본문 바로가기

『 정보보안 』6

🚀 스타트업, 보안에 투자하지 않아도 되는 이유 - 라고요? "속도가 중요한 스타트업에서 보안은 사치 아닌가요?"사고가 나기 전까지는, 그렇게 생각하기 마련입니다.보안에 투자하지 말아야 할 이유는 넘칩니다현장에서 일하다 보면 정말 다양한 이유로 보안 투자가 미뤄지는 걸 목격합니다. 그리고 그 이유들, 하나하나 들어보면 꽤 그럴듯하게 들립니다.💬 "우리는 속도가 생명이에요. 보안에 신경 쓰다가 시장을 뺏기면 어떡해요?"💬 "솔직히 지금 보안 장비 살 돈이 없어요."💬 "ISMS요? 최소 1억은 든다던데, 저희 형편에 말이 됩니까." 틀린 말은 아닙니다. 스타트업의 현실이 그렇습니다. 인력도 부족하고, 예산도 빠듯하고, 당장 다음 달 서비스 런칭이 더 급합니다.그런데 여기서 한 가지만 여쭤보겠습니다.사고가 나면, 그때는 어떻게 하실 건가요? 작다고 안전한 게 아.. 2026. 6. 28.
🔍 "우리 회사는 사고가 없었는데, 보안 잘하고 있는 거 아닌가요?" "사고가 없다 = 안전하다" 라는 등식은,안타깝게도 성립하지 않습니다.현장에서 정말 자주 듣는 말보안 담당자로 일하다 보면 이런 질문을 정말 자주 받습니다.💬 "우리 회사는 사고가 난 적이 없는데, 이 정도면 보안적으로 훌륭한 회사 아닙니까?"칭찬처럼 들리지만, 사실 이 질문에 마음 편히 "네, 맞습니다!" 라고 답할 수 있는 보안 담당자는 많지 않을 겁니다.이 말이 사실일 수 있는 경우는 딱 두 가지입니다.1️⃣ 정말로 사고가 난 적이 없거나2️⃣ 사고가 났는데도 모르고 있거나문제는, 이 둘을 구분하기가 생각보다 쉽지 않다는 점입니다.보안은 처음부터 불공정한 게임입니다정보보안은 근본적으로 공격자가 우위를 점하는 비대칭적인 구조를 가지고 있습니다.방어자는 모든 진입 경로와 자산을 빠짐없이 보호해야 합니.. 2026. 6. 14.
🛡️ 국산 보안 솔루션, 솔직하게 이야기해봅시다 "100배 차이." 자극적인 숫자입니다. 하지만 마냥 틀린 말이라고 하기도 어렵습니다.논란의 시작 - 티오리 박세준 대표의 발언최근 보안 업계에서 꽤 뜨거운 논쟁이 있었습니다.보안 전문 기업 티오리(Theori) 의 박세준 대표가 국산 보안 솔루션에 대해 날 선 발언을 했고, 업계 안팎에서 반응이 엇갈렸습니다.제가 그 자리에 있지는 않았지만, 논란이 된 발언의 핵심은 두 가지였던 것 같습니다.💬 "국내 보안 솔루션은 외산과 100배 차이가 난다." 💬"국내 보안 솔루션이 오히려 해킹의 통로로 이용되고 있다." 자극적인 표현 때문에 감정적인 반응도 많았지만, 보안 현장에 있는 사람으로서 저는 조금 다른 시각으로 이 발언을 바라봤습니다.솔직히 말씀드리겠습니다 - 저도 외산을 먼저 봅니다현장에서 보안 솔루.. 2026. 6. 10.
🔌 망분리, 꼭 필요한 걸까요? "망분리 하면 보안이 완벽해진다?" 현실은 조금 더 복잡합니다.망분리, 일단 법부터 확인해봅시다망분리는 그냥 권고사항이 아닙니다. 엄연한 법적 의무입니다.개인정보의 안전성 확보조치 기준 제6조의2(인터넷망의 차단 조치 등) 에 따르면, 전년도 말 기준 직전 3개월간 일일평균 100만 명 이상의 이용자 개인정보를 저장·관리하는 개인정보처리자는 개인정보취급자의 컴퓨터에 대해 인터넷망 차단 조치를 해야 합니다.100만 명이면 생각보다 많은 서비스가 해당됩니다. 중소 스타트업도 방심할 수 없는 기준이죠.망분리의 두 가지 방식망분리는 크게 논리적 망분리와 물리적 망분리 두 가지로 나뉩니다.구분논리적 망분리물리적 망분리방식소프트웨어 가상화로 네트워크 분리하드웨어 자체를 물리적으로 2개로 분리비용낮음 (PC 1대)높.. 2026. 6. 8.
🛡️ ISMS 인증, 받으면 보안이 완벽해지는 걸까? "ISMS 인증 받은 회사인데 왜 털렸어?" 사고가 터질 때마다 나오는 말입니다. 저도 같은 질문을 합니다. 다만, 조금 다른 방향으로요.ISMS(-P)가 뭔가요?ISMS는 Information Security Management System, 즉 정보보호 관리체계의 약자입니다.조직의 정보자산을 보호하기 위해 수립하고 운영하는 정보보호 관리체계가 안전하게 관리되는지 점검하여 인증해 주는 제도인데요, 쉽게 말하면 "이 회사, 보안 제대로 하고 있는지 검사해서 도장 찍어주는 제도" 입니다.ISMS 인증을 취득하기 위해서는 관리체계 수립 및 운영 16개, 보호대책 요구사항 64개, 총 80개의 인증 기준을 충족해야 하고, ISMS-P를 위해서는 개인정보 처리단계별 요구사항 21개를 추가로 취득해야 합니다.숫자.. 2026. 1. 20.
🔐 보안 사고의 책임은 정말 담당자에게 있을까? "또 털렸네." 뉴스 댓글창에서 가장 흔히 볼 수 있는 반응입니다. 그리고 그 화살은 대부분 한 방향을 향합니다. 바로 보안 담당자에게요. 과연 그게 맞는 걸까요?요즘 뉴스, 개인정보 유출이 너무 잦습니다최근 통신 3사를 비롯해 쿠팡 등 굵직굵직한 기업들의 개인정보 유출 사고가 연이어 터지면서, 정보보호에 대한 관심과 불안감이 동시에 커지고 있습니다.그런데 이런 사고가 터질 때마다 항상 드는 의문이 하나 있습니다."도대체 왜 이런 일이 반복되는 걸까?"구체적인 사고 원인은 조사 기관이나 당사자가 아니면 사실 알기 어렵습니다. 보안 업계에 몸담고 있는 저조차도, 블로그나 오픈채팅방에 떠도는 소문이나 "xx 회사 aa한테 들었는데~" 로 시작하는 확인되지 않은 이야기를 접하는 게 대부분입니다.소문은 많고, .. 2026. 1. 11.