2020년,데이터3법(개인정보보호법·신용정보법·정보통신망법)이 국회 통과로 개정되면서 ‘가명정보’ 개념이 도입되어 비식별화된 데이터는 기업이 활용할 수 있게 되었습니다. 가명정보란 ‘개인정보 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보 없이는 특정 개인을 알아볼 수 없도록’ 처리함으로써 원래 상태로 복원하기 위한 추가정보의 사용, 결합 없이는 특정 개인을 알아볼 수 없는 정보를 뜻합니다. (개인정보보호법 제2조 제1호 및 제1의2호). 지속적인 법 개정을 통해 안정적으로 개인정보를 관리 및 이용하여 관련산업이 발전할 수 있는 토대를 마련한 부분에 대해서 긍정적으로 생각합니다. 그러나 공익을 위한 사업에서나 민간사업에서 '적법하게' 활용중인 비식별화된 데이터 또한 개인정보 유출, 프라이버시 침해에 대한 우려도 여전히 존재합니다. [단독] '얼굴 무단 사용' 법무부가 밝힌 개인정보열람 거부 이유 http://www.ekoreanews.co.kr/news/articleView.html?idxno=61134 비식별화된 데이터를 올바르게 관리 및 활용하기위한 방안들을 고려하기위하여 많은 세미나를 참석하며 다양한 솔루션과 기술들을 확인하고 있지만 비식별화된 데이터가 정답이 될 수는 없겠다는 생각이 들었습니다. (21일 진행예정인 세미나에서 ‘비식별화, 가명화 그리고 빅데이터’ 세션에 관심을 가지고 신청도 해두었습니다.) 비식별화된 데이터일지라도 활용을 위한 데이터들을 다양하게 서로 결합하였을 경우 식별이 가능할 수 있기에 보완할수 있는 기술이 필요할 것으로 보여지고 보완할 수 있는 방안에 대해서 학습을 하다보니 비식별화된 데이터를 더욱 알아보기 힘들도록 '원본 데이터에 노이즈를 추가하여 교란하는 방식' 과 '특정한 값 대신 근사치로 데이터를 모아 딥러닝으로 보정하는 방식' 등 다양한 '차등정보보호' 에 대한 방법론들이 연구되고 있음을 알게되었습니다. (참고문헌-차등정보보호에 관한 연구) 물론, 기술에 더해 정부 차원의 추가적인 정책도 여전히 필요하다고 생각되며 기술과 정책이 함께 서로 보완해 갈때 개인정보 침해사고 없이 개인정보를 이용한 다양한 서비스가 확산되어 비즈니스 생태계를 바꿔갈수 있을 것이라 생각합니다. 데이터 비식별화·차등 정보보호 기술에 3년간 117억원 투입 https://www.korea.kr/news/policyNewsView.do?newsId=148895768 데이터 비식별화보단 차등정보보호를 주목하는 이유 https://techit.kr/view/?no=20220619142236

현재 일반기업 또는 정보보호 대상 기업에 ISMS-P 자격증 소지자에 대한 선호도는 어느정도 인가요? 정말 정보보호에 관심없는 분야의 기업들은 당연히 있겠지만~~ 궁금합니다

앞으로 네트워크/사이버보안 제품 도입검토 시 외산제품과 클라우드 기반 솔루션 도입도 적극적으로 고려해볼 수 있을 것으로 기대해봅니다. (+ 또한 이중인증을 권고가 아닌 기본사항으로 고려해야 되겠네요.) 정보보안업계에 어떤 영향이 있을지 계속 지켜보며 대응해야겠습니다. '국정원은 올해부터 일부 제품의 경우 CC인증 대신 보안기능 확인서를 발급받은 네트워크·사이버보안 제품도 공공기관에 납품을 할 수 있도록 개선했다. CC인증에 필요한 비용, 시간이 많다는 지적에 따라 개선된 결과물이다.' "외산·클라우드 다 허용”··· 국정원, 공공기관 보안제품 진입장벽 허문다 https://n.news.naver.com/article/138/0002126328?sid=105

저는 네트워크/시스템/보안솔루션 운영만 10년정도 근무하였고 보안컨설팅은 인프라/웹진단 1년정도 하였고 1년 해킹메일모의훈련을 수행했으며 현재는 보안관제 업무를 하고 있습니다..관리체계로 가고싶은데 신입으로 가능한지요 나이땜 어려울수도 있겠지만요 ㅠㅠ

안녕하세요 저는 네트워크보안 엔지니어로 필드에서 8년 넘게 일하다가 최근 lg 계열사로 약 3개월전 web,ips 운영으로 이직을 하게 되었습니다 처음 필드엔지니어에서 운영으로 오니 사이트 스트레스나 , 고객응대 스트레스가 엔지니어 때보다 적을것 같아 ,이직을 하였으나 막상 이직을 하고 보니, 제 적성에 안맞는거 같습니다 거의 외부로 돌아 다니다가 사무실에 앉아만 있을어고 하니 좀이 쑤시내요 나름 대기업이라고 프로세스는 엄청 태우고요 또한 경력직으로 오다 보니 업무 프로세스, 히스토리 등등 알려주시는 분이 없내요.. 제 생각에 제가 다시 신입 사원이 된듯한 기분입니다 정이 떨어지는 사례 1. -web방화벽 인증서 갱신작업이 있어, 물론 제가 할수 있으나, 책임 소지를 지지 않기 위해서 엔지니어 불러서 작업 할여고 엔지니어 한태 확인 해 보니 더이상 유지보수 하지 않는 다고 하여 , 고객한대 그대로 전달 드렸으나, 왜 담당자가 유지보수를 안하고 있는지 알아야 되지 않느냐 더럭 저한태 화를 내더라고 web은 직접 고객이 계약 하는 걸로 알고 있다고 하니, 왜 유지보수 안하는지 확인 하고 알려 달라고 하더라고요.. (여기서 정이뚝) 다시 엔지니어 한태 전화 하여 eos만료되서 안한다고 전달 펍콜로 지원 받기로함 여기서 부터 더 다닐 만한 회사가 아니라고 느껴졌습니다 정 떨어지는 사례2. 최근 제가 맡은 업무 작업 계획서를 작성 할일이 있어서 담당 PM한태 물어 보니 해당 구성도 네트워크 담당 한태 물어 봐서 서비스 어드민 확인 하라고 하는 소리 듣고 나서 아 더이상 여기 정이 뚝 떨어졌습니다, 또한 업무도 메일로 포워딩 하고, 따로 불러서 어떻게 작성 하라 이런식으 업무 가이드도 없습니다 위와 같은 사례로 몇개월 안됬지만 다시 퇴사가 마려워 다시 이직을 할여고 하는대 잘 되지 않내요.. 이직을 해야 되는게 맞겠죠??

안녕하세요. 현재 중소기업에서 보안담당자로 재직 중입니다. 이 회사에서 사용중인 웹 방화벽 EOL이 올해 말 까지 입니다. 올 하반기 / 내년 상반기 중으로 웹방화벽을 변경하려고 하는데요. * 우선순위 : 엔지니어 적극 지원, 원격 관제 국산 웹방화벽 벤더사 중 추천해주실 업체와 이유에 대해 의견을 여쭙습니다.

이제 보안관제 업무를 하면서 보고서를 쓰기위해 보안장비에 걸리는 공격들을 골라서 보고서에 쓰잖아요? 이게 룰셋에 등록되야지 보안장비에서 필터링하는거고 그러면 항상 들어오는 공격은 비슷할거고... 실제로 유의미한 공격들은 정책 등록이 안되있을거고... 윗선에서는 뻔한거 하지말라 / 차단되는거 갯수채우려고 하지말라 / 차단보다는 탐지로해라 근데 뻔한건 하지말라 / 근데 광범위하게 탐지되는건 피해갯수만 늘리니깐 하지마라.. 맨날 주야 출근해서 공격을 뭘 잡아야할지 할때마다 욕먹을까말까 눈치보면서 일을 하고있습니다 그래도 아무것도 안하기엔 하루 할당량이 있어서 갯수는 채워야하는데... 선배님들은 어떻게 하셧나요? 아니면 따로 공격 페이로드나 그런걸 공유해주는 사이트라던지 그런게 있나요? 모든 사이트들이 비슷한건가요? 진짜 모르겠습니다 도움을 주십시오 보안관제 하면서 꿀팁 같은게 없을까요? 아니면 유의미한 공격을 찾는 방법이라도 있을까요? ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ 보통 보안관제에서 주야간에서 조장 PL자리로 빠지려면 무엇을 공부하고 준비해야할까요? 선배님들 아시는거 있으면 도와주세요

안녕하세요. 리멤버에서 활동하시는 보안인 여러분 반갑습니다. 지금까지 외산과 국산, 가상화 등 많은 방화벽 장비를 도입하고 운영해보았지만 좁은 시야로 부서내 의견만 취합하여 진행하였기에 좀더 다른분들의 의견을 듣고자 리멤버 게시판을 통해 문의드립니다. 국산방화벽 중에 throughput 20G 내외의 10G포트를 옵션으로 지원하는 장비를 추천 부탁드립니다. 현재는 1G포트만 사용중이나 확장성을 고려하였습니다. 장비 이중화나 전원이중화는 기본적으로 고려되어야합니다. 사용하고 계시거나 사용하고자 알아보시는 중이시라면 의견 부탁드립니다. 연초에 건강유의하시고 미리 감사드립니다.

어느새 2022년 호랑이 새해가 되었네요. 올 한해도 정보보안분야에서 서로 새로운 소식 전하며 잘보내면 좋겠습니다. 잘부탁드립니다.

코스맥스비티아이 근무해보신분 있나요? 회사 평 부탁드립니다~

현재 스타트업에서 DevOps 직무를 하고 있고 과거에는 금융권에서 인프라 운영을 주로 했습니다. 이번 log4j 취약점으로 과거 유사사례마다 힘들었던 점이 있는데요. 개인적견해입니다만, 부정적 시선으로 이슈때마다 겁주고 협박해서 보안솔루션 마케팅에 활용하고 있지 않나 생각됩니다. 제가 이해한 바로 취약점 선결 조건이 다음과 같습니다. 1. 서비스동작 호스트가 외부망 any 연결 2. java 애플리케이션 root 또는 sudo 권한 실행 3. 명시적으로 log4j-core 라이브러리를 사용하는 경우 다만, 이런 내용은 쏙 빼놓고 "무조건 큰일났으니깐 니네들 빨리 조치해 안그러면 회사 망해" 라는 식으로 이슈화 되고 있다는 생각이 듭니다. 이건 보안업계의 문제가 아닐수도 있는데 과거 금융권 근무 할 때는 사소한 이슈라도 나와있는 모든 가능성을 조치해야 했고요(현 이슈처럼 outbound 제한된 경우 취약점이 될 수 없어도) 스타트업으로 이직하고 작년에는 k8s와 serverless 환경을 이야기해도 10년도 더 된 스크립트를 들이밀면서 점검하라고 하더라고요. 점검결과가 나올수 없다고 하면 결과를 낼 수 있는 환경을 만들라고 하는데요 이때 보안업계분들이 최근 기술에 대한 이해가 있기나 한지 심각한 의구심이 들었습니다. 이게 저의 단편적인 상황인지 궁금하네요. 보안업계의 의견 과 일반 IT 업무를 하시는 분들이 저와 비슷한 의견인지도 궁금합니다.

지금 회사에 1년 10개월째 근무중입니다.. 보안운영으로 사이트에서 다양한 보안솔루션을 만지고 있는데.. pms라던지 edr 백신 vpn등 상주업무라 그런지 커리어적으로나 개인 성장하고 싶은데 잘 안되네요... 대학원끝나고 내년 8월에 이직을 하고싶은데 컨설팅 및 취약점, 모의해킹 파트 신입으로 라도 가고싶은데 공부방법이 어떻게되는지 현업분들께 여쭙고 싶습니다

안녕하세요 현재 수도권 중견기업과 대구권 중소기업을 고민중입니다.. 둘다 보안 솔루션 엔지니어로 합격했고 급여는 중견 2900 중소 2700입니다 본가는 경주쪽이라 관련 회사가 거의 없어서 어딜 가든 자취를 해야 하는데 어디가 좋을까요..? 나중에 이직 할 때 이전 회사 회사 규모, 연봉이 중요하다고도 하고 컨퍼런스나 모임? 같은거 할때도 수도권이 좋을거 같은데 2900으로 돈을 모으면서 생활 할 수 있을까요...? 평소에 술, 담배 안하고 게임에 돈을 지르거나 옷을 사지는 않습니다 물론 애인도 없습니다..ㅎ

저는 경찰행정과 졸업 후 물리보안 운영으로만 일하고있었는데 정보보안쪽으로 나가고싶어요 자격증은 뭘 준비하면 될까요? 정보보안은 아니지만 보안 직군 경력 7년차 29살 여자입니다.. 자격증 뭘 준비해야할지.. 어떤쪽으로 알아봐야할지 막막하네요..

안녕하세요. 현재 보안엔지니어 8개월차로 근무중입니다. 대학교 졸업 후 보안쪽에 관심이 생겨 장비부터 직접보고 경험하고 싶어 보안엔지니어로 지원해서 중소기업에 다니고 있습니다. 그런데 신입으로 입사를 하여 실무경력을 잘 쌓고 있으나 보안 엔지니어 직무가 초봉도 낮을뿐더러 연봉에 대한 상승률이 낮다고 생각합니다. 회사가 연봉제가 아닌 호봉제로 첫 연봉이 2600으로 시작을 하고 있는데 앞으로 엔지니어만 할게 아니다 보니 고민이 생겼습니다. 보안 엔지니어 말고 앞으로 클라우드쪽에 이직을 하고 싶은데 지금이라도 클라우드 직무를 지원하는게 좋은지 내울 채움이 묶여있다보니 2년 채우고 가는게 맞는건지 고민이 되네요... 긴글 읽어주셔서 감사합니다.