신뢰 사회의 적들 (신뢰를 지키는 보이지 않는 시스템)

박나룡

25년넘게정보보호현장에몸담아온정보보호전문가다.안랩코코넛에서정보보호엔지니어경험을바탕으로,다음커뮤니케이션에서보안정책수립,보안조직운영,개인정보보호체계구축및대외협력업무를담당했다.특히온라인기업의개인정보보호이슈가확대되던시기에기반체계를마련하는데참여했다.

이후보안전략연구소를설립해ISMS,정보보호안전진단,PIPL,PIMS,G-ISMS,ISO27001,ISO27701등정보보호인증및자문업무를수행했으며,다양한기업과기관을대상으로보안체계점검과개선업무를지원했다.2012년부터쿠팡에서정보보안책임자로활동하며초기보안조직세팅,보안정책수립,정보보호체계구축등기업전반의보안기반마련에참여했다.

현재는정보보호심사및인증,평가전문가로활동하며ISO42001(인공지능선임심사원)을비롯하여ISO27001,ISO27701,ISMS-P,자동차사이버보안등다양한분야의인증심사업무를수행하고있다.올해로정보보호관련심사원20주년을맞이하고,현장에서축적한경험을바탕으로국내정보보호수준향상과보안체계고도화를위한활동을이어가고있으며,《데일리시큐》에고정칼럼니스트로도활동중이다.

1장규제는신뢰의출발선이다

개인정보보호법무엇부터준비하시나요?(2011.06.12)
2016년정보통신망법개정핵심이슈총정리(2016.03.08)
개인정보보호법개정과개인정보담당자의고민(2020.01.14)
개인정보보호를위한고려사항들(2021.06.24)
개인정보보호법개정안에대하여(2021.09.28)
정보보호공시제도활성화를바라며(2021.11.24)
사회변화에따른개인정보보호법개정안살펴보니(2022.12.07)
개인정보국외처리와CBPR(2023.05.11)
토스(toss)에서‘느끼는’금융컴플라이언스(2024.10.29)
정보보호,법규는시작일뿐진짜는‘실행’에있다(2025.06.19)

2장인증과제도는신뢰의증빙인가,착시인가
[2013특별기고]ISMS인증의무화에거는기대!(2013.01.03)
[특별기고]2014년정보보호관리체계의변화(2013.11.14)
‘ISMS+PIMS=ISMS-P’,인증제도통합의기대와과제(2018.09.12)
국가·공공기관에대한ISMS인증확대시급하다(2019.10.02)
ISMS-P인증제도,적극적활용을위한개선제언(2020.10.29)
정보보호관리체계,그리고안전진단의기억(2022.09.01)
좋은ISMS-P인증심사원이되기위한노력(Ⅰ)(2023.06.08)
ISMS-P인증제도,효과적활용을위한고민필요(2023.08.01)
ISMS-P인증은어떻게도움이되는가?(2025.02.14)
인증,규제가아닌가이드:산업활성화의나침반(2025.07.11)
ISMS-P인증은무적방패인가?(2025.10.16)

3장신뢰는결국사람이만든다
효과적인정보보호조직구성을위한소고(2014.07.27)
정보보호,이제는고기잡는방법을배우자!(2017.03.14)
개인정보전문인력,누가키우나?(2020.04.27)
개인정보담당자가회사의경쟁력이다(2020.09.10)
보안일병구하기!(2021.03.12)
필요한곳에는필요한인력을(2022.03.02)
정보보호투자,왜인력이최우선인가(2025.05.27)
자율적인정보보호는자체적인위험평가부터(2025.03.24)
[PASCON2024-강연]박나룡소장“조직의보안문제는왜반복될까?”(2024.09.22)

4장사고는우연이아니라구조의결과다
2020보안위협,개인에게다가오고있다(2019.12.30)
인터넷상신상털기,어떻게이루어지나(2011.07.08)
내개인정보,어디로가고있을까?(2011.07.24)
왜해킹공격은막지못할까?(2022.04.05)
내부통제의허점(2022.06.03)
방화벽관리,소홀히할수없다(2024.04.19)
VPN,설치만했다고보안수준을높여주진않는다(2025.08.08)
개인정보침해사고과징금3%,충분하지않다(2021.04.08)
IT장애는극복가능한가?(2024.01.26)
사이버재난에대비해야(2020.12.06)
데이터는불타지않아야한다!-IT재난시대의DR,현실과과제(2025.10.31)
공격과보호의격차가커지고있다.(2025.12.08)

5장신기술은신뢰를확장하는가,침식하는가?
클라우드서비스,DevOps,정보보호(2020.03.02)
포스트코로나,정보보호의변화(2020.05.19)
마이데이터,누구데이터가될것인가?(2020.08.24)
전자서명,비대면신원확인의위험성(2020.12.02)
내디바이스를보호하라!(2021.08.19)
가명정보처리,데이터경제에도움인가,허들인가?(2022.07.07)
디지털화를통한ESG의출발,전자문서(2022.08.16)
도로위스마트폰,자동차정보보호어떻게?(2023.07.04)
제대로된AI에는브레이크가필요하다(2023.10.09)
AI시대,무결성이중요해진다(2024.02.22)
모바일신분증의두얼굴-신뢰와도용사이(2024.12.02)

6장정보보호의붕괴는사회전체의문제다
일본의전략물자통제,정보보안분야도예외일수없다(2019.08.07)
2021년정보보호,얼마나더복잡해질까…5가지이슈(2020.12.30)
사이버공간이현실세계를습격하고있다.(2021.07.21)
2022년,정보보호분야에서기대하고싶은일들(2021.12.30)
의료와IT의안전한만남을위해(2022.01.21)
복잡한위기에대한준비(2022.11.02)
정보보호,개인정보보호도국가안보(NationalSecurity)(2023.01.04)
정보보호의실패,안보의위기(2024.05.23)
2025년,정보보호기대와우려(2024.12.24)
기술신뢰사회의위기-SKT해킹사고가던지는경고(2025.04.30)
N2SF,실효성중심으로다시살펴봐야한다.(2025.11.27)

7장결국,정보보호는기술이아니라신뢰의문제다
정보보호의역할은‘신뢰보장’(2017.09.21)
‘연결’사회의적들(2018.02.27)
정보보호분야의‘화타’와‘편작’을기대하며(2019.05.08)
개인정보보호,고객의기대수준을기준으로삼아야(2020.07.15)
개인정보활용의이면(2021.02.18)
개인정보수준의약한고리...목적외이용에관심을가져야(2021.10.28)
‘인격권’과개인정보보호(2022.05.03)
국가의개인정보흐름도가필요하다(2022.09.30)
정보보호가중요하다면,평가지표부터상향해야(2024.06.26)
동의를받으면위법?(2024.08.26)
“민간기업92.6%가개인정보어렵지않다?”통계의함정(2025.04.08)
조직의정보보호수준,담당자가결정하는게아니다(2025.09.11)

〈목차에표기된날짜는《데일리시큐》칼럼의게시일입니다.〉

Ⅰ.[기록]사고와규제로점철된보안연대기

과거로부터추적한신뢰의기원
2011년‘신상털기’부터‘1.25인터넷대란’까지,대한민국보안의뼈아픈초기기록을가감없이담았다.파편화된법규가만들어지던시기의고뇌와시행착오를되짚으며,정보보호가왜단순한기술도입이아닌사회적합의의영역이어야하는지를증명한다.무너졌던과거의기록은오늘날우리가마주한위협의뿌리를선명하게드러낸다.

Ⅱ.[진단]인증과제도는왜무적의방패가되지못했나

실행되지않는보안은착시일뿐이다
ISMS-P인증심사현장과기업보안총괄로서겪은실무경험을바탕으로,촘촘한인증마크뒤에숨겨진내부통제의허점을날카롭게해부한다.보안을단순히‘법준수’나‘매몰비용’으로치부하는안일함이어떻게대형사고의불씨가되는지진단한다.진정한보안수준은기술적솔루션이아니라사람에대한투자와경영진의의지에서결정된다는사실을역설한다.

Ⅲ.[대안]AI와초연결시대,무너지는경계와생존전략

기술의속도를앞지르는신뢰의가치
2025년이후의시점에서바라본AI무결성,자율주행자동차보안,국가적재난이된가상의해킹시나리오를통해우리가마주할새로운위협을예견한다.정보보호가기업의업무를넘어국가안보(NationalSecurity)의핵심축으로부상한시대,데이터기반의신뢰사회를지속하기위해지금당장바로잡아야할‘보이지않는선’이무엇인지최종적인해법을제시한다.