6월21일에는 'FDI 2022' 라는 한 보안업체의 컨퍼런스에 참석하였습니다. 2020년,데이터3법(개인정보보호법·신용정보법·정보통신망법)이 국회 통과로 개정되면서 ‘가명정보’ 개념이 도입되어 비식별화된 데이터는 기업이 활용할 수 있게 되었습니다. 이로인해 핀테크 분야를 포함하여 많은 비즈니스의 발전에 영향을 주었다고 생각되어 '비식별화' 관련 기술 세션를 듣기위해 참석하게 되었습니다. 참석 후 느낀점을 많은 분들이 기술적 흐름을 간접체험 하실수 있도록 상업적인 내용은 쏙 뺀채 담백하게 공유드리고자 합니다. 우선 컨퍼런스는 2가지 Keyword를 Point로 하여 시작되었습니다. 'Zero Trust' 와 'Security platform' Zero Trust는 조직의 네트워크 아키텍처 보안에 대해 신뢰할 수 없다는 개념에서 출발하는 전략적 보안 접근 방식입니다. 오랫동안 언급되어왔고 또 이러한 관점도 중요하다고 생각됩니다. Zero Trust의 자세로 효율적인 Security platform의 운용에 대한 주제의 컨퍼런스가 될것으로 예상되었습니다. 문서작성기능과 메신저기능이 결합된 협업솔루션, MAC OS까지도 지원하는 DRM(문서보안)솔루션 등에 대한 소개가 진행되었고 곧 이어서 제가 기다리던 '개인정보비식별화, 빅데이터' 주제로 발표가 진행되었습니다. 물론 해당기업의 비식별화 솔루션을 함께 소개하며 발표가 진행되었는데 [개인정보 - 가명정보 - 익명정보] 의 개념설명과 개인정보를 이용하기위해서는 이용목적마다 개인의 동의를 받거나 통계작성, 과학적연구, 공익적기록보존 등의 이용목적을 가져야 하며, 데이터3법 개정에 따라 비식별화(익명·가명화)된 데이터는 개인의 동의 없이도 연구 및 상업적 목적으로 사용이 가능하다는 내용으로 개인정보보호법을 다시한번 짚어보는 발표내용이었습니다. 보안업무를 하시면서 개인정보보호법에 대하여 깊이 공부를 하셨다면 알고계시겠지만 대다수의 일반적인 분들이라면 모르고 계셨다가 알게되셨을 것 같습니다. 데이터를 비즈니스에 이용할 기업들은 이러한 점을 명확하게 인지하고 비식별화, 비식별화 솔루션에 대해서 숙지하여 잘 이용하시면 좋겠습니다. 추가로, 생각지 못하다가 듣게 된 '공급망보안과 SBoM' 세션에서는 소프트웨어 개발, 코딩단계에서부터 보안취약점을 줄여가야 한다는 기존에도 인식하고 있었지만 깊게 생각하지 못했던 부분에 대해 새로운 시야를 얻게되었습니다. SBoM이란 Software Bill of Materials 의 약자로써 소프트웨어 자재명세서 라고 할수 있습니다. 최근 솔라윈즈부터 log4j 까지 소프트웨어 취약점 이슈로 IT업계 종사하시는 분들이라면 깊이 있게 알지는 못하셔도 많이 들어보셨을 것 같습니다. SBoM 이라는 용어가 언급되는 이유는 반복되는 소프트웨어 취약점 이슈를 해결하기 위해서 미국에서는 SBoM 제출 의무화를 추진중이라고 하여 세계시장에서 사업을 펼치는 IT기업과 보안업계에서 큰 관심을 가지고 대비하고 있기 때문입니다. 저도 자세히 알지 못하였지만 NIPA 2021 오픈소스SW 실태조사 보고서에서 조사된 국내 오픈소스 사용비율은 77.1%라고 합니다. - 참고: NIPA 2021 오픈소스SW 실태조사 보고서
알게모르게 상용 소프트웨어 내에도 많은 오픈소스 코드가 사용되어 있고 취약점이 조치되지 못한 채 오픈소스 위주로만 이루어진 소프트웨어가 많이 이용되고 있다는 내용에 다시금 깨닫는 부분이 있었습니다. 오픈소스 취약점 관련 최신기사도 함께 공유드립니다. [보안뉴스] 오픈소스 취약점의 3%만이 해커들의 공격을 받는다?
