제33회 정보보호리더쉽 세미나에 가다!

현장속으로/세미나 2014.05.02 10:32

33회 정보보호리더쉽 세미나가 CISSP주최로42일 한국과학기술회관에서 열렸다. 각 기업의 보안을 담당하는 전문가를 대상으로 진행되었으며, CISSP자격증이 있는 사람들에게는 해당시간 CPE를 부여하였다. 세미나는cissp협회 강용남회장의 인사로 시작하였다. 많은 인재들이 협회에 프로필을 제공하고 정보보호 인력을 찾는 기업에게 컨설팅해주는 cissp의 역할을 강조하면서 보안이 큰 이슈인 만큼 관련 전문가에 대한 수요가 많다고 하였다. 세미나의 순서는 1부에서 4부로 나뉘어 각 담당자가 진행하였다.  

 

1 ciso의 법적대응과 전망 / 조희준 이사

CISO란 정보보호관리책임자의 약자로서 chief of information security officer라고도 칭한다. 지금까지 한국에서 정보보호 전문가가 단순히 엔지니어에 불과했다. 하지만 현재 기업의 중요한 책임자로서의 면모를 과시하고 있다. 특히 올해 국내 금융권 전체에 신설된 최고정보책임자(CIO)나 정보보호최고책임자(CISO)의 자리만 최소 70여 개에 달하는 것으로 나타났다는 것을 보면 그 위상이 변했다는 것을 알 수 있다. 이처럼 금융권에 정보보호 수요가 폭발하는 이유는 대규모 개인정보유출 피해가 발생했기 때문이라고 유추해볼 수 있으며 이런 사건에 대한 해결책으로서 내린 금융당국의 방침 때문이기도 하다. 그 방침의 내용은 금융당국은 ‘금융전산 보안 강화 종합대책’과 ‘개인정보 유출 재발방지 종합대책’등을 통해 최고정보책임자(CIO)가 정보보호최고책임자(CISO)의 자리를 겸직하지 못하게 하는 것이다. 이를 통해 좀 더 확고한 정보보안에 대한 의지를 표출한 것이다. 또한 정부는 연 매출 8000억 원 이상 대기업, 금융위는 총자산 2조원 이상 금융회사 의무 지정 등의 제도를 설치하였다. 그 후로 2013 2월에는 개정된 정보통신망법에 의하여 최고정보보호책임자 지정을 강화하는 ISMS 인증제도를 실시하게 되었다. 대표적으로 ISMS 인증제도의 내용은 최고정보보호책임자 지정 조직 구성강화, 최신기술과 보안사고반영의 항목, 경영진책임강화 등이 있다.

 

정보보호책임자의 역할과 의무가 증대된 것은 언제부터일까?

그것은 2000년대 등장한 제4세대 정보보호 거버넌스 때부터였다고 한다. 1세대 암호, 2세대 기술적·관리적 보안, 3세대 조직화·제도화를 거쳐 현재는 제4세대에 이른 것이다. 4세대인 정보보호 거버넌스에서 기업보안의 성패를 좌지우지할 정도로 중요한 것을 조희준 이사는 GRC Govermance, RiskManagement, Compliance를 이야기한다. 카드 정보유출사고와 KT홈페이지 해킹 등을 통해 내부통제, 거버넌스 이슈가 발생하고 있고 빈번하게 발생되는 보안사고는 기술적, 관리적 보호조치가 허술했다라는 측면에서의 비판이 계속되면서 GRC에 대한 전략적인 대응에 대한 중요도가 높아지고 있다.

GRC란 깅버에서 보안정책, 위험관리, 내·외부 규제 준수 이 세가지를 나타내는 것으로서 이 세가지는 보안에 있어 매우 중요한 역할을 한다는 것이다.

보안은 조직구성원이 따라주지 않는다면 얼마든지 재발할 수 있으며 IT위주의 보안에서 내부통제시스템 등 관리적 보안 중심으로 변화하고 있다. 보안사고가 기업에 미치는 영향이 커지면서 조직의 존폐까지 위험해지고 있어 사회의 변화와 보안의식 패러다임의 변화를 보여줄 필요가 있을 것이다.

 

2 SDP / 한승수 부장

IT환경은 나날이 복잡해지고 경계선이 불분명해지는 등 변화·발전하고 있다. 때문에 보안위협이 정교해지고 보안에 있어 관리해야 할 부분이 점점 늘어나고 있다. 체크포인트의 한승수 부장은 이에 대한 대책으로 자회사의 최신 보안구축 방법론인 ‘SDP(Software Defined Protection)’를 소개하였다. SDP는 변화·발전하는 IT인프라 시대에 맞추어 ‘Modular, Agile, Secure’라는 세 가지의 원칙으로 개발되었고, 집행·제어·관리의 3단계 보안계층으로 구성되어 각각 계층이 연계되어 동작하는 아키텍쳐다.

 

 

1. 집행레이어는 사용자와 시스템간의 통신내용을 검사하고 보안을 집행하는 계층이다.

Endpoint 보안, 네트워크 보안 게이트웨이, 사용자의 모바일제품 보안, 클라우드 보안, 가상화에 대한 보안시스템 등의 중요한 보호객체들을 이 계층에서 정의하고 있다. 이들은 경계선이 없는 환경을 동일한 보안을 적용할 수 있는 최소한의 집단으로 구성하여 세그먼트로 정의하고 이를 비슷한 속성끼리 그룹으로 묶어 보안요소를 적용하고 통합적으로 집행해 보안의 효율성을 높인다.

 

2. 제어 레이어는 실시간적으로 새로운 위협정보들을 분석하고 모아서 보안을 정의하고 동적으로 업데이트해 Enforcement Layer에 보내주는 역할을 한다.

엑세스 컨트롤과 데이터 프로텍션을 체계적으로 정의하여 Enforcement Layer에 있는 보호객체들이 동작을 잘 할 수 있도록 한다.

 

3. 관리 레이어는 기업의 비즈니스의 흐름을 보안정책에 반영해 기능을 제공하는 역할을 한다. 모듈화, 자동화, 가시화라는 세 가지의 기능으로 보안기능을 모듈로 관리하거나 각종 API를 사용하여 전반적인 비즈니스의 흐름에 자동적으로 대응하고 가시화 할 수 있다.

체크포인트가 제안하는 보안 구축론인 SDP는 미래의 있을 수 있는 위협에 대비한 오늘의 보안아키텍처로 통제하고 위협 정보에 대해 빠르고 신뢰 가능한 실시간 보안을 제공한다.

 

3부 산업기술유출 수사사례 및 보호방안 / 정점영 팀장

서울지방경찰청 산업기술수사대의 관리팀장인 정점영팀장은 먼저 산업기출 유사대를 소개하고, 산업기술 유출적용 법조의 수사방법, 산업기술 유출 수사 사례, 마지막으로 산업 기술 유출 방지방안에 대해 마무리하는 순으로 세미나가 진행이 되었다.

 

 

먼저 산업기술유출수사대 소개에 앞서 수사대 발대배경인 산업기술유출에 관한 전반적인 소개로 세미나가 시작이 되었다. 산업기술유출이란 기업이 소유하고 있는 물품의 제조방법, 판매방법, 기타 산업상 영업상 유용한 기술이나 경영정보 등 산업체의 업무에 관한 비밀을 부정하게 압수하거나 정탐하는 일체의 행위를 말한다. 산업기술유출은 해외 유출이 전체 23%를 차지하며, 중국, 미국, 독일, 일본, 스페인 등으로 다양화되어 있다. 지식재산권의 종류에는 특허, 실용신안, 디자인, 저작물, 상표 등 여러 가지가 있지만 산업 기술 유출 면에서 주목해야 할 것은 영업비밀이라는 다소 특수한 지식재산권이다. 영업비밀이란 공공연히 알려져 있지 아니하고 독립된 경제가치를 가지는 것으로서 상당한 노력에 의하여 비밀로 유지된 생산방법, 판매방법, 그밖에 영업활동에 유용한 기술성 또는 경영성의 정보이다. 또한 영업비밀은 비공시성, 경제성, 비밀(유지)관리성의 세 요건이 충족되어야만 한다. 이러한 영업비밀의 유출의 징후에는 여러 가지가 있는데, 대표적으로 ‘개발중인 제품과 유사한 제품을 다른 회사에서 생산할 때’, ‘주요고객이 갑자기 구매를 거절하며 거래선을 바꿀 때’, ‘핵심인력이 갑자기 사직할 때’를 꼽을 수 있다.

산업 기술 유출의 수사진행과정은 먼저 피해자의 상태와 상황을 면밀히 조사하고, 유출된 기술이 영업비밀으로 성립될 수 있는지에 대한 객관적인 자료를 확보한다. 그 후 증거자료를 확보하고 피의자를 조사하며 검찰에 송치하는 순으로 이루어진다.

 

정점영 팀장은 두 가지 산업기술유출사례를 소개 하였는데 먼저, 최근에 발생한 스테인리스 와이어 생산기술 및 영업자료 유출사건을 들 수 있다. 국내 모기업의 20년 가까이 종사해왔던 A씨가 중국의 경쟁업체로부터 억대 연봉과 사장, 부사장 채용 제의를 받고 국내 스테인리스 와이어 생산 업체의 제조 기술과 거래 정보 등 영업비밀을 이동식 저장장치에 담아 중국 경쟁업체에 유출한 사건이다. 다행히 신속한 검거로 인해 제품생산 계획에만 그쳐 연간 500억의 손실을 막을 수 있었다고 한다.

두 번째 사례는 미 출시 자동차의 외부디자인 유출사건이다. 이 또한 국내 자동차기업의 현 직원으로부터 발생된 사건이며, 국내 모자동차기업의 직원 B씨는 경쟁기업의 사내품평회에 참석했다가 자신의 스마트폰으로 차량의 외형을 몰래 촬영하여 사진을 인터넷에 올렸다. 그 후 유출된 사진이 불특정다수의 파워블로그 등에 의하여 급속도로 전파된 사건이다. 피해기업은 당시 개발중인 신차디자인이 일반에 공개돼 200억 원의 피해를 입었다.

이처럼 산업기술유출사건의 발생시, 피의자의 범주는 다양하지만 현 직원이 82%나 차지한다고 한다. 그러므로 이러한 산업기술유출을 방지하기 위해서는 임직원을 새로 채용할 때와 퇴직하는 직원을 관리할 때 면밀히 주의를 기울여야 한다. 먼저 직원을 채용할 때는 일차적으로 채용시 위험요소를 확인하여야 하는데, 출력물을 포함한 타사의 비밀정보 보유여부를 확인하고, 포렌식 인터뷰를 실시하거나, 비밀유지동의서를 체결하여야 한다. 퇴직하는 직원에 있어서는, 전직장 퇴직 시 각종 서약서 서명여부를 확인하고, 퇴직자의 관련성 없는 핵심정보를 보유하고 있는지, 정보의 외부 유출흔적은 없는지에 대해 주의 깊게 점검하여야 한다. 또한 현 직원들에 대해서는 보안서약서, 정보검색동의서, 경쟁사 핵심정보 반입금지 각서 등 각종 동의 양식을 작성하도록 시행하여야 한다.

마지막으로, 발표를 맡은 정점영팀장은 효과적인 유출사고 예방과 대응체계 구축을 위해서는 말로만 하는 보안 보다는 현실성 있게 눈으로 보고 하지 않으면 안 될 수 밖에 없는 환경을 구축해야 한다고 말했다. 또한 관리적보안과 기술적보안, 물리적보안이 함께 이루어진 보안인력 전문화와 정보보안시스템관리를 통해서만 첨단산업 기술유출차단이 이루어질 수 있다고 하였다.

 

4부 기업과 담당자가 놓치기 쉬운 보안체크 포인트 / 장기려 CEO

 

장기려 CEO는 마지막 파트를 담당하며 보안에 관해 놓치기 쉬운 점을 설명 하였다.

 

보안에는 인적 보안과 기술적 보안이 있으며 인적 보안이 중요하다고 하였다. 기술적 보안은 외부에서 접근하지만, 인적 보안은 내부에서 일어나기 때문이다. 또한, 내부자료를 외부로 유출하는 것이 가장 큰 손실이자, 일어나기 쉬운 일이다.

인적보안은 지나치게 허용되는 사내 환경에서 일어나며, 믿을 수 있지만 가까이 있는 사람을 주의해야 한다. 산업스파이 같은 경우 치밀한 계획을 통해 침입하기에 이에 대한 대비를 철저히 해야 하며, 직원이 내부의 자료를 노리는 이유는 금전적, 물질적인 이유이다. 이를 막기 위해서는 정보의 하나하나가 회사원들에게 자산이란 것을 명시해야 한다.

 

 

내부 정보 유출 사례

1. 사내 모습을 보면 책상 위에 정리되어 있지 않은 문서를 볼 수 있다. 이러한 것에 무심코 관심을 갖게 되고 파기가 되어야 할 문서를 보게 된다. 또한, 대리작성 하는 일을 하게 되는데 이것이 유출의 길로 번지게 된다. 회사의 일을 외부에서 하게 되는 일과 외부에서 문서를 제작하다 유출되는 일도 있다. 예를 들어 까페에서 사내 망에 이메일을 보낼 때 스푸핑을 당하는 경우이다.

 

2. 문서를 인쇄하다 보면 몇 장 더 인쇄할 경우가 생기는데 파기하지 않고 분리수거 함에 넣는 경우가 있다. 이럴 경우 외부 분리수거하는 곳에서 유출 되는 상황이 생길 수도 있다. 계정과 패스워드를 적어놓은걸 그냥 버리는 경우, 병원에서 환자의 인적 사항을 그냥 버려 외부로 유출 시키는 사례를 초례한다. 따라서 회의, 인적 사항이 들어간 문서는 꼭 회사 내부에서 폐기를 해야한다.

 

정보보안 담당자가 해야 할 일

1. 정보보안 담당자가 직원에 대한 평가가 있어야 하고 사람에 대한 감시가 있어야 한다.

산업 기술에 대한 보안은 해당 데이터를 분산시켜 놓는 것이 좋은 해결책이고 필요할 때 다시 합쳐 복구시키는 방향으로 사용하는 것이 좋은 보안체계이다.

 

2. 장비에 너무 의지하지 마라. 보안 장비를 좋은 것을 이용해도 내부에서 일어나는 해킹에 관해서는 취약하고 외부에서 해킹을 한다 하더라도 100% 막지는 못한다. 계산기 마다 같은 수식이라도 결과값이 다르다. 이처럼 변수에 대응하기 위해서는 장비에만 의지하지 말고 담당자들이 기술에 관한 지식을 길러야 한다. 형식적인 공격이 아니라 APT와 같은 지능적인 공격은 쉽게 막지 못한다. 장비든 솔루션이든 유명하고 강력한 보안 기술이 있으며 보안체계가 있다 하더라도 이것만으로는 막을 수 없다. 최적의 효율을 뽑아낼 수 잇는 장비와 솔루션을 채택할 수 있는 능력을 길러야 한다. 또한, 채택 후 꾸준한 관심과 관리가 필요하다. 기존의 체계와 적합한지 문제가 없는지 체크하는 것도 중요하다.

 

3. 보안 담당자가 최적의 보안을 만들기 위해서는 외부와 내부의 밸런스를 맞춰야 한다. 장비와 솔루션 이외에서 가장 낮은 단에 잇는 어플리케이션을 확인 해야 한다.

KT사건을 예로 들 수 있다. 웹 사이트 제작을 담당자가 아니라 대행업체에서 만들었기에 취약하였다. 보안 솔루션에서는 문제가 없다고 생각하며, 트래픽 이상징후를 정확히 모니터링 하지 않았다고 생각한다. 어플리케이션 취약점을 제대로 테스트 하지 않아서 생긴 것 같다.

 

4. 보안 담당자는 환경에 대해서 탐구를 가지고 호기심을 가지고 찾아 보면서 위협들이 될만한 요소들을 제거해나가야 한다. 유출 사건에 대한 기업을 보면 고객의 정보, 데이터를 암호화 시켜 놓지 않는다. 보안 담당자는 정보가 유출 되면 피해 규모를 예측 할 수 있어야 하고 본인들의 가족과 같다고 생각하고 보호 해야 한다. 위에서의 지령이 아니라도 본인이 관심을 갖고 행동해야 한다.

 

회사의 문제

1. 경영진의 보안 예산 축소와 무관심

보안의 예산이 줄어들면 응용할 수 있는 효율적인 장비도입과 솔루션 도입에 차질이 생긴다.

보안 담당자는 아무것도 없기 때문에 슈퍼컴퓨터가 되어 모든 것을 대처해야 하지만 환경이 없어 불가능 하다.

보안 인력과, 보안에 대한 예산이 없어 보안에 대한 것이 축소 되고 소수의 사람이 많은 것을 책임지게 되어 절대 발전 할 수 없다.

 

2. 비전문가를 보안실무에 배치하는 것

실제로 비전문가가 보안에 배치되어 경영하는 경우가 있다. 웹 개발자가 보안을 담당, DB관리자가 DB보안까지 담당하는 경우가 있다. 이럴 경우 민감한 정보를 보게 되고 외부의 물질적인 유혹으로 인해 정보가 유출 될 수 있다.

 

3. 지나치게 매뉴얼과 가이드라인에 얽매인다.

규정은 지정된 것이기에 지켜야 하지만 이것으로 인해 기업들의 보안 수준이 달라지고 있다.

이미 잘하고 있는 회사는 잘하고 있지만 규정으로 인해 낮춰야 하고 기준 선에 있는 회사는 정체 되어 있어야 하기에 좋지 않은 보안상태를 보여주게 된다. 가이드 라인은 가이드 라인 일 뿐 최고의 보안 상태를 유지하기 위해서는 자체적으로 보안할 능력이 있어야 하고 꾸준히 개발해 나가야 한다. 국가는 이러한 규정을 전문가를 초빙해서 개편해야 하고 기업들간에 자체적인 가이드라인을 만들어 개선해야 한다.

 

4. 임원진의 문제

임원들이 실적을 내기에 급급하다. 이로 인해 보안을 무시하게 된다. 임원들의 생각이 바뀌어야 한다. 회사의 수익만을 위해서가 아니라 보안에 신경을 써야 한다. 공격에 철벽 같은 수비로 고객에게 신뢰를 주어 향후의 더 큰 효과를 생각하고 볼 수 있어야 한다. 장기적으로 보았을 때 보안이 중요하다. 보안은 기본적인 부분이고 의무적인 부분이라는 것을 잊지 말아야 한다.

 

5. 보안 담당자에게 충분한 권한을 주어야 한다.

보안은 기업의 자료와 기술을 보호하기 위한 것이다. 경영, 전략, 보안까지 포함해 모두 맞물려야 일이 진행 된다. 보안이 빠진 경영은 장기적으로 원할하게 진행 될 수 없다. 많은 사람의 자료와 기술을 보호하기에 충분한 환경을 투자해야 하고 존중해 주어야 하며 보안담당자의 인력과 의견을 중요시 해야 한다.

 

 

이날 회사업무를 마친 후 평일임에도 불구하고 많은 정보보안 전문가와 보안에 관심을 갖는 학생 및 일반인들이 참석하여 자리를 끝까지 채웠다. CISSP협회에서 좋은 자리를 마련하여 다양한 주제로 강연자들이 속이 꽉 찬 강연을 할 수 있었고, 참석자들은 경청하여 들을 수 있었다. 2014년 초부터 많은 보안 사고가 일어나고 있지만 아직 그에 대한 대처는 미흡한 점을 볼 수 있기에 이러한 많은 강연에서 사례로 나타나진다. 보안이 잘 되있어도, 잘 되어있지 않아도 이러한 강연을 통해 항상 관심을 갖고 주의 깊게 생각해야 한다는 것을 느끼게 해주고 다시 한 번 보안의 중요성을 알려주는 세미나였다.


서원대학교  정보통신공학과 / 대학생기자 최주연

성균관대학교 신문방송학과 / 대학생기자 김진영

성균관대학교 행정학과 / 대학생기자 주영준

세종대학교 디지털콘텐츠학과 / 대학생기자 손지혜


댓글을 달아 주세요

일본 최대 IT 전시회 속 안철수연구소 이모저모

현장속으로/세미나 2010.11.18 08:00

안철수연구소 일본법인 안랩재팬(www.ahnlab.co.jp)은 얼마 전 도쿄 빅사이트(Tokyo BigSight)에서 열린 일본 최대 IT 전시회 'IT 프로 엑스포(IT Pro Expo)'에 참가했습니다. 

Tokyo BigSight의 전경.
일본법인 직원들이 전시회에 참석하기 위해 이동하는 모습입니다. 오늘을 위해 많은 것을 준비한 만큼 각오가 대단하겠죠? ^^ 
행사장에 도착해 직접 부스를 설치하고, 기자재 설치도 완료했습니다. 이제 고객을 모실 모든 준비가 끝났네요!
'IT 프로 엑스포'는 세계 각국에서 온 240여 개 회사 73,000여 명의 IT 업체 관계자 및 바이어가 한 자리에 모여 비즈니스 상담 및 정보 교환을 하는 장입니다. 다양한 정보와 트렌드 및 기술 동향, 시장 동향 정보를 공유할 수 있는 행사입니다.

안랩 일본법인은 네트워크 보안 장비인 '트러스가드 UTM 1000'과 보안관제 서비스인 '세피니티(Sefinity)'를 전시했습니다.

안랩 일본 법인의 오우라 과장

UTM+보안관제 서비스의 성공 사례를 주제로 미니 세미나를 동시에 개최하기도 했습니다.

보안관제 서비스를 발표하는 모습

재미있었던 점은 이번 행사에서는 UTM(종합 위협 관리) 벤더들이 모인 전문 부스에서 타사 UTM과 함께 전시되어, 인기있는 벤더와 그렇지 않는 벤더가 뚜렷하게 구별되는 양상을 보였다는 것입니다. 단순히 UTM만을 제공하는 벤더들은 방문자가 뜸한 반면, 하드웨어와 소프트웨어 및 관제 서비스까지 광범위한 보안 서비스를 제공하는 유일한 벤더, 안철수연구소의 솔루션은 큰 호응을 얻었습니다. 

왼쪽부터 김대환 연구원, 오우라 과장, 심영섭 팀장

늘 미소로 고객을 맞이하는 최필 과장

3일 간 열린 엑스포에서 안랩 일본법인은 각국에서 모인 IT 기업 및 고객과 직접 소통하며 현재 IT 산업의 트렌드와 안랩의 기술을 성공적으로 알리는 의미있는 시간을 보냈습니다. Ahn

신마유미  / 안철수연구소 일본법인 마케팅 과장


댓글을 달아 주세요

안철수연구소 기업 대상 무료 통합보안 세미나 개최

독자이벤트 2010.10.14 13:46

저희 안철수연구소가 기업/기관의 IT 담당자를 대상으로 아래와 같이 무료 보안 세미나를 개최합니다. 많은 관심과 성원을 부탁드립니다.*^^*


댓글을 달아 주세요

해킹과 보안, 창과 방패의 무한 충돌 현장

현장속으로/세미나 2010.03.18 09:09
얼마 전 국내 보안 컨퍼런스로 유명한 'Paradox Confernece 2010'(이하 파도콘 2010)이 서울 양재동 AT센터에서 개최되었다. 파도콘은 2005년부터 올해로 6번째 열렸다. CTF(Capture The Flag; 팀 간 상호 공격과 방어를 하며 점수를 획득하기)와 같은 해킹대회부터 보안 관련 이슈들에 대해 세미나와 다양한 이벤트까지 열정적인 행사들로 가득했다.


파도콘은 2005년 국내 해킹 및 정보보호 동아리들이 연합하여 만든 해킹/보안 컨퍼런스로 매년 초미의 관심사인 보안 이슈를 연구하고, 그 결과를 세미나 형식으로 발표하는 자리이다. 무엇보다 등록비도 없고, 누구나 참여할 수 있다는 점이 큰 매력이어서, 학생부터 전문가까지 많은 사람들이 참여한다. '파도콘 2010'은 이틀 동안 두 개 세션으로 나누어 진행되었다.


모바일 기기 해킹


국내 해커 그룹으로 유명한 beistlab의 멤버 osiris는 윈도 모바일이 가진 위험성을 시연과 함께 언급했다. 발표자는 윈도 모바일에 악성코드를 이용해서 SMS 서비스를 스니핑하는 등 예상할 수 있는 위험을 언급하고 사용자의 주의를 당부했다.
 

        


또한 binoopang은 최근 많이 사용되는 모바일 기기 아이팟 터치(iPod touch)에서 BOF(Buffer OverFlow; 메모리를 다루는 데에 오류가 발생하여 잘못된 동작을 하는 프로그램 취약점)를 이용하여 원격에서 코드를 실행해 리버스 바인드 셸코드(reverse bind shellcode)를 시연해 보였다. 그동안 애플의 정책상 불가하다고 알려진 원격 공격을 직접 시연해 충격을 주었다.


IPTV 해킹 및 ECU(전자제어장치) 해킹




그동안 IPTV의 해킹 위험성이 많이 알려져 관련 기관에서 보안에 힘쓰고 있지만, 상용 제품에 한해서는 아직 보안이 부족하는 발표가 눈길을 끌었다. 전북대 정보보호 동아리 IS(Invisible Sheild)의 이강욱씨는 IPTV에 보안에 매우 신경쓰고 있지만, 아직까지 부족하는 말과 함께 유료 컨텐츠에 대한 보호를 우회하는 방법을 직접 시연해 보였다.


또한, 동명대 정보보호 동아리 THINK의 최영남씨는 차량 안에 들어가는 ECU(전자제어장치)를 해킹해서 원하는 행동을 유발하는 하드웨어 해킹을 선보였다. 차량 안에 들어가는 ECU 역시 시스템의 일종이니 해킹이 가능하다는 것이 업계의 통념이었는데, 이를 직접 시연해서 도난방지 장치가 되어있는 차량의 시동장치를 우회하는 것을 동영상으로 시연했다.     

 

더 발전한 해킹 기법, 새로운 위협


영남대 정보보호 동아리 @Xpert의 이대규씨가 최신 안티 디버깅 기법들을 우회하는 방법들을 소개하고, 경북대 정보보호 동아리 KERT의 송석우씨가 악성코드(루트킷)을 감추는 최신 기법을 소개했다.


또, 동명대 정보보호 동아리 THINK의 심영진씨는 이제까지의 무선랜 해킹 기법과는 생각의 원리를 반대로 하는 'Passive War-Driving'을 선보여, 공개된 AP(Access Point; 무선 랜 구성 장치 중 하나로 유선 랜과 무선 랜을 연결해줌)가 아직까지 얼마나 많은 위협이 되고 있는지를 시연했다.


이제는 고전 해킹 기법인 BOF나 FSB(Format String Bug; 입력값을 다루는 데에 오류가 발생하여 잘못된 동작을 하는 프로그램 취약점)들이 최신 윈도에서도 아직 통용된다는 사실을 자세히 보여준 충남대 정보보호 동아리 ARGOS의 심준보씨는 윈도 비스타 커널에서 BOF를 통해 쉘코드를 실행하는 시연을 보여준 뒤, “보안은 끝이 없다. 계속해서 대비해야 한다.”라고 말했다.


그 밖에도 보안 업체 nchovy의 양봉열씨는 Kraken이라는 새로운 보안 프로그램 개발 프레임워크를 선보이고, 편의성에 중점을 둔 개발이 어떤 것인지 깊이 있게 설명했다.


참여하는 세미나, 재미있는 이벤트


파도콘에서는 매우 다양한 참여 형식의 이벤트를 준비했다. 인상적인 이벤트로는 주어진 개수의 메모리(RAM)을 최대한 높이 쌓아올리는 RAM stager, 어셈블리 코드를 프린트물로 나눠준 뒤 손과 머리로 리버싱해 답을 구하는 핸드 리버싱(Hand Reversing), 행사장 안의 AP로 도전하는 해킹대회인 라이브 해킹, 분해된 키보드를 다시 맞추어서 재조립하는 키보드 어셈블링(Keyboard assembling) 등이 있었다.

   

 

그리고 올해 역시 파도콘에서는 CTF 방식의 해킹대회를 개최했다. 행사장에서는 본선을 진행했는데, 누구나 구경할 수 있어서 다른 참가자의 해킹 과정을 실제로 관람할 수 있었다. 본선에서는 beistlab 멤버들이 출전한 ADNIM 팀이 1위를, 고등학생들의 연합팀인 1234팀이 2위를 거머쥐었다. 크지 않은 상금이었는데도 CTF장에서는 매우 뜨거운 열기를 느낄 수 있었다. 

  

 

많은 사람들이 열정적으로 정보보호의 의미를 되새기고 그곳에서 재미를 찾아 순수하게 움직이는 모습이 무엇보다 좋아 보인 행사였다. 행사가 끝나고, 뒤풀이에서 많은 사람을 만나면서 꿈나무로 자라는 학생들이 있어서 우리나라 보안 업계의 미래는 매우 밝다는 생각이 저절로 들었다. 항상 열정을 잃지 않는 파도콘이 되길 바란다. Ahn

     

 


심준보 / 파도콘 회장

댓글을 달아 주세요

  1. 라이너스™ 2010.03.18 17:05 신고  Address |  Modify / Delete |  Reply

    정말 흥미진진했겠어요?
    창과 방패라... ^^

  2. 요시 2010.03.19 23:51  Address |  Modify / Delete |  Reply

    해킹에 관심이 많았는데 ^^
    관심 가는 내용이 많네욥^^

안철수 교수 참석한 2009 최고의 컨퍼런스

정보의 홍수 속에 사는 우리. 정말 유익한 정보를 얻기 위해 적잖은 공을 들여야 하는 시대이다. 그런 정보를 얻는 방법은 매우 다양하다. 그 중 컨퍼런스는 발품을 팔아야 하고 시간이 많이 들기는 하지만 그에 못지않게 여러 가지 면에서 장점이 있다.
세미나의 매력은 첫째, 평소 만나기 어려운 대기업 CEO나 세계적인 석학의 강연을 통해 향후 경제 발전 방향과, 기업이 나아가야 할 방향에 대한 팁을 얻을 수 있다는 점이다. 또한 인적 네트워크를 만들 수 있다는 것이다. 브레이크 타임이 되면 동종 업계에 종사하는 사람끼리 서로 인사하고, 상호협력할 수 있는 방법을 모색할 수도 있다..더욱이 식사를 제공하는 행사라면 맛있고 다양한 음식을 맛볼 수 있다.

한 해를 정리하며 그동안 참석한 컨퍼런스, 세미나를 되짚어보았다. 지난 10월 26일 한국무역협회 주관으로 그랜드 인터컨티넨탈 호텔에서 열린 '기업가정신 국제 컨퍼런스'가 2009년 최고의 컨퍼런스가 아니었다 생각한다.
              

한국무역협회 회장, 지식경제부 장관이 각각 개회사와 축사를 하고 바로 컨퍼런스가 진행되었다. 동화약품 윤도준 회장, 넛지의 저자 리처드 탈러, 한국무역협회 오영호 부회장이 기조 연설 및 개막 강연을 했다.

국내 최장수 기업인 동화약품의 윤도준 회장은 기조연설에서 '장수기업과 기업가정신'에 대해 말했다.

- 위기는 '좌절'이 아니라 '극복'되어야 한다.
- 직원들이 '남의 회사'가 아니라 '내 회사'라고 느껴야 한다.
- 대표적 히트 상품과 지속적인 신제품 개발
- 신뢰는 기업의 생명이다.
- 비전을 공유해야 효율성이 극대화한다.

이어진 세션 1에서는 '창업 초기 단계를 넘어 탄탄한 기업으로 성장하는 원동력은 무엇인가?'를 주제로 서울대학교 곽수근 교수, '브레이크 스루 컴퍼니'의 저자 키스 맥팔랜드, 코라오 그룹 오세영 회장이 발표를 하였다. 

코라오 그룹 회장이 말하는 글로벌 사업의 조건

오세영 회장은 라오스 최대 민간 기업으로 성장한 한상의 힘을 설명했다. 요즘 각 나라들이 해외로 나가서 땅을 확보하고 개간, 경작하는 사례가 많은데, 이것이 곧 국가 경쟁력이 된다고 강조했다. 그리고 국가 브랜드 구축을 위해 우리 정부가 노력하는 것을 높이 산다고 말했다. 이어서 코라오의 10가지 원칙을 통해 기업가정신을 말해주었다.


<코라오 그룹의 10가지 원칙>

1. 다른 모든 사람이 하고 있는 것을 찾아내어 그것과 다르게 하라.
2. 고객만족에 저해되는 일과는 절대 타협하지 말라.
3. 협의는 의사 결정권자와 하고 협의된 사항은 꼭 문서로 남겨라.
4. 평범한 사람들이 비범한 일을 하게 하라.
5. 시대 흐름을 읽고 국가 발전과 함께 하라.
6. 장기적 관점에서 사업을 영위하고 브랜드 관리로 기업가치를 높여라.
7. 정부 관련 이권 사업에 개입하지 말고, 현지 중소 상인에게 피해를 주는 사업은 삼가라.
8. 준법 경영을 반드시 실천하고 고위층과의 관계 과시에 주의하라.
9. 이익의 사회 환원을 무조건 실천하라.
10. 기업의 경쟁력과 영속성은 현지화에 달려있다.

이어서 오 회장은 그 나라에 맞게 창의적으로 계획하고, 역발상으로 생각하는 것이 중요하다고 강조했다. "코라오 그룹은 그 나라가 생각하는 이상적인 것을 만들려고 했다. 다른 회사들은 현지화에 집중하느라 서비스의 질이 낮았다. 이를 역발상으로 만들었다. 라오스에서 선진국을 표방한 서비스의 질이 높은 금융업을 만들었다. 한국에서도 보기 힘든 질 높은 서비스와 인테리어 등을 제공했다. 그 결과 은행을 시작한 지 9개월 만에 인도에서 4위로 올라갔다." 


아울러 글로벌 사업을 하려면 조급함을 버리고 현지 문화를 이해하는 것이 중요하다고 강조했다. "다른 나라에 가보면, 우리나라에는 있는데 그곳에는 없어서 사업을 빨리 하고 싶은 조급함이 생긴다. 하지만 그곳에 없다고 해서 사업 아이템이 되는 것은 아니다. 나에게 라오스에서 사업을 하려고 조언을 구하는 사람들이 있다. 그럴 때 나는 1년 정도 살아보고 다시 얘기하자고 한다. 거기서 먹고 자고 생활하며 그곳 사람들을 정확히 이해하는 것이 중요하다."

"한 나라에서 성공하는 것은 그 나라 사람들에게 사랑을 받았기 때문이다. 때문에 이들에게 돌려주는 것은 많으면 많을수록 좋다. 코라오 그룹도 학교에서 무료로 강의하는 등의 봉사를 한다."라며 현지인이
외국 기업에 주는 존경은 상당히 인색하기 때문에 더 많이 노력해야 한다고 말했다. 

오 회장이 스피치를 마치자 한 청년이 지금 취업난에 힘들어하는 젊은이에게 조언을 해달라고 했다. 그는 "
한국의 청년 실업 문제는 문제가 아니라 해외에 나갈 수 있는 자원이라고 생각한다. 성공인자를 채워서 나가라. 그러면 이는 개인뿐만 아니라 국가에 더 도움이 될 것이다."라고 답변했다. 

안철수 교수가 새롭게 정의하는 기업가정신


세션 2에서는 '실패와 도전의 기업가정신 - 제2의 벤처 붐을 위하여'라는 주제로 한국무역협회 국제무역연구원 이경태 원장, 카이스트(KAIST) 안철수 석좌교수, 스탠포드대학교 경영대학원 황승진 석좌교수, 드림위즈 이찬진 대표이사의 토론이 진행되었다.


안철수 교수는 우리나라에도 경영자와는 구별되는 기업가가 많이 나와야 하는데, 그렇지 못한 이유를 발표했다. 안 교수는 우선 '기업가'와 '기업가정신'을 새롭게 정의했다. '기업가'를 사전에서 찾아보면 다음 세 가지가 나오는데, 우리는 흔히 企業家, 즉 비즈니스맨(businessman)을 생각한다는 것이다. 그러나 '기업가정신'을 이야기할 때의 '기업가'는 起業家, 즉 앙트러프루너(entrepreneur)를 의미한다고 설명했다.

----------------------------------------------------------------------
企業家 기업에 자본을 대고 기업의 경영을 담당하는 사람.
起業家 어떤 사업을 구상하여 회사를 설립하는 일을 직업으로 하는 사람. 
機業家 천을 짜는 사업을 경영하는 사람.

----------------------------------------------------------------------

아울러 起業家(entrepreneur)는 현상 유지를 하기보다 도전정신으로 새로운 가치를 창출하고 새로운 일자리를 만드는 사람이며, 그런 마음가짐과 행동(활동)이 바로 기업가정신(entrepreneurship)의 핵심이라고 강조했다. 단순한 경영자 마인드가 아니라 창업과 가치 창조 활동을 의미한다는 것.



안 교수는 "이러한 기업가정신은 국가경제 전체의 활력을 불러일으키고, 성장의 원동력과 일자리 창출에 중요한 몫을 담당하는데, 우리나라는 현재 기업가정신이 쇠퇴하고 있다."라고 진단했다. 그리고 그 이유를 하나하나 짚었다.   

1. 사업 기회가 적은가?
미국 시장보다는 한국 시장이 작은 것은 사실이지만, 기업가정신을 해치는 주요한 원인은 아니다.                          

2. 보상이 적은가? 상대적으로 작은 M&A 시장과 투명하지 않은 수요공급자 시장이 보상을 감소시키는 것은 사실이다.                                             

3. 성공 가능성이 적은가? 산업 전체적인 구조가 약하고, 대기업과 정부 사이에서 상대적으로 작은 기업들이 살아남기 힘든 구조가 형성되었다.                 

4. 위험 부담이 높은가? 우리나라는 미국과 달리 연대보증제가 있어 사업이 망하면 개인뿐 아니라 한 가정이 파탄나는 경우가 많기에 위험 부담이 높은 편이다.


그렇다면 이러한 기업가정신을 저해하는 요소를 해결하려면 어떻게 해야 할까? 안 교수는 우리나라 정부, 기업, 개인 모두 합심해 해결해야 한다고 강조했다. 모든 이해 당사자가 서로 협력해 기업가정신을 살릴 수 있는 산업 구조를 만들어가야 한다고.

또한 모범 사례로 미국의 실리콘 밸리를 들었다. 실리콘 밸리는 지리적으로 온화한 이점도 있지만, 국가와 지역이 유기적인 관계를 맺어 서로 프로젝트를 분담하고, 스탠퍼드, 버클리, 산타클라라 등 명문 대학이 근접해 있으며, HP, 인텔, 구글 같은 세계 초일류 기업들이 있어서 산업 구조가 유기적으로 잘 형성되어 있다는 것이다.

벤처 창업은 위에서 말하는 기업가정신에서 나온다고 할 수 있다. 기업가정신으로 무장한 많은 인재들이 양성되어, 우리나라에도 훌륭한 기업가가 나오기를 소망해 본다. Ahn
 

대학생기자 김광연 / 중앙대 경영학과
꿈꾸는 당신을 위한 초석 Red-Bricks가 되어드리겠습니다. 제가 가진 열정과 노력으로 세상의 모든 일은 이룰 수 없지만, 무엇인가는 이룰 수 있을 것이라 믿으며 어제보단 오늘이, 오늘보단 내일의 모습이 더 나아짐을 꿈꾸며 오늘도 한걸음, 세상을 향해 발디뎌 봅니다.

 

대학생기자 전아름 / 서울여대 미디어학부

남들이 보기에 취업과 무관한 자유로운 사람이라고 불리는 나, 대학생 CEO를 꿈꾸며 다양한 활동을 하고 도전을 사랑하는 여대생이다. 일을 할 때는 쿨한 모습을 유지하려 하지만 밴드, 바텐더, 미술 활동 등 예술적 생활을 일상으로 삼고 있다. 안랩을 통해서 많은 영감을 받길 바란다!  


댓글을 달아 주세요

  1. 요시 2010.01.01 15:48  Address |  Modify / Delete |  Reply

    2009년에도 즐거우셨던 일들
    2010년에는 더욱 더 즐거운 한 해 되시길 바랍니다^.^

  2. 엔시스 2010.01.02 08:24  Address |  Modify / Delete |  Reply

    잘 읽었습니다. 트랙백 하나 달고 갑니다.

  3. LiveREX 2010.01.02 15:03  Address |  Modify / Delete |  Reply

    좋은글 잘 보고 갑니다 ^^

  4. 도용아닌mbti 2010.01.03 22:44  Address |  Modify / Delete |  Reply

    좋은 글...잘 보고 갑니다...ㅎ...

  5. 블랙체링 2010.01.04 13:32  Address |  Modify / Delete |  Reply

    안철수 교슈님이시군요 ^^*

    안랩의 모두들 2010년 새해복 많이 받으세요~

  6. 도용아닌mbti 2010.01.08 10:33  Address |  Modify / Delete |  Reply

    현대차 납품단가 깎기…"협력사만 죽는다
    http://news.naver.com/main/read.nhn?oid=019&aid=0002077574

  7. 도용아닌mbti 2010.01.08 10:34  Address |  Modify / Delete |  Reply

    대기업・중기 상생협력은 공염불인가
    http://news.naver.com/main/read.nhn?oid=032&aid=0002046602

  8. 미스비시 2010.01.12 23:44  Address |  Modify / Delete |  Reply

    잘 읽었습니다. 새해에는 좋은 일만 있기를~!

지혜로운 IT 직장 생활을 위한 5가지 팁

안철수연구소는 올해 5~6월 부산, 대전, 전주, 광주, 대구까지 5대 지방 도시에서 ‘2009 안랩 시큐리티 페어’를 개최했다. 그리고 그 대미를 오는 9월 서울에서 장식할 예정이다. 전국 각자의 고객과 직접 만나 생생한 이야기를 듣고자 마련한 대규모 행사는 보안사업본부는 물론 인터넷사업본부, 서비스사업본부가 긴밀히 협력해 성공적으로 진행되었다.

대전에서 열린 시큐리티 페어


페어를 진두지휘한 조동수 보안사업본부 전무는 작년 11월에 안철수연구소에 합류한, 안랩에서만큼은 참신한 새내기(^^)이다. 그가 밖에서 보던 안랩은 구성원으로서 보는 지금의 모습이 어떻게 다른지, 보안사업본부 수장으로서 가장 중요하게 생각하는 것은 무엇인지, 고객과 나눈 이야기 중 안랩인과 공유하고 싶은 메시지는 무엇인지 들어보았다.

* 안철수연구소 보안사업본부 조동수 전무 인터뷰

-안철수연구소에 오신 지 반년 조금 넘었는데 밖에서 보던 안랩과 지금의 안랩은 어떻게 다른가?

사실 외부에서는 추상적으로밖에 알지 못했다. 지난 반 년 동안 본 안랩은 인적 자원이나 가능성 면에서 매우 탁월하다. 부서 간 긴밀한 협업으로 지금보다 훨씬 더 큰 경쟁력을 확보할 수 있을 것이다. 그 동안 안랩은 솔루션 위주로 시장에 접근했지만 앞으로 통합보안 서비스 회사로 자리매김해야 할 것이다. 그럴 수 있는 역량과 자원을 가진 회사는 세계적으로도 거의 우리 회사밖에 없다고 생각한다.
 
-지방 5개 도시를 돌며 페어를 개최했는데 어떤 내용이었나?
페어에서 보여준 것은 엔드포인트 보안, 네트워크 보안, 웹 보안, 그리고 이들을 통합적으로 관리하는 매니지먼트(Management), 이렇게 네 가지였다. 사실 많은 고객이 안철수연구소 하면 V3밖에 떠올리지 못한다. 때문에 우리 회사가 제공하는 솔루션이 V3뿐 아니라, 통합보안 솔루션과 통합보안 서비스 등 다양하다는 점을 알리고자 노력했다. 실제로 이 부분이 가장 큰 성과이기도 하다.

또한 V3 Internet Security 8.0, AhnLab Policy Center 4.0, V3 MSS, 트러스가드 등의 신제품을 소개할 수 있는 좋은 기회였다. 고객에게 쉽게 접근하고자 이렇게 설명했다. ‘엔드포인트 보안은 안방문, 네트워크 보안은 현관문, 그리고 웹 보안은 거실에 있는 창문을 단속하는 것에 비유할 수 있다. 이뿐 아니라, 외부에서 침입해왔을 때 탐지를 하고 이에 대응하는 것이 매니지먼트이다. 이 모든 것을 바로 우리 회사가 제공한다.’ 그리고 추가로 모바일 백신(AhnLab Mobile Security)과 및 온라인 게임보안 솔루션(핵쉴드)에 관한 설명을 덧붙였다.

이어서 이 제품들 간의 결합, 예를 들어 안방문(V3)과 현관문(트러스가드)을 어떻게 결합해야 보안을 확실하게 할 수 있는지 설명했다. 또한 고객들이 보안 대책을 수립할 때 ASEC(시큐리티대응센터)과 CERT(컴퓨터침해사고대응센터)의 서비스 인프라까지 풀 라인업(Full Line-up)을 제공한다는 점을 강조했다.

-성과를 평가한다면?
참석자의 숫자가 중요하다고 생각하지는 않지만, 목표로 잡았던 것보다 많은 고객이 오신 게 사실이다. 외국 기업이 행사를 해도 참가자가 40~50명 수준인데 우리는 평균 150명 내외였고 광주는 200명 가까이에 다다랐다. 참여한 팀원들에게 우리가 고객에게 어떤 가치를 전달할 수 있는지, 왜 안랩인지를 보여줄 수 있도록 강조했다. 또한 참가자 중에는 보안 전문가도 있지만 아닌 분이 많았기 때문에 가능한 한 쉽게 전달하고자 노력했다.

또 하나의 성과는 지방의 파트너, 이번 페어에 함께 한 협력사와 가까워진 것이다.  이번 행사는 안랩 단독으로 하지 않고 협력사들을 참여시켰다. 비용 절감 측면도 있지만, 협력사가 좀더 많은 관심을 갖고 적극적으로 참여할 수 있게 하기 위해서다. 그 지역에서 본인의 역할을 할 수 있도록 안랩이 뒤에서 열심히 돕겠다는 의지를 보여주었더니 협력사들이 앞장서서 더 많은 고객이 참석하도록 노력해주었다. 행사 후 저녁 식사를 함께 하며 비즈니스의 어려운 점을 허심탄회하게 이야기하며 굉장히 친해졌다.

안철수연구소 보안사업본부 조동수 전무


-지방 고객들이 안랩에 가장 원하는 것이 무엇이라고 느꼈는가?

지방 고객이 안철수연구소에 거는 기대가 굉장히 크다. 직접 해당 지역을 방문해 설명하고, 필요한 서비스도 제공하겠다는 점에 많은 감사를 표해주셨다. 또한 몇 안 되는 국내 기업으로서 더욱 더 성장하여 전세계로 뻗어나가는 글로벌 기업이 되기를 당부하셨다. 또한 정기적으로 이런 행사를 개최해달라는 요청을 가장 많이 받았다.


-다른 본부와 협업해 페어를 치렀는데 내부 협력의 만족도는 어떠한가?

항상 강조하지만, 중요한 것은 협업이다. 이번 페어 또한 결코 보안사업본부만의 행사가 아니었다. 거리가 먼 지역에서 하는 것이라 셋팅, 현장 리허설까지 굉장히 할 일이 많기 때문에 팀워크 없이는 불가능했다. 심지어 식사할 시간이 없어서 창고에서 도시락을 시켜먹기까지 했는데, 누구 하나 불평하는 사람이 없었다. 각 사업본부 사람들과 협력해서 일을 하니, 서로의 일을 이해할 수 있는 좋은 기회가 생겼다. 그런 과정에서 전사적인 팀워크가 발생한다고 생각한다.

-이번 페어를 진행한 실무자들에게 어떤 격려를 해주었나?
‘우리가 어떠한 자세로, 얼마나 큰 열정을 가지고 임하느냐에 따라 이번 페어의 결과가 달라진다. 몇 명의 고객이 방문하는지가 중요한 것이 아니라, 우리가 이 과정에서 고객에게 얼마나 진실되고 열정적으로 메시지를 전달할 수 있는지에 집중하자.’고 강조했다. 사람들이 우리를 통해서 안철수연구소 전체를 볼 수 있기 때문에 더더욱 조심해야 했다. 다들 자기 일처럼 직접 나서서 일하고, 아픈 사람 없이 무사히 마쳤기에 무척 감사하다.

-평소 보안사업본부 구성원에게 강조하는 말이 있는가?
고객의 소리를 경청하는 것이다. 비즈니스의 원천이 고객인 만큼 그 입장에서 생각하고, 고객이 ‘고객 지향적인 회사’로 느낄 수 있도록 노력하자고 한다. 또한 고객의 자산과 우리나라 전체 보안을 책임진다는 사명의식과 자긍심을 갖자고도 한다. 또 하나는 영업 현장에서 뛰는 사업본부가 앞장서서 역동적으로 일해야 회사 전체가 활기를 띨 수 있다고 격려한다. 

* 지혜로운 직장 생활을 위한 5가지 팁

끝으로 직장 선배로서 젊은이들에게 해줄 조언이 무엇인지 묻자 “대학교 1학년 때를 생각하면 가슴이 두근거린다”라며 다섯 가지를 손꼽았다. 25년 간 조직 생활을 경험한 대선배가 말하는, 직장 생활 팁 5가지를 들어보자. 
 


첫째, 논리적인 사고를 하는 습관을 키워야 한다. 주입식 교육을 받은 탓에 논리적이고 창의적인 생각을 하는 훈련이 되어 있지 않은데, 이를 스스로 훈련해야 한다. 모든 일에 무엇을(What), 어떻게(HOW), 왜(Why) 라는 열린 질문을 끊임없이 하고, 이 과정에서 주위 사람들과 소통을 통해 이를 검증할 필요가 있다.

둘째, 정직성. 타인과 커뮤니케이션할 때는 무조건 솔직해야 한다. 그러면 후에 변명할 일이 없다. 그 순간을 모면하려고 거짓말을 하면 남들은 다 안다.

셋째, 일에 대한 긍정적인 태도이다. 대부분의 경우 회사가 개인에게 기대하는 역할과 개인이 하고자 하는 일은 안 맞게 마련이다. 어떤 사람은 ‘내가 원하는 일이 있는데 회사가 그 일을 주지 않는다’며 불평하지만 이는 잘못된 생각이다. 남들이 간절히 원하는 일을 줘도 못하는 이가 있고, 반대로 모두들 기피하는 일을 주어도 멋지게 키워내는 이도 있다. 그 일에 가치가 있고 없고의 문제가 절대 아니다.

넷째, 차가운 머리와 뜨거운 가슴을 가져라. 일은 차가운 머리로, 사랑은 뜨거운 가슴으로 해야 한다. 잔머리를 굴려서 사랑하고, 가슴으로 일하는 사람이 있는데 우리 후배들은 그러지 않기를 바란다.

다섯째, 본인의 시간과 에너지 중 5~10%를 자기개발에 힘써라. 장단기적으로 본인의 커리어 패스를 정하고, 선배나 교수 또는 친구 등 본인의 멘토를 두어 상담을 받아라. 시간이 지나면 지날수록 아무런 계획 없이 직장 생활을 사람들과는 하늘과 땅 차이가 날 것이다. 책을 읽든 밸리 댄스를 배우든 무엇이든 좋다. 본인의 삶을 풍부하고 건강하게 만들고, 스트레스를 관리할 수 있어야 장기간 직장 생활을 유지하고 나아가 글로벌 경쟁력을 키울 수 있다. Ahn


 

댓글을 달아 주세요

  1. 요시 2009.07.15 20:28  Address |  Modify / Delete |  Reply

    ㅎㅎ참고 할께요^^!

  2. mbti 2009.07.16 10:00  Address |  Modify / Delete |  Reply

    흠...웹사보에서 블로그로 바뀐 이후로...
    메뉴가 많이 빠진 것 같아요...
    ...
    대신...2달에 한번이 아닌...
    자주 글이 올라오는 것은 좋은 것 같아요...

  3. 7월 2009.07.16 10:02  Address |  Modify / Delete |  Reply

    ㅎㅎ ... IT에 종사하지만 마지막 말은 정말 꿈같은 소리 같네요.

    "본인의 시간과 에너지 중 5~10%를 자기개발에 힘써라"

    IT 개발자중에 저걸 할 수 있는 시간을 가진 사람은 0.01%도 안될꺼에요 ㅠㅠ

  4. 광년이 2009.07.20 10:56  Address |  Modify / Delete |  Reply

    차가운 머리와, 뜨거운 가슴을 갖자.. 저의 모토이기도 하답니다^^ 좋은 글잘보고 갑니다~+

홍익대 보안동아리 "H.U.S.T" 만나보니


이번 <보상세상>에서 만나본 보안 동아리는 바로 홍익대학교의 H.U.S.T"


"H.U.S.T"
Hongik University Security Team의 약자로서 인터넷 상에서 자유와 평등을 지닌 - 열정을 가진 젊은이들끼리 모여 보안을 위해 해킹을 연구하자는 취지에서 만들어졌다. 인터뷰 내내 동아리의 자율적인 분위기와 보안에 관한 뜨거운 열정으로 날 감탄하게 했던 “H.U.S.T”에 대해 속속들이 파헤쳐보자!

우선, 동아리에 대해 사전 조사 중 "H.U.S.T"의 홈페이지를 방문해보고 놀랐던 기억이 떠오른다. 기업 홈페이지를 방문한 듯한 착각을 불러일으키게 했다. "H.U.S.T"홈페이지(www.hust.net) 방문 후, 나의 기대는 한층 더 커져 그 후 "H.U.S.T"의 만남을 하루하루 손꼽아 기다리게 되었다.

 



2001
2 3일은 "H.U.S.T" 가 만들어진 날이다.  1 H.U.S.T” 회장인 97학번 고영준(F-Luid) 학우가 만든 홍익해커(http://cafe.daum.net/hongikhacker)의 다음 카페를 통해 온라인 상에서 태어나게 되었다. 2008 5월엔 홍익대학교의 정식 동아리로 승격 되어 현재에는 졸업생과 재학생을 합해 90명 정도의 大회원을 거느리고 있는 동아리로 발전하게 되었다.



                                        각자 자유롭게 스터디를 하고 있는 모습.



“H.U.S.T”는 누군가가 가르치고 누군가는 배우는 형식이 아닌 자유로운 환경에서 자신이 공부하고 싶은 분야에서 누구의 간섭 없이 각자 즐겁고 열정적이게 임하는 것이 특징이다.

틀에 박힌 커리큘럼 없이
,
매주 정기적으로 화 ,목요일에 학교 내 전산실에서 모여 세미나를 개최한다. 서로 부족한 것은 가르쳐주면서 보안, 해킹연구, 시스템, 네트워크, 홈페이지 등 광범위한 분야에서 각자 하고 싶은 것에 몰두하여 배우는 자율적인 학습방법을 고수한다. 자신이 원하는 분야에 대해 학습하다 보니, 회원들의 참여는 더 높아지고, 능률도 더 높아지게 되는 것 같다. 그 능률의 증표는 바로 다수의 수상경력으로 증명된다.


 

2009-05-13 KUCIS Open CTF 2위 수상
      2009-03-08 2009
년 코드게이트 참가

      2008-08-07 KISA
3 S/W 보안 취약점 찾기대회 장려상 수상

      2008-04-15 Codegate
해킹방어대회 3위 수상

      2007-06-25
4회 해킹 방어 대회 대상 정보통신부장관상 수상

      2007-02-27
아르고스 해킹페스티벌 동상 수상

      2006-06-30
전국인터넷모의해킹대회 대상 수상

      2006-06-19
3회 해킹 방어대회 금상 수상

      2002-12-13
대덕 해킹 페스티발 대상 수상




자유분방한 동아리의 환경 내에서 자기가 관심 있는 분야에 열정적으로 임함으로써
, 개인의 역량을 더 잘 발휘 할 수 있는 것이다. 수많은 수상경력에 대해 그 비결을 물어보니
8 대 회장 윤홍상씨는 “(대회 우승을) 해보자 해서 하는게 아니라, 대회를 통해 배우겠다는게 목표, 대회 자체를 즐기기 때문” 이라고 대답했다.

 

                                                          세미나 중인 HUST


 
리고 매년 이 동아리에서만 만날 수 있는 축제가 있다.
그것은 바로 매년
 “H.U.S.T”가 주관하는 “Hacking Festival”이다. 2001년부터 시작되어 매년 해킹에 즐겨보자, 미쳐보자라는 취지로써 일반적인 해킹대회가 아닌 해킹축제이다.

동아리 내 활동하고 있는 사람들끼리 자기가 공부한 분야에 대해서 문제를 자체적으로 출제한다
. 어떤 누구의 강요도 없이 자발적인 개인 의지로, 하고 싶어서 참여하기 때문에 대회가 아닌 축제로써의 장이 열리는것이다. 참가자는 모든 네티즌을 대상으로 하고 2004년도에는  글로벌하게  놀아보자하여 영어로 문제를 출제한 적도 있었다고 한다. 우승상품은 홍익대학교에서 승인을 받은 상장으로, 그 어떤 상품이나
상금보다 값진 것일 될것이다.



특별한 우여곡절 없이
, 매일매일 재밌는 에피소드로 항상 즐겁고 재밌다는 홍익대학교 보안동아리
“H.U.S.T” '직업을 갖기 위해 보안을 공부하는 것보다는 자신들의 열정을 불사르기 위해서, 취미를 즐기기 위해서 공부한다'는 그들! 항상 자유롭고 긍정적인 마인드로 그들의 앞으로의 일상에도 지금처럼 항상 즐거운 일들만 가득하길 바란다. Ahn




 

대학생기자 고정선 / 서울시립대학교 경제학부
어둡다고 불평하기보다는 점차 익숙해지기를 기다려 작은 불빛을 내편으로 만드는 것이 더 낫다.  현재에 상황에 불평하기보다는 현재의 상황을 더 즐기는 방법을 찾는 것을 좋아한다.  좋은 시절의 꿈은 위대하듯 지금의 꿈을 더 크게 하기 위해 열심히 노력 중이다.


 

 

 

댓글을 달아 주세요

  1. KyuFe 2009.06.09 13:27  Address |  Modify / Delete |  Reply

    정말 멋진 동아리군요..... こ,.ご*)/

  2. 요시 2009.06.09 20:50  Address |  Modify / Delete |  Reply

    자유로워 보여요 ㅎㅎ
    수상경력이 후덜덜 하네용ㅎㅋㅎㅋ
    보안동아리가 점점 늘어나는 것 같아요~~

    • 착이 2009.06.10 11:00  Address |  Modify / Delete

      HUST는 아주 오래전부터 멋진 활동을 하고 있는 동아리랍니다 :)

  3. 광년이~+ 2009.06.10 08:22  Address |  Modify / Delete |  Reply

    열심히 하는 대학생들의열정을 보니 좋은 자극이 되네요!
    HUST 계속해서 번창하시기를~~

대학생기자의 대전 보안세미나 현장 중계

현장속으로/세미나 2009.06.03 14:40




봄이 언제왔는지도 모르게 어느덧 무더운 여름이 한층 다가왔다.
이번에 전 안랩의 현재와 미래를 조망해 볼 수 있는 경험을 했다. 대전 유성리베라 호텔에서 열린 <2009 AhnLab Integrated Security Fair>가 그것이다.
2시부터 약 3시간 동안 진행된 이번 행사에서 안랩은 야심차게 준비한 제품인 V3 Internet Security 8.0 과 AhnLab Policy Center 4.0을 시연과 함께 소개했다.

사회를 맡은 이상국 팀장


이날 사회를 맡은 이는 세일즈마케팅팀의 이상국 팀장이다. 3시간에 걸친 행사이다 보니 자칫 행사 참여자들이 지루해할 수 있다는 것을 감안해 적절한 유머로 분위기를 바꿔주는 역할을 했다. (허나 소문에 따르면 오히려 썰렁한 분위기를 연출했다는 이야기도..^^)
                                          

보안사업본부 조동수 전무


이어서 보안사업본부 조동수 전무가 안랩의 현재와 향후 전략을 발표했다.
백신과 네트워크 보안 솔루션의 진화하는 기술 등을 언급하고 안철수연구소가 보안 분야에서 왕좌를 굳히겠다는 강한 의지를 피력했다.

소프트웨어연구실 전성학 실장


 
                             
조동수 전무의 인사가 끝나고 소프트웨어연구실 전성학 실장의 발표가 이어졌다. <엔드포인트 통합 보안의 뉴 패러다임 - V3 internet Security 8.0 & APC 4.0>라는 제목으로 새롭게 선보이는 제품을 소개하고 시연했다.

유명호 과장, 김수암 팀장

                               


그 다음 순서로 <차세대 네트워크 보안 비전 및 보안 대응사례 발표 -  TrusGuard>라는 제목으로 유명호 과장과 김수암 팀장이 함께 발표했다. 유명호 과장은 TrusGuard의 특징 및 장단점 그리고 앞으로 발전 방향을 설명했다. 김수암 팀장은 유명호 과장이 설명한 내용과 관련 있는 사례를 직접 보여주고 보안 해결 방안을 몇 가지 예를 들며 좀더 이해하기 쉽게 해주었다. 대화 형식의 발표가 집중도를 높여주는 효과가 있었다.
                   
위 순서가 끝나고 약 20분 정도의 티 타임이 있었다. 참석자는 보안 분야 종사자가 대다수였고, 대학생과 군인도 보였다. 
또한 전시 부스를 마련하여 TrusGuard, IPS, V3 Internet Security 8.0을 직접 경험해 볼 수 있는 기회도 제공했다.

                              
티 타임
이후에 김창희 선임이 <Web Security protection Solution - V3 Managed Security & SiteGuard>라는 주제로 웹 보안 서비스를 소개했다. (중간에 재미 있는 예를 들며 설명했는데 기자만 웃어서 무안했다는...^^a)


김창희 선임

                          
마지막 순서로 <Contents Security와 Network Security의 통합보안 구현 방안 - Integrated Security Solution>이라는 주제로 조동수 전무가 세미나의 전체 내용을 요약하고 안랩의 총괄적인 목표와 방향을 총정리했다.

조동수 전무

                                    
                 
이번 세미나는 충분한 준비와 노력이 결집되어 성공적인 결과로 이어졌다. 특히 안철수연구소의 현재는 물론 미래의 방향까지 바이어 및 사용자에게 좋은 정보를 제공해준 자리였다.  Ahn










대학생기자 안현 / 대전대 정치언론홍보학과

"하루하루를 오늘이 내 인생의 마지막 날이라고 생각하며 살자"라는 모토아래 매일 열정을 불사르는 청년. 그는 뜨거운 가슴을 가지고 당당히 '보안세상'에 문을 두드렸다. 대학생활의 마지막이 아닌 또다른 시작으로써 오늘도 끝임없이 달려나가고 있다. 




 

댓글을 달아 주세요

  1. 엔시스 2009.06.03 15:02  Address |  Modify / Delete |  Reply

    잘 보았습니다. 지방 로드쇼가 점점 그열기를 더 해 가는 것 같습니다. 전주도 성황리에 잘 마치시길 바라겠습니다. 그래도 한번씩 뵈었다고 눈에 익은 분들이 계시네요..^^;;

  2. 요시 2009.06.03 17:47  Address |  Modify / Delete |  Reply

    저런 세미나 정보들은 어디서 얻는건가요호호호
    구경가고싶어요~.,~

  3. Shaun 2009.06.03 17:52  Address |  Modify / Delete |  Reply

    헉! 첫화면에 나오는 저사람은 누구란 말입니까!!!!!!!!!!ㅋㅋㅋ

여성 개발자들의 모임 2주년 참석해보니

현장속으로/세미나 2009.05.27 15:12

Beautiful Developer! 여성 개발자 모임터

올해로 2주년을 맞은 여성 개발자 모임터의 행사가 지난 23일 커뮤니티 회원으로서 축하해 주기 위해 세미나에 참석했다. 커뮤니티 운영자인 전수현씨의 여성 개발자 모임터 소개로 시작한 세미나는 박남희 한국마이크로소프트 상무, 진은숙 NHN DBMS 개발랩 랩장, 김창준 애자일 컨설팅 대표, 류한석 스마트플레이스 대표, Microsoft MVP의 연설 순으로 진행되었다.  

 
여성 개발자 모임터(이하 여개모)는  IT 개발자 커뮤니티에서 여성 개발자의 참여가 저조한 상황에서 여성 특유의 유연성, 섬세함, 감수성을 가진 여성 개발자만의 커뮤니티를 만들자는 취지로 2007년 5월 24일 처음 설립되었다. 앞으로 여성 개발자를 위한 네트워크와 멘토링의 장으로 발전하는 것이 목표이며 주요 활동으로는 릴레이 세미나, BDRS(Beautiful Developer Readership Seminar), 스터디 모임 등이 있다.
 

내가 여개모에 가입한 계기도 아직 구체적인 방향을 잡지 않은 나에게 조언을 해 줄 멘토가 필요해서였다. 상상하는 것과 실제 그 자리에서 일하는 분들의 실상을 직접 듣는 것은 차이가 있기 때문이다. 그 점에서 여개모는 나에게 많은 정보를 제공해 주었고, 수많은 물음표를 느낌표로 바꾸어준 것 같다.^^

안철수연구소 채용 정책을 설명 중인 인사총무팀 안현진 차장. [사진 출처 - 여성 개발자 모임터 커뮤니티]

                                                       
지난 제 4회 릴레이 세미나에선 안철수연구소의 인사 담당자인 안현진 차장이 참석해 안철수연구소 채용과 관련하여 대부분의 지원자가 모르는 중요한 정보를 알려주었다. (릴레이 세미나를 통해 정보를 입수한 여개모 회원분들이 많이 지원했다고 하던데^^;)

[사진 출처 - 여성 개발자 모임터 커뮤니티]

                                                         
여성 개발자 모임터 활동 중 하나인 'BDRS'는 책을 선정한 뒤 1박 2일로 떠나는 곳에서 책을 읽고 책에 대해 자유롭게 토론하는 행사이다. 2주년 축하 파티가 끝나고 3회 BDRS가 있었는데 참석하지 못해 아쉽지만 다음에 또 기회가 있으면 꼭 참여하고 싶은 멋진 활동이다.


이번 세미나에서 '내가 상상하면 현실이 된다'는 주제로 연설한 박남희 상무의 이력엔 최초와 경력 변화라는 글자가 눈에 띄었다. 자신을 이 자리에 있게 한 네 가지 비법을 발표했는데  첫째, 도전을 두려워하지 말고 게임을 하듯 즐기라. 둘째, 가능한 한 모든 영역에서 경험을 하라. 셋째, 미래를 예측하고 준비된 사람에게 급한 일은 없다. 넷째, 다양한 인맥 관리를 하라고 조언했다. 또한, 각자 가지고 있는 브랜드의 중요성을 언급하며 Performance, Image, Exposure 세 단어를 강조했다. 

일을 연애에 비유한 설명도 인상 깊었다.
연애를 하면 상대방을 계속 생각하게 되고  남들이 모르는 그만의 모습을 발견하게 되는 것처럼, 사랑하는 일을 하다보면 그 일을 계속 생각하고 남들이 발견하지 못하는 아이디어를 캐치함으로써 다른 사람과는 다른 결과물을 낳게 되는 것이 아닐까?

여성 개발자 모임터! 시작의 순간에 느낀 두근거림처럼 앞으로도 쭈~욱 활발한 활동을 지속하길 바라며 무에서 유를 창출하는 매력적인 여성 개발자들의 멋진 활약을 기대해 본다 :) 
Ahn

대학생기자 정은화 / 동덕여대 데이터정보학과
상상하기를 좋아하는 소녀 감성의 소유자. 정신 세계 코드 불일치로 고개를 갸우뚱하는 당신도 곧 말랑말랑 봄바람처럼 마음이 두-웅 해버리는 엄청난 바이러스에 감염될지 모른다. 나와 함께 있는 바람안에 온통 따스한 향이 스밀 때까지. 안철수연구소 대학생 기자 활동의 시작, 그리고 종결의 메타포는 내 안에서 꿈틀거리며 튀어나온 나의 의지와 희망이 되었으면 한다.


댓글을 달아 주세요

  1. 또라이몽 2009.05.27 18:00  Address |  Modify / Delete |  Reply

    말로만 듣던 공대 아름이들 몽땅 모여있는 곳이군요 O_O
    근데 사진상으로는 아름이가 안보이네요..
    아름아~ 아름아~ 어디있니~

  2. 아크몬드 2009.05.28 01:59  Address |  Modify / Delete |  Reply

    멋집니다..

  3. 도라에몽 2009.05.28 08:58  Address |  Modify / Delete |  Reply

    다들 횽아의 포스가.... 기분 탓이겠죠.

  4. 히흐 2009.05.28 11:15  Address |  Modify / Delete |  Reply

    또라이몽// ㅋㅋ 재밋네영

  5. 요시 2009.05.28 15:27  Address |  Modify / Delete |  Reply

    우왕 멋있다~..~