단점을 고치기보다 강점을 발견해 극대화하라

문화산책/서평 2013.09.24 07:00



위대한 나의 발견, 강점 혁명

NOW, DISCOVER YOUR STRENGTHS

- 마커스 버킹엄, 도널드 클리프턴 지음

- 윤봉락 감수

- 박정숙 옮김
<출처: 네이버 책>






"자신의 단점은 무엇인가" 라는 질문에는 대답할 것이 줄줄이 생각나면서, "자신의 장점은 무엇인가" 라는 질문에는 선뜻 대답하지 못하는 사람들이 있다. 사실, 꽤 많은 것 같기도 하다. 자기 자신의 발전을 단점을 보완하고 개선하는 방향으로 꾀하는 사람들 말이다. 


단점을 알고 그를 개선하려고 하는 것이 나쁜 것이 아니다. 하지만 이 책에서는 단점을 고치는 것 보다 강점을 잘 활용할 수 있도록 노력하는 것이 훨씬 효과적이라고 말하고 있다. 진정한 자기계발은 자신의 강점을 발견하고 집중적으로 활용하는 것으로 스스로를 차별화 시키는 것이라고. 


갤럽에서 30년 동안 각 분야에서 가장 뛰어난 200만 명을 인터뷰한 결과를 바탕으로 개발한 테스트인 'Strength Finder' 를 통해 34개의 강점 중 자신이 가지고 있는 상위 5개의 강점을 알아볼 수 있다. 이 책에서 말하는 강점 34가지와 그 간단한 설명을 덧붙여본다.


*개발자 Developer 다른 사람들의 가능성을 인정하고 키운다. 조그마한 진보 하나하나를 보여주는 신호를 알아보고 이러한 진보에서 만족을 얻는다.

*개인화 Individualization 각 사람의 고유한 속성에 매료된다. 서로 다른 사람들이 어떻게 함께 생산적으로 일할 수 있는가를 알아내는 재능이 있다.

*경쟁 Competition 자신의 진보를 다른사람의 성과와 비교한다. 이 사람들은 1등을 하기 위해 노력하며, 경쟁을 즐긴다.

*공감 Empathy 상상으로 다른 사람들의 인생이나 상황에 자신을 이입해서 다른 사람들의 감정을 느낄 수 있다.

*공평 Fairness 사람들을 똑같이 대할 필요를 강하게 의식한다. 분명한 규칙을 만들어 그에 따라 행동함으로써 세상의 모든 사람들에게 일관성있게 대하려고 노력한다.

*관계자 Relator 다른 사람들과 친밀한 관계를 갖는 것을 즐긴다. 친구들과 함께 목적 달성을 위해 열심히 일하는 것에 깊은 만족을 느낀다.

*긍정성 Positivity 주위 사람들에게 번지는 열의를 가지고 있다. 이 사람들은 낙관적이며 사람들로 하여금 자신들이 하려는 일에 열의를 갖게 만든다.

*매력 Woo 새로운 사람들을 만나 그 사람들의 마음을 얻는 일에 도전하기를 무척 즐긴다. 어색한 분위기를 깨고 다른 사람과 관계를 맺는 것에서 만족감을 얻는다.

*맥락 Context 과거를 생각하기를 즐긴다. 과거에 대한 연구를 통해 현재를 이해한다.

*명령 Command 확실한 태도가 있다. 상황을 장악하고 결정을 내릴 수 있다.

*미래지향 Futuristic 미래와 가능성에서 영감을 얻는다. 이 사람들의 미래에 대한 비전은 다른 사람들에게 영감을 준다.

*복구자 Restorative 문제에 대처하는 능력이 뛰어나다. 무엇이 문제인지 알아내서 해결하는 데 뛰어나다.

*분석가 Analytical 이유와 원인을 찾는다. 특정 상황에 영향을 줄 수 있는 모든 원인들을 생각하는 능력이 있다.

*사고 Intellection 지적 활동으로 특징지어진다. 내성적이고 지적인 토론을 높이 평가하고 즐긴다.

*성취자 Achiever 정력이 넘치고 열심히 일한다. 바쁘고 생산적인 것에 큰 만족을 얻는다.

*신념 Belief 변하지 않는 특정 핵심 가치를 가지고 있다. 이 가치들 중에서 인생의 목표가 정의된다.

*신중함 Deliberative - 진지하게 생각해서 결정하거나 선택하는 사람으로 가장 적절하게 표현된다. 이 사람들은 장애가 있을 것을 예상한다.

*연결성 Connectedness 모든 것이 관련되어 있다고 믿는다. 우연이란 거의 없고 대부분의 결과에는 원인이 있다고 믿는다.

*의사소통 Communication 대개 자신의 생각을 쉽게 말로 옮길 수 있다. 대화와 발표에 능하다.

*자기확신 Self-Assurance 자신의 생활을 관리하는 자신의 능력에 자신감을 느낀다. 자신의 결정이 옳다는 자신감을 갖게 해주는 내적 척도가 있다.

*적응력 Adaptability 자연스러운 진행과정을 선호한다. 현재에 살며 일이 일어나는대로 받아들이고 미래를 하루하루 발견해 간다. 

*Strategic 일을 진행하는 대안적인 방법을 만든다. 어떤 시나리오에 직면하더라도, 이와 관련된 경향과 문제를 신속하게 찾아낼 수 있다.

*조정자 Arranger 조직력이 있지만 이 능력을 보완하는 유연성도 있다. 모든 단편들과 지원들이 어떻게 조직되어야 최대의 생산성을 얻을 수 있는지 알아내기를 좋아한다.

*조화 Harmony 합의점을 찾는다. 갈등을 좋아하지 않고, 그보다 동의의 영역을 찾는다.

*중요성 Significance 다른 사람들에게 매우 중요한 존재가 되고싶어 한다. 독립적이며 인정받기를 원한다.

*질서 Discipline 정해진 순서와 구조를 즐긴다. 이 사람들의 세계는 그들이 만들어내는 질서로 가장 잘 표현될 수 있다.

*착상 Ideation 아이디어에 매료된다. 다른 현상들간의 관계를 찾아낼 수 있다.

*책임 Responsibility 자신이 하겠다고 말한 것에 심리적인 의무감을 갖는다. 정직과 헌신적 애정과 같은 안정된 가치에 따르려고 노력한다.

*초점 Focus 방향을 정하고, 끝까지 노력을 기울이고 목표를 위한 진로에서 벗어나지 않도록 수정을 가한다. 우선순위를 정한 다음 행동한다.

*최상주의자 Maximizer 개인과 집단의 우수성을 자극하는 일종의 방법으로 장점에 초점을 둔다. 우수한 것을 최상의 것으로 만들려고 한다. 

*탐구심 Input 더 알고 싶어하는 열망을 가지고 있다. 각종 정보를 수집해 보관하는 것을 좋아한다.

*포괄성 Inclusiveness 다른 사람들을 받아들인다. 배제된 사람들을 의식하고 그들을 포함시키기 위해 노력한다.

*학습자 Learner 배우고 계속 진보하려는 열망이 강하다. 결과보다는 학습 과정에 흥미를 느낀다.

*행동주의자 Activator 생각을 행동으로 옮겨 일을 만든다. 종종 성격이 급하기도 하다.


강점 리스트를 쭉 보고 '나는 이런 강점을 가지고 있을 것 같다'고 생각하는 것과, 실제로 테스트를 해 보고 난 결과가 생각보다 달라서 놀랐다. 내가 고칠 점이 무엇인지 늘 생각하다가 내 강점은 무엇인지 생각해보는 시간을 가질 수 있다는 것이 신선하고, 자신감도 얻을 수 있었다.


한편으로는 사람들간의 상대성도 다시 한번 느낄 수 있었다. 저런 34가지의 항목중 일부만 있고 일부는 없다는 소리가 아닐 것이다. 다 갖추고 있어도 상대적으로 열등한 것들, 우월한 것들이 있을 것이다. 또 각자 가지고 있는 고유한 성향, 성장 배경이나 주위의 사람들, 직업에 따라서 어떤 성향은 독이 될 수도 있다. 똑같이 '신중함'을 가지고 있더라도 누군가에게는 우유부단한 결정을 내리게 하는 독이 될 수 있고, 누군가에게는 어떤 목표에 도달하기 위한 장애물을 생각하고 대처하는 좋은 능력이 될 수도 있기 때문이다. 그것은 각자가 살아가면서 생각하고 경험하는 과정에서 발달되는 고유한 '재능'일 것이다. 그 재능을 알아내고, 갈고 닦으면 그 재능은 본인의 강점이 된다.


많은 사람들이 자신의 재능을 모른 채, 발전시키고 싶은 어떤 능력이 있을 때 충분히 노력한다면 학습할 수 있다고 믿는다. 그러나 약점을 보완하는 것이 어떻게 보면 에너지를 허비하는 것일수도 있다. 누구에게든 고유한 재능이 있고, 자신의 반복적인 행동 패턴에서 재능을 발견해내고 그것을 생산적인 진정한 강점으로 개발하는 것이 약점을 개발하려고 하는 것 보다 훨씬 비용은 적게 들고 효과는 보다 크다. 그러나 오해를 해서는 안된다. 이 책에서는 약점을 무시하라는 것이 아니라, 약점을 관리하라고 말하고 있다. 강점에 집중하되, 약점은 관리하는 것이다. 


강점을 기반으로 일과 인생을 윤택하게 하려면 어떻게 해야 할까. 세 가지 필요한 도구를 이야기 해 주고 있는데, 첫째는 '재능과 학습을 통해 얻은 능력을 구별하는 것', 줄째는 '재능을 알아내는 것', 셋째는 '재능을 말로 표현하는 것'이다. 


진정한 강점을 구축하기 위해서 우리는 자신의 가장 뛰어난 재능을 발견하고 지식과 기술을 통해 그것을 다듬어야 한다고 한다. 자신의 지식과 기술로 재능을 강점으로 변화시킬 것인지는 우선 그것을 구별하는 것부터 시작해야 한다. 


또한 본인의 두드러진 재능을 알아내는 가장 확실한 방법은 '한 발 물러나서 자신을 바라보는 것' 이라고 한다. 이 말에 많이 공감했는데, 자신을 객관적으로 바라보는 것, 자신을 제 3자의 입장에서 냉철하게 바라보는 것이 나의 단점을 파악하는 데 도움이 된다고 항상 생각해 왔기 때문이다. 그런데 정작 그런 입장에서 내 재능이 무엇인지, 내가 잘 하는 것이 무엇인지는 파악 해 볼 생각을 한 적이 없었다는 사실에 적잖이 놀랐다.


또한 재능을 말로 표현하는 것이 중요하다. 재능을 묘사하는 공통적인 언어가 필요하다고 이야기 하고 있다. 인간의 약점을 표현하는 언어는 매우 다양하지만 강점에 관한 언어는 빈약하다. 저자는 '유감스럽게도 인간의 강점을 표현하는 언어의 수준은 여전히 초보적인 단계에 머물러 있다' 라고 한다. 그렇기 때문에 저자는 인간의 강점을 '34가지'로 나누어 표현했다고 설명한다.


 


자신의 단점을 냉철하게 바라보는 것은 중요하게 여겼으면서, 정작 많은 장점을 가지고 있음에도 장점에는 한없이 냉정한 사람이 있다. 그리고 나도 그렇다. 하지만 진정한 자신의 발전, 보다 효율적인 발전을 위해서는 자신의 강점과도 냉철하게 마주할 수 있어야 한다는 생각이 들었다. 자신의 내면에 귀를 기울이는 시간을 많이 가지고 자신과 마주하려고 노력할 수록 보다 재능도 수월하게 발견하고 강점으로 발전시킬 수 있는 여지가 있다. 그런 시간을 가지지 못하거나, 어렵다고 느껴지는 사람들에게 이 책의 테스트느 생각보다 꽤 괜찮은 가이드라인을 제시해 주는 것 같다. 


강점은 '어떤 일을 할 때 꾸준하게 좋은 성과를 낼 수 있는 능력' 이라고 한다. 어쩌다 한 번 좋은 성과가 난 것은 자신의 재능이 발휘되었다고 하기보다는 운이 좋았다고 하는 것이 보다 합리적이기 때문이다. 하지만 꾸준하게 좋은 성과를 내는 것이 없다고 할지라도 '내게는 재능이 없나' 라고 좌절하지 말자. 좋은 성과를 내는 것 보다 중요한 것은 '내가 지금 하고 있는것이 즐거운가' 라는 대답에 '즐겁다' 라는 대답을 할 수 있는 것일테니까. 그 즐거운 시간은 미처 알아차리지 못한 내 무의식 속에서, 무의식적으로 내 재능을 발휘하고 있는 순간일 확률이 높을 것이다. 


반면에, 즐겁지 않은 일을 억지로 '즐겁다' 라고 애써 의식하는 경우도 분명 있을 것이다. 이런 경우에는 하기 싫은 것도 참고 견디는 것이 재능일 수도 있을 것이다. 하지만 이런 재능을 하기 싫은 일에 발휘하는 것 보다, 자신에게 보다 솔직해지고 하고 싶은 일에 '견디는 재능'을 발휘한다면 보다 강력한 강점이 되어 훨씬 즐겁고 윤택한 삶을 살수 있지 않을까.


이 책을 읽고 무엇보다도 자신의 재능을 발견하고 그것을 강점으로 만들기 위한 가장 중요한 점은 자신에게 솔직해지는 것이라는 생각이 들었다. 자신을 속인 채로 내가 원하는 재능이 내가 가진 재능이 아닌 것을 인정하기 싫어서 계속 고집부린다면 결국 자신의 진짜 가치를 알지도 못한 채, 원하는 페르소나에 자신을 끼워 맞추려고 삶을 허비하는 것 밖에 될 수 없을 것이다. 내가 부족한 것이 무엇인지 아는 것을 중요하다고 생각하는 만큼, 내가 남들보다 뛰어난 것이 무엇인지 아는 것도 중요하다는 생각이 들었다. 


내 가치가 무엇인지 진정하게 아는 사람이 남들에게도 가치를 인정받을 수 있지 않을까. 이 책은 조직에서 어떤 강점을 가진 사람을 어떻게 적재적소에 배치하는지에 대한 내용이 나와있지만, 꼭 조직을 위해서가 아니라도 상관 없다. 자신의 재능을 발견하기 위한 가이드라인으로 이 책은 꽤 준수하다. 테스트를 하고 책을 읽고 난 후에는 나에 대해서 긍정적으로 생각하고 자신감을 얻을 수 있는 기회를 가질 수 있도록, 스스로와 거짓없이 마주해보는 시간을 가져보는 것을 추천한다. Ahn



대학생기자 강정진 / 숙명여자대학교 컴퓨터과학과


學而不思則罔思而不學則殆

배우기만 하고 생각하지 않으면 멍청해지고, 생각하기만 하고 배우지 않으면 위태로워진다.


댓글을 달아 주세요

10개 대학 정보보호 동아리가 뭉친 까닭은

현장속으로/세미나 2013.09.17 07:00



2012년에 신규 결성된 전국 대학교 정보보호 동아리 연합인 INCOGNITO가 지난 8월 30일부터 9월 1일까지, 양재동 KT 연구개발센터에서 2회 컨퍼런스를 개최했다. INCOGNITO는 고려대학교, 서울여자대학교, 성균관대학교, 세종대학교, 숙명여자대학교, 연세대학교, 인하대학교, 포항공과대학교, 한국과학기술원, 한양대학교에 소속된 10개의 정보보호 동아리가 모인 연합 동아리이다. 연 1회 이상의 정보보호 기술 컨퍼런스 개최가 주요 활동이다. 작년 포항공대에서 이틀 동안 개최했던 1회에 이어, 이번 2회는 3일 동안 진행되었다. 더욱 더 많은 세미나와 특별 발표 세션이 진행되었다. 

 

INCOGNITO 연합은 구성 동아리들이 정보보호 분야에서 많은 활동을 수행하면서 두각을 나타내고 있어 앞으로의 발전 가능성이 주목된다. 발전가능성을 보여주는 대학 정보보호 동아리들은 왜 INCOGNITO 연합을 만든 것일까, 그리고 어떻게 INCOGNITO를 발전시켜 나갈까? INCOGNITO를 이끌어간 운영진들에게 INCOGNITO와 준비과정, 앞으로의 계획 등을 들어보았다.


아래는 INCOGNITO 운영진의 인터뷰를 정리한 것이다.


Q : INCOGNITO 연합을 소개해주세요. 어떤 취지로 모이게 되었나요?

-컴퓨터 보안을 주제로, 상업적인 것 말고 '대학생들이 할 수 있는 것들을 모여서 해보자' 라는 취지로 모이게 되었어요. 작년에 1회를 진행했고, INCOGNITO에 소속된 동아리들끼리만 모여서 하면 발전이 없을 것 같아서 올 해에는 외부에도 공개를 했습니다. 내년 행사에도 많은 사람들과 교류할 수 있도록 준비를 해서 진행 할 예정입니다.


Q : INCOGNITO를 준비한 기간이 어떻게 되나요? 어떤 것을 중심으로 준비했는지도 궁금합니다.

-준비기간은 6개월정도 됩니다. 준비한 것은 당연히 발표 컨텐츠가 중심이었던 것 같고, 너무 발표만 진행되면 딱딱해지기 쉬우니까 부가적으로 컨퍼런스를 채워줄 수 있는 친목행사나 골든벨 같은 것들을 추가하는 식으로 준비했습니다.


Q : 세미나를 위한 발표주제를 선정하는 기준이 있을까요?

-기준은 딱히 없습니다. 각 대학교의 동아리마다 자체적으로 연구하는 것들을 주제로 선정해서 발표합니다.


Q : CTF도 진행이 되었는데, CTF에 대해서도 소개 해 주세요.

-보안 공부를 많이 한 사람들도 있지만, 동아리에는 이제 막 공부를 시작한 신입생들도 있어요. 그런 신입생들에게 해킹과 보안을 접할 기회를 줄 수 있도록 CTF를 진행했습니다. 포항공대와 카이스트에서 문제 출제를 맡았고, 신입생들과 어느정도 문제를 풀 줄 아는 사람들을 적절히 섞어서 팀을 이루어 진행했습니다.

-문제를 출제할 때는 분야를 다양하게 내려고 노력했습니다. 해킹에 다양한 분야가 있으니까요. 익스플로잇이라던지, 포렌식이라던지, 웹이라던지. 골고루 내는 것을 목표로 했고, 아무래도 참가자들의 실력 분포가 다양하고 또 즐기자는 취지도 있었기 때문에, 쉽게 내자고 이야기 하면서 진행했습니다.

-하지만 난이도 조절에 살짝 실패한 경향이 있는 것 같아요. 문제를 출제하는 입장에서 학생들 수준을 너무 높게 잡았던 것 같습니다. 참가자 대부분이 신입생들이었는데, 그걸 고려를 안한거예요. 내년에는 문제를 좀 더 쉽게 낼 에정이예요. 그런데 CTF 문제를 쉽게 내면 팀의 잘 하는 사람이 문제를 빨리 풀고, 비교적 실력이 부족한 학생들이 겉돌수가 있어서 그런 상황들도 고려를 해야할 것 같습니다. 그래서 외부 CTF와 내부 CTF를 나눠서 외부 CTF는 어렵게 내고, 내부 CTF는 쉽게 내면 어떨까, 하는 의견이 나왔던 것 같아요.


Q : 운영하면서 어려웠던 점이 있나요?

-가장 어려웠던 점은 장소가 너무 늦게 정해져서 준비할 것들이 막바지에 몰렸던 것이었어요. 그 외에는 소속된 동아리들이 각자 협조도 잘 해주셨고, 커뮤니케이션도 잘 되었기 때문에 별다른 문제는 없었던 것 같습니다.


Q : INCOGNITO가 궁극적으로 이루고자 하는 목표가 있나요?

-어떤 것을 이루겠다 하는 목표는 딱히 없는 것 같습니다. 주어진 것들을 활용해서 열심히 준비하고, 교류하고 공부하는 것이 최선이라고 생각해요. 일단 INCOGNITO에 소속된 동아리들이 딱히 뭘 바라고 이 연합에 참가한 것이 아니니까요. 그냥 참여를 해서 우리들끼리 하고싶은 것들 하자, 이런 취지로 모였습니다. 모여서 공부하고 서로 발표하면 좋은거니까요.


Q : 앞으로 INCOGNITO가 어떤 연합, 어떤 컨퍼런스로 성장을 했으면 좋겠다고 생각하나요?

-아무래도, 바라는 것이 있다면 발표 주제를 선정할 때 컨퍼런스를 위해서 발표 주제를 선정하는 것 보다 평소에 연구했던 것들 중에서 재미있었던 것을 발표하는 장이 되었으면, 그렇게 성장했으면 좋겠다는 생각이 듭니다. 사람들이 대학생들의 컨퍼런스를 듣는 이유는 대학생들이 어떤 것에 관심이 있고 어떤 것을 평소에 공부하는지 들으려고 오는거니까요. 평소에 하고 있는 것들을 중심으로 발표했으면 좋겠습니다.

-컨퍼런스에서 만난 사람들끼리 컨퍼런스 기간동안만 만나다가 끝나는 게 아니라, 지속적으로 교류할 수 있는 컨퍼런스가 되었으면 좋겠어요. 그리고 규모가 조금 더 커져서 외부 사람들도 많이 참가하는 컨퍼런스가 되었으면 좋겠습니다.


Q : 3회에 더 해보고싶거나 보완하고 싶은 컨텐츠들이 있나요?

-일단은 INCOGNITO를 후원해주시는 후원사와 함께 취업 리크루팅을 했으면 좋겠다는 의견도 있었어요. 그리고 CTF를 우리끼리만 진행하는 것 보다, 외부에 공개를 하면 어떨까 하는 의견도 있었습니다. 외부에 공개적으로 하는 것 하나, 우리끼리 진행하는 것 하나, 이런 식으로요. 저희가 문제를 출제하고 외부에도 공개해서 참가를 유도하는거죠. 

-예산이 부족해서 그랬는지, 공식적인 뒷풀이가 없었어요. 친목적인 부분이 살짝 아쉽습니다. 이렇게 컨퍼런스를 끝내고 나면 내년에 3회가 있기 전 까지는 잘 못 만나거든요. 온라인상으로도 활발하게 교류할 수 있도록 친목적인 부분을 강화했으면 좋겠다고 생각했어요.

-CTF 문제도 좀 더 쉽게 내서 신입생들이 더 의욕적으로 참가할 수 있도록 유도했으면 좋겠다는 생각도 듭니다.

-3회에는 조금 더 책임감있게 행사를 준비하고, 자기 동아리 활동이 아니라 "INCOGNITO 활동이다" 라고 생각하고 모든 동아리들이 조금 더 끈끈한 유대관계를 가지고 참여했으면 좋겠습니다. 그렇게 되면 내년에는 더 좋은 모습으로 많은 사람들께 선보이고 만나뵐 수 있으니까요.


Q : 마지막으로 더 하고싶은 말이 있나요?

-대학의 정보보안 동아리들이, 동아리 내에서만 활동하는 것 보다는 다른 동아리들과 서로 교류를 많이 했으면 좋겠어요. 그러면 더 많은 것들을 배울 수 있고, 여러가지 분야도 더 쉽게 접할 수 있어요. 아는 사람들이 많아질수록 관심 분야에 대한 이슈들을 접하기도 쉽고요. 좋은 기회이니까, 보안동아리들끼리 서로 활발하게 교류했으면 좋겠습니다.

-정보보안이라는 분야가 IT분야에서는 아직 많이 활성화 되지는 않았다고 생각해요. 일단 좁은 분야이기도 하고요. 그만큼 저희들끼리 모여야 발전 가능성도 더 커질 것이라고 생각합니다. 정보보안까지 두루 갖춘 IT강국이 되려면 저희가 뭉쳐야 하는 것 같아요.

-40년 전에도, 30년 전에도, 20년 전에도 계속 10년 뒤 유망직동이 정보보안전문가라고 나오는데, 아직 그렇지는 않은 것 같아요. 대학생들끼리 뭉쳐서, 정말 10년 뒤에 유망직종이 되도록 같이 공부하고 교류했으면 좋겟습니다.


아무런 대가를 바라는 것 없이, "좋아서 모인 것 뿐이다" 라는 말이 참 와닿는다. 열정을 가진 우수한 정보보호 동아리들이 연합하여 스스로 꾸려가는 대학생들의 모습이 보기 좋다. 정보보안 인력이 조금 더 단단해지고 성장할 수 있는 발판을 스스로 만들어가는 INCOGNITO의 앞으로의 행보가 기대된다. Ahn




대학생기자 강정진 / 숙명여자대학교 컴퓨터과학과


學而不思則罔思而不學則殆

배우기만 하고 생각하지 않으면 멍청해지고, 생각하기만 하고 배우지 않으면 위태로워진다.





댓글을 달아 주세요

내가 분실한 스마트폰을 해커가 습득했다면?

현장속으로/세미나 2013.09.05 08:49

하루종일 손에 붙어있는 시간이 많은 스마트폰. 메시지를 주고받는 일부터 사진을 찍고 SNS에 글을 올리고 메일을 확인하고 문서를 보는 일까지, 스마트폰이 우리 생활에 들어오면서 우리는 많은 일들을 스마트폰으로 해결하고 있다. 그렇기 때문에 스마트폰을 잃어버리면 개인정보 유출 등 심각한 피해를 입을 수 있고, 휴대폰 분실이 큰 문제로 이어질 수도 있다. 


지난 8월 30일부터 9월 1일까지, 양재 KT 연구개발센터에서 개최된 INCOGNITO Hacking Conference 2013에서 다양한 주제의 발표가 진행되었다. 그 중, 인하대학교 정보보안동아리 NewHeart 소속의 박민건씨가 <Variety of SmartPhone Hacking>이라는 주제로 진행한 발표 내용을 소개한다. 




분실한 스마트폰을 해커가 습득했을 때 어떤 일들을 할 수 있을까? 해커가 스마트폰을 습득했을 때 해커의 관점에서 어떤 식으로 해킹을 할 수 있는지, 총 5가지의 시나리오를 토대로 발표가 진행되었다. 아래의 내용은 발표 내용을 발표자의 말로 재구성한 것이다. 




1. Smudge Attack


스마트폰을 습득했을 때 가장 빠르게 스마트폰을 해킹할 수 있는 방법이다. 폰을 비스듬하게 놓고 보면 지문이 보이는데, 보통 패턴으로 잠금이 걸려있을 경우 쉽게 패턴이 노출된다. 


즉, Smudge Attack이란 터치스크린에 묻어있는 지문으로 패턴이나 비밀번호를 유추해내는 공격이다. 다양한 각도나 밝기, 명암을 조성하여 성공률을 높일 수 있다. 실제로 논문으로 나오기도 하는 연구 주제로, 유명한 공격이다. 




2. Take Shell


Smudge Attack에 성공을 했든 안했든, 스마트폰을 습득했을 경우에는 루팅을 하는 것이 가장 획기적인 방법이다. 참고로, 루팅이 합법적일까 불법적일까 의구심이 들어서 조사해 보았는데, 조사한 결과 루팅은 합법적이다. 루팅과 관련한 법규가 아직 없기 때문이다. 하지만 루팅을 할 때는 조심히 진행해야 하는데, 잘못될 경우 흔히 말하는 '벽돌' 이 될 수 있다. 


루팅을 할 수 있는 방법은 3가지 정도가 있다. 알려진 커널 익스플로잇을 이용해 루팅을 하는 방법이 있고(Android Kernel Exploit), 루트 권한을 가진 이미지를 가지고 플래싱을 하는 방법(Rooted Image Flashing), 그리고 Update.zip 파일을 이용해 플래싱 하는 방법(Using Update.zip to set rooted environment)이다. 


다양한 종류의 안드로이드 버전이 있는데, 각 버전에 따라서 구글링을 통해 커널 익스플로잇을 구할 수 있다. 통상 커널 익스플로잇보다 이미지를 이용한 플래싱을 하는 방법을 더 많이 사용한다. 'fastboot mode'로 진입한 뒤에 커스터마이징한 이미지를 플래싱하는 방법인데, 커널 익스플로잇을 찾는 것보다 훨씬 쉬운 방법이다. 역시 구글링을 통해서 순정롬을 획득한 뒤 커스터마이징을 해서 사용하면 된다. Update.zip 파일을 이용하는 방법은 이미지를 플래싱하는 방법과 유사하다. Update.zip 파일 안에 boot.img 파일을 이용하는 방법이다. 


루팅을 할 때는 USB 디버깅 모드가 ON으로 되어 있을 경우 쉬워진다. OFF가 되어있을 경우에는 persist.service.adb.enable의 값이 0으로 설정 되어있는 것을 1로 바꿔준 뒤에 이미지 플래싱을 하면 된다고 하는데, 직접 해본 결과 성공하지는 못했다. 하지마 커널 이미지를 실제로 고칠 수 있다는 점은 변함이 없기 때문에 디버깅 모드가 ON이든 OFF이든 루팅을 할 수 있는 것은 확실하다.


3. Pattern Lock BruteForcing


스크립트에서 중요한 부분은 permutations 함수를 이용하는 것이다. 안드로이드의 패턴락에 관한 데이터파일은 /data/system/gesture.key 경로에 있다. 해당 key파일은 SHA-1 해쉬 알고리즘으로 암호화가 되어있다. 이 파일을 명령어를 통해 추출을 해 놓은 다음, 파이썬으로 BruteForce하는 스크립트를 짜서 이용한다.


스크립트에서 중요한 부분은 permutations 함수를 이용하는 부분인데, 패턴락이 순서를 가지고 있는 순열 형태이기 때문이다. 암호화 패턴이 가질 수 있는 최소값과 최대값을 설정하고, 패턴이 될 수 있는 모든 경우의 수를 리스트 형식으로 만들어 준 뒤 HEX값으로 바꾼 뒤 원래 값과 비교하는 방식으로 BruteForcing 할 수 있다. 


왜 이런 보안을 하지 않느냐 하면 사실 루팅을 하면 패턴 락이 걸려 있어도 lockscreen과 관련된 값을 1로 바꿔주면 끝나버리기 때문이다. 그렇기 때문에 패턴락 BruteForcing과 관련된 연구를 그렇게 활성화 되어있는 상태는 아니다.


4. Time To Hack Her


해커라면, 단순하게 볼 수 있는 정보에는 접근하지 않는다. 단순하게 볼 수 없는 정보의 예는 삭제된 통화기록이다. 사용자가 통화기록을 삭제하면, 안드로이드는 삭제와 동시에 Garbage-Collection을 진행하기 때문에, 그냥 볼 수가 없다. 보려면 다른 방법을 써야하는데, Logcat을 이용하면 삭제된 기록을 볼 수 있다.


또한 삭제된 사진 목록은 어떻게 볼 수 있을까? 간단하다. 이미지를 전부 덤프 뜬 뒤에 winhex나 foremost같은 도구를 이용하여 카빙 하면 된다.


또한, 스마트폰 메신저의 캐시 사진을 추출할 수도 있다. 스마트폰 주인이 예전에 설정했었던 프로필 사진까지 볼 수 있다. 사용자 뿐 아니라 사용자 친구들의 전 프로필 사진까지 전부 볼 수 있다. 데이터베이스에 접근한 뒤 확장자가 안적혀있는 파일들에 jpeg 확장자를 붙여주면 전부 사진으로 보인다. 수많은 사진을 일일이 jpeg 확장자를 달아줄 수 없어서, 간단한 스크립트를 통해 jpeg로 파일 확장자를 전부 바꿔주는 방식을 택했다. 


이제 습득한 스마트폰 주인의 사진까지 다 찾아볼 수 있었다. 그럼 그 다음에 무엇을 더 할 수 있을까? 스마트폰을 다시 주인에게 돌려준다. 단, 해당 스마트폰에 리버스쉘을 설치하면 스마트폰 메신저를 사칭할 수가 있다. 이런 방법은 금전 피해와도 연결될 수 있다. 리버스쉘을 해당 스마트폰에 설치한 뒤, 원격으로 데이터베이스에 접근하고, Select문으로 메시지를 엿본 후 Insert와 Update문으로 적절히 데이터를 조작해 보내는 것이다. 


스마트폰에 리버스쉘은 설치하면 되지만, 파이썬이나 루비는 안드로이드 스마트폰에 설치되어 있지 않다. busybox에 netcat이 설치되어 있긴 하지만, -e 옵션이 먹히지 않는다. 어떻게 할까 고민하다 보니 telnet을 떠올리게 되었다. 


예를 들어 공격자가 8888번 포트와 9999번 포트를 열고, 텔넷을 이용해서 8888번 포트로 들어오는 메시지를 시스템 명령어를 통해 출력한 다음, 9999포트로 넘겨주는 식이다. 이렇게 연결한 뒤 메시지를 Insert문을 통해 조작해서 보내면 된다. index 부분은 하나씩 늘려주고, 고유 id에는 겹치지 않는 숫자를 넣어준다. 그 뒤 전송할 메시지와 시간을 보낸다. 안 읽은 메시지 부분을 1로 설정해서 보낸다면 타겟을 완벽하게 속일 수 있다.


이런 기술적인 방법 말고도, 일반 사용자가 다른 사람의 스마트폰 메신저를 몰래 볼 수 있는 방법도 있다. airplane 모드 등을 켜서 단말기에 네트워크를 끊은 뒤 스마트폰 메신저에 접속하면, 이미 와있지만 확인하지 않은 메시지를 보더라도 읽지 않았다는 숫자 표시가 사라지지 않는다. 다시 네트워크를 연결하고 보면 숫자 표시가 사라진다. 이런 소소한 취약점을 이용해서도 남의 메시지를 들키지 않고 볼 수 있다. 


5. Can iPhone be attacked by DoS?



이 공격에는 에피소드가 하나 있다. KUCIS 세미나를 동아리 멤버와 같이 들으러 갔는데, 그 친구가 심심하다고 내 휴대폰을 가지고 가서는 통화 애플리케이션을 실행시키더니 계속 번호를 눌렀다. 계속 누르길래 다시 휴대폰을 가져와서 통화를 눌러봤더니, 20분 동안 휴대폰이 움직이지를 않는 거다. 휴대폰이 고장난 줄 알았는데, 집에 와서 생각해보니 버퍼 오버플로우인가, 하는 생각이 들었다. 


그 친구는 보안에는 관심이 없고 소프트웨어 개발에만 관심이있는 친구였는데, 나는 보안에 관심이 있으니까 이런 생각을 하게 되는 것이다. 관점의 차이이다. 그래서 다시 한번 집에서 해 봤는데, 또 한 시간 동안 휴대폰이 움직이지 않는 상태에서 배터리는 막 소모되다가 재부팅되는 상황이 발생했다. 그래서 연구를 시작했다. 그렇게 뚜렷한 연구결과는 아니지만, 계속 연구해볼 의향이 있다.


취약점은 전화 애플리케이션에서 터진다. 전화 애플리케이션이 생각보다 취약한 것 같다. 아이폰의 전화 애플리케이션은 40자리 이하의 번호를 입력하면 입력이 잘못되었다고 알려주지만, 40자리 이상의 번호를 입력하면 그런 것 없이 가만히 휴대폰이 멈춰있는 현상이 발생한다. 애플리케이션이 입력값의 길이를 체크하지 않기 때문에 가능하다. 


입력값이 200자, 300자, 400자, 이렇게 늘어날수록 반응속도가 더욱 느려진다. 그러다가 1000개의 입력값을 넣고 통화버튼을 누르니 20~30분동안 아무것도 되지 않는다. 이런 취약점을 이용해서 어떤 공격을 할 수 있을까, 생각해 보았다. 그래서 일단 1000개 자리의 번호를 친구로 등록했다. 그 다음에 그 번호로 전화를 걸었더니 처음에는 3G가 꺼지고, 그 후에는 휴대폰 상태바에 통신사 이름이 사라지는 현상이 발생했다.


이것을 어떻게 더 응용해볼 수 없을까 생각하다가, 서버를 하나 만들어두고 TEL tag를 이용하는 방법을 생각해 보았다. TEL tag에 긴 숫자를 넣은 다음에 스미싱처럼 그 태그를 메시지로 친구들에게 보내는 것이다. 그렇게 되면 그 메시지를 받은 사람들이 태그를 누르는 순간, 해당 사용자의 휴대폰은 마비가 될 것이다. 일종의 DoS 공격이 되는 것이다. 분명 더 뚜렷한 취약점이 있을 것이다. 더 연구해 볼 생각이다.



이처럼 분실한 휴대폰을 해커가 습득했을 경우, 악의적인 목적을 가지고 얼마든지 정보를 유출하고 이용할 수 있다. 사실 이 발표는 발표 내용도 흥미로웠지만 각 공격 방법마다 데모 영상이 준비되어 있어서, 영상으로 공격 과정을 볼 수 있어서 더 흥미로웠다. 


특히 4번 공격 시나리오인 'Time To Hack Her'에서 스마트폰 메신저와 관련한 해킹 내용이 흥미로웠고, 5번 공격 시나리오인 'Can iPhone be attacked by DoS?'의 데모 영상 또한 인상깊었다. 특히 친구의 장난으로 시작된 현상을 취약점과 관련지어서 생각하고 연구하고 그것을 발표하는 것이 매우 재미있게 다가왔고, 보안 공부를 하는 사람의 입장에서 배워야 할 자세라는 생각이 들었다. 


이렇게 스마트폰을 가지고 할 수 있는 해킹 방법이 다양하다. 분실된 휴대폰으로 할 수 있는 여러 공격을 예방하기 위해서 모바일 운영체제나 모바일 애플리케이션에 대한 보안 또한 신경 써야 할 부분이 되었다. 그러나 스마트폰의 보안을 지키는 첫 걸음은 '휴대폰을 잃어버리지 않는' 것일지도 모르겠다. 분실된 스마트폰이 어디로 어떻게 흘러들어갈지, 돌려받은 휴대폰에 악성코드가 설치되어 있을지 파악하고 난 뒤는 이미 해킹을 당한 뒤일 테니 말이다. Ahn



대학생기자 강정진 / 숙명여자대학교 컴퓨터과학과


學而不思則罔思而不學則殆

배우기만 하고 생각하지 않으면 멍청해지고, 생각하기만 하고 배우지 않으면 위태로워진다.


댓글을 달아 주세요

  1. 미소 2013.09.05 15:43  Address |  Modify / Delete |  Reply

    대단해요~ㅋㅋ

  2. 왕샘 2013.09.05 16:06  Address |  Modify / Delete |  Reply

    휴대폰 분실 조심해야겠네요

주니어 해킹방어대회 수상자 3인 생생 인터뷰

"무자비한 로봇들의 공격으로부터 세상을 구할 수퍼 해커 여러분...! 역시 다시 와주셨군요.. 감사합니다! 우리는 이제 곧 로봇들의 소굴로 진입할 것입니다. 그 곳엔 다른 모든 로봇들을 중앙에서 컨트롤하는 핵심 로봇들이 있습니다. 이들을 모두 물리치는 것이 우리의 목표입니다. 각각의 로봇은 모두 하나의 네트워크로 연결되어 있습니다. 지금부터 우리는 이 네트워크를 통해 로봇의 취약점을 공격할 것입니다. 이제 인류의 운명은 여러분들의 손에 달려있습니다. 여러분들께서 분명 해낼 수 있을거라 믿습니다!"


영화의 시놉시스 같은 위의 글은 다름 아닌 청소년 해킹방어대회의 시나리오이다. 300명이 넘는 친구들이 모여 치룬 온라인 예선을 거치고, 지난 12일 한국과학기술회관에서 열린 ETRI 주최 '제 1회 주니어 해킹방어대회'의 본선 현장을 다녀왔다. 본선에는 치열한 예선을 거쳐 올라온 30명의 중고생 화이트해커들이 모여 실력을 겨루었다. 



본선에 올라온 30명 모두가 이 대회의 주인공이었지만 그래도 순위는 존재하는 법. 대회가 끝난 후, 난이도 높은 문제들을 돌파하며 금상, 은상, 동상을 거머쥔 친구들과 식사를 하며 대회 참가 후기부터 앞으로의 비전까지, 그들의 이야기를 들어보았다.


아래는 금상, 은상, 동상을 수상한 친구들과 나눈 이야기를 정리한 것이다. (은상 수상자는 동점으로 2명이다. 나머지 한 명은 일산동 고등학교 2학년에 재학중인 진용휘 학생이다. 아쉽게도 인터뷰는 하지 못 했다.) 


금상 - 임정원 (선린인터넷고등학교 2학년)


Q : 문제의 수준은 어땠나요? 특별히 기억에 남거나 재미있는 문제가 있었나요?

A : 마지막까지 풀었던 문제가 제일 기억에 남아요. 스택의 데이터를 다 지워버리는 문제였는데, 결국 풀지 못 했습니다. 예선 문제 수준은 어렵지 않은 편이었는데 본선은 국제대회나 규모있는 대회와 비슷한 수준이라고 생각해요.


Q : 가장 자신있는 분야가 있나요? 특별히 흥미가 있는 분야가 있다면?

A : 시스템 해킹이 가장 재미있어요. 이렇다 할 이유는 없는데 그냥 재미가 있어요. 반면에 암호학이나 포렌식이 조금 어렵다고 느낍니다.


Q :  오늘 참가한 주니어 CTF와 다른 해킹대회의 차이점은 뭐라고 생각해요?

A : 보통 청소년 대회에서는 시스템 해킹 문제가 잘 나오지 않는데 이번에는 그 문제가 나왔습니다. 그래서 좋았습니다.


Q : 대회를 참가하면 실력이 향상되고 있다, 향상에 도움이 된다는 걸 느낄 수 있나요?

A : 대회를 거듭 참여할수록 수월하게 풀리는 문제가 느는 것 같아요. 순위도 점점 올라가니까 실력이 늘고 있구나 하는 것이 느껴지죠. 

 

Q : 이번 대회를 참가하면서 아쉬웠던 점이 있나요? 

A : 마지막까지 붙잡고 있었지만 풀지 못한 그 문제에 자꾸 미련이 남습니다.

 

Q : 이번에 우승했는데, 혹시 라이벌이라고 생각하는 친구가 있다면?

A : 본선에 올라오신 분들 모두가 다 라이벌이죠. 저는 아직 배워야 할 것이 많아요.


Q : 해킹과 보안 분야에 어떤 매력을 느껴서 공부하게 되었나요?

A : 이 분야는 어렵고, 그래서 하는 사람도 많지 않아서 특별하게 느껴져요. 그리고 방어를 뚫었거나, 반대로 공격을 성공적으로 막아냈을 때 뭐라고 설명할 수 없는 즐거움이 있습니다. 그게 매력이라고 생각해요.


Q :  나만의 특별한 공부 방법이 있나요?

A : 저만의 방법까지는 아닌 것 같은데, 우선은 컴퓨터를 많이 해요. (웃음) 다른 해킹대회의 문제를 풀어보기도 하고, 실제 프로그램에서 취약점을 찾으려고 하는 식으로 공부하고 있습니다.


Q : 앞으로의 진로는 어떻게 계획하고 있어요?

A : 우선은 정보보호학과로 대학 진학을 해서 공부를 계속 하고 싶어요. 졸업한 뒤에는 국가기관뿐 아니라 어디에서든 사이버 안보를 지키는 일을 하고 싶습니다.


Q :  우승 상금으로 무엇을 할 거예요?

A : 저축을 할 거예요. 나중에 연구하고 싶은 것을 연구할 때 필요한 게 있으면 살 수 있도록. 그리고 우승할 거라고 미처 생각을 못해서 '우승하면 친구들한테 밥 쏜다'고 그랬는데. 진짜 우승을 해버려서 친구들과 약속도 지켜야 할 것 같아요. 부모님도 좀 드리고요. 


상 - 권혁 (과천고등학교 3학년)


Q : 문제 수준은 어땠나요? 특별히 기억에 남거나 재미있었던 문제가 있나요?

A : 이번 대회 수준은 여태껏 참여했던 청소년 대회 중에 가장 높았던 것 같아요. 독특했던 점이라면, 다른 청소년 해킹대회는 포너블이라고 불리는 시스템 해킹 분야의 문제가 거의 출제되지 않는데, 이번의 이 대회는 포너블 문제도 많이 나왔어요. 난이도 높고 수준 높은 문제들이 많이 나왔다고 생각해요. 포너블 문제 중에 '시크릿 메모'라고 해서, 기계들이 사용하는 비밀 메모 프로그램을 뚫어서 기계 안에 침투하는 시나리오를 가진 문제가 있었는데, 그게 가장 기억에 남습니다. 흔히 말하는 버퍼오버플로우 취약점이 존재하는 프로그램이었는데, 보통이면 간단하게 뚫을 수 있었겠지만 문제에 현재 존재하는 모든 메모리 보호 기법이 적용되어 있었어요. 그걸 모두 우회하는 것이 조금 힘들었습니다.


Q : 가장 자신있는 분야가 있나요? 특별히 흥미가 있는 분야가 있다면?

A : 방금 말했던 문제 유형의 포너블, 시스템 해킹이라고 불리는 분야가 가장 좋아요. 어떤 프로그램의 취약점을 찾아서 공격 코드를 만들거나, 방어하는 방법을 공부하거나 하는 것에 흥미가 많습니다.


Q : 이런 대회를 참가하는 것이 실력 향상에 도움이 되나요? 

A : 제가 지금까지 쌓은 실력은 거의 다 대회를 통해 쌓았다고 해도 과언이 아니예요. 보통 사람들이 말하기를 실무랑 대회랑은 상관이 없다고들 하는데, 실무랑 상관이 없을지는 몰라도 어떤 분야를 연구하는 데 문제를 푸는 건 많은 도움이 된다고 생각합니다.


Q : 오늘 참가한 주니어 CTF와 다른 해킹대회의 차이점은 뭐라고 생각해요?

A : 다른 청소년대회와의 차이점이 있다면 포너블이란 분야가 많이 다뤄졌다는 점이고, 그래서 좋았습니다. 또 이렇게 본선을 진행하는 청소년대회가 많이 없어요. 거기다가 본선에 30명을 데려온 대회도 처음입니다. 예선에서 본선 진출자 30명을 선발할 때 문제 수준을 높게 해서 잘하는 사람만 선발한 게 아니라, 문제 수준을 다양하게 쉬운 것부터 어려운 것까지 배치를 해서 참가자들이 공부를 할 수 있도록 했다는 점도 인상 깊었어요.


Q : 해킹과 보안 분야에 어떤 매력을 느껴서 공부하게 되었나요?

A : 어떤 목적이 있을 때 그 목적을 성취하기 위해서 여러 연구를 진행하고, 마지막에 그 목적을 성취했을 때의 성취감이 정말 좋아요. 그 성취감을 위해서 계속 공부를 하다보니까 여기까지 오게 된 것 같습니다.


Q : 나만의 특별한 공부 방법이 있나요?

A : 솔직히 특별한 공부 방법이라고 할 건 없어요. 일단 대회 문제를 많이 풀어보고, 연구 주제를 하나 잡고 거기에 대해서 이것저것 찾아보고 공부를 해요. 뭐든 꾸준히 하는 게 가장 좋다고 생각해요.


Q. 상금으로 무엇을 할 건가요?

A : 대회에서 탄 상금은 모두 안 쓰고 저축을 해두고 있어요. 차후에 대학 등록금으로 사용하거나, 공부 관련해서 쓰려고 합니다. 

 

Q : 앞으로의 진로는 어떻게 계획하고 있어요?

A : 고려대학교 사이버국방학과에 진학하는 것이 목표입니다. 대학을 간 이후에도 지금처럼 꾸준히 취약점을 찾고, 원하는 연구를 하려고 합니다.


Q : 존경하는 사람을 꼽자면?

A : 찰리 밀러라는 해커요. 제가 가장 관심있어하는 취약점 분야나 이나 시스템 해킹 분야에서 흥미로운 연구를 많이 해요. 예를 들면 맥북 배터리를 해킹해서 불을 붙게 한다거나 하는 독특하고 신기한 연구요. 그런 점에서 존경합니다.


동상 - 김희중 (선린인터넷고등학교 3학년)


Q : 문제의 수준은 어땠나요? 특별히 기억에 남거나 재미있었던 문제가 있나요?

A : 문제 수준은 전체적으로 청소년대회치고 꽤 어려웠던 것 같아요. 어려웠던 문제들이 정말 많아요. 딱히 기억남는걸 꼽을 수 없을 정도로 다 어려웠어요.


Q : 가장 자신있는 분야가 있나요? 특별히 흥미가 있는 분야가 있다면?

A : 역공학이요. 리버스 엔지니어링! 할 줄 아는 게 그것밖에 없어서? (웃음) 


Q : 이런 대회를 참가하는 것이 실력 향상에 도움이 되나요? 

A : 대회 참가를 하면 확실히 실력 향상이 되죠. 개인적으로 혼자 공부를 하다보면 목표 의식이 떨어지기 쉬운데, 대회에 참가를 하면 문제를 시간 안에 풀어야 하고 남들과 경쟁도 해야 하니까 더 집중해서 하게 되거든요. 실력 향상에 많은 도움이 됩니다.


Q : 라이벌이라고 생각하는 친구가 있나요?

A : 모두 다 친구이기 때문에. 라이벌이라고 생각하는 친구는 특별히 없어요. 음, 눈여겨보는 친구가 있다면 이번에 대회에 같이 참가해서 1등한 정원이예요. 같은 동아리에 있는데, 제가 저 친구를 동아리로 섭외를 했거든요. 여러 가지 성장하는 모습들을 눈여겨 보고 있어요.


Q : 해킹과 보안 분야에 어떤 매력을 느껴서 공부하게 되었나요?

A : 원래 처음에는 나쁜 짓 하려고 배웠어요. 아, 물론 처음에 시작할 때요. 게임 핵 같은 것을 만들어보고 싶어서 엄한 것들을 찾아서 배웠는데, 계속 대회에 나가고 공부하다보니까, 그런 짓으로 이득 봐서 좋을 게 하나도 없다는 걸 알았어요. (웃음)

 

Q : 나만의 특별한 공부 방법이 있나요?

A : 공부를 좀 이상하게 시작했잖아요. 게임 핵을 만들어보고 싶어서 시작한 거니까요.  남들은 리버싱 공부할 떄 보통 'Crack Me' 문제를 풀거나 하면서 공부하는데, 저는 게임 핵을 만들어보고 싶어서 '그걸 만들기 위해서는 뭘 알아야 하고 어떻게 해야 하나' 이렇게 생각하고 찾아가는 식으로 공부했어요. 고등학교 1학년 때 리버싱을 처음 공부하기 시작했는데, 애초에 게임 핵을 만들어보자는 목표를 가지고 밤새서 공부했던 것 같아요. 그렇게 공부하다가 지금까지 오게 되었고요.


Q : 앞으로의 진로는 어떻게 계획하고 있나요?

A : 우선은 제가 지금 하는 공부와 관련있는 학과에 진학하고싶어요. 그 후에는 창업을 하고 싶어서 지금 돈을 모으고는 있는데 창업에 돈이 생각보다 많이 필요하더라고요.(웃음) 그래서 일단은 보안 관련의 직업을 가지고 일을 하고, 일을 하면서 모은 돈으로 차후에 창업을 하고싶습니다. 특히 보안 솔루션에 관한 일을 하려고 생각하고 있어요.


이번 대회의 수상자들과 인터뷰가 끝난 후, 이번 대회를 운영한 그레이해쉬(GrahHash)의 운영진과도 이번 대회와 관련해 인터뷰를 진행했다. 아래는 진행한 인터뷰를 정리한 것이다.


Q : 이번 주니어 해킹방어대회의 취지나 목적을 말씀해 주세요.

A : 해킹과 보안을 공부하는 어린 친구들 보면 공부를 어떻게 해야할지도 잘 모르는 친구들이 많습니다. 또 이쪽 공부를 하면서 나쁜 짓을 하는 경우도 발생합니다. 그래서 이런 친구들과 함께 서로 만나서 이야기도 좀 나눠보고, 부족한 친구들에게 조언도 해주고 꿈을 더 심어주고 싶어서 대회를 운영하게 되었습니다. 자신감을 심어주자는 목적도 있었습니다. 


Q : 예선 문제가 쉬웠다는 말이 있어요. 예선 문제 출제의 기준은 무엇이었나요?

A : 보통 해킹대회는 쉘을 따거나, 권한 상승을 시키거나 하는 문제가 주류예요. 하지만 저희는 예선에서는 그런 기술적이고 어려운 문제보다는, 조금만 생각하면 금방 풀 수 있는 문제들을 많이 만들어 냈습니다. 기술적인 부분을 많이 알지 못해도, 머리만 조금 굴려서 생각해보면 쉽게 풀 수 있도록요. 무조건 난이도 있는 부분들을 포함시키기보다는 논리적인 부분을 문제에 많이 포함시키려고 했습니다.


Q : 이번 대회를 운영하면서 특별히 어려웠던 점이 있나요? 

A : 문제 난이도를 정하는게 가장 어려웠습니다. 청소년 해킹대회는 청소년들이 자신감을 얻을 수 있도록 하는게 중요하다고 생각합니다. 하지만 너무 쉬우면 변별력이 없어지는 문제가 생기거든요. 어쨌든 본선에서는 순위를 매겨야 하니까요. 어디에 맞춰야 할까 고민이 많았습니다. 본선은 1,2,3,등을 가리는 대회니까, 조금은 어렵게 낸 것 같습니다.


Q : 해킹을 공부하는 어린 친구들에게 가장 중요한 건 무엇이라고 생각하시나요?

A : 윤리적인 게 가장 중요하다고 생각해요. 실제로 중요한 정보를 테러리스트나 다른 업체에 파는 경우, 그런 경우가 있어서는 절대로 안 되니까요. 취약점을 찾았을 때는 악용하는 것이 아니라 국가기관에 신고를 하는 것, 그런 윤리적인 부분이 가장 중요합니다. 그리고 '사회에 도움이 되어야 한다'는 마음가짐을 가졌으면 좋겠어요. 내가 지금 공부하는 것이 IT 발전, 더 나아가 국가와 사회에 도움이 된다, 사회에 기여를 한다는 마음가짐을 중요하게 생각했으면 합니다. 


Q : 해킹대회 참가자에게 조언해 주고 싶은 것이 있나요?

A : 좋은 성적을 거두고 싶다면 다른 대회의 문제를 최대한 많이 풀어보세요. 과거의 문제를 많이 풀어보면서, 유형도 파악하고 그러면 자연스럽게 경험도 많이 쌓이는 거니까요. 문제 자체를 잘 풀기 위해 많은 문제를 풀어보는 것도 중요하지만, 기초지식을 탄탄히 하는 것이 중요해요. 프로그래밍을 많이 해봤으면 좋겠습니다. 또, 해킹대회와 실무가 다르다, 도움이 안 된다 하는 말을 하는 사람이 있는데, 제가 느낀 바로는 해킹대회 문제를 잘 푸는 사람들이 문제 해결 능력이 좋고, 그래서 일도 잘하는 것을 많이 봤습니다. 많이 문제를 해결해본 친구들이 사회에 나가서도 일을 잘 해결합니다. 해킹대회를 겁먹지 말고 참가했으면 하는 바람입니다.



비록 길지 않은 시간이었지만 서로 다른 개성의 입상자들과 이야기를 나누면서 그들의 열정을 느낄 수 있었다. 나이가 어린 것은 전혀 문제 되지 않는다. 입상자뿐 아니라 본선에 진출한 30명, 그리고 예선에서 대회의 문제를 풀면서 자신의 기량을 발휘한 모든 참가자의 무한한 잠재력을 기대해보자. 그들은 아직 어리고, 발전 가능성은 무궁무진하기에, 지금보다는 그들의 미래가 더욱 기대된다. 미래의 화이트해커를 꿈꾸는 청소년의 자신감과 실력 향상의 발판을 마련해준, 그리고 앞으로도 마련해줄 다음 주니어 해킹방어대회가 더욱 기대되는 이유도 바로 무한한 잠재력을 가진 그들 때문이 아닐까. Ahn



대학생기자 강정진 / 숙명여자대학교 컴퓨터과학과


學而不思則罔思而不學則殆

배우기만 하고 생각하지 않으면 멍청해지고, 생각하기만 하고 배우지 않으면 위태로워진다.


댓글을 달아 주세요

녹화 현장서 직접 느낀 100˚C의 삶의 열정

문화산책/현장속으로 2013.08.15 18:53

KBS 1TV에서 방영 중인 '강연 100˚C'는 인생의 끓는점까지 치열하게 살아온 사람들의 삶과 지혜를 듣는 프로그램이다. 전문적인 강연자가 아닌 우리 주변의 누구나 할 수 있는 강연으로, 투박하지만 그 사람의 인생을 변화시킨 결정적인 한 순간을 이야기한다. 이 프로그램은 3명의 강연자가 나와 순서대로 강연하는 것으로 진행된다.

▲ 강연 100˚C 녹화현장

장모 사랑은 사위

'사위 사랑은 장모'라는 말이 있다. 그만큼 사위를 사랑하는 마음이 누구보다 크다는 말이다. 그 반대로 '장모 사랑은 사위'라는 말이 어울리는 사람이 있다. 첫 강연자로 나선, 지난 5월 장모에게 간을 이식해 준 사위 김대호씨가 바로 그이다.

그는 어린 시절 부모의 이혼으로 어머니가 없이 살았기 때문에 어렸을 때부터 항상 어머니의 빈 자리를 느끼며 자랐다. 학창 시절에 엄마처럼 챙겨주시던 할머니까지 돌아가셔서 방황을 하기 시작했다. 마침 그 때 같은 아파트에 살던 지금의 장모가 그를 집으로 초대해 맛있는 닭볶음탕을 차려주었고 마음 기댈 곳 없던 그는 큰 감동을 받았다. 그렇게 장모와의 인연을 시작으로 그는 결국 장모의 큰딸인 지금의 아내를 만나 행복한 가정을 꾸리게 되었다. 

그러던 중 장인어른이 갑작스럽게 교통사고로 돌아가시자 장모는 술로 아픔을 잊어보려 하였다. 그러다 건강이 안 좋아진 장모가 병원에 입원하고, 간 이식을 해야 살 수 있다는 의사의 말을 듣게 되었다. 그는 망설임 없이 자신의 간을 떼어주기로 결심했고, 지난 5월 15일 그의 간 70%를 장모에게 이식해 주었다. 간이식 후 3개월이 지난 지금 그와 장모 모두 합병증 없이 건강을 되찾고 있다.

남들은 장모에게 간을 이식해 준 사위가 대단하다고 말하지만, 김대호씨는 장모님 한 사람을 살린 것 이상으로 가정의 행복까지 지켜냈기 때문에 매우 기뻤으며 다시 그 순간이 와도 똑같은 결정을 했을 거라고 말하였다. 

강연은 방청객으로부터 96도라는 높은 공감 온도를 받았다. 강연자는 ‘나부터 살고 봐야 한다는 생각으로 이기적으로 살고 있진 않나’라는 생각을 하게 했다. 남을 위해 내민 도움의 손길이 얼마나 큰 힘으로 다가가며 따뜻함을 가졌는지 느끼게 하는 뜻 깊은 강연이다.

닭꼬치 가게 사장 된 은행 지점장

강연자는 과거 그 시절 남들이 부러워하는 은행에 다니며, 정점인 은행 지점장까지 지낸 사람이다. 그는 문 닫기 직전인 점포로 자진해서 발령받아 일등 점포로 만들었으며, 직접 발로 뛰며 행동하였다. 그리고 ‘혁신은 결재판 사이에 있는 것이 아니라, 현장에 있는 것이다.’라는 말을 남기기도 했다. 

그런데, 그는 IMF로 인해 회사에서 퇴출당했다. 새로 시도한 건축이라는 사업을 실패하고, 술에 빠져 지내다가 닭꼬치 장사를 시작하게 된다. “나는 그래도 은행지점장까지 한 사람이다”라는 생각에, 그는 처음에 정장을 입고 닭꼬치를 팔았다고 한다. 알량한 자존심 때문에, 너무 부끄러워서 때려 치려고 했다고 한다. 

그런데, 강연자는 친구들이 본인을 두고 내기를 했다는 소식을 듣고는 화가 났다. 그때, 알량하다고 치부했던 자존심이 벌컥 일어섰다. 자존심은 “오기”로 변해 그를 다시 일으킨 “원동력”이 되었다. 한번 시작하면 끝을 보고야 마는 끈질김과 지독함이 월 매출 천만원을 벌게 만들었다. 재기에 성공한 것이다. 

그는 닭꼬치 장사를 할 때, 은행에서 잘하는 게 무엇이었을까를 생각했다. 그것은 큰 목소리로 인사하는 것이었다. 그는 즉시 실행에 옮긴다. 지나가는 모든 사람에게 큰 목소리로 “안녕하세요 아버님. 안녕하세요 어머님. 행복하세요” 라고 말했다. 계속 인사를 하니, 사람들이 부담스러워서 피해갈 정도였다. 그러다가 사람들은 호기심을 느끼고, 그에게 하나둘 다가왔으며 그를 성공에 다가가게 만들어주었다. 

그는 포기하지 않고, 주어진 위치에서 최선을 다하면 결국 기회가 다가오고 성공이 반긴다는 것을 증명한 실사례이다. 그는 강의를 끝낼 때, 손님한테 하는 인사를 방청객에게 하며 마치겠다고 했다. 그의 외침은 ‘나 좀 봐달라. 내가 여기 있으니, 나 좀 봐달라’라는 외마디 절규 같았다. 마지막에 강연자가 훔친 눈물은 그것을 방증한다.

축구에는 전반전, 후반전, 그리고 연장전이 있다. 전반전, 후반전에 결정적인 역할을 못 해도, 연장전이 남아있다. 그 때, 결정적인 역할을 할 수 있다. 이는 단지 강연자에게만 해당되는 사항이 아니리라고 생각한다. 빠른 속도로 변화하는 한국의 초고령 사회에서, 실의에 빠져있는 누구에게나 힘이 되는 말일 것이다.

(蓮)을 연구하는 성원스님

마지막 강연자인 성원스님은 일명 '연에 미친 스님', '연(蓮) 스님'으로 유명한 분이다. 그는 어린 시절, 불우한 가정에서 나와 절에 들어가 생활하기 시작했다. 축구 게임을 연속으로 몇 번이나 뛸 수 있을 만큼 건강했던 그는 서른 끝무렵에 심장병 장애 3급 진단을 받고, 상태가 심각해서 중환자실 신세를 자주 지게 된다.

그는 좋아했던 농사 대신에 연을 재배해 먹기 시작했는데, 그 뒤로 점점 병세가 호전되었고, 지금은 건강을 되찾았다고 한다. 그 후 연의 여러 부위를 음식으로 만드는 것을 비롯해 연을 깊이 연구하기 시작했다. 모든 음식에 연 가루를 넣어 음식의 질감이나 숙성도, 기한 등 여러 가지 측면을 실험하고 연구한다. 지금은 식품뿐 아니라 상품을 만들고 축제를 기획하여 연을 전파하고 있다. 

성원스님 말에 따르면 연은 꽃부터 열매, 잎, 뿌리까지 하나도 버릴 것 없이 건강에 이롭도록 쓸 수 있는 꽃이다. 연을 김치에 넣으면 김치가 아삭거리는 맛을 유지할 수 있는 등 '천연 방부제' 효과가 있다. 삼겹살에 연을 곁들이면 콜레스테롤 감소 효과를 볼 수 있는 등 음식을 더욱 건강하게 먹을 수 있다. 연은 콜레스테롤 감소뿐 아니라 해독 작용이 뛰어나고 혈액 순환에도 큰 도움이 된다. 연의 꽃과 잎은 마음을 맑게 하고, 노화를 예방하며 혈액 순환을 돕고 어혈을 제거하며, 산후 산모에게 좋고 빈혈에도 좋다. 열매는 불면증에 좋고, 성질이 차기 때문에 열을 내리는 데 효과적이다. 또한 연근은 신경과민이나 스트레스, 우울증에 좋고 풍부한 무기질과 비타민, 식이섬유를 포함하고 있어 피부건강에 좋으며, 콜레스테롤 저하와 지혈 등에 효과가 있다.

'왜 스님이 이런 일을 하느냐며 곱지 않은 시선을 보내는 이도 있다.  하지만 종교가 좋아하는 것을 연구하는 것을 막을 수 없고, 좋은 것을 널리 퍼트리는 노력을 불순하다고 할 수는 없을 것이다. 화학물질이 음식에 난무하는 가운데서 '웰빙'을 찾는 요즘 시대, 비싼 가격의 웰빙 식품을 찾는 것보다 연으로 일상적인 음식에 웰빙을 부여해 보는 것이 어떨까. Ahn 

 

대학생기자 김대희 /  경기대 컴퓨터과학과

대학생기자 이승건 /  성균관대 전자전기컴퓨터공학부

대학생기자 강정진 /  숙명여대 컴퓨터과학과


댓글을 달아 주세요

다양한 보안 이슈, 보안 전문가를 한 곳에서 만나다

현장속으로/세미나 2013.07.12 07:00

"큐인사이드는 3년만에 세계 해커들 사이에서 가장 출전하고 싶은 대회가 됐습니다. 글로벌에서 라스베이거스 '데프콘'과 견줄만큼 규모가 큰데다 팀에게 지원도 많이 해줍니다. 1회 때는 입소문이 많이 퍼지지 않았지만 올 해는 다르더군요." 


지난 7월 2일부터 3일까지, 이틀 동안 진행된 '시큐인사이드' 해킹방어대회에서 3연패를 달성한 PPP팀의 팀원 '리키 주' 씨의 인터뷰 내용이다. '국제 규모의 해킹방어대회' 라는 타이틀에 걸맞게 77개국의 나라에서 총 1083팀이 참가했다. 다양한 발표가 이어지는 3일, 서울 콘래드 서울 호텔에 모인 인파에 시큐인사이드의 규모를 짐작할 수 있었다. 시큐인사이드는 화이트해커들을 중심으로 다양한 보안 이슈에 대해 실무적인 정보를 공유하는 국제 컨퍼런스로, 2011년부터 개최되어 올 해 3회를 맞았다. 

 


아침 일찍 도착해 등록을 마치고, 이름표와 발표자료집을 받아 컨퍼런스 홀로 들어갔다. 첫 키노트 세션이 시작되기 전, 10시가 안된 이른 시각부터 홀은 좋은 자리(?)를 찾기가 힘들었다. 가운데 앞자리는 예약석. 꽉 찬 자리의 빈틈을 찾아 두리번 두리번. 


그리고 10시, 시큐인사이드 2013 시작! 컨퍼런스의 시작은 김승주 교수의 <암호학과 해킹의 결합, 가능한가?(Combination of Crypto and Hacking, Possible?)> 라는 주제의 키노트 세션이었다. 그는 암호학, 시스템 보안, 네트워크 보안, 보안 정책은 '보안'을 구성하는 요소이며, 이 요소들을 잘 연결하고 결합시켜야 한다는 것을 강조했다. 또한 '암호학'을 어떻게 해킹과 결합하여 사용할것인지에 대해서도 어필했다. 보안을 위해서는 다양한 분야에 대해 넓은 지식을 가지고 있으면서도 자기 전문 분야를 가지고 있는 'All-Round Player'가 되어야 한다는 많은 전문가의 충고가 다시 한번 생각나는 세션이었다.



두 번째 키노트 세션은 'Beist' 이승진씨의 <소스코드 불법 복제에 대한 이슈(Issues of illegal copy and unauthorized use for source code copyright)>라는 주제로 진행되었다. 그는 한국에서 뿐 아니라 전세계에서 프로그램을 무단으로 사용하고 소스코드를 훔치는 사례가 발생하고 있고, 이런 경우를 분석하기 위해 어떻게 소스코드의 유사성을 평가하는지에 대해 이야기했다. 기술적인 이야기들은 완전하게 이해하지 못해 아쉬움이 남지만, 오픈소스 프로그램의 라이센스 정책에 대해 다시 한번 되새겨보는 계기가 되었던 시간이었다.



키노트 이후에 잠깐의 점심시간을 가지고, 본격적으로 다양한 주제의 발표가 진행되었다. 총 3개의 트랙으로 나누어져 다양한 이슈들을 다루었는데, 한 번에 한 트랙밖에 들을 수 없다는 것이 아쉬웠다. A, B, C 트랙에서 진행된 발표의 주제들은 다음과 같다.


A트랙

최원혁, <한글 취약점을 이용한 APT 공격 사례 및 분석 그리고 대응방안>

Byungho Min, <Security of anti-virus solution>

강흥수(jz), <Sandbox for security (Understanding sandbox and attack examples)>

Long Le, <Exploiting nginx chunked overflow bug, the undisclosed attack vector>

B트랙

안상환, <How to find vulnerability in software>

신정훈(sjh21a), <Hacking smart devices (I just drank c0ffee only!)>

구사무엘(dual5651), <한국형 봇넷 개발&분석>

장상근(maxoverpro), <Mobile game hacking and defense strategy> 

A+B 통합트랙

유동훈(x82), <Writing ARM32 Linux kernel exploitation>

C트랙(Invited Only)

구태인 변호사(태크엔로 법률사무소), <개정 전자금융거래법에 따른 새로운 보안패러다임>

조규민 단장(KISA), <금융분야 개인정보가이드라인>

김기영 실장(AhnLab), <GAP>

이주호 차장(코스콤), <금융 정보보호 참조모델 소개-개발보안프로세스 위주)



C트랙은 초대받은 사람들만들 대상으로 하는 비공개 세미나였기 때문에 내게는 선택권이 없었다. 대신 A, B트랙중에서 좀 더 흥미를 끄는 주제의 발표를 들어보기로 결정했다. 상당히 흥미롭고 다채로운 주제로 발표들이 진행되었지만, 아직 턱없이 부족한 실력으로 발표를 완벽하게 이해하는 것은 무리였다. 모르는 것은 메모하고, 아는 것은 다시 한번 짚는다는 생각으로 발표 듣기 시작!


특히 지난 해 전광판 해킹으로 많은 주목을 받았던 신정훈씨의 Track2에서 진행된 <Hacking Smart Devices> 발표가 기억에 남는다. 많은 사람들이 몰려서 서서 들어야 했던 발표! 카페의 POS, CCTV, Pager(카페에서 쓰는 진동벨을 pager라고 부른다) 해킹에 대해 연구한 발표였다. 카페에서 익숙하게 서비스 받던 익숙한 시스템들을 해킹하는 참신하고 흥미로운 주제라 더욱 관심이 갔던 것 같다. 게다가 재미있고도 다소 충격적이었던 시연영상에 집중할 수 밖에 없던 발표였다. 모든 기기의 경우, 초기에 설치할 당시 설정해둔 디폴트 비밀번호를 그대로 쓰기 때문에 해킹이 가능하다는 공통점이 있었다. Pager 해킹은 실패했다고 했지만, 그렇기 때문에 그의 다음 발표가 더욱 기대된다.


또 하나 재미있었던 발표는 Track2의 마지막 발표였던 장상근씨의 <Mobile game hacking and defense strategy> 였다. 모바일 게임에서 게임핵이 어떻게 돌아가는지, 그리고 어떻게 방어를 해야 하는지에 대한 이야기로 채워진 시간이었는데, 구체적으로 실체 우리가 하는 모바일 게임의 게임핵 적용 사례를 살펴보고 그 시연 영상을 볼 수 있어서 더욱 와닿고 흥미로웠던 세션이었다. 


마지막 세션은 시쳇말로 정말 '멘붕'을 일으켰던 발표였다. A,B 통합 트랙으로 <Writing ARM32 Linux Kernel Exploit>이라는 주제로 진행된 발표였는데, 리눅스 커널의 취약점과 커널을 공격해 권한을 상승시키는 방법에 대해 상세히 분석하고 커널 취약점에 대해 어떻게 대응해야 하는지- 에 관한 내용이었다. 나에게는 상당히 어려웠던 주제였다. 초반이 지나고부터는 무슨 내용을 듣는 것인지 정신 없었던 시간이었다. 한계를 느끼고, 자극을 받고, 이런 발표를 다음에는 조금 더 이해하며 들을 수 있도록 해야겠다는 생각만 줄곧 하다가 끝난 발표 세션이었다. 


폐회식과 함께 시큐인사이드 2013 해킹방어대회 시상식이 있었다. 1위는 대회를 3회째 제패한 미국의 'PPP'팀이 차지했다. 2위는 한국의 '벌레잡이' 팀, 3위는 스웨덴의 'Hacking for Soju' 팀이었다. 치열한 순위경쟁 끝에 PPP팀이 종료 2분을 남겨두고 모든 문제를 'All-Clear' 하는 저력을 보이면서 우승을 차지했다고. 그만큼 뜨거운 대회였고, 작년에 비해 훨씬 다양한 국가에서 많은 팀이 참가했다는 소식이 내년의 대회를 더 기대하게 만들었다. 정말 다들 멋있는 '화이트 해커' 라는 생각이 절로 들고, 동시에 열심히 하자, 즐기자, 이런 긍정적인 에너지를 잔뜩 얻어갈 수 있었던 컨퍼런스였다.


올해의 3.20 사이버 테러, 6.25 사이버 공격 등 크고 작은 사이버 공격이 끊이지 않는 때, 보안 의식을 높이고 다양한 보안 이슈들을 공유할 수 있는 좋은 기회였다는 생각이 든다. 그만큼 마음을 다시 한번 가다듬고, 만만치 않은 보안 이슈에 대해 좀 더, 나름대로 생각해볼 수 있는 시간을 가질 수 있었다. Ahn



대학생기자 강정진 / 숙명여자대학교 컴퓨터과학과


學而不思則罔思而不學則殆

배우기만 하고 생각하지 않으면 멍청해지고, 생각하기만 하고 배우지 않으면 위태로워진다.


댓글을 달아 주세요

  1. 임지연 2013.07.12 23:59  Address |  Modify / Delete |  Reply

    좋은기사 감사합니다~~!

사이버 테러 막는 망분리 솔루션 어떻게 구축할까

해킹의 패러다임이 변했다. 과거에 실력을 과시하기 위해 벌어졌던 해킹이 이제는 금전을 목적으로 한 해킹으로 탈바꿈했다. 정보는 돈이 되고, 중요한 정보일수록 그 가치는 커진다. 3.20 사건 외에도 크고 작은 보안 사고가 빈번한 요즘, 개인정보 보호는 또 하나의 뜨거운 이슈이다. 


하나에 10원 꼴로 팔려나간다는 개인정보, '중국에 이미 내 개인정보는 다 팔려갔다'는 웃지 못할 말이 현실인 2013년 현재. 어떻게 하면 개인정보를 지킬 수 있을 것인가, 더 나아가서 어떻게 하면 해킹사고를 예방하고 정보보호 시장을 활성화할 수 있을 것인가, 이 뜨거운 이슈에 대한 뜨거운 관심을 증명이라도 하듯 지난 6월 20일에 코엑스에서 열린 '개인정보보호 페어 2013'에는 비집고 들어가야 할 만큼 많은 인파가 몰렸다. 



3.20 사건 이후, 사이버 테러를 대비해 많은 기관과 기업에서 '망분리' 솔루션을 검토하고 있다. 업계 추정에 따르면 2013년 현재 망분리 시장 규모는 200억원, 2016년에는 1000억원까지 성장할 것이라고 예측하고 있다. 2013년 2월 18일, 정부에서 정보보호 등에 관한 법률 시행령을 개정해 일정 규모 이상의 기업이나 기관에서는 망분리를 의무적으로 해야 하는 상황도 망분리 시장 활성화에 한 몫을 했다. 


개인정보보호 페어 2013의 A트랙 마지막 시간, 정보보호의 화두로 떠오른 망분리 솔루션에 대해 안랩의 권진욱 부장의 <효율적인 망 분리 도입을 위한 가이드>는 주제로 발표가 진행되었다. 다음 내용들은 발표의 내용을 정리한 것이다.



망분리 솔루션은 왜 핫한 이슈가 되었나


기존의 사이버 테러는 단일한 악성코드에 의한 것으로, 감염 PC에 국한된 피해를 입히고 불특정 다수를 공격하는 경향을 보였다. 그러나 최근의 사이버 테러는 다르다. 모듈화된 악성코드가 사용되고 그 악성코드가 업데이트되며(Advanced), 장기간에 걸쳐 취약한 곳을 찾기 위해 은닉하며 한번 공격이 시작될 경우 2차, 3차 공격이 이루어지고(Persistent), 불특정 다수에서 특정한 대상을 탐색해 공격하는(Targeted Threat) APT가 행해지고 있다. 


3.20도 마찬가지로 APT 형태의 사이버 테러였다. 다양한 기술과 여러가지 공격 방식으로 특정 대상에게 지속적인 공격을 하는 APT공격. 전통적인 보안 솔루션으로는 방화벽, 차세대 방화벽, 침입차단시스템(IPS), 유해 사이트 차단 시스템, 안티바이러스 등이 있으나, 이들만으로는 더이상 고도로 지능화된 APT에 대응할 수 없다. 


뚫으려는 자의 방식이 발전한다면 막으려는 자의 방식 또한 발전하는 법. APT공격에 대응하기 위해 망분리 솔루션에 관한 관심이 고조되었고, 3.20 이후 망분리에 관한 관심이 달아오르기 시작했다. 알려진 공격에 대해서만 대비할 수 있었던 이전 보안 솔루션에 비해, 망분리는 인터넷으로부터의 보안 위협 자체를 모두 차단하는 것은 물론, 새로운 보안 위협 또한 차단할 수 있고 여러 보안 솔루션으로 구성된 보안 체계보다 훨씬 높은 수준의 보안 체계를 구현할 수 있다는 이점이 있다. 망분리 솔루션은 APT의 효과적인 대응책으로 떠오르며 핫한 이슈가 되었다. 




망분리란 무엇인가


망분리란, 인터넷 영역과 업무 영역을 동일한 하나의 네트워크에서 사용하는 방식 대신 

물리적 또는 논리적(가상화) 기술을 이용하여 네트워크 및 PC를 분리하는 것을 의미한다.


즉, 네트워크 망을 나누어 외부의 침입으로부터 내부의 자료를 안전하게 할 수 있는 방법이 망분리 솔루션이다. 정부는 2006년부터 해킹 대처 방안을 수립해 시법사업을 완려하였고, 2010년부터 망분리 사업을 진행, 확대하고 있다. 2010년 이전까지는 물리적 망분리에 관심이 있었다면, 2010년 이후부터는 논리적 망분리로 관심이 옮겨가고 있다. 물리적 망분리는 2대의 PC를 이용하거나, 망분리 전환 장치를 이용하거나, 멀티 PC를 이용하는 것으로  실행할 수 있고, 논리적 망분리는 SBC(Server Based Computing)방식이나 터미널 서버를 이용하는 것으로 실행할 수 있다. 


2009년까지는 국가 기관의 망분리를 2대 PC를 이용하는 물리적 망분리를 원칙으로 했고, 불가피한 경우에만 논리적 분리가 허용이 되었다. 그러다가 2010년부터 가상화 기술을 이용한 논리적 망분리가 검토되기 시작했고, 2011년부터는 논리적 망분리 도입이 본격화 된 상태이다. 또, 정통망법에 따라 전년 말 기준 직전 3개월간 평균 100만명 이상의 개인정보 보유 사업자, 혹은 정보통신 서비스 부문 전년 매출액 100억 이상인 사업자는 온 오프라인 경로에 상관 없이 망분리를 의무적으로 시행해야 한다.  




망분리 방식 비교 및 고찰


제일 간단한 방식은 물리적 망분리 방식이다. 새로운 망을 구축하고 인터넷만 쓸 수 있는 PC를 따로 두는 것이다. 물리적 망분리는 물리장비가 늘어나는 것이기 때문에 무엇보다도 보안의 가시성 확보가 쉽다. 하지만 치명적인 약점들이 있는데, 대표적인 경우가 USB를 통한 감염이다. 인터넷망에서 USB를 통해 업무PC로 전달되는 케이스들이 발생한다. 그래서 공공기관에서 물리적 망분리를 도입할 경우 보안 USB를 사용하거나 두 영역간의 파일 교환을 위한 부가적인 망 연계 솔루션을 같이 도입하도록 한다. 


다음으로 랜카드를 추가로 설치하는 방법이 있다. 그렇게 되면 업무서버와 인터넷망을 자유롭게 오갈 수 있으나, 관리가 제대로 되지 않는다면 망분리 효과를 볼 수 없게 되는 단점이 있다. 물론, 물리장비를 설치하기 위한 설치공간이 필요하고, 설치한 장비만큼 소비전력도 늘어나게 된다. 또한 운영하기 위한 예산이 많이 필요하다는 단점도 존재한다.


논리적 망분리 방식으로는 서버 기반과 PC기반 두 가지 방식이 있다. 


서버 기반의 논리적 망분리 방식은 인터넷을 연결하는 망 쪽에 가상 서버를 두는 방식이다. 그렇기 때문에 인터넷에서 악성코드가 들어온다 하더라도 가상서버에만 영향을 미칠 뿐, 업무서버에는 영향을 미치지 않는다.  그러나 물리적 망분리 만큼의 예산이 필요하고, 다양한 인터넷 환경에 대한 호환성을 검증해야 한다는 단점이 있다.


PC 기반의 논리적 망분리 방식은 기본적으로 사용자 PC와 인터넷 망 사이에 망분리 게이트웨이를 두는 방식이다. 낮은 비용으로 물리적 망분리 수준의 보안성을 확보할 수 있고, 영역 전환이 편리하여 편의성이 좋다. 또한 구축 기관도 짧은 편이다. 그러나 다양한 PC에 대한 호환성 검증이 필요하다.


어떤 방식이 가장 좋다고 할 수는 없다. 각 기업이나 기관의 업무 스타일에 맞추어 최적의 망분리 방식을 적용해 구축하는 것이 좋다. 물론, 망분리를 구축할 수 없는 사례도 존재한다.




망분리 구축을 어떻게 체계적으로 할 것인가?


망분리 솔루션을 도입하기 위해서는 기존 보안 제품을 도입하는 것과는 다른 프로세스를 필요로 한다. 첫째로 환경분석을 해야하고, 구축을 한 뒤에는 안정화 단계를 거쳐야 한다.


환경분석은 사용하는 소프트웨어, 인터넷 등을 분류하는 단계이다. 쉽게 말해서, 사용자가 사이트에서 쓰는 소프트웨어들, 사용자가 접근하는 인터넷, 우리 업무 서버가 어떤 것들에 접근하는지, 혹시 외부와는 연결이 되어야 하는지, 내부 업무망쪽의 PC들은 어떻게 업데이트 할 것인지 등등을 분석하는 과정이다. 즉 요구사항들을 분석하는 것이다. 망분리 게이트웨이 구성을 위한 네트워크를 분석하고, 업무 및 사용 프로그램 분석을 통해 망분리 환경을 구성하고, 사용자의 업무 연속성을 보장할 수 있는 대책을 마련하는 과정이 모두 포함된다. 


환경분석한 결과를 토대로 망분리 솔루션 및 제반 시스템을 구축한다. 파일럿 운영, 시범 설치를 통해 계속해서 장애를 최소화 한 뒤에 점차 확산을 시키는 것이다. 망분리 솔루션, 망 연계 솔루션을 구축하고 메일 서버를 분리하는 등의 작업이 구축 단계에서 행해진다. 이렇게 인프라 구축을 하고 나면 안정화 단계를 거치게 되면 망분리 솔루션을 통한 보안성을 확보하게 되는 것이다. 로 보안성을 확보하게 되는 것이다.


확실히 다른 일반 IT인프라를 구축하는 것에 비해 힘들고 손이 많이 가지만, 망분리 구축을 하면 많은 보안 위협으로부터 안전해질 수 있다.




이게 최선입니까? 확실해요?


업무서버와 인터넷망을 분리하는 방법이라니. 그럼 망분리만 된다면 보안 이슈는 사라지는 것 아닌가? 애석하게도, 망분리 솔루션이 모든 보안 이슈를 해결하는 솔루션은 아니다. 그럼 소용 없는 것 아닌가? 그건 또 아니다. APT에는 분명히 효과적인 대응 방안이다. 


보안위협은 계속해서 새로워질 것이다. 가장 안전하다고 생각했던 방법도 결국에는 무용지물이 되는 떄가 온다. 뚫으려는 자는 계속해서 새로운 방법을 찾아낼 것이고, 막으려는 자는 계속해서 새로운 공격에 대한 대응을 찾아낼 것이다. 망분리는 분명 현재 APT에 효과적으로 대응할 수 있는 방법이고 최선의 방법일지도 모른다. 하지만 보안의 세계에서 영원히 확실한 방어 방법은 존재하지 않고, 존재하지 않을 것이고, 존재 할 수 없을 것 같다. 우리는 늘 최선의 방법을 찾기 위해 노력해야 하고, 허를 찌르는 공격에 한 번 당하면 반복해서 당하지 않도록 노력해야 한다. 


망분리 솔루션이 효과적인 대응이 되지 못하는, 위태로워지는 날이 언젠가는 올 것이다. 늘 경우의 수를 생각하며 여러가지 방안을 끊임없이 모색하는 것, 그것만이 우리가 할 수 있는 최선의 해결책이 아닐까. Ahn



대학생기자 강정진 / 숙명여자대학교 컴퓨터과학과


學而不思則罔思而不學則殆

배우기만 하고 생각하지 않으면 멍청해지고, 생각하기만 하고 배우지 않으면 위태로워진다.


댓글을 달아 주세요

  1. 정바 2013.07.04 12:34 신고  Address |  Modify / Delete |  Reply

    많이 배우게 되는 글이네요~~

여성 프로그래머 3인이 말하는 일과 삶

'First Gentleman'이라는 단어를 들어 보았는가. 싸이의 후속곡처럼 들릴 만한 이 단어는 여자 대통령의 남편을 칭하는 말이다. 우리나라로 치면 영부인의 반대편에 있는 말쯤 될 것이다. 놀랍게도 우리나라에는 영부인의 반대편의 말, 여대통령 남편의 호칭이 딱히 정해져 있지 않다. 세종대왕 이후부터 아마 여자가 대통령을 할 것이라고는 상상을 할 수 없었나 보다. 이러한 언어사회학적 이야기를 제쳐두고 우리 사회에서 여성이 많은 곳에서 활약하기 시작한 것도 최근 일이다.

IT 특히 보안의 세계도 예외일 수는 없다. 아직까지 여성의 수가 현저히 낮은 비율을 차지하고 있지만 그렇기에 '여성' 개발자는 우리에게 더 독보적인 느낌을 준다. 오늘 안랩의 '여성' 개발자들을 만나보았다. 

왼쪽부터 심선영 책임, 채주희 선임, 김경희 수석

<인터뷰이>

김경희 수석연구원(팀장) : 9년차, 악성코드 진단 엔진 및 커널 개발
심선영 책임연구원 : 7년차, 취약점 및 네트워크 분석 및 콘텐츠 제공
채주희 선임연구원 : 4년차, ERP 시스템 운영 및 유지보수

이들은 어떤 계기로 IT 분야로 들어오게 된 것일까. 김경희 팀장은 컴퓨터공학을 전공하기도 했고, 새로운 걸 해보고 싶었다고 한다. 심선영 책임도 컴퓨터공학 중 네트워크 프로토콜 쪽에 관심이 많았고 특히 영화 '네트'를 보면서 보안 쪽에 관심을 가지기 시작했다고 한다. 채주희 선임은 특이하게도 컴퓨터공학 계열이 아닌 경영정보학을 전공했지만 정보통신 쪽에 관심이 많아 이쪽으로 진로를 결정했다고 한다. 

  

그렇다면 여성 개발자로서 힘든 것은 무엇이 있을까. 공통적으로 뽑는 부분이 체력의 문제였다. 직업 특성상 장시간의 집중이 필요하다 보니 체력적으로 힘든 점이 많다고 한다. 그러나 체력 문제는 성별이 아니라 개인 성향의 문제라고 말했다. 여성 중에 좋은 체력을 가진 이도 있고, 남성 중에도 체력이 약한 사람이 있으니.

출산 후 자기 관리를 잘해야 하고, 아이를 자주 보지 못 하는 것도 아쉬움으로 꼽았다. 없는 여가 시간을 쪼개서 블로그 운영과 장난감, 뮤지컬을 본다고 한다. 그러나 직업의 특성상 6시에 일이 잘 끝나지 않고, 여가 시간도 제한적이다 보니 일정한 취미를 가지기보다는 정신적으로 편안한 휴식을 선호하는 것 같았다. 

그렇다면 여성으로서 받는 특혜도 존재할까. 안랩에는 차별이 없듯 특혜도 따로 존재하지 않는 것 같다. 그러나 한 팀 안에서 개인으로서 영향력은 상당할 것으로 생각된다. 예를 들어 발렌타인 데이에 남성 팀원들에게 선물을 준다든가 하는 모습은  좋은 팀 분위기를 보여주는 단면이 아닐까.

체력적으로 힘들고 피부 관리도 힘들며, 동시에 '사랑스러워' 보이지도 않는 직종인 이 일을 어떤 힘으로 해내는 것일까. 뻔한 정답처럼 들리겠지만 그들이 이 일을 좋아하고 재미있어한다는 걸 느낄 수 있었다. 여가 시간이 따로 없고 취미가 없는 듯 보였지만 잘하는 일을 하고, 문제를 발견하고, 설계하고, 개발하고는 것이 그들에게는 일이자 취미였다.

또, 일반 IT와 달리 보안 분야는 여성에게 블루오션 같은 곳이라고 말했다. 자신의 역량을 다하고 도전하다보면 소수이기 때문에 더 많은 주목과 독자적인 차별성을 가질 수 있다는 것이다. 엄마로서 아이들에게 필요한 소프트웨어를 개발하고, 사회 전체적으로 좋은 일을 한다는 어머니의 자부심도 동시에 느낄 수 있었다. 

 

그녀들은 앞으로도 오랫동안 이 일을 하면서 신뢰받는 사람이 되기를 원했다. 오늘 자신이 하는 일이 사회에 꼭 필요한 일이라는 믿음과 자신이 중요한 역할을 한다는 자부심이 가득한  안랩의 '개발자'를 만날 수 있었다. Ahn

 

대학생기자 강정진 / 숙명여자대학교 컴퓨터과학과

대학생기자 노현탁 / 건국대학교 기술경영학과

대학생기자 전유빈 / 명지대학교 컴퓨터공학과

사내기자 송우진 / 안랩 네트워크QA팀 연구원

사진. 사내기자 홍성지 / 안랩 커뮤니케이션팀


댓글을 달아 주세요

  1. 임지연 2013.06.14 22:13  Address |  Modify / Delete |  Reply

    저도 여성 개발자가 되고싶네용!!! 아주 흥미로운 기사였습니당 ^^

컴퓨터과학도로서 개관 첫날 둘러본 월드IT쇼

현장속으로/세미나 2013.05.22 14:16

2013년 World IT Show(이하 WIS)가 시작되었다. WIS는 국내와 해외의 많은 기업들과 바이어들이 모여 진행하는 IT전시회이다. 이번 WIS 2013은 5월 21일부터 24일까지 코엑스에서 총 4일간 열린다. 첫 날부터 WIS에는 전시회를 보러 온 사람들로 북적거렸다. 


코엑스의 A,B,C홀을 차지하고 있는 WIS의 입구. 입장하기 위해서는 우선 등록을 하고 이름표를 받아야 한다. WIS 홈페이지에서 사전등록을 했다면 바로 이름표를 받아 가면 되지만, 현재는 사전등록이 마감된 상태이므로 초대장이 없다면 개인 관람요금 5000원을 내고 현장등록을 하면 입장이 가능하다.


우선 홀 입구에 있는 부스에서 등록을 위해 카드를 작성한다. 이름과 소속 등 간단한 정보를 쓰는 란과 6문항의 설문조사가 포함되어 있다. 일단 작성!


필자는 초대장을 받았으므로, 초대장을 같이 등록 데스크에 가져가면 된다. 부스에 배치되어 있는 팸플릿도 하나 챙겨가자. 


작성한 카드와 초대장을 등록 데스크에 가져가면 입장표와 같은 역할을 하는 이름표를 받을 수 있다. 목에 걸고 입장할 준비 완료. 전시장은 A,B,C홀에 있지만 입장은 B홀부터 시작한다. 입장하기 전에 입구 앞에 있는 행사의 개요와 부스 배치도, 참가 업체 리스트가 소개되어있는 안내도도 보고 들어가도록 하자. 


B홀에 입장하면 일렬로 늘어선 기업과 바이어들의 부스들이 눈에 들어온다. WIS에는 모바일, 커뮤니케이션, 방송 관련 장비 뿐 아니라 최근 화두인 클라우드 컴퓨팅이나 빅데이터, IT서비스, 그리고 다양한 소프트웨어와 디지털 컨텐츠들, 자동차나 전력, 조선, 국방, 의료 등의 융합기술과 관련한 IT 컨버전스, 임베디드 하드웨어들이나 반도체, LED등 IT와 관련한 것들이 총집합 되어 있다. 이런 수많은 것들 중에서 몇가지 눈에 띄었던 것들, 재미있었던 것들을 소개한다.


맨 왼쪽 부스부터 돌자는 계획으로 가자마자 보였던 건 휴대폰들이었다. 별다를 것 없는 아이폰들이 나열되어 있다 싶었는데, 알고봤더니 화폐기술을 이용한 인증기술이었다. 5만원짜리 지폐에 위조방지를 위해 있는 홀로그램 같은 점선에 적용된 기술과 같다고 한다. 휴대폰 케이스나 전자제품 케이스에 기술을 적용해 보안을 강화할 수 있도록 응용할 수 있다고 한다.


조금 지나보니 또 휴대폰이 진열되어 있는데, 이번엔 비맞고 있는 휴대폰들! 나노기술을 적용해 생활방수가 되도록 코딩이 된 휴대폰들이라고 한다. 물이 디바이스 안으로 들어가지 않고 흘러내리는 것이 상당히 신기했다. 커피나 주스같은 끈적한 것들을 흘렸다면 물에 씻어내면 된다는 설명에는 살짝 감탄을. 휴대폰을 변기나 세면대에 빠뜨리는 경우도 많고, 비오는 날에도 잘못 하면 빗물이 들어가 부식되거나 하는 경우를 생각해 보면 빨리 상용화가 되었으면 하는 바람이다. 특히 여름철 피서에서 바다에 빠뜨리거나 하지 않기 위해 비닐 형태의 방수 케이스를 본 적이 있는데, 그런 거추장스러운 것 없이 없는게 큰 장점인 것 같다는 생각이 들었달까. 물론 이런 기술이 상용화된다면 침수사고로 AS센터를 찾아오는 고객들도 많이 줄어들 것 같다. 


다른 한편에서는 사내 복지 아이템으로 스크린골프를 이벤트 형식으로 소개하고 있었다. 구경하는 사람들이나 참가하는 사람들도 굉장히 많았고, 흥했던 부스중 하나. 아직까지 직장생활을 해 본적이 없었기 때문에, 이런 사내 복지 아이템을 낼 수도 있구나, 하는 생각이 들었다. 사내에 카페를 만들거나 휴식공간을 만드는 것 같은 정적인 방법 외에도 이런 활동적인 아이템들을 통해 사내에 활력을 불어넣을 수도 있다는 생각이 들었다. 또 괜찮은 사내 복지 방법은 어떤 것들이 있을까, 잠시 생각 해 보게 되는 계기가 되었다.


이런저런 생각들을 하면서 즐겁게 부스를 돌다보니 '유망 중소 벤처관' 이라는 테마 부스가 있었다. 이중에서도 가장 눈에 띄고 즐거운 체험을 했던 것은 다름아닌 키보드였다.


이것저것 체험을 하며 시쳇말로 '지름신'을 내리게 하는 아이템이었다. 특히 영상작업을 하거나 게임을 즐기는 사람들이라면 더욱 관심을 가졌을 것 같다. 키보드 뿐 아니라 조이스틱과 휠, USB 허브가 같이 있는 형태의 키보드인데, 조이스틱을 통해 여러가지를 조절할 수도 있고, 오른쪽의 휠은 영상 프레임 작업을 하는 사람들에게 유용한 장비가 될 수 있을 것 같았다. 키보드와 연동되는 소프트웨어를 통해 프로그램을 지정해 프로그램마다 단축키를 설정할 수 있고, 무엇보다도 USB 선 연결을 통해 두 대의 컴퓨터를 오가며 사용할 수 있다는 장점이 있었다. 이런 복합적인 아이템이 앞으로도 많이 나와주었으면 좋겠다는 생각이 들었다.


JPEG 파일의 용량을 몇배나 작게 해 주는 기술도 있었다. 화질은 그대로인데 용량이 MB에서 KB 단위로 줄어드는 압축기술이었는데, 모바일 네트워크에서 적은 용량으로 좋은 화질의 사진을 주고받을 수 있고 모바일 디바이스의 메모리도 상당히 효율적으로 쓸 수 있다는 장점이 있었다. 압축 시간이 상당히 빠른 것도 장점이었다. 동영상을 압축하는 기술은 지금 현재 개발 진행중이라고 한다. 압축 비율이 상당한데도 불구하고 화질이 바뀌지 않는다는 장점 때문에 이것저것 질문을 많이 하고 의견도 많이 제시했었다. 특히 DSLR같은 카메라에 적용시켜서 사진을 찍으면 적은 용량으로 변환해 SD카드에 저장하면 어떻겠냐는 의견을 제시했었는데, 그렇게 되면 사진 압축기술의 표준이 될 수도 있는 길이지만 업계의 여러가지 이해관계로 지금은 조금 힘들다는 말을 들었다. 참신하고 좋은 기술도 중요하지만 표준이나 시장의 동향 또한 잘 파악하고 있어야 하는, 중요한 고려 대상이라는 것을 실감할 수 있었다. 


조금 이색적인 것도 있었다. 일명 '누워서 컴퓨터를 할 수 있는 의자'. 편한 각도로 기울어진 의자와 공중에 매달린 모니터, 의자 앞에 위치한 키보드와 마우스를 이용해 누워서 편한 자세로 컴퓨터를 할 수 있는 일체형 의자였다. 책상에서 컴퓨터를 장시간 하다보면 모니터로 자꾸 목이 나가는 자세, 즉 '거북목' 자세가 되기 쉬운데 이런 의자에서 등에 편하게 기대어 모니터를 올려다 보게 되면 거북목 증후군을 걱정할 염려는 없을 것 같았다.


다만 너무 큰 모니터가 제법 가까이 붙어있는 것 같아서, 시력에 좋을 것 같지는 않았다. 모니터와의 거리를 자유롭게 조절할 수 있으면 훨씬 더 좋을 것 같았다.


물론 일반 사람들이 편하게 누워서 컴퓨터를 할 수 있다는 장점도 있지만 책상 앞에 앉기 힘든, 병을 앓고 있거나 몸이 불편한 사람들을 위해 몇가지들을 개선하여 보급한다면 훨씬 좋을 것 같다는 생각이 드는 아이템이었다.






영상과 관련한 것들도 눈에 많이 띄었다. 투명 LCD를 이용해 한 화면에 여러가지 다른 화면들을 투명하게 겹쳐 띄울 수 있는 기술도 있었는데, 광고를 원하는 상품이나 서비스를 투명 LCD를 이용해 다른 것들에 겹쳐 지속적으로 노출시킨다면 효율적인 광고효과를 볼 수 있지 않을까- 라는 생각이 들었다.  또 360도 전범위를 볼 수 있는 비디오도 있었다. 보통 카메라는 좌우로 넓은 화면을 담을수는 있어도 한 방향밖에 담아서 볼 수 밖에 없다는 한계가 있었는데, 마우스를 드래그 하는 것으로 360도 방향으로 전부 영상을 볼 수 있었다. 기존 영상물의 한계를 넘어선 기술이었으니, 앞으로 어떻게 상용화가 될지 기대된다.


부스를 돌다 보면 한켠에 크게 자리잡은 대한민국 멀티미디어 기술 대상 수상작관을 볼 수 있다. 대부분 우리가 알고 있는 대기업들의 멀티미디어 디바이스들이 상을 차지했다. 앞으로는 중소기업이나 벤처에서도 우수한 기술로 상을 타고 WIS의 수상작관에서 볼 수 있으면 좋겠다는 생각이 들었다.



청년창업사관학교 부스도 볼 수 있었다. 청년 CEO를 양성하고 창업을 장려하는 목적으로 운영되는 청년창업사관학교에서는 특히 모바일 앱들이 눈에 많이 들어왔다. 특히 아이들을 대상으로 한 카메라형 휴대폰 케이스와 밤늦게 택시를 이용해야 하는 여성들의 경우에 특히 유용할 것 같은 택시 애플리케이션이 눈에 띄었다.  


카메라모양의 휴대폰 케이스는 카메라를 여러 모양의 필터로 조정하여 다양한 모양의 사진을 찍을 수 있었고, 아이들이 사용하기 쉬운 카메라 애플리케이션도 같이 개발하여 디바이스에 탑재하였다. 또 택시 애플리케이션은 위치기반 서비스를 이용해 반경 2km의 택시를 확인할 수 있고 택시를 이용할 수 있었다. 밤 늦은 때 택시를 타는 여성들에게 특히 좋아보이기도 하지만, 급하게 택시를 이용해야 할 상황에서도 유용하게 쓰일 수 있을 것 같았다. 


또 다른 테마 부스로는 '녹색 인증관' 이 있었다. 환경을 위한 IT들이 전시되어 있었는데, 음식물쓰레기를 저렴한 비용으로 비료화, 퇴비화, 연료화 시키는 장비나 유비쿼터스 네트워크를 이용하여 국내 표준으로 현장 설비들의 출력 데이터를 수집하는 기술들을 볼 수 있었다. 하지만 부스가 많지는 않았는데, 앞으로 환경을 위한 Green IT 기술이 더욱 발전하고 다양해져서 내년 WIS에서는 녹색 인증관에서 더욱 많은 부스를 볼 수 있었으면 좋겠다.



계속 구경을 하다보니 또 큰 전광판이 눈에 띄었는데, 노트에 필기한 것을 인식하여 모바일 디바이스에서도 이용할 수 있는 기술을 소개하고 있었다. 특히 이 부스에는 외국인 참가자들이 관심을 보이고 여러가지를 질문하는 모습을 볼 수 있었다. 아날로그 방식으로 노트와 펜을 이용해 제약 없이 자유롭게 원하는 것을 표현할 수 있는 것의 장점과 모바일 디바이스를 이용해 노트를 전송하고 편리하게 관리하고 어디서든 볼 수 있다는 장점을 결합한 것 같다는 생각이 들었다. 체험 해 보고 싶었지만 대기줄이 너무 길어서 멀찌감치 보다가 오기만 한 기술이었다.



IT기술을 가진 업체 뿐 아니라 법률 사무소에서도 부스를 연 것이 흥미로웠다. 최근 개인정보보호법 등 여러가지 법적인 이슈들이 있고 침해사고에 대해서도 법적으로도 접근을 해 볼 수 있는데, 법률사무소에서는 부스를 열어 'IT기업이 꼭 알아야 하는 IT법'을 책자로 엮어 주고 있었다. IT를 기술 뿐 아니라 법의 관점에서 바라볼 수 있는 기회가 될 것 같다.




직접 체험해 본 것 중에 가장 흥미로웠던 것 중 하나였던 '고(高)의심자 탐지기술'이다. 일반적인 웹캠과 특수한 소프트웨어를 이용해 정신생리반응 분석을 통하여 위험인물을 판별할 수 있는 기술이라고 한다. CCTV에 적용하여 통합 관제 시스템을 구축할 수도 있고, ADHD같은 증상을 판별할 수도 있다고 한다. 왼쪽의 사진에서 두상을 감싸고 있는 주파수 같은 것들의 색깔이 초록색일수록 안정적이고 컨디션이 좋은 것이고, 파란색과 보라색이 많을수록 피곤하고 컨디션이 좋지 않은 것이라고 판별된다고 한다. 또 좌우의 모양이 대칭일수록 좌뇌와 우뇌의 밸런스가 맞는 것이라고. 공격성이나 스트레스, 긴장, 불안, 의심, 에너지, 자신감, 신경과민증 등을 수치로 판별할 수 있었다. 오른쪽 사진은 최종 결과에 대해 설명을 듣는 과정이다. 직접 체험해보니 더욱 재미있었고, 이런 시스템을 잘 적용하는 것으로 공항이나 기관 등에서 범죄를 더 효율적으로 예방할 수 있지 않을까 하는 생각이 들었다. 



전국의 많은 대학의 연구기관에서도 부스를 설치해 연구 내용을 선보였다. 빅데이터 처리나 클라우드 관련의 연구도 있었고, 자동차 등의 IT 컨버전스, 보안과 관련한 연구 내용도 있다. 대학의 다양한 연구들이 앞으로 우리나라의 IT를 이끌어갈 원동력이라고 생각한다. 관심있는 연구주제라면 이것저것 질문하고 알아보는 것도 좋을것이다.


1층의 A홀과 B홀에는 중소기업이나 연구기관의 부스가 주를 이루었다면, 3층의 C홀에는 이름만 들어도 아는 국내외 대기업들의 부스가 설치되어 있다. 에스컬레이터를 타고 3층으로 올라가 C홀로 입장해보자.


3층은 국내외 대기업들의 상품 소개와 기술들을 소개하고 있다. 이벤트도 상당히 많고, 특히 최근에 출시된 스마트폰들을 직접 만져볼 수 있으니 모바일 기기에 관심이 많다면 즐겁게 돌아다닐 수 있을 것이다. 


C홀의 전시관에서 가장 눈에 띄었던 것은 싸이의 '강남스타일'과 '젠틀맨'이 나오는 커다란 무대. 무대지만 사실 3D 홀로그램 영상으로, 싸이가 갓 튀어나온 것 같은 착각이 들게 한다. 



아무래도 C홀에는 모바일 디바이스와 TV등의 멀티미디어 디바이스들의 강세인 것 같다. 그 와중에 눈에 띄는 것은 '전자책'이었다. 마치 '인형뽑기'와 같은 테이블 형태였는데, 원하는 책을 클릭하여 펼쳐보거나 할 수 있고 모바일 기기로 다운을 받아 어디서든 책을 볼 수 있는 형태였다. 모바일 서비스는 아직 하지 않고 현재 상용화된 서비스도 아니지만, 세계문학전집을 필두로 서서히 입지를 넓히고 있는 전자책 시장을 생각해보면, 이런 시스템의 상용화도 멀지 않은 것 같다.


아직까지 책은 종이로 읽는 것이 눈에도 편하고 좋긴 하다지만, 전자책은 물리적인 공간을 차지할 필요도 없고 휴대도 편하다는 장점이 있다. 가까운 시일 내로 서점가에서는 '책 자판기'처럼 책을 클릭해서 골라 보고 모바일 기기로 '다운' 받는 것으로 구매하는 가판대가 배치되지 않을까, 상상해본다. 




필자가 체험한 것 외에도 WIS에는 다양하고 많은 IT 기술들이 전시되어 있다. 또한 코엑스에서는 현재 WIS 전시뿐 아니라 WIS 컨퍼런스, 2013시큐리티 코리아 등의 많은 행사도 동시에 진행된다. 관심이 있는 행사라면 같이 참가해도 좋을 것이다.


앞으로 발전할 IT기술들의 현 주소와 미래를 볼 수 있는 World IT Show 2013. 이미 우리 생활에서 빼놓을 수 없는 IT, IT기술의 헤택을 입고 훨씬 '스마트한' 생활을 할 수 있는 우리이기에, 그리고 발전하고 있는 IT기술만큼 위협적으로 변모하는 보안 위협을 느끼고 있는 우리이기에 앞으로도 IT에 대한 관심은 많게든 적게든 가질 수 밖에 없을 것이다.  WIS의 슬로건 "Smart Life, Simple IT" 처럼, 앞으로 더욱 윤택해질 IT기술의 오늘을 WIS에서 한번쯤, 체험해 볼 수 있길 바란다. Ahn


대학생기자 강정진 / 숙명여자대학교 컴퓨터과학과


學而不思則罔, 思而不學則殆

배우기만 하고 생각하지 않으면 멍청해지고, 생각하기만 하고 배우지 않으면 위태로워진다.


댓글을 달아 주세요

  1. 노현탁 2013.05.22 15:15 신고  Address |  Modify / Delete |  Reply

    오 가보고 싶었는데 이렇게 포스팅을 통해 갑접체험해보네요 ㅋㅋ 개인적으로 종이 위에 낙서를 디지털기기로 옮겨주는 기술이 인상적이네요!

  2. 윤덕인 2013.06.02 21:28 신고  Address |  Modify / Delete |  Reply

    기사를 통해 IT쇼를 간접 경험할 수 있어서 좋네요! 좋은 기사 감사합니다~~^^

기밀 정보 노리는 지능적 APT 잘 막으려면

지난 4월 25일, 서울 JM메리어트 호텔 그랜드볼룸에서 <제 8회 NES 2013-차세대 기업보안 세미나&전시회> 가 열렸다. 올 해 NES 세미나에서는 '지능형 위협과 기업 보안, 안전한 BYOD 환경 구축' 을 주제로 안랩(AhnLab)을 비롯한 많은 IT, 보안 회사들이 급변하는 IT 및 위협 환경에 대응하기 위해 주목해야 할 최신 보안 위협 이슈와 동향, 대응 방안을 논의하였다. 


역시 이번 세미나에서 가장 많이 언급 되었던 것은 'APT(Advanced Persistent Threat, 지능형 지속 공격)' 였을 것이다. 목표로 설정한 기관이나 기업을 오랜 기간에 걸쳐 정보를 수집하고 치밀하게 계획하여 목적을 달성하는 형태의 APT는 근래 발생하는 보안 사고의 핵심이자 화두이다. 이 날 안랩의 정진교 팀장은 이러한 APT 대응과 관련하여 <고도화된 위협 APT 대응을 위한 융복합 보안관제> 라는 주제로 발표를 하였다. 


발표의 내용은 보안 위협의 진화와 현재 대응의 한계, 그리고 컨버전스 보안 관제를 통한 보안 위협 대응 전략이라는 두 가지를 중점적으로 다루었다. 다음은 주요 내용을 정리한 것이다. 


최근 APT 공격 문제가 보안계 최대의 이슈이다. 최근에 발생한 공격들은 한두명의 해커가 공격하는 것이 아니라 강력한 자금력과 조직력을 갖춘 스폰서의 전폭적인 지지를 받으며 치밀하게 계획된 공격을 하고 있다. 당연히 대응도 한두명이 할 수 없고, 개별 솔루션으로 문제를 해결할 수도 없다.


이번 세션의 결론부터 말하자면, 이러한 APT공격을 막기 위해서는 특정한 기술이나 지식의 문제를 다루기 보다는 전반적으로 기업 내에서 가시성을 확보하려는 노력을 해야한다. 또한 기업 내에 존재하는 여러가지 기술, 관리 프로세스들에 대한 전반적인 통제력을 확보해야 한다. 이를 통해 회사에서 어떤 이벤트들이 발생하는지, 회사 시스템에서 들어오고 나가는 정보는 어떤 것들이 있는지 전체적으로 파악할 수 있는 시스템을 구축하는 것이 중요하다. 그리고 이러한 가시성을 확보해주는 보안 시스템이 보안 관제 시스템인 것이다. 



그렇다면 왜 현재 보안 관제 시스템으로는 가시성을 확보할 수 없는가?

2002년과 2012년을 비교해 보면, 안랩에서 관제를 맡고 있는 고객의 숫자는 두 배가 늘었다. 그런데 이벤트의 숫자는 2만배가 늘었다. 시간이 흐를수록 보안 위협이 증가하고 있는 상황이다. 


보안 위협은 외부위협과 내부위협, 컴플라이언스로 구분할 수 있다. 외부위협은 바깥의 해커가 접근하는 위협이고 내부위협은 부주의하거나 악의적인 내부인으로 인해 발생하는 위협이다. 컴플라이언스는 개인정보보호법을 예로 들 수 있는데, 보안과 관련한 법 규제를 말한다. 보안 사고가 이렇게 내부나 외부, 컴플라이언스로 구분되어 발생하면 대응하기도 그만큼 쉽다. 하지만 최근의 APT 공격들은 외부와 내부의 경계가 모호하다. 공격자는 외부에 있는데 공격은 내부에서 일어나기도 하고, 전면전보다는 게릴러성의 성격이 짙다. 개인정보보호라고 하는 부분도 외부로 유출하지 말아야 할 관리 대상이기 때문에 내부통제에 해당하지만, 컴플라이언스 입장에서는 프로세스를 관리해야 하기 때문에 역시 경계가 모호하다. 즉, 보안 관리자의 입장에서는 점점 더 대응하기가 힘들어지는 상황인 것이다.


또한 특정 기관을 노린 악성코드도 증가하고 있다. 내부정보의 유출을 위해서 타겟화 되고 구체적인 목표를 가진 악성코드로 발전하고 있는 추세이다. 이러한 악성코드가 개인과는 관계 없는 일이라고 생각할 수 있지만, 작년에 이러한 부류의 악성코드가 발견된 것만 약 60만 건이다. 어떤 사람이든 부지불식간에 피해를 입을 수 있는 상황인 것이다. 


그리고 사회적 환경의 변화도 고려해야 한다. 2011년 이후로 개인정보 유출과 관련해 큰 사건들이 있었고, 정부에서도 개인정보보호법을 제정해 규제를 강화했지만 보안사고는 그 이후로도 끊임없이 일어났다. 이렇게 보안사고가 반복적으로 일어나게 되면 기존 보안 대책에 대한 신뢰성이 하락한다. 근본적인 변화가 요구되는 상황인 것이다.



근본적인 문제란 무엇인가?

기존 관제 시스템은 각각의 보안 제품으로부터 이벤트를 받아서 이벤트를 처리하는 식이었다. 하지만 APT는 기존 보안 시스템들을 회피하거나 우회하는 새로운 방식의 공격을 하기 때문에 실제적으로 보안 제품이 걸리는 이벤트들이 많지 않다. 게다가 APT는 외부가 아닌 내부쪽에서 문제가 벌어지기 때문에 내부의 엔드 포인트를 보아야 하지만 기존의 관제 시스템들은 네트워크의 경계를 보기 때문에 대응하기가 힘들다. 또한 기업에서 사용하는 보안 제품뿐 아니라 기업 전체의 시스템에 관한 정보도 파악하고 있어야 하는데 현재는 단편적인 정보나 이벤트 탐지 위주로 관제가 이루어지기 때문에 APT 대응이 힘들다. 


임계치 기반의 관제도 한계점이다. 쏟아져 들어오는 정보의 양이 많기 때문에 대부분의 관제 시스템들은 임계치를 두어 그 임계치가 넘는 이벤트만 대응을 한다. 하지만 요즘 공격들은 임계치를 밑도는 수준의 공격에서 사고가 발생하기 때문에 임계치를 기반으로 한 관제 시스템에서 APT를 탐지하는 것은 불가능하다. 


다음은 상관분석이다. 기존 보안 시스템들은 상관분석을 할 수 있는 주기가 길지 않다. 하지만 APT는 상당히 긴 주기를 가지고 발생하는 공격의 형태이기 때문에 상관분석으로는 찾기가 힘들다. 여기서 빅데이터에 관한 문제가 함께 대두된다. 


마지막으로는 내부자로부터 발생하는 문제이다. 내부자가 악의적인 마음을 먹고 정보를 빼돌리게 되면 마땅한 방법이 없는 것이 사실이다. 


3.20 사고와 같은 경우에는 지능화된 공격, 분석할 수 있는 데이터의 부족, 이벤트 탐지 대응방식에 대한 한계, 내부적인 통제가 힘들었다는 요인들이 포함되어 있다.



그렇다면 우리는 어떻게 대응해야 하는가?

우리가 보아야 하는 부분은 이제 단순히 네트워크에 한정되어있지 않다. 내부와 외부를 한꺼번에 관리하고 통제할 수 있어야 한다. 이벤트 중심이 아닌 행위와 정책을 분석하고 시나리오를 기본으로 보안을 바라보아야 한다. 또한 알려지지 않은 공격(Unknown Attack)에 대해 관제 시스템이 어떻게 받아들이도록 할 것인지, 하드웨어 뿐 아니라 내부의 프로세스나 정책에 대해서는 어떻게 파악을 할 것인지도 고려해야 한다.

이러한 대응을 위해서는 3가지 'Every' 를 해야 한다고 말씀 드리고 싶다. 

Everywhere, 내부나 외부의 경계 구분 없이 모든 위협에 대응해야 한다. 

Everything, 단순히 보안 장비만 모니터링 하는 것이 아니라, 시스템 안에서 송수신되는 모든 파일, 트래픽, 관련 로그를 수집하고 모니터링 해야 한다. 또한 네트워크와 관련한 인프라들, 서버 시스템들, 내부 지원에 대한 정보들을 전체적으로 파악해야만 한다.

Everyone, 개인에 대한 부분을 파악해야 한다. 권한있는 사용자, 임원 뿐 아니라 퇴직자까지 모든 사용자의 행위를 수집하고 파악할 수 있어야 한다. 



대응을 하기 위한 시스템을 어떻게 꾸려볼까?

네트워크, 서버와 클라이언트, 그리고 내부 직원과 문서들이 존재한다. 여기서 생성되는 수많은 데이터들을 수집한 뒤, 상관분석을 통하여 외부 위협을 대응하고 내부 통제를 해야한다. 또한 분석한 내용들을 구분하여 대시보드에 올려 통합적인 모니터링을 해야한다. 이를 통해 가시성을 확보하고 문제를 해결할 수 있을 것이다.


안랩은 안랩 보안 프레임워크(AhnLab Security FrameWork)를 통해 컨버전스 통합 보안 관제 시스템을 구현하였다. 시스템 안의 구성요소들을 잘 구축을 해야만 발생하는 이벤트들이 잘 정제되어 수집되고 그래야만 다음 단계로 잘 넘어갈 수 있다. 이러한 컨버전스 통합 관제 시스템이 잘 구축이 되어야 효과적인 보안 솔루션을 도출할 수 있으며 대응을 할 수 있는 선순환적 구조를 가질 수 잇을 것이다. 



컨버전스 통합 보안 관제 체계는 네 가지 구성요소로 이루어져 있다.

컨버전스 통합 보안 관제 체계는 외부 위협 탐지 시스템, 내부 위협 통제 시스템, 통합 관제 시스템 구축, 입체적 대응 체계 및 운영, 지원이라는 네 가지 구성 요소로 이루어져 있다.


외부 위협 탐지 시스템은 새로운 공격에 대해 유연하게 대응할 수 있도록 구축해야 한다. 이를 통해 외부 침해사고에 대한 대응을 강화시킬 수 있다. 내부 위협 통제 시스템은 내부자가 하는 행위가 불법적인 행위인지 아닌지 룰 기반으로 판단할 수 있어야 한다. 또한 쏟아져 나오는 수많은 이벤트들을 한꺼번에 처리하고 인과관계를 이끌어낼 수 있도록 통합 관제 시스템이 탄탄히 구축이 되어 있어야 하는 것은 물론, 이러한 인프라를 관리하고 운영할 수 있는 인력이 있어야 한다.



핵심 요소는 내외부의 모든 로그 수집과 입체적인 상관분석을 통한 통합 모니터링과 대응이다.

관제 시스템을 구축할 때는 양질의 이벤트들이 추출되어야만 대응을 효과적으로 할 수 있기 때문에, 가지고 있던 각각의 시스템들이 잘 갖추어져 있는지를 봐야 한다. 또한 내부의 시스템을 파악하면서 통합된 정보를 수집할 수 있어야 하고, 수집된 정보를 상관분석을 통해 APT 관제나 내부 통제를 실시할 수 있어야 하며, 대시보드를 통해서 현재 상태가 어떠한지 이야기 할 수 있어야 한다.



이벤트 중심에서 시나리오 중심으로!

이제는 시나리오를 중심으로 상관분석을 해야한다. 단편적이었던 과거의 공격과는 다르게, APT는과정이 긴 공격이다. 때문에 공격자가 최초로 보안 시스템에 침입을 하였다 하더라도 그게 끝이 아니라 공격을 업그레이드 하고 또 다시 공격하고 하면서 목적을 달성하기까지 수개월이 걸린다. 따라서 공격 시나리오 중심으로 상관분석을 하여 공격자가 공격의 최종 목표를 달성하지 못하도록 공격의 연결고리를 끊어내는 것이 무엇보다 중요하다. 



내부와 외부의 통합 관제 프로세스는 어떻게 운영할 것인가?

정책, 행위 기반의 상관분석을 통해 관제 시나리오를 제공해야 한다. 룰 분석을 통해 이벤트들을 네트워크에서는 침해 유형별 분류를, 내부 시스템에서는 정책별 분류를 하고 분석할 수 있다. 이러한 결과를 상관분석을 통해 단순히 이벤트에 그치는 것인지, 목적성이 있는 APT 공격의 일부인지 걸러내고, 여기서 APT 대응을 하거나 내부 사용자에 대한 통제로 대응할 수 있다. 가장 중요한 것은 전체적인 것을 파악하고, 어떻게 발전하여 다시 침투할 수 있는지 고려하는 것이다. 



계속 새로워지는 보안 위협에는 어떻게 대처할 것인가?

안랩에서는 스마트 사이트(Smart Sight)를 통해 실시간으로 새로운 악성코드에 대한 위험 정보를 제공하고 있다. 최근의 공격들은 공격이 어떻게 진행되는지 감을 잡기 어렵다. 실시간으로 악성코드를 수집, 분석하고 공격이 어떻게 진행되는지, 공격의 침입 경로는 어디인지, 공격이 어디까지 진행되었는지 파악하기 위한 포렌식 조직도 필요할 것이다. 가장 좋은 것은 대응팀을 내부에 보유하고 있는 것이겠지만, 그렇지 않을 경우에는 정보보호 전문 업체를 통해 보안 관제를 부탁하는 것이 좋다. 또한 제공하고 있는 최신 보안 이슈들을 점검하는 것 또한 필요하다. 



이러한 컨버전스 관제는 제품이 아니라 보안에 대한 방법론이고 보안 컴포넌트들을 통합해서 제공하는 SI이다. 궁극적으로 컨버전스 관제는 그동안 보지 못했던 것들을 모니터링하고, 외부위협에서 내부위협까지 전반적인 가시성을 확보하는 하나의 프로젝트이다. 이것을 통해 IT 자산 및 보안 장비의 활용도를 극대화 할 수 있고, 고도화된 관제를 통해 내부와 외부 위협을 최소화 시킬 수 있으며, 정책 기반 관리로 내부 가시성 확보와 통제력을 강화할 수 있다. Ahn



대학생기자 강정진 / 숙명여대 컴퓨터과학


學而不思則罔思而不學則殆

배우기만 하고 생각하지 않으면 멍청해지고, 생각하기만 하고 배우지 않으면 위태로워진다.





댓글을 달아 주세요