Privacy Desk

보안·개인정보 업무를 하다 보면“지금 회사에서 더 버텨야 할까, 아니면 다른 환경을 봐야 할까”라는 고민이 주기적으로 찾아옵니다.저도 몇 번 이직을 고민하면서감정이 앞서기 전에 스스로에게 먼저 던졌던 질문 세 가지가 있습니다.정답은 아니지만, 판단을 정리하는 데 꽤 도움이 되었습니다.1. 지금 자리에서 더 배울 수 있는 여지가 남아 있는가첫 번째로 보는 건“내가 아직 해보지 않은 일/역할이 이 조직 안에 남아 있는지”였습니다.예를 들어,신규 서비스 보안 검토를 리드해 본 적이 있는지인증·점검 대응을 처음부터 끝까지 맡아 본 적이 있는지로그/관제/자동화 등 다른 축으로 확장해 볼 기회가 있는지등을 체크해 봅니다.아직 경험해보지 않은 역할들이 남아 있고그걸 시도해볼 수 있는 여지가 있다면,이직을 미루고 그 ..

방화벽 정책을 다시 손보자, 튜닝하자는 말이 나오면대부분 이미 룰이 수백 개는 쌓여 있고,“누가 왜 열었는지” 기억나지 않는 포트가 섞여 있습니다.실무에서 몇 번 방화벽 리뉴얼을 겪어 보면서 느낀 건기술보다 순서가 중요하다는 점이었습니다.보통은 아래 세 단계를 반복하면서 정리했습니다.1. 구간(Zone) 재정의: “비즈니스 관점에서 경계를 다시 그리기”우선 장비나 인터페이스가 아니라업무 단위로 네트워크 구간을 다시 나누는 것부터 시작합니다.사용자망 (사무실 PC, 노트북, 재택 VPN 등)서버망 (업무 서버, DB, 내부 API 등)DMZ/대외 서비스망 (웹·앱, 파트너용 API 등)관리망/백오피스, 모니터링망, 보안장비망 등이렇게 구간을 그려놓고 구간별로기본 정책: 기본 차단(deny) 후 허용인지,예..

가명처리는 이제 “특별한 선택지”가 아니라데이터 활용과 규제 대응 사이에서 꽤 현실적인 옵션이 됐습니다.하지만 실제로 프로젝트에 들어가 보면알고리즘·솔루션 선택보다 먼저 막히는 지점이조직 내부의 합의 부재인 경우가 많았습니다.실무에서 느낀 기준을 정리해 보면,가명정보를 도입하기 전에 최소한 아래 세 가지는 맞춰놓고 가는 게 안전했습니다.1. 활용 목적과 데이터 범위: “무엇을 위해, 어디까지 쓸 것인가”가명정보는 결국 데이터 활용을 전제로 하는 투자입니다.그래서 가장 먼저 정리해야 할 건 “어디에 쓰려고 하는가”였습니다.통계 작성/지표 분석서비스 품질 개선추천·마케팅 모델 고도화침해사고 분석·위험도 측정 등목적이 정리되어야만어느 필드를 가명 처리할지어떤 속성을 유지해야 분석이 가능한지보존 기간과 재평가 ..

보안·개인정보 업무는눈에 바로 보이지 않는 위험을 다루는 일이 많고,실수에 대한 압박도 적지 않은 편입니다.사고가 나면 조용히 넘어가기 어렵고,잘 막았을 때는 티가 잘 나지 않습니다.이런 특성 때문에일을 하다 보면몸은 괜찮은데 마음이 지치는 순간이 오기도 합니다.저도 번아웃에 가까운 상태를 몇 번 겪으면서조금씩 정리해 본 것들을 적어 보려고 합니다.“모든 걸 다 책임져야 한다”는 생각 내려놓기보안·개인정보 담당자는어떤 의미에서 조직의 방패처럼 느껴질 때가 있습니다.그러다 보면모든 사고를 내가 막아야 할 것 같고문제가 생기면 다 내 책임인 것처럼 느껴지는 순간이 옵니다.하지만 실제로는시스템을 설계하는 사람운영하는 사람최종 결정권을 가진 사람여러 역할이 함께 책임을 나누고 있는 구조입니다.이 사실을 머리로만..

실무에서 사고나 분쟁 상황을 들여다보면생각보다 자주 등장하는 게문서와 파일입니다.엑셀, PPT, PDF, 스크린샷, 메모, 로그 파일까지처음에는 작은 자료였는데시간이 지나면서 리스크로 바뀌는 경우도 많습니다.보안·개인정보 관점에서문서·파일을 다룰 때 신경 썼던 부분들을조금 정리해 보려고 합니다.어디에 저장되고 있는지부터 보기가장 기본적인 질문은 이겁니다.“이 문서는 지금 어디에 저장되어 있나?”개인 PC 로컬 폴더사내 파일 서버클라우드 드라이브외장 하드나 USB저장 위치에 따라유출 가능성도 달라지고,삭제·백업·보존 정책도 달라집니다.가능하면공식적으로 관리되는 저장소를 정해두고민감한 자료는 그곳에서만 다루도록 하는 방식이관리 측면에서 제일 깔끔했습니다.파일 이름과 버전을 알 수 있게 남기기작은 습관이지만파..

요즘은 새로운 시스템이나 서비스를 만든다고 하면대부분 클라우드를 전제로 이야기가 시작됩니다.직접 서버를 두지 않더라도SaaS, IaaS, PaaS 형태로여러 가지 서비스를 조합해서 쓰는 경우가 많습니다.클라우드 보안이라고 하면 거창하게 들리지만,실무에서 먼저 챙겼던 것들은오히려 비교적 기본적인 것들이었습니다.누가 어떤 콘솔에 들어갈 수 있는지클라우드 환경에서 제일 먼저 보는 것은어떤 계정이 어떤 콘솔에 접근할 수 있는지입니다.관리자 콘솔에 접속 가능한 계정 수계정별 권한 수준 (읽기, 운영, 관리 등)개인 계정과 공용 계정 사용 여부이 부분이 정리되어 있지 않으면나중에 리소스가 늘어날수록구조가 복잡해지고,사고가 났을 때 추적하기도 어려워집니다.가능하면개인별 계정을 발급하고역할별 권한을 나누고공용 계정 사..

재택근무나 원격근무가 예외적인 일이 아니라당연한 선택지 중 하나가 되면서보안·개인정보 관점에서도 고민거리가 많이 생겼습니다.집, 카페, 공유오피스, 출장지 등회사 밖에서 일하는 시간이 늘어나면사소해 보이던 부분들이조금씩 리스크로 다가오기도 합니다.제가 현업에서 재택·원격 근무 환경을 보면서신경을 썼던 부분들을 정리해 보려고 합니다.집은 편하지만, 주변 시선은 더 느슨하다회사에서는 당연하게 지켜지는 것들이집에서는 쉽게 무너지기도 합니다.모니터 화면이 거실에서 그대로 노출되어 있는 경우가족이나 지인에게 업무 관련 창이 보이는 경우집에서 쓰는 개인 PC와 회사 업무용 계정을 섞어 쓰는 경우특별히 악의가 없더라도이런 환경이 반복되면민감한 정보가 주변 사람들에게 노출될 수 있습니다.그래서 재택 환경에서는화면 잠금..

보안·개인정보 업무를 하다 보면개발팀과 함께 일할 일이 많습니다.서로 입장이 다르다 보니긴장감이 생길 때도 있고,“보안은 늘 안 된다고만 한다”는 말을 들을 때도 있습니다.저도 일을 하면서부딪히는 순간과 잘 풀리는 순간을 둘 다 경험했고,그 과정에서 조금씩 정리하게 된 생각들을한 번 적어보고 싶었습니다.타이밍을 놓치면, 같은 말도 더 무거워진다보안 요구사항을 언제 얘기하느냐에 따라받아들이는 무게가 달라집니다.기획 초기나 설계 단계에서 이야기할 때와개발이 거의 끝난 뒤,릴리즈 직전에 이야기할 때의 반응은당연히 다를 수밖에 없습니다.그래서 가능하면큰 구조와 원칙은 초반에세부적인 보완 사항은 중간중간이야기를 나누려고 합니다.물론 이상적인 타이밍만 골라서 얘기하기는 어렵지만,최소한 “이건 초반에 한 번 같이 보..

보안 사고 리포트를 보다 보면기대 이상으로 자주 등장하는 키워드가 있습니다.바로 계정과 권한입니다.비밀번호가 약해서 털리는 경우도 있지만,“원래 주면 안 됐던 권한이 있었다”거나“이미 퇴사한 사람 계정이 남아 있었다”같은 상황에서 시작되는 사고들도 꽤 많습니다.권한은 일단 넓어지고, 잘 줄어들지 않는다실무에서 권한 관리를 하다 보면처음에는 최소 권한으로 시작하더라도시간이 지나면서 조금씩 넓어지는 경향이 있습니다.급해서 일단 전체 권한을 주고나중에 정리하자고 했다가실제로는 정리할 시간이 없어서 그대로 굳어버리는 경우저도 여러 시스템에서 이런 패턴을 봤습니다.그래서 가급적이면“일단 넓게 주고 나중에 줄이는 방식”보다는“처음부터 단계별로 필요할 때만 확장하는 방식”이결과적으로 더 안전하고 관리도 수월했습니다...

서비스를 운영하다 보면필연적으로 외부 수탁사나 협력사와 일을 하게 됩니다.개발, 운영, 콜센터, 마케팅, 클라우드, 장비 유지보수까지조직이 직접 다 할 수는 없기 때문에외부와 일을 나눠서 하는 구조가 자연스럽게 생깁니다.그런데 개인정보나 주요 정보를 다루는 영역까지수탁사·협력사에 맡기기 시작하면보안·개인정보 담당자 입장에서는신경 써야 할 지점이 몇 가지 추가됩니다.어떤 일을 맡기고 있는지 먼저 명확히 하기처음에는 보안 항목부터 보고 싶지만,실제로는 “무엇을 맡긴 일인지”를 먼저 정리하는 게 더 중요했습니다.개발만 해주는지운영도 같이 하는지시스템 접근 권한이 있는지데이터 자체를 넘겨받는지이걸 정확히 알아야어떤 수준의 보안 요구사항을 걸어야 할지감이 잡힙니다.예를 들어 단순 컨설팅과실제 시스템에 접근해서 개..