개인정보 영향평가 전문교육과 시험 그리고 PIA 전문인력 자격 취득 (2016)

Posted by taeho Tae-Ho
2016.07.22 21:57 나의 일

2016년 7월 21일 오전...

지난 6월의 후반부 2주...그리고 7월 첫주의 토요일까지 5일간 이수한 개인정보영향평가 전문교육과 마지막날 치러진 평가시험의 결과가 어제 아침... 이메일로 송부되어 왔다.



그리고 함께 수신된 인증서...



이 개인정보영향평가에 대한 자세한 정보는 행정자치부에서 운영하는 "개인정보보호 종합포털"에서 확인할 수 있는데 개인정보 영향평가를 받고자 하는 기관은 반드시 개인정보 영향평가 전문교육을 이수하고 인증시험을 통과한 전문인력으로 구성된 영향평가팀에게 영향평가를 받도록 법제화되어 있다.


때문에 요즘(2016년)은 이 PIA자격증만 있으면 개인정보 영향평가 기관으로 지정받은 전문업체나 보안컨설팅업체에 어렵지 않게 취업이 가능하다고 하는 핫한 직종이다.


자세한 개인정보 영향평가 전문교육과 시험 내용은 카페에 올렸다. (보러가기)


신고
이 댓글을 비밀 댓글로

빅데이터 플랫폼에 대한 일부 보안 전문가들의 오해

Posted by taeho Tae-Ho
2016.07.13 12:00 나의 일

요즘 빅데이터(Big Data)라는 말이 유행이다.  하지만 "유행"이라는 점을 주의해야 한다. IT를 주요 기반으로 활용하는 여러 업계에서 마치 빅데이터 플랫폼을 필수적으로 도입해야하는 것 처럼 인식하면서 업계와 시장이 혼란스러워지는 현상이 나타나고 있다. 하지만 데이터베이스에 대한 실체를 다루어본 나로서는 하둡과 같은 빅데이터 플랫폼을 보안솔루션에 적용하는 것에 대해 부정적이지도 않고 긍정적이지도 않은 중립적 스탠스를 취할 수 밖에 없다.

스스로 빅데이터 플랫폼이 뭔지 잘 모르는데다 DBMS에 대한 기술적 지식이 부족하다면 빅데이터의 본질에 대한 이해와 활용방안의 수립 그리고 도입은 오해와 허풍으로 가득찬 유행이 사그라든 뒤 고민해도 늦지않을 것이다.

왜냐하면...

빅데이터의 기본 개념이 "기존의 데이터베이스시스템으로서는 저장, 관리, 분석이 불가능한 크기의 데이터"를 다루는 것이고 실시간 분석 보다는 사후 분석이 핵심 기능이며 비정형데이터를 처리한다고 하지만 아직은 걸음마 수준이기 때문이다. 여기서 "관리가 불가능한 크기", "배치성 사후 분석" 그리고 "걸음마 수준의 비정형데이터 처리"는 아직은 보안 솔루션이나 관제에 활용하기에는 적합하지 않음을 의미한다고 생각하게 되었다.

보안감사로그 분석에 빅데이터의 병렬처리가 적합한가?

많은 데이터베이스에 대해 경험이 부족한 사람들은 왜 기존의 DBMS는 빅데이터플랫폼처럼 빅데이터를 처리하지 못하는가 라는 것을 이해하지 못한다.

오라클이나 MSSQL, MySQL 등의 RDBMS는 다수의 사용자가 온라인으로 동시에 접속하여 데이터에 대한 저장, 수정, 삭제, 읽기를 수행하도록 만들어져 있기 때문에 데이터의 무결성 보장, 트랜잭션관리, 락킹시스템 구현을 위해 운영체제 만큼이나 매우 복잡하게 설계되어 있다.  때문에 하나의 데이터베이스를 여러대의 서버에 분산 저장을 지원하기는 현재의 기술로서는 불가능에 가깝다. 아마도 기존의 설계를 모두 뒤집고 처음부터 새롭게 만들어도 구현이 어렵다고 생각된다.

결론적으로 현재까지 출시된 데이터베이스 관리시스템은 다수의 서버에 하나의 DB를 분산 생성하고 관리하는 병렬처리가 불가능하다고 보는 것이 옳다. 

그렇다면 과연 보안감사로그 분석을 위해 빅데이터 플랫폼을 도입하고 여러대(하둡의 경우 최소 3대 이상을 권장)의 서버를 할당하여 전사적으로 보안감사로그를 수집 저장한 뒤 분석을 하여야 하는가? 물론 보안인 입장에서 필요한 경우도 있다고 생각하지만 과연 어느 조직이 보안 위협을 탐지하기 위해 다수의 서버를 위협탐지 전용으로 활용하며 빅데이터 전담자를 두고 빅데이터를 분석하겠는가? 내가 접한 수많은 공공기관과 기업들 중에는 그럴만한 고객사는 없다고 생각되며 있다 하더라도 보안업체 입장에서 "돈"이 되지 않을 것이라는 것은 확실하다.

빅데이터 플랫폼은 실시간 분석이 가능한가?

빅데이터 플랫폼은 여러개가 있다. 가장 유명하고 대표적인 플랫폼은 하둡이다. 일단 하둡과 같은 빅데이터 플랫폼은 사용자가 제한적이다. 일반 데이터베이스처럼 다수의 사용자를 대상으로 서비스를 제공하기 위한 범용성격의 데이터베이스가 아니다. 빅데이터의 정의처럼 1대의 서버에서 처리가 불가능한 크기의 데이터를 다수의 서버에 분산저장하고 "특정" 목적을 위한 분석을 수행하고 그 결과를 도출하는 시스템을 만들기 위한 플랫폼이다. 즉 데이터베이스와는 목적 자체부터 다르다.

빅데이터 플랫폼은 데이터에 대한 읽고 쓰기(수정포함)가 빈번한 실시간 처리를 수행하는 DBMS와는 달리 "한번쓰고 여러번 읽는" 형태의 접근이 많다. 또한 다수의 사용자가 실시간으로 데이터를 읽고 쓰는것이 아니라 배치성으로 한번에 하나의 작업만이 수행된다. 이러한 특징으로 인해 락에 대한 처리나 트랜잭션의 개념이 희박해 데이터의 무결성이나 정합성을 DBMS처럼 100% 보장하지도 않는다. 당연히 온라인 서비스에 데이터를 제공하고 요청을 실시간으로 처리하는 DBMS를 대체하는 것은 현재로서는 불가능하다. 따라서 빅데이터 플랫폼을 보안서비스에 적용하더라도 실시간으로 위협을 탐지하고 분석하여 대응을 하는 것은 꿈같은 일이다.

빅데이터 플랫폼이 비정형데이터를 처리할 수 있는가?

많은 사람들이 빅데이터 플랫폼이라 하면 무조건 비정형 데이터의 처리부터 생각하는 경향이 있다. 하지만 이는 큰 오해다. 실제로 빅데이터 플랫폼에서 비정형데이터를 처리하는 사례는 매우 드물며 비정형데이터의 처리가 빅데이터플랫폼의 필수요소도 아니다.  하지만 보안에서는 다양한 기기와 솔루션에서 발생하는 감사로그가 대부분 비정형 상태의 텍스트다. 따라서 정형화하고 분석하는 과정이 필수적이며 이러한 작업은 제아무리 빅데이터 플랫폼이라 하더라도 실시간으로 비정형데이터를 분석하여 위협을 탐지하는 것은 불가능하다.

과거 ESM 솔루션들이 비정형 감사로그를 정형화하여 분석하는 시도를 하였고 ESA나 SIEM 등 여러 솔루션들이 이를 지원하는 듯 하지만 성공적인 비정형 데이터 분석을 통해 위협을 탐지하는데 성공한 사례는 거의 찾아볼 수 없다. 성공사례가 거의 없다는 것은 솔루션들이 비정형데이터를 처리할 수 있느냐 없느냐가 중요한 것이 아니라는 것을 암시한다. 

물론 빅데이터 플랫폼은 어찌됐든 비정형 데이터를 다양한 검색 및 분석알고리즘을 통해 정형화하여 처리하는 기술을 개발하고 있다. 만약 그 알고리즘을 보안 빅데이터에 적용한다면 오탐이나 미탐이 없을까? 당연히 오탐이나 미탐이 많이 발생할 수 밖에 없다. 어찌보면 지금까지의 탐지기술보다 오탐과 미탐이 많이 발생할 공산이 크다. 


이렇듯 빅데이터 플랫폼은 보안과 직접적인 연결을 지어 도입하거나 구축하기에는 아직은 나아갈 길이 먼 솔루션이다. 그럼에도 불구하고 많은 보안업체들이 보안과 빅데이터를 연결지어 유행처럼 언론에 적절하지 못한 기사들을 쏟아내고 있다. 보안인 입장에서 이러한 유행따라가기 식의 자사의 가치를 높이기 위한 언론플레이는 결코 바람직해보이지 않으며 보안인으로서 요구되는 보다 냉철한 현실인식과 판단이 필요하다고 본다.

왜 빅데이터에 대한 오해가 생기는가?

빅데이터를 포함하는 데이터베이스 분야는 얕은 이론적 지식만으로 다가설 수 있는 분야가 아니다. 실제 엄청난 양의 데이터를 떡주무르듯 하려면 운영체제와 데이터베이스에 대한 상당한 이론과 경험이 필요하다. 하지만 보안 전문가들은 그런 경험이 없다. 게다가 데이터베이스가 처리하는 데이터에 대한 이해도 부족하다. 

데이터타입의 char 타입과 varchar 타입의 차이..BLOB는 무엇인지.. 그리고 그 데이터들이 데이터베이스에서 어떻게 저장공간을 차지하는지.. 테이블은 어떻게 생성되고 인덱스는 어떻게 생성되는지.. 데이터의 인서트와 읽기가 대부분인 테이블과 인서트, 업데이트, 읽기가 빈번한 테이블은 어떻게 생성해야 하는지.. 로우레벨락, 페이지레벨락, 테이블레벨락이 무엇인지.. 테이블을 여러개의 디스크에 파티셔닝하는 것은 왜인지..파티셔닝의 종류는 무엇무엇이 있는지.. 등등  

데이터베이스의 기본적인 지식도 부족하면서 빅데이터를 논하는 것은 한마디로 어불성설이다.

빅데이터에 대한 오해는 자신이 모든 분야의 전문가라는 착각에서 생겨난다. 

정보보안에서 필요한 데이터 처리 기술은 무엇인가?

한 때... 아니 사실 지금도 그렇지만 몇몇 보안로그 수집과 처리 전문업체가 흥한 때가 있었다. 네트워크 장비, 보안 장비, 서버, 백신 등 다양한 보안 감사로그를 수집하여 데이터베이스에 저장하고 실시간으로 분석하여 대시보드를 통해 보안 위협을 알려주는 솔루션을 만들어 흥한 것이다. 하지만 십여년이 지난 지금 그 솔루션들은 기술적 한계를 극복하지 못하고 무너지고 있다.

그 이유는 앞에서 언급한 몇개의 질문에 대한 기술적인 해법을 제시하지 못했기 때문이다.

첫째는 다양한 보안로그의 저장과 분석 기술이다. 로그를 수집하여 데이터베이스 혹은 파일에 저장한 뒤 분석하려 하는데 이는 잘못된 생각이다. 일단 데이터가 파일이나 데이터베이스에 저장되면 분석을 위한 조회와 이벤트 코릴레이션의 속도가 저하되어 제대로 처리할 수 없다.

둘째는 보안이벤트의 정형화다. 비정형데이터를 분석하기 위해 스플렁크나 빅데이터 플랫폼을 고려하지만 보안이벤트는 성격이 다르다. 보안이벤트를 분석하기 위해 스플렁크나 빅데이터 플랫폼을 고려한다면 그것은 잘못된 선택이다. 효과적인 보안이벤트의 정형화와 관리가 필요하다.

셋째는 연관관계 분석 기술이다. 이 또한 데이터를 파일이나 데이터베이스에 일단 저장하고 난뒤 분석하는 것은 속도측면이다 효율성측면에서 잘못된 선택이다.

이 세문제를 해결하지 못하면 보안 이벤트의 실시간 분석을 통한 위협 탐지는 요원한 숙제가 될 수 밖에 없다.


신고
이 댓글을 비밀 댓글로
  1. 개인적으로 아직도 국내에서는 뜬 구름잡는 것 같은 빅데이터 이야기들이 많은 것 같습니다.
    아무리 봐도 그냥 그런데다가 빅데이터란 용어를 많이 붙이기도 하구요.
    그 실시간으로는 어려운 부분도 아직 일선의 결정권을 가진 높으신 분들에게는 통하지도 않는것 같습니다. ^^
    • 대한민국은 모든 면에서 참 유행에 민감합니다. 좋은 작용을 할 때도 있지만 부작용도 만만치 않은게 사실이죠..

제8회 병원 의료정보화 발전 포럼 참가

Posted by taeho Tae-Ho
2016.03.30 11:12 나의 일

2년 전... 전자정부 정보보호 솔루션페어 참가 이후 행사 참여는 일절 없었는데 2년 만에 작지만 포럼에 참가하게 되었다. 내가 하는 "서버보안" 일이 보안업계에서도 그다지 겉으로 드러나지 않는 분야이기에 세미나나 포럼 등 참가할 일이 사실 거의 없다.


서버보안은 많은 사람들이 그저 "운영체제의 보안 설정 잘해주면 되는거 아냐?"라고 생각하기 일쑤다. 하지만 운영체제의 보안설정이라는 것이 운영체제가 갖고 있는 근본적인 취약성을 제거해주지는 못할 뿐더러 "내부통제" 측면에서 봤을 때는 사실상 "보안 설정을 하나 안하나" 별반 차이없는 수준이기에 서버보안SW는 꼭 필요한 존재라 할 수 있다.


그리고 최근 이슈가 되고 있는 ISMS(정보보호관리체계) 인증 의무 대상 기업 확대에 종합병원 급의 대형 병원들이 무더기로 포함될 것으로 보이면서 매년 2회씩 진행되는 병원협회의 의료정보화 발전 포럼에서 이번엔 ISMS와 관련된 내용들이 많이 포함되어 있었다. 그리고 실제로도 대형병원의 정보시스템 부서와 보안 담당자 분들이 대거 참여할 것으로 예상되었고 실제도로 많은 분들이 관심을 갖고 참여하였다.



이번 포럼에서 우리회사는 "서버보안시스템 소개" 세션의 발표와 전시부스 운영을 맡아 진행하였다.


전시부스 사진... 사실 전시부스는 세개업체에서만 참여하였다. 포럼이 열린 연세세브란스병원 은명대강당의 구조상 그 이상의 부스는 설치가 어려워보였다. SecureOS인 RedCastle과 이중인증 그리고 명령어 통제 워크플로를 지원하는 AuthCastle과 통합감사서버인 AuditCastle.. 이 세개의 솔루션이 서버보안 시스템을 구성한다. 그 어떤 솔루션보다 "서버의 보안 접근 통제 및 내부통제강화"에 막강한 능력을 발휘한다. 그래서 내가 10년 넘게 서버보안 분야에 몸담고 있을 수 있다.



2016 병원 의료정보화 발전 포럼의 프로그램.. 오후 2시40분.. 한참 식곤증이 밀려올 타이밍.. 서버보안시스템 소개 세션이 있었다. 오전엔 이번 포럼의 핵심 주제인 보안과 ISMS 인증관련 세션들로 가득차 있다.



서버보안시스템 소개를 비롯해 하루종일 발표가 이어진 은명대강당.. 서버보안시스템 소개 세션 장면.. 홍성훈 차장이 찍어준 사진.. 교육, 제안발표, 설명회 등을 통해 자주 발표를 하지만 할 때마다 떨린다는.. -.- 이놈의 무대 울렁증은 사라질 줄을 모른다.



아래는 발표자료의 핵심 내용 중 하나인 "서버보안시스템"과 ISMS 인증기준의 관계를 정리한 장표..



사실 아직도 많은 기관과 기업에서 ISMS 인증기준 대비 제대로 된 보호대책을 수립하지 못하고 있는 것이 현실이다. 수립하고 있더라도 관리자 수준에서 모두 무력화 시킬 수 있는.. 서버보안 분야에서 일하고 있는 내 기준에선 내부통제 관점에서 볼 때 제대로 된 보호대책이라 인정하기 힘든 수준에 머무르고 있는 경우가 대부분 이다. 서버의 보안을 강화하기 위해선 서버 내에 강력한 통제 기능을 가진 서버보안SW가 필수적인 이유다. 게이트웨이 형태의 보안장비를 도입해서 해결할 수는 없는 것이 바로 "서버의 보안 강화" 숙제다.

신고
이 댓글을 비밀 댓글로

리더의 조건

Posted by taeho Tae-Ho
2016.01.03 22:17 나의 일

어느새 다사다난했던 2015년이 지나고 2016년이 밝았다. 그리고 2016년 한해도 지난해 못지않게 다사다난할 듯하다. 그리고 올해는 내가 직업을 갖고 직장을 다닌지 만으로 20년이 되는 해다.


20년...


지난 20년간 두 개의 회사에 재직했었고 대여섯 개의 본부와 팀을 경험했다. 그리고 운이 좋았는지 초반 4~5년이 지난 뒤 부터 때로는 작고 때로는 큰 조직을 맡아 리더가 될 수 있었다. 그리고 그 긴 시간동안의 경험을 바탕으로 팀과 본부급의 조직에서 리더가 갖추어야할 조건들에 대해 참 많은 것을 깨달을 수 있었다.


어떤 조직이든 조직의 리더에게는 리더쉽이 필요하다. 하지만 중요한 것은 조직의 리더가 갖추어야할 역량이나 능력은 조직이 처한 상황이나 구성원의 특징 혹은 조직의 분위기에 따라 모두 다르다는 점이다. 전에도 쓴 적이 있지만 (보러가기) 언론이나 자기계발서와 같은 책에서 떠드는 현실과 동떨어진 리더쉽을 마음에 담아두고 따라하려 해서는 안된다는 것이다.


흔히 리더쉽을 이야기하면 많은 사람들이 카리스마, 친화력 등 단순히 인간관계에서 한 사람을 돋보이게 하는 능력들을 이야기하지만 사실 그런 능력은 조직을 이끄는데 있어 양념의 역할은 할 수 있으나 조직을 제대로 이끌어 성과를 내는데는 큰 도움이 되지 못한다는 사실을 이해하지 못한다. 


예를 들어 팀장이 카리스마가 있다고 팀원들이 더 열심히 일한다는 것은 아무런 근거도 없고 사실도 아니다. 다만 조직력이 잘 갖추어진 조직에서 팀장이 카리스마가 있다면 팀의 조직력을 다지는데 도움이 될 수는 있다. 또한 팀장이 친화력이 좋다고 팀원들이 열심히 일하는가? 팀장의 친화력은 그저 팀의 결속력을 다지는데 도움을 줄 뿐이다.


하지만 어떤 조직이든 리더가 갖추어야 하는 공통의 덕목 혹은 능력은 분명히 있다. 20년의 조직생활에서 깨달은 몇가지 리더의 조건에 대해 써보고자 한다.


솔선수범(率先垂範)


너무 식상한가? 이 네 글자를 보고 "겨우 이 이야기를 하려고.."라는 느낌이 찰라의 순간이라도 들었다면 당신은 지금까지 리더의 자격이 없었다고 단언하여 말해주고 싶다. "맞아..!!"라고 무릎을 쳤어야 한다. 율곡선생이 왕에게 "솔선수범"할 것을 직언했을 만큼 솔선수범은 리더가 갖추어야할 첫 번째 덕목이다.


직원들에게는 회사가 어렵다며 비용절감을 외치고 업무 수행에 필요한 최소한의 업무추진비 마저도 쓰지 못하도록 이런 저런 제약을 가하면서 사장이나 본부장, 팀장이 차량을 지급받고 직원들이 상상하기 힘들만큼 법인카드를 쓰고 다닌다면 직원들은 결코 회사에 애사심을 갖지 않는다. 당연히 조직의 성과도 기대할 수 없다.


또한 업무에 있어서도 솔선수범해야 한다. 예를 들어 직원들에게 출근시간을 지키도록 강요하면서 임원들이나 팀장들이 출근시간을 제대로 지키지 않는다면 누가 과연 업무에 충실하겠는가? 


또한 특정업무를 직원에게 시키기 전에 리더가 그 업무를 훌륭하게 해내는 것을 직원들에게 직접 보여줘야 한다.직원들은 자신들의 리더가 자신에게 할당한 업무를 훌륭하게 해낼 수 있다는 것을 믿을 때 그 업무에 보다 적극적으로 나선다. 리더가 그 업무를 완수하는 것을 본적이 없다면 직원들은 그 업무를 리더가 훌륭하게 완수할 수 있다고 생각하지 않는다. 즉, 업무를 대충해도 리더가 그 업무의 결과에 대해 제대로 판단할 수 없을 수도 있기에 적극적으로 업무를 수행하지 않는 것이다. 반면 리더가 그 업무를 완벽하게 수행해내는 것을 본 직원들은 최소한 리더가 수행한 만큼의 완성도를 추구하며 업무를 수행하게 된다. 리더가 수행하여 완수한 완성도가 직원들이 업무를 수행했을 때의 최소한의 기준이라고 각인하기 때문이다.

때문에 리더는 리더에게 속한 직원들이 보고 따라야하는 업무 수행의 목표가 되어야 한다.


나 또한 15년 동안 조직을 이끌면서 가장 신경을 썼던 대목이기도 하다.


적재적소(適材適所)

리더는 직원의 능력과 경험치에 따라 업무를 수행하기에 가장 적합한 직원에게 업무를 할당해야 한다. 많은 리더들이 제대로 갖추지 못한 능력 중 하나다. 리더가 갖추어야 하는 적재적소의 덕목은 직원의 업무수행 능력과 업무 난이도의 균형을 맞춰 능력을 낭비하는 일이 없도록 하는 것이며 또한 업무에 문제를 야기하지 않도록 하는 능력이다.

너무 어려운 업무를 능력이 되지 않는 직원에게 할당하거나 쉬운 업무를 탁월한 능력을 가진 직원에게 할당하는 실수를 범하면 안된다. 


또한 직원들은 모두 각자의 장점과 단점을 갖고 있다. 조직에서 수행해야 하는 모든 업무에서 탁월한 능력을 발휘하는 직원은 없다고 생각해야 한다.(멀티플레이어는 없다.) 따라서 조직에서 수행하는 다양한 업무를 잘 수행할 수 있도록 직원들을 적재적소에 배치하는 능력은 리더가 갖추어야할 매우 중요한 덕목이다. 


영업적 능력이 떨어지는 직원에게 영업을 맞긴다든가 화술이 부족한 직원에게 프리세일즈 업무를 맞기고 직원들을 통솔하는 능력이 떨어지는 직원에게 특정 조직의 리더를 맏기는 등의 과오는 적재적소의 능력을 갖추지 못해 발생하는 문제다. 


자기에게 맞지 않는 옷을 입은것 같은 직원들은 당연히 저성과의 늪에 빠지게 되고 다른 직원들과의 업무적 관계에서 서로에게 불만을 갖게 되며 불평을 입에 달고 살게 된다. 이런 조직은 당연히 업무성과가 떨어질 수 밖에 없고 조직이 사분오열될 수 밖에 없다.


존중(尊重)

리더는 직원들을 인격적으로나 업무적으로 존중해야 한다. 주변에서 흔히 직원들이 수행한 업무의 결과에 대해 너무 쉽게 소리지르고 꾸짓고 인격적으로 상처를 받을만큼 혼을내는 경우를 흔히 볼 수 있다. 그렇다고 제대로 코멘트를 해주는 것도 아니면서 말이다. 


특히 여러 직원이 함께하는 회의 시간에 친하다는 이유로 특정 직원에게 반말로 업무를 지시한다거나 직원들을 하인 부리듯 하며 무시하는 경우도 흔히 볼 수 있다. 둘 만의 공간에서 사적인 대화나 가벼운 업무상의 이야기를 할 때는 반말을 할 수도 있겠지만 여러 직원이 함께하는 공식적인 회의 석상에서 반말은 상황과 분위기를 봐가며 해야한다. 


또한 직원에게 지시하여 작성된 보고서나 결과에 대한 검토 시 언성을 높이거나 (제대로 업무를 가르쳐주지도 않았으면서) 타박을 하는 행위는 결코 있어서는 안된다. 또한 그 결과물을 타박하고 처음부터 직접 다시 작성하거나 대대적으로 수정하는 행위 또한 피해야 한다. 이는 직원이 "그럴 거면 왜 시켰냐?" 라는 불만을 갖게되는 직접적인 원인이 되며 이후 다른 업무를 수행할 때도 "어차피 혼나고 다 고쳐질텐데..."라는 패배의식을 심어주게 된다. 번거롭더라도 함께 검토하며 수정 방향을 꼼꼼히 체크해주고 업무 담당자가 직접 수정하도록 하여야 하며 모두 완료되면 "칭찬"을 빼놓지 말아야 한다.


또한 주의해야 할 것은 "사적인" 일을 시키지 말아야 한다는 것이다.

쓰레기통을 비우게 한다든가 심부름을 시킨다던가 하는 행위는 삼가야 한다. 때로는 부탁을 통해 작은 일들을 시킬 수도 있겠지만 당위성은 항상 염두에 두어야 한다. 업무 외적인...사적인 일을 지시받고 수행하는 직원은 당연히 불만을 갖게 된다. "내가 심부름이나 하려고 이 회사에 입사했나?"라는 생각을 한번 쯤 안해본 사람은 없을 것이다. 그만큼 불만의 원인이 된다.


리더로 부터 존중받지 못하는 직원들은 겉으로는 리더를 따르는 듯 하지만 마음 속으로는 매우 강렬한 반감을 갖게 되며 조직의 다른 구성원과의 관계도 나빠질 수 밖에 없다.


그 외에도 직원에 대한 존중에서는 언급할 것이 매우 많지만 모두 언급할 수는 없다.


공부(工夫)

내가 기술분야의 직업을 갖고 있기 때문인지는 모르겠지만 공부는 이 업종을 떠나는 순간까지 게을리해서는 안된다는 생각을 하게 되었다. 더군다나 작던 크던 기술조직의 리더라면 적어도 직원들보다는 많은 것을 알고 있어야 한다.


기술인력은 두가지 종류로 구분된다. 하나는 기술자이고 하나는 기능공이다. 넓은 의미에서 기술자는 기능공을 포함한다고 할 수 있다. 하지만 엄격히 따졌을 때 기술과 기능은 분명 구분이 가능하다.


특정업무에 숙련된..즉 반복되는 기술업무에 숙련된 사람은 기능공이라 불린다. 하지만 기술자라면 경험하지 못한 새로운 이슈에 대응할 수 있는 기반기술을 가진 사람을 뜻한다. 하지만 IT업종에서 많은 "엔지니어"라 불리는 사람들은 그저 "기능공" 수준을 벗어나지 못한다. 


나는 DBA나 DB엔지니어가 아니니까...

나는 개발자가 아니니까...

나는 네트워크 엔지니어가 아니니까...


적어도 기술조직의 리더가 되고자 한다면 DB, Network, OS, Programing은 물론 시스템SW에 대한 기반 기술들은 갖고 있어야 한다. 하지만 그 많은 분야의 지식을 쌓기위해서는 끊임없는 공부가 필요하다. 기술조직에서 그저 관리를 위한 리더는 존재가치가 없다. (적어도 난 그렇게 생각한다.)

하지만 기술조직의 팀장이나 부서장들 중에서 그렇게 열심히 공부하는 리더는 찾아보기 힘든게 현실이다. 오히려 사적인 이익을 취하기 위해 회사의 내부 정치나 인맥관리를 위해 술마시기를 즐기거나 자신은 잘 모르면서 직원들에게 떠넘기고 제대로 결과를 챙기지도 못하는 리더가 오히려 많은게 엄연한 현실이다.


그래서 조직원들이 따라 줄까? 과연 성과는 제대로 나올까? 그런 엔지니어들이 사업을 수행하는데 고객은 사업 수행 결과에 만족할까? 더군다나 변화 무쌍하고 새로운 기술이 넘쳐나는 IT 바닥에서 말이다.




지금까지 생각나는 대로 두서없이 리더의 조건에 대해 써봤다. 내 성격 상 한번 쓴 글은 오랫동안 다시 보지 않기에 읽기에 좀 거북한 표현이 있을지도 모르겠다. 20년간 일하면서 존경하고 따를 만한 리더를 만난적이 별로 없기에 세상의 많은 리더들에 대해 부정적인 생각을 갖고 있는게 사실이다. (하다못해 대통령 마저도 이모양이니...)


2016년 새해들어 복잡한 심경을 정리하며 문득 나는 어떤 리더였는지..그리고 내가 모셨던 리더들은 어떤 분들이었는지를 생각하다 문득 내가 추구하는 리더의 모습은 이런게 아닐까하는 생각이 떠올라 기록으로 남겨본다.


신고
이 댓글을 비밀 댓글로
  1. 솔선수범이야말로 가장 기본이 되지만 동시에 가장 어려운것이 아닐까 싶습니다ㅎㅎ 특히나 속칭 군대식 짬밥문화에 익숙한 사람들일수록 더 그런듯 하고요.. 꼭 찍어 관리자 입장에서만이 아니라 누구에게나 필요한것이 솔선수범이란 점을 상기하면서 새해 스타트를 잘 끊어볼까 합니다. 좋은 글 잘 읽고 갑니다~ 주인장님도 새해 복 많이 받으셔요ㅎ
    • 감사합니다~ Frost.C님도 새해 복 많이 받으세요~
    • 2016.01.10 16:53
    비밀댓글입니다
    • 방명록에 답변 드렸습니다. 새해 복 많이 받으세요.

ISMS 인증심사원 자격증명서 수령 (2015년)

Posted by taeho Tae-Ho
2015.12.07 23:30 나의 일

2014년 겨울...


10년 여의 보안업계 근무 경력을 증거할 무언가를 만들기 위해...그리고 혹시나 모를 이직에 대비하기 위해 필기와 실기를 합쳐 평균 10% 내외라는 합격율을 자랑(?)하는 정보보안기사 자격증을 취득했다.


그리고 강화된 ISMS 인증심사원 제도가 시행된 첫 해인 2015년, 서류전형 및 필기시험과 5일간의 교육 그리고 실기 시험을 거쳐 자격증을 취득하게 되었다. (ISMS 인증심사원 필기시험과 심사원 교육 후기)


ISMS 인증심사원 제도

ISMS 인증심사원은 2014년 까지는 "위촉"의 형태였다. 위촉의 사전적 의미는 다음과 같다.


일반적인 의미는 어떠한 일을 부탁하여 맡긴다는 뜻이며, 법률적 개념으로서는 사무의 처리를 타인에게 의뢰한다는 뜻으로 위탁(委託)과 같다.


즉 한국인터넷진흥원(KISA)에서 심사를 대행할 심사원을 모집하여 교육과 시험을 거쳐 통과된 사람에게 심사를 대신 위탁하는 것이다. 그래서 ISMS 인증심사원들에겐 "자격증"이 아닌 "위촉장"이 주어졌다고 한다. (자격증이라 명시되었지만 실제론 위촉장이었다고 함)


하지만 2013년 개정된 정보통신망 이용촉진 및 정보보호 등에 관한 법률과 이하 시행령 및 고시에서 다음과 같이 인증심사원의 자격 요건을 명시하고 있다.



그리고 2014년 하반기까지는 별도의 시험없이 서류심사만으로 인증심사원 교육 대상자를 선발하여 교육을 실시하고 실기시험을 거쳐 인증심사원으로 위촉하였다. 하지만 지속적으로 인증심사에 대한 여러가지 문제점이 대두되자 2015년 부터 서류심사-필기시험-교육-실기시험의 4단계 전형을 실시하는 것으로 제도가 변경되었다.


제도가 변경되면서 2015년에는 필기시험이 치러졌으며 심사원도 "위촉"이 아닌 "국가 공인 자격"으로 인정받게 되었다. 그리고 합격율이 역시나 10% 정도 였던 2015년 필기시험에 운이 좋았는지 합격하고 교육을 거쳐 실기 시험을 치른뒤 ISMS 인증심사원 자격을 취득한 첫 기수(?) 되었다.


신고
이 댓글을 비밀 댓글로

ISMS 인증심사원 시험과 교육 (2015년)

Posted by taeho Tae-Ho
2015.10.22 12:00 나의 일

직장에 적을 두고 일을한지 20여년... 이제 앞으로의 20년(?)을 위한 전환점이 되지 않았나 싶다.


개발..DBMS..시스템(서버위주) 성능/장애/이벤트 통합관리..그리고 보안... 다양한 기술업무를 주 업무로 수행한지 15년.. 그리고 최근 몇년간은 프리세일즈 업무를 수행했다. 


지난 2~3년간 현재하고 있는 일 보다 한단계 발전적인 일을하기 위한 여러 시도를 했었고 그 마지막 결실의 수확을 눈앞에 두고 있다.


바로 ISMS 인증심사원 이다.


내가 작년부터 시도한 보안관리체계의 인증심사원 자격취득.. 작년(2014년)까지만 해도 ISMS 인증심사원 선발은 서류심사와 5일간의 심사방법론 교육과 교육 마지막날 치러지는 심사실습시험으로 이루어졌었다. 당연히 학벌.. 수행하는 업무가 보안컨설팅인지..등이 더 중요하게 서류전형에 작용했을거라 예상된다. 하지만 올해(2015년) 부터는 서류 자격 심사는 많이 완화되는 대신 필기시험이 치러졌다.


인증심사원의 자질논란 촉발

ISMS 인증심사원 선발과정에 필기시험이 추가된 이유는 현재 ISMS 인증심사를 수행하는 심사원들의 자질 논란 때문이라고 한다. 당연히 그런 논란이 발생할 수 밖에 없을 것이다.


보안관리체계의 핵심 요소 중 하나인 다양한 보안 솔루션을 조직의 보안정책에 맞추어 제대로 활용하고 있는지..그리고 관련 감사자료를 증적하고 있는지를 보는 것이 심사의 중요한 포인트 중 하나다. 하지만 현재 대부분의 기업과 공공기관에서 도입하여 운용하고 있는 보안 솔루션들은 자체적인 문제점을 매우 많이 갖고 있어 완벽하지 못한 상태로 운영되고 있는 경우가 많다.


반면 다양한 운영체제와 보안 솔루션들에 대한 기술적 이해와 경험이 없는 심사원들이 심사를 수행하고 있는 경우가 있다. 따라서 기업과 보안조직이 당면하고 있는 어려움을 이해하지 못한 채 무리하게 "원칙"만을 내세우면 심사 대상 기업에서는 "불만"을 토로할 수 밖에  없다. (ISMS/PIPL 등 대부분의 인증심사원이 서류전형과 교육만으로 심사원자격을 부여받고 있다.)   그러한 어려움을 이해하고 대체 가능한 보안정책과 보완대책을 인정하고 보완대책이 현실적인 대안이 될 수있는지를 봐주어야 하는데 현실적으로 경험이 부족한 심사원들은 그러한 유연성을 발휘하지 못하는 것이 아닐까 생각된다. (개인의견임)


인증심사원 필기시험으로 본 심사원 선발 기준

2015년 인증심사원에 지원하면서 작년(2014년)에 취득한 정보보안기사 자격증이 얼마간 도움이 되었다고 생각되며 2015년 1회 ISMS 인증심사원 필기 시험을 치른 경험을 바탕으로 보면...


1. 빠른 판단력과 이해력


시험의 형식을 보면... A4 사이즈 50 page에 육박하는 방대한 내용의 시험지가 주어진다. 문제는 단 80문제. 시간은 겨우 2시간이다. 지문과 예문 등을 꼼곰히 읽으며 생각할 시간은 없다. 누군가 그랬듯이 "동물적인 감각"으로 정답을 찾아내야 한다. 문제는 5지선다형이 대부분이고 정답 하나만 찾는 문제와 옳은 것 모두, 틀린것 모두를 찾는 문제도 출제된다.

아마도 길어야 5일인 심사기간에서 빠른 판단력과 이해력은 필수라고 생각한 듯 하다.


2. 풍부한 경험


문제를 풀다 보면 피 심사기관에서 발생할 수 있는 보안관련 이슈들이 제시해준다. 보안과련 이슈가 발견되었을 때 보안 홀은 맞지만 실제 업무를 수행하다보면 어쩔 수 없는 상황이 있게 마련이다. 이 "어쩔 수 없는"상황을 이해가고 있는지가 중요하다. 이 "어쩔 수 없는 상황" 임에도 불구하고 결함으로 지적해야 하는지, 보완대책이 있다면 PASS할 것인지를 판단해야 한다. 실무 경험이 없다면 "왜 어쩔 수 없는지"를 이해하지 못할 수 밖에 없다. 게다가 위험관리 프로세스에 대한 지식과 실무경험도 꼭 필요하다.


3. 보안 기술 지식


시험엔 일부 기술적인 지식을 묻는 문제도 출제된다. 정보보안기사와 비슷한 수준이거나 혹은 더 난이도 있는 문제도 있었다. 


제1회 ISMS 인증심사원 시험은 2015년 9월에 치러졌고 내년 부터는 초여름인 6월경에 치러질 것으로 보인다. 이 시험의 합격율은 정보보안기사와 마찬가지로 매우 낮은 편이다. 


제1회 시험에는 약 700명이 응시했다. (수험번호와 한곳 뿐인 시험장을 기준으로 추측하건대..)  그리고 합격자는 60명 내외다. (교육이 약 30명씩 2회로 나누어 진행됨) 즉 10%가 채 안되는 사람들만 합격하였다. 합격의 기준은 최소 60점 이상 그리고 필요인원 기준으로 위에서부터 짜른다고 한다.


ISMS 인증심사원 교육

필기시험에 합격하면 심사원교육을 받게 된다. 나도 겨우겨우 합격선에 들어 합격통보를 받았고 교육을 몇일 남겨둔 어제 이메일로 교육안내장을 받았다. 이메일로 날아온 교육 안내문의 커리큘럼은 다음과 같다.



교육내용은 매우 심플하다. 그냥 인증심사 실습이다. 그리고 마지막날엔 평가가 있다. 아직은 모르겠지만 작년까지의실기 시험의 합격율은 70%~80% 사이인 듯 하다. 구글링을 통해 검색해 보면 실제로 불합격한 사람의 수기도 있다. (무섭다....)


어찌됐든...이제 마지막 고비만 남았다.


마지막까지 힘을 내야겠다.

신고
이 댓글을 비밀 댓글로
  1. 목표를 위해 준비하시는 모습이 멋집니다. 해당분야도 점점 기업에도 보안이나 보안심사 받을 일들이 많아지니 앞날도 밝을듯 합니다 ^^
    • 내년에 법이 개정되면 인증 의무대상기업이 대폭 늘어난다고 해서...
      사실 쫌 기대하고 있습니다. ^^

정보시스템감사통제협회 저널(2015) 기고

Posted by taeho Tae-Ho
2015.09.16 22:44 나의 일

ISACA와의 인연

2002~3년 KBS에서 6개월 상주 프로젝트를 진행하던 즈음에 시험에 합격했던 CISA로 ISACA와 인연이 되었습니다... 그리고 몇년 뒤 경력 증명 자료와 함께 자격 신청을 했고 라이센스를 부여받았습니다. 그 후 몇년간은 미국 ISACA 회원으로 가입하여 CPE 입력과 회비 납부를 성실하게 수행하여 CISA 자격을 유지했었죠. 하지만 이직 한 직장에서 이직하지 않고 쭈욱~재직하면서 몇년동안 회비납부와 CPE 입력을 등한시 했더니.. CISA 라이센스가 Expire 되었습니다. 즉, CISA 자격이 취소 된 것이지요.


CISA 자격의 회복 방법

취소된 CISA 자격의 회복은 공식적으로는 불가능한 것으로 보입니다. ISACA 홈페이지에도 CPE 미등록 등 기타 사유로 CISA 자격이 취소되면 CISA 자격을 회복하기 위해서는 다시 시험을 치르고 합격한 뒤 경력을 증명해야 한다고 되어 있습니다. 하지만 "특별한 사유"로 CPE 등록이나 회비 납부가 불가하였다면 라이센스 담당자에게 이메일을 보내라고만 되어 있습니다.


정보시스템감사통제협회 저널 원고 초록제출과 기고문 선정 그리고 원고 편집/수정 과정

2015년 6월 한국ISACA의 회원에게 보내지는 저널 기고문 신청을 받는다는 메일이 눈에 띄었고 무엇에 홀리듯 신청을 했습니다. 초록까지 제출해달라 했는데 진짜 무엇에 홀리듯 초록을 작성해 보냈죠. 그리고 몇일 뒤 초록 검토를 마치고 원고를 7월초까지 제출해달라는 회신이 왔고 7월 4일인가에 1차 원고를 제출했습니다. 분량은 MS-Word 기준으로 약 7 페이지 분량이었습니다. 업무가 바쁘기에 몇일간 몰아치기로 작성하여 검토하고 제출했습니다. 평소 수행하는 업무의 연장선상에 있는 그런 수준의 일이었기에 빠르게 작성이 가능했습니다. 그리고 수정 요청이 오면 그때 조금 더 보완하자는 생각이었죠.


그리고 약 2주 뒤인 7월 중순경에 "특별기고"에 실을 수 있다는 연락과 함께 두 분의 검토 위원이 검토한 내용이 함께 왔습니다. 한분은 대폭 수정이 필요하며 전체적인 수준이 낮다...-.- 라는 평가였고 한분은 약간의 수정 후 게재해도 되겠다는...조금은 상반된 평가였습니다. 


낮게 평가하신 분은.... 저널지에 실리는 기고문도 양은 적지만 논문이라 표현하였고 비교적 높은 수준의 격식과 엄격한 문장 서술 기준 그리고 출처까지도 요구하고 있었습니다. 순간 "아...내가 너무 가볍게 생각했구나" 싶은 부끄러운 마음이 들었습니다. 그리고 한 분의 검토 위원은 비교적 너그럽게 몇가지 지적사항만을 제시하였습니다.


두 검토위원의 의견을 모두 반영하여 답변과 함께 2차 원고 제출을 하였습니다. 당연히 기한은 지켰습니다.


이후 다시 오타 및 문구 수정 요청이 있었습니다. 편집하시는 분들이 최대한 원고에 직접 손을 대지 않는다는 원칙을 지켤하는 것을 느낄 수 있었습니다. 그리하여 3차, 4차 수정 제출 후 9월 초 저널지에 최종적으로 실린다는 통보를 받았습니다.


그리고 9월 초, 정보시스템감사통제협회 저널 2015년 판을 보내주신다는 연락과 함께 배송 주소를 요청하여 알려드렸습니다. 


정보시스템감사통제협회(ISACA) 저널 2015 (통권 27호)

어제(2015년 9월 15일) 저널지를 수령했습니다.

꼼꼼하게 포장되어 있습니다.


총 5권이나 보내주셨습니다.


특별 기고란의 "서버 운영체제 접속에 대한 이중 인증 시스템 구축 사례 분석"입니다. 제 블로그에도 종종 관련있는 포스트를 올렸었습니다. 


본문입니다. 


여러차례 제품소개자료나 기술자료, 세미나 자료..그리고 교육교재나 프로젝트 산출물 등을 작성하고 책으로 제본하여 직접 작성한 글이 인쇄된 것을 본적이 있지만 저널지에 글을 실어보긴 처음인지라 무척 재미있는 경험이었습니다.


-- 관련 포스트 --

  1. [2 factor 인증] 공인인증서/OTP/ARS를 이용한 자연인 기반의 서버 접근제어(텔넷, SSH, FTP 등) 기법 2012/06/23
  2. APT 공격의 방어와 추적을 위한 보안 시스템 구성 2013/08/30
  3. 2 채널인증과 2 팩터 인증의 차이점과 네트워크 기반 서버접근제어 2 팩터 인증의 취약점 2014/03/15
  4. 금융감독원 전자금융감독규정에 서버 운영체제 계정 접속 시 2차 인증 의무화 시행되다. (2) 2014/07/17
  5. [서버보안] 서버 내에서의 명령어 통제 (실행) 기술 동향 (4) 2014/08/22
  6. 2차 인증 및 워크플로 기반 명령어 통제 시스템 2015/05/15


신고
이 댓글을 비밀 댓글로
  1. 우와~ 저널지에 글을 기고하셨군요^^
    수령한 저널지를 보니 멋있습니다.

고려사이버대학교 정보보안관리학과 편입하다.

Posted by taeho Tae-Ho
2015.07.09 20:00 나의 일

평생교육이라는 말이 있 듯... 배움에는 나이가 없다고 한다. 하지만 이 명제는 누군가에게는 진실이고 누군가에게는 거짓이다. 술과 담배 그리고 유흥과 소위 여러 잡기에 찌들어 있는 많은 사람에게 평생공부라는 단어는 그리 어울리지 않는다. 많은 사람들이 공부보다는 인맥을 만들기에 몰두하고 있기에 무언가 새로운 학문과 기술을 배우는 것에는 소홀한 것이 현실이다. 그리고 우리나라에서는 새로운 학문과 기술보다는 "인맥"이 더 큰 투자 대비 효과를 보이는 것이 사실이고 대부분의 사람들이 그렇게 믿고 있다. 그래선지 기술분야에서 일하는 30중반 이후의 엔지니어나 개발자는 정체되어 있거나 퇴보하는 경우를 많이 볼 수 있다. 나이를 먹으면서 느는 것은 체중과 술 그리고 아집과 독선 뿐인 경우가 많은 이유다.


물론... 존경스러울 만큼 기술력과 컨설팅 능력을 키워나가는 엔지니어와 개발자도 있기는 하다.


나의 비전공 분야인 정보보안

기술적인 측면에서 정보보안은 컴퓨팅과 뗄레야  뗄 수 없다. 현대사회에서 90%이상의 정보는 컴퓨터 상에서 입력되고 저장되며 가공되고 보여진다. 따라서 디지털 전기/전자/통신공학과 컴퓨터사이언스 그리고 프로그래밍은 정보보안 전문가에겐 기반기술이다. 따라서 전자공학을 전공하면서 마이크로프로세서와 프로그래밍을 독학하다시피한 내게 정보보안의 최소한의 기초는 갖추고 있다고 본다.


흔히 보안이라고 하면 해킹, 리버싱 등과 같이 기술적으로 난이도가 높은 해킹기술만을 생각하는 사람들이 많지만 정보보안의 범주가 기술적, 관리적, 물리적 관점으로 구분되는 것에서 볼 수 있듯 조직(기업 및 공공부문)의 경영 및 관리와 법률적 관점에서 IT기술을 해석하고 적용할 수 있는 능력이 필요한 경우가 더 많다고 할 수 있다. 그러기 위해서는 기술적 지식에 정보보안에 필요한 관리적 보안 측면의 지식을 더 쌓아야 할 필요가 있다.


어떤 조직에서 정보보안이라는 과제를 수행하기 위해서는 기술적 관점에서의 해커와 엔지니어 그리고 관리적 측면에서의 컨설턴트 그리고 그 두분야를 모두 이해하며 코디네이션 해 줄 수 있는 정보보안전문가가 필요하다고 생각된다. 물론 그들 모두를 정보보안전문가라 부를 수도 있지만 내 생각에는 진정한 정보보안전문가는 특정 분야의 깊이 있는 지식보다는 IT분야의 폭넓은 지식을 갖고 있어야할 필요가 더 크다고 생각된다. (물론 다양한 기술에 대한 정확한 이해는 꼭 필요하다. 단순히 "들어봤다"거나 "대충 알고 있다"가 아닌 아키텍쳐, 네트워킹, 프로그래밍 관점에서 해당 기술에 대한 "이해"가 필요하다.)


그런 면에서 난 경영 및 법률을 포함하는 관리적 측면에서의 경험이 부족하기에 정보보안전문가라 부르기에는 미흡한 면이 많다고 생각된다.


그래서 선택한 고려사이버대학교 정보보안관리학과 편입 도전

2013년과 2014년엔 오랫만에 무언가 증거를 남길 수 있는 자기계발의 계획을 수립하고 하나의 목표를 이루었다. 5회까지 시행되었고 매 시험에서 최종 합격율이 10% 안팎인 정보보안기사 자격증을 취득한 것이다. 서버의 보안만을 다루던 내게 네트워크 보안, 애플리케이션 보안 그리고 정보보호법률과 컨설팅 영역인 위험관리에 대한 공부는 매우 새로운 지식들을 습득할 수 있는 기회가 되었고 공부를 하면서 많이 부족했었음을 느꼈다. 그리고 어쨌든 학원을 다니지 않고 독학으로 정보보안기사 시험을 준비해 자격증을 취득할 수 있었다. 하지만 내 스스로 돌이켜 봐도 역시나 정보보안 전문가라 칭하기에는 많은 부족함을 느낄 수 밖에 없는 과정이었다.


그래서 정보보안관리를 체계적으로 공부하기 위해 여러 사이버대학교의 정보보안 관련 학과를 살펴보았고 가장 인지도 있는 고려사이버대학교의 정보보안관리학과의 2015년 후기 편입에 응시했다.


고려사이버대학교의 후기 편입 응시 과정

내가 응시했던 고려사이버대학교의 2015년 후기 편입은 다음의 과정으로 진행되었다.


고려사이버대학교 후기 편입고려사이버대학교 후기 편입


가장 중요한 과정은 학업계획서 작성과 학업소양검사다. (그리고 원서 접수 후 최종졸업학교의 졸업증명서와 성적증명서를 등기우편으로 마감시한 내에 보내야 한다. 졸업증명서와 성적증명서는 이메일과 같은 온라인으로는 받지 않는다.)


고려사이버대학교 편입에서 응시자에 대한 평가는 학업계획서평가점수 70%와 학업소양검사 평가점수 30%로 이루어진다고 한다. 난 그걸 인지하지 못한 상태에서 학업소양검사에 회사 업무시간에 응시했다가 식겁했다. 중간에 끊고 다시 이어서 응시할 수 없기 때문이다. 일단 시작하면 끝까지 가야한다. 시간은 1시간을 주는데 최소 40분 이상 소비했었다. 업무중 응시하면 곤란한 상황이 발생할 수도 있으니 주의해야 한다.


반면 학업계획서는 마감일까지 수정이 가능하다. 학업계획서에는 자기소개와 학업계획 그리고 응시사유를 평가자를 설득할 수 있도록 체계적이고도 감동(?)을 줄 수 있는 내용으로 작성해야 한다. 물론 "거짓"을 쓰면 안되겠다. 흔히 자기소개서에 "거짓"을 쓴 것으로 보이는 입사지원자들을 너무도 쉽게 볼 수 있는데 그것은 본인의 "신용"을 깎아내리게 된다. 그리고 그러한 거짓은 한번 저지르게 되면 평생...반복해 저지르게 되는 중독성이 있다. 애초에 "거짓"을 쓰거나 말하지 않는 것이 중요하다.


고려사이버대학교 2015년 후기 모집의 경쟁률

응시하고 나서 결과를 기다리는데 경쟁률이 궁금해 찾아보고 깜짝 놀랄 수 밖에 없었다. 사이버대학교 후기 모집에 그렇게 많은 사람들이 응시하리라고는 생각하지 못했었다. 경쟁률이 10대1이 넘는다니...



내가 응시했던 3학년 일반전형 공학계열의 경쟁률이 12.3대1이었다. 아마도 정보보안관리학과는 학과의 특성상 더 높은 경쟁률을 보이지 않았을까 싶다.


응시 결과

높은 경쟁률에도 다행스럽게 합격할 수 있었다. 자기소개서와 소양검사결과가 뜻밖에도 꽤나 잘 나왔던 듯하다.


고려사이버대학교고려사이버대학교


이제 등록금 내고...

열심히 공부할 일만 남았다.

앞으로 2년간은 딴 생각하지 않고 학업에 전념해야할 듯 하다. 


그리고 그 다음엔 바로 "그 것"에 도전해 봐야겠지 ??


신고
이 댓글을 비밀 댓글로
  1. 도전에 박수를 보내드립니다. 저도 본 받아야 되는데 날이 갈수록 새로운 배움에 게을러 지는것 같습니다
    • 박수까지~~ ^^ 감사합니다.
      지후대디님의 글솜씨야 말로 본받고 싶습니다. ^^

프로젝트 산출물 및 기술 문서 관리를 위한 그누보드5 활용

Posted by taeho Tae-Ho
2015.03.08 16:10 나의 일

중소규모의 솔루션을 공급하는 IT 업체의 엔지니어들은 하루에도 두 개 이상의 프로젝트를 지원해야 하는 경우가 많다. 일 년 내내 그렇게 프로젝트를 지원하다 보면 프로젝트별로 작성된 산출물에 대한 관리가 무척 어렵다. 개인적으로는 노트북이나 외장하드에 고객사나 프로젝트 별로 폴더를 만들어 저장해 두는 경우가 대부분이다. 그리고 혼자 사용한다면 폴더에 의한 관리만 잘해도 크게 문제가 되지 않는다.


하지만 문제는 산출물의 공유에서 발생한다. 


산출물이나 기술자료의 공유를 위해 FTP서버나 게시판을 이용하는 경우가 많은데 이 또한 고객사나 프로젝트 혹은 문서내의 목차 등에 의한 검색에 한계를 갖는 경우가 대부분이다. 그래서 기술 지원 업무 관리 시스템을 재구축 하면서 그누보드5를 이용해 문서 관리를 위한 기능을 만들어 보기로 했다.


아래 화면이 그누보드의 스킨을 조금 수정하고 그누보드에서 지원하는 확장필드를 이용해 만든 문서 저장 게시판이다.


그누보드5의 리스트 스킨 수정



맨 위의 문서 종류는 그누보드에서 지원하는 식별자다. 아래 게시판의 글 목록에서 "제목" 대신 확장필드에 지정한 "고객사"와 "프로젝트"를 보여주도록 했다. 


그리고 아래의 검색창에도 "고객사명"과 "프로젝트명"을 이용해 검색할 수 있도록 했다. 그누보드에서 검색창에 확장필드의 값을 지정할 경우 자동으로 확장필드에서 검색하도록 편리하게 만들어져 있었다.


그누보드5 글쓰기 스킨에 확장 필드 값 입력하기

글쓰기 스킨에서 확장필드의 값을 입력하는 입력상자를 만들고 기술지원 관리시스템에서 등록한 프로젝트를 선택하여 입력할 수 있도록 그누보드5의 write.skin.php를 수정하였다.

아래 화면처럼 "찾기"버튼을 클릭하면 고객사/프로젝트 (단위업무) 선택 창이 뜨고 특정 단위업무(프로젝트)를 선택하면 입력이 된다.


아래 화면은 프로젝트가 선택되어진 화면이다.



등록된 산출물...


아키텍쳐 설계서가 등록되었고 "제목" 부분에 "고객사"와 "프로젝트명"이 표시되는 것을 볼 수 있다. 고객사와 프로젝트 명으로도 검색이 가능하다. 그누보드5에서 지원하는 구분자와 함께 사용하면 특정 프로젝트의 특정 산출물을 검색할 수 있겠다.



등록된 산출물 게시글의 내용을 보는 화면에도 고객사와 프로젝트명, 그리고 문서 종류를 함께 표시하도록 하였다.




산출물 관리에서 이렇게 도구를 만들어 제공하는 것 보다 더욱 중요한 것은 이 도구를 얼마나 효율적으로 사용하느냐다. 


문서의 작성자, 작성일, 버전은 물론...

문서를 등록할 때 등록자가 문서 내용의 목차,문서의 주요 내용 등을 함께 기재하여 검색의 효율을 높일 수 있도록 하는 것이 더욱 중요하다. 아무리 좋은 도구를 제공해도 사용자들이 등록된 문서를 제대로 검색해 볼 수 없다면 그 활용도는 매우 떨어질 수 밖에 없다.


다음에는...


위키를 이용한 문서 관리를 한번 연구해볼 필요가 있겠다. 위키에서도 수십..수백개의 고객사와 프로젝트 같은 키에 의한 문서 식별이 가능할까 모르겠다.


<추가 2015.03.18>

실제로 사용해 볼 수 있는 환경을 공개합니다. 언제까지 공개될지는 알 수 없지만 사용해보시고 좋은 의견(?) 주시면 감사하겠습니다


** 호스팅이 만료되어 폐쇄합니다. (2016/01/05) **


신고
이 댓글을 비밀 댓글로
    • 2016.01.05 00:18
    비밀댓글입니다
    • 안녕하세요. 뭐 검토하고 자시고할게 있나요? 저도 오픈소스가져다 고쳐서 쓰고 있는데..당연히 도움드려야죠..
      그런데 저도 전문개발자도 아니고 수정한지 1년이 다돼가는지라 기억을 더듬어 찾아야 하네요. ^^ 어떤 식으로 도움을 드려야할지 모르겠습니다. 블로그의 메일주소로 메일주시면 답신드리겠습니다.
    • 2016.01.05 22:25
    비밀댓글입니다

프로젝트 및 업무 일정 관리 시스템 리뉴얼

Posted by taeho Tae-Ho
2015.01.11 17:41 나의 일

예전에 만들어 사용하던 SW 기술지원팀의 프로젝트 및 일정관리 시스템은 단지 "고객사"-"프로젝트" 단위로만 일정 등록이 가능했다. 하지만 필자가 프리세일즈를 수행하는 컨설팅팀으로 자리를 옮기면서 업무의 종류가 다양해 졌다. 


고객사 관련 업무가 아닌 제품소개자료의 작성

기술채널사의 엔지니어들을 대상으로 하는 정기교육의 강의 

또는 외부 강의...

홈페이지에 업로드 될 기술자료의 작성...

일주일에 한두 번씩 나가는 제품설명회...


등등 고객사와 프로젝트의 분류 만으로는 감당이 안되는 다양한 업무들을 함께 수행하게 되었다.


그래서... 기존의 프로젝트 및 일정관리 시스템을 리뉴얼 하면서 업무의 분류를 조금 더 세분화하여


공통업무,

세일즈업무,

컨설팅업무,

고객사,

연구/개발업무


등으로 세분화하여 업무를 등록하고 일정을 관리할 수 있도록 리뉴얼 하였다. 이 시스템은 CentOS 6.4, Apache 2, Mysql 5, PHP 5 로 구축된 서버에 그누보드 5.0을 설치한 뒤 PHP 코드를 구현하여 구축하였다. 사실 전문 개발자와 코웍할 수 있다면 판매할 수 있는 개발/영업/구현을 아우르는 CMMI 시스템을 만들어 비지니스를 해보고 싶은 생각도 있다.


1. 팀관리 및 팀원관리


어떤 시스템을 관리하든 멤버와 그룹의 관리는 필요하다. 예전의 일정관리 및 프로젝트 관리 시스템은 제로보드4의 회원시스템을 그대로 사용하였다. 제로보드는 회원관리에 그룹의 개념이 들어가 있어 그룹을 그대로 팀으로 구분하면 되었다. 하지만 이번엔 그누보드를 사용하기로 했다. 왜냐하면 그누보드에는 모든 테이블에 확장필드라는 것이 10개씩이나 존재해서 훨씬 확장성이 높기 때문이다. 회원의 정보에 확장필드를 사용하여 팀과 팀ID를 기록하여 사용하기로 했다.


당연히 그누보드의 회원에 대해 팀을 할당하고 변경할 수 있도록 페이지를 만들었다.



2. 업무 분류 관리 (카테고리, 대분류(고객사), 단위업무(프로젝트) 관리)


이 부분의 개념이 제일 까다롭다. 모든 업무 수행은 업무분류(대업무)와 단위업무(소업무)로 구분하였다. 공통업무의 "휴가"를 예로 들면 휴가는 전 사원의 공통업무다. 그리고 휴가에는 "연차휴가", "월차휴가", "병가", "공가" 등 다양한 형태의 휴가가 있다. 따라서 "휴가"라는 대업무에 4개의 단위업무가 포함된다. 


기술지원업무의 경우에는 업무분류(대업무)를 "고객사"로 잡았다. 그리고 단위업무는 "프로젝트(사업)"으로 정했다.

모든 업무를 2단계로 구분하여 등록함으로써 DB에서 업무분류 테이블과 단위업무 테이블 2개로 모든 업무를 관리하도록 설계했다. 다만 DB에는 업지만 업무분류(대분류)를 4개의 카테고리로 구분하여 대분류에 카테고리가 지정되도록 했다. 결국 3단계의 업무 구성이 이루어지도록 설계하였다.


즉 "공통업무", "고객사지원업무", "컨설팅업무", "연구/개발업무"의 4개의 카테고리 하위에 업무분류(대분류)와 단위업무(소분류)가 등록된다.


이렇게 등록된 단위 업무/프로젝트는 이슈 관리는 물론 산출물 관리에서도 주요 키로 사용될 수 있다.(보러가기)


3. 일정 수행의 유형 관리


일정관리 및 프로젝트 관리를 수행하다 보면 단순히 업무의 종류 또는 프로젝트 단위로만 분석하게 되는 것은 아니다. 일반업무나, 프로젝트, 개발업무는 모두 각 업무 특성에 적합한 업무의 유형 혹은 업무의 수행 단계가 있다.


예를 들어 내가 몸담고 있는 서버보안 프로젝트의 경우 "현황분석","설치", "정책협의", "정책적용", "감사로그분석", "정책검토/수정" 등의 단계별 업무가 있다. 따라서 이러한 단계를 일정 등록 시 "일정 유형"으로 지정하게 되면 사후 프로젝트별로 어느 단계에서 얼마나 시간을 소비했는지를 산출할 수 있다.


다만 업무분류 즉, 일반업무인지, 고객사 지원업무인지, 컨설팅업무인지, 연구/개발업무인지에 따라 모두 업무수행의 단계(일정유형)가 다르기 때문에 각각 분리하여 업무분류가 일반업무인 업무의 일정을 등록할 때와 고객사지원업무의 일정을 등록할 때 "일정유형"을 각기 다르게 지정할 수 있어야 하는 것이 이번 리뉴얼의 핵심이라고 할 수 있었다.



4. 일정 등록


업무유형(카테고리) - 업무분류(대분류) - 단위업무(프로젝트) 의 업무 구성과 일정유형의 지정이 끝나면 업무 수행에 따른 일정을 등록할 수 있다.


일정은 아래와 같이 달력에서 등록하고 관리할 수 있다.



등록된 일정은 "예정"과 "완료" 두 상태로 보여지며 제목과 내용, 분류 같은 관리 불가능한 단순한 형태가 아닌 업무분류와 단위업무, 그리고 일정유형 등 분류체계가 모두 적용되어 보여진다. 마우스 커서를 일정위에 올리면 다양한 정보가 보여지게 되도록 만들었다. 또한 팀별로 일정을 분리하여 선택된 팀의 팀원에 대한 일정만 보여지게 함으로써 그누보드의 회원시스템의 레벨에 따라 타 팀의 일정에 접근하지 못하도록 추후 수정이 가능하다.


초록색 + 버튼을 클릭하면 일정이 등록되며 일정을 클릭하면 일정을 수정할 수 있다.


일정등록 화면은 아래와 같다.



<일정 입력 편집기를 그누보드에 포함된 CKEditor와 네이버 스마트에디터로 변경하는 방법 보러가기>


위 화면은 "연구/개발"업무로 지정된 제품과 제품에 대한 개발 단위업무를 선택했을 때의 일정 등록/수정 화면이다. 일정을 신규 등록할 때는 "업무분류"-"단위업무" 목록을 보고 선택하여 지정하도록 되어 있으며 일정유형에는 "연구/개발"업무의 일정유형으로 등록된 일정유형목록이 드롭다운리스트 형태로 보여진다.



위 화면은 "공통"업무 및 "컨설팅" 업무로 지정된 단위업무를 선택했을 때의 일정 등록/수정 화면이다.



위 화면은 "고객사"로 등록된 업무분류의 단위업무를 선택했을 때 보여지는 일정의 등록/수정 화면이다.


이 시스템을 이용하면 프로젝트 또는 단위업무별로 사업이나 업무가 종료되었을 때 어느정도의 공수가 투입되었는지 누가 얼만큼의 업무를 수행하였는지, 프로젝트의 단계별로 투입된 인력 등을 산출할 수 있다. 당연히 산출된 공수에 투입인원별 공임을 곱하면 프로젝트 수행에 소요된 인건비를 계산할 수도 있다.



이 시스템을 얼마나 사용하게 될지는 모르지만... 뭔가 개발을 하고 완성(?)된 물건을 동작시켜보면 느껴지는 짜릿한 쾌감은 예나 지금이나 똑같은 것 같다. 


내 성격(?)상의 성향으로 인해 개발자가 아닌 엔지니어/컨설턴트의 길을 가고 있지만 취미 삼아 머리 속에 쌓여있던 로직을 코드로 구현하다 보면 내 몸에 개발자의 DNA도 있는 것은 아닐까 느껴지기도 한다.


<추가 2015.03.18>

실제로 사용해 볼 수 있는 환경을 공개합니다. 언제까지 공개될지는 알 수 없지만 사용해보시고 좋은 의견(?) 주시면 감사하겠습니다


<추가 2015.11.06>

다른 테스트로 인해 폐쇄합니다.


신고
이 댓글을 비밀 댓글로
  1. 일정관리 시스템 멋진것을 만드셨군요~
    요즘에 운영사 PM으로 개발사를 상대하다보니 이런 프로그램이 있어야 할것같다는 생각을 자주 합니다.
    하지만 10명이내 프로젝트라 도움이 될까도 생각해보게 되네요.
    • ㅎㅎ인원수가 적어도...일정관리와...업무수행내역 관리는 꼭 필요하죠..기록이 남지 않으면... 일하지 않은 것과 같다는게 제 원칙비스므리 한거라..
  2. 저는 예전에 꽤 비싼 해외 제품을 국내에 맞게 커스트마이징 된 툴을 사용했었는데 그것만큼 기능이 좋아보입니다. 이런툴을 잘 이용해야 하는데 제가 일하는던 예전 직장에서는 개발쪽은 잘 이용하는데 더 필요해 보이는 영업쪽의 이용이 적어서 좀 아쉬움이 있엇습니다. 자체 개발하셔서 사용하시는거라면 돈 버신 겁니다. 사용료가 만만치 않았거든요 ^^
    • 아이고..과찬이십니다...그저 제가 일하는 회사의 기술업무에 최적화? 되어 있는 거라서 범용으로 쓰기엔 부족한게 많습니다.
      프로젝트의 단계별 진행률을 간트차트로도 표현하고 싶은데...코딩실력이 딸려서 못하고 있기도하구요..