중고생 정보보호대회 수상자가 꿈꾸는 미래

현장속으로/주니어안랩 2013. 2. 26. 07:00

작년 10월 19일' 2012 중고생 정보보호 올림피아드' 본선이 국회의원회관에서 진행되었다. 본선에는 9월 22일 진행된 예선전을 거친 20명의 학생이 참가하였다.

서울호서전문학교 사이버해킹보안과에서 주관하고 안랩(AhnLab), 행정안전부, 한국정보보호학회, 고려대학교 정보보호대학원 등 여덟 곳에서 후원하는 중고생 정보보호 올림피아드는 이번 해로 7회째 개최된 공신력 있는 대회이다.

각종 해킹사건들로 인해 일상생활뿐 아니라 안보에서도 크고 작은 문제들이 발생하는 상황에서 국가의 보안을 짊어지고 갈 미래의 보안 꿈나무들을 발굴하고자 하는 대회의 취지에 공감하며 안랩에서도 꾸준히 중고생 정보보호 올림피아드를 후원한다. 20명의 보안 꿈나무들이 국회에서 열띤 경쟁을 펼친 결과 1등부터 10등까지 최종 순위가 확정되었다. 

이번 대회에서 금상(안랩대표이사상)을 수상한 강명석 학생(한세사이버보안고 3학년)을 만나 당시의 생생한 이야기를 들어보았다.



△ 금상(안랩대표이사장상)을 수상한 강명석군. 오른쪽에서 둘째.

 

어떤 계기로 중고생 정보보호 올림피아드에 나가게 되었나요?

고등학교 1학년 때 처음으로 대회라는 걸 나가게 되었어요. 학교에서 알려줘서 그런 대회가 있다는 걸 처음 알았어요. 그 땐 단 한 문제도 제대로 못 풀었어요. 도움을 좀 받아서 한 문제를 풀고 2번 문제는 1번 문제보다 쉬워서 풀었던 정도였어요. 그래서 그 때부터 그런 비슷한 문제를 풀어볼 수 있게 구현해놓은 사이트에서 많이 연습해봤죠.

어느 날부터는 그런 문제들이 심심해졌어요. 그래서 2012년이 되고나서 순천향대 정보보호페스티벌에 나갔죠. 운 좋게 10등으로 본선에 진출했지만, 본선 가서 한 문제도 못 풀지 못했어요. 10등가서 10등으로 돌아온 거죠. 후회 하지는 않았지만, 집 와서 금방 두 문제를 풀었기 때문에 섭섭하고 아쉬운 마음이 들었어요. 다음에는 더 나은 실력으로 본선에 진출하고 싶다는 생각으로 여러 문제들을 풀어봤죠. 그리고 정보보호 올림피아드 예선에 나가게 된 거예요.

 

- 대회는 어떻게 진행됐나요?

대회는 9시부터 시작이었어요. 국회의사당에서 했던지라, 가방도 이곳저곳 철저히 검사하더군요. 마냥 신기했는데, 막상 들어가서 보니 대회가 시작되지 않았어요. 왜냐면 국회의사당의 보안이 철저해 외부의 컴퓨터를 사용 못한다는 걸 다들 몰랐나 봐요. 그래서 국회의 보안 관련된 사람들이 와서 장내를 정리하느라 대회 시작을 한 10시쯤에 했던 것 같아요. 그러니까 보통 2시에 끝난다고 했었는데 3시에 끝나게 된 거죠.

저는 운이 좋았어요. 그 때 4문제 푼 사람이 유일하게 한 명이라 1등을 했고, 세 문제를 빠르게 푼 사람부터 2등, 한 7등까지 순위가 매겨졌거든요. 문제는 총 10문제였어요. 한 문제는 무선 네트워크에 관련된 문제였다는데, 문제에 결점이 있어 출제가 안됐다고 해요. 그래서 한 문제는 모두 다 푼 셈이 됐어요. 새로 수정돼 나온 문제가 짐작으로 풀 수 있는 객관식 문제 느낌이었거든요.

저를 수상자로 이끈 문제는 그 문제를 제외한 두 문제였어요. 두 문제를 푼 간격이 15분 정도밖에 안됐어요. 열두시에 힌트가 나왔던 문제를 시작으로 두 문제를 15분 동안 풀어버린 거라서 한시에 보니까 그 때부터 3등이더라고요. ‘빨리 좀 끝났으면 좋겠다.’며 애가 타는데 대회가 늦게 시작해 세시로 마치는 시간이 미뤄지니까 더 조급했죠. 두시가 지나니 저와 동일한 문제 수를 맞춘 학생들이 한 3명 정도 나왔어요. 한 명만 추월하면 4등이라 금상이기 때문에 딱 한 명만 추월했으면 좋겠다고 생각했는데, 끝내 아무도 추월 안 하더라고요. 그래서 3등의 영예를 안게 됐죠.(웃음)

그렇지만 이 대회만으로 제가 실력이 굉장히 뛰어나다고는 생각하지 않아요. 저보다 훨씬 잘하는 학생들이 많거든요. 확실히 저희들끼리는 저희들의 실력을 알아요. 왜냐면 보통 대회 입상한 애들은 다 동일 인물이에요. 잘하는 애들이 계속 잘하는 거죠. 저도 이번 대회를 디딤돌 삼아 여러 대회들에서 수상해 실력을 인정받고 싶어요.

 

- 컴퓨터 분야는 언제부터 배우게 됐나요?

초등학교 6학년 때 관심이 생겼던 건 게임이었어요. 보통 애들은 나쁜 것부터 시작한다고, 게임 버그나 핵 같은 것들이 너무 신기했어요. 다른 사람들이 모르는 게임까지 찾아가면서, 많은 게임에 도전해봤어요. 핵 카페 같은 것도 운영하면서, 아는 사람과 회원 만 명 이상도 모아봤죠. 이때까진 그저 재밌다 정도였고, 체계적으로는 못해보다가 고등학교 와서 조금씩 컴퓨터에 대해 알게 된 거죠.

그러다 어느 날 고등학교 친구가 ‘한번 학원을 다녀보자’고 해서, 다니게 된 학원에서 홈페이지를 만드는 언어를 배우게 됐어요. 한번은 담당 강사 형이 ‘우리 오늘 해킹대회 한번 해볼래?’해서 해보겠다고 그랬어요. 형은 ‘너 36시간동안 여기 있어야 된다.’고 겁줬는데 정말로 36시간동안 라면만 먹으면서 깨어있었어요. 나중에는 애들이 저보고 죽을 것 같지 않느냐고 좀 자라고 그러더라고요.

대회 준비를 미리 했던 건 아닌데, 마침 학원 갔을 때가 대회 당일이었어요. 노트북은 항상 가지고 다니니까, 그 때 바로 참가한다고 한 거죠. 그래서 처음으로 팀으로 된 대회를 나가게 된 거예요. 그 때 학원을 운영하시는 해킹보안협회 이사님 덕분에 알게 된 대여섯 명이서 밤을 새면서 일곱 문제를 풀었어요. 그리고 75등을 했죠. 그 대회가 우리나라에서 제일 큰 대회인지라 외국에서도 많이 출전하기 때문에 75등이라는 성적은 제게 정말 대단한 기억으로 남았어요. 그 때부터 본격적으로 정보보안 분야에 발을 담그기 시작했던 것 같아요.

 

- 올림피아드는 어떻게 준비해야 하는지 알려줄 수 있어요?

일단 프로그래밍을 잘해야 하는 것 같아요. 문제를 풀려고 어떤 웹사이트에서 일부터 만까지 대입해야 하는데 사람 손으로 일일이 하면 시간도 많이 걸릴뿐더러 힘들잖아요. 일부터 만까지 대입해주는 프로그램을 만들면 더 쉽겠죠? 이런 편리한 프로그램을 만드는 걸 프로그래밍이라고 해요. 대회에서는 다른 사람이 만들어 놓은 프로그램을 쓰는 문제도 있지만, 기존에 없는 만들어 써야할 때도 있어요. 그렇게 되면 직접 입맛에 맞게 하는 방법밖에 없겠죠. 보통 가장 많이 쓰는 언어는 C언어나 Java가 있어요. 프로그래밍 언어를 하나만 할 줄 알아도 원하는 프로그램은 만들 수 있어요. 저는 그나마 C언어를 잘하는 편이에요.

 

- 졸업하면 구체적으로 어떤 걸 공부하고 싶나요?

일단은 프로그래밍을 좀 더 열심히 하고 싶고요. 영어를 좀 더 완벽하게 하고 싶어요. 왜냐면 실력이 일정 정도 이상으로 올라가면 우리나라에서 배우고 교류하는 데에는 한계가 있기 때문이에요. 외국에서만 찾아 볼 수 있는 것들까지 배우기 위해서 영어를 4년 동안 열심히 배워볼 생각이에요.

저는 나중에 정보보안 전문가가 되고 싶어요. 궁극적으로는 하고 싶은 일을 하면서 살고 싶기 때문에 정보보안을 할 수 있는 IT계열 회사 쪽도 희망하고 있는 곳 중 하나죠. 어렸을 땐 해커가 멋있었어요. 크면서는 해커의 반대쪽에 서있는 정보보안전문가를 알게 되었어요. 해킹할 줄 아는 사람이 보안도 할 수 있는데요, 보안을 하는 사람이 해킹하는 사람을 덮어 싸서 다른 이들을 보호한다는 점이 매력 있었어요.

 

- 지금 정보보안을 막 시작하는 친구들에게 해주고 싶은 말?

정보보안을 진짜 하고 싶어서 하는 친구들이었으면 좋겠어요. 프리랜서로 일하시는 40대 해커 분이 계시는데, 자신의 실력이 너무나 얕다는 걸 알고 다시 공부하시는 분이었어요. 그 분은 40대가 돼서 다시 공부한다는 건 창피하지가 않대요. 다만 그 분이 말씀하시기를 조금이라도 실력이 있고 신념이 있다는 정보보안전문가는 15%밖에 안 된대요. 85%가 그저 남들에게 보이기 위한, 돈만을 위한 사람들인 거예요. 정보보안 분야뿐 아니라 뭐든지 좀 더 열정적으로 하고 싶은 사람들이 했으면 좋겠어요. Ahn

 

대학생기자 김가윤 / 이화여대 정치외교학과

 

정의로우면서도 가슴에는 늘 인간적인 사랑을 품은 기자가 되겠습니다.


댓글을 달아 주세요

해커의, 해커에 의한, 해커를 위한 컨퍼런스 POC

현장속으로/세미나 2012. 11. 19. 07:00

지난 11월 8~9일 서울 양재동 교육문화회관에서 보안 전문가 커뮤니티가 주최하는 보안 컨퍼런스로는 국내 최대 규모인 'POC(Power Of Community) 2012'가 개최되었다.

 

안랩에서 후원하는 행사이기도 한 POC는 우리나라 보안 전문가들이 주축이 되어 진행한다. 2006년을 시작으로 7회를 맞이하였다. POC는 상업적인 이익을 철저하게 거부하며, 국내 보안 발전을 위해 개최되는 순수 비영리 컨퍼런스이다. 국내외 유명 해커 및 보안전문가가 최신 해킹 동향 소개와 취약점 및 대응법 등에 대하여 여러 흥미로운 주제를 가지고 발표를 하였다. 

발표가 진행되는 동안, 이벤트 홀에서는 POC에서 준비한 여러 이벤트가 진행되었다. 그 중 숙명여자대학교 보안동아리 SISS와 해킹보안 커뮤니티 해커스쿨이 주관한 여성해킹대회 'Power of XX'는 전세계적으로 유일한 여성 해킹대회라는 점에서 주목된다. 작년에 이어 2회를 맞았는데 갈수록 기대를 모을 것으로 보인다.

또한 Rainbow7이 주최한 CTP(Capture the Packet; 네트워크 패킷 속에서 문제의 답을 빠른 시간 내에 찾아 최대한 많은 점수를 획득하는 게임) 형식의 대회인 'Hack the Packet'도 많은 관심을 모았다. http://hackthepacket.com/ 2010년에 시작되어 잘 자리잡은 이벤트이다. 

 발표자  발표주제
 Tao Wan

 Past, Present, and Future of Chinese Hackers 

 Xu Hao & Chen Xlaobo 

 Find Your Own iOS Kernel Bug

 Sergey

 SCADA Strangelove or: How I Learned to Start Worrying and Love Nuclear Plants 

 Chengyun Chu

 Exploit Mitigation Improvements in Windows 8 

 MJ0011

 Using a Patched Vulnerability to Bypass Windows 8 x64 Driver Signature Enforcement 

 flashsky  APT Attack Detection of Vulnhunt 
 Alexander Polyakov

 SSRF 2.0: New Attacks and Vectors 

 Andrei Costin  Ghost is in the Air Traffic Attack 
 MC & Yaniv Miron

 Fuck 0-days, We Will Pwn U with Hardware Mofos 

 Donato Ferrante & Luigi Auriemma

 Owning Multiplayer Online Games 
 Tora

 Devirtualizing FinSpy 

 RedHidden & SilverBug

 Fun of Attacking Firmwares 

▲ POC 2012 컨퍼런스 주제 발표 목록 

이번 POC 2012 컨퍼런스에서 내가 가장 인상깊게 들었던 발표는 MC & Yaniv Miron이 발표한 하드웨어 해킹에 관한 내용이었다. 이 발표에서는 하드웨어 해킹 입문자를 위하여, 필요한 준비물과 대상 하드웨어 별로 단계적으로 자세히 설명해주었다.

과거의 하드웨어 키로거(Keylogger)는 키보드 안에 칩을 내장하여 사용자의 입력을 메모리에 저장시키는 방식이었다. 현재는 키보드에서 더 나아가 모니터를 대상으로 하는 하드웨어 키로거가 등장하였다. 이는 디스플레이 연결 케이블인 VGA, DVI 혹은 HDMI 내에 칩을 삽입한다. 키로거가 내장된 케이블로 모니터를 사용함으로써 주기적으로 사용자 화면의 스냅샷을 키로거의 메모리에 저장한다. 이러한 하드웨어 키로깅 기술을 사용하면, 국가기관이나 기업 내에서 케이블 하나를 아무도 모르게 바꾸어 설치하는 것으로 정보를 유출할 수 있을 것이다.

RFID(Radio-Frequency Identification)는 교통카드, 신용카드 및 신원증 등에 사용되는 기술을 말한다. RFID 카드는 무선으로 데이터를 송/수신 하기 때문에, 제 3자가 데이터를 가로챌 수 있는 취약점을 가지고 있어 문제시되었다. 이번 발표에서는 RFID 카드에 물리적인 접근을 하지 않고, 대상 RFID 카드를 복제하는 것까지 시연하였다. 만약 이를 악용하여 다른 사람의 교통카드 데이터를 복제해 사용한다면 사회에 큰 혼란이 일어나지 않을까? 높은 권한을 가진 사람의 신분증을 복제하여, 접근 권한이 없는 장소에 접근할 수도 있을 것이다.


<미니 인터뷰>

컨퍼런스에는 국내 보안 업계에 종사하는 보안전문가가 많이 보였다. 이런 분들 틈에서 열심히 발표를 듣는 고등학생, 대학생이 눈에 띄었다. 그 중 해킹보안 커뮤니티인 해커스쿨 소속 권혁 씨와, 포스텍 보안 동아리 플러스(PLUS)의 최태훈 씨를 인터뷰했다.

해커스쿨 소속 권혁(pwn3r)
 

- POC 2012에 어떻게 참석하게 되었나요?

권혁: 해커스쿨 소속으로 보안을 공부중인 학생입니다. 작년부터 매년 POC에서 준비한 이벤트를 관리하는 스태프로 참석하게 되었어요. 여성대상 해킹대회인 <Power of XX>와 초중학생 대상 해킹대회인 <CD CTF>의 문제를 출제하였어요. POC 컨퍼런스에는 매년 참가합니다.

최태훈: 해킹/보안 분야을 공부한 지 얼마 되지 않은, 보안에 관심이 많은 학생이에요. 닉네임은 taso이며, 대학 보안연구 동아리인 PLUS에 소속되어 열심히 공부하고 있어요. 동아리 선배의 추천으로 컨퍼런스에 참석하게 되었어요. 컨퍼런스 경험이 별로 없던 저에게는 꼭 참여해보고 싶은 행사였거든요. 재미있을 거라 생각했고 실제로 재미있어요!

PLUS 동아리 소속 최태훈(taso)

- POC 2012에서 인상깊게 들은 발표는 무엇인가요?

권혁: SilverBug님과 RedHidden님이 발표한 "Fun of attacking firmwares"입니다. 펌웨어 해킹이 이루어진 사례와 펌웨어을 해킹을 진행하는 과정을 소개하고, 실제 시연으로 공유기 펌웨어를 해킹하는 것을 보여주었어요. 최근 펌웨어 해킹을 공부하면서 원하는 자료를 찾기가 힘들었는데, 자세하게 설명해주어서 도움도 많이 되었고 인상깊게 들었습니다.

최태훈: Donato Ferrante 와 Luigi Auriemma가 발표한 멀티플레이어 온라인 게임 해킹에 관한 발표를 인상깊게 들었어요. 저와 같은 학생 또래라면 관심을 가질 만한 주제이니까요. 발표는 멀티플레이어 게임을 해킹하는 방법을 전체적으로 알려주고, 직접 시연하는 방식이었어요. 제가 자주 사용하는 디버거와 같은 것을 사용하는 것을 보고, 저도 할 수 있겠다는 희망을 가지게 되었어요.

- POC 2012에 참석하면서 좋았던 점은 무엇인가요?

권혁: POC 컨퍼런스는 타 국내 컨퍼런스와 달리 발표자의 국적이 매우 다양한 것 같아요. 국내뿐 아니라 세계 각국 해커들의 연구 내용을 들어볼 수 있다는 게 좋았습니다.  그리고 컨퍼런스와 별도로 이벤트를 마련함으로써 참가자들이 컨퍼런스 발표 참관 후 쉬는 시간마다 다양한 이벤트를 즐기며 보낼 수 있다는 점도 좋았어요.

최태훈: 가장 좋았던 점은 컨퍼런스 뒷풀이인 Drinking Hell인 것 같아요. 평소에 인터넷에서나 많이 들어보았던 유명 해커들을 직접 만나보고 대화를 나누며 친해질 수 있었어요. 이러한 기회는 흔치 않을 거라 생각해요. Ahn


 대학생기자 박병진 / 포스텍 컴퓨터공학과


 Must be the change that you want to see in the world.



댓글을 달아 주세요

  1. Jack2 2012.11.19 11:46  Address |  Modify / Delete |  Reply

    작년에 갔었는데 올해는 참석을 못해서 아쉬웠는데 사보를 통해서 POC 2012 에서 흥미로운 주제들에 대해서 들을 수 있어서 좋았습니다 ㅎㅎ 앞으로도 좋은 기사 기대할께요~^_^

  2. 튜디니 2012.11.20 14:31  Address |  Modify / Delete |  Reply

    잘 읽어보았습니다. 컨퍼런스의 현장감이 느껴지네요^^

직장인 자기개발 필수 아이템, 보안 자격증 네가지

보안라이프/IT트렌드 2012. 11. 1. 07:00

소위 '스펙'으로 사람을 평가하는 세상이 된 지금자격증 열풍이 불고 있다. 취업을 준비하는 사람 외에 직장인에게도 자격증은 필수 아이템으로 자리잡아가고 있다특히 컴퓨터 보안 분야는 네트워크하드웨어소프트웨어데이터베이스 등 컴퓨터 전반에 대한 전문 지식이 필요하다정보보안 분야 대표 기업인 안랩(옛 안철수연구소)의 보안전문가가 추천하는 다양한 IT 자격증을 소개한다 

1. CISSP(국제공인정보시스템보안전문가:Certified Information System Security Professional)

 

CISSP는 조직의 전체의 보안을 책임질 수 있는 능력을 가진 보안 전문가로서 IT에 대한 전반적이고 넓은 지식을 가지고 있는 사람이다이 자격증은 ISC2(International Information Systems Security Certification Consortium)에서 시행하고 자격 관리하고 있다우리나라에서는 2000년에 처음으로 도입되었다갈수록 지능화악성화국제화하는 사이버 범죄 억제와 IT 및 정보 보호의 전문성을 갖춘 사회적국가적 공인으로서의 역할을 한다.

CISSP는 ISC2의 윤리규정을 중요시하는 특징이 있다.

ISC2 윤리규정 기준

사회와 국가기반시설의 보호

명예롭고정당하고공정하고책임감 있고합법적으로 행동

인증된 존재에 대한 근면하고 합법적인 서비스 제공

전문성에 대한 보호 및 진전

자격요건은

① (ISC)2 윤리강령의 준수를 확인한다.

② (ISC)2 CISSP CBK의 2개 이상의 도메인에서 5년 이상의 경력이 필요하다해당 학사 학위자 또는 (ISC)2 인가 자격증을 보유한 경우 4년 이상의 경력과 CISSP CBK 의 10개 도메인에서 1개 이상의 경험이 필요하다.

<출처: CISSP | 두산백과>

2. CEH(국제 공인 윤리적 해커 자격증:Certified Ethical Hacker)

 

<출처:http://www.ecckorea.org/>

CEH는 좋은 의미의 윤리적 해커이다. CEH는 불법적인 방법으로 개인 또는 기업의 중요한 정보 자산에 피해를 주는 침입자들에게 대응하기 위해 그들과 똑같은 해킹테크닉을 습득하여 대응방안을 모색하는 차세대 보안전문가를 일컫는 말이다

도덕과 윤리를 바탕으로 기존에 잘 알려진 해킹기술을 습득하여 자신이 속한 조직과 단체의 시스템과 네트워크를 직접 테스트하고취약점이 발견되면 이에 대응방안을 수립할 수 있는 실무능력을 보유한 보안전문가를 양성하고 인증해 준다다른 자격증과 차별화 되는 가장 큰 특징은 방어가 아닌 공격업무로써 모의 해킹 및 취약점분석 업무를 수행할 수 있는지 없는지를 구별 및 증명해줄 수 있다는 점이다.

시험에 응시 할 수 있는 자격요건은 보안실무경력 최소 2년 이상이다.

3. CHFI(디지털포렌식:Computer Forensic Investigator)

 

<출처:http://www.ecckorea.org/>

디지털포렌식은 아직 국내에서는 생소하지만 선진 국가에서는 폭넓게 이용되는 기술이다시스템에 침입한 흔적을 찾아내고 범죄를 증명하기 위해 필요한 증거를 확보하기 위해 쓰이는 첨단분석기법의 응용이다이렇게 포렌식으로 찾아낸 증거들은 기업의 정보기밀유출지적 재산 침해사기행령 등을 포함하는 광범위한 범죄에 대하여 알리바이를 증명하기 위해 사용된다오늘날 사이버 범죄가 점점 증가하고 있는 시대에 매우 중요한 역할을 할 수 있다.

시험 응시 자격요건은 보안실무경력 2년 이상 또는 포렌식 실무 1년 이상을 권장한다.

4. OCJP/SCJP(자파 프로그래머 자격증:Sun Certified Java Programmer)

 

<출처:http://blog.naver.com/hoyeon0721>

썬이 오라클로 합병되면서 SCJP 자격증이 OCJP(Oracle Certified Java Programmer)로 변경되었다시험 주관 역시 Prometric 에서 pearson로 변경되었다그러나 시험 내용이나 시험 조건자체는 변동사항이 없다.

OCJP/SCJP 자격증은 자바 언어의 기본적인 syntax와 구조를 사용해 본 경험이 있는 프로그래머에게 적합한 시험이다자바 프로그래밍 언어에 대한 관련된 지식을 표준화된 방식으로 검증해 주고 있는 시험이며 자바 기반의 모든 툴 개발에 필요한 기초지식들을 인정받을 수 있다. OCJP 5.0 버전 시험은 이전 버전 시험들보다 Hashcode, Equals, Collections 등의 내용이보다 중점적으로 강화되어 실제 현업에서 필요한 기술들을 묻는 질문들이 추가되어 새로운 자바 프로그래밍 자격증 검증에 그 초점이 맞추어졌다.

앞의 자격증과 달리 시험의 자격요건은 없다. Ahn


대학생기자 김다은 / 한국외대 태국어과/방송영상학

대학생기자 허우진 / 수원대 컴퓨터학과


댓글을 달아 주세요

  1. 스마일맨 2012.11.01 15:37  Address |  Modify / Delete |  Reply

    예전에 공부하려고 했다가...
    역시나 손을 놓고 아직도 손놓고 있네요. ^^;

    • 보안세상 2012.11.02 07:56 신고  Address |  Modify / Delete

      스마일맨님 안녕하세요 ^^
      다시 마음을 먹고 펜을 들어보는 것은 어떨까요? 남은 2012년 두 달이 유익한 시간이 되길 바라겠습니다. 추운 날씨에 건강 유의하세요 ^^

  2. test 2012.11.01 17:57  Address |  Modify / Delete |  Reply

    4. OCJP/SCJP(자파 프로그래머 자격증:Sun Certified Java Programmer)

    자파 ㄴㄴ 자바~

유령, 대본 감수한 전문가들이 모여 나눈 뒷담화

얼마 전 종영된 드라마 ‘유령’은 많은 화제를 낳았다. 드라마 ‘유령’은 그 동안 드라마에서 전혀 다뤄 본 적 없는 ‘사이버 테러’라는 주제를 통해, 시청자들에게 신선한 충격과 새로운 재미를 선사하였다. 사실 그 동안 ‘사이버 테러’ 공격의 대상은 누구나가 될 수 있지만, 아직까지 이는 대중에게 낯선 주제였다.

유령은 대중에게 ‘사이버 테러’라는 주제를 친숙하게 해 줌과 동시에 ‘사이버 테러’에 대한 경각심 또한 일깨워 주는 소중한 계기가 되었다. 그런데 리가 재미있게 본 드라마 뒤에도 과학적인 지식을 전달하기 위한 많은 이의 노력이 있었다. 생소할 수 있는 주제를 쉽게 전달할 수 있었던 중요한 배후(?)에는 안랩(구 안철수연구소)의 자문단이 있었다. 

그 중 안랩 시큐리티대응센터(ASEC) 이상철 책임연구원과 차민석 책임연구원을 만나 자문 과정과 비하인드 스토리를 들어보았다. 그들은 이 드라마가 국민의 보안의식을 고취하는 데 도움이 되었으면 좋겠다고 말했다.

Q : 드라마에 ‘악성코드’라는 단어가 자주 언급되던데, 우리가 아는 ‘바이러스’와 ‘악성코드’는 어떠한 차이점이 있습니까? 

이 : 쉽게 이야기하면 ‘악성코드’가 ‘바이러스’에 비해 더 넓은 범주라고 이해하시면 될 것 같습니다. 우리가 과거에는 흔히 ‘바이러스’라고 많이 이야기했는데, 최근에는 ‘바이러스’라는 단어대신에 ‘악성코드’라는 단어를 주로 쓰고 있습니다.  

Q : 그렇다면 우리가 사용하는 백신 프로그램은 모든 악성코드를 감별해낼 수 있나요?  

이 : 그건 사실상 어렵습니다. 물론 백신 프로그램이 모든 악성코드를 예방할 수 있다면 좋겠지만, 사실상 백신 프로그램은 사후 치료 기능이 강합니다. 우리가 백신 프로그램을 만들 때에도 최근에 나온 악성코드를 분석해 그에 맞는 해결책을 백신 프로그램에 업데이트해 2차 피해를 막을 수 있도록 노력하는 것이지, 백신 프로그램만으로 모든 악성코드로부터 안전할 수 는 없습니다. 또 악성코드는 하루에도 셀 수 없이 많이 생성되고 있습니다. 그러한 악성코드를 기존에 있는 백신 프로그램만으로 해결할 수는 없습니다. 때문에 저희 안랩에서는, 악성코드가 발견될 때마다 그에 맞는 해결책을 백신 프로그램에 업데이트해 2차 피해를 최소화하기 위해 많은 노력을 하고 있습니다.  

Q: 자문을 하면서 조금 당황스러웠거나, 어려웠던 부분은 무엇입니까?  

이 : 기본적으로 작가들과 저희는 전혀 다른 분야에 종사하는 사람들입니다. ‘악성코드’와 전혀 다른 분야에 종사하고 있는 분을 이해시키는 것은 결코 쉬운 일이 아니었습니다. 저희야 ‘악성코드’에 관한 여러 기초지식과 실무경험이 있지만, 그 분들은 ‘악성코들’를 주로 뉴스나 신문을 통해 접하셨기 때문에 저희에 비해 현실감이 떨어지는 것 역시 사실이었습니다.  

차 : 드라마의 시나리오의 허구성과 실제 현실과의 괴리감을 줄이는 데 조금 어려움을 겪었습니다. 하지만 드라마 작가들의 상상력이 뛰어나 저희는 항상 배운 대로 ‘악성코드’에 접근해 가지만, 작가들의 생각지도 못한 접근 방법은 저에게 ‘아, 이렇게도 접근할 수가 있구나!’하는 신선한 충격을 주었습니다.  

Q : 유령에서 사용된 해킹 방식은 주로 아이피를 외국으로 우회하는 방식인데, 실제도로 이런 방식이 가능합니까?  

이 : 물론 얼마든지 가능합니다. 하지만 우리나라에서 벌어지는 스팸전화나 이메일 자체가 외국에서 전달되는 경우가 많습니다. IP에도 엄연한 국경이 있습니다. 우리가 아무리 IP를 추적한다고 할지라도 외국 조사당국에서 협조해 주지 않는 다면 범인을 잡는 것은 드라마에서처럼 쉽지는 않습니다. 드라마에서는 사이버수사대가 외국IP를 침투경로를 그대로 따라가 범인의 위치를 파악하지만 현실에서는 해커들의 IP를 추적하다 외국의 IP로 밝혀지면 그 이상의 수사는 외국 조사당국의 협조가 아니면 불가능합니다.  

 

차민석 책임연구원(좌)과 이상철 책임연구원(우)

Q : 드라마를 보니까, 어느 고등학생이 압수된 다른 학생의 스마트폰을 사용해서 이메일을 발송하는 장면이 있더라고요. 인터넷 로그 기록과 SNS 사용 내역을 통해 어떤 가해학생이 어떤 기기에서 언제 누가 글을 올린 건지 밝혀내던데, 실제로 가능한 일입니까?  

이 : 당연히 가능합니다. 우리가 포털사이트나 검색엔진에서 무엇을 검색했는지는 우리가 사용하고 있는 컴퓨터에 고스란히 저장됩니다. 또한 SNS를 사용할 경우 우리가 어느 장소에서 어떤 기기를 통해 올렸는지 까지 확인이 가능합니다. 포털사이트에 만일 로그인을 하고 검색을 했다면 당연히, 그 검색기록역시 자신의 아이디 몫으로 저장됩니다. 실제로 이러한 검색내역은 범죄수사에 상당부분 도움이 되는 것으로 알려져 있습니다.  

Q : 유령에서 ‘스턱스넷’을 통해 대한전력을 해킹했는데, 실제로 개인 혹은 조직이 국가산업시설을 해킹하는 것이 가능합니까?  

차 : 가능은 하지만 사실상 불가능에 가깝습니다. 저도 작가가 처음에 ‘스턱스넷’을 아이템으로 가져오셨을 때 조금은 당황했습니다. 현실에서는 불가능한 일이기 때문입니다. 그 이유를 차근차근 설명해 드리면 우선 ‘스턱스넷’은 여러 분야를 걸쳐서 만들어집니다. 그런데 중요한 것은 대한전력을 통제하는 ‘스카다 시스템’은 윈도우 기반 시설이 아닙니다. 때문에 스턱스넷이 ‘스카다 시스템’ 속에서 작동해 ‘대한전력’을 마비 혹은 해킹한다는 것, 그것도 몇 명으로만 구성된 해킹조직으로는 사실상 불가능에 가깝습니다.  

Q : 드라마뿐 아니라 현실에서도 해커가 해킹을 통해 얻고자 하는 것은 개인정보인 것 같습니다. 왜 개인정보의 유출이 이토록 위험한 것인가요? 

이 : 사실 우리 개개인은 유명인사가 아니기 때문에 어느 한 개인을 노리고 해킹을 하는 경우는 드뭅니다. 때문에 주로 개인정보가 유출되는 경로 역시 대형 포털사이트 혹은 통신사 서버와 같은 많은 회원이 가입되어있는 서버의 해킹을 통해 유출됩니다. 이렇게 유출된 개인정보들은 새로운 범죄에 이용될 수 있도록 가공될 수 있습니다. 가령 어느 포털사이트의 해킹을 통해 수 만명의 개인정보, 예를 들어 이름, 주민등록번호, 핸드폰 번호, 주소 이 네 가지만으로도 다른 사이트에 회원가입이 가능하고 또한 각종 스팸 메일, 전화, 문자에 활용할 수 있습니다. 결국 사소한 정보라도 해커들 혹은 범죄자들이 어떻게 가공해서 이용하느냐에 따라 그 가치와 범죄의 무게가 달라질 수 있기 때문에 개인정보의 유출은 상당히 위험한 것입니다.  

Q : 드라마 ‘유령’을 보다보니깐 CCTV에 찍힌 범인의 얼굴을 조작하는 장면이 방영된 적이 있습니다. 실제로 가능한 일입니까?

  차 : 그럼요, 이론적으로 모든 디지털 자료들은 조작이 가능합니다. 물론 실시간 CCTV같은 경우는 아직까지 실시간 조작이 불가능합니다. 하지만 과거에 녹화되었던 자료들은 얼마든지 조작이 가능합니다. 그리고 이러한 디지털 조작역시 어떻게 이용하느냐에 따라 그 위험의 무게가 달라지게 됩니다. 아무리 사소한 정보라도 결국 이용하는 사람의 목적과 의지에 따라 충분히 조작될 수 있고, 무서운 범죄의 도구가 되기도 합니다.  

Q : 드라마에서 ‘사이버 수사대’는 마치 모든 사이버 범죄를 단번에 해결할 수 있는 전지전능한 존재로 표현되어 있습니다. 현실에서도 그럴 수 있나요? 

차 : 아니요, 실제로 새롭게 발견된 악성코드 하나를 분석하는 것만도 복잡할 경우 몇 주씩 걸리는 경우가 많습니다. 하물며 현장에서 발견된 악성코드를 그 자리에서 분석해서 대처한다는 것은 사실상 불가능합니다. 드라마의 캐릭터상 사이버 수사대가 현실을 초월한 능력을 갖고 계신다고 생각하시면 쉽습니다. 앞에서 말씀드린 것과 같이 외국에서 침투해오는 IP는 외국 수사당국의 허가가 없이는 수사가 불가능하기 때문에 아무리 사이버 수사대라고 할지라도 그 역할의 범위는 한정되어 있습니다.  

 

 

Q : 드라마 ‘유령’을 자문하면서 가장 뿌듯했던 점은 무엇입니까?

차 : 저는 개인적으로 그 동안 중요하지만 많이 다루어지지 않았던 ‘사이버 테러’라는 분야를 드라마를 통해 새롭게 국민들에게 그 위험성을 알리고 경각심을 불러일으킬 수 있는 계기가 되어서 상당히 뿌듯함을 느끼고 있습니다. 물론 이러한 관심이 단지 드라마에서만 그치지 않고 많은 분들이 개인정보보호를 더욱 확실히 관리하실 수 있게 되는 계기로까지 이어졌으면 하는 바람입니다. 

이 : 저 역시도 이전에는 다루어지지 않았던 부분에 대해 많은 국민들께서 관심을 갖게 되신 것에 대해 상당한 만족감을 느끼고 있습니다. 또 이런 중요한 일에 저희 안랩이 자문 역할을 할 수 있어서 상당히 기쁩니다. 또한 그 동안 많은 분이 ‘해킹’에 대해 막연히는 알고 있었지만 그 자세한 내용은 알지 못했는데, 드라마 ‘유령’이 ‘해킹’과 ‘사이버 테러’를 시각적으로 국민들이 이해하기 쉽게 표현한 점은 상당히 좋더라고요. Ahn



 

대학생기자 류화영 / 연세대 문헌정보학과

지식의 섬이 크면 클수록 미지의 해안선은 더 길어진다. - John Donne
아는 만큼 모르는 것이 많아지겠지만 더 모르도록 정진하겠습니다.

 


 

대학생기자 성해윤 / 한양대 정보사회학과
사람은 사람을 통해서 배우고 그 안에는 감동이 있습니다. 전국을 돌아다니면서 좋은 경치 구경도 하고 자기 분야에서 정말 성실히 보람찬 삶을 살고 계시는 분들의 이야기를 담고 싶습니다. 지친 일상에 단비와 같은 감동을 주는 다큐멘터리 PD가 되고 싶은 꿈 많은 20대 젊은이입니다.

 


사내기자 박정우 / 안랩 A-퍼스트팀

사람이지만 주로 '개구리'로 많이 알려져 있으며,
재밌고 따뜻한 보안세상을 만들기 위해 연구하고 있습니다.


댓글을 달아 주세요

  1. 펄벅 2012.09.06 20:58  Address |  Modify / Delete |  Reply

    안랩 자문단 및 유령 드라마 관계자 분들 덕분에,
    재밌게 잘 봤습니다~ ^^ (동영상 얼굴 증거 조작 부분들 보면,
    현재의 인터넷/전자/모바일 선거 논란 등들도 좀 겁나던데요.)
    .
    진실이 밝혀져서, 다행이었던 드라마였던 것 같습니다.
    .
    북 국회/군/정부/해킹, 중 보이스피싱 등도 더 비중있었다면,하는 개인적인 바램이.

  2. 인신 2012.09.16 10:56  Address |  Modify / Delete |  Reply

    ㅋㅋ 잼있었음

안랩이 주최하는 보안 콘테스트는 왜 다른가

현장속으로 2012. 9. 4. 11:28

 

      글로벌 보안 기업인 안랩(구 안철수연구소)은 지식공유와 보안전문가 양성을 목적으로 새로운 개념의 보안 콘테스트  ‘AhnLab Security WAVE’를 개최한다. 참가자는 온라인 콘테스트를 통해 자신의 보안 지식을 가늠하고, 오프라인 컨퍼런스인 ‘안랩코어 2012 (AhnLab CORE 2011, www.ahnlabcore.co.kr)’에서 좀더 심도 있게 학습할 수 있다.  ‘AhnLab Security WAVE’가 어떻게 열리고 어떤 의미가 있는지 문답으로 알아보자.


 

     1.     AhnLab Security WAVE는 어떤 보안 콘테스트인가요?


올해로 2회째를 맞이하는 AhnLab Security WAVE는 안전하고 가치 있는 기술 개발에 기여할 수 있는 보안 전문가 양성을 위한 신개념 보안 콘테스트입니다. 보안과 개발 분야 종사자들이 함께 성장할 수 있도록 안랩이 기여하겠다는 의미에서 올해 Security WAVE의 슬로건도 ‘Growing up Together’입니다. 단순히 자신의 실력을 확인하고 끝나는 것이 아니라 동료들과 함께 토론하고 공부하는 자리를 만드는 것이 본 행사의 기획의도입니다.

 

사실 지금까지 대다수의 보안 콘테스트는 일부 유명 해킹 그룹이나 개인의 전유물처럼 그들의 지식이나 기술을 과시하는 행사였습니다. Security WAVE는 그런 일반적 콘테스트와는 달리 ‘열린’ 보안 콘테스트입니다. Security WAVE의 의미는 마라톤에 비유할 수 있습니다. 마라톤에는 42.195Km의 코스를 완주하는 선수가 있습니다만, 마라톤을 좋아하는 순수한 마음과 열정으로 5Km, 10Km, 하프 마라톤(Half Course)에 도전하여 완주하는 것을 목표로 하는 사람들도 있습니다. Security WAVE는 이처럼 보안에 대한 열정을 가진 모든 사람들이 함께 참여할 수 있는 자리를 만드는 다는 점에서 그 특별함이 있습니다.


2.     AhnLab Security WAVE에서 WAVE는 어떤 의미인가요?


AhnLab Security WAVE에서 WAVE는 We Appreciate your Value and Effort 의 약자로서 보안전문가를 꿈꾸는 참가자 분들의 열정과 노력을 격려한다는 의미를 담고 있습니다.


3.     참가자격 및 참가방식에는 제한이 있나요?


참가자격은 제한 없으며 IT 보안에 관심 있는 사람 누구나 참가 가능합니다. 대회는 개인전으로 진행됩니다.

 

4.     문제출제는 어떤 방식으로 진행되나요?


바이너리(Binary), 취약점(Vulnerability), 네트워크(Network), 디지털 포렌식(Digital Forensics), 모바일(Mobile) 총 5개의 영역으로 문제가 나누어 집니다. 각 영역마다 상, 중, 하 난이도의 문제가 제시됩니다.


 

[문제유형]

Security WAVE 콘테스트 상세 규칙에는 기존의 해킹대회 문제점들을 보완하고, 진정한 실력가에게 적절한 인증을 부여하고자 많은 사항들을 고려한 결과물에 담아있습니다. 문제출제 관점에서는 실무와 다소 동떨어진 대회용 문제가 출제되지 않도록 보안분야에서 사용되는 코어 기술 5(바이너리, 취약점, 네트워크, 디지털 포렌식, 모바일)를 선택하여 문제 카테고리로 선정하였습니다. 또한, 출제되는 문제도 고객사로부터 접수되는 사례, 필드에서 경험한 내용 및 실제 보안위협이 발생할 수 있는 사례들을 적절히 고려하여 시나리오를 작성하고 기술을 적용하였습니다.

 

[난이도 및 점수 산출방식]


이번 Security WAVE에서는 영역별, 난이도별, Stage 별로 3가지 문제정책이 적용되어 총 16문제를 풀게 됩니다. 기존 해킹대회에서 가장 큰 문제가 되는 “답 공유” 와 실제 풀이보다는 답만 맞추는 결과 선정방식에 문제점을 최대한 해결하고자 Stage라는 형식을 적용하였습니다. 16문제는 Stage 1(난이도 중 또는 하)Stage 2(난이도 상)로 구분하여 입력방식과 점수산정 방식에 차별화를 두었습니다. Stage1 문제는 간단한 답을 입력하고 바로 정답여부를 확인하면서 실시간으로 문제를 풀어가고, Stage2 문제에서는 단답형과 서술형 답을 입력하여 정답여부를 확인할 수 없도록 함으로써 답 공유를 배제하고, 실제 풀이과정을 제대로 알고 있는 참가자에게 가산점을 부여하는 방식으로 진행됩니다.

 

출제 당시 이미 각 영역별 문제 난이도가 존재하지만 문제의 난이도는 실제 문제를 푼 참가자의 수가 어느 정도 대변합니다. 따라서, 일차적으로 문제출제위원들이 결정한 영역별 상//하에 따른 난이도 점수와 실제 문제를 많이 풀수록 난이도가 낮아져서 획득할 수 있는 점수도 낮아지는 점수산정방식을 도입하였습니다. 이 방식은 전문가의 일방적인 난이도 결정이 아니라 참가자들의 의견을 반영한다는 취지와 실제 문제 푼 사람의 수가 증가하면 본인의 점수가 낮아지기 때문에 답을 공유하는 것을 막을 수 있다는 이점을 가집니다.

 

5.     참가혜택에는 어떠한 것이 있나요?


일정 수준의 성적을 거둔 참가자들에게는 Qualified, Professional, Master 3가지 등급으로 구분한 안랩의 인증서를 드립니다. 인증서를 획득한 분들을 대상으로 정기적으로 보안교육을 제공할 기획이며, Professional, Master 인증서를 받은 분들에 한해서 안랩 보안전문가들과 함께 프로젝트를 진행할 기회를 드리며 멘토링 프로그램과 세미나 참가 또한 지원해드릴 예정입니다. 구체적인 내용은 오프라인 행사 때 소개됩니다.

    6.     콘테스트 이후에 시행되는 오프라인 행사는 무엇인가요?


AhnLab Security WAVE 2012 온라인 대회에 참여한 분들 중 신청자 350명을 대상으로 오프라인 행사가 진행됩니다. 본 행사에서는 출제 위원들이 참가자들에게 직접 문제 풀이를 제공하고 문제 풀이 방식에 대해서도 토론하는 자리가 될 것입니다. 오프라인 행사는 선착순이니, 대회참가 시 서둘러 신청해 주세요.

[오프라인 행사 안내]

일시: 9/20(목) 12:00 ~17:30

장소: 서울 코엑스 인터컨티넨탈 호텔 다이아몬드 홀

  

7.     참가신청을 어떻게 하나요?

http://wave.ahnlabcore.co.kr에 접속하시어 ‘참가등록’을 하시면 됩니다. 온라인 콘테스트는 9 7() 22:00 ~ 9 8() 18:00, 20시간동안 진행됩니다. 구체적인 사항은 행사 홈페이지를 참조해 주세요. Ahn

 

사내기자 방지희 / 안랩 세일즈마케팅팀

지금 20대의 청춘을 사람들과의 소중한 만남으로 채우고 싶습니다.
글을 통해 타인의 마음을 읽고, 글을 통해 타인의 마음을 움직이는 기자가 되고자 합니다


댓글을 달아 주세요

현직 보안전문가들이 청소년의 멘토 된 날

현장속으로/주니어안랩 2012. 8. 30. 07:00


 

2012년 8월 24일, 안랩에서는 12기 V스쿨이 "생활 속의 보안"이라는 주제로 보안전문가를 꿈꾸는 중고생들과 함께 진행되었다. 특강, 보안전문가와의 대화, 도전 안랩벨 등으로 이루어진 V스쿨의 탄탄한 구성 속으로 함께 들어가보자.

 <CEO 환영사>

안랩 김홍선 대표는 환영의 말과 함께 "한국의 우수한 인프라 속에서 어릴 때부터 꿈을 갖고 그것을 현실에 옮겨 실천할 것"을 당부했다.

 

<ASEC대응팀 박태환 팀장 특강>

ASEC대응팀 박태환 팀장은 생활 속에서 우리가 흔히 접할 수 있는 보안 위험들을 설명했다. 웹사이트 관련 보안 위험, 스마트폰 관련 보안 위험, WI-FI 관련 보안 위험을 설명했다. 무료 영화 다운로드, 스마트폰 탈옥, 무료 WI-FI 사용 시 자신의 개인정보가 쉽게 유출될 수 있고 악성코드에 노출될 수 있음을 실제적인 예시를 들어 쉽게 설명해 주었다. 

 <보안전문가, 선배와의 만남>

 

 

안랩 보안전문가들이 각 조마다 2인씩 함께 하여 학생들의 질문을 받고 궁금증을 풀어보는 시간을 가졌다. 처음 만난 사이라 서로 서먹서먹하기도 했지만 노련한 보안전문가들은 학생들과 소통을 시도하며 그들의 궁금증에 차분히 귀 기울여주는 모습을 보여주었다. 식사를 하고 와서 헤어질 시간이 되었음에도 계속 학생들과 대화하며 진정성을 가지고 학생들을 대했던 한 사원이 기억에 남는다. 

 <즐거운 점심식사>

 

 <조별 단체사진>

 

 

 

 <드라마 "유령" 속 사이버 보안, ASEC 이호웅 센터장과의 만남>

 

 

드라마 "유령"의 대본 감수를 맡았던 ASEC(시큐리티대응센터) 이호웅 센터장은 드라마 "유령"의 명장면들을 보안전문가의 입장에서 재해석해 주었다. 명장면이 만들어지기까지의 뒷 이야기, 드라마 속 위험상황들의 실제 발생 가능성 같은 흥미진진한 내용들을 쉽게 풀어 설명해 주었다. 재미있게만 보았던 드라마 "유령"을 보안전문가의 시각으로 바라볼 수 있었던 색다른 시간이었다. 

 <보안 캐치프레이즈 공모>

 

 

 

 

<우수작 시상>

 

<조시행 전무 격려사>

 

연구소 조직을 총괄하는 조시행 전무는 세 가지 메시지를 전했다. 시간, 실행, 신뢰. 그는 요즘의 학생들이 너무 조급하여 자신의 나이에 해야 할 일을 잊어버리고 너무 유행을 따라간다는 점을 지적했다. 또한 해본 것과 해 보지 않은 것은 큰 차이가 있다고 강조했다. 그리고 신뢰를 이루기 위해서는 내가 타인을 믿어야 하고 타인 또한 나를 믿게 해야 한다고 말했다. "아무리 힘든 일이 생겨도 서로 믿는 사람끼리는 그 일을 극복할 수 있다. 신뢰, 그것이 곧 소통이요 팀워크이다." 

 <도전 안랩벨>

 

 

 

보안상식과 관련된 내용으로 안랩벨을 진행했다. 대학생인 필자도 잘 모르는 내용을 쉽게 답하는 고등학생들의 모습이 놀라웠다. 그만큼 보안에 대한 관심이 일상적으로 퍼져 있음을 보여주는 것이라는 생각이 든다.  

 

 <최후의 1인 시상>

 

<명예사원증 증정> 

V스쿨에 지속적으로 참여하고 V스쿨 카페 활동을 열심히 한 친구들에게 안랩 명예사원증을 증정했다.

 

 <수료증 증정>

 

 

 <학생 인터뷰>

김혜지, 17세

한국디지털미디어고등학교 해킹방어과

Q : 어떤 경로를 통해 V스쿨을 알게 되었나요?

A : 검색하다가 알게 되었어요.

Q : 안랩을 둘러보니 어떤 느낌이 들어요?

A : 사옥을 둘러볼 때 드라마 "유령"에서 본 것이 더욱 실감나게 다가왔어요. 더 많이 공부해야 되겠다는 생각이 들어요.

Q : 다른 친구들에게 해주고 싶은 말이 있나요?

A : 어느 곳이든지 회사를 둘러보는 것은 자신을 발전시켜준다고 생각해요. 저는 지금에서야 보안에 관심을 갖게 된 것이 약간 늦었다고 생각하는데 중학생 때부터라도 빨리 알고 시작하면 좋을 것 같아요.

 

이중빈, 18세

경기국제통상고등학교 경영정보과

Q : 어떻게 이곳에 오게 되었나요?

A : KISA라는 청소년 IT연맹에서 이번 기수 친구들과 같이 참여하게 되었습니다.

Q : 꿈은 무엇인가요?

A : 프로그래밍과 관련된 정보보안 전문가가 되고 싶어요. 금융보안 쪽으로 진출해도 좋을 것 같고요.

Q : V스쿨 프로그램은 어떤 느낌인가요?

A : 다른 회사 견학을 한 적이 있는데 안랩은 그 회사에 비해 행사가 체계적으로 잘 짜여져 있는것 같아요.

Q : 안랩에 하고 싶은 말이 있나요?

A : V3를 업그레이드해 주었으면 좋겠어요. 다른 이름의 제품 출시도 필요할 것 같아요. 

Q : 어떤 제품을 쓰고 있나요?

A : V3 Lite요.

V스쿨을 진행하며 미래의 보안전문가들을 만나보았다. 돌아갈 때 V3 제품을 선물로 받지 못 해 아쉬워하는 친구도 있었고 중학생 수준에 맞게 골든벨을 내지 않아서 자신이 문제를 맞추지 못 했다고 불평하는 친구도 있었다. 눈에 보이는 선물을 떠나서 안랩에서 함께 한 시간이 학생들에게는 무엇보다 소중한 선물이 아니었을까?  안랩의 공기를 느끼고 이곳의 상황을 잠시라도 체험해본 것은 그 자체로 큰 선물이 될 수 있을 것이다. '어린왕자'에 나오는 여우의 말처럼 소중한 것은 눈에 보이지 않는다. 마음으로 보는 자에게만 그것은 열려 있다. Ahn




대학생기자 장윤석 / 청주교대 초등교육(음악심화)

사랑하는 마음으로
하늘빛의 포근함을 수면에 간직한
맑고 차가운 호수처럼


 

댓글을 달아 주세요

  1. 감염오리 2012.10.31 18:16  Address |  Modify / Delete |  Reply

    으아니 제 사진이 올라왔네요!

    • 보안세상 2012.11.02 07:53 신고  Address |  Modify / Delete

      감염오리님 안녕하세요 ^^
      V스쿨 사진을 보니 그 때 감염오리님과 만났던 것이 기억나네요.
      겨울이 성큼 다가왔습니다. 감기 조심하세요 ^^

우후죽순 해킹대회, 실무에 얼마나 도움 되나

보안라이프/이슈&이슈 2012. 8. 20. 07:00

해킹방어대회에 큰 상금과 인지도가 높아짐에 따라 사람들의 이목도 집중되고 있다. 그러나 해킹방어대회를 부정적으로 생각하는 사람도 있다. 스타메이커를 위한 것이고 실제 현업에는 도움이 안 된다는 이유에서다. 우후죽순처럼 생겨나는 해킹방어대회의 실효성까지도 논의되고 있는 실정이다. 나아가 해킹 자체가 나쁜 것인데 나쁜 일을 하도록 권장하는 것이라는 의견도 있다. 어떻게 보면 억지스러운 주장이긴 하지만, 충분히 이해할 만한 의견이다. 

 

이런 비판의 목소리가 커지는 가운데, 국내외 해킹방어대회에 꾸준히 참여하는 보안 업계 종사자들을 대상으로 짧은 코멘트를 받았다. 해킹방어대회를 참여하는 이유는 무엇이며, 실제 업무에 얼마나 도움이 되는지에 관한 답변이다.



대다수가 공통적으로 말하는 것은 해킹방어대회가 자신의 부족함을 알고 좀더 다양한 사고를 할 수 있는 계기가 된다는 것이다. 또한 대회를 통해 재미와 좋은 인연을 만들어가는 것도 이점이라 할 수 있다.

 

국내 해킹방어대회가 많다고 하지만 사실상 규모 있는 대회는 일년에 두어 개 정도이며, 이런 대회가 열리기 때문에 보안에 대한 관심이 높아질 뿐 아니라 유능한 보안 인재들이 마음껏 능력을 펼쳐서 자신의 실력을 가늠해보는 기회가 되지 않을까 생각한다.

 

한 가지 명심할 것은 단순히 해킹방어대회에 참여하는 것만으로 해커나 보안전문가가 되는 것은 아니라는 점이다. 아이폰을 탈옥했다고 해서 해커라고 표현할 수 없는 것처럼. 대회 참가로 방어 기술을 어떻게 개발할지 고민하는 계기가 되었으면 좋겠고, 아울러 보안 산업에 긍정적인 영향을 미치길 바란다.


안랩에서는 보안전문가를 꿈꾸는 꿈나무의 미래 성장을 돕기 위해 올해 2회째 Security WAVE를 개최한다. 각 분야의 보안전문가가 내는 문제를 풀어보고, 튜토리얼과 토의 세션에서 다양한 정보를 공유하는 자리이다. 이런 대회를 통해 보안 산업의 유망주가 되어보길 권한다. Ahn


사내기자 박정우 / 안랩 A-퍼스트팀 주임연구원

 

사람이지만 주로 '개구리'로 많이 알려져 있으며,
재밌고 따뜻한 보안세상을 만들기 위해 연구하고 있습니다.


댓글을 달아 주세요

  1. 캡틴최 2012.08.24 09:58  Address |  Modify / Delete |  Reply

    잘봤소... 개굴개굴... ^^;

유령, 알고 보면 더 재미있는 사이버 보안 세상

보안라이프/이슈&이슈 2012. 7. 25. 08:38

2012년 2월, 안랩 시큐리티대응센터(ASEC)는 사이버 범죄를 주제로 한 드라마의 자문을 의뢰 받았다. 드라마 ‘유령’에는 긴박한 스토리라인과 함께 다양한 보안 전문 용어가 곳곳에 등장한다. 일반 시청자들에게는 생소할 수 있는 보안 용어를 최대한 쉽게 설명하는 한편, 사이버 범죄에 이용되는 다양한 해킹 기술 묘사에 대해 검수하는 것이 ASEC의 역할이었다. 


드라마가 방송된 이후 수많은 시청자가 드라마 속의 보안 기술에 상당한 관심을 보이고 있다. ‘실제로 저런 해킹이 가능한가?’라는 궁금증은 물론, ‘자막이 너무 빨리 지나가 전문 용어를 이해하기 어렵다’는 날카로운 지적도 있다. 드라마 ‘유령’에 등장한 사이버 공격 기술 중 현실 세계에 큰 위협이 될 수 있는 에피소드를 중심으로, 개인과 기업의 안전을 위해 주의할 사항을 다시 한번 짚어본다.


무선랜 해킹을 통한 개인정보 유출

 

"2407번 학생, 이 날씨 좋은 날 왜 개떡 같은 사이버 수사 강의를 들어야 하는지 말씀드리죠. (자기 스마트폰을 들어올리고 학생들을 보며)방금 여러분은 스마트폰으로 다른 사람들에게 보내던 무선 정보를 해킹당했습니다. 이런 식으로 불법 수집당한 개인정보들은 주민번호 도용 등의 심각한 범죄에 사용당할 수 있습니다. 이게 바로 사이버 수사가 필요한 이윱니다."



제1화, 경찰청 사이버수사대 수사 1팀장 김우현(소지섭 분)이 경찰대학에서 사이버 수사에 대해 강의를 한다. 김우현은 자신의 스마트폰을 들여다보면서 강의실의 한 학생이 친구에게 보낸 메시지를 정확히 읊어낸다. 스마트폰으로 발송한 무선 정보가 해킹될 수 있음을 ‘시연’한 것이다.

 


[그림 1] 무선랜 해킹을 통한 메시지 감청(출처 : 드라마 ‘유령’ 제1화)

 

얼마 전 뉴스 보도에 따르면, 전 세계적으로 10명 중 9명이 스마트폰을 사용하고 있다. 스마트폰 보급의 확대는 무선랜 보급에도 크게 기여했다. 우리나라만 해도 이제 우리는 집, 회사뿐만 아니라 까페나 거리에서도 수많은 Wi-Fi 신호를 이용할 수 있다. 문제는 안전 불감증이다. 자신도 모르는 사이에 개인정보가 보안에 취약한 무선 네트워크를 통해 빠져나갈 수 있음을 잊어서는 안 된다. 스마트폰 사용자들의 대부분은 다음과 같은 위험에 노출돼 있다.

▶ 무선 AP 접속 비밀번호를 기본(default) 값 그대로 사용
▶ 보안이 전혀 고려되지 않은 오픈-프리 무선 네트워크의 무방비한 사용
▶ 보안성이 낮은 WEP, WPA 암호 프로토콜을 사용하는 무선 네트워크 이용
(*보안이 강력한 WPA2 암호 프로토콜 이용 권장)

 

 

우현 : 신효정이 쓰던 아이피.. 무선 에이피였어..
강미 : (놀라는)무선 에이피요?
우현 : 무선 에이피에 비밀번호를 걸어놓지 않았다면.. 반경 50미터 이내에선 누구나 이 아이피를 쓸 수 있어.

 

드라마 ‘유령’의 본격적인 스토리의 시작은 악의적인 덧글에 시달리던 유명 연예인의 자살이다. 이 사건을 파헤치던 사이버수사대는 그 연예인이 자살을 암시하며 SNS에 올린 글이 다른 사람에 의해 쓰여졌다는 것을 알게 된다. 그 연예인이 사용하던 공유기에 암호가 걸려있지 않아 그의 IP 주소를 이용했던 것이다. 계정과 비밀번호까지 알고 있던 범인은 암호화되지 않은 무선랜을 이용해 온라인상에서 거의 완벽하게 다른 사람 행세를 할 수 있었던 것이다.

 


[그림 2] 비밀번호가 설정되지 않은 무선랜 공유기(출처 : 드라마 ‘유령’ 제2화)

 

[그림 3] 무선랜 해킹 프로그램인 에어크랙

 

참고로 [그림 3]은 무선랜 해킹 프로그램인 에어크랙(aircrack)을 이용해 WEP(Wireless Encryption Protocol)의 암호 키를 추출하는 화면이다. 이로써 모든 송수신 암호화 데이터를 복호화할 수 있다.

 

이러한 해킹을 막기 위해 방송통신위원회는 다음과 같은 ‘안전한 무선랜 이용 7대 수칙’을 권고하고 있다. 
① 무선공유기 사용 시 보안 기능 설정하기 
② 무선공유기 비밀번호 안전하게 관리하기 
③ 사용하지 않는 무선공유기 꺼놓기 
④ 제공자가 불분명한 무선랜 이용하지 않기 
⑤ 보안 설정이 되어있지 않은 무선랜으로 민감한 서비스 이용하지 않기 
⑥ 무선랜 자동 접속 기능 사용하지 않기 
⑦ 무선 공유기의 명칭(SSID)을 변경하고 숨김 기능 설정하기 

 

스테가노그래피를 이용한 정보 은닉 

 

기영 : 스테가노그래피야!

기영을 바라보는 강미, 놀라서 멈칫한다.
-인서트 컷

노트북작업을 하고 있는 생전의 신효정의 모습.
스테가노그래피 툴로 동영상 파일에 다른 파일을 덧입히고 있다.
증거물 보관실로 돌아오면 기영을 반신반의하면서 보는 강미.

강미 : ...신효정이 스테가노그래피 기술로 파일을 숨겼다구요?
기영 : 신효정은 죽기 전에 방송국 뉴스 팀에 메일을 보내려고 했어. 하지만 파일을 첨부하진 못했지. 그 전에 죽임을 당했으니까..



[그림 4] 동영상 안에 다른 동영상을 숨기는 작업(출처 : 드라마 ‘유령’ 제2화)

 

[그림 4]는 드라마 ‘유령’에서 사건의 실마리가 되는 동영상을 발견하는 장면이다. 스테가노그래피 응용 프로그램으로 동영상 파일에 다른 파일을 덧입힌 것을 확인한 것이다. 스테가노그래피(Steganography)란 사진이나 음악 파일 등에 특정한 정보(파일)를 숨기는 기술이다. 실제로 전달하고자 하는 비밀 메시지나 정보 등을 다른 정보에 은닉하는 방법으로 사용되는데, 오사마 빈 라덴이 알카에다 조직원과의 연락을 위해 사용한 것으로 알려지면서 유명해지기도 했다. 드라마 ‘유령’에서는 살인 사건의 목격자가 녹화한 영상을 숨기기 위한 방법으로 사용했다.
 
이 기술 악의적인 목적으로만 사용되는 것은 아니다. 예를 들어 짝사랑하는 사람에게 사랑 고백을 하는 로맨틱한 깜짝 이벤트에도 활용할 수 있다. 일상적인 편지처럼 보이지만, 그 안에 진심이 담긴 사랑의 메시지가 숨어있다면 어떨까? 물론 상대방이 스테가노그래피 기술을 알고 있다는 까다로운 전제가 있어야 한다. 오픈소스 기반의 스테가노그래피 응용 프로그램도 있으니, 한 번쯤 선량한 목적으로 사용해보는 것도 색다른 즐거움이 될 것이다. 

 

원격 취약점을 이용한 공격


기영(소리) : 아이피는 xxx.xxx.xxx.xxx. 스캐닝 프로그램으로 취약점을 찾아서 공격을 시작한다.
기영(소리) : 취약한 xxxx번 서비스 포트로 공격 코드를 보낸다. 모니터를 바라보는 기영의 눈빛, 드디어 성공이다. 노트북 모니터에는 시스템 권한 ‘승인’창이 뜬다.
기영(소리) : 익스플로잇 성공.

드라마 ‘유령’ 제3화에서는 낯선 용어들이 나온다. 또 악명 높은 해커(박기영, 이후 김우현으로 살아가는) 하데스가 다양한 원격 취약점 공격을 시도하는 장면도 드라마 전반에 자주 등장한다.

   


[그림 5] 스캐닝 응용 프로그램(좌)과 취약한 서비스 포트로 공격 코드(Exploit)를 전송하는 장면(출처 : 드라마 ‘유령’ 제3화)

 

일반적으로 사이버 공격은 스캐닝 → 서비스 포트로 공격 코드 전송 → 시스템 권한 상승(공격 성공)의 순서로 진행된다. 기업의 보안 상태를 점검하고 적절한 개선 방안을 찾는 보안 컨설팅의 모의침투 테스트(Penetration Test)도 이와 유사한 과정으로 진행된다. 앞서 언급한 스테가노그래피와 마찬가지로 기술을 사용하는 사람의 목적이 다를 뿐이다.

 

공격의 출발점인 스캐닝(Scanning)은 상대가 노출하고 있는 허점, 즉 약점을 찾는 것이다. 이때 사용되는 것이 스캐닝 프로그램으로, 컴퓨터의 열려 있는 서비스 포트 등을 탐색하는 프로그램이다. 스캐닝 기술을 이용해 오픈(열려 있는) 서비스 포트를 확인할 뿐만 아니라 오픈 서비스에 연결된 응용 프로그램의 버전까지도 파악할 수 있다.

 

서비스 포트란 컴퓨터에서 실행되는 프로그램이 외부와 데이터를 주고 받는 통로라고 할 수 있다. 일반적으로 익스플로이트(Exploit)라고 불리는 공격 코드는 컴퓨터 시스템이나 응용 프로그램의 버그 또는 보안 취약점 등을 이용해 공격자의 의도대로 동작하게 만드는 악의적인 명령을 내린다.
 
공격자는 서비스 포트 혹은 그와 연관된 데몬 응용 프로그램을 확인한 후에는 적절한 공격 무기를 갖춰야 한다. 익히 알려져 있는 무기를 재활용할 수도 있고, 아직 아무도 알지 못하는, 그래서 누구도 막을 수 없는 자신만의 무기를 개발할 수도 있다. 인터넷에 유포되어 있는 악성코드나 공격 툴을 사용하는 것이 전자라면, 아직 알려지지 않은 취약점을 노리는 제로데이 공격(zero-day attack) 공격 코드를 만들어내는 것은 후자의 예이다. 제로데이 공격의 성공률은 100%에 가깝다. 드라마 ‘유령’의 하데스는 세상에 알려지지 않은 제로데이 공격 코드를 상당수 보유한 뛰어난 공격자다. 

 

메신저, 문서 취약점을 이용한 원격 제어 악성코드
 


[그림 6] 문서 취약점 공격 코드 전송(출처 : 드라마 ‘유령’ 제5화)

 

기업 보안 담당자라면 드라마 ‘유령’ 제5화를 관심 있게 지켜볼 필요가 있다. 범죄 조직에 고용된 아르바이트생을 통해 범인들의 아지트를 알아내는 장면에서 흥미로운 해킹 기법이 등장하기 때문이다. 공격자는 메신저를 통해 상대방에게 문서 취약점 공격 코드를 전송함으로써 원격 제어 악성코드(RAT : Remote Administration Tool)를 성공적으로 설치한다.

 

메신저를 통해 전송된 엑셀 파일을 클릭하는 순간, 은밀히 컴퓨터의 웹캠이 돌아가고 범인들의 아지트 모습이 상대방에게 전송되기 시작한다. 엑셀 파일에 원격 제어 악성코드가 숨겨져 있었기 때문이다.

 

 

이것은 최근 기업 내부 시스템에 침투해 주요 정보를 탈취하고 시스템을 파괴하려는 지능형 타깃 공격(APT : Advanced Persistent Threat)에 주로 이용되는 공격 방식이다.

 

또한 드라마 ‘유령’에서는 이메일, P2P 메신저, USB 등이 악성코드 전파 수단으로 많이 이용된다. 실제로 과거에 비해 운영체제의 보안이 크게 강화되면서, 공격자들은 자연스럽게 응용 프로그램 취약점으로 시선을 옮기고 있다. 응용 프로그램의 알려지지 않은 취약점을 노리는 제로데이 공격 활용 빈도가 꾸준히 증가하는 것도 이 때문이다. 

 

DDoS 공격과 좀비 PC


DDoS(Distributed Denial of Service), 이른바 분산 서비스 공격은 여러 대의 컴퓨터에서 일제히 특정 웹 사이트에 접속함으로써 해당 서비스를 다운시키는 것이다. DDoS 공격의 성공은 얼마나 많은 좀비 PC를 확보하느냐에 달렸다. 좀비 PC란 악성코드에 감염되어 사용자의 의도와 상관없이 공격자에 의해 원격으로 조종되는 컴퓨터를 의미한다.

 


[그림 8] USB를 통한 악성코드 감염(출처 : 드라마 ‘유령’ 제5화)

 

드라마 ‘유령’에서는 파일 공유 사이트를 통해 유포되는 연예인 음란 동영상에 악성코드를 삽입해 다수의 PC를 감염시킨다. 실제로 공격자들이 다수의 좀비 PC를 확보하기 위해 이용하는 대표적인 방법은 다음과 같다.

 

① 잘 알려진 웹 사이트를 침해하여 악성코드 유포지로 활용
② 잘 알려진 응용 프로그램의 업데이트 서버를 침해하여 악성코드 유포에 활용
③ 파일 공유(P2P) 사이트에서 많은 사람들의 관심을 끌 만한 동영상으로 사칭하여 악성코드 유포에 활용 

 

스턱스넷, USB, 그리고 스카다 시스템


현재까지 방송된 드라마 ‘유령’에서 가장 충격적인 에피소드로 꼽히는 것은 전력 시스템 중단에 따른 대규모 정전 사태일 것이다(제5~6화).

 

사건의 전말은 이렇다. 어느 날 밤 ‘대한전력’ 보안팀 직원의 집에 도둑이 들었다. 범인의 하수인이었던 그 도둑은 대한전력 보안팀 직원의 개인 컴퓨터에 악성코드를 심어둔다. 그 사실을 알 리 없는 대한전력 보안팀 직원은 전력 시스템을 제어하는 컴퓨터에 개인 컴퓨터에서 사용했던 USB를 꽂았고, 이를 통해 전력 시스템 전체가 감염된 것이다. 전력 시스템 이상으로 전기 공급이 중단되자 도로에서는 교통 신호등이 멈춰 연쇄 추돌 사고가 발생하고, 건물의 엘리베이터 안에 승객들이 갇히는 한편, 병원에서는 정전 때문에 수술이 중단된다. 사이버수사대가 가까스로 공격을 막아냈다고 생각하고 한숨 돌리는 순간, 이번에는 숨어들었던 악성코드가 파괴 명령을 내려 전력 시스템 자체를 파괴하기 시작한다.

 


[그림 9] USB를 통한 악성코드 감염 과정(출처 : 드라마 ‘유령’ 제5화)

 

사실 이 에피소드는 몇 년 전, 이란 원전 공격으로 크게 회자된 바 있는 스턱스넷(Stuxnet)에서 주요 모티브를 따온 것이다. 스턱스넷이란 발전소, 공항, 철도 등 기간 시설을 파괴하기 위해 국가 기반 시설 등에서 사용하는 스카다(SCADA, Supervisory Control Data Acquisition) 시스템을 노리고 특수 제작된 악성코드다. 스턱스넷은 비교적 최근 나타난 악성코드임에도 불구하고 듀큐(Trojan/DuQu), 플레임(Trojan/Flame) 등의 유사한 악성코드가 연이어 나타나고 있어 국내외 보안 업계가 예의 주시하고 있다.

 

전력 시스템과 같은 사회 기간 시설은 외부 인터넷이 연결되지 않는 폐쇄망으로 운영된다. 폐쇄망 환경에서, 외부의 악성코드가 내부로 침투할 수 있는 유일한 감염 경로는 USB다. 악성코드에 감염된 USB를 컴퓨터에 꽂는 순간, USB에 들어있던 악성코드가 오토런(AutoRun) 기능에 의해 자동 실행되어 컴퓨터 본체를 감염시킨다.

 

그러나 USB를 감염 루트로 이용하는 악성코드는 스텍스넷 종류에 한정된 것은 아니다. 이미 수많은 악성코드가 USB 자동 실행 기능을 자기 감염 방식으로 사용하고 있으므로 USB 보안에 대한 특별한 주의가 필요하다. 

 

스피어 피싱, 메일을 이용한 타깃 공격


제6화에서는 주인공들의 과거 회상 장면이 나온다. 경찰대 학생인 박기영은 호기심으로 절친한 동기 김우현의 아버지에게 악성코드를 보내 그의 이메일을 훔쳐본다. 고위 경찰 간부였던 김우현 아버지의 이메일 가운데 <극비문서 3차 수사지침>이라는 제목의 메일이, 박기영이 경찰대를 떠나 해커 하데스가 되는 계기가 된다.

 

[그림 10]은 박기영이 김우현 아버지에게 악성코드를 보낼 때 이용한 공격 기법을 보여준다. 이러한 기법을 스피어 피싱(Spear Phishing)이라고 부른다. 스피어 피싱은 신뢰할 만한 발신인이 보낸 것처럼 위장된 메일을 이용해 웹 사이트로 유도 또는 첨부 파일을 통해 악성코드에 감염시키거나 타깃의 개인정보를 유출하는 일종의 피싱 공격이다. 사람의 관심과 호기심을 자극하는 사회공학적(Social Engineering) 기법을 이용하기 때문에 조금만 주의를 게을리해도 공격의 희생양이 된다. 쇼핑을 좋아하는 이가 할인쿠폰 정보가 담긴 이메일을 클릭하지 않고 그냥 지나치겠는가.

    
 
[그림 10] 스피어 피싱 공격(출처 : 드라마 ‘유령’ 제6화)

 

제6화에서 보여준 스피어 피싱의 과정은 다음과 같다.
① 타인의 전화번호 수첩을 통해 타깃의 이메일 주소 획득
② 타깃이 속한 조직의 인사팀을 사칭하여, 악성코드를 삽입한 허위 인사 파일을 타깃의 이메일로 전송
③ 타깃이 해당 이메일의 첨부 파일을 클릭하여 악성코드에 감염(드라마에서는 이 부분을 생략했다.)
④ 스피어 피싱 성공, 타깃의 이메일 일부가 공격자에게 전달

 

“아는 만큼 보인다”는 말이 있다. 드라마 ‘유령’에서 등장한 컴퓨터 공격 기술과 관련 용어들에 대해 이해하고 시청한다면, 이제 절정을 향해 가고 있는 드라마를 더욱 즐겁게 볼 수 있을 것이다. 물론, 드라마는 드라마일 뿐이다. 기술적인 부분을 지나치게 들춰내기보다는 드라마의 극적 요소와 긴박감을 온전히 즐기는 것이 중요하다. 다만, 드라마가 다루고 있는 일부 위협과 대비책을 인지하고 이에 대비할 수 있다면 금상첨화겠다. Ahn


김지훈 / 안랩 시큐리티대응센터(ASEC) A-퍼스트팀 팀장


댓글을 달아 주세요

직장인 자기개발의 좋은 예, 업무 서적 번역하기

최근 수없이 발생하는 해킹 사건들 때문에 IT에 종사하는 사람은 눈코뜰새없이 바쁘다. 해킹을 미리 예방하는 사람해킹이 발생했을 때 대응하는 사람, 발생 후 처리하는 사람까지 모두 우리의 안전한 IT세상을 위해 힘쓴다

 

안랩(구 안철수연구소)에도 여러 위협에 대응하기 위해 밤낮없이 일하는 이들이 많다. 이러한 바쁜 업무에도 IT 서적을 번역해 출판한 이들이 있다. 바로 '해킹과 침투 테스트'를 번역한 김선국, 양우철 컨설턴트이다현재 기술컨설팅팀에서 모의해킹 및 취약점 진단 업무를 하는 이들은 6개월에 걸쳐 본인들이 하는 업무와 관련된 서적을 번역했다.

좋아하는 일을 직업으로 삼기는 쉽지 않고, 직업으로 삼는다 해도 관심과 사랑을 오래 유지하기는 더욱 쉽지 않다스스로 하는 일에 대한 애착, 그리고 그 일을 왜 하는지에 대해 스스로 답할 때, 그 일의 진정한 의미를 느낄 수 있지 않을까자신이 하는 일에 대한 애착으로 빚은 이들의 책은 그래서 더 값진 성과라고 할 수 있겠다. 좋아하는 일을 즐거운 마음으로 해나가는 두 사람을 만나 번역서를 출판한 동기와, 그들이 하는 모의해킹 업무의 매력을 들어보았다.

왼쪽부터 양우철, 김선국 컨설턴트

 

-번역서를 출간한 계기는 무엇인가요?

사실 이 분야를 공부하는 데 마땅한 교재가 없는 게 현실이에요. 있다고 해도 분량이 상당히 방대하고 내용이 난해하기 때문에 쉽게 접근하는 것이 어렵지요. 그러다 보니 이 분야에 관심이 있고 또 공부하고 싶어하는 사람에게 조금이나마 도움을 주고 싶었어요. 그런 차원에서 직접적인 도움은 아닐지라도, 이 분야에 대한 전반적인 큰 그림을 쉽게 설명해 주고 싶었어요  

-다른 책과 비교해 차별되는 점은 무엇인가요?

다른 보안 서적과 달리 대상을 정하는 것부터 보고서 작성까지 전체적인 아웃라인을 그려줘요. 어떤 과정을 거치고 무엇을 하게 되는지 단계별로 잘 정리했어요. 모의해킹을 업으로 하는 이에게 많은 도움이 될 것이고, 보안에 관심 있는 사람은 이 책을 시작으로 여러 공부를 할 수 있어요 

-번역서를 출간하는 과정에 어떤 어려움이 있었나요?

평소 다른 번역서를 읽어보면 번역의 내용이 어색하고 서툴게 느껴지는 것들이 있었어요. 그런데 막상 저희가 번역서 출간을 준비하다 보니, 원문을 우리말로 바꾸는 작업이 생각보다 너무 어렵더라고요. 영어 원문의 뜻을 그대로 살려 번역하면 너무 번역한 티가 많이 나고, 반대로 원문의 뜻을 어느 정도 유지한 채 우리말에 익숙한 표현으로 하면 원문의 뜻이 잘 살지 않더라고요. 한국 사람이 읽기에 가장 알맞은 한국어를 선택하는 작업이 가장 중요하고 또 어려웠어요. 

-번역서를 출간하고 나서 얻은 것이 있다면 어떤 것인가요?

기본에 조금 더 충실해질 수 있었던 것 같아요. 사실 무슨 일이든지 기본이 가장 중요하지만, 가장 소홀해질 수 있거든요. 그런 점에서는 이번 번역을 통해 기본에 더 충실할 수 있었던 것 같아요. 마치 예전으로 돌아가서 학생이 된 것처럼 처음부터 차근차근 다시 돌아볼 수 있는 소중한 시간이었어요 

-평소 어떤 책을 보시나요?

다양하게 많이 읽으려고 해요. 최근에는 미래학과 관련된 <드라이브>를 읽었어요. 그 책을 읽으면 원하는 목표를 성취하는 데 가장 큰 동기가 무엇인지 잘 나와 있지요. 아주 흥미롭게 읽었어요.

  

   


   -모의해킹은 어떤 매력이 있나요?

새로운 지식을 습득하고 탐구하는 측면에서 많은 매력적이고, 모르던 것을 알게 되는 성취감이 참 매력적이에요. 수학 문제를 한 시간 동안 끌다가 딱 푸는 순간의 쾌감과 유사한 면도 있어요.

-모의해킹 시 힘든 점은 무엇인가요?

, 네트워크, 시스템, 정보보호 장비를 포함해서 요즘에는 모바일 쪽도 다루고, 모의해킹 범주에 포함되진 않지만 리버스 엔지니어링 분야까지도 다루어요. 이처럼 다루는 기술이나 범위가 많기 때문에 그것을 습득해야 하는 지식의 양이 많을 수밖에 없어요. 한번 익히면 잊어버리면 안 되는데 시간이 지나면 어느 정도는 기억해도 세부적인 건 잊어버리게 돼요. 한번 공부하면 끝이 아니라, 새로운 것을 계속 습득해야 하니 그 점이 힘든 것 같네요.

-컨설턴트가 되려면 어떠한 준비가 필요할까요?

꼭 컨설턴트가 아니더라도 IT나 보안 분야에서 일하기를 원한다면 영어 공부를 많이 했으면 좋겠어요. 유용한 기술 문서가 주로 영어로 되어 있거든요. 저는 영어를 번역하지 않고 그 자체로 이해하는 연습을 많이 했어요.

그리고 새로운 기술을 부지런히 공부하려는 자세, 공부하다 막히는 부분이 있어도 끝까지 하려는 자세 등 마음가짐이 중요해요. 도전하고, 생각하는 마인드가 중요한 거지 공부는 두 번째인 것 같아요.

-앞으로 목표는 무엇인가요?

더 배우고 싶어요. 배움을 멈추는 순간 도태된다는 말처럼 끊임없이 배우고 싶어요. 스스로를 향해 끊임없이 발전을 요구하는 사람이 되고 싶어요. Ahn

 

사내기자 박정우 / 안랩 A-퍼스트팀

사람이지만 주로 '개구리'로 많이 알려져 있으며,
재밌고 따뜻한 보안세상을 만들기 위해 연구하고 있습니다.

 

대학생기자 김성현 / 수원대 컴퓨터학과

눈앞에 보이는 결승점을 향해 달리는 100m 선수가 아닌 저 멀리 열망하는
목적지를 향해 뚜벅뚜벅 걸음을 욺기는 우둔한 답사자가 되자.

대학생기자 엄석환 / 숭실대 영어영문학과


댓글을 달아 주세요

  1. 탐진강 2012.06.07 14:35  Address |  Modify / Delete |  Reply

    자기 일에 충실한 것은 물론 업무에 연관된 책 번역까지 하다니 놀랍습니다.
    멀리서 응원합니다.^^*

기업체 대학생기자로 경험한 우리만의 힐링캠프

안랩人side/안랩팀워크 2012. 5. 21. 07:00

계절의 여왕이 5월이라면, 5월의 여왕은 워크숍(?)란 데 이의를 제기할 사람이 있을까?
따스하게 내리쬐는 햇볕, 기분 좋게 불어오는 바람이 떠나라고 재촉하는 5. 5월이 왔다. 계절이 되면 계절 과일을 먹듯 5월을 맞이하여 안랩 커뮤니케이션팀, 대학생기자, 사내기자가 워크숍을 향해 떠났다.

경춘선을 타고 함께 가기로 한 대학생기자는 마치 새내기라도 된 양 들뜬 마음으로 가평으로 향하는 열차에 몸을 실었다. 함께 모여 가는 동안 수다는 멈출 줄을 몰랐고, 웃고 떠드는 시간 속에서 워크숍에 대한 기대가 점점 자라났다.

우리가 머물렀던 펜션의 경치

한바탕 떠들고 나니 어느새 열차는 가평역에 도착.
펜션은 물 좋고 공기 좋은 한적한 곳에 고즈넉하게 자리하고 있었다. 그곳에 머물기만 해도 마음이 평온해질 것만 같았다. 모두가 펜션을 구경하며 감탄사를 연발하는 모습을 보며 워크숍을 준비했던 8기 기장의 입이 귀에 걸려 내려올 줄을 몰랐다.

그렇게 풍광에 흠뻑 빠진 사이 어느덧 밖은 어둑어둑해졌다.
자자, 워크숍도 식후경이라~

무려 바비큐 무한제공~ 식사 마저도 열심히 하는 모습이 인상적이다.

바비큐가 무한 제공됐던 펜션에서의 식사~!
다들 원~없이 그리고 정신없이! 배를 채웠다. 젓가락을 놀리는 속도가 LTE도 울고 갈 뻔할 정도.

, 이제 배는 두둑해졌으니 이제 머리를 채워볼 차례!
워크숍을 가장 워크숍답게 만들어주는 시간
!
그 스타트는 보안 업체의 CSI라 불리는 A-퍼스트 팀에서 화려한 입담을 담당하는 김진국 주임연구원이 끊었다. 김진국 주임은 <사이버 CSI, 디지털 포렌식 이야기>란 다소 생소한 주제로 강의를 진행했다. 허나 디지털 포렌식이란 단어를 처음 듣는 사람도 쉽게 이해하게, 심지어 재밌게 들을 수 있게 설명해주었다. 순발력과 재치를 겸비한 말솜씨 덕분에 청중을 한번에 사로잡았다.

김진국 주임의 강의를 들으며 마치 그 이야기 속으로 빨려 들어갈 것 같은 대학생 기자들!

최근 크고 작은 보안사고 발생이 잦아지면서 보안에 대한 사람들의 인식이 다소 높아지긴 했으나 여전히 미흡하긴 마찬가지다. 하지만 보안은 우리 일상생활과 매우 밀접하게 연관돼 있으면 시간이 흐를수록 그 중요성은 더 커지고 있다. 개인정보유출 등 보안은 우리가 우리 것을 지키는 것처럼 중요하다. 우리가 얼마나 보안을 가까운 존재로 인식해야 하는지를 배울 수 있는 값진 강의였다.

또한 곧 SBS에서 방영될, 블록버스터급 스케일로 많은 사람의 기대를 한몸에 받는 드라마 <유령>에 안랩이 기술고문을 하게 된 이야기도 들을 수 있었다. 드라마 엔딩 크레딧에서 안랩의 로고도 볼 수 있다고 하니 드라마가 시작되면 꼭 찾아보자! 강의가 끝난 뒤 질의응답 시간엔 대학생기자의 열띤 질문공세가 이어지기도 했다.

이어 번뜩이는 아이디어를 주체하지 못 하는 대학생기자를 위한 자리!
바로 <글로벌 사용자 타깃 바이럴 마케팅> 아이디어 회의 시간이 이어졌다
.

4명씩 두 팀으로 나눠 이뤄진 이 회의에선 마케팅의 ‘마’ 자를 모르는 이도 백지장도 맞들면 마케팅 아이디어가 나온다는 걸 배울 수 있었다. 생각보다 다채롭고 기발한 아이디어가 나와 다들 놀랐다. 다른 방향으로 의견을 제시하기도 하며 서로에게 배움을 선사하고 생각지도 못 했던 다양하고 톡톡 튀는 의견이 나오며 공부가 되기도, 자극제가 되기도 한 시간이었다.

그 어느 때보다 승부욕을 불태웠던 밤!

그리고 이어진 워크숍의 꽃! 바로 친! ! ! !
다년간의 반장 생활과 숱한 경험으로 다져진 유남열 기장의 진행 솜씨 덕분에 당시 자리에 있던 사람 모두 본 적 없던 워크숍을 경험했다.

‘몸으로 말해요’, ‘절대음감’, ‘일심동체’ 등 서로의 친목을 넘치고 넘치게 쌓을 수 있는 게임들이 가득했다. 어쩜 이렇게 야무지게 준비해왔는지 그 준비성에 입을 다물지 못 했다. 승부욕이 넘치는 대학생기자들의 열기가 워낙 뜨거워 좀처럼 밤이 찾아올 기미가 보이지 않았다.

워크숍의 새아침이 밝았다.

아침 식사 후엔 사보 아이템 아이디어 회의가 진행됐다. 지난 4월 모임에서 나눈 팀들의 역량을 발휘할 절호의 찬스였다. 이번 아이디어 회의는 부상이 걸려 있었기에 집중도는 엄청났다. 그 열기는 회의실 내 공기를 꽉 채우고 있었다.

누가 더 회의를 열심히 하나~?

기발하고 때론 고개가 끄덕여지는 아이디어가 많이 나온 이 회의 역시 전날 저녁과 같이 오고가는 아이디어 속에 배움이란 꽃이 피었다.

'나는 발표왕이다' 아이디어 회의 결과를 발표하는 모습들

이 회의에서 나온 아이디어가 궁금한가? 곧 기사로 만나볼 수 있을 테니 손꼽으며 기다려주시길!

우리의 행복한 시간을 남기며

이제는 우리가 헤어져야 할 시각.

모든 일정이 끝났지만 우린 블로그를 통해 만날 수가 있다.

이번 워크숍을 축약한다면 그 짧은 시간 안에 그토록 많은 걸 할 수 있었다는 것, 배우며 한 뼘 더 성장할 수 있었다는 것, 좋은 사람들과 함께한 시간이란 그저 보낸 시간의 양으로만 표현할 수 없다는 것이라 표현할 수 있을 것 같다. 마치 한여름 밤의 꿈처럼 달콤했던 워크숍이었다. 안랩 커뮤니케이션팀, 8기 대학생기자, 사내기자가 함께 했던 이 워크숍이 모두에게 일상에서 지쳐있던 우리의 심신을 달래준 힐링캠프였길. Ahn

대학생기자 하수정 / 국민대 언론정보학부

사내기자 류석 / 안랩 커뮤니케이션팀

 

댓글을 달아 주세요

  1. Gorgeous!! 2012.05.21 11:44 신고  Address |  Modify / Delete |  Reply

    석 인턴님, 수정아 고생했어! 칭찬이 많아서 부끄럽게 읽었어요 ㅋㅋㅋㅋ
    워크샵의 그 느낌은 활동이 끝나도 잊지 못할 것 같아요! 대학생기자단, 커뮤니케이션팀, 사내기자 화이팅!

  2. earth 2012.05.22 12:39  Address |  Modify / Delete |  Reply

    하하하...능력자들...
    저는...(놀고 어울리는데) 무능력(젬병)...또한 방콕족ㅋ^^...
    ...
    유령이라...(품절남) 장동건 나온다는 드라마인가요? ^^...
    ...
    유쾌하거나, 해피엔딩으로 끝나는 드라마가 보기엔 더 좋다는...

    • 하수정 2012.05.22 17:08  Address |  Modify / Delete

      장동건씨가 나오는 드라마는 <신사의 품격>이고 <유령>에는 소지섭씨가 나오신다네요! 5월 30일 첫방이래요^_^