스마트폰이 기업 보안에 위협이 될 수 있다?

현장속으로/세미나 2013. 3. 29. 07:00

3월 7일, NETWORK TIMES와 DataNet이 주최하고 안랩이 후원한 '제12회 차세대 정보보안 비전 2013(The 12th Next Generation Network Security Vision 2013)'이 서울 삼성동 코엑스 인터컨티넨탈 호텔에서 열렸다.

세미나는 국내외 여러 보안업체가 참여하여 각종 보안 위협과 그에 대응하는 차세대 보안 대책 방안을 발표하는 자리였으며, 이번 전시를 후원하는 여러 기업들의 보안 솔루션 제품을 만나보고 체험할 수 있는 기회였다.

 

세미나에서는 보안/네트워크/IT담당자들이 참석해 자리를 채웠으며 발표는 9시부터 17시 30분까지 이어졌다.

발표내용 및 순서

 패러다임 변화와 차세대 보안전략 (김홍선 안랩 대표이사)

사용자 중심의 네트워크 접근통제 전략과 대응방안 (신해준 넷맨 최고기술책임자)

차세대 방화벽의 다양한 활용 (이창빈 팔로알토네트웍스코리아 부장)

 트랙A

트랙B 

진화하는 차세대 방화벽의 새로운 기준

고도화된 위협 탐지 및 대응 위한 네트워크 포렌식

차세대 보안관제 서비스 'The Power of Protect'

클라이언트 가상화 기반의 혁신 정보 보안

웹 위협 동향과 통합 웹 보안 전략

엔드 투 엔드 네트워킹 보안 최적화 방안

BYOD 시대 네트워크 가시성 확보 전략

IPS의 진화와 차세대 고성능 IPS

기업 웹 보안 및 클라우드 사용자 보호방안

The Custom Defense:프로파일링 기법 이용한 선제적 APT대응

무선랜 기술 및 보안 기술 동향

차세대 통합 계정 및 접근 관리


가장 기억에 남는 발표 중 하나였던 김현준 한국 주니퍼 부장'엔드 투 엔드 네트워킹 보안 최적화 방안'에서는 현재 IT 트렌드를 소개하며 더욱 더 지능화하는 공격에 대응하는 솔루션이 필요함을 강조했다.

그는 2009년에서 2014년사이 클라우드 컴퓨팅의 시장 성장이 3배 가까이 이루어졌으며, 스마트폰 사용이 이미 PC 수준을 능가했고, 애플리케이션의 다양성과 풍부한 데이터로 인해 그에 따른 보안 위협도 급증하는 추세라고 말했다. 또한 사업 측면에서 직원의 업무 생산성 향상과 만족도를 위해 암묵적으로 BYOD를 무분별하게 허용하는데 이로 인해 보안 쪽에서 생각할 부분이 굉장히 다양해졌다고 지적했다.

고객 환경 전반에 걸친 보안 솔루션                                              

이어서 대해 보안 측면에서 고려할 부분으로 세 가지를 언급했다. 첫째, 사용자와 기기를 더욱 안전하게 연결, 보호, 관리하는 연결 관점의 보안, 둘째, 플랫폼 관점의 보안, 셋째로는 최근 더욱 강조되는 "애플리케이션과 콘텐츠 관점의 보안"이라고 했다.

 

Junos Pulse(주노스 펄스)는 삼성 안드로이드 기반 스마트폰에 탑재되어있는 모바일 보안 솔루션이다. 주노스 펄스는 SSL VPN을 가지고 엔드포인트 사용자가 내부망에 접속할 때 스니핑과 같은 위협에도 내부 자원을 보여주지 않는다. 모바일 보안으로는 분실 위험에 대한 보호를 해준다. 분실 시 내부 데이터를 자체적으로 포맷하고 와이핑한다. 또는 GPS로 위치를 찾아낼 수 있는 기능을 제공한다.


전시부스                                                                          

한편, 전시장에서는 20여 개의 전시 부스를 관람할 수 있었다. JUNIPER NETWORKS는 EX-Switch 시리즈와 SRX 시리즈를 소개하고 있었다. EX-Switch 시리즈의 EX8200은 데이터센터 및 캠퍼스 코어 환경에서 요구되는 포트 집적도, 확장성, 고가용성을 제공하는 모듈형 플랫폼이며, EX4500은 타사의 제품보다 44%이상 전력을 적게 소비하는 경제적인 제품이라고 했다. 그리고 소규모 LAN들에 저집적도 엑세스 구축을 시행하는데 적합한 하이 퍼포먼스 스탠드얼론 솔루션을 제공하는 EX3200등을 소개받았다.

안랩은 이날 APT대응 솔루션 'TrusWatcher'와 네트워크 통합보안 솔루션 'TrusGuard', 지능형 DDoS 공격 방어 전용 장비 'TrusGuard DPX'를 소개하였다.

그 밖에 10여군데의 전시를 관람하였다. 모토로라 에어디펜스 무선침입방지 솔루션, 'WiNG5 무선랜 솔루션'은 구축 및 관리 용이성, 탄력성(보안,RF관리,QoS), WAN 링크 우선 순위 지정 및 트래픽 전달, 문제 해결능력 등 평가항목에서 시스코와 아루바에 비해 기능에서 앞섰다고 말했다. 또한 SECUI의 'SECUI MFI', 'MF2', Geni NETWORKS의 'Genian NAC Suite', 'Genian CAM', BlueCoat의 'ProxySG시리즈' 등 여러 네트워크 보안제품들을 소개 받았다.

네트워크 보안 실무자가 아닌 내가 이런 제품들을 접하고 소개받는 기회가 없었기 때문에 각 전시 부스에서 소개하는 차세대 네트워크 보안 솔루션 제품들이 흥미롭게 느껴졌다. 제품의 운영환경이나 사양보다는 어떤 기능을 제공하고 최근 환경에 어떻게 대응되는지에 초점을 맞추고 봐야 하는 자리라고 생각하고 보았다. 앞으로 IT 발전도 중요하지만 보안을 고려한 발전이 이루어져야 바람직한 발전이 될 것이라고 생각한다. Ahn

 


대학생기자 김대희 /  경기대 컴퓨터과학과

댓글을 달아 주세요

  1. 엄용석 2013.03.29 11:29  Address |  Modify / Delete |  Reply

    스마트폰 보안에도 신경을 많이 써야겠네요!

  2. 유희만 2013.03.29 15:46  Address |  Modify / Delete |  Reply

    역시 스마트폰 보안이 이슈네요~!

지능적 사이버 위협에 맞서는 차세대 보안 기술

현장속으로/세미나 2013. 3. 27. 09:36

2013년 3울 7일 Next Generation Network Security Vision 2013 세미나 & 전시가 코엑스 인터컨티넬탈 호텔 하모니볼륨 홀에서 진행되었다. 

    

이번 세미나에 키워드는 '차세대 보안'이었다. 국내 IT 인프라는 세계 최고 수준임과 동시에 융합화 세부화 고도화하는 보안 위협도 높은 수준이다. 다양한 보안 위협에 체계적이고 능동적으로 대처할 수 있도록 국내외 보안 업계 강자들이 제시하는 차세대 보안 로드맵, 트레드, 다양한 보안 솔루션을 이번 세미나&전시에서 직접 체험할 수 있었다. 

처음 온 세미나이자 기자단이 된 후 처음 취재라 떨리는 마음으로 10시부터 시작한 세미나에 집중해서 참여하였다. 전문가의 브리핑을 들으면서 프리젠테이션자료를 보니 어려운 보안 용어도 쉽게 이해할 수 있었다. 

세미나 중 가장 인상에 깊었던 프로그램은 이창빈 팔로알토네트윅스코리아 부장이 진행한 '차세대 방화벽의 다양한 활용'에 관한 이야기였다. 다음은 주요 내용.

차세대 보안의 조건 

이창빈 팔로알토네트윅스코리아 부장

 

현재 가장 '핫'한 트렌드는 플리케이션이라 해도 과언이 아니다. 페이스북, 트위터, 카카오톡 등 애플리케이션은 이미 현대인의 모든 프레임에 걸려있다. 

애플리케이션은 편리성, 접근성, 효율성, 생산성이 높지만 그럴수록 보안성이 떨어진다는 단점이 있다. 따라서 차세대 방화벽에서는 애플리케이션(특정 환경에서 다루는 툴)의 보안이 중요한 관심사로 떠오르고 있다. 과거 컴퓨터 환경이 단순했을 때와, 애플리케이션의 시대인 지금의 보안을 비교해보자.

 

위협 자체가 덜 전문적.

공격자의 전문성이 높음.

애플리케이션은 주로 웹과 이메일임.

새로운 애플리케이션이 매일 생겨남.

애플리케이션은 포트 및 프로토콜의 규칙을 따름.

더이상 포트와 프로토콜 규칙을 따르지 않음.

애플리케이션의 행동을 쉽게 파악 이해.

애플리케이션은 래거시 네트워크 보안을 우회할 수 있게 디자인 되고 있음.

     <과거와 현재의 보안 비교>

 

제시된 표와 같이 보안의 방향이 변하기 때문에 시대에 맞춘 새로운 패러다임(Safe Application Enablement)이 필요하다. 첫째로 애플리케이션 레벨에서 모든 트래픽을 분석할 수 있어야 한다. 그리고 위협탐지를 위해 모든 콘텐츠를 검사할 수 있어야 하며 이 모든 기능을 성능 저하 없이 High performance, low Latency에서 제공해야 한다.

혹자들은 이미 IPS, Anti-Virus, Malware 탐지 솔루션도 있는 상태에서 차세대 방화벽의 필요성 의문을 가질 수도 있다. 하지만 자세히 살펴보면 전 보안프로그램과 차세대 방화벽 사이엔 큰 차이점이 있다. 과거 보안 프로그램은 네거티브 컨트롤 모델이다. 네거티브 컨트롤 모델이란 알고있는 시그니처에 대해 차단하지만 시그니처에 매칭되지 않는 경우는 상관하지 않는다. 따라서 공격자는 위협이 시그니처에 탐지되지 않도록 가능한 모든 방법을 동원(멜웨어 리팩키지, 콘텐츠 암호화, 트래픽 커스터마이징 등)을 통해 사용자를 공격하면 속수무책으로 보안성을 잃게 된다.

 반면에 차세대 보안의 예로 팔로알토 네트윅스의 제로데이 악성코드 대응 커리큘럼을 살펴보자. 

차세대 보안의 예. 제로데이 악성코드 대응 방법


-외부로부터 unknown 실행파일 유입

-와일드 파이어 cloud센터로 전송

-1시간 내에 새로운 시그니쳐가 완성되어 각 방화벽으로 배포됨

이렇게 차세대 보안은 플리케이션 인식, 시그니처 매칭, 행동기반 분석 등 다양한 기술을 동원하여 유기적인 보안을 구현한다. 그리고 실시간으로 사용자 환경을 탐지하고, 보안 써클을 업데이트하기 때문에 기존 솔루션이 가지고 있는 시간적 딜레이로 인한 악성코드 감염을 막을 수 있었다. 매일 새로운 애플리케이션과 전문적인 위협이 상생하는 현재 보안환경에 차세대 보안은 불가결한 요소인 것이다.

 

IT 기술은 계속 거미줄을 치며 예측하기 힘들 것이다. 네트워크를 통한 커뮤니케이션도 두각을 나타낼 것이다. 보안은 IT 미래를 보호하고 바르게 볼 수 있게 하는 렌즈와 같은 역할을 할 것이다. 이번 세미나에서 여러 각도로 보여주었던 차세대 보안 기술 및 트렌드가 앞으로의 IT 미래와 어떻게 조화를 이루어 갈 지 기대해 본다. Ahn



대학생기 고은정 / 경희대 전자전파공학과 

성공은 자주 웃고 많이 사랑하는 것이다.


 


댓글을 달아 주세요

  1. 노현탁 2013.03.18 20:48 신고  Address |  Modify / Delete |  Reply

    잘 읽었습니다, 저도 보안 세미나 참가했으면 좋았을텐데요.

  2. 윤덕인 2013.03.27 10:52  Address |  Modify / Delete |  Reply

    그 때 배운 강연들이 잘 정리되어 있어 좋네요!

CEO 진단, 최신 APT 공격 어떻게 막을까

현장속으로/세미나 2013. 3. 25. 07:00

지난 3월 7일 코엑스 인터컨티넨탈호텔 하모니볼룸에서 <12th Next Generation Network Security Vision 2013 세미나>가 열렸다. 이날 열린 세미나에는 국내외 보안 업체들이 다수 참가해 세미나 발표 및 전시를 했다. 오전에는 안랩(AhnLab), 넷맨(NetMan), 팔로알토(Paloalto)가 차세대 보안 로드맵을 제시하고 앞으로의 효율적인 보안 대책을 발표했다. 안랩 김홍선 대표는 ‘보안 패러다임의 변화 및 차세대 보안 전략’이라는 주제로 세미나를 시작했다. 다음은 주요 내용.

현재 한 개인이 쓰는 디바이스는 과거에 비해 많아졌다. 또한 IT 대중화로 인해 사용자는 디바이스가 사용자 중심으로 좀더 편리하고 안정성 있게 운영되기를 원한다. 만약 이런 사용자의 욕구를 충족시키지 않는다면 사용자는 그 제품을 사용하지 않게 된다. 단순히 제품(Product)으로 보는 것이 아니라 새로운 형태로 비즈니스 형태로 봐야 한다”며 대중의 관점에서 살펴보는 필요성을 역설했다.

최근 보안 업계 트렌드도 바뀌고 있다. 과거에는 패시브한 방식으로 백신과 IPS과 같이 알려진 외부 공격에 대비하고 방어했다. 하지만 최근에는 APT(Advanced Persistent Threat)라는 알려지지 않은 공격에 대해 개인뿐 아니라 기업까지 공격당하고 있다.

APT는 알려지지 않은 방식으로 공격을 하기 때문에 기존 방식으로는 막기 어렵다. APT 공격은 이전과 달리 굉장히 치명적이기 때문에 지능적으로 막아야 한다.

보안 위협의 변화 또한 주시할 필요가 있다. 현재 글로벌 조직 범죄가 일어나고 있으며 해킹 도구의 브랜드화가 일어나 일반인도 어렵지 않게 사용 가능하게 됐다. 최근의 공격은 악성코드를 통해 이뤄지고 있다. 요즘 모든 디바이스가 네트워크로 연결돼 다양한 루트로 악성코드가 들어온다. 매일 약 15만 개의 악성코드가 발생하고, 악성코드의 라이프 사이클도 줄어들었다. 악성코드는 특정 기업/기관을 겨냥해 지능적으로 이루어지는 APT 공격과 연계돼있기 때문에 각 기업은 주의해야 한다.

알려지지 않은 방식으로 은밀하게 공격하는 APT

뉴욕타임즈는 지난 2월 중국 해커로부터 여러 기밀 정보가 유출되는 APT 공격을 받았다. 더 놀라운 것은 그 사실을 넉 달 이상 탐지하지 못한 것이었다. 뉴욕타임즈 외에도 워싱턴포스트, EMC 등 주요 기업이 공격당했다. 과거 APT 공격의 주된 목적은 정부 및 군사 기밀 정보 탈취였다. 그러나 최근에는 금전적 이득을 취하고자 개인 정보나 기업의 기밀 정보 유출을 목적으로 한다.

과거 APT는 단일한 형태로 하나의 PC를 공격했지만, 최근 APT는 모듈화한 악성코드로 공격한다. 또한 장기간에 걸쳐서 디바이스에 은닉해있기 때문에 APT 공격을 받았는지 탐지하기가 어렵다. APT 공격은 한 PC에 머물지 않고 공격 대상 PC에 도달하기 위해 여러 PC의 취약점에 전이돼 공격한다. 적어도 6개월 정도의 로그를 파악하고 분석해야 공격의 시발점을 이해할 수 있다.

네트워크 보안 장비는 특정 임계치를 가지고 악성코드를 통제한다. 그러나 APT는 임계치 이하의 트래픽으로 공격하기 때문에 기존 장비로는 탐지하기가 어려워졌다.

APT 공격은 정상적인 루트로 공격하기 때문에 예측하기가 어렵다. 특히 공격 대상이 속한 국가에서 사용빈도가 높은 소프트웨어의 취약점을 이용한다. 예를 들어 해당 지역에서 신뢰를 받는 소프트웨어는 사용자가 아무 의심 없이 실행하기 때문에 보안에 취약할 수 있다. 최근에는 보안이 취약한 업데이트 서버를 장악해 보안 패치를 받을 경우 역으로 결국 APT 공격을 받기도 한다. 정상적인 루트로 공격하기 때문에 APT 공격을 포착하기란 어렵다. 

따라서 이런 특성에 최적화한 솔루션이 필요하다. 안랩의 APT 방어 솔루션 '트러스와처'가 대표적이다. 트러스와처는 클라우드 기반 분석 엔진, 행위 기반 분석 엔진, 동적 콘텐츠 분석 엔진(DICA Engine, Dynamic Intelligent Contents Analysis Engine) 등 세 가지 엔진으로 다차원 악성코드 분석/탐지 기능을 제공한다. 메모리 보호 기능을 우회하는 ROP 공격을 포착해내는 기술도 탑재했다. 이는 최근 급증하는 제로데이 공격도 놓치지 않고 감지하는 세계적으로도 앞선 기술이다. 이러한 기술의 우수성을 인정 받아 세계적 권위의 정보보안 어워드인 ‘인포 시큐리티 글로벌 엑설런스 어워드’에서 ‘신제품 출시(New product launch)’ 부문 동상을 수상하기도 했다. 

 

방어자 아닌 공격자 관점에서 보아야 

앞으로 정보보안의 지향점을 세 가지로 볼 수 있다.

첫째는 지능성. 네트워크뿐 아니라 웹, 애플리케이션이 어떻게 맞물려 돌아가는지 알아야 한다. 정보의 라이프 사이클을, 무엇보다 공격 행위를 보고 분석하고 다음 활동이 없는지 끊임없이 살펴봐야 한다. 모든 것을 당연하다고 넘기는 것이 아니라 과거의 이력까지 함께 보는 관점이 필요하다.

둘째는 실효성. 악성코드를 탐지하는 안티바이러스 소프트웨어에만 의존하지는 말아야 한다. 여러 계층에서 복합적으로 보는 관점이 필요하다. 실시간 감시뿐 아니라 사후 분석까지 완벽히 해야 한다.

셋째는 최적화. 앞으로 네트워크 트래픽이 급증할 것에 대비해 네트워크 보안 솔루션이 안정적으로 운영될 수 있는지 점검해야 한다. Ahn

 

대학생기자 김수민 / 아주대 전자공학부 


댓글을 달아 주세요

중고생 정보보호대회 수상자가 꿈꾸는 미래

현장속으로/주니어안랩 2013. 2. 26. 07:00

작년 10월 19일' 2012 중고생 정보보호 올림피아드' 본선이 국회의원회관에서 진행되었다. 본선에는 9월 22일 진행된 예선전을 거친 20명의 학생이 참가하였다.

서울호서전문학교 사이버해킹보안과에서 주관하고 안랩(AhnLab), 행정안전부, 한국정보보호학회, 고려대학교 정보보호대학원 등 여덟 곳에서 후원하는 중고생 정보보호 올림피아드는 이번 해로 7회째 개최된 공신력 있는 대회이다.

각종 해킹사건들로 인해 일상생활뿐 아니라 안보에서도 크고 작은 문제들이 발생하는 상황에서 국가의 보안을 짊어지고 갈 미래의 보안 꿈나무들을 발굴하고자 하는 대회의 취지에 공감하며 안랩에서도 꾸준히 중고생 정보보호 올림피아드를 후원한다. 20명의 보안 꿈나무들이 국회에서 열띤 경쟁을 펼친 결과 1등부터 10등까지 최종 순위가 확정되었다. 

이번 대회에서 금상(안랩대표이사상)을 수상한 강명석 학생(한세사이버보안고 3학년)을 만나 당시의 생생한 이야기를 들어보았다.



△ 금상(안랩대표이사장상)을 수상한 강명석군. 오른쪽에서 둘째.

 

어떤 계기로 중고생 정보보호 올림피아드에 나가게 되었나요?

고등학교 1학년 때 처음으로 대회라는 걸 나가게 되었어요. 학교에서 알려줘서 그런 대회가 있다는 걸 처음 알았어요. 그 땐 단 한 문제도 제대로 못 풀었어요. 도움을 좀 받아서 한 문제를 풀고 2번 문제는 1번 문제보다 쉬워서 풀었던 정도였어요. 그래서 그 때부터 그런 비슷한 문제를 풀어볼 수 있게 구현해놓은 사이트에서 많이 연습해봤죠.

어느 날부터는 그런 문제들이 심심해졌어요. 그래서 2012년이 되고나서 순천향대 정보보호페스티벌에 나갔죠. 운 좋게 10등으로 본선에 진출했지만, 본선 가서 한 문제도 못 풀지 못했어요. 10등가서 10등으로 돌아온 거죠. 후회 하지는 않았지만, 집 와서 금방 두 문제를 풀었기 때문에 섭섭하고 아쉬운 마음이 들었어요. 다음에는 더 나은 실력으로 본선에 진출하고 싶다는 생각으로 여러 문제들을 풀어봤죠. 그리고 정보보호 올림피아드 예선에 나가게 된 거예요.

 

- 대회는 어떻게 진행됐나요?

대회는 9시부터 시작이었어요. 국회의사당에서 했던지라, 가방도 이곳저곳 철저히 검사하더군요. 마냥 신기했는데, 막상 들어가서 보니 대회가 시작되지 않았어요. 왜냐면 국회의사당의 보안이 철저해 외부의 컴퓨터를 사용 못한다는 걸 다들 몰랐나 봐요. 그래서 국회의 보안 관련된 사람들이 와서 장내를 정리하느라 대회 시작을 한 10시쯤에 했던 것 같아요. 그러니까 보통 2시에 끝난다고 했었는데 3시에 끝나게 된 거죠.

저는 운이 좋았어요. 그 때 4문제 푼 사람이 유일하게 한 명이라 1등을 했고, 세 문제를 빠르게 푼 사람부터 2등, 한 7등까지 순위가 매겨졌거든요. 문제는 총 10문제였어요. 한 문제는 무선 네트워크에 관련된 문제였다는데, 문제에 결점이 있어 출제가 안됐다고 해요. 그래서 한 문제는 모두 다 푼 셈이 됐어요. 새로 수정돼 나온 문제가 짐작으로 풀 수 있는 객관식 문제 느낌이었거든요.

저를 수상자로 이끈 문제는 그 문제를 제외한 두 문제였어요. 두 문제를 푼 간격이 15분 정도밖에 안됐어요. 열두시에 힌트가 나왔던 문제를 시작으로 두 문제를 15분 동안 풀어버린 거라서 한시에 보니까 그 때부터 3등이더라고요. ‘빨리 좀 끝났으면 좋겠다.’며 애가 타는데 대회가 늦게 시작해 세시로 마치는 시간이 미뤄지니까 더 조급했죠. 두시가 지나니 저와 동일한 문제 수를 맞춘 학생들이 한 3명 정도 나왔어요. 한 명만 추월하면 4등이라 금상이기 때문에 딱 한 명만 추월했으면 좋겠다고 생각했는데, 끝내 아무도 추월 안 하더라고요. 그래서 3등의 영예를 안게 됐죠.(웃음)

그렇지만 이 대회만으로 제가 실력이 굉장히 뛰어나다고는 생각하지 않아요. 저보다 훨씬 잘하는 학생들이 많거든요. 확실히 저희들끼리는 저희들의 실력을 알아요. 왜냐면 보통 대회 입상한 애들은 다 동일 인물이에요. 잘하는 애들이 계속 잘하는 거죠. 저도 이번 대회를 디딤돌 삼아 여러 대회들에서 수상해 실력을 인정받고 싶어요.

 

- 컴퓨터 분야는 언제부터 배우게 됐나요?

초등학교 6학년 때 관심이 생겼던 건 게임이었어요. 보통 애들은 나쁜 것부터 시작한다고, 게임 버그나 핵 같은 것들이 너무 신기했어요. 다른 사람들이 모르는 게임까지 찾아가면서, 많은 게임에 도전해봤어요. 핵 카페 같은 것도 운영하면서, 아는 사람과 회원 만 명 이상도 모아봤죠. 이때까진 그저 재밌다 정도였고, 체계적으로는 못해보다가 고등학교 와서 조금씩 컴퓨터에 대해 알게 된 거죠.

그러다 어느 날 고등학교 친구가 ‘한번 학원을 다녀보자’고 해서, 다니게 된 학원에서 홈페이지를 만드는 언어를 배우게 됐어요. 한번은 담당 강사 형이 ‘우리 오늘 해킹대회 한번 해볼래?’해서 해보겠다고 그랬어요. 형은 ‘너 36시간동안 여기 있어야 된다.’고 겁줬는데 정말로 36시간동안 라면만 먹으면서 깨어있었어요. 나중에는 애들이 저보고 죽을 것 같지 않느냐고 좀 자라고 그러더라고요.

대회 준비를 미리 했던 건 아닌데, 마침 학원 갔을 때가 대회 당일이었어요. 노트북은 항상 가지고 다니니까, 그 때 바로 참가한다고 한 거죠. 그래서 처음으로 팀으로 된 대회를 나가게 된 거예요. 그 때 학원을 운영하시는 해킹보안협회 이사님 덕분에 알게 된 대여섯 명이서 밤을 새면서 일곱 문제를 풀었어요. 그리고 75등을 했죠. 그 대회가 우리나라에서 제일 큰 대회인지라 외국에서도 많이 출전하기 때문에 75등이라는 성적은 제게 정말 대단한 기억으로 남았어요. 그 때부터 본격적으로 정보보안 분야에 발을 담그기 시작했던 것 같아요.

 

- 올림피아드는 어떻게 준비해야 하는지 알려줄 수 있어요?

일단 프로그래밍을 잘해야 하는 것 같아요. 문제를 풀려고 어떤 웹사이트에서 일부터 만까지 대입해야 하는데 사람 손으로 일일이 하면 시간도 많이 걸릴뿐더러 힘들잖아요. 일부터 만까지 대입해주는 프로그램을 만들면 더 쉽겠죠? 이런 편리한 프로그램을 만드는 걸 프로그래밍이라고 해요. 대회에서는 다른 사람이 만들어 놓은 프로그램을 쓰는 문제도 있지만, 기존에 없는 만들어 써야할 때도 있어요. 그렇게 되면 직접 입맛에 맞게 하는 방법밖에 없겠죠. 보통 가장 많이 쓰는 언어는 C언어나 Java가 있어요. 프로그래밍 언어를 하나만 할 줄 알아도 원하는 프로그램은 만들 수 있어요. 저는 그나마 C언어를 잘하는 편이에요.

 

- 졸업하면 구체적으로 어떤 걸 공부하고 싶나요?

일단은 프로그래밍을 좀 더 열심히 하고 싶고요. 영어를 좀 더 완벽하게 하고 싶어요. 왜냐면 실력이 일정 정도 이상으로 올라가면 우리나라에서 배우고 교류하는 데에는 한계가 있기 때문이에요. 외국에서만 찾아 볼 수 있는 것들까지 배우기 위해서 영어를 4년 동안 열심히 배워볼 생각이에요.

저는 나중에 정보보안 전문가가 되고 싶어요. 궁극적으로는 하고 싶은 일을 하면서 살고 싶기 때문에 정보보안을 할 수 있는 IT계열 회사 쪽도 희망하고 있는 곳 중 하나죠. 어렸을 땐 해커가 멋있었어요. 크면서는 해커의 반대쪽에 서있는 정보보안전문가를 알게 되었어요. 해킹할 줄 아는 사람이 보안도 할 수 있는데요, 보안을 하는 사람이 해킹하는 사람을 덮어 싸서 다른 이들을 보호한다는 점이 매력 있었어요.

 

- 지금 정보보안을 막 시작하는 친구들에게 해주고 싶은 말?

정보보안을 진짜 하고 싶어서 하는 친구들이었으면 좋겠어요. 프리랜서로 일하시는 40대 해커 분이 계시는데, 자신의 실력이 너무나 얕다는 걸 알고 다시 공부하시는 분이었어요. 그 분은 40대가 돼서 다시 공부한다는 건 창피하지가 않대요. 다만 그 분이 말씀하시기를 조금이라도 실력이 있고 신념이 있다는 정보보안전문가는 15%밖에 안 된대요. 85%가 그저 남들에게 보이기 위한, 돈만을 위한 사람들인 거예요. 정보보안 분야뿐 아니라 뭐든지 좀 더 열정적으로 하고 싶은 사람들이 했으면 좋겠어요. Ahn

 

대학생기자 김가윤 / 이화여대 정치외교학과

 

정의로우면서도 가슴에는 늘 인간적인 사랑을 품은 기자가 되겠습니다.


댓글을 달아 주세요

중고생 정보보호대회 대상 수상자를 만나다

현장속으로/주니어안랩 2013. 2. 19. 07:00

작년 10월 19일' 2012 중고생 정보보호 올림피아드' 본선이 국회의원회관에서 진행되었다. 본선에는 9월 22일 진행된 예선전을 거친 20명의 학생이 참가하였다.

서울호서전문학교 사이버해킹보안과에서 주관하고 안랩(AhnLab), 행정안전부, 한국정보보호학회, 고려대학교 정보보호대학원 등 여덟 곳에서 후원하는 중고생 정보보호 올림피아드는 이번 해로 7회째 개최된 공신력 있는 대회이다.

각종 해킹사건들로 인해 일상생활뿐 아니라 안보에서도 크고 작은 문제들이 발생하는 상황에서 국가의 보안을 짊어지고 갈 미래의 보안 꿈나무들을 발굴하고자 하는 대회의 취지에 공감하며 안랩에서도 꾸준히 중고생 정보보호 올림피아드를 후원한다. 20명의 보안 꿈나무들이 국회에서 열띤 경쟁을 펼친 결과 1등부터 10등까지 최종 순위가 확정되었다. 

대상(행정안전부장관상)을 수상한 고기완 학생(한국디지털미디어고 3학년, 닉네임 Gogil)을 만나 당시의 생생한 이야기를 들어보았다.



 - 수상 소감을 말씀해주세요.

해킹을 공부하며 처음으로 나갔던 대회가 이 대회입니다. 당시에 중학교 3학년이었는데, 예선에서조차 한 문제도 풀지 못 하고 탈락하였습니다. 저 나름대로 컴퓨터를 잘 다룬다고 생각했는데 그런 결과가 나와 신선한 충격이었고, 그만큼 인상 깊게 남았습니다. 그런 만큼 중고생 정보보호 올림피아드에서 대상을 차지하게 되어 매우 기쁘네요.


- 언제부터 해킹/보안 분야를 공부했나요?

초등학교 6학년 프로그래밍 언어를 배우기 시작했습니다. 프로그래밍을 공부하다보니 자연스럽게 해킹/보안에 관심을 가지게 되었습니다. 고등학생이 되면서 해킹대회에 관심을 가지고 많이 참가하며 본격적으로 보안 위주로 공부를 하게 되었습니다.


- 나중에 어떠한 일을 하고 싶으신가요?

제가 보안을 공부하게 된 기간보다 프로그래밍을 공부한 기간이 길고, 해킹보다는 개발 경력이 많습니다. 하여 보안이나 개발 한 쪽에 치우치기보다는 양쪽의 특성을 모두 살린 보안 솔루션 개발자가 되고 싶습니다.


- 보안 내에서 주로 어떠한 분야를 좋아하나요?

역분석(Reverse Engineering, 리버싱) 분야를 좋아합니다. 개발자의 반대 입장이 되어 프로그램을 뜯어보고 역으로 분석하는 그 매력에 빠져서 헤어나오지를 못 하고 있습니다. 지금도 리버싱 위주로 보안 공부를 하고 있고, 요즘은 윈도우8 애플리케이션 리버싱을 공부 중입니다. 리버싱만 전문적으로 다루는 워게임(Wargame)을 운영할 정도입니다. 제가 운영하는 http://reversing.kr에 놀러오세요!


- 대회에서 무엇을 배운 것 같나요?

해킹대회의 가장 큰 장점이라면 서로 경쟁을 하며 내가 보안 공부에 뒤쳐지지는 않았는가를 시험해볼 수 있다는 것과, 서로가 알고 있는 지식을 공유하는 장을 마련한다는 것이 아닐까 싶습니다. 뿐만 아니라 해킹대회는 문제마다 분야가 나누어져 있으므로, 보안 공부를 시작할 때 어떤 분야를 공부해야 하는지 정보도 제공받게 됩니다.


- 대회에서 아쉬운 점은 없었나요?

제가 좋아하는 역분석(Reverse Engineering) 분야의 문제에 조금 아쉬운 점이 있었습니다. 리버싱 자체의 기술력이나 머리 아픈 알고리즘 해독이 아닌 창의성을 중점으로 한 문제가 골치 아팠습니다. 청소년 대회인 만큼 문제의 의도가 기술력보다는 창의성을 중요시한 것인지도 모르겠습니다.  Ahn


대학생기자 박병진 / 포스텍 컴퓨터공학과


Must be the change that you want to see in the world.



댓글을 달아 주세요

수많은 IT 자격증, 때로는 독이 되기도 하더라

안랩人side/안랩!안랩인! 2012. 12. 15. 06:00

요즘 대학생들의 고민은 바로 취업이다. 소위 스펙으로 사람을 평가하는 세상이 된 지금, 나를 업그레이드하는 수단으로 자격증 열풍이 불고 있다. 이러한 열풍은 대학생에게만 한정된 것이 아니다. 직장인에게도 자격증 공부는 꾸준한 자기 개발과 관리로 자리를 잡아가고 있다. 자격증 취득이 우리 자신의 가치를 높여주며, 도움을 주기 때문이다. 또한, 자격증을 취득함으로써 우리는 자신이 전공하는 과목에서는 다양한 기술과 자격을 갖출 수 있고, 비전공 분야에서는 새로운 지식을 획득할 수 있다. 이런 이유로 사람들은 많은 자격증을 따길 원하며 노력하고 있다.

특히 컴퓨터 보안 분야는 전문적이고, 네트워크, 하드웨어, 소프트웨어, 데이터베이스 등 컴퓨터에 대한 전반적인 지식이 필요하다. 따라서 이 분야에서 자격증을 공부하고 취득하려는 사람이 많다.

오늘 안랩에서는 IT 관련자격증을 다수 소지하고 있는 ‘IT인프라팀의 정하권 주임’, ‘기술컨설팅팀의 홍수연 주임’, 그리고 소프트웨어개발실의 고기선 주임을 만났다. 세 분들을 통해 다양한 IT 자격증과 공부 방법에 대한 팁을 알 수 있었다 

- 소지하고 계신 자격증은 무엇인가요? (자격증의 구체적인 소개나 방법 등..)

정하권 주임: 국가자격증으로는 워드프로세서 1, 네트워크 관리사 2, PC정비사 2, 전자상거래관리사 2, 그리고 정보처리기사(기능사, 산업기사)를 취득했습니다. 그리고 국제 자격증으로는 MCP·MCAD·MCSD·MCDBA·MCTS, CISSPCISA, 그리고 PMP 자격증을 가지고 있습니다.

홍수연 주임: CISSPCISA, 정보처리기사 그리고 ISO27001 심사 자격증을 가지고 있습니다.

고기선 주임: 국제자격증으로 SCJP, 네트워크+, A+(PC관리사 자격증) 자격증을 가지고 있습니다. 그리고 리눅스 마스터, 정보처리기사, 컴퓨터그래픽 그리고 운용기능사, WPC(웹프로그래밍), 네트워크마스터, PC마스터, 워드프로세서와 운전면허증을 취득하였습니다.

자격증을 여러 개 소지하게 된 계기는 무엇인가요?

정하권 주임: 다양한 IT 자격증을 따면서, IT 지식 습득을 편식하지 않기 위한 방안으로 소지하게 되었습니다.

홍수연 주임: 사실, 다수 자격증 소지자라고하기에는 많이 부족한 것 같은데요. 우선 CISSP, CISA와 같은 경우는 대학교 3학년을 갓 마치고 준비하기 시작했습니다. 저는 전공이 '정보보호'이었기 때문에 좀 더 전공과 관련해서 심화학습을 해보고자 시작하게 되었습니다. KISA에서 주관하는 SIS도 있지만 국내자격증보다는 국제자격증을 취득하는 것이 조금 더 메리트가 있다고 생각하여 CISSP, CISA에 도전하게 되었습니다. 사실 정보처리기사는 컴퓨터학을 전공하고 있다면 필수 자격증이겠죠? 그리고 ISO27001심사 같은 경우는 작년 이 맘 때쯤 팀에서 주말마다 교육지원을 해주셨습니다.

고기선 주임: 학교를 다니면서 어렸을 때부터 컴퓨터분야에 관심이 많았습니다. 그렇게 이분야 저분야에 관심을 가지다보니 그래픽·디자인에 흥미가 생겨 학원도 다니고 홈페이지도 공부해보게 되었습니다. 후에 신입으로 입사해서 업무에 도움이 될까 해서 SCJP를 땄습니다. 업무가 웹 분야인데, 고등학교 때 컴퓨터 써클에서 축제 때 간단하게 홈페이지를 만들어 소개하는 것 등에 관심을 갖고 노력한 것도 도움이 되었습니다. , 매년 하나씩 자격증을 따야겠다는 마음가짐으로 계획을 세우기도 했고요. 그 당시에는 욕심이 많아서 웹 분야를 배워보려는 욕심이 많았습니다. 주말마다 1, 2차 시험 리스트를 다 뽑아서 정해진 일정을 체크하고 지식을 습득하며 열정에 대한 성취감이라는 결과를 얻게 되었습니다. 그리고 IT 사람들이라면 흔히 생각하는 부분인데요 ^^; PC수리 아저씨가 포맷할 때, 돈이 드는 것이 매우 싫어서 컴퓨터의 하드웨어 적인 부분 또한 접하게 되었는데, 이제는 가족과 친척들의 수리기사가 되어버렸습니다. 그래서 명절이 되면 친척들이 도움을 필요로 하여 PC를 두 대씩 들고 오기도 합니다. 또한, 남에게 가르쳐 주면서 배우게 되면 그것이 제 것이 될 때 기분이 너무 좋습니다. 저에게 물어보면 대답을 해주면서 공부도 할 수 있기 때문입니다.

가장 기억에 남는 자격증과 이유는 무엇인가요?

정하권 주임: CISA입니다. 그 당시 아는 사람과 같이 시험을 보고, 합격기준에 가장 근접하게 점수를 받은 사람, 즉 가장 점수가 적게 나온 사람이 승리하는 내기를 하게 되었습니다. 그 때 제가 시험도 붙고, 내기에도 이겨서 맛있는 음식을 얻어먹게 되어서 가장 기억에 남는 자격증이기도 합니다. 

홍수연 주임: 저는 개인적으로 CISSP이 가장 기억에 남습니다. 처음으로 도전한 자격증이기도하고, 그 당시 응시비가 칠 십 만원 정도였는데, 학생신분으로 응시하기엔 부담이 적지 않았죠. 그래서 꼭 한 번에 붙어야겠다는 일념 하에 굉장히 열심히 공부했어요. 밤새가며 공부해서인지 기억에 참 많이 남네요. 

고기선 주임: 2002년 월드컵 때문에 한참 대한민국이 들썩일 때에 저는 독서실을 갔습니다. 국제자격증을 하나 취득하는데, 오십만원 정도 들었습니다. 1,2차 가격이 어마어마했기 때문에 저에게는 너무나도 중요한 시험이었습니다. 떨어지면 사실 부모님에게 죄송스런 마음도 들었기 때문에 당시 대학생인 저는 독서실에 가서 엄청난 양의 공부를 했습니다. 모두가 즐거워하고 놀았을 때, 저만 공부했던 시절이라서 슬펐고, 내 욕심을 채우려 한 것인데 무엇인가가 억울했습니다. ^^; 이런 마음을 말로 표현할 수 없었던 일이 기억에 남습니다.  

- 그런 자격증이 직업을 가지거나, 살아가는 데 어떤 도움이 되었나요? (자기발전에 도움이 되는지..) 그리고 현재 업무를 하는 데 유용한가요?

정하권 주임: 자격증은 원하는 공부를 하는 과정에서 취득을 하여야 보다 개인적으로 많은 도움이 된다고 생각합니다. 그래야 실제 업무에 적용도 할 수 있고 개인적인 역량도 키울 수 있기 때문입니다. 또한 자격증을 취득하고 나서가 중요한데, 취득한 자격증과 관련된 분야를 꾸준히 공부하고 업무에 적용해보는 것이 자격증이 종이에 불과한 증명물이 아닌 그 사람의 자격으로서 효용가치를 높일 수 있는 방법이라고 생각합니다. 솔직히 저는 결과적으로 System Engineer로서 관련분야의 시야를 넓히는 데에 많은 도움이 되고 있습니다. 

홍수연 주임: 저는 취직 준비할 때 CISSPCISA가 도움이 많이 되었던 것 같아요. 정보보호 관련분야에 이력서를 넣을 때마다 좋은 결과가 있었던 것 같네요. 그리고 취직 후에도 '정보보호'의 큰 그림을 볼 수 있다는 것이 큰 장점인 것 같습니다. 특히 컨설팅팀 같은 경우 CISSPCISA자격증 소지자를 우대해 주는데, 직접 일해 보니 작게는 정보 보호 용어나 의미 이해, 크게는 고객사의 정보 보호 흐름 및 구성을 이해하는데 도움이 되어 고객과의 커뮤니케이션이나, 요구사항을 파악하는 데는 큰 무리가 없었던 것 같습니다.

고기선 주임: 자기개발에 당연히 도움이 되었습니다. 또한 이력서 쓸 수 있는 수월한 증거물로 취업에도 도움이 되었다고 생각합니다.

요즘 대학생들이 일명 스펙 쌓기로 자격증을 많이 따고 있는데, 이것을 어떻게 생각하나요

정하권 주임: 위의 언급한 바와 같이 원하는 공부를 하면서 자격증을 취득하고 취득한 다음 관련된 분야를 꾸준히 공부하고 응용한다면 그 자격증이 나중에 그 사람을 나타내는 자격이 될 것이라고 생각합니다. 하지만 단순히 스펙 쌓기에 의존하는 일회성 페이퍼의 경우는 아무리 많이 취득한다 하더라도 오히려 그 사람의 자격 기준을 의심하게 되는 독이 될 수도 있다고 생각합니다.

홍수연 주임: 스펙 쌓기에만 열중하여 단순히 결과만 얻는 것에 초점을 맞추기 보다는, 스펙도 쌓되 공부하는 과정에 더 의미를 두는 것이 좋을 것 같습니다. 분명 합격은 했지만 면접에서 기본적인 질문에 대한 대답조차 못한다면 훨씬 신뢰도가 떨어지지 않을까요? 물론 회사에서도 충분히 기본적인 것들을 배울 수는 있겠지만 저는 개인적으로 입사 전에 자격증 공부를 함으로써 기초를 다지는 것도 괜찮은 방법이라고 생각합니다.

고기선 주임: 자격증 취득이라는 목표가 스펙 쌓기로 시작한 것은 아니지만 결국은 스펙 쌓기가 되어 버리는 것 같습니다. 저는 자기개발을 위해 관심이 가는 분야를 순수하게 공부를 해왔습니다. 처음엔 자기만족으로 시작했지만 쉽게 딸 수 있는 것들을 먼저 시작해서 관심 있는 자격증을 공부 하지 못한 것이 사실 아쉽습니다. 오라클 분야도 관심이 있었고, 공부를 하고 싶었는데 학교를 다니면서 시간이 맞지 않아 공부하지 못한 것이 아쉽습니다. 

- 이런 자격증은 꼭 따야 한다고 추천하는 것이 있다면요? 

정하권 주임: 개인적으로는 CISSP를 추천하고 싶습니다. IT에 필요한 전반적인 지식을 폭 넓게 훑어 볼 수 있기 때문입니다.

홍수연 주임: CEH와 디지털포렌식 자격증을 추천하고 싶습니다. 물론 저도 아직 취득하진 않았지만, 모의해킹 및 침해사고 대응분야에 관심이 있는 사람이라면 실무에 큰 도움이 되지 않을까 생각합니다.

고기선 주임: 없습니다. 굳이 추천을 받아서 자격증을 취득할 필요는 없을 것 같습니다. 사실 자기만족이라고 생각합니다. 자랑하려고 자격증을 취득하는 것이 아니기 때문에 내세우려고 이것을 취득하는 것은 아닌 것 같습니다. 중요한 것은 사람들에게 내세우지 않고 자기만족으로 따는 성취감인 것 같습니다.

자격증 취득 노하우와 비법은 무엇입니까?

정하권 주임: 합격 노하우는 따로 없는 것 같습니다. ‘노력은 배신하지 않는다.’라는 말이 정말 맞는 것 같습니다. 개인적으로 자격증을 취득하고자 하는 분들께 조언해 드리고 싶은 이야기가 있다면, 경제적으로 부담이 적은 국가 자격증을 취득하면서 조금씩 자신감을 붙여나가는 것이 중요하다고 생각합니다. 그리고 가급적 단 기간에 집중해서 자격증을 취득하고, 이것을 취득하였을 때 자신에게 성과에 따른 보상을 하는 것도 잊지 말았으면 좋겠습니다. 그렇게 공부를 하면서 그 결과로 흔적을 남기다 보면 몇 년 사이에 달라진 자신의 모습을 확인할 수 있을 것입니다.

홍수연 주임: 사실 경력이 없는 사람들이 책만으로 혼자 독학을 해서 취득하는 것은 조금 무모한 도전이 될 수도 있을 것 같습니다. 혹시 혼자 독학하기에 무리를 느끼는 분들이라면 전문 학원의 힘을 빌려 꾸준히 공부하는 것도 도움이 될 것 같습니다. 이해보다는 암기를 요하는 부분이 많기 때문에 저는 메모지에 적어 항상 이동하면서 머릿속으로 되새기는 습관을 들였습니다. 또한 그냥 지나칠 수 없었던 응시비를 생각하면서 밤낮 가리지 않고 열심히 공부했습니다. ^^;

고기선 주임: 먼저, 웹개발자로서의 공부법으로 저는 현재 자바를 준비하고 있지만, 기본적으로 JSP/DB를 많이 알아야겠다고 생각합니다. 언어가 비슷하긴 해도 정말 헷갈리는 부분이 많습니다. 그리고 제가 생각하기에는 이것들이 웹뿐만 아니라 프로그램도 쉽게 만들 수 있다고 생각합니다. 그리고 자격증을 취득할 때 무엇보다 중요한 점은, 관심과 열정이 있어야 할 것 같습니다. 사실 본인이 그 분야에 대해 와 닿지 않는다면, 자신의 지식이 되지 않기 때문에, 그것들을 내 것으로 만들려면, 계속 접해보고 공부를 해야 한다고 생각합니다.

- 앞으로 도전하고자 하는 자격증은 무엇인가요?

고기선 주임: 2-3년 전까지는 자격증을 취득할 생각이 있었습니다. 그런데 저는 관심이 있어서 다양한 자격증을 취득한 것인데, 저의 성취 결과물을 단순한 종이 취급을 하는 부정적 인식과 시선들 때문에 자격증을 취득할 생각이 없어지기도 합니다. 또한 단순한 자격증명보다는 경력이 더 우선시되기 때문에 이직을 하더라도 자신의 능력이나 어떤 프로젝트에 어떻게 투입되어 어떤 일을 했는지가 더 중요하다고 봅니다. 사실 자격증에 대한 부정적인 인식이 싫을 뿐이지 취득할 수만 있다면 욕심을 내서 공부하고 싶습니다. 그렇게 한다면, 제가 노력했던 시간을 나중에 돌이켜 보았을 때, 매우 뿌듯할 것 같습니다. Ahn


사내기자 표세화 / 안랩 보안정책팀

대학생기자 허우진 / 수원대 컴퓨터학과

대학생기자 김다은 / 한국외대 태국어과/방송영상학


댓글을 달아 주세요

  1. 윤덕인 2012.12.15 14:42  Address |  Modify / Delete |  Reply

    무분별한 스펙쌓기가 아닌,
    자신의 공부를 위한 스펙이 진짜 자신의 것이 될수있단 말에 공감이가네요 좋은 글 감사합니다. :)

  2. 김기탁 2012.12.27 15:43  Address |  Modify / Delete |  Reply

    와우 모두들 자격증 많이 따셨네요~ 부럽습니다 ㅇ.ㅇ 정보좋은데요.

개인정보보호법에서 눈여겨볼 핵심 조문

보안라이프/이슈&이슈 2012. 12. 3. 09:16

2011 9 30, 개인정보보호법이 발효됨에 따라 개인정보 침해 대응법도 구체적으로 구현되었고, 정보보호 중요성에 대한 사회의 의식 수준도 높아졌다. 개인정보보호법의 법적 성질과 주요 조문을 분석함으로써 해당 법률의 역할을 살펴보자.

개인정보는 원하지 않은 방식으로 이용되지 않아야

개인정보는 생존하는 개인에 관한 정보로서 성명, 주민등록번호, 영상 등을 통하여 개인을 알아볼 수 있는 정보를 의미한다. 개인정보를 법적 권리로 설정할 때, 일반적으로 헌법 제17조에서 규정하는 프라이버시(privacy)라는 개념으로 접근한다. 개인정보의 법적 권리에는 자신에 관한 정보가 자신이 원하지 않은 방식으로 이용되지 않을 권리,’ ‘자신도 모르는 사이에 정보가 남에게 수집되지 않을 권리등이 포함된다.

개인정보 라이프 사이클은 수집, 저장 및 관리, 이용 및 제공, 파기로 이루어지며, 각 단계별로 침해가 발생할 수 있다.

 

개인정보보호법은 기존에 정보통신, 금융/신용, 공공행정, 교육 등의 분야에서 개별적으로 적용되었던 법률들의 체계를 일원화하여 개인정보의 수집, 처리에 관한 일반법으로 기능한다.

개인정보보호법은 기존 개인정보보호 법안의 적용 대상에서 국회, 헌법재판소 등 행정 사무를 처리하는 기관과 오프라인 사업자, 협회, 시민단체 등 비영리단체까지 그 영역을 넓혔다. 보호 범위도 전자적으로 처리되는 개인정보 외에 수기 문서도 포함된다(동사무소 민원신청 서류 등 공공기관의 종이문서 등).

 

눈여겨볼 개인정보보호법 주요 조문

개인정보보호위원회 설치(7· 8)

개인정보에 관한 주요 사항을 심의 의결하는 대통령 소속 개인정보보호위원회를 두고 위원회에 사무국을 설치하였다. 이는 개인정보 보호 정책의 수립, 결정 및 제도 운영 등 중요 사항에 대한 의사 결정의 신중성, 전문성 및 객관성을 확보하고 이해당사자로부터 독립성을 확보하기 위함이다.

개인정보 처리 단계별 보호 기준 마련(15~22)

개인정보 수집, 이용, 제공, 위탁, 파기 등 단계별 처리 기순을 구체화하였다. 이는 개인정보 수집, 이용, 제공, 위탁, 파기 등 단계별로 개인정보 처리자가 준수하여야 할 처리기준을 구체적으로 규정하고 개인정보처리 과정에서 국민의 개인정보 자기결정권을 강화하기 위함이다.

고유식별정보의 처리 제한 강화(24)

주민등록번호 등 고유식별정보는 원칙적으로 처리 금지되며, 법령에서 고유식별정보 처리를 허용하는 경우는 제외한다. 따라서 개인정보처리자는 홈페이지 회원가입 등 개인의 식별정보가 필요한 경우, 주민등록 번호 외에 방법을 반드시 제공하도록 의무화되어 있으며, 개인을 구별하는 정보의 분실, 도난, 변조, 훼손 등의 방지를 위해 암호화 등 안정성 확보 조치를 규정하고 있다. 이는 주민등록번호의 광범위한 사용 관행을 제한하고 무분별한 오·남용을 방지하기 위함이다.

영상정보처리기기의 설치 제한 근거 마련(25)

범죄의 예방/수사를 위한 경우 등의 법령에서 허용하는 경우 외에 공개된 장소에서는 영상정보처리기기의 설치 및 운영이 제한된다. 영상정보처리기기를 설치하거나 운영할 시에는 안내판, 운영 및 관리지침을 마련하는 조치가 필요하다. 해당 조문은 영상정보처리기기의 설치, 운영 근거 및 보호 조치 사항을 구체화했다는 점과, 영상정보처리기기의 무분별한 설치를 방지하여 사상활 감시에 대한 프라이버시를 보호하는 장치를 마련됐다는 점에서 의의가 있다.

개인정보 영향평가제도 도입(33)

공공기관이 대규모 개인정보 파일 구축을 할 때는 사전에 영향평가를 실시해야 한다(공공기관은 개인정보파일 등록 시 평가 결과를 첨부하여 행정안전부에 제출해야 함). 민간 분야는 자율적으로 수행한다. 이 조항을 통해 개인정보 침해를 예방하기 위하여 사전에 위험요인을 분석하고, 이를 조기에 제거할 수 있다Ahn

 

자유기고. 방지희  

 

댓글을 달아 주세요

개발자에 의한 개발자를 위한 컨퍼런스 미리 보기

현장속으로/세미나 2012. 9. 18. 17:48

공감을 넘은 소통, 열정을 담은 창조, 개성을 존중한 하나가 되는 세상!

안랩과 국내외 소프트웨어 및 네트워크 개발 역량과 기술의 최신 동향을 공유하는 개발자 컨퍼런스인 AhnLab CORE 2012가 개최된다. AhnLab CORE가 어떻게 열리고 어떤 의미가 있는지 문답으로 알아보자.


 

1.     AhnLab CORE는 어떤 행사인가요?

개발자 및 엔지니어를 위한 전문 컨퍼런스인 AhnLab CORE(Conference Of Researchers & Engineers)는 안랩의 개발 경험을 중심으로 국내외 소프트웨어 개발역량과 최신 기술동향을 공유하는 자리입니다. 지난 해 처음으로 개최된 AhnLab CORE 2011이 보안 중심의 기술을 공유하였다면, 올해는 보안 외에도 소프트웨어와 하드웨어의 융합, R&D 트랙을 비롯해서 보안 콘테스트 AhnLab Security WAVE의 오프라인 행사까지 다양하고 풍성한 프로그램이 선보일 예정입니다.


2.     본 행사에서는 어떤 프로그램이 진행되나요?


본 행사는 조시행 전무의융합의 시대 개발자의 도전과 과제’, 송인혁 TED크리에이티브 디렉터의 세상을 움직이는 지식은 어떻게 완성되는가라는 키노트 발표를 시작으로, 아래와 같은 3개 트랙의 세션이 진행됩니다. 

 

Track A _ Convergence (Technology Mash-up)

하드웨어에 대한 기존의 고정관념에서 벗어나 기술과 서비스의 융합, 하드웨어와 소프트웨어의 융합으로 새로운 시대의 요구를 실현하고 있는 현 시점에서, 본 트랙에서는 네트워크부터 소프트웨어, 그리고 하이브리드 기술까지 IT가 실현할 수 있는 무궁무진한 융합의 기회와 개발자의 가능성을 이야기합니다


Track B _ Origen (Security Technology) 

IT환경을 둘러싼 위협이 고도화, 지능화됨에 따라 보안 사고의 근본적인 원인으로 기술 자체의 결함이 지목되고 있습니다. 본 트랙에서는 스마트폰, 온라인 게임 등 개인까지 위협하는 최신 공격 기술 동향과 이에 대응하기 위한 악성코드 분석 기술을 공개함으로써 기술에 생명을 부여할 안전한 개발과 개발자의 역량을 제고합니다. 

Track C _ Research & Development (Software Development)

기술과 사회가 고도화됨에 따라 개발과 개발자의 영역 또한 복잡해지고 있습니다. 본 트랙에서는 기획부터 UX(User Experience), 인증, 테스트까지 개발의 전 과정을 다각도로 고찰하고 트렌드의 변화에 따라 최신 기술을 습득하고 활용 및 발전시켜나가야 하는 개발자의 가치를 재정립하는 방안을 논의합니다.

 

3.     트랙명에는 특별한 의미가 있나요?

각 트랙명은 CORE의 글자를 활용해서 만들어졌습니다(Convergence, Origen, Research & Development, Education). 마지막의 E는 보안 전문가 양성이라는 교육적인 목적(Education)을 담은 보안 콘테스트인 AhnLab Security WAVE를 의미합니다. Security WAVE 대회 내용과 관련해서는 전 기사(http://blogsabo.ahnlab.com/1191)를 참조해 주세요.

 

4.     참가자격은 어떻게 되나요?

소프트웨어 개발의 전문적인 현장을 공유하고픈 개발 및 보안 관리자, 미리 개발의 생생한 모습을 느끼고 싶어하는 학생개발에 관심 있는 사람 분이라면 누가나 참가 가능합니다. 

 

5.     행사는 언제 진행되며 참가신청은 어떻게 하나요?

http://ahnlabcore.co.kr/core에 접속하시어 ‘사전등록’을 하시면 됩니다. 현장등록도 가능합니다. 본 행사는 9 20() 08:30~18:00 서울 코엑스 인터컨티넨탈호텔 하모니볼룸에서 이루어지며, 구체적인 사항은 행사 홈페이지를 참조해 주세요Ahn


사내기자 방지희 / 안랩 세일즈마케팅팀

지금 20대의 청춘을 사람들과의 소중한 만남으로 채우고 싶습니다.
글을 통해 타인의 마음을 읽고,
글을 통해 타인의 마음을 움직이는 기자가 되고자 합니다.


댓글을 달아 주세요

유령, 대본 감수한 전문가들이 모여 나눈 뒷담화

얼마 전 종영된 드라마 ‘유령’은 많은 화제를 낳았다. 드라마 ‘유령’은 그 동안 드라마에서 전혀 다뤄 본 적 없는 ‘사이버 테러’라는 주제를 통해, 시청자들에게 신선한 충격과 새로운 재미를 선사하였다. 사실 그 동안 ‘사이버 테러’ 공격의 대상은 누구나가 될 수 있지만, 아직까지 이는 대중에게 낯선 주제였다.

유령은 대중에게 ‘사이버 테러’라는 주제를 친숙하게 해 줌과 동시에 ‘사이버 테러’에 대한 경각심 또한 일깨워 주는 소중한 계기가 되었다. 그런데 리가 재미있게 본 드라마 뒤에도 과학적인 지식을 전달하기 위한 많은 이의 노력이 있었다. 생소할 수 있는 주제를 쉽게 전달할 수 있었던 중요한 배후(?)에는 안랩(구 안철수연구소)의 자문단이 있었다. 

그 중 안랩 시큐리티대응센터(ASEC) 이상철 책임연구원과 차민석 책임연구원을 만나 자문 과정과 비하인드 스토리를 들어보았다. 그들은 이 드라마가 국민의 보안의식을 고취하는 데 도움이 되었으면 좋겠다고 말했다.

Q : 드라마에 ‘악성코드’라는 단어가 자주 언급되던데, 우리가 아는 ‘바이러스’와 ‘악성코드’는 어떠한 차이점이 있습니까? 

이 : 쉽게 이야기하면 ‘악성코드’가 ‘바이러스’에 비해 더 넓은 범주라고 이해하시면 될 것 같습니다. 우리가 과거에는 흔히 ‘바이러스’라고 많이 이야기했는데, 최근에는 ‘바이러스’라는 단어대신에 ‘악성코드’라는 단어를 주로 쓰고 있습니다.  

Q : 그렇다면 우리가 사용하는 백신 프로그램은 모든 악성코드를 감별해낼 수 있나요?  

이 : 그건 사실상 어렵습니다. 물론 백신 프로그램이 모든 악성코드를 예방할 수 있다면 좋겠지만, 사실상 백신 프로그램은 사후 치료 기능이 강합니다. 우리가 백신 프로그램을 만들 때에도 최근에 나온 악성코드를 분석해 그에 맞는 해결책을 백신 프로그램에 업데이트해 2차 피해를 막을 수 있도록 노력하는 것이지, 백신 프로그램만으로 모든 악성코드로부터 안전할 수 는 없습니다. 또 악성코드는 하루에도 셀 수 없이 많이 생성되고 있습니다. 그러한 악성코드를 기존에 있는 백신 프로그램만으로 해결할 수는 없습니다. 때문에 저희 안랩에서는, 악성코드가 발견될 때마다 그에 맞는 해결책을 백신 프로그램에 업데이트해 2차 피해를 최소화하기 위해 많은 노력을 하고 있습니다.  

Q: 자문을 하면서 조금 당황스러웠거나, 어려웠던 부분은 무엇입니까?  

이 : 기본적으로 작가들과 저희는 전혀 다른 분야에 종사하는 사람들입니다. ‘악성코드’와 전혀 다른 분야에 종사하고 있는 분을 이해시키는 것은 결코 쉬운 일이 아니었습니다. 저희야 ‘악성코드’에 관한 여러 기초지식과 실무경험이 있지만, 그 분들은 ‘악성코들’를 주로 뉴스나 신문을 통해 접하셨기 때문에 저희에 비해 현실감이 떨어지는 것 역시 사실이었습니다.  

차 : 드라마의 시나리오의 허구성과 실제 현실과의 괴리감을 줄이는 데 조금 어려움을 겪었습니다. 하지만 드라마 작가들의 상상력이 뛰어나 저희는 항상 배운 대로 ‘악성코드’에 접근해 가지만, 작가들의 생각지도 못한 접근 방법은 저에게 ‘아, 이렇게도 접근할 수가 있구나!’하는 신선한 충격을 주었습니다.  

Q : 유령에서 사용된 해킹 방식은 주로 아이피를 외국으로 우회하는 방식인데, 실제도로 이런 방식이 가능합니까?  

이 : 물론 얼마든지 가능합니다. 하지만 우리나라에서 벌어지는 스팸전화나 이메일 자체가 외국에서 전달되는 경우가 많습니다. IP에도 엄연한 국경이 있습니다. 우리가 아무리 IP를 추적한다고 할지라도 외국 조사당국에서 협조해 주지 않는 다면 범인을 잡는 것은 드라마에서처럼 쉽지는 않습니다. 드라마에서는 사이버수사대가 외국IP를 침투경로를 그대로 따라가 범인의 위치를 파악하지만 현실에서는 해커들의 IP를 추적하다 외국의 IP로 밝혀지면 그 이상의 수사는 외국 조사당국의 협조가 아니면 불가능합니다.  

 

차민석 책임연구원(좌)과 이상철 책임연구원(우)

Q : 드라마를 보니까, 어느 고등학생이 압수된 다른 학생의 스마트폰을 사용해서 이메일을 발송하는 장면이 있더라고요. 인터넷 로그 기록과 SNS 사용 내역을 통해 어떤 가해학생이 어떤 기기에서 언제 누가 글을 올린 건지 밝혀내던데, 실제로 가능한 일입니까?  

이 : 당연히 가능합니다. 우리가 포털사이트나 검색엔진에서 무엇을 검색했는지는 우리가 사용하고 있는 컴퓨터에 고스란히 저장됩니다. 또한 SNS를 사용할 경우 우리가 어느 장소에서 어떤 기기를 통해 올렸는지 까지 확인이 가능합니다. 포털사이트에 만일 로그인을 하고 검색을 했다면 당연히, 그 검색기록역시 자신의 아이디 몫으로 저장됩니다. 실제로 이러한 검색내역은 범죄수사에 상당부분 도움이 되는 것으로 알려져 있습니다.  

Q : 유령에서 ‘스턱스넷’을 통해 대한전력을 해킹했는데, 실제로 개인 혹은 조직이 국가산업시설을 해킹하는 것이 가능합니까?  

차 : 가능은 하지만 사실상 불가능에 가깝습니다. 저도 작가가 처음에 ‘스턱스넷’을 아이템으로 가져오셨을 때 조금은 당황했습니다. 현실에서는 불가능한 일이기 때문입니다. 그 이유를 차근차근 설명해 드리면 우선 ‘스턱스넷’은 여러 분야를 걸쳐서 만들어집니다. 그런데 중요한 것은 대한전력을 통제하는 ‘스카다 시스템’은 윈도우 기반 시설이 아닙니다. 때문에 스턱스넷이 ‘스카다 시스템’ 속에서 작동해 ‘대한전력’을 마비 혹은 해킹한다는 것, 그것도 몇 명으로만 구성된 해킹조직으로는 사실상 불가능에 가깝습니다.  

Q : 드라마뿐 아니라 현실에서도 해커가 해킹을 통해 얻고자 하는 것은 개인정보인 것 같습니다. 왜 개인정보의 유출이 이토록 위험한 것인가요? 

이 : 사실 우리 개개인은 유명인사가 아니기 때문에 어느 한 개인을 노리고 해킹을 하는 경우는 드뭅니다. 때문에 주로 개인정보가 유출되는 경로 역시 대형 포털사이트 혹은 통신사 서버와 같은 많은 회원이 가입되어있는 서버의 해킹을 통해 유출됩니다. 이렇게 유출된 개인정보들은 새로운 범죄에 이용될 수 있도록 가공될 수 있습니다. 가령 어느 포털사이트의 해킹을 통해 수 만명의 개인정보, 예를 들어 이름, 주민등록번호, 핸드폰 번호, 주소 이 네 가지만으로도 다른 사이트에 회원가입이 가능하고 또한 각종 스팸 메일, 전화, 문자에 활용할 수 있습니다. 결국 사소한 정보라도 해커들 혹은 범죄자들이 어떻게 가공해서 이용하느냐에 따라 그 가치와 범죄의 무게가 달라질 수 있기 때문에 개인정보의 유출은 상당히 위험한 것입니다.  

Q : 드라마 ‘유령’을 보다보니깐 CCTV에 찍힌 범인의 얼굴을 조작하는 장면이 방영된 적이 있습니다. 실제로 가능한 일입니까?

  차 : 그럼요, 이론적으로 모든 디지털 자료들은 조작이 가능합니다. 물론 실시간 CCTV같은 경우는 아직까지 실시간 조작이 불가능합니다. 하지만 과거에 녹화되었던 자료들은 얼마든지 조작이 가능합니다. 그리고 이러한 디지털 조작역시 어떻게 이용하느냐에 따라 그 위험의 무게가 달라지게 됩니다. 아무리 사소한 정보라도 결국 이용하는 사람의 목적과 의지에 따라 충분히 조작될 수 있고, 무서운 범죄의 도구가 되기도 합니다.  

Q : 드라마에서 ‘사이버 수사대’는 마치 모든 사이버 범죄를 단번에 해결할 수 있는 전지전능한 존재로 표현되어 있습니다. 현실에서도 그럴 수 있나요? 

차 : 아니요, 실제로 새롭게 발견된 악성코드 하나를 분석하는 것만도 복잡할 경우 몇 주씩 걸리는 경우가 많습니다. 하물며 현장에서 발견된 악성코드를 그 자리에서 분석해서 대처한다는 것은 사실상 불가능합니다. 드라마의 캐릭터상 사이버 수사대가 현실을 초월한 능력을 갖고 계신다고 생각하시면 쉽습니다. 앞에서 말씀드린 것과 같이 외국에서 침투해오는 IP는 외국 수사당국의 허가가 없이는 수사가 불가능하기 때문에 아무리 사이버 수사대라고 할지라도 그 역할의 범위는 한정되어 있습니다.  

 

 

Q : 드라마 ‘유령’을 자문하면서 가장 뿌듯했던 점은 무엇입니까?

차 : 저는 개인적으로 그 동안 중요하지만 많이 다루어지지 않았던 ‘사이버 테러’라는 분야를 드라마를 통해 새롭게 국민들에게 그 위험성을 알리고 경각심을 불러일으킬 수 있는 계기가 되어서 상당히 뿌듯함을 느끼고 있습니다. 물론 이러한 관심이 단지 드라마에서만 그치지 않고 많은 분들이 개인정보보호를 더욱 확실히 관리하실 수 있게 되는 계기로까지 이어졌으면 하는 바람입니다. 

이 : 저 역시도 이전에는 다루어지지 않았던 부분에 대해 많은 국민들께서 관심을 갖게 되신 것에 대해 상당한 만족감을 느끼고 있습니다. 또 이런 중요한 일에 저희 안랩이 자문 역할을 할 수 있어서 상당히 기쁩니다. 또한 그 동안 많은 분이 ‘해킹’에 대해 막연히는 알고 있었지만 그 자세한 내용은 알지 못했는데, 드라마 ‘유령’이 ‘해킹’과 ‘사이버 테러’를 시각적으로 국민들이 이해하기 쉽게 표현한 점은 상당히 좋더라고요. Ahn



 

대학생기자 류화영 / 연세대 문헌정보학과

지식의 섬이 크면 클수록 미지의 해안선은 더 길어진다. - John Donne
아는 만큼 모르는 것이 많아지겠지만 더 모르도록 정진하겠습니다.

 


 

대학생기자 성해윤 / 한양대 정보사회학과
사람은 사람을 통해서 배우고 그 안에는 감동이 있습니다. 전국을 돌아다니면서 좋은 경치 구경도 하고 자기 분야에서 정말 성실히 보람찬 삶을 살고 계시는 분들의 이야기를 담고 싶습니다. 지친 일상에 단비와 같은 감동을 주는 다큐멘터리 PD가 되고 싶은 꿈 많은 20대 젊은이입니다.

 


사내기자 박정우 / 안랩 A-퍼스트팀

사람이지만 주로 '개구리'로 많이 알려져 있으며,
재밌고 따뜻한 보안세상을 만들기 위해 연구하고 있습니다.


댓글을 달아 주세요

  1. 펄벅 2012.09.06 20:58  Address |  Modify / Delete |  Reply

    안랩 자문단 및 유령 드라마 관계자 분들 덕분에,
    재밌게 잘 봤습니다~ ^^ (동영상 얼굴 증거 조작 부분들 보면,
    현재의 인터넷/전자/모바일 선거 논란 등들도 좀 겁나던데요.)
    .
    진실이 밝혀져서, 다행이었던 드라마였던 것 같습니다.
    .
    북 국회/군/정부/해킹, 중 보이스피싱 등도 더 비중있었다면,하는 개인적인 바램이.

  2. 인신 2012.09.16 10:56  Address |  Modify / Delete |  Reply

    ㅋㅋ 잼있었음

안랩이 주최하는 보안 콘테스트는 왜 다른가

현장속으로 2012. 9. 4. 11:28

 

      글로벌 보안 기업인 안랩(구 안철수연구소)은 지식공유와 보안전문가 양성을 목적으로 새로운 개념의 보안 콘테스트  ‘AhnLab Security WAVE’를 개최한다. 참가자는 온라인 콘테스트를 통해 자신의 보안 지식을 가늠하고, 오프라인 컨퍼런스인 ‘안랩코어 2012 (AhnLab CORE 2011, www.ahnlabcore.co.kr)’에서 좀더 심도 있게 학습할 수 있다.  ‘AhnLab Security WAVE’가 어떻게 열리고 어떤 의미가 있는지 문답으로 알아보자.


 

     1.     AhnLab Security WAVE는 어떤 보안 콘테스트인가요?


올해로 2회째를 맞이하는 AhnLab Security WAVE는 안전하고 가치 있는 기술 개발에 기여할 수 있는 보안 전문가 양성을 위한 신개념 보안 콘테스트입니다. 보안과 개발 분야 종사자들이 함께 성장할 수 있도록 안랩이 기여하겠다는 의미에서 올해 Security WAVE의 슬로건도 ‘Growing up Together’입니다. 단순히 자신의 실력을 확인하고 끝나는 것이 아니라 동료들과 함께 토론하고 공부하는 자리를 만드는 것이 본 행사의 기획의도입니다.

 

사실 지금까지 대다수의 보안 콘테스트는 일부 유명 해킹 그룹이나 개인의 전유물처럼 그들의 지식이나 기술을 과시하는 행사였습니다. Security WAVE는 그런 일반적 콘테스트와는 달리 ‘열린’ 보안 콘테스트입니다. Security WAVE의 의미는 마라톤에 비유할 수 있습니다. 마라톤에는 42.195Km의 코스를 완주하는 선수가 있습니다만, 마라톤을 좋아하는 순수한 마음과 열정으로 5Km, 10Km, 하프 마라톤(Half Course)에 도전하여 완주하는 것을 목표로 하는 사람들도 있습니다. Security WAVE는 이처럼 보안에 대한 열정을 가진 모든 사람들이 함께 참여할 수 있는 자리를 만드는 다는 점에서 그 특별함이 있습니다.


2.     AhnLab Security WAVE에서 WAVE는 어떤 의미인가요?


AhnLab Security WAVE에서 WAVE는 We Appreciate your Value and Effort 의 약자로서 보안전문가를 꿈꾸는 참가자 분들의 열정과 노력을 격려한다는 의미를 담고 있습니다.


3.     참가자격 및 참가방식에는 제한이 있나요?


참가자격은 제한 없으며 IT 보안에 관심 있는 사람 누구나 참가 가능합니다. 대회는 개인전으로 진행됩니다.

 

4.     문제출제는 어떤 방식으로 진행되나요?


바이너리(Binary), 취약점(Vulnerability), 네트워크(Network), 디지털 포렌식(Digital Forensics), 모바일(Mobile) 총 5개의 영역으로 문제가 나누어 집니다. 각 영역마다 상, 중, 하 난이도의 문제가 제시됩니다.


 

[문제유형]

Security WAVE 콘테스트 상세 규칙에는 기존의 해킹대회 문제점들을 보완하고, 진정한 실력가에게 적절한 인증을 부여하고자 많은 사항들을 고려한 결과물에 담아있습니다. 문제출제 관점에서는 실무와 다소 동떨어진 대회용 문제가 출제되지 않도록 보안분야에서 사용되는 코어 기술 5(바이너리, 취약점, 네트워크, 디지털 포렌식, 모바일)를 선택하여 문제 카테고리로 선정하였습니다. 또한, 출제되는 문제도 고객사로부터 접수되는 사례, 필드에서 경험한 내용 및 실제 보안위협이 발생할 수 있는 사례들을 적절히 고려하여 시나리오를 작성하고 기술을 적용하였습니다.

 

[난이도 및 점수 산출방식]


이번 Security WAVE에서는 영역별, 난이도별, Stage 별로 3가지 문제정책이 적용되어 총 16문제를 풀게 됩니다. 기존 해킹대회에서 가장 큰 문제가 되는 “답 공유” 와 실제 풀이보다는 답만 맞추는 결과 선정방식에 문제점을 최대한 해결하고자 Stage라는 형식을 적용하였습니다. 16문제는 Stage 1(난이도 중 또는 하)Stage 2(난이도 상)로 구분하여 입력방식과 점수산정 방식에 차별화를 두었습니다. Stage1 문제는 간단한 답을 입력하고 바로 정답여부를 확인하면서 실시간으로 문제를 풀어가고, Stage2 문제에서는 단답형과 서술형 답을 입력하여 정답여부를 확인할 수 없도록 함으로써 답 공유를 배제하고, 실제 풀이과정을 제대로 알고 있는 참가자에게 가산점을 부여하는 방식으로 진행됩니다.

 

출제 당시 이미 각 영역별 문제 난이도가 존재하지만 문제의 난이도는 실제 문제를 푼 참가자의 수가 어느 정도 대변합니다. 따라서, 일차적으로 문제출제위원들이 결정한 영역별 상//하에 따른 난이도 점수와 실제 문제를 많이 풀수록 난이도가 낮아져서 획득할 수 있는 점수도 낮아지는 점수산정방식을 도입하였습니다. 이 방식은 전문가의 일방적인 난이도 결정이 아니라 참가자들의 의견을 반영한다는 취지와 실제 문제 푼 사람의 수가 증가하면 본인의 점수가 낮아지기 때문에 답을 공유하는 것을 막을 수 있다는 이점을 가집니다.

 

5.     참가혜택에는 어떠한 것이 있나요?


일정 수준의 성적을 거둔 참가자들에게는 Qualified, Professional, Master 3가지 등급으로 구분한 안랩의 인증서를 드립니다. 인증서를 획득한 분들을 대상으로 정기적으로 보안교육을 제공할 기획이며, Professional, Master 인증서를 받은 분들에 한해서 안랩 보안전문가들과 함께 프로젝트를 진행할 기회를 드리며 멘토링 프로그램과 세미나 참가 또한 지원해드릴 예정입니다. 구체적인 내용은 오프라인 행사 때 소개됩니다.

    6.     콘테스트 이후에 시행되는 오프라인 행사는 무엇인가요?


AhnLab Security WAVE 2012 온라인 대회에 참여한 분들 중 신청자 350명을 대상으로 오프라인 행사가 진행됩니다. 본 행사에서는 출제 위원들이 참가자들에게 직접 문제 풀이를 제공하고 문제 풀이 방식에 대해서도 토론하는 자리가 될 것입니다. 오프라인 행사는 선착순이니, 대회참가 시 서둘러 신청해 주세요.

[오프라인 행사 안내]

일시: 9/20(목) 12:00 ~17:30

장소: 서울 코엑스 인터컨티넨탈 호텔 다이아몬드 홀

  

7.     참가신청을 어떻게 하나요?

http://wave.ahnlabcore.co.kr에 접속하시어 ‘참가등록’을 하시면 됩니다. 온라인 콘테스트는 9 7() 22:00 ~ 9 8() 18:00, 20시간동안 진행됩니다. 구체적인 사항은 행사 홈페이지를 참조해 주세요. Ahn

 

사내기자 방지희 / 안랩 세일즈마케팅팀

지금 20대의 청춘을 사람들과의 소중한 만남으로 채우고 싶습니다.
글을 통해 타인의 마음을 읽고, 글을 통해 타인의 마음을 움직이는 기자가 되고자 합니다


댓글을 달아 주세요