올 한해에는 조금 살림살이 나아지는 한해가 되었으면 하는 바램이 듭니다. 정부에서 올 한해 어떤 사업을 추진 계획하고 있는지 관련 자료를 함께 공유합니다.

여러가지 부처가 있지만 관련업무와 관련된  방통위, 지경부, 행안부, 중기청 핵심과제입니다...

 



많은분들  올 한해에도 살림살이 나아지길 기대해 봅니다.  

 
도움되셨다면 댓글 한줄씩 남겨 주셔도 좋겠습니다..^^



Posted by 엔시스

늘 우리는 정보보호 실무형 인재를 원한다. 실제 국내 보안을 대표하는 자격증의 위상과 입지가 많이 부족하다. 대한민국 실정에 맞는 보안인재의 기준을 마련하는 자격증인 SIS 자격증이 아직도 제 역할을 하고 있지 못한다는 지적이 많다.

그 이유로는 다음과 같다.

  • 문제가 너무 어렵다.
  • 필기와 실기를 두번 시험을 봐야 한다.
  • 아직 홍보가 덜 되어있다.
  • 인센티브제도가 부족하다.
  • 제도 운영에 미흡한 점이 나타난다.

대략 주변에 이야기를 들어 보면 위와 같은 이야기가 많다. 하지만 정보보호전문가 또는 보안전문가라는게 어느 한 순간 이루어질수 있는 분야가 아니고 또한 이러한 자격증을 취득 하였다고 해서 전부 전문가가 되는 것도 아니다.

단지, 정보보호전문가로서 최소의 지식과 소양을 가지고 있고 일정한 기준 레벌의 기초 지식을 가지고 있다고 생각을 하면 될 것이다. 위와 같은 문제점을 해결 할수 있는 방법은 "국가 기술 자격증으로 승격화 " 하는 방법 밖에는 없다.

무엇보다 개인적으로 가장 아쉬운 점은 바로 인센티브제도가 부족하다는 것이다. 이 자격증을 취득 함으로 인하여 얻고자 하는 이익(Benefit)이 눈에 띄게 나타나는 것이 아니기 때문이다.

일부, 국제 자격증인 CISSP와 CISA의 경우 대부분이 한개의 자격증을 취득 하면 의례히 자동으로 한개 더 취득 하려는 사람들이 대부분이다.

하지만, 이러한 부분에도 일부 아쉬운 점이 있으니 수정 보완을 해야 하는 것이다.  오늘자 신문 기사에 난 내용이다.

국제 보안자격증은 '장롱 자격증'
http://www.etnews.co.kr/news/detail.html?id=201003090325


너무 스펙 갖추기에만 열을 올리다 보니 나타나는 부작용일 것이다. 물론 열심히 공부하고 노력 하는 사람들도 많이 있다.,하지만 일부 무조건 갖추고 보자는 식으로 일주일만에 벼락치리를 하여 자격증을 취득한들 무슨 소용이 있으랴.

기사 말미에 보면 KISA 관계자에 따르면 " SIS 자격증을 국가자격증 " 승격 시킬려고 노력하고 있다고 하는데 ...매번 나오는 레파토리라서 조금은 식상한 느낌이 든다.

이는 2009/09/16 - [Security License] - SIS(정보보호전문가) 자격증이 국가 기술자격증된다. 에서 나타났듯이 방송위, 지경부 모두 같은 레파토리를 가지고 제시하고 있다.




지금은 국가공인이라는 민간 자격증이지만 정말 "국가기술 자격증으로 승격 " 시킬려고 하는지에 대한 의지가 있는지 한번 묻고싶다. 현재에는 일부 포털 커뮤니티에서 자발적으로 홍보 및 스스로 공부를 하면서 서로 정보 공유도 하고 있지만 그 어떤 의지를 표명한 것이 없다.

SIS자격증을 국가기술 자격증으로 승격 시켜야 하는 이유
    • SIS자격증의 위상과 국내 보안 인력 양성
    • 국가가 직접 보안인력을 관리하는 사후 관리 철저
    • 하나의 기술자격증으로 인정 하는 위상정립
    • 국가 기술자격증으로 각종 공무원 시험 및 공공기관 입사시 가점부여
    • 군 입대 및 정보보호 기술병 지원시 가점지원
    • 개인 정보보호역량 강화 차원에서 국가 기술자격증인 정보보호자격증 보유시 혜택지원
    • 가장 중요한 보안 인식의 확대 - 지금은 민간자격증이라 응시인원 및 확대가 안되는 부분이 많음
    • 빠른 시일내에 노동부와 관계 법령 개정 작업으로 실시
    • 기존 SIS 자격증 일정 보수교육후 국가기술자격증으로 신청가능
    • 각종 정보보호 컨설팅 사업 및 국가 보안 사업시 국가 기술 정보보호 자격증 소지 인력 요구
    • 국내를 대표하는 정보보호, 보안 자격증으로서 자리매김


정책을 진행 하기란 여러가지 변수와 애로 사항이 많을 것으로 안다. 하지만 기술의 발달로 인하여 이제는 정보를 처리하는 시대에서 정보를 보호 하는 시대가 도래 하고 있다. 이러한 시기에 아직도 정보를 처리하는 것에서만 머물러야 하는 것은 구 시대적인 착오에서 오는 것이다.

지금이라도 " 계획에도 없는 이슈성 정책" 내용을 남발 하기보다 정말 관련 기관과 부처에서 의지를 가지고 하나씩 준비하여 로드맵을 세워 꼭 실행이 되었으면 하는 바램을 가져 본다.  보안을 널리 알리고 전파하고 보안에 대한 일정한 자격을 갖춘 인력이 많이 양성이 되어 전국민의 보안의 무지로부터 일깨워 줄 날이 빨리 오길 바란다. @엔시스.

* 만약 공감하신다면 아래 추천~~~꾸욱 눌러주시면 더 여러분들이 보실수 있을 것입니다. 감사합니다.

Posted by 엔시스

지난 7.7 DDoS 대란으로 인하여 다시한번 정보보호 인식을 하게 되는 계기가 되었습니다. 민간에 공격을 가하던 DDoS 공격이 이제는 국가기관을 향하여 공격을 감행하니까 당연히 촉각이 곤두 설수 밖에 없었습니다.

그래서 관련부처에서 앞 다투어 미래 장미빛 전망을 내 놓았습니다.

이른바 " 사이버보안관 3000명" 양성하겠다....하지만 너무 공수표를 난발 하는게 아닌가 하는 제기도 되었지만 일단 이번에는 국가의 의지를 볼수 있는 계기가 되지 않을까 하는 바램에서 개인적으로도 꼭 이루어지길 바라는 마음이었습니다.

그런 마음을 블로그에 포스팅도 하였습니다. 에초에 조금 무리가 있지 않은가 하는 내용도 포스팅에 있습니다. 자세히 읽어보면



그런데 오늘자, 디지털타임스에 의하면

18일 관련 업계와 정부에 따르면 민간 정보보호를 담당하는 방송통신위원회와 인력양성을 담당하는 지식경제부 모두 내년도 예산에 사이버 보안관 양성과 관련한 예산을 배정하지 않았다.
관련기사 : http://www.dt.co.kr/contents.html?article_no=2009111902010860739001&ref=naver


정보보호 인력 양성에 대한 예산 편성이 안되어 있다는 것이 주요 핵심입니다. 정보보호와 보안에 관심을 가지고 있는 한 사람으로서 많은 실망을 가지게 됩니다.


보안에 대한 인식은 "냄비" 보다는 "뚝배기" 근성으로 되어야

7.7 DDoS 공격이 일어난후 약 한달이 지난후에 벌써 사람들 뇌리 속에서 멀어지는게 아니냐는 우려의 목소리가 나왔고 업계에서는 의례 그렇듯이 시간이 지나고 나면 또 잠잠해 지는거 ..당연한거 아니냐는 듯이 받아 들이고 있는 경우도 있었습니다.

하지만 그 시기가 너무 짧아서는 안될 것입니다. 이제 갓 4개월 정도밖에 안되었는데 정보보호종합대책이라고 해서  각종 보안세미나에서 중장기 발표를 하면서 내년 인력 양성에 대한 예산도 편성이 안되었다는 말은 정말 실망스럽기 그지 없습니다.
아직도 우리나라 정보보호에 대한 인식은 멀었다고 생각이 드네요...

당장 사건이 일어나서 호들갑 떠는 것보다는 뚝배기처럼 꾸준하게 관심을 가지고 사이버안전에 만전을 기해야겠습니다. 국가 정책 운영하시는 분들 노고야 알고 있지만, 조금은 더 분발하셔서 정보보호 선진국 진입으로 가는데 총력을 기울였으면 하는 바램을 갖어 봅니다.

전방에서 철책만 잘 막는다고 해서  국가 안전이라 말 할수 없습니다. 이제는 국가 기밀이나 국가 주요 시설 및  담당자 PC에서 정보를 빼 가는 세상에 살고 있습니다. 그러면서 당하고 나면 어떻게 어떻게든  무마시고 또 당하고, 같은 일을 반복하여 하는 결국
"같은 행동을 하면서 다른 결과를 바라는 것은 미친짓' 이라는 말을 어느 책에서 본 기억이 납니다..

두번다시 같은 행동을 하지 않았으면 하는 바램을 가져봅니다. 아예 초기부터 3000명 사이버 보안관 양성은 무리였던 걸까요? 너무 의욕만 앞서기 보다 관련 전문가들과 상의를 하여 충분히 고려하여 공수표를 남발하지 말았으면 하는 바램이 듭니다. 보안에 입문하려던 어린양들이  희망에 들떠 있다가 허파에 바람빠지는 소리가 여기까지 들리기 때문입니다. @엔시스.



Posted by 엔시스

정보보호에 관심이 많는 필자로서는 이런 정보보호 대책에 대하여 관심을 갖을 수 밖에 없습니다. 따라서 방송통신위원회가 제시한  '인터넷 정보보호 종합대책'을 검토 해 보도록 하겠습니다.

여러가지 종합대책이 있지만 그건 첨부하는 '인터넷 정보보호 종합대책'  문서를 보시면 자세히 나와 있으니까 보시길 바라며 평소 관심이 있었던, 그리고 제가 블로그를 통하여 몇가지 언급했던 사항들이 포함이 되어 있어 말씀드리고자 합니다.

여러가지가 있지만 가장 대표적인 것은 CSO 의무화, ISMS 활성화, 안전진단 제도개선, 정보보호인력양성, 16개 시도 침해사고센터설치, G-PIN, I-PIN 사용, 개인정보 수집 축소, 정보보호 홍보대사위촉, SIS자격시험 확등등이 있습니다.

혹시 관계 되시는 분이 제 블로그를 보았는지는 잘 모르겠으나 제가 기고한 내용이나 블로그에 올린 사항을 참고 하여 정책에 반영이 되었다는데에 대해 (물론 아닐수도 있지만) 개인적으로 감사할 따름입니다.

앞으로 더 좋은 정보보호 정책이 있으면 언론이나 기고 또는 블로그를 통하여 알릴 것이며 이런 정책들이 국가 정보보호 발전에 더욱 도움이 되었으면 하는 바램입니다.

사용자 삽입 이미지


사용자 삽입 이미지


어제 2008년 7월22일 '인터넷 정보보호 종합대책' 이 발표 되었습니다. 우선 국가적으로 정보보호에 관심을 갖어 주었다는 것에 대해서 박수를 보내 드립니다. 예전에는 알고는 있었지만 종합적인 대책 마련이 없었고, 이제는 더이상 물러 설 곳이 없기 때문에 나온 부분이라 생각하지만 그래도 계획대로 진행이 되었으면 하는 바램을 갖어 봅니다.


사용자 삽입 이미지


정보보호관리체계(ISMS)는 반드시 필수적

여러가지 내용중에 가장 필요 한것은 제가 누차 말씀 드리지만 정보보호 하면 대부분 사람들이 기술적인 부분만 생각을 하게 됩니다.

하지만 저도 조금 공부를 해 보니까 정말 중요한 것은 어떠한 정책과 체계가 바로 잡혀야 한다는 것입니다.

우리가 정보보호에 대한 공부를 할 때에도 큰 틀에서 접근을 하게 되면 큰 그림을 그릴수 있어서 접근 하기가 쉽습니다 .

보통 저에게 어떻게 범위가 넓은 정보보호(보안)을 공부하냐고 질문이 많은데, 그럴때 마다 TOP DOWN 방식으로 공부를 하라고 조언을 합니다.. 마찬가지로 정보보호 관리체계(ISMS) 제도가 활성화 되어야 합니다.

그런데 여기서는 활성화라고 하였는데 가능하면 일정 규모의 기업은 의무화를 해야합니다. 활성화라는 표현을 자의적이기 때문에 해도그만 안해도 그만이라는 인식이 있습니다. 하지만 지금 시점은 정보보호 관리체계는 일정 규모를 갖춘 조직은 반드시 의무화가 되어야 한다는게 제 개인적인 견해입니다.

그건 정보보호 관리체계를 수립을 하면서 평소 우리가 소홀히 여겼던 부분을 다시 한번 점검을 하게 되고 자산을 파악하게 되고 위험분석을 하여 평가를 하고 관리를 하게 되는 것이죠..그렇게 하다보면 창고에 그냥 방치되어 있던 굴러다니던 자산도 발견하게 되고 ....아...이런 것도 있었네..하는 계기가 있다는 것입니다..

큰 틀에서 무언가 진행 하지 않으면 세부적인 것은 잘 찾기 힘들기 때문에 반드시 정보보호 관리체계는 필요하도고 하겠습니다. 이점으로는 조세감면과 조달청 가점부여 그리고 배상책임 할인 혜택들도 있습니다.

사용자 삽입 이미지

정보보호 홍보대사 위촉과 공영 방송에 대한 정보보호 홍보 방영 -필자 전자신문 제안 정책반영

관련 포스팅: 전자신문 기고- 정보보호 홍보대사

                 그 흔한 정보보호 홍보대사 하나 없나?

이는 얼마전에 전자신문에 제가 기고한 글과 이미 블로그와 카페에 포스팅 한 내용이었습니다.  정말 필요한 사항인거 같구요..하다 못해 무슨 무슨 지방 아가씨도 ..이런 지자체 홍보 도우미도 있는데  정보보호 인식제고를 위하여 홍보대사 한명 없다는 것도 참 아이러니 합니다...

그나마 지금이라도 제가 제안 하였던 정보보호 홍보대사 위촉이라는 부분이 정책에 반영이 되어 깊이 감사드립니다. 그리고 기고에서도 말했듯이 정보보호에 대한 캠페인이나 공익 방송을 주기적으로 내 보내어서 국민들로 하여금 정보보호의 인식을 무의식 적으로 올려 놓았야 합니다.  

지금 CF광고중에 각종 유행가를 수정하여 시시때때로 광고하는 하이마트 광고를 보면 오히려 원래 노래를 잊어 먹을 정도로 CF송을 흥얼거리게 됩니다. 물론 광고 예산이란 부분이 있긴 하지만 최소한 흥얼거릴수 있는 정보보호 로고송 정도는 있어야 합니다..이것도 제안사항이 될수 있군요,... 보안 로고송.~~~

국가공인 정보보호전문가 자격증(SIS) 내실화로 인하여 정보보호 인력배양
SIS 실기 시험 강화, SIS 인센티브 빠져 아쉬워..

관련 포스팅: 국가공인 정보보호 자격증(SIS) 운영 논란 - 실기는 서울에서만 봐라(?)

'정보보호 인력 양성' 이러면 우선 떠 오르는게 자격증제도에 대한 부분입니다. 사실, 지금까지 국가공인 정보보호전문가 (SIS) 자격증 제도가 시행되고 있었으나 그렇게 신경쓰지 않는 부분이 많았습니다. 그건 제도 운영을 보면 알수 있는 내용이었습니다.  반복적인 실수와 잦은 검정기관 이양등이 었습니다. 이제는 제대로된 제도 운영이 되길 바라겠습니다.

그리고 정보보호에 대한 자격증 하면 정보보호에 대한 관심이 있는 사람이라면 누구나 CISSP, CISA를 떠올리게 됩니다. 글로벌 한 자격증이라고는 하지만 거기에는 늘 시험 응시인력이 풀로 차는 반면에 SIS 자격증 시험에는 실시시험은 응시인력이 적어 서울에만  쳐야 한다는 해프닝까지 벌어질 사건(?)이 있었습니다.

이것이 SIS자격증에 내실화가 안되었다는 반증이기도 합니다. 향후 5년간은 더 탄탄한 제도 운영이 되길 바래 봅니다..그리고 실기 시험에 대한 강화 부분도 필자가 예전에 한번 제안을 했던 내용이기도 합니다. 살펴 보시면 되겠습니다.


행안부- 정보보호전문가 자격증 국가기술자격증 제도 마련

행정안전부 대책중에 보면 지난번 지난 정보보호 우수정책과제 공모전 제안 을 했던 부분들이 많이 반영이 되었네요..그중에서도 2개의 정책이 반영이 되었습니다.  국가 정보보호 기술자격증 마련내지 승격과 공공기관 정보보호 전문가 의무 채용등이 있습니다.  이렇게 된다면  방통위 제안 2건 반영과 행안부 제안 2건이 차례로 반영이 되었다는 이야기네요...

사용자 삽입 이미지
 
줄 그어진 부분은 이미  제가 운영하고 있는 국가공인 정보보호 전문가 자격증 모임 커뮤니티에서도 이미 메뉴로 (http://cafe.naver.com/nsis) 만들어 각 회원들에게 국가기술자격증으로 승격 시키기 위한 활성화 방안을 도모 하고 있기도 하는 정책이었습니다.

추가적으로 말씀드리자면 행안부의 구체적이지 못한 두리뭉실한 정책보다는 지금 나와 있는 국가공인 정보보호전문가 자격증을 내실화 하여 국가 기술자격증으로 승격 시키는 것이 더 효율적이라 생각을 합니다 . 왜냐하면 지금도 정보보호 유사 자격증이 난무하고 있지만 또 다른 유사 자격증을 생성하여 너무 많은 자격증이 난무 하는 것 보다는 조금 더 구체화 시키고 내실화와 국제 자격증과 대등한 입장이 될수 있도록 정부는 노력을 아끼지 말아야 할 것입니다.

그것은 정보보호 대책을 발표하는 시점에서 행안부가 되었든 방통위가 되었든 국가기관의 의지입니다. 꼭 당부 드리고 싶은 말입니다.  제대로된 하나의 기준을 만들어 주시기 바랍니다.


이제는 정보보호 강국으로 정말 거듭나기를 바라며

필자는 오로지 정보보호에 대해서만 생각을 하였습니다. 그것은 제가 네이버 국가공인 정보보호 전문가 자격증 모임 (http://cafe.naver.com/nsis) 커뮤니티를 운영하면서부터인데 매번 반복적으로 해킹 당하고 정보가 유출되고 있는데도 정부는 뒷짐만 짚고 있고, 개인정보보호법도 17대 국회에선 계류만 되고 있다가 부랴부랴 18대에서 올해 제정한다고 그러는 것이 너무 안타까웠습니다. 그래서 저 하나라도 정보보호에 대한 열정을 가지고 커뮤니티를 운영을 해서 정말 대한민국이 정보보호 후진국이라는 부끄러운 나라에서 탈피 되어야 겠다고 많은 생각을 하여 블로그도 운영을 하고 각종 언론에 기고를 하고 많이 오지 않은 블로그이지만 그냥 메아리처럼 울리겠지만 블로그에 포스팅도 하였습니다. 그런 산물들이 정책에 반영이 되니까 정말 기쁘게 생각이 됩니다.

이런것에 대한 노력은 제가 운영하는 커뮤니티 칼럼에 보시면 지금까지 63개의 칼럼을 적었습니다.,

정부의 '인터넷 정보보호 종합대책'이 나온 만큼 이 종합대책 만큼이라도 꼭 실천이 되었으면 합니다. 한가지 아쉬운 점이 있다면 정보보호 정책을 일괄적으로 진행하고 추진하는 기관이 나누어져 있어서 자칫 힘겨루기나 서로 떠 넘기기식 정책이 되지 않았으면 합니다.. 늘 좋은 정책 아이디어와 제안이 많이 많이 반영이 되어 정말 이제는 정보보호 후진국이라는 꼬리표를 떼 내었으면 좋겠습니다. 이젠 정말 중국에게 매일같이 당하지만 말았으면 좋겠습니다. 이젠 정신차렸으면 좋겠습니다. @엔시스

# 첨부파일- 방송통신위가 발표한 인터넷정보보호종합대책 1부
#첨부파일2- 행안부가 발표한 정보보호중기 대책 1부


# 포스팅이 유용하셨다면 추천을 클릭하시면 더 많은 분들이 같이 정보를 공유 할수 있습니다.



Posted by 엔시스