대학생을 위한 CEO 포럼, 누가 미래를 가질 것인가?

안랩人side/김홍선 前 CEO 2013. 12. 3. 09:04

한류 열풍, 김연아, 인천공항, 삼성전자, 현대자동차 같은 키워드는 대한민국의 희망을 나타낸다. 반면 높은 자살률, 낮은 출산율, 고령화, 청년실업, 베이비 붐, 국가 부채 등은 대한민국의 우울한 모습을 비춘다세계를 향해 나가는 젊은이와 안정된 삶을 향하는 젊은이가 대립하는 대한민국. 과연 문제는 무엇일까?


11 19일 한양대학교에서 열린 JP 모간 / 금융저축정보센터 / 매일경제가 주최하는 <대학생을 위한 JP 모간 CEO 포럼>에서 안랩의 김홍선 대표가 취업만을 바라보는 젊은이들에게 조언의 메시지를 건넸다.

 

 

 

IT의 대중화

강연에서 그가 처음으로 강조한 말은 IT의 대중화였다. IT의 대중화는 인터넷 혁명, 통신 혁명, 디지털 혁명을 거치며 한 단계씩 강화되었다.

 

Trigger 1 – 인터넷 혁명

2013년 대한민국은 기술중심 폐쇄적에서 벗어나 정보가 중심이 되고 개방적인 시대가 되었다. 정보와 컴퓨터가 분리가 되면서 더욱 더 많은 사람들이 정보를 쉽게 접하게 되었다. 

 

Trigger 2 – 통신 혁명

우리나라에 인터넷이 도입된 지 30년이 넘었다. 90년대 말 초고속 인터넷이 확산되고 PC 기반 인터넷 서비스가 급속히 성장하고, 무선 인터넷 서비스의 등장과 모바일 시대로 변화하며 스마트폰 및 SNS가 확산되었. 이러한 패러다임의 변화로 이제까지 IT 산업을 주도해온 인터넷 기업들은 모바일 기업들의 위협을 받고 있다.

 

Trigger 3 - 디지털 혁명

우리는 현재 망각이 사라지는 시대에 살고 있다. 인류 역사상 망각이 사라지는 시대가 있었는가이제는 정보가 빠르게 전파되고 무한 복사가 가능해짐에 따라 관리가 쉬워진다. 또한 DVD보다는 유튜브를 많이 선택하는 것과 같이 상호작용적인 플랫폼이 각광받고 있다.

 

김 대표는 이어서 IT의 대중화는 People Power을 이끌어냈으며 따라서 스마트시대 키워드는 나 자신이 되었다고 설명했다.


People Power

과거 농경사회의 핵심자원은 자본, 토지, 공장이었다. 하지만 이제 핵심자원은 사람, 지식, 기술, 브랜드이다. 기술과 아이디어가 비즈니스의 거래 도구로 이용됨에 따라 자원 이동과 무한 커뮤니케이션이 글로벌 시대에서 이루어지고 있다. 이제 정보는 곧 힘이며, 산업 환경의 패러다임 변화를 알 수 있다.

  

스마트 시대의 키워드

무한한 정보가 존재하고 변화하는 지금, 안정적인 직업은 존재하지 않는다. 수많은 직업이 창출되는 지금, 더욱 많은 기회가 주어졌다. 이제 조직이 아닌 내가 이끌어가는 시대이다. 성공을 하기 위해서는 현장의 변화를 읽어내고 나를 중심으로 세계를 보는 스펙트럼이 필요하다. 프로가 되는 것은 현장에서 얼마나 잘 깨우치느냐가 결정한다 


그렇다면 나에게 맞는 직업은 어떻게 찾아야 할까직업을 나타내는 영어단어에는 job career가 있다. 모두 직업이라는 뜻이지만 실제로 문장에서 job career는 다르게 쓰인다job 과 career는 명백히 다르다. job이 아닌 career를 선택하는 것이 프로가 될 수 있는 직업이다. Career을 갖기 위해서 자신의 롤모델과 멘토를 찾고 그들의 경험과 어떤 영향을 받았는지 검색하고 자기개발의 방향을 잡는 것도 중요하다.

 

 

누가 미래를 가질 것인가? 이 질문의 답은 나 자신에게 있다. 자신을 탐구하고 시대 변화를 읽어내는 자가 미래를 만들어갈 것이다. Ahn

 

 대학생기자 박서진 / 서울여대 정보보호학과

 끝없이 노력하고 끝없이 인내하고 끝없이 겸손하자.

 

 

댓글을 달아 주세요

  1. 긍정맨 혀니^^ 2013.12.03 10:06  Address |  Modify / Delete |  Reply

    저도 평소에 누군가의 자서전을 자주 읽는편인데 필자의 경험이 삶에 어떤 영향을 주었는지 한번 정리해봐야겠다는 생각이 드네요^^

  2. 전경련 자유광장 2013.12.03 10:45  Address |  Modify / Delete |  Reply

    자신을 탐구하고 시대 변화를 읽으라는 말이 정말 인상적이네요. 잘 읽고 갑니다.

  3. 석구 2013.12.04 17:41  Address |  Modify / Delete |  Reply

    스마트해진 세상과 달리 '나'자신에 대해 접근하는 방법에는 스마트해지지 못하는 요즘, 와닿는 말이었습니다. 기사 재밌게 읽었습니다:)

개콘 '황해'가 내 일이 되지 않게 하려면

현장속으로/세미나 2013. 9. 23. 07:00

지난 7월 10일부터 7월 12일 2박3일간 대학생 금융보안 캠프가 열렸다. 천안 KB국민은행 연수원에서 이루어진 이 캠프는 미래 정보기술 환경에 능동적으로 대처하는 금융보안전문가 양성을 위해 금융감독원, 금융보안연구원이 개최하였다.

올해로 4회를 맞이한 이 캠프는 금융보안 및 취업 관련 세미나, 금융회사 it담당자, 정보보호 관련 종사자들과의 토론, 금융회사, OTP통합 인증센터 등 현장 견학이 진행되었던 금융보안캠프는 금융보안에 관심 있는 대학생 100명이 참여하였다.

캠프에서 다양한 전문가들이 금융보안에 대한 세미나가 있었는데, 장재환 금융보안연구원 팀장의 "전자금융 위협과 대응방안, 사고사례"의 발표를 소개한다.

유사 도메인과 피싱

피싱사이트는 가짜사이트를 만들어 금융거래에 필요한 정보를 공격자들이 수집을 하여 도용해 자동이체 등의 금전적 피해를 주는 공격방법이다. 예전에는 포털사이트나 중소기업 사이트의 취약점을 이용하여 정보를 입력받았지만, 최근 금융회사 사이트들이 증가하면서, 금융회사 도메인주소와 유사한 도메인주소를 만들어 공격하는 방법이 트렌드가 되었다. 이를 통해 사용자에게 의심없이 정보를 입력받는것이 활성화 되었다.

예를 들어 card-nonghyupd.com와 같이 도메인주소를 금융회사 도메인과 유사하게 등록하고, 사이트의 디자인 역시 해당 금융회사 사이트와 똑같이 만든다. 그리고 그 사이트에 중요정보(카드정보, 계좌번호, 비밀번호 등)를 입력하게 유도하여 정보를 유출한다.

실제로 이러한 사이트의 출처는 미국이 상대적으로 가장 많은 42%를 차지 하고 있으며, 일본, 홍콩 순으로 아시아 국가들이 다수를 차지한다. 미국이 가장 비율이 많은 이유는 피하기가 쉽고, 국내수사가 어려운 장점이 있기 때문이다.

피싱의 특징은 유사 도메인 사용, 유사 페이지 생성, 개인(금융)정보 요구로 요약된다. 금융회사 도메인 명과 유사한 도메인을 생성하거나 금융회사 홈페이지 구성과 거의 같은 페이지를 생성하여 보안카드 일련번호, 비밀번호, 계좌번호 등 금융 거래에 필요한 모든 정보를 요구하는 것이다.

이러한 피싱 사이트를 탐지하는 기술에는 유사 도메인 검색과 HTTP Referer 분석이 있다. 유사 도메인 검색은 최상위 도메인(.com, .net)에 등록되는 도메인 중 금융 회사 도메인과 유사한 도메인을 검색(ex, %kbstar%, %woori%, %shinhan% )하여 피싱사이트를 탐지한다. 검색된 유사 도메인의 정보를 바탕으로 금융거래정보 입력요구, 사이트 내 문구 등으로 피싱 사이트 여부를 탐지한다. (스마트폰 피싱사이트의 경우 단축 URL 사용으로 사전 탐지가 어려운 점이 있다.) 피싱사이트의 여부가 판단되면 KISA나 금융권에 통보를 해 준다.

HTTP Referer 분석은 피싱 사이트와 더욱 유사하게 보이기 위해 원사이트 이미지, 게시글 등 링크를 통하여 피싱 사이트를 탐지하는 기술이다. 

악성코드와 파밍

파밍은 자신은 정상적인 사이트라 생각하고 접속을 하지만, 해커에 의한 피싱사이트에 접속되게 된다. 파밍은 악성코드에 감염되는 것을 차단해 예방해야한다. 파밍의 유도경로는 주로 파일공유 사이트이다. 파밍을 통한 금융정보 유출 악성코드를 분석해보면, 이전의 악성코드와 유사하나, 좀 더 정교한 피싱사이트와 연계하여 동작을 한다. 현재, 많은 변종이 유포 중에 있으므로, 스팸 메일 열람, 음란물 다운로드 등에 의한 악성코드 감염을 조심해야 한다.

<악성코드에 의한 파밍의 진행 과정>

-대부분이 웹 사이트 변조를 통해 불특정 다수를 감염대상으로 함

-악성 파일 실행 시 윈도우 자체 취약점 및 백신 무력화 루틴을 통한 악성코드 자가보호 기능 탑재

-관리자 계정 생성 및 원격 접속 (RDP)을 수행

-정상적인 뱅킹 URL 요청 시 피싱사이트로 접속

-SendMessage를 통한 URL 변조 -> 정상적인 URL로 보이게 함 

스마트폰 기반 서비스 보안 위협 및 대응

스마트폰은 사용하기는 편리하나 보안위협요소들이 굉장히 많다. 스마트폰에 금융서비스가 등장하면서 암호화나 백신의 필요성논란이 있었지만, 스마트폰은 PC만큼이나 이용이 많이 되므로 보안도 반드시 필요하다. 따라서 이용자 PC와 똑같은 수준에서 보안위협을 봐야하며 보안대책을 세워야한다. 실제로 스마트폰의 분석 결과 pc와 같은 위협들이 발생한 것을 알 수 있다.

 

<스마트폰 전자 금융서비스 보안 고려사항>

-OS 플랫폼 변조 여부 탐지 및 차단 기술 적용

-중요 입력정보 보호 수단 적용(가상키패드 등)

-파일 시스템 내 금융정보 노출 방지

-전송구간 데이터 암호화 적용

-피싱 및 악성코드 예방 대책 적용 등

또한 최근 스마트폰 악성앱이 증가하고 있다. 악성앱은 악성코드와 유사하지만 조금 다르다. 악성코드도 쓰이지만 위배된 앱을 사용한다. 문자를 가로채는 앱을 통한 소액결제 사기, 파밍기법을 이용한 금융정보 입력 요구 등으로 주요 금융거래 정보 유출 및 금전적 피해가 발생하고 있다. 따라서 마켓에서 앱을 설치할 때와, 스미싱 url클릭으로 원치 않는 악성앱이 설치되므로 주의해야한다.

APT(Advanced Persistent Threats)

APT는 서버정보를 이용해 취약점을 찾아내 서버를 공격할 수 있는 악성코드를 보내고, 악성코드는 특정 시점에 특정 서버 공격을 수행하게 된다.

APT의 공격 대상은 정부기관(정부 내 기밀 문서 탈취, 군사 기밀 문서 탈취), 사회 기간 산업 시설(사이버 테러리즘 활동, 사회 기간 산업 시스템의 동작 불능), 정보 통신 기업(기업 지적 자산 탈취, 기업 영업 비밀 탈취), 제조 업종 기업(기업 지적 자산 탈취, 기업 영업 비밀 탈취), 금융 업종 기업(사회 금융 시스템의 동작 불능, 기업/개인 금융 자산/정보 탈취) 등으로 매우 다양하다.

APT의 피해예방을 줄이는 방법은 취약점 점검을 지속적으로 하는 수 밖에 없다. 특히 이용자가 많이 접속하는 서버에 악성메일이 오지 않도록 예방교육도 필요하다. 실제로 악성코드가 담긴 메일을 통해 공격을 당하는 경우가 많으며 이같은 방법은 한명이 감염되면 내부사람 전체가 감염될 수 있기 때문에 주의가 필요한 부분이다.

끝으로, 전자금융을 위협하는 보안위협은 지속적으로 이어짐에 따라 주기적인 모니터링 강화가 필요하며 피싱, 파밍 등 기존의 위협들에서 한 단계 발전한 공격들에 대한 대응방안 역시 필요하다.

스마트폰, 태블릿 PC 등 새로운 기기와 채널을 통한 전자금융이 발전함에 따라 관련된 보안 위협 또한 증대 되고 있는것이 현실이다. 새로운 기술의 발전에 따라 해킹 기술 또한 발전하고 있어 이에 따른 지속적인 보안기술 개발과 관련 담당자들의 관심이 필요할 것이다. Ahn

 

 대학생기자 박서진 / 서울여대 정보보호학과

 끝없이 노력하고 끝없이 인내하고 끝없이 겸손하자.

 

댓글을 달아 주세요

스미싱부터 USB까지 내 정보 노리는 위협 네 가지

보안라이프/이슈&이슈 2013. 9. 16. 07:00

스마트폰은 기존 데스크탑, 노트북의 한계를 벗어나 큰 편리함을 제공해준다. 하지만 보안 사고 또한 급증하고 있다. 파밍피싱, 스미싱 등의 금융 보안 사고들이 급증하는 이유는 스마트폰 등 무선기기의 발달과 함께 와이파이(wifi)를 이용한 인터넷 사용 증가, 스마트폰의 USB 기능 대체 등 때문이다.

보안 위협 기술이 고도화하고 계획이 치밀해짐에 따라 보안 사고에 속수무책이라는 말도 있지만, 사실 보안 사고는 기본적인 보안 수칙을 지키는 것만으로도 예방할 수 있다. 개인 정보를 노리는 대표적인 보안 위협과, 안전하고 편리하게 IT 생활을 할 수 있는 방법을 정리해 보았다.

파밍

파밍은 넓은 의미에서 피싱의 한 유형으로 분류할 수 있으며, 정확한 명칭은 ‘DNS Spoofimng’이라고도 한다. 즉 ‘DNS Spoofing’은 인터넷 주소창에 방문하고자 하는 사이트의 URL을 입력하였을 때 가짜 사이트(fake site)로 이동시키는 공격 기법으로, 컴퓨터가 웹 사이트를 찾을 때 공격자가 원하는 거짓정보로 응답해주는 공격방법이다. 올바른 URL을 입력했다고 하더라도 잘못된 서버로 접속되며, 이러한 측면에서 피싱보다 한 단계 진화한 형태의 새로운 인터넷 사기 수법이라고 할 수 있다.

피싱과 파밍의 가장 큰 차이점은, 피싱은 금융기관 등의 웹 사이트에서 보낸 이메일, 문자메시지 등으로 위장해 사용자로 하여금 접속을 유도한 뒤 개인정보를 빼내는 방식인데 비해, 파밍은 해당 사이트가 공식적으로 운영하고 있는 사이트의 도메인 자체를 해커가 미리 준비한 개인정보탈취용 가짜사이트로 중간에서 바꿔 치기 하여 개인정보를 빼내는 방식이라는 데 있다.

공격자 입장에서 단순히 한두 사람을 대상으로 하는 피싱과는 달리 대규모 ‘개인정보의 추수’가 발생할 수 있다는 점에서 위험한 공격기법이다. 파밍은 아래와 같은 흐름으로 이루어진다.

해커가 PC에 악성코드 배포 -> 정상적인 사이트 접속 -> 악성코드는 위조사이트로 이동 -> 위조사이트에서 정보 절취

이러한 파밍은 PC 백신 프로그램을 이용하여 악성코드 탐지 및 제거, 금융회사에서 안내하는 ‘뱅크 사이트’의 정상 여부 확인, 출처 불분명한파일 다운로드 않기, 위조 사이트에 ‘보안카드’ 등 개인정보 입력 시 즉시 금융회사에 분실 신고 등으로 피해를 예방할 수 있다.

파밍은 보안카드번호 입력을 유도한다.

피싱과 스미싱 

피싱은 주로 이메일/메신저/SMS 등을 통해 사용자를 가짜 사이트로 이끈 뒤 개인정보와 금융정보 등을 탈취하는 공격이다. 피싱의 방법으로 흔히 보이스피싱을 알고있지만, 다양한 피싱방법이 존재한다. 이메일을 통해 아프리카의 다이아몬드를 받으라는 메일이나, 상속받은 유산을 잠시 맡아달라며 계좌번호를 알려달라는 메일, 말도 안되는 이야기처럼 들리겠지만 실제 웹메일을 통한 피싱 사례들이다. 

최근 가장 많이 발생하는 스미싱 또한 피싱의 한 종류이다.

두사람이 만나 하나의 매듭이 되고자 합니다. ‘링크’

g마켓 5만원결제가 완료되었습니다 결제확인 바로가기 ‘링크’

카카오톡 업데이트 바로가기 ‘링크’

위 문자들은 스미싱에 이용되는 문자들로, 스미싱은 문자메세지를 이용한 새로운 휴대폰 해킹 기법이다.

2012년 11월말부터 계속해서 발생하고 있는 스미싱은 문자 내용에 URL을 포함하여, 클릭시 어플리케이션 패키지(apk)를 자동으로 실행하는 방식이다. 이 앱을 클릭할 경우 어플리케이션을 만든 크로커가 휴대폰 결제를 자유자재로 할 수 있는 무서운 피싱인데, 인증번호를 안내하는 문자, 결제완료 안내문자까지 빼돌려 휴대폰 사용자에게는 발생당시에 인지할 수 없도록 되어 있다.

대부분 돌잔치, 결혼식 등 경조사 관련된 내용을 빙자한 문자들이며 최근 2년동안 스미싱은 1만 2478건이 발생하였고, 25억 97000만원이라는 어마어마한 피해금액이 발생하였다.

스미싱을 예방하기 위해서는 출처가 불분명한 url은 클릭하지 말고, 결제확인, 모바일청구서등의 문자도 연결된 url을 잘 확고 접속해야한다. 혹시 피해를 입게 된다면 경찰청사이버테러 대응센터 <182>로 신고하고, 가입중인 통신 고객센터로 신고한 뒤 한국 소비자원으로 소액결제 중재상담을 하는것이 빠른 대처방안이다.

스미싱은 URL 클릭을 유도한다

와이파이 통한 해킹

가정과 사무실, 그리고 카페에서의 노트북과 스마트폰사용이 증가하면서 무선 공유기를 통해 인터넷을 즐기는 사람들을 쉽게 볼 수 있다. 무선인터넷은 접속이 아주 쉬워 누구나 쉽게 접속할 수 있지만, 대부분 보안인증 설정을 하지 않아 개인정보 유출 또한 아주 쉽게 이루어질 수 있다.

이러한 무선인터넷 해킹의 대표적인 기법은 무선 액세스포인트의 인증구조를 이용하는 것이다. 이 기법은 무선인터넷 사용자가 액세스 포인트에 접속할 때 가상의 액세스 포인트를 경유해 해커가 사용자 중요정보를 모니터링한다. 무선인터넷 해킹 툴로는 에어잭, 에어스너트, 더블유잭, 몽키잭, WEP크랙 등이 있다.

우리는 언제 어디서나 쉽게 인터넷에 접속하여 메일을 확인하고, 은행업무 등 다양한 일을 합니다. 그러나 우리가 쉽게 인터넷에 접속할 수 있는 만큼 해커들도 우리 정보에 쉽게 접근할 수 있다는 사실 또한 명심해야 한다.

혹시 가정에서 무선 공유기를 사용 중 이라면, 비밀번호를 꼭 설정하길 바란다. 비밀번호 설정만으로도 당신의 보안지수는 굉장히 올라갈 것이다.

USB 통한 해킹

악성코드는 USB를 통해 전파되는 것이 가장 흔한 경로인데, 이것은 Windows의 Autorun.inf 때문이다. 이것은 CD나 이동저장매체 연결 시 특정 프로그램이 자동으로 실행되도록 하며, 일반적으로 사용자가 CD 또는 USB 이동 저장 매체 연결 시 소프트웨어 설치가 자동으로 이루어질 수 있도록 하기 위한 목적으로 많이 사용된다. 이 기능은 Microsoft에서 사용자들의 편의를 위해 만들어졌지만, 해커들은 Autorun.inf를 악성코드 전파의 수단으로 이용하려는 발상을 해냈고, USB를 컴퓨터에 꽂기만 하여도 사용자가 감염된 사실을 알아채지도 못한 채, 악성코드가 실행되게 된다.

전파 과정은 다음과 같다.

이동저장매체에 악성코드 복사 -> Autorun.inf 파일에 악성코드 실행 스크립트 삽입 -> 사용자가 이동저장매체에 접근할 경우 자동 스크립트에 의해 악성코드 실행

USB를 통해 감염되는 악성코드는 직접 공격을 시도하는 경우도 있으나, 최근에는 감염 직후 다른 사이트에서 악성코드를 다운로드 하여 추가적인 공격을 유도하는 Dropper 악성코드 역시 많이 발견되고 있다. 또한 백신프로그램 종료 등 자기 방어 기능도 포함되어 있는 경우가 많아 일반 백신으로는 치료가 어려워질 수 있다.

따라서, 중요한 자료가 저장되어 있는 시스템에 접근할 때는 반드시 출처가 확인된 저장매체만을 사용하고, 자동실행 기능을 해제하여 피해를 사전에 예방하고, 수시로 안전성을 점검하는 자세가 필요하다. Ahn

 

 대학생기자 박서진 / 서울여대 정보보호학과

 끝없이 노력하고 끝없이 인내하고 끝없이 겸손하자.

 

댓글을 달아 주세요

  1. 주문호 2013.09.17 08:21  Address |  Modify / Delete |  Reply

    유용한 정보네요 감사합니다!

쉽게 뚫리는 패스워드, 좀더 안전한 패스워드

보안라이프/이슈&이슈 2013. 9. 4. 08:11

패스워드란 특정한 시스템에 로그인을 할 때에 사용자의 신원을 확인하기 위하여 입력하는 문자열, 즉 암호다. 보안성을 높이기 위해 사용하는 패스워드, 과연 대부분 안전한 패스워드를 사용하고 있을까?

대부분의 인터넷 유저는 ID와 패스워드 관리에 공을 들이지 않는다. 하지만 해커들은 이러한 틈새를 파고든다. 소 잃고 외양간을 고치지 않으려면 선제적인 암호관리가 필수이다.


가장 보안이 취약한 패스워드는 어떤 조합이 있을까?


‘내가 생각하기 쉬운 패스워드‘는 해커도 생각하기 쉽다. 1234, abcd, qwer을 이용한 패스워드를 사용해본 사람은 매우 많을것이다. 이것들은 해커가 가장 먼저 시도하는 번호라고 생각하면 된다. 또한 한글명사를 영문자판으로 치는 조합, 본인의 이름, 전화번호 같은 개인정보도 사용하지 않는 것이 좋다. https://howsecureismypassword.net/ 에 접속해보면 입력된 패스워드의 안전도를 체크해준다.

실제로 1234는 “Your password would be cracked almost Instantly” 라는 경고창이 뜨고 단순한 이름을 입력하면 “It would take a desktop PC about 52 secondsto crack your password”가 뜬다. 단순한 단어나 이름은 안전하지 않다는 뜻이다. 반면 영문과 숫자를 조합한 14자리의 비밀번호는 "It would take a desktop PC about 48 thousand yearsto crack your password"라는 창이 뜬다. 이를 통해 현재 자신이 사용하고 있는 패스워드를 점검해보길 바란다.


좋은 패스워드 선택하기


그렇다면 좋은 패스워드는 어떻게 만들까? 다음은 안전한 패스워드를 만드는 예이다.

1. 6자는 OK, 10자는 GOOD, 15자는 EXCELLENT

마이크로소포트 윈도우를 사용하고 있다면 15자 이상의 패스워드를 사용하면 특별해진다. 14 이하의 패스워드는 “스크램블(암호화된 눈에 안보이는 으깨진 글자)”가 되어 뒤범벅 되고 숨은 윈도우 시스템 파일로 저장된다. 유능한 해커는 이 글자에 접속 후, 패스워드를 해독할 수 있다. 하지만 마이크로소프트 윈도우는 15자 이상의 스크램블 글자는 저장하지 않는다. 따라서 15자 이상의 패스워드를 쓴다면 해커의 위협으로부터 더 안전해 질 것이다.

2. 의미있는 문구와 숫자, 특수문자 합하기

%^$#등의 특수문자를 패스워드에 포함시키는 경우는 흔치않다. 자신에게 글자, 숫자 한가지로만 이루어진 패스워드는 안전하지 않기 때문에 자신이 잊지않을 의미있는 문구에 숫자를 더한 뒤, 패스워드를 합하면 해커가 패스워드를 알아내기 쉽지 않을 것이다.

3. 주기적인 패스워드 변경

지난 2년 동안 인터넷 해킹으로 인한 개인정보 유출 규모가 약 6,000만 건에 육박하는 것으로 나타났다. 이는 우리나라 국민들 대다수의 개인정보가 유출되었다 해도 과언이 아니다. 따라서 포털사이트들은 패스워드 변경 캠페인들을 진행중이다. 아래와 같은 패스워드변경 팝업창이 뜨면 '다음에 변경하기'가 아닌 패스워드변경을 변경하길 바란다.

수많은 해킹사건과 개인정보유출이 발생하고 있는 지금, 당신의 패스워드는 안전한가? 개인의 지속적인 관심과 노력으로 패스워드를 관리하는것은  필수이며, 개인정보보호의 가장 기본이 될 것이다. Ahn

 

 대학생기자 박서진 / 서울여대 정보보호학과

 끝없이 노력하고 끝없이 인내하고 끝없이 겸손하자.

 


댓글을 달아 주세요

좀비PC부터 가짜백신까지 알아두면 좋은 보안 상식

보안라이프/이슈&이슈 2013. 7. 26. 08:57

보안은 IT가 발전할수록, PC, 스마트폰, 기업 등 생활 곳곳에서의 중요성이 점점 더 커지고 있다안랩에서는 현재 생활 속 알기 쉬운 보안’을 주제로 UCC 콘테스트를 진행 중이다. 이를 통해 많은 참가자들이 다양한 생활 속 보안을 UCC를 통해 보여주고 있다실제로 생활 속 작은 습관과 실천이 큰 보안사고들을 예방할 수 있는데, 알아두면 좋은 PC 보안 상식을 알아보자.

 

1. 악성코드

악성코드란 악의적인 목적을 위해 작성된 실행 가능한 코드의 통칭으로 자기 복제 능력과 감염 대상 유무에 따라 바이러스, , 트로이목마 등으로 분류가 된다.

좀비pc, 키로깅 등 대표적인 pc의 보안사고는 악성코드를 통해 감염이 된다. 갑자기 pc의 속도가 느려지거나 건드리지 않은 파일이 변경되어 삭제되었을 때, 팝업이 자주 뜰 때, 변경하지 않은 윈도우 설정이 바뀌었을 때. 위 증상은 악성코드에 감염되었을 때 나타나는 대표적인 증상이다. PC에 감염된 악성코드가 있는지 백신 프로그램을 이용하여 정기적인 검사를 통해 악성코드로 인한 피해를 줄여야 한다.

 

2. 키로깅

키로깅(Keylogging)은 사용자가 키보드로 PC에 입력하는 내용을 몰래 가로채어 기록하는 행위를 말한다.

이를 이용해 컴퓨터 사용자의 키보드 움직임을 탐지해 ID나 패스워드, 계좌번호, 카드번호 등과 같은 개인의 중요한 정보를 몰래 빼 가는 해킹 공격을 키로거 공격이라고 한다.

키로깅은 유령 13회에서도 소개가 되었는데, 키로깅 프로그램은 메일 등으로 첨부파일을 보내 사용자가 해당 파일을 다운받으면 자동으로 설치가 되는 것이 대부분이다.

키로깅을 예방하기 위해서는 아래 세가지 방법을 유의하고 실천하면 된다.

1. 내가 모르는 메일주소로 온다면 또한, 보안이 의심되는 메일이 온다면 바로바로 삭제한다.

2. 필요한 자료가 있어서 설치하게 된다면, 교묘하게 숨어있는 추가 프로그램들을 잘 확인해

 설치가 안되도록 한다.

3. 백신 프로그램, 개인정보보안 솔루션, 방화벽 등을 이용하여 수시로 감시하고 치료한다.

 

3. 좀비PC

좀비PC란 바이러스에 감염됐지만 스스로 인지하지 못한 채 스팸을 보내는 등 원격조종을 당하는 PC이다.

해커들은 타인의 PC에 악성코드를 통해 원격제어가 가능한 PC인 좀비PC를 만든다. 좀비PCC&C서버의 제어를 통해 DDoS 공격을 하여 문제를 일으킨다사용자들은 자신의 PC가 좀비PC인지 인식하지 못하는 경우가 대부분인데, 좀비PC 여부를 검사하는 방법은 대표적으로 두 가지가 있다.

먼저 한국인터넷진흥원(KISA)에서 제공하는 홈페이지(http://www.boho.or.kr/kor/check/check_03.jsp) 접속을 통해 자동검사를 할 수 있다.

또 다른 방법 하나는, CMD를 통해 알아보는 방법이다. 실행창에 CMD를 입력하여 엔터를 치고, netstat -n 명령어를 입력하면 결과 화면에 프로토콜, 로컬 주소, 외부 주소, 상태가 나타나는데 외부주소 끝에 :8080포트를 사용 중이며, 포트가 8080,8000이 나오면 좀비 상태일 가능성이 있다. 인터넷 웹서비스는 일반적으로 80포트를 사용하기 때문이다. 따라서 그 외의 포트를 사용시에는 좀비PC 감염을 일단 의심해 봐야 한다.

 

4. 방화벽

방화벽, 건축학에서의 방화벽은 화재 발생 시 불이 더 이상 번지지 않도록 하는 것이지만컴퓨터 네트워크 분야에서 방화벽은 해커나 크래커의 불법 침입을 차단하여 정보 유출, 시스템 파괴 등의 보안 문제를 사전에 방지하는 소프트웨어, 혹은 그 소프트웨어가 탑재된 하드웨어로 통용된다.

이는 인터넷과 같은 외부망으로부터 들어오는 접근 시도를 1차로 제어통제함으로써 내부 네트워크를 보호하는 역할을 하는데, 인터넷의 시작과 함께 1980년대부터 본격적으로 도입된 방화벽은 1세대 패킷 분석, 2세대 네트워크 연결 상태 분석, 3세대는 웹 브라우저를 통한 침입 및 공격을 막는 애플리케이션 방화벽 순서로 발전되었다.

방화벽의 작동 원리는 관리자가 설정해 놓은 보안 규칙에 따라 네트워크를 통해 들어오는 패킷을 허용 또는 차단한다.

일반적으로 사용되는 ‘Windows 방화벽은 개인용 보안 소프트웨어로 부족함 없는 보안성을 제공한다.

특정 프로그램을 설치하면 인터넷 연결에 앞서 방화벽 설정 해제 여부를 묻곤 하는데, 해당 프로그램이 보안상으로 확실히 안전하다고 판단되지 않는 경우 방화벽 설정을 해제하지 않는 것이 바람직하다.

바이러스로 인해 방화벽이 자동 해제되는 경우가 있으니, 자신의 방화벽이 잘 설정되었는지 주기적으로 확인하는 것도 중요하다.

 

5. 정품 소프트웨어 사용의 중요성

사무용소프트웨어연합(BSA)의 세계 SW 불법복제율 보고서에 따르면 한국이 40%로 세계 평균인 42%보다 낮지만 OECD 평균 27%를 훌쩍 넘어선다불법 소프트웨어 사용은 단순한 문제가 아니다

소프트웨어 불법 복제비율과 악성코드, 해킹 간에 높은 상관관계가 있다는 보고도 있을 정도로, 불법 복제율이 높을수록 악성코드 감염, 해킹피해가 높다.

이는 해커들이 좀비PC를 만들기 위해 정품 소프트웨어를 불법 배포 시 악성코드를 넣는 경우가 많기 때문이다. 불법 복제는 범죄행위이며, 국가 경쟁력을 약화시키며 소중한 개인정보 보호를 위해서라도 모두 정품 소프트웨어를 이용해야한다. 정품 소프트웨어를 사용할 여유가 없는 경우 무료용 소프트웨어인 프리웨어를 사용하는 것도 하나의 방법이다.

 

6. 악성 백신 프로그램(가짜 백신)

요즘은 P2P를 이용하여 음악, 영화 등 각종 파일을 많이 다운 받는다. 좋은 정보도 많고 편리하기 때문에 사용자들이 매우 많지만, 자칫 파일을 잘못 다운 받다가는 악성 백신이 설치가 된다.

악성 백신 프로그램은 PC 사용자의 의지가 아니라 자동으로 설치되어서 사용자 컴퓨터의 악성 바이러스를 없애준다고 하지만 시도 때도 없이 유료 결제창을 띄우며 결제를 유도하고 제대로 된 컴퓨터 사용을 방해하는 프로그램이다

이러한 악성백신은 삭제를 하여도 반복적으로 재설치가 되는 경우가 많기 때문에 파일의 삭제도 매우 어렵다. 이러한 프로그램은 실제 악성코드를 잘 분류하지 못하며, 심지어는 정상적인 시스템 파일을 악성코드로 인지하여 자칫하면 악성코드를 삭제하는 것이 아니라 시스템을 망쳐버리는 결과를 낳는다. 악성백신은 주로 P2P를 이용하여 깔리므로 백신은 공인된 우수한 백신을 이용하고, P2P를 이용할 때는 항상 주의해야 한다. 

DDoS 공격을 일으키는 좀비PC의 원인 중 하나인 키로깅과 같은 악성코드, 방화벽정품 소프트웨어 사용으로 예방할 수 있고,P2P사용을 통해서 악성코드뿐 아니라 악성 백신 프로그램pc의 위험에 노출되게 한다는 것을 명심해야 할 것이다.

이 밖에도 다양한 보안 이야기를 안랩 UCC 콘테스트(https://www.facebook.com/AhnContest)에서 들려주고 있으니 안전한 PC 환경을 위해 자주 방문해봄 직하다. Ahn 

 

 대학생기자 박서진 / 서울여대 정보보호학과

 끝없이 노력하고 끝없이 인내하고 끝없이 겸손하자.

 

댓글을 달아 주세요

  1. visitor 2014.02.05 14:18  Address |  Modify / Delete |  Reply

    좋은 글 잘 보고 갑니다! ^^

안전한 인터넷 플랫폼은 어떻게 해야 가능할까

현장속으로/세미나 2013. 6. 11. 15:09

지난 5월 9일, 논현동 파티오나인에서 ‘실제 사례를 통해 보는 빅데이터ㆍ클라우드ㆍHTML5’ 란 주제로 ㈜아이뉴스24가 주관하는 『2013 NEXCOM Tech Market』 이 열렸다. 안랩 융합제품개발실 김기영 실장은 ‘HTML5 기반 웹/웹앱 보안’을 주제로 발표하였다.

김기영 실장은 HTML5에 기반 한 웹 플랫폼의 변화와 그에 따른 웹 보안 이슈, HTML5 보안 이슈 그리고 보안 강화 방안의 순서로 발표를 진행하였다. 웹 플랫폼이 발전함에 따라 사용자와 개발자 모두 더 빠르고 편리하게 웹을 이용하게 되었지만, 공격 기법과 취약점은 훨씬 증가하였다. 사용자와 개발자 모두 항상 보안에 대한 긴장을 늦춰서는 안 되는 이유이다. 다음은 김기영 실장의 주요 발표 내용. 

HTML5에 기반한 웹 플랫폼의 변화

웹 플랫폼의 발달은 다양해진 기술만큼 이에 따른 취약점을 이용한 공격들이 많아졌다. HTML5는 사용하지 않아도, 브라우저가 HTML5를 지원하고 있기 때문에 공격코드를 HTML5로 하면 동작이 가능해 모두 HTML5의 보안 문제에 대비해야 한다. 

웹 보안 이슈

 Phishing 

주로 이메일/메신저/SMS 등을 통해 사용자를 가짜 사이트로 이끈 뒤 개인정보와 금융정보 등을 탈취하는 공격

 Pharming

악성코드를 통해 Host file 조작, API Hooking 이나 DNS 조작 등을 통하여 사용자를 다른 사이트로 접근하게 하여 피싱과 같이 정보를 탈취.

 Session Hijacking

유효한 세션의 정보를 탈취하여 인가되지 않은 접속을 하는 공격

 Click Jacking

사용자가 의도한 클릭과 다른 동작을 하도록 하는 공격

 XSS (Cross Site  Scripting)

다른 사람이 보는 웹화면에 client-side-script를 삽입하여 접근 제어를 우회하고 해당사이트의 개인정보나 개인의 쿠키정보 등을 탈취하는 공격

 SQL Injection

입력 필드에 SQL문의 일부를 삽입하여 서버에서의 SQL의 동작을 바꾸는 방법으로 인증우회를 하며 또 다른 공격괴 연결되도록 한다.

 Web Shell

웹 기반의 shell로서 웹서버의 다양한 취약점을 통해 server page를 업로드하고 브라우저를 통하여 명령전달 및 그 결과를 받아보는 공격 방식.

Phshing은 스마트폰의 발전으로 SMS+Phsing라 불리는 Smishing으로 휴대폰 해킹이 늘어가며 문제가 되고 있다. 또한 클라이언트에 침투해서 클라이언트시스템을 바꾸어 사용자가 마치 가짜사이트를 진짜사이트처럼 접속하게 속이는 Pharming으로 Phishing이 더욱 강력해지고 있다.

Session Hijacking에는 공격기법이 자신의 세션으로 정상 사용자가 로그인 하게 하는 방법인 Session Fixation, packet sniffing을 통해 유효 session cookie를 가져오는 방법인 Session Sidejacking, 공격자가 웹사이트에 client-side-script를 삽입하여 사용자의 입력정보나 세션정보를 취하는 방법인 Cross-site scripting(XSS)로 세 가지이다.

Click Jacking은 페이스북에서 이용된 사례가 있으며, 뉴스피드에 뜬 성인 동영상을 호기심에 play하면 곧바로 “공유하기”나 “좋아요”로 동작이 된 것이다. 이를 통해 동영상은 많이 퍼져나가 공격자들은 돈을 벌게 된다.이와 같은 공격이 빈번히 발생하자 페이스북에서는 Click Jacking을 차단한 것으로 보인다.

SQL Injection공격에 이용되는 쿼리문의 예시는 아래와 같다.

statement = "SELECT * FROM users WHERE name = '" + userName+ "';“\

SELECT * FROM users WHERE name = '' OR '1'='1';

구문에서 뒤의 OR '1'='1'; 은 무조건 참이 되게 하는 쿼리문이다. 이러한 쿼리문으로 SQL의 조건을 변경하여 이상한 결과가 출력되도록 한다.

Web Shell은 사이트의 안전성을 평가하는 항목 중 필수적으로 들어갈 정도로 중요하며, 개발자가 만들지 않은 업로드페이지를 호출하여 공격자가 원하는 쉘 명령을 실행을 한다. 그 결과 정보를 삭제 및 추가 등 심각한 문제가 발생한다. 

HTML5 보안 이

HTML5의 기본사항은 WEB as CS로, HTML5의 기능이 매우 다양해졌다. 이러한 기능들의 조합으로 이전에 불가능 했던 공격들이 가능해지며 공격접점이 증가하였다.

위 그림과 같이 매우 다양한 방법의 공격이 HTML5에 존재한다. 공격은 어마어마한 기술을 사용하는 것이 아닌, 대부분 개발의 허점을 찾아 단순하게 이뤄지기 때문이다. 이러한 공격은 Bug를 통해 많이 이루어진다. Bug가 꼭 취약점을 의미하지는 않지만 기능이 많을 수록 취약점도 많아진다. 이러한 Bug를 몇 가지 살펴보면 브라우저와 멀티미디어가 있다. 브라우저에서는 Use After Free와 Buffer Overflow, 멀티미디어는 웹과 브라우저가 아닌 수많은 어플리케이션과 시스템이 취약점으로 확장을 가져온다. 

보안 강화 방안

 Secure Coding

개발자들은 머릿속에서만 만들어 둔 전제를 코드로 구현해야 한다.            텍스트를 받아서 처리한다고 생각을 하면, 해당 데이터가 텍스트인지 여부, 글자의 길이를 확인하는 코드 등 머릿속 전제를 코드로 구현한다면 보안성이 월등히 높아질 것이다.

 Secure Channel

 HTTPS는 SOP를 강제하는 효과가 있다. 따라서 대부분의 HTML 보안 이슈를 원천 차단하는 효과가 있다. 따라서 페이스북, 구글과 같이 HTTPS로 접근하는 사이트를 이용할 것을 권유한다. 이를 이용하면 중간에 데이터가 들어와 변조가 되는것은 막아준다.

 클라이언트 side에서의

 컨텐츠 검증

Channel이 보호된 상태라면 클라이언트에서 스크립트 실행 전 점검하는 코드를 삽입해준다. 악성코드에 삽입되는 코드를 필터링하는 코드나 데이터의 길이를 체크하는 코드를 삽입해 주는 것이 좋다.

 웹방화벽

웹방화벽을 이용해 SQL Injection, XSS 등 다양한 웹 취약점에 대한 공격을 방어한다. 하지만 방화벽을 너무 믿는것 보다는 정기적 점검과 코드수정이 더 중요하다.

 웹 취약점 점검

자동 점검 도구나 서비스를 통한 정기적이고 지속적인 점검이 필요하다.

 웹 앱 검증

애플은 앱검증을 철저히 하기 때문에 악성코드가 없다. 사전검증은 악성코드를 줄일 수 있기 때문에 앱 검증을 철저히 해야 한다.

Ahn


 대학생기자 박서진 / 서울여대 정보보호학과

 끝없이 노력하고 끝없이 인내하고 끝없이 겸손하자.

 


댓글을 달아 주세요

직장 동료를 하나로 모으는 그대 이름은 족구

안랩人side/안랩!안랩인! 2013. 6. 10. 07:00
5월 한 달 간 안랩 사옥 앞마당은 뜨겁게 달아올랐다. 물론 부쩍 더워진 날씨도 한 몫 했지만 안랩 족구 동호회인 AJC(Ahnlab Jokgu Club)의 주최로 '2013 Spring AJC 족구 챔피언쉽'이 진행되었기 때문이다. 올해로 2회를 맞이하는 사내 족구대회는 부서와 관계없이 5명의 팀을 꾸려 등록을 하면 참가할 수 있다.

   


경기는 토너먼트 방식으로 진행되었으며 1회 때는 4개 팀이 참가했지만 올해는 7개 팀이 참가해 그 관심이 더 뜨거워졌다. 이번 해에 특징적인 것은 연수생 팀도 참가하여 연수생과 화합할 수 있는 좋은 기회가 되고 있다고 한다. 경기를 앞두고 있어서인지 최근에는 동호회 분위기가 더 뜨겁고 열정적이게 보였다. 그들은 족구를 통해 진정한 스포츠의 맛을 느끼고 있었다.  

   


동호회의 이야기는 회장직을 맡고 있는 주설우 선임과 총무를 수행하고 있는 황창연 주임, 그리고 두 명의 운영진인 이현목 주임과 이주석 주임을 통해 들을 수 있었다. 족구동호회가 처음 탄생한 것은 주설우 선임이 화랑공원을 산책하던 중 풋살장을 발견했고 동료들에게 풋살을 제안했다. 그러나 풋살을 하면서 체력적 한계를 느끼고 비교적 체력을 덜 요구하는 족구를 시작하기 시작했다. 처음엔 6명의 인원이 스포츠보다 예능에 가까웠던 족구 경기를 했지만 현재는 여성 맴버를 포함해 32명의 인원이 가입되어 있는 스포츠 동호회로 성장했다.

족구는 가운데 네트를 두고 공을 주고 받는 게임으로 세 번의 터치 안에 상대 네트로 공을 넘겨야 한다. 배구와 경기 룰이 비슷한데 손을 쓰지 못하고 발과 머리를 주로 이용한다는 차이가 있다. 인터뷰 중에 족구의 매력을 뽑아달라고 말했더니 약간은 어색하던 공간에 활기가 가득찼다. 그리고 수많은 족구의 매력을 들을 수 있었다. 

그 첫째가 성공할 때의 짜릿함이었다. 사무실 안에서 업무를 하다 바깥의 공기를 맡는 일은 기분이 상쾌해지는 것을 넘어 야외공기에 '중독'된다고 표현했다. 그러는 동시에 체력적, 공간적 제약도 다른 스포츠의 비해 낮다는 특징도 가지고 있었다. 공과 사람만 있으면 어느 곳이든 족구장이 되고, 동호회의 탄생배경이 체력의 최대한 절약이었기 때문에 족구가 얼마나 체력 효율적인 스포츠임을 알 수 있었다. 

또, 족구 하면 떠올릴 수 있는 게 "마이볼! 마이볼!" 하는 함성 소리다. 이렇게 운동을 하면서 다양한 커뮤니케이션이 이루어진다는 점도 족구의 매력으로 꼽혔다. 





인터뷰이 4인은 족구를 얼마나 좋아하고 잘하는 것일까. 우선 주설우 선임은 회장 직을 맡고 있고 현재 AJC를 탄생시킨 맴버 중 하나이다. 공격 포지션을 주로하고 공격할 때는 발등을 주로 이용한다. 동호회 내 공격 넘버원이지만 긴장을 많이 할 때는 급격히 부진해진다. 또, 경기 중 다친 적이 있는데 겨울에 족구를 하던 중 빙판에서 넘어진 적이 있어 팔에 깁스를 하기도 했다. 

총무인 황창연 주임은 주로 안축 차기로 공격을 하고 헤딩은 절대 안 한다. 과거에 경기를 하다가 바지가 찢어져 동료의 트레이닝복을 입고 집에 간 에피소드도 있다. 또, 이현묵 주임은 딱 보기에도 운동을 좋아할 것처럼 그을린 피부를 가지고 있다. 족구 경기에서도 만능 플레이어로 모든 것을 소화한다. 

마지막으로 이주석 주임은 무회전 서브라는 필살기를 장착하고 있다. 예전에 알파돔 시티에서 개최하는 외부 대회에 출전한 적이 있는데 그 필살기 덕분에 8강까지 올라가 32인치 LED TV를 얻을 수 있었다. 이 경기를 계기로 족구의 관심이 증가했고, TV를 팔아서 구매한 족구화로 동호회는 더욱 부흥하기 시작했다. 

이들은 동호회 활동을 한 후 많이 친해졌다고 입을 모은다. 또, 경기 중에는 수평적 인관관계로 게임이 이루어지기 때문에 정서적 연결이 가능하다고 한다. 아울러 다른 부서 사람과 함께 게임을 하면서 자주 볼 수 없었던 사람과 친목을 도모하는 데도 좋다고 한다. 족구에서 흘리는 땀은 비록 적을지라도 족구 동호회가 주는 매력은 훨씬 클 것으로 생각된다.

AJC는 3회 대회에서는 자유게시판에 홍보해 더 많은 사람을 모집하고, 1, 2회 경기에서 부족했던 점을 보완해서 대회를 더욱 발전시킬 계획이다. 또, 상금도 걸어 숨은 실력자들을 발굴할 계획이다. 

인터뷰 중 '족구는 호흡이라고 생각해요. 축구나 농구는 자신의 기술로 홀로 득점하는 것이 가능하지만 족구는 힘들잖아요. 그게 족구의 매력인 것 같아요'라는 말이 가장 기억에 남는다. 족구는 모든 사람이 수비, 토스, 공격의 위치에서 최선을 다해야 득점할 수 있다. 공격을 잘한다고 해도 수비와 토스가 없으면 결코 득점으로 연결할 수 없다. 이런 면에서 AJC는 각자의 분야에서 하나의 안랩을 이끌어가는 모습을 가장 닮은 동호회가 아닐까 하는 생각이 든다. Ahn


대학생기자 노현탁 / 건국대 기술경영학과 

대학생기자 박서진 / 서울여대 정보보호학과

사진. 사내기자 홍성지, 이유정 / 안랩 커뮤니케이션팀


댓글을 달아 주세요

  1. 빽형 2013.06.17 14:55  Address |  Modify / Delete |  Reply

    이현목 주임 연구원님 어느 미용실에서 머리 하셨나요?

현직 대기업 임원이 대학생에게 전하는 청춘예찬

카테고리 없음 2013. 6. 6. 07:00

2000년대 이후 오로지 소위 말하는 ‘스펙’과 ‘대기업 취직’이라는 생각을 가진 대학생이 많아졌다. 지난 5월 11일 연세대학교에서 한국대학생IT경영학회가 주최하는 자기개발포럼 3人3色이 열렸다. 이 포럼은 누구보다 뚜렷한 색을 지닌 연사 3인이 대학생에게 자기만의 색깔을 가질 수 있도록 강연하였다.

청춘예찬이라는 주제로 강연을 한 허남용 삼성 엔지니어링 상무이사는 10대 후반에서 20대를 지칭하는 청춘에 대한 의미를 되새겨 주었다. 푸른 봄날이 지나면 태풍도 몰아치고, 가을이 오면 풍성한 수확을, 겨울이 오면 이별을 하듯이 푸른 봄날의 청춘이 여름, 가을의 기반을 얼마나 의미 있게 다져야 하는지 강조하였다. 그는 이를 위해 청춘에게 4가지 메시지를 제시하였다. 다음은 주요 내용.

Message 1. 1만 시간의 법칙

‘1만 시간의 법칙’은 이상훈 저자의 각 분야별 성공한 사람들을 나타낸 책이다.



<출처: 다음 책>

천재는 후천적 노력으로 만들어진다. 많은 사람이 뜻을 세우고도 이루지 못하는 이유는 절대 노력을 투자하지 않았기 때문이다. 목표를 이루고자 마음먹었으면, 집요하게 도전하고, 목표할 투자할 시간도 선점하여 체계적으로 이루어나가라. 

Message 2. 인생의 리셋(Reset)은 빠를수록 좋다.

둘째 메시지는 과거에 얽매이지 말라는 뜻이다. 사고 자체가 과거의 틀에 갇히면 무엇이든지 잘 안 되는 경향이 많기 때문이다. 모든 것은 마음먹기에 달렸다. 과거, 현재의 자기모습에 집착하지 말고 과감한 자기변화가 필요하다.

“놀아라, 준비하라, 시작하라” 이러한 혁신과 변화로 지금 순간을 리셋하는 현재의 나의 의지는 분명 밝은 미래를 설계할 것이다.

Message 3. 이제는 가치관의 시대.

개인의 사회관과 윤리관은 어떻게 정립되는 것일까? 그는 주변의 경험과 자신의 지식깊이 그리고 대인관계에 따라 달라진다. 대학생은 스펙, 개인역량에 열을 올리지만, 기업에서는 이보다 조화될 수 있는 올바른 가치관이 필요하다.

현재 대부분의 기업들은 인성검사를 실시하며, 이를 강화하는 기업도 늘어간다. 그렇다면 어떠한 가치관을 가진 인재가 선호될까?

현재 인재개발팀장으로 채용, 인재양성교육을 총괄하고 있어 이에 대해 명쾌한 답을 줄 수 있다. 바로 긍정, 도전, 열정의 에너지와 올바른 사회관, 기업관 윤리관이 융합된 조화의 인재이다. 개인은 자기에 맞는 가치관을 가져야 하며, 자신이 하고자 하는 일에 맞는 가치관을 갖도록 부단히 노력하고 자신의 아이덴티티(identity)를 가져야 할 것이다.

Message 4. 자신의 강점 혁명

모두 자신의 강점을 떠올려보라. 잘 떠오르지 않는 사람들도 많을 것이다. 왜 그런 것일까? 자기개발을 많이 하는 사람들은 자신이 부족한 것을 보완하려고 한다. 하지만 이는 비효율적이며 발전적이지 못하다. 이보다 자신이 가진 강점을 발견하고 개발하면 삶과 일을 모두 즐길 수 있을 것이다.

취업준비생은 흔히 자신의 약점인 어학점수, 봉사활동, 학점 등을 채우기에 급급하다. 이러한 단점을 보완하는 자기개발은 때론 면접장에 복제품들이 와 있는 것 같은 느낌도 준다. 기업에서는 훈련받은 일시적인 모습을 보려하는 것이 아니다. 자신의 강점을 키우고, 자신의 색을 갖는다면 내 이름 석 자가 ‘최고의 브랜드'가 될 것이다.

Message 5. 破釜沈舟(파부침주)의 자세

'파부침주'는 밥 지을 솥을 깨뜨리고 돌아갈 때 타고 갈 배를 가라앉힌다는 뜻이다. 목표가 세워지면 더 이상 물러날 곳이 없다는 절박한 심정으로 노력해야 남들 보다 앞서 성취할 수 있다.


멋진 사회인으로 성장 할 후배들에게 전하는 그의 메시지 5개는 다음과 같이 연결이 되었다.

나에 맞는 명확한 목표설정 -> 목표의 레벨에 따른 시간 설정 -> 인생의 Reset을 통해 정서적 mind를 다지기 -> 자신의 가치관을 갖기 -> 자신의 강점 발견 -> 파부침주의 정신으로 목표에 나아가기

마지막으로 그는 “내 인생의 가장 아름다운 낙화를 위한 인생 최고의 정점을 만들자”라 말하며 목표를 준비하고 생각하는 시점이 잠재력을 가지기 때문에 인생의 정점이며, 그것이 청춘의 시점이라 하였다.

청춘의 시점인 대학생이여, 인생의 후배들에게 전달한 그의 강의에서의 진실 된 마음을 되새기고 푸른 봄날의 꽃을 피우자. Ahn


대학생기자 박서진 / 서울여대 정보보호학과

끝없이 노력하고 끝없이 인내하고 끝없이 겸손하자.

 


댓글을 달아 주세요

현직 전문가가 말하는 보안 업무에 맞는 사람

안랩人side/안랩!안랩인! 2013. 4. 24. 07:00

최근 늘어나는 보안 사고 때문에 유망 직종으로 정보보안 전문가가 주목받고 있다. 보안 업무는 컨설팅, 관제를 비롯해 CERT(침해사고대응), 모의해킹, 악성코드 연구 등 굉장히 다양한 분야가 있다. 각 분야 별로 어떤 특징이 있으며 어떤 분야가 보안 전문가를 꿈꾸는 이에게 맞는 것일까? 미래 보안 전문가인 청소년, 대학생의 궁금증을 풀어주고자 보안 컨설팅, 보안 관제 분야 실무자를 만나 각 업무를 하려면 어떤 준비가 필요하고, 어떤 역량이 필요한지 생생한 조언을 들었다. 

실무에서 쌓은 내용 보안 컨설팅에 플러스된다

S사 박상우 책임 컨설턴트

Q. 솔루션 기반 SI 컨설턴트라는 보안 업무의 특징은 무엇인가요?

컨설팅이란 간단히 말해 도움을 주는것, 조언을 해주는 것 그리고 더 나은 방향으로 제시해주는 것으로 컨설턴트는 고객에게 현대 기술에 맞는 제안을 하여 이익을 안겨다주고 편리함을 주는 것이지요.

보안은 IC 카드를 찍고 인력을 통제하는 것도 물리적 보안의 한 종류고, 여러분이 생각하는 것보다 훨씬 다양해요. 보안 컨설턴트의 경우는 구축을 해주는 것입니다. 고객사에 방문해 부족한 운영 시스템 보안을 충실하게 구축을 해주지요. 최근에 발생한 3.20 전산망 마비 같은 사고가 일어나더라도 피해가 덜 가게, 혹은 최소한의 피해가 가도록 시스템을 구축해줍니다.

우리 기업 보안에 문제가 없도록 모든 기획을 하고 정책을 만드는 보안 담당자와 보안 컨설턴트의 차이점은 보안 컨설턴트는 프로젝트 단위로 움직이고 보안 담당자는 업무 단위로 움직인다는 것입니다.

Q. 업무를 하며 기억에 남았던 것은 무엇인가요?

고객사의 모든 운영 시스템을 점검할 수 있는 사이트를 구축해주는 프로젝트가 있었어요. 소스코드 취약성을 점검하는 툴, 그리고 해킹에 취약한지 여부를 점검해주는 솔루션을 보통 따로 운영하는데 그 두 가지를 같이 도입하여 사이트를 만들고 주소를 입력하면 사이트에 툴이 접근하여 해킹도 테스트해보고, 라이브러리 프로그램 소스들 중 어디가 취약한지 등 취약점을 걸러내기 위한 시스템을 만들었어요. 프로젝트 중 오탐도 많았지만 끝나고 난 뒤 예전엔 일일이 점검했던 시스템을 자동화하는 혁신을 만들어냈지요. 몇 년이 지났지만 아직도 천 개가 넘는 고객사의 운영 시스템이 제가 만든 사이트를 이용해 점검하고 사용하니 정말 뿌듯했답니다.

Q. 컨설턴트 업무를 어떤 사람에게 추천하고 싶나요?

업무가 프로젝트성이고 고객사를 방문하는 일이 많으므로 돌아다니는 것을 좋아하고 역동적이며 활동적인 사람. 또한 성취욕을 느끼고 싶은 사람에게 권하고 싶어요. 정적인 업무를 하고 싶은 사람에겐 조금 안 맞을 것 같네요. 우리는 고객과 많이 부딪힙니다. 따라서 사람 만나는 것을 좋아하는 사람에게도 추천해주고 싶네요.

Q. 보안 컨설턴트를 꿈꾸는 사람에게 해주고 싶은 말은?

내가 컨설팅을 하고 싶다면 컨설턴트가 되었을 때 고객에게 컨설팅을 해줄 수 있는 역량, 기본지식이 있어야 해요. 이런 기반을 닦으려면 실무를 해야 한다고 생각합니다. 컨설턴트가 되고 싶다고 처음부터 컨설턴트 하나만 바라보지는 말고 그 실무를 할 수 있는 부서에 가는 것도 권하고 싶어요. 처음부터 컨설턴트를 하면 실무에 대한 내공을 쌓기 어렵습니다. 오히려 실무를 경험할 수 있는 부서에서 최소한 5년 이상 근무를 한 상태에서 컨설팅 부서로 옮긴다면 컨설팅을 할 때 자기가 경험했던 것을 기반으로 매뉴얼에도 없는 시행착오들과 직접 해보면서 겪는 수만, 수천 가지의 케이스를 자신의 자산으로 가질 수 있답니다.

 

보안 관제, 전문 지식 못지않게 체력 필요

Q. 관제라는 보안 업무의 특징은 무엇인가요?

관제는 24시간, 365일 모니터링하면서 내외부로부터 해킹 시도를 파악하여 발생된 이벤트를 확인하여 공격지를 찾아 보안 장비에서 차단하고, 고객사에 알려주는 업무입니다.

Q. 다른 보안 분야와 비교하여 업무의 장단점이 무엇인가요?

관제는 실시간 모니터링으로 상황에 따라 대응하는 업무로 언제 어떤 일이 발생할지 알 수 없습니다. 때문에 야간에도 근무를 해야 하는 것이 단점입니다. 장점은 IPS, 웹방화벽, 방화벽, 디도스(DDoS) 장비 등 많은 보안 장비를 운영하여 다른 보안 분야보다 많은 지식을 얻을 수 있습니다.

Q. 업무를 하며 기억에 남았던 것은 무엇인가요?

최근 발생한 3.20 전산망 마비 사태가 기억에 남습니다. 관제 업무를 하면서 큰 사건은 대부분 디도스 공격이 많았습니다. 하지만 이번 공격은 특정 PC로 악성코드를 배포하여 부팅이 되지 않게 하드 디스크를 손상했다는 차이점 때문에 기억에 남습니다.  

Q. 보안관제 업무를 어떤 사람에게 추천하고 싶은가요?

관제는 실시간으로 모니터링하고 공격을 인지하여 1차적으로 빠른 대응을 하는 게 가장 중요합니다. 때문에 24시간, 1년 365일 밤낮 없이 근무를 해야 하기 때문에 체력이 뒷받침되야 합니다. 보안에 관심이 있고 체력이 좋은 사람에게 추천합니다. Ahn 


 대학생기자 박서진 / 서울여대 정보보호학과

 통(通)하지 않으면 통(痛)한다. <동의보감>

 여러분과 통(通)하는 안랩인이 되겠습니다 :)


댓글을 달아 주세요

역동적 에너지 가진 서울여대 보안 동아리

SWING은 1996년 당시 전산과학과 20명의 학생과 김명주 교수가 함께 만든 정보보호 동아리이다. 처음에는 인터넷 동아리로 출발하였지만, 인터넷이 대중화함에 따라 특화할 필요성이 있어 보안을 테마로 잡고 본격적인 SWING 활동을 시작하였다.




SWING(Seoul Women's university InterNet&security Group)의 약자이며 단어의 뜻처럼 '역동적인 에너지'를 가지고 정보보호 공부를 하겠다는 의미이다. 현재 32명이 활동 중이며 19년의 전통을 가진 만큼 졸업생 또한 많은 분야로 진출해 있다. 


SWING은 KUCIS(전국대학 보안동아리 연합회)와 U.U.U(전국대학 CERT 연합회)에도 가입해 활동 중이다. 또한 한국정보보호진흥원 주관 정보보호우수동아리 장려상(2010년), 한국인터넷진흥원 주최 제5회 SW 취약점 찾기 대회 우수상(2011년), 2010~2012년 우수소학회 선정 등 많은 수상 이력을 자랑한다.


다양한 세미나와 외부활동으로 크게 이름을 알리고 있는 SWING을 만나러 갔다. 도착한 때는 매주 화요일에 열리는 정기 회의와 세미나 시간. 조용히 사진 촬영을 한 후 회장과 대화를 나눌 수 있었다. 이 날은 웹 보안과 C언어 등을 공부하고, 코딩과 취약점 분석 등을 실제로 해보는 등의 스터디를 하고 있었다. 


SWING의 세미나 모습

 


요즘 하는 스터디 내용과 운영 방식은?

지금까지는 기수 별 스터디로 학기 중과 방학 중 주제를 정하여 운영해 왔지만, 이번 2013년 1학기부터는 1,2,3학년이 모두 모여 진행을 해요. 매주 화요일은 C언어 기초, 수요일은 Web, 목요일은 C언어 심화 내용의 스터디를 진행하고 홈페이지 게시판을 이용해 최신 보안 뉴스를 스크랩하는 스터디도 운영을 하고 있어요. 그 외에도 지금 기수인 19기는  KUCIS의 프로젝트를 진행 중이며, U.U.U의 하반기 프로젝트 또한 진행할 예정이에요.



△ SWING의 세미나 모습


여대 정보보호 동아리의 장점과 단점은? 

먼저, 장점으로는 아무래도 여자로만 이루어져 있다보니 섬세함과 꼼꼼함에서 좀 더 큰 메리트가 있는것 같아요. 보안 분야에서는 섬세함과 꼼꼼함을 요구하는 경우가 많은데, 예를 들어 정보보호관리체계(ISMS) 인증 심사원, 정보보호관리체계 범위 설정, 수립 등에서 큰 장점을 발휘하는 것 같아요. 하지만, 아무래도 남자 멤버가 없다보니 알고리즘 구현과 같은 프로그래밍 업무에서 다른 동아리나 남자 학우들에 비해 이해 속도가 느려 시간이 많이 걸리는 편이에요.


매년 학회 신입생 모집을 위해 일주일 간 아침 8시에 교육을 한다는데 어떤 교육이고 이 교육에서 신입생에게 바라는 점은?

지금까진 국제웹 보안 표준기구인 OWASP가 발표하는 웹 애플리케이션 보안 10대 취약점에 관한 내용을 발표하였지만, 이번부터는 정보보안에 관한 전반적인 내용과 보안 공부 Tip에 관한 내용을 교육을 했어요. 또한 작년 안랩 시큐리티 웨이브 2012 네트워크 분야 문제 풀이도 진행을 했고요. 아무래도 신입생 대상이다보니 다소 어려운 주제를 다루는 OWASP의 취약점보다는 흥미를 느낄 수 있는 해킹대회 문제 풀이 위주로 진행을 하고 있어요. 이런 교육을 통해 새내기는 흥미를 갖고 동아리에 가입하여 여러 대회에 같이 참여를 하면 좋겠어요.


△ SWING 19기 회장 최은영


다양한 학교와 연합 활동의 진행 방식은?

현재는 KISA(한국인터넷진흥원) 지원 정보보호동아리 연합  KUCIS, 학내망 보안을 위한 대학 CERT연합(U.U.U)에 가입하여 활동해요. 또한, 대학 보안 동아리 자체의 힘으로 개최하는 정보보안 컨퍼런스 Incognito에서 활동해요. 먼저, KUCIS는 서울/경기/강원/영남/호남 권역 세미나와 온라인 캠페인 등을 진행하고 U.U.U는 상반기/하반기 2번의 세미나와 오프라인 모임 등 다양한 활동을 해요. 작년에는 U.U.U에서 사용자 선택 암호 알고리즘 앱을 만들어서 발표했어요. 하지만, 암호화한 후 복호화를 구현하지 못 해서 많은 아쉬움이 남았는데, 이번 발표에서는 아쉬움이 남지 않게 최선을 다할 생각이에요! 또한, 추후 다른 학교와 연합 스터디를 만들어 여러 분야 많은 학우들과 교류를 할 생각이에요.


장기 계획 및 앞으로의 각오는?

SW 취약점 찾기 대회나 Power of XX (여성해커대회) 등 다양한 대회가 매년 개최되는데, 이런 대회에 출전하여 좋은 성적을 거두는 것이 목표예요. 또한, 이번 하반기 U.U.U 세미나에서 발표할 주제를 준비할 예정이고요. 현재는 악성코드 분석과 탐지 툴이 목표이지만 아직 정해지지 않았네요. 각오라면, 선배들이 꾸려놓은 SWING에 애착을 갖고 좀더 발전하는 동아리로 만들고 싶어요. 그리고 현재 하는 활동 외에도 많은 대외 활동으로 SWING을 많은 곳에 알리고 싶습니다!


정보보호 전문가를 꿈꾸는 청소년에게 해줄 말은?

먼저, 중고생 정보보호 올림피아드 대회, 청소년 해킹대회, 안랩 V스쿨 등에서 많은 경험을 해보셨으면 좋겠어요. 그리고 프로그래밍 언어까지 공부하면 더 좋겠죠? 하지만, 너무 컴퓨터에만 열중하지 말고 여러 친구들을 사귀고 청소년으로서 누릴 수 있는 경험을 많이 해보는 걸 추천해요. 대학생 되면 항상 청소년 시절을 그리워하게 되니까요. 정보보호 전문가를 꿈꾸는 청소년이 미래에 정보보호 업무에서 큰 몫을 하기를 진심으로 바랍니다^^!


△ 서울여대 정보보호 동아리 SWING


직접 만나본 SWING 동아리원들은 공부만 하는 이미지가 아닌 매우 활동적이고 에너지가 넘치는 동아리였다. 20대의 열정과 패기를 간직한 SWING의 발전과 동아리원들의 꿈이 이루어지기를 진심으로 바란다. Ahn



대학생기자 박서진 / 서울여대 정보보호학과

통(通)하지 않으면 통(痛)한다. <동의보감>

여러분과 통(通)하는 안랩인이 되겠습니다 :)




대학생기자 유희만 / 수원대 컴퓨터학과

The achievement of one goal should be the starting point of another.
(목표의 성취는 또 다른 목표의 출발점이 되어야 한다.)
- 알렉산더 그레이엄 벨 -

현재에 안주하지 않고 항상 색다른! 목표를 향해!                  

댓글을 달아 주세요