수달정보보호

오늘부로 9월부터 시작된 프로젝트가 드디어 종료되었다.내가 이 프로젝트에서 수행한 역할은 다음과 같다.[관리적 분야]• 정보보안 수준진단- 부서별 증빙자료 검토 및 진단- 부서별 인터뷰 실시- 증빙자료 가이드라인 제작- 개별/종합 보고서 작성[물리적 분야]• 물리적 취약점 분석·평가- 부서별 인터뷰 실시 및 현장실사- 개별/종합 보고서 작성[개인정보보호 분야]• 개인정보보호 수준평가- 점검 양식 제작- 부서 별 제출자료 검토 및 평가- 개별/종합 결과보고서 작성• 개인정보처리방침 개정• 내부관리계획 개정• 영상정보처리기기 운영·관리 방침 개정• 개인정보 안전성 확보조치 개정• 개인정보 수집·이용·제공 동의서- 부서별 각종 동의서 양식 검토 및 수정- 종류별 표준 동의서 샘플 제작정말 많이도 했고, 덕분에..

보안 컨설팅 회사들에게는 고질적인 문제(?)가 있다고 한다. 사실 우리 회사만의 문제인줄 알았는데, 몇몇 타 회사 사람들과 교류해본 결과, 컨설팅 회사의 고질적인 문제인 것으로 판명났다. 컨설턴트가 언제, 어디로 끌려갈지 모른다는 점이 그렇다. 이건 자연스레 컨설턴트들의 불만으로 이어질 수밖에 없다. 나는 아직 겪지 못했으나, 사업이 끝나고 휴가를 올린 한 동료가 상사로부터 '휴가를 왜 써? 너 사업 들어가는 거 몰라?'라는 말을 들으며 휴가가 잘렸다고 한다. 물론, 그 직원은 어떠한 내용도 전달받은 게 없는데 말이다. 언제 어디로 투입될지 모르니, 휴가를 계획할 수도 없는 것이다. 그래서 이 문제를 어떻게 하면 없애지는 못하더라도 줄일 수 있을까 생각한 결과, 답은 단순했다. 매번 본사에 남아있는 인원..

1. 서론나만 그런지는 모르겠다. 11월이 되면 하나둘 크리스마스 분위기를 만들기 시작하며 12월 25일까지 괜시리 설레는 분위기가 지속된다. 크리스마스에 특별한 선물도, 이벤트도 없을 것을 안다. 하지만 크리스마스를 생각하면 나는 언제나 나홀로집에 영화에서 가족들이 트리 앞에서 선물을 교환하는 장면이 떠오르곤 한다. 허나 12월 26일이 되는 순간, 언제나 현실을 마주하며 한 해를 되돌아보게 된다. 고시를 공부할 때는 매년 이맘때가 너무도 힘들었다. 차라리 몸이 아팠을 때는 괜찮았다. 몸이 아팠을 때도 나는 내 체중, 화장실에 가는 횟수 등을 기록하며 나의 발전을 기록하는 해를 보내곤 했기 때문이다. 하지만 고시는 당락 외에는 성과를 낼 수 있는 게 없었다. 그게 내게는 너무 힘든 과정이었다. 그리고 ..

오늘 가산에 위치한 모 기업의 IDC 방문을 끝으로 물리적 취약점 평가를 위한 현장 실사 여정을 마쳤다. 컨설팅 사업도 점점 종료보고가 보이기 시작하고, 산출물도 대부분 모양새를 갖춘 상황이다.  이번 사업을 진행하며 참 운이 좋게도 여러 곳의 시설을 경험할 수 있었는데, 오늘까지 경험을 하며 들었던 소감은, 역시나 국내에서 시행하는 각종 물리적 취약점 평가 가이드라인이 너무 빈약하다는 점이다. 이해가 가지 않는 것은 아니다. 정말 현대를 제대로 반영하는 물리적 보안을 달성하기 위해서는 큰 금액이 요구되기 때문이다. 사실 물리적 취약점은 '당연히 100점을 맞아야 한다'는 것만 없어도 개정하기 수월하겠으나, 저런 개념 자체가 이미 깊숙하게 자리잡고 있기 때문에 개정이 어려운 것으로 보인다. 이는 주정통이..

이번 컨설팅에서 참 다양하고, 그래서 좋은 경험을 하고 있다. 그런데 그중에서도 물리적 취약점 점검을 위한 현장실사를 하는 것은 참 내게 많은 경험치를 안기는 느낌이다. 사실 나는 내가 다니는 회사의 전산실 등 통제구역을 구경한 적도 없다. 그저 전문서비스 기업 심사를 대비해 취약점 분석실만 몇 번 들락날락거렸을 뿐이다. 그런데 여기에 들어와서는 각종 다단계 보호구역을 입성하는 호사를 누리고 있다. 우선, 이곳은 기관이 2개로 나눠져 있다. A가 대부분의 시스템의 물리적 보안을 담당하고, B가 소수를 담당하고 있다. 그리고 정말 이곳의 현장실사만으로도 참 인상 깊었다. 감시통제, 접근통제, 환경통제, 전력보호 부분에서 '이렇게만 하면 물리적 보안과 관련하여 문제가 발생할 가능성은 줄어들겠다' 싶은 생각이..

참 낯익은 그이름 오픈 AI에서 보안 보고서에 해당하는 문건을 발표했다고 한다. 우리가 그동안 AI의 등장 및 발전과 함께 AI가 공격자들에게 악용될 것을 우려해 왔다. 그런데 정작 '어떻게' 악용될 것인지는 잘 몰랐던 게 사실이다.  그리고 오픈 AI의 보고서에 따르면, 공격자들은 특히  최종 콘텐츠를 배포하기 직전의 단계에서 인공지능 모델을 적극 활용한다. 다만, 그나마 다행인 것은 아직까지 공격자들 사이에서 인공지능을 활용한 획기적인 공격 기법이 개발된 것으로 보이지는 않다는 것이다. 사실 그럴만 한 것이, 개발이 되었다면 진즉 공격이 진행되었을 터다. 가장 무서운 것이 취약점을 인공지능 스스로 발굴하고 익스플로잇 한다거나, 모든 공격의 절차를 자동으로 진행하는 것인데, 아직 이것까지는 시기상조인 ..

오늘은 중학교 시절 친구를 만났다. 샌드박스로 이직을 하게 되었다는 좋은 소식을 들을 수 있었다. 회사 사이즈도 커지기도 했으나, 게임 업계보다는 정확히는 플랫폼 업계에서 게임을 다루고 싶어하는 친구의 목적이 달성된 것에 큰 의미가 있엇다. 성공적인 생활이 되기를 축하하는 한편, 돌아오는 길에 나도 언젠가 보안담당자로 간다면.. 이라는 상상의 나래를 펼치게 됐다. 그중에서 개보가 상상하기에 적합하여 개보 담당자의 면접을 생각해 보았다.그리고 예상 질문과 의도 및 답변에 대해 간단하게 10개만 생각해 보았다. 다 쓰고 나니 개보 담당자들이 수탁사 문제를 까다로워 한다는 게 생각이 났지만.. 이 문제는 다음에 심도있게 다루는 게 좋을 것 같다.1. 개인정보보호법에 따라 개인정보를 수집할 수 있는 법적 근거는..

카카오톡 채용방, 개보방, 정보보안방은 보통 주말엔 조용하다. 평일에 업무로부터 일탈하기 위해 화두를 꺼내거나, 업무 중 이슈가 생겨 해결하기 위해 글을 올리는 이가 많기 때문일 것이다.그런 방이 주말에 시끄럽다면 보통 이유는 자격증 이슈다. 지난주에는 PIA 때문에 주말에 메세지가 많이 쌓였다면, 오늘은 보안기사인 것으로 보인다.그리고 사실 나는 자격증을 따는 것을 좋아한다. 내 삶의 동기부여가 되는 것 중 하나가 성취감이고, 그것의 가장 쉬운 수단이 자격증이기 때문이다. 그리고 그것은 아마 고시 때의, 아팠을 때의 기억 때문에 더 그런듯 하다. 연말이 되면 늘상 그간의 1년을 돌아보는 시간을 갖게 되는데, 뭔가 이룬 게 없으면 씁쓸하기 때문이다. 그래도 다행인 것은 취미와 연계되는 자격도 내가 성취로..

내 하루의 루틴 중 하나는 출근길에 알림설정한 보안뉴스와 카카오톡 오픈채팅방인 보안담당자방을 슥슥 보는 것이다.실없는 말도 보이긴 하지만, 그곳에선 담당자들이 머리를 싸매고 서로 정답이 무엇인지 토론하는 것을 아주 쉽게 볼 수 있다. 보통 조직 내 보안담당자는 그 수가 적기에 그렇게 서로 물어보고 정답이 무엇인지 고민하는 문화가 자리잡은듯 하다.그런 곳에서 글을 읽다 보면 담당자로서 내가 나중에 어떻게 업무를 처리해야 할지 아이디어를 얻기도 한다.내가 지금 수행하고 있는 보안 컨설턴트와 보안담당자는 당장 생각나는 것만 하더라도 차이가 많다.1. 컨설턴트는 다양한 업무를 경험하지만, 담당자는 보통 정해진 틀 안에서 업무를 경험한다.2. 컨설턴트는 업무의 연속성이 없이 이곳저곳 옮겨 다니지만, 담당자는 계속..

국내의 개인정보보호법은 개인정보처리자의 법 위반에 대해 분쟁조정·엄격한 손해배상책임·법정손해배상 ·단체소송 등의 만사 제재와 시정 명령·과징금·과태료 등의 행정적 제재를 가하고 있다. 이것만 들으면 '뭐가 과한 거지?' 싶을 수 있다. 그러나 여기에 중복적으로 형벌을 부과하는 것이 골자다. 하나의 위법 행위에 대해 이중 삼중 처벌을 가하고 있는 건데, 이에 대해 우리는 개보법의 집행을 지나치게 국가형벌권에 의존한다는 비판이 있다. 물론 특정 반사회적 행위를 범죄로 규정하는 것은 입법자의 넓은 입법 형성의 영역에 속한다. 그러나 그렇다고 해서 그게 무제한으로 가능하다는 것을 의미하지는 않는다. 형벌은 헌법상 신체의 자유에 대한 중대한 침해를 가하는 것이고, 그렇기에 법익의 보호를 위한 최후적이고 보충적인 ..