관련된 업무나 개발이나 혹은 정보보호 업무까지 전부처리하였지만 정보보호직류를 개설함으로써 이제는 기존 전산직렬에서 담당하는 담당자의 업무 감소와 또한 해당 직류에 인원이 보충됨으로써 장기적인 안목에서 전문인력의 투입될 길을 마련한 것이라 하겠다. 


과거 보안사건사고시 정부 종합대책을 보면 2014년 시험부터는 전산직렬에 '정보보호'과목을 개설하는 대책은 이미 발표된바가 있으며 , 2016년도에는 정보보안 기술사 제도를 시행하겠다고 발표한 바가 있다. 대책이 나오면 그 다음부터는 반드시 시행이 뒤따라야 한다.






필자는 블로그에 다양한 보안에 대한 여러가지 고민을 기록한 바가 있다. 어떨경우에는 말도 안되는 소리지만 이제는 그것이 대안으로 떠 오르는 시기가 도래한 것이다. 꼼꼼히 한번 읽어 보길 바란다. 



[칼럼-118] 정부 뒷짐짓는 정보보호 관련 행정

[정책제언] 이젠 일반인도 보안인센티브 주면 어떨까?

SIS(국가공인 정보보호전문가)자격증, 국가기술 자격증 가시화해야



그럼 과연 이러한 개선 노력후에 기존에 부족한 부분이 많이 개선이 되었는가에 대한 것은 다시 한번 물음을 던져 봐야 한다. 혹자는 당신이 주장한 바 대로 되었는데 과연 지금도 똑같이 보안사건사고가 생기지 않는가? 그럼 또 다른 대책 한다고해도 똑같지 않는가? 이렇게 부정적으로만 생각하는 사람들이 있다. 아마도 그렇게 생각할수도 있지만 그런 사람들은 자신 개인의 발전이나 조직의 발전에서 상당히 부정적인면만 봐서 스스로 성장하지 못할 가능성이 높다. 


단적인 예로 한가지만 들자. 정보보호관리체계(ISMS)를 인증 받으면 100% 보안이 보장이 되는가? 보안 컨설팅을 받으면 100% 보안이 보장이 되는가? 그렇다라면 왜 그렇게 생각하고 그렇지 않다고 생각하면 왜 그렇지 않다고 생각하는가?  우린 무엇이든 처음에 어떠한 행동을 하기 위해 그 행위를 왜 하는지에 대한 물음을 가져야 한다. ISMS는 그동안 주먹구구식으로 되어 있던 정보보호의 관리를 체계적으로 관리하여 조금 더 보안 위험성을 감소시키는데 목적이 있는 것이지 보안을 100% 보장하는 것이 아니다라는 것이다. ISMS구축 하기전보다 확실히 체계적인 관리가 된다는 이야기는 인증심사를 나가보면 담당자들의 한결같은 이야기이다. 물론 그렇게 하기 위해서는 많은 증적사항과 힘든 부분은 있지만 말이다. 그러니 제발 ISMS 그거 인증 받아봐야 소용있겠나? 인증 받았는데 모두 털리는데 무엇때문에 힘들게 받아야 하는가? 라는 이야기는 바람직 하지 않다.


이제는 전문화된 지식을 보유하고 있는 정보보호 분야에 공무원의 길이 열린만큼 그에 따른 파급효과도 나타날 것이라 예상이 된다. 그러나 소수의 인원이고 잠시 보여주기식의 제도나 정책이 되어서는 안될 것이다.



부정적인 측면


관련 분야 인력들이 너무 공무원 시험에만 매달리지 않을까 우려스럽다.

자신이 정보보호분야에 해박한 지식을 가지고 있다고 치자. 과연 그 인력을 품에 않을 수 있는 기업은 얼마나 되는가? 중소기업에 보안담당자가 전담으로 있다는 소리는 들어보기 쉽지 않는 부분이다. 결국 자신의 전문적인 지식을 통하여 먹고사는 문제를 해결 할 수 있는 방법은 대기업과 공무원의 길이 안정적이라고 생각하고 있다. 그러나 그마저도 쉽지 않다. 그럼 대부분 어떻게 커리어가 흘러가는지 가상으로 한번 엮어 보자.


어려서부터 컴퓨터에 관심이 많았던 A씨는 고등학교때부터 실력이 출중하고 대학교 진학을 정보보호학이나 컴퓨터 공학쪽으로 지원을 하였다. 정보보호학을 전공을 하려니 대부분 학교가 지방에 거주하고 있고 수도권에는 없어 어쩔수 없이 컴퓨터관련 전공으로 입학을 하였다.


 컴퓨터에 소질이 있던 A씨는 각종 정보보호관련 대회나 동아리등에서 많은 활동을 하였다. 대학을 마치고 취직을 고민하던 A씨는 보다 전문적인 기업에서 일을 하고 싶은 마음에 정보보호관련 전문업체에 취직을 하게 되었다. 회사에 취직한 신입사원 A씨는 그떄부터 각종 프로젝트에 투입이되고 , 시간과의 싸움이고 소위 말하는 '갑'과 '을'의 위치에서 하루하루 지쳐만 갔다.


 주말에도 근무하는 날이 많았으며, 어느순간 반복적인 프로젝트를 하다보니 산출물이 새롭다기 보다는 점점 보편화 되어가고 있고, 담당자는 품질에 이의를 제기하기도 한다. 하지만 담당자의 전문지식은 의심스러우리만큼 초보적인 수준이다. 정말 이대로 살다가는 삶의 질이 떨어져 지속적으로 고민을 하게 된다.


이런 찰라에 아는지인으로부터 대기업 IT담당자 자리를 하나 제안받는다. '을'의 인생으로 사느니 차라리 단 하루라도 '갑'의 위치에 서고 싶은 마음에 이직을 한다. 운이 좋은 편이라 생각해 본다.  처음에는 '을'을 벗어났다는 마음에 열심히 일하지만 사업관리에 치중을 하다보니 점점 전문성을 떨어지고 미래에 대한 불안감이 엄습해 온다. 대기업이라 그런지 업무강도는 말할필요도 없고, 동료와 경쟁해야하며 요구하는 사항도 많다. 그리고 모든 것이 자신이 하는 업무는 하나의 기계부속품처럼 느껴진다. 자신이 원했던 갑이지만 조금 더 안정적인 공무원 같은 곳은 없는지를 살펴본다. 


하지만 정보보호에 대한 공무원 길은 막막하기만 하고 가끔 군무원등에 관련 분야가 있긴 하지만 찾아보기 거의 힘들고 대부분 석,박사 학위를 요한다. 


A씨는 어쩔수 없이 자신의 스펙을 높이기 위하여 대학원에 진학한다. 직장과 학업을 겸하다보니 직장에서는 학교생각나고 학교에서는 회사생각이 나서 집중이 안된다. 먹고사는 것이 우선이기 때문에 회식자리나 회사 긴급사안 때문에 학교 수업에 빠지는 경우도 많다. 석사,박사 졸업하려면 논문이 필수인데 논문주제 잡기도 쉽지 않다. 


관련 분야의 기업에서는 돈이 되는 상업적인 내용과 학교에서의 학문으로서의 논문의 형식과는 괴리감이 있기 때문이다. 자신이 하고 있는 업무를 중심으로 논문을 써 보려고 머리를 굴려보지만 그것은 보고서 정도 수준에 지나지 않는다.  대부분 논문이 기업의 상업화보다 3-4년 앞서간다고 보면 된다. 그것을 내다보기 위해서는 많은 공부량을 필요로 하는데 집에가면 바로 잠자기 바쁘다.


그러니 A씨는 바쁜 업무로 인하여 공부량의 부족으로 논문에 쓰기에 더 고민이 된다. 평생 글이라곤 보고서나 제안서 간단하게 써 본적 밖에 없는데 처음쓰는 논문이라 쉽지 않다. 때로는 먹고사는 문제때문에 동료중에는 중도에 포기하는 사람도 많다. 그렇게 나이는 점점 들어간다. 졸업한 사람은 다행이다. 하지만 논문의 품질에 대해서는 스스로 한번 되돌아 본다. 그래도 뭐라도 하나 결과물이 있기 떄문에 스스로 뿌듯함을 느낀다. 


A씨는 어느새 마흔 중반에 나이가 되어 버렸다. 회사에선 어느정도 직책이 되지만 빠르게 변화하는 기술적 내용과 회사 전반적인 관리책임과 역할이 점점 부담이 된다. 스스로 하루하루 떨어지는 체력에도 한계를 느낀다. 뭐 먹고살지 고민은 되지만 집에 있는 부모님과 아이들을 생각하면 그래도 어떻게든 살려고 발버둥친다. 


어느날 A씨는 이런 조직내에서 인원 감축이 되어야 하고 가장 먼저 비용만 투입이 되는 전산분야를 축소하고 마케팅과 영업조직을 강화 할 것이라고 한다. A씨는 나이가 들어가니 체력도 안되고, 부모와 자녀를 돌봐야 하는 가장으로 안정적인 직장을 원한다. 곰곰히 생각해보니 공무원이 그래도 가장 나을것 같아 오랜 고심끝에 고시원이나 인근 공무원 학원으로 오늘도 발길을 재촉한다. 하지만 언제 합격될지는 기약이 없다. 걸어가는 어깨에 삶의 무게가 느껴진다.


가상으로 꾸며본 시나리오다. 가상이라고 하지만 또 현실일지도 모른다. 그러니 너도나도 공무원이 되기 위하여 관련분야에 인력부족현상이 발생이 되고, 인력부족이 생기다 보니 전문업체에 주니어가 넘치고 전문기업은 프로젝트에 투입을 해야 하는데 인력이 없으니 어쩔수 없는 전문성과 경력이 짧은 인력을 투입하게 되고 

어떻게 저떻게 보안프로젝트는 끝났는데 그 이후에 보안 사고사고는 발생이되고 , 이에 대해 예산을 사용한 용역발주사는 스스로 책임을 부담하기엔 억울하니 컨설팅사에 책임을 묻는 악순환이 반복이 된다. 


과연 보안사건사고가 발생하면 누구 책임인가? 컨설팅사 책임인가? 아니면 담당자 책임인가? 아니면 경영자책임인가? 아니면 현실을 감안하지 않는 이상적인 대책만 남발하는 정부책임인가? 아니면 우리 모두의 책임인가?  과도한 규제만 통제만 가하고 무조건 그대로 하라고 압박만 해야 하는가? 아니면 우리가 알아서 할테니 자율적 규제로 남겨두라고 이야기 할 것인가? 그러면 과연 스스로들 잘 알서 할 것인가? 아니면 너무 솜방망이 처벌이라서 가볍게 여겨 그런것은 아닌가? 


하지만 지금은 보안이 발전하기 위한 성장통을 겪고 있다고 본다. 이런저런 시행착오를 겪고 있는 중이라 생각한다.  또 새로운 파격적인 대책이 나올 가능성도 있다. 하지만 그렇게 시행착오를 겪기까지 시간이 걸리고 우리는 또 다른 보안위협에 누군가 희생량이 되어야만 언론이나 방송에서 대서특필되고 하루 아침에 해당 기업과 담당자는 죄인이 되어 버린다. 과연 누구의 잘못일까? 어떻게 풀어가야 할까?  고민 되는 아침이다. 내공을 지닌 전문가분들의 많은 고견이 있으면 좋겠다. 


단언컨데 꾸준히 지속발전하는 건강한 사회가 되었으면 좋겠다는 생각에는 변함이 없고, 보안의 대중화로 인하여 관련분야에 업을 가진 사람들의 자부심과 처우개선이 이루어지는 것에 이번 정보보호 전문가 공채 시험을 통하여 공무원의 길이 열리는 단초가 되었으면 하는 바램을 가져본다. 과연 어떠한 결과가 나올지 지켜보토록 하자. @엔시스



신고
Posted by 엔시스

개정된 망법이 2013년 2월18일에 시행이됩니다. 이에 관련하여 고시가 공지되었는데요. 보안에 관심 있는 분들도 이러한 법률적 제도에도 근거하여 많은 관심을 기울여야 합니다. 너무 기술적만 바라보는 분들도 있는데요..기술과 적절한 법률과 제도를 잘 숙지하면 유능한 전문가로 성장하지 않을까 생각이 듭니다.


 

1. 「정보보호조치 및 안전진단 방법․절차․수수료에 관한 지침」

 

->  「정보보호조치에 관한 지침」으로 변경

 

 

2. 법적근거 : 망법 제45조 , 방송통신위고시 제2013-3호

 

① 정보통신서비스 제공자는 정보통신서비스의 제공에 사용되는 정보통신망의 안정성 및 정보의 신뢰성을 확보하기 위한 보호조치를 하여야 한다.

 

② 방송통신위원회는 제1항에 따른 보호조치의 구체적 내용을 정한 정보보호조치 및 안전진단의 방법·절차·수수료에 관한 지침(이하 "정보보호지침"이라 한다)을 정하여 고시하고 정보통신서비스 제공자에게 이를 지키도록 권고할 수 있다.

③ 정보보호지침에는 다음 각 호의 사항이 포함되어야 한다.

 

1. 정당한 권한이 없는 자가 정보통신망에 접근·침입하는 것을 방지하거나 대응하기 위한 정보보호시스템의 설치·운영 등 기술적·물리적 보호조치

2. 정보의 불법 유출·변조·삭제 등을 방지하기 위한 기술적 보호조치

3. 정보통신망의 지속적인 이용이 가능한 상태를 확보하기 위한 기술적·물리적 보호조치

4. 정보통신망의 안정 및 정보보호를 위한 인력·조직·경비의 확보 및 관련 계획수립 등 관리적 보호조치

 

1.4.2.

정보보호 현황

공개

정보보호 투자 및 인력 현황, 정보보호 관련 인증 등 정보보호 현황을 자사 홈페이지 등에 공개

 

부칙<제2013-3호, 2013.1.17.>

이 고시는 2013년 2월 18일부터 시행한다.

 


 

신고
Posted by 엔시스

2011년 작년 한해에는 많은 보안 사건 사고가 일어 났습니다. 이에 국가에서도 조금은 보안에 대한 중요성을 인식하지 않았나 하는 생각을 가지고 있습니다. 하지만 늘 그렇듯이 여러가지 이슈가 있고 난 이후에 일정 시간이 지나면 또 같은 사건이 재발 되는 형태는 보안사고에 있어서 고쳐야 할 점 중에 하나입니다. 보안은 100% 완벽함이 없기 때문에 불확실성은 있지만 최대한 예방과 통제를 할 수 있는 대비를 더욱 권고히 할 필요가 있겠습니다.  이에 보안인력에 대하여 한번 살펴보겠습니다.


보안사고의 지능형지속가능위협의 증가가능 높아

올 2012년에는 4월에 총선이 있고 12월19일에는 대통령선거가 있습니다.  그야 말로 선거로 인한 정치적 혼란이 일어날 수 있는 한해 중에 하나입니다. 사회가 혼란스럽고 선거철에 여러가지 정치적 이슈들이 나타나면 이에 따라 보안사건 사고 이슈가 나타날 가능성이 있습니다. 이에 대비하여 사이버 안전을 책임지는 많은 전문 인력이 필요로 하게 됩니다.

늘 사건사고가 터지고 나면 나오는 이야기는 바로 "사람에 따른 재난" 이라는 말이 뉴스에 가장 많이 나옵니다. 즉, 천재지변 보다는 사람이 통제 할수 있는 부분이지만 사람에 재난으로 인하여 사건사고가 발생하였다는 것이지요.

최근 보안사고의 경향을 보면 지능형지속가능위협(APT·Advanced Persistent Threat)으로 발전하고 있습니다. 이는 다음과 같은 절차를 통하여 공격이 됩니다.


    • 침투 - 공격자가 취약한 시스템이나 직원들을 악성코드로 감염시켜 네트워크 내부로 침투
    • 검색 - 침투한 내부시스템 및 인프라 구조에 대한 정보를 수집한후 다음 단계를 계획
    • 수집 - 보호되지 않는 시스템상의 데이터 수집 또는 시스템 운영 방해
    • 유출 - 공격자의 근거지로 데이터 전송 시스템 운영방해 또는 장비 파괴

      ▲ 시만텍 APT공격 프로세스

    출처: http://www.zdnet.co.kr/news/news_view.asp?artice_id=20120112004506&type=xml

이렇듯 보안사고도 다양화와 지능화 되고 있습니다. 이런 가운데 보안인력의 전문화와 계약직 , 전문직으로 전락하는 현상은 참 안타까운 일 중에 하나입니다.

기술은 진화하고 공격은 점점 지능화 되어 가는데 자신의 신분을 보장 받지 못하고 비정규직이나 전문직으로 혹은 프리랜서로 떠 돌면서 언제 짤릴지 모르는 신분으로는 제대로 된 보안방어를 하기 어렵다는 것입니다.


 ■  공공기관의 보안인력 문제점

1. 순환근무에 따른 잦은 인사이동

순환근무 정책에 따른 잦은 인사이동으로 업무에 대한 이해도가 낮고 기술습득 및 축적이 이루어지지 않아 전문성 결여 되는 경우가 있습니다. 업무를 지속적으로 해야  업무에 대한 이해도와 기술이 축적되는데 그렇지 못한 것이 현실입니다. 제가 작년 개인정보보호 교육시  교육 섭외 할때 담당자와 실제 교육을 위해 방문했을때 담당자가 바뀌었더군요. 그 이유는 바로 인사발령으로 업무가 바뀌어서 지금 업무 파악중이라고 하는 것을 보았습니다.

2. 정보보호 업무나 보안담당 부서 배치꺼려

보안업무의 특성상 잘 하면 기본이고 보안사고 나면 책임을 져야하는 자발적으로 원해서 업무를 하는경우는 그다지 많지 않을 것입니다. 특히 어쩌다가 보안 사건 사고가 발생하여 책임을 지게 되면 동분야에 근무하기를 기피하게 되고 심지어는 부서 이동을 하게 되겠지요. 같은 업무라도 조금은 직접적인지 않은 업무로.


3. 전산.통신직렬이 승진 오래 소요

전산.통신직렬이 행정직렬에 비해 승진 소요기간이 오래 걸리는 경우가 발생이 됩니다.  특히 정보보호분야에 대하 최신기술과 전문성 확보를 위하여 대학원 진학이나 연수등의 학습을 하여야 하지만 이보다 승진에 도움이 되는 분야로 직렬변경이나 학습과목 선택하는 경우가 많아 전문성이 결여 되고 있습니다.

4. 공공시스템 민간전문업제가 외주 하여 개발과 관리

대부분 공공기관에서 사업발주만을 하여 민간 기업에서 외주하여 개발하고 운영도 아웃소싱하여 관리하는 경우가 대부분입니다. 이러다 보니 외주업체에 의존하게 되고 개발이 제대로 되었는지 오류가 발생이 어디서 되었는지등을 전적으로 외주업체에 의존하게 됩니다. 당연히 전문성이 결여되고 사이버 위협에 제대로 대응을 하지 못하는 현상이 발생이 됩니다.


■  민간기업의 보안인력 문제점

1. 비정규직, 전문직 형태 많아

보통 보안에 관심이 있는 사람들은 보안전문회사에 취직을 할것인지 아니면 일반 기업에 보안담당부서에 취직을 할것인지에 대하여 고민을 하게 됩니다. 대부분 보안전문회사에 취직 하기를 원하는 인력이 많이 있으나 대기업이나 공공기관을 고객사로 하다보니 대부분 갑과 을에서 갑의 위치에 있는 담당부서 담당자로 선호 하는 경우도 있습니다.

하지만 대기업과 금융권 , 공공기관 대부분 비정규직과 전문직 형태로 고용하는 경우가 많아서 고용에 대한 불안정성이 많습니다.

2. 경력자나 능력인정 받아 안정된 곳으로 이탈 혹은 프리랜서

상황이 이렇다보니 자신이 조금만 경력을 쌓게 되면 조금 더 안정적인 곳으로 이동을 하게 되고 혹은 프리랜서 시장으로 나오게 됩니다. 왜냐하면 프로젝트 단위로 하는 프리랜서의 경우 일반 기업에서 받는 대우보다 자신의 몸값에 따라 움직이기 때문이죠.


■  악순환에서 선순환의 구조로 만들거나 정규직 확대로


무엇보다 어떠한 분야에서도 고용이 안정이 되어야 전문화가 나오고 이에 따른 롤모델도 나오게 됩니다. 특히 공공기관이나 금융권에서 보안인력을 채용하고자 할때 롤 모델이 되기 위하여 정규직 채용을 확대하고 보다 안정적인 기회를 제공을 해 준다면 조금 더 장기적인 안목에서 개선되어 나가지 않을까 생각이 됩니다. 처음부터 무리하게 확대 적용하기 보다는 기업 한곳에서 하나 하나씩 케이스를 만들어 가면서 그 케이스가 베스트프랙티스가 되는 사례가 되면 업계에서 벤치마킹을 하게 되고 점점 선순환의 구조로 나가지 않을까 생각이 듭니다.

다소 급하게 러프하게 적느라 조금은 밀도감 있게 적지는 못하였지만 공공기관에서도 보안담당자의 문제점을 개선하고 민간에서도 너무 안정만 추구하는 공공으로의 전문능력을 가진 인력을 이탈하지 않도록 기회제공을 하여 대한민국 보안강국으로 발전하는데 보안업무를 하는 사이버 전사들의 미래를 밝게 밝혀 주었으면 하는 바램이 듭니다.

글을 적다보니 더 할이야기와 할말이 많았는데 다른 할일때문에 급마무리 된는것에 양해 부탁드립니다. 또 기회가 있으면 다시 수정보완해 올리겠습니다. @엔시스



관련기사및 포스팅

보안뉴스
보안전문 인력 정규직 확대·보안예산 확충·보안의식 제고 등이 우선
http://www.boannews.com/media/view.asp?idx=29861&kind=0


[참고문헌]

1. 한근희.  "전자정부 정보보호관리체계 적용정책 " , 정보보호학회  2009.10
2. 지디넷코리아


신고
Posted by 엔시스
TAG 보안인

지경부에서 준비중에 있는 보안관제 전문업체 지정에 관한 공고 자료입니다. 오픈된 자료이니 혹시 못 보신 분들은 참고 하시면 되겠네요...여러 업체에서 준비중에 있는 것으로 알고 있습니다.



신고
Posted by 엔시스

우리가 몸이 아프면 전문의를 찾아가는게 맞습니다. 각종 인터넷의 발달과 기술의 발달로 순기능도 있지만 늘 역기능이 나타나게 마련입니다. 이러한 것 중에 하나 바로 "보안(Security)" "정보보호" "정보보안" 등의 용어로 정리가 되겠네요.

이렇게 중요하다고 하는 정보보호에 대하여 정작 정보보호전공을 한 사람은 비전공자에 비해 턱없이 부족하다는 지적이 나왔습니다.

최근 KISA가 한국정보보호학회에 의뢰하여 발간한 보고서 "지식정보보안 분야 인력현황 및 중장기 인력수급 전망 분석" 이란 보고서에 따른 것입니다.

간단하게 살펴 보도록 하겠습니다.  정보보안 인력을 중심으로 분석한 보고서이기에 한번쯤 살펴볼 필요가 있고 관련 기관에서는 조금 더 관심을 가지고 지켜 봐야 할 것입니다.

* 본 포스팅은 위 보고서를 가지고 필자 나름대로 재 해석해 보았습니다. 참고 바랍니다. 조금 더 자세히 알고 싶은 분은 아래 첨부하는 보고서를 참고 하시기 바랍니다. - 주인백 
 
  


정보보안 컨설팅 하는 인력을 대상으로 한 조사이긴 하지만 우선 정보보호학과 전공은 6.4%에 그치고 있습니다. 하지만 관련 학과는 거의 70%에 육박하고 있군요.

이는 국내에 정보보호 학과가 많이 개설되어 있지 않아서 입니다. 수도권에 손에 꼽을 정도로 있고 대다수 지방에 있지만 그 마져도 학과가 통.폐합되거나 다른과로 개명하기도 합니다. 참 안타까운 현실입니다.




   


보안에 대한 인력은 대다수 경력을 많이 요하고 있고 초기 신입으로 진입하기 위한 장벽이 조금 높은축에 속하게 됩니다. 그것은 정보보호업체등이 다수 영세업체가 많이 있으며 신입을 교육시켜 인력으로 활용하기 보다 당장 활용할 수 있는 경력인력을 필요로 하기 때문입니다.  물론 무조건 경력을 선호 하는 것은 아니지만 최소한 정보보호관련 학과나 전공학과에서 다양하게 학생들이 보안관련 프로젝트 등을 할 수 있도록 하는 기회를 마련해야 하는데 그런 기회조차 없다는 것입니다. 


 
 

위 내용으로 볼떈 사고대응이나 관리 그리고 연구개발 및 구현에 많이 포지션닝 하고 있는데 이것은 전체를 대변 하기엔 조금 무리가 있지 않은가 하는 생각이 듭니다. 대부분 사고대응이나 관리 및 운영에 많은 인력들이 포진해 있지 않은가 하는 개인적인 생각이 듭니다.




 

졸업후에도 마땅히 갈 곳이 없어 우스게 소리로 다시 학원으로 가서 보안공부를 해야 하는 참 안타까운 현실도 있습니다. 

이러한 부분은 정보보호학과 전공이 아니다 보니 실제 학교에서 배우는 정보보호와 실제 실무에서 사용하는 정보보호에 관련된 부분이 많이 상이한 부분들이 있습니다.

학교에서는 이론위주로 가르키고 실제 학문위주다 보니 기술의 발전이 빠른 정보보호쪽에서는 빠른 기술습득과 스킬을 익히려면 그에 맞는 교육을 하는 교육과정을 찾아서 움직이기 때문에 이러한 부분들을 학원등에서 보완해 주고 있으나 기형적인 부분들이 있습니다. 왜냐하면 그것은 또 이론적인 바탕이 없이 스킬에만 주력을 하기 때문입니다. 

어쩌면 극복해야 할 과제중에 하나인데 이중의 노력과 시간이 투여 된다는 생각이 듭니다. 이러한 부분을 없애려면 정보보호관련학과를 서울과 지방에 많이 개설을 하여야 합니다.  그리고 다양한 전문가를 활용할 수 있는 미래 지향적인 학과 운영이 되어야 합니다.


 

정보보호 분야는 특히 남성들의 영역으로 대다수 남자들이 많이 업종에 일을 하고 있습니다. 하지만 특수한 분야나 세심함을 요구하는 분야에는 여성도 틈새를 찾을 수 있다는게 제 지론입니다. 특히 보안컨설팅을 경우에는 여러가지 컨설팅 스킬을 잘 갖춘 커리어 여성이 전문성까지 갖춘다면 향후 미래에 소중한 여성 인력 활용이라 생각이 듭니다.


지금까지 기업에 대하여 알아 보았는데 이제는 개인적인 측면에서 살펴 보겠습니다. 
 

 

역시 개인적인 측면에서도 정보보호학과 전공을 한 인력이 대다수 작다는 것을 알수 있습니다. 이는 지금 퍼센티지를 나와서 그렇지 국내  정보보호학과 수를 비교 한다면 더 적은 수라 생각이 듭니다. 왜냐하면 정보보호를 전공을 운영하는 4년재 대학은 그리 많지 않기 때문입니다.
 


개인도 기업부분과 마찬가지로 대부분 정보보호 관련 업무에 종사하거나 유사한 업무를 하다가 관련 기관이나 업체로 이직하는 경우를 볼 수 있습니다. 

이는 초기 바로 자신의 전문성을 살릴수 있는 것이 아닌 일반 IT업체에서 어느정도 경력을 쌓은후 나름대로 준비를 하여 보안지식을 갖추거나 준비를 하여 이직하는 경우가 많습니다.

 


KISA에서 발간한 보고서를 일부분만 가지고 필자 나름대로 해석을 해 보았습니다. 그중에 맥을 같이 하는 가장 중요한 핵심 키워드 중에 하나는 바로 "전문성을 갖춘 인력" 의 부재입니다.

이러한 인력을 배출해 낼수 있는 구조적인 모순이 있다는 것입니다. 기술의 발전으로 전문성의 정보보호인력은 점점 많이 요구하고 있고, 그것을 뒷 받침해 줄수 있는 열악한 환경은 기존에 인력이 탈 IT해 버리는 모순된 악순환이 지속되고 있는 것입니다.

보고서에서 지적하듯이 우선 장기적인 안목에서 국내 정보보호전공을 운영 할 수있는 대학의 수를 늘려야 하고 , 단지 장미빛 청사진만 제공하는 그런 정보보호 전공이 아닌 , 진정한 사이버 전사를 키울수 있는 인력을 대학 4년동안 꾸준히 기술을 갈고 닦을 수 있는 정보보호 훈련의 장(場)을 마련해 주어야 할 것입니다.  @엔시스.

*첨부파일

신고
Posted by 엔시스

늘 우리는 정보보호 실무형 인재를 원한다. 실제 국내 보안을 대표하는 자격증의 위상과 입지가 많이 부족하다. 대한민국 실정에 맞는 보안인재의 기준을 마련하는 자격증인 SIS 자격증이 아직도 제 역할을 하고 있지 못한다는 지적이 많다.

그 이유로는 다음과 같다.

  • 문제가 너무 어렵다.
  • 필기와 실기를 두번 시험을 봐야 한다.
  • 아직 홍보가 덜 되어있다.
  • 인센티브제도가 부족하다.
  • 제도 운영에 미흡한 점이 나타난다.

대략 주변에 이야기를 들어 보면 위와 같은 이야기가 많다. 하지만 정보보호전문가 또는 보안전문가라는게 어느 한 순간 이루어질수 있는 분야가 아니고 또한 이러한 자격증을 취득 하였다고 해서 전부 전문가가 되는 것도 아니다.

단지, 정보보호전문가로서 최소의 지식과 소양을 가지고 있고 일정한 기준 레벌의 기초 지식을 가지고 있다고 생각을 하면 될 것이다. 위와 같은 문제점을 해결 할수 있는 방법은 "국가 기술 자격증으로 승격화 " 하는 방법 밖에는 없다.

무엇보다 개인적으로 가장 아쉬운 점은 바로 인센티브제도가 부족하다는 것이다. 이 자격증을 취득 함으로 인하여 얻고자 하는 이익(Benefit)이 눈에 띄게 나타나는 것이 아니기 때문이다.

일부, 국제 자격증인 CISSP와 CISA의 경우 대부분이 한개의 자격증을 취득 하면 의례히 자동으로 한개 더 취득 하려는 사람들이 대부분이다.

하지만, 이러한 부분에도 일부 아쉬운 점이 있으니 수정 보완을 해야 하는 것이다.  오늘자 신문 기사에 난 내용이다.

국제 보안자격증은 '장롱 자격증'
http://www.etnews.co.kr/news/detail.html?id=201003090325


너무 스펙 갖추기에만 열을 올리다 보니 나타나는 부작용일 것이다. 물론 열심히 공부하고 노력 하는 사람들도 많이 있다.,하지만 일부 무조건 갖추고 보자는 식으로 일주일만에 벼락치리를 하여 자격증을 취득한들 무슨 소용이 있으랴.

기사 말미에 보면 KISA 관계자에 따르면 " SIS 자격증을 국가자격증 " 승격 시킬려고 노력하고 있다고 하는데 ...매번 나오는 레파토리라서 조금은 식상한 느낌이 든다.

이는 2009/09/16 - [Security License] - SIS(정보보호전문가) 자격증이 국가 기술자격증된다. 에서 나타났듯이 방송위, 지경부 모두 같은 레파토리를 가지고 제시하고 있다.




지금은 국가공인이라는 민간 자격증이지만 정말 "국가기술 자격증으로 승격 " 시킬려고 하는지에 대한 의지가 있는지 한번 묻고싶다. 현재에는 일부 포털 커뮤니티에서 자발적으로 홍보 및 스스로 공부를 하면서 서로 정보 공유도 하고 있지만 그 어떤 의지를 표명한 것이 없다.

SIS자격증을 국가기술 자격증으로 승격 시켜야 하는 이유
    • SIS자격증의 위상과 국내 보안 인력 양성
    • 국가가 직접 보안인력을 관리하는 사후 관리 철저
    • 하나의 기술자격증으로 인정 하는 위상정립
    • 국가 기술자격증으로 각종 공무원 시험 및 공공기관 입사시 가점부여
    • 군 입대 및 정보보호 기술병 지원시 가점지원
    • 개인 정보보호역량 강화 차원에서 국가 기술자격증인 정보보호자격증 보유시 혜택지원
    • 가장 중요한 보안 인식의 확대 - 지금은 민간자격증이라 응시인원 및 확대가 안되는 부분이 많음
    • 빠른 시일내에 노동부와 관계 법령 개정 작업으로 실시
    • 기존 SIS 자격증 일정 보수교육후 국가기술자격증으로 신청가능
    • 각종 정보보호 컨설팅 사업 및 국가 보안 사업시 국가 기술 정보보호 자격증 소지 인력 요구
    • 국내를 대표하는 정보보호, 보안 자격증으로서 자리매김


정책을 진행 하기란 여러가지 변수와 애로 사항이 많을 것으로 안다. 하지만 기술의 발달로 인하여 이제는 정보를 처리하는 시대에서 정보를 보호 하는 시대가 도래 하고 있다. 이러한 시기에 아직도 정보를 처리하는 것에서만 머물러야 하는 것은 구 시대적인 착오에서 오는 것이다.

지금이라도 " 계획에도 없는 이슈성 정책" 내용을 남발 하기보다 정말 관련 기관과 부처에서 의지를 가지고 하나씩 준비하여 로드맵을 세워 꼭 실행이 되었으면 하는 바램을 가져 본다.  보안을 널리 알리고 전파하고 보안에 대한 일정한 자격을 갖춘 인력이 많이 양성이 되어 전국민의 보안의 무지로부터 일깨워 줄 날이 빨리 오길 바란다. @엔시스.

* 만약 공감하신다면 아래 추천~~~꾸욱 눌러주시면 더 여러분들이 보실수 있을 것입니다. 감사합니다.

신고
Posted by 엔시스

KSIA에서 학술지를 창간하는군요. 평소 정책 제언이나 제안 그리고 관심있던 내용을 조금 더 구체적이고 객관적인 형태인 논문을 통하여 자신의 의견을 전달 할 수 있는 통로가 마련된 셈이네요..

기고요령

  1. 논문기고자의 자격제한은 없으며, 주제는 인터넷 및 정보보호와 관련된 내용이어야 합니다. (다음 내용은 주요 작성분야이며, 필자의 의도에 따라 주제는 다양하게 할 수 있음)
    • 인터넷 및 정보보호 관련 법제도, 정책, 산업전망, 이용자보호
    • 인터넷 및 정보화 역기능의 사회경제적 파급효과, 사회문화적 영향
    • 인터넷주소 및 정보보호 기술 정책 방향
    • 국제기구(IGF, ICANN, ITU 등) 및 외국의 인터넷 & 정보보호 논의 현황과 대응방안
    • 기타 인터넷 및 정보보호 관련 분야
  2. 작성언어는 한글 또는 영어로 작성할 수 있습니다.
  3. 원고는 수시로 접수하며, 논문투고신청서(다운로드)와 함께, 전자우편(journal@kisa.or.kr)으로 제출합니다. (전자우편으로만 접수) 제출할 논문은 한글프로그램 또는 MS-Word를 사용할 수 있습니다. (국문은 한글, 영문은 MS-Word 권장) 원고분량은 한글의 경우 A4 20페이지 내외를 권장합니다. (국문초록은 600단어, 영문초록은 200단어 이내, 키워드는 영문으로 5~7개 이내).
  4. 창간호 원고마감 : 2010년 3월 15일(월)까지
  5. 본 저널의 원고투고 지침 및 논문 작성요령을 참고하시어 많은 투고 바랍니다.

기 타

  1. 제출된 논문은 편집위원회 심사를 거쳐 게재를 결정합니다. (제출된 논문은 반환되지 않음)
  2. 채택된 논문에 대해서는 소정의 원고료를 지급합니다.
  3. 자세한 사항은 학술지 담당자(02-405-6516, journal@kisa.or.kr)로 문의해 주시기 바랍니다.



관심 있으신 분들은 참여 해 보시면 좋겠습니다. 평소 정보보호에 관심이 많은 본인도 한번 정리하는 차원에서 주제를 정하여 고민좀 해 보아야 겠습니다.  그냥 일반적인 글 쓰기 보다 논문을 적는다는 것은 자료 수집과 검증 그리고 틀에 많게 논리적으로 글쓰는 연습이기에 여러가지 자기 주장을 객관적으로 표출하는 수단에서 가장 좋은 형태입니다.

제가 블로그를 시작할때쯤은 대학원을 다니고 있던터라 논문에 대한 압박이 있어 글쓰기를 잘 하기 위한 방편으로 블로그 글쓰기를 하기도 하였는데 왠지 논문하면 딱딱하고 어려울꺼 같지만 글로 자기주장을 표출 하는 가장 좋은 방법이기에 한번 도전은 해 보고 싶네요..늘 문제는 시간과 노력이겠지요.

자세한 사항은 키사 홈페이지나 첨부파일 참고 하시면 되겠습니다...





신고
Posted by 엔시스

지난번 2010/02/17 - [Security Policy] - 보안, 어려서부터 교육하고 사명감은 필수 -보안인닷컴 설문결과 를 통하여 일반인들에게 어떻게 하면 보안문화 인식을 확산 할 수 있는지 설문해 보았습니다.

궁금하신 분은 위 링크를 한번 클릭해 보시기 바랍니다.

이번에는 일반인 - 트위터리언과 블로거- 을 상대로 하여 설문 해 보고자 합니다. 관심 있는 부분에 한표 부탁드립니다.
기타 의견은 댓글로 남겨 주시면 참고 하겠습니다.

아래 설문에서 투표 하시면 됩니다.



방문하시는 분들은 그냥 가지 마시고 한번씩 보안에 대한 생각을 잠시 하셨다가 클릭 한번씩 부탁드립니다.. 보안이라는게 예방적인 성격이 크기 때문에 관심을 덜 받는게 사실입니다. 하지만 사건사고가 터지고 나면 아주 크게 되죠.. 이젠 이런 인식을 바뀌어야 한다고 생각합니다. 그런 취지에서 일반인들은 어떻게 생각하는지 궁금하네요..




신고
Posted by 엔시스

국내 최대 보안커뮤니티인 보안인닷컴(http://www.boanin.com) 에서 회원들을 대상으로 "일반인 보안인식제고를 위한 가장 좋은 방법"을 묻는 질문에 의외에 답변이 나왔다.



가장 많은 표를 얻은 것이 '초.중고등학교 정보보호와 윤리 교육'이  38.46% 로 가장 많았고 그 다음으로 언론 ,방송, 매체를 통한 적극적인 홍보가 뒤을 이었다. 언론이나 방송 매체를 통하여 홍보하는 것이 가장 많을 것으로 알았기 때문이다.

그만큼 '정보보호'에 대한 인식은 어려서부터 해야 한다는 분위기를 느낄수 있다. 또한 '기업의 경영자나 공공기관의 장'등의 정기적인 보안교육을 실시해야 한다는 의견도 많이 있었다.

기타 의견으로는 '정보보호 활동을 체험' 하게 하자는 의견도 나왔다.

보안인닷컴(http://www.boanin.com) 커뮤니티는 ' 당신은 왜 보안공부를 하려고 합니까? ' 라는 질문에 '보안연구가 좋아서' 라는 답변이 29.79%로 가장 많았다.


이는 '보안' '정보보호'는 좋아서 하는 경우가 많았고  또한 '보안의 사명감' 때문이라는 답변도 높은 결과를 가져왔다. 결국 보안은 스스로 자산을 지켜낸다는 '사명감' 때문인 경우도 많은 것이다. 본인도 그중에 한 사람이라고 생각을 한다.

보안인닷컴 운영자 전주현씨(닉네임:엔시스)는 " 일반인들도 이제는 보안에 대한 인식을 같이 해야 하고 그렇게 하기 위해서는 보안, 정보보호에 관심을 가지고 있는 사람부터 올바른 보안인식을 가져야 한다며" 커뮤니티를 통하여 설문조사를 했다고 밝혔다.

이 같은 설문조사는 지난 2월2일부터 2주간 보안인닷컴 커뮤니티를 통하여 회원들을 대상으로 설문조사를 하였으며, 보안인닷컴은 '보안인식 확산'에 기여 하는 '정보보호'와 '보안'의 정보공유, 보안인맥형성, 보안스터디등 보안 커뮤니티 활성화에 앞장서고 있으며 이러한 공로를 인정받아 지난해 '2009 인터넷미디어대전 우수상' 을 수상한 바 있다.

결론은 어려서부터 보안에 대한 교육이 되어야 하고, 정보보호나 보안에 대한 연구나 공부를 하는 사람들은 다분히 그 직업으로 먹고 살기만을 위하여 일하거나 공부하지 않는다는 것입니다. 나름 사명감을 가지고 조금은 거창해 보이지만 "보안은 국력이다"라는 생각을 가지고 활동을 하고 있는 것을 이번 설문을 통하여 알수 있었습니다. 저도 더욱 보안을 알리고 홍보하는데 일조 할수 있도록 노력 하겠습니다.

* 포스팅을 기사나 보도자료 형태로 한번 작성해 보았습니다. 가끔은 포스팅 방식을 바꾸어 보는 것도 좋겠다라는 아이디어에서 작성 한 것입니다. 조금 객관적인 시각으로 볼수 있는 기회가 되는 것 같기도 합니다. 또는 홍보성이 되는거 같기도 하네요. 아무튼 그렇게 엔시스 보안인식 확산에 대한 홍보는 쭈~~욱 갑니다.. 주변에도 보안에 관심 갖으시라고 많이 말씀 해 주세요..그것이 애국 하는 길입니다. IT강국이라지만 정보보호 후진국..또는 중국발 해킹이란 용어는 이제 자존심 문제입니다. @엔시스.

신고
Posted by 엔시스

 


" 이젠 정보보호(보안) 잘 하는 사람과 잘 못하는 사람은 구별 하여야 한다"


아이폰 때문에 'S/W 육성책'이라 하여 몇조씩 투입한다고 합니다. 그동안 S/W 인력들 사실 찬밥신세를 많이 졌습니다. 2000년대 초반부터 IT버블이 꺼지고 나서 IT의존도가 높음에도 불구하고 아이러니 하게 홀대를 많이 받았습니다. 지금은 공대생이 점점 줄어 들고 있는것도 이러한 현상을 반영한 것입니다.

작년에는 '사이버 보안관 3000명' 육성한다고 하였지만 2009/11/19 - [Security Policy] - 사이버보안관 3000명 인력양성, 백지화 되나?  또는 2009/09/14 - [Lecture&Comlumn] - 사이버 보안관 3000명 양성에 대한 제언 그 실효성에 의문이 들고 있습니다. 꾸준한 개선책이 필요 한 것이지요.

우린 '보안'이 중요하다,. '정보보호'가 중요하다는 것은 모두 알고 있습니다.

그런데 왜 인터넷침해사고는 자꾸 일어나고 있을까요? 이제는 엔드유저쪽 보안에도 상당한 관심을 기울여야 할때입니다.
 즉, 일반인들의 보안 마인드가 향상이 되어야 합니다. 정말 보안과 정보보호가 중요하다는 것을 스스로 깨우쳐야 하는데 현실은 한계가 있기 마련입니다.

그것이 지금까지 이어온 보안에 대한 방식이었습니다. 보안은 그쪽에 근무하는 사람이나 관심있는 사람이나 하는 것이지 일반 사람들과 상관이 없다고  하는데에서 기인한다고 생각을 합니다.

이제는 바꾸어야 합니다. 말로만 하는 보안, 정보보호가 아닌 실제 실천 할수 있도록 기틀을 잡아 주어야 한다고 생각합니다. 그렇할수 있도록 유도를 해야한다고 생각합니다.

그렇지 않고 무조건 채찍만 가하면서 "PC좀비법(가칭)" 같은 것으로 아무리 규제를 해도 안됩니다. 우린 무엇이든 스스로 자기 필요성에 의해서 스스로 하게끔 당근을 주어야 합니다. 그것이 가장 효율적입니다.

어떻게 하면 일반인들에 '정보보호' '보안' 에 대한 인식 고취를 시킬수 있을까요? 나름 개인적인 생각을 제안해 봅니다.

  • 초,중고 정보보호와 윤리 교육 - 며칠전 기사에 중고등학교 기술과 가정시간에 보안교육 내용이 들어 갔다고 하였습니다. 조금 늦은감은 있지만 아직 그것으로 부족합니다. 과연 교과서에 몇십장 종이에 글이 들어 갔다고 해서 정보보호 교육이 잘 될수 있을까요? 또한 정보보호를 교육할 준비가 된 기술,가정 교사가 얼마나 될까요? 조금더 체계적이고 실질적인 교육을 위한 제언입니다.
    • 정보보호,보안 전공 교사 우선채용
    • 기술,가정 교사 방학을 이용한 보안,정보보호교육 필수 이수 (년 2회 이상 교육실시)
    • 담당 교사 정보보호,보안 자격증 취득 필수

 

  • 일반인 보안교육시 인센티브제도 - 제대로 된 국가지정 교육기관에서 교육 이수시에 일반인에게도 인센티브를 제공해 주는 것입니다. 예를들면

 

      • 공무원 시험시 가점부여
      • 공기업,공공기관 면접시 가점부여
      • 창업시 가점부여
      • 벤쳐인증시 가점부여
      • 이노비즈 인증시 가점부여
      • 대학교 관련 정보보호학과 진학시 가점부여
      • 민간기업 정보보호관련, 정보보호업체 지원시 가점부여등등
      • 조금 더 욕심을 낸다면 각종 세금에서 일정부분 할인혜택등



너무 황당할까요? 실현 불가능 할까요? 하지만 때로는 일반인들이 보안인식제고를 위한 조금은 채찍과 당근이 주어져야 한다고 생각합니다.

이제는 보안마인드와 정보보호 마인드가 있는 일반인과 아닌 일반인들의 구별을 두어야 할 것입니다. 그렇지 않고서는 절대 보안에 대한 인식을 높아지지 않습니다. 똑 같은 일을 지속적으로 반복 할 뿐이죠. 극단적으로 생각해보면  보안을 잘 지키는 사람과 그렇지 않고 아무렇게나 생각하는 사람이 추후 조직적으로나 사회적으로 불러올 비용을 생각해 보면 분명히 차별은 되어야 한다고 생각합니다. 그런 의미에서 일반인 보안인센티브제도는 어떤식으로든 보안에 대한 여러가지 기준을 만족하였을때 차별성을 두어야 할 것입니다. 그것이 추후 사회적 비용을 줄일수 있는 밑거름이 될 것입니다.

그럼 일반인들 보안 충족 기준이 필요할 것입니다. 누가 판단하고 누가 보안에 대한 기준을 잘지키는지 보안마인드가 철저한지를 규명하는 일이 쉽지 않을 것입니다.

그런측면에서 다음과 같이 2가지 방법을 제안합니다.

  • 일반인측면
    • 정보보호관련 업체 근무자
    • 정보보보호 담당자
    • 정보보호 자격증 소지자 (일반인 보안관련 자격증 소지자 포함)
    • 정보보호 전공자
    • 자신의 PC에 백신과 운영체제 기본 방화벽 설치 운영하는 자
      • 일반 PC 사용자 대상으로 몇가지 가장 기본적인 PC체크리스트 기준을 만족하는 자
      • 이러한 사항을 패스하면 증빙해 줄수 있는 시스템에서 인증 받은자

 

  • 기업,공공기관적인 측면
    • 안전진단 수행 기업과 공공기관
    • 정보보호관리체계를 인증 받은 기업과 공공기관
    • 개인정보보호관리체계를 수립한 기업과 기관
    • 개인영향평가를 수행한 기업과 기관
    • 보안성평가를 수행한 공공기관
    • 기타등등


일방적으로 보안이 중요하다. 보안에 대한 마인드를 갖자라고 아무리 이야기 해도 메아리가 될수 있습니다. 이런 차원이라면 조금은 실질적으로 보안을 함으로 어떠한 혜택이 개인에게 있는지에 대한 행동 규범과 원칙을 체험적으로 느낄수 있는 방안을 제시해 주면 더 효과적이지 않을까요?  규제를 위한 규제를 하자는 것은 아닙니다.

보안 마인드가 되었을때와 보안마인드가 되지 않았을때 추후 불러올 사회적 비용을 연구하고 이를 대응하고 일반인들에게 어떻게 하면 보안에 대한 중요성을 알수 있는가에 대한 고민에 기초한 개인적인 생각입니다. 이러한 연구가 되지 않고서는 분명히 말씀 드릴수 있지만 사고 터지면 막고, 반짝하고 또 터지면 언론 대서특필하고 사후약방문식으로 처리되고 계속지속적으로 되풀이 되는 일만 반복이 될 것입니다. 그것은 곧 사이버전과 연관이 되겠지요.

  이젠 정보보호(보안)이 곧 국력입니다. @엔시스.


신고
Posted by 엔시스

 

[의료정보보호 가이드라인] 이 나왔습니다. 지난 1월26일 공청회를 통해서 발표가 되었는데요..의료정보보호는 상당히 중요한 사안입니다. 이에 의료계에서도 자체 정보보호 가이드라인을 만든 모양입니다.

이러한 정보보호에 대한 부분을 일부는 규제라고 보는 경향이 많은데 [정보]라는 것은 가치있는 것은 보호되어야 되는 것이 마땅한 것이겠지요

만약, 당신의 의료정보가 오픈되어 인터넷에 떠 돌아 다닌다면 어떻게 생각하시겠는지요.

이런 측면에서 바라볼 필요가 있고 아마도 초기 작업이다 보니 약간의 여러가지 논란도 있는 걸로 알고 있는데 아무튼 이제는 각 분야별 정보보호에 대한 인식이 높아지고 있습니다.

원래 정보보호, 보안은 힘이 듭니다. 빠져 나가는 것 보다 막는 것이 힘이 든 것이지요. 하지만 개인의 삶의 질이 높아지고 이제는 국민의 눈높이가 높아지고 있기 때문에 이에 상응하는 서비스를 하는 것이 모든 서비스 제공자의 역할이라 생각합니다.

조금은 힘이 들지만 조금은 귀찮지만 그것이 내 정보, 내 가족의 개인정보라고 생각하고 조금은 긍정적인 마인드로 접근 하였으면 하는 바램을 가져 봅니다.

이는 정보통망법 제 67조에 [의료기관]도 준용사업자에 추가가 되었습니다. 이에 이제는 준비를 하셔야 할듯 합니다. 보다 객관적이고 보다 긍정적인 측면으로 접근을 해 보았으면 합니다..

아래는 26일 공청회때 배포한 [의료정보보호 가이드라인 개최안과 요약집] 을 같이 첨부 하오니 정보보호에 관심 있는 분들과 의료기관에 종사하시는 개인정보보호를 취급 하시는 분들, 관계자분들은 참고 하시면 좋겠습니다.  @엔시스.





신고
Posted by 엔시스

정보보호는 누구에게나 중요합니다. 관심 있는 사람만 정보보호하고 관심 없는 사람은 정보보호 하지 않는 것이 아닌 모두 정보보호에 대한 인식의 제고를 높여야 합니다.

그런 관계로 한국인터넷진흥원(이하 KISA)에서는 매년 대학생 정보보호 동아리 지원 사업을 펼치고 있습니다. 장래 정보보호의 역꾼이 되고자 하는 대학생들에게 여러가지 재정적 뒷받침과 연구활동을 지원해 주고 있습니다.

관련 기사: http://www.boannews.com/media/view.asp?idx=18985&kind=0

지방에 있는 한 대학이 최우수상을 탔군요..축하드립니다.


하지만 한가지 아쉬운 점이 있습니다. 실제 실무나 산업 현장에서 또는 대학생 동아리가 아닌 정보보호에 관심이 있는 예비 보안 전문가들은 스스로 정보를 찾아 모이는 곳이 바로 "커뮤니티" 입니다.

그런 커뮤니티에서 더 많은 정보와 정보보호 인식을 확대 그리고 정보 공유 나눔실천을 하고 있습니다. 따라서 바라건데 '대핵생 정보보호 동아리 지원 사업' 외에 '정보보호 커뮤니티 지원 사업' 을 2010년에는 하였으면 하는 바램으로 제안을 해 봅니다.

그럼 '정보보호 커뮤니티 지원 사업'의 타당성에 대하여 한번 살펴 보겠습니다.

- 정보보호 인식 확대에 대한 접근성 용이.
- 정보보호 커뮤니티 세미나 및 연구 활동에 따른 장소의 한계
- 순수한 커뮤니티를 지향 하다가도 경제적 뒷 받침이 안되어 상업적 성향
- 자발적인 커뮤니티를 더욱 활성화 하여 언더그라운드에서 실력파를 양지로 이끌어 냄
- 기술 지향적인 성격 보다는 하나에 캠페인과 문화 확산에 기여 용이


또 다른 여러가지 이유가 있겠지만 무엇보다 열정이 있고 스스로 자발적으로 결성하여 운영 하는 정보보호 커뮤니티에 대한 국가적의 체계적인 재정적 관리가 된다면 훨씬 다양하고 유능한 정보보호 인력과 교류에 대한 선순환 구조를 가져 올수 있을 것입니다.

사건 사고 이후 사후약방문 형태로 응급 처방 하기보다 조금 더 관련 기관에서 스스로 자생하려는 예비 보안 전문가들에 대한 보살핌이 뒤따라야 하지 않을까 생각합니다. 관련기관에서는 정책 반영에 적극 검토 해 주셨으면 하는 바램을 가져 봅니다.


신고
Posted by 엔시스

지난 7.7 DDoS 대란으로 인하여 다시한번 정보보호 인식을 하게 되는 계기가 되었습니다. 민간에 공격을 가하던 DDoS 공격이 이제는 국가기관을 향하여 공격을 감행하니까 당연히 촉각이 곤두 설수 밖에 없었습니다.

그래서 관련부처에서 앞 다투어 미래 장미빛 전망을 내 놓았습니다.

이른바 " 사이버보안관 3000명" 양성하겠다....하지만 너무 공수표를 난발 하는게 아닌가 하는 제기도 되었지만 일단 이번에는 국가의 의지를 볼수 있는 계기가 되지 않을까 하는 바램에서 개인적으로도 꼭 이루어지길 바라는 마음이었습니다.

그런 마음을 블로그에 포스팅도 하였습니다. 에초에 조금 무리가 있지 않은가 하는 내용도 포스팅에 있습니다. 자세히 읽어보면



그런데 오늘자, 디지털타임스에 의하면

18일 관련 업계와 정부에 따르면 민간 정보보호를 담당하는 방송통신위원회와 인력양성을 담당하는 지식경제부 모두 내년도 예산에 사이버 보안관 양성과 관련한 예산을 배정하지 않았다.
관련기사 : http://www.dt.co.kr/contents.html?article_no=2009111902010860739001&ref=naver


정보보호 인력 양성에 대한 예산 편성이 안되어 있다는 것이 주요 핵심입니다. 정보보호와 보안에 관심을 가지고 있는 한 사람으로서 많은 실망을 가지게 됩니다.


보안에 대한 인식은 "냄비" 보다는 "뚝배기" 근성으로 되어야

7.7 DDoS 공격이 일어난후 약 한달이 지난후에 벌써 사람들 뇌리 속에서 멀어지는게 아니냐는 우려의 목소리가 나왔고 업계에서는 의례 그렇듯이 시간이 지나고 나면 또 잠잠해 지는거 ..당연한거 아니냐는 듯이 받아 들이고 있는 경우도 있었습니다.

하지만 그 시기가 너무 짧아서는 안될 것입니다. 이제 갓 4개월 정도밖에 안되었는데 정보보호종합대책이라고 해서  각종 보안세미나에서 중장기 발표를 하면서 내년 인력 양성에 대한 예산도 편성이 안되었다는 말은 정말 실망스럽기 그지 없습니다.
아직도 우리나라 정보보호에 대한 인식은 멀었다고 생각이 드네요...

당장 사건이 일어나서 호들갑 떠는 것보다는 뚝배기처럼 꾸준하게 관심을 가지고 사이버안전에 만전을 기해야겠습니다. 국가 정책 운영하시는 분들 노고야 알고 있지만, 조금은 더 분발하셔서 정보보호 선진국 진입으로 가는데 총력을 기울였으면 하는 바램을 갖어 봅니다.

전방에서 철책만 잘 막는다고 해서  국가 안전이라 말 할수 없습니다. 이제는 국가 기밀이나 국가 주요 시설 및  담당자 PC에서 정보를 빼 가는 세상에 살고 있습니다. 그러면서 당하고 나면 어떻게 어떻게든  무마시고 또 당하고, 같은 일을 반복하여 하는 결국
"같은 행동을 하면서 다른 결과를 바라는 것은 미친짓' 이라는 말을 어느 책에서 본 기억이 납니다..

두번다시 같은 행동을 하지 않았으면 하는 바램을 가져봅니다. 아예 초기부터 3000명 사이버 보안관 양성은 무리였던 걸까요? 너무 의욕만 앞서기 보다 관련 전문가들과 상의를 하여 충분히 고려하여 공수표를 남발하지 말았으면 하는 바램이 듭니다. 보안에 입문하려던 어린양들이  희망에 들떠 있다가 허파에 바람빠지는 소리가 여기까지 들리기 때문입니다. @엔시스.



신고
Posted by 엔시스


한국인터넷진흥원(이하 KISA)에서 야심차게 준비하고 오픈 하였던 참여형 지식정보보안 포털 사이트 시큐어넷 (http://www.securenet.or.kr) 사이트가 운영중에 있습니다.  이 사이트에는 처음 의도는 정보보호/보안 전문가들이 직접 참여 하여 이끌어가는 취지로 오픈이 되었습니다.

그중에 하나의 장점이었던 웜,바이러스,개인정보보호 통계를 월별로 웹사이트로 알려주는 메뉴가 있었습니다. 그런데 2008년 기점으로 하여 어느순간인가 웹사이트에서 나타나고 있지 않습니다.

사실, 보안문서나 발표 자료 등을 만들때 제일 필요한 것이 객관적이고 신뢰 할수 있는 기관에 통계수치를 인용하는 것인데 사실 그러한 믿을수 있는 통계수치를 일반 사용자가 이용하는데에는 한계가 있습니다. 이 사이트에 통계수치가 멈추기 전까지는 잘 이용했던 핵심 메뉴중에 하나였습니다.

웜,바이러스 통계정보가 없습니다.

개인정보에 대한 접수현황 통계가 없습니다.

 

개설도 중요하지만 관건은 어떻게 잘 운영하느냐가 더 중요

처음 취지와는 별도로 지금은 그다지 잘 운영되고 있다는 느낌은 들수가 없습니다. 웹사이트는 방문자가 없더라도 주요 콘텐츠를 이용하여 끊임없이 꾸준히 업데이트 해 줄때 돌렸던 발길도 다시 오게 만들수 있는 것입니다. 그렇지 않으면 결국 만들어 높고 운영 안하자니 그렇고 운영하자니 사람 손만 가는 인력 낭비와 신경을 써야 되는 부분들이 있습니다.

따라서, 시큐어넷에 일반적인 보안뉴스나 기사를 올리는 것 보다는 조금 더 내실 있는 통계수치를 제공해 줄수 있는 웹사이트 운영에 대하여 제안을 해 보겠습니다.,

멈추었던 월별 각 보안관련 통계 수치를 일반 사용자들에게 오픈하여 보다 보안의 적극적인 활동에 소중한 데이터 자료로 활용되어지는 날이 오길 기대해 보겠습니다. @엔시스.

신고
Posted by 엔시스






현재 지식정보보안산업협회에서 검정사업을 진행하고 있는 국가공인 정보보호전문가 자격증 검정 사업이 있습니다. 그런데 최근들어 일부 수험생들이 불만에 차 있습니다. 그것은 홈페이지 운영관리가 제대로 안되고 있다는 것입니다.

그것은 게시판을 가 보면 알수가 있는데요..아래 그림에서 확인 할수 있습니다.


그림에서 보면 질문에 대한 답변이 되어 있지 않습니다.

전부 <답변대기>로 되어 있습니다.

이러한 부분은 빠른 의사 소통 즉 커뮤니케이션이 안되는 형태입니다.

실제 내부적 사정이 있어 그런 경우도 있겠지만 실제 외부에서 보는 시각은 달리 볼수 있기에 조금 안타까운 현상이 아닐까 하는 생각이 듭니다.






정보보호 인력 양성, 국가기술 자격증 승격화 하루 빨리 앞당겨야


이러한 부분에는 아무래도 조직적으로 관리하는 관리 프로세스가 미흡해서 그런게 아닌가 하는 생각을 해 봅니다. 민간에서 검정사업을 주도 하다보니 사실 사업이라는게 영리성을 목적으로 하는데 무한정 비용을 투자 할수 있는것이 아닙니다. 그러다 보니 한정된 인원으로 사업을 운영하다보면 이러한 현상들이 일어납니다.

결국 그 불만은 수험생으로 고스란히 돌아오고 시험을 준비하는 사람이나 기존에 자격증을 취득 한 사람들은 제대로 운영이 안되는 아쉬움이 있는 것입니다.

지경부와 행안부 그리고 방통위, 기타 한국인터넷진흥원 등 그냥 말로만 하려는 것보다 제대로 운영하는 것이 좋겠지요. 그것은 시험장에서도 나타나는데요..

국가공인 시험임에도 불구하고 시험 후기에 올라오는 글을 보면 [시험장 관리 부실] 에 대한 이야기도 심심찮게 올라 옵니다. 이런 부분을 빨리 해소 할수 있는 것은 관련 법을 제정,개정하여 빠른 시일내에 국가 기술자격증으로 승격을 하여 제대로 된 정보보호 인력 양성과 관리 그리고 그 제도 운영을 프로세스와 해야 겠습니다.

관련 포스팅
SIS(정보보호전문가) 자격증이 국가 기술자격증된다.



검정사업 하는 사업체나 관련 기관, 홍보에는 아무런 신경을 쓰지 않아 오히여 커뮤니티가 홍보하고 있어

그래도 예전 정보통신교육원에서 검정 사업을 할땐 정보보호전문가 자격증 시험에 대한 홍보책자를 발행하여 각 학교와 기관 그리고 커뮤니티등에 배포 하는 행정도 하였습니다. 하지만 민간으로 바뀌고 난 이후에는 여러가지 운영상 문제점들이 하나 둘씩 보이기 시작하였습니다. 물론 지금은 많이 개선이 되었지만  세미나나 컨퍼런스에서 말한 장미및 청사진 제시에 비해 현실은 너무 동떨어져 있습니다.

네이버에서 국가공인 정보보호전문가 자격증 모임은 운영하고 있는 운영자 전주현씨(닉네임: 엔시스)는 " 정작 홍보는 관련 기관에서 해야 하는데 일반 커뮤니티에서 앞장서서 정보보호 인식제고와 자격증에 대하여 홍보를 하자니 그 한계점은 분명히 있다고 하면서 관련기관에서 많은 신경을 써 주어야 한다" 고 말하고 있습니다.


결론.

우리가 흔히 가장 처음 접하는것이 그 해당 기업이나 조직의 홈페이지입니다. 그런 홈페이지를 방치해 두다 시피 하고 질문답변에 소홀히 한다면 분명히 그 신뢰도는 떨어질것입니다. 조금 더 검정사업을 잘 할수 있도록 관련기관에서 서포팅을 하던지 아니면 해당 검정사업 주체측에서 조금 더 신경을 써야 할 것입니다.

또한 이러한 부분을 조금 더 나은 방향으로 이끌어 갈려고 한다면 하루 빨리 국가가 나서서 국가 기술자격증으로 승격이 되어야 하고 다른 우선순위에서 밀려서는 안되는 것이다. 그래야만 제대로 된 정보보호 인력 관리가 될 것이다. @엔시스.


신고
Posted by 엔시스













윤제균 '해운대' 영화감독 정보보호 홍보대사로



드디어 지난번 제안한 정책적 실행이 이루어졌다. 상당히 뿌듯함을 느낀다. 그것은 "보안은 문화"이기 때문이다. 
그런 가운데 윤제균 '해운대' 영화 감독이 정보보호 홍보대사로 위촉이 되었다는 기사이다.

본 필자는 지난번 전자신문 기고와 블로그를 통하여 여러번 제안을 한 적이 있다. 

아래에는 본 블로그를 통하여 '정보보호 홍보대사'의 중요성을 여러번 포스팅 한적이 있다.







그렇다. 정책적 제안은 다양한 곳에서 끊임없이 해 주어야 한다. 그것은 자신의 소속된 테두리 안에서는 내부에 대한 문제를 잘 인식하기 쉽지가 않다. 또한 신선한 아이디어가 도출되기 쉽지 않으면도 있다.

이럴때 제3의 시각으로 바라보는 정책 제안과 운영은 신선함을 느끼게 된다.



왜 홍보대사가 필요 한것인가?

홍보는 대사는 그냥 유명인에게 주는 감투가 절대 아니다. 홍보대사를 위촉 하는 것은 그만한 이유가 있기 때문이다. 지금까지 정보보호와 보안에 대한 인식이 중요하다고 외치면서 정작 그것을 대변해 주는 사람이 없었다. 단지, 변방의 나 같은 블로거가 아무리 이야기해도 부족함이 많다. 하지만 지금까지 그랬듯이 그 힘은 미미 하지만 지금처럼 많은 정보보호 인식제고와 보안 중요성에 대하여 다양한 생각과 정책적 제안과 제언을 하고 있다.

그런 가운데 위촉된 홍보대사는 다음과 같은 역할을 해야 할 것이다. 아마도 일반 가수나 텔렌트가 아닌 영화 감독을 홍보대사로 위촉한 사유가 궁금하긴 하다. 아무래도 정보보호나 보안에 대한 홍보 영화에 대한 메리트 때문이 아닐까?

  • 영화 감독인 만큼  정보보호나 보안에 대한  홍보 영화 제작
  • 영화 '해운대'흥행으로 인한 최근 윤감독 인기도 반영
  • 스타를 기용한 홍보대사 역할 충실
  • 윤감독 역시 영화 '해운대' 불법 다운로드로 피해를 입은 피해자 입장으로 홍보대사 충실임할수 있을터

이렇듯 홍보대사가 해야할 역할은 막중하다 하겠다. 일반 지차제에서 홍보하는 특산물 홍보대사와는 차원이 다른 역할인 것이다.부디 이러한 제도 운영으로 그냥 지정에만 끝나는 것이 아니라 보안에 관심 있은 한 사람으로서 그 역할에 충실 해 주었으면 하는 바램을 가져 본다.



윤제균 감독 ' 정보보호나 보안' 에 관련된 멋진 한국 영화 제작을 바라며


예전부터 정보보호나 보안에 대한 소설에도 관심을 가지고 있었다. 이번 윤제균 감독이 정보보호 홍보대사로 위촉이 된 만큼 국내에서 보안에 대한 영화를 제작을 한다면 정보보호 홍보대사로서의 역할을 톡톡히 하는 것이라 생각이 된다. 아무래도 대중성에 가장 가깝게 다가 갈수 있는 것이 바로 '노래' 와 '영화'인 것이다.

따라서 일반 대중성을 고려하여 아마도 한국인터넷진흥원에서 정보보호 홍보대사로 위촉 한 것 같으니 그냥 감투로서만 받아서 머물러 있는 것이 아니라 정말 보안에 대한 진정한 홍보를 해 주길 간곡히 바라는 바이다.

 정보보호에 대한 전화는 국번없이 바로 "118"로 꾸욱~~~누르세요

* 또 하나의 정보보호 정책제안을 이끌어 내었습니다. 한국인터넷진흥원에 감사드립니다. ^^;;;


신고
Posted by 엔시스

다른 제목도 있었지만 제목을 좀 자극적으로 해 보았습니다.

새롭게 태어난 '한국인터넷진흥원(이하 KISA)'는 공기업 선진화 방안으로 3개의 공기업이 통합이 되었습니다. '한국정보보호진흥원', '한국인터넷진흥원','정보통신국제협력진흥원' 이 하나로 통합이 된 것이지요..

지난 정부때 '공공기관' 이전에 따라 '한국정보보호진흥원'은 나주로 지방이전이 확정이 되어있었습니다. 하지만 3공기업 통합으로 인하여 지방이전이 불투명해 졌습니다.



2012년까지 지방이전 과연 될까?

이러한 문제로 인하여 지방이전은 어려울꺼 같고 지방균형발전이라는 것도 또다시 수도권집중화로 되어 있습니다. 사실, 지방에서 서울로 가는 것은 더 발전적이고 기회를 잡으려고 가는 것이지만 반대로 서울에서 지방으로 거점을 옮긴다는 것은 사실 그리 쉽지 않은 결정입니다.

하지만 국가 균형발전측면에서는 반드시 공공기관이 움직여 줌으로 인하여 전체 균형적인 발전이 이루어지는 것입니다.

서울에만 인구 집중화 현상과 주택가격이 천정부지로 올라가고 지방 다른 도시에는 그야 말로 휑한 느낌이 든다면 아이가 밥을 골고루 먹지 않고 편식만 하는 그래서 아이가 영향 불균형을 초래 하는 것과 같습니다.


급격한 IT인프라 발전과 정보보호의 대두


앞으로 정보보호와 보안에 대한 이슈와 역기능은 지속적으로 나타날 것이다. 그것은 대한민국의 IT발전이 급속하게 급성장을 하였기 때문입니다. 조금만 생각해 보면 우리가 최초 인터넷이라고 접한 것이 보통 1995년 1996년 정도로 기억이 됩니다. 그때 당시 천리안,나우누리등과 같은 모뎀을 이용한 PC통신과 인터넷은 1999년 정도로 될 것입니다., 어쨌든 대한민국 인터넷의 역사는 10년 남짓합니다.

그 10년동안 정말 눈부신 IT 인프라 발전을 가져왔습니다. 이제 집집마다 초고속 인터넷 안들어가 있는 곳이 거의 없고, 속도도 집까지 100M까지 사용하게 되었습니다. 예전에 모뎀 사용시에는 동영상이 끊겨서 사용할수 없었던 것이 이제는 왠만한 동영상은 무리없이 시청할수 있습니다.

또한 인터넷 뱅킹 사용자가 늘면서 은행의 창구업무는 점점 줄어들고 있으며 창구를 찾는 횟수도 점점 줄어들고 있습니다. 책도 서점에서 사기 보다 온라인 서점을 이용하여 구매하는 시대에 살고 있습니다.
인터넷의 혁명이 우리 생활에 지난 10년 동안 깊숙히 파고 들었습니다.

하지만, 인터넷 역기능이 나타나면서 정보를 관리를 하던 단계에서 이제는 '보호'를 해야 하는 단계로 진입을 하였다는 것입니다. 정보보호와 보안에 대한 마인드과 인식이 필요한 시점이 되었다는 것이죠. 그것은 작년과 올해 여러가지 보안이슈성 사건 사고들이 언론과 방송에서 다루어지면서 많이 부각이 되기도 하였습니다.


보안사고 터지면 의례히 나타나는 단골메뉴 - 정보보호 인력 양성

지난번 한번 블로그를 통하여 한번 포스팅 한 적이 있지만 보안사고가 터지면 의례히 나타나는 전문인력 부족현상을 이야기 합니다. 솔직히 말씀드리면 지방에선 전문 인력을 찾아 보기 힘듭니다. 아니 거의 없다고 해도 과언이 아닐것입니다.  수도권으로만 이루어지는 전문인력 양성. 그것도 제대로된 전문인력 양성이 될지 않될지 모르는 가운데 지역에서 사용하는 IT인프라를 책임지고 관리 운영하는 전문인력조차 그리 없습니다. 전부 수도권위주로 진행이 됩니다. 그러다 보니 관련 기관에 보안을 관리 감독하는 기관조차도 없습니다. 중앙에 통제를 받는 것도 중요하지만 '정보보호'에 대해서만은 스스로 해결하고 노력 하는 것이 정말 중요합니다. 그런 기반 마련이 시급한 것입니다.


한국인터넷진흥원 지방 지사 설립은 어떨까?

어차피 3개기관 통합하여 지방이전은 사실상 물건너 갔다고 보아집니다. 따라서 대한민국 수도권을 제외한 전국 IT인프라와 정보화, 인터넷의 정보보호와 보안을 관리 감독하고 책임질수 있는 한국인터넷진흥원 주요 광역도시 지방 지사설립은 어떨까 하는 생각을 해 보았습니다.

3개 통합기관중에서 가장 많은 인원이 있으며 향후 보안에 대한 대책 방안이나 정책 수립시에 각 지방에 있는 의견을 수렴하는 창구 역할을 할수 있을 것입니다. 물리적인 여건으로 멀리 떨어져 있다보면 아무래도 정부 정책 전달이 늦어지고 멀어질수 밖에 없습니다. 그냥 막연히 국민에게 무엇무엇을 하라는식의 상명하달보다는 조금 더 기관이 다가 갈수 있는 적극적인 자세가 필요한 것입니다. KISA지사 설립을 한다면 다음과 같은 장점이 있을 것입니다.

  • 지방 IT인프라에 대한 현황 파악 및 기술전파, 비IT 기업의 보안인식의 확대
  • 수도권 위주의 인력 양성을 지방 거점 도시에 전파하여 부족한 정보보호 전문인력 양성
  • 정기적인 세미나와 지역 업체 면담을 통하여 정보보호에 대한 인식전파와 의견 수렴
  • 정보보호 법과 제도 집행으로 인한 정보부족을 지역 거점 지사에서 확대,전파
  • 기관 한곳이 아닌 지역 여러 곳에서 역할분담으로 정보보호 법,제도 균형 운영
  • 사이버 테러, 사이버전 발생시 지역 유관 기관과 유기적인 대응체계 구축
  • 지역 정보보호, 보안 인력 풀 구축 활용, 전문가 양성


맺는말

지금 공기업 선진화 방안으로 인력 감축을 하고 오히려 덩치를 줄이고 있는데, 기관을 더 확장을 한다는 것은 정부정책에 맞지 않을지도 모릅니다. 하지만 향후 미래 산업은 모든것이 컴퓨터와 인터넷으로 이루어질 것이며, 이러한 '정보'(infomation)에 대한 '보호'(保護)는 당연한 것입니다. 사실 수도권에서 말하는 것이 지방까지 얼마나 가슴에 와 닿게끔 전달이 될수 있을까요? 조금 더 가까이 내 주변부터 챙기고 알릴수 있는 거점이 필요한 시기입니다.

대한민국 모든 것이 안 중요하고 사람이 안 필요한 것이 없겠지만 향후에는 컴퓨터로 대체되어 '무인화' 되어 가는 시스템이 점점 중요해 지고 그 안에 정보의 중요성은 점점 커질 것입니다.

이러한 미래 대체 역할로 중앙집중식 보다는 분권화 시켜서 그 대안을 마련하고 방법을 모색해 보는 것이 장기적인 안목에서 혜안(慧眼)을 찾을수 있는 것이라 생각합니다. 다양한 생각과 제안은 때로는 결정적인 정책적 대안 제시가 될수도 있기에 몇가지 생각을 적어 보았습니다. 이러한 부분들은 꼭 기관에만 한정 되는 것이 아니라 기업도 마찬가지고 생각해 볼수 있는 문제이겠지요. 한번씩 고민해 보면 좋을꺼 같습니다.  늘 불가능하다고 생각하면 영원히 할수 없는 것입니다.

"못해서 안한게 아니라 안하니까 못 한 것입니다."


신고
Posted by 엔시스

최근 보이스피싱(Voice Phishing)이 사회적 이슈가 되고 있는 가운데 지방의 한 경찰서에서는 보이스 피싱 예방에 대한 캠페인을 벌였다는 기사를 우연히 접하게 되었습니다.


관련기사

http://news20.busan.com/news/newsController.jsp?subSectionId=1010010000&newsId=20090403000105


특히, 보이스피싱에 취약한 노인을 상대로 하여 휴지에 보이스피싱에 대한 경고 메세지를 담아 휴지를 사용할때마다 경각심을 일깨워주는 캠페인인 것입니다.

해당 경찰서에서는 경비가 지출이 되겠지만 무엇인가 국민을 위하여 현실적으로 노력하고 있다는 점이 가장 칭찬할만 하겠습니다.


                                           <이미지출처: 부산일보 홈페이지>


이런 티슈나 화장지를 나이드신 분들에게 나누어 주면서 보이스피싱에 대한 경각심도 생각나게 하고 따뜻한 말을 건네는 것도 민중의 지팡이인 경찰관의 모습이겠지요.

아무튼 이 포스팅을 보시는 경찰 관계자분이 계신다면 다양한 아이디어를 찾아서 조금 더 실질적인 보이스 피싱에 대한 대책을 강구 하는것이 좋겠습니다.

다만, 다음과 같은 방안은 그리 좋은 방안은 아니다 싶은 생각입니다. 우리가 흔히 말하는 탁상행정의 전형적인 모습이라 하겠습니다.

 2009/05/08 - [보안기술&트렌드] - 보안홍보대사 한명 없는 우리나라, 이젠 휴대폰전파 차단까지


조금 더 실질적으로 하나씩 조금씩 알리고 퍼지게 하여 스스로 인식할수 있는 방안 검토를 찾아보면 분명히 위와 같은 아이디어가 나올 것입니다. 조금만 관심을 가지고 좋은 아이디어가 나오기를 필자는 기대해 봅니다. 혹시 블로거 여러분들은 보이스피싱을 방지하기 위한 좋은 아이디어가 없으시나요?
@엔시스.

신고
Posted by 엔시스

방통위에 정보보호, 보안관련 정책 제안을 4.29일에 하였습니다.  그 결과 답변이 이제서나 날라왔습니다. 그 제안이 얼마나 활용될지 아니면 그냥 없어질지는 잘 모릅니다.

하지만, 중요한 것은 누군가는 지속적으로 개선과 참여를 해야 하는 것이기에 그에 대한 소명을 다하고 있습니다. 앞으로 대한민국 보안의식이 향상이 된다면...




부디 정책 집행에 잘 활용 되기를 기대해 봅니다...추후 정책 집행이 된다면 그때에 다시 한번 포스팅 해 보겠습니다.
@엔시스.




신고
Posted by 엔시스

행정안전부(장관 원세훈)는 최근 「옥션」의 해킹사건으로 1천만건의 개인정보가 유출되어 국민들에게 많은 피해가 발생하는 등 해킹과 개인정보 유출, 유해정보 유포 등으로 국민 불안과 사회적 혼란이 가중됨에 따라 국가정보원, 지식경제부, 방송통신위원회, 한국정보보호진흥원과 합동으로 「정보보호 중기 종합계획」을 마련, 7.22(화) 국무회의에 보고하였다고 밝혔다.

※ 상세한 내용은 첨부자료를 참조하시기 바랍니다.




출처는  행안부 홈페이지 보도자료입니다..

1년이 다되어가는 시점에서 어디까지 진행이 되어 왔는지 점검할 필요가 있습니다...


신고
Posted by 엔시스

우리가 어떠한 물건을 구매 하게 된다면 그에 따르는 A/S 기간이 따르게 된다. 보통 1년 무상으로 하고 그 다음부터는 유상으로 처리하는 경우가 대부분이다.

정보보호에도 마찬가지로 정보보호 제품을 구매 하고 나면 유지보수 비용에 대하여 갑론을박 말이 많다. 하지만 현실적으로 업계에서는 많은 비용을 감내해야 하는게 현실이다.


관련기사



특히 기사에서는


국내 공공 부문 정보보호 SW 유지보수 요율은 평균 7.8%, 대기업과 금융권을 포함한 민간 부문은 10.3%에 불과한 것으로 파악됐다.

5일 전자신문이 국내 연매출 100억원 이상의 주요 정보보호 SW 9개사를 대상으로 지난 2006년부터 2009년 4월까지 유지보수 요율 실태를 조사한 결과다   -출처 : 전자신문

낮은 유지보수 비율로 인하여 해당 업체는 비용 부담이 되고 , 그러다 보니 서비스에 어려움이 있고 이런 악순환의 고리가 반복 되는것이다.



1. 제대로 된 롤 모델이 아쉬워


국내 정보보호업계 공공 매출 비중이 높은 만큼 제대로 된 롤모델이 있었으면 한다. 비용절감 차원에서 부담이 되긴 하겠지만 늘 그렇듯이 제대로 한번 롤 모델을 세워 정보보호 유지보수 비율을 어느정도 현실화 하여 책정하고 그에 따른 모범적 사례가 되면 제품 공급 기업은 더 나은 여건으로 유지보수에 만전을 기할 것이다.

늘 그렇듯이 싼게 비지떡일수 밖에 없다.  악순환의 고리가 끊어졌으면 하는 바램이다. 

◇“최소 20%는 넘겨야”=전문가들은 보안위협에 대처하기 위해선 최소 20% 이상의 유지보수 요율은 보장해야 안정적인 서비스는 물론이고 연구개발(R&D)에 재원을 투입할 수 있다고 입을 모았다. -출처: 전자신문

정보보호 중요하다고 외치지만 현실을 하나 둘씩 파헤쳐 보면 참 암담하기 그지 없다. 향후 이러한 부분들은 점차 나아지리라 생각을 한다.




2. 누구나 원하는 수퍼(Super) 갑 (甲)



보통 유지보수 계약은 다른 계약과 마찬가지지만 "갑"과 "을"이 존재 하게 된다. 그러다 보면 여러가지 무리수를 두는 경우들도 많다.

3년 무상 서비스 요구에 휴일 대체 근무까지=업계의 한 사장은 “무상 유지보수 1년은 한국에만 있는 특수한 상황이다. 공공 부문은 3년 무상 유지보수를 요구하는 곳도 많다”고 말했다. -출처: 전자신문


이제는 어느정도 현실화가 되었으면 하는 바램이 크다. 이런 노력은 상호 협력을 통하여 여러가지 방안을 모색하여 각자 본인들 입장에서만 주장을 하기 보다 서로 협력하고 조력 할수 있는 방안을 모색 해 보아야 한다. 그래야 또 다른 선순환에 고리로 엮어질수 있는 방법을 찾을 수 있는 것이다. 이런 노력으로 업계도 노력하고 해당 제품을 도입하는 담당자도 새로운 인식의 전환을 가져야 하며 법적 제도적으로 현실화 문제도 검토해 보아야 할 단계이다. @엔시스.



신고
Posted by 엔시스

한국정보보호진흥원에서는 보내준 ' 기업을 위한 정보보호 가이드란인 CD를 받았습니다.




한국정보보호진흥원(http://www.kisa.or.kr 이하 KISA) 에서는 민간기업 정보보호를 담당하고 있습니다. 따라서 일반 대기업이나 중소기업은 KISA의 영향을 받게 되지요...


책자 보단 CD가 나아

그중에 하나가 각종 정보보호에 대한 문서나 가이드라인을 제작 하여 배포하는 사업이 많습니다..예전엔 주로 책자를 이용하여 배포를 하였으나 이제는 CD로 제작하여 배포를 하는 것을 며칠전에 받았습니다..그 안에는 다음과 같은 내용들이 들어 있었습니다..

  • 웹서버 구축보안
  • 침해사고 분석절차
  • 웹 어플리케이션 보안템플릿
  • 공개웹방화벽 프로그램 및 설명서 -윈도우
  • 공개웹방화벽 프로그램 및 설명서 -리눅스
  • 홈페이지 개발 보안
  • 온라인 게임 해킹 대응가이드
  • 무선랜 보안 가이드
  • 중소기업 정보보호가이드라인  등등...


기타 관련 자료에 대한 각종 문서자료를 CD에 담아 배포 하였는데 잘 간직하고 있다가 필요시에는 활용하면 좋겠습니다...이렇게 아무리 배포를 하더라도 얼마나 잘 이용하느냐가 문제인데 우리는 그런것을 관심을 가지고 있으면 얼마든지 활용할수 있는 방법이 있습니다..

이것도 무료로 배포하는 것이라..아마도 많은 도움이 되지 않을까 합니다...


늘 관심을 가지고 이용할수 있는 방안을 찾아 보아야겠습니다..다음엔 이러한 정보들도 블로그에 포스팅 하여 많은 분들이 같이 무상 배포 받을수 있도록 해야겠습니다..

사실 이런것도 무슨 포스팅꺼리가 될까 싶어 그냥 있었는데 주위에서 좀 알려주지그랬냐는 반응이 있어서 다음부턴 보안에 대한 모든 정보는 포스팅 하여 같이 공유 하겠습니다..







신고
Posted by 엔시스

한국정보보호진흥원 (KISA)에서 취약점 점검 희망 기업을 모집하고 있네요.. 중소기업에 도움을 주려는 사업인 모양입니다...
아마도 기업수가 제한 되어 있다보니 많이 신청시에는 선별 할꺼 같은데 무료라고 하니 정보보호에 관심이 있는 담당자는 한번 신청해 보시기 바랍니다.

출처: 한국정보보호진흥원

■ 사업목적
o 소규모 IT서비스 기업에서 운용중인 정보시스템의 취약점 점검을 통한 해킹․바이러스 등 침해사고 예방 및 대응능력 향상

■ 지원규모 : 50개사

■ 모집일정 : 2009년 3월 10일 ~ 3월 24일
※ 업체 모집 상황에 따라 일정에 일부 변동이 있을 수 있음

■ 지원내용
o 제공 서비스(무료)
- 개별 서버, 네트워크 장비(라우터, 방화벽), 웹 어플리케이션에 대한 취약점 조사
※ 일상 업무의 지장을 초래하지 않는 범위에서 실시
※ 업체에서 점검을 희망하는 장비, 점검항목을 우선적으로 점검

o 진행방법
- 전문가가 2인 1조로 희망 업체를 방문하여 취약점 점검 서비스를 실시

■ 신청자격
o 총매출액 300억 미만, 상시종업원수 300인 미만의 소규모 IT서비스 기업 등

■ 신청 및 접수
o 신청기한 : 2009년 3월 24일(화) 18:00까지
o 제 출 처 : smesg@kisa.or.kr(이메일 접수만 가능)
o 제출서류 : 지원서 1부

■ 선정방법
o 업종, 인력규모, 정보시스템 보유현황을 고려하여 내부 심사 후, 개별통보

■ 문의처 : 한국정보보호진흥원
o IT기반보호단 기업정보보호팀(02-405-5239, 5248, smesg@kisa.or.kr)




한가지 팁을 드리면 관련기관에서 운영하고 있는 제도를 잘 활용하면  얼마든지 잘 이용을 할 수 있습니다..담당자분들은 관심을 가져 보시기 바랍니다..

신고
Posted by 엔시스

지금 이시간에도 다양한 사이버 위협이나 취약성으로부터 각종 정보에 대한 위협을 받고 있습니다. 이를 관리하고 운영해야 하는 사람이 바로 정보보호관리자나 보안담당자입니다. 그런 인력을 가늠할수 있고 측정할수 있는 객관적 기준으로 정보보호에 관련된 자격증이 있습니다,. 현재 국가공인 정보보호전문가(SIS) 자격증에 문제점이 없는지, 조금더 나은 방향으로 발전해 나갈수 있는 방법은 없는지 살펴 보겠습니다. 여기에 국제 보안자격증에 대한 것은 논외하겠습니다. - 편집자 주



1. 왜 정보보호(보안)자격증이 필요 할까?


우린 이런 궁금증을 가져야 할 것입니다. 그냥 남들이 다 가지고 있으니까...졸업생이나 이직하고자 하는 분들은 취업의 도구로 아니면 자기계발의 도구로...아니면 명함에 그냥 기록할려고...우린 원천적인 물음에 한번 깊이 고민해 볼 필요가 있습니다.

첫째  보안자격증은 필수가 될 것이다.

향후 미래에 도래할 것은 넘쳐 나는 정보를 보호하고 자산을 보호해야 하는 일은 특정 업무를 하는 사람만 하는게 아니라 임직원 누구나 모두에게 해당이 될 것입니다. 경영자라고 해서 예외일순 없습니다. 누군가 보안적 마인드를 가지고 여러가지 위협에 대책을 마련을 해야 하는것입니다. 그런 사람들이 많이 늘어나야 하는 것입니다.

둘째 내 자산을 지키고자 하는 것은 인간 본능이다.

정보를 보호하고 자신의 것을 지키는 것은 인간 본능입니다..그래서 소유욕이 있고 탐욕이 있는 것입니다. 그런 자신의 것을 지키고자 하는 마음의 자세가 아직 준비되어 있지 않는다면 이미 스스로의 경쟁에서 멀어지고 있는 것입니다.


셋째 요즘 보안이 적용 안되는 곳이 없습니다.

어떤곳에 근무를 하던 어떤 시간에 있든 최근 보안이 이슈가 안되는 곳이 없습니다. 폭 넓게 본다면 전부 보안에 대상이 된다고 하여도 과언이 아닙니다. 이런 고로 보안에 필요성은 두말할 나위가 없습니다. 하지만 아직까지 이런한 사항을 깨닫지 못하는 경영자가 있다면 정말로 불행한 조직에 있다고 보시면 되겠습니다.




2.  국가공인 정보보호전문가(SIS) 자격증, 국내 대표하는 보안 자격증일까?


2001년 12월에 처음 시행하여 지금까지 약 9년에 걸쳐 시행해 오고 있지만 아직까지 그 홍보면에서나 인지도 면에서 떨어지는게 사실입니다. 요즘처럼 언론상에서 해킹에 대한 자극적인 제목으로 오르내리고 있지만 정작 정비를 해야 하는 인력양성이나 제도면에서 등한시 하는게 사실입니다.

국가공인 민간 자격증으로 국내 보안을 책임질수 있는 역량있는 보안자격증으로 자리매김 하기 위해서는 보다 책임있는 분의 적극적인 정책적 제도 마련이 필요하겠습니다. 조금더 솔직하게 말하면 해외 보안 자격증을 국내 대표하는 보안 자격증이라고 말할수는 없는 것입니다.

따라서 이제는 보안이 IT를 하는 사람만의 문제가 아니라 누구나 인식을 같이하고 함께 도전하여 적극적인 사이버 위협으로부터대처할수있는 인력을 가늠하는 국내 대표 보안자격증으로 위상을 높혀야 합니다,.



3. 자격증 취득자에 대한 인센티브 혜택이 미흡하다.


자격증에 대한 인센티브 혜택이 적기 때문에 아직도 망설이는 경우가 많습니다.  몇몇 인센티브 혜택이 있긴 하지만 아직까지 부족한것이 사실입니다. 개인적인 생각으로 적어보겠습니다.

-. 각  보안 담당자는 반드시 SIS 자격증을 소지 해야 한다. - 보안담당자라면 최소한 자격증 갖추어야 합니다.
-. 공공기관 보안담당자는 따로 채용을 하되 해당 자격 요건을 갖춘 사람이 응시 할수 있도록 한다.
    (이제는 누구나 채용을 해서 담당자를 선정하는게 아니라 전문화된 인력을 채용하여 전문적인 관리가 필요합니다.)
-. 각기업 정보보호담당자는 해당학과 내지 정보보호전문가 자격증을 소지해야 한다.
-. 각 군에 보안담당자는 정보보호자격증을 소지해야한다.

이러한 사항들은 위에서도 언급을 했지만 이제는 전문화된 인력을 채용하여 보다 체계적이고 구체적인 대안과 방법을 모색해야 합니다. 보안에 전혀 관심도 없는 사람을 데려다 교육을 하는 것 보다 사전에 보안에 관심이 있고 자격이 구비된 인력을 활용하는게 중요하겠지요..


4.  SIS 자격증 소지자에 대한 사후관리가 미흡하다.


우선 국가공인이라는 타이틀을 가지고 취득을 하였다 하더라도 사후관리 방안에 대하여도 고민을 해야 할 것입니다. 세미나를 개최한다든지..커뮤니티를 활용한다든지 하는 적극적인 사후관리에도 신경을 써야 할 것입니다. 특히 자격증 만료가 되었을때 사전에 미리 알려주어 갱신을 도와 준다든지 하는 사업성에 대한 보다 적극적인 지원책이 마련이 되어야 할 것입니다. 또한 자격증 소지자를 어떻게 하면 잘 활용 할 것인지에 대한 활용 부문에도 신경을 써야 할 것입니다.

필자는 보통 책을 한권 읽더라도 이책을 읽고 나서 내가 무엇인가를 느끼고 공감하고 가져갈수 있는 그리고 그것을 이용하여 활용할수 있는 방법에 대하여 상당한 고민을 합니다. 혹자는 왜 그렇게 하냐라고 묻지만 그렇지 않다면 차라리 전 그 시간에 따른 것을 하려고 합니다. 따라서 SIS 자격증 이용한 다양한 활용방안이 있어서 사후관리에도 도움이 되는 자격증이 되었으면 좋겠습니다.



5.  정보보호,보안 홍보대사 지정 연예인은 없는가?


예전에 한번 제안한 사항이기도 하지만 정보보호에 대한 아직까지도 홍보가 미흡합니다.  00 홍보대사라고 해서 많이들 있지만 아직까지 정보보호홍보 대사 한명 제대로 없습니다. 그만큼 앉아서 정보보호가 중요하다, 보안이 중요하다라고 외치면서 실천이 안되고 있는 것입니다. 

국민들은 머리아프고 기술적인 이야기들은 외면 해 버립니다.

그리고 각종 언론에서 자극적인 문구가 있는 기사가 발행이 되면 또 불안에 떨게 됩니다..이러한 반응들은 아주 반복적으로 되고 있습니다.  그리고 해당 담당자들은 많은 요구사항들을 받게 됩니다. 오히려 너무 반복되는 현상이라 이젠 그러려니 할수도 있습니다..이러한 부문에 적극적인 국민들의 보안의식 고취를 위한 홍보를 해야 합니다..

그래서 정보보호 홍보 대사를 마련을 할것을 직접 또 제안하는 바입니다.
 
물론 이러한 사항은 지난해 중장기 정보보호대책의 일환으로 명시한 바가 있으나 그부분도 제가 처음 언론에 칼럼을 쓰고 난 이후입니다.  아직까지 보안에 관심이 있는 제가 모르고 있는걸 보니 이런저런 정보보호/보안 홍보대사가 없는 모양입니다..
 
홍보대사 지정은 그해 시작된후 바로 해야 하는 것입니다..약 반년이 지나고 중반에 한다는 것은 아무런 의미가 없다는 것입니다. 바로 실천할수 있는 정책은 바로 시행 해야 한다는 것입니다.

혹시 압니까? 지금 꽃보다남자 "구준표"를 홍보대사로 지정하여 청소년 인터넷 중독과 보안과 정보보호에 대한 홍보를 각 방송과 언론 매체에 한다면 그 파급 효과가 얼나될지...



6.  SIS 자격증, 국가 기술자격증으로 승격시키는게 바람직하다.


이러한 여러가지 문제점을 안고 있지만 아직까지 올해 시행되는 자격증 시험 일정도 발표가 되고 있지 않습니다. 보통 3월에 발표가 된다고는 하지만 한해 정책을 바로 만들어 연초에 발표하여 1년에 공부를 하면서 준비할수 있도록 수험생들에게 불편함을 덜수 있는 서비스를 해야 하는 것입니다.

만약, 국가기술자격증이 된다면 연초에 1년에 대한 계획과 방안이 바로 도출이 되어 준비하는 분들로 하여금 불편함도 없고 국내 보안을 대표하는 자격증으로 위상 정립도 될 것입니다.  제가 너무나 안타까운 점 중에 하나는 제도 마련은 되어 있지만, 필요성과 보급성은 알지만 아직까지도 한쪽 변두리에서 정보보호가 외면 받고 있다는 사실입니다.


7. 매년마다 되풀이 되는 반복적인 악순환의 고리는 올해에 끊었으면


이제는 누구나 보안적 사고 방식을 가지고 있어야 합니다. 특히 우리나라처럼 인프라가 많이 갖추어져 인터넷이 생활의 한곳으로 자리잡고 있는 것은 더욱 그렇습니다.  인터넷 뱅킹 사고라든지 개인정보 유출이라든지 여러가지 다양한 위협이 존재하고 있습니다. 이러한 업무를 할수 있는 인력, 전문화된 인력 들이 많이 양성이 되고 보급화가 되었으면 좋겠습니다.

그럼
"자격증만 있으면 전부 정보보호전문가냐"

라고 반문 하실수도 있지만 최소한 우리가 일상적으로 가장 쉽게 접할수 있는 정보보호에 다가설수 있는 길일 것입니다. 이러한 것들이 제대로 관리되고 조금 더 나은 정책으로 발전해 나갈수 있다면 우리나라의 사이버 안전은 한층더 강화가 되지 않을까 합니다..



마감하는글

국내외를 대표하는 보안자격증은 많이 있습니다. 그리고 오늘도 이러한 자격증을 취득하여 인정을 받고 싶어하는 사람들이 있습니다. 하지만 국내를 대표하는 보안자격증인 SIS 자격증이 여러가지면에서 조명을 받지 못하고 전부 시험이 어렵다 그것을 인정도 안해주는 것을 왜 따냐는등 외면 받고있고, 심지어 정보보호 인력 양성을 외치면서 가장 많은 일반 대중이 접근할수 있는 부문은 외면 받고 있는게 사실입니다. 이게 여러가지 이 생각 저생각을 포스팅 하여 보았습니다..비록 제 혼자 하는 말이고 제 혼자 하는 생각이지만 언제가는 전국민 보안 마인드 향상과 인식제고가 향상될 것을 기대하면서 포스팅을 마감하겠습니다..해당 부처에 있는 관련 기관 담당자분들께서는 조금더 열심히 분발해 주었으면 하는 바램을 가져봅니다. @ 엔시스


기타 관련 도움 포스팅

2008/06/16 - [정보보호 자격증] - SIS 자격시험 수험생 불만 `폭발`
2008/06/10 - [정보보호 자격증] - 국가공인 정보보호 자격증(SIS) 운영 논란 - 실기는 서울에서만 봐라(?)


신고
Posted by 엔시스

행정인턴제도, 보안사각지대는 되지 않을까?

지금 정부에서는 고용불안과 일자리 창출에 안간힘을 쓰고 있다. 그러다 보니 당장 가시적인 효과가 나타나는 정부정책을 세워 바로 시행에 들어간다.  그중에 대표적인 예가 행정인턴제도이다. 그 행정인턴제도에 보안적 시각으로 어떠한 문제점들이 없는지 한번 살펴보고자 한다.


얼마전에도 지인으로부터 행정인턴제를 시행하니 커뮤니티에 공지사항으로 내어 달라고 하였다. 공기업 선진화 작업으로 인하여 지금 한창 조직이 통폐합 되고 있으니 변변한 홈페이지도 없는 것 같았다. 어차피 좋은 취지로 하는 것이니 간단한 공지사항으로 하여 여러 준비하는 취업 준비생들에게 도움을 준 적이 있다.


1. 행정인턴제도, 사회에 미리적응하자.

보통 작게는 6개월에서 길게는 11개월까지 근무를 하게 된다. 받는 보수는 월 100만원정도 한다. 보수는 아르바이트에 비하여 상당히 안정되고 높다는 생각이 들었다.  좋은 취지인 만큼 잘 활용을 하였으면 한다. 그리고 행정인턴에 임하는 자세와 마음가짐도 중요하다고 생각한다. 물론 응시하는 사람들이 전부 그런 마음을 가지고 응시를 했을 것이다..


2. 현실은 달라.

실제 현장에서는 단순 업무와 보조 업무를 반복 하는 수준에 불과 하다고 많은 불평들이 있다. 실제로 인턴이라는 것은 사회에 나가기 전에 미리 경험을 해 봄으로 인하여 조금 더 조직생활과 사회생활에 적응에 도움을 주고자 하는 취지가 있다. 하지만 현장에서는 단순 업무만 하다보니 불만이 생기는 모양이다. 쉽게 말해 시간은 가고 하지만 배울것은 없다라는 인식이 지배적인 것이다.

3. 행안부에서 공공부분 인턴채용 2만5천명선

행안부에서는 인턴채용을 2만5천명정도 계획을 잡고 있다. 이러한 채용은 실질적으로 고용창출 효과도 큰 부분이 있다. 하지만 조금더 효율적인 점을 고려하여 어떻게 운용할 것인가에 대한 사전 계획이 있어야 겠다. 그냥 채용해 놓고 현업부서로 배치해 버리면 가는 사람이나 받는 사람 모두 뻘쭘하기는 마찬가지일 것이다. 또한 공무원들은 자신의 업무라 하여 주된 업무가 있을텐데,  허드렛 일만 시킬수 밖에 없다. 자신의 주업무를 시킬수는 없지 않겠는가?

                                                            <이미지출처: 국민일보싸이트>

4. 행정인턴채용 따로 보안 교육 받지 않으면 또 다른 보안 사각지대로 우려

정작 내가 하고 싶은 말은 이부분이다. 실제로 공공부문에 하는 업무는 전부 공적인 업무인 것이다. 쉽게 말해 신분이 공무원인 사람이 업무를 해야 하는 것이다. 하지만 인턴채용으로 인하여 업무를 하다보면 자연스럽게 인턴도 공공 업무에 대하여 접하게 될 것이다.

이렇게 습득한 지식이나 여러가지 정보에 대하여 반드시 사전 예방적인 교육과 실제 현장에서 업무 지침으로 인하여 보안 요구사항이 구비가 되어야 한다.

말 그대로 인턴제도가 소위 말하는 알바나 아니면 단순 업무로 가볍게 여기게 되면 반드시 문제점이 생기게 마련이다. 따라서 해당 인턴에게는 사전에 보안서약서 징구 비밀 유지 각서등을 받아야 하고 해당 기관으로 배치 되기 전에 얼마간에 연수교육을 통하여 최소한의 공공 업무에 대한 마인드와 책임감등의 교육이 필요하다


그렇지 않고 바로 현장에 투입을 했다가 정보유출이라든지 접근하면 안되는 곳에 접근을하여 여러가지 보안 사각지대에 놓인다면 오히려  그 취지가 반감 되는것이다.

이러한 문제점들은 공공부문에 있어 정보보호인식제고와 보안마인드 향상이 부족하면 더욱 심각한 사태를 초래 할수 있다. 늘 사건 사고가 터지는 것을 보면 이러한 문제점들에서 발견 되는경우가 비일비재하다. 따라서 철저한 교육과 마인드로 인턴제도 기간에 훌륭하게 업무를 배울수 있고, 수행 할수 있도록 도와주고 이끌어 주어야 할 것이다.

또한 인턴채용이 되어 일하는 사람은 최소한 본인도 같은 공적 업무를 한다는 마인드로 접근을 해야 하며 국민에게 봉사한다는 마음이 선행되어야 이러한 원래 취지가 악용되지 않을 것이다. @엔시스


추가포스팅.
댓글 다신분 중에 일부 비유가 적절치 않다고 지적하여 약간 수정 하였습니다.

신고
Posted by 엔시스

한국 정보보호진흥원에서는 여러가지 정보보호 사업성 프로젝트를 조기 발주를 하고 있습니다. 그중에 눈에 띄는 것이 고용계약형 지식정보보안 석사과정입니다..

국내 4년제 대학중에서 이러한 대학원 과정을 개설을 하면 정부가 총 9억원에 달하는 사업비를 지원 한다는 내용입니다..

이제는 조금 더 특화된 전문 인력을 배출 하려고 하는 것입니다. 하지만 이러한 사업의 문제점은 없는지 기존 정보보호학과 관련해서 배울점은 없는지 등을 살펴 보겠습니다.

1. 고용계약형이면 선발기준이 어떻게 될까

말 그대로 석사과정을 이수하면 관련 분야에 고용 된다는 가정하에 배우는 석사 과정이라 생각이 됩니다. 그러면 이러한 부분에서 과연 선발 기준은 어떻게 될지가 궁금합니다. 아무래도 밥 벌어 먹고 사는것과 연관이 되다 보니 선발기준이 강화 될 것 같다는 생각이 드는데 기존 신입 석사 과정생이 많을지..아니면 직장에서 조금 더 경쟁력을 갖추기 위하여 준비하려는 사람이 많을지..


2. 다양한 커리큘럼을 만드는 것은 환영

동국대학교에서는 사이버포렌식 석사 과정이 만들어 지고 일부에서는 산업보안 MBA 과정이 만들어져서 전문 인력 양성에 박차를 가고 있습니다. 이러한 부분들은 조금 더 정부에서 지원을 하여 많은 전문 인력이 양성이 되었으면 합니다.



3. 강사진 20%가 현직연구(개발자)라..



이러한 부분들은 일부 교수님 위주로 하는 이론적인 학문에서 벗어나 현직 경험을 그대로 교수 학습 할수 있는 좋은 계기라고 되겠습니다..다만 현직 실무자의 경우 교수 학습법에 대한 기본적인 학습이 되어진 강사진이어야 겠습니다.

아무리 실력이 좋더라도 교수 학습법도 무시 할수 없는 것이라 아무래도 예전에 1-2학기 정도 대학에서 강의 학습 경험자가 되면 경험이 있기에 유리 하겠습니다..


4. 국내 정보보호 관련 학과는 실무자 강사가 부족해

국내 정보보호 관련 학과의 경우 대부분 정통 정보보호 보다는 수학이나 전자공학,컴퓨터 공학등 다른 전공을 하고 정보보호나 보안을 전공하시는 분들이 많이 계십니다. 물론 훌륭한 분들이 많이 계시지만 실무에 있으신 분들이 많지 않으십니다.

이러한 부분들은 학문에는 많은 도움이 될지 모르나 실제 실무에서 경험한, 또는 졸업과 동시에 바로 취직을 해야 하는 상황에서는 아무래도 능력있는 현직 실무자가 일부 포함이 되거나 배치가 되면 훨씬 더 현실감 있는 교육 커리큘럼이 될수 있지 않을까 하는 생각을 해 봅니다. 물론 여기에서도 약간의 강의 경험과 교수법을 경험한 현직 실무자이면 더욱 좋겠습니다..


고용계약형 사업공고를 보다가 강사진의 20%정도는 실무진으로 구성한다는 문구가 있어 이렇게 포스팅 해 보았습니다. 무엇보다 경험에 의한 여러가지 노하우와 체험도 중요한 교육의 한 방법이기에 국내 정보보호 인력 양성의 질적 향상을 위해서는 바람직 하다는 내용을 포스팅으로 마무리 하고자 합니다..

이러한 교육으로 더 많은 양질의 전문화된 인력이 양성되기를 기대해 봅니다.. @엔시스

신고
Posted by 엔시스



작년에 지경부에서 배포한 보도 자료입니다..담당 과장과 사무관이 다른 부서로 배치 받았다고 하는데 나중에 정보보호 정책에 관심 있는 분들 참고 하라고 첨부하여 올립니다...




신고
Posted by 엔시스

작년 12월15일날 발표한 보안 중장기 계획에 대하여 정보보호에  관심 있는 사람이라면 누구나 관심을 가지고 지켜 보았을 것이다. 하지만 한 보안관련 언론사의 기사에 따르면 생각없는 지경부 인사, 보안산업 육성 생각있나? 아무래도 이건 아닌가 싶다.

무엇이든 계획을 만든 사람이 그 계획대로 실천하고 추진해 나가야 하는 것은 당연지사. 하지만 다른 곳으로 부서 배치를 받았고 또 다시 후임에 온 담당자는 처음부터 다시 업무를 파악 해야 한다.

왜 그랬을까?

이러한 부분은 정말 납득이 가지 않는다. 후임 담당자가 많은 부담을 가지게 될꺼 같다.  정말 제대로 계획과 정책이 집행 될지도 의문이고 장미빛 미래상만 잔뜩 안겨주고 생색내기의 정책이 아니었으면 좋겠다.

보안은 이제는 없어서는 안될 필수적인 요수가 되었다. 누가 더 우수하고 누가 더 부족한지를 탓하자는게 아니다. 그 정책 그 계획 그대로 유지되고 진행 되어 가면 되는것이다.

하지만 그렇지 못할 경우에는 모처럼 관심 깊게 보고 있는 정책도 보안업계에서는 우려 깊은 시선으로 볼수 밖에 없다. 아무튼 어떤 분이 되었든 꼭 잘 실행이 되어 우리의 근심이 기우에 지나지 않도록 했으면 좋겠다.


신고
Posted by 엔시스





국회 파국으로 인하여 여러가지 민생 법안들이 통과 되지 못하고 있다. 사실 정치는 정말 지저분한 것 같다. 이젠 국회의원들의 뱃지조차 그리 위엄있어 보이지 않는다.

서로 정쟁에 얽혀 주먹질이 오고가고 ..어제 뉴스에서도 잠시 보았는데 자료 화면을 보니까 아주 난리도 아니었다. 이게 무슨 세계경제 10 라는 나라의 정치 형태인가 말이다.

난 정치에 별로 관심이 없다. 그것은 맨날 말하는 사람은 많은데 실천하는 사람은 별로 없는 것 같다. 당신네들이 정치를 잘못하여 나라가 잘못되어도 결국 개인은 살아 남겠지...아무튼 이젠 국회의원이라 해도 별로 위엄있어 보이지 않는다.

정보보호에 관심이 있는 만큼 위 기사처럼 정보보호에 대한 법안도 올해 안으로 통과 될꺼라는 기대감이 있었는데 또 싸우느라고 통과될지가 불투명하다..

찬이님 블로그에 아주 적당한 사자성어로 표현을 해 주고 있다. 오월동주 ...

아무튼 정보보호법도 정보보호법이지만 민생법안도 제발 정신 차리고 너무 정쟁에 얽메이지 말았으면 한다. 너무 강행처리만 할려고 하지 말고 , 그렇다고 무조건 반대를 위한 반대로 하지 말고..대화와 타협으로 풀어 내시길..

어제 뉴스중에도 참 말장난 같은 키워드를 들었다..

"협의처리냐 합의 처리냐"


한나라당 홍준표·민주당 원혜영·선진과 창조의 모임 권선택 원내대표는 30일 국회에서 교섭단체 대표회담을 열고 쟁점법안에 대한 4차 협상을 벌였으나 합의에 실패, 최종 결렬됐다. 홍준표 원내대표는 이날 3차 협상에서 미디어 관련법과 한미자유무역협정(FTA)비준안 연내 처리 방침을 수정, 내년 2월 중 협의처리 할 수 있다는 양보안을 제시했지만 민주당은 '협의처리'가 아닌, '합의처리'를 약속하지 않는 한 받아들일 수 없다고 맞섰다.

'협의처리'는 여야가 논의를 진행하되 합의되지 않더라도 표결처리하는 것이며, '합의처리'는 말 그대로 여야 합의를 전제로 처리하는 것이다. 한나라당이 제시한 막판 카드를 놓고 여야가 결국 접점을 찾는데 실패하면서 쟁점법안 처리를 둘러싼 대규모 물리적 충돌이 불가피해졌다.

http://news.cnbnews.com/category/read.html?bcode=64213


제발 국민들에게 부끄럽지 않게 정신좀 차리세요...의원님들...정말 답답해서 한마디 던집니다...


신고
Posted by 엔시스