가톨릭대 보안 동아리가 해킹대회 휩쓴 비결

최근 많은 해킹, 유출과 같은 보안 사고가 터지면서 많은 이들이 대한민국 보안의 미래를 걱정하고 있다. 하지만 이미 여러 대학교에 보안동아리, CERT(침해사고대응팀)으로 활동하고 있는 대한민국 보안의 미래인 대학생들이 있다. 그 중 가톨릭대학교의 CAT-Security를 만나보았다.

CAT-Security06년에 창립되어, 가톨릭대학교의 CERT(침해사고대응팀)으로서 학내 망에 대하여 취약점 분석, 정기적인 모의 해킹을 통해 미연의 사고를 방지하고, 보안사고 발생 시 즉각적인 조치를 통해 피해를 최소화하는 역할을 한다. 다른 대학의 보안동아리들처럼 대학에 동아리로 등록되어 있지 않고, 침해사고대응팀으로서 활동하니, 마음가짐이 다르고 책임감이 강하다고 한다.

외부 활동으로는 KUCIS(대학정보보호동아리연합)에서 세미나, 프로젝트 등의 활동을 하며 현재 운영진을 맡고 있다. KISA해킹방어대회에서 06년도에 금상, 08년도에는 우승(mayking)과 은상을, 10년도에는 3위를 각각 수상하였으며 09년도에 열린 HUST에서 2위를 하였다. 또한 2011년 에는 HDCON 해킹방어대회에서 대학동아리 1위를 하여, 미국 데프콘에 다녀오기도 했으며, SECUINSIDE 해킹대회에 2위라는 쾌거를 거두었다.

가톨릭대학교를 찾았을 때는, 마침 CAT-Security에서 주최하는 해킹대회인 "HolyShiled" 가 진행 중이었다. 온라인으로 진행되는 해킹 페스티벌인 만큼 해킹대회의 서버를 관리하며, 문제를 업로드하고 순위 전광판을 지켜보는 모습을 볼 수 있었다. 박세영 CAT-Security 회장을 만나 동아리 운영의 이모저모를 들어보았다.

박세영, CAT-Security 회장

- 여러 해킹대회에서 우수한 성적을 거둔 비결은? 
대회 경험이 많은 선배들의 지도와 조언이 가장 큰 도움이 되었다. 아무래도 직접 여러 문제를 접하고 풀어본 경험에서 나오는 노하우는 큰 힘이 되기 때문이다. 선배들은 졸업 후에도 직장에 다니면서도 퇴근 후 학교에 계속해서 오셔서 도움을 준다. 우리 또한 그럴 것이고, 후배도 계속해서 전통을 이어 나갈 것이다.

- HolyShiled가 올해로 2회째를 맞이했는데 대회를 주최하는 목표, 힘들었던 점이나 에피소드가 있다면? 
평소 대회에 참가하는 입장에서 주최하는 입장이 되다 보니 신경 써야 될 점이 무척 많았다. 문제 출제에 있어서는 많은 대회를 참여하면서 알게 된 경험들을 통해 웹, 포렌식, 시스템, 모바일 등 다양한 문제를 출제하였다. 또한 공부를 하던 중 재미있었던 점을 접목시켜 문제를 만들기도 한다. 내는 사람도 재미있고, 푸는 사람도 새로운 느낌이 들 것이라 생각한다.

목표로 생각한 것은 다른 대회 등에서 참가자들이 문제를 거의다 풀어놓고 키를 못찾는 경우가 되게 많은데 이런 경우가 안타까웠고, 이에 문제에서 키를 줄때 최대한 깔끔하게 주자는 점을 반영하려 노력하였다. 팀원들 모두가 참여하여 각각 문제를 만들고, 테스트를 거쳐 최종 문제를 선정, 대회에 출제하게 된다.

대회를 준비하는 동안 가장 힘든 점은 잠을 충분히 자지 못한다는 점이다. 보통 몇 달 전 부터 준비를 하기 시작하고, 대회 2주 전 쯤 부턴 동아리방에서 숙식을 해결하기도 한다. 이 시기에 동아리방의 문을 열면 좁은 방안에 멤버들이 뒤엉켜 새우잠을 자고 있는 것은 흔한 풍경이다. 에피소드로는 작년 대회를 준비했을 때는 대회 1주일 전 열심히 문제 서버를 세팅하고 있는데 갑자기 학교 건물 자체의 전원이 모두 내려가 버렸다. 알고 보니, 비둘기가 전선을 쪼아서 끊고 죽어있었다고 한다. 이 때문에 서버에 패닉이 걸려, 복구하는데 큰 애를 먹었던 웃지 못할 사연도 있다.

- 이제 곧 12학번 신입생들이 입할 할 텐데, 신입멤버 선발 기준이 있다면?
이 부분에 대해선 확실하게 말씀드릴 수 있다. 우선, 아무래도 하루 종일 학교에서 같이 있기 때문에 가족 들 보다도 얼굴을 더 자주 볼 사이이기 때문에 성격이 중요시 한다. 면접은 1:1로 진행한다, 오래 얘기를 나눠보다 보면 이 사람이 어떤 사람인지, 성격이나 마인드를 알 수 있기 때문이다. 실력보다는 보안에 대한 열정이나 의지를 중요시 하는 이유는 보안에 대해 잘 모르더라도 들어와서 스터디를 통해 배우며 성장할 수 있기 때문이다. 대신 스터디나 교육을 주4일 월, 수, 금, 토 하루에 2~3시간 씩 진행한다.

맨 처음 C, 웹 언어부터 시작해서 시스템, 리눅스 등 까지 한 학기동안 이렇게 진행하다보면 매번 과제도 나오고 밤새도록 해야 될게 많다보니 신입생 반절은 버티지 못하고 중도 포기하여 반만 남게 된다. 이렇게 힘든 스터디 과정을 진행하는 이유는 정말 보안을 하고 싶고, 열정이 있는 사람들만 남게 되는 점에 있다. 이렇게 남은 학생들만이 다음 스터디부터 실무적인 공격기법 등을 배움으로써, 이를 악용하는 크래커나 스크립트키디가 나오지 않게 된다. 학교 망 내의 침해사고 대응이라는 임무를 이어나가야 되기 때문에 이러한 후배의 보안 의식 등과 스터디 교육은 중요하지 않을 수 없다.

- 마지막으로 미래의 정보보안전문가를 꿈꾸는 학생들을 위해 해줄 조언이 있다면?
매번 느끼지만 많은 학생들은 무엇을 시작하기를 두려워한다. "어려워서 못해요", "제가 어떻게 해요" 등의 말만 반복하며 겁을 먹고 무서워하며 뛰어들지 못하는 것이다. 이들은 시작을 못하는 것이지 해봐야 된다, 해보면 된다. 어려워 보이더라도 어려운 것이더라도 일단 실행으로 옮겨 실천해 보는 것이 중요하다. 실제로 이렇게 하다보면 결국엔 다 이룰 수 있을 것이다. 시작, 첫걸음이 중요하다고 말해주고 싶다. Ahn    

대학생기자 변동삼 / 동국대 컴퓨터공학 
http://zxh.co.kr
나무를 베는 데 한 시간이 주어진다면, 도끼를 가는 데 45분을 쓰겠다.-링컨
아직은 꿈 많은 10대, '나' 라는 도끼를 갈자.
날카롭게

 


댓글을 달아 주세요

  1. kmk 2012.04.29 16:42  Address |  Modify / Delete |  Reply

    신고포상 Naver ckmk1

뒤늦은 개인정보보호법, 제대로 알고 감시하자

보안라이프/이슈&이슈 2011. 10. 19. 10:10

올해 들어서만도 대형 포털사 회원 3500만 명의 개인정보가 유출된 것을 비롯해 인터넷 이용자 대부분의 정보가 유출됐다 해도 과언이 아닐 정도로 사고가 끊이지 않는다. 한 통계에 따르면 1인 당 2번 이상 개인정보가 유출되었다고 한다. 

이런 상황을 보면 9월 30일부터 전면 시행된, 개정된 개인정보보호법의 발효가 뒤늦은 감이 없지 않다. 대형 사고가 터지기 전에 시행되었다면, 사고를 예방할 수 있지 않았을까? 

그렇다면
개인정보보호법 개정의 필요성은 언제부터 대두했을까. 2008년 4월 대표적 경매 사이트에서 중국 해커에 의해 1000만 명이 넘는 개인정보가 유출됐다. 이때 유출된 개인정보는 보이스피싱, 광고, 스팸 등 추가 범죄에 악용됐다.  


2008년 4월 기사에 '연내 제정'이라는 말이 눈에 띈다. 하지만 법안은 보류되었다. 인터넷 쇼핑몰, 정유회사 등에서 또다시 대규모 개인정보유출 사건이 터지자 정부가 보안 대응 없이 방치한 책임이 크다는 비판이 빗발쳤다.

2010년 4월 국회 행정안전위원회 법안심사소위원회(제3차)를 통해 최종적으로 ‘개인정보보호법’ 제정과 관련한 논의가 이루어질 것으로 예상됐다. 그러나 이날 법안심사소위에서는 아예 논의조차 되지 않은 채 법안심사소위가 폐회되고 말았다. 그리고 2010년 9월, 국회 법안소위를 통과해 개인정보보호법 제정이 속도를 내는 듯했지만, 새해 예산 등 쟁점 문제로 무산되고 말았다.

그러다 2011년 3월, 3.4 디도스 공격과 금융사 두 곳의 해킹 등 대규모 사이버 테러가 3건이나 터지고 나서야 뒤늦게 개인정보보호법이 국회를 통과하고 3월 29일 공표됐다. 개인정보보호법이 시행되기까지 3년이 걸린 것이다.

그렇다면 이토록 힘들게 개정된 개인정보보호법은 개인, 사업자에게 자연스럽게 받아들여지고 있을까? 3월 공포 이후 6개월의 시간이 있었지만 그동안 홍보나 인식이 없었던 것이 사실이다. 대형 포털의 사고 후에야 관심을 보이면서 쫒기듯 대응할 기업이 한두 군데가 아닐 것이다. 법 개정으로 적용 사업자가 50만에서 350만 사업자로 확대됐으나 자신이 해당되는 사업자인지도 모르고 넘어가는 게 대다수라고 한다.

이렇다보니 개인정보보호법은 '범법자 양산법'이란 비아냥도 나온다. 이에 대해 김남석 행전안전부 차관은 "시행 초기에는 업격한 법 집행보다 6개월 가량 계도 기간을 두고 처벌보다 개선 중심의 현장 정검을 강화할 것"이라고 전했다.

개인정보보호 홍보대사 개그맨 박영진, 김영희 씨

어떤 제도나 법도 시행 초기에 즉시 효과를 보기는 어렵다. 법을 준수해야 하는 것은 기업이고, 기업은 사용자의 정보를 수집, 관리하는 데 비용 투자를 해야 하기 때문에 저항이 있을 수밖에 없다. 하지만 신뢰할 수 있는 사회를 만드는 일인 만큼 책임 있는 자세를 보여주어야 할 것이다. 사용자는 스스로 권리를 지키기 위해 기업이 법을 잘 준수하는지 지켜볼 필요가 있다. 그러나 본인의 개인정보를 스스로 보호하는 것이 최우선임을 기억하자.  

그런 면에서 안철수연구소가 진행하는
'개인정보보호 캠페인'을 눈여겨볼 필요가 있다. 또한 행정안전부(http://www.mopas.go.kr/)와 개인정보보호 종합지원시스템(http://privacy.go.kr)에서도 개정된 개인정보보호법과 기업, 개인, 공공기관 별 가이드라인을 받을 수 있으며 교육 등의 정보를 얻을 수 있다. Ahn    

대학생기자 변동삼 / 동국대 컴퓨터공학 
http://zxh.co.kr
나무를 베는 데 한 시간이 주어진다면, 도끼를 가는 데 45분을 쓰겠다.-링컨
아직은 꿈 많은 10대, '나' 라는 도끼를 갈자.
날카롭게

 

 

댓글을 달아 주세요

  1. 라이너스 2011.10.19 10:58  Address |  Modify / Delete |  Reply

    잘보고갑니다.^^
    좋은 하루되세요^^

  2. ssook 2011.10.19 15:50  Address |  Modify / Delete |  Reply

    좋은정보 감사합니다~ 제 블로그에 글 퍼담기 해도 될까요??

똑똑한 스마트폰이 디도스 공격에 이용된다면

현장속으로/세미나 2011. 5. 21. 05:00

급속도로 보급된 스마트폰 덕에 우리는 정말 스마트한 삶을 누리고 있다. 24시간 인터넷에 연결되어 있는, 그야말로 유비쿼터스 시대가 도래했다. 하지만 다양한 보안 위협이 사용자를 노리는 상황에서 스마트폰은 과연 똑똑한 보안을 하고 있을까?

올해만 해도 3.4 DDoS 공격, 현대캐피탈 해킹, 농협 전산 장애 등 큰 사고가 잇달아 발생하니 스마트폰 환경도 덩달아 불안해 보인다. 올해로 17회를 맞이한 정보통신망 정보보호 워크샵(NETSEC-KR 2011)에 참석해 스마트폰 보안 문제를 들어보았다.

스마트 기기의 보안 이슈 – 최은혁(안철수연구소)

아이패드가 출시된 후부터 태블릿 PC가 붐이다. 스마트폰은 디스플레이가 작아 업무를 하기가 제한적이었던 데 반해 태블릿 PC로는 PC와 맞먹는 업무를 할 수 있게 되었다. 아이패드가 100만 대 판매되까지는 28주밖에 걸리지 않았다. 넷북이 180, 블랙베리가 300주 넘게 걸렸던 것과 대조적이다. 과거 CUI 환경에서 GUI, 키보드에서 마우스로, 그리고 터치로 진화하는 모든 과정은 애플이 주도했다.

이런 애플의 디바이스에서 큰 쟁점이 발생했다. 바로 탈옥과 루팅. 안철수연구소는 루팅탈옥 유저를 보안 범위에서 배제했는데, 현실적으로 매우 많은 이용자가 존재한다. 탈옥의 일반화가 된 것이다. 비탈옥폰으로 특정 사이트에 접속시 취약점을 통해 탈옥이 되면서 USIM 데이터가 삭제되어 사용 불능의 폰이 되는 사례도 있다. 하지만 애플은 iOS 자체가 보안에 강하다며 백신을 앱스토어에 올리려 해도 막는다. 그에 반해 최근 이슈인 GPS 트래킹을 막으려면 탈옥을 해야 하는 아이러니한 상황이다. (iOS4.3.3 릴리즈 전)

한편, 개방적 구조인 안드로이드 마켓은 누구나 승인 없이도 앱을 올릴 수 있어서 상대적으로 더욱 위험하다. 최근 안드로이드 악성코드의 출현이 급증했고, 애플리케이션이나 악성코드 속에 루팅을 하는 코드가 존재하여 관리자(root) 권한을 획득하는 등 악성코드가 단순 앱을 넘어서고 있다. 이러한 악성코드는 앱의 백그라운드에서 060 등의 유료 전화를 걸어 과금을 하게 하거나 통화 목록, SMS 등을 열람하는 등 피해를 낳는다.

이러한 악성코드의 진화 속도라면 안드로이드와 애플의 iOS 둘을 아우르는 크로스 플랫폼의 악성코드가 나올 날도 머지 않았거나 이미 나왔을 수도 있다. 이런 악성코드에 의해 스마트폰이 DDoS 공격에 가담하는 좀비가 되어버린다면 사이버 테러로 이어질 수 있다. 따라서 이를 해결할 솔루션이 필요하다. 그런데 이것은 사업이 아니라 정부 정책적으로 협동해야 하는 사항이.

스마트폰 포렌식 – 이상진 교수(고려대)

 

포렌식이란 전자 증거물 등을 사법기관에 제출하기 위해 데이터를 수집, 분석, 보고서를 작성하는 일련의 작업을 말한다. 그런데 스마트폰의 보급으로 이른바 '스마트폰 포렌식'이 등장했다. 이에 따라 이제까지 PC와 휴대폰을 대상으로 조사했던 내용을 스마트폰으로 한 번에 효과적으로 조사할 수 있게 됐다.

그렇다면 스마트폰에서 무엇을 추출할 수 있을까
?
통화 목록, 연락처, SMS, 음성 메시지, 사파리 웹브라우저 사용 정보 등이 수사에 많은 도움이 된다. 특히 메일이 증거 관점에서 큰 이점으로 작용하며 카카오톡 채팅 내역 또한 보관이 되기 때문에 증거로 활용할 수 있다. 또한 웹서핑 기록, 스트리트뷰, 거리뷰 등으로 범죄 모의를 한 정황을 파악할 수 있다.

이 외에 최근 이슈가 된 아이폰의 GPS 정보가 있다. 위치 정보를 초 단위로 수집하여 저장하는 것이 소비자의 사생활 유출 문제로 큰 논란이 되었지만, 포렌식 입장에선 중요한 증거가 되기 때문에 긍정적으로 볼 수 있다. 또한 억울하게 누명을 쓴 개인이 해당 정보로 알리바이를 제시해 누명을 벗을 수 있기에 좋은 측면도 있다. 2011 5월 릴리즈된 iOS 4.3.3부터는 해당 위치 정보를 수집하지 않는 방향으로 업데이트되어 앞으로 수사 방향에 영향을 끼치리라 예상된다.

포렌식에는 손상 없이 원본 그대로 가져와야 한다는 대원칙이 있다. 하지만 아이폰은 이 원칙을 지키기 어렵다. 그 이유는 아이폰의 백업과 PC동기화가 아이튠즈를 통해 이루어지기 때문이다. 즉, 컴퓨터에 남아있는 백업 데이터를 가져오는 것이므로 원본이 아니라는 문제가 있다. 더욱이 모든 정보가 백업되는 것은 아니니, 그 외의 필요한 정보를 획득하려면 탈옥을 이용한 디스크 이미징 방법을 써야 한다.

하지만 기기에 탈옥, 손상, 변화를 주게 되어 꼭 필요한 경우에만 활용한다. 게다가 이마저도 iOS 4.0 이후엔  암호화 기능이 탑재돼 어려움이 있다. 따라서 암호화한 Raw 이미지를 복호화하는 방법을 연구하고, 비탈옥 환경에서 더 많은 데이터를 취득할 방안을 찾는 것이 과제로 남아있다. Ahn

    

 

대학생기자 변동삼 / 동국대 컴퓨터공학 
http://zxh.co.kr
나무를 베는 데 한 시간이 주어진다면, 도끼를 가는 데 45분을 쓰겠다.-링컨
아직은 꿈 많은 10대, '나' 라는 도끼를 갈자.
날카롭게

 



댓글을 달아 주세요

  1. 라이너스 2011.05.21 08:45  Address |  Modify / Delete |  Reply

    스마트가 멍텅구리가 되는건 시간문젠데요.ㄷㄷ;
    좋은글 잘보고갑니다. 행복한 주말되세요^^

  2. shyguydoo 2011.05.23 20:39  Address |  Modify / Delete |  Reply

    동삼위에 올라서서 파란하늘 바라보며~

  3. crownw 최장호 2011.05.24 05:00  Address |  Modify / Delete |  Reply

    어우 기사 멋진데용?ㅋ 굳굳~ㅋ