안녕하세요. 캐스퍼2기 황성현이라고 합니다. 학번으로 97 학번이네요. 앞에 9 붙은 학번 보신적 있으세요 ㅡ_ㅡ)?
학교 졸업하고 정말 오랫만에 동아리 홈페이지를 왔네요.
팀 동료들이 오늘 부산으로 다 놀러간지라 심심해서 인터넷 서핑을 하다보니 2019 kucis 회장 내용을 보고
옛 추억이 생각나 잠시 들러 보았습니다.
좋은 글들이 참 많네요. 앞으로 취업 및 미래 비젼 수립을 할때 좋은 참고가 되라고 제가 느낀점 등 소소한 몇가지를 이야기 하고 갈까 합니다.
@ 보안 담당자
1. 관리보안
- 보안기획
* Risk Managemet 에 따른 보안향상을 위한 기획을 하고 이를 리딩합니다. 보통 IT 분야 / 개발분야를 잘 알아야 합니다.
* 그래서 짬밥이 좀 높은 경우가 많습니다. 두루두루 경험이 필요합니다. (직 간접 경험, 서버,네트워크, 개발, 취약점분석에 대한
원리를 이해하고 있어야 합니다)
* 많은 기획이 있겠지만 이런 좋은 예가 있겠군요.
- 당사에서 프로그램을 개발 할 시 보안에 대한 사항을 프로그램에 반영하지 못해서 모의해킹때마다 취약점이 수두룩하게 나옴
- 이로 인한 전체 설계 변경, 중복된 개선 작업 등으로 서비스 담당자 및 개발담당자의 고충이 장난 아님
- 이를 개선하기 위해서 프로젝트 시작 시 보안성심의 라는 제도를 운영하기로 하고 프로젝트 초기부터 설계, 코딩에 보안요소가 적용되게 함
- 이를 적용하기 위해서 개발 프로세스 개선 / 보안요구사항 기준 수립 / 보안코딩애 대한 검수 방법 및 필요 솔루션 / 전사 적용 방안 등이 필요
- 담당자는 위 사항에 대한 기획 및 리딩을 수행하고 본인이 관여하지 않아도 이후 잘 돌아갈 수 있도록 판을 짜고 정착 시킴
=> 어렵네요....
- 개인정보보호
- 고객 및 임직원의 개인정보를 위해 법령을 분석하고 우리 조직이 어떻게 되어 있는지 현황 파악을 한 후 개선을 리딩 합니다.
- 이를 위해 국내 개인정보 관련 법령 및 해외의 개인정보 관련 법령에 대한 지식이 필요합니다. (GDPR - CCPA - 동남아 개보법 등)
- 개인정보를 활용하여 사업에 이용하고자 하는 회사의 니즈에 맞게 안전하게 활용할 수 있는 실질적인 가이드를 제공합니다.
- 위를 포함한 개인정보가 관여되는 모든 부분에 대한 보호기준 수립 / 가이드 / 개인정보보호 현황 점검 / 등등을 수립한다고 보시면 됩니다.
==> 마찬가지로 IT나 보안인프라에 대한 기반 지식은 필수 입니다. 최소한 그들이 하는 이야기는 다 알아먹고 그 원리 정도는 알아야 합니다.
- 보안정책
- 어떻게 하면 안전하게 업무를 할 수 있는지 법적/기술적 부분을 고려해서 회사의 보안정책을 수립하는 업무입니다.
- 보안기획과 업무가 겹치는 경우가 많습니다.
- 예를 들어 외부에서 사내 시스템 접속을 하려면 어떻게 해야 하나? 라는 명제에 대해서 우리회사는 이렇게 하면 된다는 기준을 제시하고 해당 이슈를 리딩합니다.
* 법적 요구사항 및 회사 업무를 잘 파악을 한 후 장애가 있을 시에만 회사 외부에서의 접근을 허용한다
* SSLVPN - OTP 등 안전한 접속 및 인증 수단을 통해 접속을 수행하며 사전에 접속에 대한 승인을 받는다.
* SSLVPN을 통해 서버에 접속 시 서버접근제어 시스템을 통해 접속자의 작업 기록이 남겨지도록 한다
* 장애 조치가 완료된 후 서버 엔지니어 등은 작업 내용을 분석해서 이상 여부를 판단하고 결과를 보고 한다
* 장애가 없을 시 접속한 인력은 해당 사유의 정당성 등을 소명한다
==> 이런것들을 기업에 맞도록 정책을 수립하고 실제 사용과정에서 나올 중요한 결정 사항에 대한 가이드를 제시합니다.
정보보호 개론, IT 및 보안시스템에 대한 이해, 정보보호관리체계, 관련 법령 등의 지식이 중요하고 복합적인 판단을 할 수 있어야 인정 받습니다.
그냥 IT나 보안인프라 등에 대한 지식이 없이 안전하게 접속하세요 ~ 이런식으로 대응하는 사람은 인프라쪽의 질문에 개박살 나는 경우도 있습니다.
2. 기술보안 : 딱히 잘 모르겠네요
- Cert 직군이 있는듯 합니다. 주로 레드팀과 블루팀 성향으로 나뉘어서 공격과 방어에 대한 연구와 이에 대한 대응을 수행하는듯 하네요
* 정보보호전문업체나 컨설팅 회사로 취업을 많이 하는듯 합니다.
* 완전 대기업이나 IT가 고도화된 IT회사에 취업을 하나 그 수요는 적습니다. (대부분 외주쓸려고 함)
* 국가 기간산업 공공기관에 일부 취업을 하나 그 수요가 적습니다.
- 보안엔지니어 : 정보보호솔루션을 조직의 목표에 맞게 구축하고 운영
* 마찬가지로 전문업체 소속이 많습니다... Cert 직군보다는 대기업이나 IT전문회사에서 채용 빈도가 높습니다.
- 보안개발 : 정보보호업무를 회사의 필요에 딱 맞게 직접 구축도 하고 커스터마이징도 하는 직군. 최근 이에 대한 수요 폭증
* 실질적인 보안위협에 대한 고민을 시작하는 회사들이 주로 이런것을 구현할 수 있는 사람을 찾습니다.
* 보안에 대한 개념과 개발 능력 등이 필요한데 개발자에 가깝습니다.
저의 경우 보안솔루션 엔지니어를 하면서 보안사고 분석, IT시스템 운영, 정보보호솔루션 구축 및 운영 등을 경험하고 관리보안쪽으로 넘어온 케이스라
취약점분석 계통은 잘 알지 못하네요. 현재는 개인정보보호를 하고 있고요.
보안기사 등을 보면 대부분 기술보안에 많이 치우친 내용밖에 없길래 한번 적어보았구요. 기술보안을 하시는 분들 중 관리보안에 대한
사항을 간과 하시는분들이 많은데 양쪽에 대한 지식은 모두 필요합니다.
오늘 비염이 심해서 정신이 오락가락 하는지라 저도 제가 무슨말을 적고 있는지 잘 모르겠는데 언젠가 서울에서 만날 날이 있길 기대합니다.
댓글 5
-
좋은정보 감사합니다.
-
좋은 말씀 감사합니다. ^^
-
성현행님 안녕하세요 저 04 신명호 입니다. ㅎㅎ
안그래도 저도 보안업무 하다보니까 윤우형님이랑 국정원 교육장에서 서로 만나서 연락처 공유하였습니다.
보안업계가 정말 좁은거 같습니다.
이종근 교수님 은퇴하시기 전에 모임한번 추진하려 하였는데 잘 안되었네요
좋은글 잘 읽고 갑니다. 감사합니다.
-
안녕하세요. 19년도 캐스퍼 회장이자 쿠시스 회장으로 활동하고 있는 이소리입니다.
좋은 글 감사합니다. 다음에 뵐 날이 있기를 기대하겠습니다!!ㅎㅎ -
황황
2020.02.03 14:05
명호 반갑네 ㅎㅎ 이 보안업계가 좁긴하지 -0-;;
비번을 몰라서 들어오질 못했네 ㅎㅎ