안녕하세요. 캐스퍼2기 황성현이라고 합니다. 학번으로 97 학번이네요. 앞에 9 붙은 학번 보신적 있으세요 ㅡ_ㅡ)?

학교 졸업하고 정말 오랫만에 동아리 홈페이지를 왔네요.

 

팀 동료들이 오늘 부산으로 다 놀러간지라 심심해서 인터넷 서핑을 하다보니 2019 kucis 회장 내용을 보고

옛 추억이 생각나 잠시 들러 보았습니다. 

 

좋은 글들이 참 많네요. 앞으로 취업 및 미래 비젼 수립을 할때 좋은 참고가 되라고 제가 느낀점 등 소소한 몇가지를 이야기 하고 갈까 합니다. 

 

@ 보안 담당자

1. 관리보안

   - 보안기획

     * Risk Managemet 에 따른 보안향상을 위한 기획을 하고 이를 리딩합니다. 보통 IT 분야 / 개발분야를 잘 알아야 합니다. 

     * 그래서 짬밥이 좀 높은 경우가 많습니다. 두루두루 경험이 필요합니다. (직 간접 경험, 서버,네트워크, 개발, 취약점분석에 대한

       원리를 이해하고 있어야 합니다)

     * 많은 기획이 있겠지만 이런 좋은 예가 있겠군요.

        - 당사에서 프로그램을 개발 할 시 보안에 대한 사항을 프로그램에 반영하지 못해서 모의해킹때마다 취약점이 수두룩하게 나옴

        - 이로 인한 전체 설계 변경, 중복된 개선 작업 등으로 서비스 담당자 및 개발담당자의 고충이 장난 아님

        - 이를 개선하기 위해서 프로젝트 시작 시 보안성심의 라는 제도를 운영하기로 하고 프로젝트 초기부터 설계, 코딩에 보안요소가 적용되게 함

        - 이를 적용하기 위해서 개발 프로세스 개선 / 보안요구사항 기준 수립 / 보안코딩애 대한 검수 방법 및 필요 솔루션 / 전사 적용 방안 등이 필요

        - 담당자는 위 사항에 대한 기획 및 리딩을 수행하고 본인이 관여하지 않아도 이후 잘 돌아갈 수 있도록 판을 짜고 정착 시킴

        => 어렵네요....

   - 개인정보보호

       - 고객 및 임직원의 개인정보를 위해 법령을 분석하고 우리 조직이 어떻게 되어 있는지 현황 파악을 한 후 개선을 리딩 합니다. 

       - 이를 위해 국내 개인정보 관련 법령 및 해외의 개인정보 관련 법령에 대한 지식이 필요합니다. (GDPR - CCPA - 동남아 개보법 등)

       - 개인정보를 활용하여 사업에 이용하고자 하는 회사의 니즈에 맞게 안전하게 활용할 수 있는 실질적인 가이드를 제공합니다. 

       - 위를 포함한 개인정보가 관여되는 모든 부분에 대한 보호기준 수립 / 가이드 / 개인정보보호 현황 점검 /  등등을 수립한다고 보시면 됩니다.

       ==> 마찬가지로 IT나 보안인프라에 대한 기반 지식은 필수 입니다. 최소한 그들이 하는 이야기는 다 알아먹고 그 원리 정도는 알아야 합니다.   

   - 보안정책

       - 어떻게 하면 안전하게 업무를 할 수 있는지 법적/기술적 부분을 고려해서 회사의 보안정책을 수립하는 업무입니다.

       - 보안기획과 업무가 겹치는 경우가 많습니다. 

       - 예를 들어 외부에서 사내 시스템 접속을 하려면 어떻게 해야 하나? 라는 명제에 대해서 우리회사는 이렇게 하면 된다는 기준을 제시하고 해당 이슈를 리딩합니다.     

         * 법적 요구사항 및 회사 업무를 잘 파악을 한 후 장애가 있을 시에만 회사 외부에서의 접근을 허용한다 

         * SSLVPN - OTP 등 안전한 접속 및 인증 수단을 통해 접속을 수행하며 사전에 접속에 대한 승인을 받는다.

         * SSLVPN을 통해 서버에 접속 시 서버접근제어 시스템을 통해 접속자의 작업 기록이 남겨지도록 한다

         * 장애 조치가 완료된 후 서버 엔지니어 등은 작업 내용을 분석해서 이상 여부를 판단하고 결과를 보고 한다

         * 장애가 없을 시 접속한 인력은 해당 사유의 정당성 등을 소명한다 

         ==> 이런것들을 기업에 맞도록 정책을 수립하고 실제 사용과정에서 나올 중요한 결정 사항에 대한 가이드를 제시합니다. 

         정보보호 개론, IT 및 보안시스템에 대한 이해, 정보보호관리체계, 관련 법령 등의 지식이 중요하고 복합적인 판단을 할 수 있어야 인정 받습니다. 

         그냥 IT나 보안인프라 등에 대한 지식이 없이 안전하게 접속하세요 ~ 이런식으로 대응하는 사람은 인프라쪽의 질문에 개박살 나는 경우도 있습니다. 

 

2. 기술보안 : 딱히 잘 모르겠네요

   - Cert 직군이 있는듯 합니다. 주로 레드팀과 블루팀 성향으로 나뉘어서 공격과 방어에 대한 연구와 이에 대한 대응을 수행하는듯 하네요

     * 정보보호전문업체나 컨설팅 회사로 취업을 많이 하는듯 합니다. 

     * 완전 대기업이나 IT가 고도화된 IT회사에 취업을 하나 그 수요는 적습니다. (대부분 외주쓸려고 함)

     * 국가 기간산업 공공기관에 일부 취업을 하나 그 수요가 적습니다. 

   - 보안엔지니어 : 정보보호솔루션을 조직의 목표에 맞게 구축하고 운영

     * 마찬가지로 전문업체 소속이 많습니다... Cert 직군보다는 대기업이나 IT전문회사에서 채용 빈도가 높습니다.

   - 보안개발 : 정보보호업무를 회사의 필요에 딱 맞게 직접 구축도 하고 커스터마이징도 하는 직군. 최근 이에 대한 수요 폭증

     * 실질적인 보안위협에 대한 고민을 시작하는 회사들이 주로 이런것을 구현할 수 있는 사람을 찾습니다. 

     * 보안에 대한 개념과 개발 능력 등이 필요한데 개발자에 가깝습니다. 

 

저의 경우 보안솔루션 엔지니어를 하면서 보안사고 분석, IT시스템 운영, 정보보호솔루션 구축 및 운영 등을 경험하고 관리보안쪽으로 넘어온 케이스라

취약점분석 계통은 잘 알지 못하네요. 현재는 개인정보보호를 하고 있고요.

 

보안기사 등을 보면 대부분 기술보안에 많이 치우친 내용밖에 없길래 한번 적어보았구요. 기술보안을 하시는 분들 중 관리보안에 대한

사항을 간과 하시는분들이 많은데 양쪽에 대한 지식은 모두 필요합니다.

오늘 비염이 심해서 정신이 오락가락 하는지라  저도 제가 무슨말을 적고 있는지 잘 모르겠는데 언젠가 서울에서 만날 날이 있길 기대합니다.