'IBM'에 해당되는 글 2건
- 2008.03.06 웹 애플리케이션 보안과 취약점관리시스템 지식방송 후기 (08/3/6)
- 2008.02.29 기업보안의 새로운 패러다임(G.R.C)과 IBK기업은행 사례분석 지식방송후기(08/2/29)
첫번째 세션의 발표자이신 시드시스템의 이동일 대표님은 보안이란 분야의 일이 정말 좋아서 하시는 분이란 것이 방송 전 인터뷰때도 느껴졌고 방송 중에도 느껴졌습니다. 국내에서는 아직도 컨설팅이나 새로운 체계를 구축하는 것에 대한 가치와 이해가 부족한 현실에서 신념을 갖고 전도사(영어로 evangenlist하면 멋있어 보이는데, 한글로 하면 웬지 전철안에서 강권하시는 분들 때문에 강요의 느낌이 듭니다 ^^)의 역할을 하고 계신는 모습에 동병상련의 느낌이 들었습니다.
요즈음 참여,개방,공유의 웹2.0시대에 점점 개별 사이트들이 연결되고 컨텐츠가 쉽게 공유되는 환경과 웹 자체가 단순 링크가 아니라 데스크탑의 소프트웨어 같은 "웹 애플리케이션" 또는 "웹 서비스"로 진화되는 때에, 보안의 이슈도 달라라지 그에 대한 대처 방안도 새롭게 수립되어야 함을 배웠습니다.
단순히 웹방화벽같은 물리적인 레이어를 하나 더 추가하는 것으로는 웹 애플리케이션 자체의 개발때부터 내재 되있는 결함을 보완할 수 없는 것이므로, 초기 웹애플리케이션 설계때부터 체계적으로 보안에 대한 계획을 세우면서 개발하는 프로세스 정립이 중요할 것 같습니다. 이를 위해서 개발자가 직접 모든 보안이슈를 점검하고 테스팅하는 것이 힘들므로, 자동화된 보안테스팅 솔루션이 나온 것이며, 크게 보면 White Box Testing, Black Box Testing, Gray Box Testing이 있습니다. White Box는 개발소스 자체를 정해진 관점에서 자동 점검해 주는 것이고, Black Box는 Dynamic하게 실제로 사용자관점에서 "웹 애플리케이션"을 이것저것 실행해 보면서 점검하는 것이며, Gray Box는 이 두가지를 합쳐 놓은 것입니다. 특히 Black Box Testing 시 구출 할 웹애플리케이션이나 웹서비스의 목적과 사용자의 행동양식에 맞게 초기 세팅 및 운영을 하는 것이 엔지니어 입장에서 노하우가 될 것 같습니다. 마치 DB튜닝도 수준의 차이가 있듯이...
오늘 진행을 하면서 특히 공감을 했던 부분은 선진국과는 달리 우리나라에서는 보안상의 문제로 고객정보가 유출되는 사고가 발생했을 때, 이에 대한 제도적인 대처규정과 재발방지를 위한 방안이 미약하다는 점입니다. 그나마 공개적으로 사과하는 것은 나은 것이고 대부분은 사고자체를 은폐시키고자 한다고 합니다. 일본은 사이트 자체를 폐쇄시키거나 미국은 사고 원인분석을 해당 사이트 운영사가 10억이상 들여서 정부에서 규정한 감사팀들이 원인분석을 하고 그 결과에 따라서 사후 조치를 진행한다고 합니다. 이렇게 제도적으로 확실한 Rule이 체계화되고 그것을 누구는 지켜나가야만 되는 환경이, 전문가의 컨설팅에 대한 가치를 인정하고 개발시 보안체계도 동시에 고려하면서 급하지 않고 차근차근 개발해 나가는 풍토가 조성된 것 같습니다.
이점은 보안분야뿐만 아니라 거의 모든 IT분야에 해당되는 점인데, 정부에서 IT를 단순히 건설하도급 용역개발이나 장비설치로 보지 말고, 사회의 로지컬한 인프라를 설계하고 구축하는 국가전략적인 요소로 인식하고 제반 제도와 규정들을 선진국처럼 한다면, 결국 우리나라 엔지니어들도 지금과 같은 열악한 환경이 아니라 선진국처럼 60세가 되도 전문성을 갖고 일하는 시대가 되지 않을까 생각해 보며, 그러면 자동적으로 요즈음 같은 이공계 기피증이 해소되지 않을까 기대해 봅니다.
오늘 진행을 하면서 개별 IT기업이 하기에는 힘들겠고, 각 협회나 모임등에서 이러한 것을 구체적인 사례를 가지고 정부나 국회 관계자 분들엑 지속적이고 효과적으로 알리고 같이 고민해야 될 것 같습니다.
두번째 세션 "취약점관리를 통한 사전보안관리" 발표자이신 IBM Korea의 김형욱과장님은 터프하게 보이시려고 수염을 기르셨지만 워낙 동안이시고 다정다감한 성격이셔서 편안한 느낌을 주시는 분이었습니다. 지식방송은 구체적적인 사례를 가지고 얘기하는 것이 말씀하시기가 편하신데, 워낙 발표 주제가 초기 시장에 소개하는 이론적인 면이 많이 내포되어서 김과장님꼐서 좀 힘들어 하셨는데, 누가 발표를 하더라도 그런 주제에서는 마찬가지 였을 것입니다. 시장이 좀더 성숙되고 국내사례들이 많이 생긴다면 다음 번에는 아주 심도있고 흥미있게 구성될 수 있는 주제가 될 것입니다.
취약점_관리를_통한_사전_보안_관리_ibm_김형.pdf
특히 금융기관이나 대규모 사업장에서는 보안관련 모든 체계를 시스템화시키는 보안의 ERP 아니면 BPM수립같은 과정같고, 특히 프로세스적인 마인드가 있으신 보안관계자가 취약점관리시스템을 설계하고 구축한다면 아주 현실적인 보안관련 "Best Practice Model"이 나올 수 있다는 생각이 들었습니다. 다른 IT분야처럼 보안도 장비나 개별 솔루션 도입에서 벗어나 ERP같이 체계적인 Process Innovation시키는 컨설팅적이고 프로세스적인 방향으로 바뀌겠구나 라고 느껴지면서 이는 IT 벤더뿐만 아니라 수요처 보안관련자 분들에게도 좋은 기회라 생각이 됩니다. (항상 도전이 기회입니다.)
다음부터 취약점관리 같은 컨설팅적인 요소가 많고 초기 시장에 소개되는 주제들은 실제 파일롯 또는 구축사례를 가지고 프로세스별로 짚어가면서 진행한다면 아주 좋은 방송컨텐츠가 될 수 있겠구나 생각이 들었습니다.
오늘 발표한 두 분 다 열심히 계속 공부하시며 자기계발하시고 있는데, IT에 계신 분들이 아래 두가지는 꼭 염두에 두고 습관하 하시면 5년이내 좋은 기회가 오고 지속적으로 커리어가 성장되리라 확신합니다.
1) IT솔루션이 실제로 적용되는 현업프로세스에 대한 마음으로부터의 이해: 왜 필요하고 결국 얼마가 절감되며 누가 좋아졌는가?
2) 지속적인 IT기술 및 사례에 대한 공부(해외 사이트 또는 영어원서 읽기): 영어가 필수이며 따로 학원다니지 말고 그냥 부딪혀 보시고, 초기에 너무 문법과 모르느 부분은 skip해가면서 몇 달해 보십시요.
오늘 발표자료는 첨부파일 참조하시고 방송다시보기는 1주일 뒤쯤에 여기나 방송 보셨던 사이트에서 보실 수 있습니다.
[첫번째 지식방송 다시보기]
http://www.ubizcenter.co.kr/seminar/reservation/schedule_seminar_view.asp?event_idx=S346&status=E
[두번째 지식방송 다시보기]
http://www.ubizcenter.co.kr/seminar/reservation/schedule_seminar_view.asp?event_idx=S1352&status=E
[ Thanks to ]
운영: 와이즈파트너 박치연, 최지영
홍보: 전자신문 김태형, 홍원준
제작: 와이즈파트너 이진일
후원: IBM Korea 이준원, 유호관
현장Staff: 미래웍스 고여순
'IT' 카테고리의 다른 글
| 감성IT 컨퍼런스 1일차 지식방송 후기 (08/4/1) (0) | 2008.04.01 |
|---|---|
| 구글의 새로운 전략, 모바일플랫폼 "안드로이드" 집중분석 지식방송 후기 (08/3/10) (0) | 2008.03.10 |
| Java와 .NET의 흐름과 개발자의 현황과 미래 지식방송 후기 (08/3/3) (0) | 2008.03.03 |
| 기업보안의 새로운 패러다임(G.R.C)과 IBK기업은행 사례분석 지식방송후기(08/2/29) (0) | 2008.02.29 |
| 지능적 "데이터 중복제거 기법"을 활용한 차세대백업 구현사례 (2008/1/30) (0) | 2008.01.30 |
어제 지식방송을 마치고 다른 약속들로 인해 집에 늦게 들어와서, 오랜만에 근처 공원산책하고 방송후기를 쓰려다 깜박 잠이 들었습니다. 지금 새벽에 에릭클랩튼의 "Wonderful Tonight"과 커피 한 잔 마시면서 노트북에 앉아있습니다.
어제는 지식방송이 4개가 동시에 오후에 몰려서(기업보안, 잡코리아 "공무원채용", SAP, Microsoft) 선릉에 있는 RFID/USN협회 지식방송국에서 방송을 하였습니다. 어제같이 매일 여러 분야의 지식방송을 통하여 "네이버에서 검색이 안되는" 생생한 경험과 지식이 같이 공유되고 그것이 실제로 업무에 도움이 되는 그런 날이 오도록 더욱더 열심히 고민하고 행동할 것입니다.
서두가 좀 길어졌는데, 첫번째 게스트이신 "IBK기업은행 고완선 보안팀장" ( IBK를 강조하시더라고요 ^^) 님은 기업은행에 실제로 전사적 보안체계를 고민하며 설계하고 구축하신 분이라서 그런지 한 말씀 한 말씀이 모두 마음에 와 닿았고 갓 잡은 생선회같이 펄떡이는 "생지식"이었습니다. 보안업무를 하신 지는 7-8년 정도 되신다고 하시는데, 항상 기업보안이라는 테마를 생각하고 계속 발전시키시려는 분이라는 것이 느껴졌습니다.
기업은행은 경영자층부터 "보안"을 단순히 해킹방지등의 수동적 의미로 보지 않고, 기업의 경쟁력을 높이는 중요 자산으로 활용하려는 적극적인 자세로 임한다는 점이, 정보보호대상을 타게 되지 않았나 생각됩니다. 전사적 보안체계를 구축할 때의 제가 배운 Tip은 아래와 같습니다.
1) 현업의 프로세스에서부터 출발해라.
보안 솔루션이나 장비의 여러 기능으로 수동적인 방지체계를 만들 것이 아니라, 먼저 기업의 각 현업부서의 업무프로세스와 그에 따른 보안이슈를 먼저 분석하고 보안시스템을 업무시스템에 smart하게 녹이는 것이 중요한 것 같습니다. 이점은 보안분야 뿐만이 아니라, 앞으로 점점 더 IT부서의 분들은(IT벤더 포함) 단순 립서비스가 아닌 진짜로 IT기술이 적용되는 현업의 용어,프로세스를 마음으로부터 이해하고 같이 고민해야 될 것 같습니다.
2) 경영진과 친해져라.
IT용어에 생소한 경영진에게 기술적으로 무엇이 필요하고 지원을 요청하는 것보다, 경영진이 관심있어 하는 테마와 용어로 접근하며 동시에 인간적인 관계설정에도 노력해야 된다는 말씀은 얼핏 당연하게 보이지만, 우리가 업무에서는 간과하기 쉬운 점이라고 생각됩니다.
3) 보안은 서비스이다
지식방송은 일반 방송과 달리 전혀 대본없이 생방송으로 몇 백명의 시청자앞에서 진행자의 애드립성 질문에 답변하는 형식인데, 짧은 순간에 "보안은 서비스이다"라는 말씀을 하셨을 때 고 팀장의 보안에 대한 고민과 생각의 깊이가 느껴졌습니다. 저는 "보안은 서비스이다"라는 것을 첫째 현업부서(손님)에게 항상 그 사람의 입장에서 눈높이로 대하고, 둘째 보안체계를 구축한 것에서 끝난 것이 아니라 지속적으로 환경에 맞추어 나가는 계속 진행형 프로세스로 봐야된다 라고 이해했습니다. 아래의 기업은행 보안포털을 보면 좌측 상단의 현재의 보안지수를 온도계로 표시한 직관적인 UI등 직접 서비스를 실천하고 계시는 것이 느껴졌습니다. IT부서하면 좀 딱딱하게 느껴지고 거기에 은행이라면 더 그런데, 이렇게 직관적이고 깔끔한 UI를 보면서 신선한 느낌이 들었습니다. (서있는 분이 고팀장님이라고 하시는데 좀 "뽀샵"이 들어가지 않았나 생각 ^^)
저도 공대를 나오고 다양한 IT분야의 일을 하다 아무도 시켜주지 않아서 지금은 "자칭 지식방송인"(^^)이 되었는데, 1년 넘게 생방송을 기획하고 진행하다 보니 이러한 함축적이며 멋진 문구(카피)가 나오면 한 수 배우게 됩니다.
시청자와의 Q&A시간에 20여개 이상의 구체적인 질문들이 많이 나왔는데 한 분이 보안교육에 현업참석자를 늘리고 집중도를 높있수 있는 방법을 물어보았는데, 보안교육시 경품을 주었다는 말씀을 듣고 잠깐 허무개그(^^)같기도 하면서 참 현실적이고 다시금 "보안은 서비스이다" (오늘의 결론)라는 말이 다시금 생각났습니다. 워낙 약간 사투리리를 쓰시면서 느릿느릿 말씀하시는데 맥을 잘 짚으시면서 유머감각도 있으셔서 향후 방송인으로도 충분히 자질이 있다고 생각됩니다.
두번째 세션은 "기업보안의 새로운 패러다임 G.R.C"란 주제로 IBM Korea의 박형근 과장님이 게스트로 나오셔서, 기업체 경영전략과 업무 프로세스에 맞추어 보안시스템을 어떻게 체계있고 확장성있게 구축할 것인가에 대하여 얘기를 나누었습니다. 처음에는 생방송 좌담에 약간 긴장하셔서 말씀을 빨리 하시다가 몇 분이 지나자 프로답게 방송에 실시간으로 잘 적응하셨습니다. 지식방송은 Mass Media가 아니라 구체적인 주제에 관심있는 전문적 게스트/진행자/시청자가 동아리 같은 분위기로 얘기하는 Nano Media이므로 약간은 투박하지만 real하고 구체적 얘기를 하면 시청자분들이 만족해 하는 것 같습니다.
참고로 G.R.C.는 Governance, Risk management, Compliance를 지칭하는 것으로 이 세가지 관점에서 보안체게 프레임워크를 설계하고 구축해 나가야 된다고 합니다. 우리가 커다란 프로그램을 짤때 표준 개발 프레임워크 기반으로(예를 들면 WAS) 구축한다면, 설계시부터 여러 관점을 missing하지 않고 또한 글로벌 트렌드와 환경변화에 쉽게 적응할 수 있는 잇점이 있듯이, 보안시스템을 구축할 때도 유사한 방법론을 적용하는 것 같습니다.
요즈음같은 세계화시대에는 국제 표준과 규정 (이런 것이 Compliance )을 준수해야 되고, 기업 내외부의 다양하고 급변하는 요구에 신속히 대응해 나가야 되므로, IBM같은 글로벌 기업이 선진국의 여러 환경에서 수행하고 검증하며 체계화시킨 프레임워크를 smart 하게 활용하는 것이 밑바닥부터 만들어 나가는 것보다 효과적이겠다는 생각이 들었습니다. 하지만 솔루션적인 접근이 아니라 ERP도입시 PI(Process Innovation)추진팀을 만드는 것처럼 고객사와 공급사 모두 프로세스적인 접근을 일관되고 체계적으로 해야되겠습니다.
박형근 과장님께서 하신 말씀 중에 Compliance를 보안시스템 구축에 대한 경영진의 서포트를 받는데 활용하기에 좋다는 말씀은 현실적인 방법이라고 공감이 갔습니다. 국내외에 꼭 준수해야 되거나 아니면 경쟁우위를 가질 수 있는 표준에 대해서 경영자도 쉽게 이해하고 판단을 내릴 수 있으므로, IT보안부서에서 이러한 Compliance에 대한 확실하게 이해하고, 간결하고 구체적인 표현으로 경영자에게 제시하는 것이 중요하겠습니다. 해외에서는 보안부서가 IT부서가 아니라 경영지원부서 성격으로 바뀐다고 하셨는데, IT부서원들도 이제는 경영관련 된 것을 평소에 공부해야 되겠다고 생각됬습니다. 우리나라는 가뜩이나 IT부서에 계신 분들이 선진국들과 달리 여러가지를 빨리빨리 해야만 되는 과중한 업무환경인데, 여기다 경영관련 공부까지 해야 되니 참 힘든 세상이지만, 그만큼 기회가 올 것이니 힘들 내십시요.
어제 방송때 IBM Korea 마케팅부서의 유호관 과장님, 이준원 차장님 (사진 좌로 부터)이 같이 방송내내 옆에서 열심히 모니터링하시면서 , 새로운 메시지 전달의 방법인 지식방송을 어떻게 하면 실질적인 마케팅 및 영업 활성화에 접목을 시킬 것인 가를 고민하는 진지한 모습이 보기 좋았으며, IBM Korea가 계속 발전해 나가겠구나 생각이 들었습니다.
항상 지식을 공유하는 행위는 남을 도와주는 것처럼 좋은 느낌이고 즐겁게 할 수 있습니다. 이 글을 보신 분 중에서 몇 십명 몇 백명에게 도움이 되는 경험과 지식이 있으시면 언제든지 제게 연락주시면, "지식PD
" 로서 최선을 다하여 도와드리겠습니다.
[첫번째 세션 지식방송 다시보기]
http://www.ubizcenter.co.kr/seminar/reservation/schedule_seminar_view.asp?event_idx=S345&status=E
[두번째 세션 지식방송 다시보기]
http://www.ubizcenter.co.kr/seminar/reservation/schedule_seminar_view.asp?event_idx=S350&status=E
어제 방송을 위하여 도움주신 RFID/USN협회 임성우부장님, 전우석과장님, 전자신문 김태형팀장, 홍원준대리 그리고 운영에 도움주신 미래웍스 고여순과장님, 당사의 박치연팀장, 최지영대리, 이진일씨 모두에게 감사드립니다.
'IT' 카테고리의 다른 글
| 감성IT 컨퍼런스 1일차 지식방송 후기 (08/4/1) (0) | 2008.04.01 |
|---|---|
| 구글의 새로운 전략, 모바일플랫폼 "안드로이드" 집중분석 지식방송 후기 (08/3/10) (0) | 2008.03.10 |
| 웹 애플리케이션 보안과 취약점관리시스템 지식방송 후기 (08/3/6) (0) | 2008.03.06 |
| Java와 .NET의 흐름과 개발자의 현황과 미래 지식방송 후기 (08/3/3) (0) | 2008.03.03 |
| 지능적 "데이터 중복제거 기법"을 활용한 차세대백업 구현사례 (2008/1/30) (0) | 2008.01.30 |
Prev
Rss Feed