10개 대학 정보보호 동아리가 뭉친 까닭은

현장속으로/세미나 2013.09.17 07:00



2012년에 신규 결성된 전국 대학교 정보보호 동아리 연합인 INCOGNITO가 지난 8월 30일부터 9월 1일까지, 양재동 KT 연구개발센터에서 2회 컨퍼런스를 개최했다. INCOGNITO는 고려대학교, 서울여자대학교, 성균관대학교, 세종대학교, 숙명여자대학교, 연세대학교, 인하대학교, 포항공과대학교, 한국과학기술원, 한양대학교에 소속된 10개의 정보보호 동아리가 모인 연합 동아리이다. 연 1회 이상의 정보보호 기술 컨퍼런스 개최가 주요 활동이다. 작년 포항공대에서 이틀 동안 개최했던 1회에 이어, 이번 2회는 3일 동안 진행되었다. 더욱 더 많은 세미나와 특별 발표 세션이 진행되었다. 

 

INCOGNITO 연합은 구성 동아리들이 정보보호 분야에서 많은 활동을 수행하면서 두각을 나타내고 있어 앞으로의 발전 가능성이 주목된다. 발전가능성을 보여주는 대학 정보보호 동아리들은 왜 INCOGNITO 연합을 만든 것일까, 그리고 어떻게 INCOGNITO를 발전시켜 나갈까? INCOGNITO를 이끌어간 운영진들에게 INCOGNITO와 준비과정, 앞으로의 계획 등을 들어보았다.


아래는 INCOGNITO 운영진의 인터뷰를 정리한 것이다.


Q : INCOGNITO 연합을 소개해주세요. 어떤 취지로 모이게 되었나요?

-컴퓨터 보안을 주제로, 상업적인 것 말고 '대학생들이 할 수 있는 것들을 모여서 해보자' 라는 취지로 모이게 되었어요. 작년에 1회를 진행했고, INCOGNITO에 소속된 동아리들끼리만 모여서 하면 발전이 없을 것 같아서 올 해에는 외부에도 공개를 했습니다. 내년 행사에도 많은 사람들과 교류할 수 있도록 준비를 해서 진행 할 예정입니다.


Q : INCOGNITO를 준비한 기간이 어떻게 되나요? 어떤 것을 중심으로 준비했는지도 궁금합니다.

-준비기간은 6개월정도 됩니다. 준비한 것은 당연히 발표 컨텐츠가 중심이었던 것 같고, 너무 발표만 진행되면 딱딱해지기 쉬우니까 부가적으로 컨퍼런스를 채워줄 수 있는 친목행사나 골든벨 같은 것들을 추가하는 식으로 준비했습니다.


Q : 세미나를 위한 발표주제를 선정하는 기준이 있을까요?

-기준은 딱히 없습니다. 각 대학교의 동아리마다 자체적으로 연구하는 것들을 주제로 선정해서 발표합니다.


Q : CTF도 진행이 되었는데, CTF에 대해서도 소개 해 주세요.

-보안 공부를 많이 한 사람들도 있지만, 동아리에는 이제 막 공부를 시작한 신입생들도 있어요. 그런 신입생들에게 해킹과 보안을 접할 기회를 줄 수 있도록 CTF를 진행했습니다. 포항공대와 카이스트에서 문제 출제를 맡았고, 신입생들과 어느정도 문제를 풀 줄 아는 사람들을 적절히 섞어서 팀을 이루어 진행했습니다.

-문제를 출제할 때는 분야를 다양하게 내려고 노력했습니다. 해킹에 다양한 분야가 있으니까요. 익스플로잇이라던지, 포렌식이라던지, 웹이라던지. 골고루 내는 것을 목표로 했고, 아무래도 참가자들의 실력 분포가 다양하고 또 즐기자는 취지도 있었기 때문에, 쉽게 내자고 이야기 하면서 진행했습니다.

-하지만 난이도 조절에 살짝 실패한 경향이 있는 것 같아요. 문제를 출제하는 입장에서 학생들 수준을 너무 높게 잡았던 것 같습니다. 참가자 대부분이 신입생들이었는데, 그걸 고려를 안한거예요. 내년에는 문제를 좀 더 쉽게 낼 에정이예요. 그런데 CTF 문제를 쉽게 내면 팀의 잘 하는 사람이 문제를 빨리 풀고, 비교적 실력이 부족한 학생들이 겉돌수가 있어서 그런 상황들도 고려를 해야할 것 같습니다. 그래서 외부 CTF와 내부 CTF를 나눠서 외부 CTF는 어렵게 내고, 내부 CTF는 쉽게 내면 어떨까, 하는 의견이 나왔던 것 같아요.


Q : 운영하면서 어려웠던 점이 있나요?

-가장 어려웠던 점은 장소가 너무 늦게 정해져서 준비할 것들이 막바지에 몰렸던 것이었어요. 그 외에는 소속된 동아리들이 각자 협조도 잘 해주셨고, 커뮤니케이션도 잘 되었기 때문에 별다른 문제는 없었던 것 같습니다.


Q : INCOGNITO가 궁극적으로 이루고자 하는 목표가 있나요?

-어떤 것을 이루겠다 하는 목표는 딱히 없는 것 같습니다. 주어진 것들을 활용해서 열심히 준비하고, 교류하고 공부하는 것이 최선이라고 생각해요. 일단 INCOGNITO에 소속된 동아리들이 딱히 뭘 바라고 이 연합에 참가한 것이 아니니까요. 그냥 참여를 해서 우리들끼리 하고싶은 것들 하자, 이런 취지로 모였습니다. 모여서 공부하고 서로 발표하면 좋은거니까요.


Q : 앞으로 INCOGNITO가 어떤 연합, 어떤 컨퍼런스로 성장을 했으면 좋겠다고 생각하나요?

-아무래도, 바라는 것이 있다면 발표 주제를 선정할 때 컨퍼런스를 위해서 발표 주제를 선정하는 것 보다 평소에 연구했던 것들 중에서 재미있었던 것을 발표하는 장이 되었으면, 그렇게 성장했으면 좋겠다는 생각이 듭니다. 사람들이 대학생들의 컨퍼런스를 듣는 이유는 대학생들이 어떤 것에 관심이 있고 어떤 것을 평소에 공부하는지 들으려고 오는거니까요. 평소에 하고 있는 것들을 중심으로 발표했으면 좋겠습니다.

-컨퍼런스에서 만난 사람들끼리 컨퍼런스 기간동안만 만나다가 끝나는 게 아니라, 지속적으로 교류할 수 있는 컨퍼런스가 되었으면 좋겠어요. 그리고 규모가 조금 더 커져서 외부 사람들도 많이 참가하는 컨퍼런스가 되었으면 좋겠습니다.


Q : 3회에 더 해보고싶거나 보완하고 싶은 컨텐츠들이 있나요?

-일단은 INCOGNITO를 후원해주시는 후원사와 함께 취업 리크루팅을 했으면 좋겠다는 의견도 있었어요. 그리고 CTF를 우리끼리만 진행하는 것 보다, 외부에 공개를 하면 어떨까 하는 의견도 있었습니다. 외부에 공개적으로 하는 것 하나, 우리끼리 진행하는 것 하나, 이런 식으로요. 저희가 문제를 출제하고 외부에도 공개해서 참가를 유도하는거죠. 

-예산이 부족해서 그랬는지, 공식적인 뒷풀이가 없었어요. 친목적인 부분이 살짝 아쉽습니다. 이렇게 컨퍼런스를 끝내고 나면 내년에 3회가 있기 전 까지는 잘 못 만나거든요. 온라인상으로도 활발하게 교류할 수 있도록 친목적인 부분을 강화했으면 좋겠다고 생각했어요.

-CTF 문제도 좀 더 쉽게 내서 신입생들이 더 의욕적으로 참가할 수 있도록 유도했으면 좋겠다는 생각도 듭니다.

-3회에는 조금 더 책임감있게 행사를 준비하고, 자기 동아리 활동이 아니라 "INCOGNITO 활동이다" 라고 생각하고 모든 동아리들이 조금 더 끈끈한 유대관계를 가지고 참여했으면 좋겠습니다. 그렇게 되면 내년에는 더 좋은 모습으로 많은 사람들께 선보이고 만나뵐 수 있으니까요.


Q : 마지막으로 더 하고싶은 말이 있나요?

-대학의 정보보안 동아리들이, 동아리 내에서만 활동하는 것 보다는 다른 동아리들과 서로 교류를 많이 했으면 좋겠어요. 그러면 더 많은 것들을 배울 수 있고, 여러가지 분야도 더 쉽게 접할 수 있어요. 아는 사람들이 많아질수록 관심 분야에 대한 이슈들을 접하기도 쉽고요. 좋은 기회이니까, 보안동아리들끼리 서로 활발하게 교류했으면 좋겠습니다.

-정보보안이라는 분야가 IT분야에서는 아직 많이 활성화 되지는 않았다고 생각해요. 일단 좁은 분야이기도 하고요. 그만큼 저희들끼리 모여야 발전 가능성도 더 커질 것이라고 생각합니다. 정보보안까지 두루 갖춘 IT강국이 되려면 저희가 뭉쳐야 하는 것 같아요.

-40년 전에도, 30년 전에도, 20년 전에도 계속 10년 뒤 유망직동이 정보보안전문가라고 나오는데, 아직 그렇지는 않은 것 같아요. 대학생들끼리 뭉쳐서, 정말 10년 뒤에 유망직종이 되도록 같이 공부하고 교류했으면 좋겟습니다.


아무런 대가를 바라는 것 없이, "좋아서 모인 것 뿐이다" 라는 말이 참 와닿는다. 열정을 가진 우수한 정보보호 동아리들이 연합하여 스스로 꾸려가는 대학생들의 모습이 보기 좋다. 정보보안 인력이 조금 더 단단해지고 성장할 수 있는 발판을 스스로 만들어가는 INCOGNITO의 앞으로의 행보가 기대된다. Ahn




대학생기자 강정진 / 숙명여자대학교 컴퓨터과학과


學而不思則罔思而不學則殆

배우기만 하고 생각하지 않으면 멍청해지고, 생각하기만 하고 배우지 않으면 위태로워진다.





댓글을 달아 주세요

내가 분실한 스마트폰을 해커가 습득했다면?

현장속으로/세미나 2013.09.05 08:49

하루종일 손에 붙어있는 시간이 많은 스마트폰. 메시지를 주고받는 일부터 사진을 찍고 SNS에 글을 올리고 메일을 확인하고 문서를 보는 일까지, 스마트폰이 우리 생활에 들어오면서 우리는 많은 일들을 스마트폰으로 해결하고 있다. 그렇기 때문에 스마트폰을 잃어버리면 개인정보 유출 등 심각한 피해를 입을 수 있고, 휴대폰 분실이 큰 문제로 이어질 수도 있다. 


지난 8월 30일부터 9월 1일까지, 양재 KT 연구개발센터에서 개최된 INCOGNITO Hacking Conference 2013에서 다양한 주제의 발표가 진행되었다. 그 중, 인하대학교 정보보안동아리 NewHeart 소속의 박민건씨가 <Variety of SmartPhone Hacking>이라는 주제로 진행한 발표 내용을 소개한다. 




분실한 스마트폰을 해커가 습득했을 때 어떤 일들을 할 수 있을까? 해커가 스마트폰을 습득했을 때 해커의 관점에서 어떤 식으로 해킹을 할 수 있는지, 총 5가지의 시나리오를 토대로 발표가 진행되었다. 아래의 내용은 발표 내용을 발표자의 말로 재구성한 것이다. 




1. Smudge Attack


스마트폰을 습득했을 때 가장 빠르게 스마트폰을 해킹할 수 있는 방법이다. 폰을 비스듬하게 놓고 보면 지문이 보이는데, 보통 패턴으로 잠금이 걸려있을 경우 쉽게 패턴이 노출된다. 


즉, Smudge Attack이란 터치스크린에 묻어있는 지문으로 패턴이나 비밀번호를 유추해내는 공격이다. 다양한 각도나 밝기, 명암을 조성하여 성공률을 높일 수 있다. 실제로 논문으로 나오기도 하는 연구 주제로, 유명한 공격이다. 




2. Take Shell


Smudge Attack에 성공을 했든 안했든, 스마트폰을 습득했을 경우에는 루팅을 하는 것이 가장 획기적인 방법이다. 참고로, 루팅이 합법적일까 불법적일까 의구심이 들어서 조사해 보았는데, 조사한 결과 루팅은 합법적이다. 루팅과 관련한 법규가 아직 없기 때문이다. 하지만 루팅을 할 때는 조심히 진행해야 하는데, 잘못될 경우 흔히 말하는 '벽돌' 이 될 수 있다. 


루팅을 할 수 있는 방법은 3가지 정도가 있다. 알려진 커널 익스플로잇을 이용해 루팅을 하는 방법이 있고(Android Kernel Exploit), 루트 권한을 가진 이미지를 가지고 플래싱을 하는 방법(Rooted Image Flashing), 그리고 Update.zip 파일을 이용해 플래싱 하는 방법(Using Update.zip to set rooted environment)이다. 


다양한 종류의 안드로이드 버전이 있는데, 각 버전에 따라서 구글링을 통해 커널 익스플로잇을 구할 수 있다. 통상 커널 익스플로잇보다 이미지를 이용한 플래싱을 하는 방법을 더 많이 사용한다. 'fastboot mode'로 진입한 뒤에 커스터마이징한 이미지를 플래싱하는 방법인데, 커널 익스플로잇을 찾는 것보다 훨씬 쉬운 방법이다. 역시 구글링을 통해서 순정롬을 획득한 뒤 커스터마이징을 해서 사용하면 된다. Update.zip 파일을 이용하는 방법은 이미지를 플래싱하는 방법과 유사하다. Update.zip 파일 안에 boot.img 파일을 이용하는 방법이다. 


루팅을 할 때는 USB 디버깅 모드가 ON으로 되어 있을 경우 쉬워진다. OFF가 되어있을 경우에는 persist.service.adb.enable의 값이 0으로 설정 되어있는 것을 1로 바꿔준 뒤에 이미지 플래싱을 하면 된다고 하는데, 직접 해본 결과 성공하지는 못했다. 하지마 커널 이미지를 실제로 고칠 수 있다는 점은 변함이 없기 때문에 디버깅 모드가 ON이든 OFF이든 루팅을 할 수 있는 것은 확실하다.


3. Pattern Lock BruteForcing


스크립트에서 중요한 부분은 permutations 함수를 이용하는 것이다. 안드로이드의 패턴락에 관한 데이터파일은 /data/system/gesture.key 경로에 있다. 해당 key파일은 SHA-1 해쉬 알고리즘으로 암호화가 되어있다. 이 파일을 명령어를 통해 추출을 해 놓은 다음, 파이썬으로 BruteForce하는 스크립트를 짜서 이용한다.


스크립트에서 중요한 부분은 permutations 함수를 이용하는 부분인데, 패턴락이 순서를 가지고 있는 순열 형태이기 때문이다. 암호화 패턴이 가질 수 있는 최소값과 최대값을 설정하고, 패턴이 될 수 있는 모든 경우의 수를 리스트 형식으로 만들어 준 뒤 HEX값으로 바꾼 뒤 원래 값과 비교하는 방식으로 BruteForcing 할 수 있다. 


왜 이런 보안을 하지 않느냐 하면 사실 루팅을 하면 패턴 락이 걸려 있어도 lockscreen과 관련된 값을 1로 바꿔주면 끝나버리기 때문이다. 그렇기 때문에 패턴락 BruteForcing과 관련된 연구를 그렇게 활성화 되어있는 상태는 아니다.


4. Time To Hack Her


해커라면, 단순하게 볼 수 있는 정보에는 접근하지 않는다. 단순하게 볼 수 없는 정보의 예는 삭제된 통화기록이다. 사용자가 통화기록을 삭제하면, 안드로이드는 삭제와 동시에 Garbage-Collection을 진행하기 때문에, 그냥 볼 수가 없다. 보려면 다른 방법을 써야하는데, Logcat을 이용하면 삭제된 기록을 볼 수 있다.


또한 삭제된 사진 목록은 어떻게 볼 수 있을까? 간단하다. 이미지를 전부 덤프 뜬 뒤에 winhex나 foremost같은 도구를 이용하여 카빙 하면 된다.


또한, 스마트폰 메신저의 캐시 사진을 추출할 수도 있다. 스마트폰 주인이 예전에 설정했었던 프로필 사진까지 볼 수 있다. 사용자 뿐 아니라 사용자 친구들의 전 프로필 사진까지 전부 볼 수 있다. 데이터베이스에 접근한 뒤 확장자가 안적혀있는 파일들에 jpeg 확장자를 붙여주면 전부 사진으로 보인다. 수많은 사진을 일일이 jpeg 확장자를 달아줄 수 없어서, 간단한 스크립트를 통해 jpeg로 파일 확장자를 전부 바꿔주는 방식을 택했다. 


이제 습득한 스마트폰 주인의 사진까지 다 찾아볼 수 있었다. 그럼 그 다음에 무엇을 더 할 수 있을까? 스마트폰을 다시 주인에게 돌려준다. 단, 해당 스마트폰에 리버스쉘을 설치하면 스마트폰 메신저를 사칭할 수가 있다. 이런 방법은 금전 피해와도 연결될 수 있다. 리버스쉘을 해당 스마트폰에 설치한 뒤, 원격으로 데이터베이스에 접근하고, Select문으로 메시지를 엿본 후 Insert와 Update문으로 적절히 데이터를 조작해 보내는 것이다. 


스마트폰에 리버스쉘은 설치하면 되지만, 파이썬이나 루비는 안드로이드 스마트폰에 설치되어 있지 않다. busybox에 netcat이 설치되어 있긴 하지만, -e 옵션이 먹히지 않는다. 어떻게 할까 고민하다 보니 telnet을 떠올리게 되었다. 


예를 들어 공격자가 8888번 포트와 9999번 포트를 열고, 텔넷을 이용해서 8888번 포트로 들어오는 메시지를 시스템 명령어를 통해 출력한 다음, 9999포트로 넘겨주는 식이다. 이렇게 연결한 뒤 메시지를 Insert문을 통해 조작해서 보내면 된다. index 부분은 하나씩 늘려주고, 고유 id에는 겹치지 않는 숫자를 넣어준다. 그 뒤 전송할 메시지와 시간을 보낸다. 안 읽은 메시지 부분을 1로 설정해서 보낸다면 타겟을 완벽하게 속일 수 있다.


이런 기술적인 방법 말고도, 일반 사용자가 다른 사람의 스마트폰 메신저를 몰래 볼 수 있는 방법도 있다. airplane 모드 등을 켜서 단말기에 네트워크를 끊은 뒤 스마트폰 메신저에 접속하면, 이미 와있지만 확인하지 않은 메시지를 보더라도 읽지 않았다는 숫자 표시가 사라지지 않는다. 다시 네트워크를 연결하고 보면 숫자 표시가 사라진다. 이런 소소한 취약점을 이용해서도 남의 메시지를 들키지 않고 볼 수 있다. 


5. Can iPhone be attacked by DoS?



이 공격에는 에피소드가 하나 있다. KUCIS 세미나를 동아리 멤버와 같이 들으러 갔는데, 그 친구가 심심하다고 내 휴대폰을 가지고 가서는 통화 애플리케이션을 실행시키더니 계속 번호를 눌렀다. 계속 누르길래 다시 휴대폰을 가져와서 통화를 눌러봤더니, 20분 동안 휴대폰이 움직이지를 않는 거다. 휴대폰이 고장난 줄 알았는데, 집에 와서 생각해보니 버퍼 오버플로우인가, 하는 생각이 들었다. 


그 친구는 보안에는 관심이 없고 소프트웨어 개발에만 관심이있는 친구였는데, 나는 보안에 관심이 있으니까 이런 생각을 하게 되는 것이다. 관점의 차이이다. 그래서 다시 한번 집에서 해 봤는데, 또 한 시간 동안 휴대폰이 움직이지 않는 상태에서 배터리는 막 소모되다가 재부팅되는 상황이 발생했다. 그래서 연구를 시작했다. 그렇게 뚜렷한 연구결과는 아니지만, 계속 연구해볼 의향이 있다.


취약점은 전화 애플리케이션에서 터진다. 전화 애플리케이션이 생각보다 취약한 것 같다. 아이폰의 전화 애플리케이션은 40자리 이하의 번호를 입력하면 입력이 잘못되었다고 알려주지만, 40자리 이상의 번호를 입력하면 그런 것 없이 가만히 휴대폰이 멈춰있는 현상이 발생한다. 애플리케이션이 입력값의 길이를 체크하지 않기 때문에 가능하다. 


입력값이 200자, 300자, 400자, 이렇게 늘어날수록 반응속도가 더욱 느려진다. 그러다가 1000개의 입력값을 넣고 통화버튼을 누르니 20~30분동안 아무것도 되지 않는다. 이런 취약점을 이용해서 어떤 공격을 할 수 있을까, 생각해 보았다. 그래서 일단 1000개 자리의 번호를 친구로 등록했다. 그 다음에 그 번호로 전화를 걸었더니 처음에는 3G가 꺼지고, 그 후에는 휴대폰 상태바에 통신사 이름이 사라지는 현상이 발생했다.


이것을 어떻게 더 응용해볼 수 없을까 생각하다가, 서버를 하나 만들어두고 TEL tag를 이용하는 방법을 생각해 보았다. TEL tag에 긴 숫자를 넣은 다음에 스미싱처럼 그 태그를 메시지로 친구들에게 보내는 것이다. 그렇게 되면 그 메시지를 받은 사람들이 태그를 누르는 순간, 해당 사용자의 휴대폰은 마비가 될 것이다. 일종의 DoS 공격이 되는 것이다. 분명 더 뚜렷한 취약점이 있을 것이다. 더 연구해 볼 생각이다.



이처럼 분실한 휴대폰을 해커가 습득했을 경우, 악의적인 목적을 가지고 얼마든지 정보를 유출하고 이용할 수 있다. 사실 이 발표는 발표 내용도 흥미로웠지만 각 공격 방법마다 데모 영상이 준비되어 있어서, 영상으로 공격 과정을 볼 수 있어서 더 흥미로웠다. 


특히 4번 공격 시나리오인 'Time To Hack Her'에서 스마트폰 메신저와 관련한 해킹 내용이 흥미로웠고, 5번 공격 시나리오인 'Can iPhone be attacked by DoS?'의 데모 영상 또한 인상깊었다. 특히 친구의 장난으로 시작된 현상을 취약점과 관련지어서 생각하고 연구하고 그것을 발표하는 것이 매우 재미있게 다가왔고, 보안 공부를 하는 사람의 입장에서 배워야 할 자세라는 생각이 들었다. 


이렇게 스마트폰을 가지고 할 수 있는 해킹 방법이 다양하다. 분실된 휴대폰으로 할 수 있는 여러 공격을 예방하기 위해서 모바일 운영체제나 모바일 애플리케이션에 대한 보안 또한 신경 써야 할 부분이 되었다. 그러나 스마트폰의 보안을 지키는 첫 걸음은 '휴대폰을 잃어버리지 않는' 것일지도 모르겠다. 분실된 스마트폰이 어디로 어떻게 흘러들어갈지, 돌려받은 휴대폰에 악성코드가 설치되어 있을지 파악하고 난 뒤는 이미 해킹을 당한 뒤일 테니 말이다. Ahn



대학생기자 강정진 / 숙명여자대학교 컴퓨터과학과


學而不思則罔思而不學則殆

배우기만 하고 생각하지 않으면 멍청해지고, 생각하기만 하고 배우지 않으면 위태로워진다.


댓글을 달아 주세요

  1. 미소 2013.09.05 15:43  Address |  Modify / Delete |  Reply

    대단해요~ㅋㅋ

  2. 왕샘 2013.09.05 16:06  Address |  Modify / Delete |  Reply

    휴대폰 분실 조심해야겠네요

주니어 해킹방어대회 수상자 3인 생생 인터뷰

"무자비한 로봇들의 공격으로부터 세상을 구할 수퍼 해커 여러분...! 역시 다시 와주셨군요.. 감사합니다! 우리는 이제 곧 로봇들의 소굴로 진입할 것입니다. 그 곳엔 다른 모든 로봇들을 중앙에서 컨트롤하는 핵심 로봇들이 있습니다. 이들을 모두 물리치는 것이 우리의 목표입니다. 각각의 로봇은 모두 하나의 네트워크로 연결되어 있습니다. 지금부터 우리는 이 네트워크를 통해 로봇의 취약점을 공격할 것입니다. 이제 인류의 운명은 여러분들의 손에 달려있습니다. 여러분들께서 분명 해낼 수 있을거라 믿습니다!"


영화의 시놉시스 같은 위의 글은 다름 아닌 청소년 해킹방어대회의 시나리오이다. 300명이 넘는 친구들이 모여 치룬 온라인 예선을 거치고, 지난 12일 한국과학기술회관에서 열린 ETRI 주최 '제 1회 주니어 해킹방어대회'의 본선 현장을 다녀왔다. 본선에는 치열한 예선을 거쳐 올라온 30명의 중고생 화이트해커들이 모여 실력을 겨루었다. 



본선에 올라온 30명 모두가 이 대회의 주인공이었지만 그래도 순위는 존재하는 법. 대회가 끝난 후, 난이도 높은 문제들을 돌파하며 금상, 은상, 동상을 거머쥔 친구들과 식사를 하며 대회 참가 후기부터 앞으로의 비전까지, 그들의 이야기를 들어보았다.


아래는 금상, 은상, 동상을 수상한 친구들과 나눈 이야기를 정리한 것이다. (은상 수상자는 동점으로 2명이다. 나머지 한 명은 일산동 고등학교 2학년에 재학중인 진용휘 학생이다. 아쉽게도 인터뷰는 하지 못 했다.) 


금상 - 임정원 (선린인터넷고등학교 2학년)


Q : 문제의 수준은 어땠나요? 특별히 기억에 남거나 재미있는 문제가 있었나요?

A : 마지막까지 풀었던 문제가 제일 기억에 남아요. 스택의 데이터를 다 지워버리는 문제였는데, 결국 풀지 못 했습니다. 예선 문제 수준은 어렵지 않은 편이었는데 본선은 국제대회나 규모있는 대회와 비슷한 수준이라고 생각해요.


Q : 가장 자신있는 분야가 있나요? 특별히 흥미가 있는 분야가 있다면?

A : 시스템 해킹이 가장 재미있어요. 이렇다 할 이유는 없는데 그냥 재미가 있어요. 반면에 암호학이나 포렌식이 조금 어렵다고 느낍니다.


Q :  오늘 참가한 주니어 CTF와 다른 해킹대회의 차이점은 뭐라고 생각해요?

A : 보통 청소년 대회에서는 시스템 해킹 문제가 잘 나오지 않는데 이번에는 그 문제가 나왔습니다. 그래서 좋았습니다.


Q : 대회를 참가하면 실력이 향상되고 있다, 향상에 도움이 된다는 걸 느낄 수 있나요?

A : 대회를 거듭 참여할수록 수월하게 풀리는 문제가 느는 것 같아요. 순위도 점점 올라가니까 실력이 늘고 있구나 하는 것이 느껴지죠. 

 

Q : 이번 대회를 참가하면서 아쉬웠던 점이 있나요? 

A : 마지막까지 붙잡고 있었지만 풀지 못한 그 문제에 자꾸 미련이 남습니다.

 

Q : 이번에 우승했는데, 혹시 라이벌이라고 생각하는 친구가 있다면?

A : 본선에 올라오신 분들 모두가 다 라이벌이죠. 저는 아직 배워야 할 것이 많아요.


Q : 해킹과 보안 분야에 어떤 매력을 느껴서 공부하게 되었나요?

A : 이 분야는 어렵고, 그래서 하는 사람도 많지 않아서 특별하게 느껴져요. 그리고 방어를 뚫었거나, 반대로 공격을 성공적으로 막아냈을 때 뭐라고 설명할 수 없는 즐거움이 있습니다. 그게 매력이라고 생각해요.


Q :  나만의 특별한 공부 방법이 있나요?

A : 저만의 방법까지는 아닌 것 같은데, 우선은 컴퓨터를 많이 해요. (웃음) 다른 해킹대회의 문제를 풀어보기도 하고, 실제 프로그램에서 취약점을 찾으려고 하는 식으로 공부하고 있습니다.


Q : 앞으로의 진로는 어떻게 계획하고 있어요?

A : 우선은 정보보호학과로 대학 진학을 해서 공부를 계속 하고 싶어요. 졸업한 뒤에는 국가기관뿐 아니라 어디에서든 사이버 안보를 지키는 일을 하고 싶습니다.


Q :  우승 상금으로 무엇을 할 거예요?

A : 저축을 할 거예요. 나중에 연구하고 싶은 것을 연구할 때 필요한 게 있으면 살 수 있도록. 그리고 우승할 거라고 미처 생각을 못해서 '우승하면 친구들한테 밥 쏜다'고 그랬는데. 진짜 우승을 해버려서 친구들과 약속도 지켜야 할 것 같아요. 부모님도 좀 드리고요. 


상 - 권혁 (과천고등학교 3학년)


Q : 문제 수준은 어땠나요? 특별히 기억에 남거나 재미있었던 문제가 있나요?

A : 이번 대회 수준은 여태껏 참여했던 청소년 대회 중에 가장 높았던 것 같아요. 독특했던 점이라면, 다른 청소년 해킹대회는 포너블이라고 불리는 시스템 해킹 분야의 문제가 거의 출제되지 않는데, 이번의 이 대회는 포너블 문제도 많이 나왔어요. 난이도 높고 수준 높은 문제들이 많이 나왔다고 생각해요. 포너블 문제 중에 '시크릿 메모'라고 해서, 기계들이 사용하는 비밀 메모 프로그램을 뚫어서 기계 안에 침투하는 시나리오를 가진 문제가 있었는데, 그게 가장 기억에 남습니다. 흔히 말하는 버퍼오버플로우 취약점이 존재하는 프로그램이었는데, 보통이면 간단하게 뚫을 수 있었겠지만 문제에 현재 존재하는 모든 메모리 보호 기법이 적용되어 있었어요. 그걸 모두 우회하는 것이 조금 힘들었습니다.


Q : 가장 자신있는 분야가 있나요? 특별히 흥미가 있는 분야가 있다면?

A : 방금 말했던 문제 유형의 포너블, 시스템 해킹이라고 불리는 분야가 가장 좋아요. 어떤 프로그램의 취약점을 찾아서 공격 코드를 만들거나, 방어하는 방법을 공부하거나 하는 것에 흥미가 많습니다.


Q : 이런 대회를 참가하는 것이 실력 향상에 도움이 되나요? 

A : 제가 지금까지 쌓은 실력은 거의 다 대회를 통해 쌓았다고 해도 과언이 아니예요. 보통 사람들이 말하기를 실무랑 대회랑은 상관이 없다고들 하는데, 실무랑 상관이 없을지는 몰라도 어떤 분야를 연구하는 데 문제를 푸는 건 많은 도움이 된다고 생각합니다.


Q : 오늘 참가한 주니어 CTF와 다른 해킹대회의 차이점은 뭐라고 생각해요?

A : 다른 청소년대회와의 차이점이 있다면 포너블이란 분야가 많이 다뤄졌다는 점이고, 그래서 좋았습니다. 또 이렇게 본선을 진행하는 청소년대회가 많이 없어요. 거기다가 본선에 30명을 데려온 대회도 처음입니다. 예선에서 본선 진출자 30명을 선발할 때 문제 수준을 높게 해서 잘하는 사람만 선발한 게 아니라, 문제 수준을 다양하게 쉬운 것부터 어려운 것까지 배치를 해서 참가자들이 공부를 할 수 있도록 했다는 점도 인상 깊었어요.


Q : 해킹과 보안 분야에 어떤 매력을 느껴서 공부하게 되었나요?

A : 어떤 목적이 있을 때 그 목적을 성취하기 위해서 여러 연구를 진행하고, 마지막에 그 목적을 성취했을 때의 성취감이 정말 좋아요. 그 성취감을 위해서 계속 공부를 하다보니까 여기까지 오게 된 것 같습니다.


Q : 나만의 특별한 공부 방법이 있나요?

A : 솔직히 특별한 공부 방법이라고 할 건 없어요. 일단 대회 문제를 많이 풀어보고, 연구 주제를 하나 잡고 거기에 대해서 이것저것 찾아보고 공부를 해요. 뭐든 꾸준히 하는 게 가장 좋다고 생각해요.


Q. 상금으로 무엇을 할 건가요?

A : 대회에서 탄 상금은 모두 안 쓰고 저축을 해두고 있어요. 차후에 대학 등록금으로 사용하거나, 공부 관련해서 쓰려고 합니다. 

 

Q : 앞으로의 진로는 어떻게 계획하고 있어요?

A : 고려대학교 사이버국방학과에 진학하는 것이 목표입니다. 대학을 간 이후에도 지금처럼 꾸준히 취약점을 찾고, 원하는 연구를 하려고 합니다.


Q : 존경하는 사람을 꼽자면?

A : 찰리 밀러라는 해커요. 제가 가장 관심있어하는 취약점 분야나 이나 시스템 해킹 분야에서 흥미로운 연구를 많이 해요. 예를 들면 맥북 배터리를 해킹해서 불을 붙게 한다거나 하는 독특하고 신기한 연구요. 그런 점에서 존경합니다.


동상 - 김희중 (선린인터넷고등학교 3학년)


Q : 문제의 수준은 어땠나요? 특별히 기억에 남거나 재미있었던 문제가 있나요?

A : 문제 수준은 전체적으로 청소년대회치고 꽤 어려웠던 것 같아요. 어려웠던 문제들이 정말 많아요. 딱히 기억남는걸 꼽을 수 없을 정도로 다 어려웠어요.


Q : 가장 자신있는 분야가 있나요? 특별히 흥미가 있는 분야가 있다면?

A : 역공학이요. 리버스 엔지니어링! 할 줄 아는 게 그것밖에 없어서? (웃음) 


Q : 이런 대회를 참가하는 것이 실력 향상에 도움이 되나요? 

A : 대회 참가를 하면 확실히 실력 향상이 되죠. 개인적으로 혼자 공부를 하다보면 목표 의식이 떨어지기 쉬운데, 대회에 참가를 하면 문제를 시간 안에 풀어야 하고 남들과 경쟁도 해야 하니까 더 집중해서 하게 되거든요. 실력 향상에 많은 도움이 됩니다.


Q : 라이벌이라고 생각하는 친구가 있나요?

A : 모두 다 친구이기 때문에. 라이벌이라고 생각하는 친구는 특별히 없어요. 음, 눈여겨보는 친구가 있다면 이번에 대회에 같이 참가해서 1등한 정원이예요. 같은 동아리에 있는데, 제가 저 친구를 동아리로 섭외를 했거든요. 여러 가지 성장하는 모습들을 눈여겨 보고 있어요.


Q : 해킹과 보안 분야에 어떤 매력을 느껴서 공부하게 되었나요?

A : 원래 처음에는 나쁜 짓 하려고 배웠어요. 아, 물론 처음에 시작할 때요. 게임 핵 같은 것을 만들어보고 싶어서 엄한 것들을 찾아서 배웠는데, 계속 대회에 나가고 공부하다보니까, 그런 짓으로 이득 봐서 좋을 게 하나도 없다는 걸 알았어요. (웃음)

 

Q : 나만의 특별한 공부 방법이 있나요?

A : 공부를 좀 이상하게 시작했잖아요. 게임 핵을 만들어보고 싶어서 시작한 거니까요.  남들은 리버싱 공부할 떄 보통 'Crack Me' 문제를 풀거나 하면서 공부하는데, 저는 게임 핵을 만들어보고 싶어서 '그걸 만들기 위해서는 뭘 알아야 하고 어떻게 해야 하나' 이렇게 생각하고 찾아가는 식으로 공부했어요. 고등학교 1학년 때 리버싱을 처음 공부하기 시작했는데, 애초에 게임 핵을 만들어보자는 목표를 가지고 밤새서 공부했던 것 같아요. 그렇게 공부하다가 지금까지 오게 되었고요.


Q : 앞으로의 진로는 어떻게 계획하고 있나요?

A : 우선은 제가 지금 하는 공부와 관련있는 학과에 진학하고싶어요. 그 후에는 창업을 하고 싶어서 지금 돈을 모으고는 있는데 창업에 돈이 생각보다 많이 필요하더라고요.(웃음) 그래서 일단은 보안 관련의 직업을 가지고 일을 하고, 일을 하면서 모은 돈으로 차후에 창업을 하고싶습니다. 특히 보안 솔루션에 관한 일을 하려고 생각하고 있어요.


이번 대회의 수상자들과 인터뷰가 끝난 후, 이번 대회를 운영한 그레이해쉬(GrahHash)의 운영진과도 이번 대회와 관련해 인터뷰를 진행했다. 아래는 진행한 인터뷰를 정리한 것이다.


Q : 이번 주니어 해킹방어대회의 취지나 목적을 말씀해 주세요.

A : 해킹과 보안을 공부하는 어린 친구들 보면 공부를 어떻게 해야할지도 잘 모르는 친구들이 많습니다. 또 이쪽 공부를 하면서 나쁜 짓을 하는 경우도 발생합니다. 그래서 이런 친구들과 함께 서로 만나서 이야기도 좀 나눠보고, 부족한 친구들에게 조언도 해주고 꿈을 더 심어주고 싶어서 대회를 운영하게 되었습니다. 자신감을 심어주자는 목적도 있었습니다. 


Q : 예선 문제가 쉬웠다는 말이 있어요. 예선 문제 출제의 기준은 무엇이었나요?

A : 보통 해킹대회는 쉘을 따거나, 권한 상승을 시키거나 하는 문제가 주류예요. 하지만 저희는 예선에서는 그런 기술적이고 어려운 문제보다는, 조금만 생각하면 금방 풀 수 있는 문제들을 많이 만들어 냈습니다. 기술적인 부분을 많이 알지 못해도, 머리만 조금 굴려서 생각해보면 쉽게 풀 수 있도록요. 무조건 난이도 있는 부분들을 포함시키기보다는 논리적인 부분을 문제에 많이 포함시키려고 했습니다.


Q : 이번 대회를 운영하면서 특별히 어려웠던 점이 있나요? 

A : 문제 난이도를 정하는게 가장 어려웠습니다. 청소년 해킹대회는 청소년들이 자신감을 얻을 수 있도록 하는게 중요하다고 생각합니다. 하지만 너무 쉬우면 변별력이 없어지는 문제가 생기거든요. 어쨌든 본선에서는 순위를 매겨야 하니까요. 어디에 맞춰야 할까 고민이 많았습니다. 본선은 1,2,3,등을 가리는 대회니까, 조금은 어렵게 낸 것 같습니다.


Q : 해킹을 공부하는 어린 친구들에게 가장 중요한 건 무엇이라고 생각하시나요?

A : 윤리적인 게 가장 중요하다고 생각해요. 실제로 중요한 정보를 테러리스트나 다른 업체에 파는 경우, 그런 경우가 있어서는 절대로 안 되니까요. 취약점을 찾았을 때는 악용하는 것이 아니라 국가기관에 신고를 하는 것, 그런 윤리적인 부분이 가장 중요합니다. 그리고 '사회에 도움이 되어야 한다'는 마음가짐을 가졌으면 좋겠어요. 내가 지금 공부하는 것이 IT 발전, 더 나아가 국가와 사회에 도움이 된다, 사회에 기여를 한다는 마음가짐을 중요하게 생각했으면 합니다. 


Q : 해킹대회 참가자에게 조언해 주고 싶은 것이 있나요?

A : 좋은 성적을 거두고 싶다면 다른 대회의 문제를 최대한 많이 풀어보세요. 과거의 문제를 많이 풀어보면서, 유형도 파악하고 그러면 자연스럽게 경험도 많이 쌓이는 거니까요. 문제 자체를 잘 풀기 위해 많은 문제를 풀어보는 것도 중요하지만, 기초지식을 탄탄히 하는 것이 중요해요. 프로그래밍을 많이 해봤으면 좋겠습니다. 또, 해킹대회와 실무가 다르다, 도움이 안 된다 하는 말을 하는 사람이 있는데, 제가 느낀 바로는 해킹대회 문제를 잘 푸는 사람들이 문제 해결 능력이 좋고, 그래서 일도 잘하는 것을 많이 봤습니다. 많이 문제를 해결해본 친구들이 사회에 나가서도 일을 잘 해결합니다. 해킹대회를 겁먹지 말고 참가했으면 하는 바람입니다.



비록 길지 않은 시간이었지만 서로 다른 개성의 입상자들과 이야기를 나누면서 그들의 열정을 느낄 수 있었다. 나이가 어린 것은 전혀 문제 되지 않는다. 입상자뿐 아니라 본선에 진출한 30명, 그리고 예선에서 대회의 문제를 풀면서 자신의 기량을 발휘한 모든 참가자의 무한한 잠재력을 기대해보자. 그들은 아직 어리고, 발전 가능성은 무궁무진하기에, 지금보다는 그들의 미래가 더욱 기대된다. 미래의 화이트해커를 꿈꾸는 청소년의 자신감과 실력 향상의 발판을 마련해준, 그리고 앞으로도 마련해줄 다음 주니어 해킹방어대회가 더욱 기대되는 이유도 바로 무한한 잠재력을 가진 그들 때문이 아닐까. Ahn



대학생기자 강정진 / 숙명여자대학교 컴퓨터과학과


學而不思則罔思而不學則殆

배우기만 하고 생각하지 않으면 멍청해지고, 생각하기만 하고 배우지 않으면 위태로워진다.


댓글을 달아 주세요

해킹으로 자동차를 훔치는 시대가 다가온다

현장속으로/세미나 2013.08.16 07:00

지난 8월 12일 역삼동 한국과학기술회관에서 산·연 보안컨퍼런스(ESCON)이 열렸다. ETRI는 ESCON을 통하여 ETRI가 개발한 첨단 기술을 활용하여 국내 보안 업체가 괄목할 만한 성과를 이루기 위한 방법을 함께 모색하는 동시에 산업체의 기술적 요구 및 사업화 과정의 애로사항을 효과적으로 수렴하고 해소할 수 있는 산·연 소통의 장을 제공하였다.

초청강연으로 KAIST 김용대 교수는 임베디드 보안기술에 대해 발표해주었다.

" the security mindset involves thinking about how things can be made to fail. It involves thinking like an attacker, an adversary or a criminal. You don't have to exploit the vulnerablilties you find, but if you don't see the world that way, you'll never notice most security problems."

-Bruce Scheneier-

'공격자의 입장에서 생각하지 못 하면 절대로 취약점을 찾을 수 없고, 취약점을 찾을 수 없으면 공격을 막을 수 없다.'라는 김용대 교수의 발표는 해커의 입장에서 생각하기의 중요성을 상기시켜주는 발표였다. 다음은 주요 내용.

 

Who are the attrackers?

과거의 공격자는 script-kiddie, 컴퓨터 잘하는 사람, 사회의 불만이 있는 사람 등이었지만 요즘은 국가가 공격자가 되기도 한다. 또 사회적, 정치적 목적 달성을 위한 Hacktivists, 조직범죄자 + 해커로 개인이 아닌 대규모의 공격이 이루어진다. 이 세 가지 부류의 특징은 엄청난 예산과 규모가 공격에 투입이 된다는 사실이다.

 

Bug Bounty Program

Bug Bounty Program은 취약점을 찾아주는 프로그램으로 취약점을 계속 찾으면 오히려 예산이 줄어들고 결국 보안에 투자할 수 있는 기회를 마련해 준다는 것이다. 글로벌 회사들은 Bug Bounty Program을 하고 있는데 상대적으로 우리나라는 미미하다. 취약점의 개수는 한정되어 있기 때문에 많이 찾아낼수록 장기적인 관점에서 경제적으로 훨씬 도움이 될 것이다. 그렇기에 우리나라의 Bug Bounty Program 도입이 증가됐으면 한다.

 

전세계적으로 취약점을 모아서 파는 프리랜서가 늘고 있는 상황에서 현재는 국가가 취약점을 사주는 역할도 하고 있다. 패치가 알려져 있지 않은 제로데이를 파는 사업이 붐을 이루고, 해커들은 더이상 공짜로 버그를 알려주지 않는다. 이런 시점에서 각 나라들은 내 나라를 지키기 위해서 다른 나라의 취약점을 찾아낸다. 현재 윈도우의 큰 버그는 15만불, 아이폰 iOS 버그는 50만불에 팔리고 있고 브로커는 15%를 가져간다고 한다. 그렇기 때문에 수비하는 것이 굉장히 어렵다. 그래서 취약점을 계속 찾아내야 공격을 막을 수 있을 것이다.

보안을 단순히 컴퓨터 사이언스로 다루는 것이 아니라 physical event로 봐야 보안을 지켜낼 수 있다. 미국에서 BMW 300대를 훔친 사례가 있다. 자동차 보안은 Network Boundary가 안전하면 된다고 생각하기 때문에 Boundary를 뚫고 들어오기만 하면 해커가 어떤 행동을 해도 알 수가 없다.

누군가가 '차 안에 있는 사람은 공격자가 아니다'라는 자동차 설계의 원칙을 이용해서 자동차 잠금 주파수를 중간에 해킹하여 차를 훔쳐온 것이다. 자동차 안에 있는 OBD-ll connector를 이용해서 자동차의 유니크함을 읽어내고 차 키를 복사하고 GPS를 설정하는 등의 조작을 통해 훔친 것이다. 또한 전기를 훔쳐오는 사례도 있었는데 Infrared port를 이용해서 meter를 재프로그램하였다고 한다.

이렇게 소프트웨어와 하드웨어가 하나가 된 것, 전기나 기계에 연결된 것들이 임베디드 시스템인데 모든것이 컴퓨터화는 시점이기 때문에  임베디드 보안 기술이 중요해지는 것이다. 세상의 모든 장비에 OS와 CPU가 들어가기 때문이다. 요즘의 냉장고, 비행기 등 모든 것이 임베디드 시스템으로 이루어져 있다. 더 이상 컴퓨터 보안만이 중요한 것이 아니다. 핸드폰, 선풍기, 냉장고 등 모든 것의 보안이 중요해지고 있다. Ahn

 

대학생기자 임지연/ 덕성여자대학교 컴퓨터학과

댓글을 달아 주세요

  1. 나그네 2013.09.17 13:44  Address |  Modify / Delete |  Reply

    국가가 취약점을 사주고.. 취약점마켓이 활성화된 거랑 취약점을 막기가 굉장히 힘든 거랑 무슨 상관인가요?

  2. 어설 2013.10.05 03:04  Address |  Modify / Delete |  Reply

    국가도 취약점을 사주는건 해당국가의 프로그램과 회사의 보안을 유지시켜주기위한 일환이라고 이해되고, 취약점 마켓이 활성화 됐다는건 그만큼 프로그램의 취약점에대한 공격이 조직적이고 치밀해질 수 있다는 뜻이라 이해됩니다. 따라서 프로그램의 취약점에대한 자체적인 검사와 감시가 매우 중요해졌다 할 수 있습니다. 그 결과 본 기사의 도입부에 나온 공격자의 입장에서 생각하지 않으면 절대 막을 수 없다는 결론이 나왔다고 판단됩니다.

바닥에 남은 삼푸 남김 없이 쓰겠다는 학생의 발명품

현장속으로/세미나 2013.08.10 07:00

방학을 맞아 학생들로 붐비는 곳이 있었다. 특허청 주최로 7월 25일부터 29일까지 코엑스에서 열린 ‘대한민국 학생 발명 전시회’였다. 이 전시회는 학생들의 기발한 아이디어로 만들어진 발명품을 발굴하고 전시하여, 학생들의 발명의식과 창의력을 개발한다는 취지로 열렸다. 

전시된 발명품은 대통령상, 국무총리상 등 학생 발명품 160점, 교원 발명품 9점 등 169여 점의 수상작이다.

 

문어발 펌프

일상생활에서 샴푸 통 안에 남아있는 적은 양의 샴푸를 사용하기 위해 불편했던 경험은 한 번씩은 있을 것이다. ‘문어발 펌프’는 단지 빨대, 글루건, 가위, 자, 네임펜으로만 만들어졌다. 이러한 재료들로 펌프 주변에 보조펌프를 이어 붙여 통 안 구석구석에 남아있는 적은 양의 샴푸까지도 모두 흡입할 수 있게 만들었다. 고등학생의 물자절약 정신이 옅보이는 이 발명품은 세제와 샴푸 통, 로션 통까지 활용 분야가 다양하며 환경 보호까지 실천할 수 있는 간단하지만 기발한 발명품이다.


걸이형 버스 손잡이

위 발명품은 무거운 짐을 가지고도 편안하게 버스나 지하철을 이용할 수 있는 ‘걸이형 버스 손잡이’이다. 간단한 짐, 분실 위험이 있는 짐은 지하철 위 선반에 올려놓기가 위험하다. 그리고 버스는 짐을 올려놓을 선반도 존재하지 않는다. 또한 짐을 든 상태에서 손잡이를 제대로 못 잡으면 움직이는 버스 안에서 중심잡기가 힘들다. 단지 기존 손잡이에 수 센티미터의 틈만 만들었을 뿐인데 이러한 불편사항이 해결된다.


쉬운 두레박

‘쉬운 두레박’이라는 발명품은 아프리카, 동남아시아 등 제 3세계 사람들이 물을 쉽게 길어올릴 수 있도록 제작된 발명품이다. 물을 흘리지 않게 두레박에 자석으로 된 입구를 만들고, 깨끗한 물을 얻을 수 있게 물이 들어가는 입구에 필터를 설치하여 찌꺼기나 불순물이 걸러지도록 했다. 또한 줄을 이용하여 사람들이 웅덩이나 하천 깊이 들어가지 않고 쉽고 안전하고 효율적으로 물을 길어 올릴 수 있게 했다.


컵라면 젓가락 받침대

수상작 외에도 재미있고 톡톡 튀는 아이디어 상품이 많이 있었다. 그 중 젓가락 받침대가 있는 컵라면 용기가 눈에 띄었다. 컵라면 용기 옆에 젓가락 받침대를 만들어 붙여서 젓가락 받침대를 컵라면 용기 쪽으로 모았을 때는 기존 컵라면 용기와 똑같은 모습이고, 젓가락 받침대를 밖으로 펼치면 젓가락을 얹어 놓을 수 있다.


전시 외에도 다양한 이벤트가 마련되어 재미를 더했다. 청소년이 팀을 이루어 주어진 과제(표현과제, 제작과제, 즉석과제)를 해결하는 과정에서 도전정신과 협동심을 키울 수 있는 ‘대한민국 학생 창의력 챔피언 대회’, ‘출발!드림팀’ 세트에 창의력 퀴즈 미션을 결합한 ‘출발! 발명왕’, 엄마손 잡고 미로 속에서 비밀의 방을 찾는 ‘엄마 어디가?’, 그리고 보드 게임을 체험할 수 있는 공간까지 다양한 놀이공간과 이벤트가 마련되었다. 

적극적 참여를 유도하는 '발명 스탬프 릴레이'도 이색적이었다. 페스티벌 내부에 여러 개의 구역을 두고 각각을 참여하고 나면 스탬프를 받을 수 있고, 4개의 스탬프를 모으면 상품을 주는 방식이었다. 

상 : 도전 이벤트 존의 가족 협동 프로젝트 '엄마 어디가?' 하 : 전시장 내부 모습

상 : 전시회 내부 모습 하 : 미래 상상 존의 보드 게임 

"고작 초,중,고등학생들이 발명한 건데 얼마나 대단하겠어." 가 아니라, 학생들의 새로운 시각으로 찾아낸 새로운 발명품들. 그리고 그것들을 전시해 놓은 청소년 발명 페스티벌. 놓치지 말아야 할 행사 중 하나이다. Ahn


대학생기자 김대희 / 경기대 컴퓨터과학과

대학생기자 이승건 / 성균관대 전자전기컴퓨터공학부



댓글을 달아 주세요

  1. 보리 2013.08.11 12:50  Address |  Modify / Delete |  Reply

    와~ 문어발 펌프 최고네요. 항상 조금 남아 있을때 잘 안나와서 짜증 났었는데ㅋㅋㅋ

  2. 2014.03.17 21:14  Address |  Modify / Delete |  Reply

    비밀댓글입니다

이력서-면접 막막하다면 채용박람회 활용하라

현장속으로/세미나 2013.08.08 09:38

7월, 이른바 슬슬 취업을 걱정하는 졸업예정자의 심장을 덜컥 하게 하는 달이다. 취업 시즌을 맞아 채용박람회 역시 줄을 잇는 가운데 지난 7월 10일, 2013 정보보호 인력채용 박람회가 열렸다. 미래창조과학부에서 주최하고, 경기도와 한국인터넷진흥원, 지식정보보안산업협회가 주관한 2013 정보보호 인력채용 박람회는 정보보호 관련 기업과 취업예정자의 정보를 한 곳에서 얻을 수 있다는 장점이 있었다.

이번 정보보호 인력채용 박람회에는 안랩을 포함한 30여 개 정보보호 대표 기업이 참가한 가운데, 각 기업의 인사담당자들이 참여하고, 채용을 하는 기업도 있었다.

평소에 자신이 관심있어하던 기업이 있거나, 정보보호 관련 취업을 준비하는 자라면 반드시 눈여겨봐야할 기회인 채용박람회. 대부분의 참가자가 졸업예정자를 포함한 구직자인데, 졸업예정자라면 아마도 채용박람회 참가가 처음일 것이다. 취업 전선에 처음으로 발을 딛는 상황이기 때문에 채용박람회 참가를 앞두고 과연 어떤 것을 준비해야 할지, 어떻게 정보를 얻어야 할지 다소 막막할 수도 있을 것이다. 따라서 채용박람회에 참가하기 전에 준비가 필요하다. 


채용박람회에 갈 때도 준비가 필요하다


1. 나에 대한 탄탄한 소개, 이력서

채용박람회는 실질 면접과 채용으로 이어질 수도 있는 기회이다. 기업의 부스에 찾아가 나의 이력서를 제출하고, 면접을 볼 수 있는 기회가 주어진다. 만일 채용을 하지 않는 기업이라 하더라도, 원하는 기업의 부스에는 인사담당자가 자리하고 있기 때문에 찾아가 이력서를 제출하고 나를 어필해보자.

정보보호 인력채용 박람회에서는 이력서를 준비하지 못 한 참가자를 위해 이력서 작성대가 있어, 이력서 작성과 출력이 가능했다. 그러나 자신에 대한 정보를 참가 이전에 미리 준비해 둔다면 훨씬 시간을 절약할 수 있다.


2. 사전 정보는 반드시

채용박람회에 어느 기업이 참가하는지에 대한 정보는 기본이다. 나의 이력서를 제출하고 면접을 보고 싶은 기업이 있다면 해당 기업의 정보는 반드시 숙지하고 있어야 한다. 어떤 일을 하는 기업인지, 직무는 무엇인지 모르는 채 이력서를 제출하는 것은 인사담당자에게 본인이 준비가 안 된 사람으로 보이게 할 뿐이다. 적을 알고 나를 알면 백 번 싸워도 위태롭지 않다고 했다. 해당 기업에 이력서를 제출하기 전에, 기업이 원하는 인재상 등을 알고 있다면 나를 어필할 때도 더욱 당당할 수 있다.

그리고 채용박람회 안내 홈페이지에서 사전등록을 할 수 있다면 사전등록도 하면 좋다. 온라인에 등록한 이력서로 뜻밖의 취업 기회를 얻을 수 있고, 이번 정보보호 채용박람회처럼 사전등록자에게 주어지는 사은품을 받을 수도 있기 때문이다. 


3. 반듯한 이미지는 옷차림에서부터

깜빡하기 가장 쉬운 준비물은 바로 정장이다. 채용박람회의 분위기는 전반적으로 진지하며 시끌벅적한 분위기가 아니다. 채용을 목적으로 하는 구직자는 이력서를 들고 각 기업의 부스를 둘러본다. 직접 인사담당자를 만날 수 있는 기회인 만큼 반듯한 이미지를 위해 정장을 꼭 준비하자. 

채용박람회에 참가하기 위한 충분한 준비를 마치고 왔다면, 자신감을 가지고 원하는 기업의 부스에 방문할 차례다. 이에 안랩 부스에 방문해 간단한 면접과 인터뷰를 진행했다.


현장에서만 받을 수 있는 이력서, 면접 컨설팅 

박람회에서는 구직자를 위한 다양한 부대행사 역시 진행되었다. 이력서 작성을 위한 팁이나 전문 컨설턴트가 교정을 도와주는 '이력서 작성 컨설팅' 코너부터, 나와 어울리는 이미지를 찾아 면접 시 최적화 된 이미지를 만들 수 있도록 '면접 이미지 메이킹 컨설팅'으로 구직자들의 눈을 이끌었다. 

'면접 이미지 메이킹 컨설팅'은 각 개인이 지니고 있는 '퍼스널 컬러'를 찾아 당당하고 생기있어 보이는 인상을 만들 수 있도록 정장 스타일링 및 화장법, 헤어스타일에 대한 조언을 해주었다. 이 밖에도 참가자의 추억을 만들어줄 '취업 성공기원 캐리커처'로 스트레스를 잠시 해소할 수도 있었다. 

졸업을 앞두고 취업전선에 발을 막 들여놓은 지금, 박람회는 스스로를 되돌아보게 하고 앞으로 더 나아갈 수 있도록 각 구직자에게 시동을 켜주었다고 생각한다. 취업난에 고통받는 구직자와, 인력 부족으로 어려움을 겪는 정보보호 업계에 매년 시행되는 정보보호 인력채용 박람회는 기업과 구직자 모두에게 좋은 기회를 제공하는 것은 분명하. 


<현장에서 알아본 안랩의 채용 기준> 

안랩은 연수생인턴공채 총 세 부문을 채용 중이다. 현장에서 만난 인사 담당자, 연구원에게 각 지원 종류와 공통으로 준비해야 할 사항을 들어보았다.


공통사항 : 

안랩을 지원 시에 공통으로 생각해야 할 사항은 A자형 인재상이다. A자형 인재상은 전문성인성팀워크의 조화를 말하며 고스펙 학력자보다는 성실성과 인성을 중요하게 보며, 자신만의 히스토리를 가진 사람을 중요하게 생각한다

안랩은 정보보안 대표 기업이지만 보안 업무 분야뿐만 아니라 인사총무PR 등 다양한 분야에서 지원자를 받으므로 보안을 꿈꾸는 지원자가 아니더라도 충분히 지원을 할 수 있다. 안랩은 지원자의 스펙보다는 열정과 창의성을 본다. ‘영혼이 있는 기업’ 이라는 타이틀을 내건 만큼 지원자는 자신의 스펙을 뽐내기보다는 자신만의 히스토리와, 그 안에 담긴 열정과 성실성 등을 자기소개서와 면접에서 보여준다면 좋은 결과를 얻으리라 생각된다.

연수생 : 

연수생은 3학년부터 4학년1학기까지의 대학생을 대상으로 기업 체험형 경험을 마련해주고 있다취업과 회사에 대한 막연한 두려움을 갖고 있는 고학년 대학생들에게 먼저 사회에 나와 기업에서의 문화를 배울 수 있는 좋은 기회로서 매번 높은 경쟁률을 자랑하고 있다.

인턴 : 

4학년 2학기 이상의 졸업예정자를 대상으로 지원을 받으며 정규직 전환의 가능성이 있기 때문에 안랩 에서 계속 일을 하고자 하는 꿈을 가진 많은 젊은이들의 지원이 끊이지 않고 있다또한 4학년 2학기 학생에게 연계가 되어있는 대학교에 한해서 학점 인정의 기회를 제공한다.

공채 : 

안랩은 특이하게도 공채에 학점과 영어점수에 제한을 두지 않으며 자기소개서 또한 제출할 필요가 없는 STAR 채용을 진행한다. STAR는 각각 Speciality, Teamwork, Ambition, Reference 등의 주제를 바탕으로 각 주제에 본인의 장점을 살릴 수 있는 주제를 선택하여 별도 파일로 제출하면 된다

평소 자신의 포트폴리오를 많이 준비해오거나 특이한 경력이 있는 지원자는 Speciality를, 자신과 마음이 잘 맞아 프로젝트를 계속 수행해오던 팀이 있는 지원자는 Teamwork를 선택하여 지원을 하면 될 것이다. Teamwork는 지원한 팀 전체가 합격한 경우도 있다고 하니 매우 좋은 기회가 될 것이다. Ahn


대학생기자 유희만 / 수원대 컴퓨터학과

The achievement of one goal should be the starting point of another.
(목표의 성취는 또 다른 목표의 출발점이 되어야 한다.)
- 알렉산더 그레이엄 벨 -

현재에 안주하지 않고 항상 색다른! 목표를 향해!                  


대학생기자 이수진 / 순천향대 정보보호학과


그럴 만한 가치가 있는 사람이 되자!

언젠가 제 일에 대하여 대가를 얻을 때, 

"저 사람은 그럴 만한 가치가 있는 사람이야."

라는 말이 아깝지 않을 만큼 스스로를 성장시키겠습니다



댓글을 달아 주세요

안전한 금융 시스템 위한 또 하나의 해법 NAC

현장속으로/세미나 2013.07.18 09:03

514일 화요일, 양재엘타워 그레이스홀에서 머니투데이, 데일리시큐에서 주관한 <FPIS 2013 금융보안&개인정보보호 페어>가 개최되었다. 이 세미나에선 국내외 보안 업계 최고 전문가들이 한 자리에 모여 직접 전하는 2013년도 금융 IT 방향과 함께 금융 보안 시스템 강화를 위한 다양한 보안 솔루션들을 접하는 시간을 가질 수 있었다.

       

2009년 7.7 DDoS 대란, 올해 3.20 사태까지 심각한 보안 사고들이 연달아 발생함에 따라 각 사의 보안담당자들이 보안 업무를 수행하기에 훨씬 어려워졌다. 많은 보안 솔루션을 구비했음에도 해킹에 대한 불안과 염려는 여전히 존재한다

이 날 넷맨(NetMan)의 마정우 전략기획부장이 전한 네트워크 접근 제어(NAC)를 통한 금융사 정보보호 강화 전략은 보안 담당자들이 지닌 걱정의 무게를 덜어주는 시간이었다 그는 현재 일어나는 해킹의 주요 사례와 이를 막는 보안 시스템의 구성, 네트워크 접근 제어(NAC)을 통한 보안, 그리고 이런 솔루션들이 보안 수준을 높이기 위해 어떤 프로세스를 거치는가에 초점을 맞춰 발표를 했다. 다음은 주요 내용.

 

 해킹 

IT 시스템이 만들어지기 시작한 1980년대 초기에는 공격자의 지식과 성향이 해킹을 성공시키는 가장 큰 요소로 작용하였지만, 2000년대로 넘어와선 툴의 활용도와 툴의 강력도가 해킹의 성공 요소로 작용하기 시작하였다. 현재 해킹의 공격 도구는 점점 다양해지고 있으며 해킹의 형태는 점차 웹을 통한 오픈서비스로 발전해 나가고 있다. 1980년대 초기엔 알려진 취약점을 통한 시스템 공격이 주류를 이루었으나, 1990년대 초반부터 2000년대 들어서는 네트워크적인 공격이 주류를 이루게 되었다.

해킹의 주요 사례로는 웹서버의 각종 취약점을 이용해 웹서버 계정을 탈취한 후, 클라이언트 보안 취약점을 통한 Botnet을 구성하여 컴퓨터를 공격하는 ‘DDoS 공격부터, 사용자 PC에 이메일 주소를 이용하여 대량의 스팸메일을 전송하는 스팸 릴레이 공격,’ 또는 해당 시간에 스스로 하드디스크 파괴 악성코드를 삽입하는 ‘PC 파일 시스템 파괴 공격,’ 정보 유출을 위한 폴더 리스트, 파일 리스트를 입수하는 개인정보 유출’ 해킹이 대표적이다. 최근 발생하는 해킹은 특정 공격 기법을 사용하기보다는 가능한 모든 방법을 동원하여 특정 타깃을 노리는 여러 공격의 집합체 형태를 가지고 있다.

 

 보안 시스템

그렇다면 이런 것들을 대응하기 위한 보안 시스템들은 어떤 형태가 있는지 알아보자네트워크에는 사용자, 서버, DB, 전산자원, 단말기 등이 여러 종류의 네트워크 스위치를 통해서 구성되어 있다. 각 접점에는 방화벽, 아이패스, 개인 정보 솔루션, 문서보안솔루션과 같은 각각의 기능으로 중점화된 보안 솔루션들이 각자의 위치에서 제 기능을 수행한다

과거엔 이러한 보안 시스템간의 접점이 보안의 가장 취약점으로 여겨졌으나, 요즘에는 하드웨어적으로 많이 오픈되고 시스템이 많이 강화되면서 공통화 된 보안 기능이 점점 늘어가고 있는 실정이다. 대표적인 예로 UTM 장비의 경우, 과거 UTM은 초기에는 방화벽과 IPS의 기능이 하나의 박스 안에 들어가 있는 형태로 제한되었다

하지만 현재는 Anti-Virus나 웹방화벽, SSL VPN등 각각의 기능을 모듈로 하여 UTM 장비가 만들어져 그 박스 안에서 점차 프로세스 되면서, 하나의 패킷이 안전하게 어플리케이션에 전달되기까지 일련의 과정을 수행하고 있다.

 

 네트워크 접근 제어(NAC)

이런 다양한 보안 솔루션을 사용하는 주체는 사용자로, 각 사에서 운영하고 있는 사용자들이 인터넷을 사용하는 주 대상이다. 하지만 사용자가 인지하지 못하는 사이에 일어난 보안의 허점들은 점차 큰 보안의 허점으로 커지게 되었다

네트워크 접근 제어(NAC)는 이런 보안 문제들을 해결하기 위한 사용자 인증 장치로, 사용자가 갖고 있는 권한 만큼만 접근할 수 있도록 인지하는 장치다. 비정상 활동을 탐지하고, 사용자가 정상적인 활동을 유지했을 때만 네트워크를 유지할 수 있도록 하는 장치로, 이러한 NAC를 통한 네트워크 보안의 필요성은 나날이 커져가고 있다.

                                 

현재 PC사용자들이 가장 불편을 토로하는 사항은 너무 많은 보안솔루션이 존재하여 PC를 한 번 켤 때마다 최소한 서너번 이상의 로깅을 해야지만 업무를 볼 수 있도록 시스템이 오픈된다는 사실이다. 그래서 NAC는 기존 보안제품과의 유기적 연동을 함으로써 각각 보안솔루션들의 좋은 기능을 모듈화 한 보안 체계를 보안 프로세스의 첫 요건으로 두고 있다 

NAC의 내부적 정책 몇 가지를 좀 더 설명하자면 사용자 권한에 대한 권리, 필수 소프트웨어 검증, 임시 사용자 검증, 우회 네트워크 경로 차단, IT 자산 통계가 있다. NAC는 차단 소프트웨어가 설치되어 있거나, 설치되어 있어야할 소프트웨어가 설치되어 있지 않은 경우 무조건 네트워크를 격리하여 설치 페이지나 제어 페이지로 리베이트시켜서, 사용자가 왜 네트워크에 접속하지 못했는가를 알림 창을 통해 확인하게끔 해준다. 또한 임시 사용자가 비정상적인 에이전트를 사용하거나 NAC가 희망하는 소프트웨어를 설치하지 않은 경우, 네트워크를 임시 사용자와 완전히 분리시켜 위험요소를 줄여준다.

한편 최근 사용자들은 스마트폰을 통한 테더링을 하여 회사망을 통하지 않고도 인터넷을 얼마든지 사용하고 있다. 하지만 문제는 보안 솔루션이 대부분 PC를 지원하고 스마트폰에는 정상적으로 지원되지 않아서 회사 내부에만 존재해야 할 중요 파일들이 테더링하는 과정에서 외부로 유출되는 상황이 발생하게 된다. 이러한 우회 네트워크와 같은 경우, 중요 정보 유출 피해가 일어날 수도 있기 때문에 NAC는 자동으로 우회 네트워크를 차단하는 정책을 시행하고 있다.

마지막으로, IT 자산 관리 기능의 경우 NAC는 에이전트를 통해서 확보가 되어있는 하드웨어와 소프트웨어 정보를 통해 회사에서 인가가 된 상태인 PC만 사용자가 생성할 수 있게끔 자산에 대한 관리, 소프트웨어에 대한 관리를 지원한다.

 

 보안 프로세스

마지막으로, 어떻게 보안의 취약점들을 최소화하고 보안의 효과를 극대화할 수 있는지 보안 프로세스 관점에서 보자. PC를 사용하든 노트북을 사용하든 각각의 자산을 사용하기 위한 프로세스는 반드시 필요하다

보안 프로세스는 단말사용자의 규제 준수 여부 등을 고려하여 프로세스 준수 여부를 파악하고 망 내 시스템의 네트워크 접속 정책과 연동하는 시스템이다. 이러한 보안 프로세스는 어떤 제품을 사용하는가의 문제가 아니라 어떤 절차를 시행하는가의 문제로, NAC는 각각의 프로세스를 단일화시킴으로써 프로세스를 통한 보안의 안정성을 높이는 역할을 한다. 

정보보안 시장에서 최근 네트워크접근제어(NAC) 솔루션에 대한 관심이 다시 높아지고 있다. 최근, 스마트폰과 태블릿 PC 등의 스마트 디바이스를 활용한 기업 업무 시스템이나 네트워크 접속이 점점 증가하고 있어, 보안 관리의 중요성도 나날이 커져가고 있다. 이에 따라 사내 보안정책을 준수하지 않는 경우나 네트워크 시스템에 접속하는 모든 단말에 대한 통제 및 관리를 하는 NAC는 필수적인 보안 대책으로서 주목받는 것이다. Ahn 

 


대학생기자 윤덕인/ 경희대 영미어학부

항상 배우는 자세를 잊지 말고 자신을 아낄 것

온몸을 던져 생각하고, 번민하고, 숙고하자

 


댓글을 달아 주세요

다양한 보안 이슈, 보안 전문가를 한 곳에서 만나다

현장속으로/세미나 2013.07.12 07:00

"큐인사이드는 3년만에 세계 해커들 사이에서 가장 출전하고 싶은 대회가 됐습니다. 글로벌에서 라스베이거스 '데프콘'과 견줄만큼 규모가 큰데다 팀에게 지원도 많이 해줍니다. 1회 때는 입소문이 많이 퍼지지 않았지만 올 해는 다르더군요." 


지난 7월 2일부터 3일까지, 이틀 동안 진행된 '시큐인사이드' 해킹방어대회에서 3연패를 달성한 PPP팀의 팀원 '리키 주' 씨의 인터뷰 내용이다. '국제 규모의 해킹방어대회' 라는 타이틀에 걸맞게 77개국의 나라에서 총 1083팀이 참가했다. 다양한 발표가 이어지는 3일, 서울 콘래드 서울 호텔에 모인 인파에 시큐인사이드의 규모를 짐작할 수 있었다. 시큐인사이드는 화이트해커들을 중심으로 다양한 보안 이슈에 대해 실무적인 정보를 공유하는 국제 컨퍼런스로, 2011년부터 개최되어 올 해 3회를 맞았다. 

 


아침 일찍 도착해 등록을 마치고, 이름표와 발표자료집을 받아 컨퍼런스 홀로 들어갔다. 첫 키노트 세션이 시작되기 전, 10시가 안된 이른 시각부터 홀은 좋은 자리(?)를 찾기가 힘들었다. 가운데 앞자리는 예약석. 꽉 찬 자리의 빈틈을 찾아 두리번 두리번. 


그리고 10시, 시큐인사이드 2013 시작! 컨퍼런스의 시작은 김승주 교수의 <암호학과 해킹의 결합, 가능한가?(Combination of Crypto and Hacking, Possible?)> 라는 주제의 키노트 세션이었다. 그는 암호학, 시스템 보안, 네트워크 보안, 보안 정책은 '보안'을 구성하는 요소이며, 이 요소들을 잘 연결하고 결합시켜야 한다는 것을 강조했다. 또한 '암호학'을 어떻게 해킹과 결합하여 사용할것인지에 대해서도 어필했다. 보안을 위해서는 다양한 분야에 대해 넓은 지식을 가지고 있으면서도 자기 전문 분야를 가지고 있는 'All-Round Player'가 되어야 한다는 많은 전문가의 충고가 다시 한번 생각나는 세션이었다.



두 번째 키노트 세션은 'Beist' 이승진씨의 <소스코드 불법 복제에 대한 이슈(Issues of illegal copy and unauthorized use for source code copyright)>라는 주제로 진행되었다. 그는 한국에서 뿐 아니라 전세계에서 프로그램을 무단으로 사용하고 소스코드를 훔치는 사례가 발생하고 있고, 이런 경우를 분석하기 위해 어떻게 소스코드의 유사성을 평가하는지에 대해 이야기했다. 기술적인 이야기들은 완전하게 이해하지 못해 아쉬움이 남지만, 오픈소스 프로그램의 라이센스 정책에 대해 다시 한번 되새겨보는 계기가 되었던 시간이었다.



키노트 이후에 잠깐의 점심시간을 가지고, 본격적으로 다양한 주제의 발표가 진행되었다. 총 3개의 트랙으로 나누어져 다양한 이슈들을 다루었는데, 한 번에 한 트랙밖에 들을 수 없다는 것이 아쉬웠다. A, B, C 트랙에서 진행된 발표의 주제들은 다음과 같다.


A트랙

최원혁, <한글 취약점을 이용한 APT 공격 사례 및 분석 그리고 대응방안>

Byungho Min, <Security of anti-virus solution>

강흥수(jz), <Sandbox for security (Understanding sandbox and attack examples)>

Long Le, <Exploiting nginx chunked overflow bug, the undisclosed attack vector>

B트랙

안상환, <How to find vulnerability in software>

신정훈(sjh21a), <Hacking smart devices (I just drank c0ffee only!)>

구사무엘(dual5651), <한국형 봇넷 개발&분석>

장상근(maxoverpro), <Mobile game hacking and defense strategy> 

A+B 통합트랙

유동훈(x82), <Writing ARM32 Linux kernel exploitation>

C트랙(Invited Only)

구태인 변호사(태크엔로 법률사무소), <개정 전자금융거래법에 따른 새로운 보안패러다임>

조규민 단장(KISA), <금융분야 개인정보가이드라인>

김기영 실장(AhnLab), <GAP>

이주호 차장(코스콤), <금융 정보보호 참조모델 소개-개발보안프로세스 위주)



C트랙은 초대받은 사람들만들 대상으로 하는 비공개 세미나였기 때문에 내게는 선택권이 없었다. 대신 A, B트랙중에서 좀 더 흥미를 끄는 주제의 발표를 들어보기로 결정했다. 상당히 흥미롭고 다채로운 주제로 발표들이 진행되었지만, 아직 턱없이 부족한 실력으로 발표를 완벽하게 이해하는 것은 무리였다. 모르는 것은 메모하고, 아는 것은 다시 한번 짚는다는 생각으로 발표 듣기 시작!


특히 지난 해 전광판 해킹으로 많은 주목을 받았던 신정훈씨의 Track2에서 진행된 <Hacking Smart Devices> 발표가 기억에 남는다. 많은 사람들이 몰려서 서서 들어야 했던 발표! 카페의 POS, CCTV, Pager(카페에서 쓰는 진동벨을 pager라고 부른다) 해킹에 대해 연구한 발표였다. 카페에서 익숙하게 서비스 받던 익숙한 시스템들을 해킹하는 참신하고 흥미로운 주제라 더욱 관심이 갔던 것 같다. 게다가 재미있고도 다소 충격적이었던 시연영상에 집중할 수 밖에 없던 발표였다. 모든 기기의 경우, 초기에 설치할 당시 설정해둔 디폴트 비밀번호를 그대로 쓰기 때문에 해킹이 가능하다는 공통점이 있었다. Pager 해킹은 실패했다고 했지만, 그렇기 때문에 그의 다음 발표가 더욱 기대된다.


또 하나 재미있었던 발표는 Track2의 마지막 발표였던 장상근씨의 <Mobile game hacking and defense strategy> 였다. 모바일 게임에서 게임핵이 어떻게 돌아가는지, 그리고 어떻게 방어를 해야 하는지에 대한 이야기로 채워진 시간이었는데, 구체적으로 실체 우리가 하는 모바일 게임의 게임핵 적용 사례를 살펴보고 그 시연 영상을 볼 수 있어서 더욱 와닿고 흥미로웠던 세션이었다. 


마지막 세션은 시쳇말로 정말 '멘붕'을 일으켰던 발표였다. A,B 통합 트랙으로 <Writing ARM32 Linux Kernel Exploit>이라는 주제로 진행된 발표였는데, 리눅스 커널의 취약점과 커널을 공격해 권한을 상승시키는 방법에 대해 상세히 분석하고 커널 취약점에 대해 어떻게 대응해야 하는지- 에 관한 내용이었다. 나에게는 상당히 어려웠던 주제였다. 초반이 지나고부터는 무슨 내용을 듣는 것인지 정신 없었던 시간이었다. 한계를 느끼고, 자극을 받고, 이런 발표를 다음에는 조금 더 이해하며 들을 수 있도록 해야겠다는 생각만 줄곧 하다가 끝난 발표 세션이었다. 


폐회식과 함께 시큐인사이드 2013 해킹방어대회 시상식이 있었다. 1위는 대회를 3회째 제패한 미국의 'PPP'팀이 차지했다. 2위는 한국의 '벌레잡이' 팀, 3위는 스웨덴의 'Hacking for Soju' 팀이었다. 치열한 순위경쟁 끝에 PPP팀이 종료 2분을 남겨두고 모든 문제를 'All-Clear' 하는 저력을 보이면서 우승을 차지했다고. 그만큼 뜨거운 대회였고, 작년에 비해 훨씬 다양한 국가에서 많은 팀이 참가했다는 소식이 내년의 대회를 더 기대하게 만들었다. 정말 다들 멋있는 '화이트 해커' 라는 생각이 절로 들고, 동시에 열심히 하자, 즐기자, 이런 긍정적인 에너지를 잔뜩 얻어갈 수 있었던 컨퍼런스였다.


올해의 3.20 사이버 테러, 6.25 사이버 공격 등 크고 작은 사이버 공격이 끊이지 않는 때, 보안 의식을 높이고 다양한 보안 이슈들을 공유할 수 있는 좋은 기회였다는 생각이 든다. 그만큼 마음을 다시 한번 가다듬고, 만만치 않은 보안 이슈에 대해 좀 더, 나름대로 생각해볼 수 있는 시간을 가질 수 있었다. Ahn



대학생기자 강정진 / 숙명여자대학교 컴퓨터과학과


學而不思則罔思而不學則殆

배우기만 하고 생각하지 않으면 멍청해지고, 생각하기만 하고 배우지 않으면 위태로워진다.


댓글을 달아 주세요

  1. 임지연 2013.07.12 23:59  Address |  Modify / Delete |  Reply

    좋은기사 감사합니다~~!

안전한 금융 거래 위한 금감원 정책 5가지

현장속으로/세미나 2013.07.05 07:00

금융보안 & 개인정보 페어(FPIS2013) 5월 14일 양재동 엘타워에서 개최되었다. 이 날 컨퍼런스에는 금융권 CISO, 금융보안담당자, 금융기관 개인정보책임자 및 담당자, 보안시스템 운영자 등 기타 여러 IT실무자들이 참가하였다. 지난 3.20 전산망 대란 이 후로 높아진 관심 때문에 금융사관계자 들이 많이 참석한 모습을 엿볼 수 있었고, 국내 경제지 중에서는 최초로 머니투데이에서 개최하는 보안 컨퍼런스라는 점 등 여러가지로 뜻 깊은 자리였다.

 ▲ FPIS 2013 행사모습

우리나라 인터넷뱅킹 이용고객은 등록고객 수 기준으로 현재 8600만명을 초과하였고 은행권의 전자금융거래 규모도 전체 금융거래 대비 건수기준으로는 80%, 금액기준으로는 30%에 달하고 있다. 스마트폰을 이용한 금융거래도 크게 증가하고 있다. 이와 같이 금융산업과 정보통신기술간의 융·복합으로 인해 전자금융 이용자가 증가하고 금융소비자의 편의가 크게 높아졌으나, 해킹으로 인한 금융 정보유출과 전자금융사고발생 등 보안 위험이 증가하고 있다. 특히 파밍, 피싱, 스미싱 등 새로운 금융사기범죄가 증가하고 있어 금융정보보호에 대한 중요성이 증대되고 있다.

금융보안과 개인정보보호를 주제로한 이번 행사에서 김영린 금융감독원 부원장보는 오프닝 연설에서 안전한 전자금융거래의 기반을 마련하기 위해 금융당국은 다섯 가지에 중점을 두고 금융IT감독 정책을 추진한다고 말하였다. 다음은 주요 내용.

 

1. 개인정보보호 대책을 강화하겠다.

정부는 개인정보의 불법적인 수집·유출 등으로부터 사생활을 보호하기 위해서 개인정보 보호법을 제정하고 2012년 3월 30일 부터 본격적으로 시행해 나가고 있다. 이와 관련해서 금융감독원도 작년 5월 전담조직을 구성하여 금융권 개인정보제도의 안정적인 정착을 위해 노력하고 있다. 

2012년 6월 금융인 금융협회와 합께 금융권 개인정보 협의회를 구축해서 금융에서의 개인정보의 과도한 수집을 근절하였다. 또한 금년에는 개인정보 보호 가이드라인을 마련하여 금융 실무 처리 기술을 제시하는 등 앞으로도 개인정보 보호대책을 지속적으로 추진할 예정이다.

 

2. 전자금융거래의 안정성 확보를 위해 노력하겠다. 

모바일 전자결제, 전자지갑 등 다양한 금융IT신기술의 홍수 속에서 안전한 전자금융 서비스를 제공하기 위해서는 개별적인 보안위협에 임기응변적으로 대응하기보다는 중장기적인 인식전환이 필요하다. 이에 따라 금융기관의 최고 의사결정자가 정보보안에 대해 적극적으로 관심을 갖고 적정수준의 인력과 예산을 확보하는 한편 체계적인 조직운영을 통해 직무 담당자의 업무를 명확히 하고 오류와 실수를 최소화하는 기본을 확립하는 것이 중요하다. 

이러한 인식 하에 금융당국은 현대캐피탈 정보유출, 농협의 전산장애 사고 등을 계기로 IT보안업무모범기준을 제정하였다. 금융회사에 대해 최고 정보보호책임자(CISO)를 임명하고 적정 수준의 IT보안인력과 예산을 적정한 수준을 유지하도록 감독해 나가겠다. 또한 금융회사 CIO간담회, IT보안실무자 세미나 등을 통해 학계, 산업계 및 금융회사 간의 소통을 강화하고 상호협력 체계를 갖추겠다.

 

3. 전자금융사고 및 사이버 테러에 선제 대응하겠다.    

3.20에 대한민국은 큰 충격에 빠졌다. 사이버 공격으로 인해 일부 언론사와 금융회사의 전산망이 마비되는 사태가 발생하였다. 몇 시간 안에 고객의 직접적인 피해는 크지 않았지만 금융회사의 보안능력 및 전자금융거래의 안정성에 대한 국민들의 불안감이 높아지게 되었다. 이러한 사고를 재발하지 않게 하기 위해서는 보안취약점에 대해 신속히 대처하는 한편 예방대책을 마련하는 것이 중요하다.

2013년 5, 6월 중 전 금융권에 대한 IT보안실태 테마 검사 및 IT모범기준 이행 실태 점검을 실시하여 IT보안강화대책을 마련할 예정이다. 피싱, 파밍 사이트 등을 통한 고객정보 유출에 대해서는 금융감독원은 고객의 부주의로 고객정보가 유출되더라도 금전적인 피해가 최소화 되도록 공인인증서 재발급하거나 일일 누적 300만원 자금이체를 하는 경우에는 지정된 단말기에서만 가능토록 할 예정이다. 또한 SMS 본인인증 등 추가적인 인증서비스를 금년 중에 시행할 예정이다.

 

4. IT 부분 검사를 강화해서 금융 회사의 수준을 제고하겠다.    

최근 발생하는 해킹 유형은 지능형 지속형 공격(APT)이다. 작은 취약점을 장시간에 걸쳐 공략하여 전체 시스템을 무력화하고 주요 정보를 채취한다. 이에 금융감독원은 2013년 중 사고발생 금융회사에 대한 현장검색을 통해 IT내부통제, 취약점 및 조치현황을 점검하고 미흡한 부분은 신속히 개선하여 금융회사의 보안수준을 제고하겠다.

 

5. 전자금융을 이용하는 소비자 보호를 강화하겠다.               

전자금융이용과 관련해 발생할 수 있는 위험요인과 예방대책에 대해 홍보를 지속적으로 강화하는 한편, 장애인에게 좀더 편리한 전자금융서비스를 제공할 수 있도록 하는 등 상대적으로 전자금융이용에 취약한 계층에 대해서도 전자금융환경 개선을 위한 노력도 지속하도록 하겠다. 

이러한 정책과 제도가 성공하려면 현장에서 정책을 직접 수행하는 금융회사 임직원들과 금융소비자의 역할이 중요하다. 금융회사 임직원은 고객정보가 반드시 지켜져야 할 고객자산이라는 점을 명시하고 스마트 금융확산등 급변하는 전자금융환경에 적극 대응함으로써 IT보안 또는 고객정보유출 등의 사고가 발생하지 않도록 유념해야 한다.

금융소비자도 전자금융사고 예방을 위해서 보안인식전환이 필요하다. IT 및 통신기술의 발달과 융합으로 이루어진 오늘의 전자금융환경을 안전하게 이용하기 위해서는 무엇보다도 보안사고의 예방과 개인정보관리가 중요할 뿐 만아니라 다소의 불편과 비용지출이 불가피하다는 것을 명심해야 한다. Ahn

 

 

대학생기자 김대희 /  경기대 컴퓨터과학과

 

댓글을 달아 주세요

대학생 정보보안 수준 10점 만점에 몇 점?

안랩이 묻고 대학생이 답하다: 보안 의식편

IT 강국에서 이제는 스마트폰 강국으로 진화한 대한민국, 그 광경을 제대로 보고자 한다면 수업이 한창인 대학강의실을 찾으면 된다. 많은 대학생이 손바닥만한 스마트폰에 많은 것을 쏟아 넣고 있다. 스마트폰의 보급 시기는 살짝 주춤했지만 고속성장의 대명사처럼 우리나라의 절반 이상이 현재 스마트폰을 사용하고 있다.

그러나 고속성장의 뒷면에는 부실공사의 이름표가 있는 것처럼 빠른 성장에는 부작용이 있기 마련이다. IT와 스마트폰도 예외일 수 없다. 빠른 속도와 유비쿼터스한 와이파이가 가능하지만 그러한 속도를 보안의식이 따라가지 못하고 있는 실정이다. 그래서 대학생 설문조사를 통해 전국의 총 391명의 대학생들로부터 정보보안에 대한 이야기를 들을 수 있었다. 이를 통해 현재 대학민국의 정보보안 지수를 이해하고 앞으로의 대처 방안을 생각해볼 수 있는 계기로 삼아보고자 한다.

 

각종 인터넷 사이트에 회원 가입할 때 패스워드 설정을 어떻게 하고 있습니까?

인터넷 상에서 회원가입 등을 위해 개인정보를 입력할 때, 해당 사이트의 보안 정책을 어느 정도 고려하십니까?

우선 회원가입 시 패스워드 설정방법에 대한 물음에 많은 사람들이 영문, 숫자, 특수 문자를 조합하는 방식을 이용하는 것을 알 수 있다. 이는 많은 웹사이트에서 권장하는 방법인만큼 보안도가 높지만, 주기적으로 바꾼다는 답변은 전체의 8%에 지나지 않았다. 회원가입시에는 권장하는 비밀번호를 선택하지만 자신의 패스워드에 대한 주기적인 노력은 다소 부족하다고 이해할 수 있다.

그리고 회원가입시 보안 정책 고려사항에서는 대부분의 사이트를 보안정책에 상관없이 개인정보를 입력하는 것으로 나와있다. 보안정책을 읽어보는 의견과 보호할 수 있는 기술을 확인한다는 답변은 12%로 상당히 낮은 비중을 차지한다.

 

인터넷에서 사용하는 아이디 및 패스워드를 다른 사람에게 알려주는 것을 어떻게 생각하십니까? 

인터넷에서 프로그램을 다운로드할 경우, 어떤 점을 고려하십니까?

아이디나 패스워드를 알려주는 것에 대한 문항에서는 꼭 필요한 경우에 알려준 다음 다시 패스워드를 변경한다는 의견이 절반을 차지했다. 그러나 친한 사이일 경우에 상관없이 알려준다거나 절대로 알려주면 안된다는 의견이 같은 비중을 차지할 만큼 패스워드에 대한 보안의식이 다소 부족하다고 해석된다.

또, 프로그램 다운시 인지도가 높은 사이트에서는 필요한 프로그램을 다운로드한다는 의견이 가장 많았지만 필요한 프로그램은 무조건 다운로드한다는 의견이 뒤를 이었다. 이는 대학생의 보안의식이 낮은 수준을 유지하고 있음을 시사한다.

 

SNS(메신저, 트위터, 페이스북)나 이메일로 링크 주소나 첨부 파일이 올 경우 어떻게 하십니까? 

악성코드 감염을 방지하기 위해 어떤 방법을 사용하십니까? 

첨부 파일에 대한 대처를 묻는 문항에서는 아는 사람이 보낸 경우에만 클릭한다는 답변이 높았다. 더불어 무조건 클릭하는 비중이 낮게 나와 첨부파일에 대한 보안의식은 다소 높게 나타났다.

악성코드 감염 방지를 위한 방법으로는 무료 백신과 정기적인 검사를 통한 방법이 높은 비율을 차지했다. 단, 유료 백신을 사용하는 대학생 수는 불과 2%에 부족했다.

 

MS 윈도우 보안 패치가 발표되면 어떻게 조치하십니까?

포털이나 뉴스 사이트, 카페 등 웹에 접속만 해도 악성코드에 감염되는 일이 많습니다. 이에 어떻게 대비하십니까? 

MS 윈도우 보안 패치가 무엇인지 상당수의 대학생들이 모르고 있었다. 보안패치를 모르거나 알고는 있으나 설치한 적이 없는 대학생 수가 절반을 넘었다. 또, 바로 설치한다는 대학생수가 불과 20%였다.

웹 접속만으로 악성코드에 감염되는 것에 대해 어떻게 대비하냐는 문항에는 위험성은 알지만 제대로 대체하지 못하는 수가 68%를 차지했다. 미리 예방을 하고 있는 비율도 18%인만큼 악성코드 감염에 대한 대처가 부족한 상황이다.

 

스마트폰 애플리케이션 중 악성 앱이 많이 발견됩니다. 이에 어떻게 대비하십니까?

노트북, 스마트폰, 태블릿PC 등 모바일 기기 보안을 위해 가장 많이 실행하는 조치는 무엇입니까?

최근에 사용자수가 급격히 증가하고 있는 모바일 기기의 대한 보안의식도 측정해보았다. 우선 스마트폰 사용 중 악성 앱이 발견될 경우 어떻게 할 것이냐는 질문에 수동적인 대처가 많은 답변을 차지했다.

또, 모바일 기기 보안을 위해 가장 많이 실행하는 조치로는 초기화면 패스워드처럼 개인정보 보호에만 집중하는 경향을 보였다. Ahn

 

대학생기자 노현탁 / 건국대 기술경영학과


댓글을 달아 주세요