수달정보보호

이번 컨설팅에서 참 다양하고, 그래서 좋은 경험을 하고 있다. 그런데 그중에서도 물리적 취약점 점검을 위한 현장실사를 하는 것은 참 내게 많은 경험치를 안기는 느낌이다. 사실 나는 내가 다니는 회사의 전산실 등 통제구역을 구경한 적도 없다. 그저 전문서비스 기업 심사를 대비해 취약점 분석실만 몇 번 들락날락거렸을 뿐이다. 그런데 여기에 들어와서는 각종 다단계 보호구역을 입성하는 호사를 누리고 있다. 우선, 이곳은 기관이 2개로 나눠져 있다. A가 대부분의 시스템의 물리적 보안을 담당하고, B가 소수를 담당하고 있다. 그리고 정말 이곳의 현장실사만으로도 참 인상 깊었다. 감시통제, 접근통제, 환경통제, 전력보호 부분에서 '이렇게만 하면 물리적 보안과 관련하여 문제가 발생할 가능성은 줄어들겠다' 싶은 생각이..

오늘 출근 중에 지하철 스크린광고가 눈에 들어왔다. 그리고 곧이어 바로 오탈자가 눈에 들어왔다. '경영지원팈'광고에 텍스트는 많지 않았다. 많아야 100자? 그런데도 오탈자가 ㅂ라생한 것이다. 아마 담당자 분은 진짜 스트레스 많이 받으셨을 듯하다..검색하여 알아 보니, 22년 기준 저 스크린광고 비용이 월 200~400이라고 한다. 결코 저렴한 비용은 아닌 것이다. 사실 참 남일 같지 않다. 나도 회사에서 제안서를 쓰고 리뷰를 받다 보면 놓치는 부분이 발견된다. 사람이라는 게 실수를 할 수밖에 없는 듯하다. 꼼꼼하게 하려고 해도 이런 이슈가 늘 존재하니 말이다.그래서 회사에서는 언제나 리뷰를 (툭하면) 갖곤 한다. 심지어 내가 입사한 둘째날에 내게 리뷰를 요청하기도 했다. 이 분야에 완전 생초짜였을 시기..

참 낯익은 그이름 오픈 AI에서 보안 보고서에 해당하는 문건을 발표했다고 한다. 우리가 그동안 AI의 등장 및 발전과 함께 AI가 공격자들에게 악용될 것을 우려해 왔다. 그런데 정작 '어떻게' 악용될 것인지는 잘 몰랐던 게 사실이다.  그리고 오픈 AI의 보고서에 따르면, 공격자들은 특히  최종 콘텐츠를 배포하기 직전의 단계에서 인공지능 모델을 적극 활용한다. 다만, 그나마 다행인 것은 아직까지 공격자들 사이에서 인공지능을 활용한 획기적인 공격 기법이 개발된 것으로 보이지는 않다는 것이다. 사실 그럴만 한 것이, 개발이 되었다면 진즉 공격이 진행되었을 터다. 가장 무서운 것이 취약점을 인공지능 스스로 발굴하고 익스플로잇 한다거나, 모든 공격의 절차를 자동으로 진행하는 것인데, 아직 이것까지는 시기상조인 ..

오늘은 중학교 시절 친구를 만났다. 샌드박스로 이직을 하게 되었다는 좋은 소식을 들을 수 있었다. 회사 사이즈도 커지기도 했으나, 게임 업계보다는 정확히는 플랫폼 업계에서 게임을 다루고 싶어하는 친구의 목적이 달성된 것에 큰 의미가 있엇다. 성공적인 생활이 되기를 축하하는 한편, 돌아오는 길에 나도 언젠가 보안담당자로 간다면.. 이라는 상상의 나래를 펼치게 됐다. 그중에서 개보가 상상하기에 적합하여 개보 담당자의 면접을 생각해 보았다.그리고 예상 질문과 의도 및 답변에 대해 간단하게 10개만 생각해 보았다. 다 쓰고 나니 개보 담당자들이 수탁사 문제를 까다로워 한다는 게 생각이 났지만.. 이 문제는 다음에 심도있게 다루는 게 좋을 것 같다.1. 개인정보보호법에 따라 개인정보를 수집할 수 있는 법적 근거는..

카카오톡 채용방, 개보방, 정보보안방은 보통 주말엔 조용하다. 평일에 업무로부터 일탈하기 위해 화두를 꺼내거나, 업무 중 이슈가 생겨 해결하기 위해 글을 올리는 이가 많기 때문일 것이다.그런 방이 주말에 시끄럽다면 보통 이유는 자격증 이슈다. 지난주에는 PIA 때문에 주말에 메세지가 많이 쌓였다면, 오늘은 보안기사인 것으로 보인다.그리고 사실 나는 자격증을 따는 것을 좋아한다. 내 삶의 동기부여가 되는 것 중 하나가 성취감이고, 그것의 가장 쉬운 수단이 자격증이기 때문이다. 그리고 그것은 아마 고시 때의, 아팠을 때의 기억 때문에 더 그런듯 하다. 연말이 되면 늘상 그간의 1년을 돌아보는 시간을 갖게 되는데, 뭔가 이룬 게 없으면 씁쓸하기 때문이다. 그래도 다행인 것은 취미와 연계되는 자격도 내가 성취로..

내 하루의 루틴 중 하나는 출근길에 알림설정한 보안뉴스와 카카오톡 오픈채팅방인 보안담당자방을 슥슥 보는 것이다.실없는 말도 보이긴 하지만, 그곳에선 담당자들이 머리를 싸매고 서로 정답이 무엇인지 토론하는 것을 아주 쉽게 볼 수 있다. 보통 조직 내 보안담당자는 그 수가 적기에 그렇게 서로 물어보고 정답이 무엇인지 고민하는 문화가 자리잡은듯 하다.그런 곳에서 글을 읽다 보면 담당자로서 내가 나중에 어떻게 업무를 처리해야 할지 아이디어를 얻기도 한다.내가 지금 수행하고 있는 보안 컨설턴트와 보안담당자는 당장 생각나는 것만 하더라도 차이가 많다.1. 컨설턴트는 다양한 업무를 경험하지만, 담당자는 보통 정해진 틀 안에서 업무를 경험한다.2. 컨설턴트는 업무의 연속성이 없이 이곳저곳 옮겨 다니지만, 담당자는 계속..

국내의 개인정보보호법은 개인정보처리자의 법 위반에 대해 분쟁조정·엄격한 손해배상책임·법정손해배상 ·단체소송 등의 만사 제재와 시정 명령·과징금·과태료 등의 행정적 제재를 가하고 있다. 이것만 들으면 '뭐가 과한 거지?' 싶을 수 있다. 그러나 여기에 중복적으로 형벌을 부과하는 것이 골자다. 하나의 위법 행위에 대해 이중 삼중 처벌을 가하고 있는 건데, 이에 대해 우리는 개보법의 집행을 지나치게 국가형벌권에 의존한다는 비판이 있다. 물론 특정 반사회적 행위를 범죄로 규정하는 것은 입법자의 넓은 입법 형성의 영역에 속한다. 그러나 그렇다고 해서 그게 무제한으로 가능하다는 것을 의미하지는 않는다. 형벌은 헌법상 신체의 자유에 대한 중대한 침해를 가하는 것이고, 그렇기에 법익의 보호를 위한 최후적이고 보충적인 ..

요즘 회사가 클라우드서비스 보안인증(CSAP) 인증과 관련된 사업에도 발을 뻗고 있다. 그래서 나는 최근 CSAP 인증에 관한 강의를 신청하여 수강했다.CSAP도 KISA에서 주관하는 인증이다 보니, 기본적으로 ISMS와 비슷하다는 느낌을 강하게 받는다. 물론 세부항목 면에서 다른 건 당연하지만, 인증심사 자체에서 느낀 차이점에 대해 열거해 보고자 한다.① ISMS가 통제항목을 기준으로 하는 것과 달리, CSAP는 더 깊게 들어가 해설 영역까지를 기준으로 한다.② ISMS는 모든 항목을 확인하기 보다는 샘플을 점검하여 일부에서 결함을 도출하는 반면, CSAP는 전체 통제항목을 모두 확인하고, 기록을 남기며 결함을 도출한다. ③ ISMS에서 운영명세서는 그저 참고를 하는 데 그치지만, CASP에서 보안운영..

개보위의 발표에 따르면, 25년 초에 전담소송팀이 생긴다고 한다. 개보위는 2011년에 출범했는데, 약 14년 사이에 많은 처분을 했으나 이에 불복하는 기업이 많았다고 한다.개보위는 윤 대통령 취임 이후에만 개인정보보호 위반에 대해 총 1,552억의 과징금 및 과태료와 240건의 시정명령을 부과하는 등 '우리나라는 개인정보에 대한 매질이 너무 약하다'는 세간의 시선과는 다르게, 분명 제재에 힘써왔다.문제는 그렇게 부과를 하고 명령을 내려도, 이를 승복하지 않는 기업들이 많다는 것이다. 특히 대기업의 경우 엄청난 돈을 투자하여 처분 취소 소송을 제기하고 있으니 개보위 측에서는 너무나도 힘든 현실인 것이다.물론 전문소송팀이 생긴다고 하여 즉각적인 효과가 생길 것이라는 기대를 하지는 않지만, 개보위의 노고가 ..

우리 사회에서는 개인정보보호를 절대화하려는 경향이 짙어지고 있다고 한다. 이는 정보주체의 동의없는 개인정보 처리를 불법적이라고 단정짓는 것에서 비롯된다. 즉, 개인정보자기결정권을 잘못 이해한 것의 결과라고 할 수 있다. 자칫 잘못하게 된다면, 이런 사태는 모든 개인정보를 마치 비밀정보로 취급하는 우를 범하게 만들 것이다. 그리 된다면, 결과적으로 국가와 사회의 원활한 기능을 마비시킬 수 있을 것이다. 개인정보는 정보주체의 인격적 징표이지만, 그 자체를 모두 가두어 보호하려고 하면 아니 될 것이다. 사회의 존립과 기능유지에 있어, 많은 경우에 타인에 대한 정확한 평가를 기초로 두고 있다. 그리고 타인에 대한 그런 정확한 평가가 가능하기 위해서는 그의 인격적 징표가 유통될 수 있어야 한다. 만일 개인정보를 ..