ISEC2008을 참석하고 나서

  어제와 그제 (9월 1,2일)에 ISEC2008행사에 참석을 했더랬습니다. 작년도에도 ISEC2007행사에 참석한바 있어서  기대감을 가지고 참여했구요.   국제적인 행사로서 치르기위해 보안뉴스측에서 여러모로 애쓴듯하더군요..    참석자는 꽤 많은 편이었습니다. 코엑스 그랜드 볼륨을 꽉메운 사람들을 볼때  높아진 보안에 대한 관심을 느낄수있었습니다.  정말 많았습니다.    주최측의 말에 의한 올해 코엑스에서 치러진 행사규모중 TOP10에 들어간다고 하더군요..

  이틀씩이나 할애해서 참석을 했는데  내용면에서 다소 부족한 감이 있었습니다.  일부 강사의 경우  자사 제품설명만으로 거의 대부분의 강의시간을 보낸 경우도 있었습니다. 보안에 관심이 있는 많은 사람들에게 이정표를 제시하기 보다는 제품을 제안하는데 중점이 있는듯 했습니다.  물론 보안업체의 다양한 보안솔루션을 알게되는것도 의미가 있기는 하지만 말이죠..   보안에 대한 전반적인 지식과 현 실태, 당면한 보안상의 문제를 풀어나가기 위한 고민들, 그리고 어떤 방법론을 가지고 해결해갈지에 관한 공감에서 출발해야 된다는 생각이 듭니다. 아무래도 보안담당자와 보안솔루션공급자와의 만남에 더욱 초점이 있지않았나 싶습니다.  사실 이런 공급업체들에서 무료참가초청메일을 받아서 저도 간것이긴 하지만 말이죠..  ^^;   다음번 행사때에는 많은 보안관리자들의 가려운 부분을 구석구석 조망해주는 것이 좀더 비중있게 다루어지길  바래봅니다.

  물론 그래도 많은 도움이 되기는 했습니다.   많은 이야기를 들었습니다만  결국은 시스템 도입으로 얻을수 있는 효과는 한계가 있으며  가장 효과적인 것은 직원들에 대한 보안인식교육이라는데 다수의 강사들의 결론이 모아지더군요…   그리고 보안관리자로서  사용자 눈 높이에 맞춰서 생각하고 설명할줄 알아야한다는 한 강사의 설명엔
고개가 끄덕여졌구요..  특히 보안관리자는 친화력이 높아야 한다고 하는 부분에선 그동안의  제 부족함을 고민해보는 시간을 가져보기도 했답니다. 

   Attack and Defence라는 주제를 가지고 컨퍼런스가 진행되었는데 attack에 대해서 심도가 떨어졌다는 생각이 듭니다. ARP 스푸핑을 이용한  해킹 공격을 시연하기도 했는데 매우 버벅거리더군요.. 준비를 많이 했다고 하더니 현장에선 전혀 작동하지 않아서 노트북을 껐다 켰다를 반복하다  결국은 동영상으로 시연(?)하고 말았다는 일화도 있답니다.  ^^.  웹해킹도  제로보드에 한해서 시연되었구요…  공격에 대해 취약한 현 상황을 공감하기엔 내용도 부족하고 설명도 부족하지 않았느냐는 생각이 들었습니다.

  여러모로 아쉬움이 많이 남는  국제컨퍼런스였습니다.  국제컨퍼런스 다워지려면 시간이 좀더 걸릴듯합니다.
제 핸드폰으로 몇장 사진을 찍어보았습니다.  컨퍼런스 현장은 조명이 어두운 관계로 찍지 않았구요.. 로비의 부스 장면과  건물외부에 나가서 몇장 찍은 것을 올려보았습니다.   ^^ 점심후 짬을 내서 근처의 사찰도 구경갔답니다. 

사용자 삽입 이미지

도메인네임을 w-security.net 으로 변경합니다.

기존의 secuworld.net 이란 도메인이 글자수는 짧아도 설명하기 힘들더군요
그래서 다소 길지만  외우기 쉬운 이름으로 변경해봅니다.
w-security.net 이란 도메인입니다.
우키의 보안이야기니깐..   차라리 이편이 기억하기 쉬울듯해서요
w-security.net으로 바꾸면서  포스팅을 부지런히 하려고 생각하고있습니다. ^^

CISA 합격메일 받다

■  CISA 합격 발표 나다…

2007년 12월 8일  연세대에서 CISA시험에 응시를 했더랬습니다….
발표가 오랫동안 안나고 있었는데 두달걸려 드디어 발표가 났습니다…
구정연휴가 끝나갈 무렵… 메일을 확인하다 보니. 드뎌 축하메일이 왔더군요…
We are pleased to inform you that you successfully PASSED the exam …..

작년6월 CISSP시험에 합격한바있어서 CISA준비는 수월할거라 생각했었는데
작년 하반기에 CISA를 준비하면서  그다지 쉽지않다는 생각을 많이 했습니다.
실제로 어렵다고 생각해서 매달렸던 과목은 잘 나오고 (감사,IT서비스,SDLC)
쉽다고 생각했던 과목에선 점수가 오히려 안나왔답니다. ㅠㅠ (정보자산보호,BCP)
CISSP와 과목이 겹치는 보안과목이 더 안나오다니..  ㅋㅋ

■  CISA 공부 이렇게 했다.

학원을 다녔는데, 이유는 라이센스를 따는 기간을 단축하고 싶은 생각때문이었습니다.
학원비용이 들기는 하지만  시간을 많이 절감할수있다고 생각합니다.
실제로 작년 1년동안 CISSP와 CISA를 모두 준비해서
시험을 봐서 성공했으니깐..  잘했다고 봅니다.
상반기엔 CISSP공부로 바빴고  하반기엔 CISA준비로 바빴죠..ㅋㅋ

CISSP때 했던 것처럼 자신만의 요약 노트를 만들어서  중요내용은 잘 숙지했구요…
인터넷에서 도는 요약판도 있지만 다 무시하고 제가 직접 요약판을 만들어보았습니다.
실제로 시험장에 도착해서  입실하기전 한시간동안 
이 요약판을 다시 읽어보아서 기억을 새롭게 했죠…
CISA교재를 2번 숙독했고   문제집 1200제는 세번 풀어 보았습니다.
문제집을 풀때는 정답이 뭔지보다는 오답이 왜 오답이 되었는지
이해하는데 주안점을 두었답니다
.
특히 문제를 풀때 혼동되거나 틀린것에 별도의 체크표시를 해서 
그것만 별도로 2번정도 더 풀어보았습니다.
그리고 시험전 2일은 연차를 내서 독서실에서 최종 집중 Study를 실행했습니다.
–> 시험을 보시는 분들에게 강추입니다. 아무리 바빠도 연차내서 독서실에서 파세요
리뷰메뉴얼을 읽어보려고 했는데 마음뿐이었구요.. 
리뷰메뉴얼의 문제풀이 부분만 읽어 보았답니다.

특히 공부할때 IS감사의 관점을 이해하려고 노력했습니다.
단순 암기보다  이해에 중점을 두었다는…
CISA 시험은  정답이란게 없고 가장 가까운 답만 존재할 뿐이기 때문입니다.
뭐랄까 그 관점을 이해하게 되면 뭔지는 모르지만
가장 가까운 답을 고를수있게된다고 봅니다. ^^

■  CISA,  시험장에서

CISA는 오후에 시험이 시작이라서 아침에 비교적 여유가 있었습니다. 오전시간 3시간정도를 예전에 문제집풀때 틀렸거나 혼동되었던것을 다시  Review 했습니다.
(별표해두었었고…  문제옆에 정답뿐 아니라 연관내용까지 표시,  이것이 도움됨…)
연세대에서 시험을 치렀는데  시험시작 전 2시간여유를 두고 현장에 도착했습니다.
CISSP의 경우 시험장에 미리 들어가서 내부에서 책을 볼수있는 여유가 있었는데
CISA는 시험장에 입실할때 책을 가지고 들어갈수 없더군요…
그래서 복도에 있는 책상에서 한시간 가량  요약노트를 다시금 공부했습니다.
시험이 시작되었는데 혼동되는것들이 다수 있었습니다.
명확하게 아는것부터 다 풀어놓고….
혼동되는 것은 재차 확인하였습니다.  고민을 오래한다고 해결되는 것은 아니라서…
IS감사입장에서 가장 가깝다고 생각되는것을 골랐습니다.
3시간만에 시험장을 나섰는데…
다들 고민이 많은지 일찍 자리에서 일어나는 분이 거의 없더군요..
제가 2등으로 나왔답니다. ㅋㅋ
제가 스스로 시험장에서 계수해보니 합격권엔  들어갈것 같긴했지만…
그래도 혼동되는 문제들이 많은지라    안심할수는 없었습니다. 
하지만 감을 믿고 나와버렸습니다
너무 오래 고르면 오히려 틀릴수도 있다는 생각입니다. 
홀가분한 느낌으로 시험장을 나섰습니다

■  CISA,  그 이후….

사실 라이센스를 딴것은 시작이라는 생각이 듭니다.
회사에서도 보안업무를 담당하지만 업무에서 보안을 적용,실천하고
확산시키기는 매우 어렵습니다.
회사의 경영자들은 그런 원론적인 보안의 필요성엔 귀기울이지않죠..
보안관련 사항들은 돈이 많이 드는 경우가 많아서…
경영자를 설득하는것이 매우 힘든것이 현실입니다.
올해에는 비지니스 마인드와  프리젠테이션 스킬을 올리는데 
시간을 많이 들이려고 합니다.
경영학책을 많이 읽을 계획을 세웠구요..
실제로 [이기는 습관]이라는 책을 읽고 있답니다. ^^

합격자 발표가 너무 늦어서 지루한 감도 있었는데… ^^
기쁩니다. 구정연휴 끝이라서 더욱 좋습니다.

제로보드XE로 홈피를 구성했다가 다시 태터로

제로보드XE,  기능상 좋은 점이 많이 있으나  사용하기는 많이 불편했습니다.
뭐 글도 몇개 써보지않기는 했지만서도…
그동안 사용하던 태터가 그립더군요…
다시 홈피 다 날리고 새로 세팅했습니다.

기존에 운영하던 [우키의 블로그]보다 더 나은 보안블로그를 만들고싶습니다.
사실 프리웨어와 달리  보안이라는 주제 자체가 무겁다 보니..
글 한번 쓰기도 힘들더군요…
하지만 공부하는 마음으로 다시 시작해봅니다.
學而時習之 不亦悅乎

[우키의 보안블로그]는 기업에서 보안이 어떤 의미가 있는지를 다루어보려고합니다.
물론 개인사용자에게도 유용한 보안지식도 많이 적어보려고합니다.

요즘 IT거버넌스, 보안거버넌스라는 자주 듣습니다.
비지니스의 성공이 IT에 의존한하는 현실입니다. 또한 IT의 성패는 보안에 달렸구요..
단순히 바이러스 안 걸리게 하는것이 중요한 것이 아니라…
보안이 비지니스에 어떤 가치를 부여해주느냐 하는 것이 중요한듯합니다.

작년도 6월,  CISSP를 취득했고  12월에 CISA 시험을 치르고
이제 결과를 기다리고 있습니다. 
또 회사에선 보안팀의 일원으로  기업에서 보안을 어떻게 해야할것인가를
고민하고 있기도 합니다.  
하지만 날이 갈수록 보안이라는 주제가 저에겐 너무 어렵게 다가옵니다. ㅠㅠ

책에 있는 이야기들은 경영자에겐 별 의미가 없더군요..  
이게 중요합니다 라고 말해도  그게 정말 비지니스에 어떤 의미가 있느냐,,
어떤 피해가 있으며  어떤 KPI로 평가를 받을 것인가를 물어옵니다.  
음.. 정말 어렵습니다.
“안전하려면 이정도는 해야 합니다” 라고 말하는것 말고 
정말 비지니스에서 어떤 의미가 있는지 찾아가려고합니다.  

개인의 삶도  인터넷이 없이는 생각할수없는 이때
보안은 더이상 남의 일이 아니고.. 모든 개인의 일이기도 합니다.
더이상 먼 보안이 아니라 가까운 보안으로 다가가 보려고합니다.