게임과 보안이 만나면? 현직 전문가의 생생 경험담

현장속으로/세미나 2012.03.14 07:00

보안에 관심있는 당신, 혹시 버그트럭을 아는가? 버그트럭은 보안 관련 종사자들의 자유로운 의견 교환을 위한 메일링 리스트이다. 지난 2월 10일 넥슨 i-tower에서 버그트럭이 주최하는 "버그를 토하자" 가 진행되었다. 버그를 토하자는 보안에 현업으로 계시는 분들의 생생한 경험담을 전해 들어볼 수 있는 자리이며 보안에 관심 있는 사람이라면 누구든 참여할 수 있도록 오픈되어 있다. 

이번 버그트럭에서의 발표 세션으로는 해외의 보안 컨퍼런스의 경험과 영어의 필요성과 할 수 있다는 자신감을 가지게 해준 바라미 님의 "바라미의 미국 여행기" 세션과  Window31님의 "보안회사의 게임보안팀 VS 게임회사의 게임보안팀"을 주제로 이루어졌다. 보안회사의 게임보안팀과 게임회사의 게임보안팀을 비교한 Window31님의 발표 내용을 요약 소개한다. 

게임보안팀이란?

  보안회사의 게임보안팀 
               VS
  게임회사의 게임보안팀

지금 이 시각에도 사람들은 게임을 즐긴다. 
이용자가 재밌게 게임을 즐길 수 있는 이유는 해킹, 불법유저 차단을 위해 보이지않는 곳에서 노력하는 게임보안팀이 있기에 가능하지 않을까 싶다. 게임보안팀은 크게 두 분류로 나눌 수 있다. 게임이 시작될 때 게임보안 솔루션이 실행되는 것을 본 적이 있을 것이다. 이러한 게임보안 솔루션을 제작하는 보안회사의 게임보안팀, 그리고 해당 게임회사 내부의 게임보안팀이다.

게임보안팀은 게임에 있어 메모리, 패킷 변조, 스피드 핵, 오토플레이 등의 게임해킹을 차단하는 업무를 하는 팀이다. 단순히 해당 이슈만 막으면 된다고 생각하면 오산이다. 해당 팀은 해킹 방지라는 목표 아래 개발, 분석, QA, 영업, 커뮤니케이션, 외국어 등 다양한 분야의 인력이 필요하며 법적 모호성 등 여러 문제에 입각하여 해결해야 할 문제는 생각 이상일 것이다.

두 회사의 게임보안팀 컨셉은 다르다

같은 게임보안 팀이라도, 보안솔루션을 제작하는 보안회사의 게임보안팀과 게임을 제작하는 게임회사 내의 게임보안팀은 다를 수밖에 없다. 가령, 하나의 해킹툴을 분석할 때 각 회사가 보는 관점을 살펴보자. 

보안회사

    • 보안 솔루션 우회 유무

    • 왜 해킹 툴이 감지되지 않는가

   • 메모리 보호 기능에 대한 의문


게임회사

    • 게임 콘텐츠 침해 유무

    • 조작된 메모리는 어느 부분인가

  • 해당 메모리가 어떤 행위를 발생시키는가

즉, 보안회사에서는 게임보안 솔루션의 메인 기능인 침해/감지 위주로 메모리, 프로세스 보호, 해킹 툴 탐지에 대해 분석하는 반면 게임 회사에서는 서버에 있어야 할 변수가 클라이언트에 있지는 않은지, 해당 값이 메모리 변조로 조작이 가능하진 않을지, 패킷 조작으로 악의적인 행위가 가능하진 않는지 등을 본다.

오토플레이(자동사냥)를 탐지할 때도 보안회사는 후킹 상태, 매크로 감지 등을 하는 반면 게임회사의 게임보안팀은 이용자의 로그를 분석, 데이터 마이닝 등으로 오토플레이를 탐지한다. 

이렇듯 게임보안팀의 역할과 업무는 회사 속성에 따라 다른데, 그렇다면 서로의 영역을 분석하는 것은 불가능할까? 물론 가능하다. 보안 회사에서 게임 콘텐츠 자체의 취약점을 분석해 주기도하고, 게임회사에서 보안 회사의 솔루션 기능을 분석하기도 한다. 그러나, 보안회사 입장에서는 게임코드를 직접적으로 알 수가 없어 분석에 한계가 있고, 게임회사 또한 보안 솔루션의 로직을 완벽히 알 수 없기에 각각의 업무 속성이 다를 수밖에 없는 것이다.

두 회사 게임보안팀의 장점

보안회사

보안 업계의 최신 기술은 대부분 게임 해킹에서 나온다는 말이 있는 만큼 여러 사례를 분석, 대응하면서 암호화, 패킹 등에 있어 최신 보안 기술을 습득할 수 있을 뿐 아니라 리버스 엔지니어링, 디버깅 등의 기술은 최고 수준에 도달할 수 있다.  또한 게임보안 솔루션은 다수의 게임을 대상으로 제작되기 때문에 게임 장르에 국한되지 않을 뿐더러 다양한 클라이언트 환경에 대한 대응력을 기를 수 있다.

게임회사

게임회사에서는 직접 게임 소스 코드에 접근을 할 수 있으니, 리버스 엔지니어링으로 파악할 수밖에 없는 내용을 바로 알 수 있다. 또한 취약점 발견 시 게임 소스 코드를 수정하여 바로 보완할 수 있다. 또한 각 게임별 담당자를 지정, 한 게임에 전념하여 여러 게임에 대응하는 것보다 전문성이 높다는 장점이 있다. 


- 보안 프로그램이 동작하고 있는데도 
                                    최근 보안사고가 빈번하게 발생하고 있다. 

게임 보안 기술은 IT 보안 업계 중에서도 고난도에 속한다. 게임 속도에 영향을 미치지 않으면서도, 게임 밸런스 유지와 함께 오토 프로그램, 각종 해킹 툴에 대한 방어까지 고려할 요소만 수십 가지에 달한다. 전세계를 통틀어 어떠한 업체도 완벽한 보안 프로그램을 개발하지는 못 했다. 다만 그 대응 속도를 어떻게 가져가느냐에 따라 승부가 갈린다고 본다. - 경향게임스(안랩 신호철 팀장 인터뷰 中) 

딱딱한 보안이 아닌 즐거운 보안! 억지로 하는 일이 아닌 즐기며 자기가 하고 싶은 일을 하며 자신이 꼭 필요한 존재라는 자부심을 가지라. 아직 진로를 못 정했다면, 게임 보안업무의 전반적인 내용을 배우고 싶다면 게임회사의, 넓지만 얕은 지식보다 하나에 대해 깊은 전문성을 지니고 싶다면 보안회사의 게임보안팀으로 가는 것이 좋다. Ahn

대학생기자 변동삼 / 동국대 컴퓨터공학과   http://zxh.co.kr

나무를 베는 데 한 시간이 주어진다면, 도끼를 가는 데 45분을 쓰겠다. (링컨)

아직은 꿈 많은 20대, '나' 라는 도끼를 갈자,
날카롭게.


댓글을 달아 주세요

  1. 통통이21 2012.03.14 09:40  Address |  Modify / Delete |  Reply

    정말 게임하다가 해킹 당하면
    정말 그 세상 무너지는 기분 당한 사람만 알거에요 ㅠㅠ

  2. 악랄가츠 2012.03.14 11:01  Address |  Modify / Delete |  Reply

    보안팀과의 업무 협조가 원활해야 더욱 안전하겠네요! ㅎㅎㅎ
    그러고보면 해커들도 참 대단한 거 같아요!
    아무쪼록 착한 해커들이 더욱 많아지기를 희망해봅니다! ^^/

IT 선배가 중고생에게 '부모님을 넘어서라'

안랩(구 안철수연구소)이 2006년부터 방학마다 개최한, 미래 보안 전문가를 위한 청소년 보안교실 <V스쿨>이 지난 1월 17일 진행되었다. 김홍선 대표 외에 한국인터넷진흥원(KISA) 서종렬 원장, '악성코드, 그리고 분석가들' 저자인 이상철 책임연구원이 함께 해 100여 명의 중고생에게 좋은 강연을 들려주었다. 다음은 두 강연의 주요 내용.


KISA 서종렬 원장


틀에 갖히지 말라
 

패러다임이라는 말을 아는가.

패러다임은 1962년도에 토마스 쿤이라는 미국 과학자가 처음 쓴 말로, 한 사회를 지배하는 사고의 틀을 말하는 것이다. 지배적인 가치, 관념. 이러한 패러다임은 이제 급속도로 변하고 있다. 나는 30년째 IT 업계에 종사하고 있으면서 IT 업계의 패러다임이라는 주제로 많은 강연을 한다. 그런데 매번, 강연을 할 때마다 그 내용을 완전히 바꿔야 한다. 그만큼 기술이 빠른 속도로, 그리고 예측할 수 없는 방향으로 변하고 있기 때문이다. 그렇기 때문에, 이 분야에 30년을 발담고 있었다고 하더라도 항상, 항상 공부를 게을리 해서는 안된다. 최신 뉴스를 계속해서 주시하고, 최근의 패러다임에 기반해서 또 미래를 예측해야 한다.

그렇기 때문에 학생들은 틀에 갖혀서는 안 된다. 그것은 그 자체로 쓸모없는 일이기 때문이다. 틀에 갖힌다는 말은, 곧 IT 업계에 진출하지 않겠다는 말과 같다. 아니, 절대로 진출할 수 없다. 왜냐하면 그 패러다임은 빠른 속도로 변화하고 있기 때문이다. 

편식은 금물이다

나는 어릴 때 만화를 무척 좋아했다. 그런데, 이 사실을 아는가? 어렸을 때 만화에서 보던 일들이 이제 IT를 통해서 실현되고 있다. 터치, 음성인식 등 상상 속에서만 존재했던 일들이 실제로 벌어지고 있는 것이다. 

이런 만화 같은 것들이 얼마나 상상력에 도움이 될지 상상이 되는가? 그런 신선한 내용이야말로 미래 기술의 원천이다. 미래 인재는 교과서만 봐서는 안 된다. 이제 그런 교육은 구시대적인 교육이다. 미래의 인재는 모든 분야를 두루 통섭할 수 있어야 한다. 만화도 읽고, 운동도 하고, 음악도 듣고. 모든 일을 열심히 하셔야 한다. 어떤 분야에서 기술의 원천이 튀어 나올 줄 모르기 때문이다.

꿈을 갖고 도전하라

구글이 몇 년이나 된 기업이라고 생각하나?

구글은 1998년에 창업하여 이제 약 13년이 된 기업이다. 애플도 이제 갓 30년이 되었다. 그런데 아마존은 무려 200여 년이 된 기업이다. 하지만 인지도나, 유용성이나 시가총액 규모에 있어서 비교도 안 된다. 구글, 애플은 현재 세계를 제패하고 있다. 세계의 중심이 되고 있다. 삼성도 선대 몇 대가 일구어낸 기업이다. 하지만 구글, 애플을 따라가려면 한참이나 남았다. 

이러한 차이의 시발점은 바로 ‘꿈’이다. 꿈은 꾸기만 하는 것이 아니다. 상상하고, 실현하는 단계까지가 모두 꿈을 꾸는 단계인 것이다. 구글, 애플보다 더 큰 꿈을 꾸라. 그 꿈을 구체화하고, 실현하는 사람이 되라. 구글, 애플에서 IT가 멈출 것이라 생각하는가? 아니다, 절대 아니다. IT의 미래는 무한하다. 분명히, 누구도 상상하지 못한 것을 누군가가 내놓을 것이고, 그것은 또 다른 패러다임을 창조해 낼 것이다.

지금 어떤 것도 완벽한 것은 없다. 아이폰에도 결점이 있고, 갤럭시에도 결점이 있다. 배터리가 빨리 닳는다거나 오타가 잘난다는 누구나 공감하는 결점들부터 시작해서 수많은 자잘한 결점들이 있다. 이런 상황에서 누군가 획기적인, 더욱 완벽한 무언가를 내놓는다고 상상해보라. 그리고 그 주인공이 학생들 자신이라고 꿈꾸어 보라. 멋지지 않는가?

내 나이가 이제 54이다. 저는 제 꿈을 30살 때 알았다. 사회생활한 지 4~5년이나 지나서였다. 당신은 아직 학생이다. 얼마나 신이나는가? 무한한 미래가 당신을 기다리고 있다.꿈을 가져라, 그리고 도전하라.

이상철 책임연구원 

책을 쓰게 된 이유와 안철수연구소와 인생에서 있었던 느꼈던 것을 전하려 한다. 내가 회사에 처음 왔을 때, 1년 동안 동기 6명 중 4명이 퇴사할 정도로 악성코드 분석에 대해 심한 교육을 받았다. 1주일마다 발표를 해야 했는데  심지어는 5살 어린 사수에게 "대학원까지 나와서 왜 중학생처럼 발표를 하느냐" 라는 말까지 듣기도 하였지만 악이 생겼고, 한 달 중 반 이상을 회사에서 숙식을 해결하는 등 끝까지 버텨냈다. 

이처럼 회사 입사 때의 나는 열정으로 가득했다. 하지만 시간이 지나면서 그 열정이 계속되진 않았고, 초심이 흐려질 때쯤 다시 그 모든 것들을 정리하며 책을 쓰기 시작했다. 회사 업무 외적인 활동이기에 퇴근 후나 주말에 시간을 투자하여 2년 동안 쉬지 않고 작업하였다. 출판사에서 먼저 요청이 온 것이 아니라 원고를 다 쓰고 난 후에 직접 출판사를 찾아다녔다. 혼자 쓰는 도중에 집필 방향도 많이 바뀌었고 긴 시간이 걸렸지만, 책을 쓰면서 다시 열정이 되살아날 수 있었다. 

내 옆자리의 팀원 또한 책을 쓰고 있고, 이제 곧 마무리 단계이다. 책을 쓰는 것이 회사에 공이 될지 몰라도, 회사에 이해를 바라진 않았다. 해야 하는 일이라 생각했고 하고 싶은 일이었기 때문이다.

보안보다 인생의 선배로서 조언을 하나 하고 싶다. 대학에 가면 부모님과의 의견 차이로 마찰이 많을 것 이다. 반드시 부모님을 이겨라, 부모님를 이기지 못하는 사람은 언젠가 자기 한계에 부딧치게 될 것이다. 나 또한 고등학교 졸업 후 20살에 독립하여, 17년 동안 자취생활을 하였다. 자신이 하고 싶은 일을 하며 살라고 전하고 싶다. Ahn


대학생기자 윤수경 / 서울시립대 행정학과
Whether you think you can or can't, you're Right
긍정적인 마음가짐으로 스스로에게 무한한 기회를 주는 사람이 되고 싶다.
'보안세상'에서 긍정 에너지로 소통하는 모습 기대해 주세요!  

 

대학생기자 변동삼 / 동국대 컴퓨터공학과   http://zxh.co.kr

나무를 베는 데 한 시간이 주어진다면, 도끼를 가는 데 45분을 쓰겠다. (링컨)

아직은 꿈 많은 20대, '나' 라는 도끼를 갈자,
날카롭게.


댓글을 달아 주세요

  1. 통통이21 2012.02.27 10:17  Address |  Modify / Delete |  Reply

    좋은 선배님들의 뜨거운 열정이 느껴져서
    월요일 아침부터 정신이 번쩍 듭니다^^
    좋은 글 감사합니다!!!

  2. cfono1 2012.02.28 19:37  Address |  Modify / Delete |  Reply

    언급된 아마존이 제가 알고있는 아마존닷컴 맞나요? 그렇다면 200년은 아닌것 같은데...

가톨릭대 보안 동아리가 해킹대회 휩쓴 비결

최근 많은 해킹, 유출과 같은 보안 사고가 터지면서 많은 이들이 대한민국 보안의 미래를 걱정하고 있다. 하지만 이미 여러 대학교에 보안동아리, CERT(침해사고대응팀)으로 활동하고 있는 대한민국 보안의 미래인 대학생들이 있다. 그 중 가톨릭대학교의 CAT-Security를 만나보았다.

CAT-Security06년에 창립되어, 가톨릭대학교의 CERT(침해사고대응팀)으로서 학내 망에 대하여 취약점 분석, 정기적인 모의 해킹을 통해 미연의 사고를 방지하고, 보안사고 발생 시 즉각적인 조치를 통해 피해를 최소화하는 역할을 한다. 다른 대학의 보안동아리들처럼 대학에 동아리로 등록되어 있지 않고, 침해사고대응팀으로서 활동하니, 마음가짐이 다르고 책임감이 강하다고 한다.

외부 활동으로는 KUCIS(대학정보보호동아리연합)에서 세미나, 프로젝트 등의 활동을 하며 현재 운영진을 맡고 있다. KISA해킹방어대회에서 06년도에 금상, 08년도에는 우승(mayking)과 은상을, 10년도에는 3위를 각각 수상하였으며 09년도에 열린 HUST에서 2위를 하였다. 또한 2011년 에는 HDCON 해킹방어대회에서 대학동아리 1위를 하여, 미국 데프콘에 다녀오기도 했으며, SECUINSIDE 해킹대회에 2위라는 쾌거를 거두었다.

가톨릭대학교를 찾았을 때는, 마침 CAT-Security에서 주최하는 해킹대회인 "HolyShiled" 가 진행 중이었다. 온라인으로 진행되는 해킹 페스티벌인 만큼 해킹대회의 서버를 관리하며, 문제를 업로드하고 순위 전광판을 지켜보는 모습을 볼 수 있었다. 박세영 CAT-Security 회장을 만나 동아리 운영의 이모저모를 들어보았다.

박세영, CAT-Security 회장

- 여러 해킹대회에서 우수한 성적을 거둔 비결은? 
대회 경험이 많은 선배들의 지도와 조언이 가장 큰 도움이 되었다. 아무래도 직접 여러 문제를 접하고 풀어본 경험에서 나오는 노하우는 큰 힘이 되기 때문이다. 선배들은 졸업 후에도 직장에 다니면서도 퇴근 후 학교에 계속해서 오셔서 도움을 준다. 우리 또한 그럴 것이고, 후배도 계속해서 전통을 이어 나갈 것이다.

- HolyShiled가 올해로 2회째를 맞이했는데 대회를 주최하는 목표, 힘들었던 점이나 에피소드가 있다면? 
평소 대회에 참가하는 입장에서 주최하는 입장이 되다 보니 신경 써야 될 점이 무척 많았다. 문제 출제에 있어서는 많은 대회를 참여하면서 알게 된 경험들을 통해 웹, 포렌식, 시스템, 모바일 등 다양한 문제를 출제하였다. 또한 공부를 하던 중 재미있었던 점을 접목시켜 문제를 만들기도 한다. 내는 사람도 재미있고, 푸는 사람도 새로운 느낌이 들 것이라 생각한다.

목표로 생각한 것은 다른 대회 등에서 참가자들이 문제를 거의다 풀어놓고 키를 못찾는 경우가 되게 많은데 이런 경우가 안타까웠고, 이에 문제에서 키를 줄때 최대한 깔끔하게 주자는 점을 반영하려 노력하였다. 팀원들 모두가 참여하여 각각 문제를 만들고, 테스트를 거쳐 최종 문제를 선정, 대회에 출제하게 된다.

대회를 준비하는 동안 가장 힘든 점은 잠을 충분히 자지 못한다는 점이다. 보통 몇 달 전 부터 준비를 하기 시작하고, 대회 2주 전 쯤 부턴 동아리방에서 숙식을 해결하기도 한다. 이 시기에 동아리방의 문을 열면 좁은 방안에 멤버들이 뒤엉켜 새우잠을 자고 있는 것은 흔한 풍경이다. 에피소드로는 작년 대회를 준비했을 때는 대회 1주일 전 열심히 문제 서버를 세팅하고 있는데 갑자기 학교 건물 자체의 전원이 모두 내려가 버렸다. 알고 보니, 비둘기가 전선을 쪼아서 끊고 죽어있었다고 한다. 이 때문에 서버에 패닉이 걸려, 복구하는데 큰 애를 먹었던 웃지 못할 사연도 있다.

- 이제 곧 12학번 신입생들이 입할 할 텐데, 신입멤버 선발 기준이 있다면?
이 부분에 대해선 확실하게 말씀드릴 수 있다. 우선, 아무래도 하루 종일 학교에서 같이 있기 때문에 가족 들 보다도 얼굴을 더 자주 볼 사이이기 때문에 성격이 중요시 한다. 면접은 1:1로 진행한다, 오래 얘기를 나눠보다 보면 이 사람이 어떤 사람인지, 성격이나 마인드를 알 수 있기 때문이다. 실력보다는 보안에 대한 열정이나 의지를 중요시 하는 이유는 보안에 대해 잘 모르더라도 들어와서 스터디를 통해 배우며 성장할 수 있기 때문이다. 대신 스터디나 교육을 주4일 월, 수, 금, 토 하루에 2~3시간 씩 진행한다.

맨 처음 C, 웹 언어부터 시작해서 시스템, 리눅스 등 까지 한 학기동안 이렇게 진행하다보면 매번 과제도 나오고 밤새도록 해야 될게 많다보니 신입생 반절은 버티지 못하고 중도 포기하여 반만 남게 된다. 이렇게 힘든 스터디 과정을 진행하는 이유는 정말 보안을 하고 싶고, 열정이 있는 사람들만 남게 되는 점에 있다. 이렇게 남은 학생들만이 다음 스터디부터 실무적인 공격기법 등을 배움으로써, 이를 악용하는 크래커나 스크립트키디가 나오지 않게 된다. 학교 망 내의 침해사고 대응이라는 임무를 이어나가야 되기 때문에 이러한 후배의 보안 의식 등과 스터디 교육은 중요하지 않을 수 없다.

- 마지막으로 미래의 정보보안전문가를 꿈꾸는 학생들을 위해 해줄 조언이 있다면?
매번 느끼지만 많은 학생들은 무엇을 시작하기를 두려워한다. "어려워서 못해요", "제가 어떻게 해요" 등의 말만 반복하며 겁을 먹고 무서워하며 뛰어들지 못하는 것이다. 이들은 시작을 못하는 것이지 해봐야 된다, 해보면 된다. 어려워 보이더라도 어려운 것이더라도 일단 실행으로 옮겨 실천해 보는 것이 중요하다. 실제로 이렇게 하다보면 결국엔 다 이룰 수 있을 것이다. 시작, 첫걸음이 중요하다고 말해주고 싶다. Ahn    

대학생기자 변동삼 / 동국대 컴퓨터공학 
http://zxh.co.kr
나무를 베는 데 한 시간이 주어진다면, 도끼를 가는 데 45분을 쓰겠다.-링컨
아직은 꿈 많은 10대, '나' 라는 도끼를 갈자.
날카롭게

 


댓글을 달아 주세요

  1. kmk 2012.04.29 16:42  Address |  Modify / Delete |  Reply

    신고포상 Naver ckmk1

뒤늦은 개인정보보호법, 제대로 알고 감시하자

올해 들어서만도 대형 포털사 회원 3500만 명의 개인정보가 유출된 것을 비롯해 인터넷 이용자 대부분의 정보가 유출됐다 해도 과언이 아닐 정도로 사고가 끊이지 않는다. 한 통계에 따르면 1인 당 2번 이상 개인정보가 유출되었다고 한다. 

이런 상황을 보면 9월 30일부터 전면 시행된, 개정된 개인정보보호법의 발효가 뒤늦은 감이 없지 않다. 대형 사고가 터지기 전에 시행되었다면, 사고를 예방할 수 있지 않았을까? 

그렇다면
개인정보보호법 개정의 필요성은 언제부터 대두했을까. 2008년 4월 대표적 경매 사이트에서 중국 해커에 의해 1000만 명이 넘는 개인정보가 유출됐다. 이때 유출된 개인정보는 보이스피싱, 광고, 스팸 등 추가 범죄에 악용됐다.  


2008년 4월 기사에 '연내 제정'이라는 말이 눈에 띈다. 하지만 법안은 보류되었다. 인터넷 쇼핑몰, 정유회사 등에서 또다시 대규모 개인정보유출 사건이 터지자 정부가 보안 대응 없이 방치한 책임이 크다는 비판이 빗발쳤다.

2010년 4월 국회 행정안전위원회 법안심사소위원회(제3차)를 통해 최종적으로 ‘개인정보보호법’ 제정과 관련한 논의가 이루어질 것으로 예상됐다. 그러나 이날 법안심사소위에서는 아예 논의조차 되지 않은 채 법안심사소위가 폐회되고 말았다. 그리고 2010년 9월, 국회 법안소위를 통과해 개인정보보호법 제정이 속도를 내는 듯했지만, 새해 예산 등 쟁점 문제로 무산되고 말았다.

그러다 2011년 3월, 3.4 디도스 공격과 금융사 두 곳의 해킹 등 대규모 사이버 테러가 3건이나 터지고 나서야 뒤늦게 개인정보보호법이 국회를 통과하고 3월 29일 공표됐다. 개인정보보호법이 시행되기까지 3년이 걸린 것이다.

그렇다면 이토록 힘들게 개정된 개인정보보호법은 개인, 사업자에게 자연스럽게 받아들여지고 있을까? 3월 공포 이후 6개월의 시간이 있었지만 그동안 홍보나 인식이 없었던 것이 사실이다. 대형 포털의 사고 후에야 관심을 보이면서 쫒기듯 대응할 기업이 한두 군데가 아닐 것이다. 법 개정으로 적용 사업자가 50만에서 350만 사업자로 확대됐으나 자신이 해당되는 사업자인지도 모르고 넘어가는 게 대다수라고 한다.

이렇다보니 개인정보보호법은 '범법자 양산법'이란 비아냥도 나온다. 이에 대해 김남석 행전안전부 차관은 "시행 초기에는 업격한 법 집행보다 6개월 가량 계도 기간을 두고 처벌보다 개선 중심의 현장 정검을 강화할 것"이라고 전했다.

개인정보보호 홍보대사 개그맨 박영진, 김영희 씨

어떤 제도나 법도 시행 초기에 즉시 효과를 보기는 어렵다. 법을 준수해야 하는 것은 기업이고, 기업은 사용자의 정보를 수집, 관리하는 데 비용 투자를 해야 하기 때문에 저항이 있을 수밖에 없다. 하지만 신뢰할 수 있는 사회를 만드는 일인 만큼 책임 있는 자세를 보여주어야 할 것이다. 사용자는 스스로 권리를 지키기 위해 기업이 법을 잘 준수하는지 지켜볼 필요가 있다. 그러나 본인의 개인정보를 스스로 보호하는 것이 최우선임을 기억하자.  

그런 면에서 안철수연구소가 진행하는
'개인정보보호 캠페인'을 눈여겨볼 필요가 있다. 또한 행정안전부(http://www.mopas.go.kr/)와 개인정보보호 종합지원시스템(http://privacy.go.kr)에서도 개정된 개인정보보호법과 기업, 개인, 공공기관 별 가이드라인을 받을 수 있으며 교육 등의 정보를 얻을 수 있다. Ahn    

대학생기자 변동삼 / 동국대 컴퓨터공학 
http://zxh.co.kr
나무를 베는 데 한 시간이 주어진다면, 도끼를 가는 데 45분을 쓰겠다.-링컨
아직은 꿈 많은 10대, '나' 라는 도끼를 갈자.
날카롭게

 

 

댓글을 달아 주세요

  1. 라이너스 2011.10.19 10:58  Address |  Modify / Delete |  Reply

    잘보고갑니다.^^
    좋은 하루되세요^^

  2. ssook 2011.10.19 15:50  Address |  Modify / Delete |  Reply

    좋은정보 감사합니다~ 제 블로그에 글 퍼담기 해도 될까요??

IT 보안 전문가 되려면 어떤 자격증 필요한가

보안라이프/리뷰&팁 2011.06.09 06:30

올해 불과 몇 개월 사이에 3.4 DDoS, 농협 전산 마비, 현대캐피탈 고객정보 유출 등 큰 보안사건이 연달아 터졌다. 이는 한국의 보안인력 및 기업의 보안투자에 대한 실태를 설명해준다. 점점 중요해지는 보안 인력, 이들의 필요성과 또 검증 방법은 무엇이 있을까? 물론 실무 능력이 중요하겠지만 그에 앞서 보안에 대한 이론도 공부하고 그것을 증명해주는 자격증을 취득하는 것을 추천한다.
 

1. 보안 자격증의 종류는?

 

국제자격증 중에선 CISSP(Certified Information Systems Security Professional) 국제공인정보시스템 보안전문가 자격증과 정보시스템 감사 컨트롤협화(ISACA)가 인증하는 CISA(Certified Information Systems Auditor), 그리고 CEH(Certified Ethical Hacker) 윤리적 해커 자격증 등이 있다.


국내 자격증 중엔 한국해킹보안협회에서 인증하는 해킹보안전문가
(HSE), 한국CPO포럼의 개인정보관리사 등이 있으며 한국정보보호진흥원(KISA)가 주관하고 한국정보통신대학원대학교(ICU)가 시행하는 SIS(Specialist for Information Security)로 잘 알려진 정보보호전문가 국가공인 자격증이 있다.
이 중 SIS 자격증에 대해 자세히 알아보도록 하자.
 

2. SIS란?

 
Specialist for Information Security. 지식정보사회의 안전을 담당하게 될 정보보호전문가를 검정하는 자격제도이다. 1, 2급 공통으로 시스템 보안, 네트워크 보안, 어플리케이션 보안, 정보보호론 등의 4개 주요과목으로 구성되어있다.

출처 : sistest.kr

응시자격으로는 2급은 누구나 제한 없이 지원 할 수 있으며 1급은 정보보호전문가 2급 취득자, 전산 관련직무 3년 이상의 경력자, 정보보호 관련항목 12학점 이수자 중 하나 이상에 해당하는 자가 응시할 수 있다.

시험은 매년 급수에 상관없이 필기 실기를 상반기, 하반기에 거쳐 총2회 실시하며 합격기준은 필기시험은 과목별 40% 이상, 전체평균 60% 이상의 점수 취득, 실기시험은 전체평균 60% 이상의 점수 취득을 합격기준으로 한다. 평균 합격률은 10% 내외다. 그만큼 취득 시 영향력을 발휘할 수 있을 것이다자세한 정보는 http://sistest.kr (SIS 정보보호전문가 공식사이트) 에서 얻을 수 있다. 
 

3. SIS를 준비해 보자!

 
5 28. 2011년도 1 SIS시험이 치뤄졌다. SIS는 정보보호에 관심이 있고, 공부하는 사람이라면 꼭 취득하고 싶은 자격증 중 하나이다. 안철수연구소 대학생기자 중에서도 SIS를 취득하기 위해 공부를 한 이들이 있다. 이 글에서는 이들이 SIS에 대해 공부한 방법을 알려주려 한다

1) 커뮤니티를 활용하라! 

보안인닷컴(boanin.com)은 국내 최대의 보안커뮤니티이자 SIS자격증을 준비하는 사람들의 카페이다. 위 카테고리에서 보이듯이  시험자료, TIP, 후기, 질문답변 등 시험에 도움이되는 여러 정보를 공유할 수 있다. 

2) 가이드라인을 참고하자

SIS자격증시험의 접수 및 관리를 처리하는 http://sistest.kr 의 SIS자료실에서 출제 가이드라인을 배포하고있다. 이는 단순 가이드 라인을 넘어서 하나의 책으로 읽을수 있을만큼 방대한 양을 자랑한다. 400p가 넘는 분량을 정독하려면 꽤많은 시간이 걸릴 것 이다. 다른 참고서적을 구입하기 앞서 해당 가이드라인을 간파하길 추천한다. 이외에 2005, 2007 년도 기출문제 및 샘플문제가 공개되어있으니 시험전 꼭풀어보길 바란다. 

3) 온라인 학습장 

sis.or.kr

출처 sis.or.kr

SIS 정보보호기술 온라인 학습장(sis.or.kr)에서는 정보보호 관련 이론학습 뿐만아니라 시스템 보안, 네트워크 보안, 어플리케이션 보안, 윈도우 보안, 중소기업 보안, 디지털 포렌식 보안 로 나눠진 실전문제를 풀면서 실력을 향상시킬 수 있도록 하였다. 실제 SIS시험에 출제될 가능성도 있을 뿐더러 해당 훈련공간중 1개이상에서 명에의전당에 등극하면 SIS 응시료 50%를 할인받을 수 있어 1석2조의 효과를 누릴 수 있다.  

실전 경험자의 SIS 공부 방법 (안철수연구소 대학생기자 윤소희)

덤프(dump. 기출문제은행, 비공개문제를 알아내어 편집해 놓은 파일)를 중점적으로 파고 공부했다. 덤프는 요점만 잘 정리되어 있어서 공부하기 좋다. 학과에서 운영체제, 암호학, 데이터 통신, 컴퓨터 네트워크 등의 수업이 있어서 SIS 공부하기에도 이해하기 쉽고 편했다.

시험장 분위기 (2011,1차 서울지역 한양공고)

평소 수업만 잘 들어도
SIS 2급 보는 데는 무리가 없을 것 같다. 준비기간은 대부분 1달이라고 말하는데, 나 같은 경우엔 2주 전도 괜찮다고 생각한다. 물론, 그 만큼 열심히 해야겠지만말이다. 시험은 2급을 봤지만, 1급 덤프를 보고 공부했다. 너무 유명해서 다들 알겠지만, 주로 본 자료는 eva님 덤프다. 그저 막연하게 외우는 것보다는 제일 기초가 되는 용어 및 개념부터 외우고, 그 것에 살점 하나씩 덧붙여서 외우는 것이 나의 공부방법이다. Ahn

     

대학생기자 변동삼 / 동국대 컴퓨터공학 
http://zxh.co.kr
나무를 베는 데 한 시간이 주어진다면, 도끼를 가는 데 45분을 쓰겠다.-링컨
아직은 꿈 많은 10대, '나' 라는 도끼를 갈자.
날카롭게


대학생기자 윤소희 / 순천향대 정보보호학과


윤소희가 '보안세상'에 왔습니다. 아직도 절 모르신다구요 ? 더 강한 파워, 더 색다른 매력, 더 불타는 열정으로 ! 풋풋함과 눈웃음까지 겸비한 여자! 그리고 뻔뻔함까지 ! 누구라도 기억할 만하지 않나요?




댓글을 달아 주세요

  1. 너서미 2011.06.09 10:19  Address |  Modify / Delete |  Reply

    IT 산업의 발전 속도만큼 보안전문가의 가치는 더욱 높아질 것 같습니다.

  2. 하나뿐인지구 2011.06.10 10:57  Address |  Modify / Delete |  Reply

    흠...좋은 정보네요~ ^^

  3. 갓전역 2011.06.12 02:01 신고  Address |  Modify / Delete |  Reply

    덕분에 보안 자격증에 대하여 좋은정보 알아갑니다, 감사합니다. 미래에는 우리나라도 보안전문가를 많이 양성하여 세계적으로 인정받을 수 있는 보안력을 갖추기를 기대해봅니다.

    • 윤소희 2011.06.10 19:32  Address |  Modify / Delete

      요즘같은 시대에서는 정보보호가 많이 중요시 되고 있죠. 저 역시 같은 생각입니다^^.

  4. 두근두근 2011.06.14 18:11  Address |  Modify / Delete |  Reply

    보안 관련 자격증에 대해 소개해줘서 고마워요.ㅋㅋ 덕분에 많이 알았네요.

똑똑한 스마트폰이 디도스 공격에 이용된다면

현장속으로/세미나 2011.05.21 05:00

급속도로 보급된 스마트폰 덕에 우리는 정말 스마트한 삶을 누리고 있다. 24시간 인터넷에 연결되어 있는, 그야말로 유비쿼터스 시대가 도래했다. 하지만 다양한 보안 위협이 사용자를 노리는 상황에서 스마트폰은 과연 똑똑한 보안을 하고 있을까?

올해만 해도 3.4 DDoS 공격, 현대캐피탈 해킹, 농협 전산 장애 등 큰 사고가 잇달아 발생하니 스마트폰 환경도 덩달아 불안해 보인다. 올해로 17회를 맞이한 정보통신망 정보보호 워크샵(NETSEC-KR 2011)에 참석해 스마트폰 보안 문제를 들어보았다.

스마트 기기의 보안 이슈 – 최은혁(안철수연구소)

아이패드가 출시된 후부터 태블릿 PC가 붐이다. 스마트폰은 디스플레이가 작아 업무를 하기가 제한적이었던 데 반해 태블릿 PC로는 PC와 맞먹는 업무를 할 수 있게 되었다. 아이패드가 100만 대 판매되까지는 28주밖에 걸리지 않았다. 넷북이 180, 블랙베리가 300주 넘게 걸렸던 것과 대조적이다. 과거 CUI 환경에서 GUI, 키보드에서 마우스로, 그리고 터치로 진화하는 모든 과정은 애플이 주도했다.

이런 애플의 디바이스에서 큰 쟁점이 발생했다. 바로 탈옥과 루팅. 안철수연구소는 루팅탈옥 유저를 보안 범위에서 배제했는데, 현실적으로 매우 많은 이용자가 존재한다. 탈옥의 일반화가 된 것이다. 비탈옥폰으로 특정 사이트에 접속시 취약점을 통해 탈옥이 되면서 USIM 데이터가 삭제되어 사용 불능의 폰이 되는 사례도 있다. 하지만 애플은 iOS 자체가 보안에 강하다며 백신을 앱스토어에 올리려 해도 막는다. 그에 반해 최근 이슈인 GPS 트래킹을 막으려면 탈옥을 해야 하는 아이러니한 상황이다. (iOS4.3.3 릴리즈 전)

한편, 개방적 구조인 안드로이드 마켓은 누구나 승인 없이도 앱을 올릴 수 있어서 상대적으로 더욱 위험하다. 최근 안드로이드 악성코드의 출현이 급증했고, 애플리케이션이나 악성코드 속에 루팅을 하는 코드가 존재하여 관리자(root) 권한을 획득하는 등 악성코드가 단순 앱을 넘어서고 있다. 이러한 악성코드는 앱의 백그라운드에서 060 등의 유료 전화를 걸어 과금을 하게 하거나 통화 목록, SMS 등을 열람하는 등 피해를 낳는다.

이러한 악성코드의 진화 속도라면 안드로이드와 애플의 iOS 둘을 아우르는 크로스 플랫폼의 악성코드가 나올 날도 머지 않았거나 이미 나왔을 수도 있다. 이런 악성코드에 의해 스마트폰이 DDoS 공격에 가담하는 좀비가 되어버린다면 사이버 테러로 이어질 수 있다. 따라서 이를 해결할 솔루션이 필요하다. 그런데 이것은 사업이 아니라 정부 정책적으로 협동해야 하는 사항이.

스마트폰 포렌식 – 이상진 교수(고려대)

 

포렌식이란 전자 증거물 등을 사법기관에 제출하기 위해 데이터를 수집, 분석, 보고서를 작성하는 일련의 작업을 말한다. 그런데 스마트폰의 보급으로 이른바 '스마트폰 포렌식'이 등장했다. 이에 따라 이제까지 PC와 휴대폰을 대상으로 조사했던 내용을 스마트폰으로 한 번에 효과적으로 조사할 수 있게 됐다.

그렇다면 스마트폰에서 무엇을 추출할 수 있을까
?
통화 목록, 연락처, SMS, 음성 메시지, 사파리 웹브라우저 사용 정보 등이 수사에 많은 도움이 된다. 특히 메일이 증거 관점에서 큰 이점으로 작용하며 카카오톡 채팅 내역 또한 보관이 되기 때문에 증거로 활용할 수 있다. 또한 웹서핑 기록, 스트리트뷰, 거리뷰 등으로 범죄 모의를 한 정황을 파악할 수 있다.

이 외에 최근 이슈가 된 아이폰의 GPS 정보가 있다. 위치 정보를 초 단위로 수집하여 저장하는 것이 소비자의 사생활 유출 문제로 큰 논란이 되었지만, 포렌식 입장에선 중요한 증거가 되기 때문에 긍정적으로 볼 수 있다. 또한 억울하게 누명을 쓴 개인이 해당 정보로 알리바이를 제시해 누명을 벗을 수 있기에 좋은 측면도 있다. 2011 5월 릴리즈된 iOS 4.3.3부터는 해당 위치 정보를 수집하지 않는 방향으로 업데이트되어 앞으로 수사 방향에 영향을 끼치리라 예상된다.

포렌식에는 손상 없이 원본 그대로 가져와야 한다는 대원칙이 있다. 하지만 아이폰은 이 원칙을 지키기 어렵다. 그 이유는 아이폰의 백업과 PC동기화가 아이튠즈를 통해 이루어지기 때문이다. 즉, 컴퓨터에 남아있는 백업 데이터를 가져오는 것이므로 원본이 아니라는 문제가 있다. 더욱이 모든 정보가 백업되는 것은 아니니, 그 외의 필요한 정보를 획득하려면 탈옥을 이용한 디스크 이미징 방법을 써야 한다.

하지만 기기에 탈옥, 손상, 변화를 주게 되어 꼭 필요한 경우에만 활용한다. 게다가 이마저도 iOS 4.0 이후엔  암호화 기능이 탑재돼 어려움이 있다. 따라서 암호화한 Raw 이미지를 복호화하는 방법을 연구하고, 비탈옥 환경에서 더 많은 데이터를 취득할 방안을 찾는 것이 과제로 남아있다. Ahn

    

 

대학생기자 변동삼 / 동국대 컴퓨터공학 
http://zxh.co.kr
나무를 베는 데 한 시간이 주어진다면, 도끼를 가는 데 45분을 쓰겠다.-링컨
아직은 꿈 많은 10대, '나' 라는 도끼를 갈자.
날카롭게

 



댓글을 달아 주세요

  1. 라이너스 2011.05.21 08:45  Address |  Modify / Delete |  Reply

    스마트가 멍텅구리가 되는건 시간문젠데요.ㄷㄷ;
    좋은글 잘보고갑니다. 행복한 주말되세요^^

  2. shyguydoo 2011.05.23 20:39  Address |  Modify / Delete |  Reply

    동삼위에 올라서서 파란하늘 바라보며~

  3. crownw 최장호 2011.05.24 05:00  Address |  Modify / Delete |  Reply

    어우 기사 멋진데용?ㅋ 굳굳~ㅋ