대학생 보안인들을 위한 열린 커뮤니티, SUA!


SUA(SecurityPlus Uion Academy)는 전국적인 대학 정보보안 연합 커뮤니티이다. 정보보안에 뜻이 있는 소수의 대학생들 주도 하에 2013년도에 창립되었지만, 2년 사이에 회원 수가 급증하여 현재회원 수는 약 700명이다. SUA는 서울·경기지부, 충청지부, 호남지부, 영남지부로 이루어져 있으며, 주로 지부 별로 활동을 한다. 신생 커뮤니티지만, 빠르게 성장하고 있는 SUA에 대해 좀 더 알아보기 위해 현재 서울·경기지부장인 정효정(서울여대 3학년)을 만났다.


 

 


 

 

Q) SUA 창립계기는 무엇인가요?

정보보안 개념이 생소하다 보니 동아리에 속하지 않은 소규모 그룹이나 개인들은 정보를 얻고, 공부하는 데 있어서 어려움이 있어요. 또한, 기존의 정보보안 동아리나 그룹에서도 정보를 공유할 열린 공간이 부족해서, 이를 보완하고자 동아리가 아닌 누구나 참여 가능한 커뮤니티 형태로 창립하게 되었습니다.

 

 

Q) 회원모집은 어떻게 하나요?

SUA 2학기부터 시작해서 학기별로 회원 모집을 했는데 3기 추가모집을 시작으로 1년 단위로 연초에 회원을 모집하기로 했어요. 공부하는데 뜻이 있어서 오는 학생들을 면접을 본다거나 서류심사를 하진 않아요. 공부하고자 신청하는 학생들을 전부 모집하고, 거기서 활동을 열심히 하는 학생들에게 더 많은 혜택을 주는 식으로 운영하고 있어요.

 

 

Q) 어떤 스터디가 진행되고 있나요?

초심자를 위한 언어, 정보보안개론 등 기초적인 스터디를 비롯해서 CISSP이나 CPPG같은 자격증 스터디, 디지털 포렌식이나 관제실무기초, 모의해킹, 모바일 악성앱 분석 스터디 등을 진행했거나 진행 중에 있습니다. 또한, 시스템 해킹 & 버그헌팅, 네트워크 인프라 보안관리 등의 다양한 스터디들도 진행 예정입니다. 주기적인 스터디 이외에도 멘토님들과 선배님들의 특강도 간간이 진행됩니다.

 

CISSP스터디 모습 (출처 : SUA 공식 페이스북)

 

 

 

Q) 스터디 이외에는 어떤 활동이 있나요?

스터디 이외에 크게 열리는 행사는 컨퍼런스라고 할 수 있을 것 같아요. 저희는 기존의 딱딱한 기술적인 컨퍼런스가 아닌 대학생들만이 할 수 있는 컨퍼런스를 진행하려고 노력합니다. , 스터디를 주 목적으로 하지만 공부뿐만이 아닌 친목도모를 위한 여름 캠프나 오프라인 모임 등 상시 친목도모를 위한 모임을 진행하고 있어요. 노인분들께 스마트폰 및 인터넷 사용법을 알려드리거나 고등학생들에게 스마트폰 보안 교육을 시행하는 등 지식 나눔 봉사활동도 하고요.


 

 

      △ 지식 나눔 봉사활동 모습 (출처 : SUA 공식 페이스북)

 

 

 

Q) 최근에 열린 그린나래 컨퍼런스는 어떤 컨퍼런스였나요?

3월에 서울경기지부 주최로 그린나래라는 컨퍼런스를 진행했어요. 그린나래는 그리듯 아름다운 날개라는 순 우리말인데, 보안업계에서 비상하는 날개를 달아주자는 취지에서 이름을 그린나래로 짓게 되었어요. 그린나래 컨퍼런스는 크게 내부와 외부로 나눌 수 있어요. 외부는 중고 전공서적 플리마켓과 보안관련 게임이 진행되었으며, 내부에서는 멘토 네 분께서 지금까지 어떻게 공부를 해왔고, 사회 초년생으로서 어떻게 대비를 해야 할지를 학생들의 눈높이에 맞춰서 강연을 해주셨답니다. 마지막 세션에서는 패널토의를 진행했습니다  

 

 

Q) SUA를 운영하는데 있어서 어려움이 있다면 무엇인가요?

학생 주도 커뮤니티이다 보니까 운영하는 데 있어서 비용적인 문제가 가장 커요. 콘텐츠 제작, 강사초빙, 강의실 대여 같은 비용이 드는 부분이 가장 큰 난관이고, 아쉬운 점으로 남아있어요. 그래서, 대학교 강의실을 대여한다든가 현직에 계신 멘토님들의 재능기부로 비용적인 부담을 어느정도 덜고 있어요.

 

 

Q) 앞으로의 계획 및 각오 한마디 부탁드려요.

최근 몇 년간 정보보안이라는 분야가 핫 이슈가 되고 있기 때문에 SUA는 정보보안에 관심 있는 학생들에게 도움이 될 거라고 생각되는데요. 지금까지의 운영 경험들을 토대로 더 좋은 컨텐츠들과 스터디, 다른 활동들을 꾸준히 기획할 예정이에요. SUA는 창립 초기이기 때문에 시행착오를 많이 겪고 있지만, 열정, 도전, 나눔, 사랑이라는 설립 신조에 맞춰서 항상 성장할 것이라고 믿어요.

 


 

 △ SUA 서울경기지부장(서울여대 3)

 

 

 

 

대학생 기자 송지연 / 서울여대 정보보호학과

세상에는 단 두가지 법칙만이 존재한다.

첫째, 절대로 포기하지 말것.

둘째, 첫번째 규칙을 절대 잊지 말것.

-듀크 엘링턴-

sjy0525kr@naver.com

신고

국내 최초 정보보호학과 순천향대 3대 동아리

순천향대 정보보호학과에는 작지만 힘 있는 3개의 정보보호 학술 동아리가 있다. 2001년 국내최초 학과과정으로 정보보호학과가 세워진 이후, 올해로 13년을 맞은 보안 동아리 Security First부터 하드웨어 보안 및 임베디드를 연구하는 CQRE, 보안 응용기술을 연구하는 정보보호 응용 연구회 LOGOS가 있다. 보안에 대한 각자의 주제를 가지고 있는 세 동아리를 차례로 방문했다.

보안이 최우선, "SecurityFirst"

SecurityFirst는 2001년 3월 27일 염흥열 교수 지도 하에 학부생들이 주축이 되어 생겨난 학술동아리다. "보안이 최우선"이라는 슬로건으로 활동하고 있으며, 주로 보안의 기술적인 부분을 공부하고 있다. 다양한 해킹대회 참가 및 KUCIS, PADOCON과 같은 활발한 대외활동으로 이름을 알리고 있는 SecurityFirst의 운영진과 인터뷰를 해보았다.

- 어떤 활동을 하고 있나요

SecurityFirst는 6명의 운영진과 55명의 회원이 활동하고 있으며 모든 회원은 하나의 팀에 속하여 활동하게 됩니다. 현재는 Windows Reverse, Web, Linux System, Android Kernel을 공부하는 4개의 팀으로 구성되어 매주 1회 세미나와 별도의 팀 세미나를 진행하고 있습니다. 대외적으로는 대학 정보보호 동아리 연합회(KUCIS)와 PAraDOx CONference(PADOCON)에서 활동하고 있으며, 각종 컨퍼런스에 발표하며 참여합니다. 

- SecurityFirst의 강점

무엇보다 한국 인터넷진흥원(KISA)의 대학 정보보호동아리연합회(KUCIS)에 지속적으로 지원을 받고, 우수동아리 수상을 손으로 꼽을 것입니다. 그 만큼 동아리의 활동을 인정받는 것이니까요. 또한 회원들의 노력으로 얻은 다양한 수상 경력 또한 SecurityFIrst의 큰 자랑거리입니다.

2002. KUCIS 대학 지원사업 선정

2005. 제 2회 해킹방어대회 금상

2006. 제 2회 공개웹S/W 취약점찾기 동상, 제 3회 해킹방어대회 특별상, 공군본부 정보기술 실무교육 해킹 시연

2007. 제 4회 해킹방어대회 금상, 국방 정보보호 컨퍼런스 해킹 시연

2009. 국방 정보보호 컨퍼런스, 해병대 사령부 해킹 시연

2010. 정보보호 인력채용 사이트 아이핀 환경 구성, 제 5회 S/W 보안취약점 찾기 우수상, 장려상

2011. ISEC CTF 본선 5위, 제 1회 POC 여성해킹방어대회 1위

2012. EBS 다큐프라임 '불멸의 기록, 당신은 사라지지 않는다' 촬영, 해병대 사령부 해킹 시연

하드웨어 보안 및 임베디드시스템 연구, "CQRE"

CQRE는 Secure Embedded라는 의미로 2004년 임강빈 교수 지도 아래 만들어졌다. 대학원 연구실과 학부생으로 이루어져 있으며, 학부생은 보안에 필요한 기초적인 이론과 실무적인 부분을 함께 공부한다. 교내 융합형 정보보호 설계 경진대회에 매 년 출전하며, 기업체 간의 공통 과제를 수행하면서 경험을 쌓고 있는 CQRE를 살펴보았다.


- 임베디드 시스템이 무엇인가요?
전자장치의 두뇌 역할을 하는 마이크로 프로세서를 장착해 제어할 수 있도록 기기에 내장(Embedded)형태의 장치를 이용한 시스템을 말합니다. 

- 어떻게 활동하고 있나요?

학부생은 네트워크, 포렌식, 모바일 악성코드 분석, 리버싱에 대해 공부하며, 각 주제에 대해 팀을 결성하고 연구한다. 주로 보안USB나 임베디드(ARM CPU)와 같은 하드웨어 보안 중심의 공부를 합니다. 

팀 활동 이외에도 외국(인도네시아 ITB Univ.) 학교 학생들과 함께 융합형 Capstone경진대회에 출전합니다.

- CQRE의 강점

순천향대 공과대 Capstone 경진대회에서 역공학 방지 솔루션으로 최우수, OTP(One Time Pad)를 이용한 USB사용자 인증부문에서 동상을 수상했을 정도로 학부생들의 열정이 대단합니다.

히 KT, LG CNS, 링크로드와 같은 기업과 연계가 잘 되어있어, 각종 특정 업무를 수행하는 시스템 및 서버를 구축하기도 했으며 현재는 임베디드 시스템 보안을 위한 초소형 방화벽 설계와 보안 USB 하드웨어 분석도구 설계 등 각종 지원을 받아 연구에 몰두하고 있습니다.  CQRE 출신 졸업생들은 Ahnlab, A3 Security, 윈스테크넷 등 보안업체에서 근무하고 있습니다.


보안 응용기술을 연구하는 정보보호 응용 연구회, "LOGOS"

사물에 대해 '무엇인가'를 파악하는 인간의 분별, 이성을 의미하는 LOGOS는 2010년 곽진 교수 지도하에 정보보호학을 전공하는 학생들로 구성되어있다. 특히나 대학원 정보보호응용 및 보증연구실[ISAA]와 연계하여 세미나 및 프로젝트를 진행하며, 열린 마음과 적극적인 선후배관계를 통해 정보보호 분야에서는 항상 최고라는 자부심을 가지고 있는 LOGOS를 취재해보았다.

- 공부하는 분야와 활동 소개?

LOGOS는 정보보호응용에 대한 연구 이외에도 학술대회에 논문을 투고하고, 신기술 동향분석 및 최신 해외 기술문서를 번역합니다. 이외에도 정보보호 응용과 관련된 특허를 보유하고 있으며 여러 사업에 참가하여 많은 실적을 내고 있습니다. 

- LOGOS의 강점

정보보호와 관련된 이론적인 부분 뿐만 아니라 실무에서 필요로하는 실용적을 다루고 있습니다. 클라우딩 컴퓨팅과 프로그래밍, 웹 보안을 기초로 한 연구를 하고 있으며 무엇보다 지속적인 졸업생과의 교류로 탄탄한 커뮤니티를 구축하고 있는 것 역시 LOGOS의 강점이라 할 수 있습니다.

2010. 정보보호응용 연구회 신설, 정보기술융합 혁신 아이디어 및 창업아이템 공모전 우수상, 장려상

2011. 한이음 IT멘토링 팀 프로젝트 선정, 순천향대학교 학술제 금상, 은상

2012. 한국 과학기술단체 이공계 과학기술동아리 지원 선정, 제7회 금융정보보호 공모전 장려상

 국가암호기술 공모전 특별상, 한국 정보보호학회 학술대회 발표 및 포스트세션

2013. 한국 과학기술단체 이공계동아리 지원 선정



매년 7월, 이 세 동아리는 SecurityFirst를 주축으로 CQRE, LOGOS가 힘을 합하여 청소년을 대상으로 정보보호 페스티벌 문제를 출제하고 있다.

대회는 온라인으로 36시간 예선이 치뤄지며 이 중 상위 10명을 뽑아 본선을 치룬다. 2012년에는 예선에 80명이 참가했으며 웹, 네트워크, 리버싱, 포렌식, 포너블 등을 기초로 한 문제가 출제된다. 우승자에게는 행정안전부 장관상이 주어지고 있어 많은 청소년들의 이목을 끌고있다. 올해로 11회를 맞고 있는 청소년 정보보호 페스티벌은 많은 호기심 많은 학생들과 숨은 실력자들이 나타나고 있고, 재학생들은 문제를 출제하고 운영하면서 실력을 키우고 있다.

실제로 순천향대 정보보호학과 재학생 중의 60%이상이 보안동아리 활동을 하고있다. 신입생들은 각 동아리에서 보안기초지식을 쌓으며 보안에 대한 꿈을 키우고, 재학생들은 한걸음 더 다가가 다양한 관점의 선택의 폭을 가지고 공부하고 있다. 

각 동아리마다 뚜렷한 개성을 지니고 있고 보안에 대한 열정을 꽃피우고 있는 SecurityFirst, CQRE, LOGOS의 노력과 발전이 지속된다면 정보보호 동아리의 미래는 밝을 것으로 기대된다. Ahn



대학생기자 이수진 / 순천향대 정보보호학과


그럴 만한 가치가 있는 사람이 되자!

언젠가 제 일에 대하여 대가를 얻을 때, 

"저 사람은 그럴 만한 가치가 있는 사람이야."

라는 말이 아깝지 않을 만큼 스스로를 성장시키겠습니다.



신고

신화처럼 완전 보안 꿈꾸는 충남대 보안 동아리

충남대학교 아르고스(ARGOS)는 2003년에 설립된 충남대학교 컴퓨터공학과 해킹/보안 연구 동아리이다. 동아리 이름인 '아르고스'는 그리스 신화에 나오는 '100개의 눈을 가진 괴물'에서 유래되었으며, 잠을 잘 때도 눈을 감는 일이 없이, 자신의 임무에 있어 적어도 하나의 눈은 대상을 응시하고 있어 창과 방패의 의미를 잘 대변할 수 있음을 나타낸다.




아르고스는 창립 이후 동아리 스스로 교내 홈페이지의 취약점 점검 및 권고, 해킹 페스티벌, 사이버침해 대응훈련, 컨퍼런스 시연 등의 활동을 통한 해킹과 보안기술에 대한 연구를 하며, 정기적인 내부 세미나를 통해 연구내용을 공유하고 있다. 


외부적으로는 해킹 및 보안단체와 함께 연구를 진행하며, 매년 파도콘(Padocon), 한국인터넷진흥원(KISA) 해킹방어대회 등에 참가하며 지식과 경험을 넓혀가고 있다. 그리고 KUCIS(대학정보보호동아리 연합회)의 지원 사업 대상 동아리로 선정되었으며, 차세대 이동통신 및 서비스 인력양성사업단, 인터넷침해대응 기술연구센터 등에서도 지원받으며 끊임없이 발전해나가는 동아리로 나아가는 중이다. 모토인 'Hack the world for everyone'에 맞게 대한민국의 보안을 책임지기 위해 지속적인 연구와 학습을 하고 있는 것이다.


현재는 학년별로  회원들이 각자 분야별로 팀을 이루어 시스템 해킹 팀, 웹 해킹 팀, 리버스 엔지니어링 등 자신이 맡은 분야에 대해 활발한 연구를 하며, 보안 관련 각종 공모전과 경진대회를 준비 중이다. 회장 박찬규(컴퓨터공학과, 23)씨를 만나 아르고스의 현재와 미래를 들어보았다.


- 각 해킹 분야별로 커리큘럼이 있나요?

각 분야별로 요점을 정해놓고 학습을 진행합니다. 리눅스는 리눅스상에서 네트워크 패킷 분석 도구의 제작과 분석된 패킷을 통한 조작연구, 윈도우즈는 응용프로그램에서 발생하는 취약점을 분석하여 이를 통한 공격코드를 제작하며, 웹에서는 최근 공개된 자바스크립트의 취약점을 분석하고 공개된 취약점을 통한 POC, 즉 취약점 이용 기술의 적용과 검증에 중점을 두고 있습니다. 


- 앞으로의 동아리 운영 계획은 어떻게 되나요?

학기중에는 주 별로 프로그래밍 언어에 익숙치 않은 신입생들을 위해 두달 과정으로 C 언어와 JAVA 강의로써 학과 공부에 대한 부담을 덜어주는 동시에, 보안에 대한 기초 초석을 다지고 있습니다. 그리고 이를 바탕으로 방학중에 본격적인  웹해킹과 PHP, 파이썬 강좌와 더불어 각 해킹 분야별로 심도있는 연구를 할 것입니다.


- 안드로이드 운영체제에 대해서는 계획이 없으신가요?

학기 중 프로젝트로 안드로이드 팀 또한 구성할 예정입니다. 요즈음 대다수의 스마트폰 사용자들은 지갑이나 통장, 카드 대신에 자신의 개인정보들을 스마트폰에 내장하여 업무를 봅니다. 하지만 스마트폰의 보안은 안전하지 않은 실정입니다. 따라서 저희는 안드로이드 환경에서의 개인정보 유출의 위험성을 검증하는 테스트 도구의 개발과 시연에 목적을 두고 있습니다.  


- 미래의 보안 꿈나무들에게

먼저 보안에 관심을 가지고, 차근차근히 과정을 밟아가는 것이 중요합니다. 저희 동아리 교육 시 신입생들 뿐만 아니라 대부분의 재학생들도 왜 C언어와 JAVA가 중요한지에 대해 종종 묻곤 합니다. 언어는 제일 기본적으로 코드의 분석과 프로그램과 툴의 제작에 필요한 기초과정입니다, 그렇기에 저희도 주별로 언어 강의를 하는 것이구요. 따라서 중요하지 않겠다해서 넘어가기보다는 언어라는 기본부터 충실히 다진 이후에 보안과정을 넘어가는 것이 바르다고 생각합니다. Ahn  





         

                                대학생기자 김현진/ 충남대 정보통신학과 

    Passion makes me sexy, Do dynamic

     열정으로 현재에 안주하지 말고, 진짜를 찾아가는 PD가 되자.     


저작자 표시
신고

학구열 넘치는 세종대 보안 동아리 SSG

세종대학교의 보안 동아리인 SSG(Sejong Security Guard)는 컴퓨터공학과 송상훈 교수의 지도 아래 2000년 3월에 창설된 보안 학술 동아리이다. 학내 네트워크 및 서버 관리를 맡고 있으며, 정보 보안을 연구하고 있다. 보안 학술 동아리이나, 보안뿐만 아니라 컴퓨터 공학에 전반적으로 관심을 가진 학생이 많다. SSG를 찾아 김종수 회장으로부터 동아리 활동 전반을 들어보고  열띤 세미나 현장을 살펴보았다.


Q: SSG 안에서 신입생과 재학생, 그리고 졸업생이 하는 일은 각각 어떻게 다른가요?

A: 신입생은 동아리 분위기 파악부터 하고, 팀을 꾸려서 C언어나 리눅스 마스터 등의 스터디를 진행하게 됩니다. 재학생은 기본적으로 세미나에 참석하는데, 이 세미나는 재학생이 연구하고, 재학생들이 발표하는 형식으로 진행됩니다. 저희 동아리는 졸업생 분들과 교류가 많은 편입니다. 오셔서 좋은 이야기도 많이 해주시곤 하구요. 또 일년에 적어도 한 번은 '홈커밍데이'라고 해서 졸업생과 재학생이 모임을 갖는 시간을 갖고 있습니다.

Q: SSG는 주로 어떤 활동을 하나요?

A: 동아리 내에서 세미나를 정기적으로 진행하고 있어요. 외부적으로는 Incognito라는 연합 동아리 활동을 하고 있습니다. 매년 워크숍에 참여하여 여러 활동을 하게 되는데, 학생들이 직접 준비하고 참여하여 진행되는 프로그램이기 때문에 도움이 많이 되는 것 같아요. 같이 활동하고 있는 동아리들의 실력이 우수해서 배울점이 많기도 하구요. 학술적인 활동 외에도 교수님과 함께 등산을 가거나 함께 MT를 가기도 해요. 교수님께서 컨택 해주시는 프로젝트에 참여하기도 하고, 교수님이 강의하시는 과목의 조교를 맡아서 이것 저것 일을 배울 기회가 생기기도 합니다. 

Q: SSG에 가입하려면 어떻게 해야 하나요?

A: 지원자에게는 '20분 동안의 세미나'라는 면접 과제가 주어져요. 이 세미나 면접에서 중요하게 보는 것은 보안에 대한 지식 수준이 아니라 지원자의 열정이에요. 세미나를 위해 얼마나 준비했고, 보안에 대해 얼마나 관심이 있는지를 어필하는 것이 중요하죠.

SSG 회장 세종대학교 08학번 컴퓨터공학과 김종수

Q: SSG의 자랑거리는 무엇인가요?

A: 졸업생이 다양하고 좋은 기업에 많이 입사해서 재학생에게 입사 정보를 알려주시거나 유용한 정보를 나눠 주세요. 또한 졸업생 세미나를 통해, 책에는 나오지 않는 지식을 얻기도 하구요. 졸업 후에도 관심을 많이 가져주시는 것이 저희에게는 큰 도움이 되죠. 그리고 동아리 방이 연구실이라서 책상이나 기자재가 잘 갖춰져 있는 편이에요. 신입생 수가 늘어나는 바람에 컴퓨터 수도 부족하고 책상 수도 부족해지긴 했지만, 그래도 연구실 환경이 잘 갖춰져 있어서 장점이라고 할 수 있어요.

Q: SSG가 나아갔으면 하는 방향은 무엇인가요?

A: 대외활동을 많이 못하고 있는 점이 아쉬워서, 회원들과 함께 대외활동에 관심을 갖고 대회나 공모전에 도전해보려고 해요. 또한 동아리 지원 사업같은 프로그램에 도전해서 지원금을 타고 싶기도 하구요. 지원금을 타면 동아리 운영에 큰 도움이 될 것 같아요.

Q: 회장에게 '보안'이란?

A: 보안은 '컴퓨터 공학 그 자체'라고 생각해요. 보안에 대해 공부해보니, 네트워크나 프로그래밍 등 컴퓨터 공학을 전체적으로 잘 이해하고 있어야 수월하더라구요. 그래서 보안은 '컴퓨터 공학 그 자체'인 것 같아요.


<SSG 회원들이 연구하고 발표하는 세미나>

3월 21일 세종대학교 율곡관 6층에서 SSG의 정기 세미나가 열렸다. SSG 회원들은  2,3명씩 팀을 꾸려 세미나를 준비하여 진행한다. 세미나를 통해서 보안에 대해 좀더 알아가며, 발표 준비를 통해서 보안공부를 더 깊이 있게 할 수 있는 기회를 가질 수 있다. 

이번 세미나의 주제는 ‘메세지 후킹(Message Hooking)’과 ‘파밍(Pharming)’이었다.

첫 발표는 ‘메세지 후킹’이었다. 메세지 후킹이란 해킹수법의 하나로 키보드와 본체 사이에서 오가는 정보를 가로채는 사이버 범죄이다. 발표자는 메세지 후킹 기법의 원리를 회원들이 이해하기 쉽도록 상세하게 설명해 주었다.  네이트온을 활용하여 메세지 후킹을 시연하기도 했다. 

이어서 둘째 발표가 진행되었다. 파밍이란 간단히 말해 해당 사이트가 공식적으로 운영하고 있던 도메인 자체를 중간에서 탈취하는 수법이다. 발표자는 파밍의 어원부터 짚어가며 발표를 진행하였다. 파밍 또한 시연을 통하여 회원들의 이해를 도왔다.

각 발표는 10~15분 정도 진행되었다. 길지 않은 시간이지만 각 주제의 개념부터 활용까지 알차게 꾸려진 발표였다. 세미나에서 인상적이었던 것은 크게 세 가지이다.

첫째, 해킹 기법 시연. 발표자가 직접 코드를 준비하여 코드 설명을 하고, 그 자리에서 메세지 후킹이 되는 과정을 보여주었다. 파밍 발표자는 메일을 통한 파밍 사례를 시연했다. 발표자들이 직접 연출한 시연 과정을 통해, 그야말로 백문 불여일견을 체험할 수 있었다.

둘째, 해킹 수법에 대한 보안 대책 제시. 단순한 해킹 수법 설명 뿐 아니라 보안 대책까지 함께 제시함으로써, 구성이 잘 짜여진 보안 세미나임을 실감할 수 있었다. 

셋째, 회원들의 의견을 공유하는 Q&A 시간. 발표가 끝난 후에는 발표에 대해 궁금한 점을 묻거나 피드백을 하는 시간을 갖는다. 질문과 답변을 통해 발표 내용에서 이해가 안됐던 부분이나 설명이 부족했던 부분을 확실히 짚어본다. 또한 발표 자체에 대한 피드백을 해줌으로써 다음 발표자가 참고할 만한 사항들을 공유하기도 한다.

세미나가 끝나고 나서, SSG 회원들에게 '보안'에 대한 생각을 물어보았다. 당황스러운 질문일 수 있지만 멋진 답변을 들을 수 있었다.

-보안이란 '꼭 필요한 것'이라고 생각한다. 현재 누리고 있는 것들이 편리한 이유는, 보안이라는 개념이 있기 때문이라고 생각한다.

-보안이란 '멀고도 가까운 것'이라고 생각한다. 보안에 소홀한 사람들이 많지만, 보안은 없어서는 안되는 굉장히 중요한 것이기 때문이다.

보안에 대한 실력과 열정을 모두 갖춘 세종대학교 보안 동아리 SSG. 인터뷰와 더불어 세미나를 참석한 후에 느낀 것은 회장과 회원 각자의 책임감이 대단히 강하다는 것이다. 이 책임감은 SSG에 대한 자부심으로부터 나오는 것이라 짐작해 본다. SSG의 정기 보안 세미나가 지금처럼 훌륭하게 잘 진행될 수 있기를 바라며, 더욱 발전하는 SSG가 되기를 기대한다. Ahn


 대학생기자 이혜림 / 세종대 컴퓨터공학과

나를 바로 세우고, 타인을 존중하는 삶.

오늘도 새겨봅니다.

대학생기자 임지연 / 덕성여대 컴퓨터학과

신고

데프콘 점령 꿈꾸는 경기대 보안 동아리 K.knock

K.knock는 2009년도에 학생들의 손으로 창립해 현재 경기대 침해사고대응팀(CERT)으로 활동하는 정보보안 동아리이다. 동아리 이름인 <K.knock>은 경기대학교라는 큰 틀에 모인 학생들이 정보보안 분야를 '두드린다'는 뜻에서 만들어진 이름이다. 

그 이름에 걸맞게 정보보안에 관심 있는 44명의 다양한 학과, 전공을 가진 구성원이 활발하게 활동하고 있다.

경기대 정보보호 동아리 K.knock 회원들

K.knock이 주로 하는 일은 웹, 시스템, 네트워크 보안, 리버스 엔지니어링, 크립토그래피(Cryptograghy) 등의 해킹기술 연구를 비롯해 코드게이트, 데프콘, HUST 해킹 페스티벌 등의 해킹대회 참여, 경기대학교 침해사고대응팀(CERT)으로서 모의해킹, 관련 분야 스터디까지 다양하다. 이뿐 아니라 지도교수인 컴퓨터과학과 김희열 교수의 지원 아래 정기적으로 보안 세미나를 진행한다.  


K.knock의 화려한 수상 이력

2009년 동아리 창단 이래로 다양한 수상이력이 눈에 띈다. 그 중 작년 11월 서울교육문화회관에서 개최된 여성 해커들을 위한 해킹 대회 ‘Power of XX’ 금상의 성적이다. 제 7회 국제 해킹·보안 컨퍼런스 POC2012 이벤트의 하나로 진행되었던 이 대회는 여성 해커가 실력이 낮다는 오해와 선입견을 없애고, 여성 해커 양성의 초석을 다지기 위해 마련된 대회이다. 대부분 학교에 보안동아리라 하면 공과계열이니 남자들이 많을 것이다, 실력은 남자들이 좋을 것이다라는 선입견을 가지고 있다. 하지만 이러한 수상 이력을 보면 경기대학교 정보보안 동아리가 어떤 동아리인지 짐작할 수 있다.


#인터뷰 - K.knock 리더 김낙현

- 개인적으로 동아리 안에서 가장 뿌듯하다고 느꼈을 때

코드게이트 대회 기간 중에 정말 안 풀리는 문제가 있었는데 동아리원끼리 머리를 모아 서로의 부족한 점을 보안해 문제를 풀었을 때가 정말 뿌듯했다. 개개인으로서는 절대 풀 수 없었지만 동아리라서 가능했던 일인 것 같다.

- 동아리를 하면서 기억에 남는 에피소드

2012년 여름에 K.knock에서 안랩을 견학할 기회가 있어서 7~8명 정도가 방문했던 게 생각난다. 회사에 한 번도 들어가본 적이 없는 나로서는 정말 신기한 경험이었다. 먼저 우리를 안내해주시는 분이 정말 친절했다. 그분의 성함은 기억이 나지 않지만 DDoS 공격 때 힘들게 밤샘 작업을 한 분이라는 것은 기억이 난다. 기억에 남는 것은 친절한 사람들뿐 아니라 회사 시설에도 있었는데 회사로 들어갈 때 사원증이 있어야만 열리는 문과 안마의자, 복도에 있는 축구 게임기, 회사 2층에 있는 커피숍과 회사 내부에 헬스장이 있는 게 정말 신기했고 무엇보다도 직원들의 이름이 나무 나이테 형식으로 새겨진 통 유리벽이 가장 인상 깊었다.

- 일반 동아리원에서 동아리 회장까지

2008년 내가 입학했을 때는 경기대학교에 보안 동아리는 없었다. 하지만 군대 전역을 하고 전공 수업을 듣다가 경기대학교에 보안동아리 K.knock이 있다는 것을 알게 되었다. 1학년 때부터 보안에 관심을 가지고 있던 나는 좋은 기회라고 생각하고 아무것도 모른 상태에서 단지 열정 하나만 가지고 동아리에 들어왔다. 그렇게 1년 동안 열심히 하다보니 회장의 중책까지 맡게 되었다. 동아리 활동을 하면서 열정 하나만 가지고 있다면 어떤 시련과 고난이 있어도 극복할 수 있고 재미있을 수 있다고 생각한다.

- 앞으로의 계획

동아리가 만들어진 지는 얼마 되지 않았지만 더욱 더 많은 활동으로 여러 분야에서 두각을 보이며 각종 대회, 특히 데프콘에서 입상하는 것이다. Ahn


대학생기자 김대희 /  경기대 컴퓨터과학과

   

신고

역동적 에너지 가진 서울여대 보안 동아리

SWING은 1996년 당시 전산과학과 20명의 학생과 김명주 교수가 함께 만든 정보보호 동아리이다. 처음에는 인터넷 동아리로 출발하였지만, 인터넷이 대중화함에 따라 특화할 필요성이 있어 보안을 테마로 잡고 본격적인 SWING 활동을 시작하였다.




SWING(Seoul Women's university InterNet&security Group)의 약자이며 단어의 뜻처럼 '역동적인 에너지'를 가지고 정보보호 공부를 하겠다는 의미이다. 현재 32명이 활동 중이며 19년의 전통을 가진 만큼 졸업생 또한 많은 분야로 진출해 있다. 


SWING은 KUCIS(전국대학 보안동아리 연합회)와 U.U.U(전국대학 CERT 연합회)에도 가입해 활동 중이다. 또한 한국정보보호진흥원 주관 정보보호우수동아리 장려상(2010년), 한국인터넷진흥원 주최 제5회 SW 취약점 찾기 대회 우수상(2011년), 2010~2012년 우수소학회 선정 등 많은 수상 이력을 자랑한다.


다양한 세미나와 외부활동으로 크게 이름을 알리고 있는 SWING을 만나러 갔다. 도착한 때는 매주 화요일에 열리는 정기 회의와 세미나 시간. 조용히 사진 촬영을 한 후 회장과 대화를 나눌 수 있었다. 이 날은 웹 보안과 C언어 등을 공부하고, 코딩과 취약점 분석 등을 실제로 해보는 등의 스터디를 하고 있었다. 


SWING의 세미나 모습

 


요즘 하는 스터디 내용과 운영 방식은?

지금까지는 기수 별 스터디로 학기 중과 방학 중 주제를 정하여 운영해 왔지만, 이번 2013년 1학기부터는 1,2,3학년이 모두 모여 진행을 해요. 매주 화요일은 C언어 기초, 수요일은 Web, 목요일은 C언어 심화 내용의 스터디를 진행하고 홈페이지 게시판을 이용해 최신 보안 뉴스를 스크랩하는 스터디도 운영을 하고 있어요. 그 외에도 지금 기수인 19기는  KUCIS의 프로젝트를 진행 중이며, U.U.U의 하반기 프로젝트 또한 진행할 예정이에요.



△ SWING의 세미나 모습


여대 정보보호 동아리의 장점과 단점은? 

먼저, 장점으로는 아무래도 여자로만 이루어져 있다보니 섬세함과 꼼꼼함에서 좀 더 큰 메리트가 있는것 같아요. 보안 분야에서는 섬세함과 꼼꼼함을 요구하는 경우가 많은데, 예를 들어 정보보호관리체계(ISMS) 인증 심사원, 정보보호관리체계 범위 설정, 수립 등에서 큰 장점을 발휘하는 것 같아요. 하지만, 아무래도 남자 멤버가 없다보니 알고리즘 구현과 같은 프로그래밍 업무에서 다른 동아리나 남자 학우들에 비해 이해 속도가 느려 시간이 많이 걸리는 편이에요.


매년 학회 신입생 모집을 위해 일주일 간 아침 8시에 교육을 한다는데 어떤 교육이고 이 교육에서 신입생에게 바라는 점은?

지금까진 국제웹 보안 표준기구인 OWASP가 발표하는 웹 애플리케이션 보안 10대 취약점에 관한 내용을 발표하였지만, 이번부터는 정보보안에 관한 전반적인 내용과 보안 공부 Tip에 관한 내용을 교육을 했어요. 또한 작년 안랩 시큐리티 웨이브 2012 네트워크 분야 문제 풀이도 진행을 했고요. 아무래도 신입생 대상이다보니 다소 어려운 주제를 다루는 OWASP의 취약점보다는 흥미를 느낄 수 있는 해킹대회 문제 풀이 위주로 진행을 하고 있어요. 이런 교육을 통해 새내기는 흥미를 갖고 동아리에 가입하여 여러 대회에 같이 참여를 하면 좋겠어요.


△ SWING 19기 회장 최은영


다양한 학교와 연합 활동의 진행 방식은?

현재는 KISA(한국인터넷진흥원) 지원 정보보호동아리 연합  KUCIS, 학내망 보안을 위한 대학 CERT연합(U.U.U)에 가입하여 활동해요. 또한, 대학 보안 동아리 자체의 힘으로 개최하는 정보보안 컨퍼런스 Incognito에서 활동해요. 먼저, KUCIS는 서울/경기/강원/영남/호남 권역 세미나와 온라인 캠페인 등을 진행하고 U.U.U는 상반기/하반기 2번의 세미나와 오프라인 모임 등 다양한 활동을 해요. 작년에는 U.U.U에서 사용자 선택 암호 알고리즘 앱을 만들어서 발표했어요. 하지만, 암호화한 후 복호화를 구현하지 못 해서 많은 아쉬움이 남았는데, 이번 발표에서는 아쉬움이 남지 않게 최선을 다할 생각이에요! 또한, 추후 다른 학교와 연합 스터디를 만들어 여러 분야 많은 학우들과 교류를 할 생각이에요.


장기 계획 및 앞으로의 각오는?

SW 취약점 찾기 대회나 Power of XX (여성해커대회) 등 다양한 대회가 매년 개최되는데, 이런 대회에 출전하여 좋은 성적을 거두는 것이 목표예요. 또한, 이번 하반기 U.U.U 세미나에서 발표할 주제를 준비할 예정이고요. 현재는 악성코드 분석과 탐지 툴이 목표이지만 아직 정해지지 않았네요. 각오라면, 선배들이 꾸려놓은 SWING에 애착을 갖고 좀더 발전하는 동아리로 만들고 싶어요. 그리고 현재 하는 활동 외에도 많은 대외 활동으로 SWING을 많은 곳에 알리고 싶습니다!


정보보호 전문가를 꿈꾸는 청소년에게 해줄 말은?

먼저, 중고생 정보보호 올림피아드 대회, 청소년 해킹대회, 안랩 V스쿨 등에서 많은 경험을 해보셨으면 좋겠어요. 그리고 프로그래밍 언어까지 공부하면 더 좋겠죠? 하지만, 너무 컴퓨터에만 열중하지 말고 여러 친구들을 사귀고 청소년으로서 누릴 수 있는 경험을 많이 해보는 걸 추천해요. 대학생 되면 항상 청소년 시절을 그리워하게 되니까요. 정보보호 전문가를 꿈꾸는 청소년이 미래에 정보보호 업무에서 큰 몫을 하기를 진심으로 바랍니다^^!


△ 서울여대 정보보호 동아리 SWING


직접 만나본 SWING 동아리원들은 공부만 하는 이미지가 아닌 매우 활동적이고 에너지가 넘치는 동아리였다. 20대의 열정과 패기를 간직한 SWING의 발전과 동아리원들의 꿈이 이루어지기를 진심으로 바란다. Ahn



대학생기자 박서진 / 서울여대 정보보호학과

통(通)하지 않으면 통(痛)한다. <동의보감>

여러분과 통(通)하는 안랩인이 되겠습니다 :)




대학생기자 유희만 / 수원대 컴퓨터학과

The achievement of one goal should be the starting point of another.
(목표의 성취는 또 다른 목표의 출발점이 되어야 한다.)
- 알렉산더 그레이엄 벨 -

현재에 안주하지 않고 항상 색다른! 목표를 향해!                  

저작자 표시 비영리 변경 금지
신고

해킹 보안 고수 모인 KAIST 동아리를 방문하다

21세기 정보 전쟁의 시대.

점점 발전하는 해킹 기술에 맞서 정보보안을 위해 노력하는 화이트 해커에 관심이 집중되고 있다. 그런 가운데 열린 정보보안 컨퍼런스 '코드게이트 2013'은 보안의 존재감을 한층 더 부각한 의미 있는 행사였다. 컨퍼런스와 함께 열린 국제해킹방어대회에서는 국내 전문가의 활약이 두드러졌다. 그 중 당당히 3위를 차지한 카이스트 GoN팀을 만나보았다. 

리눅스 명령어 cat key를 형상화한 동아리 로고

GoN은 God of Network의 약자로 1999년 창립된 KAIST의 정보보안 및 해킹 동아리로서 국내 대표 대학 보안 동아리로 꼽힌다. 그 명성에 걸맞게  국내뿐 아니라 해외에서도 많은 수상 경력을 쌓아왔다. 이들은 웹 해킹, 시스템 해킹, 애플리케이션 해킹 등 여러 분야를 연구하고 학습한다. 동아리 방에 방문했을 당시에는 팀원들이 각자의 자리에 앉아 4월 3일 개최될 코드케이트 2013 본선준비에 한창이었다.

   

매주 화요일 공지사항 전파와 함께 동아리 활동계획을 논의하는 정기 모임을 하고, 일주일에 2회 SQL injection, XSS과 같은 웹 해킹과 Buffer overflow나 Format String Bug와 같은 시스템 해킹을 강의한다. 그리고 매년 초 KAIST 학생들을 대상으로 해킹을 잘 모르는 사람도 쉽게 이해 가능하도록 최근 보안에 관한 이슈들을 다루는 GOSS(GoN Open Security Seminar)를 개최한다. 

대외적으로 GoN은 매년 7~8회 개최되는 데프콘, CTF 등 국내외 여러 해킹 대회에 참여하며, 국내외 많은 해커들과 실력을 겨루고 상위권의 실력으로 평가받고 있다. 또한 유명 증권사와 국가 기관 사이트에 대한 모의 해킹 계약을 맺어 실제 웹 사이트를 합법적으로 해킹을 하며, 풍부한 경험과 지식을 쌓는다.

  

김도윤(전산학과 ,20) 회장을 만나 좀더 자세한 이야기를 들어보았다.



-SECURITY INSIDE, CODEGATE, DEFCON 등 국제대회에서 꾸준히 높은 성적을 거두는 비결은 무엇인가요?

저희는 비결이랄 것이 없습니다. 그저 자유분방함이 묻어나오는 분위기 속에서 '놀 때는 놀고, 대신에 할때는 하자'라는 마인드를 가지고 동아리 생활을 합니다. 그리고 전문가적인 마음가짐보다도 해킹에 대한 흥미로 자율로 참여하는 팀원들이 있을 뿐입니다. 이러한 팀원들의 생활 스타일이 대회의 수상으로 이어진 것 같습니다.

 -회원 선발은 어떻게 이루어지나요? 

   매년 초, 페이스북에 공고된 페이지에서 가입신청서를 작성합니다. 그리고 GOSS(GoN Open Security Seminar)를 통해 해킹에 대한 기본적인 이해 과정과 최근의 보안 관련 이슈를 익히고, 해킹에 대한 관심이 향상된 대상자들로 면접이 이루어 집니다. 면접은 관련 기술보다도 해킹에 대한 의지와 관심을 보는 것이기에 전산학과 이외의 다른 학과의 학생들도 부담없이 지원 가능합니다.

 -올해의 활동계획은 무엇이 있나요? 

   우선 올해는 4월에 개최되는 카네기멜론대학교 보안 동아리인 Plaid Parliament of Pwning에서 주최하는 'Plaid CTF'  매년 대한민국의 중·고·대학생 및 일반인을 대상으로 한국인터넷진흥원에서 개최하는 'KISA 해킹방어대회' 참가를 계획 중입니다.

 -GoN이 생각하는 '해킹'이란?

   해킹이란 무언가를 깊게 파고드는 것이라고 생각합니다. 다시 말해, 해킹은 C언어에서 어셈블리를 거치며 전체적인 시스템에 대해 배우는 것과 같습니다. 시스템의 바닥부터 서서히 알아가면서 전반적인 구조를 파악해가며, 사이에서 드러나는 취약점을 공략하는 것이지요.

 -마지막으로 해킹 초보입문자에게... 

  주변의 많은 해킹 입문자들은 무엇부터 공부해야 한다 등의 계획부터 세우고 바로 뛰어들곤 합니다. 하지만 그 이전에 해킹의 의미에 대해 가볍게 여기지 말고, 그 의미가 무엇인지부터 아는 것이 중요합니다. 그 이후에는 해킹을 배워서 익힌다는 생각보다는 스스로의 호기심으로 하나씩 알아가는 자세를 갖춘 후에 학습하는 것이 필요합니다. Ahn


        

   대학생기자 김현진/ 충남대 정보통신학과

      Passion makes me sexy, Do dynamic

      열정으로 현재에 안주하지 말고, 진짜를 찾아가는 PD가 되자.     



신고

회장이 직접 소개하는 수원대 보안동아리 FLAG

보안동아리? 정보보호동아리? 이 단어들의 첫 느낌은 딱딱하고, 칙칙하고, 공부만 할 것 같고, 어두운 방 안에서 컴퓨터만 할 것 같은 느낌이다. 하지만 이런 선입견의 틀을 깨버린 동아리가 있다바로 수원대학교 FLAG!! 

[FLAG 로고]

FLAG는 보안, 해킹 쪽에 관심이 있지만 현실 여건상 다가갈 수 없는 학우를 위해 2006 6 1일 수원대학교 컴퓨터학과 내에 창단한 보안동아리다. "정보보호의 선두에서 앞장서는 보안동아리"를 표방하며 현재 정보보호학과 고승철 교수 지도 아래 졸업생, 재학생을 포함해 60여 명으로 구성되어 있다.

FLAG 다른 보안동아리와 달리 IT 학과 학생뿐 아니라 보안에 관심이 있는 여러 학과 인원을 모집한다. 실제로 국어국문학과, 경영학과, 전자통신학과가 있으며, 작년에는 중국 유학생이 회원으로 있어 중국 문서를 번역하는 등의 활동을 했다

또한 보안 분야 특성상 남자의 비율이 높아 보안 동아리 대부분의 분위기가 칙칙한 게 이상할 리 없다. 하지만 FLAG는 남녀 비율이 1 : 1.5인 데다 회원 간 유대 관계를 돈독하게 하는 다양한 활동을 펼친다.회장과 부회장, 홍보부장이 직접 발벗고 나서 홍보물에 사탕을 붙여 정문에서 나눠주는가 하면, 동아리원끼리 맛집탐방, 각 부서별 점심 같이 먹기 인증샷 이벤트를 하기도 한다. 동아리 유니폼을 만들어 입고 동아리 MT를 함으로써 적지 않은 인원이 서로 친분을 쌓도록 많은 기회를 제공한다

[FLAG MT 단체사진]

그렇다면 FLAG는 놀고 먹기만 하는 동아리일까전혀 그렇지 않다매주 1회 교내 강의실에서 세미나를 하고Network, php&mysql, WebHacking 스터디를 구성하여 매주 모여 공부하며, 선배들을 스터디장으로 뽑아 공부의 능률을 높인다동아리 회장인 나는 학교에서 하는 멘토링 장학생에 선발되어 과를 대표하여 C언어 강의를 하고 있다.

[FLAG 세미나]

이 밖에도 우물 안 개구리가 아닌 넓은 곳을 바라보기 위해 외부 세미나 참여나 기업 방문으로 견문을 넓힌다.

[외부 세미나 참가, 기업 방문]

이처럼 인맥, 공부, 놀이 3박자를 두루 갖춘 수원대학교 보안동아리 FLAG는 앞으로 더 넓은 활동을 위해 인근 지역에 위치한 한양대학교 보안동아리 HY_Cube와 연합해 한 학기 4회의 세미나, 연합 MT, 스터디 활동을 하고 있다. 또한 포항공대와 카이스트에서 매년 열리는 '카포전'과 같은 형식으로 오는 10월 쯤 "한양대 vs 수원대 해킹방어대회"를 열 예정이다. 또한 학교에서 하는 '취업동아리 지원사업'에 참여해 3, 4학년 학생에게 취업 정보를 제공하여 취업에 한 걸음 더 다가가게 하기도 한다.

FLAG는 회원 모두가 동아리의 발전을 위해 항상 기획하고 계획하는, '개인을 위한 동아리'가 아닌 '모두를 위한 동아리'이다. "일이 즐거움이라면 인생은 낙원이다. 일이 의무라면 인생은 지옥이다." 라는 속담이 있듯이 앞으로도 즐기면서 스스로를 발전시켜나가는 그런 동아리가 되었으면 한다. Ahn

대학생기자 김성현 / 수원대 컴퓨터학과

눈앞에 보이는 결승점을 향해 달리는 100m 선수가 아닌 저 멀리 열망하는
목적지를 향해 뚜벅뚜벅 걸음을 욺기는 우둔한 답사자가 되자.

  

신고

가톨릭대 보안 동아리가 해킹대회 휩쓴 비결

최근 많은 해킹, 유출과 같은 보안 사고가 터지면서 많은 이들이 대한민국 보안의 미래를 걱정하고 있다. 하지만 이미 여러 대학교에 보안동아리, CERT(침해사고대응팀)으로 활동하고 있는 대한민국 보안의 미래인 대학생들이 있다. 그 중 가톨릭대학교의 CAT-Security를 만나보았다.

CAT-Security06년에 창립되어, 가톨릭대학교의 CERT(침해사고대응팀)으로서 학내 망에 대하여 취약점 분석, 정기적인 모의 해킹을 통해 미연의 사고를 방지하고, 보안사고 발생 시 즉각적인 조치를 통해 피해를 최소화하는 역할을 한다. 다른 대학의 보안동아리들처럼 대학에 동아리로 등록되어 있지 않고, 침해사고대응팀으로서 활동하니, 마음가짐이 다르고 책임감이 강하다고 한다.

외부 활동으로는 KUCIS(대학정보보호동아리연합)에서 세미나, 프로젝트 등의 활동을 하며 현재 운영진을 맡고 있다. KISA해킹방어대회에서 06년도에 금상, 08년도에는 우승(mayking)과 은상을, 10년도에는 3위를 각각 수상하였으며 09년도에 열린 HUST에서 2위를 하였다. 또한 2011년 에는 HDCON 해킹방어대회에서 대학동아리 1위를 하여, 미국 데프콘에 다녀오기도 했으며, SECUINSIDE 해킹대회에 2위라는 쾌거를 거두었다.

가톨릭대학교를 찾았을 때는, 마침 CAT-Security에서 주최하는 해킹대회인 "HolyShiled" 가 진행 중이었다. 온라인으로 진행되는 해킹 페스티벌인 만큼 해킹대회의 서버를 관리하며, 문제를 업로드하고 순위 전광판을 지켜보는 모습을 볼 수 있었다. 박세영 CAT-Security 회장을 만나 동아리 운영의 이모저모를 들어보았다.

박세영, CAT-Security 회장

- 여러 해킹대회에서 우수한 성적을 거둔 비결은? 
대회 경험이 많은 선배들의 지도와 조언이 가장 큰 도움이 되었다. 아무래도 직접 여러 문제를 접하고 풀어본 경험에서 나오는 노하우는 큰 힘이 되기 때문이다. 선배들은 졸업 후에도 직장에 다니면서도 퇴근 후 학교에 계속해서 오셔서 도움을 준다. 우리 또한 그럴 것이고, 후배도 계속해서 전통을 이어 나갈 것이다.

- HolyShiled가 올해로 2회째를 맞이했는데 대회를 주최하는 목표, 힘들었던 점이나 에피소드가 있다면? 
평소 대회에 참가하는 입장에서 주최하는 입장이 되다 보니 신경 써야 될 점이 무척 많았다. 문제 출제에 있어서는 많은 대회를 참여하면서 알게 된 경험들을 통해 웹, 포렌식, 시스템, 모바일 등 다양한 문제를 출제하였다. 또한 공부를 하던 중 재미있었던 점을 접목시켜 문제를 만들기도 한다. 내는 사람도 재미있고, 푸는 사람도 새로운 느낌이 들 것이라 생각한다.

목표로 생각한 것은 다른 대회 등에서 참가자들이 문제를 거의다 풀어놓고 키를 못찾는 경우가 되게 많은데 이런 경우가 안타까웠고, 이에 문제에서 키를 줄때 최대한 깔끔하게 주자는 점을 반영하려 노력하였다. 팀원들 모두가 참여하여 각각 문제를 만들고, 테스트를 거쳐 최종 문제를 선정, 대회에 출제하게 된다.

대회를 준비하는 동안 가장 힘든 점은 잠을 충분히 자지 못한다는 점이다. 보통 몇 달 전 부터 준비를 하기 시작하고, 대회 2주 전 쯤 부턴 동아리방에서 숙식을 해결하기도 한다. 이 시기에 동아리방의 문을 열면 좁은 방안에 멤버들이 뒤엉켜 새우잠을 자고 있는 것은 흔한 풍경이다. 에피소드로는 작년 대회를 준비했을 때는 대회 1주일 전 열심히 문제 서버를 세팅하고 있는데 갑자기 학교 건물 자체의 전원이 모두 내려가 버렸다. 알고 보니, 비둘기가 전선을 쪼아서 끊고 죽어있었다고 한다. 이 때문에 서버에 패닉이 걸려, 복구하는데 큰 애를 먹었던 웃지 못할 사연도 있다.

- 이제 곧 12학번 신입생들이 입할 할 텐데, 신입멤버 선발 기준이 있다면?
이 부분에 대해선 확실하게 말씀드릴 수 있다. 우선, 아무래도 하루 종일 학교에서 같이 있기 때문에 가족 들 보다도 얼굴을 더 자주 볼 사이이기 때문에 성격이 중요시 한다. 면접은 1:1로 진행한다, 오래 얘기를 나눠보다 보면 이 사람이 어떤 사람인지, 성격이나 마인드를 알 수 있기 때문이다. 실력보다는 보안에 대한 열정이나 의지를 중요시 하는 이유는 보안에 대해 잘 모르더라도 들어와서 스터디를 통해 배우며 성장할 수 있기 때문이다. 대신 스터디나 교육을 주4일 월, 수, 금, 토 하루에 2~3시간 씩 진행한다.

맨 처음 C, 웹 언어부터 시작해서 시스템, 리눅스 등 까지 한 학기동안 이렇게 진행하다보면 매번 과제도 나오고 밤새도록 해야 될게 많다보니 신입생 반절은 버티지 못하고 중도 포기하여 반만 남게 된다. 이렇게 힘든 스터디 과정을 진행하는 이유는 정말 보안을 하고 싶고, 열정이 있는 사람들만 남게 되는 점에 있다. 이렇게 남은 학생들만이 다음 스터디부터 실무적인 공격기법 등을 배움으로써, 이를 악용하는 크래커나 스크립트키디가 나오지 않게 된다. 학교 망 내의 침해사고 대응이라는 임무를 이어나가야 되기 때문에 이러한 후배의 보안 의식 등과 스터디 교육은 중요하지 않을 수 없다.

- 마지막으로 미래의 정보보안전문가를 꿈꾸는 학생들을 위해 해줄 조언이 있다면?
매번 느끼지만 많은 학생들은 무엇을 시작하기를 두려워한다. "어려워서 못해요", "제가 어떻게 해요" 등의 말만 반복하며 겁을 먹고 무서워하며 뛰어들지 못하는 것이다. 이들은 시작을 못하는 것이지 해봐야 된다, 해보면 된다. 어려워 보이더라도 어려운 것이더라도 일단 실행으로 옮겨 실천해 보는 것이 중요하다. 실제로 이렇게 하다보면 결국엔 다 이룰 수 있을 것이다. 시작, 첫걸음이 중요하다고 말해주고 싶다. Ahn    

대학생기자 변동삼 / 동국대 컴퓨터공학 
http://zxh.co.kr
나무를 베는 데 한 시간이 주어진다면, 도끼를 가는 데 45분을 쓰겠다.-링컨
아직은 꿈 많은 10대, '나' 라는 도끼를 갈자.
날카롭게

 


저작자 표시 비영리 변경 금지
신고

국제해킹대회 우승자가 조언한 보안 수칙의 기본

지난 11월 29일 행정안전부·지식경제부·방송통신위원회의 주최로 ‘ISEC 2010'(제4회 통합 정보보호 구축전략 컨퍼런스)이 서울 코엑스 그랜드볼룸에서 개최되었다. 컨퍼런스의 중요 행사 중 하나는 세계 각지의 해커들이 실력을 겨루는 CTF(Capture The Flag; 팀 간 상호 공격과 방어를 하며 점수를 획득하기) 대회였다. 이번 대회에서는 '30대 중반부터 고등학생까지'라는 슬로건을 내건 nnns(남녀노소) 팀이 우승을 차지했다.

말 그대로 다양한 구성원이 모인 '남녀노소'팀의 우승 비결은 무엇일까? 또 이들이 생각하는, 일반인이 지켜야 할 정보보안 팁은 무엇일까? 이용일 팀장과 박원현씨를 직접 만나 이야기를 들어보았다.

박원현씨(좌)와 이용일 팀장(우)

-'남녀노소'라는 팀명이 재미있습니다. 팀원들의 나이와 직업은 어떻게 되나요? 
팀원은 8명이고요. 홍일점인 안철수연구소 시큐리티대응센터 연구원, 다른 보안 회사 연구원, 대기업 보안 부서 직원, 정보 보호를 공부하는 대학원생, 고등학생이 한 명씩 있고, 세 명이 대학생입니다.

-다양한 배경을 가진 성별의 팀원이 모인 계기가 있나요?
사실 '남녀노소'팀은 이번 대회 준비를 위해 만들어진 팀이에요. 작년 데프콘에 'Song of freedom(자유의 노래)'라는 팀으로 출전하면서 알게 된 사람들인데, 이번 ISEC 대회는 최대 인원이 8명이라서 팀을 반으로 나누어 참여했습니다. 대회 때문에 생긴 팀이긴 하지만 앞으로도 계속 팀을 유지할 계획입니다.

-대회에 참가한 다른 팀은 대부분 직장인 모임이거나 대학교 동아리처럼 공통 분모가 있는 경우가 많은데 남녀노소 팀은 그에 비해 상당히 조건(서로 직업이 다르고, 사는 지역 역시 제각각)이 불리한 것 같아요. 이런 점을 극복하고 우승을 거머쥔 비결은 뭘까요? 
팀원들이 서로를 존중하고 일을 맡기면 해낼 거라는 믿음을 가진 것이 비결인 것 같아요. 또 평소에 마주칠 일이 거의 없으니 그만큼 부딪힐 일도 없어서 떨어져 있다는 것이 오히려 플러스로 작용했던 것도 같고요. 사실 해킹 대회 우승은 운도 많이 따라야 해요. 해킹은 이론적으로 문제 풀이 방법이 적립된 분야가 아니라서 현업의 실무자로 구성된 출제 위원의 성향에 따라 문제가 나오는 경우가 많거든요. 또, 밤을 새면서 문제 풀이를 해야 하기 때문에 당일 컨디션도 중요하고, 이런저런 변수가 있어 팀 간 실력 차는 있지만 부동의 1위는 존재하기 힘들다고 봐요. 저희도 이번에 우승을 했지만, 다음 대회에도 또 우승하리라고는 장담할 수 없죠.

‘ISEC 2010' 대회 당일 전체 팀원과 함께

-해킹이 사람들이 생각하는 것과는 달리 굉장히 지루하다는데, 그 지루함을 어떻게 이겨내나요?

지루함을 거쳐 문제를 풀어냈을 때의 쾌감으로 버텨내죠. 밤 새우며 10시간씩 같은 문제에 매달려서 결국 공격에 성공했다는 메시지를 보면 그 느낌은 말로 표현할 수가 없어요. 모래 사장에 숨겨져 있던 보물을 발견한 느낌이랄까요? 작년에 나갔던 대회에서 어떤 분은 너무 흥분한 나머지 다른 사람이 옆에 있다는 것마저도 잊고 크게 "만세!"를 외치기도 했어요. 옆에 있다가 깜짝 놀랐죠. (웃음) 해킹 동아리에 있는 친구들은 다 그 쾌감을 아는 친구들이에요. 이걸 못 느끼고 지루하다고 포기해 버리는 친구들은 금방 나가죠.

이번 대회도 비슷했어요. 오전 9시에 시작해서 밤 9시까지 12시간 정도 집중해서 문제를 풀었는데, 그 때 1등 팀과 점수 차이가 두 배 이상 났거든요. '안 되겠구나' 싶었지만 포기하지는 않았어요. 그렇게 밤새 조금씩 따라잡아 결국 대회 종료를 한 시간 남기고 역전할 수 있었죠.


-이번 대회의 컨셉이 '무선 인터넷과 스마트폰'이었는데 일반인에게 해당되는 내용도 있었나요?
실제로 대회는 일반 CTF 형식으로 이루어져서 그런 내용은 없었어요. 하지만 평소에 일반인도 보안에 신경 써야 한다고 생각해요. 당장 그 효과가 눈에 드러나는 건 아니지만, 한번 무너지면 그 피해가 막심한 게 보안이거든요. 우선 공용 컴퓨터에서 개인 정보가 유출될 수 있는 사이트에 로그인하거나 인터넷 뱅킹 등에 접속하는 것은 삼가는 게 좋아요. 컴퓨터에 백신이 깔려 있더라도 100% 안전한 건 아니거든요. 그리고 요즘 스마트폰이 보급되면서 무선 인터넷을 많이 쓰는데, 암호화하지 않아서 비밀번호 없이도 접속할 수 있는 무선 랜을 쓰는 건 위험해요. 마음만 먹으면 통신 내용을 가로채는 게 가능하거든요. PC용 웹브라우저로는 구글에서 만든 크롬을 추천하는 편이에요. 보안 관련 요소들을 잘 신경써서 만들었더군요.

‘ISEC 2010' 대회 당일 현장 모습

-두 분 다 대학생이신데, 앞으로의 진로 계획은 어떻게 되나요?
(박원현) 보안 회사에 취업하고 싶어요. 게임 회사에도 관심이 있긴 한데, 게임 회사에서 일하더라도 따로 보안 공부는 계속 할 생각이에요. 제가 좋아서 하는 일이니까요.
(이용일) 저는 잘 모르겠어요. 보안으로 비지니스를 하는 건 힘들다는 것이 개인적인 생각이거든요. 실제로 실력이 있는 이들이 대기업이나 대학원처럼 안정된 진로를 택하는 경우도 많고요. 시장 규모도 작고 외국에 비해 보안 전문가에 대한 인식이 아직까지는 부족해서 망설여지네요.

-보안을 공부하고 싶은 사람에게 조언을 해준다면요?
특별히 보안을 공부하는 방법이 있다기보다는 그냥 좋아하고 잘하기 위해 노력하다 보면 길이 보이기 시작하는 것 같아요. 그래서 먼저 '좋아하는 것'이 제일 중요하다고 생각해요. 인터넷을 보면 보안 관련 컨퍼런스나 모임이 많은데, 그런 데 참석해서 사람들을 사귀고 정보를 얻는 것도 좋아요.

-마지막으로 하고 싶은 말은?
열심히 해 준 팀원들에게 감사의 말을 전하고 싶어요. 대회 준비를 가장 많이 하고 이번 대회에서 공격을 전담한 현우, 아침 일찍 대구에서 대회를 위해 올라와서 열심히 해준 해은님, 대회에서 마지막에 결정적 역할을 해준 승연이와 원현이, 회사 일로 바쁜 와중에 시간 쪼개서 대회에 참여해준 동기님, 본선 참여는 처음인데도 기대보다 굉장히 잘 문제를 풀어준 영빈이, 요즘에 몸도 안 좋고 여자라서 24시간 동안 체력적으로 부담도 컸을 텐데 열심히 해주신 정우님, 본선 진출에 가장 큰 일을 많이 한 막내 승연이. 모두에게 감사합니다. Ahn

대학생기자 양정민 / 서강대학교 정치외교학과

 

대학생기자 한대희 / 포스텍 컴퓨터공학과

사람은 누군가가 되어가는 작은 과정을 거친다고 합니다. 이 글을 읽는 여러분이 저의 작은 과정이 되어주실 수 있기를 바라봅니다.



 

신고