• [ISMS-P인증심사원] 전문자격증 취득과정 강의 준비

    2022년에 이어 모 공공기관의 내부 임직원 대상 교육 과정 중 전문자격증취득과정(ISMS-P인증심사원) 강의를 진행하게 되었다. 2022년에는 강사가 변경되면서 급하게 필자가 담당하게 되었기에 교재 준비도 조금은 미흡했었는데도 불구하고 감사하게도 2023년 강의도 의뢰해주셨다. 2023년 강의 교재는 한 달 훨씬 전부터 편집작업에 들어가 강의 2주 전인 어제... 교재의 시작에서 끝까지 일관된 체계로 수정과 편집을 마쳤다. 그리고 다음과 같은 내용을 추가로 반영하였다. 2023년 3월에 개정되어 9월에 시행된 개인정보보호법과 시 …

  • [강의]중소기업 ISMS-P 구축·운영 과정 (2023)

    ISMS-P 인증심사원으로 활동하고 계신 임지석님과 함께 3년 째 진행하고 있는 정보보호 및 개인정보보호 관리체계(ISMS-P) 구축 및 운영 교육이 올해(2023년)에도 진행중이다. 한국인터넷진흥원에서 주관하고 있으며 올해는 씨드젠에서 운영을 지원하고 있다. 현재 2차 교육까지 진행하였고 3차 교육이 접수마감되어 다음 주에 오프라인으로 진행될 예정이다. 오늘, 6월8일 기준으로 4차 교육이 접수중이다. 수강하고자 하는 중소기업 정보보호 담당자는 이곳에서 접수하면 된다. 교육을 수강한 중소기업을 대상으로 신청을 받아 선정된 기업을 …

  • [강의] 공공기관 전문자격증(ISMS-P인증심사원) 취득과정 (5일)

    ISMS-P 인증의 수요는 조직 내·외부의 정보 유출 및 침해시도가 점점 증가함에 따라 함께 증가하고 있다. ISMS-P 인증제도는 정보통신망 이용촉진 및 정보보호에 관한 법률 제47조와 개인정보보호법 제32조의2에 근거를 두고 시행되고 있으며 주체적인 제도의 운영은 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시에 따라 한국인터넷 진흥원에서 운영하고 있다. 7년 전 즈음이었던가? 20년 넘는 조직생활에 지쳐 1년 쯤 쉬며 ISMS-P 인증심사에 집중하여 관련 지식을 체계적으로 쌓고 그 다음을 생각해보기로 했다가 심사업계에 …

  • [강의]중소기업 정보보호 담당자를 위한 ISMS-P 구축운영 과정 (2022)

    필자가 주업으로 삼고 있는 일은 ISMS-P 인증심사다. 그리고 추가로 이따금씩 섭외가 오는 다른 일(물론 정보보호 분야의 일)도 하고 있다. 그 중에서 2022년의 가장 의미있는 일은 바로 "중소기업 정보보호 담당자를 위한 (개인)정보보호관리체계 구축·운영 교육"이 아닐까 싶다. IT분야에 뛰어들고 일하면서 이런 저런 다양한 업무를 수행했지만 개인적으로 "교육"만큼 크게 의미부여가 되는 일은 없었다. 내 경험한 것 중에서 타인에게 도움이 될만한 경험을 전달하는 일. 그것이 바로 교육의 의미라고 생각된다. 당연히 교육에 나서는 강 …

  • 중소기업 정보보호담당자를 위한 ISMS-P 구축·운영 과정 강의 (2021)

    첫 강의의 추억 내가 처음으로 교육을 했던 경험은 1996년 전후였던 것으로 기억된다. 아마도 IMF 경제위기가 터지기 직전 이었을 것이다. 시군구청의 주전산기 운영 및 개발을 담당하고 있던 전산담당자 대상 개발교육을 경기도청에서 진행했었는데 그 강의를 담당하게 되었다. 당시에는 정부주도로 국산 중형 주전산기(TICOM 3 서버)를 개발하였고 Unix 운영체제와 Ingres라는 (PostgreSQL의 아버지뻘 되는 RDBMS) RDBMS를 표준으로 선정하여 포팅하였고 전국 시군구에 보급하였다. 그리고 이 서버에 상하수도 요금 정산 …

  • 커버로스 인증서버 구축하기(kerberos / KDC)

    여러 대의 서버를 운영하다 보면 맞닥뜨리는 어려움 중 하나가 바로 ID와 비밀번호의 관리다. 많은 엔지니어들과 많은 서버... 그리고 각 서버마다 접근권한을 어떻게 관리할 것인가하는 문제는 보안 관점에서 매우 골치아픈 문제다. 이 문제를 해결하기 위해 사용되는 여러 솔루션들이 있는데 그 중 하나가 바로 커버로스(Kerberos)다. 커버로스는 "티켓"을 기반으로 동작하는 컴퓨터 네트워크 인증 암호화 프로토콜로서 비보안 네트워크에서 통신하는 노드(서버)가 안전하게 다른 노드(서버)를 식별할 수 있게 허용한다. 클라이언트 서 …

  • Windows 10의 무선랜 접속 이력 검토하기 (netsh 명령)

    이런 저런 심사나 감사 업무를 수행하다보면 이따금씩 Windows 10 PC에서 와이파이 접속 이력을 검토해야할 필요가 생긴다. 임직원들이 스마트폰 태더링이나 LTE라우터의 사용 또는 외부 무선 와이파이의 접속하는 것을 차단하기 위해 매체제어시스템 등을 보호대책으로 적용하지만 정책 적용 실수나 매체제어시스템의 오류 등으로 인해 무선랜 사용이 가능해지는 순간이 발생할 수 있기 때문이다. 때문에 정보보호담당자는 IT내부감사 등을 통해 공용PC나 임직원의 PC에서 무선 와이파이 접속이력이 존재하는지를 주기적으로 샘플링을 통해 검토할 필요 …

  • 우분투 리눅스의 RADIUS 클라이언트 설정하기 (pam_radius_auth)

    앞의 포스트에서 Windows Server 2012의 Active Directory에 Radius 서버 설정 방법을 포스팅했다. 이제 우분투 리눅스에 SSH 접속 시 AD의 인증을 받을 수 있도록 Ubuntu 리눅스 서버가 Radius 클라이언트로 동작하도록 설정할 차례다. 일반적으로 Radius 인증은 라우터, L3스위치, L4스위치 등 네트워크 장비의 관리자 계정 또는 무선 네트워크 접속 시 사용자 인증을 위해 사용하는 경우가 많지만 리눅스 서버의 사용자 접속 시 인증을 위해서도 사용할 수 있다. 이는 리눅스나 유닉스가 PAM …

  • 리눅스 서버 계정 관리를 위해 Active Directory를 인증서버(Radius)로 사용하기

    아주 오래 전 (벌써 5년 전...)에 NIS를 이용해 서버 운영체제의 계정을 통합관리하고 NFS 서버를 연동해 로그인 할 때만 NIS 클라이언트에 NFS 서버에 있는 사용자의 홈디렉토리를 마운트해 사용할 수 있게 하는 테스트 환경을 구축했었다.  (NIS, NFS, autofs 를 활용한 홈디렉토리 automount 환경 구성하기) 이 테스트 환경의 경우 삼성전자의 CAE 환경에서 연구원들의 연구지원 시스템의 환경에서 SecureOS가 정상적으로 동작하는지를 테스트하기 위해 구성한 환경이었다. 하지만 이런 환경은 일반적인 시스템에 …

  • [ISMS-P]기술적 관리적 보호조치 기준 vs 안전성 확보조치 기준 비교표

    얼마 전 ISMS-P 인증심사원 자격전환 (구ISMS에서 신ISMS-P로) 시험에 합격하면서 6월에 첫 ISMS-P 인증심사를 나가게 되었다. 아무래도 ISMS에 구)PIMS의 개인정보라이프사이클 및 법적 요구사항에 대해 더 깊이 있게 살펴봐야 하기 때문에 조금은 더 까다로운 심사가 될 듯 하다. 그러면서 다시 한번..(글로만 보면 자꾸 잊는다.) 정보통신망법과 개인정보보호법을 정리한 내용들을 살펴보고 있는 중이다. 그 와중에 자격전환 시험 준비를 하면서 정리해두었던 자료들 중에 정보통신망법의 하위 고시인 [기술적ㆍ관리적 보호조치 …