맨땅에 헤딩하기

출처 :  http://www.isc2.org/uploadedFiles/(ISC)2_Public_Content/Industry_Resources/Resource_Guide/2009ISC2ResourceGuideFINAL.pdf


SOURCE GUIDE for Today’s Information

Security Professional
Global Edition


Welcome to the 2009 issue of the (ISC)2® Resource Guide for
Today’s Information Security Professional—Global Edition.
This guide provides quick access to valuable resources for information
security professionals around the world. (ISC)2 publishes this
handy tool as part of its continued commitment to advancing the
information security profession.We hope that it will become a
trusted resource for you and your colleagues.

10일 회사 산행 대회에 이어 바로 외부 세미나 참석하기가..멋했지만..강행했슴다..
아..교육훈련 근태 내놨는뎅..

회사에 잠시 들어갔다가 가게되서리...9시 40분쯤 도착한거 같네요...
이미 많은 사람들이 와있더군요..^^;

등록하고 휘릭~ 봤떠니..역시 아는사람은 안 뵈네여..ㅋㅋㅋ
일단..오후 세션을 B세션(기업정보보호)을  들으려고..B세션(입구에)라고 적혀 있는곳으로 들어갔는데..
탁자 있는 곳은 이미 사람들이 자리를 대부분 차지했네여..

혼자라 가벼운 마음으로 빈자리에 앉았슴다...
첫번째 세션 발표자인 김지훈 팀장(안랩 - cissp협회 간사님인데..)이 준비하는 모습이 간간히 보이더군요...

제가 10회였나요? 창립 10주년 기념으로 무료일때 참석한걸로 알고 있는데..
ㅎㅎ 벌써..4회나 더 지났나 싶더군여...그간은 유료라..ㅋㅋ

10시가 되자 김지훈님의 해킹방어시연 " conficker vs security, know your enemy 라는 주제로 발표가 시작되었습니다. ppt에 많은 노력을 들으셨더군요..
conficker 에 대해서는 많이 듣기는했는데..그닥 피해가 없어서인지...별 관심이 없었는데..
세션을 통해 좀 알게된 계기가 되었습니다.

두번째로 구사무엘님의 "안전한 인터넷 세상을 위한 해커의 역할과 책임"이라는 발표가 이어졌습니다.
해커에 대한 정의서 부터해서 최근 해커들의 추세(무료 취약성 공개 대신 유료 취약성 공개형태)를 말씀하시면서
기업들의 태도에 대해서 좀 꼬집는듯한..아직 어린 나이임에도 불구하고 많은 청중들 앞에서 말 잘 하더군요...자신감의 표현이겠죠..^^;

강의 종료후 앞자리에 있떤 누군가(나이좀 들어뵈시던데..귀빈이였는지는 잘모르겠네요..^^; )와 명함을 주고 받던데..
원래는 휴식이 이어졌어야 하는데..바로 다음세션으로 이러지더군요..

국정원에서 나오신이 정부제1발표를 하셨는데..간략하니 귀에 쏙쏙들어오게 잘 하시더군요..
그런데..왜 기억은 안날까요..ㅋㅋ
국정원 분이라 사진 찍는거에 대해서 언급하시더군요...사진 찍으시면 안된다고..^^;;

"미래 사이버 안보 위협 대응전략 제안"이라는 주제였는데..
2003년인가 국가 사이버 안보전략이(?)이 있었다는데..
이제5년이 지난 시점에서 환경도 많이 변경되고 했으니 다시 한번 전략을 수정해야하지 않겠냐면서 말씀하시더군요.
주변국들의 전략(특히 미국의 사이버사령관을 언급)들도 간략히 보여주셨고..대부분 방어적인 전략을 내세우지만 이면으론 공세적 입장도 있지 않겠냐면서....^^;

두번째로 방통위 정재훈 사무관께서 "인터넷 정보보호 정책방향"이라는 주제로 발표하셨네요..
방통위 출범후 인터넷 침해사고 대응체계 강화 / 개인정보보호 수준 고도화/ 건전한 인터넷 이용환경 조성등이 성과와 향후 중점 추진 과제로 선진화된 정보보호 대응체계 / 이용자 중심의 정보보호 정책 추진 / 국민체감형 정보보호 서비스 제공/ 미래융합 it 서비스 안전체계를 마련하기위해 노력한다고 합니다..
아무래도 전문 강사가 아니시라 강의 중 목소리가 좀 작으신듯...

정사무관님의 세션을 마지막으로 오전 세션 종료 되면서..
걔회식이 이뤄졌슴당...

귀빈 입장 & 국민의례에 이어...황중연 정보보호 진흥원장님의 개회사...
사이버 안전센터 처장님의 축사..
방통위 네트웍 정책 국장님의 격려사가 주욱~~ 이어졌습니다..

앞자리에 귀빈분들이 10여분 앉으신듯한데..누군지는..잘..
얼굴 아는분은 정태명 교수님이 계셨는거 같네여..(교수님은 절 모르겟쬬..ㅋㅎㅎ)...
쩝...아는사람이 넘 없어서..ㅋㅋ

짧은 개회식을 마치고 점심 먹으로 나갈때..
아..이전회사서 같이 근무하시던 과장님(아..보니까..이제 부장님이시더군여..하긴..저도..ㅋㅋ)뵙습니다..

B트랙 들으신다고해서..나중에 뵙기로하고..지하 1층 제라드룸(?)인가로 갔슴당..
사람이 원체 많아서 원래 준비한곳보다 좀더 넓힌듯...

식사 매뉴는 갈비탕였는뎅..
아..모르는 분들 8명하고 죽은듯이...식사햇슴당..ㅋㅋㅋ

옆에 왠 여자분이 앉으셨는뎅..
자꾸 손이 닿길래..왜그런가 봤떠니..왼손으로 식사를..^^;;;
식사하기가 많이 불편하셨는지...밥도 남기시고...갈비탕 고기도 남기시고..쩝 나갈때 괜시리 죄송하더군여..냠..


식사 마치고 파란바람님과 니뽕맨님을 만났쬬...
니뽕맨님은 첨 뵙는데..호남이시더군여..^^;
잠시 얘기 나누다...니뽕맨님은 A트랙..저랑 파란바람은 B트랙으로..

B트랙에 갔떠니..아까 만나뵙던 과장님이 계씨더군요..^^;
서로 명함 교환하고...ㅋㅋ 세션 들었슴당..

세션은..기업정보보호 세션으로..
mobile security 현황과 통신 사업자 대응방안라는 주제로 SKT 이기혁 팀장님이..스타트하셨슴당..


첨예상했던거와 틀렸슴다..주된 내용이 스마트폰 관련내용이네요..^^;;
스마트폰 특성에 따른 위험, 개인정보 침해 및 대응 방안, 스마트폰의 오픈마켓의 위험성에대해서...
말씀 주셨슴당..자세한건 스캔해서 올리니 참고하시고요..

두번째로..A3 전상미 연구소장님의 개인정보 영향 평가 방법론과 구축사례에 대해서 발표하셨슴당..
주로 기업환경에 따른 PIA(Pirvacy Impact Assessment)에 적용사례위주로 말씀 하셨는데요..
사례라 일일이 말씀드리기는..좀 멋하네여..^^;

마지막에 보면..
개인정보 영향 평가 수행시 애로사항이 나오는데요..참고적으로 몇개 적어드리죠..

영향평가 수검자 입장에서..
난 보안을 불구하고IT도 잘 모르는 현업 PM이다..
신규 시스템 구축하는것만으로도 바쁜데, PIA 업무는 너무 힘들고 시간낭비도 오래 걸린다..
.....
당장!!사업하는것이 중요하지 PIA를 수행하지 않았다고 사업 OPEN에 지장간다는게 말이되냐..


영향평가 수행자 입장에서...
난 보안 담당자로 PIA를 수행한다..

PIA를 반디시 받아야한다고 현업 PM을 설득하기 너무 어렵고 조직 전체적으로 강압적으로 밀어 붙이기도 어렵다.
..
PIA의 보안대책을 왜? 어떻게 ? 해야하는지 현업 PM들에게 이해 시키기가 어렵다...

그리고..기업 차원의 지원상에 대해서 언급하면서 마무리하셨네요..^^

infomation security govemance and seurity 2.0 에 대해서  KISA의 장상수 팀장님이..
전반적으로 설명이 너무 장황하셔서..마지막에 시간이 좀 부족하셨네요...

정보보호관리체계, 정보보호 거버넌스, security 컴플라이언스의 연계를 통해서 정보보호가 변화하는 비즈니스 환경에 능동적으로 대처하도록 진화하기 위한 전략을 security 2.0이라 정의하시더군요..
이어 정보보호관리체계 , 정보보호 거버넌스, security 컴플라이언스에 대해서 설명하시고..
security 2.0 구현방안에 대해 정리하셨습니다.

정보보호 경영이라는 사고의 전환과 정보보호와 비즈니스의 연계, scurity 컴플라이언스 준수 및 내부통제 강화, security 2.0 구현 지침 및 표준모델개발을 통해서 security 2.0 시대에 대응하자고 마무리 하셨슴다..

중간 쉬는시간에 C트랙도 좋을거 같아서....C트랙으로 자리를 옮겼슴다..
파란바람이 배고프다고 해서..잠시 백화점쪽에 가서..롯데리아 찾아서..
햄버거 한개 뚝딱..ㅋㅋ

먹고 올라오니 막 세션 시작했더군요...
C트랙의 두번째는 정보보호 기술 세션으로..
첫번째로 정보보호 솔루션의 reconstruction이라는 주제로 어울림정보기술의 박재경님이...
정보보호 솔루션 초창기 도입시 체계적인 컨설팅 없이 도입함으로
중복 투자 및 이기종간의 일관성없는 보안정책등으로인해 정보보호 솔루션의 reconstruction의 필요성에 대해 역설하셨슴당...말씀 잘 하시더군여..^^

두번째로... ETRI의 장범환 연구원님의 직관적 보안상황 인지 기술과 전망이라는 주제로..
본인이 2년이상 우려 먹고 있따고 서두에 언급하시던데..ㅎㅎ
듣다보니 대부분 작년 올해 상용화 된듯하더군요...

보안 관련 많은 정보를 신속하고 쉽고 정확하게 시각적으로표시하는게 연구 목적이신듯..
많은 좋은 솔루션을 이미 개발 하셨더군요..^^;
발표 내용 관련해서 amtrac.etri.re.kr  참고하시면 될듯합니다..

마지막으로 어플리케이션 가상화와 보안이라는 주제로 구사무엘님이 발표하셨슴다..


가상화라는 개념이 추가되므로 추가되는 새로운 취약점 역시 존재한다며...
milw0rm에서 이미 vmware 관련 내용이 공개 많이 되었따며...
보안에 대해 미리 신경써서 찾고 해결할 필요가 있다며 마무리하셨슴당..

마지막 세션 마치고..
바람이는 와인사러 방이동 간다고해서..먼저 집으로..^^;

제생각에 이번 정보보호 심포지움에서 특이할만한 사항으로는..

청소년교육을 위한 트랙, 포렌식 트랙, 스마트폰에대한 세션등이 다뤄진게 특이하다 생각되더군요..

2009 emc 포럼 다녀왔슴다..

한..3년쯤 전에 emc포럼에서 psp 받은 기억이 잇는데..^^;

지금은 애들이 망가뜨려놔서..ㅎㅎ

세미나 나름 많이 다녀봤는데..

emc꺼는 늘쌍~ 사람이 미어 터지는군요..흐...ㅡㅡ;;

삼실에 출근했다가...느즈막히 (9시20분쯤?) 출발해서.. 도착하니..

역시나 사람들이 이미 많이 와있더군요..

혹시..선착순에 못들어서 점심 못먹을까 했는데...다행 점심쿠폰은 주더군여..ㅋㅋ

main keynote 발표자로 빌튜버 emc 부회장이 발표했슴당..
영어로 말해서..머릿속에 안남는데, emc가 걸어온길, emc 제품 특징들을 말한듯합니다..

그리고 special keynote 세션에 과학콘서트 저자 정재승 카이스트교수의 발표가 있었슴당..
저랑 나이 차이가 불과 몇살 안나는데 교수님이시네여..^^;
뇌공학과(좀 생소하죠??) 교수님이라고 하네요...
창의적 생각이라는 주제(맞나?)...좋은 말씀 해주셨네요...
중간중간 머..실험 동영상도 보여주시고...^^ 연구에 좋은 결과 있었음 하네여...

오전 세션은 그렇게 마무리 됬슴다...쩝..문제의 점심시간...

호수공원 먹거리마당에서 먹어야하는데..쩝...몇천명 되는 사람을 소화하기란..ㅋㅋ
자리가 없어서..거의 다 먹은사람 뒤에 서서 자리비켜달라고 무언의 압박 시위 한뒤에...자리 잡고 주문하러 갔씀당..
쩝..담부터는 점심 문제를 어떻게 좀 해결 해줫음 하네여..

점심 먹고 오후세션은..

트랙이 무지 많아서.고민했는데..업무랑 연관해서 좀 들어봤슴당..

제1세션은 진보된 정보보호를 위한 전사적 framework
제2세션은 emc 실시간 it 자산 관리 솔루션과 사례들
제3세션은 가상화 데이터센터 최적의 클라우드 OS-Vshere V4
제4세션은 기업 인프라스트퍽처 보호를 위한 보안 및 이벤트 정보관리를 들었습니다..


1세션은 정보보호를 위한 전사적 framework 거창한 제목이 맘에 들어서..ㅋㅋ
요약하자면..IRM(infomation Risk Management) 프로세스는 다음과 같습니다.
Discorvery and Classify ==>  Define policy ==> Enfoce Controls => Report and Audit

2세션은 자산관리 관련해서 진행하는게 있어 들었씀당..

EMC SMarts ADM(Application Discovery Managemet)
실물 IT자산 파악 자동화 - H/W, S/W등...
사용량 파악  - 패킷정보, Server / Client 사용량  Protocol /  Port 사용량 정보
Agentless 정보 수집 - 모니터링, H/W,S/W 일체형 appliance 솔루션

정보 수집방식으로는
Passive 방식 - 스위치 미러링 포트를 통한Network 트래픽 캡쳐
active 방식 - snmp등을 이용..

3세션은 가상화 관련해서..
새로 출시한 Vsphere4 관련 설명으로...

인프라측면에서 컴퓨팅 능력, 스토리지, 네트웍 부분이 향상 되었고..
app측면에서 가용성 ( VMware Fault Tolerance) , 보안성 ( VMSafe , VM Sheeld Zone등.) 확정성 등이 좋아졌다고하네요.

마지막으로...이벤트 정보관리...
RSA envision 제품설명으로...
규제준수, 보안강화, IT 및 Network 관리 최적화에 중점을 둔제품으로..
특징으로 IPDB 사용 한다고합니다...

두번째랑 네번째 agentless 방식이라고 하던데..흠...획기적인거마냥..얘기하는데..
agent 없이 하는게 획기적인지는 잘 모르겠네여..^^;
snmp 같은거 안 깔렸음 깔아햐나는데..
므튼..agentless 강조를 많이해서..

마지막으로..빅마마 공연을 끝으로..경품추천까지 이어졌는데..쩝..다 낙마했슴당..
빅마마를 나름 가까이서봣는데..노래 잘 ~ 하더이다..
콘서트 함 가보고 싶더군여..^^