수달정보보호

서류 중심 보안은 불필요한 것을 만드는 일일까

국내 상당수의 감사 내용을 따져 보면, 증적자료가 상당히 요구되는 경우가 많다. 나의 경우 올해 총 3개 사업에 투입되었는데, 첫째는, ISMS-P & ISO 27001이 둘째는, 주요정보통신기반시설 점검이 셋째는, 교육부 수준진단이 핵심인 사업이다. 그중 첫번째 컨설팅의 경우 상당히 많이 증적자료가 요구됐다. 해당하지 않는 영역이 상당했음에도 말이다. 당시 나는 OJT의 일환으로 투입된 거였고, 산출물 관리 역할을 부여받았기에 이를 이해하고 있다. 그리고 세번째 컨설팅인 현재, 나는 담당자들로부터 성토를 가끔 듣곤 했다. 굳이 불필요한 서류를 만들어야 하는 것 아니냐는 말이다. 예를 들어, 대상 기간동안 장비의 외부 반출입이 없었고, 그래서 반출입 관리대장이 없었다고 주장해도 우리는 양식을 만들어 제출..

주요정보통신기반시설 물리적 취약점 점검을 진행하며

현재 진행하는 과업 중 하나는 수십 개의 시스템 대상으로 물리적 취약점을 점검하는 영역이다. 사실 굉장히 간단하게 생각했다. 물리적 취약점 점검은 이번이 처음이지만, 당장 이전에 투입되었던 사업이 주요정보통신기반시설 취약점 진단이었기에 물리적 취약점에 대한 보고서를 접할 수 있었다. 그리고 당시에는 해당 점검이 굉장히 수월하게 진행됐고, 보고서도 워낙 간략했기에 어렵지 않게 보았던 것이다. 항목 수도 18개로 적고 말이다. 그러나 이번 점검을 수행하며 느낀 애로사항이 있다. 1. 물리적 취약점 점검에서만 쓰이는 암묵적인 룰과 문맥이 있다. 물리적 취약점 점검은 언제나 점수가 높은 것을 볼 수 있다. 그렇기에 담당자 입장에서는 100점이 아니면 이상한 것처럼 여겨지는 것일까. 판단에 취약을 주는 경우는 거..

현재 모 기관의 용역사업에 참여하여 정보보안/개인정보보호의 2가지 분야에서 일을 처리하고 있다. 그리고 현재까지 내가 느낀 바로는, 개인정보는 담당자들의 관심이 많지만, 정보보안은 담당자들의 관심이 약하다는 것이다. 그럴 수밖에 없는 게, 개인정보가 담당자분들에게는 더욱 중요하게 여겨지는 대상이기도 하고, 그분들이 대개 교사 출신 또는 일행 공무원이라는 데에서 기인한다. 일행 공무원이라면 법과는 조금이라도 친밀할 수밖에 없으나, IT는 그렇지 아니하다. 관심도 적은데, 사전지식도 전무하니 정보보안에 대한 열의는 적을 수밖에 없는 것이다. 그런데 현재 사업을 진행하는 곳의 독특한 시스템은 이 문제를 더욱 어렵게 만드는 듯하다. 수십 개의 시스템이 있으며, 수십 명의 담당자는 있으나, 그분들은 시스템을 온전..

나는 10월 4주 차부터 정보보호 수준진단 인터뷰를 실시하고 있다. 이제 약 2/3 정도 진행이 되었는데, 진척이 되면 될수록 '과연 이게 정말 보안 수준을 반영하는 지표가 맞는가'에 대한 의구심만 커지고 있다. 그래서 내가 정보보호 수준진단 인터뷰 및 판단을 실시하며 느꼈던 문제점과 더 나은 방안에 대해 논해보고자 한다. 문제점 1. 기본 점수를 퍼준다 특정 항목이 대상 시스템에 해당하지 않는 항목이라면, 그 항목은 '해당사항 없음'으로 판단하여 점수 계산에서 배제가 되어야 한다는 게 내 생각이다. 즉, 0점 만점에 0점으로 계산해야 한다는 것이다. 허나 실상은 그렇지 않다. 예를 들어, 2.2.1 항목에서 정보자산 신규 도입 시 도입 절차를 수립하고 이행하고 있는지 여부를 따지는 항목이 있다. 그리고..

10월 19일 시험을 응시하여 합격했다. 문제를 다 풀고 설문조사까지 끝내면 바로 합격 여부가 나온다. 11시 45분 응시였으나 11시 4분에 입실하여 시험을 치렀다. 보통 25~30분이면 문제를 다 풀다 보니, 자리가 빨리 빨리 비워져서 정해진 시간보다 일찍 응시할 수 있었다. 학습 기간: 2주 남짓 현재 기관에서 프로젝트를 응시하고 있기에 정신이 없지만, 출퇴근 시간이 왕복 2시간 30분 정도 되기에 출퇴근 시간을 주로 활용해 공부했다. 학습 방법 1. 최초에는 aws overview로 공부를 시도했다. 그런데 번역이 20년 전 번역기로 돌린 듯한 수준인지라 한 이틀 정도 공부하고 포기했다. 2. 그래서 바로 문제풀이 단계로 넘어갔다. 차례로 국문 사이트, 영문 사이트다. https://www.kor..

이번 프로젝트에서 나는 관리체계 진단 및 개인정보보호 부문으로 투입되었다. 하지만 그렇다고 해서 기술·인프라를 아예 등한시할 수는 없었다. 새로운 곳, 새로운 프로젝트에서만 겪을 수 있는 새로운 아이디어가 있을 가능성 때문이다. 그리하여, 기술·인프라 부문의 자료도 지속적으로 확인하던 중, 이곳은 자산 중요도 분류를 기존에 내가 갔던 곳들과는 다르게 했다는 것을 알게 됐다. 공무원분들의 특성상 이곳은 업무 순환을 고려하여 처음 직무를 맡는 사람도 문제를 겪지 않도록 자산 중요도를 더욱 현실적으로 수정한 것이다. 보통 주요정보통신기반시설에서는 기밀성, 무결성, 가용성의 3가지 기준을 적용하며, 이는 담당자들에게는 다소 추상적인 개념이다. 그것들이 무엇을 의미하는지 매번 설명해 주고는 있지만 말이다. 특히 ..

고등학교 시절, 국어를 어려워하는 학생들이 많았다. 나도 물론 그랬다. 우리가 어려워 했던 것은 국어가 '헷갈린다'는 것이다. 수학은 너무나도 정량적으로 이해가 가지만, 국어는 그렇지 않다는 것이다. 1, 0을 판단하는 것은 직관적이지만, 강렬하다, 강렬하지 않다를 판단하는 것은 직관적이지 않다는 것이다. 이번 사업 도중 기관에서는 통합된 체크리스트를 만들어 줄 것을 요청했다. 단, 거기에는 조건이 하나 붙었다. '보안에 지식이 없는 사람이 보더라도 이해할 수 있을 정도로 쉽게' 만들어 달라는 것이다. ISMS-P, 국정원 관리실태 진단, 개인정보 보호수준 평가, 개인정보 영향평가 등.. 공공기관이 보안과 관련하여 신경써야 하는 것은 참 많은데, 그 안에 있는 표현은 몇몇에겐 어려울 수 있다. 그 표현이..

현재 A 기관에서 개인정보처리방침을 수정하는 작업을 하고있다. 하면서 느끼는 것은, 다소 답답하다는 것이다. 개인정보처리방침은 그저 법을, 가이드라인을 늘어놓는 개념이 아니라 생각한다. 나는 정보주체가 알기 쉽게 설명하는 것이 핵심이라 생각한다. 내가 최초로 작성을 한다면, 수정을 하더라도 내가 결정권을 지닌 사람이라면 그런 방향성에 중점을 두고 작업을 할 수 있었을 것이다. 그러나 여기서는 법, 가이드라인에 의거하여 명확한 근거에 의하여만 수정 작업을 진행하고 있다. 사실은 수정 작업도 아니고, 1차는 수정사항 제안, 2차는 다듬고 컨펌해주는 정도다. 명확한 근거에 의하여만 수정 제안이 가능한 상황이기에 '정보주체가 알기 쉽게'하는 이유로 수정을 할 수가 없다. 이점이 매우 답답하다. 예로 들면 이런 ..

42회차 CPPG 시험에 합격했다. 첫 번째 시도만에 붙었고, 학습 기간은 2주 정도 된다. 이유는 보안기사 시험과 CPPG 시험이 2주 차이였고, 정보보안기사가 더욱 높은 우선순위에 있었기 때문에 CPPG는 이전에 들여다 보지 않았기 때문이다. 그래도 2주 공부한 것 치고는 점수가 괜찮게 나와서 다행이다 싶다. 2주 동안 학습시간은 매일 3~4시간 정도는 가졌다. 출근을 일찍해서 1.5시간 정도 확보하고, 점심시간에 30분 정도를 사용하고, 퇴근 후 1~2시간 학습을 하는 식으로 2주 동안 반복하였다. 별 생각 없이 오늘 아침에 일어나서 출근을 하다가 혹시나 하는 마음에 홈페이지에 들어갔는데 벌써 합격 발표가 나와 있었다. 아침 7시 30분 정도였는데, 이 사람들은 대체 몇시에 발표를 했을까 궁금했다...

금일 2024년 정보보안기사 실기 2회차에 합격했다. 이제 정보처리기사에 이어 이 분야에서 쌍기사가 된 것이다.  80점 정도 나오지 않을까 생각했는데, 역시 항상 사람의 희망회로는 현실과는 다소 차이가 있다. 이번이 3번째 시도만의 합격이고, 진심모드로는 2번째 만의 합격이다. 작년 필기에 합격했을 때는 경험 삼아 실기를 보자는 생각이 강했기 때문이다. 그리고 24년 1회차에 불합격한 이유는 내가 정보보안기사 주최측의 시험에 어떤 방향성이 고정됐다고 오해했기 떄문이다. 내가 무엇을 오해했는지는 정보보안기사 학습 전략을 쓰면서 밝히도록 한다. 1. 교재교재는 흔히 '알기사'가 정석이라 말한다. '이기적'도 본 입장에서 동의한다. 정말 솔직히 말하면, 정보보안기사 교재들은 하나같이 맘에 들지는 않는다. 잘..