대마왕's 인덕원 클래스161

부제 : 달을 가리키면 달을 보아야지, 손가락을 보아서는 안된다. 심사기준에도 있지만 보안 위원회를 구성하도록 되어 있습니다. "달을 가리키면 달을 보아야지, 손가락을 보아서는 안된다." 불교의 선가에서 전해 내려오는 법어입니다. 조선시대 고승 진묵대사(1562~1633년)의 말씀이라고 합니다.

이번에는 시리즈를 연재하려고 합니다. 이미 ISMS 관련 도서가 있긴 한데 기존 심사원 교재를 참고한 정도입니다. 그 동안 많은 기업들 인증 심사를 참여하면서 느낀 점을 남겨볼까 합니다. 컨설턴트나 담당자의 입장이 아니라 심사원으로 많은 사례를 보면서 내가 담당자라면 어떻게 할 것인가... 어찌보면 맥주에 노가리까면서 할만한 이야기를 하고자 합니다. 다만 관련 법령에 의하면 심사기간 중 지득한 내용은 외부 유출을 금지하고 있습니다. 그러나 심사원의 역할이 꿀벌이 꽃가루를 퍼트리는 것처럼 각 기업의 잘된 사례를 알리는 것도 인증제도의 품질을 올리는데 기여할 것이라고 판단됩니다. 혹시 어? 이 사례는 우리 회사이야긴데 하겠지만 서로 다른 기업이라고 해도 통신사나 금융사는 그들 나름대로 유사한 점이 많기 때문..

심사원으로 활동하다보면.. 꼭 심사원이 아니라도 마찬가지 일 것이다. 1. 외국계 출신 심사원의 문제 어제 교육을 들었는데 외국에서 유학갔다오고 외국계 회사에서만 근무하다가 심사하신 모양이다. 말끝마다 외국계 기업은 이런데 한국이 이렇다고... 뉘앙스가 국내 기업을 비하하는 듯한 느낌이 들었다. 외국의 문화와 국내 문화가 다를 수 있고 그것을 고려해야 하는데 무조건적으로 외국은 좋고 우리나라는 틀리다는 식은 문제가 있다. 반대로 국내 회사에서 근무한 적도 없으면서 무슨 보안 컨설팅을 하겠다고.. 그렇게 좋으면 외국에 나가 이민가서 살던지... 국내 기업에서 그런 말은 하는 것은 예의가 아니라고 생각한다. 2. 다른 곳은.. 곧잘 부부싸움의 원인이 되기도 한다. 옆집 누구는~.. 비교하는 것. 상식만큼 주..

요즘 카드사에 이어 통신사까지 하루가 멀다 하고 개인정보보호 사고가 나고 있습니다. 여러 가지 원인이 있겠지만 아직까지 보안은 비용으로 생각하고 있기 때문에 지원이 잘 되지 않는 것 같습니다. 가난한 집에 도둑이 들지 않는 것처럼 불필요한 개인정보 수집은 하지 않아야 하겠고 사용기간이 지난 개인정보는 노출되지 않도록 삭제해야 하겠습니다. 일부 보안담당자는 구속 여부를 고민한다고 하니 개인정보보호 업무에 관련하시는 분은 더 이상 남의 일이 아니기 때문에 문제점은 없는지 고민해야 할 것입니다. 이번 시간에는 개인정보보호의 오해와 편견에 대해서 알아보도록 하겠습니다. 보안 솔루션을 구매하면 개인정보를 보호할 수 있다?! 1. 아니다. 지속적인 모니터링이 필요하다. 이 장비만 있으면 보안은 문제없습니다. 라고 ..

정보보호위원회를 구성하고 중요 안건에 대해서 보고하고 의사결정을 수행하도록 요구하는 이유는 보안의 책임이 경영진에 있음을 주기하기 위해서이다. 그러나 별도로 정보보호위원회 개최를 수행하기 어려운 경우가 있다. 출장이나 기타 사항이 있는 경우... 서면으로 결정할 수도 있다. 가장 좋은 방법으로는.... 아니.. 권장되는 방법으로... 경영진 회의에 참석하는 사람이 정보보호위원회와 동일한 경우 정기적인 회의 수행시 보안 파트를 같이 하는 것이 좋다. 아무래도 별도로 위원회 개최하는 것도 여의치 않고, 형식적인 절차로 끝날 수 있기 때문에 또한 이벤트성 보안이 아닌 상시적인 관심과 지원을 이끌어 내기 위한 차원에서도 효과적이라고 판단된다.

Q. 우리 회사의 자산이 아닌 경우 자산 목록에 포함되어야 하는가? A. 위탁 장비의 경우 우리 회사의 자산이 아닌데 자산 목록에 포함해야 하냐고 묻는 경우가 많습니다. 회계에서 나온 자산이란 단어는 경제적 가치가 있는 것을 의미하며, 자산에는 자본과 부채가 포함됩니다. 따라서 서비스를 제공하기 위해 외부에서 빌려온 장비의 경우(부채)에서 서비스 제공에 영향을 미치는 경우 자산에 포함해서 관리해야 합니다.

Q. 우리회사는 매월 보안의 날을 지정하고, 해당 일자에 "내 PC지킴이"를 통해 정기적으로 점검을 수행하고 있습니다. 그런 경우 매년 수행하는 위험분석에서 PC는 제외될 수 있는가? A. 정기적으로 내 PC 지킴이를 통해 점검을 수행하고 이력을 관리하고 있다면 별도로 위험 분석에서 다시 수행할 필요는 없다고 판단됩니다. 그러나 개인정보 파일의 암호화 여부 등 기존 프로그램으로 점검이 어려운 경우 수행하셔야 합니다. DLP, NAC, DRM 등 다양한 보안 솔류션과 원격 PC 점검이 가능한 경우 취약점 점검에서 제외할 수 있을 것이라 판단됩니다. 보안 솔루션에도 취약점이 존재하듯 중요 PC의 경우 보안 감사 등을 통해 일부라도 점검하는 것이 좋을 것같습니다.

논리적 망분리가 싸다(?) 망법에서 망분리 얘기가 나오면서 물리적인 망분리와 논리적인 망분리에 관심이 많은 것같다. 그런데 함부로 논리적인 망분리가 싸다고 말할 수 없다. 장비를 별도로 관리하지 않을뿐이지 가상화에 들어가는 라이센스 비용이 들어가고, 서버로 불가피하게 별도로 구매해야 한다. 가끔 어떤 기관의 경우 네트워크 카드를 2개 설치해서 사용하는 경우가 있는데... 이런 경우 망분리 효과가 없다. 백업이든 패치 서버 등 별도로 구축해야 한다. 함부로 논리적 망분리가 싸다고 하면 안 된다.

1.심사원은 갑인가 을인가? 이번에는 심사원에 대해서 이야기해보련다. 심사원은 갑인가 을인가? 인증신청기관이 갑이라면, 인증기관은 을이다. 적어도 계약서 상으로는 그렇다. 그렇다면 심사원은 슈퍼갑? 가끔이지만 고압적인 심사원을 만나기도 한다. 개인적인 성향일 수도 있고, 조직 문화일수도 있다. -공공기관이나 감독기관일수록 상명하달 문화에 익숙한 것같다. 가장 조심해야 할 부분은 반말하는 거다. 말하는 입장에서는 친근감의 표현일 수도 있으나 받아들이는 쪽에서는 그렇지 못할 수 있다. 심사는 감사나 취조가 아니다. 2.심사원은 감성 노동자다. 다른 심사원과 비교되기도 하고 신청기관으로부터 신뢰를 받지 못할 수 있다. 컨설턴트가 심사에 참여한 소감을 이야기하는데 시간적인 압박감이라고 했다. 주어진 시간 안에 ..

이번 시간에도 개인정보보호법과 정보통신망법의 개인정보보호 영역의 적용에 대해서 다시 이야기해 보도록 하겠습니다. 실무자 입장에서는 두 법을 믹서로 갈아서 사내 보안 정책에 반영하는 것이 안전할 것이라고 했는데... 어떻게 갈아 마셔야 될까요? ------------------------------------------------------------------ 2가지 관점으로 나누어 봐야 할 것 같습니다. 하나. 상호 보완적인 조항 망법에서도 개인정보 수집시 동의를 받도록 하고 있지만, 개보법에서는 필수와 선택을 구분하도록 하고 있습니다. 이런 경우 망법과 개보법이 서로 다른 내용을 요구하고 있다기 보다 더 구체화된 경우로 볼 수 있습니다. 개별법에서 정하는 사항 중에서 빠진 부분을 개보법이 보완해주고 ..