수달정보보호

개보위 개처방 파먹기

가장 개인정보처리방침을 잘 작성한 곳은 어딜까? 보통 그런 물음을 던지면 네이버, 쿠팡, 넷마블 등등의 답변이 현업 종사자들의 입에서 나오곤 한다. 그런데 설령 그렇다 하더라도, 개인정보처리방침을 평가하고, 컨설팅을 하는 곳은 분명 어떤 '기준'을 제시하는 곳일 테다. 최근들어 개인정보처리방침을 적정성, 가독성, 접근성 면에서 평가하는 평가제가 등장하면서, 이제는 단순히 법적인 내용이나 가이드라인만을 따질 것이 아니게 되었기 때문이다.  개보위의 개인정보처리방침을 누르면 가장 먼저 소개되는 것은 우측 상단의 요약본이다. 요약본을 클릭한 결과, 총 3페이지로 구성된 자료를 다운받을 수 있었다. 그리고 거기에는 크게 4가지의 항목에 대한 소개가 있었다. 1. 수집 및 목적'최소한의 수집'과 '목적 외 이용 ..

기업마다 보안 담당자는 형태와 역할이 조금씩은 차이가 있을 것이다. 이는 '보안'이라는 것을 기업에서 어떤 시각으로 바라보냐에 따라 갈릴 것이다. 중소기업의 경우 보안담당자가 아예 없을 수도 있고, 보안담당자와 개인정보보호 담당자가 구분되지 않는 곳도 있을 수 있으며, 각 담당자가 명확한 구분 없이 상호보완적인 곳도 있을 것이다. 그리고 개인정보 담당자들 대화방을 보며 그간 느낀 것은, 보안담당자에게 있어 기술적 역량만 중요한 것이 아니라는 점이다. 문득 고려대학교에서 개인정보보호 대학원을 신설한다고 했을 때 강의의 상당수가 인문학과 연관된 것이었던 게 기억난다. 그것만 보더라도 기술적인 부분은 깔고 들어간다고 봐야하는 게 맞을 것이다. 사실, 기술적이라는 부분도 기업마다 필요한 부분은 제각각일 것이다...

2월 11일 오전 7시 30분의 별마당 도서관언제부턴가 코엑스에 방문하게 되면 별마당도서관을 거쳐가는 건 당연스레 여겨진다. 무언가 특별한 시기를 앞두지 않아서인지, 오늘은 중앙에 상징물이 없는 모습이다. 사실 일찍 온 이유 중 하나는 얼리버드의 혜택인 ISO 27001:2022 책을 얻기 위함이었다. 그 책이 정말 필요해서 원했던 것은 아니다. 다른 책은 전부 각 100권 준비되어 있다는데, ISO 27001:2022만 10권이 있다길래 그걸 얻으려고 조금 일찍 서둘러 집을 나섰던 것이다. 그런데 바보같은 오늘의 나는 아침에 코엑스에 도착하여 별마당도서관에서 멍을 때리다가 8시 10분이 되어서야 E룸에 도착했다. 그리고 27001 책은 이미 솔드아웃이었다... 그리고 부스를 돌며.. 사은품을 쓸어왔다...

오늘부로 9월부터 시작된 프로젝트가 드디어 종료되었다.내가 이 프로젝트에서 수행한 역할은 다음과 같다.[관리적 분야]• 정보보안 수준진단- 부서별 증빙자료 검토 및 진단- 부서별 인터뷰 실시- 증빙자료 가이드라인 제작- 개별/종합 보고서 작성[물리적 분야]• 물리적 취약점 분석·평가- 부서별 인터뷰 실시 및 현장실사- 개별/종합 보고서 작성[개인정보보호 분야]• 개인정보보호 수준평가- 점검 양식 제작- 부서 별 제출자료 검토 및 평가- 개별/종합 결과보고서 작성• 개인정보처리방침 개정• 내부관리계획 개정• 영상정보처리기기 운영·관리 방침 개정• 개인정보 안전성 확보조치 개정• 개인정보 수집·이용·제공 동의서- 부서별 각종 동의서 양식 검토 및 수정- 종류별 표준 동의서 샘플 제작정말 많이도 했고, 덕분에..

보안 컨설팅 회사들에게는 고질적인 문제(?)가 있다고 한다. 사실 우리 회사만의 문제인줄 알았는데, 몇몇 타 회사 사람들과 교류해본 결과, 컨설팅 회사의 고질적인 문제인 것으로 판명났다. 컨설턴트가 언제, 어디로 끌려갈지 모른다는 점이 그렇다. 이건 자연스레 컨설턴트들의 불만으로 이어질 수밖에 없다. 나는 아직 겪지 못했으나, 사업이 끝나고 휴가를 올린 한 동료가 상사로부터 '휴가를 왜 써? 너 사업 들어가는 거 몰라?'라는 말을 들으며 휴가가 잘렸다고 한다. 물론, 그 직원은 어떠한 내용도 전달받은 게 없는데 말이다. 언제 어디로 투입될지 모르니, 휴가를 계획할 수도 없는 것이다. 그래서 이 문제를 어떻게 하면 없애지는 못하더라도 줄일 수 있을까 생각한 결과, 답은 단순했다. 매번 본사에 남아있는 인원..

1. 서론나만 그런지는 모르겠다. 11월이 되면 하나둘 크리스마스 분위기를 만들기 시작하며 12월 25일까지 괜시리 설레는 분위기가 지속된다. 크리스마스에 특별한 선물도, 이벤트도 없을 것을 안다. 하지만 크리스마스를 생각하면 나는 언제나 나홀로집에 영화에서 가족들이 트리 앞에서 선물을 교환하는 장면이 떠오르곤 한다. 허나 12월 26일이 되는 순간, 언제나 현실을 마주하며 한 해를 되돌아보게 된다. 고시를 공부할 때는 매년 이맘때가 너무도 힘들었다. 차라리 몸이 아팠을 때는 괜찮았다. 몸이 아팠을 때도 나는 내 체중, 화장실에 가는 횟수 등을 기록하며 나의 발전을 기록하는 해를 보내곤 했기 때문이다. 하지만 고시는 당락 외에는 성과를 낼 수 있는 게 없었다. 그게 내게는 너무 힘든 과정이었다. 그리고 ..

오늘 가산에 위치한 모 기업의 IDC 방문을 끝으로 물리적 취약점 평가를 위한 현장 실사 여정을 마쳤다. 컨설팅 사업도 점점 종료보고가 보이기 시작하고, 산출물도 대부분 모양새를 갖춘 상황이다.  이번 사업을 진행하며 참 운이 좋게도 여러 곳의 시설을 경험할 수 있었는데, 오늘까지 경험을 하며 들었던 소감은, 역시나 국내에서 시행하는 각종 물리적 취약점 평가 가이드라인이 너무 빈약하다는 점이다. 이해가 가지 않는 것은 아니다. 정말 현대를 제대로 반영하는 물리적 보안을 달성하기 위해서는 큰 금액이 요구되기 때문이다. 사실 물리적 취약점은 '당연히 100점을 맞아야 한다'는 것만 없어도 개정하기 수월하겠으나, 저런 개념 자체가 이미 깊숙하게 자리잡고 있기 때문에 개정이 어려운 것으로 보인다. 이는 주정통이..

이번 컨설팅에서 참 다양하고, 그래서 좋은 경험을 하고 있다. 그런데 그중에서도 물리적 취약점 점검을 위한 현장실사를 하는 것은 참 내게 많은 경험치를 안기는 느낌이다. 사실 나는 내가 다니는 회사의 전산실 등 통제구역을 구경한 적도 없다. 그저 전문서비스 기업 심사를 대비해 취약점 분석실만 몇 번 들락날락거렸을 뿐이다. 그런데 여기에 들어와서는 각종 다단계 보호구역을 입성하는 호사를 누리고 있다. 우선, 이곳은 기관이 2개로 나눠져 있다. A가 대부분의 시스템의 물리적 보안을 담당하고, B가 소수를 담당하고 있다. 그리고 정말 이곳의 현장실사만으로도 참 인상 깊었다. 감시통제, 접근통제, 환경통제, 전력보호 부분에서 '이렇게만 하면 물리적 보안과 관련하여 문제가 발생할 가능성은 줄어들겠다' 싶은 생각이..

오늘은 중학교 시절 친구를 만났다. 샌드박스로 이직을 하게 되었다는 좋은 소식을 들을 수 있었다. 회사 사이즈도 커지기도 했으나, 게임 업계보다는 정확히는 플랫폼 업계에서 게임을 다루고 싶어하는 친구의 목적이 달성된 것에 큰 의미가 있엇다. 성공적인 생활이 되기를 축하하는 한편, 돌아오는 길에 나도 언젠가 보안담당자로 간다면.. 이라는 상상의 나래를 펼치게 됐다. 그중에서 개보가 상상하기에 적합하여 개보 담당자의 면접을 생각해 보았다.그리고 예상 질문과 의도 및 답변에 대해 간단하게 10개만 생각해 보았다. 다 쓰고 나니 개보 담당자들이 수탁사 문제를 까다로워 한다는 게 생각이 났지만.. 이 문제는 다음에 심도있게 다루는 게 좋을 것 같다.1. 개인정보보호법에 따라 개인정보를 수집할 수 있는 법적 근거는..

카카오톡 채용방, 개보방, 정보보안방은 보통 주말엔 조용하다. 평일에 업무로부터 일탈하기 위해 화두를 꺼내거나, 업무 중 이슈가 생겨 해결하기 위해 글을 올리는 이가 많기 때문일 것이다.그런 방이 주말에 시끄럽다면 보통 이유는 자격증 이슈다. 지난주에는 PIA 때문에 주말에 메세지가 많이 쌓였다면, 오늘은 보안기사인 것으로 보인다.그리고 사실 나는 자격증을 따는 것을 좋아한다. 내 삶의 동기부여가 되는 것 중 하나가 성취감이고, 그것의 가장 쉬운 수단이 자격증이기 때문이다. 그리고 그것은 아마 고시 때의, 아팠을 때의 기억 때문에 더 그런듯 하다. 연말이 되면 늘상 그간의 1년을 돌아보는 시간을 갖게 되는데, 뭔가 이룬 게 없으면 씁쓸하기 때문이다. 그래도 다행인 것은 취미와 연계되는 자격도 내가 성취로..