'정보보호'에 해당되는 글 82건

  1. 2014.02.18 보안인이여 ! 모여라, 보안인닷컴 "보안인" 앱 출시 (2)
  2. 2013.01.23 정보보안기사 산업기사 자격증 기초교재 출간에 즈음하여
  3. 2011.05.12 [칼럼-122] 전국중심의 보안, 기회는 평등해야 한다. (2)
  4. 2011.04.08 정보보호, 현장에서 감(feel)을 느끼는 것이 중요하다.
  5. 2010.09.06 정보보안기사, 산업기사 국가기술자격증 용역 공개
  6. 2010.08.05 [초보보안-16강] MS워드 2007에서 파일에 암호 걸기 (1)
  7. 2010.07.07 보안, 이제는 커뮤니티가 앞장선다 -보안인닷컴
  8. 2010.03.20 자신의 블로그 주제를 알아 볼려면? (2)
  9. 2010.02.21 KISA에서 학술지를 창간하는군요
  10. 2009.12.23 [칼럼-105] 보안뉴스,보안닷컴..따로 또 같이..보안인(人)닷컴은 소통 (1)
  11. 2009.12.17 전자정부 정보보호관리체계지침 (G-ISMS) 문서
  12. 2009.11.09 보안 키워드로 알아본 관심도 (2)
  13. 2009.11.04 정보보호(보안) 캐리어 마인드맵 공개 (4)
  14. 2009.10.15 한국CISSP협회 제4회 정보보호리더쉽 세미나 자료
  15. 2009.09.21 한국인터넷진흥원(KISA) 지방 지사설립은 어떨까? (4)
  16. 2009.09.14 [칼럼-95] 사이버 보안관 3000명 양성에 대한 제언 (8)
  17. 2009.08.30 『보안과 네이버카페』에 대하여. (10)
  18. 2009.08.24 트위터리언들, 보안은 귀찮은 존재이다. (4)
  19. 2009.08.21 보안 전문가 준비, 과연 애로사항은? (6)
  20. 2009.07.31 [칼럼-92] 정보보호 컨트롤 타워 없으면 같은일 또 당한다. (5)
  21. 2009.07.20 보안사업도 빈익빈, 부익부
  22. 2009.07.20 [칼럼-90] 7.7 DDoS 사태가 남겨 준 교훈(3) - 보안인식 제고를 위한 제언 (14)
  23. 2009.07.09 '정보보호' 얼마나 급했으면 이런 광고까지. (5)
  24. 2009.07.02 정보보호 관련 인터넷 카페 인기 (4)
  25. 2009.06.12 블로그의 미래는 '전문성'이다. (15)
  26. 2009.06.11 보안인닷컴, 네이버 2009 대표카페로 선정되었습니다. (24)
  27. 2009.04.27 모텔 PC에서 함부로 로그인 하지마세요 (49)
  28. 2009.04.27 컨피커 바이러스관련 동영상 (1)
  29. 2009.04.22 보안 공부를 "게임"으로 만들어 (10)
  30. 2009.04.04 정보보호 컨설팅 뉴스레터 -KISA 배포 (2)

보안커뮤니티 '보안인닷컴' 은 국내 최대 보안커뮤니티이다. 최근 카드개인정보유출 사건으로 인하여 보안의 중요성이 대두 됨에 따라, 앞으로 일반인들도 PC와 스마트폰에 대한 보안지식을 알아야 한다. 보안인닷컴 측은 지난해부터 보안인과 비보안인이 쉽게 보안관련 콘텐츠를 소비 할 수 있는 앱을 개발해 왔다. 




                                     ▲  전국민 보안 업데이트 앱  "보안인" 일부화면



보안정보를 앱하나에서 쉽게 접할 수 있는 "보안인" 앱은 메인에 각종 행사 및 제품, 보안이슈 사항등 중요 사항을 앱을 실행하면 바로 볼 수 있도록 전진배치 하였으며, 메뉴로 들어가게 되면 보안관련자격증,  매거진, 보안전망대, 보안 페북클럽, 책잡지, 뉴스, 구인구직, 행사.세미나, 또한 보안카페등을 이용할 수 있도록 메뉴를 구성하였다.



 

                             ▲  전국민 보안 업데이트 앱 "보안인" 메뉴 구성


보안인닷컴 운영자 전주현 대표는 "연초 카드 개인정보 유출로 국민의 경각심을 일깨웠지만 아직도 기업과 기관에서 보안의 취약한 부분이 많아 전국민이 보안에 대한 관심과 대중화를 위하여 앱을 개발 하게 되었다"라고 말한다. 이제 초보자도 손쉽게 보안에 대하여 접할 수 있는 앱이 있어 출,퇴근시간과 이동시간에 다양한 보안에 대한 정보를 볼수 있게 되었다.  아직 시작단계라 미미한 수준이지만 부족한 부분은 꾸준한 피드백을 받아 업데이트 할 예정이라 한다. 


전국민 보안업데이트 "보안인" 앱은 보안인닷컴 대표운영자 전주현씨가 지난해 <국가기술 정보보안기사, 산업기사 한권으로 끝내기 >를 출간하여 베스트 셀러에 오르면서 독자들에게 감사의 마음으로 인세중 일부를 기부하여 화제가 되기도 하였다. 이는 부족한 기부금이지만 앱개발을 통하여 조금이나마 국내 보안발전에 기여 할 수 있다면 보람있겠다는 전대표의 의지가 담겨져 있는 앱이기도 하다.


전국민 보안업데이트 "보안인"앱은 다음과 같은 기능을 담고 있다. 


     ▲  전국민이 앱을 통하여 각종 보안 뉴스와 기사를 전문가가 선별한 뉴스를 접할 수 있음.

     ▲  스마트폰 버전에 적합한 보안관련 자격증 정보를 접 할수 있음.

     ▲  페북 인증을 통하여 보안인클럽에서 자유롭게 질문답변과 소통가능함.

     ▲  보안행사나 교육등 다양한 보안관련 행사를 접할 수 있음.

     ▲  보안관련 구인 구직 공지를 통하여 일자리를 찾고 보안전문가를 매치 시킬수 있음

     ▲  보안인닷컴에서 매월 발행한 보안 E-매거진 "보안인"을 앱에서 구독가능.
     
▲  초보 보안인을 위한 보안 책, 잡지 추천도서 제공. 그외 추가업데이트 예정



"보안인" 앱은 아이폰 사용자를 대상으로 개발이 되었으며, 차후 반응이 좋으면 안드로이드 버전도 개발할 포부를 밝혔다. 아마도 국내 대다수 안드로이드 스마트폰을 사용하기 때문에 조금 더 고생해야 할것 같다며, 많은 사랑을 받았으면 좋겠다면서 미소를 지었다.


한편, "보안인"앱 개발에 참여 하고 있는 개발자들은 젊은 감각으로 학업과 병행하면서 보안에 대하여 군대에서도 보안관련 업무도 하였으며, 개발까지 병행하고 있어 "보안인 앱을 개발하면서 자부심을 가지고 개발에 참여 하고 있다"고 밝히고 있다. UI도 화려함 보다는 오랫동안 사용하여도 지루함이 없는 깔끔하고 심플한 젊은층이 선호하는 UI를 채택하였다고 한다. 


또한 콘텐츠를 담아내는 앱이라 커뮤니티 10년 운영 노하우를 살려 관리가 중요하며 앱도 꾸준하고 성실하게 관리하면서 잠깐 방문하고 잊혀지는 앱이아니라 항상 폰에 설치해 두고 틈틈히 방문해 주었으면 하는 바램을 가진다는 전주현대표.최근 보안에 대한 많은 이슈가 있는 만큼 보안인과 비보안인이 함께 소통할 수 있는 사랑받는 앱이 되길 기대해 본다.  


보안인닷컴 앱 다운로드 하려면 앱스토에서 "보안인" 혹은 "boanin"이라고 검색하면 바로 다운로드 받을 수 있다. 혹은 다음 주소에서 다운로드 받으면 된다.


https://itunes.apple.com/kr/app/boan-indaskeom-jeongugmin/id806217406?mt=8


보안을 사랑하시는 분들이나 회원분들은 널리 알려 주시면 감사하겠습니다.





신고
Posted by 엔시스

정보보안기사 산업기사 자격증 시험이 2013년도에 첫 시행이 됩니다. 이에 필자도 준비를 많이 해 왔는데요. 그동안 국가공인 정보보호전문가 자격증 모임 (보안인닷컴 http://www.boanin.com) 커뮤니티를 운영하면서 그리고 이번에 <정보보안기사 산업기사 한권으로 끝내기 > 집필을 하면서 느낀 소회등을 블로그에 포스팅 해 보고자 합니다. - 주인백



정보처리의 시대를 넘어 이젠 정보보호의 시대


정보 전산화가 되어 있지 않았던 시대에는 기업의 정보전산화 (ERP)구축이나 업무 전산화에 열을 올리게 되었습니다. 하지만 이제는 정보를 처리하는 시대는 지나가고 있습니다. 수많은 문자와 메시지 그리고 넘쳐나는 인터넷의 정보 홍수속에서 '빅데이터'가 이슈가 되는 시대가 도래 되었습니다. 


그러다 보니 이제는 그 역기능도 만만치 않는데요, 과거에는 IT개념이 크고 그 속에서 보안이라는 일부 작은 영역에 지나지 않았습니다. 그러나 이제는 제 사견으로는 IT영역을 커버하는 부분이 '보안' 영역으로 자리 매김 하지 않았나 생각이 듭니다.


그 이유는 처음에는 서비스가 도입이 되고 활성화 되지만 , 그러다 보면 또 다른 역기능들이 나타나게 됩니다, 즉, 보안은 서비스 뒤에 따라오는 제일 마지막에 역기능을 막아 주는 잠금 장치 역할을 하게 되는 것이지요. 그러다보니 기술적 발전은 점점 더해가고 있고 그에 따른 역기능도 많아지고 하기 때문에 보안에 대한 중요성은 더욱 가시화 되고 있습니다. 정보보호의 시대가 도래된 것이지요.



민간 국가공인 정보보호전문가 자격증 & 국가기술 정보보안 기사 / 산업기사 자격증


몇년전에는 국가 홈페이지가 마비 되는 7.7 DDoS 대란이 일어나 많은 사회적 이슈가 되었습니다. 이에 긴급 예산을 200억이나 투입하여 DDoS 장비에 투자하기도 하였습니다. 아무튼 이렇게 사건 사고가 일어날때마다 나오는 이슈는 이러한 사고를 방어하고자 하는 인력이 부족하다는 이야기입니다. 그럼 이런 인력을 어떻게 판가름 할까요? 


당장은 객관적인 잣대를 쉽게 들이댈수 있는 것이 바로 '자격증' 소지자를 보안 관련 인력으로 산정하게 됩니다. 즉, 국가 프로젝트 수주시에 보안인력을 몇명 보유 하였는지에 대한 측정을 자격증 소지자 수로 판단 하게 하기 때문입니다. 여기에는 대부분 SIS,CISA,CISSP 자격증 소지가가 몇명 있는가를 찾게 됩니다. 


몇년전 일이었습니다. A기업에서는 국가 관제 프로젝트 사업을 수주하려고 하는데 여기에는 초급 보안인력이 필요하고 초보 보안인력으로 가늠하는 SIS2급 자격증 소지자가 필요하여 필자에게 주변에 SIS2급 자격증 소지한 사람있으면 바로 취직 시켜 준다는 웃지 못할 상황도 벌어 졌습니다. 기업 입장에서는 우선 프로젝트를 수주 하고 봐야 하기 때문입니다. 그렇다고 초급 보안인력에 중급 , 고급을 보낼수도 없는 상황이었기 때문입니다.


그런에 이러한 측면에서 SIS자격증은 늘 민간 자격증이라는 한계를 벗어나지 못하고 사람들에게 특별히 메리트를 부과하지 못하여 외면 받고 있었습니다. 나름 공부하여 시험에 합격한 사람들은 자부심은 대단하였습니다. 시험이 그리 쉬운 시험은 아니었으니까요.. 어쩌면 이렇게 시험이 어려웠기 때문에 더 가치 있는지도 모르겠습니다. 필자도 SIS1급과 2급 자격증 모두 보유하고 있습니다만 시험이 어렵긴 어려웠더랬습니다. 


그런데 올해 2013년 민간 정보보호전문가 자격증이 국가기술 자격증으로 승격이 되어 '정보보안기사 / 산업기사' 자격증으로 시행이 되니 그만큼 신뢰성과 국가기술 자격이라는 메리트가 부가되어 많은 사람들로 부터 관심을 받게 될 것이라는 것이 필자의 예상입니다. 


공공기관과 대기업에서 우선 관심을 가지게 될것으로 예상


상황이 이렇다보니 가장 관심을 가지는 곳이 바로 '공공기관' 입니다. 공공기관의 정보보안 인력이나 담당자의 전문성은 그야 말로 낮은 수준입니다. 정보보호관련 전공을 한 사람도 소수에 불과하고 또한 관련 자격증을 소지한 사람도 그 다지 많지 않는 숫자입니다. 따라서 공공기관에 보안인력이나 담당자는 국가기술 자격증인 '정보보안기사'나 '산업기사 ' 자격증에 많은 관심을 가지게 될 것입니다. 아마도 전산직렬에 있는 공공기관에 담당자들은 대부분 관심을 가지지 않을까 생각이 됩니다. 또한 대기업에서도 공공기관의 사업수주 프로젝트시에 관련인력을 추가 함으로써 이에 대한 자격증 소지자 수요가 생길 것입니다. 그러다 보니 자연스럽게 관심을 가질 수 밖에 없게 되겠지요.



상대적으로 CISSP와 CISA 자격증에 대한 수요는 급감할 것으로 판단


보안에 대한 인력에 대한 지식 가늠으로 자격증에 대한 부분은 대부분 해외 자격증이 많이 차지하고 있었던것이 사실입니다. 그런데 무엇보다 중요한 것은 이에 대한 수험료 비용이 너무 크다는 사실입니다. 사실 현재 환률로 계산하여 약 60 -70만원에 육박하는 시험이니 정말 그리 쉬운 시험은 아닐것입니다. 또한 매년마다 유지 비용도 만만치 않게 내야 합니다. 그런데 무엇보다 큰 장벽은 바로 시험 자격에 '경력'을 요구 하는 것입니다. 취업이나 이직 그리고 자젹증을 당장 써야 하는데 경력이 모자르니 시험을 보더라도 소용이 없다는 것입니다. 이러한 상대적 필요성에 따른 충족감을 정보보안기사 산업기사가 충족 시킬 것으로 예상이 됩니다. 다른 측면에서 본다면 이는 국내에 신뢰성 있는 보안관련 자격증이 없었는데 이번에 신설되면서 그 자리를 차지하게 된다는 것입니다. 또한 기사나 산업기사등의 국가기술 자격증을 3년 이상 시행하게 되면 그 다음 단계인 기술사 단계로 시행할 수 있는 자격이 주어지게 됨으로 향후 유선과 무선을 넘어 모바일 , 테블릿PC등 다양한 보안 이슈에 대응하기 위한 기술사가 시행 될 가능성도 배제 할 수 없다는 판단이 됩니다.


그럼 우려감은 없는가? 정보보안 기사의 수준이 낮아져서 인력에 대한 품질 저하가 되면 안돼.


보안에 대한 중요성과 이슈가 있다보니 시험 응시에는 모든학과가 시험에 응시할 수 있도록 개방이 되어 있습니다. 그렇다보니 5과목에 평균 60점에 각과목 40점 이상만되면 정보보안기사 산업기사 자격증을 취득하게 되고 이를 통한 보안인력 검증이 쉽게 될 가능성을 배제 할 수 없습니다. 물론 실기 시험이라는 부분이 있긴 하지만 자격증만 보유하고 있으면 모두가 보안인력으로 추정되는 질적 하락에 대한 우려감은 있습니다. 따라서 이러한 변별력을 가지는 방안이 준비가 되어야 하며 이는 필기 시험에서 난이도 조절과 또한 실기시험에서 난이도 조절을 통하여 변별력을 갖추는 것이 중요합니다. 마냥 너무 가볍고 쉽게 누구나 조금만 공부를 하여 자격증을 취득 할 수있다면 결국 페이퍼 자젹증 인력만 양산해 내는 꼴이 되므로 이러한 부분에 있어서 관련 기관은 많은 고민을 해야 할 것입니다.



정보보안 기사 / 산업기사 기초 교재 발간으로  보안에 대한 지식 재정립


필자는 이러한 고민을 거듭한 끝에 작년 4월부터 시작하여 여러가지 고민을 하였고 지금까지 경험과 노하우를 가지고 정보보안기사 산업기사 기초 교재를 집필하기 시작하였습니다. 막연히 집필에 도전한 것이 아니라 지금까지 알고 있는 지식을 재정리 하는 차원에서 진행하였습니다. 하지만 늘 그렇듯이 부족함을 느끼는것은 어쩔수 없군요..개정판을 통하여 피드백과 그리고 시험 1-2회차 정도 치러진 다음에 어떤 경향으로 문제가 출제 되는지를 살퍄보고 부족한 부분은 보완하려고 하고 있습니다. 




 <예스24 에 수험서 코너에 눈에 띄는 책으로 소개 중 >




                                                                          < 인터파크 자격 수험서 코너 >




책 표지 선정에도  많은 고민이 되었는데 책 표지 디자이너분께서 검정색 계열과 빨간색 계열 표지를 디자인 해 주었습니다. 역시 보안이라는 이슈답게 빨간색으로 곳곳에 보이니 눈에는 확실히 띄는 듯 합니다. 보안에 대한 경각심이나 이슈만큼이나  빨간색이 같은 컨셉이라 잘 선택한 듯 합니다.


결론


관련 자격증이 있다고 하여 모두 전문가도 아니며, 자격증 만을 가지고 모두 해결 하려는 자세도 바람직 하지는 못하다. 하지만 해당 분야에 있으면서 객관적인 자신의 실력과 지식 능력을 가늠하는 잣대는 가장 쉽게 접근 할 수 있는 것이 또한 자격증입니다..이러한 부분에 있어 집필한 교재가 다소 부족하더라도 도움이 되었으면 하는 바램을 가져 보고 보다 보안에 대한 인식의 중요성을 알리는데 일조하는 매개체가 되었으면 하는 바램을 가져 봅니다. 앞으로 더 나은 모습으로 또 찾아 뵙겠습니다. 많은 관심과 격려 부탁드립니다.  @엔시스 올림.




신고
Posted by 엔시스

어제 어느곳에서 전화가 왔습니다. 

상대방: 000씨죠?
나: 네,.그런데요.

상대방: 저희가 개정되는 개인정보보호법 교육을 좀 하려고 하는데요?
나: 아..네..

상대방: 국가 00부에서 추천해 주셔서 연락받고 전화드립니다.
나: 아..네..

상대방: 언제쯤 가능하시겠어요?
나: 언제쯤 계획이신지요?

상대방: 다음주쯤..
나: 확인해 보겠습니다..제가 지역에 있어서 ...

상대방: 그래요? 어디신데요?
나: 부산입니다..

상대방: 아..네..그래요? 그럼 다시 스케쥴 알아보고 연락드릴께요.
나: 네..알겠습니다.

그러나 연락이 안옵니다.  수도권, 즉 서울 사람이 아니기 때문인지 아니면 다른 이유인지는 모르겠지만.


                                 <사진출처: http://blog.naver.com/ehot?Redirect=Log&logNo=40125106111>

흔히, 겪는 일이라 이제는 일상화 되어 있지만,  기회는 평등해야 한다고 생각을 합니다. 보안이 중요하다고 하면서 수도권이 아니라는 이유만으로 소외 되어서는 안될 것입니다.

그만큼 교육의 기회가 없다는 것입니다. 그나마 형식적인 관(官) 주도의 교육에 공문을 통한 눈치보기 교육으로 하기 보다는 정말 고민하여 잘 짜여진 교육 커리큘럼을 통하여 수도권이 아닌 곳에서도 정기적으로 교육을 할 수 있는 시스템을 구축을 하여야 합니다.

아마도 지방에 있는 사람들은 많은 것을 공감할 것이라 생각이 듭니다. 다음의 공통점은 바로 "기회균등" 입니다.

  • 유능한 인재가 있습니다. - 기회가 없으니 먹고 살려고 서울로 갑니다. 인재 유출이 심각합니다. 조금 능력있다 싶으면 먹고 살기 위하여 서울로 갑니다.
  • 유능한 업체가 있습니다. - 사업을 해 봅니다. 하지만 녹녹치 않습니다. 갑-을-병-정..놀이로 채널사로 대리점 형태로 근근히 입에 풀칠만 하고 있습니다. 혹 그나마 업계에서 잘 나간다 하는 업체는 본사를 서울로 옮겨 갑니다.
  • 유능한 기관이 있습니다. - 복지 부동입니다. 수퍼 울트라 갑에서 전부 병정놀이에서 스스로 노력 하려고 하지 않습니다. 업자를 시키면 되는것이고, 또한 순환 보직으로 언제 다른 부서로 옮길지 모르니 그렇게 열정이 있는 것도 아닙니다. 그져 적당히만 하면 됩니다.


보안이 중요하다고 언론이나 방송에서 난리를 칩니다. 하지만 기회는 주어지지 않습니다.  왜 기회가 주어져야 하는지에 대한 것은 평소 존경하는 안철수 교수님의 cbs 인터뷰를 한번 들어 보시면 도움이 되실 것입니다.  http://cbspodcast.com/podcast/sisa/20110509_sisa.mp3  


며칠전 어느 보안인의 인터뷰를 보니까 다음과 같은 말을 하였더군요.

"쇠사슬의 전체 강도는 연결 부위가 가장 약한 부분의 강도와 같다"


아무리 보안이 중요하고, 강조해도 수도권 한곳에서만 교육하고 인식시킨다고 되는 것이 아니라는 생각이 듭니다.  취약한 수도권 외에서도 수도권과 똑 같은 "기회 균등"을 주어지고, 보안 무지(無知)로 부터의 교육 받을 수 있는 기회를 박탈해서는 안되는 것입니다. 

그런 기회균등을 주기 위한 대안으로는 다음과 같이 생각해 보았습니다.

  • 지방IT관련 학생 공기업 취업할당제 실시 - 공기업 취업시 지역 학생 할당제를 실시하여 자신의 집에서 밥 먹고 다닐수 있도록 하여 유능한 인재가 로컬에서 자신의 능력을 발휘 하도록 해야 합니다. 안교수님도 말씀 하시더군요. 위에 링크해 놓은 파일을 들어 보시면 공감하는 부분이 많이 있을 것입니다. 이제는 귀를 좀 기울이세요..제발..
  • 기업의 갑을병정놀이 중단 - 이제는 기업이 바뀌어야 합니다. 대기업이 독점하기 보다는 스스로 선의의 경쟁을 통하여 우수한 능력을 갖춘 기업이라면 중소업체라도 당당히 입성 할 수 있는 기회를 주어야합니다. 마찬가지로 공공 입찰시에 지역업체 할당 비율을 책정하면 어떨까 생각해 봅니다.
  • 사람과 능력에 의한 평가 - 그 기업이 잘 하느냐, 그 사람이 보안에 열정이 있느냐, 전문적이느냐가 중요하지 어디에사느냐, 어디곳에 근무하느냐가 중요하지 않습니다. 제대로 평가할 수 있는 시스템을 만들어 제대로 "기회를 똑 같이 주어지게 하고 나서" 판가름 하여도 늦지 않을 것입니다.
  • 정보보호예산 지방 할당제 - 정보보호 예산을 10%까지 올린다고 하는데 과연 수도권 외 지역에 정보보호 인식제고를 위한 예산을 얼마나 책정하고 있는지요. 얼마나 수도권과 서울 외지역에서 보안관련 세미나 교육을 진행 하는지요.  형식적인 교육보다는 작지만 잦은 인식제고가 중요하다고 생각합니다.


며칠전 언론 기사에서는 지방 금융권 보안담당자가 부족하다는 기사를 보았습니다.


관련 포스팅

지방은행 IT근무인력 및 보안인력 현황 

부산은행,광주,제주,대구은행등에 보안담당자를 보면 1명에서 4명까지 대동소이하게 몇명 되지를 않습니다. 상식적으로 생각해도 수많은 점포에 각종 네트워크와 PC를 사용하면서 보안담당자 1명이 무슨 수퍼맨도 아니고, 혼자서 해야할 업무는 안 봐도 잘 알 수 있습니다.

그만큼 기회도 없고, 인식도 부족하다는 것입니다. 돈이 오고 가는 제일 중요한 금융권의 일상이 이러할진대 다른 중소기업은 더 하면 더했지 덜 하지는 않을 것입니다.

기업도 고객의 니즈를 잘 파악 기업이 성공하고 발전합니다.  객관적인 제3의 시각에서 냉철하게 무엇을 해야 하고 점차 발전해 나가야 하는지를 파악해야 합니다.

국가나 정부는 결코  상업적인 이익을 기반으로 하지 않습니다. 공무(公務)라는 것은 국민이 내는 세금을 가지고 운영하는 것이고, 그것으로 어떻게 사업을 효율적으로 잘 하는것인가를  평가 받는 것이지, 구조적 모순을 그대로 안고 복지 부동하는 자세는 분명히 스스로의 매너리즘에 빠지게 만들것입니다. 

권력이 있다고, 권력기관에 있다고 단순히 말만하는 정책성 남발 보다는 진정  "말로보다는 직접 몸으로 실천해서 보여주는 것이 진정성이 있고 구성원들에게도 설득력이 있다"라는 안철수 교수의 말을 되새겨 보면서 일련의 보안사건 사고로 인하여 호들갑 떨기 보다는 [수도권중심이 아닌] [전국중심의 보안]을 왜 해야 하는지에 대한 물음을 스스로 던져 보시길 바랍니다.

단지, 사람이 없다, 행사를 규모있게 치를수 없다고 말하기엔 이젠 너무 궁색한 변명이 되어 버렸습니다. 보여주기 위한 교육이나 행사를 떠나서 이제는 소외 받는 사람들에게 "기회균등"이라는 평등한 인격적인 대우를 해 주어야 할때입니다. 
꼭 기억하였으면 좋겠습니다. 터무니 없이 두서 없이 적긴 하였지만 꼭 하고 싶은 말이기에 적어 보았습니다.   @엔시스.


신고
Posted by 엔시스

며칠전 저녁에 KBS2 에서 방송하는 "생생정보통"이라는 프로그램에서 IT관련 주제를 방송하는 것을 우연히 본적이 있었습니다. 국내 대표하는 보안회사 직원들도 대거 나오더군요. 그중에서 아는 사람도 몇명이 있었더랬습니다.

하지만 , 결국 비추어지는 모습은 현재 이공계 기피현상에 따른 IT강국이지만 IT강국에서 자부심이 아니면 할수 없는 안타까운 실상을 보여 주는 프로그램이었습니다. 방송에 출연한 사람들의 늠늠한 모습이 보기 좋았지만 새롭게 빨리빨리 변화하는 기술을 따라 잡기란 그리 쉬운 일이 결코 아니다라는 것을 느꼈습니다.

특히 정보보호 분야에선 꾸준한 자기학습과 노력이 뒷받침이 되어야 합니다.


                             
                                                                                  (source:  여기 )


보안에 대한 두 딜레마

대한민국 IT에서 기술은을 따라가기엔  힘든 여러가지 요소들이 있습니다. 주로 환경적인 요소가 많이 있는데 특히 대한 민국의 경우 나이가 많이들면 관리직으로 빠지는 경우가 있죠. 그것은 자신의 분야에서 조금 전문적인 지식으로 거듭나야 하는데 자연스럽게 관리를 하게 되는 쪽으로 빠지게 됩니다.  그러다  보니 다음과 같은 딜레마에 빠지게 됩니다.
    • 관리자 - 갑에 위치

      • 일반적인 기업에서 관리자 위치나 또는 을에 있다가 갑의 위치로 가서 관리자 역할을 하는것이나 어쨌든 주로 사업관리적인 측면이 강하다 보니 진정한 보안에 대한 이슈나 기술 또는 자신이 원하는 보안에 대한 부분의 지식이나 욕구를 해소시키는 것이라기 보다는 연구 문서정리나 기획등을 하게 되어 혼란을 겪는 분들을 주변에서 몇번 보았습니다. 결국 기술과 멀어지는 것이지요.
    • 기술자 - 엔지니어 위치
      • 자신의 분야에서 오래동안 근무를 하고 또한 보안이라는 분야는 첫 접근 방식이 "기술"에 접근을 먼저 하기 때문에 일정 연령이 되기 전까지는 기술에 의존 할수 밖에 없다. 엔지니어의 최대 강점은 바로 "핵심기술" 이 생명입니다. 따라서 다양한 기술과 개선할수 있는 방식을 연구하다보니 전체적인 틀보다는 편협한 시각을 보는 경우가 많습니다. 생각이 유연하지 못한 경우가 발생이 됩니다.


결국 기술하는 엔지니어나 연구원은 마냥 기술쪽으로만 파고 나가는 것이다 보니 전체적인 틀에서 보안에 대한 통찰력을 갖기 어렵고, 관리자로 전환하여 갑에 위치에 있거나 혹은 자체 PM으로 실무를 멀리하다보면 기술적인 부분이 부족하여 그냥 이론적인 말뿐인 일이 벌어지고 있는 것이죠.. 2개를 믹스하여 복합적인 형태의 보안인재가 필요하고 향후 고민해야 하는 사항이기도 합니다. 전반적인 IT범위도 넓은데 법,제도 운영, 그리고 관리 ,,기술까지 전부 섭렵하고 통찰력을 키우려니 여간 힘든 것은 아니지요.  그 선택은 바로 당신에 몫이기도 합니다.


그나마 현장에 있는 것이 보안을 이해하고 감을 유지하기 좋아

요즘 여러가지 정보보호에 대한 이런 저런 대안들이 제시가 되고 있는데 위에서 언급한 이론+실무를 겸비한 문무를 겸비한 전문인을 찾기 어렵다는 것입니다.  어쩌면 이론을 잘 아시는 분과 실무에 능숙하신 분들이 잘 협조나 공조체계가 이루어지면 좋겠다라는 것이 가장 합리적이지만 쉽지 않는 것이 현실입니다.

나이가 들어도 운영체제 이론부터 , 운영체제설치 그리고 네트워크 , 이론과 실무..그리고 인프라 지식들의 바탕으로 정보보호를 어떻게 하면 잘 도입을 하고 체계적으로 관리 할 수 있는지에 대한 정보보호관리체계까지 현장에서 부딪히면서 이제 막 정보보호에 발을 들여 놓은 후배들에게 많은 사례를 통하여 더 나은 지식을 전파하는 것이 보안생태계(Security ecosystem) 를 조성하는 게 아닌가 하는 생각을 해 보았습니다. 그래서 어쩌면 저도 남는 시간을 대부분 블로그 포스팅 하는데에 할애 하는지도 모르겠습니다. 그것이 꼭 지식이 아니더라도 생각을 공유 할수 있는 공유의 장은 될수 있을테니까요.

늘 현장에서 다양한 보안에 대한 생각과 지식을 나눌수 있고, 대한민국 정보보호 발전에 이바지 하였으면 좋겠다라는 생각을 오늘도 가져 봅니다.  여러분들 제 블로그에 방문하시는 분들 힘들지만 화이팅 하시고 힘내시길 기원해 봅니다..
  @엔시스.

신고
Posted by 엔시스

이미 국가공인 정보보호전문가 자격증 (SIS) 자격증이 국가 기술자격증으로 승격이 승인이 되었고, '한국 산업인력관리공단'에서 연구용역제안요청서가 나라장터에 올라 왔습니다.

용역과제 내용은

   - [ 정보보안 기사]
   - [ 정보보안 산업기사] 등 2종목 국가기술자격증 종목 개발





이미 <<정보보호>>에 어느정도 관심을 가지고 있었던 분들은  알고 있었던 사항이고 이는 정보보호 관련 커뮤니티등에서 많은 내용으로 거론이 되었던 사항입니다.

한가지 위 내용에서 특이한 점은 용어의 선택입니다. [정보보호] 가 아닌 [정보보안] 이라는 용어를 선택 했다는 것입니다. 그것은 아마도 '정보보호' 보다 더 광범위한 부분을 커버 하기 위한  정보를 보호 하기 위한 용어 선택으로 풀이가 됩니다.

개인적으로는 [정보보안] 보다는 [정보보호기사]가 조금은 더 전문적이고, 보안 인식제고에 맞는 용어라 생각이 듭니다.

아무튼, 용역제안요청서가 올라온 만큼 , 그동안 국내 정보보호 인력과 민간자격증으로서 신뢰성 문제가 조금 더 탄력을 받지 않을까 생각을 합니다. 이러한 부분에 있어 개인적인 생각 몇가지를 적어 보고자 합니다.


    • 기존에 SIS 관련 애로사항 및 문제점
      • 난이도 문제 , 너무 어려웠다.
      • 홍보 및 인센티브 문제 - 소극적인 홍보문제, 인센티브는 있었으나 홍보부족으로 그 효과 감소
      • 공공기관,기업체 인식부족 - 필기, 실기를 아우르는 좋은 시험이었으나 기관과 기업에서 외면
      • 외국자격증에 비해 선호도 떨어짐.
      • 합격자수 저조 - 1급 2급 합쳐 250명 정도

     

    • 국가기술자격증 [정보보안 기사] 국가기술 자격증 종목 개발시 이점
      • 국가 기술자격증이라는 신뢰도 향상 - 민간에서 국가기관에서  관리
      • 국가기술자격증으로서 인센티브 확대 - 보안의 중요성과 산업전반에 걸친 정보보호 인식제고
      • 난이도 조절 - 기술사와 기사의 중간정도 난이도 조정하면 좋을듯
      • 보안기술의 변화 감안하여 시험 횟수는 3회 정도가 적당
      • 국내 환경에 맞는 정보보호 지식 테스트 - 글로벌과 현지화 적절한 시험문제 내용
      • 합격자수 절대평가보다는 상대적 평가로 일정 % 합격 배출로 찍어내기식 자격증으로 전락 방지등




여러가지 개인적인 아이디어나 의견이 있지만 이 정도 수준에서 언급을 마치고자 합니다. 아무튼 국가기관에서 정보보호의 지식을 테스트 할수 있는 객관적인 시험이 되어야 하고, 붕어빵 찍어내듯이 너도 나도 전문가라고 하기 보다는 실제 자격기준에서 엄격함을 주고 [정보보안 전문가]로서 자긍심과 그 분야에서 전문가로 활동 할수 있는 기회와 기반을 제공해 주는 것이 국가가 해야 할 일이라 생각을 합니다.

이번 연구용역을 통하여 그동안 민간에만 머물러 있던 전문가에 대한 정보보호 지식 검정 테스트가 국가기관으로 넘어 감으로 인하여 체계적이고 또한 국가기관에 올바르고 실력있는 정보보안 전문가들이 각 부처 및 지차체 공공기관에도 배치가 되어 한단계 정보보호를 업그레이드 시키는 계기가 되었으면 하는 바램을 가져 봅니다.

그것은 제가 늘상 외치는 전국민 보안업그레이드와 일맥 상통하며 , 전국민 보안인식제고를 한단계 끌어 올릴수 있는 기회가 되었으면 하는 생각을 해 봅니다.  @엔시스.


* RFP 첨부 합니다.



 

신고
Posted by 엔시스


초보보안강의는 생활 하면서 우리가 쉽지만 지나치기 쉬운 또는 알아야 하는 보안에 대한 지식을 하나씩 생각날때마다 올리고 있습니다. 지금까지 올린것이 궁금하신 분들은 http://www.sis.pe.kr/category/Security%20Beginer 을 참고 해 주시고, 오늘은 MS워드 2007에서 파일에 암호 거는 법을 알아 보도록 하겠습니다.  -.편집자주


흔히  정보가 중요하다, 보안이 중요하다 아무리 이야기 해도 순간적으로 잊어버리거나 습관화가 되어 있지 않으면 예전에 했던 방식 그대로 답습하는 경우가 많습니다.

흔히, 최근에는 모든 정보가 페이퍼로 되는 경우보다는 문서화 되어 디지털화 되는 경우가 많습니다. 이제는 환경 문제나 보안적인 측면에서도 페이퍼리스(paperless)를 권장하고 있기 때문에 더욱 보안의 중요성이 커지게 됩니다.

개인적으로나 조직에서나 중요한 문서는 반드시 암호를 걸어 놓은게 습관화가 되어 있어야 합니다. 그것은 만일에 경우에 정보가 유출되었을시에 그 중요한 문서를 보호 해 줄수 있는 가장 1차적인 보호막이기 때문입니다.

오늘은 MS 워드2007에서 파일에 암호 거는법에 대하여 알아보겠습니다. 추후, 엑셀,아래한글까지 지속적으로 업데이트 하겠습니다.

1.  MS워드 문서 작성 후 저장하기



마크한 부분을 클릭을 하여  <저장> 버튼을 클릭을 합니다.


2.  도구 > 일반옵션 > 선택을 합니다.




도구 일반옵션을 선택 하게 되면 아래 그림과 같이 보여지게 됩니다.



그러면 두개의 일반 옵션이 보이는데요..

  • 파일 암호화 옵션 : 열기암호
  • 파일 공유옵션 : 쓰기 암호

가 나타나면  그 부분에 자신만이 알고 있는 패스워드를 타이핑 하여 넣으면 됩니다. 한가지 유의 할 것은 절대 너무 어렵게 만든다고 해서 자신이 기억 할수 없는 패스워드를 넣는다면 추후 기억하지 못하면 큰 낭패를 가져 올수 있으니 중요한 파일일 수록 자신만의 자주 사용하는 패스워드를 타이핑 하시면 됩니다.

보통 영문자판에서 한글로 패스워드를 6자리 이상 적으면 무난 할 것입니다.

3. 읽기 전용 권장

문서의 편집이나 수정을 막기위하여 문서를 읽기 전용으로 하고 싶을때에는 읽기 전용권장에 체크표시를 해 두면 좋습니다.
간단하죠..

이렇게 간단하게 저장하기전에 몇번 신경 씀으로 인하여 문서의 보안성은 상당히 올라가게 됩니다. 특히 공공기관이나 대기업, 준용사업자등 개인정보를 취급하는 개인정보 담당자나 취급자분들은 개인정보가 기록된 파일은 반드시 암호를 걸어서 보관 하기를 권장해 드립니다.

이상 엔시스 정보보호따라잡기 [초보보안 강의] 였습니다. 그럼 다음에 또 뵙겠습니다. 감사합니다.

신고
Posted by 엔시스

* 사진이 넘 많아서 로딩 속도가 걸리네요..양해 바랍니다. 조금 기다리세요

보안인닷컴 6주년 세미나 성황리에 마쳐

지난 주말에 서울에서  보안인닷컴 6주년 기념 세미나 및 정모를 진행하였습니다. 그동안 업무때문에 바쁘기도 하고 나름 이것저것 하느라고 생각을 못했는데 커뮤니티 생성이 7.4일이라 상반기 안에는 반드시 한번은 오프라인 모임을 가지고 회원들과 교류 하고자 하는 것이 상반기 목표 였습니다.


                          

처음 신청하신 분들은 약 150명 수준이었으나 100명 정도 참석해 주셨습니다. 주말임에도 불구하고 시간내어 참석해 주신 분들에게 도움이 된 듯 하여 뿌듯한 느낌이 들기도 합니다.

관련기사



이번 세미나는 커뮤니티 차원에서 진행 했다는 것에 의미를 두고 있습니다. 처음에 장소섭외와 세미나 참석하면 무엇이라도 하나 손에 들고가야 하는 경품부터를 기획단계에서 고민을 하였는데, 경품은 참여하시는 분들이 기부하는 형태로 진행하여 좋은 반응을 얻었고, 또한 기부해 주신 분들도 기꺼이 즐거운 마음으로 기부를 해 주셔서 감사한 마음이 들었습니다. 일일이 기부하신 분들에게 감사의 말씀을 전했고, 자리에 참석 하지 않는 사람은 전화로, 트위터로 메일로 감사의 말을 전했습니다.


세미나의 현장과 정모 이모저모

세미나 이후의 이모저모를 사진을 통하여 조금 더 분위기를 느껴 보겠습니다. 혹시 초상권에 문제가 있으신 분들은 댓글 달아 주시면 확인 조치를 취해 드리겠습니다.


                              

보안이 중요하다는 것은 누구나 알고 있습니다. 하지만 실천하는 사람은 잘 없습니다. 함께 보안을 연구하고 나누고 실천하여 함께 만들어가는 그런 커뮤니티가 될수 있도록 노력 하겠습니다. 사람이 적어도 걱정, 많아도 걱정이더군요. 한분한분 소중한 분이기에 일일이 챙겨 드리지 못한 점 양해 바라고 대한민국 보안발전을 위하여 더욱 힘을 내었으면 좋겠습니다.

"으쌰으쌰~~~"  화이팅!!!  

신고
Posted by 엔시스

블로그를 운영하면서 과연 자신은 어떠한 주제를 가지고 포스팅을 할까? 하는 의문점을 가지게 된다. 물론 블로그라는게 그냥 자신이 쓰고 싶은대로 편안하게 쓰는 것이지만 일정기간 동안 블로그를 운영한 사람은 어느시기에 도달해서는 정체됨을 느끼게 된다.

그것은 일상적인 이야기도 중요하지만  블로그를 운영하는 목적을 가지는 것이 좋다. 그래서 본 블로거도 지금까지 정보보호와 보안에 대한 대부분의 주제를 벗어나지 않는다. 그것은 블로그를 운영하면서 가고자 하는 방향을 설정하는 것이다.

오늘 문득 블로그에서 지원되는 태그를 한번 클릭 해 보았다. 포스팅 하면서 태그를 열심히 달았더니 다음과 같은 내용들이 많이 나타났다.


                         <그림 1> 엔시스 정보보호따라잡기 태그 캡쳐

이렇듯 정보보호에 대한 태크가 많이 모여 있다. 고로 보안이나 정보보호에 관련 된 글을 지금까지 많이 썼구나 하는 생각을 한다. 태그는 자신이 쓴 글에 대한 핵심 키워드라고 보면 되겠다.

한번쯤 그냥 지나치지 말고 자신의 블로그 티스토리나 네이버에 있는 태그를 클릭하여 어떠한 태그들이 많이 있는지, 또는 특이한 태그는 있지 않은지 한번 클릭하여 관련 글을 읽어 보는것도 재미있는 놀이꺼리가 되겠다.

신고
Posted by 엔시스

KSIA에서 학술지를 창간하는군요. 평소 정책 제언이나 제안 그리고 관심있던 내용을 조금 더 구체적이고 객관적인 형태인 논문을 통하여 자신의 의견을 전달 할 수 있는 통로가 마련된 셈이네요..

기고요령

  1. 논문기고자의 자격제한은 없으며, 주제는 인터넷 및 정보보호와 관련된 내용이어야 합니다. (다음 내용은 주요 작성분야이며, 필자의 의도에 따라 주제는 다양하게 할 수 있음)
    • 인터넷 및 정보보호 관련 법제도, 정책, 산업전망, 이용자보호
    • 인터넷 및 정보화 역기능의 사회경제적 파급효과, 사회문화적 영향
    • 인터넷주소 및 정보보호 기술 정책 방향
    • 국제기구(IGF, ICANN, ITU 등) 및 외국의 인터넷 & 정보보호 논의 현황과 대응방안
    • 기타 인터넷 및 정보보호 관련 분야
  2. 작성언어는 한글 또는 영어로 작성할 수 있습니다.
  3. 원고는 수시로 접수하며, 논문투고신청서(다운로드)와 함께, 전자우편(journal@kisa.or.kr)으로 제출합니다. (전자우편으로만 접수) 제출할 논문은 한글프로그램 또는 MS-Word를 사용할 수 있습니다. (국문은 한글, 영문은 MS-Word 권장) 원고분량은 한글의 경우 A4 20페이지 내외를 권장합니다. (국문초록은 600단어, 영문초록은 200단어 이내, 키워드는 영문으로 5~7개 이내).
  4. 창간호 원고마감 : 2010년 3월 15일(월)까지
  5. 본 저널의 원고투고 지침 및 논문 작성요령을 참고하시어 많은 투고 바랍니다.

기 타

  1. 제출된 논문은 편집위원회 심사를 거쳐 게재를 결정합니다. (제출된 논문은 반환되지 않음)
  2. 채택된 논문에 대해서는 소정의 원고료를 지급합니다.
  3. 자세한 사항은 학술지 담당자(02-405-6516, journal@kisa.or.kr)로 문의해 주시기 바랍니다.



관심 있으신 분들은 참여 해 보시면 좋겠습니다. 평소 정보보호에 관심이 많은 본인도 한번 정리하는 차원에서 주제를 정하여 고민좀 해 보아야 겠습니다.  그냥 일반적인 글 쓰기 보다 논문을 적는다는 것은 자료 수집과 검증 그리고 틀에 많게 논리적으로 글쓰는 연습이기에 여러가지 자기 주장을 객관적으로 표출하는 수단에서 가장 좋은 형태입니다.

제가 블로그를 시작할때쯤은 대학원을 다니고 있던터라 논문에 대한 압박이 있어 글쓰기를 잘 하기 위한 방편으로 블로그 글쓰기를 하기도 하였는데 왠지 논문하면 딱딱하고 어려울꺼 같지만 글로 자기주장을 표출 하는 가장 좋은 방법이기에 한번 도전은 해 보고 싶네요..늘 문제는 시간과 노력이겠지요.

자세한 사항은 키사 홈페이지나 첨부파일 참고 하시면 되겠습니다...





신고
Posted by 엔시스

오늘 포스팅은 조금은 의미심장하고 조금은 반길만한 주제로 포스팅을 해 보겠습니다. 지금까지 '보안'이라는 이슈와 주제는 끊임없이 있었지만 '1.25' 대란이후에 관심을 가지게 되어 그 이후 각종 인터넷의 발달과 기술의 발달로 해킹에 대한 사건사고는 큰 사회적 이슈로 떠올랐으며 최근 7.7 DDoS 사건은 뜨거운 감자로 떠 오르기도 하였습니다,. 이 사건을 계기로 '정보보호'에 대한 관심도 많아졌지만 늘 그렇듯이 일정 시간이 지나면 또 제자리로 돌아가지 않을까 하는 업계에 우려도 있습니다. 그런 가운데 오늘 전자신문에서 '보안닷컴' 런칭에 즈음하여 지금까지 보안관련 사이트에 대한 정리를 해 보고자 합니다. 도움이 되었으면 합니다.


1세대 온라인 보안 언론 '보안뉴스'

보안 콘텐츠만을 온라인 취급 하는 일반 미디어 매체로서는 보안뉴스가 가장 많이 알려져 있습니다. 초기 보안뉴스에 많은 제보와 커뮤니케이션도 하였는데 이제는 어느덧 보안관련 언론 미디어로 자리 잡아가고 있습니다.

단지, 온라인 매체만을 이용한다는 단점이 있습니다. 오프라인 신문을 이용하지는 않지요. 아마도 정보보호21c 라는 정보보호관련 오프라인 월간 잡지가 그 자리를 대체하고 있어서인가 봅니다.

[사진=보안뉴스 메인 화면]

                                                          

최초의 기사를 표방한 신속한 뉴스꺼리를 지속적으로 업데이트 함으로 인하여 기존의 보안에 대한 관련 뉴스 및 이슈를 제공하고 있습니다.


참여형 정보보호 지식 포털 지향 하면서 런칭한 '시큐어넷'

처음으로 공기관(KISA) 주도로 야심차게 내놓은 정보보호 지식 포털 '시큐어넷'은 처음에 많은 주목을 받았습니다. 참여형이라는 키워드가 의미 하듯이 관련 전문가들이 풀에 등록을 하게 되었습니다.


[사진=시큐어넷 메인 화면]



하지만 사실상 운영의 주체가 공기업이고 일방향 커뮤니케이션에서 일방적인 소통으로 인하여 교류가 미흡하여 지금은 그다지 활성화가 되고 있지를 않습니다. 상당히 아쉬운 부분중에 하나입니다.



일반 IT매체가 런칭한 '보안닷컴' , 오픈 기대에 못미쳐


오늘 2009년12월23일 창간한 '보안닷컴' 이 오픈을 하였습니다. 정보보호포털을 선언하면서 런칭을 하여 많은 기대를 하고 있습니다.. 아마도 기존에 IT매체중에 가장 역사가 오래되어 기존의 노하우와 인지도 그리고 브랜드를 가지고 최근에 불고 있는 보안에 대한 소식을 전하려고 하는 의도가 아닌가 생각해 봅니다.


[사진=보안닷컴 메인화면]

 

조금 살펴 보니 조금은 성급한 오픈이 아닌가 하는 생각이 들고 기존 신문 미디어에 있는 기사를 재활용한다는 느낌이 많이 들었습니다.  추후 지켜봐야 할 것이지만 뉴스,콘텐츠만 가지고는 경쟁하기 쉽지 않을껏 같다는 생각이 듭니다.

특히, 가장 관심이 있는 부분은 바로 '도메인'에 있었습니다. 'boan.com' 이라는 도메인은 이미 등록이 된지 아주 오래된 도메인입니다. 약 2000년도에 등록이 되었으니까 전자신문에서는 이 도메인을 기존에 보유하고 있는 분으로부터 구입을 하지 않았나 생각이 듭니다.  인지도 있는 언론 미디어가 구입하는 것인만큼 저렴한 가격에 보유자가 넘기지는 않았으리라 생각합니다.

그렇게 본다면 이번 '보안닷컴' 런칭에 따른 상당한 기대와 부담이 작용하리라 생각이 됩니다. 그런데 이미 보안 기사로서는 '보안뉴스'가 선점을 하여 어느정도 자리를 잡고 있고, 기존의 브랜딩과 역량만 가지고 뒤늦게 '보안뉴스'를 따라 잡기엔 많은 노력이 필요 할 것으로 생각을 합니다. 많은 기대를 해 보겠습니다.


자발적인 참여와 회원간의 양방향 소통채널을 가진 '보안인닷컴' 더 돋보여


제가 운영하고 있는 '보안인닷컴' 은 2004년7월에 포털 네이버에 오픈을 하여 각종 정보보호관련 자격증 정보공유, 그리고 보안에 대한 이슈토론, 정보보호관련 대학원 진로상담, 그리고 정기적인 모임을 통하여 진정한 보안에 대한 함께 나눔을 실천하고 있는 국내 최대 보안커뮤니티입니다.

[사진=보안인닷컴 메인화면]



이런 나눔실천을 인정받아  지난 몇주전에 '2009 인터넷미디어대전에서 우수상'을 수상한 바가 있습니다. 그것은 일방향이 소통이 아닌 진정한 '보안인(人)'으로서 충분한 시간을 가지고 끊임없이 교류를 하고 열정을 발산했기 때문이 아닌가 하는 생각을 가져 봅니다.


마무리글


지금까지  보안관련 사이트들은 많이 오픈이 되었지만 실질적인 운영에 미흡함이 있었습니다. 대부분 기존에 인지도와 신뢰성 그리고 브랜드만 가지고 접근 하였지만 결국은 '소통의 부재' 로 인한 운영상에 부족함이 있었다라고 생각합니다. 따라서 기존 IT매체의 브랜딩과 인지도와 자발적인 커뮤니티의 '보안인닷컴'과 같은 참여로 서로 윈-윈하여 보다 일반인들에게 접근성이 뛰어나고 내실있는 사이트가 되어야 할 것입니다.

그렇지 않으면 기존에 밟았던 전철을 똑 같이 밟게 될 것입니다.  '보안닷컴' 런칭에 사회에 상당한 인사분들이 창간 인사말을 해 주셨더군요.. 그에 걸 맞은 운영이 필요하며 허울만 나타내는 것이 아닌 내실있는 사이트로 거듭나길 기대해 봅니다. @엔시스.


보안인닷컴 대표운영자 엔시스.

신고
Posted by 엔시스

내년 2010 년에는 전자정부 정보보호관리체계를 의무화 한다는 기사가 있었습니다.  본격적인 작업에 돌입이 되지 않나 싶네요.

정보보호관리체계에 관심이 있는 분들은 한번씩 참고 해 보시구요. 또한 공공조직에서 보안담당자들은 반드시 한번씩 일독 하기를 권해드립니다.



세부적으로 하나씩 읽어보니 기존에 ISMS와 유사한 느낌이 나는데 얼마나 효과가 있을지에 대해서는 한번 지켜봐야 겠습니다.

제가 늘 말했듯이 보안과 편리성과는 trade-off 관계에 있습니다. 따라서 정보보호관리체계를 귀찮은 일로 생각하시면 오산입니다. 어쩌면 제대로 된 관리체계를 수립해 놓고 제대로만 운영을 하면 더 수훨하게 관리 할수도 있습니다.

저는 관리체계를 보통 "집안 대청소"에 비유을 합니다.

어느날 아이들이 장난감과 교구 그리고 방을 완전 쓰레기 장으로 만들어 놓았습니다.  그럴때 아버지는 아이들을 데리고 책은 책꽂이에 장난감은 장난감 통에 그리고 옷을 옷걸이에 차곡차곡 정리를 합니다.

그러다가 쓸모 없는 물건이나 옷들이 있으면 쓰레기나 재활용에 버립니다. 그렇게 아이들과 같이 집안 대청소를 하고 나면 한결 잘 정리가 되고 물건이 있어야 할 자리에 있으면 그 다음부터는 관리 하기도 쉽습니다.

마찬가지로 정보보호(보안)도 기존에는 아주 주먹구구식으로 운영이 되어 왔습니다. 예를들면 화면보호기를 몇분동안 지정을 해야 하는지 패스워드는 몇자리로 해야 하는지, 정말 정보를 보호해야 할 자산은 무엇인지. 무엇이중요하고 무엇이 중요하지 않은지에 대한 기준과  규칙이 없었다는거죠..

그러한 규칙을 하나하나씩 인증심사 기준에 맞추어 체계적으로 수립해 나갈때 커다란 하나의 틀 안에서 관리를 하게 되니까 잘 고관리가 될수 있는 것입니다.

아마도 이러한 측면에서 공공기관부터 정보보호에 대한 관리 틀을 다시 한번 수립해야 하지 않는가 하는 점에서 의무화는 당연하다고 생각합니다. 실제 인증 심사를 받기위한 관리체계라기 보다 정말 조직의 정보를 보호 한다는 차원에서 접근하면 그 의미도 남다르지 않을까 생각합니다. 정보보호, 보안관리자 여러분 화이팅 하시기 바랍니다. @엔시스.



신고
Posted by 엔시스

우연히 블로그 리퍼러 확인하다가 포털 다음에서 재미있는 서비스를 제공하고 있는 것을 발견하였다. 그것은 관련 키워드를 입력하고 검색을 하면 얼마나 많은 검색이 되었는지를 기존 검색 키워드 데이터 베이스와 비교하여 챠트로 보여 주고 있다.

물론 정보보호관련 블로거인 만큼 관련 주제어를 넣어 검색을 해 보았다.

첫번째 검색어는 "정보보호" 

1. 검색추이 부분이다.,


역시 느낌으로 봐서도 7.7 DDoS가 일어난 시점에서 많은 검색이 이루어졌다는 사실을 알수 있다. 그만큼 정보보호에 대한 관심이 고조 되었단 것을 반증 하는 것이다.

2. 성별



성별은 단연코 남성이 앞서게 된다. 정보보호쪽은 여성보다는 남성의 진출이 두드러지는 느낌을 많이 받는다. 여성분들의 많은 진출을 기대하고 기존에 있던 여성분들의 약진을 기대해 본다.

3. 연령



연령에서는 20대가 가장 많이 검색을 해 보고 있었다. 10대들이 없었다는게 조금 의문이 들긴 하였다. 같은 내용이라 여기 포스팅에는 언급을 하지 않았지만 10대들은 '정보보호'라는 키워드보단 '해킹' '해커'라는 키워드 검색을 주로 하였다.

4.지역별


인구분포 비례상 서울 지역이 가장 많은 것은 당연한 것이지만 역시 서울에 있는 분들이 지방보다는 훨씬 보안에 대한 관심을 갖고 있다는 사실을 알게 되었다.

또한 지방중에서 대전과 경기 전북지역에서 '정보보호'라는 키워드 검색을 많이 한 것으로 나타났다. 그 나머지 지역은 관심이 적은 모양이다. 주로 서울경기 지역에서 검색을 많이하였으며 대전은 연구소가 많아 아무래도 연구원분들이 검색을 하지 않았나 생각을 해 본다. 타 지방에서도 많은 관심을 갖었으면 생각해 본다.


마무리글

본 조사는 포털 다음에서 제공하는 한정된 서비스로 네이버나 네이트 기타 검색엔진을 사용하는 사용자분들이 배제된 단편적인 내용이다. 따라서 본 내용이 모든 것을 대변하고 대표적으로 나타낼순 없겠지만 타 검색 엔진을 이용한다고 하여도 그리 변경 될꺼 같지는 않겠다는 생각이 든다.

흔히 '정보보호'라는 용어 보다는 '보안', '정보보안', '해킹', '해커'등에 대한 조사도 같이 해 보았지만 연령에서 10대가 조금 있다는 것 외에는 대부분 대동소이 하다는 느낌이 들었다.

우리가 검색 엔진에서 관련 키워드를 찾는다는것은 그만큼 관심이 있다는 증거이기도 하다. 그것은 7월달 기준으로 하여 다른 키워드를 검색을 하여도 마찬가지 결과가 나왔다.  그만큼 이슈가 되고 관심이 많았다는 증거가 된다.

이제 약 4개월정도 시간이 흘러가고 있다. 우리들 기억속에서 아스라히 사라져 가고 있다. 하지만 지금 이시간에도 사이버 보안 위협은 끊임없이 나타나고 있다. 늘 관심을 가지고 주변을 살펴 보아야 할 것이 '사이버 보안'이 아닐까 생각해 본다.



신고
Posted by 엔시스


정보보호(보안)에 대하여 마인드맵을 작성해 보았습니다. 너무 광범위하게 크게 잡아서 제대로 마인드맵이 그려지지 않았습니다. 하지마 그 의미는 충분히 아실꺼 같아서 같이 공유해 봅니다.

추후 시간이 나면 또 업그레이드 하겠습니다. 참고 하시기 바랍니다.



신고
Posted by 엔시스

안녕하세요..전주현입니다. 
한국CISSP협회 제4회 정보보호리더쉽 세미나를 10월16일 개최하고 있습니다. 저는 현재 한국CISSP협회 홍보분과에서 활동하고 있습니다. 그래서 여러분들과 좋은 정보를 공유하고자 합니다.

저녁 시간에 하는 것이라 일반 직장인분들도 참여를 할수 있을꺼 같군요..

그중에서 마지막 세션을 제가 발표를 하게 되었습니다..

제목은 : 사이버테러 윕협에서 CISSP의 역할과 나아갈 방향" 이라는 주제로 발표를 합니다. 들으시면 유익한 자리가 되리라 생각을 합니다.

핵심은 보안활동을 하기 위한 동기부여를 주는 것입니다. 그리고 자신이 나아갈 방향을 제시 하는 것입니다. 자신의 방향을 설정하는 기회가 될 것입니다.

CISSP자격증을 가지고 계신분들은 CPE도 주고 있으니 아래 링크를 참고 해 보시고 사전에 제가 발표하는 자료를 제 블로그를 방문하시는 분들에게 배포를 하겠습니다.

http://www.cisspkorea.or.kr/cissp/bbs/board.php?bo_table=securityEvent&wr_id=20/


감사합니다.




신고
Posted by 엔시스

다른 제목도 있었지만 제목을 좀 자극적으로 해 보았습니다.

새롭게 태어난 '한국인터넷진흥원(이하 KISA)'는 공기업 선진화 방안으로 3개의 공기업이 통합이 되었습니다. '한국정보보호진흥원', '한국인터넷진흥원','정보통신국제협력진흥원' 이 하나로 통합이 된 것이지요..

지난 정부때 '공공기관' 이전에 따라 '한국정보보호진흥원'은 나주로 지방이전이 확정이 되어있었습니다. 하지만 3공기업 통합으로 인하여 지방이전이 불투명해 졌습니다.



2012년까지 지방이전 과연 될까?

이러한 문제로 인하여 지방이전은 어려울꺼 같고 지방균형발전이라는 것도 또다시 수도권집중화로 되어 있습니다. 사실, 지방에서 서울로 가는 것은 더 발전적이고 기회를 잡으려고 가는 것이지만 반대로 서울에서 지방으로 거점을 옮긴다는 것은 사실 그리 쉽지 않은 결정입니다.

하지만 국가 균형발전측면에서는 반드시 공공기관이 움직여 줌으로 인하여 전체 균형적인 발전이 이루어지는 것입니다.

서울에만 인구 집중화 현상과 주택가격이 천정부지로 올라가고 지방 다른 도시에는 그야 말로 휑한 느낌이 든다면 아이가 밥을 골고루 먹지 않고 편식만 하는 그래서 아이가 영향 불균형을 초래 하는 것과 같습니다.


급격한 IT인프라 발전과 정보보호의 대두


앞으로 정보보호와 보안에 대한 이슈와 역기능은 지속적으로 나타날 것이다. 그것은 대한민국의 IT발전이 급속하게 급성장을 하였기 때문입니다. 조금만 생각해 보면 우리가 최초 인터넷이라고 접한 것이 보통 1995년 1996년 정도로 기억이 됩니다. 그때 당시 천리안,나우누리등과 같은 모뎀을 이용한 PC통신과 인터넷은 1999년 정도로 될 것입니다., 어쨌든 대한민국 인터넷의 역사는 10년 남짓합니다.

그 10년동안 정말 눈부신 IT 인프라 발전을 가져왔습니다. 이제 집집마다 초고속 인터넷 안들어가 있는 곳이 거의 없고, 속도도 집까지 100M까지 사용하게 되었습니다. 예전에 모뎀 사용시에는 동영상이 끊겨서 사용할수 없었던 것이 이제는 왠만한 동영상은 무리없이 시청할수 있습니다.

또한 인터넷 뱅킹 사용자가 늘면서 은행의 창구업무는 점점 줄어들고 있으며 창구를 찾는 횟수도 점점 줄어들고 있습니다. 책도 서점에서 사기 보다 온라인 서점을 이용하여 구매하는 시대에 살고 있습니다.
인터넷의 혁명이 우리 생활에 지난 10년 동안 깊숙히 파고 들었습니다.

하지만, 인터넷 역기능이 나타나면서 정보를 관리를 하던 단계에서 이제는 '보호'를 해야 하는 단계로 진입을 하였다는 것입니다. 정보보호와 보안에 대한 마인드과 인식이 필요한 시점이 되었다는 것이죠. 그것은 작년과 올해 여러가지 보안이슈성 사건 사고들이 언론과 방송에서 다루어지면서 많이 부각이 되기도 하였습니다.


보안사고 터지면 의례히 나타나는 단골메뉴 - 정보보호 인력 양성

지난번 한번 블로그를 통하여 한번 포스팅 한 적이 있지만 보안사고가 터지면 의례히 나타나는 전문인력 부족현상을 이야기 합니다. 솔직히 말씀드리면 지방에선 전문 인력을 찾아 보기 힘듭니다. 아니 거의 없다고 해도 과언이 아닐것입니다.  수도권으로만 이루어지는 전문인력 양성. 그것도 제대로된 전문인력 양성이 될지 않될지 모르는 가운데 지역에서 사용하는 IT인프라를 책임지고 관리 운영하는 전문인력조차 그리 없습니다. 전부 수도권위주로 진행이 됩니다. 그러다 보니 관련 기관에 보안을 관리 감독하는 기관조차도 없습니다. 중앙에 통제를 받는 것도 중요하지만 '정보보호'에 대해서만은 스스로 해결하고 노력 하는 것이 정말 중요합니다. 그런 기반 마련이 시급한 것입니다.


한국인터넷진흥원 지방 지사 설립은 어떨까?

어차피 3개기관 통합하여 지방이전은 사실상 물건너 갔다고 보아집니다. 따라서 대한민국 수도권을 제외한 전국 IT인프라와 정보화, 인터넷의 정보보호와 보안을 관리 감독하고 책임질수 있는 한국인터넷진흥원 주요 광역도시 지방 지사설립은 어떨까 하는 생각을 해 보았습니다.

3개 통합기관중에서 가장 많은 인원이 있으며 향후 보안에 대한 대책 방안이나 정책 수립시에 각 지방에 있는 의견을 수렴하는 창구 역할을 할수 있을 것입니다. 물리적인 여건으로 멀리 떨어져 있다보면 아무래도 정부 정책 전달이 늦어지고 멀어질수 밖에 없습니다. 그냥 막연히 국민에게 무엇무엇을 하라는식의 상명하달보다는 조금 더 기관이 다가 갈수 있는 적극적인 자세가 필요한 것입니다. KISA지사 설립을 한다면 다음과 같은 장점이 있을 것입니다.

  • 지방 IT인프라에 대한 현황 파악 및 기술전파, 비IT 기업의 보안인식의 확대
  • 수도권 위주의 인력 양성을 지방 거점 도시에 전파하여 부족한 정보보호 전문인력 양성
  • 정기적인 세미나와 지역 업체 면담을 통하여 정보보호에 대한 인식전파와 의견 수렴
  • 정보보호 법과 제도 집행으로 인한 정보부족을 지역 거점 지사에서 확대,전파
  • 기관 한곳이 아닌 지역 여러 곳에서 역할분담으로 정보보호 법,제도 균형 운영
  • 사이버 테러, 사이버전 발생시 지역 유관 기관과 유기적인 대응체계 구축
  • 지역 정보보호, 보안 인력 풀 구축 활용, 전문가 양성


맺는말

지금 공기업 선진화 방안으로 인력 감축을 하고 오히려 덩치를 줄이고 있는데, 기관을 더 확장을 한다는 것은 정부정책에 맞지 않을지도 모릅니다. 하지만 향후 미래 산업은 모든것이 컴퓨터와 인터넷으로 이루어질 것이며, 이러한 '정보'(infomation)에 대한 '보호'(保護)는 당연한 것입니다. 사실 수도권에서 말하는 것이 지방까지 얼마나 가슴에 와 닿게끔 전달이 될수 있을까요? 조금 더 가까이 내 주변부터 챙기고 알릴수 있는 거점이 필요한 시기입니다.

대한민국 모든 것이 안 중요하고 사람이 안 필요한 것이 없겠지만 향후에는 컴퓨터로 대체되어 '무인화' 되어 가는 시스템이 점점 중요해 지고 그 안에 정보의 중요성은 점점 커질 것입니다.

이러한 미래 대체 역할로 중앙집중식 보다는 분권화 시켜서 그 대안을 마련하고 방법을 모색해 보는 것이 장기적인 안목에서 혜안(慧眼)을 찾을수 있는 것이라 생각합니다. 다양한 생각과 제안은 때로는 결정적인 정책적 대안 제시가 될수도 있기에 몇가지 생각을 적어 보았습니다. 이러한 부분들은 꼭 기관에만 한정 되는 것이 아니라 기업도 마찬가지고 생각해 볼수 있는 문제이겠지요. 한번씩 고민해 보면 좋을꺼 같습니다.  늘 불가능하다고 생각하면 영원히 할수 없는 것입니다.

"못해서 안한게 아니라 안하니까 못 한 것입니다."


신고
Posted by 엔시스

국정원을 컨트롤 타워로 하는 '국가 사이버전략'에 대한 대책이 발표가 되었습니다. 그중에 가장 핵심은 '사이버 보안관 3000명'을 육성하겠다는 것입니다.

관련기사: http://www.etnews.co.kr/news/detail.html?id=200909130022


역시 정보보호(보안)은 바로 우수한 인력과 연결이 되기에 '인력 양성' 은 무엇보다 정부가 정책적 의지를 가지고 진행해야 하는 부분이기도 합니다.



1. 사이버 보안관 어떻게 양성 할 것인가?

무엇이든 일단 대책이 마련이 되면 그 다음엔 방법이 문제입니다. 어떻게 3000명 인력을 양성 할 것인가? 라는 문제가 대두가 됩니다.

이번 7.7 DDoS 사고로 인한 보안대책으로 마련 된 것인만큼 이번 만큼은 숫자에 연연하기 보다 실질적인 인력 양성이 되었으면 합니다.

사실, 3000명이란 숫자가 그리 적은 숫자는 아닙니다. 연 300명씩 인력 양성을 한다고 해도 10년이 걸리는 것이며 연 1000명씩 양성을 한다고 해도 3년이 걸리는 사업입니다. 정보보호(보안) 특성상 그리 오래가져갈 사업도 아닙니다.


그냥 막연히 몇년간 3000명 인력 양성을 하겠다는 발표만 내면 자칫 숫자에 연연하며 부실한 대책이 될 가능성이 많습니다. 따라서 정부는 어떻게 양성 할 것인가에 대한 고민을 심도 있게 하여서 이번 만큼은 정보보호 강국으로 갈수 있는 내실 있는 보안 인력을 양성 하길 기대합니다.


2. 서울(수도권)만 집중된 보안 인력양성을 할 것인가?

우리는 보통 자신의 그 상대방 입장이 되어 보지 않으면 또는 체험 하지 않으면 그 입장을 이해하기란 그리 쉽지 않습니다. 따라서 사이버 보안관 3000명 양성이라는 정책은 반길만한 대책이지만 한곳에 집중이 되지 않았으면 하는 바램을 가져 봅니다.

결국, 사이버보안을 해야 하는 것은 말 그래도 전국 사이버에 대한 지킴이 역할을 해야 하고 때로는 현장에 나가서 또는 직접 방문을하여 조사 및 도움을 주어야 하는 경우도 있습니다. 하지만 현실은 모두 서울(수도권) 위주로 정부 정책이 지나치게 집중되어 진행 되는 경우가 많습니다. 이러한 경우는 결국 비율에 있어서는 조금 우위로 점하더라도 지역에도 분할하여 보안 인력을 양성하는 대책을 마련 하여야 할 것입니다.


3. 보안사고는 산불과 같아 처음엔 지역에서 발생하였으나 전국으로 번져

최근 사이버 사고는 글로벌 하게 움직이고 있고 제로데이(Zero-day) 공격이라 해서 업데이트나 패치가 나오지 않은 하루만에 공격을 할수 있는 익스플로잇이 발표 되고 있습니다. 이러한 시점에서 인력 양성 서울 집중화는 고려 해야 할 사항중에 하나입니다.

최근 신종플루에 대한 감염때문에 전국 병의료원에 '지역 거점병원'을 지정하여 따로 관리를 하고 있습니다. 사이버 방역에 대한 사이버 보안에 대한 보안관을 '지역 거점 보안관' 으로 두어야 하는 것은 자명한 것입니다.

만약, 특정 지역 한 곳에서 발생한 사이버 취약성 위협이 그 곳을 대처 할수 있는 인력이 있었더라면 쉽게 방어 할수 있는 것을 정부가 무관심하게 방치하는 동안 한쪽으로만 기울어지는 인력 공급이 될 가능성이 있습니다. 여기서 말 하는 인력이란 ? 정보보호 기술적인 부분뿐만아니라 관리적인 부분도 잘 이해하고 운영하고 감독 할수 있는 인력이 있어서 서울과 수도권과 공조하여 사이버 안전을 지켜야 하는 것을 의미 하는 것입니다.


마무리글

늘 어떠한 사고가 발생을 하면 재발 방지를 위하여 대책을 마련하게 됩니다. 하지만 어쩌면 그것은 책상에서만 앉아서 만들어내는 대책일 가능성도 많이 있기에 사이버보안관 3000명 이라는 허울좋은 명분보다는 실질적으로 각 역할과 책임을 분할하여 전담할수 있는 서울과 수도권을 비롯한 각 주요광역시의 인력 양성에도 심혈을 기울여야 할 것입니다.

그냥 붕어빵 찍어내듯이 찍어낸 3000명이 아닌 전국에 골고루 분포하여 조금은 시간적 여유를 갖더라도 제대로 된 그리고 써 먹을수 있는 그런 인력 양성을 하였으면 하는 바램으로 다음과 같이 제언해 봅니다.

사이버 보안관 3000명 인력 양성에 대한 제언

  • 서울(수도권)과 지방  인력 양성 분포를 6:4 비율
  • 전국 주요 광역시에 골고루 분포한 정보보호 인력 양성
  • 인력 양성을 네트워크화하여 천편 일률적인 인력 양성이 아니라 스스로 발전하고 조직화 시킴
  • 관리적,기술적,물리적 보안에 대한 3:5:2의 비율로 골고루 할수 있는 교육 커리큘럼
  • 정보보호 교육 전담 기관 선정
  • 정보보호 교육에 대한 우수한 강사진 선정
  • 사이버 보안관 3000명 양성에 따른 정부의 재정적 지원 확대
  • 정보보호(보안 인력) 양성 후 우수인력의 활용성 제고 (행정기관 취직이나 대기업 취업 마련 기회 제공)

그외에 더 많은 사항들이 있겠지만 무엇이든 대책 마련은 쉽지만,  실제 운영과 사후 관리가 상당히 중요 합니다. 따라서 인력 양성후에 어떻게 활용할 것인가에 대한 구체적인 대응 마련이 된다면 조금 더 실질적인 대책이 되지 않을까 생각해 봅니다. 부디 글로벌한 환경하에서  사이버 안전을 지키는  보안지킴이가 많이 탄생하길 기대해 봅니다.  @엔시스.


신고
Posted by 엔시스

초보자개발 항해일지를 운영하고 있는 아리새펜촉님이 바톤을 넘겨 주어 포스팅 하게 되었습니다. 그 내용은  http://hisjournal.net/blog/259 포스팅을 참고 하시면 되겠습니다. 그동안 다른 일때문에 많이 바쁘다보니 미쳐 마음에 여유를 가질 기회가 없었습니다. 이번에 한번 돌아 볼겸 해서 정리해 봅니다..

바톤을 넘겨준 제목은 『보안과 네이버카페』 아마도 저에게 있어서 특화된 주제로 넘겨 준거 같은데 한번 정리를 해 보겠습니다. 제가 네이버에서 국가공인 정보보호전문가 자격증 모임 이라는 커뮤니티를 운영하고 있습니다. 지금 회원은 약 2만4천명정도 되겠네요..

자칫 네이버 카페에 대한 보안적인 측면에 관심을 가지고 방문하신 분은 낚기신것입니다. 네이버 카페 보안에 대한 이야기가 아니고 제가 보안 커뮤니티를 운영하고 있고 또한 사람과 사람들이 엮인 커뮤니티인만큼 보안이란 키워드와 카페라는 키워드 측면에서 적어 보는 것입니다.

1. 카페의 시작

카페는 2004.7월에 어느날 SIS 자격증 시험을 보게 되었습니다. 그런데 SIS 1급 자격증 시험이 너무 어려워 그만 시험에서 떨어지고 말았습니다. 나름 준비 부족도 있었지만 충격을 먹었습니다. 그래서 하는수 없이 SIS 자격증은 반드시 취득하고자 마음 먹었으며 그러면서 카페를 만들어 자료 정리를 해 보고 또한 준비 하는 사람들끼리 정보도 공유하면 좋겠다고 생각하여 만들었습니다.

무엇이든지 처음엔 재미가 없게 마련이지요..늘 혼자 노는 기분과 같겠지요..그리고 아는 사람도 없으니 방문자도 없고..

2. 카페 홍보와 자료 마련

카페 홍보를 하기 위하여 그 당시 한창 잘나가던 지식인에 보안에 대한 답변을 쓰기 시작 하였습니다. 그리고 그에 대한 답은 카페에 올리기도 하였고 같은 질문과 답을 적기도 하였습니다. 지금이야 지식인이 한물 같지만 그당시만 해도 지식인이 인기였습니다. 또한 정회원이 되기 위하여 자료 2개를 반드시 올리게 되어 있습니다.


3. 서울카페 첫 정모

서울에서 카페 첫 정모를 하였습니다. 사전에 준비도 하였고 몇명 안되지만 카페내에서 닉네임이 익숙한 몇분과 함께 첫 모임을 갖었던 기억이 납니다. 그때 모인 인원중에 지금 운영진에 있는 회원이 대다수이며 같이 이끌어 가고 있습니다. 첫 정모에서 약 20여명 모였으며 몇분의 여성분들도 있었던걸로 기억합니다.


4. 보안커뮤니티 연합 세미나

그런던중 옆 카페에서 평소 교류가 있던 솔라리스테크넷과 연합 보안 세미나를 서울역 세미나실에서 열게 되었습니다. 많은 사람들에게 다가갈수 있는 기회가 되었고 몇분의 새로운 지인분들 알게 되었습니다. 약 100명정도 모인 세미나였으며 카페를 더 많이 알리고 서로 알아가는 기회가 된 것 같기도 합니다. 또한 처음 행사를 해 본 경험도 되겠습니다.

5. 커뮤니티 운영하면서 가장 인상 깊었던 경우는?

커뮤니티를 운영하면서 많은 일들이 있었는데 그 중에서도 SIS 시험 관련하여 그 당시 한국정보보호진흥원 원장님에게 직접 메일을 보내어 민원을 청구 하였던 기억이 납니다. 이러한 민원이 접수가 되어 해결이 되긴 하였지만 그 모든 것이 개인 스스로의 일이었다면 불가능 하였을 것입니다.


6. 카페 운영하면서 자주 받는 질문은?

카페를 운영을 하다보면 자주 메일과 쪽지를 받게 되는데 대부분 보안에 대한 이야기이며 어떻게 하면 보안에 대한 공부를 할 수 있으며 시험 공부를 하려면 또는 취직을 하려면 어떻게 하면 되는지에 대한 질문을 다수 받습니다. 가끔은 카페를 양도하면 얼마를 주겠다는 메일과 쪽지를 받은 적도 있습니다.


7. 카페를 운영하면서 잃은 것과 얻은 것은?

우선 카페를 운영하면서 얻은 것은 많은 분들과 교류를 할 수 있었다는 것입니다. 그리고 어느정도 규모가 되었을땐 알아보는 사람이 조금 있다는 것입니다.
잃은 것이 있다면 카페 운영에 많은 시간이 투여가 됩니다. 이제는 어느정도 습관이 되고 운영진과 예비스텝들이 도와 주고 있어서 조금 나아지긴 하였지만 아직도 시간이 투여가 됩니다. 역시 무슨 일이든 시간을 투자 하지 않으면 이루어지는 것이 없더군요.

8. 왜 하필이면 보안 커뮤니티였습니까?

물론 카페가 보안자격증 정보공유정도로 보일수도 있지만 지금 추구 하고 있는 것은 보안, 정보보호라는 것은 즉, 소홀히 할수 없는 것입니다. 그것이 비록 미래 전망 직업에 항상 등장하는 이유이기 때문이기 아닌 이제는 잘 갖추어진 인프라를 통하여 더 많은 역기능들이 나타나고 있는데 빠른 정보화와 편리성 보다는 정보보호에 대한 마인드는 아직도 뒤쳐저 있기 때문입니다. 그래서 많은 사람들과 보안에 중요성과 인식을 일깨우는 커뮤니티로 거듭나고자 노력 하고 있습니다.

9. 블로그와 카페에 대한 느낌을 각각 적어 본다면?

블로그는 개인 미디어로 개인에대한 느낌과 생각을 적기 때문에 아무래도 부담이 덜 됩니다. 그리고 그 책임은 개인이 지게 됩니다. 또한 블로그는 오픈된 공간이라서 서로 깊은 피드백이 오고 가지 못하는 점이 있습니다. 그것은 아마도 블로그를 운영하는 사람들의 생각과 주제가 일정하지 않고 그렇다 보니 각자 관심사가 그리 많이 일치하는 점이 없기 때문인거 같습니다.

하지만 카페는 그 충성도는 상당히 높은 편입니다. 그리고 약간은 폐쇄적인 구조를 가지고 같은 주제와 생각을 가지 사람들로 모인 만큼 피드백이 상당히 높습니다. 블로그와 카페를 둘다 운영하고 있는 제 입자으로 봐서는 아직까지 우리나라는 카페가 운영자로서는 더 관심이 가고 높은 충성도와 피드백으로 인하여 더 관심이 가는게 사실입니다.

다만, 카페와 블로그를 같이 연계하여 장단점을 보완해서 운영하는 하이브리드 형식을 띄면 많은 부분이 보완 되리라 생각합니다. 그 몫은 여러분들 고민해야 하겠죠.

10.  마지막으로 블로거와 카페 분들에게 한마디 한다면?

인생은 끊임없는 도전과 열정 그리고 노력입니다. 카페도 열심히 활동하다보니 네이버 대표카페에 선정이 되었고, 블로그도 열심히 노력하여 꾸준히 운영하다보니 여러가지 수 많은 콘텐츠도 점차 쌓이게 되었습니다.

따라서 지금 이 시간 바로 시작하는게 중요하겠습니다. 언젠가 시작하기 보단 자신이 원하고 하고자 하는 것이 있다면 바로 시작하라는 것이죠. 보안과 네이버 카페에 대하여 충실하게 질문 대답형식을 적어 보았으나 제대로 되었는지 모르겠네요. 아무튼 네이버에 카페를 먼저 정착 하였기에 지금에 많은 회원들과 호흡할수 있고 그것은 또 다른 인연을 불러 오는 것입니다. 자신이 아무것도 하지 않는다면 또 다른 인연과 발전은 올수가 없겠지요. 지금 이 시간에도 부단히 노력하면서 준비하는 자세가 필요하다고 생각합니다.  대한민국 최고의 정보보호 커뮤니티를 만들고 보안 블로그로 거듭 나게끔 노력해 보겠습니다.

아리새펜촉님 이정도면 어느정도 답변이 되었나요? 추후 나중에 조금 더 자세히 정리해 보도록 하겠습니다..



신고
Posted by 엔시스

최근에 보안의 중요성이 대두 되고 있는 가운데 아직도 사람들 의식 속에서는 보안이 그냥 귀찮은 존재로만 생각한다는 사실을 또 한번 느꼈다.

트위터를 운영하고 있어서 트위터리언(트위터 하는사람을 일컫는말)에게 다음과 같은 질문을 던져 보았다.



질문은 간단하다. 보안이 중요하다고 하는것은 누구나 인식을 같이 한다. 하지만 왜 잘 지켜지지 않을까 하는 원초적인 질문이었다.

그런 질문에 약간은 대답을 예상은 했지만 너무도 일치되는 답변들이 많아서 문뜩 놀랐으며 아직도 갈길이 멀다는 생각을 하게 되었다.


개인 프라이버시 관계상 앞에 사진을 제외 하였으니 양해 바란다. 일부는 보안업체의 자각을 이야기 하기도 하고 하지만 대부분은 개인의 습성을 이야기 하고 있었다. 그 내용은 다음과 같다.

  • 보안과 귀찮이즘과의 trade off 관계
  • 번거로움
  • 게으름
  • 안전성 보다는 편리성을 추구
  • 보안의 중요성은 인식
  • 행동으로 실천 옮기기가 쉽지 않음
  • 설마 어떻게 되겠어?

이러한 부분들이 전부는 아니겠지만 또한 답변 한 사람들이 많이는 아니었지만 대부분 너무 일치하는 답변들을 보고 흠짓 놀라기도 하였다.

그럼 어떻게 해야 할 것인가?  보안이 중요하다는 것은 아는데 안전한 것 보다는 편리성을 더 찾는 인간의 습관을 어떻게 고칠 것인가?

참 어려운 문제이다.  보안 아무리 강조해도 지나치지 않는다. 우리 모두 보안 마인드를 가집시다..

 

신고
Posted by 엔시스

보안인닷컴(대표운영자:전주현)은 보안뉴스가 의뢰를 하여 지난 8월13일부터 19일까지 1주일간 보안전문가 준비를 하는 회원들을 대상으로 설문을 조사했다.

과연 보안전문가 또는 보안업계에서 일을 하기 위해서는 어떠한 어려움이 있는지에 대한 설문은 다음과 같다.

본 설문에 대한 취지는 보안취업과 전문가를 준비하면서 어떠한 어려움이 있는지 분위기 파악정도로 하는 용도이며 보다 많은 설문은 향후 해 보기로 하여 설문에 대한 지문의 수가 많지 않아 그 정확도가 조금 떨어질 것이다. 감안하고 읽어 보기 바랍니다.

1.설문  보안업계에 취업하고자 하는 이유는?



2. 설문  보안업계에 취업을 하기 위해 어떤 노력을 하고 있는가?



3. 설문  보안업계 취업의 어려움은?


위와 같은 설문 결과가 나왔습니다. 

자신이 왜 보안업계에 취업 하고 싶은지는 관심분야이기 때문에 라는 답변을 한 것이 설문 답변자의 75%를 차지 하였습니다. 유망직종으로 떠오를 것 같다서 라는 답변의 결과도 18%정도 되네요.


그럼 보안업계에 취업 하기 위하여 자신이 하는 노력은 ? 설문 답변자의 60%정도가 자격증취득을 들고 있습니다. 이는 아직까지 보안전문가를 가늠할수 있는 잣대가 없기 때문에 자격증에 의존 하는 것으로 파악을 하고 있습니다. 또한 이러한 사항은 보통 '정보보호컨설팅 전문업체 지정'이나 기타 보안관련 프로젝트 수주시에  인력 현황을 <초급><중급><고급>으로 나눈 다면 이러한 분류기준을 경력과 자격증 등으로 나누기 때문입니다.

지금까지 보안업체에 국가에서 요구 하고 있는 보안 자격증은 (CISSP) (CISA) (SIS) 를 법률에 명시하고 있습니다.

마지막으로 보안업계 취업의 어려움은 무엇인지에 대한 답변은 57%가 전문지식을 얻기 힘들다는 점이었습니다. 사실 수시로 변하는 기술발전을 따라가기엔 부단한 관심과 자기 노력이 있어야 하기에 그리 쉬운 편은 아닙니다. 하지만 무엇보다 빠른 기술을 접하고 사이버 안전을 지킨다는 사명감 또한 중요하기에 한번쯤은 도전해 볼만하지 않을까 생각합니다.

보안업계에선 열악한 환경과 낮은 보안의식 수준으로 일정 나이가 되면 업계를 떠나는 경우가 있지만 무엇보다 중요한 것은 자신의 일을 얼마나 사람하고 열정적으로 할수 있는가가 중요 하겠습니다. 힘들기는 다른 업종을 가더라도 마찬가지로 어려울 것입니다. 이 세상에는 쉬운 것은 하나도 없습니다. 편하면 편한대로 힘들면 힘드는 대로 나름 고민과 고충이 있겠지요.

어떤 분이 이런 말을 하더군요.

"돈이 많으면 행복 한 것보다는" " 돈보다 자신이 더 이상 취할 것이 없으면 돈이 없어도 행복하다" 라는 말을 하더군요.

보안직업의 유망직업으로 장미빛 청사진을 제공하고 업계의 현실은 그 장미빛 청사진을 외면 할진 모르지만 가장 중요한것은  자신이 하고 싶은 일을 하는 것이 가장 행복한 것이 아닐까 생각합니다. 이땅에 보안전문가를 꿈꾸시는 분들 화이팅 하시고 힘내시기 바랍니다.  @엔시스.


신고
Posted by 엔시스

오늘자 언론 기사를 접하고 딱 떠오르는 말이 있었다. 다른날 같으면 그냥 뇌리를 스치는 말이지만 이번엔 그냥 입으로 튀어 나왔다.

"그러면 그렇지 " "내 이럴줄 알았다"  실망감을 감출수 없다.

靑 "정보보호 컨트롤타워 계획없다"

화장실 갈때와 갔다온 후가 달라지는 것이다. 조금은 신랄한 비판을 해 보고자 한다. 아직까지도 "매뉴얼만 있으면 대응이 되는 것이라 생각하는 건지 "

사정이야 있겠지만 아직까지 "정보" 가치에 대한 소중함과 "보호"에 대한 마인드가 부족하다고 생각을 한다. 정해진 조직이 하루 아침에 다르게 바뀐다는 것도 힘이 드는 것이겠지만 그래도 무엇인가 변할수 있는 마인드를 가져야 한다.

공공조직이라는 것이 속앓이가 많을 것이다. 그것은 개인이 혼자 열정적으로 한다고 해서 되는 일도 아니고 전체적인 안목에서 이루어져야 하는 부분이기 때문이다.

하지만 말이다. 이제는 조금 더 합리적이고 효율적인 국가 위기 관리시스템이 도입이 되고 그곳에서 집중관리 될 수 있는 핵심 기관이 있어야 하는 것은 당연한 것이다.

언론과 일이 일어났을때만 호들 갑을 떠는 우리나라..이미 여러번 반복 효과로 인하여 이제는 체념해 버린 우리.

왜 이렇게 자꾸 만들어가고 있을까?

늘 그 외침은 그들만에 외침이고 그들만의 관심일까? 안타깝다. 이제 딱 한달만 지나면 또 관심이 사라져 버리겠지..언제 그랬느냐는 듯이...

다시 한번 말하지만 DDoS가 전부가 아니다. 그것은 정보보호에 대한 극히 일부분일 뿐이다. 사이버 사고가 일어나면 사고 축소에 급급하기 보다는 미리 마련을 하고 , 준비를 하고 법률과 제도를 개선하여 또 다른 사고로부터 보호를 해야 하는 것이다.

이제는 소통을 해야 하고 귀를 기울여야 한다. 고객이 왕이고, 국민이 왕인 것이다. 그냥 일방향 통행을 하지 않길 바랄뿐이다. 고객이 없으면 어떻게 기업이 돈을 벌게 될 것이며, 국민이 없으면 어떻게 국회의원이 입법을 추진하겠는가?  지금 상황을 잘 한번 살펴 보아야 한다.

"정보보호", "보안" 그렇게 중요하다고, 해야 한다고 , 실천하자고 외쳐도 차잔속에 태풍으로 남아서 언제나 외로워서는 안되는 것이다.

정말 중요한 것은 바로 "국민에게 상대방에게 고객에게 학생에게 바로 당신에게 귀를 기울일줄 아는 것이다."

청와대가 의지가 없는 것이나 조직에 장 즉, CEO가 의지가 없는것이나 다름바가 없다. 결국 의지가 없으면 변화는 올수 없고 똑 같은 행동과 결과를 반복 할 뿐이다.

아인슈타인이 말했다.

" 같은 행동을 하고도 다른 결과를 바라는 사람은 정신 병자나 다름이 없다."

다시 한번 새겨볼 말이다.




신고
Posted by 엔시스

오늘자 기사에 보안사업에 SK C&C가 뛰어든다는 기사가 있었다. 그것은 아무래도 삼성이나 LG에 따른 IT서비스 회사들간에 자존심 문제일 수도 있다.




남들 다 하는데 나만 안하면 왠지 뛰 떨어지는 듯한 느낌이 든다. 그래서 SK C&C가 인포섹에 지분을 100% 취득 했다는 이야기이다.  그렇다고 한다면 인포섹의 경우 더욱 확고한 기반을 다지게 되는 것이다.

결국 국내 IT서비스 대기업 3社가 전부 보안조직을 가지게 되었다. 돈 된다고 그랬을까? 아니면 향후에 프로젝트 수주를 위한 지지 기반을 다질려고 그랬을까?

이에 따른 국내 보안업체인 A사와 기타 다른 보안업체들의 선전을 해야 할 것이다. 대기업이 많은 인력과 경제력으로 밀어 붙이면 결국 보안벤쳐를 또 힘을 잃어 가겠다.

보안업계에서도 빈익빈 부익부 현상이 벌어지게 되고 결국 서로 살아 남기 위하여 M&A나 중소 업체끼리 인수 합병을 할 것이다. 그냥 보안이 돈 될꺼 같고 수요가 있을꺼 같아 하는 사업이라면 전략을 잘 구상하여야 할 것이다.

보안업체로서는 중요한 시기이다.  평소 인력관리에 힘쓰고 CEO는 직원들 불평 불만이 없는지 돌아 보아야 하고 또한 고객사에 목소리에도 귀를 기울여야 한다. 그래야 살아 남는다.  @엔시스.


신고
Posted by 엔시스

필자는 두렵다. 그것은 또 '보안'이라는 것이 '정보보호'라는 것이 사람들 관심에서 사라질것이라는 것 때문이다. 그럼 현실을 냉정하게 바라보고 미래에 대응할수 있는 방법에 대하여 살펴보도록 하자.

국내에서도 보안전문가들이 많이 있다.  실무에서 여러가지 체험을 하면서 노력하는 분들도 있고 학계에서 선도하시는 분들 그리고 이제 막 이러한 이슈가 터질때마다 국민적 이슈로 부상을 하기에 미래 장미빛 청사진을 가지고 이제 막 공부를 시작하는 분들도 있다. 필자는 커뮤니티를 운영하면서 이러한 질문을 상당히 많이 받는다. 어떻게 하면 보안전문가가 될수 있는지..과연 필자가 그런 답을 할만한 위치에 있는지 또는 그런 정도에 실력은 보유하고 있는지..하지만 늘 그런 고민을 하면서 필자라도 그렇게 하지 않으면 아무도 하지 않을꺼 같아 비록 부족하고 그릇도 안되지만 필자 역량에 맞게 조언을 해 준다. 이제 보안에 대한 시각을 바로 가져 보도록 하기 위한 몇가지 제언을 해 보고자 한다.

1. CEO가 보안에 관심을 가지고 실천을 해야

이러한 몸소 실천을 제일 잘 하고 있는 분이 바로 안랩의 김홍선 대표이다. '김홍선의 IT와세상' 을 통하여 보안 1세대 답게 '소통'을 하고 있는 것이다. 김대표는 보안업계에서 잔뼈가 굵었기 때문에 무엇보다 보안 현실에 대하여 잘 알고 있다. 그러한 사항을 블로그를 통하여 솔직하게 소통을 하고 있는 것이다. 실로 진실되어 보인다. 자신의 얼굴을 걸고 이야기 하는 것이기에 다른 말을 할수 없는 것이다,. 그것은 필자가 블로그 메인에 얼굴을 걸고 하는 것이나 마찬가지일 것이다. 최근 화제가 된 글 몇개를 링크걸어 보겠다.
안철수연구소 CEO가 바라 본 DDoS 대란 (1)
안철수연구소 CEO가 바라본 DDoS 대란 (2) : DDoS 공격의 성격
3D 업무에 한숨짓는 보안인력의 현실 : 안철수연구소 CEO가 바라본 DDoS 대란 (3)

물론 국내에서 보안을 대표하는 안랩 CEO라서 그런게 아니라 그런 솔직한 마인드를 가지는게 중요한 것이다. 스스로 현실을 냉철하게 분석하게 이야기 할 사람이 몇이나 되겠는가? 그것도 국내 보안 대표CEO가.

대통령도 보안에 관심을 가져야 하고 조직에 장도 보안에 대하여 관심을 가져야 한다. 모르면 전문가의 조언을 들어서라도 들어야 한다.  조직의 장이 보안에 관심이 없으면 결국 스스로 자멸하는 길임을 꼭 기억을 하여야 한다.

국내에서 일어나는 사건사고는 국내에서 어느정도 대한민국 국민으로 해결을 하면된다.하지만 국내 보안의식과 정보보호수준이 후진국이라서 미국이라든지 해외 나라로부터 사이트를 차단을 당하거나 미리 국내에서 차단을( 2009/07/16 - [Security Skill&Trend] - KISA, 어도비(adobe)社 웹사이트 일방적 차단 논란 )하게 된다면 이 얼마나 민망하고 얼굴 부끄러운 일인가? 세계12-13하는 경제국가가..이젠 정말 정신 차리자.

2.  법과 제도가 정비가 안되면 처벌할 법적근거가 없어

법에 대한 정비와 제도 운영도 미흡하긴 마찬가지이다. 이번엔 DDoS공격 때문에 이런저런 말들이 많았지만 지난해에는 개인정보보호 유출때문일때도 말이 많았다. 그때에도 사회적 이슈가되었지만 결국 처벌할 법적근거를 마련하지 못해 불기소처분이 되었다. 이렇듯 그때만 반짝하는 것은 이젠 일상화가 되어 버렸다. 17대 국회에서 '개인정보보호법'이 통과가 되지 못하였고 18대 국회에서도 '개인정보보호법'도 그 진척이 미진한 것 같다.  그러다가 이번에 DDoS공격을 당하고 나니 갑자기 예산을 200억편성을 하여 긴급 지원하겠다고 한다.  또한 '정보통신망 이용촉진 및 정보보호에 관한 법률 (일명 -망법)'의 개정에도 관심이 없는가 보다. 오죽하면 이런 광고도 냈을까 싶다. 2009/07/09 - [Security Skill&Trend] - '정보보호' 얼마나 급했으면 이런 광고까지.


3.  보안인력 양성과 개인들의 정보보호 인식제고에 힘써야

보안인력을 붕어빵처럼 찍어내라는 소리가 아니다. 우리나라는 '해커'라는 용어에 대해서는 관대하지 못하다. '해커'라고 하면 우선 왜곡된 시각으로 보고 사건이 터지고나면 이런 저런 대안을 봇물처럼 쏟아내곤한다. 여러가지 노력은 하고 있지만 아직까지 미흡한 것은 사실이다. 이러한 부분에 있어서 좋은 조언을 해 준 기사가 있어서 링크를 건다. http://www.boannews.com/media/view.asp?idx=17136&kind=0
요약을 해본다면
  • 부처별 정보보호과 신설
  • 청와대 국가사이버 총괄 코디네이터 필요
  • 국내 대학교에 정보보호학과 신설

민간이 아무리 주도적으로 하여도 국가기관에서 정책적으로 이루어지지 않으면 결국 스스로 포기하게 된다. 그것은 많은 수의 국내 대학에 '사이버경찰과'나 '정보보호학과'를 개설 하였다가 제대로 지원이 되지 않아 결국 학과를 통폐합 하는 경우도 있었다.  이러한 사항은 2009/04/29 - [Security Data] - 2008 정보보호 실태조사, 개인편 2009/04/29 - [Security Data] - 2008년 정보보호 실태조사, 기업편 에서도 알수 있으며 기업에 대한 현황은 2009/03/10 - [Security Statistics] - 2008 매출로 분석한 정보보호산업 현황 을 참고 하면 되겠다.


정보보호가 정보처리만도 못하는 현실은?  이젠 '처리'보단 '보호'를 해야 할때

흔히 우리는 전문가라고 한다면 관련 분야에 오랜동안 업무를 해오거나 전문가 반열에 올라서 관련 '자격증'을 취득 하였을때 인정을 한다. 늘 자격증이야기가 나오면 같이 등장하는것이 자격증 유무론에 대한 이야기인데 '자격증'이 있다고 해서 반드시 전문가는 아니다. 하지만 그 보안의 지식을 가늠하는 척도가 되거나 자격증 공부를 하면서 이론적 공부를 하게 되는 것이다. 그런 관점에서 본다면 다음과 같은 점을 개선 하였으면 한다.

  • 정보처리 - 국가기술자격증으로 노동부 산하 한국산업인력공단에서 관리를 하며 국가공공기관이나 지자체 각종 공무원시험과 공공기관 진출이나 통신업무를 하고 있는 것에 경력관련 척도로 사용이 되고 있어 해마다 많은 사람들이 시험에 응시를 하고 있다.  이것은 초창기 컴퓨터와 인터넷이 등장하면서 '정보'를 생산해 내기 위한 목적과 처리 하는 과정을 이해하기 위하여 마련된 자격증이라 생각을 한다. 하지만 지금은 '정보의 처리'는 물론이고 '보호'까지 해야 하는 시대로 발전이 되었다.  지금 집집마다 컴퓨터 보급이 되고 초고속 인터넷이 보급 된 만큼 '정보를 처리'하지 못하는 사람은  많지 않다. 각종 게임과 인터넷이 익숙한 학생들은 오피스와 워드를 쉽게 접하고 활용하는 것이다.
  • 정보보호 - 이젠 '정보를 처리'를 하는것도 중요하지만 '정보를 보호'하는 일이 더 크게 되었다. 누구나 정보를 생산,가공,처리,폐기를 할수 있는 능력을 가지고 있다. 하지만 그런 소중한 정보를 '보호'하는 데에는 아직도 인색하고 귀찮은 일로 생각을 한다. 이러한 부분을 일정한 자격제도로 운영을 하여 국가 기술로 인정을 해 주어야 한다.
  • SIS 국가기술자격 승격화 - 필자는 늘 이러한 부분을 제안하고 요청해 오고 있다. 또한 이러한 사항은 2009/01/18 - [Security Policy] - 지경부, 보안산업 강화를 위한 중기 계획 어떻게 이끌어 갈 것인가?  2009/05/09 - [Security Policy] - 공공·민간의 정보보호 종합대책 발표 - 2008.7.22
    에서 정부주도로 SIS 자격증을 국가기술 자격증으로 만들겠다고 발표를 하였다. 이제는 조금 더 앞당겨 이러한 분위기가 무르익었을때 논의를 해서 집행을 해야한다. 그것은 이러한 분위기가 사라지면 또 그 시점에 이슈에 밀려 흐지부지 되는것은 자명한 일이고 또 그렇게 되어 왔다. 하지만 이번만은 꼭 이루어지길 제안한다. 한 언론에 따르면 SIS자격증을 국가기술자격증으로 승격하려면 '노동부'소관이라 부처간 협조가 이루어져야 한다고 한다. 하지만 빨리 움직이길 바랄뿐이다. 그렇지 않으면 다음엔 또 관련부처가 DDoS공격을 당하거나 담당자가 문책을 당할 수도 있는 것이다.

SIS자격증이 국가기술자격증이 된다면

SIS자격증이 국가기술자격증이 되면 인센티브가 많이 부여가 될것이다., 우선 공무원 시험에 가점을 부여를 하고 그러면 많은 사람들이 자격증을 취득을 하게 되고 그러한 자격증이 있는 인력을 각 부처에 우선 배치하고 정보보호에 대한 업무를 담당하게 된다.  기존에 있던 공공에 대한 인력은 이러한 자격증을 취득 함으로 인하여 정보보호에 대한 인식도 높이고 승진 가점을 주어 '정보를 보호' 한다는 것이 얼마나 중요한 것인지를 같이 인식하게 만드는 선순환 구조를 만드는 것이다.

이러한 현상은 자연히 민간으로 가게 되어 각종 프로젝트시에 입찰 할땐 국가기술 자격증인 SIS 자격증 소지자를 기본 기준으로 하면 각 기업은 또한 이러한 공급을 위하여 정보보호 인력을 수요하게 된다.

 
4.  국정원이나 KISA는 블로그를 운영하여 '발빠른 소통'을 해야

각 정부 기관에서는 지금 블로그를 운영을 하고 있다. 하지만 아직까지 본질을 이해하면서 운영하기엔 많은 부분이 미흡하다. 이번 DDoS 공격 당시에도 민간 기업에 근무하는 연구원들이 자신의 블로그에 자세히 분석해서 기록 함으로 인하여 빠른 상황 전파를 할 수 있었다. 이렇듯 방통위에서 '두루누리'를 운영하고 있지만 아무런 반응이 없었고, 국정원에서도 그렇고, 사실, 공격에 대응하기 바쁘기 때문에 이러한 부분을 신경쓸 겨를이 없었겠지만 중요한 것은 쓰고 안쓰고를 이야기 하는 것이 아니라 그렇게 국민들에게 알려줄수 있는 '소통'의 공간이 없다는 것이다. 이러한 사항을 홈페이지 메인을 수시로 장식하면서 올리는 일도 사실 부담스러운 일이다.

따라서 가볍게 소통할수 있는 도구을 활용해 주고 '대국민요령'을 어떻게 대처해 주어야 하는지를 먼저 알려 줄수 있는 것이 공공기관이 할 일이고 대응해야 하는 것이다. 그래서 힘든 것이다. 국민은 내부 사정은 잘 모른다. 그냥 결과만 가지고 이야기 할 뿐이다. 그렇기 때문에 컨트롤 타워가 없었네 어떻네 이야기를 하는 것이다. 결국 고생은 고생대로 했지만 인정을 받지 못하는 것은 국민이 어떻게 대응하고 대처했는지를 모르기 떄문이다. 실시간으로 일어나는 일을 하나씩 알려 주면서 '위기관리'에 대처를 했다면 지금처럼 이야기 하지는 않을 것이다.

5. 국민 개개인도 제발 보안에 대한 인식을 가지길.

조직에서 일하던 사람도 집으로 돌아오면 하나의 '개인'이요. '국민'인 것이다. 개개인의 보안마인드가 되어있다면 조직에서도 잘 행동하고 실천하는 것이지만 그렇지 않으면 결국 조직이든 집이든 개인의 마인드 문제이다. 따라서 대 국민 보안의식 계몽을 위하여 필자가 나름대로 제안을 해 본다.

  • 매주 수요일은 최신 백신으로 내PC 점검 하는 날
  • 매달 15일은 운영체제 및 어플리케이션 업데이트 하는 날
  • 각 조직에서는 업데이트가 되지 않은 PC는 업데이트 후에 인터넷 접속 유도
  • 각 ISP에서 업데이트 되지 않은 PC에는 경고문을 보내어 업데이트를 유도
  • 대 국민 홍보를 각 방송과 언론을 통하여 계몽 운동을 할 것. (정보보호 홍보대사 활용)
  • 보안 솔루션 도입시 세제 감면과 각종 인센티브 제공
  • 패치와 업데이트, 백신으로 점검을 하면 인센티브 제공 (각종 보험료 20% 할인 -부족분은 정부에서 대납, 유명음식점,영화 관람권 20% 할인) - 안해서 그렇지 국민을 유도 하는 방법은 많음 이렇게 해서라도 대 국민 계몽을 펼치지 않으면 몇달 지나면 또 사람들 기억속에서 사라지는 보안의식.

 

마무리글

지금까지 3회에 걸쳐서 이번 7.7 DDoS 사태에 대하여 필자가 생각하는 것을 가감없이 한번 포스팅 해 보았다. 아는 이야기도 있고, 다소 황당한 제안일수도 있겠지만 누군가가 자꾸 이야기하고 공감하고 실천해 나가지 않으면 절대 이루어질수 없는 부분이기에 다소 무리를 해 보았다.  이글을 적는데에만에도 주말을 다 보냈다. 그만큼 필자는 마음이 절실한 것이다. 보안 업계가 힘들다고 외면하지 말고, 그렇다고 이제 막 입문 하고자 하는 사람들에게 미래의 청사진만 제시 하지도 말고 힘들지만 어렵지만 희망의 끈을 놓지 않고 한번 제대로 대한 민국이 '정보보호 후진국'이 아닌 '보안 선진국'으로 바꾸어 보고 싶다.  그리고 충분히 그럴 가능성도 있고 할 수도 있다. 다만 하지 않아서 못할 뿐이다.

다시 한번 부탁하건데 그냥 그들 만의 외침이라 절대 생각하지 말고 '내 건강 내가 지키듯이' '내 정도 내가 지킨다'는 마음으로 꼭 이글을 읽는 이들에게 부탁하고자 한다. 이제는 모르면 그냥 있는 것이 아니라 주변에 전문가에게 조언을 구하여 꼭 안전한 IT세상 만들기에 동참해 주었으면 하는 바램을 가져 본다. 필자가 알고 있는 말 중에 가슴에 와 닿는 말이 있어 마지막으로 적으면서 이 포스팅을 마감 하고자 한다.

아인슈타인은 이런 말을 했다고 한다. 개인적으로 가장 좋아 하는 말이기도 한다.

"같은 행동을 반복하고도 다른 결과를 원하고자 하는 사람은 정신병자나 마찬가지이다"

같은 사건사고를 되풀이 하지 않길 바라면서 이 글을 맺고자 한다.  @엔시스.

관련포스팅

 7.7 DDoS 사태가 남겨 준 교훈(1) -무엇이 문제일까?
 7.7 DDoS 사태가 남겨 준 교훈(2) -사이버 조폭 DDoS


신고
Posted by 엔시스

한국정보보호진흥원에서 "정보통신망 이용촉진 및 정보보호 등에 관한 법률 개정안"에 대한 조속한 처리를 촉구하는 광고를 냈습니다.




얼마나 답답했으면 이렇게 광고까지 내야 하는 심정을 정치 하시는 분들이 아셨으면 좋겠습니다. 서로 힘겨루기 하는 사이에 우리 사이버 안전은 벌써 다른 곳에서 넘 볼수 있는 처지까지 되었습니다.

대한민국 'IT강국' 부끄러운 줄 알야야 합니다.

또 한가지 '개인정보보호법'이 제정도 빨리 되어야 합니다.  제발 이제는 정신차리고 늘상 똑같은 것을 되풀이 하지 말았으면 좋겠습니다.

필자가 어디서 본 글 중에 아인슈타인이 이런 말을 했다고 합니다.

" 같은 방법을 행하고도 다른 결과를 원하는 사람은 정신병자다" 

제발 이제는 우리 국민, 정치 하시는 분들 늘 같은 방법을 행하고 제발 다른 결과를 원하지 않기를 바랍니다.

오죽 답답하면 이런 광고까지 냈을까 하는 의구심이 듭니다..이 나라 사이버 안전을 지킬수 있도록 신경 써 주셨으면 합니다..@엔시스.


신고
Posted by 엔시스


최근 보안이 이슈화 되면서 많은 사람들이 보안에 관심을 가지고 있습니다. 하지만 관심만 가질 뿐이지 어떻게 시작해야 하고 무얼 해야 하는지를 잘 몰라 검색을 통하여 이곳 저곳을 기웃거려 보기도 합니다. 그러다 보면 영락 없이 검색되는 것이 바로 '학원광고' 카페 입니다.

잘 살펴 보고 가입을 해야 하고 또한 얼마나 많이 활성화가 되어 있는지에 대한 것을 확인 하고 가입을 하는 것이 좋습니다.

네이버에서 제가 운영자로 있는 '국가공인 정보보호전문가 (SIS) 자격증 모임' 커뮤니티도 이러한 것을 반영 하듯 최근 방학을 맞이하여 많은 회원들이 가입을 하고 있습니다.

오늘 신문기사에는 다음과 같은 기사도 났더군요. 제가 운영하는 커뮤니티도 언급이 되었습니다..




결국 자신이 정보를 알려고 한다면 주변에 누군가에게 물어 보아야 하는데 그렇게 물어 볼수 있는 사람이 없을때 이용하는 것이 동호회나 커뮤니티일 것입니다.

정보보호, 보안에 대한 여러가지 자격증과 정모,,그리고 최신 트렌드와 자료를 접하고 싶은 분들은 언제든지 가입을 하셔서 서로 인맥도 쌓고 보안도 연구 해 보시면 좋을 것입니다.

저는 IT관련 하여 밥을 먹고 있으니 반대로 이제는 다른 동호회나 조금 더 시야를 넓게 가질수 있는 커뮤니티에 가입을 하여 한번 활동해 보고 싶군요.. 아무튼 기사보고 기념하여 포스팅 해 봅니다. @엔시스.



신고
Posted by 엔시스

잠시 미래의 블로그는 어떻게 진화 할것인가에 대하여 한번 생각해 보았습니다.  어떤 블로그가 미래에 주목을 받고, 끝까지 살아 남을 것인가? 어찌보면 아주 원초적인 고민이고 질문입니다. 그것은 블로그를 운영하는 블로거라면 당연히 고민해 봐야 하는 주제중에 하나입니다. 결론부터 말씀드린다고 하면 '전문성' 밖에 없다고 생각합니다.

                                                       <사진출처: 플리커>


1. 왜 우린 블로그(Blog)를 운영하는가?

초기 블로그 운영은 아직까지 블로그라는 개념정립이 되지 않아 자신의 일기장 또는 정보의 축적의 장(場)으로 사용을 많이 하였습니다. 지금도 그렇게 사용하시는 분들도 있고, 필자도 처음엔 그렇게 시작을 하였습니다. 하지만 일정한 시간이 흐르고 나니 블로그를 왜 운영을 해야하는지에 대한 고민을 하게 됩니다. 아마도 그런 고민을 하지 않았다면 지금 당장 해 보시기 바랍니다. 목적없는 블로깅은 힘들경우에 헤쳐 나오지 못합니다. 필자가 블로그를 운영하는 목적은 '개인브랜딩'과 '지식공유'입니다.


2. 블로그 운영을 위하여 무엇을 해야 하는가?


우리가 블로그를 구독하고 검색하고 하는 가장 큰 이유중에 하나는 바로 '정보'입니다. 정보에 목말라 있는 것이지요. 신문도 방송도 모두 '정보'를 취급합니다. 물론 전부 정보만을 위한 것은 아니고 '오락'도 있고 다양한 볼거리도 있을 것입니다.  하지만 우린 '최신 정보' 를 접하고 찾길 원합니다. 그래서 기사나 방송,블로그등을 헤메고 다니는 것이지요.

'정보'성이 없는 것은 죽은 정보나 마찬가지입니다. 누구나 알고 있는 지식과 어디서나 접할수 있는 가치없는 정보는 쓰레기에 불과 하지요.

2009/02/18 - [IT Trend] - 블로그 생존가치는 전문화(professional)밖에 없다.

언젠가 위와 같은 포스팅을 한적도 있습니다. 그런 정보성을 유지하기 위해선 전문성(professional)을 가지고 있어야 합니다.


3. 블로그 운영 어떻게 할것인가?


블로그 내용의 70% 전문성, 30% 개인성 을 띄고 운영하면 제일 좋은듯 합니다. 전문성이라고 해서 무조건 이해 할수 없는 그들만의 언어로 전문화 하라는 것은 아닙니다. 아마도 자신이 또 다른 초보로서 전문화된 블로그에 가본다면 당황스러울 것입니다. 따라서 다른 사람의 입장도 고려한 측면에서 가끔은 개인적인 일상적인 이야기를 약간 섞어 주되 주된 테마 주제는 중심을 잃지 않는 것이 좋을 것입니다. 블로그도 결국은 사람(人)이 운영하는 것이니까요.


4. 향후 2-3년후의 블로그 형태는??


이제 어느정도 블로그 대중화도 되었고 각 공공기관이나 단체에서 또 기업에서 관심을 가지는 만큼 블로그는 우리 입에 자주 오르내리고 있습니다.  또한 이번 노무현 전 대통령 서거시에도 언론보다 블로거들의 활약이 더 눈부셨습니다.

2009/05/25 - [Busan news] - 봉하마을 생생한 목소리, 그건 기자,방송이 아닌 블로거였다.

우린 너무 틀에 얶메어 있기 때문에 제대로 표출을 못하는 부분의 한계를 벗어나 표출을 할수 있습니다.그런 부분을 보여준 하나의 예시라 할수 있습니다. 그렇다고 하여 아무런 검증이나 증명없이 상상으로 표현하는 것은 무리가 있습니다. 그런 객관적인 기준은 스스로 블로깅을 하면서 원칙을 세워야 겠지요.

향후 2-3후에는 전문화된 콘텐츠를 축적한 블로그만 살아 남을수 있습니다. 그것은 이미 그런 형태로 흘러가고 있고 주요 블로거들은 일정한 주제를 가지고 팀블로그를 운영하는 것으로도 충분히 알수 있습니다. 따라서 지금 자신의 주제가 없이 이런저런 이야기꺼리로 운영을 한다면 심사숙고 하여 충분히 하나의 테마로 다시금 자리를 잡아야 할 것입니다. 그렇지 않는다라고 한다면 , 즉 전문화된 콘텐츠가 없다라고 한다면 그 발길이 멀어 질수 있습니다. 무엇이든 흑백논리로 볼수는 없지만 전문화만이 끊임없는 발길을 유지하는 것입니다.


5. 환자도 전문 의사에게 진료 받기를 원한다.

우리가 보통 몸이 안 좋으면 병원에 갑니다. 그리고 어디어디 전문으로 하는 전문의를 찾아가게 마련입니다. 마찬가지로 향후 블로그의 미래는 '전문성'으로 갈수 밖에 없습니다. 그건 '정보'가 중심에 있기 때문입니다.  꼭 모든것이 전문성만은 아니겠지만 아무래도 자신이 모른 정보를 전문가가 가지고 있는 식견으로 풀어내는 블로그를 찾아가지 않겠습니까?  우리가 브랜딩 하는 이유도 마찬가지로 전문성이 있기에 브랜딩 하기가 쉽습니다. 그 사람만의 특색, 그 블로그 만의 특색이 없다라고 한다면 그것은 무색무취로 가는 의미없는 블로그 운영이 되는것입니다.


마무리글

미래의 블로그는 여러 형태로 진화를 하겠지만 초창기 자신의 일기나 스크랩에서 이제는 생산하고 소비를 동시에 할수 있는 블로그 형태로 발전 할 것입니다. 또한 일정한 주제를 가진 팀블로그가 많아 질 것이며, 특히 실버 세대의 블로그가 더 많아 질 것입니다. 그것은 그만큼 연륜과 경험이 많아 할말이 많다는 반증이겠지요. 1인미디어로 충분한 가치를 인정 받을 것이며 또한 각 분야에서 '전문성'만이 그 블로그를 돋보이게 할 것입니다. 그런 생각에 필자는 '보안' '정보보호'의 블로그 운영을 지속 할 것이며 전문화된 콘텐츠의 축적으로 쌓아 갈 것입니다.  @엔시스.


* 이 포스팅은 2009 e하루616 다음뷰에 발행송고 되었습니다.

신고
Posted by 엔시스

오늘은 자랑 좀 하겠습니다.  제가 운영하고 있는 '보안인닷컴' (http://www.boanin.com)인 네이버 카페가 2009 네이버 대표카페로 선정이 되었습니다.  이것은 기존에 베스트카페가 개편 되면서 네이버에서 엠블렘도 바꾸고 하여 개편되면서 같이 선정이 되었습니다.  이번 선정된 2009 네이버 대표카페는 네이버 카페에서 0.1% 에 해당한다고 합니다.





의미는 예전에 베스트 카페나 마찬가지인듯 합니다. 네이버에 둥지를 튼것이 2004년 7월 카페 제목은 '국가공인 정보보호전문가 자격증 모임' 이라고 하여 둥지를 틀었습니다. 이것은 국내 정보보호자격증인 (SIS) 시험을 준비하면서 자료 및 정보를 같이 공유하자는 취지에서 만든 것입니다.

카페를 운영하면서 여러가지 시행착오도 있었고, 나름대로 운영해야 하니까 스스로 발전과 공부에도 도움이 되었습니다. 하지만 늘 그렇지만 운영자는 끊임없는 열정과 관심 그리고 꾸준한 노력을 가지고 지치지 않고 이끌어 갈수 있어야 합니다.

회원관리가 제대로 안된다던지, 아무런 글들이 그대로 방치된다든지 하면 이미 커뮤니티로서의 가치는 잃어버리게 되는 것이지요.,

그런 탈 바꿈속에서 국내 정보보호 자격증인 SIS 자격증 공유만 할것이 아니라 CISSP와 CISA도 같이 공유 요구가 있어 지금은 국내외 정보보호(보안) 자격증과 관련 보안정보 공유 커뮤니티로 성장해 가고 있습니다. 

일부 사람들은 자격증 무용론을 이야기하고 가치면에서 갑논을박을 합니다. 그 내용에 대해서는 여기서 더이상 언급하지 않겠습니다. 카페에서 늘 많은 이야기를 했거든요..

그렇게 고민하다가 올해에는 카페 운영에 있어서 대외적인 측면에서 카페 네이밍을 이야기 하고자 하면 너무 길어서 늘 어색하곤 했습니다. 그래서 독립 도메인 ' 보안인닷컴'이 고민 끝에 탄생하게 되었습니다.  현재에는 대내외적으로 '보안인닷컴' 으로 사용하고 있습니다.

그리고 커뮤니티에서 '운영자 칼럼' 'SIS 기출문제' 'CISSP기출문제' 'CISA기출문제' 등 다양한 보안자료를 공유하고 있으며 얼마전에는 포털에서 첨부하는 파일의 용량의 한계가 있어 아예 보안인닷컴 전용 보안 자료실을 따로 만들었습니다.

이렇듯 개인블로그도 마찬가지지만 커뮤니티도 5년만에 그 열정을 인정 받은거 같아 뿌듯합니다. 남들이 볼땐 별거 아닌 베스트 카페 선정이지만 운영자 입장은 다르거든요.. 비록 회원수는 2만2천명정도로  타 카페에 비해 작은 숫자이지만  그 어떤 커뮤니티보다 회원 한분한분이 소중한 분들입니다.

오늘도 보안에 관심이 있어 제 블로그에 방문하시는 분들도 2009년 한해 정보보호 자격증 하나 준비하시구요. 카페 활동도 열심히 해 보지 않으시렵니까?


신고
Posted by 엔시스


공용PC는 보안사각지대 -모텔PC나 공항, PC방등


직장인들은 출장을 많이 가게 됩니다. 그럴경우 인터넷에서 메일을 확인 해야 할 경우가 많습니다. PC방에서 확인 하자니 근처 PC방도 잘 없고 최근에는 숙소에서 PC를 설치하여 인터넷이 가능하도록 서비스를 하고 있습니다.

하지만 공용 PC는 함부로 사용해서는 안되는 것입니다. 일반적인 검색만 하면 모르겠는데 신용카드 번호나 중요한 메일을 읽기 위한 로그인을 하는 것은 상당히 위험합니다.

그것은 그 PC에 어떤 프로그램이 어떻게 깔려있는지 모르기 때문입니다. 즉 신뢰 할수 없다는 것입니다.. 그렇지만 현실은 까맣게 잊은채 바로 PC에 접속하여 유유자적하게 사용하게 됩니다.

이것은 모든 공용 PC에 마찬가지입니다. 즉, 신뢰 할수 없는 PC에서는 절대 함부로 노출되어서는 안되는 개인정보나 아이디/패스워드 같은 경우는 철저히 조심을 하여야 합니다. 따라서 최근에는 출장시에 노트북을 사용하여 무선을 이용하는 경우가 많습니다. 그렇다고 해서 무선이 안전하다는 것은 아니지만 일단은 단말기에서 이루어지는 신뢰되지 않은 PC는 배제 할수 있다는 것입니다.

아니면 다른 디바이스(device) 장치를 이용하는 경우도 있습니다. 간단하게 메일정도 이용하려면 아이팟터치(ipod touch) 같은 기기나 휴대폰도 있을수 있겠지요..

아마 이제는 점점 PC방이 줄어들지 않을까 하는 생각을 합니다.그것은 다른 디바이스장치로 얼마든지 인터넷을 할수 있는 환경이 자꾸 도래하지 않을까 하는 것입니다.  단지 게임만을 하는 오락공간으로 이용되기엔 너무 아까운 부분들이 있습니다. 만약 PC방을 운영한다면 이러한 손님들이 우려하는 사항을 어떻게 차단 할 것인가에 대하여 고민해야 할 것입니다..

며칠전에 부산일보 인터뷰가 있었습니다. 여러가지 정보보호에 대한 이런 저런 인터뷰를 하였습니다. 아직도 많은 사람들이 보안에 대하여 어렵게만 느끼고 보안 마인드를 가지고 있지 않은 것이 안타깝기도 하여 인터뷰에 응하였습니다..

그것이 오늘 신문에 활자화 되어 나왔네요...

피싱에 대한 이야기입니다..아마도 처음 보안에 접하신 분들은 피싱(Phishing) 이 무엇인지 모를 수도 있는데, 최근 보이스피싱(Voice phishing)으로 하도 많이 이슈가 되어서 알고 있을 것입니다.

쉽게 말하면 전화사기라고 보시면 되겠습니다..


따라서 보안에 관심이 없으면 언제 어디서나 누구한테나 당할수 있다는 사실을 인지 하여야 합니다.

우리모두 보안마인드 업데이트를 하시죠...




그런 가운데 제가 제안한 몇가지 보안 요령이 있습니다..

  1. 공용 PC는 검색만 하기
  2. 중요한 업무할시엔 인터넷 차단
  3. 6개월마다 윈도우 다시 한번 깔아주기

이렇게 말씀 드렸지만 사실은 보안 요령이기 보단 컴퓨터 사용법이라고 해야 하나요? 아무튼 초보적인 관점에서 보안에 관심을 가지고 대응하라는 차원에서 몇가지 언급해 드렸습니다..

위에는 소제목으로 3가지 정도인데 아래 링크를 보시면 5가지 정도 언급해 드렸습니다. 흔히 하는 말이지만 지켜지지 않는다는 사실은 잘 모르기 때문이라 생각이 듭니다. 그래서 약간은 보편화 되어 있는 말 같지만 실천을 하셔야 합니다.

"보안은 작은 실천입니다.."




타이틀에 약간 부담감은 느끼겠네요...전 파워블로거가 아닌데...아무튼 조금이라도 일반 구독자들이 보안에 신경 써 주셨으면 좋겠습니다...^^;; 각자 일반인들이 얼마나 보안에 대하여 관심을 가지느냐가 자신의 정보를 잘 지키느냐라고 생각이 듭니다..재미있게 글써주신 박기자님께 감사의 말씀을 드립니다. 


자세한 기사는 아래 링크에서 확인 하시면 되겠습니다...

http://news20.busan.com/news/newsController.jsp?newsId=20090424000280

http://news20.busan.com/news/newsController.jsp?newsId=20090424000279








공용 PC 사용은해야겠고 로그인까지 해야 하는데 방법은 없나?


정말 불가피하게 사용은 하고 싶은데 위와 같은 상황이라면 어쩔수 없이 공용(共用)PC를 사용할 경우라면 요즘은 USB 가 용량이 큰것이 나와서  아래와 같이 설치하여 사용하시면 될꺼 같습니다.

우분투 8.10  USB에 설치하여 부팅하기.

이런식으로 리눅스가 설치된 USB로 부팅을 시도하여 사용해 보면 될꺼 같기도 하네요..아니면 USB용량이 아주큰 메모리에 윈도98 정도 설치해서 부팅시켜 사용하는 방법도 있겠지요..아마도 USB 용량이 점점 커진다면 XP도 설치하여 이젠 각자가 주머니에 운영체제 하나씩 넣어서 다니다가 필요시에 부팅시켜 사용하는 날이 오지 않을까 생각도 드네요..
@엔시스(sis@sis.pe.kr)


신고
Posted by 엔시스

유튜브에 올라온 컨피커 바이러스에 대한 동영상입니다..시만텍에서 제작 배포 한거 같군요..한번씩 들어 보시기 바랍니다. 컨피커 바이러스에 대한 전반적인 정리 정도로 볼수 있겠네요...


 



November 22, 2008: W32.Downadup is released
December 28, 2008: W32.Downadup.B is released
March 4, 2009: W32.Downadup.B downloads W32.Downadup.C
April 1, 2009: W32.Downadup.C begins checking 500 of 50,000 domains
April 7, 2009:

  • W32.Downadup.E is seeded into W32.Downadup.C P2P network
  • W32.Downadup.E updates W32.Downadup.B
  • W32.Downadup.C downloads other risks


국내에서는 좀 미비하지만 다른 나라에서는 많은 이슈가 되고 있습니다. 언제 어떻게 닥칠지 모르는 사이버 위험...그것은 예방이 최고입니다..






 

신고
Posted by 엔시스


우연히 메일링 리스트를 받다가 재미있는 사이트를 발견하였습니다. 그것은 아이디 절취에 대한 사항을 게임으로 만들어 제공하고 있습니다.

내용도 재미가 있어퀴즈를 한두개 풀고 난후 얼굴에 하나씩 장식을 해 나가는 방식인데 우리나라에서도 보안에 대하여 일반인들에게 조금더 쉽게 적용해 나갈수 있는 방안에 하나일꺼 같습니다.

국내에서는 아직도 어렵기만 한 보안이 가장 일반인에게 많이 접근 했다는 부분이 "만화"정도인데 정보기관에서 보안 정책 고민 하시는 분들은 한번쯤 생각해 보셔도 좋겠습니다.



아래 사이트에서 퀴즈 한번 풀어 보시기 바랍니다..제법 재미가 있네요..무엇보다 영어를 해석을 잘 해야겠습니다. 영어공부에도 도움이 될수 있을꺼 같습니다.  국내에서도 이런 것들이 일반인들에게 다가갈수 있는 방법중에 하나가 아닐까 하는 생각도 해 봅니다..누군가 만들면 알려 주시기 바랍니다..홍보해 드릴께요..후후,

http://www.onguardonline.gov/games/id-theft-faceoff.aspx


 

신고
Posted by 엔시스


정보보호 컨설팅 뉴스레터(2009-2호)를 송부합니다.
 
      ▶ 해외 보안 이슈                                                      
      ▶ [컨퍼런스] 블랙햇 DC 2009                                          
      ▶ [블랙햇 DC 2009 발표자료] SSL man-in-the-middle                     
      ▶ [보고서] 화이트햇 시큐리티 2008년도 웹 해킹 Top 10        


한국정보보호진흥원에서 배포 하는 자료입니다..자세한 사항은 자료를 참고 하시기 바랍니다... 실제 컨설팅이라기 보단 해외 정보보호 기술 트렌드적인 성격이 더 강합니다..


          

신고
Posted by 엔시스