taeho가 주업으로 삼고 있는 일은 ISMS-P 인증심사다. 그리고 추가로 이따금씩 섭외가 오는 다른 일(물론 정보보호 분야의 일)도 하고 있다. 그 중에서 2022년의 가장 의미있는 일은 바로 "중소기업 정보보호 담당자를 위한 (개인)정보보호관리체계 구축·운영 교육"이 아닐까 싶다. IT분야에 뛰어들고 일하면서 이런 저런 교육들을 해봤지만 개인적으로 "교육"만큼 크게 의미부여가 되는 일은 없었다. 내 경험들 중 타인에게 도움이 될만한 경험을 누군가에게 전달하는 일. 그것이 바로 교육의 의미라고 생각된다. 당연히 교육에 나서는 강사나 교사는 해당 분야의 이론적 지식은 물론 실무경험도 충분히 갖고 있어야 한다. 이론적 지식과 실무경험이 결합되지 않은 교육은 효과나 만족도 측면에서 수준이 낮아질 수 밖에 ..
내가 처음으로 교육을 했던 경험은 1996년 전후였던 것으로 기억된다. IMF가 터지기 직전 이었을 것이다. 경기도청에서 시군구청의 주전산기 운영 및 개발을 담당하고 있던 전산담당자 대상 개발교육이었다. 당시에는 정부주도로 국산 중형 주전산기(TICOM 3 서버)를 개발하였고 Unix 운영체제와 Ingres라는 (PostgreSQL의 아버지뻘 되는 RDBMS) RDBMS를 표준으로 선정하여 포팅하였고 전국 시군구에 보급하였다. 그리고 이 서버에 상하수도 요금 정산을 비롯한 다양한 시군구 행정용 애플리케이션을 개발하여 사용하고 있었다. 나는 이 Ingres라는 RDBMS의 기술지원과 일부 개발자 지원을 담당하고 있었는데 ABF(Application By Form)이라고 하는 ,지금 생각해보면 꽤나 혁신적인..
자유인으로 지내다 보니 무슨무슨 프로젝트...이런 거를 하고 싶은 마음이 점점 사그라든다. 그냥 남의 눈치보지 않고 하고싶을 때 일하고 하기 싫을 때 노는(?), 그런 지금의 상황이 너무도 편하다. 다만 하고 있는 업무 자체가 조금은 정보보안과 관련된 일이다 보니... 내가 한 일을 내가 했다고 떠벌리면 안되는 그런 상황이라 이 "나의 일"이라는 카테고리에 기록하기가 조금 어렵다. 조직을 뛰쳐나온지 햇수로 5년 째. 그 동안 ISMS-P인증심사를 위주로 이런 저런 일을 하고 있는데.. 그 이런저런 일 중에는 방송통신위원회에서 매년 실시하는 어떤 심사에 3년 째 참여하고 있다. 적게는 2주, 많게는 4주간 참여하게 되는데 참여하게 되면 이런 위촉장을 받을 수 있다. (요청하면 주는것 같은데 올해 처음으로 ..
지금 거주중인 집은 1995년에 준공된 꽤 오래된 아파트다. 2017년 5월에 바로 옆동에서 이사를 왔다. 이사를 준비하면서 지하철역 근처의 지은지 10년이 안된 아파트를 알아봤지만 투자 대비 너무 형편없는 구조와 햇볓도 잘 들지 않는 동남향, 서남향, 북향 매물이 대부분이어서(정남향은 비율이 얼마 안됨) 새 아파트에 대한 기대감을 접고 살던 아파트의 정남향이면서 조금 더 넓은 평형으로 마음을 정했었다. 마침 마음에 드는 위치의 매물이 있어 얼른 계약을 했다. 오래된 엘리베이터를 제외하고는 이사한 집이 마음에 들었다. 따뜻하고 해도 잘 들고 전망도 좋았다. 그런데 2년 전... 영하 15도 이하의 날씨가 열흘 이상씩 계속되는 역대급 추위가 닥쳐왔다. 베란다의 수전이 얼까봐 북쪽 베란다의 환기를 시켜주지 ..
서버, 네트워크장비, 보안솔루션과 같이 동시에 다수의 고객사와 프로젝트를 지원하는 기술지원조직의 경우 하나의 솔루션에서 발생하는 버그나 이슈라 하더라도 고객사 혹은 프로젝트를 구분하여 관리해야 할 필요가 있다. 더군다나 새로운 프로젝트를 여러개 수행하면서 이미 프로젝트가 종료되어 무상 혹은 유상 유지보수 시기에 접어든 수 많은 고객사에서 다발적으로 발생하는 버그, 신규기능 요구, 패치요구 등 이슈를 제품의 벤더 및 자체 개발팀과의 중간에서 관리하는 것은 경험이 많은 엔지니어에게도 매우 어려운 일이다. 따라서 제품과 고객사, 프로젝트 그리고 개발자와의 원활한 소통을 가능하게 해주는 이슈관리 기능은 기술지원업무관리 시스템에서 필수적인 요소다. 나 또한 기술지원 및 업무관리 시스템을 조금씩 조금씩 수정해나가면..
일정관리 시스템이 필요했던 이유 일종의 프로젝트관리 겸 일정관리 시스템이 필요했던 가장 큰 이유는 당시 팀장이던 나를 제외하고 6명 정도 되는 팀원이 거의 대부분의 시간을 고객사를 방문해 신규 프로젝트를 진행하거나 프로젝트는 종료되었지만 서버보안SW(SecureOS)의 기술난이도가 높은 제품특성상 현장지원이 많기에 회사의 자리는 텅텅 비어있는 경우가 많기 때문이었다. 게다가 팀장이었던 나 또한 회사보다는 고객사에 방문해 실제 서버를 만지며 보안 정책을 협의하고 적용하는 것을 더 즐겼기 때문에 흔히 나이먹고 직급이 높아지면 해야한다는 "관리"에 시간을 너무 많이 쓰고 싶지 않았다. 특히나 영업에서 들어오는 신규 사업에 대한 엔지니어 배정이나 일정확인, 프로젝트 정보를 문서로 관리하는 등의 쓰잘데기 없는 업..
SW 및 HW 기반의 솔루션 기술지원업무(프로젝트)에서 사업의 분류는 [고객사 - 프로젝트]의 단계로 구분될 수 있다. 엔지니어는 이 프로젝트 기반으로 기술지원을 수행하게 된다. 특히 SW 및 HW 기반 솔루션은 하나의 고객사에 매우 여러번 판매될 수 있는데 이는 하나의 고객사에 구별되는 여러개의 프로젝트가 있을 수 있다는 것을 의미한다. 따라서 먼저 [고객사]를 등록하고 해당 고객사에 여러개의 [프로젝트]를 등록해 별도로 관리할 수 있어야 한다. 고개사는 "공공", "민수" 등과 같은 분류 혹은 "제조", "금융" 등 산업구분 등 편한 분류로 구분할 수도 있다. 고객사에는 특별한 정보는 담기지 않는데 기업 및 조직명을 등록하여 관리할 수 있다. 일련번호는 DB내에서 고객사를 구별하는 식별자이다. 이는 ..
IT분야에서 일을 시작한지 20년도 더 지났지만 첫 직장에서의 2년간 SW개발 경력을 제외하면 이후 20년 넘게 "솔루션(소프트웨어) 기술지원과 프리세일즈"업무만 수행했다. 하지만 솔루션(SW) 기술지원 엔지니어라고 하면 무슨일을 하는지 잘 모르는 사람들이 태반이고 그 기술지원이라는 업무가 필요로하는 기술 수준이 매우 낮다고 잘못 이해하고 있는 사람들도 꽤나 많다. 이렇게 서버, 네트워크, 보안 등 솔루션(소프트웨어 또는 하드웨어)의 기술지원 엔지니어가 필요로 하는 기술수준이 낮다고 잘못 이해하고 있는 IT분야의 사람들이 많다보니 흔히 기술지원 엔지니어 조직이 제대로 가동되고 있는 기업들도 그리 많지않은 것이 현실이다. IT 전반에 대한 이해도가 높고 어느정도 매출 규모가 있는 기업에서는 기술지원 조직이..
심사원의 자질(?)이 논란이 되어 2015년 신설된 정보보호관리체계(ISMS)인증 심사원 선발시험. 나는 바로 그 1회 시험에 응시하여 ISMS인증심사원 자격을 취득했었다. 그런데 비슷한 형제(?)겪이었던 개인정보보호관리체계(PIMS)인증과 제도가 통합되었다. 그로인해 작년 부터 소문만(?) 무성했던 ISMS 인증심사원 자격과 PIMS인증심사원 자격도 통합이되었다. 나는 ISMS 심사원자격 하나만 갖고 있었기에 자격전환 시험을 치러야 했다. ISMS와 PIMS 두개 모두 자격을 취득하고 있는 분들은 시험이 면제되는 파격적인 특혜(?)가 주어졌다.자격전환교육(2일)을 이수하고 만만하게 보고 치렀던 시험에서 1차 낙방을 겪었다. 합격율이 1%대라는 소문(?)과 KISA를 비롯한 심사기관의 인력들 중에도 합격..
20년 넘는 시간의 직장생활을 그만두고 자유롭게(?) 일한지 만으로 2년이 되어간다. 20년... 지난 20년간 모두 4개의 회사를 경험했다. 두 회사는 합해서 2년을 채우지 못했고 두 회사는 각각 8년과 10년이 넘는 시간동안 재직했다. 그리고 그 안에서 대여섯 개의 본부와 팀을 경험했다. 그리고 운이 좋았는지 초반 4~5년이 지난 뒤 부터 때로는 작고 때로는 큰 조직을 맡아 리더의 역할을 수행할 수 있었다. 그리고 그 긴 시간동안의 경험을 바탕으로 팀과 본부급의 조직에서 리더가 갖추어야할 조건들에 대해 참 많은 것을 깨닫는 시간이기도 했다. 어떤 조직이든 조직의 리더에게는 리더쉽이 필요하다. 하지만 중요한 것은 조직의 리더가 갖추어야할 역량이나 능력은 조직이 처한 상황이나 구성원의 특징 혹은 조직의 ..
ISMS인증제도와 ISMS인증심사원 ISMS인증제도는 기업 스스로 체계적인 정보보호 활동을 위한 관리체계가 수립되어 있는지, 그리고 관리체계가 수립되어 있다면 법적 요구사항 및 ISMS인증제도 자체의 기준을 충족하는지를 평가하고 수립되어 있는 정책, 지침에 따라 지속적인 정보보호활동을 하고 있는지를 평가하고 인증해주는 제도다. 그리고 ISMS인증심사원은 인증기준에 맞춰 정보보호관리체계를 운용하고 있는지 실사 및 평가를 수행하는 인력이다. ISMS인증심사원은 2013년 개정된 정보통신망 이용촉진 및 정보보호 등에 관한 법률과 이하 시행령 및 고시에서 그 자격에 대해 명시하고 있다. "보"를 떼다. 인증심사원 자격을 취득하고 나면 심사 참여 경력이 없기 때문에 심사원(보)의 자격을 부여한다. "보"를 떼기 ..
로그 수집 이슈 서버 HW, 운영체제 그리고 서버에서 실행되는 웹 서버 등의 애플리케이션의 상태와 해킹 시도 등을 탐지하기 위해 각종 로그를 수집하는 것은 서비스 상태의 모니터링과 보안관제 등의 업무에서 필수적인 요소다. 그래서 ESM(Enterprise Security Management) 솔루션은 물론이고 SIEM과 보안관제 등의 솔루션에서 서버에 쌓이는 로그파일을 수집하는 기능을 제공하며 로그를 수집하기 위해 Syslog 를 이용하는 등 다양한 방법을 사용할 수 있다. 하지만 syslog나 snmp 등을 지원하지 않는 웹서버 로그나 DB로그 그리고 인하우스 애플리케이션의 로그는 별도로 프로그램을 개발하거나 유료SW를 설치하지 않으면 수집하지 못하는 경우가 많다. 특히나 로그를 수집하는 로그 수집 및..