'IT'에 해당되는 글 307건

  1. 2013.01.04 IT블로거가 생각하는 ICT부처 신설해야 하는 이유
  2. 2012.02.02 멀티플랫폼 모바일 전략의 핵심, ‘MDM’ 솔루션 (2)
  3. 2012.02.01 '정보통신망법 개정안'할때 일부 법률첨삭해야 (2)
  4. 2012.01.25 스팸댓글로 인하여 쇼셜댓글 플러그인 "라이브리"로 운영 (2)
  5. 2012.01.17 [2012보안전망] 정보보호는 "정보보호관리체계"부터 시작을..
  6. 2012.01.11 개인정보보호관리사 (CPPG)자격증 시험 개선 방안에 대하여
  7. 2011.12.26 부산시, 글로벌 클라우드 데이터센터 허브구축 사업구체화
  8. 2011.11.23 안돼 ~~ 반에 반토막난 개인정보보호 예산
  9. 2011.11.03 Non-PC 단말 트래픽 꾸준한 증가세 보여
  10. 2011.07.12 국내 대표하는 보안자격증, SIS 국가기술자격증 되어야
  11. 2011.07.09 [기고-12] 관리체계 수립으로 Security Life Cycle 만들어야
  12. 2011.05.10 USB 안쓸수도 없고, 대신 파일에 암호를 걸자~~ (2)
  13. 2011.05.04 [중급보안-2] IRC 봇넷으로 인한 트래픽 부하 모니터링 및 방화벽 필터링
  14. 2011.04.28 은행 IT근무인력 및 보안인력 현황 (5)
  15. 2011.04.14 SNS, 개인정보 유출이 더 쉬운 이유? (4)
  16. 2011.04.08 정보보호, 현장에서 감(feel)을 느끼는 것이 중요하다.
  17. 2011.03.21 보안관제 전문업체 지정등에 관한 공고 자료 (1)
  18. 2011.03.03 카인과 아벨 & 와이어 샤크 버전 업데이트
  19. 2011.02.07 ISMS 인증서 발행 얼마나될까?
  20. 2011.02.01 무료로 확인하는 주민번호이용내역 확인 서비스
  21. 2010.12.03 트위터, 가짜 짧은 URL 조심하세요 (10)
  22. 2010.11.18 중국 모바일 좀비 감염 100만대 이상 (2)
  23. 2010.11.16 이젠 스팸홍보메일뚝, 개인정보 수집 동의 받았습니까?
  24. 2010.10.27 개인정보보호 권역별 순회강연-영남권 성황리 마쳐 (4)
  25. 2010.09.30 '개인정보보호법' 통과의 의미와 향후 방향 (4)
  26. 2010.09.27 클라우드 IT담당자에게 위기인가 기회인가를 읽고
  27. 2010.09.09 당신의 USB 자동실행, 백신검사는 필수 (4)
  28. 2010.09.06 정보보안기사, 산업기사 국가기술자격증 용역 공개
  29. 2010.08.29 [독서리뷰-26] 윈도우7 무작정 따라하기 (4)
  30. 2010.08.24 김탁구시청도 포기하겠는가? 개인정보보호 총정리 온라인 강좌 (6)

 

최근 ICT 부처 마련을 위한 각축전이 심상치 않다. 밥그릇 싸움이 커지고 있는 것이다. 지난 5년전 정통부가 사라지고 IT관련 정책과 대응은 각 부처로 쪼개져 많은 IT인들로 하여금 하소연을 듣게 되었다. 지난 5년을 경험해 보니 비효율적이라는 일반적인 지적이 많으니 요구사항이 커 질수 밖에 없다.

 

예를들어 7.7 DDoS 사태나 3.3 DDoS사태를 본다면 아는 사람은 모두 알겠지만 관련 부처는 각 해당 산하 기관에 보고요청을 하고 또 민간 몇몇 특정 업체에 사고 대응이나 방안 또는 분석등을 의뢰하게 한다. 하지만 이것은 일원화 되어 있지 않고 여러곳에서 요청을 하다보니 정작 관련 산하 기관이나 민간 기업에서는 불려다니다가 볼일 다본다는 볼멘 소리가 나온다.

 

그래서 이제는 이러한 한곳에서 통합관리하는 부처가 나오기를 관련 업계나 기관에서는 바라고 있는 것이다. 단순히 밥그릇 싸움 이상의 것이다. 기존에 통합한 것을 흩어져서 5년동안 관리 해 보니 많은 원성이 있었던 것은 사실이고 그것이 비효율적이다보니 다시 통합하려는 움직임이다. 단순히 흩어졌으니 정권이 바뀌었으니 다시 통합을 요구하는 상황과는 괴리가 있다고 본다.

 

ITC란 정보 통신 기술(Information & Communication Technology)의 약자로 보면 된다. ICT ICT 하지만 무슨 내용인지도 모르고 이야기 하는 것은 모순이다. 이러한 정보통신 기술이 이제는 제대로 대우 받는 시대가 되어야 한다는 것이다. 지난 5년간 IT인들은 많은 홀대를 받아 왔고, 음지로 내 몰리기도 하였다.  오늘 한 언론 매체에 기고된 글이 있어 소개하고자 한다. 공감되는 내용이 몇개 있었다.

 

 

 

 

내용은 정리 해 보면 통합부처의 마련이전에 IT인들의 반성을 되 짚어 봐야 한다는 내용이다. 3가지 정도로 제시하고 있는데 그 내용은 다음과 같다.

 

  • 정보통신인의 오만했음을 반성해야 한다고 말한다.  과거의 공대출신은 의대 출신과 맞먹을 정도로 수재들이 관심을 가지고 입학성적이 우수했다고 한다.  지금은 어떠한가? 지금 공대에는 과거의 명성에는 둘째치더라도 홀대를 받고, 인력이 모자라는 경우도 많다. 또한 그 오만함 가운데에는 아무래도 공대쪽이 기술직군이다보니 자신의 기술력만 가지고 타 산업과 어울림에서 부족한 현상이 발생하는 경우가 많다. 자신의 기술만 우수하고 타 업종에 대한 산업에는 아예 관심이 없다. 이제는 ICT가 전 산업에 걸쳐 거미줄처럼 엮여 있는 만큼 타 산업과 업종에 대한 이해와 포용력이 있어야 한다.

  • 정보통신인의 말솜씨와 글솜씨가 부족함음 반성해야 한다. 이에 대한 공감을 많이 하는 편인데 공대출신은 조잘조잘 말을 잘 한다거나 아니면 글쓰기를 잘 못한다는 편견에 사로 잡혀 있다. 주로 논리적이고 0 아니면 1 , 그리고 1+1=2 가 나와야 하는 고정 관념에 사로 잡혀 있다는 편견이 있다. 하지만 지금은 공대에도 창의력이 있어야 한다. 내가 자신의 브랜드를 만들기 위하여 제시하는 말하기와 글쓰기에 목소리를 높이는 이유도 같다. 글쓰기는 자신의 지식이나 기술을 블로그에 포스팅을 하면서 꾸준히 열심을 하는 것이 바람직하고 말하기는 지행용훈평과 같이 자신이 알고 있는 지식은 반드시 행하고 그리고 그것을 활용하고 나면 남에게 가르칠수 있는 능력이 있어야 한다. 남을 가르친다는 것은 강의나 교육을 해 본 사람은 잘 알겠지만 결국 가르치는 것이 자신이 공부하는 것이라는 사실이다. 그렇다 보면 말하기에 자신감도 들어간다. 이런 글쓰기와 말하기를 통하여 ICT에 관련된 여러가지 목소리를 내야 함을 꼬집고 있는 것이다. 이렇게 블로그를 통하여 포스팅 하는 것도 그에 따른 글쓰기의 한 수행이라 보면 된다.

  • 정보통신인의 진정한 지식정보화 추진에 실패에 반성해야 한다. PC통신을 제외하고 인터넷을 접한 시기가 95년도 되었으니 아직도 인터넷의 발전은 채 10년이 되지 않는다. 여기서 말하는 인터넷이란 일반 대중화를 의미한다. 그렇게 90년대는 전산 정보화와 인터넷 정보화를 하고 급속도로 성장을 하였다. 그중에 많은 기업들은 업무전산화 (ERP)구축등 작업을 많이 하였고, 집집마다 농촌까지 초고속인터넷은 대부분 보급이 되었다. 이러한 가운데에도 아직도 기업에서 전산부서는 지원부서정도로 밖에 치부되지 못하고 경영지원부서에 머물고 있다는 것은 지식정보화에도 부족함이 있다고 봐야 할 것이다. 그냥 업무프로세스에 대한 정보화 뿐만 아니라 지식정보화에도 앞장을 서야 한다는 것이다.

 

CIO와 CSO, CISO가 걸어가야 할 길

 

IT업종에 발을 딛고 그 사람이 나갈 방향을 본다면 어디가 끝이 될 것인가? 우리는 많은 반성을 하고 노력을 해야 한다. 우선 사원으로 입사를 하여 나이가 들고 직급이 올라가면서 최고의 자리라고 하면 C레벨에서 CIO, CISO, CSO정도가 될 것이다. 하지만 현실은 그렇게 갈 길을 찾지 못하고 중도 하차를 하여 다른 곳으로 방향을 선회하거나 희망을 접는 경우가 많다. 또는 그냥 아무런 생각없이 하루 하루를 살아가는 사람들이 대부분이다. 그러면서 타업종이나 타 부서에 설득을 이끌어낼수 없고 그냥 스스로 타박하기에만 머무르게 된다. 이제는 그래서는 안된다. 새해가 되었고 새로운 정부도 출범을 할 것이다.

 

지난 5년 동안 IT인들이 많은 홀대를 받았고 이제는 시대적으로 전 산업에 걸쳐서 ICT가 기초가 되지 않으면 안되는 주요 장치 산업의 하나로 성장을 하였다. 이러한 곳에서 스스로 자부심을 가지고 자신이 하고 있는 일을 긍지를 가지고 열정과 패기를 보여 주어야 한다. 스스로가 자신이 하고 있는 일을 부끄러워 하거나 자신감이 없는데 어떻게 타인을 설득하고 그 중요성을 전파하겠는가?

 

비록 작은 힘이지만 이렇게 IT블로거 & 보안 블로거로써 블로그에 글을 적는 이유도 스스로 생각하여 부끄럼이 없고 부족하지만 서로 뭉치고 힘을 합쳐 요구 사항을 관철하고 그렇게하여 5년을 또 다른 성장의 발판으로 삼아 통합적으로 보았을때 국가 발전에 기여하는 ICT가 되어야 함에는 어느 누구도 반대가 없을 것이다. 지난 5년이 후퇴가 되었다면 누가 보더라도 객관적으로 성장 발전을 균형있게 이루어져야 하는것이 후대를 위해서도 맞는 것이다. 이제는 IT강국이다라는 말이 무색해 질 정도로 내부를 들여다 보면 아픈 상처들이 많다. 그 상처를 아물게 하고 감싸줄수 있는 경쟁력 있어 국가발전으로 이끌어 줄수 있는 부처가 생기길 기원 하는 바이다.  -엔시스

 

 

 

 

신고
Posted by 엔시스


최근 다양한 디바이스 기기와 멀티 플랫폼과 기술발전이 이루어지면서 이런것을 어떻게 관리해야 할 것인지에 대한 IT관리자의 고민이 커져만 갑니다.

그중에 하나가 바로 'MDM(Mobile Device Management)' 솔루션입니다.  이와 관련된 자료가 있어 함께 공유하고자 합니다.

제가 이에 관심을 가지는 이유는 MDM 이후에 보안이 또 대두 될 것이기에 MDM을 이해를 해야만 여러가지 아이디어들을 적용하고 이해할 수 있겠습니다. 시장에서 요구하는 트렌드와 기술을 이해하는 것이죠,.



자료 다운로드 아래링크
출처: NIPA

 

 

IT의 기술은 점점 빠르게 발전하고 있기 때문에 이러한 트렌드를 익히지 않으면 시장의 추이나 향후 방향에 대한 이해가 부족하게 되는 것이죠.

블로터닷넷에  인포섹 신수정 대표님 코멘트에도 MDM에 올해는 올인하겠다는 사업전략이 올라와 있네요.

출처: http://www.bloter.net/archives/94408

인포섹은 올 한 해 모바일기기관리(MDM) 시장에 집중할 계획이다. 스마트폰과 소셜네트워크 서비스가 보편화되면서 새로운 취약점이 등장하는 만큼 스마트기기 보안 시장을 주목하고 있다. 신수정 대표는 “많은 기업들이 당장은 스마트폰 기기 관리를 더 중요하게 생각하고 있지만, 보안도 분명 문제가 될 것”이라며 “사고가 터지고 나서 대비하는 일은 위험하기 때문에 스마트기기에 대한 보안 정책을 기업들이 수립하는 일이 필요하다”라고 지적했다.

기업들이 MDM 도입에 있어 고려해야 할 점에는 무엇이 있는지도 언급했다. 신 대표는 “현재 상황만 보지 말고 MDM 솔루션의 확장성을 생각해야 한다”라며 “운영체제도 계속 판올림되고 기기는 더 다양해질 것으로 보이므로, 기업이 선택한 MDM 솔루션이 앞으로 꾸준히 오래 갈 수 있는 파트너 관계가 될 지를 유념해야 한다”라고 덧붙였다.




P.S
혹시 MDM을 개발하고 계신 소프트웨어 회사에서 제안서나 혹은 적용한 사례가 있으면 sis@sis.pe.kr 로 메일 주시면 조금 더 MDM을 이해하고 알수 있도록 함께 지식을 블로그에 공유 하도록 하겠습니다.  댓글도 환영합니다.
@엔시스.



신고
Posted by 엔시스

2011년9월30일 개인정보보호법이 시행이 되고 기존에 정보통신망이용촉진및 정보보호등에 관한법률(이하 정보통신망법) 에서 여러가지 중복되는 사항이 첨삭됨으로 인하여 정보통신망법을 개정하기에 이르렀다. 이에 대하여 살펴보자 - 블로그 주인장 백


1. 국회통과된 ''정보통신망법 개정안' 통과 주요 내용

보안뉴스기사에 따르면 국회 통과된 ‘정보통신망법 개정안’ 살펴보니... 에서 국회본회의를 통과하고 여러가지 미비한점 또는 개인정보보호법에 있는 것을 망법에 도입하였다고 밝히고 있다. 그중에 대표적인 것이 '개인정보 유출신고, 통지제' '정보보호안전진단 폐지, 정보보호관리체계(ISMS) 인증제도 일원화등을 들고 있다.  이러한 내용을 보면 개인정보보호법과 기존 망법에서 수정 보완해야 하는 내용적인 부분이 들어가 있다. 이번 개정을 통하여 망법에 명시되는 않은 사항은 개인정보보호법에 적용을 받고, 이런경우가 많으면 정작 망법 적용사업자는 2개의 법률을 알아야 하기에 상당히 혼란스럽고 힘든 부분이 많다. 따라서 망법 적용대상자는 미비한 부분을 도입함으로 인하여 가급적 하나의 법에 적용으로 하는 것이 혼란을 덜수 있다.


2. 개인정보보호법 시행후 망법과의 관계

개인정보보호법 법률,고시해설서 42p 에 따르면

개인정보 보호법」의 시행에 따라, 「공공기관 개인정보 보호법」은 폐지한다(부칙 제2조). 또한 다른 법령에서 「공공기관 개인정보 보호법」을 인용하였던 조문은 「개인정보 보호법」을 인용하는 것으로 개정된다.

「정보통신망법」의 일부 규정도 「개인정보 보호법」의 시행에 따라 일부 규정이 개정되거나 삭제되었다. 특히 개인정보분쟁조정위원회 관련 조문(제4장제4절, 제66조제1호) 및 「정보통신망법」상 준용사업자 관련 조문(제67조)은 「개인정보 보호법」 시행에 따라 이 법의 적용대상이 되므로 삭제되었다.

과거 「정보통신망법」은 원칙적으로 정보통신서비스 제공자와 정보통신서비스를 이용하는 자의 관계에서 개인정보를 처리하는 경우에 적용되었으며, 이 외에 ‘회원제로 개인정보를 수집하여 재화․용역을 공급하는 사업자’(여행업자, 호텔업자, 항공운송업자, 학원, 교습소 등)를 준용사업자로 규정하여 정보통신서비스 제공자와 마찬가지로 「정보통신망법」의 개인정보 보호 관련 내용을 적용하여 왔다. 이는 정보통신서비스 업종 이외의 업종에서도 다량의 개인정보를 수집․이용함에 따라서 이러한 업종에도 정보통신망법을 적용하여 개인정보를 보호하기 위한 취지였다. 그러나「개인정보 보호법」이 시행됨으로써 「정보통신망법」에서 준용사업자 규정(제67조)을 별도로 둘 필요가 없어짐에 따라 해당 조항은 삭제되었으며, 준용사업자 업종들은 「개인정보 보호법」에 따른 개인정보 처리자에 포함되게 되었다.

다른 법률과의 관계를 명시하고 있는데 개인정보보호법 시행으로 인하여 [공공기관에 관한 개인정보보호법률]은 폐지 한다고 되어 있고, 정보통신망법 제67조는 삭제된다고 명시하고 있다.


3. 정보통신망법 개정시에 다음 문구 수정도 필요


또한  국회법률지식정보시스템에서도 명시를 하고 있다.  여기





하지만 같은 국회법률지식정보시스템 다른 조항을 보면 다음과 같이 <제67조에 따라 준용되는 자를 포함한다> 라는 문구를 포함하고 있는 것을 볼수 있다. 망법 67조는 이미 삭제가 되아야하지만  제64조, 제71조, 73조,76조 에 그대로 사용되고 있다는 것이다.  법 개정시 같이 문구 수정이 이루어져야 할 것이다.

즉, 준용사업자가 정보통신서비스제공자에서 분리됨으로 인하여 개인정보보호법으로 빠지고 망법은 준용사업자를가 아닌 망법대상자만을 적용하는 법률이 된 것이다.






이러한 제보는 본 블로그에 방문하는 블로그 구독자 "박영식" 님 댓글로 확인이 되었다. 법령을 찾아 보고 많이 보는 필자도 너무 간과한 부분이 아닌가 생각이 든다. 




다시한번 제보해 주신 박영식님에게 감사의 말씀을 전하고 '정보통신망법' 개정시에 참조하면 좋겠다는 의견을 제시해 본다.  @엔시스.



신고
Posted by 엔시스

티스토리를 사용하다보면 최근 들어 스팸댓글에 아주 곤혼스러운 때가 많습니다. 이제는 번역기를 사용하여 댓글을 달기 때문에 이게 진짜 댓글인지 혼란스러울때도 있더군요,




이제 댓글 정책을 로그인한 사람과 쇼셜댓글 플로그인 "라이브리" 로만 운영하겠습니다. 그동안에는 블로그 방문자 편의를 위하여 아무나 댓글을 달도록 하였더니 스팸 댓글로 많은 스트레스가 쌓이는군요..

우선 1차로 기존 댓글떄문에 로그인한 댓글과 "라이브리"로만 운영을 하다가 커다란 불편함이 없으면 쇼셜댓글로만 운영해 보고자 합니다. 최근에 플러그인 형태로 티스토리에 제공하고 있어 아주 사용이 편리 하더군요.

1. 관리자 모드에서 플러그인을 활성화 해 준다.




2. 라이브리 옵션을 설정하고 발급키를 받는다.




3. 블로그 댓글 대신에 쇼셜댓글 "라이브리"




위 그림에서 보듯이 이름,패스워드, 웹사이트 형태로 쇼셜네트워크 서비스를 사용하지 않는 사람은 댓글을 달면 되구요.. 아래 그림은 최근에 SNS서비스 하나 정도 사용하고 있으니 클릭하여 인증 허가만 허용이 되면 가장 대표되는 쇼셜네트워크서비스로 댓글을 달수 있습니다.


우선은 티스토리 로그인과 함께 사용하다가 "라이브리"로 쇼셜댓글로만 운영하여도 무리가 없으면 쇼셜댓글 "라이브리"로만 운영 해 보고자 합니다.


"라이브리"라는 이름도 실시간 댓글이라는 라이브리플에서 가져 온게 아닌가 하는 생각이 드네요. 닉네임 센스까지 있으십니다.

스팸 댓글에 짜증나시는 분들은 당장 플러그인 적용해 보세요~~ 올해에는 블로그 포스팅에도 주력을 해 보려고 합니다. ^^ @엔시스

신고
Posted by 엔시스

정보보호관리체계(ISMS)가 시행된지 10여년이 된다. 하지만 지금까지 권고사항이 지나지 않았기 때문에 그 중요성을 알고 있음에도 불구하고 비용과 인력의 문제로 인하여 준비를 하지 못했지만  앞으로는 의무화가 되기 때문에 많은 관심을 가져야 한다. 필자는 이에  ISMS인증심사와 PIMS 인증심사를 하면서 느꼈던 관리체계의 필요성에 대하여 짚어 보고자 한다.  - 주인백


                                                                <출처: 전자신문 2012.01.17일자>


1. 정보보호관리체계란?

정보보호의 목적인 정보자산의 비밀성, 무결성, 가용성을 실현하기 위한 절차와 과정을 체계적으로 수립ㆍ문서화 하고 지속적으로 관리ㆍ운영하는 시스템 즉 조직에 적합한 정보보호를 위해 정책 및 조직 수립, 위험관리, 대책구현, 사후관리 등의 정보보호관리과정을 통해 구현된 여러 정보보호대책들이 유기적으로 통합된 체계 (이하 “정보보호관리체계”라 한다)에 대하여 제3자의 인증기관(한국인터넷진흥원)이 객관적이고 독립적으로 평가하여 기준에 대한 적합 여부를 보증해주는 제도  - 출처: KISA 홈페이지


2. 왜 필요한가?

최근 들어 "왜"라는 단어와 "본질"이라는 단어에 많은 관심을 가지고 있다. 그럼 왜 "관리체계"가 필요한가?에 대한 본질적인 부분을 우리는 고민을 해야 한다. 그 부분을 심사를 하면서 느꼈던 생각을 고려하여 몇가지로 정리 해 보기로 하자.

  • 기업과 조직의 입장
    • 우선 기업이나 조직의 입장에서 관리체계 도입의 필요성은 그냥 단순히 도입하면 좋을것 같으니까 도입하는것이 아닌 뚜렷한 목적이 있어야 한다. KISA가 말하는 목적은 다음과 같다.
      • 정보자산의 안전, 신뢰성 향상
      • 정보보호관리에 대한 인식제고
      • 국제적 신뢰도 향상
      • 정보보호서비스 산업의 활성화
  • 개인적인 입장
    • 괸리체계를 도입하여 실제 사이클대로 움직여 본다면 전체적인 맥락에서 우리 기업에서 우리조직에서 정보를 보호해야 할 자산을 식별 할수 있고, 위험도를 산정하여 중요도를 체크하여 체계적인 관리를 함으로 인하여  갑작스러운 사고나 장애에 대비하여 즉각적인 대응시나리오를 관리 하는 방법을 숙지 할 수 있다.

3.  관리체계에는 어떤 것들이 있는가?

  • 국제적
    • ISO27001 : ISMS에 대한 국제적인 표준으로써 전세계 선진기업이 합의한 좋은 사례를 활용하여 조직이 정보보호 경영을 실행하기 위한 프레임웤을 확인하고 이를 자사에 적용할 수 있게 하는 인증체계를 말한다.
  • 국내적
    • K-ISMS : 방통위와 KISA에서 주관하는 ISMS로 민간에 적용되며 정보통신망 이용촉진 및 정보보호 등에 관한 법률”제47조
    • “정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령”제50조
    • 정보보호관리체계 인증 (제2010-3호) 법적근거를 가지고 있다.

                    ※ 정보보호관리체계 인증은 조직에서 정보보호관리를 위한 체계 수립 및 운영이 효율적일 수 있    
                        도 록   하는 방법으로 최선의 노력을 하고 있음을 확인하는 것으로 법적 책임과는 무관함

    • G-ISMS : 공공기관에 적용되는 ISMS 제도


4. 연도별 인증서 발급현황

                                                               <출처: 한국인터넷진흥원>


2002년부터 발급을 시작해서 매년마다 점점 많은 수의 인증을 받고 있지만 총 10년에 걸쳐 126건 밖에 되지 않았다는 것은 그동안 얼마나 정보보호에 많은 무관심을 가지고 있는가에 대한 반증이기도 합니다. 그동안 ISMS 인증제도는 법적 의무사항이 아닌 권고 사항이었기 때문에 위와 같은 숫자가 나왔다고 하지만 보안에 대한 이슈는 점점 커지고 있어서 그 역할은 커지리라 생각이 듭니다.


5.  최근 시사점과 향후 방향

  • 정보통신망법 개정
    • 안전진단제도 폐지
      • ‘12년도 안전진단 예비대상자는 370여개 업체로, 전년대비 25.4% 증가

        (‘05) 142개 ➡ (’06) 160개 ➡ (’07) 207개 ➡ (’08) 232개 ➡ (’09) 247개 ➡ (’10) 272개 ➡ (’11) 292개 ➡ (’12) 370여개 예상

        안전진단 대상자가 점점 많아 짐으로 인하여 관리체계에 대한 법적 의무 시행 사업자도 증가할 전망.

  • '13년도 관리체계 의무화
    • 관리체계 의무화
      • 개인정보보호법 시행에서도 느꼈지만 13년도 시행이면 ISMS의 경우에는 올 12년도에 이미 컨설팅이나 사전 준비작업에 들어가야 한다. 그렇지 못할 경우 자체적으로 정책 수립에서부터 끝까지 마무리 작업을 해야 하는 부담을 가진다. 하지만 대부분 초기 관리체계 수립은 컨설팅을 많이 받음으로 한꺼번에 몰릴 가능성이 있다.
      • 또 한가지는 ISMS의 경우 관리체계 수립후 증적 사항을 수집하기 까지 오랜 시간이 걸린다. 컨설팅은 보통 빠르면 2-3개월에서 끝나지만 이에 따른 이행증적 사항은 6개월 정도 관리체계 사이클대로 움직일때 가능하다. 따라서 안전진단 해당 기업은 올해 부터 관심을 가져야 할 것이다.
  • 기업 관리체계 담당 인력 및 보안 컨설팅 인력 수요급증
    • 인력과 예산
      • 정보통신망법 개정으로 인하여 올 7월1일부터 시행이 되고 '13년도에는 ISMS제도가 의무화가 됨에 따라서 안전진단 대상 기업에서는 ISMS 전담 인력을 따로 구성하는 것이 좋다. 또한 초기 컨설팅을 위한 예산 마련도 중요하겠다.  특히 취업을 하지 못한 예비 취업자나 이직자 그리고 컨설팅에 관심이 있는 사람이라면 "관리체계"에 대한 관심도 가져 보는 것이 좋겠다.
      • 또한 이러한 관리쳬계 수립후에 이것을 체크리스트에 따라 인증하는 인증심사원에 대한 인력에 대한 부분도 수요가 늘어 날 것으로 전망된다. 따라서 기존 IT경력과 경험이 있는 그리고 인증 심사 스킬을 보유한 유능한 인증심사원등이 대거 등장하거나 많은 수요가 전망된다.

 

  • KISA의 역할강화
    • 기존 부서 역할증대
      • 지금현재 관리체계에 대한 대부분 업무을 추진 하는 기관은 방통위 산하 '한국인터넷진흥원'에서 추진하고 있다. 이러한 시대적 요구사항에 있어 KISA 해당 부서에 대한 역할 강화가 필요 할 것으로 보인다. 그동안 추진해 왔던 경쟁력과 경험을 바탕으로 하여 보다 더 확대 적용 되기 위한 힘을 실어 주어야 한다.


맺음말

한국에 인터넷이 사용된지 이제 불과 15여년밖에 되지 않았다. 그동안 많은 성장을 이루었고, 대한민국은 그중에서도 IT인프라 강국으로 도약이 되었다. 필자도 초고속 인터넷 사업에 인프라 구축 PM도 하였고, 그 이후 대규모 서버들이 들어있는 집적정보통신시설이 들어 서고 각 통신사 및 이통사 데이터 센터가 건립이 되었다. 이러한 데이터 센터는 이제 각 기업마다 관리 포인트가 늘어남에 따라 자체 데이터센터를 보유하게 되었고, 장애시에 대비하여 복구센터도 갖추게 되었다.

특히 이러한 인프라를 기반으로 성장하는 대한민국에 순기능에 따른 역기능 또한 만만치 않아 잇따른 보안사건사고가 발생을 하고 특히 '11년 작년의 경우에는 금융권에서 대거 개인정보 유출 및 금융 보안 사건사고가 일어나면서 많은 보안이슈가 제기되기도 하였다.

IT보안은 이제 IT융합으로 갈 것이고 산업전반에 걸쳐 보안의 중요성은 점점 커질수 밖에 없다. 또한 최근 SNS와 스마트폰을 이용한 모바일 보안이 이제는 엔드유저단인 '사용자 보안'으로 그 바톤이 넘어가게 되었다.

이러한 보안적 이슈를 잘 해결하고 대응을 하기 위한 가장 기초적인 작업이 '체계적인관리'에는 누구나 공감대가 형성이 되었다. 따라서 국내 정보보호관리체계중에 하나인 ISMS에 대한 중요도가 높아지고 정부는 지금까지 권고사항에 그쳤던 ISMS제도를 법적 의무화와 규제를 함으로 인하여 보안성을 높이려 할 것이다.

이러한 관점에서 보았을때, 이제는 IT보안을 바라보는 시야를 조금 크게 바라 볼 필요가 있고 기업이나 조직의 전체적인 틀(Frame)안에서 기획,설계,수립해 나가야 하는 시기이다.

본 포스팅은 혹시나 ISMS인증심사에 관심이 있는 사람을 대상으로 하여 ISMS,PIMS인증심사를 하면서 느낀점과 향후 대응책에 대하여 알아 보았다.  미래를 보는 눈을 가진 사람이 유능한 사람이다. @엔시스.

신고
Posted by 엔시스

2011년도는 보안 이슈사항이 많은 한해였습니다. 특히 개인정보 유출에 따른 여러가지 이슈가 많다보니 자연스럽게 해당 전문가나 관련 인력을 구하게 됩니다. 또한 2011년 9월30일 개인정보보호법이 전격 시행 됨으로 인하여 일반법으로서 법적인 확대가 더 강화가 되었습니다. 이에 주목 받고 있는 개인정보보호관리사(CPPG) 시험에 대한 개선 사항에 대하여 살펴 보고자 합니다.  -편집자 주


1. 개인정보보호관리사(CPPG)란?

한국CPO포럼에서 주관하고 있는 민간 자격증 시험으로서 - CPPG (Certified Privacy Protection General) : 개인정보관리사 개인정보보호 정책 및 대처 방법론에 대한 지식 및 능력을 갖춘 인력 또는 향후 기업 또는 기관의 개인정보 관리를 희망하는 자로서, 다음의 업무능력을 보유한 자 - 라고 소개가 되어 있습니다.
출처 (http://www.cpptest.or.kr/)





2.  2012년도 8회 시험이 4월시행, 지금까지 지방에서는 시험을 볼수 없다(?)

보통 1년에 2-3회 시험을 치른다고 가정을 하면 시험 진행한지 약 2-3년이 흘러갔습니다. 올해에는 4월에 시험이 있습니다...

개인정보보호법의 시행과 최근 보안 이슈사항으로 인하여 많은 사람들이 관심을 끌고 있는데 유독 시험은 서울에서만 시험을 보고 있습니다.

따라서, 지방에 거주하는 사람이 시험을 보기 위해서는 서울까지 가야만 하는 경우가 발생을 합니다. 이러한 사항들은 관계자분들을 통하여 필자는 여러채널을 통하여 말씀을 드렸으나 아직까지 이루어지지 않고 있네요.

초기에는 사업진행하기 위한 초석이라고 생각을 하겠지만 이제 조금 더 폭 넓은 수요층을 감안한다면 전국에서 시험을 볼수 있도록 조치를 취해야 할 것입니다.  그렇지 않는다면 단순한 자격사업에 일관으로 밖에는 볼 수 없을 것입니다. 2012년도에는 꼭 전국 주요도시에서도 시험을 볼 수 있도록 관계자 분들께서는 조치를 취해 주시면 감사하겠습니다.


3.  정보통신망법 위주가 아닌 개인정보보호법도 포함하는 시험이 되어야


개인정보보호관리사 시험이 정보통신망법 위주의 시험으로 출제가 되어 있고, 지난해 개인정보보호법이 통과된 이후에는 개인정보보호법도 포함이 되어야 합니다.

이러한 사항은 가이드라인에도 반드시 반영이 되어야 하고, 실제 개인정보보호 관련하여 일반인들이 정보통신망법에 적용이 되는지 개인정보보호법에 적용이 되는지를 알아야 하고 자격증 소지자라면 반드시 2개의 법적 이해도와 지식을 포함하고 있어야 진정한 자격인증이 된다고 생각이 듭니다. 따라서, 이번 2012년 8회차 부터는 이러한 부분을 반영하여 적극 시험이 되어야 겠습니다.


개인정보보호에 대한 지식을 측정하는 자격으로서 올바른 방향으로 가야 한다는 것은 바람직 하다는 생각이며 평소 이에 관련된 생각을 가지고 있었기에 블로그에 포스팅 해 봅니다.  이제는 지방에서 더 이상 먼곳으로 가지 않더라도 시험을 볼 수 있는 조치가 취해지길 기대해 봅니다.   @엔시스.

신고
Posted by 엔시스

2012년도에는 클라우드와 스마트폰, 보안등이 주요 키워드가 되는데에는 누구도 이견(異見)이 없을 듯 합니다.  최근 데이터센터(IDC)의 요충지로 꼽히는 곳중에 한 곳이 바로 '부산시'입니다.

입지적 요충지로서 일본과도 가깝고 해서 최근 관심들을 많이 가지고 있는데요. 필자도 데이터센터에 근무를 하고 있기때문에 관심을 가지고 보고 있는 관전 포인트이기도 합니다.



출처: http://www.boannews.com/media/view.asp?idx=29265&kind=1




1. KTSB 데이터 센터

우선 부산위치에 데이터센터 건립 물꼬를 튼 것은 바로 일본의 소프트뱅크에서 부산에 국내 통신사 KT와 손잡고 김해연수원을 리모델링하여 오픈 한 경우입니다..


클라우딩컴퓨팅에 대한 이해 동영상 참고
 http://news.naver.com/main/read.nhn?mode=LPOD&mid=tvh&oid=374&aid=0000005629

KT,소프트뱅크 제휴 클라우드 IDC
http://news.naver.com/main/read.nhn?mode=LPOD&mid=tvh&oid=215&aid=0000020182


2. LGCNS 글로벌 클라우드 데이터센터 허브 구축

 

LG CNS는 부산-진해 경제자유구역 내 미음지구 3만8610㎡(1만1700평)의 부지에, 국내 최대 규모인 연면적 13만3000㎡(4만평) 규모의 데이터센터를 구축할 예정이다.

부산시는 국제 해저케이블의 90% 이상이 우리나라로 들어오는 제1관문이다. 또 일본과는 최단거리(250km)의 전용 해저케이블이 위치하고 있는 대한민국 글로벌 네트워크의 중심지다. 그 중에서도 이번에 LG CNS 부산데이터센터가 설립되는 미음지구는 부산신항, 김해공항과도 인접해 최고의 접근성을 갖춘 데이터센터 육성단지다.

LG CNS 부산데이터센터는 2012년 12월에 완공될 예정이다. LG CNS와 부산시는 국가적인 차원에서 기존 아시아 태평양 지역의 글로벌 데이터센터 강자인 홍콩, 싱가포르를 뛰어넘는 경쟁력 있는 글로벌 데이터센터를 구축함으로써, 일본 기업과 글로벌 인터넷 기업을 비롯한 국내외 고객들에게 클라우드 서비스와 재난복구 서비스 등 IT서비스를 제공할 계획이다.

김대훈 LG CNS 사장은 "LG CNS 부산데이터센터는 LG CNS의 클라우드 서비스 역량과 부산이 가진 천혜의 입지조건을 바탕으로 명실공히 대한민국 국가대표 클라우드 데이터센터로 자리매김할 것"이라며 "우리나라가 글로벌 IT의 중심으로 거듭날 수 있도록 국내는 물론, 글로벌 기업에 차별화된 클라우드 서비스를 제공하기 위해 만전을 기하겠다"고 밝혔다.

출처: http://www.koreaen.co.kr/news/articleView.html?idxno=12057


이처럼 큰 데이터센터가 부산에 속속 들어선다는 사업 발표가 이어지고 있습니다. 지방IT 측면에 보아서는 좋은 기회라고 생각이 들고, 일자리 창출에도 많은 기여를 할 것으로 예상이 되어 기대가 됩니다.


3. 왜 부산시이냐?

그럼 왜 부산시인지 궁금하게 됩니다. 아마도 해저터널과 제2의 도시 그리고 인접해 있는 국가와 지리적 요충지 때문이 아닌가 하는 생각이 듭니다. 이러한 사업기회를 잘 살려 부산시는 IT일자리 창출을 위하여 노력하는 것에 대하여 박수를 보내고 싶습니다. 사실 IT산업은 서울과 수도권을 벗어나면 대부분 서울의 총판,채널사 형태로 운영이 되고, 제대로 된 IT서비스 컨설팅사와 보안전문 업체로서 입지가 부족하기 때문입니다. 늘 아쉬운 부분중에 하나인데 지방IT업체 자구책 노력도 필요하고 지자체나 정부의 지방 활성화 방안도 지원이 되어야 합니다.


4.  일자리 창출, 문제 없는가?

데이터센터라는 것은 IT서비스를 하기 위한 집적정보통신 시설로 각종 다양한 시설이 집적해 있는 시설입니다. 전력과 항온항습, 난방, 그리고 각종 서버, 네트워크 장비, 인력등이 많이 필요하고 소요가 되는 시설입니다.

얼핏보기에는 일자리 창출에 기여 할 듯하지만 조금 더 신경을 써야 하는 부분이 있습니다. 그것은 '인력수급' 문제입니다.  초기 기업은 리스크를 부담하지 않기 위하여  고급 인력보다는 초급 인력을 선호 하게 됩니다. 

혹은 고급인력을 선호하더라도 서울과 수도권에서 인력을 수급하게 되면 비싼 임금이 문제가 됩니다.  여러가지 딜레마에 빠지게 됩니다. 이러한 현상은 대부분 글로벌 IDC는 해외 고객과 업무를 해야 함으로 영어와 일본어등 기본적인 언어에 장벽이 있어서는 애로 사항이 있다는 것입니다. 이러한 인력을 수급하기란 그리 쉬운 일이 아니고, 만약 이러한 인력을 구한다 하더라도 높은 임금을 요구하게 됩니다.


5. 앞으로 해결 방안 

지리적 요충지로 인하여 부산시에 다양한 글로벌 데이터센터 사업이 들어서게 되는데 여러기업이 한꺼번에 관심을 가지다 보니 이 또한 출혈경쟁에 나서서는 안될 것이며, 서로 윈-윈 할수 있는 특화된 서비스로 자리 매김 하는 것이 바람직 하겠습니다. 

또한 인력수급에 있어서도 데이터센터로서 입지를 다지고 성공적인 모델을 정착하기 위해서는 로컬라이제이션 할 수 있는 고급인력과 경험이 있는 인력을 영입하여, 안정적이고 집중할 수있는 방안을 제시해야 합니다. 

이는 앞으로 공공기관 지방 이전을 앞둔 다양한 공공기관이 지방 이전지로 데이터센터를 구축하게 됩니다. 이러한 부분에 있어서 롤모델이 될 수 있고 오랜만에 부산시는 지방IT 활력소를 찾은 만큼  일자리 창출과 글로벌 IT경쟁력을 모두 가질 수 있는 제2의 도시가 될 수있는 두마리 토끼를 잡는 도시가 되었으면 하는 바램을 가져 봅니다. @엔시스.

 

신고
Posted by 엔시스

내년도 개인정보보호 예산이 반에 반토막이 났다는 기사가 있어서 몇자 포스팅 해 보고자 합니다.

관련 뉴스 : http://www.itdaily.kr/news/articleView.html?idxno=28398#

 

                                                 <사진출처: http://bit.ly/temZY1>

개인정보보호법 주무부처인 행정안전부의 내년도 개인정보보호 예산이 반에 반 토막 났다. 당초 300억 원 넘게 책정했으나 70억원으로 3분의 2 가까이 대폭 삭감됐다.

그간 정보화 투자에 인색했던 MB정부였지만, 최근 발생한 개인정보유출 등 각종 보안 사고가 사회적으로 크게 이슈화됐던 만큼 개인정보보호 투자만큼은 흡족할 수준이 되리라 기대가 컸다. 그러나 그 결과는 역시나 실망스럽기 그지없다.

그나마도 개인정보보호법이 시행된 것을 감안해 올해 행안부 개인정보보호과의 예산인 46억 보다는 늘었고, 정부의 내년도 IT정보화 예산이 전년대비 20~30% 줄게 된데 비해 늘어난 것으로 전해진다. 예산이 줄지 않은 것만으로도 다행이라고 여겨야 할지 의문이다.  -중략.





1. 자신의 업종이 아직도 개인정보보호법 적용인지 정보통신 망법적용인지도 모르는 수가 태반


필자는 이번에 개인정보보호관련하여 전문 강사단에 위촉이 되면서  지방 공공기관 (주로 경상권) 지역에 교육을 지원 하였습니다. 그런데 여러곳을 다니면서 이야기 듣고, 교육을 하다보면 하나 같이 애로사항들이 공통적으로 있습니다.  그것은 교육 및 홍보를 강화 해 달라는 이야기입니다. 잠시 반짝하는 이벤트성홍보로 하지 말고.

아직도 모르는 곳이 너무 많다고 합니다. 물론 일부 '개인정보보호법'이 시행 된다는 정도의 분위기는 알지만 정작 어떻게 무엇을 해야 하는지..또는 부처 소관의 경우 빠른 지침과 시행 방침을 내려 보내 주어야 움직일 수 있다는 호소였습니다.  처음에는 나름 준비하면 되지라고 생각을 했지만 공공의 업무라는게 개인의 의지만 가지고 되는 것은 아니라는 생각을 하였습니다.  그러니 조금은 이해가 갔습니다.

민간의 경우에는 더욱 심각합니다.  자신의 업종이 '개인정보보호법' 적용을 받는지 '정보통신망법' 적용을 받는지 '신용정보보보호법'에 맞는지 조차도 구분하지 못하는 사람들이 많습니다.  왜 그럴까요? 물론 예산 범위내에서 대응책 마련을 고심할 것으로 압니다만 원래 예산이라는 것이 조금은 삭감 될 것을 예상하고 책정하는 경우가 다반사입니다.

하지만, 본격적으로 '개인정보보호법 정착' 이 진행될 2012년도에는 조금 그 상황이 다르다고 봐야 겠습니다.


2. 개인정보보호법 조직정착을 위해서는 추가 예산 편성할수는 없을까?

국가 사업과 예산이라는 것이 동네 구멍가게 사장 노릇 하듯이 맘대로 안되는 것을 잘 알고 있습니다. 하지만 법만 만들어 놓고 , 수 많은 사람들을 범법자로 만들수는 없는 것입니다.  대부분 중소기업, 소상공인들은 이러한 법이 있는 줄도 모르는 경우가 많습니다. 그리고 '개인정보보호법'을 지키라고 겁을 줍니다.

'법을 공개하고 설명서를 공개하였으니 당신네들이 알아서 공부하시오'라고 하면 과연 그들이 스스로 알아서 공부를 하면 얼마나 좋겠습니까만은 현실은 그렇지 못함에 있습니다. 실제 개인정보보호법을 공부하여 연구하다보면 기술과 법.제도를 함께 알아야 하고, 자신이 해당업종에 있으면 또한 특별법의 법률과 시행령,시행규칙까지 이해를 해야 합니다.

한가지 예를들어 보겠습니다. 병.의원에 근무를 하고 있다고 가정을 하겠습니다. 그러면 제일 먼저 개인정보보호법에 적용을 받는지, 정보통신망법에 적용을 받는지를 파악을 해야 합니다. 그리고 '개인정보'의 정의부터 확인을 해야 합니다. 그러면 관련 법에 의하면 "개인정보라 함은 살아있는 개인에 관한 정보로써 ~~~~"  라고 되어 있지요...그런데 병원에 살아서 입원하여 도중에 사망한 환자에 대한 정보는 개인정보보호법에 의하면 보호를 받지 못합니다. 어떻게 처리해야할지를 또 고민해야합니다. 누구한테 딱히 물어볼 곳도 없습니다. 미국과 독일의 개인정보보호법은 '살아있는 개인에 관한 정보'로 한정 지어 놓지 않았습니다. 혹시나 특별법에 관련 조항이 있는지 의료 관련법을 찾아 보아야 합니다. 

과연 이러한 연구를 일반 개인정보 취급자분들이 판단 할수 있을까요?  개인정보보호법은 이미 시행을 하였습니다. 하지만 아직도 준비가 덜한 상태로 암묵적인 유예기간을 두고 있습니다. 국가가 사업을 시행 한다 하더라도 사업비와 예산이 없으면 흉내만 내다가 그만 두게 됩니다. 

결국 '개인정보보호법'은 처음 의도했던 바가 아닌 다른 방향으로 흘러가게 될 것이고, 사람들은 법.제도의 이해부족과 불편함을 호소하게 되면 SNS등을 통한 여론 형성이 되어 이리저리 편법이 생기고, 그러면 법을 다시 제,개정하는 누더기 법이 될 가능성도 있습니다.


3.  전국민 보안마인드 업데이트 비용과 전국중심의 보안으로 예산이 사용되었으면

미국은 사이버(Cyber)를 제4의 영토로 지정을 하였습니다. 제4의 영토를 공격하거나 침략하려고 하면 즉각 대응하겠다는 발표를 한적도 있습니다. 과연 우리나라는 주변 강대국과 지정학적 위치에 있는 '중국' '일본' '북한'으로부터 얼마나 안전하게 대응 할 수 있는지 의구심이 듭니다.  이제는 물리적인 경계위치보다는 사회적 불안이나 민심을 뒤 흔드는 '사회공학적기법' 공격이 난무하게 될 것입니다. 그것은 여러정치적인 상황과 섞여서 무엇인 진짜이고 가짜이며 진심인지를 가려 내기 힘들 것입니다. 특히 지금처럼 쇼셜(Social)네트워크 서비스가 스마트폰과 어우려져 스피드하게 전파되는 상황에서는 말이죠..

이러한 사회적 비용까지 책정을 예산에서 반영해야 할 것이며,  전국민 보안마인드 업데이트를 가져 오게 끔 해야 합니다. 또한 서울과 수도권 집중적인 예산 투입보다는 2012년도에는 수평화 할 수 있는 지방과 지역 (local)에 대한 보안에 대한 인식제고 향상에도 힘을 쏟아야 합니다.   보안이라는 것은 유능한 사람 혼자만 해서 되는 것도 아니고, 서울 수도권에 한정되어 보호해야만 하는것도 아닙니다. 올해에도 지역에는 제대로된 보안컨퍼런스 행사하나 없었습니다. 혹자는 여러가지 사업과 행사를 진행하려고 해도 규모면에서 지역에서는 호응이 생각보다 없어서 안되다고 이야기 합니다.

일개 개인이 보안커뮤니티를 만들어서 지역활성화와 스터디모임 그리고 각종 SNS을 통하여 긴급 보안 이슈와 트렌드 전파하고 있습니다.. (커뮤니티와 블로그, SNS을 통하여)

2011/03/07 - [Lecture&Comlumn] - [칼럼] 3.3 DDoS 공격이 '개인정보보호법 제정'에 불씨를 당겨야
2009/09/16 - [Lecture&Comlumn] - [기고-4] 7.7 DDoS 사태이후, 변화는 아직도 미지수


정보보호에 대한 지식공유를 위하여 발 벗고 나서고 있습니다. 그 이유는 제가 지식이 필요했기 때문이고 그 보안지식을 같이 공유하는 것이 의미있다고 판단했기 때문입니다... 개인도 할 수 있는데, 기관과 정부가 왜 못하겠습니까? 의지만 있으면 10명이 모이든 100명이 모이든 꾸준히 진행해야만 하는 의지 표명이 중요하겠습니다.  최근 개그콘서트의 '비상대책위원회' 코너가 생각이 나네요.. "안돼~~~" " 그러면 결국 되는 것은 어떠한 것도 없다고 생각합니다."


4. 예산이라는 것은 모자라도 안되고 남아도 안되는 국민의 세금


비록, 개인의 블로그에 포스팅하는 힘없는 글이지만 관련기관에서는 분명한 의지를 보여 주었으면 하는 바램을 가져 봅니다. 개인도 그렇고 기업도 그렇고 국가도 마찬가지로 예산이라는 것은 부족하면 부족한대로 문제이고 남아도 남는대로 낭비를 하기 때문에 문제입니다.  예산을 편성하면 의례히 삭감되는 것은 당연한 것으로 받아들이고 삭감 할 것이 아니라 정말 소중한 국민의 세금이 '정보주체의 권리'를 강화하는 '개인정보호보법'의 조기 정착을 위하여 사용하게 끔 잘 편성하고 책정하여 사용 할 수 있도록 하면 좋겠습니다. 

분명한 것은 2012년도 본격적으로 보안 이슈가 더 거세질 전망입니다. 이제는 유선망은 기본이고 다양한 디바이스와 멀티채널을 이용하는 무선랜보안에 대한 이슈, 그리고 스마트폰과 테블릿PC가 봇물을 이루고 사용자 보안으로 공이 넘어갈 것입니다.  보안마인드가 안되어 있는 사용자들의 개인정보유출은 더욱 거세게 될 것이고, 시행중인 개인정보보호법에 논의가 더 활발하게 될 것입니다.

부디 개인정보보호법 조기 정착과 혼란 방지를 위하여 돈이야 많으면 많을수록 좋겠지만 그러한 의미를 조금 내실있게 파악하고, 서포팅 해 주는 것이 예산과 집행기관의 책임을 다하는 정부의 의지 반영일 것입니다. 다른 현안에 묻혀 '개인정보보호법'이 국민을 더욱 불편하게 만들고 옥죄는 법으로 남는 오점을 남겨서는 안될 것입니다. 이제 소중한 자신의 개인의 정보는 스스로 지킬수 있는 개인의 자발적 의지도 분명히 중요한 시점에 도래하였습니다. "개인정보 수집은 하지 않는 것이 최선입니다." "개인정보는 정보주체의 정보이지 조직이나 기업의 자산이 아닙니다."  -엔시스.

공감하시면 추천이나 무한RT해 주시면 더욱 좋겠지요 :)
신고
Posted by 엔시스

□ 非 컴퓨터 단말이 미국 전체 웹 트래픽 6.8% 차지
 
 o 美 조사업체 컴스코어(ComScore)는 미국 내 非 컴퓨터 단말(스마트폰, 스마트패드 등)을 이용한 웹
    페이지 접속이 지난 분기 6.2%에서, ’11. 8월 기준 6.8%로 증가하는 등 꾸준한 증가세(휴대폰 4.4%,
    스마트패드 1.9%)를 보이고 있다고 밝힘(10.10)
 
 o 특히 애플의 iPad는 스마트패드 웹 트래픽 점유율 부분에서 97.2%의 압도적 점유율을 기록했으며, iOS
    단말 트래픽에서도 46.8%로 iPhone(42.6%)을 앞지름
 
 o 한편, 스마트패드를 이용하는 주요 목적은 뉴스검색과 SNS인 것으로 조사되었으며, 스마트패드
    사용자의 58%가 뉴스검색을 위해 태블릿을 사용하고 있음
 
 o 컴스코어의 모바일 부문 Mark Donovan 수석 부사장은 “스마트폰과 웹 접속 연결된 디바이스가 확대
    되면서 디지털미디어 소비가 급속히 증가했으며, 일상생활에서 다양한 콘텐츠를 소비하는 사용자층
    (Digital Omnivores)이 등장하게 되었다”고 설명
 
< 단말별 웹 트래픽 점유율>
※ 출처 : Comscore
 
□  Non-PC 단말의 트래픽은 앞으로도 빠른 속도로 증가할 것
 
 o 조사업체 아이서플라이(iSuppli)는 ’15년 세계 스마트폰 판매량이 10억 3천만에 이를 것으로 전망
    하였으며, 이는 올해 스마트폰 판매 예상량(4억 8천만대)보다 2배 이상 증가한 수치
 
 o 또한, 同사는 저가형 스마트폰 판매량이 ’10년에서 ’15년까지 115.4% 증가하여 스마트폰 판매량 증가를
    견인할 것이며, 고가 단말은 동기간 16.4% 성장 할 것으로 예상
 
 o 더불어 올해 스마트패드 판매량은 6천만대에 이를 것으로 추정하였으며, ’15년에는 2억 6천만 대가
    판매될 것으로 전망
<전세계 스마트폰 판매량 추이>
 
<전세계 스마트패드 판매량 추이>
                                       ※ 출처 : iSuppli
 
 o 네트워크 장비 전문 업체 시스코(Cisco)도 ‘VNI Mobile 2011’을 통해 ’15년까지 스마트폰 가입자가
    24%, 모바일 트래픽은 116% 증가할 것으로 전망하였고, 스마트패드의 경우도 가입자는 105%,
    트래픽은 190% 증가할 것으로 전망
 
 o 또한, 모바일 기기 사용이 증가함에 따라 ’10년에서 ’15년 사이 연평균 모바일 트래픽 증가율은 92%에
    이를 것으로 전망되며, ’15년에는 모바일 트래픽이 6.3EB에 이를 것으로 예측
    ※ 엑사바이트(ExaByte, EB) : 260으로 220 테라바이트(TB)에 해당
<’10~’15 모바일 트래픽 증가 전망>

<’10~’15 모바일 기기별 사용자 및 트래픽 증가 전망>
기기유형
사용자
모바일 트래픽
스마트폰
24%
116%
휴대형 게임콘솔
79%
130%
스마트패드
105%
190%
노트북&넷북
42%
85%
M2M Module
53%
109%
                                    ※ 출처 : Cisco
 
[출처]
1. ComScore, “comScore Introduces Device Essentials™ for Measuring Digital Traffic from All
    Devices, Enabling Optimization of Marketing Strategies and Customer Experience”, 2011/10/10
2. CNET, “Mobile devices driving near 7 percent of Web traffic”, 2011/10/10
3. Device Magazine, “Smartphones to Account for Half of the Devices Sold by 2015; Low-End
    Phones to Drive Sales”, 2011/8/27
4. BGR, “IHS ups tablet forecast, still sees Apple’s iPad share sinking through 2015”, 2011/8/24
5. Cisco, “Cisco Visual Networking Index: Global Mobile Data Traffic Forecast Update, 2010–2015”,
    2011/2/1

출처: 한국인터넷진흥원

신고
Posted by 엔시스


지난번 정보보호전문가 자격증(SIS) 자격증 관련 1차 기사가 나오고 난 후에 조금은 보완해야 할 부분들이 있다는 주변에 이야기가 있었습니다.. 



관련글 포스팅 : http://www.sis.pe.kr/3327 

하지만 후속 취재를 요구하였고, 조금은 구체적인 방안이 나오기를 기대하였습니다. 마침 오늘 후속기사가 나왔네요.

전자신문 2011.07-12일자 온라인판



핵심의 요지는 다음과 같습니다.

  • 2013년 국가기술 정보보안기사/산업기사가 시행이 되면 굳이 2번 시험 볼 필요 없으니 그때까지 기다리겠다. 하지만 지금까지 늘 예정이다, 고려사항이다 하다가 시행이 되지 않으면 그 공백기간에는 어떠한 대안을 제시 할 수 있는가? 아마도 SIS 기존 자격증 시험은 그냥 형식적으로 치러지거나 아니면 응시생이 줄어들어 원래 취지에 부합하지 못 한다.
  • 기존 SIS 유자격자를 어떻게 처리 할 것인가? 이부분에서도 방안제시를 해야 하지만 아직 뚜렷한 방안이 없는듯 하다. 그동안 SIS시험의 난이도로 보아 쉽지 않은 시험을 패스한 부분이라 일정기간 보수교육후에 승인하면 좋지 않을까 하지만 그런 사례가 없어 난색을 표하는데, 꼭 사례만 가지고 한다면 누가 새로운 개척을 하겠는가? 늘 예외라는 것은 있지 않은가?

아무튼 이번에는 좀 확실한 대안제시가 되고, 작은 것 하나라도 조금씩 조금씩 실천해 나간다면 이러한 국가자격증제도의 경우 10년, 20년 장기간 가야 하는 제도이기에 빨리 정착되고 좋은 대안제시를 마련하여야 할 것입니다. 보안인력양성 정책시마다 울궈 먹는 재탕 삼탕이 되어서는 안될 것이라 생각이 듭니다.
이번엔 꼭 실현 되기를 기대해 봅니다.  @엔시스.




신고
Posted by 엔시스

마소잡지 7월호에 보안특집기사로 보안에 대한 정리내용으로 간단하게 관리체계에 대한 부분을 언급하였습니다. 너무 기술에만 치우쳐도 되지 않고, 너무 관리에만 치우쳐도 되지 않아 보안은 기술과 관리가 적절하게 균형있게 조율이 되어야 겠습니다.



어제 잠시 서점에 들려서 다시 한번 인쇄본을 살펴 보았는데, 조금 분량을 늘려서 적을 것을 하는 느낌이었고 조금은 임팩트 있는 내용이 아니라서 평이한 수준에서 적지 않았나 하는 느낌이 들더군요. 아무튼 자신의 생각을 글로 표현한다는 것은 굉장히 중요한 문제라 저는 생각합니다. 그래서 부족하지만 노력하고 있는 중이구요. 여러분들도 자꾸 노력을 하여 그 부족함을 채워 나가는 것이 삶을 지탱하는 원동력이 아닐까 생각이 드네요.. 이러다 관리체계 홍보대사 되는것은 아닌지...ISMS, PIMS ㅎㅎ 하지만 중요하니까요.
많이 홍보해야지요..그것이 제 몫이라 생각합니다.

혹시 궁금하신 분들은 http://www.boanin.com 보안인닷컴 커뮤니티 공지사항 보시면 e-매거진 2호가 무료로 배포되고 있습니다. 거기에도 실렸으니 참고 하시면 됩니다. 또는 http://www.sis.pe.kr/3326 보시면 첨부되어 있으니 다운로드 받아 보시면 됩니다.

앞으로는 조금 더 깊이를 더해야 겠습니다. 비가 오네요..주말 잘 보내시길 바라고 비 피해 없기를 바랍니다.  @엔시스.


신고
Posted by 엔시스

최근 금융권에서는 USB 메모리를 사용금지를 내리면서 보안을 강화 한다는 이야기가 있습니다. 일반적으로 USB 이동 디스크를 많이 들 사용하는데요...이거 안 쓸수도 없고...참...그러다가 분실이나 바이러스에라도 걸리면 참 난감합니다..



그중에 바이러스와 분실에 대비하기 위한 방법에 대하여 알아 보겠습니다.

  • 파일에 암호를 걸자.
    • 위에서도 이야기 하였듯이 USB를 사용해야 하는데 사용 하지 않을 수도 없고, 무조건 안쓴다는 것이 최고 방법이긴 하겠지만 구더기 무서워 장 못담그는 일이 일어나서는 안될 것이다. 대신 그 위험은 잘 관리를 하여야 할 것이다. 조직보다는 개인적인 관점에서 사용할 시에는 부득이 하게 USB를 사용하게 된다면 모든 파일에 암호를 걸어 놓으면 좋겠다. 혹시 분실에 대비하기 위한 예방책이 될 수도 있다.
  • 바이러스 감염.
    • USB의 사용처를 보게 되면 자신의 PC나 노트북에서 사용한다면 바이러스 감염에 잘 일어나지 않는다. 하지만 이동디스크는 다른 PC나 노트북에서 자주 사용하기 때문에 그 PC와 노트북이 취약성이나 바이러스가 안 걸렸다는 보장이 없기 때문이다. 외부에서 USB를 사용했다면 반드시 최신 백신이 깔려 있는 곳에서 반드시 검사를 하고 사용해야 한다.
  • 주기적인 USB 파일 백업후 삭제
    • 말 그대로 USB는 이동디스크 형태로 잠시 PT를 한다든지 아니면 여러가지 미팅시에 준비하기 위한 파일들을 대부분 담아 두는 경우가 많다., 물론 노래만 듣는 사람들도 있겠지만...아무튼 중요한 파일을 USB에 자꾸 저장을 하여 그곳이 정보나 데이터 저장소가 되어서는 안된다. 최근에는 USB가 대 용량으로 나오는 경우가 있어서 삭제하기 보다는 자꾸 추가 하는 사람들이 있기 마련이어서,. 주기적으로 USB를 검사하여 파일을 전부 백업받고 포멧시키거나 최소한에 파일만 남겨 두는 것이 좋겠다. 꼭 그렇게 하기 바란다.


개인적으로는 USB 분실에 많은 대비를 해야 할 것입니다. 우연히 가지고 다니던 USB가 휴대폰에 액세서리로 두었다가 분실 한다든지, 아니면 그냥 가지고 다니다가 분실하는 경우가 많습니다. 이럴 경우 대부분 USB에는 중요한 파일이 들어 있는 경우가 있는데 가능하면 이동디스크에 파일은 반드시 암호를 거는 습관을 들인다면 분실을 하더라도 1차적인 예방을 막을 수 있을듯 합니다.

다 알고 있는 내용이라구요? 하지만 자신의 USB 메모리에 과연 몇개나 파일에 암호가 걸려있는지 지금 당장 확신 해 보시죠?



 

 

신고
Posted by 엔시스



                                                      [그림-1]  IRC 봇에 의한 MRTG 트래픽 모니터링

IRC 봇넷으로 인한 과도한 트래픽이 모니터링 되는 현상입니다. 짧은 시간에 100MB 라인에서 거의 80%를 차지하게 되면 대부분 네트워크 대역폭을 많이 차지 하게 됨으로 해당 대역폭을 소비하게 됩니다.

이로써 해당 네트워크 대역에 있는 서버의 접속은 느끼게 되겠지요.. 확인결과 일정한 IP주소로 트래픽을 보내고 있는것이
확인이 되었습니다.


                                                       [그림-2] iptables 을 이용한 트래픽 제어

우리가 리눅스 서버인 경우 가장 쉽게 필터링 할 수 있는 것이 리눅스 자체에 내장된 iptables 방화벽을 이용하여 필터링 하는 것입니다.

평소 iptables 에 대한 규칙을 알고 있을 경우, 간단한 명령어 몇줄만 있으면 바로 처리가 될 수 있겠지요. 따라서 각 운영체제별 시스템 보안에 따르는 필터링 정도는 숙지 하고 있는 것이 유사시에 긴급하게 대처 할 수 있는 방법입니다.


                                                     [그림 -3] IRC봇으로 연결 되는 서버 차단

해당 udp 포트로 향하고 있는 트래픽을 차단 하여 드롭(drop) 시키는 명령어를 수행하여 서버 기준으로 보았을때 outbound 의 트래픽을 차단함으로 인하여 우선 서버와 스위치의 부하율을 내릴 수 있었습니다.

우선 해당 시스템은 이미 누군가의 외부로부터의 접근이 있어 서버에서 과도한 트래픽을 유발 시키고 있었고 이는 타 서버로의 경유지로 이용됨을 알수 있었습니다.

현재, 이러한 형태의 서버가 비일비재 하며, 해당 시스템관리자들은 매일 같이 모니터링 하면서 트래픽의 추이를 지켜 보아야 하는데 사람이 하는 노릇이라 매일같이 모니터만 붙잡고 있을 수 없기에 자동화 하고 모니터링을 할수 있는 시스템 구축이 우선시 되어야 할 것입니다.  간단한 오픈소스를 이용해서라도 모니터링할 수 있는 시스템 구축을 한다면 조금 더 효율적인 네트워크를 관리 할 수 있지 않을까 생각이 드네요.. @엔시스.

신고
Posted by 엔시스

최근 보안사건사고가 일어나면서 조금은 주목을 받고 있는 듯합니다. 하지만 아직도 열악한 구조는 오늘자 언론에 나온 금융권 인력에서만 보더라도 알수 있습니다.


                                                                <출처: 전자신문 4/28일자>



실제 대규모 은행을 제외하고는 일부 지방은행의 경우에는 1-2명이 보안담당을 하고 있다는 것이 현실을 단적으로 보여 주고 있네요...  이제는 조금 인식이 바뀌어야 할때인듯 합니다.  1-2명이 처리 해야 할 일이 있고, 여러명이 해야 할 일이 있습니다.  보안은 방어적인 개념이므로 혼자서 감담하기엔 리스크가 큰 분야이기도 합니다.  이번 사건을 계기로 많은 인식과 인력 투자가 이루어졌으면 좋겠습니다.




 

신고
Posted by 엔시스

1. 개요

최근 개인정보 유출로 많은 이슈화가 되고 있습니다. 이러한 개인정보 유출은 기업이 또는 조직이 타인의 개인정보를 임의 또는 동의를 통하여 수집한 정보를 제대로 보호조치 하지 못해 일어난 사건이라고 한다면 최근 SNS을 통하여 스스로 개인이 정보를 노출 하는 것을 보호조치 것은 더욱 어려울 것으로 생각이 됩니다.

특히, SNS 서비스의 대표주자 격인 트위터와 페이스북은 국외 서비스라서 제재 할 규제 조차 힘들고, 또한 적용하기까지에 많은 시간이 들기도 합니다. SNS에 대한 개인정보 유출에 대하여 알아 보겠습니다.


2. SNS의 과도한 개인정보 유출


보안에 관심 있는 사람으로 자신의 정보 공개의 범위를 뚜렷이 해 두는 것이 좋습니다. 제가 알고 있는 지인 한 사람은 과거에 공개된 정보로 인하여 많은 곤란한 사항을 경험 한 바가 있기에 지금은 SNS에 대하여 경고의 메세지를 보내고 있습니다. 너무 많은 정보를 노출 한다는 것은 스스로 정보에 대한 노출이기에 자신이 모든 책임을 져야 할 것입니다.

따라서, 개인에 대한 정보공개에 범위를 스스로 규제하고 경계의 선을 넘지 않는 것이 좋습니다.





3. SNS, 지인이기에 더욱 신뢰 하는 함정을 이용한다.


SNS의 첫번째 목적이 친구나 이웃입니다. 자신을 알고 있는 친구나 이웃이 어떤 느낌을 가지고 있고, 어떤 생각 또는 근황은 어떤지를 웹을 통하여 온라인으로 소통하는 것이죠. 또한 그 친구에 친구가 아는 사람이니 서로 그 공간을 통하여 새로운 교류를 하게 하는 맥락도 됩니다.

상황이 이렇다 보니 이러한 SNS 의 특징을 교묘히 이용하는 것이 최근 페이스북 등을 통하여 보여지고 있습니다. 아마도 지인들의 페이스북에 가보면 아래 그림과 같은 모습을 많이 볼 것입니다.

 




퀴즈와 질문을 통하여 상대방에 대한 궁금증을 유발 함으로 인하여 언락 할수 있도록 서비스화 해 놓은 것입니다. 하지만 이러한 서비스에 클릭을 하여 언락을 할려고 보면 제3의 서비스 즉, 서드파티 (Third Party)형태로 제공하는 어플리케이션의 일종으로 자신의 서비스로 연결 하겠는가? 라는 문구를 보여 줍니다.

여기까지 온 일반 이용자는 궁금증에 <예> 또는 <yes>를 클릭하겠지요.  물론 그렇게 되면 퀴즈에 대한 해답이나 물음에 볼수 있으나 대부분 자신의 사이트로 가입을 유도하고 있고, 실제 이렇게 되었을때에 그 사이트에 자신의 개인정보가 넘어갈 경우가 많습니다.

하지만 어떠한 곳에서도 그런 경고 문구는 없으며, 단지 자신의 사이트 서비스에 많은 가입자가 있다는 자랑스러운 숫자만 보여 주는 것이 많습니다.

그나마 다행인 것은 외국 서비스의 경우 국내 서비스처럼 과도한 개인정보를 수집하지 않아 다행이긴 하지만 만약 이러한 것이 스팸이나 다른 사이트에 지인을 통하여 궁금증을 유발 하게끔하면 어쩔수 없이 클릭 할 필요는 없겠습니다.


4. 어떻게 대처 할까?

사실 지인들이 재미 삼아 이런 퀴즈나 이벤트 같은 재밌는 것은 남의 담벼락에 올리는 것이 무엇이 문제겠느냐고 반문하는 사람이 있을지 모르지만 제 개인적인 관점에서는 가능하면 남의 담벼락에 홍보나 마케팅, 그리고 이러한 신빙성 없는 이벤트를 그냥 냅다 던져놓고 사라지는 그리고 당신이 답을 할려면 하고 말려면 말아라 하는 식의 모습은 썩 좋지 않게 보아 집니다.

그래서 저는 저 나름대로 늘 타인의 담벼락에 대하여 올라온 글이 있으면 "좋아요" 버튼과 댓글로써 관심을 표명하고 최대한 그 분에 프로필에 담벼락에 훼손을 주지 않으려고 합니다. 그래야 누군가 방문했을때 주인의 생각과 발자취를 고스란히 볼수 있으니까요.

댓글로도 얼마든지 안부를 전하고 소통할수 있으니 구지 담벼락은 주인의 몫으로 놔두는게 좋지 않을까요?

그래서 필자는 이렇한 성의 없는 홍보나 마케팅 이벤트가 담벼락에 올라 오면 친구나 이웃에게는 미안하지만 그냥 삭제 처리해 버립니다.

왜냐하면 그것의 신빙성을 알지 못하고, 교묘히 그 서비스 사이트로 유도하는 것을 지인을 통하여 이용하려는 목적이 있기 때문에 가입을 하더라도 직접 방문하여 가입하는 것이 올바르다고 보기 때문입니다.

보안은 실천입니다. 이러한 무부분별한 SNS서비스의 신뢰를 기반으로 하여 자신의 PC가 좀비가 되고 SNS의 사생활 노출과 개인정보가 알지 못하는 신뢰하지 못하는 사이트의 서비스로 넘어간다고 해서 그 지인을 욕할 순 없습니다. 스스로의 정보는 스스로가 지키는게 중요한 바로 당신의 몫일 것입니다. @엔시스.

신고
Posted by 엔시스

며칠전 저녁에 KBS2 에서 방송하는 "생생정보통"이라는 프로그램에서 IT관련 주제를 방송하는 것을 우연히 본적이 있었습니다. 국내 대표하는 보안회사 직원들도 대거 나오더군요. 그중에서 아는 사람도 몇명이 있었더랬습니다.

하지만 , 결국 비추어지는 모습은 현재 이공계 기피현상에 따른 IT강국이지만 IT강국에서 자부심이 아니면 할수 없는 안타까운 실상을 보여 주는 프로그램이었습니다. 방송에 출연한 사람들의 늠늠한 모습이 보기 좋았지만 새롭게 빨리빨리 변화하는 기술을 따라 잡기란 그리 쉬운 일이 결코 아니다라는 것을 느꼈습니다.

특히 정보보호 분야에선 꾸준한 자기학습과 노력이 뒷받침이 되어야 합니다.


                             
                                                                                  (source:  여기 )


보안에 대한 두 딜레마

대한민국 IT에서 기술은을 따라가기엔  힘든 여러가지 요소들이 있습니다. 주로 환경적인 요소가 많이 있는데 특히 대한 민국의 경우 나이가 많이들면 관리직으로 빠지는 경우가 있죠. 그것은 자신의 분야에서 조금 전문적인 지식으로 거듭나야 하는데 자연스럽게 관리를 하게 되는 쪽으로 빠지게 됩니다.  그러다  보니 다음과 같은 딜레마에 빠지게 됩니다.
    • 관리자 - 갑에 위치

      • 일반적인 기업에서 관리자 위치나 또는 을에 있다가 갑의 위치로 가서 관리자 역할을 하는것이나 어쨌든 주로 사업관리적인 측면이 강하다 보니 진정한 보안에 대한 이슈나 기술 또는 자신이 원하는 보안에 대한 부분의 지식이나 욕구를 해소시키는 것이라기 보다는 연구 문서정리나 기획등을 하게 되어 혼란을 겪는 분들을 주변에서 몇번 보았습니다. 결국 기술과 멀어지는 것이지요.
    • 기술자 - 엔지니어 위치
      • 자신의 분야에서 오래동안 근무를 하고 또한 보안이라는 분야는 첫 접근 방식이 "기술"에 접근을 먼저 하기 때문에 일정 연령이 되기 전까지는 기술에 의존 할수 밖에 없다. 엔지니어의 최대 강점은 바로 "핵심기술" 이 생명입니다. 따라서 다양한 기술과 개선할수 있는 방식을 연구하다보니 전체적인 틀보다는 편협한 시각을 보는 경우가 많습니다. 생각이 유연하지 못한 경우가 발생이 됩니다.


결국 기술하는 엔지니어나 연구원은 마냥 기술쪽으로만 파고 나가는 것이다 보니 전체적인 틀에서 보안에 대한 통찰력을 갖기 어렵고, 관리자로 전환하여 갑에 위치에 있거나 혹은 자체 PM으로 실무를 멀리하다보면 기술적인 부분이 부족하여 그냥 이론적인 말뿐인 일이 벌어지고 있는 것이죠.. 2개를 믹스하여 복합적인 형태의 보안인재가 필요하고 향후 고민해야 하는 사항이기도 합니다. 전반적인 IT범위도 넓은데 법,제도 운영, 그리고 관리 ,,기술까지 전부 섭렵하고 통찰력을 키우려니 여간 힘든 것은 아니지요.  그 선택은 바로 당신에 몫이기도 합니다.


그나마 현장에 있는 것이 보안을 이해하고 감을 유지하기 좋아

요즘 여러가지 정보보호에 대한 이런 저런 대안들이 제시가 되고 있는데 위에서 언급한 이론+실무를 겸비한 문무를 겸비한 전문인을 찾기 어렵다는 것입니다.  어쩌면 이론을 잘 아시는 분과 실무에 능숙하신 분들이 잘 협조나 공조체계가 이루어지면 좋겠다라는 것이 가장 합리적이지만 쉽지 않는 것이 현실입니다.

나이가 들어도 운영체제 이론부터 , 운영체제설치 그리고 네트워크 , 이론과 실무..그리고 인프라 지식들의 바탕으로 정보보호를 어떻게 하면 잘 도입을 하고 체계적으로 관리 할 수 있는지에 대한 정보보호관리체계까지 현장에서 부딪히면서 이제 막 정보보호에 발을 들여 놓은 후배들에게 많은 사례를 통하여 더 나은 지식을 전파하는 것이 보안생태계(Security ecosystem) 를 조성하는 게 아닌가 하는 생각을 해 보았습니다. 그래서 어쩌면 저도 남는 시간을 대부분 블로그 포스팅 하는데에 할애 하는지도 모르겠습니다. 그것이 꼭 지식이 아니더라도 생각을 공유 할수 있는 공유의 장은 될수 있을테니까요.

늘 현장에서 다양한 보안에 대한 생각과 지식을 나눌수 있고, 대한민국 정보보호 발전에 이바지 하였으면 좋겠다라는 생각을 오늘도 가져 봅니다.  여러분들 제 블로그에 방문하시는 분들 힘들지만 화이팅 하시고 힘내시길 기원해 봅니다..
  @엔시스.

신고
Posted by 엔시스

지경부에서 준비중에 있는 보안관제 전문업체 지정에 관한 공고 자료입니다. 오픈된 자료이니 혹시 못 보신 분들은 참고 하시면 되겠네요...여러 업체에서 준비중에 있는 것으로 알고 있습니다.



신고
Posted by 엔시스




카인과 아벨은  버전 4.9.39

“Cain & Abel is a password recovery tool for Microsoft Operating Systems. It allows easy recovery of various kind of passwords by sniffing the network, cracking encrypted passwords using Dictionary, Brute-Force and Cryptanalysis attacks, recording VoIP conversations, decoding scrambled passwords, recovering wireless network keys, revealing password boxes, uncovering cached passwords and analyzing routing protocols.”




와이어 샤크는  버전 1.4.4


“Wireshark is the world’s most popular network protocol analyzer. It is used for troubleshooting, analysis, development, and education.”


사용하시는 분들은 업데이트 하여 사용하시면 되겠습니다. 특히 와이어샤크의 경우에는 네트워크 패킷분석기로 많이 사용이 되기 때문에 처음 접하시는 분들은 한번쯤 사용해 보는 것도 좋겠습니다. 네트워크 패킷에 대한 여러가지 이론적인 내용과 실제 패킷 캡쳐 분석에도 많은 도움이 됩니다.

신고
Posted by 엔시스

ISMS 인증심사를 통하여 과연 지금까지 ISMS인증심사를 통과 하여 인증서 발행인 된 발행수는 얼마나 될까요? 한국인터넷 진흥원 홈페이지에 확인을 해 보니 지금까지 99개 업체가 인증서를 교부 받았네요.


                                                           <출처: 한국인터넷진흥원 홈페이지>


2002년부터 약 9년동안 99개 업체가 인증서를 교부 받았는데, 무조건적인 인증서 남발 보다는 정말 인증서를 받을 만한 곳에서 받는 것이 당연한 것이라 생각을 한다.

또한 이러한 요인중에 하나가 '정보보호관리체계'에 대한 인식은 하고 있으면서 막상 인증심사를 신청과 인증을 받기까지 여러가지 애로 사항이 있는게 아닌가 생각을 한다.

하지만 위 그림을 보면 알겠지만 연도가 지날수록 인증수는 점점 증가를 하고 있으며, 기존 인증 업체중에서 ISMS에 대한 부정적인 내용 보다는 긍정적인 측면이 더욱 강조가 되어, 다수의 기업체들이 많은 관심을 가지고 준비를 해야 한다. 또한 관련 기관에서도 문턱을 더욱 낮추고 있으며, 인센티브 제도를 늘이고 있기에 조금 더 관심을 가져 볼만하다.

기타 언급하고 싶은 것 중에 하나는 IT관련 인력에 대하여 시간이 지날수록 , 또한 보안에 관심을 가질수록 나이가 들어 가는 것은 어쩔수 없다. 이러한 유용한 인력을 다시 활용 할 수 있는 그 경험과 지식을 재 활용할 수 있는 인력의 활용적인 측면에 있어서도 나이가 든 시니어 급 보안인력들도 ISMS 에 적극 관심을 가지고 한번 연구 해 볼 가치가 있는 분야이기도 하다.

필자는 늘 관리체계를 접하면서 느끼는 생각은 그것이 꼭 '정보보호' '보안'에만 한정되지 않는다는 생각을 한다. 관리체계를 잘 수립하는 사람은 인생에 있어서도 자신의 인생의 관리체계를 잘 수립할 수있다고 생각을 하기 때문이다. 처음에 보안에 대한 영역으로 시작을 하였지만 자신에 인생에 대한 관리체계까지 수립을 할 수 있다면 그 얼마나 멋진 일인가? 세상을 긍정적으로 바라보고 긴 안목에서 다시금 신발끈을 조이는 것은 순전히 자신의 몫임을 기억 해야 할 것인다. @엔시스.


신고
Posted by 엔시스

개인정보에 대한 중요성과 인식을 부각시키기 위하여 자극적인 제목으로 하려다 그냥 일반적으로 만들어 보았습니다. 아직도 자신의 소중한 개인정보가 개인정보가 아닌 공개정보가 된 사실에 분노 하지 않으신가요? 그런 본 보안블로거가 직접 확인해 드리겠습니다. 본 포스팅을 개인정보의 중요성을 전파하기 위한 포스팅입니다.  -편집자 주



1. 들어가는 글

개인정보의 중요성은 누구나 알고 있습니다. 이제는 그 심각성 마져 무뎌 가는게 아닌가 하는 생각이 듭니다. 최근 SNS와 스마트폰이 함께 보급이 되고 기본 앱들이 설치됨으로 인하여 더 많은 사생활 노출과 개인의 프라이버시 노출이 자의와 타의에 의하여 노출 되리라 생각이 됩니다. 필자도 SNS을 사용하고 있지만 늘 염두해 두고 그 경계선을 구분하려고 하지만 보안적인 측면에서는 쉽지 않다라는 생각이 듭니다.  하지만 지금이라도 하나씩 관리 해 나가는 것이 자신의 소중한 개인정보를 잘 관리 하는 길이 아닌가 생각합니다.


2. 내 소중한 개인정보 어디서 유출 되었을까?

우선 개인정보가 도용이나 유출된 경로를 파악 하는 것이 급선무입니다. 자신의 소중한 개인정보가 사이버 어디에선가 둥둥떠다니고 있거나 자신의 의사와 상관없이 가입된 사이트 디비에 저장되어 있을 것입니다. 이러한 사항은 보통 사이트 가입시에 실명 인증하는 경우가 많이 있기 때문에 실명인증이 어디에서 이루어 졌는지를 확인 해 보면 급한대로 개인정보의 도용이나 유출을 추적 할 수 있습니다.


3. 개인정보 월 3회 무료 서비스 - 한국인터넷진흥원에서.

여러분 주민번호이용내역 확인서비스를 무료로 해 주는 곳이 있다는 사실을 아셨나요? 한국인터넷진흥원(kisa) 홈페이지 에서 이용내역을 확인해 볼수 있습니다. 아마도 모르시는 분들이 많을텐데 자신의 소중한 개인정보가 그대로 방치되어 사이버상에서 남에게 사용된다고 생각해 보면 가만히 있을 수는 없겠지요.

우선 어떻게 사용하는지를 보안블로거인 필자가 한번 진행을 해 보았습니다. 별 어려움없이 그대로 따라 하시면 되겠습니다.

1) 우선 http://clean.kisa.or.kr/mainList.do 홈페이지에서 주민번호이용내역확인 서비스를 클릭합니다.
2) 해당 이용서비스 실명인증을 합니다. 이 실명인증도 신용평가회사 어딘가에 로그로 남아지겠지요
3) 그리고 몇가지 옵션에 따라 다시 한번 본인 인증을 합니다.


휴대폰인증을 하였습니다.. 아마도 본인 명의의 휴대본이 있다면 휴대본 인증을 하는것이 가장 손쉬운 방법이 아닌가 생각을 해 봅니다.

4)  3개의 신용평가정보 회사에서 주민번호이용내역확인



3개의 신용평가회사에서 자신의 주민번호이용내역을 검색해서 그 내역을 보여 줍니다. 해당 신용평가사를 클릭하면 세부적인 이용내역을 보여 줍니다.

5) 세부 내역확인



필자의 개인정보도 사이버 어딘가에 떠 다니는 모양입니다. 그것은 아마도 국내 최대 쇼핑몰 개인정보 유출시에 유출되었다는 확인이 있었고, 국내 모 정유사 개인정보유출시에도 아마 유출된 것이 아닌가 생각합니다.

해당 웹사이트에가서 개인정보삭제를 요청하려고 했더니 다행인지 어쩐지 오래된 사이트인지 현재 사이트는 폐쇄된 상태였습니다.

세부내역에는 주민번호이용한 내역중에 [실명인증] 인지 [회원가입]인지를 알려 줍니다. 혹시 자신이 방문하지 않은 의심스러운 웹사이트가 있다면 반드시 확인하여 개인정보 삭제를 요구 하셔야 합니다.

4. 마무리 글

서비스를 사용하기 위하여 가입한 웹사이트, 그러나 웹사이트 관리 소홀과 자신도 모르게 빠져 나가는 개인정보보호. 이제는 더이상 남에 일이 아닐 것입니다. 위 서비스를 이용하여 내가 실명인증 받은 웹사이트 세부 내역이 나오기에 자세히 살펴 보시기 바랍니다. 대부분 게임사이트나 성인사이트가 주류를 이루는 것이 많습니다. 혹은 자신도 모르게 기억조차 나지 않은 곳에 실명인증이나 웹사이트 가입정보가 있다면 사용하지 않은 웹사이트라면 담당자에게 탈퇴요청과 개인정보 삭제 조치를 반드시 하는게 좋습니다. 그 이유는 사용하지 않은 많은 사이트에 개인정보를 그만큼 많이 제공을 한다면 유출될수 있는 경우에 수는 더 많겠지요.

서비스하는 조직과 기업에게 한마디 당부드린다면 "개인정보는 절대 회사의 자산이나 영업력의 규모가 아닙니다. 그만큼 책임도 크다는 사실을 꼭 인지 해야 한다" 는 것입니다. 지금도 정보통신망법에서 개인정보 열람권이나 수정권등이 있지만 개인정보보호법이 통과 되면 "개인정보 자기결정권"이 더욱 강화되기에 지금부터라도 아무렇게나 개인정보를 수집하면 안됩니다. 자신도 개인으로 돌아와서 이용해야할 사이트가 있다라고 한다면 조금 더 고객의 소중한 개인정보를 지킬려는 마인드가 앞서야 할 것입니다. 그렇지 않으면 그 회사와 조직, 미래는 그리 밝다고 할 수 없을 것입니다.   @엔시스.

" 이제 보안(개인정보보호)을 하지 않으면 SNS입소문에 타켓이 될 것입니다"  


신고
Posted by 엔시스


출처: 시만텍

http://www.symantec.com/connect/blogs/turning-good-news-bad-news


최근 트위터 사용자가 많아지면서 트위터에 대한 사용자수가 점점 증가하고 있는데요. 보안에 대한 인식도 점점 증가 하였으면 좋겠습니다. 하지만 아직도 트위터에 대한 사용도 미흡한데 보안까지 신경쓰기엔 갈길이 너무 먼것이 아닌가 하는 생각이 듭니다.  그래서 인식제고 차원에서 트위터에서 자주 사용하는 짧은 URL 가짜에 대한 경고가 있어 같이 공유하고자 합니다.

최근, 시만텍에서 발표한 내용에 따르면 트위터의 가짜 짧은 URL 때문에 악성코드 및 여러가지 웜등에 노출이 될수 있다고 경고 하고 있습니다.

▲ 트위터를 통하여 Stuxnet 을 알리는 가짜 URL들



위 그림에서 보듯이 "Stuxnet" 에 대한 여러가지 바이러스 경고에 대한 이야기를 트위터를 통하여 알리고 있지만 실상은 가짜 URL이 되겠습니다.

따라서, 트위터 사용시에는 짧은 가짜 URL을 잘 판별을 하여야 하는데 트위터 자체 서비스에서는 기술지원센터에서 http://support.twitter.com/entries/109623  http://t.co/ 라는 서비스로 지원을 해 주고 있습니다. 아무튼 이러한 트위터 가짜 짧은 url 관련 문제들은 지속적으로 나타나고 이것은 좀비PC와 악성코드 전파의 경로로 사용 예상이 됩니다.  스마트폰과 결합한 악성코드 전파 경로가 된다면 또 다른 보안위협 요소가 될 가능성이 많습니다.

그럼 어떻게 트위터 가짜 짧은 URL에 대응 하나요?

1. KISA(한국인터넷진흥원)에서 배포하는 웹체크 설치한다.

KISA에서 배포하는 웹체크 를 설치하여 안전한 인터넷 사이트에 접속 할 수 있도록 합니다. 지금 공개용으로 무료로 배포 하고 있으니 꼭 설치하여 신뢰된 사이트에만 접속 하도록 하여야 합니다.

2. 운영체제, 어플리케이션 주기적인 업데이트

운영체제와 어플리케이션의 주기적인 업데이트를 통하여 꼭 최신 운영체제로 유지를 해야 합니다. 악성코드와 웜등은 보통 취약성 부분을 공격하는 것이 대부분이므로 최신으로 유지하는 것이 좀비PC나 웜에 감염되지 않을수 있는 방법입니다.

3. 백신 엔진 최신

우리가 악성코드와 웜을 손으로 막을순 없습니다. 어차피 소프트웨어이고 이제는 백신에 대한 최신 엔진 업데이트 하라는 내용의 대응방법은 너무 진부한 느낌이 들지만 백신엔신을 최신을 유지하는 것 만이 해당 보안위협 요소를 줄이는 방법이 되겠습니다.
 
4. TinyURL .COM 같은 사이트 이용



그림과 같이  위 사이트는 어떠한 짧은 URL이 링크가 되었는지 사전에 보여줌으로 인하여 링크된 곳을 사전에 알수 있도록 서비스 해 주고 있습니다.

이ㄷㅈㅈnyURL.com
마무리글

트위터, 페이스북에 친구신청과 숫자 늘이기에만 열을 올리다보면 꼭 한번쯤 실수를 하거나 이렇게 보안 위협요소로부터 피해를 당할 수 있으니 평소 보안에 대한 관심도 같이 가지면서 사용한다면 훨씬 안전하게 사용할 수 있지 않을까 생각합니다. 트위터 사용자들은 이러한 부분을 각별히 신경써서 유의 하시기 바랍니다. 
@엔시스.


신고
Posted by 엔시스

며칠전 언론에 나왔듯이 중국에서 모바일이 좀비에 감염된 것이 적어도 100만대 이상이 된다는 기사가 나왔다. 이것은 적어도 비용으로 산정을하면 하루에 $300,000 (한화3억6천) 달러 정도 비용이 든다고 한다. 




좀비 바이러스에 감염이 되면 다음과 같은 증상이 있다고 한다.,

The “zombie” virus, hidden in a bogus anti-virus application, can send the phone user’s SIM card information to hackers, who then remotely control the phone to send URL links, usually pay-per-click ads, in text messages to contacts in the user’s address book

쉽게 말해 SIM카드를 통해 원격 컨트롤이 가능하고 광고를 임의 클릭하고 사용자 전화 주소 목록으로 메세지를 보내고 한다는 것이다.


시사점

중국에 인구를 감안하면 미비한 숫자에 불과 하지만 이것은 고스란히 여러가지 경로를 타고 인프라가 잘 갖추어진 국내에서도 얼마든지 감염이 될 수 있다는 사실이다. 특히 스마트폰을 많이 증가가 될 국내에서는 더욱 긴장을 늦추지 말아야 할 것이다.  휴대폰 개통 2명중에 1명이 스마트폰 개통자라고 한다. 이제 테블릿 PC까지 가세를 하였으니, 보안에 위협요소는 더욱 많이 나타날 것이다. 우린 최신 정보를 접하고 보안의식을 높이는 수 밖에는 없다. 그래서 늘 관심을 가지고 지켜보는 자신의 노력이 필요한 것이다. @엔시스.


신고
Posted by 엔시스




아침부터 날라온 대출관련 홍보성 스팸 메일 한통.

며칠전부터 관련 은행에서 대출관련 홍보성 메일을 집중적으로 보내고 있었습니다. 처음엔 그져 한통의 홍보성 광고 메일이겠거니 했는데 이건 무슨, 팩스로도 들어오고 이메일을 단체로 긁어서 집중적으로 홍보를 하게 되는데요. 이러한 부분에 있어서  실제 마케팅이나 홍보 담당자들도 알면서 묵시적으로 이루어지는 경우가 많이 있습니다.

따라서, 해당 담당자에게 관련 법률적 조항이나 현재 개인정보 수집에 있어 동의 부분을 이야기 하였더니 수긍을 하면서 미안한 감을 이야기 하도 다시 보내지 않도록 조치 하겠다는 약속을 하였습니다.

위 사례와 같이 많은 부분들이 우리가 묵시적으로 간과 하고 지나가는 경우가 있지만, 조금 더 적극적인 자세로 자신의 개인정보의 주체로서 자기결정권과 정보주체의 권리를 내 세울수 있다면 스팸은 줄어 들지 않을까 하는 생각이 듭니다.  해당 담당자분도 알려 주어서 감사하는 이야기를 하더군요.  @엔시스.

신고
Posted by 엔시스

지방에 보안에 관련 세미나나 교육이 그다지 많지 않은데 이번에 부산에서 '개인정보보호법에 대한 권역별 순회 교육'이 부산 국제신문 4층 중강당에서 개최가 되었다.

지방에서 교육이라 주최측에서는 인원이 적을까 많은 고민을 했다는 후문이 있었지만 그것은 기우에 지났고 무려 180여분정도 참석을 하여 교육장에 추가로 자리를 배치하는 등 '개인정보보호'에 뜨거운 관심이 있는 것을 알수 있었다.



행사의 진행은 첫번째 교육으로 포털 다음에 이진화 차장이 개인정보보호에 대한 전반적인 사항을 아주 유익하게 교육을 진행 하였다. 특히 개인정보 라이프 사이클 부분에서는 개인의 경험을 살려 교육이 지루하지 않게 이끌어 주었고, 교육생 반응을 살피면서 이끌어 가는 모습도 보기 좋았다.

행사가 끝나자 여러가지 질문들이 오고 갔는데 실제 실무에서 질문 할수 있는 질문들이어서 다른 사람들에게도 많은 도움이 되는 시간이 되었다,

이에 행사를 진행하는 한국인터넷진흥원 김민섭책임은 "너무 많이 와 주셔서 감사하고, 앞으로 더 많이 준비하고 노력하여 개인정보보호법 인식제고에 최선을 다하겠다"는 감사의 말씀과 질문답변을 성실히 해 주는 모습도 있어 더 많은 개인정보보호에 대한 뜨거운 관심을 보게 되었다.

오늘은 이제 제주 지역을 순회교육을 하게 되는데 아직까지 공포가 되지 않은 개인정보보호법에 대하여 일찍이 많은 분들이 관심을 가지고 있고, 또한 준비를 해야하는 입장에서는 부담으로 작용할 순 있지만 이러한 교육을 통하여 법률이 규제라는 측면 보다는 어떠한 배경으로 제정이 되었고, 향후 어떻게 대응을 하며, 지금까지 진행 상황을 이야기 함으로 인하여 지방에서 교육에 기회가 없었던 분들은 아주 유익한 자리가 아니었는가 하는 생각을 가져본다.

실제 지방에서 있는 교육이라 관련 IT관련언론이나 하다 못해 지방언론 조차도 이런 중요한 보안교육에 대하여 취재조차 하지 않는 것은 정말 아쉬운 것중에 하나이다. 아마도 추후 주최측에서 보낸 보도자료를 통하여 접할수 있는 것은 진정한 소식이 아닌듯 하다. 현장을 직접 방문하여 그 분위기와 보도자료는 차원이 다른 것이다.  이러한 것을 해당 분야 전문블로거를 통하여 소식을 듣고 그나마 분위기를 느낄수 있는 것이 바로 블로그의 매력이 아닌가 생각을 해 본다.

앞으로 발빠른 취재와 아주 따끈따끈한 소식은 언론보다 트위터 , 페이스북, 블로거들이 더욱 빠르게 전달하고 진화 할것으로 생각을 한다.  -부산에서 보안블로거 엔시스



신고
Posted by 엔시스



* 본 포스팅은 2010.09.30 12시55분에 최종업데이트 되었습니다.

 '개인정보보호법' 통과의 의미와 향후 방향 '


이제 무분별한 개인정보보호 수집에 제동이 걸렸다. 오늘 국회 행안위 법안심사소위원회에서 전격 통과가 되었기 때문이다.
 
이날 소위 논의 결과, 개인정보보호위원회는 대통령 소속의 상설기구로 신설하고 심의와 의결기능에 이어 일부 집행기능까지 확보하게 됐다. 위원회 업무지원을 위한 사무국도 설치한다.

당초 집행기능을 행정안전부가 갖도록 했던 것에서 위원회가 자료제출권과 연차보고서 작성, 그리고 부처·지자체·헌법기관을 대상으로 한 시정조치 권고 기능을 맡도록 함으로써 권한이 한층 강화됐다는 평가다. 위원회 위원은 대통령과 국회, 법원이 각 5인씩 추천하게 된다.

막판까지 정부와 야당 간에 대립했던 상임위원은 정무직 1명만 두는 것으로 결정됐다.  

출처: http://www.ddaily.co.kr/news/news_view.php?uid=68634


지난 2008년 모 정유사 개인정보유출 사건시에도 처벌할 근거가 없어 불기소 처분하고 부랴부랴 준용사업자 14개 사업자를 추가 지정하고 지난 2009년 7월에 그 법적 효력이 발생이 되었다.

관련 포스팅

2009/04/20 - [Privacy Security] - 우리동네에서 사업하는 삼촌, 개인정보보호 소홀로 처벌받을수 있어


하지만 그 이후에도 크고 작은 개인정보 유출에 대한 많은 사건들이 이슈화가 되었고, 그때마다 법에 사각지대에 놓이게 되었다. 그렇게 발의된 '개인정보보호법'은 17대 국회에서 통과가 되지 못하고 18대 국회에서 기대를 했으나 여러가지 현안과 정치적 사안으로 인하여 역시 우선순위에 밀리게 되었다.

그렇게 2010년 4월 국회, 6월 국회에서 논의가 되었으나 법안쟁점이 있어 통과가 되지 못하다가 9월 국회에서 전격 통과가 되었다.



그럼 우린 '개인정보보호법'제정 통과를 어떻게 받아 들여야 하나?

지금까지 과도한 개인정보수집으로 인하여 여러가지 사건과 말들이 많았다. 하지만 조금 더 살펴 본다면 이제는 다양한 채널과 유통으로 인하여 자신의 개인정보보호는 더 보호 받아야 하는 기로에 서있다. 또한 '개인정보자기결정권' 이 헌법재판소에서 합헌을 받은 판례가 있는 만큼 자신의 개인정보에 대한 권리를 주장 할수 있는 법적 근거가 더 확실하게 마련이 되었다..그런 의미로 보았을때 조직이나 단체에 있을때에는 소속으로 서비스하지만 각자 가정으로 돌아 오면 각자 '개인의 삶'으로 돌아가기에 개인에 대한 보호도 받아야 하는 긍정적인 측면으로 받아들이는게 좋겠다. 그리고 보다 많은 법의 사각지대가 사라진다고 보아야겠다.



개인정보보호법에 제정이 되면 무엇이 바뀌나..






관련 포스팅

2010/04/11 - [Privacy Security] - [개인정보보호법] 제정으로 현재와 달라지는 점

위 포스팅을 참고 하시고, 어떠한 방향으로 제정이 될지 모르겠지만 이미 지난 2008년 2008년 이혜훈(8월), 변재일의원(10월)과 정부(11월)안을 절충하여 제정이 되지 않을까 생각하지만 그 틀은 크게 바뀌지 않을 것으로 전망을 한다.

그리고 무엇보다 가장 큰 변화는 민간과 공공, 그리고 각 개별법으로 나누어져 있는 법이 통합법인 '개인정보보호법'으로 통합이 된다는 것이다.

따라서, 각 조직에있는 개인정보보호 담당자, 개인정보보호 취급자, 개인정보보호 관리자등은 개인정보보호에 대한 더 많은 업무와 해야 할 일들이 생겨 난 것이다.

그것은 온라인과 오프라인을 모두 망라하여 이루어지는 것이고, 특히 보안에 대하여 잘 알지 못하는 담당자들에 대한 부담은 가중 될것으로 판단이 된다.


앞으로 해결해야 하는것은?


각각의 흩어져있는 개별법을 통합법으로 만드는 것과 '개인정보보호 사각지대'가 사라지는 것에 대한 긍정적인 측면이 있는 반면에 이제 각 조직과 온라인 사업을 하는 개인정보를 수집하는 업체와 기관에서는 상당히 신경을 많이 써야 하는 부분이 발생한다.

이러한 부분을 해소하기 위해서는 다양한 방법으로 여러가지 법과 제도를 운영함에 있어서 불편함이 없도록 해야 할것이다. 필자가 생각하는 것은 다음과 같다.


1) 보안업계

  • 개인정보보호에 대한 테스크 포스를 구성해서 전문 역량을 강화한다.
  • 개인정보보호에 대한 컨설팅 사업을 강화 한다.
  • 기술적,관리적 보안조치로 인한 솔루션 판매 전략을 수립한다.
  • 개인정보보호솔수션에 대한 마케팅, 홍보를 하고 확대 보급한다.
  • 개인정보보호관련 인재 양성 및 인력을 확보한다.
  • 개인정보보호 컨설팅 인력은 개인정보관련 법과제도 운영에 대한 지식을 습득한다.
  • 개인정보보호에 대한 잘 구축된 사례를 발굴 벤치 마킹하여 컨설팅을 한다.
  • 자사만의 개인정보보호 컨설팅 방법론을 마련한다.

 

2) 개인정보보호 관련 기관과 주무부서

  • 개인정보보호에 대한 규제보다는 교육을 통한 개인정보보호의 중요성 확산
  • 이에 따른 주기적인 교육 (지역별 , 산업별, 대중소규모별)
  • 온라인을 통한 각종 개인정보보호 동영상 홍보 활용
  • 개인정보보호 우수 기업이나 사이트에 대해서는 그에 따른 인센티브 적용
  • 개인정보보호관리체계(PIMS) 활용과 확산 및 교육
  • 규제적인 성격보다는 필요성을 위한 교육, 베스트프랙티스 및 사례 발굴
  • 각종 컨퍼런스와 세미나 활발하게 열어 저변과 인식의 확대
  • 서울수도권 중심의 교육및 확산이 아닌 전국중심 개인정보보호 교육 확대
  • 개인정보보호 캠페인
  • 개인정보보호 홍보대사 위촉
  • 각종 커뮤니티등을 활용한 개인정보보호의 중요성 전파
  • 개인정보보호 우수사이트 인증 마크 부여
  • 개인정보보호관리사 자격증 확대 보급 및 인센티브 부여 (전국시험 준비)
  • 각 개인정보 담당자, 취급자,책임자,관리자의 개인정보보호에 대한 대응방안모색

3) 개인정보보호 취급자, 담당자, 관리자, 책임자

  • 개인정보보호에 대한 법과 제도 운영을 이해를 한다.
  • 관련 교육이 있으면 우선적으로 교육을 받는다.
  • 기존 정보통신 이용촉친및 정보보호등에 관한 법률과 공공기관 개인정보보호에 관한 법률을 살펴 본다
  • 기술적,관리적 보호조치에 대한 이해를 한다.
  • 동종업계 개인정보보호 우수사례를 벤치마킹하고 우리 조직에 맞는 방법론을 찾아 본다.
  • 개인정보보호 전문업체 컨설팅을 받는다.




맺음말

소중한 자신에 대한 개인정보를 수집하여 거래가 이루어지고 남에게 돈으로 매매가 되는 것은 정말 안타까운일이다. 법과제도는 규제라는 것으로 접근 하기보다는 조금은 고객의 정보를 소중히 하고 조직과 기업은 그것은 고객의 신뢰로 연결하는 비지니스적 마인드가 필요하다. 필자는 늘 보안에 대한 중요성을 일깨우고 미흡한 힘이지만 블로그,카페,트위터를 통하여 전파를 하고 있다. 그런데도 아직도 보안을 비용으로만 생각하고 기업의 경쟁력이나 고객의 신뢰로 생각하지 않는 경우를 많이 봐 왔다. 좋은 서비스가 있으면 늘 그렇듯이 사람에 관심을 받고 그것이 돈이 된다고 하면 너도 나도 무리하게 참여를 하게 된다. 그러다 보면 좋은 서비스도 역기능이 발생하고 결국 그것은 개인이나 조직의 또다른 보안위협으로 다가온다.

결국은 보안을 얼마나 잘 하는가 하지 못하는가가 기업의 성패를 좌우한다는 것을 미리 깨닭는 개인과 기업이 성공한다는 사실을 꼭 기억하길 바란다.  @엔시스.

* 내용추가로 인한 부득이 재발행을 해 봅니다. 양해바랍니다.

신고
Posted by 엔시스

블로터닷넷에 올라온 http://www.bloter.net/archives/39443  글을 읽고 몇가지 생각을 적어 보겠습니다. 최근 트렌드는 이젠 무한자원을 구매하는 것이 아닌 비용절감 차원에서 사용한만큼 비용을 지불하자. 결국 쓴만큼 돈을 내자라는 클라우드 컴퓨팅에 관심을 가지시는 분들이 많이 있습니다.

클라우드컴퓨팅

참 뜬 구름 잡는 이야기처럼 들리고 실제 실무에 있는 사람들에게 이걸 어떻게 받아 들여야 하는가라는 고민을하게 하는 주제 이기도 합니다. 언론에서 또는 매체에서 너도나도 클라우드라고 외치니 이름은 알겠는데 구체적으로 와 닿지 않는 것이죠..






그런데 어차피 기술에 발전은 진화하게 마련이고 기존에 부족한 부분은 대체가 되어 발전되어 가고, 또한 이러한 관점에서 해당 벤더들은 마케팅을 시작하게 될 것입니다. 결국 위 링크 포스팅한 내용에서도 나타나듯이 IT담당자는 흐름을 빨리 파악하고 분위기를 캐취 하는 것이 무엇보다 중요하고 그리고 많은 공부를 해야 합니다.


퍼블릭 클라우드냐?  프라이빗 클라우드냐?

우선 국내 시장상황으로 보았을때 필자 개인적인 생각은 아무래도 퍼블릭 보다는 프라이빗 쪽으로 먼저 시장이 형성이 될듯 합니다.

그중에서 가장 핵심적인 사항은 바로 '보안' 때문이겠지요. 자신의 비밀스러운 자산이나 자료를 외부의 저장장치에 올려 놓은다는 것이 그리 쉽게 받아 들여지지는 않을테니까 말이죠. 결국 자신들이 관리하고 스스로 내부 조직이 관리하는 프라이빗 클라우드쪽으로 먼저 시작을 하려는 경향이 있습니다.

그렇다고 보아진다면 우선 시장에 움직임중에서 어디에서 먼저 움직이는지 우리 조직에서 프라이빗 클라우드는 어떻게 도입을 해야 하는지..누구 한테 조언을 받아 보아야 하는지..기술적, 외부적 위협요소는 없는지..다양한 공부를 해야 하는데 쉽지 만은 않겠지요. 하지만 누구보다 앞서 나가려면 부단한 노력은 해야겠습니다.

IT블로거, 기술의 노하우와 경험 공개냐 자신의 노하우를 머리속에만 간직 할 것인가?

필자의 경우는 보안에 대한 경험과 지식을 본 블로그를 통하여 지금 5년째 해당 주제를 가지고 쓰고 있는데, 지식은 공유되어야 하는게 맞다라고 생각합니다. 그런 의미에서 본다면 블로그는 자신의 글쓰기의 아주 좋은 도구죠. 생각을 정리해 볼수 있는 도구이기도 하고, 좋은 글은 남에게 많은 도움을 주어 또 다른 지식의 장으로 남아 있기도 합니다. 물론 때론 조금 부족한 지식은 댓글을 통하여 그 부족분을 채우기도 하니까요.

머리속에 가지고만 있는 지식은 어쩌면 스스로의 필살기처럼 보이지만 다양성이 없을수도 있습니다. 자신의 생각만 옳다고 바라보는 측면이 강하죠. 특히 IT엔지니어 들에게는 더 그렇게 느껴지는 부분들이 많습니다. 오히려 머리속에 있는지식과 좋은 자료가 자신의 PC에서 저장되어 시간이 흐르게 되면 그냥 PC에 그대로 묻혀지는것처럼 아무 쓸모가 없게 될수도 있습니다.

이런 소중한 정보는 자신의 블로그등을 통하여 함께 공유하고 그 자료를 필요로 하시는 분들에게 도움이 된다면 더 의미가 있고 가치가 있는 것이겠지요.


맺음말

결론은 오픈된 마인드와 큰 안목과 시선을 가지고 최신 기술에 흐름과 트렌드를 놓치려고 하지 말고 각종 세미나나 외부교육 그리고 블로그 또는 다양한 매체를 통하여 열심히 귀를 열어 놓은 자세가 중요하겠습니다. 물론 여러가지 외부환경과 내부 환경이 있지만 그것은 결국 자신을 합리화 시키는 부분이고 스스로에게 도움이 되지 않는다는 것은 자기자신이 제일 잘 알게 됩니다.

앞으로 서비스로서의 '클라우딩컴퓨팅'은 향후 하나의 축으로 자리 매김 할 것이라는 것에는 의문이 없습니다. 그리고 그에 따른 보안적인 문제도 많은 대두가 될텐데..우린 이러한 기술 하나하나를 빨리 접하고 익히면서 적응 해 나가고 변화해 나가는 자세가 무엇보다 중요합니다. 그것이 어쩌면 생존 방법인지도 모르겠습니다.  @엔시스.

신고
Posted by 엔시스

보통 중요한 문서는 USB에 저장하여 이동하기 편하게 관리를 많이 하고 있습니다. 그럴경우 자신의 PC에서만 사용하면 괜찮은데 바이러스나 악성코드가 감염이 되었을때 꽂았다가 다시 자신의 PC로 가져 왔을때가 문제입니다.

[##_'1C|cfile25.uf@180614234C881A90259F3D.jpg|width="562"_##] USB 자동실행후 바이러스 감염 체크 여부'>

보통 이런 경우 바이러스 백신 최신 프로그램으로 [실시간 감시] 체크를 해 놓지 않는다면 또 다시 자신의 PC가 취약점이 있다면 악성코드나 바이러스에 감염이 되겠지요.

실제 위에 사례는 제가 가지고 있던 usb 이동형 저장 장치에 파일을 넣어서 외부 PC에 몇번 노출 시킨 적이 있었습니다. 그런데 어느날 갑자기 사용하려고 하니 바이러스에 감염이 되어 있는 것입니다.

자신의 PC를 잘 관리 하는 것은 다른 사람들에게도 피해를 주지 않는다는 관점으로 접근을 해야 하겠습니다. 그런 마인드가 없다면 언제 어떻게 또 다른 위협으로 다가 올지 모릅니다. 따라서 USB 사용하시는 분들은 반드시 백신 점검은 필수로 해 보시길 권해 드립니다.

특히 다음과 같은 시설에서는 USB보다는 사용할 파일을 담당자에게 메일로 직접 보내서 PC에서 사용할 수있도록 하는 것이 바람직 하겠습니다.

  • 공용PC - 프리젠테이션용이나 관리자가 없이 돌아가면서 사용하는 PC
  • PC방 - PC방에서 가급적 USB나 로그인은 하지 않는게 좋겠습니다. 요즘은 스마트폰으로 처리 될듯

백신은 늘 최신 엔진으로 업데이트 시켜놓고 특정시간에 자동 점검 할수 있도록 하여 수시로 점검 하는 보안에 생활화 하는 마인드가 필요합니다.



신고
Posted by 엔시스

이미 국가공인 정보보호전문가 자격증 (SIS) 자격증이 국가 기술자격증으로 승격이 승인이 되었고, '한국 산업인력관리공단'에서 연구용역제안요청서가 나라장터에 올라 왔습니다.

용역과제 내용은

   - [ 정보보안 기사]
   - [ 정보보안 산업기사] 등 2종목 국가기술자격증 종목 개발





이미 <<정보보호>>에 어느정도 관심을 가지고 있었던 분들은  알고 있었던 사항이고 이는 정보보호 관련 커뮤니티등에서 많은 내용으로 거론이 되었던 사항입니다.

한가지 위 내용에서 특이한 점은 용어의 선택입니다. [정보보호] 가 아닌 [정보보안] 이라는 용어를 선택 했다는 것입니다. 그것은 아마도 '정보보호' 보다 더 광범위한 부분을 커버 하기 위한  정보를 보호 하기 위한 용어 선택으로 풀이가 됩니다.

개인적으로는 [정보보안] 보다는 [정보보호기사]가 조금은 더 전문적이고, 보안 인식제고에 맞는 용어라 생각이 듭니다.

아무튼, 용역제안요청서가 올라온 만큼 , 그동안 국내 정보보호 인력과 민간자격증으로서 신뢰성 문제가 조금 더 탄력을 받지 않을까 생각을 합니다. 이러한 부분에 있어 개인적인 생각 몇가지를 적어 보고자 합니다.


    • 기존에 SIS 관련 애로사항 및 문제점
      • 난이도 문제 , 너무 어려웠다.
      • 홍보 및 인센티브 문제 - 소극적인 홍보문제, 인센티브는 있었으나 홍보부족으로 그 효과 감소
      • 공공기관,기업체 인식부족 - 필기, 실기를 아우르는 좋은 시험이었으나 기관과 기업에서 외면
      • 외국자격증에 비해 선호도 떨어짐.
      • 합격자수 저조 - 1급 2급 합쳐 250명 정도

     

    • 국가기술자격증 [정보보안 기사] 국가기술 자격증 종목 개발시 이점
      • 국가 기술자격증이라는 신뢰도 향상 - 민간에서 국가기관에서  관리
      • 국가기술자격증으로서 인센티브 확대 - 보안의 중요성과 산업전반에 걸친 정보보호 인식제고
      • 난이도 조절 - 기술사와 기사의 중간정도 난이도 조정하면 좋을듯
      • 보안기술의 변화 감안하여 시험 횟수는 3회 정도가 적당
      • 국내 환경에 맞는 정보보호 지식 테스트 - 글로벌과 현지화 적절한 시험문제 내용
      • 합격자수 절대평가보다는 상대적 평가로 일정 % 합격 배출로 찍어내기식 자격증으로 전락 방지등




여러가지 개인적인 아이디어나 의견이 있지만 이 정도 수준에서 언급을 마치고자 합니다. 아무튼 국가기관에서 정보보호의 지식을 테스트 할수 있는 객관적인 시험이 되어야 하고, 붕어빵 찍어내듯이 너도 나도 전문가라고 하기 보다는 실제 자격기준에서 엄격함을 주고 [정보보안 전문가]로서 자긍심과 그 분야에서 전문가로 활동 할수 있는 기회와 기반을 제공해 주는 것이 국가가 해야 할 일이라 생각을 합니다.

이번 연구용역을 통하여 그동안 민간에만 머물러 있던 전문가에 대한 정보보호 지식 검정 테스트가 국가기관으로 넘어 감으로 인하여 체계적이고 또한 국가기관에 올바르고 실력있는 정보보안 전문가들이 각 부처 및 지차체 공공기관에도 배치가 되어 한단계 정보보호를 업그레이드 시키는 계기가 되었으면 하는 바램을 가져 봅니다.

그것은 제가 늘상 외치는 전국민 보안업그레이드와 일맥 상통하며 , 전국민 보안인식제고를 한단계 끌어 올릴수 있는 기회가 되었으면 하는 생각을 해 봅니다.  @엔시스.


* RFP 첨부 합니다.



 

신고
Posted by 엔시스

주말에는 주로 주중에 밀린 작업을 하고 있다. 그중에 하나가 바로 책읽기인데 올해 한주에 책 1권씩 목표로 삼고 1년에 50권을 목표로 삼았는데 절반 밖에 하지 못했다. 아무튼, 아직도 남은 기간이 있으니 목표에 다가갈수 있도록 틈틈히 책을 읽어 보도록 해야 겠다.

오늘 책은 [윈도우7 무작정 따라하기] 따라잡기 ㅎㅎ 내 블로그 제목도 따라잡기가 들어가다보니 왠지 어색하지 않다. 이는 활용서로 윈도우7 사용하시는 분들은 많은 도움이 될 듯 하다.



정말 윈도우 7을 무작정 따라하면 되는 그런 책이다. 사실 이러한 활용서는 처음부터 끝까지 따라 하는 사람은 잘 없다. 책 꽂이에 잘 꽂아 놓고 궁금증이 생길때마다 펼쳐 보고 찾아 보는 것이다.

[길벗]은 따라하기 시리즈로 잘 나가는 출판사로 기존에 XP에서 윈도우즈 7으로 업그레이드 하려는 분들은 차근차근 따라해 보면서 사용해 보면 좋겠다.

저자중에 한명은 [아크몬드] 라는 닉네임을 사용하고 있는 블로거인데 어린나이때부터 윈도우에 대한 전문적인 지식을 가지고 블로그를 운영하고 있어 받은 사람들에 구독하고 있는 블로거 중에 한명이다.



책을 따라하기 쉽게 편집을 해 놓아서 쉽게 하나 하나 짚어 갈수 있었다. 책 처음부터 끝까지 전부 실습을  해 본것은 아니지만 필요한 부분은 찾아가면서 숨어있는 기능을 찾아 사용하고 있다.

특히, 어떤 책을 편집을 너무 요란하게 하거나 아니면 캡쳐 화면이 너무 크게 만들어 책 분량만 많은 경우가 있는데 이 책은 편집을 깔끔하게 처리 한듯 하다.

이제 IT관련 일을 하지 않더라도 운영체제 하나와 워드 하나 그리고 스마트폰 하나는 능수능란하게 다룰수 있는 것이 자신의 경쟁력을 높이는 길이다. 처음 시작 하는 분들은 하나하나 따라하면서 실습을 해 보고, 조금 아시는 분들은 책꽂이에 꽂아 놓고 필요하거나 궁금할때마다 찾아 볼수 있는 책으로 권하고 싶다.

기본적인 운영체제 보안에 대한 내용은 있지만 조금 더 활용적인 부분이 더 언급이 되었더라면 좋지 않았을까 하는 생각을 했다.  @엔시스.




신고
Posted by 엔시스

안녕하세요. 엔시스입니다. 요즘 최고의 시청률을 올리고 있는 "김탁구" (저는 잘 안봅니다만)가 수.목 드라마로 방영이 되고 있는 듯 합니다.  그시간에  엔시스는 [개인정보보호 온라인 총정리] 강좌를 진행 하려고 하고 있습니다. 아프리카 인터넷 방송을 통하여 진행 하려고 하고 있습니다.


일시: 2010.08.26 목요일 오후 10시
장소: 자신의 집이나 사무실, 편안한곳
어디에서:   http://tv.boanin.com 에서 준비하고 있습니다.
 
방송할 내용은 다음과 같습니다.


-. 개인정보보 총정리

            -. 국내,국외 개인정보보호법 현황
            -. 개인정보 라이프 사이클 관리
            -. 이용자 권리
            -. 개인정보보호의 기술적,관리적 보호조치
            -. 개인정보보호관리체계
            -. 기타 공공기관의 개인정보보호에 관한 법률 분석
            -. 정보통신이용촉진및 정보보호등에 관한법률 분석 (개인정보보호만)
            -.기타 문제풀이 및 향후 전망







개인인터넷 방송에 눈을 돌린 이유는 바로 <시간과 장소>에 구애 받지 않는다는 것입니다. 우린 화려한 것 외형의 것을 추구하는 바가 있지만 실제는 "보안"이라는 테마로 한번 엔터테인먼트나 게임,스포츠,음악에서 차별화를 가져 보자는 것이었습니다.

그래서

"보안같지 않은 보안이야기 -보보톡" 이라는 방송명을 만들었고, 지난 3월28일 첫 방송후에 꾸준히 방송을 진행 해오고 6월달에  "보보톡 시즌1" 을 마치고 잠시 휴식기를 거친후 이제 "보보톡 시즌2" 에 돌입하려고 합니다.


그 첫번째 컨셉은 바로  " 편안함" 입니다.

양방향 채널을 통하여 서로 인터렉티브 하게 개인인터넷 방송을 통하여 편안하게 자신의 집에서 "애청자도 편안하게" " 방송하는 사람도 편안하게"  이제는 강의하러 먼곳으로 가지 않아도, 강의 받으러 늦은 시간까지 앉아 있지 않아도 편안하게 보고 들을수 있는 개인인터넷 방송을 통하여 접할수 있다는 것입니다.

가장 핵심은 아마도 방송 퀄리티일 것입니다.  외형에 치중하는 것보다 보다 저렴하고 편안하고 그리고 퀄리티가 높은 지식을 함께 공유하는 채널을 지향 할 것입니다.  그리고  퀄리티는 여러가지 시행착오를 거치면서 올라갈 것으로 생각을 합니다.

특히  개인정보보호에 대해서는 2009년 7월에 정보통신망법에 준용사업자가 22개로 늘어나면서 개인정보 노.유출시에는 법적 처벌을 받을수 있는 법적 근거가 마련이 되었다는 것입니다. 하지만 아직도 준용사업하시는 분들은 법에 대하여 관심 분야가 아니기에 알지 못하고 있습니다. 그것은 지난해 많은 분들을 만나서 알고 있기 때문입니다.

이제는 잘 몰라서, 잘 알지못해서 그랬다는 말은 통하지 않게 되었습니다. 또한 "개인정보보호관리사" 시험을 준비하고 있는 분들도 한번쯤 들어 두시면 좋을 듯 합니다. 추후 호응이 좋으면 조금 더 액티브하게 준비하여 이벤트 형식으로 찾아 뵐수도 있겠네요.

아무튼,  저도 첫 시도하는 것이라 어떨지 모르겠습니다.  관심 있는 분들은 http://cafe.naver.com/nsis/44561 에 절차에 따라 신청해 주시면 되겠습니다.   몇분이 신청을 해 주셨습니다. 감사합니다.  @엔시스.

신고
Posted by 엔시스