얼마전에 휴가를 내고 외부 특강을 하게 되었습니다.  주제는 '개인정보보호 시스템 구축론' 이라는 주제를 가지고 '서울과학 종합대학원 산업보안 MBA' 과정에서 강의를 하였습니다.

 사실 처음에 강의 요청을 받았을때, 이미 실무에 있는 분들은 모두 아는 내용일 수도 있고, 또한 대부분 다른 내용으로 강의를 받았다고 해서 어떤 이야기를 가지고 할 것인지에 대한 고민을 하였습니다.

그 중에서 고민 하였던 것은 아무래도 기본적인 내용에서 딱 한단계만 더 깊이 들어가자라는 결론을 내린 것이지요..

그래서, 예를들어 앞으로 '주민번호대체수단'을 도입하라라고 만약 한다면 우리는 흔히 '아이핀' 이나 'G-PIN' , '공인인증서' 'OTP'를 도입하라고만 합니다.

하지만 그 다음 단계인 어떻게 도입할 것인지 막막한 경우가 많습니다.

즉, 주민번호외에도 대체수단을 도입하게 되면 도대체 어떻게 홈페이지에서 어떤 방법으로 적용을 해야 하는지를 모르는 것입니다...

이러한 결론에 이르자  그 방법을 같이 고민해 보면 좋겠다라고 생각하여 한 꼭지 넣어 습니다..


그리고 개인정보 유출에 대한 각종 솔루션에 대한 전체적인 종류별로 언급도 하였습니다. 특히 공개된 장소에서 특정 솔루션을 언급하는 것이 조심스럽기 때문에 그냥 어떠한 류의 솔루션이 있다는 정도만 언급을 하였습니다.

이렇게 3시간을 강의를 하고 나니 10시가 되더군요...관계자분과 담당 교수님이 직접 격려를 해 주시고 또한 질문도 많이 주셔서 좋은 경험을 할 수 있었습니다.

저도 대학원 석사 과정을 마칠때 , 연구실에 퇴근후 저녁도 대충 김밥이랑 라면으로 때우면서 논문을 준비하였던 기억이 새록 새록 났습니다. 그만큼 일하면서 공부한다는 것은 무척이나 힘든 과정입니다. 왜냐하면 어쩡쩡한 상태가 되면 이것도 못믿고, 저것도 못믿는 상태가 오거든요...대부분 일과 공부 두마리 토끼를 다 잡으려고 하지만 쉽지 않은게 현실입니다...

남 앞에 선다는 것은 그만큼 준비를 많이 해야 한다는 반증이기도 하지만 요즘 회사 업무와 교육으로 시간을 주로 퇴근후 공부하고 연구하는데에 할애를 하였는데, 들어 주신분들에게 부족한 부분은 아니었는지 모르겠습니다.  관계자분들과 그날 수업을 들어주신 분들에게 이자리를 빌어 감사의 말씀을 전해 드립니다.. @엔시스.


참, 이번에 aSSIST에서 산업보안관련 MBA 입학설명회를 한다고 하네요..관심있는 분들은 아래 참조 하세요..



 

Posted by 엔시스



올해의 화두는 역시 '융복합보안' '그린IT'

이제는 정보보호를 조금 더 광의적인 개념으로 확대하여 볼 필요성이 있다.  그것은 지금까지 보안이라고 하면 'IT보안' 에만 머물러 있었던게 사실이다. 여기서 말하는 '융복합보안'은 u-City 나 u-health 같은 것과 같이 이루어지는 보안에 개념에 포함이 되어진다는 사실이다.

기존에는 보안에 대한 용어에도 혼용하여 사용하였는데, '보안', '정보보호' '정보보안' 등 다양한 개념으로 사용이 되었지만 향후에는 아마도 가장 광의의 개념인 '정보보안'으로 사용하지 않을까 생각을 한다.

그것은 다음과 같은 그림을 보면 알수 있다.



1990년대에는 'IT시스템 보안'이 주력이었다가 점점 발전하면서 2004년에는 '네크워크 보안' 또한 그 이후에는 사람을 중심으로 한 '개인정보보안' 으로 발전을 하고 있다. 지금 한창 개인정보보호에 대한 요구가 팽배해 지고 있는 타이밍이다.

그것은 지난 2008년 국내 대표적인 쇼핑몰과 대기업 정유사에서 고객 정보가 유출이 됨으로 인하여 법적 근거를 마련하지 못해 피해를 개인이 고스란히 안아야 했던 개인정보 유출이 그 시발점이 된 것이다.


그것은 이미 어느정도 규모를 갖춘 기업은 최소한 기본적인 '방화벽' 이나 네트워크를 보호하는 솔루션 정도는 갖추고 있다는 것이다.


그렇게 되면서 2010년 이후가 되면 유비쿼터스 사회로 발전하면서 기본에 'IT보안'과 '융복합 보안'이 합쳐지는 형태가 되는 것이다. 그것은 발전하는 기술로 인하여 다양한 위협과 새로운 정보의 노출을 가져 오기 때문이다.

자동차 기술이 발전을 하고, 헬스 산업이 발전을 하여 점점 기존에 인프라(infra)에서 탈피하여 새로운 인프라를 형성하기 때문에 그에 따른 새로운 정보(infomation)에 대한 위협의 요인이 증가 하는 것이다. 이런 측면은 기존 'IT보안'과 또 다른 새로운 보안을 가져 오기 때문에 '지식정보보안 산업'으로 정부에서 정책으로 이끌어 가고 있는 것이다.

아무튼, 보안을 연구한다는 것은 빠른 기술과 시대 트렌드에 발빠르게 변화할수 있어야 하며 자신이 보안관련 연구를 어떻게 해야 하는지를 눈여겨 볼 필요가 있는 것이다.

혹시 신입이 아닌이상 어느정도 경력이 있다고 한다면 아직도 '방화벽' 붙잡고 로그 분석이나 하고 있는 것은 시대에 뒤떨어진 마인드일 것이다.

또한 시간적인 여유가 허락한다면 '산업보안' 에 대한 시야도 넓혀야 한다. 그렇게 된다면 결국은 컨버젼스 형태가 되어질 것이다. 결국은 모든 것을 다 알아야 하는 시대가 도래 할 것이다. 이런 것들은 하루아침에 이루어지는 것이 아니다.

틈틈히 내공을 쌓아 나아야 진정 전쟁터에서 승리 할수 있는 힘을 기르는 것이다. @엔시스.


Posted by 엔시스

어제와 오늘자 신문에 "와이브로 기술유출" 을 하려 붙잡힌 기사가 보도 되었다. 기술 유출은 보통 그 파급 효과가 상당히 커서 투입한 개발 인력과 자금만 보더라도 가히 짐작할수 있다. 또한 그 기술 유출로 인한 피해 파급효과가 엄청나게 크다는 사실이다.

왜 핵심기술 유출을 빼돌릴까?
그래서 산업보안에 대한 법률안도 마련이 되고 , 검찰의 단속도 강화 되고 있다. 그런데 한가지 궁금한 점이 있다. 과연 그러면 그 기술 유출 한 사람들도 한국인이고 , 기술을 빼돌리면 상당한 피해가 있을 것이라는 것을 알텐데..왜 그럴까?

당장 눈앞에 보이는 이익때문일까?  아니면 회사에 불만이 있어 그럴까?  아니면 국내에서 먹고 살기 힘들고 기술 개발에만 전념한 결과에 만족하지 못해서일까?

샌드위치에 있는 우리나라 경제는 꼭 상기되어야 할 문제이다, 중국과 일본 사이에서 급격히 추격하고 있는 중국에 이런 기술이 유출이 된다면 국내의 여러가지 상황은 더욱 악화 될 것이다.

우리는 여기서 핵심 기술개발 하는 사람들에 대한 인성과 대우를 해 주어야 한다. 핵심 기술 개발 인력들은 그 분야에서 뛰어나지만 인성이 바르지 못한다면 개인과 기업과 나라가 기술유출에 따른 많은 피해를 입게 되는 것이다.

세계에서 물가 비싼 나라에 속해있고, 노령화는 점점 심해지면서 출산율은 떨어지고 죽어라하고 일해서 자기집 장만하다 보면 세월 다 가는 나라에서 이런 기술유출에 따른 달콤한 사탕발림의 유혹은  어쩌면 당연할 것일지도 모른다,

핵심기술 인력의 주기적인 인성교육
도둑이 훔칠려고 마음을 먹고 하면 어떻게든 훔치려 할것이다. 이처럼 아무리 기술적으로 관리적으로 단속을 한다해도 마음먹고 준비하는데에는 당할도리가 없다.

따라서 관리자는 핵심기술인력에 대한 고민은 없는지..무엇이 문제인지를 정확히 파악하고 주기적인 인성교육을 통한 마음의 자세를 가다듬게 하는게 무엇보다 중요하겠다. 한순간 잘못된 판단이 자신의 미래와 기업과 국가에 얼마나 큰 피해를 끼치는지를 망각하게 해서는 안된다는 것이다. 이것은 꾸준한 주기적인 인성교육으로 다루어 져야할 것이다.

정보보호에 대한 마인드확산과 투자
한가지 기사를 접하면서 의문이 드는점이 있다., 포스테이터 정도면 자체 보안이나 여러가지 규정이 있었을 것이라 생각이 된다.  기사를 보면 외장형디스크로 자료를 유출하고 한다고 했는데 (정확한 내막은 잘 모르겠지만) 요즘은 보안 솔루션이 워낙 많이 있어 문서보안이나 물리적 보안 , 또는 메일 보안에 이르기까지 다양한 경로를 통하여 보안을 집중시킬수 있다.

조금더 유추해 본다면 기술유출을 빼낼수 있는 위치에 있거나 정보보호에 대한 허술한 관리가 한 몫한거 같다는 느낌이 든다.  

이런 기술유출 한것이 터지면 해당 기업의 이미지는 추락할수 밖에 없다. 어쩌면 당연한 일일지도 모른다. 누가 그런 회사에 중요한 핵심기술과 여러가지 정보를 맡기겠는가?
그럼에도 불구하고 늘상 나오는 이야기는 정보보호에 대한 투자와 예산이 없으며 인력이 부족하다는 이야기 뿐이다.. 참으로 한심할 따름이다.

혹시 이글을 보시는 기업 경영진이 계시면 한번 회사 가장 핵심적인 정보가 있는데 이것이 유출된다면 하는 가정의 시나리오을 만들고  반성해 보기바란다..그냥 유출되게 할 것인지..아니면 적극적인 정보보호, 산업보안에 투자하여 막을 것인지..
이제는 생각을 바꾸어야 할 시점이다. " 정보보호에 적극 투자하라" -<엔시스>
Posted by 엔시스