안녕하세요. 란트입니다.
줄곧 사진과 기타에 관한 것만 업로드 했었는데 제가 하는 일과 관련한 포스팅은 처음이네요. 글이 길어서 2회에 나누어서 업로드 해야할 것 같습니다. 원래는 일과 관련한 포스팅은 하지 않으려 했는데 제 마음을 움직인 프로젝트가 시작되어 포스팅을 해보려합니다. 해당프로젝트는 한국에서 시작되는 개인정보 데이터베이스 블록체인 프로젝트(DB 코인)입니다.
필자는 인터넷뱅킹과 관련한 회사를 10년 넘게 운영했으며 이후 SK인포섹과 2CL 소속으로 개인정보유출방지, 회사중요정보유출방지와 인증(PIMS, ISMS)에 관한 컨설팅 및 프로젝트를 수행한 경험이 있습니다. (일반인도 최대한 이해하시기 쉽게 쓰도록 노력해보겠습니다!)
우선 제가 수행했던 몇가지 프로젝트에 대해서 기록하겠습니다.
그 중 차세대 인터넷뱅킹은 메인프레임시대에서 유닉스시대로의 전환을 이루었던 기념비적인 사업입니다.
국민은행 차세대 인터넷뱅킹 프로젝트
신한은행 차세대 인터넷뱅킹 프로젝트 : 리얼타임 인터넷뱅킹
농협 차세대 인터넷뱅킹 프로젝트
신한증권 시스템감시
KT 시스템감시
SK Energy 개인정보유출방지 프로젝트
삼성카드 개인정보유출방지 프로젝트
알리안츠생명 개인정보유출방지 프로젝트
SK텔레콤 개인정보/기업정보유출방지 프로젝트
제가 수행했던 프로젝트 모두 공통적으로 최대이슈는 스피드보다도 그 서비스에 제공되어지는 정보에 대한 보안이었습니다.
그도 그럴 것이 2000년대 들어 가장 큰 IT이슈중 하나는 날로 늘어가는 정보유출에 대한 피해에 대한 방지 즉, (개인정보유출방지)PIMS와 (회사중요정보유출방지)ISMS였습니다. (정보보호..이 한가지 주제만으로 국내에도 많은 회사가 있고 대기업(SK Infosec)도 있으니까요.)
그럼 얼마나 유출이 심각했었는지 자료를 한번 보실까요?
전체로 봐도 모든 국민의 개인정보가 유출되었다고 봐도 과언이 아니죠. 아마 이런 사과문 많이 보셨을겁니다.
너무 많이 봐서 무뎌질 정도죠. 오죽하면 주민번호를 가입할 때 받지 않게 되었으니까요.
이렇게 유출된 개인정보는 어둠의 경로를 통해 각 마케팅회사로 넘어가고 여러분이 짜증날 정도로 자주 받게 되는 대출권유 문자, 전화, 보험회사 전화로 이어지게 됩니다.
심지어 경찰청에서도 이러한 자료를 발표하게 되죠.
'15.11.10(화) 경찰청은 통계청을 비롯한 6개 기관의 정보시스템의 자료가 유출되었다고 발표함
이번 사건을 계기로 보안조치를 더욱 강화하겠음 >> 소 잃고 외양간 고치겠음…이죠..
http://kostat.go.kr/portal/korea/kor_nw/4/14/index.board?bmode=read&bSeq=&aSeq=349540&pageNo=1&rowNum=10&navCount=10&currPg=&sTarget=title&sTxt=
그래도 외양간이라도 고쳐야 하지 않겠습니까? 그래서 정부에서 마련한 것이 PIMS와 ISMS입니다.
PIMS : Personal Information Management System 개인정보보보 관리체계인증
인증제도 : 기관 및 기업이 개인정보보호 관리체계를 갖추고 체계적 · 지속적으로 보호 업무를 수행하는지에 대해 객관적으로 심사하여 기준 만족 시 인증 부여
기대효과 : 개인정보보호 관리체계 구축을 통해 기업이 보유하고 있는 개인정보를 안전하게 관리하고 인증 기업의 대외 신뢰도 향상에 기여
<출처 : https://isms.kisa.or.kr/main/pims/intro/>
ISMS : Information Security Management System 정보보호관리쳬계인증
인증제도 : 기업이 주요 정보자산을 보호하기 위해 수립ㆍ관리ㆍ운영하는 정보보호 관리체계가 인증기준에 적합한지를 심사하여 인증을 부여하는 제도
기대효과
정보보호 위험관리를 통한 비즈니스 안정성 제고
윤리 및 투명 경영을 위한 정보보호 법적 준거성 확보
침해사고, 집단소송 등에 따른 사회 · 경제적 피해 최소화
인증 취득시 정보보호 대외 이미지 및 신뢰도 향상
IT관련 정부과제 입찰시 인센티브 일부 부여
위와 같은 제도를 만들고 엄격한 심사기준으로 전문가의 판단 하에 인증마크를 부여합니다.
회사마다 개인정보책임자와 담당자를 두고 앞다투어 저 두가지 인증마크를 획득하기 위해 노력하고 있습니다. 사이트마다 개인정보보호우수사이트 로고가 있는 것도 많이 보셨을거예요.
각 기업이 SK 인포섹 등에서 컨설팅을 받고 시스템을 도입하는 순서는 이렇습니다.
내부정보유출방지/위험관리시스템/종합분석시스템/ESM(통합보안관리) 이렇게 크게 4가지 영역으로 구성하여 몇 년에 걸쳐 시스템을 도입합니다.
정보보호 컨설팅을 받고보안솔루션 사업을 완료한 후보안관제 서비스
보안 SI 프로젝트 개요
개인정보관리프로세스
자 그럼 이렇게 복잡하고 고차원의 컨설팅을 받아서 인증마크를 획득한 후 엄격한 프로세스를 거쳐 이제 정보가 유출되지 않았을까요?
결론적으로 아무리 막아도 유출됩니다. 정보는 시스템으로 최대한 노력하여 막으려 하지만 사람에 의해서 유출되기 때문입니다. 언제나 사람이 문제죠. ㅎㅎ. 물론 해커들의 능력과 방법도 날로 발전하는 것도 큰 이유이죠. 끝없는 창과 방패의 싸움이면서…그래도 어찌보면 최대한의 노력을 했다는 면책권인 것이죠.
더 안타까운 점은 개인정보뿐 아니라 회사 중요정보 유출도 심각한 사항이라는 것입니다.
얼마전 세계 1위 세탁기 기술을 중국에 넘긴 사례도 있었죠. 퇴사하면서 도면을 넘긴것이죠.
검거하고 일단락이 되었지만 이미 수백억, 수천억의 기술 유출이 된것입니다.
세계 1위 세탁기 기술 중국에 넘긴 연구원들
<출처 : http://news.chosun.com/site/data/html_dir/2018/03/07/2018030700126.html>
그런데!!! 이 모든 것을 뒤집는 패러다임이 나왔습니다. 바로 블록체인이죠. 어떻게 패러다임을 뒤집게 되었냐면 지금까지 정보보안에서는 항상 지켜야 할 무엇이 있었습니다. 그런데 그게 없어진 것이죠. 지켜야 할 그것이 없어져버린것입니다. 개인정보를 블록체인화 해서 해킹자체를 불가능하게 한 것입니다. 물론 양자컴퓨터라는 영역이 있지만 차후 양자컴퓨팅을 이용한 것까지 적용이 되면 완벽한 보안이 되는것이죠. 그럼 그 기술에 대한 것은 2부에서 뵙겠습니다. 기대하셔도 좋습니다.