수달정보보호

오늘부로 9월부터 시작된 프로젝트가 드디어 종료되었다.내가 이 프로젝트에서 수행한 역할은 다음과 같다.[관리적 분야]• 정보보안 수준진단- 부서별 증빙자료 검토 및 진단- 부서별 인터뷰 실시- 증빙자료 가이드라인 제작- 개별/종합 보고서 작성[물리적 분야]• 물리적 취약점 분석·평가- 부서별 인터뷰 실시 및 현장실사- 개별/종합 보고서 작성[개인정보보호 분야]• 개인정보보호 수준평가- 점검 양식 제작- 부서 별 제출자료 검토 및 평가- 개별/종합 결과보고서 작성• 개인정보처리방침 개정• 내부관리계획 개정• 영상정보처리기기 운영·관리 방침 개정• 개인정보 안전성 확보조치 개정• 개인정보 수집·이용·제공 동의서- 부서별 각종 동의서 양식 검토 및 수정- 종류별 표준 동의서 샘플 제작정말 많이도 했고, 덕분에..

보안 컨설팅 회사들에게는 고질적인 문제(?)가 있다고 한다. 사실 우리 회사만의 문제인줄 알았는데, 몇몇 타 회사 사람들과 교류해본 결과, 컨설팅 회사의 고질적인 문제인 것으로 판명났다. 컨설턴트가 언제, 어디로 끌려갈지 모른다는 점이 그렇다. 이건 자연스레 컨설턴트들의 불만으로 이어질 수밖에 없다. 나는 아직 겪지 못했으나, 사업이 끝나고 휴가를 올린 한 동료가 상사로부터 '휴가를 왜 써? 너 사업 들어가는 거 몰라?'라는 말을 들으며 휴가가 잘렸다고 한다. 물론, 그 직원은 어떠한 내용도 전달받은 게 없는데 말이다. 언제 어디로 투입될지 모르니, 휴가를 계획할 수도 없는 것이다. 그래서 이 문제를 어떻게 하면 없애지는 못하더라도 줄일 수 있을까 생각한 결과, 답은 단순했다. 매번 본사에 남아있는 인원..

1. 서론나만 그런지는 모르겠다. 11월이 되면 하나둘 크리스마스 분위기를 만들기 시작하며 12월 25일까지 괜시리 설레는 분위기가 지속된다. 크리스마스에 특별한 선물도, 이벤트도 없을 것을 안다. 하지만 크리스마스를 생각하면 나는 언제나 나홀로집에 영화에서 가족들이 트리 앞에서 선물을 교환하는 장면이 떠오르곤 한다. 허나 12월 26일이 되는 순간, 언제나 현실을 마주하며 한 해를 되돌아보게 된다. 고시를 공부할 때는 매년 이맘때가 너무도 힘들었다. 차라리 몸이 아팠을 때는 괜찮았다. 몸이 아팠을 때도 나는 내 체중, 화장실에 가는 횟수 등을 기록하며 나의 발전을 기록하는 해를 보내곤 했기 때문이다. 하지만 고시는 당락 외에는 성과를 낼 수 있는 게 없었다. 그게 내게는 너무 힘든 과정이었다. 그리고 ..

오늘 가산에 위치한 모 기업의 IDC 방문을 끝으로 물리적 취약점 평가를 위한 현장 실사 여정을 마쳤다. 컨설팅 사업도 점점 종료보고가 보이기 시작하고, 산출물도 대부분 모양새를 갖춘 상황이다.  이번 사업을 진행하며 참 운이 좋게도 여러 곳의 시설을 경험할 수 있었는데, 오늘까지 경험을 하며 들었던 소감은, 역시나 국내에서 시행하는 각종 물리적 취약점 평가 가이드라인이 너무 빈약하다는 점이다. 이해가 가지 않는 것은 아니다. 정말 현대를 제대로 반영하는 물리적 보안을 달성하기 위해서는 큰 금액이 요구되기 때문이다. 사실 물리적 취약점은 '당연히 100점을 맞아야 한다'는 것만 없어도 개정하기 수월하겠으나, 저런 개념 자체가 이미 깊숙하게 자리잡고 있기 때문에 개정이 어려운 것으로 보인다. 이는 주정통이..

이번 컨설팅에서 참 다양하고, 그래서 좋은 경험을 하고 있다. 그런데 그중에서도 물리적 취약점 점검을 위한 현장실사를 하는 것은 참 내게 많은 경험치를 안기는 느낌이다. 사실 나는 내가 다니는 회사의 전산실 등 통제구역을 구경한 적도 없다. 그저 전문서비스 기업 심사를 대비해 취약점 분석실만 몇 번 들락날락거렸을 뿐이다. 그런데 여기에 들어와서는 각종 다단계 보호구역을 입성하는 호사를 누리고 있다. 우선, 이곳은 기관이 2개로 나눠져 있다. A가 대부분의 시스템의 물리적 보안을 담당하고, B가 소수를 담당하고 있다. 그리고 정말 이곳의 현장실사만으로도 참 인상 깊었다. 감시통제, 접근통제, 환경통제, 전력보호 부분에서 '이렇게만 하면 물리적 보안과 관련하여 문제가 발생할 가능성은 줄어들겠다' 싶은 생각이..

카카오톡 채용방, 개보방, 정보보안방은 보통 주말엔 조용하다. 평일에 업무로부터 일탈하기 위해 화두를 꺼내거나, 업무 중 이슈가 생겨 해결하기 위해 글을 올리는 이가 많기 때문일 것이다.그런 방이 주말에 시끄럽다면 보통 이유는 자격증 이슈다. 지난주에는 PIA 때문에 주말에 메세지가 많이 쌓였다면, 오늘은 보안기사인 것으로 보인다.그리고 사실 나는 자격증을 따는 것을 좋아한다. 내 삶의 동기부여가 되는 것 중 하나가 성취감이고, 그것의 가장 쉬운 수단이 자격증이기 때문이다. 그리고 그것은 아마 고시 때의, 아팠을 때의 기억 때문에 더 그런듯 하다. 연말이 되면 늘상 그간의 1년을 돌아보는 시간을 갖게 되는데, 뭔가 이룬 게 없으면 씁쓸하기 때문이다. 그래도 다행인 것은 취미와 연계되는 자격도 내가 성취로..

내 하루의 루틴 중 하나는 출근길에 알림설정한 보안뉴스와 카카오톡 오픈채팅방인 보안담당자방을 슥슥 보는 것이다.실없는 말도 보이긴 하지만, 그곳에선 담당자들이 머리를 싸매고 서로 정답이 무엇인지 토론하는 것을 아주 쉽게 볼 수 있다. 보통 조직 내 보안담당자는 그 수가 적기에 그렇게 서로 물어보고 정답이 무엇인지 고민하는 문화가 자리잡은듯 하다.그런 곳에서 글을 읽다 보면 담당자로서 내가 나중에 어떻게 업무를 처리해야 할지 아이디어를 얻기도 한다.내가 지금 수행하고 있는 보안 컨설턴트와 보안담당자는 당장 생각나는 것만 하더라도 차이가 많다.1. 컨설턴트는 다양한 업무를 경험하지만, 담당자는 보통 정해진 틀 안에서 업무를 경험한다.2. 컨설턴트는 업무의 연속성이 없이 이곳저곳 옮겨 다니지만, 담당자는 계속..

요즘 회사가 클라우드서비스 보안인증(CSAP) 인증과 관련된 사업에도 발을 뻗고 있다. 그래서 나는 최근 CSAP 인증에 관한 강의를 신청하여 수강했다.CSAP도 KISA에서 주관하는 인증이다 보니, 기본적으로 ISMS와 비슷하다는 느낌을 강하게 받는다. 물론 세부항목 면에서 다른 건 당연하지만, 인증심사 자체에서 느낀 차이점에 대해 열거해 보고자 한다.① ISMS가 통제항목을 기준으로 하는 것과 달리, CSAP는 더 깊게 들어가 해설 영역까지를 기준으로 한다.② ISMS는 모든 항목을 확인하기 보다는 샘플을 점검하여 일부에서 결함을 도출하는 반면, CSAP는 전체 통제항목을 모두 확인하고, 기록을 남기며 결함을 도출한다. ③ ISMS에서 운영명세서는 그저 참고를 하는 데 그치지만, CASP에서 보안운영..

국내 상당수의 감사 내용을 따져 보면, 증적자료가 상당히 요구되는 경우가 많다. 나의 경우 올해 총 3개 사업에 투입되었는데, 첫째는, ISMS-P & ISO 27001이 둘째는, 주요정보통신기반시설 점검이 셋째는, 교육부 수준진단이 핵심인 사업이다. 그중 첫번째 컨설팅의 경우 상당히 많이 증적자료가 요구됐다. 해당하지 않는 영역이 상당했음에도 말이다. 당시 나는 OJT의 일환으로 투입된 거였고, 산출물 관리 역할을 부여받았기에 이를 이해하고 있다. 그리고 세번째 컨설팅인 현재, 나는 담당자들로부터 성토를 가끔 듣곤 했다. 굳이 불필요한 서류를 만들어야 하는 것 아니냐는 말이다. 예를 들어, 대상 기간동안 장비의 외부 반출입이 없었고, 그래서 반출입 관리대장이 없었다고 주장해도 우리는 양식을 만들어 제출..

현재 진행하는 과업 중 하나는 수십 개의 시스템 대상으로 물리적 취약점을 점검하는 영역이다. 사실 굉장히 간단하게 생각했다. 물리적 취약점 점검은 이번이 처음이지만, 당장 이전에 투입되었던 사업이 주요정보통신기반시설 취약점 진단이었기에 물리적 취약점에 대한 보고서를 접할 수 있었다. 그리고 당시에는 해당 점검이 굉장히 수월하게 진행됐고, 보고서도 워낙 간략했기에 어렵지 않게 보았던 것이다. 항목 수도 18개로 적고 말이다. 그러나 이번 점검을 수행하며 느낀 애로사항이 있다. 1. 물리적 취약점 점검에서만 쓰이는 암묵적인 룰과 문맥이 있다. 물리적 취약점 점검은 언제나 점수가 높은 것을 볼 수 있다. 그렇기에 담당자 입장에서는 100점이 아니면 이상한 것처럼 여겨지는 것일까. 판단에 취약을 주는 경우는 거..