수달정보보호

물리적 취약점 분석·평가 가이드라인을 개선할 수 있을까

오늘 가산에 위치한 모 기업의 IDC 방문을 끝으로 물리적 취약점 평가를 위한 현장 실사 여정을 마쳤다. 컨설팅 사업도 점점 종료보고가 보이기 시작하고, 산출물도 대부분 모양새를 갖춘 상황이다.  이번 사업을 진행하며 참 운이 좋게도 여러 곳의 시설을 경험할 수 있었는데, 오늘까지 경험을 하며 들었던 소감은, 역시나 국내에서 시행하는 각종 물리적 취약점 평가 가이드라인이 너무 빈약하다는 점이다. 이해가 가지 않는 것은 아니다. 정말 현대를 제대로 반영하는 물리적 보안을 달성하기 위해서는 큰 금액이 요구되기 때문이다. 사실 물리적 취약점은 '당연히 100점을 맞아야 한다'는 것만 없어도 개정하기 수월하겠으나, 저런 개념 자체가 이미 깊숙하게 자리잡고 있기 때문에 개정이 어려운 것으로 보인다. 이는 주정통이..

이번 컨설팅에서 참 다양하고, 그래서 좋은 경험을 하고 있다. 그런데 그중에서도 물리적 취약점 점검을 위한 현장실사를 하는 것은 참 내게 많은 경험치를 안기는 느낌이다. 사실 나는 내가 다니는 회사의 전산실 등 통제구역을 구경한 적도 없다. 그저 전문서비스 기업 심사를 대비해 취약점 분석실만 몇 번 들락날락거렸을 뿐이다. 그런데 여기에 들어와서는 각종 다단계 보호구역을 입성하는 호사를 누리고 있다. 우선, 이곳은 기관이 2개로 나눠져 있다. A가 대부분의 시스템의 물리적 보안을 담당하고, B가 소수를 담당하고 있다. 그리고 정말 이곳의 현장실사만으로도 참 인상 깊었다. 감시통제, 접근통제, 환경통제, 전력보호 부분에서 '이렇게만 하면 물리적 보안과 관련하여 문제가 발생할 가능성은 줄어들겠다' 싶은 생각이..

카카오톡 채용방, 개보방, 정보보안방은 보통 주말엔 조용하다. 평일에 업무로부터 일탈하기 위해 화두를 꺼내거나, 업무 중 이슈가 생겨 해결하기 위해 글을 올리는 이가 많기 때문일 것이다.그런 방이 주말에 시끄럽다면 보통 이유는 자격증 이슈다. 지난주에는 PIA 때문에 주말에 메세지가 많이 쌓였다면, 오늘은 보안기사인 것으로 보인다.그리고 사실 나는 자격증을 따는 것을 좋아한다. 내 삶의 동기부여가 되는 것 중 하나가 성취감이고, 그것의 가장 쉬운 수단이 자격증이기 때문이다. 그리고 그것은 아마 고시 때의, 아팠을 때의 기억 때문에 더 그런듯 하다. 연말이 되면 늘상 그간의 1년을 돌아보는 시간을 갖게 되는데, 뭔가 이룬 게 없으면 씁쓸하기 때문이다. 그래도 다행인 것은 취미와 연계되는 자격도 내가 성취로..

내 하루의 루틴 중 하나는 출근길에 알림설정한 보안뉴스와 카카오톡 오픈채팅방인 보안담당자방을 슥슥 보는 것이다.실없는 말도 보이긴 하지만, 그곳에선 담당자들이 머리를 싸매고 서로 정답이 무엇인지 토론하는 것을 아주 쉽게 볼 수 있다. 보통 조직 내 보안담당자는 그 수가 적기에 그렇게 서로 물어보고 정답이 무엇인지 고민하는 문화가 자리잡은듯 하다.그런 곳에서 글을 읽다 보면 담당자로서 내가 나중에 어떻게 업무를 처리해야 할지 아이디어를 얻기도 한다.내가 지금 수행하고 있는 보안 컨설턴트와 보안담당자는 당장 생각나는 것만 하더라도 차이가 많다.1. 컨설턴트는 다양한 업무를 경험하지만, 담당자는 보통 정해진 틀 안에서 업무를 경험한다.2. 컨설턴트는 업무의 연속성이 없이 이곳저곳 옮겨 다니지만, 담당자는 계속..

요즘 회사가 클라우드서비스 보안인증(CSAP) 인증과 관련된 사업에도 발을 뻗고 있다. 그래서 나는 최근 CSAP 인증에 관한 강의를 신청하여 수강했다.CSAP도 KISA에서 주관하는 인증이다 보니, 기본적으로 ISMS와 비슷하다는 느낌을 강하게 받는다. 물론 세부항목 면에서 다른 건 당연하지만, 인증심사 자체에서 느낀 차이점에 대해 열거해 보고자 한다.① ISMS가 통제항목을 기준으로 하는 것과 달리, CSAP는 더 깊게 들어가 해설 영역까지를 기준으로 한다.② ISMS는 모든 항목을 확인하기 보다는 샘플을 점검하여 일부에서 결함을 도출하는 반면, CSAP는 전체 통제항목을 모두 확인하고, 기록을 남기며 결함을 도출한다. ③ ISMS에서 운영명세서는 그저 참고를 하는 데 그치지만, CASP에서 보안운영..

국내 상당수의 감사 내용을 따져 보면, 증적자료가 상당히 요구되는 경우가 많다. 나의 경우 올해 총 3개 사업에 투입되었는데, 첫째는, ISMS-P & ISO 27001이 둘째는, 주요정보통신기반시설 점검이 셋째는, 교육부 수준진단이 핵심인 사업이다. 그중 첫번째 컨설팅의 경우 상당히 많이 증적자료가 요구됐다. 해당하지 않는 영역이 상당했음에도 말이다. 당시 나는 OJT의 일환으로 투입된 거였고, 산출물 관리 역할을 부여받았기에 이를 이해하고 있다. 그리고 세번째 컨설팅인 현재, 나는 담당자들로부터 성토를 가끔 듣곤 했다. 굳이 불필요한 서류를 만들어야 하는 것 아니냐는 말이다. 예를 들어, 대상 기간동안 장비의 외부 반출입이 없었고, 그래서 반출입 관리대장이 없었다고 주장해도 우리는 양식을 만들어 제출..

현재 진행하는 과업 중 하나는 수십 개의 시스템 대상으로 물리적 취약점을 점검하는 영역이다. 사실 굉장히 간단하게 생각했다. 물리적 취약점 점검은 이번이 처음이지만, 당장 이전에 투입되었던 사업이 주요정보통신기반시설 취약점 진단이었기에 물리적 취약점에 대한 보고서를 접할 수 있었다. 그리고 당시에는 해당 점검이 굉장히 수월하게 진행됐고, 보고서도 워낙 간략했기에 어렵지 않게 보았던 것이다. 항목 수도 18개로 적고 말이다. 그러나 이번 점검을 수행하며 느낀 애로사항이 있다. 1. 물리적 취약점 점검에서만 쓰이는 암묵적인 룰과 문맥이 있다. 물리적 취약점 점검은 언제나 점수가 높은 것을 볼 수 있다. 그렇기에 담당자 입장에서는 100점이 아니면 이상한 것처럼 여겨지는 것일까. 판단에 취약을 주는 경우는 거..

현재 모 기관의 용역사업에 참여하여 정보보안/개인정보보호의 2가지 분야에서 일을 처리하고 있다. 그리고 현재까지 내가 느낀 바로는, 개인정보는 담당자들의 관심이 많지만, 정보보안은 담당자들의 관심이 약하다는 것이다. 그럴 수밖에 없는 게, 개인정보가 담당자분들에게는 더욱 중요하게 여겨지는 대상이기도 하고, 그분들이 대개 교사 출신 또는 일행 공무원이라는 데에서 기인한다. 일행 공무원이라면 법과는 조금이라도 친밀할 수밖에 없으나, IT는 그렇지 아니하다. 관심도 적은데, 사전지식도 전무하니 정보보안에 대한 열의는 적을 수밖에 없는 것이다. 그런데 현재 사업을 진행하는 곳의 독특한 시스템은 이 문제를 더욱 어렵게 만드는 듯하다. 수십 개의 시스템이 있으며, 수십 명의 담당자는 있으나, 그분들은 시스템을 온전..

나는 10월 4주 차부터 정보보호 수준진단 인터뷰를 실시하고 있다. 이제 약 2/3 정도 진행이 되었는데, 진척이 되면 될수록 '과연 이게 정말 보안 수준을 반영하는 지표가 맞는가'에 대한 의구심만 커지고 있다. 그래서 내가 정보보호 수준진단 인터뷰 및 판단을 실시하며 느꼈던 문제점과 더 나은 방안에 대해 논해보고자 한다. 문제점 1. 기본 점수를 퍼준다 특정 항목이 대상 시스템에 해당하지 않는 항목이라면, 그 항목은 '해당사항 없음'으로 판단하여 점수 계산에서 배제가 되어야 한다는 게 내 생각이다. 즉, 0점 만점에 0점으로 계산해야 한다는 것이다. 허나 실상은 그렇지 않다. 예를 들어, 2.2.1 항목에서 정보자산 신규 도입 시 도입 절차를 수립하고 이행하고 있는지 여부를 따지는 항목이 있다. 그리고..

10월 19일 시험을 응시하여 합격했다. 문제를 다 풀고 설문조사까지 끝내면 바로 합격 여부가 나온다. 11시 45분 응시였으나 11시 4분에 입실하여 시험을 치렀다. 보통 25~30분이면 문제를 다 풀다 보니, 자리가 빨리 빨리 비워져서 정해진 시간보다 일찍 응시할 수 있었다. 학습 기간: 2주 남짓 현재 기관에서 프로젝트를 응시하고 있기에 정신이 없지만, 출퇴근 시간이 왕복 2시간 30분 정도 되기에 출퇴근 시간을 주로 활용해 공부했다. 학습 방법 1. 최초에는 aws overview로 공부를 시도했다. 그런데 번역이 20년 전 번역기로 돌린 듯한 수준인지라 한 이틀 정도 공부하고 포기했다. 2. 그래서 바로 문제풀이 단계로 넘어갔다. 차례로 국문 사이트, 영문 사이트다. https://www.kor..