|
|
|
|
|
 |
보안과 업무편의성이 충돌할 때 어떤 기준으로 의사결정 하십니까
따라서 보안담당자는 기술만 잘해서는 부족하고, 근거를 문서로 남기고, 설명 가능하게 만들고, 동일한 기준이 반복 적용되도록 프로세스를 만들어야 합니다.
이 방향성을 유지하며, 정보통신기획평가원에서 신뢰 기반의 보안 운영에 기여하겠습니다.
사업과 운영을 연결하는 보안 기준을 정교화하겠습니다.
저는 데이터 흐름 중심으로 위험지점을 찾고, 최소 권한과 로그, 암호화, 백업, 접근 승인 절차 등 필수통제를 사업 프로세스에 자연스럽게 녹여내는 방식으로 기준을 설계하겠습니다.
원칙만 강요하는 보안은 조직을 적으로 만들고, 편의만 추구하는 보안은 사고를 부릅니다.
이렇게 하면 조직은 납득 가능한 결정을 얻고, 보안은 원칙을 지키면서도 현장을 적으로 만들지 않게 됩니다.
저의 강점은 보안을 기술의 나열이 아니라 운영 가능한 구조로 만드는 능력입니다.
|
|
|
 |
문제는 초반부터 팀의 언어가 달랐다는 점입니다.
개발 파트는 기능 구현 일정에 집중했고, 기획파트는 사용자 경험과 화면 흐름을 우선했고, 저는 보안 관점에서 데이터 흐름과 권한 설계를 먼저 잡아야 한 다고 주장했습니다.
지금 이 기능에서 누가 어떤 근거로 이 데이터를 봐야 하는지, 데이터가 이동할 때 로그와 알림은 어떻게 남길지, 예외 상황에서 어떤 권한이 임시로 부여되는지 같은 질문을 통해 논점을 '취향'이 아니라 '통제'로 옮겼습니다.
그 결과 팀은 구현 우선순위를 다시 정했고, 기획은 화면 설계를 데이터 흐름에 맞춰 수정했으며, 개발은 권한 체크와 입력 검증을 초기에 반영했습니다.
학부에서 운영하던 실습실 서버가 특정 시간대에 반복적으로 느려지는 문제가 있었습니다.
먼저 느려짐이 발생하는 시간대를 기록했고, 그 시간대에 공통으로 실행되는 작업이 무엇인지 파악했습 니다.
결과적으로 계정 공유는 사라졌고, 운영기록은 남았으며, 누가 어떤 변경을 했는지 추적 가능해졌습니다.
저는 불편을 참거나 상대를 탓하기보다, 관찰과 기록으로 조건을 좁히고, 조직이 실제로 움직일 수 있는 절차로 해결책을 설계해왔습니다.
예를 들어 회원가입과 로그인 흐름을 만들고, 입력검 증이 빠졌을 때 어떤 문제가 생기는지, 세션 관리가 허술하면 어떤 공격이 가능한지, 로그를 남기지 않으면 사고조사에서 무엇이 막히는지를 직접 확인했습니다.
따라서 보안담당자는 기술만 잘해서는 부족하고, 근거를 문서로 남기고, 설명 가능하게 만들고, 동일한 기준이 반복 적용되도록 프로세스를 만들어야 합니다.
신뢰는 친절함으로만 생기지 않고, 반복 가능한 약속의 이행으로 만들어진다고 생각합니다.
불확실한 약속을 하지 않는다.
약속의 범위를 문장으로 명확히 한다.
대신 저는 가능한 범위를 명확히 한 '약속의 버전'을 제시했습니다.
소액이라도 지출이 반복되면 신뢰가 흔들립니다.
저는 지출 자체를 통제하려 하기보다, 원칙을 만들었습니다.
공공기관에 근무하는 사람에게 가장 필요한 덕목은 정직함을 기반으로 한 책임감이라고 생각합니다.
공공기관은 국민의 자원과 신뢰로 운영됩니다.
즉, 담당자가 바뀌어도 운영이 유지되고, 결정의 근거가 남아있고, 감사와 점검에 견딜 수 있는 구조를 만드는 것이 책임감입니다.
반면 절차와 기준을 만들면 시간이 걸리더라도 재발이 줄고, 조직이 성장합니다.
예외를 만들 때도 근거와 절차가 있어야 합니다.
공공기관의 덕목은 이 균형을 책임 있 게지키는 것입니다.
정리하면, 공공기관 구성원에게 가장 필요한 덕목은 정직함과 책임감이며, 그 위에 공정성과 설명 가능성이 따라야 합니다.
근거를 남기고, 리스크를 숨기지 않고, 동일 기준을 적용하며, 예외는 조건과 만료를 명확히 하는 방식으로 기관의 신뢰를 지키겠습니다.
예를 들어 과제 수행기관 포털의 권한 체계를 역할 기반으로 재정의하고, 민감정보 접근은 다중 승인과 접근이력 모니터링을 연동하는 식으로 실행 가능한 기준을 만들겠습니다.
예외가 필요하다면 조건과 기간을 명확히 하고, 예외를 허용하는 대신 로그 강화나 접근시간 제한, 승인 절차 강화 같은 대체통제를 붙이겠습니다.
예를 들어 권한 체크 누락은 특정 기능에서 타인 의 데이터가 노출될 가능성이 있고, 추후 로그가 없으면 원인 규명이 불가하며, 출시 후 수정은 테스트 범위가 커져 비용이 급증한다고 정리했습니다.
동시에 정보보안 측면에서 계정관리, 권한 승인, 로그분석, 사고 대응 절차를 강화해 개인정보보호가 선언이 아니라 운영으로 실현되도록 하겠습니다.
랜섬웨어는 단순 감염을 넘어 업무 중단과 데이터 유출 협박을 동반하고, 복구 과정에서 장기적인 비용이 발생한다는 점에서 공공기관에 특히 위협적입니다.
복구 측면에서는 백업의 분리 보관과 정기복구리 허설이 핵심입니다. |
 |
보안, 만들다, 데이터, 어떻다, 권한, 로그, 개인, 방식, 통제, 흐름, 접근, 가능하다, 기술, 절차, 정보, 기준, 운영, 계정, 이다, 기관 |
|
|
|
|
|
|
 |
|
|
|
|
|
|
|
|
|
|
|
| |
|
|
|
2026.02.05
9페이지
