[人터뷰] "보안 전문가를 꿈꾸는 당신에게" 안랩 ASEC 대응팀 강민철 연구원이 전하는 메시지

파워인터뷰 2014.06.17 09:51


24시간 로테이션 근무, 안랩의 보안방위대라고 불리는 ASEC 대응팀. ASEC 대응팀의 꺼지지 않는 불처럼 보안에 대한 관심과 열정이 가득한 안랩 ASEC 대응팀의 강민철 연구원을 만나 이야기를 나눠보았다.

꾸준한 관심과 열정이 필요한 직업, 보안 전문가

 현재 강민철 연구원은 ASEC(Anlab Security E-response Center)대응팀에서 근무하고 있다. 다소 생소한 부서 이름에 대학생 기자들이 고개를 갸우뚱 하자 강 연구원은 "ASEC 대응팀이라고 하면 어떤 일을 하는 부서인지 잘 와 닿지 않을 것이에요”라고 하며 “ASEC 대응팀은 최근 인터넷 뱅킹 정보를 탈취한 악성코드와 같이 다양한 악성코드를 트래킹하고 모니터링하며 어떻게 대응할지 모색하는 일을 합니다”라고 설명했다.

 “어렸을 적부터 컴퓨터에 관심이 많았고, 또 좋아했기 때문에 지금 이 일을 하고 있는 것 같아요. 그리고 컴퓨터에 관심 있는 사람의 대다수가 그렇듯 저 역시 컴퓨터로 이것저것 시험해보는 과정에서 바이러스에 노출된 적이 많아요. 그때마다 V3로 치료했는데, 바이러스 치료가 어떤 과정으로 이뤄지는지 항상 궁금했어요. 컴퓨터공학을 전공하면서 그 궁금증을 하나씩 풀어나가다 보니 자연스럽게 보안 전문가로 성장하게 됐어요”

 중학교 시절 강민철 연구원에게 컴퓨터는 엄청난 존재였다고 전한다. 한번은 컴퓨터가 고장 났었는데, 도움을 청할 사람도 없고 원인 해결이 되지 않으니 도통 잠이 오지 않았다고. 혼자 해결해 보기 위해 시작한 공부가 재미었다고 말하는 그에게서 꿈을 이루기 위해 관심과 열정은 필수적임을 알 수 있었다.

 


<강민철 연구원과 대학생 기자 (왼쪽부터 김가현, 이수정)들이 함께 이야기를 나누고 있다.>


예측할 수 없는 보안이슈, 예측 가능한 보안의 중요성

 강민철 연구원은 보안 전문가의 밝은 전망을 내비쳤다. “보안이슈들은 계속해서 생겨납니다. 보안이슈가 생기면 기업 피해는 물론이고 개인피해로 까지 이어집니다. 보안이슈는 한 번 터지면 순간에 마무리 되는 것이 아니에요. 사건 이후에 생기는 나비효과가 있을 수 있죠.” 덧붙여 “보안 전문가의 전망은 밝지만 현재 정보보안인력이 충분하지 않다고 생각해요. 좀 더 많은 사람들이 보안 전문가에 대해 관심을 가졌으면 좋겠어요.”라며 보안 전문가에 대한 관심을 부탁했다.

 불과 몇 년 전까지만 해도 컴퓨터에만 네트워크가 연결되어 있었는데, 스마트폰 보급과 함께 스마트폰에도 네트워크가 연결됐다. ‘사물인터넷’이란 컴퓨터와 스마프폰을 넘어 더 많은 사물에 네트워크가 연결되는 것이라고 설명할 수 있다. “스마트폰에 네트워크가 연결됨과 동시에 ‘악성앱’과 ‘스미싱’이 발생했어요. 이처럼 많은 기기들이 네트워크에 연결됨으로써 예측하지 못한 보안이슈들이 생겨날 수 있죠” 이런 점들을 봤을 때 사물인터넷 보급으로 인해 보안의 중요성은 더욱 커질 것이라고 강 연구원은 설명했다.

 “입사초기 하루에 발견되는 악성앱과 스미싱은 불과 10개 내외였어요. 그러나 입사 3년 후인 지금, 하루에 발견되는 보안이슈가 어마어마합니다. 짧은 시간동안 많은 변화를 체감한 만큼 앞으로 더 많은 변화가 있을 것이라 생각합니다”

 강 연구원은 크게 세 가지 요인으로 인해 보안사업 트렌드가 변화한다고 봤다. “첫째 IT의 발전입니다. 둘째 사회•문화적 분위기의 변화입니다. 많은 사람들이 타 SNS보다 페이스북을 이용하는 것처럼 말이죠. 셋째 보안기술의 발전입니다” 보안기술이 발전함에 따라 악성코드 제작자나 공격자들 역시 함께 발전하기 때문에 더욱 정교하고 교묘한 보안이슈들이 생겨날 것이라 덧붙였다.

보안전문가로 성장하기 위해 "왜?"라는 물음은 필수 

 보안 전문가가 되기 위해 필요한 역량과 준비해야 할 것이 있냐는 물음에 강 연구원은 실제 컴퓨터 관련 전공의 학부생이라면 주어진 커리큘럼에 따라 전공과목을 충실히 공부하는 것이 중요하다고 강조했다. “보안 분야에 관심이 있다면 운영체제 수업이나 네트워크 수업에 집중하세요. 지금 당장 필요한 지식이 아닐지라도 이런 지식들이 차후 훌륭한 보안 전문가로 성장하게 하는 밑거름이 된다는 사실을 잊지말았으면 합니다" 또한 "'왜?'라는 질문을 끊임없이 던져보세요. 그리고 프로그램 작동 원인 등에 대해 항상 생각하면서 수업을 듣고 그 이후에 혼자 이것저것 시험해보는 시간을 가지다 보면 꿈에 대한 명확한 계획이 그려질 거예요”라고 말했다.

보안 분야에 대한 관심, 이제는 실천해야 할 때

 보안 분야를 직, 간접적으로 경험해 볼 수 있는 방법을 질문하자 강 연구원은 “보안을 공부하는 학생이라면 기술적인 부분을 많이 알고 싶을 텐데, 온라인에도 독학을 할 수 있을 정도의 많은 정보가 있어요. 그렇지 않은 일반인들의 경우에는 블로그 등을 통해 정보를 얻는 방법을 추천합니다”라고 답했다. “안랩 ASEC팀이 운영하는 블로그(http://ahnlabasec.tistory.com/)가 있습니다. 전문적인 블로깅도 하지만 보안정보를 가능한 쉽게 알리기 위한 노력도 하고 있죠”라며 보안에 관심이 있는 사람이라면 접하기 쉬운 경로를 통해 꾸준히 해당 정보를 찾아볼 것을 당부했다.

 보안에 대한 꾸준한 관심으로 보안 전문가의 꿈을 이룬 강민철 연구원. 인터뷰 내내 자신의 일을 사랑하고 그 일을 하는 것에 대한 자부심을 느꼈다. 또한 자신의 롤 모델을 정해 현재에 머무르지 않고 계속해서 나아가려는 그의 모습이 인상적이었다. 강 연구원이 안랩을 대표하는, 그리고 우리나라를 대표하는 보안 전문가로서 성장하기를 바라며 인터뷰를 마친다.



<강민철 연구원과의 인터뷰 진행 후 기념촬영 모습>


안랩 대학생 기자단 12기 보안팀

김가현 기자 (원광대학교 경영학부)

이수정 기자 (숙명여자대학교 멀티미디어과학과)




지능적 해커, 복잡한 IT 환경 사이에서 보안 지키기

현장속으로/세미나 2013.11.26 14:33

Responsive Security, Be Ready to be Secure 

당신은 보안에 대해 즉각 반응할 수 있는가? 또한 당신은 보안에 관해 지금 당장 준비가 되어 있나

아마 보안에 관해서 항상 따라다니는 문구일지도 모른다. 

11월 18~19일 코엑스 그랜드볼룸에서 미래창조과학부와 안전행정부 주최로 열린 <제7회 국제 사이버 시큐리티 컨퍼런스(ISEC)>에서 시스코시스템즈 싱가포르의 Meng-Chow Kang은 이 주제로 강연을 했다. 


Meng-Chow Kang "방어를 통해 시스템에 대한 이해가 필요하다. 또한 모든 계층에 관해 보호가 필요하다. 만약 한 계층이 보안이 잘되어 있지 않아 취약하다면 그 곳으로 침투가 가능하다. 하지만 방어는 매우 복잡하며, 복잡하다는 것은 새로운 이슈를 찾을 수 있다는 의미이다."라고 하였다. 다음은 주요 내용.

인간의 행동은 매우 예측하기 힘들며, 이런 복잡성으로 불확실성이 야기된다. 이처럼 컴퓨터 또한 복잡한 시스템 내에서 알 수 없는 미래가 예측된다. 예측을 하고 방어를 해도 100% 정확할 수는 없다. 만약 예측한 부분을 방어했지만 다른 곳에 변화를 준다면 다른 부분에도 영향을 끼치게 된다. 네트워크 계층은 모두 상호 연관되어 있기 때문이다. 이에 따라 하나의 변화가 나머지 계층에도 영향을 준다. 나비효과가 예가 될 수 있다. 한국에서 어떤 일이 벌어졌을 때 기후 요건이 영향을 줄 수 있다. 하지만 기후는 쉽게 예측할 수 없다. 서로 취약성 연결고리가 매우 취약하다. 


보안을 위해서는 리스크 기반의 접근법을 취해야 한다. 모든 것이 완벽할 수 없기 때문에 평가를 할 수 없다. 평가를 한다는 것은 위험 기반으로 한다는 것이다. 주어진 환경, 시스템, 데이터를 가지고 어떠한 잠재적인 문제점이 있을까탐지 가능한 위험들이 대응 가능한 것인가큰 영향을 줄 것인가 낮은 영향을 줄 것인가?를 차트로 만들어볼 수 있다


이 같은 이슈를 해결할 때 과거의 경험과 지식을 기반으로 하는 접근법을 사용하게 된다. 예를 들어 초보운전자는 경험이 없어 매우 위험하지만 수 년 간의 운전 경험이 있는 사람은 리스크가 상당히 줄어든다. 이처럼 과거의 경험과 지식을 사용하는 접근법은 상당히 주관적이고 몇몇의 상황만으로 분석을 하기 때문에 리스크가 매우 크다. 이 접근법을 보완하기 위해서는 과거의 요소뿐만 아니라 많은 것을 참조해야 한다. 

우리가 아는 것은 제한적이며 해커는 우리가 모르는 것을 알 수도 있다. 따라서 위험을 피해 갈 수 없으므로 새로운 취약성을 겨냥한 기술이 필요하다. 해커는 계속 새로운 취약성을 찾고, 발견하면 이것을 팔기도 한다. 이런 방식으로 암시장이 형성되고 몇 개월 후 새로운 취약성을 판매하고 다시 취약성을 찾는 방식을 사용하기 때문에 우리가 접근하기 힘들다. 이러한 악순환을 우리는 끊어야 한다. 정보가 침해되는 대가가 너무 크기 때문이다. 


이러한 접근 말고 반응형 보안이 있다. 리스크의 보이는 부분을 포착해야 하고 이에 대해 대책을 세워야 한다. 즉, 어떤 식의 공격이 올 것이며, 다음 공격은 어떤 공격인지 항상 생각하고 분석하고 탐지해야 한다.


쓰나미를 예로 들 수 있다. 쓰나미가 오기 전 밀물이 크게 작용하며 닭, 돼지 등 동물은 모두 숨었지만, 인간은 알아차리지 못 했으며 대응하지도 못 했다. 이처럼 이벤트를 간파하지 못 한다는 것, 정상적인 상황과 그렇지 못한 상황의 차이점을 모른다는 것 때문에 반응을 하지 못 한다. 


일반적으로 사람은 다양한 리스크에 반응을 하므로 인식 제고 교육을 하기보다는 자신감을 주어 자신있게 반응하도록 해야 한다. 반응형의 보안을 통해 사건에 대응하는 효율성을 최소화할 수 있고 복구 시간을 단축할 수 있다. 하지만 실제로는 이 같은 모든 이슈를 해결할 수 없으므로 항상 주의 깊게 보고 간파하는 것이 중요하다. 


마지막으로 해커는 모든 힘을 가지고 있고 우리는 그에 대응하기 위해 민감하게 전략을 짜고 반응해야 하며 빠르게 적응을 해야 한다. Ahn

 

대학생기자 최주연 / 서원대 정보통신공학과

 

[보안 바로 알기 캠페인] #5 : 인터넷 뱅킹 보안 위협

예전에 제가 초등학교로 명칭이 바뀌기 전인 국민학교시절에 선생님께서 이런 말씀을 하셨습니다. ‘이제 곧 물도 사먹는 시대가 올 거다.’ 이 말을 들은 -저를 포함한-당시 어린이들은 놀라지 않았습니다. 안 믿었거든요. 하지만 요즘은 생수 브랜드만 해도 수십 개나 있는 세상이 되었습니다.

와 비슷하게 인터넷이 퍼지기 시작한 시절, TV프로그램에서 인터넷으로만 1주일(한 달이었나요?)살아보기 프로그램을 했던 것으로 기억합니다.여기서 인터넷으로 피자를 시키고, 마트에서 장을 보니 배달까지 해주는 등 당시로서는 획기적인패턴에 방송 진행자도 놀랐던 기억이 납니다.하지만 지금은 누구나 쉽게 인터넷으로 물품 구매는 물론 은행업무까지 보는 세상이 되었죠.

 

안랩의 보안 바로알기(Know the security)캠페인의 다섯 번째 이야기는 어쩌면 지금까지 주제 중 우리 생활에 가장 밀접한 주제일 수 있는 인터넷뱅킹 보안위협 바로알기입니다.인터넷 뱅킹 이용자 8,000만명이 돌파한 요즘,아래 몇가지 이야기를 통해 인터넷뱅킹 보안위협에 대한 이해를 높여서더 안전하고 편리한 온라인 생활을 누리시면 좋겠습니다.

 

금융기관이 침해당해 내 돈이 빠져나간다?

현재까지 알려진 바로는 금융기관 침해로 인해 개인 사용자의 금전이 빠져나간 사례는 없습니다. 통계적으로 볼 때, 우리나라 기관들 중에서 보안에 가장 많이 투자하고 관심을 쏟는 곳이 금융업계라는 것은 사실입니다. 다만 이는 상대적인 규모이고, 이에 더해 아직 보안에 대한 더 많은 고민(금액의 문제가 아니라, 운영 및 인식의 문제입니다)이 필요한 것은 사실입니다.

 

사실, 쉬운 돈을 만지고 싶어하는 공격자가 대형 은행에 직접 침투해서 돈을 빼내오기란 쉬운 일이 아닙니다.그래서 해커들은 조금 더 수월한 개인 PC를 노립니다.여기서 개인 PC란 기업에서 직원이 사용하고 있는 PC도 포함되는 개념입니다(어차피 비슷한 공이 든다면 개인 보다 기업이 인터넷 뱅킹을 이용하는 금액이 훨씬 크니까요).

 

, 모든 수단을 동원해 개인(기업 내 개인 포함)의 금융정보를 빼내가려 한다는 것입니다 .먼저, 해커는피싱메일, SNSURL, P2P사이트, 악성코드를 포함한 문서, 배너광고,프로그램의 보안 취약점 등 광범위한 수단을 통해 악성코드를 감염시킵니다. 일단 악성코드가 침투하면,이후엔 금융정보를 채가기 위한 모든 시도를 합니다.예를들어, 키보드로 입력되는 정보를 빼내기 위해 이를 탈취하는 키로거를 설치합니다.화면캡처가 필요하면 화면캡처를 합니다.만약 목표 개인(기업 내 개인 포함)이 사용하는 주거래 은행이 보안카드를 사용한다면 보안카드 정보를 빼내기 위해 자신이 만든 가짜 사이트로 유도하는 악성코드를 심습니다.가끔 이거저거 다 필요없이 보이스 피싱도 합니다.

 

여기에 최근에는 개인 사용자의 PC에 침투해서,감염된 PC로 특정 은행 사이트를 방문할 시,보안을 위해 자동으로 구동되는 키보드 보안솔루션, 공인인증서 등 보안모듈의 메모리를 해킹(수정)해개인의 금융 정보를 유출하는 악성코드도 국내에서 발견되었습니다.,사용자는 정상 은행사이트를 이용하는 과정에서 자기도 모르게 금융정보를 탈취당하는 것입니다.

 

해외 모 기업의 경우 재무 담당직원이 피싱메일에 속아 인터넷뱅킹 접속용 OTP정보를 포함한 로그인 정보가 모두 해커에게 유출되었고, 55만달러가 해커에 의해 해외로 송금되는 결과가 발생했습니다.지루한 법원 공방 끝에 법원은 은행의 책임으로 판단했지만,이는 기업과 은행이 모두 해커에게 속아 넘어간 예시가 되었습니다.물론, 기업과 은행 모두 기업 이미지 실추를 피할 수 없었습니다.

 

이렇게 공격자들은 은행의 시스템을 직접 노리기 보다,개인의 PC에 악성코드를 감염시키는 것을 공격의 첫 행위로 삼고 있습니다.이것은 보안 사고가 개인의 잘못이라는 뜻이 아니라 명백한 현대 보안의 트렌드입니다.

 

여기에도 보안 종결론이 등장?

일전에 저희 보안 바로알기 세 번째 주제가 보안 종결론이었습니다.특정 솔루션을 사용한다면, 혹은 이것을 사용하지 않는다면 은행보안 사고가 대부분 없어질 것이라는 주장입니다.

 

하지만 나름 자신들의 생계가 달린 문제여서일까요?아쉽게도 악성코드 제작자들은 그 정도에 굴하지 않습니다. 예를 들어,다양한 보안 솔루션을 사용하는 다양한 국가에서도 인터넷뱅킹 사고는 지속적으로 발생하고 있습니다.최근 중동에서 500억원 규모의 해킹 및 현금 불법인출 사건이 있었고,미국안티피싱 워킹그룹과 가트너에 따르면 미국 내 2010년 인터넷 뱅킹사고 금액은 기업피해만10억 달러(13백억)로 추정된다고 발표했습니다.일본의 경우도 2007년에 19천만 엔(22억원)을 기록한 후 현재는 소폭 감소추세에 있다고 합니다.

 

이렇게 기업 자율이든,공공기관 주도이든, 각기 다른 인증체제와 보안 정책을 사용하든아니든,는 모든 나라에서 인터넷뱅킹 보안위협은 계속 되고 있습니다.다시한번 강조하자면 악성코드를 이용해 개인 PC로 침입한 후 금융정보를 훔쳐가거나, 해킹을 시도하는 것이 현대 보안의 트렌드입니다.그리고 악성코드 제작자는 침투를 위해 특정 솔루션만 이용하는 것이 아니라, 피싱메일, 악성 URL, 소프트웨어 취약점,웹하드 등의 P2P 사이트, 악성코드를 포함한 문서, 배너광고, 프로그램의 보안 취약점 등 침투할 수 있는 모든 수단을 사용합니다.

 

 

어떻게 막을 수 있나?

그러면, 인터넷뱅킹 보안위협은 어차피 막을 수 없는 것일까요?저희가 이 캠페인을 시작한 시점에 말씀 드렸지만, 완벽한 보안은 없습니다.다만 보안의 취약한 부분(hole)을줄여나가면서 새로운 취약점이 발견되면 최대한 빨리 보완하고 대응하기 위한 노력이 계속 진행될 뿐입니다. 이런 보안의 취약점을 줄이기 위해서는 어느 한 곳만 노력해서는 되지 않습니다.

 

먼저 금융 및 공공기관에서는 현재 보안위협의 트렌드를 이해하고 올바른 정책을 실행해나가는 것이 필요합니다. 특히, 시스템에 보안을 맞추는 것이 아니라, 보안에 시스템을 맞추는 외국의 노력을 본받을 필요가 있습니다.예를 들어, 예전에는 아무리 혁신적이고 믿을 수 있었던 솔루션이라도 만약 악성코드 전파에 많이 이용된다면 이를 수정해 나갈 필요가 있습니다.

 

또한, 보안 솔루션을 도입한 것으로 그치지 말고,이를 적절히 운영할 수 있는 전문 보안인력을 육성하는 것이 필수적입니다. 기관 내에서 지속적으로 임직원 보안 교육을 실시하는 것은 두말 할 것도 없습니다.

 

개인의 경우엔, 어쩌면 듣기 힘든 말일 수도 있습니다만, 한번 자신에게나는 보안을 위해 어느 정도의 불편함을 감수할 수 있을까?”라는 질문을 해보는 것이 시작이 될 수 있습니다. 해외의 모 은행에서는 보안 및 다른 이유로 이체 한도 금액을 매우 축소하거나, 이체 날짜가 3-5일 걸리는 경우도 있습니다(실시간 이체는 수수료가 매우 높습니다).

 

또한, 사전에 이체 계좌를 등록해야 하고, 새로운 이체계좌를 등록할 때마다 계약서를 작성하는 경우도 있습니다. 인터넷 뱅킹 로그인 시에 본인인증을 위해 2-3개의 절차를 거치기도 합니다. 보안과 편리함은 서로 주고 받는 관계라는 인식을 바탕으로 나온 정책일 것입니다.

 

효율성과 편의성을 추구하는 성향이 강한 우리나라에서 이렇게 한다면 얼마나 많은 사람들이 이런 불편함을 기꺼이 감수할 수 있을까요? 개인 PC를 최초 시작점으로 노리는 현대의 보안 트렌드에서 사고의 책임이 개인 혹은 기관 어느 곳에 100%있다고 하기엔 어렵습니다. 기관의 경우엔 보안위협의 트렌드를 이해하고 준비하는 자세가 필요하고, 개인의 경우엔 조금 불편하더라도1) 송신자가 불분명한 수상한 메일의 첨부파일 및 링크 클릭을 자제하거나 2)소프트웨어 업체가 제공하는 보안패치 설치, 3)백신 업데이트 최신 버전 유지 4)사내에서 개인적인 인터넷 사용 자제등 기본적인 보안 수칙만 지켜도 대부분의 보안 위협은 막을 수 있습니다

 

또한, 이렇게만 하면 만사 해결이라는 식의 보안 종결론에 휘둘려서는 안됩니다. 만약 우리가 불의의 피해자가 되었을 때, 그 종결론을 주장하신 분들이 책임져주지 않습니다. 보안 위협은 어떤 시스템, 어떤 환경에서도 반드시 존재하며, 알려진 보안 위협을 막으면 또 다른 지금까지 알려지지 않은 보안 위협이 우리를 기다리고 있습니다. 보안은 함께 고민하고 노력해야 할 우리 모두의 몫입니다. <Ahn>

 


보안 동아리 학생이 만난 현직 보안 전문가 2인

지난 5 10일 울산대학교 정보보호동아리 UOU_Unkown 학생들은 본사를 방문하여 ASEC 분석 1팀 한창규 팀장 및 김아영 주임과 함께 인터뷰를 진행하였다. 최근 APT공격을 비롯한 다양한 보안 관련 이슈가 화제가 되면서 정보보안 전문가에 대한 관심 역시 증가하고 있는 추세라서 취재를 나온 두 학생들의 얼굴은 반드시 좋은 정보를 얻어가겠다는 의지로 불타올랐다 

특히 ASEC(시큐리티대응센터) 분석팀의 홍일점 김아영 주임이 인터뷰에 참여해 보안전문가를 희망하는 여학생들의 궁금증을 해소해줄 뿐만 아니라 실무자와 취업 준비생 간의 소통의 고리를 만드는 좋은 계기가 되었다.

△집중! 또 집중!! 하나라도 더 알려주기 위한 한창규 팀장과 하나라도 놓치지 않으려는 학생들의 모습

오후 3, 시원한 아이스 아메리카노와 함께 인터뷰가 시작되었다. 준비해 온 질문에 대한 답을 얻으려고 집중하는 학생들에게서 왠지 모르는 비장함마저 감돌았다. 취업준비가 한창인 학생들이라서 그런지 취업과 연관된 질문들이 많았다. 또한 보안동아리 학생답게 보안이슈에 대한 관심도가 남달라 질문의 수준도 꽤나 높았다. 이에 대해서 한창규 팀장과 김아영 주임은 성의를 다해서 답변해 주었다.

학생들은 인터뷰 도중 결혼과 관계된 기습질문도 거침없이 해서 김아영 주임의 당황한 표정과 함께 화기애애한 분위기를 이끌어냈다. 준비된 30여분의 인터뷰가 끝나고 이 시간을 기억하기 위해 기념사진 촬영이 있었다.  

 

 

-취업에 필요한 기술이나 자격은 어느 정도인가요?

 

한창규(이하 한) : 학교에서 진행되는 학과 수업을 기본으로 평상시에 보안관련 뉴스나 커뮤니티 등을 통해 관련 지식을 습득해 주는 것이 좋습니다. 업무 관련해서 많은 부담은 느끼지 않아도 됩니다. 입사 후에 업무교육이 따로 진행되니깐요. 평소 학교 수업에 충실 하는 것이 답이라고 할 수 있겠네요. 

-취업 준비생에게 바라는 점은 무엇인가요?

한 : 보안분야는 특히 기본기가 중요합니다. 전공 분야 이외에는 폭넓게 다양한 지식을 습득하는 것도 실제 업무에 도움이 될 수 있겠죠. 

김아영(이하 김) : 자기가 좋아하는 방향을 정하는 것이 중요한 것 같아요. 관심 있는 분야에 시간을 투자하고 개발하는 것이 나중을 보면 훨씬 도움이 될 것 같습니다 

-여성으로서 업무상 힘든 점은 무엇인가요?

체력 문제로 많이 힘들지 않냐는 질문을 받습니다. 물론 힘든 부분도 있지만 이것은 개인이 극복해야 할 문제라고 생각해요. 아무래도 늦게까지 일하는 경우도 있고 하니까 피부가 안 좋아진다는 점이 힘든 점이랄까요? ^^ 

-여성으로서 차별대우는 없었나요?

김 : 저희 팀에는 여자가 저밖에 없어요. 그래서 오히려 팀장님을 비롯해서 팀원들이 저를 배려해주기에 바쁩니다. 차별은 느낄 수도 없고 오히려 너무 잘 챙겨주세요 

-팀장님이 보시기에 여성연구원이 들어왔을 때 힘들어 보이는 점은 없나요?

한 : 아무래도 팀에 대다수가 남자이다 보니까 대화상대가 부족할 수도 있겠구나 생각했어요. 또 결혼해서 육아를 병행하게 된다면 그래도 남성보다는 신경을 더 많이 쓰는 부분도 있을 겁니다. 야근을 하다 보면 남성보다는 체력적으로 힘들 수도 있지만 여성들이 남성보다 대체로 꼼꼼하다는 장점이 있어요. 그래서 서로 부족한 면을 잘 채워주어 시너지 효과를 낸다고 생각합니다 

-직업상의 장단점은 무엇인가요?

한 : 장점이라면 먼저 보안이라는 분야는 정체되어 있지 않습니다. 항상 새로운 것을 접하고 연구해야 하죠. 따라서 보안업계에서 일을 하면 다양한 것을 배울 수 있다는 것이 가장 큰 장점일 것입니다. 단점은 언제 어떤 일이 발생할 지 모르기 때문에 항상 긴장감을 유지해야 한다는 것이죠. 위협이라는 것은 원래 정해져 있지 않고 수시로 발생하니깐요.

-업무 패턴이 어떻게 되나요?

김 : 오전에는 주로 모니터링을 합니다. 문제가 있는지 없는지 확인하는 작업이죠. 오후가 주 업무시간이라고 할 수 있는데 팀 회의 및 회의 결과에 대한 내용 정리를 통해서 업무방향을 결정합니다.

-시큐리티대응센터에서 사고 발생 시 어떻게 대처하나요?

악성코드 및 보안에 대해서 모니터링을 하고 악성코드가 감지되면 그 위협 정도에 따라서 분석을 하게 됩니다. 분석 후 나오는 정보들을 적당한 형태로 분류하여 조치 및 가이드 라인을 제공하게 됩니다. 예를 들어, 분석 된 정보가 악성코드라고 판명되면 V3에 반영을 하기도 하고 네트워크 문제라고 여겨지면 네트워크시그니처에 반영합니다 

-국가적으로 지원해 줬으면 하는 것이 있나요?

한 : 우리나라는 해외보다 SW산업에 대한 지원이 낮은 편입니다.. 소프트웨어의 가치에 대해 인정하고 좀더 적극적으로 지원해줄 필요가 있다고 생각합니다. 아울러 교육 부분도 지원을 더욱 늘려야 하겠습니다.

김 : 국가 차원에서 보안에 대한 인식의 변화가 필요하다고 생각합니다. 보안 사고가 났을 때만 집중되는 것이 아니라 평소에 보안의 중요성을 가치로써 인식해 줬으면 하는 바람입니다 

 

인터뷰가 끝나고 간단한 사내 투어가 있었다. 포렌식룸, SOC, 피트니스센터 등을 둘러보는 동안 학생들은 감탄사를 연발했다 

울산에서 올라올 정도로 대단한 열정을 보여준 정보보호 동아리 UOU_Unknown 학생들은 그렇게 한 시간 여의 본사 방문을 마쳤다. 정보보안의 중요성이 날로 커져가는 요즘, 동아리 회원으로 활동하며 학부시절부터 큰 관심을 가지고 한 분야를 깊이 있게 접근하려는 이들을 통해 대한민국 보안업계의 밝은 미래를 기대해본다. Ahn

 

이유정 / 안랩 커뮤니케이션팀

APT를 알면 사이버 테러 이길 해법이 보인다

최근 발생한 3.20 사이버 테러에서 보았듯이 특정 대상을 상대로 핵심 기밀정보를 빼내려는 사이버 위협이 날로 지능화함에 따라 보안의 중요성은 더욱 커지고 있다.

이에 효과적인 대응 방안을 모색하기 위해서 지난 5월 14일 머니투데이와 데일리시큐가  ‘금융보안·개인정보보호 페어’를 열었다. 이 자리에는 안랩을 비롯해 20여 개 보안 전문 업체가 참가해 금융보안과 개인정보보호 관련 최신 제품과 기술을 소개했다. 또한 ‘스마트 융합 시대에 필수적인 개인정보보호와 금융보안’을 주제로 차세대 금융 보안 구축 방법을 비롯해 다양한 보안 사고 예방을 위한 방법을 소개했다.

그 가운데 안랩 마케팅실 윤상인 차장은 ‘다차원 분석을 통한 APT 대응 방안’을 주제로 발표했다. 그는 안랩에서 자체 개발한 다양한 분석 방법으로 보안 위협에 철저히 대응할 해법을 소개했다. 다음은 주요 내용. 

지능적이고 장기적으로 가해지는 APT 공격

최근의 보안 위협은 과거의 것과는 양상이 확연히 달라졌다. 과거에는 단일한 악성코드를 가지고 감염 불특정 다수를 대상으로 PC에 국한된 공격을 했다. 하지만 최근에는 특정 공격 대상을 겨냥해 기존 보안 제품을 우회하고 새로 발견되는 보안취약점을 악용해 모듈화한 악성코드를 생성하고 장기간에 걸쳐 공격 성공 시까지 은닉하는 방법을 사용한다. 이른바 'APT'이다. 

APT(Advanced Persistent Threat)

‘지능형 지속 공격’이라고 하며, 특정 타깃을 노려 지속적인 공격을 하는 것을 말한다. 악성코드를 이용하여 정보 유출뿐 아니라 시스템 파괴를 일으키는 공격이다. 정치적 목적의 사이버 테러, 정보 유출 등 다양한 목표와 방법을 가지고 있다. 일례로 3.20 전산망 마비 사고가 있다. 국내 방송사 및 은행 전산망을 동시에 마비시킨 보안 사고로 32,000여 대의 서버와 PC에서 시스템 장애 현상, 하드 디스크 파괴 현상이 발생하였다.

1~2년 전부터 APT가 언론에서 많이 회자되었지만 실제 APT를 잘 아는 사람이 많지 않다. 2012년 말 ISACA(정보시스템감사통제협회)에서 글로벌하게 1500명의 보안 인력을 대상으로 설문조사를 진행했다. 조사 결과에 따르면 APT를 어느 정도 알고는 있지만, 실제 APT를 어떻게 막을 것인가라는 질문에는 애매한 답변이 대부분이었다고 한다. 

최근 발생한 사고 현황을 보면 2010년 이전까지는 APT 공격의 대상이 주로  정부기관었으나, 구글을 공격한 '오퍼레이션 오로라' 이후 민간까지도 공격이 확장되는 흐름이 있었다. 

APT 공격 배경에는 정치적 목적, 경제적 목적, 군사적 목적이 있는데, 공통적으로 범죄 조직이나 국가 정보기관, 핵티비스트 단체와 같이 막강한 배후 세력이 존재한다. 악성코드를 제작하는 세력은 멀티 엔진 분석 사이트나 언더그라운드 플랫폼 검증을 통해 기존 시그니쳐(signature) 기반 보안 솔루션을 우회하는 신종 악성코드만을 APT 공격에 이용한다. 때문에 방어하기 힘들 수밖에 없다.

APT에 대한 오해와 진실

1. APT 공격은 숙련된 해커만이 가능한가?

NO. 에코시스템처럼 제로도의 취약점을 이용한 악성코드를 사고 팔고하는 블랙마켓이 활성화해 있다. 그렇기 때문에 꼭 숙련된 해커 사이에서만 이뤄지는 게 아니라고 할 수 있다.

2. 알려지지 않은(Unknown) 악성코드가 APT 공격을 일으키는 주범인가?

YES or NO. 주범은 알려지지 않은(Unknown) 악성코드라고 봐도 되지만 기존의 다양한 APT를 분석해보면 알려진(Known) 악성코드와 적절히 조합이 되어서 공격을 했다. 따라서 APT 대응을 위해서는 알려진 악성코드까지도 대응할 수 있는 연계 대응 방안이 필요하다.

3. 기존 보안 솔루션은 알려지지 않은 악성코드를 탐지하고 차단 가능한가?

NO. 기존 시그니쳐 기반 보안 솔루션은 알려지지 않은 악성코드를 탐지하는 데 어려움이 많다.

4. APT 위협은 정부기관 또는 대기업만 타깃으로 하는가?

NO. 보안 취약점을 가진(보안 정책상 허술한) 하위 소규모 기업을 1차 타깃으로 2차 중간 업체, 3차로 그 상위 기관, 최종적으로 상급 기관을 공격하는 것이 최근 APT 공격의 패턴이다.

정부기관, 온라인 뱅킹도 공격 대상

조달청이 운영하는 나라장터 해킹이라고도 알려진 입찰 참여 건설 업체/지자체 PC 해킹 사건이 대표적이다. 정부의 건설 사업 관련해 최저가 입찰을 하는데 모 건설사에서 경쟁사의 입찰 가격을 알아내도록 해커에게 요청한 사건이다. 2007년부터 수십 억원에 달하는 비용을 불법적으로 취득했다. 이는 persistent한 경우는 아니지만 Advanced하고 Targeted한 공격이, 보안이 허술한 하청기관을 뚫는 것이 얼마나 효과적인지 보여주는 사례이다.

온라인 뱅킹 시 파밍 사이트로 접속하게 유도하는 사고도 자주 일어난다.

파밍(Farming)

이용자 PC를 악성코드에 감염시켜 이용자가 인터넷 '즐겨찾기' 또는 포털사이트 검색을 통하여 금융회사 등의 정상적인 홈페이지 주소로 접속하여도 피싱 사이트로 유도되어 범죄 관련자가 금융 거래 정보 등을 몰래 빼가는 수법

일반적으로 사용자의 금융 정보를 가로채기 위해 공격자는 악성코드 감염을 통해 사용자의 호스트(hosts) 파일을 변경하거나, 공격자가 만들어 놓은 서버 IP를 사용자 DNS 서버 IP로 변경하여 정상적인 금융권 사이트 접속 시 공격자가 만들어 놓은 가짜 사이트로 접속하도록 만든다. 그러나 이와 같은 방법은 이미 일반화했기 때문에 대부분의 보안 프로그램은 사용자 시스템의 호스트 파일을 모니터링하여 변경 사실을 사용자에게 알리거나 변경 자체를 방어하기도 한다. 

최근 피해 사례가 증가하는 파밍 사이트로 접속을 시도하는 피해 시스템을 확인한 결과, DNS IP의 변경이나 호스트 파일의 변조가 일어나지 않은 상태에서도 공격자가 만들어 놓은 가짜 사이트로 접속을 시도하는 것을 확인할 수 있었다.

악성코드 다차원 분석이 해법이다  

전통적인 보안 솔루션만으로는 고도로 지능화된 APT를 차단하는 것이 불가능하다. 방화벽(FireWall)은 네트워크 접근 통제로 악성코드 유입을 차단하기 때문에 허용된 주소로 들어오는 악성코드는 차단할 수 없다. 애플리케이션을 통제하는 차세대 방화벽(Next Generation FireWall) 역시 악성코드를 탐지하기 어렵다. 

또한 침입차단시스템(IPS)은 네트워크 기반 툴을 이용해 악성코드 유입을 차단하기 때문에 파일 기반 분석이 필요한 악성코드는 탐지할 수 없다. 악성 URL을 차단하는 유해 사이트 차단 시스템은 허용된 사이트를 거쳐 유입되는 악성코드는 차단할 수 없다. 기존 안티바이러스(AV) 솔루션 역시 알려지지 않은 악성코드는 탐지하기 어렵다.

어떤 과정을 거쳐서 다차원 분석 기술이 나오게 되었을까?

1세대 - 기존의 안티바이러스 제품군

악성코드가 대응센서에 유입이 되면 안랩과 같은 연구기관에 샘플이 전달이 되고 분석이 된 결과에 따라서 악성이라고 판단이 되면 엔진이 업데이트 되는 형식이다

즉, 1세대 시그니쳐 기반 악성코드 대응의 방식에서는 최초의 피해자가 존재해야 한다는게 특징이다. 대응시간도 2-3시간이 걸리므로 현재의 위협이 되고 있는 지능적 공격을 막기에는 역부족이라는 판단이다. 즉 패시브한 방식!

2세대 - 클라우드 기반 악성코드 대응

1세대 방식보다 좀 더 능동적인 방법으로 진화된 것이 많은 글로벌 대응 업체들이 시도를 하고 있는 클라우드 기반 악성코드 대응 방안이다. 클라우드에는 최신의 악성코드 정보가 들어 있게 되고 만약 클라우드 상에 정보가 없을댄 의심 파일을 클라우드 서버로 전송을 하게 되고 클라우드의 백엔드 상에는 다양한 정적 분석엔진 동적 분석엔진 그리고 전문가들의 수동 분석을 통해서

시그니쳐를 자동 또는 반자동으로 추출을 하게 되는 과정을 거치게 되는 것이다.

1세대 시그니쳐 기반 분석에 비해서는 효과적이지만 파일 자체가 유출될 수 있는 보안상의 문제점이 발생할 수 있는 단점이 발생한다.


안랩의 APT 방어 솔루션인 '안랩 트러스와처'

3세대 - 다차원 악성코드 분석 및 대응

1세대와 2세대의 효율성을 유지하면서 언노운(Unknown) 악성코드를 적극적으로 탐지하기 위해서 사용된 방법이다. APT 공격이 순수하게 언노운 악성코드만이 이루어진 공격이 아니기 때문에 최신 악성코드 정보를 가지고 있는 클라우드 또는 시그니쳐 기반의 로컬 데이터베이스를 적극적으로 활용하는 것이 최신의 트렌드이다.

다차원 분석의 핵심은 바로 평판 기반 분석 방법, 행위 기반 분석 방법, URL/IP 탐지, 연관 관계 분석이다. 

평판 기반 분석 방법은 파일 자체가 언제 최초로 유입됐는지, 얼마나 글로벌하게 퍼져 있는지, 혹은 도메인이 언제 등록됐는지 분석하는 것이다. 행위 기반 분석 방법은 분석 머신 자체에서 악성코드를 실행하고 어떤 OS 상의 행위 변화가 일어나는지 분석하는 방법이다. 

URL/IP 탐지 분석 방법은 단순히 특정 IP에 연결이 됐는지, 특정 URL에 접속이 됐는지를 보는 것이 아니라, 특정 IP 또는 URL에 관련된 도메인들이 어떤 개별적인 악성 스코어링을 가지고 있는지 분석하는 것이다. 연관 관계 분석 방법은 A라는 파일을 분석할 때 해당 파일에 관여하는 시스템 파일들 2차 3차 부가적인 연관 파일들까지도 분석하는 것을 말한다.

동적 컨텐츠 분석 엔진(DICA; Dynamic Intelligent Content Analysis)은 문서, 동영상, 스크립트 등 non-PE 악성코드를 탐지하기 위해 최적화된 악성코드 분석 엔진이다. 문서 파일 형태의 알려지지 않은 (Unknown) 애플리케이션 취약점에 대응하기 용이하며 알려진(Known) 취약점을 이용하는 변종 non-PE 악성코드 탐지에 최적화해 있다.

최신 공격 기법 ROP까지 막아내는 '트러스와처'

한편, 최근 들어 해커들이 많이 이용하는 ROP 기술에 주목할 필요가 있다. 

ROP(Return-Oriented Programming) 공격 기법

운영체제(OS) 메모리 상에 존재하는 정상 코드 조각들을 조합해 악의적인 공격 코드를 실행시키는 방법. 최근 APT 공격에 많이 이용된다.

얼마 전 MS사에서 보안 소프트웨어에 대한 컨테스트(BlueHat Prize)를 열었는데, 1~3등 모두 ROP 관련 기술이 들어가 있었다. MS는 이 컨테스트를 개최한 후에 자체 보안 유틸리티에 ROP 방어 기능을 추가하기도 했다. 거대 기업도 주목하는 기술인 만큼 대비가 필요하다. 

안랩의 APT 방어 솔루션인 '안랩 트러스와처(AhnLab TrusWatcher)'(글로벌 제품명 AhnLab MDS)는 ROP 공격 기법을 사용하는 비실행형 악성코드까지 탐지한다. 단순히 탐지에 그치는 것이 아니라 대응까지도 할 수 있는 제품이다. 즉, 탐지된 악성코드를 다운로드한 PC를 찾아 악성코드를 자동/수동 치료한다. 

또한 트러스와처는 다차원 분석(행위 기반 분석, 동적 컨텐츠 분석) 기술로 알려진(Known) 악성코드는 물론 알려지지 않은(Unknown) 악성코드를 모두 탐지하고, 해당 악성코드는 자동 치료/삭제해 실시간 대응이 가능하다. 악성코드 수집-분석-모니터링-대응까지 이어지는 Full Process를 제공하기 때문에 비즈니스 연속성을 도모할 수 있다. 아울러 단일 장비로 다양한 인터넷 프로토콜을 수용하며 비용 효율성이 높다. Ahn



대학생기자 박규영 / 연세대학교 건축학과

                  



젊은 보안인의 모임, 전국 대학 연합 동아리 U.U.U

현장속으로/세미나 2013.05.28 08:45

정보보안 전문가를 꿈꾸는 젊은 보안인이 한자리에 모여 지식을 공유하며 즐거움을 함께 나누는 축제인 전국대학CERT연합 U.U.U(Union of the Universal University for CERT)의 제 16회 상반기 정기 워크샵이 지난 5 11일 서울여자대학교에서 개최되었다. 12개의 대학 중 칭화대를 제외한 국내대학 11개의 130명이 참여하여 자리를 빛냈다.


U.U.U 공식 로고

 

이번 워크샵에는 총 6개의 주제로 서로의 지식을 공유하는 시간을 가졌다. U.U.U는 매년 상반기와 하반기를 나누어 각 대학에서 한 가지씩 주제를 마련하여 그 해의 보안 이슈, 각종 해킹 기법과 대응 방안, 소프트웨어 등에 대해 발표를 한다 U.U.U의 회장인 홍익대 신상윤 군을 만나 U.U.U에 대해 자세히 알아보았다.


16회 U.U.U 정기 워크샵 주제


-U.U.U가 만들어진 배경이 있다면 어떤 것이 있을까요?


초기 몇 개의 대학이 따로 공부하다가 보안이라는 공통 관심 분야를 공부하는 것을 알게 되고 친분을 쌓게 된 각 대학 회장들이 CERT 활동을 중심으로 같이 활동하고자 하는 마음으로 시작을 하게 되었어요.


-U.U.U는 현재 어떤 방식으로 세미나를 진행하고 있나요?


현재 U.U.U는 상반기와 하반기로 나누어 1학기, 2학기 중간고사가 끝나는 5월과 10월에 워크샵을 진행해요. 현재는 총 12개의 대학이 참여를 하고 있는데 각 대학 별로 자신이 연구하는 분야를 발표하여 세미나를 진행하며 세미나가 끝난 후에는 질문시간을 따로 가지면서 서로 연구한 분야에 대해 의견을 나누고 있어요.

U.U.U 회장단


-학내 보안 동아리인데 구체적으로 학교에서 어떤 활동을 하고 있나요?


먼저 CERT(Computer Emergency Response Team)를 주제로 활동 하는 만큼 대학교의 전산망을 대상으로 보안 관제, 침해대응, 로그분석, 모의해킹 등의 활동을 진행하고 있어요. 물론 사정상 학교에서 직접적인 CERT업무를 수행하지 못하는 학교는 동아리홈페이지를 대상으로 CERT업무를 수행하거나 CERT활동을 하고 있는 대학교를 벤치마킹하여 실습 과정을 공유하려고 노력하고 있어요.


-학교 공통으로 수행하고 있는 프로젝트가 있거나 계획하고 있는 것이 있을까요?


오픈소스, 매거진, 외국문서 번역 총 3가지를 진행하고 있어요. 오픈 소스 같은 경우는 U.U.U안에서 간단한 보안 프로그램을 만들어 U.U.U안에서 소스를 공유하는 프로젝트이지만 추후 SourceForge 같은 곳에 오픈 소스로 등록하려고 하고 있습니다. 매거진은 각 대학 들이 연구하고 있는 분야에 대하여 자세한 기술문서를 작성하여 하나의 보안 기술 문서 한 권을 만드는 프로젝트이고, 마지막으로 외국문서 번역 같은 경우는 보안공부를 하다 보면 외국문서를 봐야 되는 상황이 자주 생기는데 그런 경우를 대비해 외국문서를 번역하여 다같이 공유하고자 하는 목적에서 시작된 프로젝트에요. 저희 U.U.U에는 특이하게 중국의 칭화대가 포함되어 있는데 이 분들을 통해 영어권 외국문서뿐만 아니라 중국어로 된 외국문서도 번역하여 볼 수 있다는 점이 특징이에요.


-연합 동아리 회장으로서 힘든 점이 있다면?


사실 저희 동아리가 전국 연합 동아리라 서로 친해지려고 노력을 하지 않으면 꾸려나가기가 힘들어요이런 부분에서 가장 고민을 많이 하게 되고요물론 이런 점을 보완하기 위해 여름에는 전체 대학의 회장단뿐만 아니라 회원들까지 참여하는 여름 MT를 진행하여 친목을 도모하고 있어요.


-앞으로 U.U.U가 어떤 방향으로 발전했으면 하나요?


학술적인 목적이 강한 연합동아리이지만 참여 대학들의 신입회원까지 모두가 친해지고 공통 관심 분야인 보안에서 다른 대학교라는 벽을 허물고 이야기를 나누었으면 좋겠어요. 지식을 공유하되 친목이 강한 가족 같은’ 동아리 모임으로 만들고 싶어요.


U.U.U 단체사진

 

실제 워크샵에 참여하기 전에 공부만을 위해 모여서 딱딱한 분위기면 어쩌나 했던 걱정은 기우에 지나지 않았다. ‘보안이라는 공통된 주제로 모인 젊은 보안인들의 축제는 예상 외로 매우 활기차며 역동적이었다. 1년에 2번의 적은 만남에도 각 대학이 책임감을 가지고 자료를 만들며 그 자료들 또한 한눈에 보더라도 매우 많은 노력이 들어갔다는 것을 알 수 있었다


한 대학의 동아리에서 벗어나 연합 동아리라는 큰 무대에서 활동하는 이들의 열정이 지금의 U.U.U를 있게 만든 것이라 짐작해 본다. ‘젊음보안이라는 공통점을 가진 U.U.U가 지금처럼 훌륭하게 진행되길 바라며, 추후에는 더욱 많은 대학, 젊은 보안인이 참여하는 지식의 장으로서 발전하길 기대한다. Ahn



대학생기자 유희만 / 수원대 컴퓨터학과

The achievement of one goal should be the starting point of another.
(목표의 성취는 또 다른 목표의 출발점이 되어야 한다.)
- 알렉산더 그레이엄 벨 -

현재에 안주하지 않고 항상 색다른! 목표를 향해!                  

보안전문가 되려면 어느 대학 어느 학과 가야 하나

지난 320일 6개 방송사와 금융사가 해킹 공격을 받았다. 내부 시스템이 파괴되고 전산망이 마비되면서 기업들은 많은 금전적 피해를 입었고, 시민들은 일상생활의 불편함을 겪고, 정보 누출에 대한 불안감에 몸을 떨 수밖에 없었다. 단 한 번의 보안사고로도 커다란 사회적 손실을 야기할 수 있는 두 업계가 공격받았다는 사실은 우리에게 일상생활에서 보안이 얼마나 중요한 것인지를 다시 한번 몸소 깨닫게 해 주었고 이러한 사이버 공격을 차단하기 위해 모두가 힘써야 한다는 사실을 상기시켜주었다. 

사방에서 날아오는 화살로부터 우리의 몸을 보호할 수 있는 가장 훌륭한 도구는 방패이다. 마찬가지로, 사이버 공격을 막기 위한 가장 실질적이고 효과적인 수단은 온라인 상에서 든든한 방패가 되어줄 수 있는 정보보호전문가를 양성하여 사이버 공격을 최소화하고 더 나아가 이러한 사이버 범죄를 미리 예방하는 것이라고 할 수 있다. 대학들은 최근 이러한 경향에 따라 보안학과를 신설하여 정보보호전문가 양성에 앞장서고 있다. 보안 관련 학과들은 어떠한 특징을 가지고 있을까?

 

 (정보보호 및 보안학과를 개설한 대학들)

서울여대 정보보호학과의 설립연도에 오류가 있습니다. <기존>으로 정정하겠습니다.


(보안학과의 커리큘럼표)

위 커리큘럼은 서울에 위치한 모 4년제 대학 보안학과의 커리큘럼이며 다른 학교의 커리큘럼도 위와 크게 다르지 않다. 프로그래밍, 네트워크 보안, 시스템 관리 이렇게 세 부분으로 크게 구분하여 1학년 때는 범학문적인 교양들과 프로그래밍의 기초를 배우고, 2~3학년이 되면 심화이론 및 프로그래밍 지식을 쌓는다. 4학년이 되면 실습 및 평가 분석을 통해 3년 간 배워 온 전공지식을 실질적으로 적용하고 확인할 시간을 갖게 된다이렇듯 체계적이고 실용적인 커리큘럼으로 실전 업무에 바로 투입될 수 있는 인재 양성에 각고의 노력을 기울이고 있다.  

많은 정보보호 학과가 기업들과 산학협력을 맺어 인턴십 프로그램을 운영한다. 이를 통해 학생은 실무지식과 사회 경험을 쌓을 수 있다. 특히 남성은 자신의 전공을 살린 IT 특기병으로 군복무를 할 수 있다. 고려대학교 사이버 국방학과의 경우 학과를 졸업함과 동시에 보안장교로 군복무를 이행할 수 있다. 또한, 현재 보안전문가는 그 수요에 비해 공급이 턱없이 부족하기 때문에 비교적 손쉽게 자신의 전공을 활용할 수 있는 기업에 취업할 수 있다. 전공 분야가 그대로 적용되기 때문에 적응 기간이 매우 짧다는 장점도 있다. 

일상생활에서의 컴퓨터 사용이 보편화되면서 사회 모든 분야에서 보안 인력을 필요로 하고 특히 기업의 경우 내부 기밀이 새어나가게 되면 기업의 본질인 이윤 추구에 심각한 영향을 끼칠 수 있다. 그렇기에 보안의 이론과 실무 그리고 보안 정책 능력을 갖추어 전산망을 안전하게 보호할 수 있는 보호 전문가에 대한 수요가 크게 늘고 있으며, 우리나라뿐 아니라 전세계적으로도 증가하는 추세이다. 

전문성을 갖춘 보안 인력이 많이 양성되면 인터넷 환경의 안전성과 신뢰성이 더 높아질 것이다. 또한 정보보호 산업이 발전하고 국가의 산업 경쟁력이 높아지는 한편, 국가 안보까지 강화할 수 있다. 따라서 대학에서 보안학과를 개설하고 보안 전문가를 육성하는 것은 IT 강국인 대한민국이 나아가야 할 올바른 지향점이라고 할 수 있다. Ahn


  대학생기자 엄용석 / 고려대 화학과

  타인과 지식을 공유하는 기쁨을 온라인 상에서 느껴보고 싶은 대학생기자

현직 전문가가 말하는 보안 업무에 맞는 사람

최근 늘어나는 보안 사고 때문에 유망 직종으로 정보보안 전문가가 주목받고 있다. 보안 업무는 컨설팅, 관제를 비롯해 CERT(침해사고대응), 모의해킹, 악성코드 연구 등 굉장히 다양한 분야가 있다. 각 분야 별로 어떤 특징이 있으며 어떤 분야가 보안 전문가를 꿈꾸는 이에게 맞는 것일까? 미래 보안 전문가인 청소년, 대학생의 궁금증을 풀어주고자 보안 컨설팅, 보안 관제 분야 실무자를 만나 각 업무를 하려면 어떤 준비가 필요하고, 어떤 역량이 필요한지 생생한 조언을 들었다. 

실무에서 쌓은 내용 보안 컨설팅에 플러스된다

S사 박상우 책임 컨설턴트

Q. 솔루션 기반 SI 컨설턴트라는 보안 업무의 특징은 무엇인가요?

컨설팅이란 간단히 말해 도움을 주는것, 조언을 해주는 것 그리고 더 나은 방향으로 제시해주는 것으로 컨설턴트는 고객에게 현대 기술에 맞는 제안을 하여 이익을 안겨다주고 편리함을 주는 것이지요.

보안은 IC 카드를 찍고 인력을 통제하는 것도 물리적 보안의 한 종류고, 여러분이 생각하는 것보다 훨씬 다양해요. 보안 컨설턴트의 경우는 구축을 해주는 것입니다. 고객사에 방문해 부족한 운영 시스템 보안을 충실하게 구축을 해주지요. 최근에 발생한 3.20 전산망 마비 같은 사고가 일어나더라도 피해가 덜 가게, 혹은 최소한의 피해가 가도록 시스템을 구축해줍니다.

우리 기업 보안에 문제가 없도록 모든 기획을 하고 정책을 만드는 보안 담당자와 보안 컨설턴트의 차이점은 보안 컨설턴트는 프로젝트 단위로 움직이고 보안 담당자는 업무 단위로 움직인다는 것입니다.

Q. 업무를 하며 기억에 남았던 것은 무엇인가요?

고객사의 모든 운영 시스템을 점검할 수 있는 사이트를 구축해주는 프로젝트가 있었어요. 소스코드 취약성을 점검하는 툴, 그리고 해킹에 취약한지 여부를 점검해주는 솔루션을 보통 따로 운영하는데 그 두 가지를 같이 도입하여 사이트를 만들고 주소를 입력하면 사이트에 툴이 접근하여 해킹도 테스트해보고, 라이브러리 프로그램 소스들 중 어디가 취약한지 등 취약점을 걸러내기 위한 시스템을 만들었어요. 프로젝트 중 오탐도 많았지만 끝나고 난 뒤 예전엔 일일이 점검했던 시스템을 자동화하는 혁신을 만들어냈지요. 몇 년이 지났지만 아직도 천 개가 넘는 고객사의 운영 시스템이 제가 만든 사이트를 이용해 점검하고 사용하니 정말 뿌듯했답니다.

Q. 컨설턴트 업무를 어떤 사람에게 추천하고 싶나요?

업무가 프로젝트성이고 고객사를 방문하는 일이 많으므로 돌아다니는 것을 좋아하고 역동적이며 활동적인 사람. 또한 성취욕을 느끼고 싶은 사람에게 권하고 싶어요. 정적인 업무를 하고 싶은 사람에겐 조금 안 맞을 것 같네요. 우리는 고객과 많이 부딪힙니다. 따라서 사람 만나는 것을 좋아하는 사람에게도 추천해주고 싶네요.

Q. 보안 컨설턴트를 꿈꾸는 사람에게 해주고 싶은 말은?

내가 컨설팅을 하고 싶다면 컨설턴트가 되었을 때 고객에게 컨설팅을 해줄 수 있는 역량, 기본지식이 있어야 해요. 이런 기반을 닦으려면 실무를 해야 한다고 생각합니다. 컨설턴트가 되고 싶다고 처음부터 컨설턴트 하나만 바라보지는 말고 그 실무를 할 수 있는 부서에 가는 것도 권하고 싶어요. 처음부터 컨설턴트를 하면 실무에 대한 내공을 쌓기 어렵습니다. 오히려 실무를 경험할 수 있는 부서에서 최소한 5년 이상 근무를 한 상태에서 컨설팅 부서로 옮긴다면 컨설팅을 할 때 자기가 경험했던 것을 기반으로 매뉴얼에도 없는 시행착오들과 직접 해보면서 겪는 수만, 수천 가지의 케이스를 자신의 자산으로 가질 수 있답니다.

 

보안 관제, 전문 지식 못지않게 체력 필요

Q. 관제라는 보안 업무의 특징은 무엇인가요?

관제는 24시간, 365일 모니터링하면서 내외부로부터 해킹 시도를 파악하여 발생된 이벤트를 확인하여 공격지를 찾아 보안 장비에서 차단하고, 고객사에 알려주는 업무입니다.

Q. 다른 보안 분야와 비교하여 업무의 장단점이 무엇인가요?

관제는 실시간 모니터링으로 상황에 따라 대응하는 업무로 언제 어떤 일이 발생할지 알 수 없습니다. 때문에 야간에도 근무를 해야 하는 것이 단점입니다. 장점은 IPS, 웹방화벽, 방화벽, 디도스(DDoS) 장비 등 많은 보안 장비를 운영하여 다른 보안 분야보다 많은 지식을 얻을 수 있습니다.

Q. 업무를 하며 기억에 남았던 것은 무엇인가요?

최근 발생한 3.20 전산망 마비 사태가 기억에 남습니다. 관제 업무를 하면서 큰 사건은 대부분 디도스 공격이 많았습니다. 하지만 이번 공격은 특정 PC로 악성코드를 배포하여 부팅이 되지 않게 하드 디스크를 손상했다는 차이점 때문에 기억에 남습니다.  

Q. 보안관제 업무를 어떤 사람에게 추천하고 싶은가요?

관제는 실시간으로 모니터링하고 공격을 인지하여 1차적으로 빠른 대응을 하는 게 가장 중요합니다. 때문에 24시간, 1년 365일 밤낮 없이 근무를 해야 하기 때문에 체력이 뒷받침되야 합니다. 보안에 관심이 있고 체력이 좋은 사람에게 추천합니다. Ahn 


 대학생기자 박서진 / 서울여대 정보보호학과

 통(通)하지 않으면 통(痛)한다. <동의보감>

 여러분과 통(通)하는 안랩인이 되겠습니다 :)


중고생 정보보호대회 수상자가 꿈꾸는 미래

작년 10월 19일' 2012 중고생 정보보호 올림피아드' 본선이 국회의원회관에서 진행되었다. 본선에는 9월 22일 진행된 예선전을 거친 20명의 학생이 참가하였다.

서울호서전문학교 사이버해킹보안과에서 주관하고 안랩(AhnLab), 행정안전부, 한국정보보호학회, 고려대학교 정보보호대학원 등 여덟 곳에서 후원하는 중고생 정보보호 올림피아드는 이번 해로 7회째 개최된 공신력 있는 대회이다.

각종 해킹사건들로 인해 일상생활뿐 아니라 안보에서도 크고 작은 문제들이 발생하는 상황에서 국가의 보안을 짊어지고 갈 미래의 보안 꿈나무들을 발굴하고자 하는 대회의 취지에 공감하며 안랩에서도 꾸준히 중고생 정보보호 올림피아드를 후원한다. 20명의 보안 꿈나무들이 국회에서 열띤 경쟁을 펼친 결과 1등부터 10등까지 최종 순위가 확정되었다. 

이번 대회에서 금상(안랩대표이사상)을 수상한 강명석 학생(한세사이버보안고 3학년)을 만나 당시의 생생한 이야기를 들어보았다.



△ 금상(안랩대표이사장상)을 수상한 강명석군. 오른쪽에서 둘째.

 

어떤 계기로 중고생 정보보호 올림피아드에 나가게 되었나요?

고등학교 1학년 때 처음으로 대회라는 걸 나가게 되었어요. 학교에서 알려줘서 그런 대회가 있다는 걸 처음 알았어요. 그 땐 단 한 문제도 제대로 못 풀었어요. 도움을 좀 받아서 한 문제를 풀고 2번 문제는 1번 문제보다 쉬워서 풀었던 정도였어요. 그래서 그 때부터 그런 비슷한 문제를 풀어볼 수 있게 구현해놓은 사이트에서 많이 연습해봤죠.

어느 날부터는 그런 문제들이 심심해졌어요. 그래서 2012년이 되고나서 순천향대 정보보호페스티벌에 나갔죠. 운 좋게 10등으로 본선에 진출했지만, 본선 가서 한 문제도 못 풀지 못했어요. 10등가서 10등으로 돌아온 거죠. 후회 하지는 않았지만, 집 와서 금방 두 문제를 풀었기 때문에 섭섭하고 아쉬운 마음이 들었어요. 다음에는 더 나은 실력으로 본선에 진출하고 싶다는 생각으로 여러 문제들을 풀어봤죠. 그리고 정보보호 올림피아드 예선에 나가게 된 거예요.

 

- 대회는 어떻게 진행됐나요?

대회는 9시부터 시작이었어요. 국회의사당에서 했던지라, 가방도 이곳저곳 철저히 검사하더군요. 마냥 신기했는데, 막상 들어가서 보니 대회가 시작되지 않았어요. 왜냐면 국회의사당의 보안이 철저해 외부의 컴퓨터를 사용 못한다는 걸 다들 몰랐나 봐요. 그래서 국회의 보안 관련된 사람들이 와서 장내를 정리하느라 대회 시작을 한 10시쯤에 했던 것 같아요. 그러니까 보통 2시에 끝난다고 했었는데 3시에 끝나게 된 거죠.

저는 운이 좋았어요. 그 때 4문제 푼 사람이 유일하게 한 명이라 1등을 했고, 세 문제를 빠르게 푼 사람부터 2등, 한 7등까지 순위가 매겨졌거든요. 문제는 총 10문제였어요. 한 문제는 무선 네트워크에 관련된 문제였다는데, 문제에 결점이 있어 출제가 안됐다고 해요. 그래서 한 문제는 모두 다 푼 셈이 됐어요. 새로 수정돼 나온 문제가 짐작으로 풀 수 있는 객관식 문제 느낌이었거든요.

저를 수상자로 이끈 문제는 그 문제를 제외한 두 문제였어요. 두 문제를 푼 간격이 15분 정도밖에 안됐어요. 열두시에 힌트가 나왔던 문제를 시작으로 두 문제를 15분 동안 풀어버린 거라서 한시에 보니까 그 때부터 3등이더라고요. ‘빨리 좀 끝났으면 좋겠다.’며 애가 타는데 대회가 늦게 시작해 세시로 마치는 시간이 미뤄지니까 더 조급했죠. 두시가 지나니 저와 동일한 문제 수를 맞춘 학생들이 한 3명 정도 나왔어요. 한 명만 추월하면 4등이라 금상이기 때문에 딱 한 명만 추월했으면 좋겠다고 생각했는데, 끝내 아무도 추월 안 하더라고요. 그래서 3등의 영예를 안게 됐죠.(웃음)

그렇지만 이 대회만으로 제가 실력이 굉장히 뛰어나다고는 생각하지 않아요. 저보다 훨씬 잘하는 학생들이 많거든요. 확실히 저희들끼리는 저희들의 실력을 알아요. 왜냐면 보통 대회 입상한 애들은 다 동일 인물이에요. 잘하는 애들이 계속 잘하는 거죠. 저도 이번 대회를 디딤돌 삼아 여러 대회들에서 수상해 실력을 인정받고 싶어요.

 

- 컴퓨터 분야는 언제부터 배우게 됐나요?

초등학교 6학년 때 관심이 생겼던 건 게임이었어요. 보통 애들은 나쁜 것부터 시작한다고, 게임 버그나 핵 같은 것들이 너무 신기했어요. 다른 사람들이 모르는 게임까지 찾아가면서, 많은 게임에 도전해봤어요. 핵 카페 같은 것도 운영하면서, 아는 사람과 회원 만 명 이상도 모아봤죠. 이때까진 그저 재밌다 정도였고, 체계적으로는 못해보다가 고등학교 와서 조금씩 컴퓨터에 대해 알게 된 거죠.

그러다 어느 날 고등학교 친구가 ‘한번 학원을 다녀보자’고 해서, 다니게 된 학원에서 홈페이지를 만드는 언어를 배우게 됐어요. 한번은 담당 강사 형이 ‘우리 오늘 해킹대회 한번 해볼래?’해서 해보겠다고 그랬어요. 형은 ‘너 36시간동안 여기 있어야 된다.’고 겁줬는데 정말로 36시간동안 라면만 먹으면서 깨어있었어요. 나중에는 애들이 저보고 죽을 것 같지 않느냐고 좀 자라고 그러더라고요.

대회 준비를 미리 했던 건 아닌데, 마침 학원 갔을 때가 대회 당일이었어요. 노트북은 항상 가지고 다니니까, 그 때 바로 참가한다고 한 거죠. 그래서 처음으로 팀으로 된 대회를 나가게 된 거예요. 그 때 학원을 운영하시는 해킹보안협회 이사님 덕분에 알게 된 대여섯 명이서 밤을 새면서 일곱 문제를 풀었어요. 그리고 75등을 했죠. 그 대회가 우리나라에서 제일 큰 대회인지라 외국에서도 많이 출전하기 때문에 75등이라는 성적은 제게 정말 대단한 기억으로 남았어요. 그 때부터 본격적으로 정보보안 분야에 발을 담그기 시작했던 것 같아요.

 

- 올림피아드는 어떻게 준비해야 하는지 알려줄 수 있어요?

일단 프로그래밍을 잘해야 하는 것 같아요. 문제를 풀려고 어떤 웹사이트에서 일부터 만까지 대입해야 하는데 사람 손으로 일일이 하면 시간도 많이 걸릴뿐더러 힘들잖아요. 일부터 만까지 대입해주는 프로그램을 만들면 더 쉽겠죠? 이런 편리한 프로그램을 만드는 걸 프로그래밍이라고 해요. 대회에서는 다른 사람이 만들어 놓은 프로그램을 쓰는 문제도 있지만, 기존에 없는 만들어 써야할 때도 있어요. 그렇게 되면 직접 입맛에 맞게 하는 방법밖에 없겠죠. 보통 가장 많이 쓰는 언어는 C언어나 Java가 있어요. 프로그래밍 언어를 하나만 할 줄 알아도 원하는 프로그램은 만들 수 있어요. 저는 그나마 C언어를 잘하는 편이에요.

 

- 졸업하면 구체적으로 어떤 걸 공부하고 싶나요?

일단은 프로그래밍을 좀 더 열심히 하고 싶고요. 영어를 좀 더 완벽하게 하고 싶어요. 왜냐면 실력이 일정 정도 이상으로 올라가면 우리나라에서 배우고 교류하는 데에는 한계가 있기 때문이에요. 외국에서만 찾아 볼 수 있는 것들까지 배우기 위해서 영어를 4년 동안 열심히 배워볼 생각이에요.

저는 나중에 정보보안 전문가가 되고 싶어요. 궁극적으로는 하고 싶은 일을 하면서 살고 싶기 때문에 정보보안을 할 수 있는 IT계열 회사 쪽도 희망하고 있는 곳 중 하나죠. 어렸을 땐 해커가 멋있었어요. 크면서는 해커의 반대쪽에 서있는 정보보안전문가를 알게 되었어요. 해킹할 줄 아는 사람이 보안도 할 수 있는데요, 보안을 하는 사람이 해킹하는 사람을 덮어 싸서 다른 이들을 보호한다는 점이 매력 있었어요.

 

- 지금 정보보안을 막 시작하는 친구들에게 해주고 싶은 말?

정보보안을 진짜 하고 싶어서 하는 친구들이었으면 좋겠어요. 프리랜서로 일하시는 40대 해커 분이 계시는데, 자신의 실력이 너무나 얕다는 걸 알고 다시 공부하시는 분이었어요. 그 분은 40대가 돼서 다시 공부한다는 건 창피하지가 않대요. 다만 그 분이 말씀하시기를 조금이라도 실력이 있고 신념이 있다는 정보보안전문가는 15%밖에 안 된대요. 85%가 그저 남들에게 보이기 위한, 돈만을 위한 사람들인 거예요. 정보보안 분야뿐 아니라 뭐든지 좀 더 열정적으로 하고 싶은 사람들이 했으면 좋겠어요. Ahn

 

대학생기자 김가윤 / 이화여대 정치외교학과

 

정의로우면서도 가슴에는 늘 인간적인 사랑을 품은 기자가 되겠습니다.


해커의, 해커에 의한, 해커를 위한 컨퍼런스 POC

현장속으로/세미나 2012.11.19 07:00

지난 11월 8~9일 서울 양재동 교육문화회관에서 보안 전문가 커뮤니티가 주최하는 보안 컨퍼런스로는 국내 최대 규모인 'POC(Power Of Community) 2012'가 개최되었다.

 

안랩에서 후원하는 행사이기도 한 POC는 우리나라 보안 전문가들이 주축이 되어 진행한다. 2006년을 시작으로 7회를 맞이하였다. POC는 상업적인 이익을 철저하게 거부하며, 국내 보안 발전을 위해 개최되는 순수 비영리 컨퍼런스이다. 국내외 유명 해커 및 보안전문가가 최신 해킹 동향 소개와 취약점 및 대응법 등에 대하여 여러 흥미로운 주제를 가지고 발표를 하였다. 

발표가 진행되는 동안, 이벤트 홀에서는 POC에서 준비한 여러 이벤트가 진행되었다. 그 중 숙명여자대학교 보안동아리 SISS와 해킹보안 커뮤니티 해커스쿨이 주관한 여성해킹대회 'Power of XX'는 전세계적으로 유일한 여성 해킹대회라는 점에서 주목된다. 작년에 이어 2회를 맞았는데 갈수록 기대를 모을 것으로 보인다.

또한 Rainbow7이 주최한 CTP(Capture the Packet; 네트워크 패킷 속에서 문제의 답을 빠른 시간 내에 찾아 최대한 많은 점수를 획득하는 게임) 형식의 대회인 'Hack the Packet'도 많은 관심을 모았다. http://hackthepacket.com/ 2010년에 시작되어 잘 자리잡은 이벤트이다. 

 발표자  발표주제
 Tao Wan

 Past, Present, and Future of Chinese Hackers 

 Xu Hao & Chen Xlaobo 

 Find Your Own iOS Kernel Bug

 Sergey

 SCADA Strangelove or: How I Learned to Start Worrying and Love Nuclear Plants 

 Chengyun Chu

 Exploit Mitigation Improvements in Windows 8 

 MJ0011

 Using a Patched Vulnerability to Bypass Windows 8 x64 Driver Signature Enforcement 

 flashsky  APT Attack Detection of Vulnhunt 
 Alexander Polyakov

 SSRF 2.0: New Attacks and Vectors 

 Andrei Costin  Ghost is in the Air Traffic Attack 
 MC & Yaniv Miron

 Fuck 0-days, We Will Pwn U with Hardware Mofos 

 Donato Ferrante & Luigi Auriemma

 Owning Multiplayer Online Games 
 Tora

 Devirtualizing FinSpy 

 RedHidden & SilverBug

 Fun of Attacking Firmwares 

▲ POC 2012 컨퍼런스 주제 발표 목록 

이번 POC 2012 컨퍼런스에서 내가 가장 인상깊게 들었던 발표는 MC & Yaniv Miron이 발표한 하드웨어 해킹에 관한 내용이었다. 이 발표에서는 하드웨어 해킹 입문자를 위하여, 필요한 준비물과 대상 하드웨어 별로 단계적으로 자세히 설명해주었다.

과거의 하드웨어 키로거(Keylogger)는 키보드 안에 칩을 내장하여 사용자의 입력을 메모리에 저장시키는 방식이었다. 현재는 키보드에서 더 나아가 모니터를 대상으로 하는 하드웨어 키로거가 등장하였다. 이는 디스플레이 연결 케이블인 VGA, DVI 혹은 HDMI 내에 칩을 삽입한다. 키로거가 내장된 케이블로 모니터를 사용함으로써 주기적으로 사용자 화면의 스냅샷을 키로거의 메모리에 저장한다. 이러한 하드웨어 키로깅 기술을 사용하면, 국가기관이나 기업 내에서 케이블 하나를 아무도 모르게 바꾸어 설치하는 것으로 정보를 유출할 수 있을 것이다.

RFID(Radio-Frequency Identification)는 교통카드, 신용카드 및 신원증 등에 사용되는 기술을 말한다. RFID 카드는 무선으로 데이터를 송/수신 하기 때문에, 제 3자가 데이터를 가로챌 수 있는 취약점을 가지고 있어 문제시되었다. 이번 발표에서는 RFID 카드에 물리적인 접근을 하지 않고, 대상 RFID 카드를 복제하는 것까지 시연하였다. 만약 이를 악용하여 다른 사람의 교통카드 데이터를 복제해 사용한다면 사회에 큰 혼란이 일어나지 않을까? 높은 권한을 가진 사람의 신분증을 복제하여, 접근 권한이 없는 장소에 접근할 수도 있을 것이다.


<미니 인터뷰>

컨퍼런스에는 국내 보안 업계에 종사하는 보안전문가가 많이 보였다. 이런 분들 틈에서 열심히 발표를 듣는 고등학생, 대학생이 눈에 띄었다. 그 중 해킹보안 커뮤니티인 해커스쿨 소속 권혁 씨와, 포스텍 보안 동아리 플러스(PLUS)의 최태훈 씨를 인터뷰했다.

해커스쿨 소속 권혁(pwn3r)
 

- POC 2012에 어떻게 참석하게 되었나요?

권혁: 해커스쿨 소속으로 보안을 공부중인 학생입니다. 작년부터 매년 POC에서 준비한 이벤트를 관리하는 스태프로 참석하게 되었어요. 여성대상 해킹대회인 <Power of XX>와 초중학생 대상 해킹대회인 <CD CTF>의 문제를 출제하였어요. POC 컨퍼런스에는 매년 참가합니다.

최태훈: 해킹/보안 분야을 공부한 지 얼마 되지 않은, 보안에 관심이 많은 학생이에요. 닉네임은 taso이며, 대학 보안연구 동아리인 PLUS에 소속되어 열심히 공부하고 있어요. 동아리 선배의 추천으로 컨퍼런스에 참석하게 되었어요. 컨퍼런스 경험이 별로 없던 저에게는 꼭 참여해보고 싶은 행사였거든요. 재미있을 거라 생각했고 실제로 재미있어요!

PLUS 동아리 소속 최태훈(taso)

- POC 2012에서 인상깊게 들은 발표는 무엇인가요?

권혁: SilverBug님과 RedHidden님이 발표한 "Fun of attacking firmwares"입니다. 펌웨어 해킹이 이루어진 사례와 펌웨어을 해킹을 진행하는 과정을 소개하고, 실제 시연으로 공유기 펌웨어를 해킹하는 것을 보여주었어요. 최근 펌웨어 해킹을 공부하면서 원하는 자료를 찾기가 힘들었는데, 자세하게 설명해주어서 도움도 많이 되었고 인상깊게 들었습니다.

최태훈: Donato Ferrante 와 Luigi Auriemma가 발표한 멀티플레이어 온라인 게임 해킹에 관한 발표를 인상깊게 들었어요. 저와 같은 학생 또래라면 관심을 가질 만한 주제이니까요. 발표는 멀티플레이어 게임을 해킹하는 방법을 전체적으로 알려주고, 직접 시연하는 방식이었어요. 제가 자주 사용하는 디버거와 같은 것을 사용하는 것을 보고, 저도 할 수 있겠다는 희망을 가지게 되었어요.

- POC 2012에 참석하면서 좋았던 점은 무엇인가요?

권혁: POC 컨퍼런스는 타 국내 컨퍼런스와 달리 발표자의 국적이 매우 다양한 것 같아요. 국내뿐 아니라 세계 각국 해커들의 연구 내용을 들어볼 수 있다는 게 좋았습니다.  그리고 컨퍼런스와 별도로 이벤트를 마련함으로써 참가자들이 컨퍼런스 발표 참관 후 쉬는 시간마다 다양한 이벤트를 즐기며 보낼 수 있다는 점도 좋았어요.

최태훈: 가장 좋았던 점은 컨퍼런스 뒷풀이인 Drinking Hell인 것 같아요. 평소에 인터넷에서나 많이 들어보았던 유명 해커들을 직접 만나보고 대화를 나누며 친해질 수 있었어요. 이러한 기회는 흔치 않을 거라 생각해요. Ahn


 대학생기자 박병진 / 포스텍 컴퓨터공학과


 Must be the change that you want to see in the world.