'전주현'에 해당되는 글 176건

  1. 2015.01.15 2015 정보보안기사 산업기사 한권으로 끝내기 개정판 출간
  2. 2014.12.12 [발제] 보안문화 정착을 위한 국가, 기업, 개인의 대응방안
  3. 2014.12.08 [기고] 사회복지시설 개인정보보호 가이드라인
  4. 2014.10.23 [기고] 제5회 "금융사기 피싱,파밍,스미싱" 당했을때 대응방법
  5. 2014.10.21 2014년, 지금까지 읽은 도서목록입니다. (53권)
  6. 2014.08.27 [기고] 제2회, 당신의 패스워드 안전하십니까?
  7. 2014.08.13 [기고] 제1회, 마이핀(My-pin) 무엇에 쓰는 물건이고?
  8. 2014.07.22 개정 개인정보 안전성 확보조치 기준 고시(안) 분석과 의미
  9. 2014.06.04 진짜 나로 살 때 행복하다.
  10. 2014.05.29 "배고파요" "햄버거 하나 먹어요'
  11. 2014.05.21 [초보보안-22강] USB 파일이 안 보여요
  12. 2014.05.21 이제 법에 근거하지 않는 주민번호 수집은 안되요
  13. 2014.05.01 [강의-40] 도로운영의 가치를 창조하는 신공항 하이웨이 (2)
  14. 2014.03.26 [강의-38] 기업 정보보안 교육 "경영진"부터 참석해야
  15. 2014.03.21 정보보안기사, 산업기사 한권으로 끝내기, 2014 개정판 표지
  16. 2014.03.12 정보보호 전문가, 공무원의 길 열리는가?
  17. 2014.02.28 보안인닷컴 "보안인" 앱 출시 기념 이벤트 합니다.
  18. 2014.02.27 2014년 2차 개인정보보호인증심사원 교육대상자 모집공고.
  19. 2014.02.18 보안인이여 ! 모여라, 보안인닷컴 "보안인" 앱 출시 (2)
  20. 2014.02.05 개인정보보호 교육170여차례, 눈높이 맞추면 반응좋아 (1)
  21. 2014.02.04 정보보안기사 합격과 보안전문가의 의미
  22. 2013.12.06 [초보보안-21강] 당신의 패스워드는 안전한가요?
  23. 2013.11.29 2014년 국가기술 정보보안기사 산업기사 자격증 시험일정표
  24. 2013.11.27 창조인재포럼 발기인대회 및 창립총회
  25. 2013.11.24 경성대학교 보안문제 연구소가 개소식을 한다네요.
  26. 2013.11.24 [현장점검-1] 개인정보보호법 얼마나 지키고 있는가 - 부산B전시행사장
  27. 2013.11.22 [강의-35] 스마트폰보안과 정보보안 - 대진정보통신고등학교
  28. 2013.11.18 보안인닷컴 E-매거진 [보안人] 25호가 발행되었습니다.
  29. 2013.10.27 부산일요진단 " 금융사기 막을수 없나" KBS 방송출연 후기 (2)
  30. 2013.10.22 우연히 검색하다가 취약성 웹사이트를 찾았다면 여러분은?


정보보안기사 산업기사 국가 기술 자격증 시험이 시행된지 2년이 지났습니다. 올해 3년째에 들어갑니다. 시간이 정말 빨리 흘러간다는 생각이 듭니다.  시험도 이제 안정화를 찾아가는 듯 합니다. 2016년도에는 정보보안 기술사 시험 시행을 앞두고 있습니다.  (관련포스팅 : 정보보호전문가, 공무원길 열리는가? )


또한, 지난 2014년 연말 크리스마스를 전후해서 한수원 내부자료 유출로 인하여 무엇보다 정보보호 강화요구가 증대되고 있습니다. 워낙 정치적인 이슈들이 많다보니 복잡한 사회를 살아가는 현대인들은 보안에 대한 이슈가 있어도  금방 망각하게 됩니다.  최근 망법 시행령 개정안 (관련기사 : 기업들 여권, 운전자면허번호도 암호화해야)도 보도가 되었습니다. 점점 해야할 지식이 쌓여만 갑니다. 개인정보 기술적.관리적 보호조치기준 개정(안)도 입법 예고 되었습니다.


결국 보안은 기술적, 관리적, 법, 제도등 다양한 분야를 이해하고 공부해야 합니다. 하루 아침에 이루어지는 지식이 결코 아닙니다. 외부 신뢰된 검정 기관에서 정보보안에 대한 지식 테스트를 거쳐 일정한 평균 점수를 넘기면 이에 대한 증명을 하는 것이 자격증제도 입니다. 국가공인에서 이제 국가기술로 넘어간지 2년.


올해 5,6회 시험을 앞두고 있습니다. 부족한 수험서지만 다행스럽게도 많은 독자분들이 사랑해주셔서 부족한 부분은 조금씩 보완하고 의견 수렴하였습니다.  시간이 걸리더라도 시험을 위한 시험교재도 중요하지만 실무친화적인 내용으로 반영하고 있습니다.  이에 <2015년도 정보보안기사 산업기사 한권으로 끝내기> 개정판이 오늘 출판사를 통하여 출간 되었습니다. 많은 사랑과 관심 부탁드립니다.





예스24 클릭하기http://www.yes24.com/24/goods/15852504?scode=032&OzSrank=3 


혹시 인터넷 서점등에서 이미지 업데이트가 안된 곳은 곧 업데이트 됩니다. 출판사 홈페이지에는 이미 업데이트가 되었으니 일반 오프라인 서점에도 만나 볼 수 있습니다. 자세한 내용은 시대고시기획  문의 하셔도 됩니다.


 2015년도 개정판 주요 특징은 다음과 같습니다.



  • 기존에 모호한 문장이나 표현을 읽기 쉽도록 다듬었습니다. 
  • 3-4회까지 기출문제를 최대한 복원하여 수록하였습니다.
  • 1-4회까지 기출문제를 분석한 요약정리를 단원화하여 정리하였습니다.
  • 한 단원 끝날때마다 키워드 중심으로 요약정리 하였습니다. 지속적으로 업데이트 예정
  • 중간 중간에 저자가 분석한 내용중 시험대비를 위한 <저자 한마디>로 부연 설명합니다.
  • 가독성을 높이기 위하여 긴 문장들을 다소 다듬거나 재분류하여 가독성을 높였습니다.
  • 교재 전면 커버 페이지 디자인을 새롭게 하였습니다. 조금 더 심플하게
  • 기출문제와 요약정리를 추가하여 100페이지 이상 책의 두께가 늘어났습니다.
  • 최근 개정된 법,제도를 수정하여 반영하고, 충분한 설명을 덧붙였습니다.
  • 원포인트 레슨을 업데이트 하였습니다. 


5과목을 한권으로 묶는다는 것이 그리 쉬운 작업은 아닙니다. 또 한회 한회 시험이 시행될때마다 공개되지 않은 문제를 찾아 유사하게 복원하는 것 또한 쉽지 않는 작업입니다. 그러나 제가 강조하고 싶은 컨셉은 딱 한가지입니다...


" 페이퍼 라이센스를 양성하지 말자" 


정보보안의 이론과 실무지식 최대한 녹여내자. 자격증이 있어도 결국 실무적인 내용을 잘 모르거나 암기식 합격을 통한 페이퍼 라이센스가 되지 않도록 교재에 녹여내자등이 제 개인적인 욕심이고 컨셉입니다. 이런 부분에 대해서는 호불호가 있지만 처음부터 그 고집은 꺾지 않고 있습니다. 5과목 관리 및 법규에서 그냥 법조문만 카피하여 책에 나열하는 것은 아무런 의미가 없습니다. 핵심 조문에 대한 설명과 무엇을 준비해야 하는지, 어떤 의미가 있는지를 알려주어야 추후 실무에서 그에 대한 대응을 하게 됩니다. 


저자, 출판사, 수험생...그리고 국가기술 자격증이라는 신뢰도 부분을 가지고 한권으로 책을 만들자니 여러가지 부담감도 있군요...그래도 기다려주고 응원해주고 , 피드백 주시는 분들이 있어 힘이 되고,  더 도움이 되도록해야겠구나라는 생각을 합니다.


모쪼록 올한해에도 여러가지 보안 이슈들이 나올 것으로 예상이 됩니다. 또한, 그 사후조치 요구사항도 거세질 것으로 판단이 됩니다. 정보화 시대를 넘어 이제는 정보보안의 시대입니다. 보안은 투자입니다.그 중심에 사람이 있습니다.단순히 솔루션만 도입한다고 되는 것은 아니겠지요.   이익을 창출하는 것도 중요하지만 그 이익을 지키는 것 또한 중요합니다. 독자여러분들의 따뜻한 성원과 많은 격려, 그리고 피드백 주시면 최대한 수렴하여 더 나은 교재를 만들도록 귀를 열고 기다리겠습니다. 부디 합격의 소식이 들리길 바라겠습니다.


정보보안기사 산업기사 한권으로 끝내기 저자    전주현 올림




신고
Posted by 엔시스

                  보안문화 정착을 위한 국가, 기업, 개인의 대응방안

 

                                                                                                            

                                                                                                          전주현(경성대학교 컴공과 외래교수)

                                                                                                             (ISMS/PIMS/PIPL인증심사원/PIA)

                                                                                                                                  (보안인닷컴 대표)

 







2014년도 1월 카드 3사 개인정보유출로 올해 보안이 최대 화두로 떠 올랐다. 금융개인정보가 유출되었기 때문에 언제든지 자신의 통장에서 돈이 빠져 나갈수 있다는 불안감 때문에 국민들이 관심을 가지게 된 것이다. 비단 이는 개인에 국한되는 이야기가 아니다. 사이버 위협은 국가와 국가의 사이버전으로 발전하고 있다.

 

군사전문 매체인 디펜스뉴스가 최근 미정부와 의회, 방위산업체 내 국방 전문가 352명을 대상으로 처음 실시한 ‘미국의 위협인식’ 설문조사에서 미국과 그 국익에 가장 심각한 위협으로는 전체 응답자의 45.1%가 사이버전을 꼽았다. 이어 테러(26.3%), 중국(14.3%), 이란(7.9%), 기후변화(5.8%), 북한(0.7%) 순으로 나타났다. 미국은 위협은 사이버전이 북한보다더 큰 위협으로 인식하고 있다.

 

특히 세계 유일의 분단 국가인 대한민국은 사이버전과 위협에 대응해야 한다. 이에 국가, 기업, 개인의 3가지 측면에서 대응방안을 제시해 보고자 한다.

 

첫째, 국가는 사이버 안보 강화를 위한 최정예 인력양성에 힘써야 한다. 군 사이버 사령부가 2010년1월1일 창설이 되었으나 현재 200여명에 불과하여 아직도 갈길이 멀다. 미국의 사이버전 인력 규모는 8만여 명이며 전문 핵심 인력은 900여 명으로 알려졌다. 올해 사이버방호부대를 창설한 일본의 사이버전 인력 규모는 90여 명이다. 특히 북한은 최근 사이버전 인력을 2배가량 늘여 6000명으로 정찰총국 아래 해커부대를 운영하고 있으며 이 부대에는 전문 해커만 1200여 명이 활동하고 있으며 이 가운데 상당수는 중국 등 제3국에 국외거점을 구축해 비밀리에 사이버전을 수행 중이라는 관측이다.[각주:1]

 

둘째, 기업은 보안문화 정착에 심혈을 기울여야 한다. 작년 3.20 사이버대란을 기억하고 있을 것이다. 금융시스템과 업무용PC, 그리고 일부 방송시스템에 장애를 일으킨 사건이다. 해커조직의 실체가 북한 정찰총국으로 드러나 사실상 충격과 불안을 가져오게 하였다. 어쩌면 사이버전에 한걸음 더 다가온 경험을 한 것이다. 특히 국가기간 시설망이나 금융기관은 그 피해가 상당하기 때문에 기업과 기관내 보안교육이나 인식강화에 더 노력을 기울여야 한다. 특히 경영진이나 의사결정자의 보안을 바라보는 시각을 전환해야 한다. 보안을 투자가 아닌 비용으로 인식하는 한 조직내 보안문화 정착은 요원하기만하다. 피해로 인한 사회적 비용이 더 큰만큼 보안에 대한 투자는 경영자가 살펴봐야할 필수 덕목이 되었다.

 

셋째, 개인은 똑똑한 정보소비자가 되어야 한다. 발제자께서 말씀하셨듯이 1대9대90의 법칙처럼 잘못된 정보를 가지고 반복된 인지와 학습을 통하여 여론을 조작하고 계층간 분열을 심화 시킬 수 있다. 특히 스마트폰의 보급과 SNS 영향으로 빠른 전파력을 가져 올 수 있어 더 위험하다. 사이버상에 난무하는정보가운데 올바른 정보 습득이 중요하다.

 

분단된 나라에서 물리적인 충돌보다는 사이버상에 여러 가지 위협을 통하여 또 다른 전쟁이 다가올 가능성이 있다. 대부분 국가정책은 인력 양성에만 그치고 사후관리가 소홀하여 반복된 예산만 낭비되는 경우가 많았다. 최정예 인력을 양성하였다면 사이버전에 지속적이고 안정적으로 임할 수 있도록 처우와 보상체계가 뒤따라 주어야 한다. 앞으로 더 나아질 것이라 예상된다. 기업은 일정비율 보안전문가를 고용해야 한다. 또한, 기업이 보안분야 일자리 창출을 만들어야 한다. 필자는 1인 1기업 보안전문가 양성을 주장한바도 있다. 보안업체가 모두 수도권 중심이고 영세하다보니 악순환이 반복된다. 특히 부산지역만 하더라도 보안관련 업체는 찾아 보기 힘들정도로 열악한 수준이다. 최근 개인정보 유출 피해로 인하여 법으로 규제강화를 하고는 있지만 중소기업이 대부분인 현실에는 법 적용이 쉽지 않다.

 

사이버의 위협으로부터 안전한 국가와 건강한 기업의 보안 문화 정착을 위해서는 국가, 기업, 개인 모두가 노력해야 한다. 사이버 위협으로 이젠 더 이상 반복적인 소 잃고 외양간 고치는 우(愚)를 범해서는 안된다. 감사합니다. 


* 본 포스팅은 [가람뫼미래포럼]에 발제한 내용임을 밝힙니다.



  1. 아시아투데이 2014.07.07 [본문으로]
신고
Posted by 엔시스

 

사회복지시설 개인정보보호 가이드라인

 

글: 전주현

(경성대 컴공과 외래교수)

(ISMS/PIMS/PIPL 인증심사원)

 

 

개인정보보호법이 제정된지 3년이라는 시간이 지났다. 개인정보보호인식의 필요성은 어느정도 공감대를 형성한듯 하다. 그러나 아직도 현장에는 실무 적용에 있어 미흡한 부분이 있다. 여러기관을 다니면서 개인정보에 대한 교육도 하고 자문도 하다보니 다양한 분야에 개인정보보호를 연구하게 되었다. 그중에서도 저소득계층이나 사회복지를 위하여 애쓰시는 분들을 위하여 개인정보처리 취급자 입장에서 쉽게 가이드 해 보고자 한다. 아래 사항만 숙지해도 개인정보보호 최소한의 준수해야 할 업무는 이루어지리라 생각한다.




                                            <source: http://bit.ly/1yFVBUJ >



 

1. 개인정보의 범위

 

개인정보라 함은 살아있는 개인에 관한 정보로 다른 정보와 결합하여 용이하게 누구인지를 식별할 수 있으면 개인정보라 보고 있다. 사망자에 대한 정보와 법인에 대한 정보는 개인정보가 아니다. 개인정보 취급자가 가장 궁금해 하는 것이 바로 ‘개인정보의 범위’ 이다. 어디까지 개인정보로 규정할 것인지를 잘 모르기 때문이다. 법 조문을 읽는다 해도 쉽게 이해가 되지 않기 때문이다.

 


 

이름과 이메일이 결합되면 현재 유권해석상 개인정보로 보지 않는다. 이유는 이메일만가지고 개인을 특정할 수 없고, 이름도 동명이인이 있을수 있기 때문이다. 두 개 결합한다고 해도 마찬가지이다.

 


2. 개인정보 동의시 필수 고지 사항

 


개인정보보호법 제15조 2항을 보면 다음과 같이 명시하고 있다. ② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.

 

 

1. 개인정보의 수집·이용 목적

2. 수집하려는 개인정보의 항목

3. 개인정보의 보유 및 이용 기간

4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용

※ 법 제15조 2항을 위반할 경우 5000만원 이하의 과태료를 부과한다.

 

 

개인정보 수집의 첫단계이므로 ‘개인정보 활용동의서’를 받으면서 위 4가지 사항만 지키더라도 개인정보보호 의무준수사항에 절반은 지켰다고 본다. 업무에 적용시 꼭 기억하고 실천해야 한다. 현장을 둘러보면 위 4가지 사항은 지키지 않는 경우를 다수 보았다. 사회복지 시설을 이용하는 이용자들의 개인정보를 수집시 준수했는지를 다시한번 상기하면서 점검해 보자.

 

 

3. 개인정보 위탁과 3자 제공

 

개인정보 업무를 처리하다보면 이용측면에서 위탁과 3자제공을 하게 된다. 물론 개인정보 취급자가 업무에 개인정보를 활용하는 것은 기본 사항이다. 핵심은 위탁과 3자 제공시에 개인정보 유출 사고로 자주 발생한다는 것이다. 즉, 우리 사회복지시설에서는 법적 의무준수상을 잘 지켰지만 개인정보 파일이 다른 곳으로 이동되거나 다른 곳에서 조회,열람 하면서 유출 되었을때 누구 책임인지가 중요한 관건이 된다. 그럼 우선 위탁과 3자제공의 차이점부터 살펴보자.

 


 

※ 동의 없는 개인정보 3자제공시 5000만원 이하의 과태료를 부과한다.

 

사회복지시설에서 위탁과 3자 제공시에 업무상 유의점은 다음과 같다.

 

① 3자 제공시에는 제공받는자, 이용목적, 이용항목,보유기간, 거부시 불이익을 고지한다.

② 표준 위탁계약서등을 이용하여 반드시 문서로 처리한다.(책임소재 결정 중요근거)

③ 개인정보 위탁,3자제공 업무시 공문 또는 증적자료를 남긴다.(구두상으로 처리금지)

④ 위탁과 3자제공시에는 반드시 개인정보처리방침에 공개를 해야 한다.

 

4. 개인정보파기

 

개인정보보호법에 개인정보 파기 시점은 목적달성시 즉시파기 한다고 명시하고 있다. 여기서 목적달성시는 법적 근거가 없는 경우, 개인정보 수집시 목적이 달성되었을때 즉시 파기하는 것을 의미한다. 법에 근거한 보관 기간이 있을 경우, 그 기간이 만료하였을때 즉시 파기해야 한다. 파기 할때에는 파기 관리대장에 기록하여 관리를 해야 한다.

 



 

5. 개인정보처리 방침

 

개인정보처리방침은 개인정보를 처리자 입장에서 어떻게 관리하고 있는가를 보여주는 얼굴이라고 보면 된다. 주로 개인정보처리자 홈페이지를 이용한다. 홈페이지 제일 하단에 보면 볼드체로 “개인정보처리방침” 혹은 “개인정보취급방침”이라고 명시하고 있다. 전자는 개인정보보호법상, 후자는 정보통신망법상 적용하는 용어지만 구분에 대한 큰 의미를 두지는 않는 편이다. 망법에서는 개인정보취급방침을 표시하게끔 명시는 하고 있다. 개인정보처리방침에 반드시 명시해야 할 조항은 다음과 같다.

 



★ 개인정보처리방침 필수사항 ★

 

① 개인정보의 처리 목적

② 개인정보의 처리 및 보유 기간

③ 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다)

④ 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다)

⑤ 정보주체의 권리·의무 및 그 행사방법에 관한 사항

처리하는 개인정보의 항목

⑥ 그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항

개인정보의 파기에 관한 사항

⑧ 개인정보 보호책임자에 관한 사항

⑨ 개인정보 처리방침의 변경에 관한 사항

⑩ 개인정보의 안전성 확보조치에 관한 사항

 

 

⑥항에서 대통령령으로 정한 사항에는 영상정보처리기기(CCTV)등도 포함이 되어 있다. 개인정보처리방침에 주의사항은 위에 명시한 10가지를 반드시 수립하고 공개해야 한다. 또한 위탁과 3자제공이 있음에도 불구하고 현황을 몰라 개인정보처리방침에 반영하지 못하는 경우가 있다. 현행화 하는 것이 무엇보다 중요하다. 유출시에 현행화 되어 있지 않으면 모두 위반사항으로 보기 때문이다.

 

개인정보처리방침 수립시 인터넷에 있는 샘플을 찾아 처리자명만 수정하여 그대로 사용하는 경우가 다수인데 사회복지시설에 맞게 적용하여 수립하는 것이 바람직하다. 수립시 어려움이 있으면 공공기관의 경우 주요 광역도시나 정보통신망법 대상자의 경우 주요 포털등의 개인정보취급.처리방침을 참조하면 어느정도 도움이 된다.

 

 

6. 사회복지시설 개인정보 문서보관 체크리스트

 

개인정보보호법에 제정이 되면서 기존에 컴퓨터 파일로 처리되던 개인정보파일이 종이문서까지 확대 적용됨으로써 그 범위가 넓어졌다. 각종 신청서나 서식과 양식에 기록된 개인정보도 법에 적용을 받는다는 사실이다. 사회복지시설 개인정보 문서보관에서 체크해야 할 사항에 대하여 알아보도록 하자.

 

개인정보 문서가 분실․도난․유출․변조 또는 훼손되지 아니하도록 “내부 관리계획”을 수립하고, 안전성 확보에 필요한 기술적․물리적․관리적 보호조치를 하고 있는지 여부

개인정보가 포함된 종이문서를 잠금장치 있는 안전한 장소에 보관하고 있는지 여부

보유기간의 경과, 개인정보의 목적달성 등 개인정보가 불필요하게 되었을 때에 종이문서에 포함된 개인정보를 즉시 파기하고 있는지 여부

개인정보(출력물 포함)는 물리적으로 파쇄하거나 소각하는 등의 방법으로 해당 개인정보를 완전히 파기하고 있는지 여부

개인정보가 포함된 종이문서의 파기에 관한 사항을 기록․관리하고 있는지 여부

개인정보가 포함된 종이문서의 파기개인정보 보호책임자의 책임하에 수행하고 있는지 여부

개인정보 보호책임자가 개인정보가 포함된 종이문서의 파기 결과를 확인하고 있는지 여부

⑧ 개인정보가 포함된 종이문서의 파기를 외부업체에 위탁하여 처리하는 경우, 법적 필수기재사항이 포함된 문서에 의하고 있는지 여부

파기 위탁시 위탁하는 업무의 내용 및 수탁자인터넷 홈페이지에 게재하는 등 공개하고 있는지 여부

⑩ 개인정보가 포함된 종이문서는 세단기등을 이용하여 잘 파기 하는지 여부

<참조: 금융감독원 개인정보보호TF,‘13. 8. 2.>

 

지금까지 사회복지시설에서 업무를 하면서 가장 기본적으로 알아야할 개인정보 업무처리에 대하여 간략하게나마 가이드형태로 알아 보았다. 이는 꼭 사회복지시설에만 해당되는 사항이라고 보지는 않는다. 일반적인 기업과 기관에서 모두 적용되는 사항이며 반드시 필수적으로 지켜야 하는 사항을 중점적으로 쉽게 적어 보았다.

 

사실, 한정된 지면에 개인정보보호에 대한 모든 것을 가이드하기에는 한계가 있다. 추가적인 내용이나 보충적인 내용은 안전행정부에서 ‘개인정보보호 전문강사단’ 운영하고 있다. 교육을 통하여 충분히 숙지하고 궁금한 점은 교육시 질의를 통하여 해소 하였으면 한다.

 


개인정보 유출이 반복적으로 일어남에 따라 각종 규제는 강화 될 것으로 생각되며, 이는 소극적인 대응방안에서 적극적인 대응으로 업무방식도 바뀌어야 한다. 개인정보 유출은 한번 일어나면 대량으로 유출된다. 이 상황에서 정보통신망법에서는 ‘14.11.29일 법정손해배상제도가 시행이 된다. 누구든지 개인정보유출로 인해 정신적 피해손해를 입었다고 생각하면 300만원 이하의 손해배상을 청구 할 수 있도록 하는 조항이다.

 

정부에서는 법정손해배상제도를 개인정보보호법까지 확대 시행한다는 것을 이미 발표하였다. 이제는 소극적인 대응으로 여러 가지 개인정보 분쟁에 휘말릴 경우 업무외적인 시간과 비용을 낭비하게 된다. 보다 철저히 준비하고 숙지하여 사회복지시설에서 제공하는 서비스의 신뢰도를 더욱 높일 수 있도록 해야 할 시점이다. 


* 본 고는 사회복지협의회 잡지에 기고된 글임을 밝힙니다. 아주 쉽게 쓰려고 노력하였습니다.  또한 지면의 한계로 인하여 가장 기초적인 내용만 언급하였습니다. 자세한 내용들은 블로그내 검색이나 개인정보보호 길라잡이 (http://cafe.naver.com/privacyguide) 를 참고 하시면 더 많은 개인정보보호에 대한 정보를 접하실 수 있습니다. 


 

신고
Posted by 엔시스





인터넷은 생활에 없어서는 안될 필수 요소가 되었다인터넷 편리함 뒤에는 역기능도 점점 증가하고 있지만 아직도 사용자들 보안수준은 낮기만 하다최근 금융감독원에서 발표한 보도자료에 따르면 ‘14년도 상반기중 피싱사기금액은 886억 원(1만 3천건)으로 전년 동기대비 87.7%(건수 34%)가 증가하였다.

 

또한최근 사기수법이 더욱 지능화 되어 피해가 확대되는 가운데 기술범죄에 대한 예방 대책이 강화 되면서 전통방식으로 회귀하고 있다고 발표하였다.

 

피해사례가 증가한다는 것은 아직도 피싱,파밍,스미싱등 각종 금융사기 기법이 진화 발전하고 있는데 일반 국민은 인지하지 못하고 있다는 반증이기도 하다따라서 이번 호에서는 금융사기에 대표적인 피싱,파밍스미싱에 대하여 알아보고 대응 방안도 살펴보도록 하자.

 

1. 피싱(Phishing)

 

피싱이란 개인정보(Private data)와 낚는다(Fishing)’의 합성어로전화·문자·메신저·가짜사이트 등 전기통신수단을 이용하여 피해자를 기망·공갈함으로써 이용자의 개인정보나 금융정보를 빼낸 후금품을 갈취하는 사기 수법을 말한다.

 

피싱 사기는 전화(보이스피싱뿐만 아니라 문자메신저인터넷 사이트 등 다양한 전기통신수단을 통해 이루어지고 있다.

 

피싱 사기를 당한 피해자는 피해구제절차를 통하여 은행 등에 지급정지를 요청하고 피해금을 환급받을 수 있다.

 

피싱에도 여러 가지 기법이 있다.  


구분

내용 

 보이스피싱

유선전화 발신번호를 수사기관 등으로 조작하여 해당기관을 사칭하면서 

자금을 편취하거나 자녀납치, 사고빙자 등 이용자 환경의 약점을 노려 

자금을 편위하는 수법 

 문자피싱

스마트폰 환경에서 신뢰도가 높은 공공기관 및 금융회사의 전화번호를 

도용하면서 정상 홈페이지와 유사한 URL로 접속토록 유도하여 개인정보나 

금융정보를 편위하는 수법 

 메신저피싱

SNS, 모바일(또는 PC) 기반 메신저 등 신규인터넷 서비스의 친구추가 

기능을 악용하여 친구나 지인의 계정으로 접속한 후 금전 차용 등을 

요구 하는 수법 

 피싱사이트

불특정 다수에게 문자, 이메일 등을 보내 정상 홈페이지와 유사한 

가짜 홈페이지로 접속을 유도하여 개인정보 및 금융정보를 편취하는 수법 

▲ 출처 방송통신위원회전기통신망에서의 이용자 피해 예방을 위한 전자금융사기(피싱방지 대책, 2012.10. 22면 참조

 

일반적으로 피싱이라고 하면 제 마지막에 언급한 피싱사이트를 말한다고 보면 된다이메링을 보낼때 가짜 홈페이지 링크 URL을 함께 첨부하여 가짜 홈페이지로 접속 하게 유도하는 금융사기 기법을 말한다.


▲ 정상사이트 (), 가짜 사이트 ()

 

좌측 홈페이지와 우측 홈페이지 구분되는 것을 혹시 알수 있는가우측에 빨간색으로 표시한 부분이 정상사이트와 틀린 점이다무엇보다 피해를 당하지 않는 것이 가장 안전한 방법이지만 피해시에는 아래 절차를 통하여 구제 받을 수 있다.


지급정지 및 피해금 환급 신청


피싱사기로 인해 금전적인 피해가 발생한 피해자는 전기통신금융사기 피해 방지 및 피해금 환급에 관한 특별법 제 3조에 따라,


1. 신속히 경찰서나 금융회사 콜센터를 통해 지급정지 요청을 한 후

2. 해당 은행에 경찰이 발급한 사건사고 사실확인원을 제출하여 피해금 환급 신청을 하면된다.


※ 지금정지피해신고

경찰청 국번없이 112 / 해양경찰청 112

금융회사 콜센터


※ 피해상담 및 환급금 환급안내

금융감독원 국번없이 1332


2. 파밍 (Pharming)

 

파밍(Pharming)은 피싱(Phishing)과 조작(Farming)의 합성어로악성프로그램에 감염된 PC를 조작하여 정상 사이트에 접속하더라도 가짜 사이트로 접속을 유도하여 금융거래정보를 빼낸 후 금전적인 피해를 입히는 사기 수법을 말한다.

 

                                    ▲ 파밍 사기기법 구성도              출처: 경찰청

 

위 그림을 보면 조금 어렵게 보일수 있는데 쉽게 설명하면 다음과 같다예를들어 자신이 ABC.com 사이트에 접속하고자 하는데 악성코드에 감염이 되었다면 브라우저에 ABC.com 이라고 정상적으로 입력했지만 ABC.com 사이트와 동일한 가짜 사이트 abc.com 사이트로 접속하게 끔 하는 금융사기 기법을 말한다이렇게하여 개인정보등 각종 정보를 탈취하는 것이다.

 

파밍(Pharming)의 유형

 

파밍에도 여러 가지 유형이 있다대표적인 유형을 살펴 보기로 하자.


 파밍유형

사기 수법 사례 

 가짜 은행사이트

악성프로그램에 감염된 피해자PC가 가짜 은행사이트로 접속, 

보안승급이 필요하다고 하면서 보아카드번호 전체 입력 유도 

 팝업창

악성프로그램에 감염된 피해자PC가 가짜 은행사이트로 접속, 

'OTP 무료 이벤트'팝업창이 뜨면서 계좌번호 및 보안카드번호 입력 요구 

 가짜 쇼핑몰 결제창

인터넷 쇼핑몰에서 옷을 구매하면서 실시간 계좌이체 선택, 결제를 위해 

'인터넷뱅킹;을 누르는 순간 악성프로그램에 감염된 피해자 PC가 

피싱사이트로 유도, 보안카드번호 전체 및 계좌비밀번호 등 입력 

 이메일 첨부파일

신용카드 회사 명의로 된 이메일 명세서를 받고 첨부파일을 열람, 

악성프로그램에 감염됨에 따라 주민번호와 보안카드번호 전부 입력 

 가짜 대법원 사이트

악성프로그램에 감염된 피해자PC가 가짜 대법원사이트로 접속, 

ⅰ) 계좌번호·보안카드번호 입력 요구, ⅱ) 납부화면에서 대법원이 

사용하지 않는 방식인 계좌이체방식 사용, 또는 ⅱ) 가상계좌 이용 시 

대법원이 지정하지 않는 예금주의 가상계좌로 납부 요구 

→ 정상적인 대법원 가상계좌 예금주

▲ 출처 경찰청 보도자료, “‘파밍(Pharming)’등 신종금융사기 주의!”, 2013. 6. 참조

 

                 ▲ 파밍에 의해 유도된 피싱사이트       출처: 경찰청

 

정상적인 주소를 입력하였지만 가짜 사이트로 접속하여 금융거래정보 입력화면이 나타나는 전형적인 형태를 말한다과도한 개인정보를 요구시에는 직접 은행에 문의해 보는 것이 좋다.

 

지급정지 및 피해금 환급 신청


파밍 사기로 인해 금전적인 피해가 발생한 피해자는 전기통신금융사기 피해 방지 및 피해금 환급에 관한 특별법 제3조에 따라,


1. 신속히 경찰서나 금융회사 콜센터를 통해 지급정지 요청을 한 후 

2. 해당 은행에 경찰이 발급한 '사건사고 사실확인원'을 제출하여 피해금 환급 신청을 한다.


※ 지급정지 피해신고


경찰청 국번없이 112 / 해양경찰청 112

금융회사 콜센터


※ 피해상담 및 환급금 환급안내

금융감독원 국번없이 1332


3. 스미싱(Smishing)

 

문자메시지(SMS)와 피싱(Phishing)의 합성어로,‘무료쿠폰 제공’, ‘돌잔치 초대장’, ‘모바일청첩장’ 등을 내용으로 하는 문자메시지에 포함된 인터넷 주소를 클릭하면 악성프로그램이 스마트폰에 설치되어 피해자가 모르는 사이에 소액결제가 이루어지는 금융사기기법을 말한다최근에는 피해자 스마트폰에 저장된 주소록 연락처사진(주민등록증·보안카드 사본), 공인인증서개인정보 등까지 탈취하여 더 큰 금융범죄로 이어지고 있다.

 

▲ 최근 필자가 받은 스미싱 관련 문자

 

스미싱(Smishing) 주요 피해사례

 

1) 대출금리비교 앱(App)을 사칭하여 돈을 송금하도록 한 사례

 

피해자는 캐피탈을 사칭한 자로부터 스마트폰에 특정 앱(App)을 설치하면 본인의 신원 확인 및 대출이 가능하다는 내용의 전화를 받은 뒤 해당 프로그램을 설치하였고앱을 실행하자 여러 금융기관의 전화번호 목록이 확인되었으며피해자가 대출을 이용 중인 대부업체에 상환방법을 문의하고자 전화통화를 시도(앱상 통화연결기능)하였으나피해자가 설치한 앱은 통화연결시 자동으로 특정번호(사기범)에게 전화가 연결되었고 사기범이 알려준 상환계좌로 돈을 송금하여 피해를 입은 사례(미래창조과학부 등 보도자료, “·변종 전자금융사기 합동 경보 발령 !”, 2013. 8. 29. 참조).

 

2) 돌잔치 초대문자를 사칭하여 휴대폰에 입력된 개인정보를 유출한 사례

 

동료로부터 돌잔치에 초대한다는 내용이 담긴 문자메세지 한통을 받고 문자메세지에 링크된 주소를 무심코 눌렀는데본인도 모르게 전화번호부에 등록된 지인 전체에 돌잔치 초대문자가 발송된 사례(미래창조과학부 등 보도자료, “·변종 전자금융사기 합동 경보 발령 !”, 2013. 8. 29. 참조).

 

3) 모바일 메신저 계정을 도용해 지인들에게 돈을 송금해달라고 속여 금품을 가로챈 사례

 

동생으로부터 모바일 메신저를 통해 친구가 급하게 80만원을 보내달라고 한다송금해주면 내일 바로 입금하겠다는 메시지를 받고 동생에게 전화를 걸었으나이미 해당 스마트폰에는 악성프로그램이 설치되어 전화 수신이 차단된 상태였고 동생과 통화가 되지 않아 걱정이 됐던 피해자는 돈을 송금하여 사기피해를 입은 사례

 

휴대폰 소액결제 피해 구제 방법

 

※ 스미싱으로 의심되는 문자를 받았다면?

 

경찰청 사이버테러대응센터(www.ctrc.go.kr / 182)로 신고하고해당 이동통신사의 고객센터(114)에 소액결제서비스 차단을 신청하여 본인도 모르게 소액결제가 되지 않도록 해야 합니다.

※ 소액결제 피해가 발생했다면?

 

1. 피해사실 신고하기


 경찰서에서 발급받은 사건사고 사실확인원을 이동통신사게임사결제대행사 등 관련 사업자에게 제출하고 피해사실을 신고해야 한다.

 

2. 피해금 환불받기


 해당 결제대행사의 고객센터미래창조과학부 CS센터(www.epeople.go.kr / 1335) 또는 휴대전화/ARS결제 중재센터(www.spayment.org / 1644-2367) 등에 결제취소·환불 등을 적극적으로 요구해야 한다.

 

3. 악성파일 삭제하기


 스마트폰 내 다운로드’ 앱을 실행하여

① 문자를 클릭한 시점 이후에 확장자명이 ‘apk’인 파일 저장여부를 확인하고,

② 해당 ‘apk’파일을 삭제합니다.

 

4.악성파일이 삭제되지 않는 경우에는

① 휴대전화 서비스센터에 방문하거나 ② 스마트폰을 초기화해야 한다..

<출처 사이버경찰청정보마당경찰자료실신종금융범죄스미싱 참조>

 

무엇보다 스마트폰 사용자가 증가하고 있어 대응책 마련이 필요하다이에 금융감독원에서 소비자 유의사항을 발표 하였다살펴보면 아래와 같다.

 

□ 명절을 전후하여 대출사기나 할인 이벤트 또는 택배 등을 사칭한 보이스피싱이 기승을 부릴 것으로 예상되므로 각별한 주의가 요망됨

 

개인정보유출, 택배 확인범죄사건 연루 등의 명목으로 비밀번호 등 금융거래정보를 묻는 경우 절대 응하지 말 것


보안강화 등을 명목으로 인터넷 또는 스마트폰 화면상 보안카드 정보 일체의 입력을 요구 하는 경우 피싱사이트이니 유의할 것

 

대출이 가능하다면서 대출받기 전에 먼저 수수료 등의 명목으로 금전을 요구하는 경우 100% 대출사기이니 절대 응하지 말 것


통장이나 금카드를 다른 사람에게 양도하는 것은 범죄행위이며 형사처벌 또는 민사상 손해배상책임을 질 수 있음

 

금감원 보도자료를(2014.09.05, “보이스피싱 피해 다시 증가”) 보면서 안타까움을 금할길이 없다얼마전 TV에서 금융사기를 당한 한 아주머니가 평생 모아온 돈 5000만원 이상을 하루 아침에 빼앗기고 스스로 자책하는 모습을 보면서 혹시나 필자 주위의 이웃들에게 같은 상황이 일어나지 않을까 우려한 적이 있었다.

 

믿고 사는 건정하고 건강한 사회가 되어야 하는데개인정보 유출등으로 이제는 누구도 믿을수 없는 믿지 못하는 사회가 되어서는 안된다내 정보는 내가 지켜야 하고 금융사기로부터 안전하려면 소비자가 더욱 똑똑해지고 보안에 관심을 기울일 수밖에 없다이 글을 읽는 여러분들은 모두 금융사기로부터 안전한 대처를 하길 바란다.


* 본포스팅은 부산시 블로그 "쿨부산"에 기고한 내용임을 알려드립니다.


경성대학교 컴공과 외래교수

11.12.13.14년 안전행정부지정 개인정보보호 전문강사

ISMS/PIMS/PIPL 인증심사원

 




신고
Posted by 엔시스

* 2014년 , 지금까지 책 읽은 도서 목록입니다. 


자세한 서평이나 후기 "독서실천연구모임"에 일부 올려 놓았습니다...책도 익숙해지니 속도와 습득력도 빨라지는군요.. 올해 연말까지 업데이트 하겠습니다..






1. 40대 다시한번 공부에 미쳐라 (5/8) ***
2. 당신의 이름을 마케팅하라(5/9) **
3. 소송에서 이기는 변호사 100% 활용법(5/13) ***
4. 교육출판 마케팅(5/22) **
5. 진짜 나로살때 행복하다(5/23). ****
6. 마흔, 고전에게 인생을 묻다(5/29) ***
7. 오프라인 비지니스 혁명(6/1) **
8. 관찰의 기술(6/11) ***
9. 이건희 법칙(6/14) ***
10. 48분 기적의 독서법(6/15) **
11. 베껴쓰기로 연습하는 글쓰기 책(6/17) **
12. 프랭클린 자서전(6/24) ****
13. 사업하려면 30대에 저질러라(7/2) **
14. 살아남는 회사(7/6) **
15. 자기경영(7/6) ***
16. 현장경영(7/7) ***
17. 빅터 프랭클린 죽음의 수용소에서(7/7) ****
18. 삼성 임원은 어떻게 일하는가?(7/7) ***
19. 이건희 27법칙 (6/15) ***
20. 소유와 이별 (7/11) ***
21. 가치있는 삶(7/13) ****
22. 관계심리학 (7/13) ***
23. 1%에 사로잡힌 나라 (7/13) **
24. 긍정하면 마술이 시작된다.(7/14) **
25. 나도 번역한번 해 볼까(7/14) **
26. 은퇴후 40년 어떻게 살것인가(7/17) ***
27. 내인생이다.(7/19) **
28. 성공하는 사람들의 독서습관(7/21) ***
29. 살아 있는 뜨거움 (7/23) ****
30. 빨리가려면 혼자가고 멀리가려면 함께가라(7/24) ***
31. 1인 기업이 갑이다.(7/24) ****
32. 대학에서는 무엇을 배울것인가?(7/26) ***
33. 성공 BIZ 컨설팅 노트 (7/26) ***
34. 지금 마흔이라면 군주론(7/26) ****
35. 창업비밀과외 (8/2) ***
36. 더 위너(8/2) ***
37. 무엇이 당신을 일하게 만드는가?(8/5) ****
38. 나는 정말 나를 알고 있는가(8/8) ****
39. 참 쉬운세금(8/10) ***
40. 사물인터넷(8/13) ****
41. 끌어당김(8/15) ***
42. 대학권장도서 베스트10 논어 (8/17) ***
43. 평범한 그들은 어떻게 탁월해졌을까?(8/18) ***
44. 남자의 물건(8/28) **
45. 코끼리여 사슬을 끊어라(8/29) ***
46. 검사의 락 (8/30) ****
47. 검이 짧으면 일보전진하라(9/4) ***
48. 데일리카네기 인간관계론(9/8) ****
49. 이미친 그리움 (9/17) ****
50. 삶을 빛낸 소중한 이야기(10/1) ***
51. 고개숙인 대한민국(10/10) *****
52. 기록(10/11) ****
53. 블로그 포스팅 이기는 전략(10/14) ***
54. 파는 것이 인간이다. (읽고 있는중)


1주에 한권 목표로 하여 12월까지 48권 독서가 목표였습니다. 이미 목표는 달성하였고, 더 많이 읽어 볼 예정입니다...기록은 습관입니다. 기록하지 않는 것은 어떤 것도 증명할 수 없어 개인적인 미미한 것이라고 블로그에 기록해 봅니다.  



신고
Posted by 엔시스





 

인터넷이 생활 속에 자리 잡으면서 수 많은 웹사이트에 가입을 위한 아이디와 패스워드를 생성한다.

사이트에서 사용자 식별을 위한 가장 많이 사용하는 쉬운 방법이기도 하기 때문이다. 그런데 여러 웹사이트에 가입을 하다보니 대부분 같은 아이디와 패스워드를 사용하게 되고, 한 곳에서 아이디와 패스워드가 유출되면 다른 곳의 로그인도 쉽게 할 수 있게 된다. 이에 이번 호에서는 안전한 패스워드(비밀번호)를 어떻게 관리하면 되는지 정리 해 보고자 한다.

 

안일한 패스워드 관리, 누구든지 해킹 당할 수 있어

 

누구나 한 개 이상의 아이디와 패스워드 관리는 하게 된다. 처음 생성시 아이디는 어떻게 만들까?” “ 패스워드는 무얼하지? ” 로 한번쯤 고민한 적이 있을 것이다. 웹사이트 가입할 때 마다 다르게 생성하기도 어렵고 , 너무 길거나 복잡하게 하면 기억하기 어려워 자주 방문하지 않는 웹사이트 경우 늘 비밀번호 찾기 버튼을 눌러 재발급 경험이 있을 것이다. 이렇다보니 아이디와 비밀번호를 웹사이트 가입할 때마다 동일하게 사용하는 것이 현실이다. 주로 많이 사용하는 포털이나 인터넷뱅킹 대부분 동일한 아이디와 패스워드를 사용하는 경우가 많다. 패스워드가 한 곳에서 유출이 되면 다른 곳에도 안전하지 못하다.

 

악의적인 목적을 가진 공격자는 취약한 패스워드를 이용하여 아주 손쉽게 계정을 탈취한다. 이러한 계정 탈취는 또 다른 피해로 이어진다. 금융감독원 보도자료에 따르면 (13.12.5) 무역대금 금융사기가 계정 탈취로 인하여 증가하고 있다는 것이다. 다음은 피해사례를 정리한 것이다. 


※피해사례

경남에서 화훼를 수입판매하는 F사는 네덜란드 소재 거래처 (G)와 2년간 거래관계를 유지하던 최근 이메일을 통해 영국소재 은행에 신규로 개설한 계좌에 물품대금을 송금 하도록 요청을 받음.

 

F사 해외 영업담당직원은 G사와 재차 이메일을 통해 동 사실을 확인한 후 신규계좌로 송금해도 괜찮다는 답변을 받았으며 이후 두차례에 걸쳐 EUR 35,000를 송금함

 

약 1개월후 F사는 G사에서 수입대금을 입금 받지 못했다는 연락을 받아 사실관계를 확인한 결과이메일 해킹에 의한 무역대금 사기 피해를 인지 하게 되었다.

 


위 사례에서 보는바와 같이 해외에 거래처가 있기 때문에 유선보다는 이메일을 통하여 주고 받는 것이 편리 하기 때문에 유선확인 없이 이메일로만 확인된 것으로 파악이 된다. 누군가 에 의해 계정이 탈취되고 패스워드가 노출 되었다는 이야기이다. 메일을 통하여 거래처를 속인 것이다. 만약 여러분의 계정이 탈취되어 알고 있는 지인에게 본인임을 사칭하여 이메일을 주고 받는다면 또 다른 피해가 일어나는 것은 자명한 것이다. 생각만 해도 오싹하다.

 

패스워드 관리는 사용자가 스스로 관리해야.

 

최근 구글 이메일에 다음과 같은 안내 메일을 받았다. 내용인 즉 , 누군가 필자의 구글 계정에 로그인 시도를 했다는 안내 메시지이다. 보안에 관련된 글이나 인터뷰를 자주 하다보니 의도적으로 테스트 삼아 시도하는 공격자가 있다. 그래서 더 패스워드 관리에 신경을 쓸 수 밖에 없다.



혹시나 하는 마음에 메일 확인 즉시 바로 패스워드를 바로 변경하였다. 이렇게 안내 메일이라도 보내주면 다행이지만 대부분 포털이나 쇼핑몰은 그렇지 않다. 사용자가 직접 패스워드 관리를 해야 하는 것이다. 이러한 원리는 최근 금융권에서도 많이 활용하고 있다. 자신이 주로 이용하는 IP주소와 지정된 PC가 아니면 이상 징후로 탐지 하는 것이다. 이상 징후가 탐지되면 정상적인 금융거래를 할 수 없다. 정상적인 거래를 위해서는 본인임을 입증해야 한다. 구글도 구글 서비스에 접속하고 있는 IP주소를 파악하고 있다가 그 범위를 벗어나게 되면 경고 메일을 보내주고 있는 것이다.

 

당신의 패스워드 얼마나 안전한가?

 

여러분의 패스워드는 얼마나 안전한지 점검하는 사이트가 있다. 패스워드를 어떻게 구성할 것인지를 적으면 얼마나 안전한지를 보여준다. 쉽게 말하면 패스워드가 풀리는데 얼마나 시간이 걸리는지를 알려주는 사이트이다.


패스워드 점검 사이트(http://howsecureismypassword.net/)


간단하게 몇 가지만 테스트 해 본 결과를 정리해 보자. 다음은 패스워드 해킹하는데 걸리는 시간을 나타낸 것이다.

 

1) 12345678 : 0.02(숫자)

2) abcdefg : 2(알파벳)

3) 3456cdef : 11(숫자 + 알파벳)

4) 3456*cde : 3시간 (숫자 + 특수문자 + 알파벳) - 8자리

5) 3456!@#cde : 344(숫자 + 특수문자 + 알파벳) - 10자리

 

물론 위 사이트가 얼마나 신뢰성이 있는지는 잘 모른다. 하지만 패스워드 관리를 함에 있어 자신의 패스워드를 어떻게 구성을 하면 안전하게 할 수 있는지를 가늠해 볼 수는 있다.

 

단 한 가지 주의 할 점은 위 사이트 메인 박스란에도 적혀 있지만 자신이 실제 사용하는 패스워드를 적어서 탈취 당하는 일이 없도록 주의하라는 문구가 적혀 있다. 이것은 패스워드 안전성을 측정해 준다고 하지만 유사한 사이트들이 많이 있어 패스워드를 탈취 할 수도 있다는 위험성을 알리는 것이다. 그러니 과거 사용했던 패스워드나 어떤 형태로 구성하면 안전한가 정도에서 검토해야지 실제 사용하는 패스워드를 적지 말도록 해야 한다.

 

패스워드 생성시 유의점과 안전한 관리를 위한 팁

 

그동안 필자도 패스워드에 대한 연구를 많이 하였고, 실제 패스워드 유출로 피해를 입는 사례도 많이 보았다. 주로 알고 있는 내용이지만 초보자 관점에서 다시 한번 상기하는 의미에서 조명해 보고자 한다. 패스워드 관리에 무관심 했던 사용자는 꼭 기억했다가 실행에 옮기도록 해 보자.

 

패스워드 생성시 유의점을 살펴 보면 다음과 같다. 잘 살펴보고 패스워드 생성 시에 활용토록 하자.

 

1) 패스워드 길이는 8자리 이상으로 한다.

 

-> 패스워드 길이가 짧은 것은 아무래도 긴 패스워드보다 풀릴 확률이 높다. 따라서 보통 8자리 이상으로 권장하고 있으니 규정에 따르도록 하자. 최근에는 컴퓨터의 기술 발전과 능력 향상으로 10자리 이상을 요구하기도 한다. 8자리도 안전하지 못하다는 것이다.

 

2) 주민번호,전화번호,생일 등 개인정보를 포함하는 것은 피해야 한다.

 

-> 패스워드에 자신의 주민번호나 집 전화번호,휴대폰 번호, 생일 등을 이용하는 경우가 있는데 굉장히 위험한 방법이다. 개인정보가 포함되어 있어 유출시 또 다른 피해를 입을 수 있다. 혹시 지금 사용하고 있다면 당장 변경하길 권한다. 보안사고는 사전 예방이 최고이다.

 

3) 사전(辭典)에 있는 단어나 문장,문구는 사용하지 말아야 한다.

 

-> 자신이 평소 좋아하는 단어나 문장을 이용하는 경우가 있다. 패스워드 크랙 공격 중에 사전 공격(Dictionary Attack)이라는 기법이 있다. 이는 사전에 있는 단어나 문장을 무작위로 대입시켜 패스워드를 유출하는 기법이다. 이 공격으로부터 자유롭지 못하기 때문에 사전에 있는 단어나 문장은 피하는 것이 좋다.

 

4) 숫자, 알파벳, 특수문자를 반드시 넣어서 구성한다.

 

-> 패스워드 구성의 이상적인 조합이 숫자, 알파벳, 특수문자 등을 조합하여 만드는 것이다. 그만큼 패스워드를 푸는데 시간이 오래 걸리기 때문이다. 대부분 웹사이트에서 요즘은 이 방법을 요구하고 있다. 이제는 패스워드도 복잡성을 요구하고 있는 것이다.

 

5) 각 사이트마다 다른 패스워드를 사용한다.

 

-> 누구나 알고는 있지만 사실 여러 사이트에 모든 패스워드를 다르게 하여 관리한다는 것이 쉽지만 않다. 그렇다 보니 동일한 아이디와 패스워드를 사용하게 된다. 이제는 다르게 생성하여 관리해 보면 어떨까? 다음과 같은 방법이 자주 언급되고 있으니 예시를 보고 여러분도 한번 응용해 보면 어떨까 싶다. 


※예시

가입하는 사이트 명 자신이 사용하는 패스워드

위와 같은 원칙을 가지고 있다면 다음과 같이 다양하게 활용 가능하고 각 사이트마다 다른 패스워드를 관리 할 수 있다.


1) NAVER +자신의패스워드

2) WOORIBANK +자신의 패스워드

3) 네이버 +자신의 패스워드

4) 우리은행 +자신의 패스워드

 

6) 패스워드는 변경은 주기적으로 한다.


-> 안전한 패스워드를 2-3개를 만들어 놓고 주기적으로 변경하는 방법도 좋다. 보통 6개월에 한 번씩은 변경 하도록 하자. 물론 6개월보다 더 앞당겨 변경하여도 무방하다. 일정 시간이 지난 후에 로그인 시 웹사이트에서 패스워드 변경 알림을 알려주고 있는 경우가 많은데 <다음에 변경>으로 로그인 하지 말고 바로 패스워드 변경하여 실천하는 것이 자신의 계정을 안전하게 관리하는 방법이다.

 

7) 영문자판에 한글로 타이핑하여 패스워드를 생성한다

 

-> 패스워드 관리에 너무 신경을 많이 쓰게 되어 머리 아픈 사용자에게 좋은 방법이다. 패스워드 생성 시에 영문자판에서 한글로 패스워드를 생성하는 것이다. 한글문자 배열이 영문으로 되었을 경우 무작위 배열이 되기 때문에 해킹으로부터 조금 더 안전하다. 필자도 패스워드 관리 문의가 오면 이 방법을 추천한다. 평소 자신이 좋아하는 한글 문구나 좌우명 등 다양한 형태로 구성해도 좋다.

 

8) 최신 백신의 엔진등을 이용하여 키보드 타이핑으로 인한 유출을 막는다.

 

-> 해킹 기술의 발달로 패스워드 규칙만 가지고 대응하기에는 한계가 있다. 만약 자신의 PC가 악성코드에 감염이 되어 키로그(키보드 자판시 그대로 정보 유출되는 해킹기법)로 인하여 자신이 타이핑한 것이 그대로 공격자에게 전달이 된다면 아무런 소용이 없다. 따라서, 악성코드에 감염이 되지 않도록 최신 백신을 설치하고 엔진을 업데이트 하여 실시간 감시토록 하는 것이 중요하다.

 

더 많은 관리 방법들이 있겠지만 간략하게 살펴 보았다. 보통 패스워드 관리 안내를 보면 일상적인 내용이지만 잘 실천하지 않는 것이 현실이다. 그것은 너무 복잡하거나 어렵게 만들면 관리에 효율성이 떨어지고 일일이 사람이 기억해야 하는 것이 불편하기 때문이다. 그럼에도 날로 발전하는 컴퓨터와 해킹 기술에 대응하기 위해서는 더 복잡하고 안전한 패스워드를 요구하게 된다.

 

온라인에서 본인임을 식별할 수 있는 가장 쉬운 방법으로 아이디와 패스워드가 널리 사용되는 만큼 패스워드 관리에 신중을 기할 필요가 있다. 어쩌면 보안이라는 것이 너무 멀리 있고 어렵게만 있는 것이 아니라 자신이 할 수 있는 가장 가까운 곳에서 직접 실천하는 것이 스스로를 지킬 수 있는 최선의 보안이 아닌가 생각해 보았다. 여러분들도 가장 쉽고 안전하게 관리 할 수 있는 패스워드 관리 방법이 있다면 서로 공유하여 함께 사용해 보는 것도 좋겠다. 보안은 실천이다. 패스워드 관리 소홀에 대한 책임은 고스란히 사용자에게 있다.

 

지금 당장 자신의 패스워드 관리가 허술하다면 본문을 참고하여 강력한 패스워드로 변경하길 권해본다. 다음 3회에는 개인정보처리단계별 의무 조치사항과 처벌에 대하여 자세히 잘 펴 보도록 하겠다.


*  본 포스팅은 부산시에서 운영하는 블로그 '쿨부산'에 기고된 내용임을 밝힙니다.


신고
Posted by 엔시스

 

201487일 개인정보보호법 개정에 따라 '주민번호수집 법정주의'가 시행이 되었다. 주민번호 수집을 법에 근거하지 않고는 수집할 수 없다는 것이 주요골자다. 한번 유출된 주민등록번호는 변경할 수 없는 단점이 있어 이를 보완하기 위한 수단으로 온라인에서 사용하는 아이핀(I-PIN)’과 오프라인까지 사용을 확대한 마이핀(My-PIN)'에 대하여 알아보고 발급 절차와 활용에 대하여 소개 하고자 한다.

 

카드3사 개인정보유출로 올해 보안 최대 화두 개인정보보호


1월 카드 3사 개인정보 유출로 인하여 보안의 최대 화두는 개인정보보호에 관심이 집중되고 있다. 그럼 이번 카드 금융정보 유출은 왜 유독 관심을 받을까? 그동안 개인정보유출은 없었던 것일까? 이유는 카드관련 금융정보 유출로 개인이 직접적인 피해를 입을 수 있기 때문이다. 일반적인 개인정보 유출로 2, 3차 피해가 생긴다고 하지만 개인들은 무관심 했다. 하지만 카드관련 개인정보는 쇼핑몰등에서 유출된 정보로 결재까지 이루어질 가능성이 제기되어 더 관심을 가진 것이다.

 


한국신용카드학회(대한상공회의소에서 개최한 춘계세미나)에서 김상봉 한성대학교 교수는 "카드 3사의 카드 재발급 비용 286억원, 사고수습 비용 173억원, 탈회 만회 비용 1649억원, 집단소송 패소 시 발생할 비용 1712억원, 영업정지에 따른 손실 비용 1072억원 등 추정 손실액이 총 48922000만원 달한다"고 말했다. (출처: 스페셜경제)

 

개인정보 유출시 수습하기 위한 사후 비용이 많이 든다. 위 카드 3사의 경우 약5000억 정도 비용이 들어갈 것으로 예측하였다. 이제는 개인정보 유출시 수습도 중요하지만 사전예방이 더 중요하다는 새로운 패러다임 인식의 전환이 필요한 때이다.

 

주민번호수집 법정주의와 ‘My-pin' 은 무엇인가?

 

개인정보보호법은 2011930일 제정이 되었다. 제정전 공공기관은 공공기관에 관한 개인정보보호법률과 민간은 정보통신망 이용촉진 및 정보보호등에 관한 법률(이하 정보통신망법)’에 적용이 되었다. 개인정보보호법 제정으로 공공기관에 관한 개인정보보호법률은 폐지가 되고, ‘정보통신망법의 준용사업자가 망법이 아닌 개인정보보호법에 적용을 받음으로써 공공과 민간을 모두 포함하는 개인정보보호법이 제정이 된 것이다. 정부에서는 기존 50만 사업자에서 350만 사업자까지 확대 적용된다고 발표하였다.

 

온라인에서 영리성을 추구하는 포털이나 온라인 쇼핑몰등은 정보통신망법에 우선 적용을 받는다. 법 제정이후 2013.08월에 개인정보보호법 개정이 이루어졌다. 주요내용은 다음과 같다. 정보주체의 동의가 아닌 법에 의한 주민번호 수집 이용 주민번호 유출시 5억원이하의 과징금 책임 있는자에 CEO, 임원 포함 명확화 등이다. 법개정이 공포되고 1년후 시행이 된다. 201487일 법적 효력이 발생된다. 개정된 이유는 개인정보보호법 제정이후에 올해 카드3사 개인금융정보 유출과 같은 반복적인 이슈가 생겼기 때문이다. 정부는 부담이 될 수밖에 없다. 여론이 거세지자 법을 개정하여 조금 더 강화하게 된 것이다. 안전행정부에서는 법 개정된 사항이 시행되더라도 20152월까지 6개월 동안 계도기간을 준다고 한다.






 

그럼 법에 근거하지 않고 주민번호를 써야 하는 경우에는 어떻게 해야 하는가? 즉 주민번호를 대체할 수 있는 수단은 어떤 것이 있는가? 대표적인 것이 아이핀(I-PIN'마이핀(My-PIN)'이 있다. 쉽게 설명하면 아이핀은 온라인에서 마이핀은 오프라인에서 주민번호 대신에 사용할 수 있는 식별번호로 생각하면 된다.

 

1. 마이핀(My-PIN) 소개

 

마이핀(My-PIN)은 인터넷이 아닌 오프라인(일상생활)에서 사용할 수 있는 본인확인수단으로서 개인식별 정보가 전혀 포함되어 있지 않은 13자리 무작위 번호를 의미한다.

 

인터넷이 아닌 일상생활에서 회원가입 신청서 등에 주민번호 대신 마이핀(My-PIN)을 입력, 사업자는 본인확인기관을 통해 My-PIN 정보로 신원을 확인 가능하다. 주요특징은 다음과 같다. 13자리의 임의의 숫자 개인정보 미포함 필요시 변경(5) 유효기간 3년이다.


마이핀 구성 체계(13자리)


마이핀 구성체계(출처: 안전행정부, privacy.go.kr)

 

주민등록번호가 아닌 13자리 임의의 숫자를 이용하여 대신 사용가능하다. 이는 필요시 변경가능하고 유효기간은 3년이다.

 

2. 주민등록번호, 아이핀, 마이핀 어떻게 다른가?

 

마이핀(My-PIN) 특징을 조금 더 세부적으로 살펴보면 다음과 같다. 마이핀에는 나이, 성별등이 포함되어 있지 않는 식별 번호로 되어 있다. 변경이 가능하여 유,노출 및 도용시 피해를 최소화 할 수 있다. 마이핀 하나로 포인트 적립 및 서비스 연계의 편리성을 제공해 준다. 마이핀 사용내역을 이메일이나 휴대폰 알림으로 알 수 있어 안전성을 제고 한다. 받고 싶은 사람만 발급받는 번호다. 아래 도표는 기존에 사용하는 주민번호와 아이핀 그리고 마이핀의 특징을 잘 구분하여 보여 주고 있다.


 주민번호,아이핀,마이핀 비교 (출처: 안전행정부, privacy.go.kr)

 

3. 마이핀(My-PIN) 발급 절차

 

현재 온라인에서 마이핀을 발급 받을 수 있는 기관은 다음과 같다. 공공아이핀, 나이스신용평가정보, 서울신용평가정보, KCB가 발급 기관이다.

 

마이핀 발급기관 (출처: 안전행정부, privacy.go.kr)

 

홈페이지에 쉽게 접근하는 방법은 검색사이트나 포털사이트에서 기관명 검색하는 것보다

도메인을 직접 브라우저에 작성하여 접속하는 것이 빠르다. 이유는 공공아이핀을 제외한 나머지 기관들은 메인홈페이지와 아이핀/마이핀 홈페이지를 따로 운영하기 때문이다. 홈페이지 도메인은 위 표 제일 하단을 참고 하면 된다. 발급방법은 온라인 홈페이지를 접속하여 발급하는 방법과 오프라인 읍,면사무소 및 주민센터를 직접 방문하여 이용하는 방법이 있다.

 

온라인 홈페이지를 이용한 발급방법

온라인에서 마이핀을 발급 받기 위해서는 우선 아이핀 발급 절차를 따라야 한다. 가입절차에 따라 정보입력시 마이핀 발급에 체크를 해 주면 된다.


아이핀 발급시 마이핀체크

 

발급절차를 완료한 후 발급받는 마이핀 번호는 반드시 기억하고 있어야 한다. 또 발급 다른 방법으로는 아이핀이 도입된 웹사이트 (본인 확인창)에서 신규 발급버튼을 클릭하면 홈페이지에서 제공하는 아이핀 기관 홈페이지로 연결이 된다. 같은 방법으로 발급 받으면 된다.


신규발급버튼 클릭

 

,면사무소나 주민센터 직접 방문하여 발급하는 방법

나이가 있는 어르신이나 온라인 가입이 어려운 이용자들은 가까운 읍,면사무소나 주민센터를 직접방문하여 발급 받을 수 있다.


 ,면사무소 또는 주민자치센터 마이핀 발급절차 (출처: 안전행정부, privacy.go.kr)

 

가까운 읍,면사무소나 주민자치센터를 방문하여 마이핀 방문 발급신청서를 작성한다. 신청서와 신분증을 담당 공무원에게 제시를 한다. 신분증으로는 주민등록증,여권,운전면허증등 이며, 청소년은 청소년증, 학생증을 사용가능하다.

 

마이핀을 개설하기 전에 아이핀 아이디 생성은 필수다. 온라인과 다르게 오프라인 신청시 아이핀 비밀번호를 정할 수 없다. 이에 초기 비밀번호는 주민번호 뒤의 7자리가 우선 부여된다.

 

아이핀은 온라인상에서 주민번호를 대체하는 것이므로 이를 활성화시키기 위해 신청서에서 미리 선택해놓은 발급기관 사이트에 방문, 비밀번호를 재등록해야 한다. 담당 공무원은 마이핀 카드를 발급해 준다.



마이핀은 스마트폰용 앱을 통하여 발급 및 관리도 가능하다. 하지만 일부 발급기관에서는 특정 운영체제(안드로이드용)앱만 있고 아이폰용은 아직 준비중으로 사용자 불편이 예상된다. 빠른 서비스가 되어야 할 것이다.

 

스마트폰 앱을 이용한 마이핀 관리 (출처: 안전행정부, privacy.go.kr)


4. 마이핀 활용 방법

주민번호 대체수단으로서 마이핀(My-PIN) 활용 예시는 아래 그림과 같이 활용이 가능하다.


마이핀 활용예시 (출처: 안전행정부, privacy.go.kr)

 

아울렛이나 마트등에서 회원으로 가입할 때 주민번호를 사용하지 않고 발급 받은 마이핀을 이용하면 된다. 또한 ARS로 본인확인시에 마이핀 번호 13자리를 불러주면 된다. 학원이나 교육이수등 증명시 특정 개인을 구분할 때도 활용하면 된다. 물론 이러한 마이핀 활용을 확대하기 위해서는 서비스 업체 및 기관에서 마이핀과 연계하는 시스템과 업무 프로세스가 빨리 정착이 되어 있어야 할 것이다.

 

대한민국 국민이면 누구나 주민등록번호를 가지고 있다. 한번 유,노출이 되면 변경할 수 없어 그동안 많은 논란이 되어 왔다. 그렇다고 당장 주민번호를 없앨수도 없는 노릇이다. 그 대안으로 아이핀과 마이핀을 정부에서 주민번호 대체수단으로 시행을 하게 되었다. 마이핀은 이제 막 시작한 초기 단계라 갈길이 멀다고 본다. 예를들면 마이핀으로 사이트에 가입이 되었는데 유출이 되어 다시 변경하고 재발급 받았다고 가정하자. 가입한 사이트가 여러개라면 기존 마이핀번호를 사용자가 일일이 변경한다는 것은 어렵다. 이러한 문제도 살펴봐야 할 것이다.

 

마이핀이 지금이라도 주민번호 대체수단으로 시행하면서 수정 보완 작업이 필요하고, 가급적 주민번호를 통한 식별의 의존도를 줄이는 것이 정부의 목적일 것이다. 앞으로 많은 홍보와 교육을 통하여 활성화 시키는 것이 급선무이고, 개선점에 대해서는 꾸준히 수정 보완하여 주민번호 대체수단으로서 굳게 자리매김 하길 기대해 본다.


 * 본 포스팅은 부산시 공식 블로그인 "쿨부산"에도  시리즈로 매월 2회씩 발행되는 포스팅임을 알려 드립니다. 

 

신고
Posted by 엔시스


2011년 9월30일 개인정보보호법이 시행이 되었고, 개인정보 안전성 확보조치 기준이 고시되어 그동안 시행이 되어 왔다. 최근 개정 개인정보의 안전성 확보 조치기준 고시안이 공개되었는데 어떻게 개정이 되었는지 미리 살펴 보기로 하자.  -편집자 주




기존 개인정보의 안전성 확보조치 기준

[시행 2011.9.30] [행정안전부고시 제2011-43호, 2011.9.30, 제정]



                                           개인정보의 안전성 확보조치 기준.pdf









개정되는 개인정보의 안전성확보조치 기준 고시(안)에 대한 내용을 안행부 홈페이지에 공개된 문서를 기준으로 살펴보고 그 의미를 짚어 보기로 하자. 



개정(안)  개인정보의 안전성확보조치 기준 고시안 



                                  개인정보의_안전성_확보조치_기준_고시_개정(안).hwp




1. 주요내용 : 안전행정부 홈페이지에 공개한 내용을 참조 해 보자.



「개인정보의 안전성 확보조치 기준(고시)」 개정(안) 행정예고


1. 개정이유

   주민번호 처리 제한, 스마트기기로의 업무 환경 변화와 신규 위협에 대한 보호조치를 개인정보의 안전성 확보조치 기준에 반영·개정하여 고시하고자 함


2. 주요내용

  ○ 보안이 미흡한 모바일 단말기 및 통신망에 대한 보호조치
    - 비인가 된 App의 설치·운영에 대한 기술·관리적 통제(안 제5조)
    - 공용 WiFi 및 비암호화 등 보안설정이 미흡한 네트워크 접속 제한(안 제5조)

  ○ 카드사 개인정보 유출사고 등 최신 보안위협 대비 보호조치
    - 주민번호 처리 관련 이중 인증절차 및 웹취약점 점검 의무화(안 제5조)
    - 개인정보 처리 접속기록 및 위탁에 대한 관리·감독 강화(안 제7조)
    - 개인정보 파기 방법 등의 세부 규정 마련을 통한 기준의 현실화    (안 제10조) 


출처: http://www.mospa.go.kr/frt/bbs/type001/commonSelectBoardArticle.do?bbsId=BBSMSTR_000000000017&nttId=42558

 



2. 기존 고시안에서 달라진 사항 [각주:1]


2.1  제2조 용어의 정의 부분 






개정(안):  P2P, 공유설정등의 용어가 삭제되고, 최신 트렌드를 반영한 "모바일 기기"의 용어가 추가 되었다. 




엔시스생각: 모바일이 대중화 되고, 모바일 디바이스기기로 인한 보안의 위협과 개인정보 유,노출의 위협을 반영하기 위한 조치라 생각이 든다.



▲ 시대적 트렌드를 반영한 '모바일기기' 고시안에 반영조치





2.2  제3조 (내부관리계획의 수립.시행)


현장을 둘러보면 내부관리계획 수립이 제대로 수립되지 않는 곳이 많다. 그리고 인터넷에 공개되어 있는 샘플을 그대로 사용하고 개인정보처리자명에만 해당 기관이나 기업체명으로 수정하여 사용하고 있는 경우가 대부분이었다. 그것은 말 그대로 샘플일 뿐이며 중요한 것은 내부관리계획 수립을 조직이나 기관에 맞게 제대로 구체적으로 적용을 해야 한다. 그 사항은 고시기준에 명시 되어 있다. 





이번 개정(안)에는 ' 5. 개인정보 처리 업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항'이 추가되었다. 



엔시스생각:  법률에서 위탁자가 업무를 위탁했을때 수탁자는 위탁자의 소속직원으로 본다 (법 제26조3항6호)는 규정이 있다. 하지만 개인정보의 안전성을 도모하기 위해서는 구체적인 고시기준에 '수탁자에 대한 관리감독을 강화' 하려는 의도가 엿보인다. 즉, 수탁자에 대한 관리감독을 내부관리계획에 수립을 하여 보다 적극적이고 구체적으로 명시한 부분으로 생각된다.



▲  내부관리계획을 구체성과 수탁자 관리 감독에 대한 강화. 





2.4  제4조 (접근권한관리)





개정(안): 기존 고시 제5조에 '비밀번호관리' 부분을 삭제처리하고 개정(안)에는 제4조의 세부 항목으로 배치 시켰네요..


엔시스생각: 비밀번호에 대한 관리를 조항보다는 접근권한관리의 세부 항목으로 배치 하였군요. 비밀번호의 중요성이 낮아졌다라기 보다는 고시의 각 조항별 깊이(depth)을 조절 하기 위한 조치로 보여진다.


▲ 비밀번호에 대한 고시 조문 정리, 항목으로 배치





2.5 제5조 (접근통제)


용어의 정의에서 '모바일'이 포함된 만큼 다양한 모바일 위협에 대한 대응솔루션과 조치 사항이 다루어질 것으로 예상이 된다.


개정(안):  4항에 '모바일기기'가 추가로 포함이 되었으며, 5항,6항,7항이 추가 되었다. 





 엔시스생각: 7항으로 모바일 MDM 마켓의 수요가 커질 것으로 예상이 된다. 또한 모의해킹 및 취약성 점검이 연 1회 이상 의무화 되었다. 기존에 '정보통신기반시설'에 대한 취약성 점검은 반드시 해야 하지만 이제는 개인정보 안전성 확보조치를 위해서도 취약성 점검을 해야 한다.  모의해킹에 관심 있는 사람들은 많은 실력을 키워 놓으면 좋겠다.  보안도 어쩔수 없이 시대적 흐름으로 가야 하고, 제도도 시대적 흐름을 반영하는 것이 맞다라고 본다.


▲ MDM 마켓 확대, 모의해킹 및 취약성 점검 수요증가




2.6  제6조 (개인정보의 암호화)


개정(안): 8항에 '모바일기기'가 추가 된 사항외에는 변동 사항이 없다. 




엔시스생각: 암호화에 대한 부분은 개인정보보호에서 가장 뜨거운 이슈중에 하나이다. 그러나 이번 고시안에서는 8항에 모바일 기기에 대한 용어만 추가 되었을뿐 수정된 사항이 없다. 최근 '주민번호 암호 의무화' 에 대한 법률이 개정되기도 하였다.  하지만 시행일이 2016.1.1로 명시하고 있어 고시안을 그대로 둔 것으로 사료 된다.  


제24조의2(주민등록번호 처리의 제한) ① 제24조제1항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 주민등록번호를 처리할 수 없다.

1. 법령에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우

2. 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우

3. 제1호 및 제2호에 준하여 주민등록번호 처리가 불가피한 경우로서 안전행정부령으로 정하는 경우

개인정보처리자는 제24조제3항에도 불구하고 주민등록번호가 분실·도난·유출·변조 또는 훼손되지 아니하도록 암호화 조치를 통하여 안전하게 보관하여야 한다. 이 경우 암호화 적용 대상 및 대상별 적용 시기 등에 관하여 필요한 사항은 개인정보의 처리 규모와 유출 시 영향 등을 고려하여 대통령령으로 정한다.  <신설 2014.3.24. >

③ 개인정보처리자는 제1항 각 호에 따라 주민등록번호를 처리하는 경우에도 정보주체가 인터넷 홈페이지를 통하여 회원으로 가입하는 단계에서는 주민등록번호를 사용하지 아니하고도 회원으로 가입할 수 있는 방법을 제공하여야 한다.  <개정 2014.3.24. >

④ 안전행정부장관은 개인정보처리자가 제3항에 따른 방법을 제공할 수 있도록 관계 법령의 정비, 계획의 수립, 필요한 시설 및 시스템의 구축 등 제반 조치를 마련·지원할 수 있다.  <개정 2014.3.24. >

[본조신설 2013.8.6. ]
[시행일 : 2016.1.1] 제24조의2




법 개정에 대한 취지 : 기존 고시안에 보면 내부정보나 위험도 분석을 통하여 주민번호 암호화 조치에 대한 사항이 의무적이 아니었다. 즉, 내부정보나 위험도 분석 26개를 충족하면 암호화 조치를 하지 않아도 되었다는 것이다. 그러다 보니 이를 암호화를 하지 않아도 되는 합리성 추구의 도구로 이용되었다. 그럼에도 불구하고 유출되면 암호화 조치도 되지 않아 더 큰 피해를 가져 오기 때문에 고시 수준의 암호화 조치사항을 상위법인 법률에 의무화로 법률 개정이 된 것이다.


엔시스생각:  (2016.1.1)까지 유예기간으로 준 것으로 생각된다. 하지만 암호화 하지 않아도 된다는 것으로 오해해서는 안된다. 주민번호 암호화 구축은 많은 기간과 예산이 투입이 되는 것이라 미리미리 대비하기 위한 기간으로 2016.1.1로 두었지 지금 당장 암호화 조치를 하지 않아도 규정에 없으니 책임을 면한다는 의미는 아

니라는 것이다.  마켓에서는 암호화 시장이 더욱 확대될 전망이다. 


▲ 고시수준이 아닌 법에 의한 주민번호 암호화 의무화 조치




2.7 제7조 (접속기록의 보관 및 점검)


개정(안) :개인정보처리자는 개인정보의 유출.변조.훼손 등에 대응하기 위하여 개인정보처리 시스템의 접속기록등을 반기별로 1회 이상 점검하여야 한다.






엔시스 생각: 2항이 추가된 것도 접속 기록을 그냥 6개월 이상 보관만 하고 있는 것이 아닌 반기별로 로그기록을 정기적으로 점검하게끔 구체화 하였다고 본다. 개인정보 담당자나 로그시스템 관리자는 조금더 일이 많아 진다고 본다.


▲ 로그기록을 보관만 하지 말고, 정기적으로 점검 하라.




2.8 제8조 (악성프로그램 등 방지)


개정(안): 개인정보처리자는 키보드,화면,메모리 탈취등 신종,변종을 포함한 악성프로그램 방지를 위한 조치를 해야 한다고 명시하고 있다. 






엔시스생각: 최근 해킹기술의 고도화 됨에 따라 피싱,파밍,메모리해킹등에 따른 조치를 하도록 최근 해킹 기술을 반영토록한 조치이다. 또한 악성코드를 제거하기 위한 최신 백신을 설치만 하는 것이 아닌 엔진을 업데이트 하여 최신의 상태로 유지하도록 구체적으로 제시하고 있다. 틈새시장이 생길 수도 있겠다는 생각이 든다. 


▲  기존 백신과 운영체제 업데이트만 가지고 악성프로그램을 방지 할 수 없다. 키로거,화면캡쳐, 메모리해킹 등 신종 보안위협으로부터 보호조치 하라.




2.9 제9조 (물리적 접근 방지)


개정(안): 기존 보조저장매체에 대한 저장만 물리적으로 강조한 반면에 개정안에서는 반출입에 대한 통제 대책을 마련해야 한다.





엔시스생각: 보조저장 매체에 대한 반출입 통제가 잘 이루어져야 한다. 여러가지 모바일 기기의 저장기능이라든지, 휴대용저장 매체등 반출입시에 물리적 통제가 철저히 이루어져야 한다.


▲  보조저장장치의 저장 기능 대량화, 반출입 통제 시스템 강화



2.10  제10조 (개인정보의 파기)


개정(안): 기존에 없던 개인정보의 파기 부분이 고시에 추가 됨으로써 파기에 대한 법적근거 기준을 가지게 되었다. 단순히 파기하라고 했던 권고사항과는 달리 이제는 파기에 대한 중요성이 더 부각되었다고 보면 되겠다.


엔시스생각: 보통 수집동의에 대한 부분은 그래도 최근 들어 신경을 많이 쓰는 편이지만 파기에 대한 것은 의외로 함부로 버릴수 있는 사항이 아니다보니 제대로 규정대로 실천 되지 않는 측면이 많다. 이미 파기 했어야 하는 문서나 저장장치를 그대로 보관하거나 그 보유기간을 무조건 길게 잡는 것도 바람직 하지 못하다. 법에서는 목적달성하면 즉시 파기하라고 되어 있지만 과연 즉시 파기하는 곳은 몇곳이나 될지 의문이다. 파기에 대한 구체적인 기준이 조직내에 마련이 되어야 한다.



3. 결론 : (개인정보의 안전성 확보조치 기준 고시(안)을 보면서


카드사 개인정보 유출로 인하여 개인정보의 중요성을 더욱 부각이 되었고, 그 이후에도 반복적으로 개인정보유출 사건사고가 일어나고 있다. 모두 완벽하게 유,노출에 안전하게 하면 좋겠지만 최소한 법의 테두리 안에서 법이 추구하고자 하는 부분을 지켜야 할 것이다. 내용을 살펴보면 다음 두가지 관점에서 결론을 개인적으로 내려 보고자 한다.


개인정보처리자입장: 해야 할 일이 점검 늘어난다. 주어진 업무외에 개인정보처리 업무를 하는 경우가 대부분이고 , 관리부서와 기술부서가 각각 나누어 업무를 처리하는 곳도 많다보니 역할과 책임등 업무가 일관성 있게 추진되지 못하는 경향이 있다. 또한 담당자 개인에게 모든 짐을 지우기에는 너무 크다. 처우개선이나 인력의 추가지원, 개인정보 컴플라이언스 준수를 위한 예산확보가 시급해 보인다. 또한 의사결정자의 인식개선도 필요해 보인다.  이러한 근본적 해결이 없고서는 규정만 강화 한다고 해서 반복적인 개인정보 유출이 감소되리라 생각하지 않는다. 하지만 반대로 최소한의 지켜야 할 법준수는 해야 할 것이다. 


정보주체의 입장: 개인정보보호법에서 개인정보자기결정권 및 정보주체로서 권리를 보장한 만큼 앞으로 개인정보에 대한 이해관계와 민원은 점점 증가하리라 생각이 든다. 또한 기존 관행으로 이루어진 개인정보 제공이나 공개등에도 제한이 있을수 밖에 없어 불편함이 예상이 된다. 따라서 자연스럽게 정보주체의 개인정보보호를 한다는 취지에서 일부 불편함을 감수 할 수 있어야 자신의 권리도 보장 받고 지킬 수 있을 것이다. 다만 우려되는 것은 법을 악용하여 '진상'소리를 들으면 안된다.  이상 끝.


*정리하는데만 약 2시간 넘게 시간이 걸렸네요. 이렇게 한번 정리해 봄으로써 기억하기 쉽고, 여러가지 이슈에 대하여 다시 한번 대응할 수 있는 방법론을 도출해 낼 수 있습니다. 개인정보에 관심 있는 분들에게 도움이 되었으면 좋겠네요.




  1. 기존 고시와 개정된 내용은 캡쳐하여 구분하였음 [본문으로]
신고
Posted by 엔시스



우연히 집어들게 된 책. 


'진짜 나로 살 때 행복하다.' 라는 책이다. 마음에 공허함이 있고, 그것을 채울수 있는 것은 외부에 있는 것이 아니라 바로 '나' 자신에게 있다는 사실을 이 책을 통하여 깨닫게 되었다. <2013 문광부 우수도서>라는 타이틀도 읽게 된 이유이기도 하다.





진짜 나로 살 때 행복하다

저자
박은미 지음
출판사
소울메이트 | 2013-03-05 출간
카테고리
인문
책소개
자기 자신과의 화해를 위한 철학카운슬링우리의 인생은 자신이 깊게...
가격비교



가끔 우린 왜 사는지? 무엇을 위하여 사는지? 삶에 대한 진지한 물음을 가져 본적이 있는가? 저자는 철학에 관심을 가지고 삶에 대한 철학을 쉽게 풀어 내었다. 철학하면 굉장히 어렵고 난해한 용어와 뜬 구름 같은 이야기에 어려운 철학자의 말은 도무지 와 닿지 않는다. 


하지만 저자는 쉽게 우리가 왜 삶에 고통을 느끼는지에 대한 이유를 논리 타당하게 설명해 나가고 있다. 최근들어 느낀 것이지만 '논리성'에 무게를 두는 나를 발견한다. 어떠한 설명을 하더라도 누구에게 협상을 하더라도 어떠한 사람과 대화를 나누더라도 논리적인지 아닌지를 살피게 된다. 


아마도 생각이 논리정연하게 정립이 되어 있지 못함의 반증이라 하겠다. 세상 살아가는 것이 모두 논리정연할 순 없지만 지금처럼 팍팍한 삶에 있어서 조금이라도 나를 돌아 볼 줄 알고 , 나를 사랑할 줄 알고, 내적충만감이나 자존감을 가질때 그 누구의 눈치도 없이 스스로 자립해 나갈 수 있다. 


상처난 자신을 스스로 보다듬어 주어야 함에도 너무 지칠때 우린 타인이 나를 보다듬어 주길 바란다. 그런데 타인을 그런 상처난 나를 보다듬어 줄 생각이 없다. 그럼 스스로를 보다듬을 수 밖에 없다. 그것이 인생이고 그것이 삶이다.  


최근에 읽은 책중에서 가장 나 자신을 보다듬어 줄 수 있는 책 중에 하나였다. '삶이 그대를 속일지라도 결코 노여워 하지말라' 고 하였지만 삶이 그대를 속일때엔 너무나 깊은 상처와 마음에 아픔이 있다. 그러나 그것을 해결 해 나가는것 또한 자신의 몫이다. 아무도 그 상처를 어루만져 주지 않는다. 이책에서는 진짜 내가 누구인지..진짜 나로 살아야 하는 이유는 무엇인지를 알려 준다.


마치 이는 지난번 보안 동영상에서 "진짜 지식"과 "가짜 지식"을 이야기 한 것 처럼 말이다. 어쩌면 이미 답은 스스로 알고 있었는지도 모른다. 세상이 너무 복잡하고 얽혀 있는 것 같아도 어느순간 삶을 잘 바라보면 굉장히 단순하게 보게 될때가 있다.  아마도 세상살이에 진짜 나로 살아가는 사람이 몇이나 있는지 궁금하기도 하다.


학생은 학생대로 가장은 가장대로 주부는 주부대로 진짜 자신을 찾지 못하고 남의 기준인 나로 살아가는 것은 아닌지 우린 되돌아 보아야 한다. 저자는 이러한 측면에서 삶을 살아가는 것에 어떻게 하면 잘 살아 갈 수 있을 것인가에 대하여 죽음에 대한 언지를 한다. 누구나 죽음을 인정하지 않으려 하지만 한번쯤 맞이해야 한다.


사춘기의 질풍노도의 시기가 아닌 '사추기'의 질풍노도의 시기에서 나를 찾는다는 것은 많은 시간과 인내와 고통을 동반한다. 그것은 아무리 생각해 봐도 딱히 마음에 딱 드는 해답을 찾기 어렵기 때문이다. 그러나 조금씩 조금씩 그 해답에 다가가는 내 자신을 볼때, 살아 있음을 느낌수 있다. 각자 그렇게 또 세상을 살아가게 된다. 오늘도 진짜 내가 누군지 고민하는 하루를 보낸다. 시간이 되면 저자를 오프에서 한번 뵙고 대화를 나누어 보았으면 좋겠다.  메일이라도 보내 이것저것 질문해 보고 싶었지만 그만 두었다. 아직 진짜 나를 찾지 못함 때문이었으리라.  어쨌든 좋은 글은 나의 생각을 살찌게 한다. 시간나면 필사 해 볼련다. @엔시스.




신고
Posted by 엔시스


2014년 1학기 K대와 D대에 수업을 진행 하고 있다. 어려운 선택이었으나 자신의 분야에서 열심히 노력하는 모습이 더 진실되고 참된 모습이라 생각해서 수락하고 오프에서 학생들과 재밌게 수업을 한다. 수업을 듣는 학생과 소통하면서 마음이 통한다는 것이 무엇인지 알게 되었다.   머리속에 추억이 아닌 기록으로 남겨 본다.


#1.  K대 수업시간 


어느날 오후 수업이다. 조별 발표와 실습으로 인하여 학생들이 많이 지쳐 간다. 날씨도 점점 더워지고 있다. 좁은 강의실에는 컴퓨터 발열로 인한 열기가 나오고, 오후 늦은 시간이 되니 배도 출출 한 모양이다. 그러다 우연히 한 학생이 혼잣말로 한 것을 우연히 듣게 되었다.


" 아 ..배고파" 


난 무심코 지나가는 소리로 들었는데 갑자기 그 학생이 점심을 먹지 않고 혹시 수업에 참여한 것은 아닌가 하는 생각이 뇌리를 스쳤다. 그래서 그 학생이 앞에 앉아 있어서 다시 물어 보았다.


" 배고파요?" "정말 배고파요?"

" 네"


그렇게 묻는 모습과 질문을 제일 뒤에 앉아 있는 학생이 들었다. 그러면서 소리친다. 


" 햄버거" "햄버거" "햄버거"


나머지 학생들이 모두 연호를 하면서 손까지 머리위로 올리면서 사달라는 체스추어를 한다. 그 모습이 귀엽기도 하고 학생들 공부하면서 힘들어 지쳐 있는 모습이 안타까운 생각이 들기도  해서 다시 한번 큰 목소리로 전원에게 물어 보았다.


" 정말 배고파요? "

" 네" 


합창을 한다. 귀여운 녀석들..돌도 씹어 먹을 나이라는 소리를 들은지 얼마 안된듯 한데 벌써 세월이 흘러 나는 흰머리가 나고 돌 씹어 먹을 학생들 앞에 서 있다. 


"그래 좋다. 오늘 내가 한번 쏘지"






마침 나도 오후 저녁 시간이 되다보니 배도 출출하였다.  인원을 파악 해 보니 결석 인원 제외하고도 33명 ...헉...이거 내가 몇푼번다고 큰소릴 쳤지라는 생각이 순간 지나갔으나 이미 물은 엎질러진 법. 그렇게 하여 1차로 30명, 추가로 3명 더해서 33명이 함께 수업시간에 햄버거와 콜라로 추억을 쌓았다.  먹고 있는 그모습은 들어간 비용보다는 학생들과 하나 되어 같이 소통하고 있구나라는 것이 더 가치 있게 느껴졌다. 비록 다른 반에는 더 많은 인원으로 인하여 기회를 갖지 못했지만 양심에 가책을 느껴 커밍아웃한다. 애들아 좋은 기회에 너희들에게도 한번 쏠께.


#2.  D대 수업시간


한편 3월초에 D대에서도 같은 일이 있었다.  저녁에 수업을 하는 것이라 학생들이 하루 종일 공부하다가 저녁시간에 수업에 참여를 하는 것이다. 학생들에게는 빨리 진행하여 수업시간을 조금이라도 빨리 끝내 주는 것이 인지상정이다. 그래야 늦게라도 밥 한술 뜨지 않겠는가?  


1시간이 끝나고 나서 하나라도 더 전달해 주려고 했더니 목이 아파오고 갈증을 느꼈다. 늘 그렇듯이 지식의 전달은 항상 힘들다. 타인의 생각에 지식을 전달 하는 것인지..감동을 주는 것인지..왜 자신에게 이 지식이 이득이 되는지를 명확하게 심어주지 않으면 몰입에서 벗어나 버린다. 그런 긴장감을 주려고 끊임없이 목에 핏대를 세운다. 갑자기 아메리카노 시원한 것이 먹고 싶었다.  그리고 물었다.


"여러분 저녁 식사 했어요? "

" 네.." 

저 멀리서 

" 아뇨" 


라고 들린다. 마침 나도 배가 출출하기도 해서 


"학교에서 어떻게 저녁을 해결 하지요" 라고 물었다. 그랬더니 기다렸다는 듯이 "샌드위치요" 라고 합창을 해 버린다. 이미 나는 그들이 샌드위치 사 달라는 눈치를 빠르게 느낄 수 있었다. 그래서 또 한번 큰 소리로 물었다. 누가 수업시간에 음식물 섭취를 한데요.. 누가 사올 사람 있어요? 


"제가 다녀 오겠습니다."


귀여운 녀석들..어떻게해서든 베껴 먹고 싶은 모양이다. 3월이라 서먹서먹한 분위기도 있으니 한번 쏘자...그래서 샌드위치와 아이스아메리카노 20개 정도를 사와서 맛있게 먹고 나머지 수업을 잘 마쳤다. 그렇다. 소통이라는 것은 그들의 눈높이로 그들과 함께 어울리는 것이다. 나의 시각으로 바라보는 것이 아니라 그들의 시각과 생각으로 바라봐야 하는 것이다.


6.4 지방선거가 다가오니 표심을 다지기 위해 손을 내민다. 그러나 싸늘하기만 하다. 4월은 고통의 달이기도 하였다. 국가적인 분위기도 무겁고. 주변을 돌아 보아 힘든 사람이 있으면 먼저 손을 내밀어 내 기준이 아닌 상대방의 눈높이와 입장으로 함께 해 줄수 있는 것이 소통이라 생각한다. 이렇게 나는 조금씩 사람이 되어 가는 듯 하다. 그동안 너무 많은 소중한 것을 놓치고 살았다는 생각이 든다. 


2개의 소중한 추억을 쌓아준 K대, D대 학생 제자들에게 감사의 마음을 전한다. 남은 시간동안이라도 진심성 있게 수업준비해서 꼭 그들에게 득이 될 수 있는 지식전달이 되도록 때로는  노력 할 것이다. 메마른 기술전달 보다는 때로는 감동으로 마음에 문을 열수도 있다는 사실을 알게 되었다. 끝.




신고
Posted by 엔시스


학교 수업이나 외부 교육으로 인하여 이동저장장치(usb)에 교육자료를 저장하여 많이 활용을 한다. 매번 조심하지만 공용PC를 사용하다보니 결국 바이러스에 감염되는 경우가 있었다. 혹시 USB에 파일이 안보이는 증상이 있는 사람이 있을 것 같아 치료 하는 방법을 공유 하고자 한다. 



#1. 어느날 갑자기 아는 지인으로부터 전화가 왔다. 주로 외부 교육을 하면서 강의를 주로 하는 분이다. 외장형 하드디스크에 파일이 모두 날라 갔다는 것이다. 


"갑자기 전화드려 죄송합니다. 너무 급한 나머지..."

" 네 , 말씀 해 보세요..무슨일이시죠?"


" 아네...제가 외장형 하드디스크를 사용하고 있는데 용량이 약 1테라 정도 됩니다. 그중에 약 500 -600기가 정도 사용하고 있는데 갑자기 파일이 모두 날라 갔습니다...어떻게 하죠? 복구 할 수 있을까요?


" 글쎄요...우선 원인부터 알아야 겠는데요..물리적인 요인인지..아니면 바이러스 감염인지...한번 테스트 해봐야 겠습니다.."


" 아..바쁘신데 우선 이정도 복구하려면 비용이 얼마정도 되는지요?"

" 글쎄요..약 00 정도 됩니다.."

" 그럼 한번 알아보고 다시 한번연락 드릴께요"


며칠이 지난후에 다시 연락이 왔는데 복구업체에 맡기지 않고 다행히 모두 복구 하였다고 한다. 백업도 안해놓은 처지라 굉장히 안타까웠는데 다행이라는 생각이 들었다.



# 2.  학교 수업시간에 교육자료 ppt 열어 볼려고 하는데 파일이 안보여요


어느날 학교 수업이 있어 교수용 PC에 USB를 꽂고 교육을 하려고 하였는데 USB에 아무런 파일도 보이지 않았다. 왜 그렇지 하고 다시 USB를 뺐다 꽂아도 동일한 증상이 나타났다. 학생들은 모두 보고 있는 상황이고 참 난감할 수 밖에 없었다. PC를 보니 이미 악성코드에 감염된 파일이 철지난 백신에 몇개가 버젓이 알림을 보여주고 있었다. 아차 싶은 순간이었다.  우선 수업을 해야 하니 판서를 해 가면서 설명을 할 수 밖에 없었다.


그러나 그보다 더 걱정되는 것은 몇가지 중요 자료가 그곳에 있었기 때문이다. 쉬는 시간에 복구를 시도하였지만 도무지 알수 없었다. 그렇게 고민하다가 간단한 방법으로 복구가 되었다,. 아마도 위 아는 지인상황도 나와 동일한 증상이 아니었나 하는 추측이 든다.




1. 증상


- USB를 꽂으면 USB에 아무런 내용 파일이 보이지 않는다.

- 그런데 USB 용량 체크를 해 보면 해당 용량은 저장이 되어 있다. 단지 파일과 디렉토리만 아무것도 안보일 뿐이다.



2. 복구 방법


다음과 같이 간단하게 복구가 가능하다. 이렇게 하여 복구가 안될 경우도 있었으나 대부분 복구가 가능하였다. 아마도 동일한 바이러스가 돌아 다니는 모양이다. 위 증상과 동일하다면 복구 가능할 것이다.




아주 간단한 명령어 한줄이다. USB가 인식하고 있는 디렉토리로 이동하여 위와 같은 명령어를 입력하고 USB를 재 인식시켜 주거나 아니면 해당 USB로 파일 검색을 해 보면 다시 보여지는 것을 볼 수 있다. 대부분 이렇게 하여 복구가 되면 안도의 한숨을 쉬면서 "다행이다"라고 생각할 것이다. 하지만 언제든지 바이러스 감염은 있을 수 있는 사항이므로  그 다음 후속 조치가 필요하다.


3. 백업


바로 백업이다. 한번 이러한 경험을 하였으면 당연히 다른 곳에 중요한 파일을 빨리 백업을 해 놓아야 한다. 평소에 중요하다고 생각하는 정보 자료는 언제든지 물리적이든지 아니면 바이러스 감염등으로 삭제되거나 파괴 될 가능성이 높기 때문에 중요한 문서나 폴더는 제3의 저장장치에 생각 났을때 바로 백업해 놓는 습관을 들이는 것이 좋다. 나도 이번 기회에 1년전에 백업했던 자료를 다시 업데이트하여 다시 삭제하고 최근 것으로 중요한 폴더와 파일을 모두 백업 하였다. 첫째는 바이러스 감염이나 물리적 손실을 막아야 하지만 두번째 조치는 백업이 중요하다. 백업은 아무리 강조해도 지나치지 않는다. 




신고
Posted by 엔시스


개인정보보호법 개정으로 인하여 '14년 8월7일부터는 개인정보보호법 '주민번호 수집 법정주의' 로 인하여 법률에 근거하지 않는 주민등록번호 수집은 개인정보보호법 위반이 됩니다. 이에 주민번호 법정주의에 대하여 자세히 들여다 보도록 하겠습니다.



1. 배경


개인정보보호법 주민번호 원칙적 수집금지 배경으로는 무분별한 주민번호 수집에 따른 개인정보 유출로 인하여 국민의 정신적, 경제적 피해를 안겨 주고 있고, 정보통신망법 (2012,08 개정 ) 주민번호 수집금지에 따른 법 정합성의 문제 가 대두 되었기 때문입니다. 


2. 주민등록번호 수집 법정주의



..



2014년 8월7일부터는 원칙적으로 주민번호 수집이 금지가 됩니다. 다만, 법률에 근거한 주민번호 수집은 예외로 하고 있습니다. 이것이 주민번호 수집법정주의입니다. 조금 더 자세히 한번 살펴 보도록 하지요..



                     

                       ▲     출처: 안전행정부 개인정보보호 교육 자료 (전국 순회교육자료)



법 개정전 


개인정보보호법 개정전에는 '정보주체의 별도의 동의를 통해 주민번호를 포함한 고유식별정보 처리가 가능' 하였습니다. 여기서 말하는 법적인 고유식별정보는 '주민등록번호, 여권번호, 운전자면허번호, 외국인등록번호'를 말합니다..※ 관련근거: 법 제24조 제1항 1호, 법 제24조 1항 2호


법 개정후 (2013.08.07 공포, 시행은 공포후 1년후인 2014년8월7일 시행)


법 제24조 2를 신설합니다. 이는 주민번호에 한하여 정보주체의 동으를 얻어서 동의를 통한 수집도 금지하게 된다는 것입니다...즉, 주민등록번호 원칙적 수집 금지입니다. 단, 예외로 다음과 같은 경우에는 허용이 됩니다.



  • 법령에서 구체적으로 주민등록 번호 처리를 요구, 허용하는 경우 (법 제24조2 제1항1호)
  • 정보주체 또는 제3자의 급박한 신체,생명,재산의 보호인 경우 ( 법 제24조2 제1항2호)
  • 기타 안전행정부령으로 정하는 경우 ( 법 제24조 2 제1항3호)



3. 법적 근거가 없는 경우에는 2년안에 파기 해야 ( 2016년 08까지)




 

       ▲    출처: 안전행정부 개인정보보호 교육 (전국 순회교육자료 )



그럼 지금까지 수집한 주민번호는 어떻게 해야 하고 앞으로 주민번호를 수집 할려면 어떻게 해야 하는지에 많은 궁금증을 가질 것입니다..


1)  주민번호 처리 법령이 근거가  있는가 ? 

     -> 법적인 근거에 의하여 수집 하기 때문에 현행대로 유지 하면 됩니다..


2) 주민번호 처리 법령 근거가 없는 경우?


  -> 주민번호 처리가 불가피한 경우 : 법적인 근거를 마련 하여야 합니다. 이는 개인이 근거를 마련 할 수 없으므로 관련 담당 업무를 하는 개인정보 담당자나 관련 부처에 근거를 제시하여 법적인 근거를 마련해야 겠지요. 이는 법 개정으로 이어지므로 정말 주민번호 처리가 불가피 한지에 대한 명확한 근거 제시가 필요 할 것입니다..만약 이것이 어려우면 대체 수단을 적용 해야 할 것입니다.  최근 언론에 발표된 것을 보니 '마이핀' 이라는 개인식별체계를 적용 할 것이라는 보도가 있습니다. 


-> 2년이내에 수집된 주민등록번호 대한 삭제 조치 ( 2016.08.07일까지)


※ 가끔 언론 보도나 질문시에 주민번호 수집 법정주의가 시행이 되면 기존에 수집한 주민번호를 2년내에 모두 파기조치 해야 하는것으로 오인 하는 경우나 질문이 있습니다. 이는 무조건 주민등록번호를 파기 조치 하는 것이 아닌 '법적인 근거가 없는 경우' 에만 해당이 된다는 사실을 반드시 기억 하시길 바랍니다. 



정보통신망법 개정 (2012.08)로 인하여 개인정보보호법 정합성의 문제가 대두되고 또한 무분별한 주민등록번호를 함부로 수집하여 제대로 관리가 되지 않아 유출 되었을 경우 또 다른 많은 피해를 입게 됩니다. 이에 법적으로 아예 이제는 주민등록 번호를 수집 할 수 없도록 하였기 때문에 실제 현장에서나 실무에서는 관련 근거 법령을 찾는 노력이 필요합니다..


예를들어 ) 직원 채용에 있어서 이력서를 제출하라는 양식도 이제는 주민등록번호가 아닌 생년월일로 서식을 수정하여 배포하고 제출 받아야 하며 직원으로 합격이 되었을시에 근로기준법에 따라 주민번호를 동의 없이 수집 가능합니다. 


이러한 조치들이 과연 현장에서 혹은 중소기업등에서 얼마나 이루어질지는 미지수이나 아마도 개인정보 유출에 따른 후속조치로 더욱 법적은 준수에 대한 요구 사항은 강화 될 것으로 사료가 됩니다. 공공기관은 물론이고 민간기업에서도 이제는 법에 근거하지 않은 함부로 주민등록 번호 수집은 법에 위반이 됨으로 숙지 하도록 해야 겠습니다. 개인블로그에 주민번호 수집 법정주의에 대하여 간략하게 정리 해 보았습니다.


( 글쓴이 : 안전행정부 '11,'12,'13,'14 개인정보보호 전문강사, 경성대학교 컴퓨터 공학과 외래교수 전주현)



신고
Posted by 엔시스

내가 살아있음을 느낄수 있는 것은 가만히 앉아 있는 것이 아니라 나를 필요로 하는 곳에 기꺼이 달려 갈 수 있음을 느낄때 살아있는 것이다. 아무짝에도 쓸모없는 사람으로 취급 받는 것은 살아 있어도 살아 있는 것이 아니다. 사회전반에 걸쳐 이렇게 쓸모 없는 사람이 숨쉬고 있는 현실이 안타깝기만 하지만 일희일비 하지 않는다. 액프로버 하겠다. 


찾는 곳이 여러곳이다보니 별별 곳을 모두 다니게 된다. 지금까지 경험을 보면 구치소, 교도소, 세관, 항만청, 소년원, 교육청, 대학교, 복지관, 구청, 병원등등 많지만 이번에는 도로를 운영하는 기업에 다녀 왔다. 제법 먼 곳까지 다녀왔다. 영종대교, 인천공항도로를 운영하고 있는 '신공항하이웨이' .. 인천에 있다. 부산에서 인천까지. 


왜 그먼곳까지 다녀왔는지 나도 모른다. 하지만 이동하면서 여러가지 생각의 정리와 폐쇄된 공간보다는 오픈된 공간과 다양한 사람들을 현장에서 만나기 위함이 가장 크다고 보겠다. 사실 작년부터 협의한 사항이라 거절 할 수 없는 것도 있었다. 


어쩌면 4월의 잔인한 달을 더 빨리 보내기 위하여 일에 집중하고 있는지도 모른다. 뜨거운 날씨속에 현장에 도착하여 준비된 교육을 진행 하였다. 매번 느끼는 것이지만 늘 대상과 기관과 기업에 따라 느낌이 다르다. 





정보보안에 대한 내용 50% , 개인정보보호에 대한 내용 50%를 전달 하였다. 특히 중간 중간에 돌발 퀴즈등을 내어 조그만 상품이라도 제공하면 관심도가 올라 간다. 매번 써 먹다보니 그 돈도 제법 많이 소비가 된다. 그러나 무엇보다 재밌고 , 즐겁게 하는 것이 더욱 중요하기 때문에 아깝지 않다.


보안이라고 하면 어려운 기술적인 분야만 이야기 한다. 이제는 대중적인 그리고 핵심 주제에 집약적인 지식전달도 중요하다고 생각을 한다. 전문성과 대중성을 모두 갖추고 , 기술적 내용과 관리적 내용을 모두 포괄 하는 전문가가 되고자 노력을 한다. 


어려운 이야기를 어렵게 하는 것은 누구나 할수 있다. 그러나 어려운 이야기를 쉽게 하는 것은 아무나 할 수 있는 것은 아니다. 수 많은 경험과 노하우 그리고 지식뿐만 아니라 타인들 앞에 서서 듣는 사람들과 같이 '호흡' 하면서 전달하는 것이 굉장히 중요한 포인트이다. 분위기를 장악하고 주어진 핵심 주제를 정확하게 전달해서 가치 있는 시간을 만들어 주는 것이 핵심 포인트이다. 


끝으로 교육 준비에 애써주신 C 차장님에게 감사의 말씀을 드리며 앞으로도 쭈욱 도전을 계속된다. 






신고
Posted by 엔시스



사람을 변화시키는 것은 간단하다. 자신부터 변하면 된다. 가정에서 아버지나 어머니는 TV를 보면서 아이들에게는 공부하라고 하면 시끄러운 TV소리 때문에 집중이 안되는 것은 당연하다. 자녀들은 무언의 반항을 한다. 부모는 나중에 왜 시험 못 보았느냐고 닥달한다.


조직내 보안교육을 한다고 하는데 바쁜 경영진은 대외 활동에 더 많은 시간을 쏟는다. 적당히 실무진에서 알아서 진행하라고 하면 결과도 적당히다. 


지금까지 수많은 교육중에서 경영자가 참석한 경우가 몇곳이 있었다. 모의료원에 병원장님께서 직접 참여하여 교육후에 인사하고 악수를 나눈 기억이 난다. 또, 모 대학에서는 교육에 참석하지는 않았지만 외부 손님을 직접 총장님께서 맞이하여 간단하게 차 한잔 나눈 기억이 있다. 총장님이 직접 손님을 챙기는 것이다. 


올해 한 벤쳐기업에 기업보안에 대하여 교육을 할 기회가 있었다. 이 자리에 해당 기업의 회장님, 사장님, 감사님등 기업경영진이 가장 앞자리에 자리하고 보안에 대한 교육을 경청하였다.





제주도에서 워크샵 형태로  아주 훌륭한 숙소에서 진행이 되었다. 낮시간에는 산행으로  상당히 피곤 하였을텐데 임직원 누구 하나 불만을 가지는 사람이 없었고, 저녁 늦은 시간임에도 불구하고 자세가 흩틀어지는 사람이 없었다. 


진행하시는 분들도 긴장하고 아주 신경써서 진행하는 것은 당연하다. 가끔 기업교육을 진행하다보면 사전에 아주 꼼꼼하게 체크하고 교육자료부터 내용, 폰트까지 신경 쓰는 분들이 있다. 물론, 강사 입장에서는 힘든 부분이 있는 것은 사실이다. 하지만 그러한 교육이 한번도 실패로 끝나는 경우는 못보았다. 모두 교육후 만족하는 결과를 가져 왔다.


경영진이 직접 관심을 보이고 참석하여 경청하는 모습을 보일때 직원들도 변화한다.


'하나를 보면 열을 안다'라는 속담이 있다. 보안이 최근 이슈가 되고 대.내외적으로 비지니스 환경에 중요한 변수로 떠 오르고 있다. 이런 가운데 경영진이 신경쓰지 않으면 다른 임직원들도 신경쓰지 않을 것은 자명한 사실이다. 


아마도 그 회장님과 사장님은 보안에 대한 교육을 듣기 위한 의미도 있었겠지만 먼저 솔선수범하여 특정한 이슈에 관심을 가지고 있다는 직원들에 대한 본보기를 보여주려는 의도는 아니었을까? 교육후에 인상에 남았다. 대한민국 기업의 경영자들이 하루 빨리 보안에 대한 관심을 가지고 직접 챙기는 모습을 기대하는 것은 무리일까?  사장님이나 기관장님께서 직접 참석 하면 교육자 입장에서는 상당히 부담 가는 것은 사실이지만 그만큼 효과도 크다고 생각이 든다. 


당부드리건데 기업의 경영자와 조직의 윗분들은 보안에 관심을 가져야 한다. 교육에도 참석을 해서 경영진이 관심을 표명하고 있다는 사실을 임직원들에게 보여 주어야 한다.  또한 보안 담당자에게 격려도 잊지 않았으면 하는 바램이다.  @엔시스.







신고
Posted by 엔시스

2013년 처음 시행된 국가기술 정보보안기사 , 산업기사 자격증 시험이 진행이 되었다. 아직 초기단계라 여러가지 시행착오를 거치긴 하겠지만 최근 보안 사건사고와 이슈 때문에 보안에 대한 관심이 증대되고 있다.  또한 공식적으로 전산직렬에 정보보호직류가 생겨 보안관련하여 공무원의 길로 나아갈 길도 마련이 되었다.


이에 필자는 2013년 한해 동안 부족하지만 <정보보안기사, 산업기사 한권으로 끝내기> 2013, 시대고시기획출판, 에서 출간하게 되었다. 많은 분들이 관심을 주어서 감사하게 생각한다. 이는 일명 '빨간책(빨갱이)' 문제집은 '파랭이' 실기교재는 '오렌지북'등으로 네이밍되어 많은 관심을 받았다. 그 고마움은 더 나은 콘텐츠로 보답하리라 마음 먹은 계기가 되었다.


수험서라는 분야와 IT라는 분야는 해가 바뀌면 수험 기출문제와 출제 경향을 분석하고 또한 IT분야가 워낙 빠르게 변화하기 때문에 꾸준히 업그레이드 해야 한다. 또한 타켓이 명확하고 수험분야다 보니 작년보다 더 많은 종류의 책들이 쏟아져 나왔다. 더 좋은 책이 나오길 기대해 본다. 선의의 경쟁은 품질을 높일 수 있고 독자는 선택권이 넓어진다는 장점이 있다. 


출판분야에 일하는 지인에 따르면, 경쟁력이 떨어지는 출판사도 핫 이슈가 되는 부분이 있다면 책이 팔리지 않더라도 어쨌든 초판이라도 인쇄하고 본다는 것이다. 그래야 해당 출판사도 이러이러한 책을 출간하였다고 명분을 세울수 있기 때문이란다. 


마치 신문사가 특종이 어디서 터지면 그 특종을 타 신문사가 모두 기사화 하였는데 자신의 신문사만 안 할 수 없으니 하게 되고 구독자는 반복적인 똑 같은 기사 내용을 접하게 되는 것과 같은 원리인 셈이다.  어쩔수 없는 논리일듯 하다. 


그렇다보니 2014년 <정보보안기사 산업기사 한권으로 끝내기 > 개정판을 준비할 수 밖에 없었다. 하지만 개인적인 사정으로 인하여 3회 시험대비를 위한 개정판은 타이밍이 맞지 않아 어쩔수 없었고, 실기 시험과 4회 시험에 대비를 위한 부분이다. 이점에 대해서는 출판사에 미안한감이 있다. 또한 기다리고 있었던 독자분들에게도 송구한 마음이 든다. 하지만 이해해 주리라 믿는다. 



2014 <정보보안기사, 산업기사 한권으로 끝내기> 개정판  



       

 ▲   <정보보안기사 산업기사 한권으로 끝내기 > 2014 개정판 표지 


<정보보안기사 산업기사 한권으로 끝내기> 2014 개정판은 다음과 같은 내용을 담았다.

전면개정은 하반기에 한번 더 이루어질 예정이다.. 점점 다듬어 가다보면 언젠가는 좋은 책이 될 것이라는 믿음이 있다. 덕분에 나 스스로 공부를 많이 하는 듯 하다. 


  • 제2회 정보보안기사 기출문제를 최대한 복원 하여 수록하였다.
  • 오타부분을 최대한 찾아 줄였다.
  • 문맥이 매끄럽지 못하거나 한 부분은 문장을 다듬었다.
  • 일부 어려운 표현이 있는 부분은 모두 삭제하고 다시 정리하였다.
  • 그림등을 다시 그려 조금 더 디테일하게 하였다.
  • 내용의 부분 수정이나 추가 삭제가 이루어졌다. 
  • 각 챕터 문제나 해설 부분이 부족한 것을 보완하였다.
  • 타인에게 검토를 의뢰하여 부족한 부분은 조금 보완 하였다.

기존 교재에서 큰 틀에서 변화 되는 것은 없지만 오류나 오탈자, 문장, 그리고 그림등에서 매끄럽지 못한 부분을 삭제하거나 일부 수정하여 보다 편하게 할 수 있는 형태로 개정하였다. 일부개정에 지나지 않지만 자칫 개정판을 잘못하게 되면 누더기 책이 될 우려가 있어 기존 명맥을 잘 유지하면서 하반기에는 전면 개정을 계획하고 있다. 

수험생 분들의 개인차가 있긴 하지만 책이라는 것은 소설이나 에세이가 아니고서는 사실 '가독성'에 대한 부분도 무시 못하기 때문에 그에 따른 보완은 준비하고 있다. 필자는 자격증만 목적을 하지 말고 기초를 탄탄히 하는 공부나 혹은 자신의 관심분야를 찾는 기회로 삼으라고 조언하지만 어디 사람마음이 그런가? 우선 급한 불부터 끄고자(시험합격) 하는 것이 다 같은 마음이니 저자도 그런 마음을 헤아려야 하지 않겠는가?


초판과 개정판을 내면서 느낀점과 보완 할점

책을 출간한다는 것은 굉장히 어려운 작업이며, 그만큼 책임도 따른다는 것을 알게 되었다. 그냥 단순히 자신 만족이나 명분만을 위하여 쓰는 것이 아니라는 것이다. 구매자에게 분명한 목적과 가치를 제시해야 하고 비용과 시간낭비를 줄일 수 있도록 끊임없이 노력해야 한다. 또한 구매 이후에도 다양한 서비스를 제공해야 함을 느꼈다. 그 대안으로 2가지 노력을 하였다.

1. 정보보안기사 산업기사 수험전략 동영상 공개 


아마도 스스로 자신의 목소리와 모습을 보면 그렇게 어색하고 민망할 수 없다. 그냥 괜히 그렇다. 그것도 인터넷에 공개한다는 것이 부담되는 것이 사실이다. 하지만 용기를 내어 조금이나마 도움이 될까 싶어 꺼리김 없이 공개하였다. 아마도 조금이나마 필자의 마음을 헤아리고 자격증 준비하는데 도움이 되지 않을까 생각이 든다.


2. 저자도 검증 받아야 하는 시대, 2회 정보보안 기사 합격


나는 자기계발성 용어중에 하나로 '액프로버'[각주:1] 라는 용어를 만들었다. 아마도 블로그나 SNS을 통하여 여러번 언급하였는데 행동으로 옮기고 그 다음은 증명을 해야 사람들이 신뢰를 한다. 창업을 해 본 사람이 창업에 대한 조언이나 컨설팅을 하면 더 많은 신뢰를 얻게 되는 것은 당연한 것이다. 이론과 현실은 틀리다는 것이다. 그래서 작년 2회 시험에 도전하여 '정보보안기사' 필기, 실기 합격하여 자격증을 교부 받았다.  타 수험생과 동일하게 시험장에서 똑같이 시험보고 검증해보고 응시해서 그것을 교육이나 책으로 다시 녹여 내야 하는 것이다. 


언뜻, 지나가는 소리로 어떤 지인이 '자격증'도 없는 사람이 무슨 책을 쓰고, 교육을 하는가? 만약, 의사가 의사면허가 없다면 돌파리 의사가 되듯이 앞으로 정보보안에 대한 부분도 자격을 구비한 사람이 전문직으로 자리 매김해 나갈 것이다. 아무나 보안에 대하여 언급 할 수 있는 것도 아니다. 그렇다고 자격증이 모든 것을 해결 할 것이라는 오해는 하지 말기 바란다. 자격증은 자격증일 뿐이다.  그런 신뢰감을 주려고 시험이 어렵지 않은가? 그래야 취득하는 사람이 가치가 있지 않겠는가?


관련 포스팅 : http://www.sis.pe.kr/3507 



앞으로의 방향 및 향후 계획


시중에는 많은 관련 수험서나 서적들이 있다. 어떤 책이 좋고 어떤 책이 나쁘고는 자신의 수준에 맞추어야 한다. 아무리 좋다고 하는 책도 자신은 종이 질감때문에 다른 책을 선택하는 사람도 보았다. 그만큼 다양한 것이고, 서점에 방문하여 자신의 수준과 눈높이 그리고 요구조건에 맞는 책을 선택하면 되겠다. 앞으로 책 내용 보완 및 가독성을 높일 수 있는 방법을 강구하겠다.


그동안 개정판 나오기를 기다려 주신 분들에게 관심 가지고 기다려 주셔서 고맙다는 말씀 드리고 개인적 사정으로 본의 아니게 늦어져서 송구하다는 말 이자리를 통하여 전한다.  3회는 기존 교재로 준비하고 , 4회에는 2014년도 개정판으로 준비해 보면 어떨까 생각한다. 아직도 문제집 개정과 실기교재 개정이 남아 있어 보다 기초교재로 손색이 없도록 부족한 부분은 여러가지 의견을 수렴하여 다듬고 또 다듬어 보겠다. 시간이 조금 걸려 그렇지 다듬다 보면 언젠가 잘 다듬어지지 않겠나? 지금 정부도 처음 시작시에는 정부조직도 제대로 갖추어지지 않고 출발하지 않았던가? 


보안인닷컴 카페와 개인정보보호 카페, 그리고 SNS을 통하여 응원해 주시는 모든 분들께 감사드리고 앞으로 더 노력하는 모습 보여 드리겠다. 이상 끝. @엔시스 




  1. * 액프로버 : 액션(ACTION) + 증명(PROVE)의 합성어로 행동으로 실천하고 증명해 보임으로 인하여 상대방에게 신뢰를 얻을 수 있다는 자기계발성 용어 [본문으로]
신고
Posted by 엔시스


연초 카드사 개인정보 유출 이후에 연인터지는 사건사고로 인하여 관련 업계와 담당자, 그리고 관련 기관은 대책마련에 촉각을 기울이고 있다. 그중에 가장 눈에 띄는 대목이 정보보호 관련하여 공무원이 될 수 있는 길이 열린다는 것이다.


관련 기사 내용을 보면 


정보보호 전담 공무원 키운다…안행부, 하반기 경력 채용

[ 강경민 기자 ] 정부가 개인 신용정보 유출 등 사이버 보안 문제에 대응하기 위해 정보보호 전담 공무원을 양성한다.

 

안전행정부는 12일 이 같은 내용을 담은 공무원임용령 개정안을 입법예고하고 의견 수렴과 부처 협의, 국무회의를 거쳐 6월부터 시행한다고 11일 발표했다. 개정안에 따르면 안행부는 3·20과 6·25 사이버테러 등 날로 지능화되는 국가 사이버 안보 위협과 카드사의 개인 신용정보 유출 등 사이버 보안 문제에 대응, 전문인력을 충원·육성하기 위해 전산직렬(전산분야) 내 정보보호 직류(분야)를 신설한다. 현재 전산개발, 전산기기, 정보관리 등 3개 직류로만 분류돼 있는 전산직렬에 ‘정보보호’ 분야를 신설키로 한 것이다.

 

안행부는 정보보호직류 채용·선발에 필요한 시험과목을 선정한 뒤 올해 하반기부터 경력경쟁채용을 진행할 예정이다. 구체적인 선발 인원은 아직 확정되지 않았다. 최재용 안행부 인사정책과장은 “부처별 수요 조사를 통해 인원을 선발할 예정”이라며 “기존 전산직렬의 결원 인원을 보충해 충원할 예정이어서 전체 공무원 인원에는 변화가 없을 것”이라고 말했다.

 

강경민 기자 kkm1026@hankyung.com


출처: http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&oid=015&aid=0003047879&sid1=001



긍정적인 측면


공무원이라는 직업은 공무(公務)를 하는 사람을 말하는 것이다. 즉 정보보호 업무를 공적인 업무로 인정하는 부분이다. 물론 그전에도 군무원이나 관련 분야에서 간간히 정보보호 관련 공무원을 채용한 바가 있었다. 하지만 이렇게 전산직렬에서 정보보호 직류로 개설해서 진행하는 것은 보안에 대한 책임과 역할의 중요성을 인지한 것이라 판단이 된다. 


따라서, 지금까지 전산직렬은 전반적인 전산에 관련된 업무나 개발이나 혹은 정보보호 업무까지 전부처리하였지만 정보보호직류를 개설함으로써 이제는 기존 전산직렬에서 담당하는 담당자의 업무 감소와 또한 해당 직류에 인원이 보충됨으로써 장기적인 안목에서 전문인력의 투입될 길을 마련한 것이라 하겠다. 


과거 보안사건사고시 정부 종합대책을 보면 2014년 시험부터는 전산직렬에 '정보보호'과목을 개설하는 대책은 이미 발표된바가 있으며 , 2016년도에는 정보보안 기술사 제도를 시행하겠다고 발표한 바가 있다. 대책이 나오면 그 다음부터는 반드시 시행이 뒤따라야 한다.






필자는 블로그에 다양한 보안에 대한 여러가지 고민을 기록한 바가 있다. 어떨경우에는 말도 안되는 소리지만 이제는 그것이 대안으로 떠 오르는 시기가 도래한 것이다. 꼼꼼히 한번 읽어 보길 바란다. 



[칼럼-118] 정부 뒷짐짓는 정보보호 관련 행정

[정책제언] 이젠 일반인도 보안인센티브 주면 어떨까?

SIS(국가공인 정보보호전문가)자격증, 국가기술 자격증 가시화해야



그럼 과연 이러한 개선 노력후에 기존에 부족한 부분이 많이 개선이 되었는가에 대한 것은 다시 한번 물음을 던져 봐야 한다. 혹자는 당신이 주장한 바 대로 되었는데 과연 지금도 똑같이 보안사건사고가 생기지 않는가? 그럼 또 다른 대책 한다고해도 똑같지 않는가? 이렇게 부정적으로만 생각하는 사람들이 있다. 아마도 그렇게 생각할수도 있지만 그런 사람들은 자신 개인의 발전이나 조직의 발전에서 상당히 부정적인면만 봐서 스스로 성장하지 못할 가능성이 높다. 


단적인 예로 한가지만 들자. 정보보호관리체계(ISMS)를 인증 받으면 100% 보안이 보장이 되는가? 보안 컨설팅을 받으면 100% 보안이 보장이 되는가? 그렇다라면 왜 그렇게 생각하고 그렇지 않다고 생각하면 왜 그렇지 않다고 생각하는가?  우린 무엇이든 처음에 어떠한 행동을 하기 위해 그 행위를 왜 하는지에 대한 물음을 가져야 한다. ISMS는 그동안 주먹구구식으로 되어 있던 정보보호의 관리를 체계적으로 관리하여 조금 더 보안 위험성을 감소시키는데 목적이 있는 것이지 보안을 100% 보장하는 것이 아니다라는 것이다. ISMS구축 하기전보다 확실히 체계적인 관리가 된다는 이야기는 인증심사를 나가보면 담당자들의 한결같은 이야기이다. 물론 그렇게 하기 위해서는 많은 증적사항과 힘든 부분은 있지만 말이다. 그러니 제발 ISMS 그거 인증 받아봐야 소용있겠나? 인증 받았는데 모두 털리는데 무엇때문에 힘들게 받아야 하는가? 라는 이야기는 바람직 하지 않다.


이제는 전문화된 지식을 보유하고 있는 정보보호 분야에 공무원의 길이 열린만큼 그에 따른 파급효과도 나타날 것이라 예상이 된다. 그러나 소수의 인원이고 잠시 보여주기식의 제도나 정책이 되어서는 안될 것이다.



부정적인 측면


관련 분야 인력들이 너무 공무원 시험에만 매달리지 않을까 우려스럽다.

자신이 정보보호분야에 해박한 지식을 가지고 있다고 치자. 과연 그 인력을 품에 않을 수 있는 기업은 얼마나 되는가? 중소기업에 보안담당자가 전담으로 있다는 소리는 들어보기 쉽지 않는 부분이다. 결국 자신의 전문적인 지식을 통하여 먹고사는 문제를 해결 할 수 있는 방법은 대기업과 공무원의 길이 안정적이라고 생각하고 있다. 그러나 그마저도 쉽지 않다. 그럼 대부분 어떻게 커리어가 흘러가는지 가상으로 한번 엮어 보자.


어려서부터 컴퓨터에 관심이 많았던 A씨는 고등학교때부터 실력이 출중하고 대학교 진학을 정보보호학이나 컴퓨터 공학쪽으로 지원을 하였다. 정보보호학을 전공을 하려니 대부분 학교가 지방에 거주하고 있고 수도권에는 없어 어쩔수 없이 컴퓨터관련 전공으로 입학을 하였다.


 컴퓨터에 소질이 있던 A씨는 각종 정보보호관련 대회나 동아리등에서 많은 활동을 하였다. 대학을 마치고 취직을 고민하던 A씨는 보다 전문적인 기업에서 일을 하고 싶은 마음에 정보보호관련 전문업체에 취직을 하게 되었다. 회사에 취직한 신입사원 A씨는 그떄부터 각종 프로젝트에 투입이되고 , 시간과의 싸움이고 소위 말하는 '갑'과 '을'의 위치에서 하루하루 지쳐만 갔다.


 주말에도 근무하는 날이 많았으며, 어느순간 반복적인 프로젝트를 하다보니 산출물이 새롭다기 보다는 점점 보편화 되어가고 있고, 담당자는 품질에 이의를 제기하기도 한다. 하지만 담당자의 전문지식은 의심스러우리만큼 초보적인 수준이다. 정말 이대로 살다가는 삶의 질이 떨어져 지속적으로 고민을 하게 된다.


이런 찰라에 아는지인으로부터 대기업 IT담당자 자리를 하나 제안받는다. '을'의 인생으로 사느니 차라리 단 하루라도 '갑'의 위치에 서고 싶은 마음에 이직을 한다. 운이 좋은 편이라 생각해 본다.  처음에는 '을'을 벗어났다는 마음에 열심히 일하지만 사업관리에 치중을 하다보니 점점 전문성을 떨어지고 미래에 대한 불안감이 엄습해 온다. 대기업이라 그런지 업무강도는 말할필요도 없고, 동료와 경쟁해야하며 요구하는 사항도 많다. 그리고 모든 것이 자신이 하는 업무는 하나의 기계부속품처럼 느껴진다. 자신이 원했던 갑이지만 조금 더 안정적인 공무원 같은 곳은 없는지를 살펴본다. 


하지만 정보보호에 대한 공무원 길은 막막하기만 하고 가끔 군무원등에 관련 분야가 있긴 하지만 찾아보기 거의 힘들고 대부분 석,박사 학위를 요한다. 


A씨는 어쩔수 없이 자신의 스펙을 높이기 위하여 대학원에 진학한다. 직장과 학업을 겸하다보니 직장에서는 학교생각나고 학교에서는 회사생각이 나서 집중이 안된다. 먹고사는 것이 우선이기 때문에 회식자리나 회사 긴급사안 때문에 학교 수업에 빠지는 경우도 많다. 석사,박사 졸업하려면 논문이 필수인데 논문주제 잡기도 쉽지 않다. 


관련 분야의 기업에서는 돈이 되는 상업적인 내용과 학교에서의 학문으로서의 논문의 형식과는 괴리감이 있기 때문이다. 자신이 하고 있는 업무를 중심으로 논문을 써 보려고 머리를 굴려보지만 그것은 보고서 정도 수준에 지나지 않는다.  대부분 논문이 기업의 상업화보다 3-4년 앞서간다고 보면 된다. 그것을 내다보기 위해서는 많은 공부량을 필요로 하는데 집에가면 바로 잠자기 바쁘다.


그러니 A씨는 바쁜 업무로 인하여 공부량의 부족으로 논문에 쓰기에 더 고민이 된다. 평생 글이라곤 보고서나 제안서 간단하게 써 본적 밖에 없는데 처음쓰는 논문이라 쉽지 않다. 때로는 먹고사는 문제때문에 동료중에는 중도에 포기하는 사람도 많다. 그렇게 나이는 점점 들어간다. 졸업한 사람은 다행이다. 하지만 논문의 품질에 대해서는 스스로 한번 되돌아 본다. 그래도 뭐라도 하나 결과물이 있기 떄문에 스스로 뿌듯함을 느낀다. 


A씨는 어느새 마흔 중반에 나이가 되어 버렸다. 회사에선 어느정도 직책이 되지만 빠르게 변화하는 기술적 내용과 회사 전반적인 관리책임과 역할이 점점 부담이 된다. 스스로 하루하루 떨어지는 체력에도 한계를 느낀다. 뭐 먹고살지 고민은 되지만 집에 있는 부모님과 아이들을 생각하면 그래도 어떻게든 살려고 발버둥친다. 


어느날 A씨는 이런 조직내에서 인원 감축이 되어야 하고 가장 먼저 비용만 투입이 되는 전산분야를 축소하고 마케팅과 영업조직을 강화 할 것이라고 한다. A씨는 나이가 들어가니 체력도 안되고, 부모와 자녀를 돌봐야 하는 가장으로 안정적인 직장을 원한다. 곰곰히 생각해보니 공무원이 그래도 가장 나을것 같아 오랜 고심끝에 고시원이나 인근 공무원 학원으로 오늘도 발길을 재촉한다. 하지만 언제 합격될지는 기약이 없다. 걸어가는 어깨에 삶의 무게가 느껴진다.


가상으로 꾸며본 시나리오다. 가상이라고 하지만 또 현실일지도 모른다. 그러니 너도나도 공무원이 되기 위하여 관련분야에 인력부족현상이 발생이 되고, 인력부족이 생기다 보니 전문업체에 주니어가 넘치고 전문기업은 프로젝트에 투입을 해야 하는데 인력이 없으니 어쩔수 없는 전문성과 경력이 짧은 인력을 투입하게 되고 

어떻게 저떻게 보안프로젝트는 끝났는데 그 이후에 보안 사고사고는 발생이되고 , 이에 대해 예산을 사용한 용역발주사는 스스로 책임을 부담하기엔 억울하니 컨설팅사에 책임을 묻는 악순환이 반복이 된다. 


과연 보안사건사고가 발생하면 누구 책임인가? 컨설팅사 책임인가? 아니면 담당자 책임인가? 아니면 경영자책임인가? 아니면 현실을 감안하지 않는 이상적인 대책만 남발하는 정부책임인가? 아니면 우리 모두의 책임인가?  과도한 규제만 통제만 가하고 무조건 그대로 하라고 압박만 해야 하는가? 아니면 우리가 알아서 할테니 자율적 규제로 남겨두라고 이야기 할 것인가? 그러면 과연 스스로들 잘 알서 할 것인가? 아니면 너무 솜방망이 처벌이라서 가볍게 여겨 그런것은 아닌가? 


하지만 지금은 보안이 발전하기 위한 성장통을 겪고 있다고 본다. 이런저런 시행착오를 겪고 있는 중이라 생각한다.  또 새로운 파격적인 대책이 나올 가능성도 있다. 하지만 그렇게 시행착오를 겪기까지 시간이 걸리고 우리는 또 다른 보안위협에 누군가 희생량이 되어야만 언론이나 방송에서 대서특필되고 하루 아침에 해당 기업과 담당자는 죄인이 되어 버린다. 과연 누구의 잘못일까? 어떻게 풀어가야 할까?  고민 되는 아침이다. 내공을 지닌 전문가분들의 많은 고견이 있으면 좋겠다. 


단언컨데 꾸준히 지속발전하는 건강한 사회가 되었으면 좋겠다는 생각에는 변함이 없고, 보안의 대중화로 인하여 관련분야에 업을 가진 사람들의 자부심과 처우개선이 이루어지는 것에 이번 정보보호 전문가 공채 시험을 통하여 공무원의 길이 열리는 단초가 되었으면 하는 바램을 가져본다. 과연 어떠한 결과가 나올지 지켜보토록 하자. @엔시스



신고
Posted by 엔시스

국내 최대 보안 커뮤니티 보안인닷컴이 전국민 보안업데이트 "보안인" 앱 출시를 기념하여 이벤트를 진행합니다.. 다음은 보안인닷컴에 올린 내용입니다...참고 하세요..







전국민 보안업데이트 앱 "보안인" 앱 출시기념 이벤트 진행합니다..

그렇게 많은 숫자는 아니지만 생각보다 많은 분들이 앱을 다운로드 받아 설치해 주셨습니다..

감사하게 생각합니다. 이에 감사의 마음으로 이벤트 진행합니다.

1. 목적: 보안인 앱 출시 기념

2. 이벤트 내용
- 보안인 앱 시행 메인 타임라인에 무료 소개해 드립니다.
- 행사, 세미나, 교육, 학교소개, 동아리소개, 보안제품소개, 인력채용, 보안서비스소개, 회사소개등 보안에 관련된 여러가지 널리 알리고 싶은 내용. 취직을 원하고자 하는 사람은 구직내용도 가능함

3. 대상: 보안인닷컴회원 및 페북 보안클럽 회원, 기타 보안에 관심 있는 자.

4. 인원: 보내주신 분들 중에서 검토하여 10분을 선정하여 앱초기 타임라인에 소개

5. 보내는 방법: 보내실때 이름,소속,메일,연락처, 그리고 소개하고자 하는 내용 및 이미지 컷, 자유양식

6. 보내는곳: boanin@naver.com [이벤트신청] 반드시 머리말 기재 요망

많은 관심과 참여 부탁드립니다...

보안인닷컴 운영자 올림


생각보다 많은 분들이 다운로드하여 주셨습니다. 아직도 추가 보완해야 할 부분이 있지만 많은 관심과 격려 감사드립니다.. 앱을 개발한 목적은 하나입니다. 바로 "보안의 대중화" 입니다. 


보안도 규모의 경제가 되어야 하고 사람들의 무관심 속에서 아무리 외쳐봐도 그것은 고요속에 외침이고 찻잔속에 태풍입니다. 따라서 보안관련 콘텐츠를 쉽게 앱에서 접근 가능할 수 있도록 하나씩 녹여 낼 것입니다..


누군가는 그 몫을 담당해야 할 것이고, "보안인"과 "비보안인"함께 어울어 질 수 있는 플랫폼을 만들어 갈 것입니다. 아직, 아이폰 사용자만을 대상으로 개발하였으나 안드로이드 사용자용도 개발에 착수하였습니다.  조금만 기다려 주시기 바랍니다. 


그동안 10년이 넘는 커뮤니티를 운영해 왔고, 보안인식제고와 오프라인 모임등 그 누구보다 보안에 대한 열정적인 삶을 살아 왔습니다. 하지만 대부분 시간이 흐르고 나이가 들면 힘들어 합니다. 이제는 당당히 자신의 분야에서 굿굿히 자긍심을 가지고 헤쳐 나가는 모습을 누군가는 보여 주어야 한다고 생각합니다. 그 첫번째 작품이 "보안인" 앱입니다.,.


여러분들의 무관심은 또 다시 보안불감증으로 만들수 있습니다. 많은 관심을 가지고 아이폰사용하시는 분들은 앱스토에서 "보안인" 또는 "boanin"으로 검색하셔서 다운로드 받으시면 됩니다. 많은 피드백 주시면 감사하겠습니다.. 


보안인 앱 다운로드 


https://itunes.apple.com/kr/app/boan-indaskeom-jeongugmin/id806217406?mt=8


보안인 앱 관련 뉴스, 기사


보안관련 콘텐츠 한곳에 ‘모아모아’  - 보안뉴스


보안인닷컴, ‘보안인’ 앱 출시...정보보안 대중화 일환 -데일리 시큐




보안초보자도 이젠 쉽게 접근 할 수 있습니다..한걸음씩..


바로가기>


보안인닷컴 커뮤니티 : http://www.boanin.com 

보안인닷컴 페북 그룹: https://www.facebook.com/groups/boanin/







신고
Posted by 엔시스


지난 2014 년 1차 전체 기수로는 3기로 인증심사원 교육을 수료하고 시험보고 나서 합격하여 서류 심사 통과후에 얼마전에 PIPL 인증심사원으로 선정되었다는 메일 받았습니다.


오늘 관련 기관에서 개인정보보호인증 심사원 교육 대상자를 공개 모집하고 있네요..연초에 카드사 개인정보유출로 인하여 많이 관심을 가지는 분야인만큼 지원자가 많고 경쟁률이 높다는 소리를 들었습니다.





관심 있는 분들은 지원하셔서 공공기관, 대기업, 중소기업, 소상공인 관련 개인정보보호 인식 향상에 일조 할 수 있는 인증심사원이 탄생하길 기원해 봅니다...


보다 자세한 내용은 http://www.nia.or.kr/bbs/board_view.asp?BoardID=201112021126599835&id=12587&Order=020100&search_target=&keyword=&Flag=020000&nowpage=1&objpage=0  을 참조 바랍니다. 감사합니다.




신고
Posted by 엔시스

보안커뮤니티 '보안인닷컴' 은 국내 최대 보안커뮤니티이다. 최근 카드개인정보유출 사건으로 인하여 보안의 중요성이 대두 됨에 따라, 앞으로 일반인들도 PC와 스마트폰에 대한 보안지식을 알아야 한다. 보안인닷컴 측은 지난해부터 보안인과 비보안인이 쉽게 보안관련 콘텐츠를 소비 할 수 있는 앱을 개발해 왔다. 




                                     ▲  전국민 보안 업데이트 앱  "보안인" 일부화면



보안정보를 앱하나에서 쉽게 접할 수 있는 "보안인" 앱은 메인에 각종 행사 및 제품, 보안이슈 사항등 중요 사항을 앱을 실행하면 바로 볼 수 있도록 전진배치 하였으며, 메뉴로 들어가게 되면 보안관련자격증,  매거진, 보안전망대, 보안 페북클럽, 책잡지, 뉴스, 구인구직, 행사.세미나, 또한 보안카페등을 이용할 수 있도록 메뉴를 구성하였다.



 

                             ▲  전국민 보안 업데이트 앱 "보안인" 메뉴 구성


보안인닷컴 운영자 전주현 대표는 "연초 카드 개인정보 유출로 국민의 경각심을 일깨웠지만 아직도 기업과 기관에서 보안의 취약한 부분이 많아 전국민이 보안에 대한 관심과 대중화를 위하여 앱을 개발 하게 되었다"라고 말한다. 이제 초보자도 손쉽게 보안에 대하여 접할 수 있는 앱이 있어 출,퇴근시간과 이동시간에 다양한 보안에 대한 정보를 볼수 있게 되었다.  아직 시작단계라 미미한 수준이지만 부족한 부분은 꾸준한 피드백을 받아 업데이트 할 예정이라 한다. 


전국민 보안업데이트 "보안인" 앱은 보안인닷컴 대표운영자 전주현씨가 지난해 <국가기술 정보보안기사, 산업기사 한권으로 끝내기 >를 출간하여 베스트 셀러에 오르면서 독자들에게 감사의 마음으로 인세중 일부를 기부하여 화제가 되기도 하였다. 이는 부족한 기부금이지만 앱개발을 통하여 조금이나마 국내 보안발전에 기여 할 수 있다면 보람있겠다는 전대표의 의지가 담겨져 있는 앱이기도 하다.


전국민 보안업데이트 "보안인"앱은 다음과 같은 기능을 담고 있다. 


     ▲  전국민이 앱을 통하여 각종 보안 뉴스와 기사를 전문가가 선별한 뉴스를 접할 수 있음.

     ▲  스마트폰 버전에 적합한 보안관련 자격증 정보를 접 할수 있음.

     ▲  페북 인증을 통하여 보안인클럽에서 자유롭게 질문답변과 소통가능함.

     ▲  보안행사나 교육등 다양한 보안관련 행사를 접할 수 있음.

     ▲  보안관련 구인 구직 공지를 통하여 일자리를 찾고 보안전문가를 매치 시킬수 있음

     ▲  보안인닷컴에서 매월 발행한 보안 E-매거진 "보안인"을 앱에서 구독가능.
     
▲  초보 보안인을 위한 보안 책, 잡지 추천도서 제공. 그외 추가업데이트 예정



"보안인" 앱은 아이폰 사용자를 대상으로 개발이 되었으며, 차후 반응이 좋으면 안드로이드 버전도 개발할 포부를 밝혔다. 아마도 국내 대다수 안드로이드 스마트폰을 사용하기 때문에 조금 더 고생해야 할것 같다며, 많은 사랑을 받았으면 좋겠다면서 미소를 지었다.


한편, "보안인"앱 개발에 참여 하고 있는 개발자들은 젊은 감각으로 학업과 병행하면서 보안에 대하여 군대에서도 보안관련 업무도 하였으며, 개발까지 병행하고 있어 "보안인 앱을 개발하면서 자부심을 가지고 개발에 참여 하고 있다"고 밝히고 있다. UI도 화려함 보다는 오랫동안 사용하여도 지루함이 없는 깔끔하고 심플한 젊은층이 선호하는 UI를 채택하였다고 한다. 


또한 콘텐츠를 담아내는 앱이라 커뮤니티 10년 운영 노하우를 살려 관리가 중요하며 앱도 꾸준하고 성실하게 관리하면서 잠깐 방문하고 잊혀지는 앱이아니라 항상 폰에 설치해 두고 틈틈히 방문해 주었으면 하는 바램을 가진다는 전주현대표.최근 보안에 대한 많은 이슈가 있는 만큼 보안인과 비보안인이 함께 소통할 수 있는 사랑받는 앱이 되길 기대해 본다.  


보안인닷컴 앱 다운로드 하려면 앱스토에서 "보안인" 혹은 "boanin"이라고 검색하면 바로 다운로드 받을 수 있다. 혹은 다음 주소에서 다운로드 받으면 된다.


https://itunes.apple.com/kr/app/boan-indaskeom-jeongugmin/id806217406?mt=8


보안을 사랑하시는 분들이나 회원분들은 널리 알려 주시면 감사하겠습니다.





신고
Posted by 엔시스


개인정보보호법이 제정된 2011년부터 2년정도 개인정보보호법과 정보통신망법에 따른 각종 특별법등을 중심으로 하여 정부에서 요구하는 수준의 개인정보보호 교육을 170여차례 공공기관과 민간에 다녔습니다. 이렇게 기회를 얻을 수 있었던 것은 (과거 행정안전부) 안전행정부 개인정보보호 전문 강사단에 위촉이 되면서 운이 좋게 기회를 많이 얻었기 때문입니다.


거듭되는 교육에 처음에는 법 위주로 교육이 진행이 되었으나 차츰 법내용이 어렵고 지루함에 따라 요구하는 사항도 조금 달라지기 시작했습니다. 즉, 맞춤형 교육을 원하는 것입니다. 그렇다보니 다음과 같은 카테고리로 나누어지게 되었습니다.


  • 공공기관에 맞는 개인정보보호 (일부 정부3.0 포함 )
  • 의료기관에 맞는 개인정보보호 
  • 교육기관에 맞는 개인정보보호
  • 복지기관에 맞는 개인정보보호

아마도 이렇게 다양한 포멧으로 교육을 경험한 분을 그리 많지 않으리라 생각이 듭니다. 앞으로도 더 분화되고 다양화 되리라 생각이 듭니다. 범용적인 수준에서 법해석이나 근거규정을 이야기하지만 그것은 전달하고자 하는 내용이고 듣고자 하는 사람들은 내 업무에서 내 일에서 개인정보를 어떻게 보호 할 것인가에 대한 니즈를 더 요구하기 때문입니다. 

보안이라는 개념에서는 산업보안 , IT보안, 물리적보안(영상포함) 이 큰 분류로 나눌수 있고, 이중에서 IT보안에서는 '기업보안'과 '개인정보보호'로 나눌수 있겠습니다. 그 출발점부터 다르기 때문에 나누어 볼수 있는데요..

'기업보안'은 유,무형 자산을 중심으로 하여 자산을 식별하고 위험(Risk)을 감소시키는 기업이 정보의 주체인 데 반하여 '개인정보보호'는 정보주체가 기업이 아닌 '개인'이라는 사실입니다. 대부분 영업과 홍보 마케팅을 위하여 과도한 개인정보를 수집하고 있어 자칫 그 정보가 기업에 자산으로 착각하는 경우가 많지만 그 정보의 주체는 바로 수집에 동의한 '개인'이라는 측면에서 달리 접근해야 합니다. 

카드사 금융 개인정보 유출도 이런 측면에서 개인에 대한 정보 소홀로 여겨져 국민들이 분개하고 있는 것입니다. 기업에 정보가 유출이 되었다면 아마도 그 해당 기업만 이미지 하락이나 정보 유출에 대한 타격을 입었을 것입니다. 이러한 측면에서 앞으로 개인정보보호에 대한 이슈와 관심 증대는 더욱 가속화 될 것입니다. 이는 삶의 질이 높아지고 개인 프라이버시를 존중하고자 하는 인간의 본능이기도 합니다.

기업보안을 근간으로 하여 경험한 필자는 이러한 측면에서 주목을 하고 개인정보보호에 대한 관심을 가지고 
있었고, 그 정보를 공유하고자 커뮤니티를 개설하고, 교육을 하게 되면 교육일지를 지속적으로 기록해 왔습니다. 


                       전주현의 개인정보보호 길라잡이 : http://cafe.naver.com/privacyguide

                       개인정보보호 교육 기관 및 리스트 
 http://cafe.naver.com/privacyguide/821

앞으로 보안 및 개인정보보호의 다양한 경험을 통하여 눈높이에 맞게 사전에 준비를 하여 최선을 다해 보안과 개인정보보호 인식제고에 노력을 경주 할 것입니다. @엔시스.



신고
Posted by 엔시스

2014년 연초에 대한민국을 강타한 일이 발생이 되었다. 1억건이 넘는 국민의 개인 금융정보가 털린 것이다. 늘 그렇듯이 너도나도 언론과 방송에서 앞 다투어 보도가 되었고, 국무총리와 국회의원, 심지어 대통령까지 나서서 관심을 보였다. 결론은 한 사람의 내부통제가 안되어 이루어진 인재(人災)라는 것이다. 개인정보에 대한 중요성 인식이 조금은 되었으리라 생각은 들지만 그 파장은 크기만 하다.  보안에 대한 평소 고민한 내용을 기록해 보고자 한다. -주인백.



100% 완벽한 보안은 없다.


공격과 수비에서 항상 우위를 점하는 것은 '공격'이다. 언제든지 틈새를 찾아 공격의 날을 세우기 때문이다. 이는 공격이 이루어지기 전에는 나의 약점이 무엇인지를 잘 모르는 경우가 많기 때문이다. 기술이 급격하게 발전하는 IT분야에서는 더욱 그렇다. 그러나 100% 완벽하게 막아 내길 우린 바란다. 하지만 보안은 100% 완벽하게 막아내는 것이 아니라 그 위험(Risk)을 수용 가능한 수준까지 감소 시키는 것이 목적이다. 혹시 100% 모든 것을 막을 수 있다고 하는 말에는 현혹되지 말길 바란다. 


100% 막는다고 했는데 못 막으면 당신이 모든 것을 책임질수 있는가? 책임을 회피하려는 것이 아니다. IT보안에 있어서 늘 취약점은 있기 마련이기 때문이다. 이는 기술과 환경이 멈추어져 있는 것이 아니라 물처럼 흐르고 있기 때문이다. 새로운 기술이 나오고, 새로운 디바이스(Device)가 나오면 그것에 맞는 운영체제(OS)가 나오고 이는 또 새로운 위험(Risk)를 포함하고 있기 때문이다.


기술의 발전 뒤에는 늘 역기능이 있게 마련


보안이라는 분야는 상당히 광범위하다. 산업보안,IT보안, 물리적보안(영상정보)등 사회 전반적으로 유형자산과 무형자산을 담보로 하는 위험은 모두 보안의 범위에 포함이 된다. 농경시대에는 밭에서 씨앗을 심고 길러서 수렵과 채집을 통하여 살아왔다. 그것이 조금 발전을 하여 전기,자동차,기차가 개발이 되면서 대량화 하기 위한 공장이 세워지는 산업화 시대로 발전 되었다. 산업화 시대에는 굴뚝산업이 주류를 이루었고, 수동으로 사람이 모든 것을 처리하기엔 어려움이 있었다. 그 어려움을 해소하기 위한 컴퓨터와 인터넷 기술로 발전하였고 이는 정보화 시대로 도래가 되었다. 이제 집집마다 초고속인터넷이 들어가고 가정마다 PC 없는 곳이 없을 만큼 인터넷과 컴퓨터는 생활에 일부로 자리잡았다. 


인터넷의 역사는 그리 오래되지 않는다. 아무리 러프하게 잡아도 80년도라 해도 35년 90년도라고 하면 25년 역사밖에 안되는 것이다. 다른 산업에 비하면 정말 빠른 성장과 눈부신 발전이다. 특히 대한민국 IT는 더욱 그렇다. 이제 생활은 모든 IT를 통하여 점점 접목되어가고 있고, 자동차와 선박(조선)등도 ICT와 결합이 이루어짐으로써 점점 그 비중은 커지고 있다. 이에 따른 역기능도 점점 증가하고 있다.



전문분야에 따른 전문인력 수혈과 고용창출해야


2003년대 1.25 대란은 필자는 현장에서 직접 겪었다. 그때에 국내 K통신사에 일할때였는데 전국이 처음으로 인터넷이 마비되는 사태가 발생이 되었다. 아직도 기억이 생생하다. 


관련 포스팅 (http://www.sis.pe.kr/2432)


그 이후에 보안 사건사고는 지속적으로 발생하였다. 7.7디도스 , 3.3디도스 , 1억건 개인정보유출, 그리고 크고 작은 해킹사고와 정보유출등..관련 분야에 기술은 지속발전하고 글로벌 기술은 점점 자동차,선박,의료등 각 산업에서는 ICT와 융합을 하고 있다. 이러한 가운데 관련 분야에 경험과 지식, 그리고 실력을 가진 전문가를 많이 확보하는 것이 중요하다. 


지난해 철도파업으로 인하여 철도 기관사가 부족하였을때 퇴직한 기관사나 군에서 협조를 받아 대체하는등 전문 인력에 대한 공백을 임시나마 메우기도 하였다. 난 묻고 싶다. 과연 보안이 중요하다고 하면서 보안사태가 발생하였을때, 혹은 중요시설에 어떠한 외부적인 요인이나 공격으로 또는 심지어 전쟁이 일어났을때 일부 공백사태가 생기면 그 공백을 메워줄수 있는 버퍼(Buffer)가 될 수 있는 보안 인력이 과연 있는지..


타 산업분야는 경험과 나이가 들어 갈수록 연륜과 경험이 도움이 될수 있으나 IT분야는 오히려 나이가 들어갈수록 점점 체력적으로나 기술적으로 처질수 밖에 없어서 이러한 여러가지 측면에서 구조적으로 사회적 ICT에 대한 고민이 필요하다. 단순히 당신이 나이먹어서 노력하지 않으니 IT기술을 따라가지 못할 수 밖에 없다고 치부하기엔 너무 말뿐이다. 


현실은 현실인 것이다. 내부통제가 안되는 것도, 보안이 잘 안되는 것도, 경영자가 보안조직과 인력과 예산을 비용이라고 생각하는 것도 빨리 고쳐져야 할 고정관념중에 하나이다. 오히려 전문인력이 지속가능하게 그 일만 할 수 있다면 해킹과 정보유출시 기회비용을 회수하고도 남을 것이다. 보안사건사고만 나면 언론과 방송에 대서특필하면서 관련자 처벌과 이야기하지만 또 시간이 지나면 제자리로 돌아가는 악순환이 되는 도돌이표가 되는 것을 수없이 많이 봐 왔기 때문이다. 이번 카드사 개인정보 유출시에도 카드 재발급 비용이면 관련 전문가 높은 연봉과 정규직으로 채용을 몇명을 해도 할 수 있었을 것이다.


우린 보안분야에서 지속가능하고 안정적으로 자신의 업(業)으로 생각하고 자부심을 가지고 일할 수 있도록 처우개선과 고용창출의 자리를 마련해야 하도록 사회적 합의를 이끌어 내야 한다. 어쩌면 이러한 큰 보안사건사고가 생겼기 때문에 관심을 가지는 것인지도 모른다. 물론 해당 담당자나 기업은 희생이 되겠지만 말이다.



과연 당신이 생각하는 보안전문가란?


의사는 의사자격시험에 합격을 해야 하고, 변호사와 판,검사는 사법시험에 합격을 해야한다. 보안전문가는 도대체 어떤 기준으로 보안전문가라고 해야 하는가? 보안관련  자격증만 있으면? 아니면 보안전문업체에 근무만 하면? 학교에서 보안관련 수업만 하면? 기업체 보안담당이면? 보안관련 코딩만 하면? 도대체 보안전문가라는 기준점이 없다. 의사,변호사등 전문직과 같이 엄연히 아무나 보안에 대하여 함부로 말하거나 이야기 할 수 없다. 그만큼 범위도 넓고 깊이도 깊은 분야이며 빠른 기술의 발전으로 끊임없이 학습하고 공부해야 하는 분야이기 때문에 더욱더 노력해야 하기 때문이다.. 결코 관련분야 업무를 오래했다고 해서 전문가라는 소리를 들을수 있는 분야도 아니다. 나이들어서 실무와 떨어지는 업무를 하게 되면 금새 도태되는 그런 분야이기도 하다. 필자가 제시하는 보안전문가에 대한 기준은 다음과 같다. 카페나 블로그등에서도 여러번 언급한 적이 있지만 다시 한번 생각해 본다. 주관적인 생각이니 다르게 생각하는 분들은 댓글 바란다.


  • 보안관련 전공을 해야 한다. (정보보호학과등등..유사 학과 포함)
  • 보안관련분야에 최소한 2년정도 근무를 해야 한다.
  • 보안관련 라이센스 2개 이상 보유해야 한다.
  • 보안관련 메인 저자로 논문 한개는 써야 한다.
(위 요건을 충족하지 않더라도 전문가는 많다. 하지만 이제 막 시작하는 비기너를 위한 조언임을 감안할것)

1. 보안관련 전공을 해야 한다. 

자신의 진로를 이쪽 분야로 정했다면 아무래도 보안관련 전공을 하여 자신이 관련 지식을 쌓는 것이 중요하다. 그렇지 않을 경우에는 그만큼 힘이 들고 비전공자는 남들보다 두배의 노력을 기울여야 할 것이다.그러니 자신의 목표와 진로를 명확히 하고 꾸준히 발전하려고 노력하는 것이 중요하다. 비전공자는 보통 자신의 부족한 이론적 지식을 보충하기 위하여 회사를 다니면서 대학원에 많이들 다닌다. 대학원도 직장다니면서 비싼 등록금내면서 다니니 그리 쉬운 것은 아니다.

2. 보안관련 업무를 2-3년정도 해야 한다.

보안에 관심이 있으나 어려울 경우에는 관련 업무를 하는 담당자나 전문업체에서 최소 2년이상은 근무를 해 봐야 한다. 그렇다고 해서 모든 것을 아는 것은 아니겠지만 어느정도 어떻게 돌아가는지 무엇을 해야 하는지 정도는 알 수 있을 것이다. 물론 단순 자기업무만 바라보는 것이 아니라 큰 그림에서 보는 경험과 실무를 하기 위해 노력하는 것이 중요할 것이다. 2년동안 관제만 하였다고 해서 , 2년동안 컨설팅을 위한 문서작업만 하였다고 해서, 2년동안 시스템 운영만 하였다고 해서 보안을 이해하기란 쉽지 않다. 큰 그림을 볼 수있는 노력은 개별적으로 하여야 할 것이다. 그렇게 하기 위하여 보안업무를 하면서 늘 노력하는 자세가 필요하다.

3. 보안관련 라이센스를 2개이상 보유해야 한다.

우린 실무가 중요하다고 한다. 물론 맞는 말이다. 그러나 현장에서  부딪히다보면 실무는 바보가 아닌 이상 익혀진다. 모르는 것이 아니라 단지 내가 그 업무가 익숙해지지 않았기 때문이다. 시간이 지나고 반복적인 업무가 될수록 우리는 일상이 지루해지고 업무에 대한 회의감이 들게 마련이다. 이럴때 자신의 관련분야의 이론적 지식이 어느정도 되는지 객관적 기관의 검증을 받아보는 것이 굉장히 중요하다.

 자신의 지식이 부족하다는 사실을 인지하는 순간 허탈감에 빠진다. 관련분야에 오래 있었고, 많은 경험이 있었다고 생각을 했지만 실제 그것은 안다고 하는 지식이었을뿐 아는 지식은 아니었기 때문이다. 자신의 착각이 불러온 오류였던 것이다. 이런 신선한 충격이 자신에게 다가 왔다면 정말 깨어 있는 사람이다. 하지만 그것을 한낱 다른 탓으로 돌린다면 자신의 어리석음이었음을 세월이 지나 나이가 들면 그때 깨달을 것이다. 꾸준한 지식을 축적하고 시험이라는 긴장의 끈을 놓지 않는 것이 중요하다. 또한 합격시에는 성취감도 맛볼수 있으니 자신을 채찍질 하는데 중요한 포인트가 된다. 또한 결과물도 있으니 추후 활용도 방안도 생각후 도전하는 것이 좋겠다.

4. 보안관련 메인저자로 논문 한개는 써야 한다.

우리가 알고 있는 지식을 일정한 논리적인 형식에 따라 한번 정리를 해 보고 논증을 해 본다는 것이 굉장히 중요하다. 또한 관련 지식에 대하여 과거에는 어떠한 지식이 있었으며 현황 분석과 종류 그리고 나아가 내가 바라보는 개선되는 점, 나아지는 방법을 논리적으로 써 본다는 것은 굉장히 중요하고 힘든 일이다. 옆에서 누가 도와 주었건 내가 직접 적었건 자신의 이름으로 된 논문 하나를 써 본다는 경험은 자신이 연구한 주제에 대하여 한단계 성장 시키는 것은 틀림이 없다. 그래서 우린 늘 기록해야 한다. 그리고 기록한 글을 공유해야 한다. 그래야 올바른 정보인지 아닌지를 알수 있으니까. 


국가 기술자격증  '정보보안기사, 산업기사'에 거는 기대와 발전방향
 (정보보안기사, 산업기사 시험은 보안에 대한 기초지식 테스트)

관련분야에 일할 자격이 있는지 없는지에 대한 가장 간단하고 객관적인 잣대로 측정 할 수 있는 것이 바로 '자격증'이다. 그것은 어쩔수 없는 현실이다. 토익 990점 맞아도 회화 한마디 못한다는 우스게 소리가 있어도 또 토익점수를 측정잣대로 대는 것은 어쩔수 없는 현실이기 때문이다. 보안도 마찬가지이다. 보안관련 분야에 있어서 일할수 있는 사람인지 아닌지 측정 할 수 있는 근거 부족하다. 그렇다보니 어쩔수 없이 자격증과 경력으로 대부분 측정을 한다.  



                          

    <국가기술 자격증 '정보보안기사' 제2회 합격 >              
  
국가기술자격증인 '정보보안기사' , '산업기사' 자격증이 민간자격증에서 국가기술 자격증으로 승격된 만큼 그 신뢰도를 이어가길 기대해 보고, 또한 그렇게 될 것이라 생각을 한다. 그 이유는 해외 자격증도 있지만 너무 비싼 수험료와 그 금액이 고스란히 해외 검정기관으로 빠져 나간다는 것이다. 이러한 점을 고려해서라도 국가기술자격증의 신뢰도와 합격시에 주는 혜택은 커야 할 것이다. 아마도 필자의 예측으로는 관련분야  공공기관, 대기업 취직과 이직,전직시에 반드시 필요한 측정 기준이 될 것이다. 공공기관이 국가기술자격증 놔두고 해외자격증을 메인으로 둘수는 없는 노릇이기 때문이다. 

앞으로 공무원이 되고자 하는 전산직렬에서는 보안이 메인으로 자리 잡을 것이며, 이에 대한 중요성도 커질 것이다. 이미 2014년 9급 전산직렬 과목에 '정보보호론'이 채택이 되었다. 

또한 '정보보안기사'와 '산업기사' 국가기술 자격을 검정하는 한국인터넷진흥원이나 산업인력관리공단에서는 7급전산직 공무원과 9급 전산직 공무원 응시자격에 '정보보안기사, 산업기사' 자격도 추가로 넣는 노력도 하여야 할 것이다. 

필자도 다행히 운이 좋아서 지난해 국가기술 정보보안 기사 2회 시험에 필기, 실기 시험에 합격을 하게 되어 그나마 교재를 출간한 사람으로서 조금은 면을 세우게 되었다. 이제는 저자도 무자격자보다는 스스로 시험에 응시하여 합격을 하여 합격된 사람으로 검증을 받아야 더 신뢰감을 줄수 있는 시대가 되었다. 앞으로 더 노력해 나갈 것이다. 여러분이 생각하는 보안전문가는 어떤 사람이 보안전문가인지를 논(論)해 보면 좋겠다. 
끝. @엔시스.


신고
Posted by 엔시스


며칠전 한 대학에서 접근통제 방법에 대하여 설명하던 중에 아이디와 패스워드에 대한 이야기가 나왔습니다. 오늘은 가장 많이 사용하고 있는 아이디와 패스워드에 대하여 쉽고 간편하게 알아 볼 수 있는 방법을 살펴 보고자 합니다. 보안에 어려움을 느끼는 분들이나 초보보안 관심자, 혹은 자신의 비밀번호가 안전한지 살펴보고자 하시는 분들은 참고 하시면 좋겠습니다. -주인백



1. 식별, 인증, 인가, 책임추적성


접근제어 중에서 가장 많이 사용하는 것이 바로 '식별'입니다. 즉, 아이디와 패스워드를 이용한 식별을 하는 것이지요. 최근에는 OTP(일회용패스워드)를 금융권등에서 많이 사용하고 있지만 아직도 대다수 웹사이트들은 아이디와 패스워드를 이용한 식별을 많이 하는 것이 현실입니다. 



2. 취약한 패스워드로 계정 탈취


악의적인 목적을 가진 공격자는 취약한 패스워드를 이용하여 아주 손쉽게 계정을 탈취하게 됩니다. 이러한 계정 탈취는 또 다른 피해로 이어집니다. 최근 금융감독원 (2013.12.5) 보도자료에 따르면 무역대금 사기 피해사례가 증가하고 있다고 합니다. 


1) 피해사례

 

경남에서 화훼를 수입판매하는 F사는 네덜란드소재 거래처(G사)와 2년간 거래관계를 유지하던 중, 최근 이메일을 통해 영국소재 은행에 신규로 개설한 계좌로 물품대금을 송금하도록 요청받음

 

F사의 해외영업담당직원은 G사와 재차 이메일을 통해 동 사실을 확인한 후 신규계좌로 송금해도 괜찮다는 답변을 받았으며, 이후 두차례에 걸쳐 EUR 35,000를 송금

 

약 1개월 후 F사는 G사에서 수입대금을 받지 못했다는 연락을 받아 사실관계를 확인한 결과, 이메일 해킹에 의한 무역대금 사기피해 인지


이렇듯 메일을 통한 특정 기업을 타켓으로 하여 속이는 행위를 '스피어피싱' (Spear-phishing)[각주:1]이라고 합니다. 최신 보안관련하여 자주 언급되는 용어이기도 합니다. 이러한 사기 기저에는 모두 메일을 통한 사기가 대부분입니다. 즉, 누군가에 의해 계정 탈취가 되었고, 패스워드가 노출 되었다는 이야기가 되겠지요. 메일을 통하여 상대방인척 속이는 행위를 하였던 것입니다. 이제는 돈 거래에 대한 부분은 반드시 유선으로 확인 하는 절차를 가지는 것이 바람직합니다.



3. 패스워드 얼마나 안전한가? 그럼 당신의 패스워드는?


며칠전 KNN방송국에서 패스워드 관련하여 일반인도 쉽게 자신의 패스워드가 얼마나 취약한지를 확인해 보는 패스워드에 관련된 기획보도를 한바 있습니다. 그중에 나오는 패스워드 점검 사이트를 하나 알려 드리겠습니다. 자신의 패스워드는 얼마나 안전한지를 아래 링크 사이트에서  한번 점검해 보시길 바랍니다. 


간단하게 테스트 해 볼 수 있으니 꼭 실행해 보시길 바랍니다. 





패스워드 점검 사이트 :  http://howsecureismypassword.net/



4. 패스워드를 어떻게 하면 안전하게 만들 수 있을까? 


아래 KNN 길재섭 기자님이 아주 잘 설명해 주셔서 참고 하시길 바랍니다. ^^




5. 마무리


아무리 보안을 강화하고 여러 조치를 취한다 하더라도 사용자 보안에 대한 인식제고와 보안에 대한 마인드가 되어 있지 않으면 웹상에서 오픈되어 있는 가장 많이 사용하는 식별인 아이디와 패스워드 유출은 여전히 증가하게 됩니다., 이는 스피어피싱 등으로 사기를 당할 수 있으며 제2의 피해가 생기게 됩니다.  누구나 알수 있고 누구나 중요하다고 하지만 정작 자신은 1분이면 패스워드가 크랙되는 패스워드를 사용하고 있다면 그만큼 위험에 노출될 기회가 많아 질 것입니다.


패스워드 관리, 아무리 강조해도 지나치지 않습니다. 오히려 너무 강조해서 식상해 버린 것이 아닌가 하는 생각마저 들지만 이럴때일수록 가장 기초적인 보안을 실천하고 점검하는 자세가 더 강조되는 때이기도 합니다. @엔시스.




  1. 특정인의 정보를 캐내기 위한 피싱 공격을 지칭하는 용어로 작살낚시(spearfishing)를 빗댄 표현 [본문으로]
신고
Posted by 엔시스


2014년 국가기술 정보보안기사 산업기사 자격증 시험 일정표가 공개 되었습니다. 한번 분석해 보겠습니다.



                                                          출처: https://kisq.or.kr/



1. 2014년 보안관련 국가기술 자격증 년 2회 시행


올해에는 첫 시행이라 하반기에 몰아서 시험이 진행이 되었지만 정상적인 2014년에는 상반기 하반기 정도로 2회에 치러지는군요...회수는 2회이지만 결국은 실기시험까지 합치면 4번이 진행 되는 셈입니다. 여기에서는 내가 준비하는 기간과 응시하는 기간을 잘 산정을 해야 합니다. 잘못 시간타이밍을 놓쳐 버리면 최소 6개월을 기다려야 한다는 것입니다. 알다시피 시험기간은 조금 준비 기간이 필요합니다. 특히 비전공자분들은 차분히 기초지식을 쌓는 것이 중요합니다. 이것은 자격증 합격에 대한 목표도 있지만 이번 기회에 이론적 기초를 전반적으로 정리한다는 개념으로 삼으면 좋겠습니다...시험에도 합격하면 금상첨화겠지요..



2. 2회 시행한다는 것에 대한 의미, 혹시 3회정도는 아닐까 했지만 


2회 시험을 진행한다는 것은 검정기관에서도 많은 준비기간을 두겠다는 것입니다. 또한 국가기술 자격증 중에서 보안관련 자격증이기 때문에 아무렇게나 찍어내는 그런 자격증이 될 수 없는 부분입니다. 보안은 앞으로 상당히 중요한 포지션에 취하게 될 것이고, 그 중요성과 요구사항은 점점 커져만 갈 것입니다..그러니 무조건 많이 검정시험을 시행 한다는 것 자체는 커다란 의미가 없습니다. 그렇차원에서 본다면 상반기 하반기 이론과 실기를 보는 것이 가장 무난한 답이 나올수 밖에 없는 구조가 됩니다.  그리고 여러가지 준비 기간도 짧기 보다는 여유있게 준비한다면 시험에 난이도나 품질 그리고 출제등에 더욱 신경을 쓸 수 있기 때문입니다..



3. 수험생 어떻게 준비해야 하는가?


제가 늘 이야기 하는 것 중에 합격증을 받기 위한 목적보다는 그것을 어떻게 활용할 것인가에 집중을 해야 합니다. 취직을 한다든지 , 이직을 한다든지 아니면 전직을 할때 그 타임밍에 맞추어 내가 준비기간을 가지고 공부해야 합니다. 그리고 한번 시험 봐서 한번에 합격 하겠다는 마음으로 공부를 해야 합니다. 그냥 설렁설렁 공부하다가는 기사 시험의 경우에는 대부분 불합격 처리 되는 경우가 많습니다. 물론 저도 시험 분석을 위해서 반복적으로 공부하고 있으며 또한 직접 시험장을 방문하여 수험생 여러분들과 함께 응시하고 있습니다..이러한 노력으로 그 누구보다 심도 있는 깊이와 분석을 하고 있습니다. 그런 것은 다시 "정보보안기사 산업기사 한권으로 끝내기 3총사" 책으로 녹여 내고 있습니다..


철저한 준비를 해야만 합니다. 시간낭비, 돈낭비를 하지 않기를 바랍니다..



4. 보안인 & 비보안인 


보안관련 일이나 전공을 한 사람은 정보보안기사 정도 수준으로 응시하는 것이 바람직 하고 , 비보안인이나 그냥 보안에 관심있어 하는 분들은 조금 부담을 줄여 산업기사에 응시하는 것이 바람직 합니다. 제가 분석해 본 결과 조금만 공부하면 산업기사 수준은 무난히 패스 할 수 있는 수준이었습니다. 물론 이것도 대충해서는 안됩니다. 난이도로 보았을때 비교 하는 것입니다. 또한 법규,제도가 빠져 있기 때문에 주로 아직 실무 경험이나 현장 경험이 없는 또는 기사시험에 부담을 느끼는 분들은 충분히 가능하리라 생각이 됩니다...최근 여러가지 산업화에 트렌드를 살펴 보면 이제는 두리뭉술한 부분보다는 아주 특화된 틈새를 잘 파고 드는 업종이나 재능을 가지고 자신의 업을 삼아 갈 수 있습니다..


내가 먹고 살 분야를 잘 살펴 보라는것이지요.  최소한 사양산업은 되지 않는 분야를 찾아야 하는 것입니다. 특히 이제

갓 사회를 진출하는 분들 같은 경우에는 말이지요..



5. 내년에도 기대해 봅니다. 거품꺼진 진정한 열정 있는 분들만 응시할듯.


회수를 거듭할수록 수정 보완 되어 가기때문에 점차 안정화가 될 것입니다. 그럼 무분별한 거품도 꺼지고 진정 보안에 대하여 열정이 있는 분들만 관심을 보일듯 합니다. 그러니 더욱 가치 있는 자격을 주어지리라 생각합니다. 그냥 페이퍼 라이센스에 대한 것은 철저하게 반대 하는 사람중에 한 사람이기에 취득 한 사람은 자부심과 여러가지 혜택을 주어야 할 것입니다.  그래야 도전하게 되고 패스하면 성취감을 느끼게 될 것입니다. 그러니 절대 시험이 점점 쉬워지는 일은 없을 것입니다. 더 어려워지면 어려워졌지..경쟁력 있는 사람이 되고자 한다면 지식산업에 많은 관심을 기울이고 더욱 중요해지는 ICT 산업중에서 보안에 대한 관심을 적극 가지고 도전해 보시길 바라겠습니다. 내년에도 많은 일들이 일어날 것으로 예상이 됩니다. 


보다 자세한 내용들은 보안인닷커 http://www.boanin.com 이나

 페북 그룹 https://www.facebook.com/groups/boanin/ 에서 많은 보안에 대한 정보 공유를 하고 있습니다..


 이상 끝.  @엔시스.





신고
Posted by 엔시스

지난 월요일 부산 롯데 호텔 그리스털 볼륨 3F에서 "창조인재 포럼 발기인 대회 및 창립총회"가 개최 되었습니다. 이에 저도 참여하게 되었는데요...잠시 스케치 해 보겠습니다.. - 주인백



1. 부산에 인재유출 심각 , 년 1만명, 년3조 경제적 유출


부산 인재 유출이 연 1만명, 그리고 금액으로 환산하면 약3조원의 경제적 유출이 일어나고 있다고 합니다. 이에 창조인재포럼을 구성하여 여러가지 인재육성에 대한 발전기금과 다양한 사업을 진행하고자 발기인 대회 및 창립총회를 열게 되었다고 합니다.


4시정도에 세미나가 있어 가벼운 차림으로 갔으나 추후 복장에 조금 신경 쓸걸 하는 생각이 들었습니다. 저녁에 발기인 창립총회시에는 부산지역에 여러 유명인사와 각계 각층의 기업에 대표, 그리고 대학에 교수님들이 참석하셨습니다. 


2. 창립인재 발기인 190여명..









평소 교육과 인재 양성에 관심을 가지고 있었던 터라 총회 이전에 있었던 세미나에 듀얼(dual ) 시스템에 대한 정부정책 제도에 대해서는 많은 도움이 되었습니다. 듀얼시스템은  일-학습을 어떻게 하면 효율적으로 잘 개선해 나갈지에 대한 제도입니다. 즉, 기업에서는 쓸만한 인재가 없다고 아우성이고, 학교에서는 취직이 안된다고 아우성인 미스매치되는 것을 어떻게 하면 잘 매치 시킬것인가에 대한 고민 시스템이라고 이해 하시면 되겠습니다..


앞으로 어떻게 진행이 될지 모르겠으나 발기인에 한 사람으로 포럼 운영에 기여 할 수 있는 한 사람이 되었으면 하는 바램을 가져 봅니다..이러한 기회를 주신 최성욱 박사님께도 감사의 말씀을 드립니다....^^ 


보다 자세한 내용은 링크된 기사를 참고 하시면 되겠습니다.


지식창조도시 부산 만들기, 각계 전문가 192명 참여

http://www.kookje.co.kr/news2011/asp/newsbody.asp?code=0200&key=20131126.22002205511



신고
Posted by 엔시스


경성대학교에서 보안을 연구하는 [경성대학교 보안문제 연구소]가 개소한다고 합니다.. 요즘 보안이 이슈로 떠 오르고 있기 때문에 각 대학교에서 인재 육성과 산학 협력을 통한 여러가지 보안관련 고민들을 많이 하고 있는데요. 대학 자체내에 보안관련 연구소를 두는 것은 의미 있는 일이라 생각이 됩니다..


부산인근에 있는 분들은 학생과 관계자 이외에 참석하셔도 무방하다고 하니까 아래 포스터 보시고 한번 참석하셔서 자리를 빛내 주셔도 되겠습니다...








주요일정중에  외부 보안전문가를 초빙하여  보안에 대한 현 주소를 듣는 시간도 마련이 되어 있습니다. 


  • 초청 강연회 - 전상훈 이사 (빛스캔, KAIST 정보보호대학원 선임연구원) " 위기의 인터넷" 
  • 일정: 2013년 11월28일 목요일 16:00 -18:00 
  • 주최 : 경성대학교 보안문제 연구소 
앞으로 지역보안발전에 기여하길 기원해 보면서 관심 있는 분들 참석해 보시면 좋겠습니다. ^^;;




신고
Posted by 엔시스

[기획의도] 


이용자의 권리나 정보주체로서의 권리 강화에 일환으로 시작이 되었으며, 개인정보취급자나 처리자 입장에서 움직임은 결국 이용자나 정보주체가 권리를 주장함으로 인하여 개인정보침해가 일어 났음을 증명할때 움직이지 않을까 하는 생각을 합니다. 따라서, 필자는 그동안 수 많은 (공공기관 약 165개기관) 처리자와 취급자에게 교육을 통하여 전달 하였지만 부족한 것은 바로 담당자의 실천과 실행이었습니다. 


조금 더 나은 인식제고를 위하여 우리 주변에서 일어나고 있는 개인정보보호의 실태를 이용자 관점, 정보주체의 관점에서 조명해 보고자 합니다. 이에 관련 기관에서는 현행법상 시행되고 있는 '정보통신망 이용촉진및 정보보호등에 관한 법률(이하 망법)'이나 '개인정보보호법(이하 개보법)'에 대한 법 준수를 가질 수 있도록 유도 함이 목적이기도 합니다. -주인백



1. 부산 B 전시 컨벤션센터


사람들이 가장 많이 몰리는 곳중에 하나가 바로 '전시컨벤션 센터' 입니다. 유명한 행사나 컨퍼런스와 또한 매주마다 혹은 평일에 수 많은 행사가 펼쳐지고 있기 때문이기도 하지요. 그러나 이러한 행사에는 많은 사람의 개인정보를 파악하는 일이 같이 수반이 됩니다. 왜냐하면 행사에 입장객이 얼마이고, 어떤 사람이 다녀갔는지를 파악해야 하기 때문이죠. 행사관계자는 그 많은 사람들이 다녀간 규모에 따라 행사자체의 성공유무를 판가름 할 수 있기 떄문입니다.



2. 무료 관람이나 대형 행사시 참관객 등록 


이렇다 보니 늘 대형 행사장에 들어가기 전에 참관객 등록 절차를 밟아야 합니다. 최근에도 여러 행사가 이루어지고 있었는데요..어제 근처에 행사에 참여 하기 위하여 방문하다보니 과거에도 그랬지만 지금도 여전히 행사시에 개인정보보호법에 나타난 법 준수 사항을 지키지 않는 것을 보면서 무엇이 문제인지를 한번 생각해 보기로 하였습니다.




[그림-1] 행사 참가를 위한 무료 참관객 등록 신청서


위 그림을 보면 참관객 정보를 적는란이 있습니다. 


개인정보 수집항목은  성명, 소속, 부서, 휴대전화, 이메일 입니다..개인정보 수집하는 것이 맞겠죠?


개인정보는 망법과 개보법에 따라 다르긴 하지만 법 적용 대상으로 개보법으로 본다면 '살아있는 개인에 관한 정보' 그리고 '다른 정보와 용이하게 결합하여 개인을 알아 볼 수 있는 정보' 결국 위에 참관객 정보는 개인정보가 맞습니다. 누구인지 알 수 있으니까요..


물론 사진 중간에 보면 수신동의 여부를 정말 가냘프게 한번 물어보긴 하지만 이는 법준수 항목과는 거리가 멀기만 합니다. 단지, 정말 형식적으로 한번 물어 봤다고 생각이 듭니다..



2.1 누가 수집하는 정보일까? 개인정보 처리자가 과연 누구일까?


여기서 관건은 바로 개인정보처리자가 누구인지를 봐야 합니다. 보통 행사를 하게 되면 행사기관에서 개인정보를 수집 하고 있지 센터에서는 직접적인 개인정보를 수집하지는 않습니다. 그랬을때 주관, 주최가 불명확한 경우가 많습니다. 위 그림에서도 내 정보를 수집은 하지만 어느곳에서 수집하는지는 알 수 없습니다. 벡스코에서 수집 할 수도 혹은 주최측에서 혹은 주관하는 쪽에서 수집 할 수도 있는데 정보주체인 자신은 내 정보가 어디로 흘러 가는지를 알수 없습니다.


안내 부스에 있는 여러명에게 질문을 해도 모른다고 합니다. 참 안타까운 현실입니다. 수많은 심지어 수십만명까지 정보 수집에만 열을 올리지 이 개인에 대한 정보가 어디에 축적이 되는지, 수집한 신청서는 어떻게 흘러가서 폐기가 되는지 , 제대로 보관은 되는지에 대한 것은 아무도 알 수 없습니다.


<벡스코 개인정보보호 취급방침> 센터의  개인정보 취급방침입니다.  과연 전시컨벤션션터가 정보통신망법을 준수하는지에도 의문이 듭니다., 개인적인 판단에서는 개인정보보호법 대상이라고 판단이 됩니다만. 어쨌든 개인정보보호법 제30조에 따르면 다음과 같이 되어 있습니다.


 ① 개인정보처리자는 다음 각 호의 사항이 포함된 개인정보의 처리 방침(이하 "개인정보 처리방침"이라 한다)을 정하여야 한다. 이 경우 공공기관은 제32조에 따라 등록대상이 되는 개인정보파일에 대하여 개인정보 처리방침을 정한다.

1. 개인정보의 처리 목적

2. 개인정보의 처리 및 보유 기간

3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다)

4. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다)

5. 정보주체의 권리·의무 및 그 행사방법에 관한 사항

6. 그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항

② 개인정보처리자가 개인정보 처리방침을 수립하거나 변경하는 경우에는 정보주체가 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다.

③ 개인정보 처리방침의 내용과 개인정보처리자와 정보주체 간에 체결한 계약의 내용이 다른 경우에는 정보주체에게 유리한 것을 적용한다.

④ 안전행정부장관은 개인정보 처리방침의 작성지침을 정하여 개인정보처리자에게 그 준수를 권장할 수 있다.  <개정 2013.3.23>


여기에서 과연 행사 한번 할때마다 누가 개인정보를 처리하는가가 관건일 것입니다. 위 그림에서처럼 하면 센터측인가 아니면 개인정보 행사를 담당하고 있는 주관이나 주최측이 되는가 입니다. 아마도 각 행사할때마다 진행하는 행사 주관이나 주최측이 아닐까 생각이 들고 대략적으로 센터측에서 예상 인원을 파악하게 될 것입니다. 그래야 한해동안 센터를 이용한 이용객들의 통계가 나올 수 있으니까요?


3. 그럼 수집한 내 정보는 어떻게 되나? 유출 된다면 누가 책임을 지나? 


가장 민감한 부분일것입니다. 현행법(개인정보보호법)상  법제 26조 , 영 제28조에 따르면 개인정보 위탁시에는 문서로 해야 하며 이에 따른 위탁사는 수탁사를 관리 감독을 하게 끔 되어 있습니다. 그럼 센터는 행사장을 잠시 대여해 주고 그 비용을 받는 위탁일 가능성이 많습니다. 행사장에 대한 부대시설이나 안전등 문제가 생겼을때에는 행사주체자보다는 센터에서 책임을 지는 것이 맞기 때문입니다. 보통 이럴경우에는 개인정보영향평가에서 사용하는 개인정보 업무 흐름표를 작성해 보면 됩니다. 


센터에서의 장소 임대후 수익사업은 센터의 가장 큰 핵심 수입사업이자 메인 사업입니다. 그것이 주된 업무이기도 합니다. 개인정보 업무흐름표상에서 장소를 임대하면서 임대하시는 행사측에 대한 관리 감독이 이루어져야 합니다. 그럼 그 수많은 행사에서 어떻게 일일이 관리하는가? 신경 쓰는가에 대한 반문이 있을 수 있습니다. 보통 교육을 하거나 여러 자문을 할때 이러한 질문을 많이 접하게 되는데요..개인정보보호에 대하여 판단시에는 우선 제일먼저 법에 근거한 해석으로 판단을 하게 됩니다. 즉, 다시 말하면 기존 관행이나 업무부담, 비용등에 대한 것은 논외로 하고 우선 법적으로 판단하기 때문입니다.



3.1 그럼 어떻게 해야 하나?


행사에 따른 장소 및 이용에 대한 계약서 작성시에 위탁사는 수탁사에 대한 관리 감독을 하여야 하고 이에 따른 개인정보를 수집하게 되면 개인정보 수집에 대한 유출시 책임에 대한 사항을 위탁 계약서에 포함을 해야 할 것입니다. 이는 위탁사의 관리 감독에 따른 사항으로 철저히 지켜질 필요가 있습니다. 혹자는 장소만 대여하는데 무슨 관계가 있는가라고 반문 할지 모르겠으나 그 장소 대여에 따른 비용 수익이 발생하기 때문입니다. 이에는 시설안전과 기타 사항이 모두 포함되는 비용이라 생각이 됩니다. 그 속에 개인정보도 포함된다고 필자는 판단하기 때문입니다..관리감독을 철저히 해야 합니다.  만약 지켜지지 않았을시에는 3천만원이하의 과태료가 부과 됩니다.



이와 유사한 케이스가 많이 있을텐데 개인정보보호 담당자는 장소 대여하고 비용청구 및 정산시에 계약서 작성을 할때 그 계약서 안에 개인정보 수집에 대한 사항을 포함하여 행사 주최나 주관사로 하여금 개인정보보호법을 준수하도록 하여야 합니다. 그리고 그에 따른 개인정보 위반이나 유출시에 책임을 묻겠다는 조항도 포함이 되어야 할 것입니다. 단지 장소만 빌려주니까 당신들이 알아서 하라는식으로 하는 것은 장소 대여하는 비용 수익 발생과 아무런 연관이 없어야 할 것입니다. 그래서 개인정보가 상당히 어렵습니다..공부를 많이 해야 하는 부분중에 하나이기도 합니다.



4. 마무리 


우리가 어떠한 판단이나 결정을 할때는 반드시 기준이 필요합니다. 그러나 그 기준을 가지고 보는 사람마다 견해차이를 둘 수 있습니다. 특히 법 같은 경우에는 유권해석에 따라 다르게 판단하는 경우가 있으며, 그 상황상황 마다 다르게 결정될 수 있습니다. 그래서 판례도 많이 생겨 날텐데요...필자의 판단과 다르게 해석할 수도 있습니다. 하지만 개인정보보호법, 혹은 망법의 개인정보보호에 대한 취지를 생각해 볼 필요가 있습니다. 


법에 취지는 이용자 혹은 정보주체의 개인정보 자기결정권과 권리를 주장할 필요가 있고, 과다한 개인정보 수집을 하지 않는 것이 법의 취지입니다. 행사 진행으로 인하여 기존관행이 그대로 된다면 현행법상 많이 힘들어 지게 됩니다. 

간단한 연령, 성별, 이름 정도만 수집하여도 행사 참여자는 얼마든지 인원 파악은 가능합니다. 굳이 이메일과 휴대폰번호까지 수집해야 할 이유가 없습니다. 필요하다면 그 필요한 상황에서 수집하면 되지, 무료 참관 할때 과도한 수집은 기존관행에서 벗어나지 못하고 있다는 것입니다. 그것이 법의 취지이기도 합니다. 


앞으로 필자는 개인정보보호 인식제고 차원에서 사회 곳곳에 우리 생활에서 접할 수 있는 개인정보침해 현장을 살펴보고 개선해 나갈 수 있도록 제 블로그를 방문하시는 분들과 함께 의논해 나가면서 건전한 토론문화를 정착해 나갈 수 있도록 생각하고 있습니다...건전한 피드백은 언제든지 환영합니다. 이제 소중한 개인의 정보는 자신이 지켜야 합니다.  @엔시스.






신고
Posted by 엔시스


며칠전 오랜만에 고등학생들을 대상으로 스마트폰과 정보보안에 대한 교육을 진행하였습니다. 집합교육으로 고등학교에는 2번째인데요..재미있게 교육을 한 듯 합니다. 지난번  [강의-33] 최근 보안경향과 정보보호의 이해 -부산정보고등학교  교육시에는 방송반에서 방송으로 전체 교실에 전달이 될 수 있도록 하여 색다른 경험을 하였지만 이번에는 집합교육으로 진행 하였습니다.






역시 고등학생은 고등학생이더군요...고등학생들 교육을 하면 다음과 같은 특징이 있습니다.


  • 교육에 집중하지 못하고 산만합니다...
  • 스마트폰을 가지고 놉니다..
  • 일부는 아예 잠들어 버립니다.
  • 옆 친구와 대화를 합니다..

아마도 이러한 것을 미리 짐작 하였는데 교육 중간에 선생님께서 휴대폰을 모두 전원을 끄고 사용하는 학생은 압수한다고 엄포를 놓으시더군요..또한 저도 학생들의 관심과 집중을 유도하기 위하여 소정의 상품권 몇장을 준비해 갔습니다.

즉, 일방적인 교육이 아니라, 학생들이 답변할 수 있도록 참여를 이끌고, 집중하고 몰입할 수 있는 방법을 연구하여 준비를 많이 했더랬습니다. 그리고 딱딱한 PT보다는 동영상을 준비하여 임팩트 있게 진행을 하였습니다. 역시 제 전략이 맞아 떨어졌습니다..ㅎㅎ 

학생들은 반응하였고, 집중하였으며 특히 앞자리에 앉은 몇몇 여학생들은 역시 리액션도 최고더군요..대답 잘하는 친구에게 선물을 주었습니다.. 또한 몰입할 수 있는 영상을 보여주면서 간간히 설명하여 주었더니 그리 산만하지도 않고 집중력 있게 교육 할 수 있었습니다...물론 여기저기 눈감고 있거나 약간 대화하는 친구도 간간히 있었지만 집중력 있게 할 수 있었습니다. 특히 선생님께서 이리저리 다니면서 최소한 교육에 집중할 수 있도록 학생들을 통제 해 주셔서 더 잘 되었던 것 같네요..

마지막, 보안전문가가 되기 위하여 어떠한 트렌트에 관심을 가져야 하는 부분에서 자신이 관심이 있는 부분, 자신이 어떠한 분야로 진출 하고자 하는지를 당당하게 여러사람 앞에서 말할수 있는 사람 손들어 보라고 했습니다. 역시 요즘 아이들은 자기 주장도 강하더군요...성인들은 대부분 잘 없잖아요... 그 학생에게 상품권을 전달해 주고 나머지 학생들은 그 친구에게 잘 될 수 있도록 박수를 주라고 하였습니다.  가끔 여러 채널을 통하여 고등학교 학생을 대상으로 강의나 특강이 있으면 대부분 힘들어 하시고 다시는 하지 않겠다라는 글을 가끔 봅니다..

학생이든 성인이든 청중을 잘 유도하는 것은 그들이 아니라 무대 앞에선 강사라는 것을 다시 한번 경험 할 수 있는 기회였습니다..무엇이든 체험해 보고 경험해 보면서 점점 업그레이드 해 나가는 것입니다. 부족하지만 오전내내 교육을 들어 준 대진정보통신고등학교 학생들에게 감사드리고, 교육이 잘 진행 되도록 통제해 주신 선생님에게도 감사의 말씀 드립니다...^^ 좋은 기회에 또 뵙길 바라고, 국제통상전문가가 된다고 이야기 했던 그 학생은 꼭 훌륭한 국제통상전문가가 되길 바랍니다... @엔시스.




신고
Posted by 엔시스


안녕하세요..보안인닷컴 운영자입니다.

이번호에서는 한국인터넷진흥원 장상수 팀장님께서 아주 귀중한 말씀을 담아 주셨고, 스텝인 고재호님께서 옥고를 

주셨습니다...두분에게 감사의 말씀을 드립니다...보안 대중화에 앞장서도록 하겠습니다..널리 알려주셔서 많이 구독하면 좋겠습니다...감사합니다.


* 보안인닷컴 E-매거진  [보안人]은 무료로 보안에 대한 다양한 이야기를 담아내는 온라인 무료배포 웹진입니다.

  매월 발행하고 있습니다. 24호와 25호 사이에는 약간의 텀이 있었습니다. 앞으로 더욱 노력하겠습니다.







첨부파일 다운로드 받으시면 구독할 수 있습니다..



보안인닷컴25호_2013-11_v1.1.pdf






신고
Posted by 엔시스


1. 방송출연 섭외


지난 서울출장중에 작가분에게서 섭외가 왔습니다. "금융사기" 관련하여 전문가의 도움이 필요하다고 다른분에게 추천받았는데 꼭 출연 할 수 있는지...처음엔 공중파 방송에 출연 한다는 것 자체가 부담이 되고, 두번째는 금융사기에 대한 인터뷰가 아니라 전문가의 의견을 듣는 대담형태의 약간 분위기가 무거운 시사 프로그램인 탓에 거절 하였습니다. 그러나 여러가지 우여곡절 끝에 출연이 확정이 되었습니다.


작가님이 대본을 주긴 하였지만, 방송 분량과 시간이 주어진터라 마냥 대본대로 할수도 없는 상황이었습니다. 그리고 작가님 한마디


" 방송 처음출연하시는 분들은 너무 대본만 보고 읽는 경우가 있는데, MC와 아이컨텍 하시면서 하시면 좋습니다."


이 한마디에 몇가지 안되는 질문에도 첫 방송출연이라 많은 생각으로 준비를 하였습니다. 짧은 시간에 답변을 할려니 쉬운것이 없더군요..


2. 방송준비 


방송에 그것도 50분짜리 방송에 대담 형태로 시사프로그램에 출연할려니 많은 부담이 되는 것은 사실이었습니다. 스튜디오를 상상하고 사회자 질문에 답변하는 것을 매일밤 준비하였습니다. 녹화방송이라고 하지만 NG를 내거나 다른분들에게 피해를 주면 안되니까...최대한 자연스럽게 답변 할 수 있는 방법은 질문에 수 없이 답변 연습을 하는 수 밖에는 없다고 생각했습니다.. 중간 중간에 시외로 교육이나 대구로 이동하는 차안에서도 암기, 그리고 리액션, 아이컨텍 , 대본 보고 또 보고,,생각만 해도 긴장이 되더군요...그렇게 흘러 1주일 시간이 지나고 녹화 당일이 왔습니다.



3. 녹화당일


녹화당일 분장실에 제일먼저 도착하여 분장을 하였습니다...분장 준비하시는 분들도 시간 맞추어 오니까 좋아하시더군요.또 대본 보고 또 보고,,, 1주일간 연습과 준비를 하였지만 긴장되는 것 마찬가지...사전에 제작진 국장님께서 말씀 하시길 ...


" 녹화 방송이지만 생방송처럼 한큐에 가겠습니다...녹화방송이라 하면 출연자분들이 NG를 내기 떄문이죠.." 

" 그러니 생방송이라 생각하시면 됩니다.."


리어설도 없고,,바로 들어가는데 잠시 인트로부분만 각자 조금씩 목소리를 다듬고 바로 녹화에 들어갔습니다. 뭐..녹화들어가니까 생각했던 대본의 글은 싹 사라지고 머리속이 하얗게 되더군요..최근 들어 심장이 이렇게 쫄깃하게 긴장되기는 처음이었습니다. 대중앞에 많이 서서 수많은 교육을 하였지만 긴장되지 않았는데, 카메라는 조금 긴장이 되더군요...그러나 그것도 잠시 주 카메라가 사라질때 심호흡으로 차분히 하다보니 제 정신으로 금방 다가오게 되더군요..


3분의 패널이 참여 하셨는데, 부산지방경찰청 사이버팀장님, 한국소비자원 부산지원 차장님, 저..각자 대본 분량이 있고 2분안에 질문에 대한 답변을 정리해야 시간 오버되지 않기 때문에 무엇보다 시간조절이 아주 중요하더군요..이러한것은 사회자분께서 아주 잘 컨트롤 해 주셨습니다.



4. 일요일 공중파  방송일


우선 TV에 나온다고 하니까 가족들이 가장 많이 좋아 했습니다. 그래도 얼굴이 화면에 비친다는 것은 자랑스럽다고 가족들은 여기겠지요..누구나 마찬가지로...사실 너무 버벅거린것 같아 대부분 알리지 않았는데 말이지요...방금 아침에 일어나서 방송되는 것을 모니터링 해 보았습니다. 나름 선방하였다고 생각이 되지만 아직도 약간 아쉬운 부분이 남긴 하네요...가족들이 많이 응원해 주고 잘 했다고 말하네요...지난 1주일간에 전쟁이 지나갔습니다..방송출연을 거절 하였다가 50분 방송에 출연하는 것도 인생에 있어서 참..좋은 기회라 생각이 들었고, 한번 도전해 보는 것도 좋다고 생각이 되어 출연결정을 하였던 것이었습니다. 무엇보다 우선은 지역 방송에서 관심을 가지고 보안에 대하여 언급한다는 데에는 출연료를 받지 않더라도 용기내어 한 목소리를  내고 싶었기 때문입니다..그런데 출연료도 준다네요..얼마일지는 모르지만..
























5. 방송 출연후 느낀점 


1. 무엇이든 처음이 어려운 것이지 한번 하고나니 처음보다는 잘 할 수 있겠다는 느낌이 든다.

2. 방송을 쉽게 보지만 방송전에는 많은 준비와 노력이 필요하다. 우리가 쉽게 보는것도 그 이면에는 많은 노력이 필요로 한다.

3. 지역방송 관계자분들 고민은 지역에 전문가가 없다는 것을 호소한다. 좋은 콘텐츠를 만들려해도 대부분 수도권 집집중화가 되어 있다고 한다. IT도 방송도 마찬가지라는 측면에서 동질감을 느꼈다.

4. 이에 전국중심의 보안에 대하여 조금 더 가치 있음에 한발짝 더 다가가게 되었다.



방송다시보기 링크   http://busan.kbs.co.kr/tv/tv_sunday_02.html   (월요일정도에 방송 올라올듯 합니다.)






신고
Posted by 엔시스


지난 10일간 국내최대 보안커뮤니티 '보안인닷컴(http://www.boanin.com )에서는 흥미있는 주제를 가지고 회원들에게 설문조사를 실시 하였다. 주제는 "우연히 검색하다가 취약성 웹사이트를 찾았다면 " 어떻게 할 것인가에 대한 주제이다.


이에 다양한 응답이 나왔는데 한번 살펴 보기로 하겠다. 우리가 한번쯤 생각해 보아야 할 문제점들이 있다는 사실을 알게 될 것이다.





알려주어야 한다는 입장이 조금 많긴 하지만 무시해야 하는 입장도 팽팽해                        



위 응답으로 보면 가장 많이 응답한 내용은  [해당 사이트 담당자에게 연락하여 취약점을 알려준다]라는 응답이다. 아마도 가장 일반적이고 바람직한 응답이 아닐까 생각이 된다. 하지만  [취약점을 발견했지만 제보하기도 귀찮고 괜히 엮이기도 싫어서 무시한다]라는 답도 생각보다 많이 있다는 사실이다..


일부 댓글을 단 사람중에 한번쯤 해당 사이트 담당자에게 연락하여 취약점을 알려준 경험이 있는 사람들은 고마움 보다는 오히려 의심 받는 사례가 많다고 실토 하였으며, 심지어는 욕을 하는  경우도 있다고 하였다. 이에 필자는 다른 많은 사람들에게 이와 관련된 질문을 해 보았다. 두가지 측면에서 고려해 봐야 할 것이다.


  • 담당자 혹은 기관에 알려주는 입장 - 추후 취약점으로 인한 더 많은 피해가 있기 떄문에 담당자나 관련기관에 알려주어 조치를 취해야 한다. 하지만 처리속도가 늦고, 이러한 취약점이 외부로 알려질 경우 담당자 문책이나 책임이 있을 경우 피해가 담당자에게로 간다.
  • 취약점 사이트 담당자 입장 - 우연히 발견 하였다고는 하지만 어떠한 상황후에 알려주는지 알지 못하여 혹시 여러가지 도구나 툴을 이용하여 검색시에는 현행법상 불법이므로 처벌을 받을 수 있고, 또한 어떠한 책임과 권한도 없기 때문에 함부로 취약점 사이트를 검색하면 안되고, 만약 신고한 사람이 있다면 한번쯤 의심해 볼수 밖에 없다.

이런 두가지 팽팽한 입장이 있을 수 있다. 최근 이런 설문을 한 그 배경에는 한 아는 지인이 우연히 취약성 사이트를 발견하였는데, 어떻게 해야 할지 모른다는 이야기를 전해 와서 직접 알려 주거나 아니면 관련기관에 알려서 조치를 취할수 있도록 조언을 주고 최종 판단은 본인이 하라고 이야기 한 적이 있다. 그렇게 이야기하고도 웬지 개운한 느낌이 없어 다른 사람들은 어떻게 생각할까라는 판단에서 설문을 시작해 보았다.

그런데, 대부분 이런 경험을 한 사람들은 무시하라고 이야기를 하고 있다. 그 이유는 담당자에게 보안관련 취약성이 발견되었다고 이야기 해도 권한과 책임있는 곳에서 이야기 하는 것이 아니기 때문에 신뢰 할 수 없다는 이야기이다. 괜히 이야기 했다가 의심만 받을 경우 피곤하기만 하다는 이야기이다. 그러니 굳이 이야기 할 필요가 없고 그냥 무시한다는 것이다.

개선하고 수용하여 빠른 대안을 보다는 우선 의심부터 하는 풍조 만연 고쳐야돼

필자는 여러가지 입장을 고려 하여 다음과 같은 결론을 내려 본다. 인터넷은 이제 국내에서만 접근하는 곳이 아니다.해외에서도 얼마든지 접근 할 수 있고, 이러한 취약점이 노출이 되어 악용이 된다면 더 큰 피해를 볼 수 있다. 침해사고가 생긴후에 조치를 취하는 것은 과거 10년전이나 지금이나 모두 동일하다. 그러면서 아직도 피해를 입는 것은 과거의 처리방식을 그대로 고수 하기 때문이다. 이제는 그 패러다임이 바뀌어야 한다. 즉, 사전 조기예방을 하고 조기경보를 해야 하는 것이다.  

취약점이 발견이 되어 제보를 하는 사람이 있다면 신분과 어떠한 경로로 알게 되었는지를 확실하게 확인한 뒤 , 제보해 줌에 감사하고, 빠른 대안과 조치를 취하는 분위기가 형성이 되면 어떨까 하는 생각이 든다. 물론 어떤이는 오지랖 넓게 왜 그렇게 나설 필요가 있느냐고 말하는 사람이 있을 것이다. 하지만 길을 가다가 병이 들어 쓸어져 있는 노인이 있다면 당연히 보살펴 주고 빠른 조치를 취해주어야 하는 것이 바람직한 도리일 것이다. 일상적으로는 그냥 지나칠수 있지만 말이다. 그렇지 않는 것을 올바른 보안문화로 정착 시켜 나가야 하는 것중에 하나가 바로 '보안인닷컴'의 또 다른 의무일지도 모른다. 괜히 나섰다가 피해를 본다기 보다는 조금 더 나은 대한 민국 보안 발전을 위하여 관련기관이나 담당자에게 잘 이야기 하고 설득하여 전달하고 또한 해당 담당자는 무조건 의심하기 보다는 취약한 웹사이트 노출이라는 팩트에 더 포커스를 두고 빠른 조치와 대안을 모색하는 것이 바람직 한 일이 아닐까 생각해 본다. @엔시스. 




신고
Posted by 엔시스