본문 바로가기

나의 일

ISMS-P 인증심사원 자격증 취득하다. 작년 부터 숙원 사업(?)이었던 ISMS-P 인증심사원 자격을 취득했다. ISMS 인증심사원 자격만 갖고 있었기에 자격전환 시험을 치러야 했고.. 자격전환교육(2일)을 이수하고 만만하게 보고 치렀던 시험에서 1차 낙방을 겪었다.시험의 난이도는 상상이상으로 어려웠고 대부분의 지인들이 증언하는 불합격 인증은 70점 커트라인에 합격율이 2~3%에 지나지 않는다는 소문이 사실임을 입증해주었다. 말도 많고 탈도 많았던 1차 시험이었다. 남은 기회는 두 번... 세번째 시험까지 치르기 싫어 도서관을 들락거렸고 난이도 조절을 했는지 조금 수월하게 2차 시험을 치렀고 무난히 합격할 수 있었다. 그리고 오늘.... 드디어 ISMS-P 인증심사원 자격증을 이메일로 받았다. 1개월 하고도 20일만에 받은 ISMS-P 인증심.. 더보기
[사설] 20년의 직장생활 그리고 리더의 덕목 20년 넘는 시간의 직장생활을 그만두고 자유롭게(?) 일한지 만으로 2년이 되어간다. 20년... 지난 20년간 모두 4개의 회사를 경험했다. 두 회사는 합해서 2년을 채우지 못했고 두 회사는 각각 8년과 10년이 넘는 시간동안 재직했다. 그리고 그 안에서 대여섯 개의 본부와 팀을 경험했다. 그리고 운이 좋았는지 초반 4~5년이 지난 뒤 부터 때로는 작고 때로는 큰 조직을 맡아 리더의 역할을 수행할 수 있었다. 그리고 그 긴 시간동안의 경험을 바탕으로 팀과 본부급의 조직에서 리더가 갖추어야할 조건들에 대해 참 많은 것을 깨닫는 시간이기도 했다. 어떤 조직이든 조직의 리더에게는 리더쉽이 필요하다. 하지만 중요한 것은 조직의 리더가 갖추어야할 역량이나 능력은 조직이 처한 상황이나 구성원의 특징 혹은 조직의 .. 더보기
[ISMS인증심사] 심사원(보)에서 "보"를 떼다. ISMS인증제도와 ISMS인증심사원 ISMS인증제도는 기업 스스로 체계적인 정보보호 활동을 위한 관리체계가 수립되어 있는지, 그리고 관리체계가 수립되어 있다면 법적 요구사항 및 ISMS인증제도 자체의 기준을 충족하는지를 평가하고 수립되어 있는 정책, 지침에 따라 지속적인 정보보호활동을 하고 있는지를 평가하고 인증해주는 제도다. 그리고 ISMS인증심사원은 인증기준에 맞춰 정보보호관리체계를 운용하고 있는지 실사 및 평가를 수행하는 인력이다. ISMS인증심사원은 2013년 개정된 정보통신망 이용촉진 및 정보보호 등에 관한 법률과 이하 시행령 및 고시에서 그 자격에 대해 명시하고 있다. "보"를 떼다. 인증심사원 자격을 취득하고 나면 심사 참여 경력이 없기 때문에 심사원(보)의 자격을 부여한다. "보"를 떼기 .. 더보기
웹 로그 수집을 위한 access.log 증분 수집 스크립트 로그 수집 이슈 서버 HW, 운영체제 그리고 서버에서 실행되는 웹 서버 등의 애플리케이션의 상태와 해킹 시도 등을 탐지하기 위해 각종 로그를 수집하는 것은 서비스 상태의 모니터링과 보안관제 등의 업무에서 필수적인 요소다. 그래서 ESM(Enterprise Security Management) 솔루션은 물론이고 SIEM과 보안관제 등의 솔루션에서 서버에 쌓이는 로그파일을 수집하는 기능을 제공하며 로그를 수집하기 위해 Syslog 를 이용하는 등 다양한 방법을 사용할 수 있다. 하지만 syslog나 snmp 등을 지원하지 않는 웹서버 로그나 DB로그 그리고 인하우스 애플리케이션의 로그는 별도로 프로그램을 개발하거나 유료SW를 설치하지 않으면 수집하지 못하는 경우가 많다. 특히나 로그를 수집하는 로그 수집 및.. 더보기
엑셀 셀병합 매크로 (다중 컬럼 셀병합) 데이터가 잔뜩~ 들어있는 엑셀 시트를 이용하다 보면 셀을 병합해야할 때가 있죠. 그럴 때마다 병합할 셀을 영역으로 선택하고 셀서식 페이지를 열고 맞춤 탭을 선택한 뒤 셀병합을 체크하는 작업은 한마디로 "노가다" 입니다. 병합해야하는 셀이 몇개 안되면 모르지만 수천라인에 있는 여기저기 흩어져 있는 수백개의 셀을 병합하는 것은 노가다 중에서도 고된 노가다죠. 마침 방화벽 정책을 마이그레이션 하는 과정에서 기존의 정책을 이관시키고 관련 정책 문서를 만들어줘야 하는 상황이 생겼는데 기존 정책을 엑셀로 받아 Copy/Paste 방식으로 통합하다 보니 단위 정책들이 있는 셀을 병합해야 했습니다. 이 노가다를 팀원이 해야하는 상황이라 매크로를 만들기로 하고 인터넷을 뒤졌습니다. 그런데 인터넷을 뒤져보면 셀병합을 하는.. 더보기
개인정보 영향평가 전문교육과 시험 그리고 PIA 전문인력 자격 취득 (2016) 2016년 7월 21일 오전...지난 6월의 후반부 2주...그리고 7월 첫주의 토요일까지 5일간 이수한 개인정보영향평가 전문교육과 마지막날 치러진 평가시험의 결과가 어제 아침... 이메일로 송부되어 왔다. 그리고 함께 수신된 인증서... 이 개인정보영향평가에 대한 자세한 정보는 행정자치부에서 운영하는 "개인정보보호 종합포털"에서 확인할 수 있는데 개인정보 영향평가를 받고자 하는 기관은 반드시 개인정보 영향평가 전문교육을 이수하고 인증시험을 통과한 전문인력으로 구성된 영향평가팀에게 영향평가를 받도록 법제화되어 있다. 때문에 요즘(2016년)은 이 PIA자격증만 있으면 개인정보 영향평가 기관으로 지정받은 전문업체나 보안컨설팅업체에 어렵지 않게 취업이 가능하다고 하는 핫한 직종이다. 자세한 개인정보 영향평가.. 더보기
제8회 병원 의료정보화 발전 포럼 참가 2년 전... 전자정부 정보보호 솔루션페어 참가 이후 행사 참여는 일절 없었는데 2년 만에 작지만 포럼에 참가하게 되었다. 내가 하는 "서버보안" 일이 보안업계에서도 그다지 겉으로 드러나지 않는 분야이기에 세미나나 포럼 등 참가할 일이 사실 거의 없다. 서버보안은 많은 사람들이 그저 "운영체제의 보안 설정 잘해주면 되는거 아냐?"라고 생각하기 일쑤다. 하지만 운영체제의 보안설정이라는 것이 운영체제가 갖고 있는 근본적인 취약성을 제거해주지는 못할 뿐더러 "내부통제" 측면에서 봤을 때는 사실상 "보안 설정을 하나 안하나" 별반 차이없는 수준이기에 서버보안SW는 꼭 필요한 존재라 할 수 있다. 그리고 최근 이슈가 되고 있는 ISMS(정보보호관리체계) 인증 의무 대상 기업 확대에 종합병원 급의 대형 병원들이 무.. 더보기
ISMS 인증심사원 자격증명서 수령 (2015년) 2014년 겨울... 10년 여의 보안업계 근무 경력을 증거할 무언가를 만들기 위해...그리고 혹시나 모를 이직에 대비하기 위해 필기와 실기를 합쳐 평균 10% 내외라는 합격율을 자랑(?)하는 정보보안기사 자격증을 취득했다. 그리고 강화된 ISMS 인증심사원 제도가 시행된 첫 해인 2015년, 서류전형 및 필기시험과 5일간의 교육 그리고 실기 시험을 거쳐 자격증을 취득하게 되었다. (ISMS 인증심사원 필기시험과 심사원 교육 후기) ISMS 인증심사원 제도 ISMS 인증심사원은 2014년 까지는 "위촉"의 형태였다. 위촉의 사전적 의미는 다음과 같다. 일반적인 의미는 어떠한 일을 부탁하여 맡긴다는 뜻이며, 법률적 개념으로서는 사무의 처리를 타인에게 의뢰한다는 뜻으로 위탁(委託)과 같다. 즉 한국인터넷진흥.. 더보기
ISMS 인증심사원 시험과 교육 (2015년) 직장에 적을 두고 일을한지 20여년... 이제 앞으로의 20년(?)을 위한 전환점이 되지 않았나 싶다. 개발..DBMS..시스템(서버위주) 성능/장애/이벤트 통합관리..그리고 보안... 다양한 기술업무를 주 업무로 수행한지 15년.. 그리고 최근 몇년간은 프리세일즈 업무를 수행했다. 지난 2~3년간 현재하고 있는 일 보다 한단계 발전적인 일을하기 위한 여러 시도를 했었고 그 마지막 결실의 수확을 눈앞에 두고 있다. 바로 ISMS 인증심사원 이다. 내가 작년부터 시도한 보안관리체계의 인증심사원 자격취득.. 작년(2014년)까지만 해도 ISMS 인증심사원 선발은 서류심사와 5일간의 심사방법론 교육과 교육 마지막날 치러지는 심사실습시험으로 이루어졌었다. 당연히 학벌.. 수행하는 업무가 보안컨설팅인지..등이 더.. 더보기
정보시스템감사통제협회 저널(2015) 기고 ISACA와의 인연 2002~3년 KBS에서 6개월 상주 프로젝트를 진행하던 즈음에 시험에 합격했던 CISA로 ISACA와 인연이 되었습니다... 그리고 몇년 뒤 경력 증명 자료와 함께 자격 신청을 했고 라이센스를 부여받았습니다. 그 후 몇년간은 미국 ISACA 회원으로 가입하여 CPE 입력과 회비 납부를 성실하게 수행하여 CISA 자격을 유지했었죠. 하지만 이직 한 직장에서 이직하지 않고 쭈욱~재직하면서 몇년동안 회비납부와 CPE 입력을 등한시 했더니.. CISA 라이센스가 Expire 되었습니다. 즉, CISA 자격이 취소 된 것이지요. CISA 자격의 회복 방법 취소된 CISA 자격의 회복은 공식적으로는 불가능한 것으로 보입니다. ISACA 홈페이지에도 CPE 미등록 등 기타 사유로 CISA 자격이.. 더보기
고려사이버대학교 정보보안관리학과 편입하다. 평생교육이라는 말이 있 듯... 배움에는 나이가 없다고 한다. 하지만 이 명제는 누군가에게는 진실이고 누군가에게는 거짓이다. 술과 담배 그리고 유흥과 소위 여러 잡기에 찌들어 있는 많은 사람에게 평생공부라는 단어는 그리 어울리지 않는다. 많은 사람들이 공부보다는 인맥을 만들기에 몰두하고 있기에 무언가 새로운 학문과 기술을 배우는 것에는 소홀한 것이 현실이다. 그리고 우리나라에서는 새로운 학문과 기술보다는 "인맥"이 더 큰 투자 대비 효과를 보이는 것이 사실이고 대부분의 사람들이 그렇게 믿고 있다. 그래선지 기술분야에서 일하는 30중반 이후의 엔지니어나 개발자는 정체되어 있거나 퇴보하는 경우를 많이 볼 수 있다. 나이를 먹으면서 느는 것은 체중과 술 그리고 아집과 독선 뿐인 경우가 많은 이유다. 물론..... 더보기
프로젝트 산출물 및 기술 문서 관리를 위한 그누보드5 활용 중소규모의 솔루션을 공급하는 IT 업체의 엔지니어들은 하루에도 두 개 이상의 프로젝트를 지원해야 하는 경우가 많다. 일 년 내내 그렇게 프로젝트를 지원하다 보면 프로젝트별로 작성된 산출물에 대한 관리가 무척 어렵다. 개인적으로는 노트북이나 외장하드에 고객사나 프로젝트 별로 폴더를 만들어 저장해 두는 경우가 대부분이다. 그리고 혼자 사용한다면 폴더에 의한 관리만 잘해도 크게 문제가 되지 않는다. 하지만 문제는 산출물의 공유에서 발생한다. 산출물이나 기술자료의 공유를 위해 FTP서버나 게시판을 이용하는 경우가 많은데 이 또한 고객사나 프로젝트 혹은 문서내의 목차 등에 의한 검색에 한계를 갖는 경우가 대부분이다. 그래서 기술 지원 업무 관리 시스템을 재구축 하면서 그누보드5를 이용해 문서 관리를 위한 기능을 .. 더보기