보안관닷컴 [우키의 보안 이야기]

  보안뉴스를 보다 보니  강원영 인포섹 E-컨설팅수석의 글이 게재되어 있더군요..  좋은 글이라는 생각에 정리할 겸해서  몇자 적어 봅니다.   
원문링크: http://www.boannews.com/media/view.asp?idx=12592&kind=0

  보안은 중요합니다.  보안 분야에서 의미있는 인재가 되기위해서 필요한 것이 무엇일까 생각해봅니다.   기술교육을 잘 받고  보안 라이센스등을 취득하는 것이 도움이 되긴 하겠지만  보안이란게 결국은 사람과 사람의 관계, 또 사람과 환경과의 문제이기 때문에  다른 것들이 더 중요하게 느껴집니다.  보안도 결국 보안의 수요자를 위해 공급되는 것이기 때문에   요구를 잘 파악하고 만족시킬 수 있는 것이 중요할 거라 생각됩니다.  

   내가 이상적으로 생각하는 보안을 하는 것이 아니라  고객에게 필요한 보안을 하는 것이죠.. 고객의 위험을 제대로 분석해서  고객에게 가장 적절한 수준의 보안을 하는것이 중요합니다.    보안이란 비용이 많이 들어가면서도  항상 위험이 남아 있습니다.  문제는 얼마만큼의 위험을 남길 것이냐 하는 것입니다.   고객을 설득하고  계획을 수립해서 단계별로  일정에 따라 업무를 진척시켜 나가서  고객이 만족할 만한 보안을 하는 것입니다.  보안도 결국은 고객의 만족을 위한 것이란 것을 잊어서는 안될 것 같습니다.

 ▶  보안 전문가에게 중요한 것
1. 보안에 대한 기술적인 지식과 제반 환경을 잘 이해할 것
    - 보안전문가는 IT환경 뿐 아니라 경영환경까지도 폭넓게 이해할 수있어야 합니다.  보안의 수요자는 사실상 기업의 CEO 이기 때문에 경영환경까지도 폭넒게 이해하고  철저히 비지니스 마인드를 가지고 접근해야 합니다.
2. 고객과의 협의및 미팅을 주관하고 원활하게 의사소통하기 위한 표현력 및 사고력 기를것
    - 고객이 이해할수 있는 용어로  고객이 받아들일 수있는 근거를 가지고 접근해야 합니다.  이론적인 보안원칙에서 출발할 것이 아니라  고객의 입장에서 시작할 수 있는 사람이 되어야 합니다. 이를 위해  적절한 표현력과 사고력이 필요로 합니다.   
3. 보안요구사항을 적절하게 분석하여   꼭 필요하면서 실행가능한 최선의 보안전략을 수립할 것
    - 도출된 요구사항을 만족할수있도록  실행가능한 전략을 수립하고  단계별로 기간별로  보안 Task들을 완료해가며  고객이 만족할 만한 Report를 제출할 수 있어야 합니다.

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

우키 잡담

  어제와 그제 (9월 1,2일)에 ISEC2008행사에 참석을 했더랬습니다. 작년도에도 ISEC2007행사에 참석한바 있어서  기대감을 가지고 참여했구요.   국제적인 행사로서 치르기위해 보안뉴스측에서 여러모로 애쓴듯하더군요..    참석자는 꽤 많은 편이었습니다. 코엑스 그랜드 볼륨을 꽉메운 사람들을 볼때  높아진 보안에 대한 관심을 느낄수있었습니다.  정말 많았습니다.    주최측의 말에 의한 올해 코엑스에서 치러진 행사규모중 TOP10에 들어간다고 하더군요..

  이틀씩이나 할애해서 참석을 했는데  내용면에서 다소 부족한 감이 있었습니다.  일부 강사의 경우  자사 제품설명만으로 거의 대부분의 강의시간을 보낸 경우도 있었습니다. 보안에 관심이 있는 많은 사람들에게 이정표를 제시하기 보다는 제품을 제안하는데 중점이 있는듯 했습니다.  물론 보안업체의 다양한 보안솔루션을 알게되는것도 의미가 있기는 하지만 말이죠..   보안에 대한 전반적인 지식과 현 실태, 당면한 보안상의 문제를 풀어나가기 위한 고민들, 그리고 어떤 방법론을 가지고 해결해갈지에 관한 공감에서 출발해야 된다는 생각이 듭니다. 아무래도 보안담당자와 보안솔루션공급자와의 만남에 더욱 초점이 있지않았나 싶습니다.  사실 이런 공급업체들에서 무료참가초청메일을 받아서 저도 간것이긴 하지만 말이죠..  ^^;   다음번 행사때에는 많은 보안관리자들의 가려운 부분을 구석구석 조망해주는 것이 좀더 비중있게 다루어지길  바래봅니다.

  물론 그래도 많은 도움이 되기는 했습니다.   많은 이야기를 들었습니다만  결국은 시스템 도입으로 얻을수 있는 효과는 한계가 있으며  가장 효과적인 것은 직원들에 대한 보안인식교육이라는데 다수의 강사들의 결론이 모아지더군요...   그리고 보안관리자로서  사용자 눈 높이에 맞춰서 생각하고 설명할줄 알아야한다는 한 강사의 설명엔
고개가 끄덕여졌구요..  특히 보안관리자는 친화력이 높아야 한다고 하는 부분에선 그동안의  제 부족함을 고민해보는 시간을 가져보기도 했답니다. 

   Attack and Defence라는 주제를 가지고 컨퍼런스가 진행되었는데 attack에 대해서 심도가 떨어졌다는 생각이 듭니다. ARP 스푸핑을 이용한  해킹 공격을 시연하기도 했는데 매우 버벅거리더군요.. 준비를 많이 했다고 하더니 현장에선 전혀 작동하지 않아서 노트북을 껐다 켰다를 반복하다  결국은 동영상으로 시연(?)하고 말았다는 일화도 있답니다.  ^^.  웹해킹도  제로보드에 한해서 시연되었구요...  공격에 대해 취약한 현 상황을 공감하기엔 내용도 부족하고 설명도 부족하지 않았느냐는 생각이 들었습니다.

  여러모로 아쉬움이 많이 남는  국제컨퍼런스였습니다.  국제컨퍼런스 다워지려면 시간이 좀더 걸릴듯합니다.
제 핸드폰으로 몇장 사진을 찍어보았습니다.  컨퍼런스 현장은 조명이 어두운 관계로 찍지 않았구요.. 로비의 부스 장면과  건물외부에 나가서 몇장 찍은 것을 올려보았습니다.   ^^ 점심후 짬을 내서 근처의 사찰도 구경갔답니다. 

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

우키 잡담 ISEC2008

기존의 secuworld.net 이란 도메인이 글자수는 짧아도 설명하기 힘들더군요
그래서 다소 길지만  외우기 쉬운 이름으로 변경해봅니다.
w-security.net 이란 도메인입니다.
우키의 보안이야기니깐..   차라리 이편이 기억하기 쉬울듯해서요
w-security.net으로 바꾸면서  포스팅을 부지런히 하려고 생각하고있습니다. ^^

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

우키 잡담