태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

해커의 길 그리고 나의 길 - 바로 뒤의 글에 언급된 해커의 길 I 탄입니다. 98년에 썼으니 무려 8년가량 된글이네요..

원본: www.nmrc.org

위의 URL 에 언급된 내용이지만 내용이 귀담아 들어야 할 내용이 있기에 이렇게 요약을 해봅니다

.
( 원문의 내용을 축약하고 간단히 하려고 했기에 의미가 손상되었을 수도 있습니다.)

=
[ 이 글은 수많은 사람들에게 똑같은 것을 말하기에 지쳐서 쓰는 글이라기 보다는 흥미있는 정보

를 지니고 있어서 쓰는 것이다. 만약 한명의 사람이 궁금해 하는 것을 묻는다면
거기에는 아마도 10여명의 묻지 못하는 사람들이 있을 것이라 생각된다. 그런 이유에서 이글을 쓴

다.]

이 문서는 지속적으로 갱신이 될 것이다.

최근에 다양한 주제에 대해서 묻거나 추천하는 프로그래밍 언어는 무엇이고 당신이 생각하기엔 어

떤 책을 먼저 보면 좋겠느냐 그리고 일반적으로 보안 부분에서 최고가 되기 위해서는 어떻게 하여

야 하는지와 그 위치에 도달하기 위해서 얻어야 하는 지식에 대해서 수많은 요청을 받고 있다
. 여기에서 나는 모두를 위해 그것에 대해서 털어 놓는다.

-----------------------------
어디서 시작하는가?
-----------------------------
이점에 대해서 나는 상당히 다른 의견을 제시한다. 만약 당신이 처음 시작 하는것이라면 당신에게

Technotronic,Bugtraq,Packetstorm,Rootshell , 등 의 소스를 보지 말 것을 제안한다.

그곳에서 시작하지 말라. ( 물론 그곳들은 좋은 사이트이고 내가 말한 것이 그곳을 당신이 방문해

서는 안된다는 것을 의미하지는 않는다. :=)

이유는 간단하다: 만약 당신이 아는 보안에 대한 생각이 최신 exploits을 아는것이라고 생각한다

면 당신은 많은 것을 알지못하는 당신 자신을 발견하게 될 것이다. 어떤 것이 서버권한을 얻고

얻지 못하고 하는것에 대해 아는 것은 좋은 것이다 그러나 그것이 지식의 굳건한 기초를 쌓는 것

을 제공하지는 못할 것이다. 당신이 RDS 가 최신의 에러요소를 지니
고 있다는 것을 안다고 할 때 당신은 어떤식으로 다운로드를 받고 스크립트를 실행시키는지를 알

고 그것을 패치 하는법을 만약 안다고 한다면 ; 지금으로부터 3개월 뒤면 그 패치는 널리 퍼져

있을 것이고 그 주제는 낡은 것이 될 것이다. -- 지금 당신이 가지고 있는 지식에서 무엇이 좋

은것인가? 잠시 생각해 보자. 얼마나 많은 주제에 대해서 당신은 이해를
했는가?

익스플로잇에 대한 당신의 지식인가 아니면 익스플로잇 자체인가?

상당수의 사람들이 만약 최신 exploits을 안다면 그들은 보안을 안다고 생각한다. 그러나
절대 !절대! 로 아니다. 당신이 exploits을 아는 것은 보안과는 다른 것이다.

Example: 당신이 phf,showcode.asp, Count.cgi , 그리고 test-cgi. 에 대하여 안다고 할 때
당신은 일반적으로 무엇이 CGI를 위험요소로 만드는지 아는가? 당신은 안전한 CGI의 코
딩을 어떻게 하는지 아는가? CGI 기반으로 작성된 다른 것에서 어떻게 피해를 줄 수 있는
지 당신은 아는가? 또는 PHF,showcode.asp , Count.cgi , test-cgi 등도 당신이 아는것과 다
른것인가?

그래서 나는 익스플로잇으로 시작 하지 말 것을 제안한다. 익스플로잇이 존재한다는 것을
무시하라 ( 물론 내가 어떤 의미로 말을 하는지는 당신도 알꺼다.) . 초보적인 사용자로 시
작하기 위해서 당신에게 필요한 것은 무엇이 있겠는가.


===============================

Becoming a User
===============================

만약 당신이 Web 해킹을 하려 한다면 당신은 web을 어떻게 이용하는지 알고 있는가?
좋다. 당신은 넷스케이프와 익스플로러를 이용할 수 있고... 또 URL을 타이프 할 수 있으
며 .html 파일이 웹페이지 파일인 것을 안다. 당신은 파워유저가 되기 위해서는 이과 같
은 과정을 거쳐야만 한다. .asp 와 .cgi 가 동적인 것은 분명하다. .php 는 또 무엇인가?
redirect thing 은 또 무엇인가?. cookies? SSL ? 이 모든 것 들은 normal user 가 마주 치
는 것들이다. EXPLOITS 없이 다만 정상적으로 이용하라. 기초적인 것들을 무시하면 당
신은 엘리트가 될 수 없다. 절대 공짜란 없는 법이다.

유닉스를 해킹하기 위해서는 최소한 로그인과 로그아웃 그리고 쉘 명령어를 이용 할 수 있
어야 되며 mail, ftp , web, 등의 애플리케이션 실행 시킬 수 있어야 한다. 당신은 기초를 아
는 것이 필요하다 그래야 관리자가 될 수 있을 것이다.

==============================

Becoming an admin
=============================

지금 당신은 사용자의 영역을 넘어서 조금 더 복잡한 사용에 익숙 해져야 한다.
좀 더 명확하게 말하자면 웹서버가 될 것이다. 서버의 타입은 무엇인가? 각각의 차이점은
무엇인가? 어떤식으로 당신은 그것을 구분 할 수 있을 것인가?
정답은 그것들이 어떤 식으로 작동하는 지와 무엇을 하는지를 알아야 한다. HTTP 가 무
엇인지 아는가? HTTP1.0 과 HTTP1.1 의 차이점은 무엇인가? 어떻게 HTTP 1.1 가상 호
스팅이 작동하는 지를 안다면 웹서버의 설치에 도움을 줄 것이다. 좀 더 깊이 들어가 보
자.

운영체제에 대해서. NT를 구분 할 수 없다면 어떻게 해킹을 할 것인가? 당신은 아마도 관
리자 패스워드를 크랙 하려 할 것이다. 어떤 식으로 rdisk를 실행시키고 사용자명과 패스워
드 등등의 관리 조차 하지 못하면서 말이다. 이제 당신은 관리자에서 power-admin 으로
격상 되어야함을 느낀다. .. 당신은 이제 GUI환경에서 사용자추가를 할 수 있다. GUI를 이
용하여 추가하는 방법이외에는 방법은 없는가? 커맨드 라인은 무엇을 말하는가? 어쨋든
이 모든 실행 파일들이 당신의 system32 디렉토리 내에 있는가? 이것들은 도대체 무엇을
하는가? 왜 usernetctl 이 suid를 필요로 하는지 아는가? 단지 usernetctl 이 필요한가?
좀 더 깊어져라. 좀더..

친밀하게 되라 이것이 핵심이다. 대충 알아서 되는 것은 없다. 당신이 찾아 낼 수 있을 만큼
을 알아 내라 그리고 초 절정고수 (guru ) 가 되라.~~

==============================

당신은 모든 것을 알수는 없다.
==============================
위의 말은 진실이다.. 할수 있다고 생각하지 마라. 만약 당신이 할수 있다고 생각한다면 당
신은 스스로를 어리석게 만들고 당신의 지식을 얇게 만들어 버릴 것이다. 당신이 무엇을 필
요로 하고 흥미가 있는지를 골라내고 더 배우라.

사용자가 되고 관리자가 되고 .. 초절정 고수가 되고..그리고... 사실상의 그 주제와 관련된
부분에 있어서는 오직 당신 이외에는 없는 넘버 1이 되어라.
웹을 사용하는 것과 CGI를 어떻게 쓰는지를 배울 필요는 없다. 기초에 충실하라.. HTTP를
알라. 웹서버가 어떤 식으로 작동하는지에 대해서 알고 어디에서 관찰하는지를 알아라.
이것이 동작하지 않을 때 에는 무엇이 그 원인 인가를 깨달아야 한다.

당신의 관심 분야에 대해서 친숙하게 알아 갈수록 자연스럽게 어떤 식으로 exploit을 하
는지를 알게 될것이다.

간단하지 않은가?.. 만약 당신이 모든 입력과 출력에 대해서 안다면 , 보안은 이 입력과
출력의 범주에 속한다. 최신의 exploits 에 속하는 것 물론 과거의 것과 미래의 exploits 은
보안에 포함 되지 않는다. 당신이 초절정 고수가 되어가는 과정에서 당신은 알려지지 않은
작은 사실들을 발견 할 수도 있다. .. 대단 하지 않은가?.. 이것이 exploits 이다. 조작을 하
기 전에 당신이 본 것과 어떻게 그것이 작동하는지에 대한 이해가 필요 하다.

자.. 가서 CGI 가 실제로 무엇인지, 어떻게 HTTP 에 영향을 미치는지, 어떻게 웹서버가 그
것을 실행하는지에 대해서 배우라.. 그러면 당신은 무엇을 하는지 이해 할수 있을 것이다.

들어서 아는 것과..이해하는 것의 차이는 명확하다!!!!

==========원문 끝==========


>사견 첨가

해킹을 하기 위해선.. exploit 이전에 HTTP 가 무엇인지 TCP/IP 가 어떤식으로 작동 되는
지에 대한 이해가 우선 되어야 한다. 해킹이 목적이 되어선 결코 배울 수가 없을 정도로 따
분하고 지루할 수 있지만 이 과정을 넘어야.. 당신은 당신이 하려는 것이 무엇인지 알 수 있
을 것이다.

기초가 없이는 종속 될 뿐이다.

HTTP, TCP/IP 등의 기초적이고 지루한 이론 에 충실 하지 못하기에 거의 대부분의 해킹
기법과 exploits 이 외국에서 나오는 지도 모른다. 어쩌면 우리에게 OS를 만든 역사가 없
다는 것이 시스템 프로그래머의 사장과 그 이론의 구체화와 전파에 지장을 주었을 것이다.
이제 리눅스라는 걸출한 영물이 하나 우리에게로 던져 주었다.
이제 우리는 무엇을 할것인가?..
우리손으로 OS를 조작 할 수 있게 되었다. 그런데도.. 외국에서 만든 익스플로잇이나 돌리
면서 잔머리 굴리기를 언제까지 할것인가?.. 진정한 해킹이란.. 툴이나 기존에 완성된것이라
기 보단.. 창의적인 작업이다... 바로 이것이 무기이자 경쟁력이 되는 세상이다.
우리에게는 창의 성이 없다. 다만 응용만이 있을 뿐이다. 기초가 없는 응용은 발전에 한계를
가진다. 창조 하지 못하면 곧 죽음이 되는 시대가 올 것이다. 그러나 우리는 기초를 보려
하지 않는다. 단순히 가장 빠른 exploits을 적용해 가며 으쓱하는게 자랑인가?..
어느 서버를 해킹해서 어떻게 했다.. 이게 자랑인가?.. 물론 자랑일수 있다. 그러나 그것이
다는 아니다. 기초를 무시해서 망가진 것을 우리는 수도 없이 봐왔다. 삼풍, 성수, 정치,경
제 ... 이 모든 것을 목격한 우린 다르다고 말을 하지만.. 알고 보면.. 판만 바뀌었다 뿐이지
똑같지 않은가?.. . 바뀐 세대들이여.. 그대들이 말하고자 하는 것은 무엇인가?..
깊이 이해 하려 하지 않고 흐름을 쫓기 좋아 하지만.. 그래선 언제나 쫓아 가기만 할뿐이다.
생각을 바꾸면 우리 길을 만들 수 있다...우리 윗세대가 우리에게 밥굶지 않는 생활을 만들
어 주기 위해 그렇게 고생을 하였다면 이제 우리는 다음세대에게 어떤 모습으로 비춰 질것
인가?..또 어떤길을 갈 것인가?.. 우리가 우리의 길을 갈 수 있다면 그것 부터가 최초의 길
이 아니겠는가?.... 마음을 편안히 가져라.!!.. 당장 오늘 결판이 나는 것은 아니다. 오늘 나온
exploits을 알지 못한다 하여 불안해 하지 마라.. 해킹 기법이라면 무조건 익혀야 된다는 생
각을 버려라.. 기초를 알면.. 화려함으로 포장된 이면을 볼 수 있다... 알고 보면.. 아무 것도
아닌 것이다.!!!

개인적인 경험을 말하자면

나는 프로그래머다.. 지금 8년째 공부를 하고 있으며 그 중에서도 5년 이상의 기간을 C 언
어 라는것만 집착했다... 고집스럽게도 이해하기 전에는 넘어 가지 않으려 했다... 처음엔 답
답하고 아무리 해도 끝이 보이지 않던 것들이.. 바닥으로 바닥으로 계속 파헤치다 보니 컴퓨
터 구조 까지 공부하게 되었다. 그리고 다시 C 언어를 공부했다.. 그래도 모르겠더군..
솔직히 머리가 나빠도 이 정도로 나쁠수 있을까 하는 의심 조차 들었었다. 그런 시간을 인
내하며 끝없이 바닥에서 다시 시작 하고 또 시작 했다. 컴맹으로 시작해서 2년의 시간이 지
날때쯤에야 머리속에서 프로그램을 컴파일 시키고 문제가 생길 수 있는 부분을 예상 할 수
가 있게 되었다. 그리고 군대에서.... 컴 퓨터를 접할 수 없었던 나는 머리속으로 생각 하고
또 생각 하게 되었다. 어느 순간 모든 것이 명확해 지더군.. 수백번도 더 보았던 구절이 명
확하게 이해가 되고 내 나름대로의 방식을 가질 수 있게 되었다... 그 때에도 수많은 화려
한 언어들이 명멸하고 이름을 날렸지만 불행인지 다행인지.. 고집스럽게 그거 하나에만 매달
렸었다... 그리고 지금.. 한달의 기간이면 하나의 언어를 내 식대로 다를 수 있게 되었다. 또
그렇게 사용하고 있다. 어차피 한정된 자원을 이용하는 것은 마찬가지이기에 겉으로 드러나
는 화려함 보다는 내부의 자원을 이용하는 것을 보는 것이다.. 그러면 사용할 수 있는 방법
이나 책에 나와 있지 않은 방법. 매뉴얼에 언급되어 있지 않은 새로운 것들을 활용 하고 가
공 할 수 있는 상태가 되었다.. 이제 나는 GURU 의 길로 간다.... 내가 남긴 글이 당신들에
게 도움이 되기를 바라며.. 절대 조급하지 말기를 바란다.. 해킹이란 것은 오히려 프로그래밍
보다 유행주기가 훨씬 짧다.. 그러기에 더더욱 보이는 현상에 집착하지 마라... 기초를 알면
모든 것은 자연히 이해가 된다... 오늘 애써 익힌 소스일지언정 며칠 아니 몇시간이 지나면
써먹을 수 없을지도 모른다.~~.. 당신은 한순간의 자만을 위해 당신의 귀중한 시간과 인생을
낭비할 것인가?... ..

기초를 익혀라..

그것이 진정한 해커의 길이다.!!

창의력으로 승부하는 진정한 해커의 길이다.!!

winsnort@hotmail.com : 바다란
- 지난 98년 쯤에 썼던 글입니다.
Posted by 바다란
해커의 길 II
 
해커의 육성 부분에 대해서는 할 말이 많습니다. 90년대 후반 부터 2000년 초반 까지 약 2~3년간 활발하게 활성화 되어 인력들이 척박한 환경에서도 많이 나왔습니다. 지금 그 인력들 뭐하고 있을까요?..
 
해커로서가 아니라. 조직에 동화된 이후에 조직에 끌려 갈 수 밖에 없고 또 가장 중요한 연구문화가 활성화 될 수 없는 환경 때문에 다들 떠납니다. 또 그런 여유를 허가 하지도 않고. 연구가 없이 어찌 취약성을 발견할 수 있고 미래 위협을 대처할 수 있나요?..
 
자격증 많이 가진 사람을 보안분야의 유능인력이라고 할 수 있을까요?. 막상 사고나면 전부 나몰라라 하는 판국에..
참 재밌습니다. 정보의 제공이나 동향의 예측은 이제 많은 인력이 투입된 국가기관에서 해야 할 것으로 봅니다.  음지에 존재하는 해커들도 그리 많지 않고 이제는 그 레벨도 참 말하기 뭐한 상태죠.
 
변화의 폭은 크고 매우 빠르게 나타나고 있습니다. 특히 보안 분야는 더욱 그렇죠. 기술의 진보도 빠르지만 더욱 빠르게 변화하는 것은 공격기술의 변화입니다. 이걸 파악하고 대책을 수립하고 예측 할 수 있을만한 인력이 자랄 수 있는 환경인가 하는 문제를 제기 합니다.
 
학생때에는 노력하는 것이 가능합니다. 관심을 가지고 각 분야를 조금씩 깊이있게 보는 것이 가능합니다. 그러나 업으로 삼고 하기에는 너무 가혹한 환경이죠. 우리나라와 같은 IT 발전 상황이 빨라서 실험적인 공격이나 장애들이 발생하고 이런 문제를 해결하고 또 공격에 대한 대처를 하고 방향을 수립하고 권고하고 하는 많은 일들...그리고 끊임없이 발전하는 많은 지식 부분을 커버해야 하고 몸은 바쁘고 마음도 급하고 뜻대로 나아가지는 않는 진퇴양난의 상황.
아마 실무에 계신분들이 계시다면 처절히 느끼실 것이고 제가 하는 말에 공감하는 부분들이 있을 것입니다.
 
눈에 보이는 것과 실무에서 느끼는 벽의 차이는 대단합니다. 기술의 차이가 아니라 기본적인 input/ output을 강조하는 단기성과만을 보는 문화적인 이질감의 차이도 상당하죠. 하나의 결과를 내기 위해 몰입하는 구조자체가 될 수가 없죠. 해외의 자본이 넉넉한 보안업체에서 운용하는 security team의 예를 봐도 그러하구요. 그나마 인력을 투입하고 그 인력이 가져오는 장기적인 시너지 효과와 파급효과를 이용할 정도의 규모가 되는 회사는 세계적으로 몇 개 되지 않습니다. 여력이 있어야 되는거죠. 그리고 장기적인 비전이 있어야 되는 것이구요. 우리나라내에서는 쉽지 않은 일입니다. 취약성 하나를 발견하기 위해 하다 못해 6개월간이라도 집중할 시간이 주어 질까요? .. 빠른 변화에 대처하는 것 조차 어렵습니다.
 
 
적응하는 것 쉽습니다. 그리고 적응을 하고 또 보안의 기술을 따라가는 것은 엄청난 희생을 강요합니다.
 
필요한 지식을 언급해 볼까요?..
 
 
프로그래밍 ( C , C++ , Perl , CGI , script [asp , jsp ,php 등] ,Assembly...)
- Exploit도 작성해야 하고 분석도 해야 하며 간단한 exploit 변환 및 가장 많이 발생하는 웹해킹에 대한 분석과 대책을 위해서 스크립트 레벨까지도 익히고 알고 있어야 됩니다. Assembly는 또 각 머신이나 CPU에 따라 다르죠. Spac , X86 등에 대한 Assembly 구조 및 사용법을 능숙하게는 몰라도 익히고는 있어야 됩니다.  한번 intel 사를 방문해서 Assembly에 관련된 매뉴얼을 한번 보시지요. 좀 더 관심 있으시면 구조까지도.. 이 CPU의 구조만도 무어의 법칙을 능가하고 파괴해 가면서 변화하고 있습니다. ^^
 
 
시스템 ( Windows NT / 2000 / 2003 , Linux , Unix , SunOS ,Irix 등등 )
- 최소한 Windows 계열과 Linux 계열은 확실하게 보안대책까지 알고 있어야 됩니다. 다른 운영체제도 기본적인 사항들은 알고 있어야 되죠. 그래야 공격이 가능하고 또 공격이 되었을 경우 대책이 가능합니다. 웜과 바이러스의 경우도 여러 가지의 취약성을 한꺼번에 이용하는 추세입니다. 이걸 알려면 공격자체만이 중요한 것이 아니라 시스템에 어떤 영향을 미칠지를 판단 할 수 있어야 되고 추적할 수 있어야 됩니다. 또 나아가서 네트워크 영역에 어떤 영향을 미칠지 까지도 파악할 수 있어야 되죠. 이런 인력이 없음은 지난 2년전의 1.25때에도 분명하게 입증이 되었습니다. 지금은 나아 졌을까요?. ^^;
 
네트워크 ( TCP/IP 뿐 아니라 802.X 대역에 대한 무선 프로토콜에 대한 이해 )
- 무선 관련 네트워크 및 테스팅 , 네트워크 상에서 발생하는 장애들에 대한 이해 ( 최소한 장애와 해킹에 의한 DDOS 상황쯤은 구분할 수 있어야 되며 문제를 해결 할 수 있어야 됨 ) . 전 세계 무선 AP중 무시할 수 없는 수치가 국내에 설치가 되어 있습니다. 이런 AP를 이용한 문제점들이나 해킹등에 대한 고려는 지금껏 충분히 있어 왔는지요..^^;
 
장비에 대한 이해 ( IDS -수십종 , IPS , Firewall , Router , Switch 등등)
- 네트워크 및 각 장비들의 특성과 로그에 대한 이해 취약성에 대한 이해 등등
네트워크 장비는 2000년 초반을 기해 메가 단위에서 기가 단위로 넘어 왔습니다. 국내의 네트워크 환경도 몇 년 사이에 급격하게 바뀌었고 보안장비들도 대부분이 기가급을 사용합니다. 이런 장비에 대한 기본적인 이해 그리고 근본적인 이해가 되어 있는지요?.. 아주 바쁘게 해야 됩니다. ^^; 장비 회사도 많고 장비 출시도..또 여러 종류의 장비를 쓰는 곳이 기본입니다.
 
 
영어 능력 ( 대부분의 정보 획득을 하기 위한 노력)
 
- bugtraq , vulnwatch 등의 메일링 수시 점검 및 해외 보안 관련 사이트에서의 이슈사항 점검 및 exploit 이나 vulnerability에 대한 서치 능력이 있어야 됩니다.
 
대표적으로 위의 5가지 부분만 들겠습니다.
위의 네 가지 중 한 가지 만이라도 제대로 하는 것이 어렵습니다.  위의 요소에서 상위권인 것이 2개 정도는 되어야 하며 나머지는 남들 하는 수준은 되어야 됩니다. 그래야 가능성이 있습니다.  하나 정도만 제대로 해도 전문가 소리 듣습니다. 그러나 모의해킹은 이 전분야를 몇몇은 깊이 있게 몇몇은 남들 정도는 알고 있어야 됩니다. 이런 난이도와 기술적인 요구를 누가 알까요?
 
요소를 보면  거의 IT 발전의 모든 부분에 끼여 있고 중요요소가 됩니다. 이걸 개인 차원에서 하기에는 이젠 속도가 따라주지 않습니다. 클럽 단위로도 한계가 있구요. 대대적으로 활성화 하려면 지금의 예를 봐야 됩니다. 지금은 어떻게 변화 되었는지.. 아니면 예전에 활동하던 사람들이 지금은 무엇을 하고 있는지를... 왜 그렇게 되었고 문제는 무엇인지를 ..
 
 
왜 그렇게 되었는지에 대한 이해가 필요하죠. 압축성장이 제품의 선정 및 대량 생산을 통해서 이루어 지고 대표적인 우리의 성장 방식입니다. IT 부분도 압축성장입니다. 그러나 인력의 축적이나 문화의 축적은 아주 오랜 기간이 걸릴 것입니다. 이 말은 갭이 생길 수 밖에 없고 이 갭의 부분을 상당기간 의존 할 수 밖에 없다는 이야기 입니다.
 
그렇다고 인력을 육성하지 않을 수도 없습니다. 대표적으로 자격증을 통해 인력 양성하는 것은 최소한 다른 분야는 몰라도 보안분야에서만은 쉽게 되지 않습니다. 관리적 보안 분야는 단기간 대량의 인력이 양성 가능하고 일정 시점 이나 프로젝트 경험 이후에 숙성이 될 수 있다고 봅니다. 그러나 시스템 이나 기술적인 분야의 보안 분야 인력 양성은 매우 시간이 많이 걸릴 것이고 자발적으로 할려는 의지가 있는 사람이 없는 이상 어렵습니다. 대대적으로 포럼을 가지고 활성화 하고 상호간의 교류가 되어야 하는데 거의 교류가 없죠.
이런 문제들을 짚어 보아야 할 것 같습니다.
 
98년 쯤에 해커의 길이라는 글을 쓴 적이 있습니다. 그때와 비교하여 지금의 진보는 매우 빠릅니다. 기술의 진보가 매우 빠르고 변화의 폭이 큰 상태라 참 어렵다고 할 수 있습니다. 지금 해커의 길 II 를 쓰라고 한다면 정말 ..취미가 가장 좋을 것 같습니다. 한 가지 부분에서의 취미로 깊이를 이루는 것이 가장 좋은 길이 아닐까요?..  가장 쓰라리고 인내가 필요한 길이고 만족도는 있으나 세월이 지나면서 부딪히는 벽이 많이 있다는 점 ... 
이런 글을 쓰면서도 저는 아직 현역에 있습니다. 모의해킹 뿐 아니라 CERT 영역까지 폭넓게 운신을 하고 있지만 마음이 상당히 아프고 상하는 것은 어쩔 수 없네요. ^^; 저 조차도 위에 언급한 5가지의 영역에서 자유롭지 못한 부분들이 있습니다. 그리고 몇몇 분야에서는 깊이조차 없어서 허덕이는 것들도 있구요. 게을리 하지 않고 한 눈 팔지 않았음에도 이렇습니다.
 
 
언젠가는 쓰임이 있을 것입니다. 그때에 이르기 까지는 한순간도 호흡을 늦춰서는 안되는 것이구요. 그 언젠가가 올지 안올지는 모르지만 말입니다.
 
우리의 IT 산업 그리고 그중에 보안 분야는 시간이 지나고 보다 많은 쓰라린 경험들이 있게 되면 자연치유력에 의해 부족한 부분들이 보완이 될 것입니다. 그러나 아직 우리는 기술적인 스페셜리스트를 지니기엔 부족한 사회문화입니다.  이게 정답이라고 봅니다. 그렇다고 노력을 안할 수는 없겠죠. 이 노력을 인력 자체가 노력해서 채우라고 하기에는 너무 가혹하지 않나 하는 생각입니다.
 
 
물론 전부 제 생각입니다. 많은 의견 부탁합니다.
Posted by 바다란

아.. 별건 아닙니다.

 

그냥 객관적으로 생각 할 수 있는 부분까지 생각을 해보고 가다듬어 보고자 하는 차원에서 간단하게 글 써봅니다.

어제 올린 해커 관련 기사에 붙은 글에 추가적으로 예전에 읽었던 기사와 관련된 부분도 있어서 한번 더 추가적인 내용이 필요할 것 같아서 올립니다.

 

http://www.donga.com/docs/magazine/shin/2005/10/24/200510240500033/200510240500033_1.html

 

신동아 2005년 11월호에 나온 기사입니다.

 

 

이 기사에 나온 내용으로 유추를 할 수 있는 부분과 폐쇄되고 고립된 환경에서 선택할 수 있는 방안들에 대해서 언급을 간단히 하도록 하겠습니다.

 

일단 폐쇄된 환경이라는 점은 공격에 유리한 점을 가지게 마련입니다. 그 어떤 제약도 없고 정부 및 기관 자체에서도 그런 면을 독려하게 되죠. 기사에서 보면 MS와 숨결을 같이 한다라는 내용이 있습니다. 이 부분의 의미는 Reverse Engineering을 의미합니다.

 

모든 Binary에 대해서 분석을 한다는 의미이죠. 충분히 가능합니다. 실행 프로그램을 구하는 것도 어렵지 않고 중국을 통해서도 아주 손쉽게 구할 수 있을 것입니다.

 

90년대 후반 부터 시작했으니 GUI 계열의 Window 시리즈 부터 시작 했겠죠. 그리고 Linux도 마찬가지이고.. 소수의 영재들에게 무한한 자원과 자유를 주고 마음껏 해보도록 하였으니 공격 기술 및 분석 기술에 관한한 최고의 레벨에 도달 했을 것이라 유추 하는 것이 가능합니다. 또한 정보의 습득이야 모든 것을 인터넷을 통해 얻고 배울 수 있는 시점이니 간단한 영어 독해 정도만 하여도 충분히 가능할 것입니다.

 

Windows 의 모든 구조 및 하부 실행 단위까지 깊숙하게 진행 되었을 수 있으며 단위별로는 Binary를 리버싱 하여 어셈블리 단위 -> 어셈블리 코드를 pseudo code 단위의 C 레벨 코드 까지 생성해 두었을 것입니다. 그리고 리버싱을 하면서 기본적으로 알려진 취약성들에 대해서 다양한 방안에 대해서 찾아 보았을 것이므로 충분히 많은 문제점들을 발견하고 이용을 할 수 있을 것입니다.

 

중국의 자유 분방함과 통제의 어려움으로 인한 집중 , 인력풀의 다양함 등은 많은 Geek들을 탄생 시켰을 것이고 또한 이러한 geek들은 금전과 결합된 부분 또는 지켜야할 것들이 많은 곳으로 자리를 옮겨 새로운 시도를 하느라 전문성이 다소 무뎌졌을 수 있습니다.

 

* Geek - 출처 네이버 영어사전 : geek

 n.
1 괴한 짓을 하는 흥행사
2·속어괴짜, 기인, 변태[이상(異常)](pervert)
3컴퓨터 (通)[(狂)]

 

그러나 완벽하게 통제된 사회에서는 어떻게 될까요?. 기사에서 언급하듯이 그런 업무에 종사한다는 것조차 조직 및 국가에서 영예라고 생각하는 곳에서는 당연히 보다 더 깊숙하게 또 끊임없이 파고 들었을 것이라 손쉽게 예측이 가능합니다.

 

새로운 취약성에 대한 발견과 이를 이용한 공격등 .. 다양한 부분으로 발현이 되겠죠.

 

최소한 MS 의 패치 시점에 나온 패치 내용에 대한 분석과 회피 방안.. 어떤 유형으로 패치가 되었다 정도는 나오는 시점과 시간 차이 얼마 없이 알아낼 정도가 될 것입니다.  분석을 하면 되니 말입니다. 숙달된 전문가에게는 그리 어렵지 않은 작업이고 단순한 업무일 뿐일 것입니다.

 

가히 공격이나 분석에는 통달한 geek들이 다수 분포해 있을 것으로 보입니다. 전략화된 무기급이라 볼 수 있을 것입니다.

 

지켜야할 대상이 많은 곳들은 그만큼 어려움이 있을 수 밖에 없습니다. 보안전문가와 리버싱 전문가..그리고 공격에 특화된 전문 인력들간의 차이는 점차 켜져 갑니다. 기술의 차이는 차이대로 벌어지고 보는 관점도 달라질 수 밖에 없습니다.

 

정리합니다.

 

폐쇄되고 목적이 분명한 집단에서의 발전 가능성이 있는 부분은 다음과 같이 예상됩니다.

리버싱에 특화된 인력 집단 , 취약 부분에 대한 정보를 습득하고 지속적으로 찾는 집단 , 공격 기법의 발달을 추구하는 집단 ..

위의 세부류로 규정이 가능할 것 같습니다. 부대라고 칭하기에는 뭐하지만 세 집단이 체계적으로 움직여서 군을 이루고 있을 가능성이 가장 높지 않나 생각 됩니다.

 

C가 중요하다는 점은 기반 프로그래밍의 중요성을 언급하는 것과 마찬가지 이며 C를 완전히 분석한다는 의미는 시스템 및 시스템 기반위의 시스템 프로그래밍에 대한 이해가 일정 수준을 만족한다는 이야기 입니다. 최적화 그리고 체계화된 프로그래밍 구조를 가지고 있는 C는 하드웨어 접근 및 가독성이 높은 체계화된 소프트웨어를 구축하는데 기본이 됩니다. 하나의 컴퓨터 언어를 이해한다는 것은 하드웨어 레벨의 시스템 프로그래밍 + 활용 구조의 이해 + 네트워크의 구조 이해 등이 함께 이루어 져야만 가능합니다. 마찬가지 관점에서 기사의 논조를 이해하면 될 것 같습니다.

 

보안전문가란 무엇일까요? ..여러 부류가 있을 수 있습니다만.. 가장 이상적인 보안전문가는 공격에 대한 이해 , 프로그래밍 능력, 네트워크 구조 및 기능에 대한 이해 , 합리적인 판단 능력 및 결단력 , 추진력, 공격자 수준에 합당하는 추적 능력 및 대응 능력의 보유가 아닐까 생각 됩니다.

 

지원이 없고 단순한 생계 유지를 위한 방편으로 보안전문가의 길을 간다는 것은 매우 어렵습니다. 커버해야될 범위의 넓음은 차지하더라도 매우 빠르게 변하는 흐름을 따라가는 것 조차도 벅찹니다. 그러나 세분화된 역할을 지니고 충만한 자부심 그리고 지원이 따른다면 많은 발전도 가능하겠지만 특수한 환경에서나 그럴 수 있을 것입니다. 그 특수한 환경이 발달된 곳이 기사에서 언급한 곳의 집단이라 생각 됩니다.

 

그렇다면 우리에겐 그런 전문가가 없느냐?.. 그렇지 않습니다.

충분히 많은 수의 전문가들이 자생적으로 태어났고 현재도 각 분야에서 일을 하고 있습니다만 지켜야할 분야가 너무 많다보니 눈에 보이지 않을 뿐입니다. 지켜야할 대상이 많다는 것은 그만큼의 어려움을 가중 시키고 집중도 어렵게 만듭니다. 

 

공격집단의 역할 세분화 및 기술의 진보는 여전히 빠르고 향후의 근 미래에서는 더욱 큰 위험요소로 전세계에 대두 될 것입니다. 대응은 여전히 미미한 상황일 뿐이고..

 

대책은 과연 무엇이 있을까요?

 

최소한의 규칙을 지키는 자유분방한 토론의 장 ? 그리고 전문가에 대한 대우? .. 똑 같은 이야기를 몇년전 부터 계속 해오고 있지만 여전히 한계의 벽은 존재합니다.  국가차원에서도 전문 인력들의 소통 통로와 정보 교류의 자리 그리고 활발한 학문적 또는 실제적인 토론이 가능한 채널이 존재해야만 일정 수준 이상의 전문가 확보가 가능할 것이고 활발한 전문가들의 활동에 따라 리딩이 되어야만 유사시의 대응이 달라질 수 있을 것으로 보입니다. 이미 기술로서 해결 할 수 있는 단계는 한참 지나지 않았나 하는 생각입니다.

 

 

기업 차원에서도 마찬가지 이겠죠. 지켜야 할 것들이 존재하는 한 전 세계에 존재하는 사이버 위협으로 부터 대비를 하고 준비를 하기 위한 노력이 필요할 것입니다. 보안장비는 기본이고 변화하는 위협을 준비하는 그런 자세도 필요 할 것입니다.

 

좀 더 상세하고  심층적으로 쓰고 싶지만 .. 다음 기회에 또 다른 내용으로 뵙도록 하겠습니다.

 

해커의 길이란 오래전에 쓴 글을 보시면 위에 언급한 학습의 내용 및 방향에 대해서 일정정도 이해가 가능할 것입니다.

 

http://blog.naver.com/p4ssion/40013433481  - 해커의 길 I

http://blog.naver.com/p4ssion/40013433456  - 해커의 길 II

 

어딘가 검색해서 찾아 보시면 프로그래머의 길 이란 별도 컬럼도 있을 것입니다. 그런 내용들을 보시면 일정 수준 이상의 요구 사항 및 위의 장황한 기사에서 언급된 내용들에 대해 보실 수 있을 것으로 보입니다.

 

좋은 하루 되세요.

 

 

* 이제 보안전문가의 길 이란 컬럼을 쓸 때가 된 것 같네요..


Posted by 바다란

http://news.naver.com/news/read.php?mode=LSD&office_id=213&article_id=0000003507&section_id=100&menu_id=100

 

위의 기사입니다. 시사매거진 2580에서 방송을 하였었죠. 저도  잠시 봤었습니다만..^^; 생각보다 근본적인 내용은 없고 두리뭉실한 내용만이 있다고 판단 됩니다.

 

오늘도  가볍게 생각나는대로 자판가는대로 한번 더 써보도록 하겠습니다.

 

기사내용을 보면 북한 해커 부대가 존재하고 공격이 다수 있었다고 하였습니다. 또 유형을 보면 [ 기사 면면을 살펴보면 ] 이메일을 통한 악성코드 [ 신규 취약성을 이용한 것이겠죠.. ^^ 알려지지 않은..새로운 취약성] 전파를 통해 개인 PC를 조정하는 것으로 볼 수 있습니다. 즉 중요시스템에 대한 침입은 일정부분 커버가 되고 있다보니 개인PC를 통한 주된 공격이 발생 하는 것이죠.

 

어제 올려 드린 KISA에서의 발표자료에서 보듯이 공격대상이나 범위가 많이 달라졌습니다. 온라인 게임을 예로 들면 직접 게임사를 공격하는 범주에서 보안이 강화되고 여러 절차를 통과해야 하다보니 [ 사실은 전문 인력들이 투입 되어 상당부분 변경이 되고 전문성이 높아져서 난이도가 매우 어려워졌다는 점에 있습니다.] 개인 PC 단위를 집중공격하는 것이 늘어난 현상을 지난해 부터 볼 수 있습니다. 이 부분은 중요 시설에 대한 공격 동향의 변화에도 진작에 적용이 되었을 것입니다. 중요 인물에 대한 개인 PC 공격 및 정보 유출하기에 가장 좋은 방안은 이메일을 통한 악성코드 설치 유도 이고 설치 이후의 특정단어를 검색하여 중요 문서들을 외부에 전송하게 만드는 방식이 가장 효율적이라 볼 수 있을 것입니다.

 

비슷한 유형에 대한 테스트를 2~3년전쯤..모 보안회사에 근무할때 모사를 위해 제작을 한 적이 있습니다. 그 내용은 여기에서 처음 말씀 드리면 다음과 같습니다.

 

1. 각종 백신들을 설치한 이후 바이러스 코드를 작성한 이후 테스트 한다.

2. 바이러스 코드의 내용은  스크립트 혹은 자동 실행 되는 유형으로 작성한다. [ 이때 작성한게 워드의 매크로 , 스크립트 , 최근엔 mhtml 유형]

3. 백신 4~5가지 정도에서 감지 결과를 확인 한다.[ 백신만 더 있다면 다 테스트 합니다. ^^ .. 조금만 변형해도 안걸리는 유형 다수]

4. 감지 안될 경우 조금씩 변형을 하여 여러 유형을 만들어 둔다.

5. 해당 스크립트의 내용은 개인 PC에서 특정 단어를 검색하여 단어가 포함된 문서를 지정된 이메일 및 FTP 서버로 올려둔다..

6. 해당 PC에는 취약성 존재하며 개인 사용자의 보안의식 부재라는 표식을 남겨둔다.

 

이중에서 5번에 해당되는 내용은 너무 무리하는듯 싶어.. 실제 실행시에는 제거를 하였죠.

그때 당시 제작만 했었고 [ 이것도 3일동안 날림으로 만들었습니다. ㅠ,ㅠ] 테스트는 직접 못하였는데 매년마다 정기적으로 보안의식 점검 수행시에 사용을 한다고 합니다. 그 결과를 한 술자리에서 들을 수 있었는데 자극적인 제목이나 중요정보라고 표시된 메일의 경우 6~70% 가량의 문제점이 초기에 발생 되었다고 합니다. 이 의미는 그 PC에 대한 전체 제어권을 언제든 가질 수 있다는 내용이겠죠.

 

국내에서도 을X훈련이라고 국가기관에 대해 시행하는 사이버 훈련이 존재 합니다. 이 훈련기간에는 보안 관련 업체들은 매우 바쁘죠. 어떤 업체는 테스트를 하기도 하고.. 국가기관을 모니터링 하는 업체는 대응을 하기도 하고 하느라 매우 바쁩니다. 이 훈련기간중에도 유사 내용이 메일을 통해 테스트 되기도 합니다. [ 몇 해전 모 국가기관에서 ORG를 사칭한 메일로 인해 기사화 되기도 하고 사과를 하기도 한 기사도 있습니다. ^^]

 

자 위와 같이 개인에 대한 PC 공격을 제가 알고 경험한 범위 내에서 정리를 해보았습니다.

현재에는 과연 어떨까요?.

 

보안의식을 지니지 못한 개인에게는 거의 재앙과도 같은 결과가 나옵니다. 보안제품이 아무리 뛰어나다 하여도 이런 제품들은 기본적으로 signature base 입니다. 즉 공격코드의 기본 유형 검사를 통해 진단을 한다는 점입니다. 따라서 걸러지는 것은 알려진 위험에 대해서만 100% 처리가 될 뿐이고 알려지지 않은 신형의 위험에 대해서는 0% 입니다.

 

최근들어 MS Office 군에 대한 신규 취약성 발표가 매우 증가 하고 있습니다. 이 부분도 시사할 점들이 있습니다. Office 군에 대한 취약성은 대부분 개인 PC 공격에 사용이 될 수 있습니다. 개인 PC에 대한 제어권 획득에 중요한 역할 을 할 수 있습니다.  취약성은 어떻게 찾아낼까요?. 개발업체가 똑똑해서 스스로 문제를 찾을까요?.. 절대 그렇지 않습니다.

외부의 제보 혹은 문제가 발생된 이후 사안을 분석한 결과 새로운 취약성이라고 판단되어 취약성에 대해 패치가 이루어 지고 취약성이 있다고 인정하게 되는것이 대부분입니다.  그만큼 많은 위험에 처해 있다고 볼 수 있을 것 입니다.

 

기밀의 보호를 위해서는 문서보안 솔루션등 다양한 방안들이 고민되고 현재 사용이 되는 것도 마찬가지 맥락이라 볼 수 있을 것입니다.

 

아.. 사설이 길었습니다. 가볍게 쓴다는 것이..그만...

 

북한해커 부대에 대해 나온 기사중에 의미 있는 기사는  단 한 부분입니다. 각 영역별로 담당자가 존재한다는 점. 이 부분은 참 매서운 내용입니다. 회사내의 또 기관내의 그 누구도 한 부분에서 지속적으로 관찰하고 대응한다는 점은 어렵습니다. 그러나 공격자들은 그런 부분을 한다는 것이죠. 네트워크 단위의 미묘한 변화나 설정 변경 그리고 작업 내역등에 대해서 오랜기간 작업을 하고 작업자의 사고까지도 추측을 하고 추정을 합니다.  이런 전문인력이 전담을 하고 오랜기간 관찰 하였다면 이 부분은 헛점이 드러날 수 밖에 없는 부분입니다.

 

어디든 완벽한 시스템과 완벽한 보안체계는 없습니다. 미 국방성의 경우도 보안의식을 지니고 체계적인 프로세스 및 방안을 인지하는 직원 비율이 30%를 갓넘는 다고 합니다. 하물면 일반기업은 오죽 하겠습니까?.. 그런 빈틈 하나가 큰 구멍을 만들고 중요한 시국에는 댐을 무너뜨리는 역할을 하는 것이겠죠.

 

그렇다면 대안은?..

 

Security라는 점을 전술적으로 이해를 하는 것이 필요합니다. 단기전술과 장기전술이 있고 또 전략적으로 안정적인 포지셔닝을 하기 위해 가장 중요한 요소라는 점을 인지해야만 가능합니다. 기업이든 국가든 기관이든 마찬가지 입니다. 공격자의 입장이 아닌 방어자의 입장에서 보면 그렇습니다. 전술적으로 가치를 지니는 지점에는 강화되고 전문화된 인력집단을 활용하여 체계적인 대응 및 일사분란한 Process 만이 위험요소를 줄이게 될 것입니다.

새로운 취약성에 대한 연구도 하여야 하고 지속적인 위험 노출 범위를 위해 내부직원들에 대해 불편을 감수하게도 만들어야 하고 그리고 욕도 먹어야 합니다. 그러나 절대 뜻을 굽혀서는 안되는 이중적인 상황에 처할 수도 있습니다. 그리고 그 누구에게도 인정받지 못할 수도 있습니다. 그러나 해야만 생존이 가능합니다.  ~~

 

왠지 과격한 헤드라인을 보니 대안 부분도 조금 과격하게 나가는 것 같습니다만... 기술적인..즉 계량이 가능한 대책만 가지고는 어려우며 전략적이고도 강력한 의지가 있는 상황에서 전반적인 대응체제를 갖추는 것이 해결책이 될 수 있다고 봅니다. 그러기 위해서는 뛰어난 인력은 필수 이겠지만.. 현재 국내의 상황은 그다지 좋아 보이지만은 않습니다.

 

^^;.  오늘은 여기까지 입니다.

Posted by 바다란
취약성에 대한 향후 발전방향 및 예상에 대해 간략한 의견을 말씀 드리겠습니다.

국내 바이러스 백신에 대한 evasion 및 공격 코드가 추가된 웜/바이러스 유형이 출현 한데 이어 하드웨어 및 네트워크 장비에 대한 문제점들이 노출되어 공격이 발생하고 있습니다.
05년 3월에 발표된 samsung adsl 모뎀에 대한 Default 다운로드의 경우도 상당히 어이없는 버그라고 할 수 있겠죠. 더불어 신규로 출현하는 웜에서는 기존 외국회사들의 백신만을 evasion 하고 종료시키는 코드에서 한국내의 백신벤더에 대한 공격코드도 추가 되어 있습니다.

이것은 한국을 공격의 전진베이스로 이용하고 다수의 사용자가 여전히 보안에 취약
한 형태인 것을 이용한다는 것을 시사하고 있습니다. 한국을 바이러스 및 웜 전파의 중요한 숙주로 여긴다는 것이죠.

예전 기억을 더듬어 보면 2~3년전쯤에 모 백신회사의 게이트웨이 시스템( 일명 바이러스 월)에 대해 root 권한 획득이 가능한 설정상의 오류가 발생되어 긴급하게 패치가 된 것을 볼 수가 있었는데 국내 제품들이 외국에 다수 알려지고 또한 하드웨어 및 네트워크 장비에 대한 수출 이 진행됨에 따라 문제점이 다수 발견되고 있습니다.

현재까지는 극히 미미합니다. 이 의미는 향후에 급증할 요소가 많다는 점을 이야기
하고 있기도 합니다.
 
security 취약성의 발견 원칙은 가장 간단합니다. 가장 많이 사용하는 제품의 취약성을 발견하라.. 그리고 그 파급력을 이용하라 입니다.
 
그동안 국내 vendor 및 제품에 대한 취약성 권고안은 거의 없었습니다.
왜냐하면 알려진 제품이 없었기 때문이죠. 그리고 그럴 가치도 없었구요.
향후에는 좀 더 다르게 진행이 될 것으로 보입니다.

발전을 함에 따라 또 변화를 추구함에 따라 Closed된 네트워크 환경에서 Open된 네
트워크 환경으로 전환할 수밖에 없고 공개가 될 수 밖에 없습니다. 즉 국내의 시장에만 한주해서는 기업의 규모를 유주할 수 없는 상황이 전개가 됨으로 인해 국외의 시장에 필연적으로 진출을 해야 하며 이에 따라 Open된 네트워크 환경으로 모습을 나타내는 것이 반드시 필요한 과정이 됩니다.
 
소프트웨어에 대한 공격도 증가하고 있고 또한 하드웨어 베이스의 제품에 대한 공격도 증가하고 있습니다. 하드웨어 Applience 제품군에 대한 공격도 점차 증가할 것으로 보이는데 지금껏 발견된 국내 취약성은 어이없는 코딩상의 오류등에 의한 취약성이 대부분 이였고 점차 시일이 지나고 인지도가 높아질 수록 고수준의 권한획득 공격들이 출현할 것입니다.
 
취약성을 발견하는 동향을 살펴보면 해외 전체로도 고수들의 활동은 적습니다. 적다기 보다는 기존의 운영체제에서 발견될 만한 큰 취약성들은 발견이 되었고 큰 영향을 미치는 Mega-vulnerability는 연 2~3회 정도로 줄어들 것 같습니다. 새로운 운영체제나 트렌드가 변화한다면 또다시 발견횟수가 늘어나겠지만 기존의 알려진 문제들은 대폭 줄어들 것입니다.
 
취약성의 발견에 따른 흐름을 보면 2003년이 피크였고 작년을 기점으로 운영체제에 대한 큰 이슈는 줄어 들었는데 이와 같은 현상은 소스코드 검증 및 Application 진단의 상시화에 따른 것으로 보입니다.
2004년 부터의 동향으로는 개별 Application에 대한 취약성 발견 동향이 큰 폭으로
증가하고 있습니다.
 
현재 신규보고 되는 취약성의 경우 하루에도 몇백개씩 발표되는 Application 제품들에 대한 취약성이 주로 발견되고 있어서 특정 제품을 사용하거나 특정 국가에 한정되어 사용되는 제품에 한해 큰 영향을 미치고 있습니다.
 
현재까지는 유럽권역과 미주권역에 사용되고 있는 상용 application에 대한 취약성 발견 비율이 상대적으로 높은데 향후 아시아 권역 특히 우리나라 제품군에 대한 영향이 매우 확대될 것으로 보입니다. 서두에서 말씀 드렸듯이 초고속 인프라가 고도로 활성화된 구조자체가 가장 큰 매력을 지니고 있기 때문에 전진기지로서 매우 가치가 높기 때문이며  휴대폰의 보급이 활성화 될 수록 IT가 결합된 컨버젼스 제품 판매가 호조를 보일 수록 더욱 가치 있는 인프라이자 가장 좋은 테스트베드 이기 때문입니다.

가까운 예로 zeroboard에 대한 취약성을 예로 들 수 있겠습니다.  
Application 의 취약성을 찾는 그룹이 큰 폭으로 증가를 하였으나 기존의 OS나 가장
보고가 많았던 Application의 경우 많은 시도에 따른 보완이 이루어져 문제점이 적은 반면 신규로 발생하거나 그동안 잘 알려지지 않았던 Application의 경우 기본적인 취약성이 다수 존재하므로 쉬운 대상을 찾아서 이동하고 있습니다.
 
현재 국내 사이트에 대한 Defacement 동향을 보아도 국내의 해킹 피해 사례는 zeroboard 와 PHP Application 취약성을 이용한 도메인 서버 해킹 그리고 Webdav를 이용한 PUSH method를 이용하여 임의의 파일 push 가 대다수 입니다.백신에 대한 공격증가도 향후 국제화가 될 수록 더욱 커질 것으로 보입니다. 지금껏 공격이 없었던 것은 취약성이 없어서가 아니라 정확하게는 유명세도 없고 로컬화된 제품이기 때문에 가치가 없어서 하지 않은 것이지만 많은 Defacement 그룹들이 신규 취약성을 발견하고 직접 공격을 수행하고 있어서 향후 큰 폭 증가가 예상됩니다.
 
더욱이 우려하고 있는 바로는 디지털 컨버젼스와 관련하여 다수의 제품군에 IT 기반이 접목되는 환경에서 더욱 크게 위협이 점증할 것으로 봅니다. 향후 5년 이내에 직접적으로 가시화 될 것입니다. 유비쿼터스의 경우도 동일하게 적용이 될 것입니다. 휴대폰을 이용한 위협의 내용은 2~3년 이내에 대중화 된 위협으로 나타날 것으로 봅니다.
 
예전에 작성했던 국가 기반시설에 대한 문서에 기술했던 내용들이 더욱 빠르게 다가 올 것입니다. 그때 그 문서를 만들면서 향후 3~5년 이후에 나타날 것이라 예상했는데 조금 더 기간이 연장되어  맞아 들어갈 것 같습니다.
 
인터넷이 가능한 냉장고, 인터넷을 이용한 가스 조작 및 검침 , 언제 어디서나 제어가 가능한 모든 머신들과 시스템 , 교통통제 시스템등이 부분적이라도 오픈되어지는 환경에서부터 소프트웨어적인 문제 이외에 하드웨어적인 장비에 대한 문제에까지  공격을 시도하게 될 것이고  직접 피해를 입힐 것으로 보입니다.물론 최악의 상황을 예상하면 이렇습니다.
 
embedded 운영체제도 기본 로컬의 활동이외에 외부와 연결되는 네트워크 부분이 연결되어 활성화 되는 시점 부터 문제는 더욱 리얼하게 다가올 것으로 보입니다.
현재 발생되고 발견되고 있는 Bot 관련 공격 경로에 OS 및 유명 Application에 대한 공격 이외에도 특정 취약성이 존재하는 무료 혹은 상용 Application에 대한 공격도 추가가 되어 있고 향후 발생된 모든 문제점들이 결합되는 구조로 나아갈 수 있을 것입니다. Monster-bot은 앞으로도 계속 진화할 것이고 유비쿼터스 환경에서도 위협은 여전할 것입니다.
 
피부에는 상당히 느리게 다가오지만 움직임은 상당히 빠릅니다. 또 그것에 대한 예측도 선행이 되어야 하고 부족한 부분에 대한 고려는 항상 존재해야만 합니다. 위협을 과대해석해도 안되지만 덮어놓고 가는 것은 더욱 큰 문제라고 생각합니다.

국가적 성장동력원인 IT제품이 대외적으로 활성화 되고 수출이 보편화 될 수록 또 컨버젼스가 빠르게 이루어 질수록 위협이 급증하게 된다는 점 하나와 국내의 수많은 개발 Application들도  더 이상 안전지대가 될 수 없다는 점입니다. 그동안 여유없이 앞만보고 달려 왔는데 기업의 연속성에 영향을 줄만큼의 위험 요소가 향후에는 존재할 것이라는 예상을 분명히 할 수 있을 것 같습니다.
 
언제나 의견 있으시면 의견 주십시요. ^^;
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
p4ssionable security expert!
MSN:      winsnort@hotmail.com
E-mail:   winsnort@cqrity.net ,
         
passion@securitymap.net
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
 
Posted by 바다란

참 재밌습니다.

얼마전 인터넷 종량제에 관한 글을 올렸었는데 거기에 프레킹이라는 용어가 나옵니다. 다이얼의 숫자를 누르면 일정한 톤이 있고 이 톤을 역으로 추적하면 어떤 숫자를 눌렀는지는 금새 나오죠. 이런 형태로 공격이 일어나고 정보를 도용하는 사례가 발생한다면 대책이 뭐가 있을까요?.. 개인 전화마다 비화기를 달아야 되는 것은 아닌지.. 정말 그렇습니다.

 

기술의 발전이 급격하게 발전하는 이때에 문제는 더욱 더 많이 발생할 것임을 쉽게 예측할 수 있습니다. 엄격하게 테스트 되지 않은 도구의 출현 및 검증 되지 않은 솔루션이나 장비들의 출현은 많은 위험을 가지게 될 것입니다.

일단 빠른 성장 및 가시적인 결과에만 눈을 맞추는 우리 나라의 IT 분야는 더욱 그런 과정을 겪게 되겠죠. 아마도 앞으로 보안적인 이슈가 매우 많이 발생할 것이라 예측 됩니다.

 

며칠 전 뉴스에서 내년쯤이면 1가정 1로봇 시대가 된다고 하더군요. 대당 백만원 가량하는 로봇을 사용할 수 있을 것이라 하던데.. 네트워크로 연결되어 비용이 저렴하다고 하던데 저는 그 뉴스를 보는 순간 앞으로 얼마나 많은 문제가 발생할 것인가 하는 생각만 머리 속을 지배하더군요. 2002년쯤에 기반시설의 보안에 관련된 공개 문서를 썼었는데 그 현실이 성큼 앞으로 다가온 느낌입니다.

 

업은 업인지라.. 이 분야를 스스로 선택을 했으므로 지금도 감당하고 있지만 누구에게도 권하고 싶지 않을 정도로 부담이 많이 가는 분야가 보안이라고 생각합니다. 해야 할 것들도 많구요. 하다못해 프로그래밍 기법이나 언어의 발전만도 눈이 돌아갈만큼 많은 기법들이 나옵니다. 또한 신종 기술은 날마다 나오죠. 무선이니 RFID 이니 하는 DMB 니 하는 기술요소들은 많은 부분을 고려해야만 합니다. 따라 가기도 벅찬데..이런 부분에 보안을 고려 해야 한다면 정말 경쟁은 대단해 집니다.  한 분야의 전문가가 되기도 어려운 마당에 여러 분야를 전문가 레벨로 해야 한다는 부담은 정말 장난 아닙니다. 요구 수준도 매우 높구요.

 

 

앞으로는 또 얼마나 많은 발전과 굴곡이 존재할까요?

IT 분야의 새로움은 그에 따른 굴곡을 가지게 마련인데 얼마나 많은 것이 기다리고 있을까 하는 생각에 설레이기도 하고 지겹기도 합니다.

 

오늘 하루도 좋은 하루 되시길..

 

 

===========================================================

 

http://news.naver.com/news/read.php?mode=LSS2D&office_id=138&article_id=0000000552&section_id=105&section_id2=283&menu_id=105

 

이달초 외환은행의 인터넷 뱅킹 시스템이 `넷데블‘이라는 프로그램에 뚫린 금융사고가 발생해 금융권 시스템 보안이 업계 이슈로 부상하고 있는 가운데, 보편적인 금융방식 가운데 하나인 텔레뱅킹(폰뱅킹)을 통한 금융거래도 해킹에 무방비로 노출돼 있는 것으로 지적돼 대책마련이 시급하다.

 

30일 업계에 따르면, 최근들어 일반전화를 통한 소액의 텔레뱅킹 해킹 사례가 가입자의 전화 단자함을 통해 빈번히 발생하고 있어 은행들에서 골머리를 앓고 있다.

 

지금까지 대부분의 은행에서는 텔레뱅킹 해킹 사례가 발생하고 있지만 규모가 소액이거나 건수가 적어 대외적으로 알리지 않고 내부적으로 손실을 보전해 주는 방식으로 처리하고 있는 것으로 알려졌다.

 

현재 국민, 신한, 조흥, 기업 등 국내 대부분의 시중 은행들은 텔레뱅킹 해킹 방지를 위해 주민등록번호, 계좌번호, 비밀번호, 보안카드 등을 누르도록 하는 4~5단계의 사용자 인증절차를 거치고 있는 것으로 조사됐다.

 

하지만 업계 전문가들은 현재 은행이 사용하고 있는 4~5단계의 보안책으로는 전화선 도청을 통한 DTMF(Dual Tone Multiple Frequency) 해킹의 경우, 대부분 도감청이 가능해 원천적인 보안책이 될 수 없다고 지적한다.

 

특히 최근 등장하는 텔레뱅킹 해킹 방식은 전화기 단자함에 도감청 장치를 부착해 관련 데이터를 불법 채집하고 있어 방어 또한 쉽지 않은 것으로 전해졌다.

 

이에 대해 업계에서는 텔레뱅킹의 다이얼톤을 통한 해킹을 방어하기 위해서는 시스템적으로 다이얼톤 주파수를 감지하지 못하도록 하는 장비의 개발이 필요할 것으로 보고 있다.

 

해킹 방식=현재 주류를 이루고 있는 전화단자함 도감청 기술은 기존 흥신소(심부름센터) 등에서 주로 사용하던 전화 도감청 방식으로 PC 등 디지털기기와 결합돼 신종 텔레뱅킹 해킹 방식으로 사용되고 있다.

 

DTMF(Dual Tone Multiple Frequency)를 이용한 해킹은 전화기의 다이얼톤에서 발생하는 고주파수와 저주파수군의 조합에서 생성되는 다이얼패드 키톤의 주파수 신호를 감지하는 방식으로 해커는 전화선에 도청기를 설치해 가입자가 누르는 번호를 모두 디지털로 해독해 해킹하는 방식이다.

 

가입자가 통장 계좌번호에서 부터 비밀번호, 인증키 등 전화기 버튼을 누르는 동안 모든 숫자는 고스란히 해커들의 PC에 저장되는 것이다. 실제 은행들에서 사용하는 다양한 인증체계 및 방식은 원천적인 해킹 방어책이 될 수 없다는 게 관련 업계 전문가들의 지적이다.

 

이처럼 해커들이 주로 사용하는 DTMF 전화방식이 해킹에 취약한 것은 DTMF가 전세계적으로 공통된 규격을 갖고 있으며, 관련 기기의 판매가 일반화돼 있다는 점과 네트워크상에서 발생하는 도감청은 증거가 남지 않기 때문에 검거가 쉽지 않다는 취약점이 있다.

 

최근 자주 이용되는 해킹방식중 하나인 직접연결의 경우는 전화기 단자함에 접속할 수 있는 장치로 자체 메모리를 내장하고 있으며, 데이터의 실시간 시리얼 전송도 가능하다. 따라서 해커가 원격지 PC모니터를 통해서도 실시간으로 전송되는 텔레뱅킹 원천 데이터를 가로채 불법 이체나 송금을 할 수 있게 된다.

 

은행들 대책마련 골몰=사실상 DTMF를 이용한 가입자 단자함 해킹에 무방비 상태인 대부분의 은행들은 사용시마다 비밀번호가 새로 생성되는 원타임패스워드(OTP)를 비롯한 지정번호제 등의 시스템으로 텔레뱅킹 보안 강화에 나서고 있는 상황이다.

 

국민은행은 현재 계좌번호 및 비밀번호, 주민등록번호, 보안카드 번호 입력 등 4~5단계의 보안책을 마련하고 있으며, 최근 불거지는 텔레뱅킹 시스템 보안 강화 차원에서 원타임패스워드, 출금계좌번호 지정 등의 보안 시스템 도입을 추진하고 있다.

 

신한은행은 4~5 단계의 기본 보안책을 포함해 발신자 지정번호제, 모바일 원타임패스워드(OTP), 송금한도 제한 등의 대책을 도입키로 했다. 이 회사 관계자는 “텔레뱅킹 보안을 위해 다른 보안책도 찾고 있다”고 말했다.

 

조흥은행 또한 현재 4~5단계의 시스템의 보강을 위해 OTP카드를 개발하고 있으며, 모바일 인증과 화자인증, SMS 통보기능, 사용자번호지정 등 다양한 방식 도입을 추진하고 있다. 특히 사고 등에 빠른 대응을 위해 SMS 통보 시스템 개발을 완료하고 파일럿 시스템 형태로 적용하고 있다.

 

기업은행은 주민등록번호나 보안카드 등 기존 방식이외에도 현재 OTP도입을 위해 개발 업체 선정에 나서고 있다. 기업은행의 OTP 도입은 2~3개월 후 도입될 것으로 보인다.

 

정부 대책, 텔레뱅킹 통한 해킹은 제외 돼=최근 넷데블 등을 통한 키스트로킹 방싱의 인터넷 뱅킹 사고 발생에 따라 정보통신부와 산업자원부, 금융감독위원회, 금융감독원, 한국정보보호진흥원 등은 공동으로 관련 태스크포스팀을 구성해 운영키로 했다.

 

TFT에서는 일단 ▲전자거래시스템 안전성 분석과 ▲해킹 프로그램 분석 ▲공인인증서 관리체계 개선 등의 실태조사와 그에 따른 안정성 강화방안을 마련키로 했다.

 

하지만 이 TFT에서는 대중적인 금융거래 방식중 하나인 텔레뱅킹으로 인한 금융사고 방어 및 안정화 방안은 현재 포함하지 않고 있다.

 

이와 관련해 정통부 관계자는 “현재 TFT에서는 인터넷 뱅킹에 초점을 맞추고 있어, 텔레뱅킹 보안에 대한 1차적인 계획은 없다”면서 “하지만 TFT가 다방면에서 금융사고를 예방하기 위해 구성됐기 때문에 관련 문제가 제기되면 TFT에서 논의할 수 있다”고 말했다.

 

<길섭 기자> seobi@ddaily.co.kr

안길섭기자

 

 

 

'Security Indicator' 카테고리의 다른 글

해외진출 시의 보안 가이드  (0) 2010.04.27
한국의 보안 10점 만점에 5점!  (0) 2010.04.27
텔레뱅킹 -해킹  (0) 2010.04.27
최악의 기업 보안 사례 5  (0) 2010.04.27
진정한 넷보안이란?  (0) 2010.04.27
중국발 해킹 대규모 확산 우려  (0) 2010.04.27
Posted by 바다란


Zone-h 가 해킹 그룹인지는 이 기사를 보고 처음 알았습니다.

zone-h는 단순히 정보 교류의 역할을 하고 변조된 사이트들을 리스트업 해주는 곳인데..해킹 그룹이라니..흠.. 뭐 세계적인 해킹 그룹은 아니여도 보안에 관련된 인력들임은 맞습니다만.. 제가 보는 관점과는 약간 다른 점이 있네요.

 

zone-h 사이트는 2003년 무렵에 신설된 사이트 인데..그 이전에는 alldas.de 라는 독일 사이트가 역할을 했었죠.
zone-h 초창기에는 정말 defacement 미러링 사이트로만 여기저기 이름이 알려졌었지 크게 알려지지는 않았습니다. 그리고 공격기법이나 공격툴도 오래된 것들이구요. 이후 몇개 안 남은 웹페이지 변조 미러링 사이트가 모두 사라지면서 유일하게 남아서 세계적인 이라는 이야기도 듣는 군요.  하루에 변조되는 웹서버가 어마어마한 양이라서.. ( 한국도 매우 높은 기여를 하고 있습니다.) 무료로 서비스 하려면 시스템 비용만도 만만치 않을 겁니다. ^^;


securityfocus 가  보안/해킹  분야에서는 가장 정평이 나 있었는데 시만텍이 인수한 이후로 느낌상으로는 점점 떨어지는 걸로 보입니다. 구지 따진다면 securityfocus 가 화이트햇에 가까운 정보교류의 장이고 zone-h의 경우는 크래커들의 정보 교류를 위한 장이라고 할 수 있습니다.

 

대책이나 대안 ,보안책의 경우는 아직도 www.securityfocus.com이 의미있는 이야기를 많이 하지만 기법이나 문제점에 대한 내용들은 메일링 자체 부터가 많이 줄었고 내용도 전에 비해 부실한 것들이 많습니다.   zone-h는 메일링 보다는 사이트에 해킹툴이나 점검툴을 올려 놓는 경향이 많고 특정 세션을 들어가면 해킹에 관련된 크래커들의 게시물에 갑론을박하는 것들을 볼 수 있죠..  이를테면 포탈과 같은 개념입니다. 

 

개인적으로 저 스스로도 수준이 그리 높지는 않지만 zone-h의 경우 기술적인 수준은 그다지 높은 수준은 아니다 입니다. 

 

한 두명이 뛰어나서 리딩을 하는 시대는 이제 거의 마무리 되는 것 같습니다. 특히 보안 분야에서...

이제는 한 분야에 조금 뛰어난 사람이 있고 분야가 워낙 넓어지다 보니 분야별로 특화되는 현상이 심해지고 있는데.. 스페셜리스트가 될 것이냐 제너럴 리스트가 되느냐 하는 고민이 주된 고민이 될 것입니다. 

 

제너럴리스트도 스페셜리스트의 기반하에 이루어 지는 것이라면 참 의미 있는 건데 매우 많은 고행을 요구합니다. ^^;.. 특히 한국에서는 더더욱..............윽...


차라리 현재 위협 상태로 보면 중국이 더 위험하고 수준이 있어 보이는 것 같습니다. 물론 보안 측면이 아닌 해킹과 크래킹의 측면에서 말입니다.

 

 

[머니투데이 성연광 기자]
세계적인 해킹그룹인 'Zone-H' 핵심 멤버들이 한국을 방문한다.
정보위협관리전문업체인 정보보호기술(대표 민병태)는 내달 7~8일 이틀간 서울 대치동 한국정보보호교육센터에서 'Zone-H' 핵심멤버를 초청, 이들과 함께 실전해킹교육(Hands-On-Hacking Unlimited 사진)을 진행한다고 21일 밝혔다.
'Zone-H'그룹은 정보보호 전문가(White Hacker)들이 만든 독립적인 해킹 감시기관으로, 매일 각종 인터넷 공격과 네트워크 침입, 웹사이트 변조 등 최근 사이버 위협을 공격자와 방어자 입장에서 각각 보고서를 제공하는 독보적인 보안 커뮤니티 사이트(
www.zone-h.org)를 운영하고 있다.
이 사이트는 특히 수많은 공격자들과 보안 담당자들이 알려오는 사이버 공격기법과 네트워크 취약점, 웹사이트 감염방법 등의 정보를 매일 기록하며, 알려지지 않은 공격시도에 대해서도 연중 매일 뉴스, 권고문, 의견, 통계, 포럼 등의 형식을 통해 공개하고 있다.
이번에 초청 강연차 한국을 방문한 'Zone-H' 핵심 멤버는 Zone-H 창립자인 오베르토 프리토리(oberto Preatoni)와 로리 코르츠 팜(Lauri Korts-Parn) 이사.
오베르토는 여러 정보기관의 보안 컨설트로 일하면서 다수의 사이버 테러 사건을 해결해온 독보적인 보안 전문가로, 국제 인증제도인 유럽위원회의 ITSEC(정보기술보안평가인증)의 CEO로도 활동 중이다.
특히, 미국 데프콘 등 세계적인 보안 컨퍼런스에서 강의를 진행해왔으며, 보안 분야 중 특히, 보안 경쟁력 분석 및 비대칭환경의 침입관리 전문가로 정평이 나있다.
동행한 로리 이사도 리눅스 관리자 10년 근무 경력의 보안 베테랑이다.
한편, 정보보호기술이 진행하는 '실전해킹교육'은 해커들이 회사의 시스템 권한을 뺏기 위해 사용하는 다양한 해킹기법과 방어법을 배우고자하는 IT전문가를 위한 전문 교육 코스다.
특히, 'Zone-H' 핵심 멤버들과 함께하는 이번 교육은 과정 중 70% 이상을 실제 해킹으로 진행, 잠재적인 위협을 설명함으로써 기존 일반 교육과 차별화할 예정이다.
정보보호기술 김동욱 상무는 "실제 해커들이 어떻게 생각하고, 행동하며, 어떤 기술과 방법을 사용해 현존하는 취약성을 활용하는지 아는 것은 단순히 교육적인 차원뿐 아니라 보안관리자의 실제 운영에 있어 문제 해결에 중요한 능력이 될 것"이라고 설명했다.
성연광기자
saint@moneytoday.co.kr
< 저작권자 ⓒ머니투데이(경제신문) >

Posted by 바다란

 

 

http://news.naver.com/news/read.php?mode=LSS2D&office_id=031&article_id=0000107365&section_id=105&section_id2=283&menu_id=105

 

 

위에 기사 보다가 매번 똑같은 이야기 반복하는데 질려서 씁니다. 야밤에..쩝

--

 

역군은 또 무슨 역군인가?.

쓸만한 인력이 그리 쉽게 만들어 지는가? 변화하는 지금의 환경에서 그 변화를 유연하게 따라 갈 수 있는 사람이 얼마나 되는가? 국내의 보안회사는 규모를 키우기 위해서라도 재편 되어야만 한다. 그렇지 않으면 정말 가망 없다.

 

쓸만한 사람이 없다는 소리를 할때가 아니고 또 사람 한명 데리고 와서 잘 부려서 이익 남겨 먹을 그런 생각 하지 말고 정신 좀 차려야 된다.  자본도 필요 없고 오로지 인건비만 있으면 모두가 해결 되는 이 분야 아닌가? 사람의 지식과 경험을 사서 돈을 버는 것이면 그만큼의 댓가를 지불 해야 하건만. 스스로의 손을 가슴에 얹고 생각해 봐라. 지금까지의 기간동안 얼마나 많은 영혼을 피폐하게 만들었는지도 생각해 봐야 된다.

 

그렇지 않다면 이제 보안회사는 단순한 하청 서비스에 지나지 않을 것이다.  가장 인간의 경험과 능력에 기대는 인력 베이스의 업종에서 뛰어난 인력이 없고 경험이 없고 축적된 기술이 없는 곳은 끝이다.  앞으론 어디가서 보안 업체라는 명함을 꺼내기도 힘들 지경이 될 수도 있을 것이다.

 

전문보안업체로서의 역량 확보에 무관심 하고 오로지 인력의 최대한도의 활용에만 중심이 되었기에 더 그러하다.

너도 나도 보안 한다고 들고 일어나 전체 서비스의 질을 대폭 떨어 뜨렸고 그 결과 도매금 취급이 되는 문제도 있었고

쓸만한 인력들이 모두 주눅 들거나 정리 되는 기회를 제공해 주는 곳들도 있었다.

 

오로지 하는 일이 좋았고 지금 몰입해서 열정을 쏟을 수 있어서 사랑한 많은 자들을 떠나게 한 결과는 사회가 져야만 한다.

 

전문가와 관리자의 차이도 구분 못하는 현실에서 대체 어떤 길이 있을 수 있겠는가?

 

자업자득이란 말 외엔 해줄 말이 없다. 

 

http://blog.naver.com/p4ssion/50014996901   <-  보안 전문가와 보안관리자의 차이

 

-------------------------

 

잡목이고 뭐고 간에 때되면 싹 베어내고선.. 이제와서 있네 없네 소리는 왜 하는지 ?

 

헐값에 출혈경쟁, 저가수주, 서비스성 업무 등등  보안이란 업무 자체를 돈버는 하나의 요소기술로 알고 덤벼든

많은 보안(?) 회사들과 또 그들로 인해  보안은  언제든 부르면 싸게 쓸 수 있는 기술로 인지하는 많은 갑이라 불리는 회사들.

 

그동안 싸고 저렴하게 아주 오랜기간 잘도 우려 먹었었다.

그리고 천직처럼 열정을 가지고 헌신해온 자들의 지식과 경험을 잘도 날로 먹었다. 

견디다 못해 보안 부분을 떠난 많은 자들은 다시는 돌아 오지 않는다.

 

이제 날로 먹는 시대는 간 것이다.

더불어 사람도 없다. 

 

잡목까지 다 베어버린 산에서 목놓아 나무가 없네 떠들어 봐야

오래전 스스로 베어버린 나무가 살아날리 만무하다.

비는 점점 거세지지 나무가 없는 산은 무너지려 하지..

앞을 내다보지 못한 많은 자들을 탓해야지 나무를 탓해서 될일이 아니다.


아주 오랜 시간이 걸릴 것이다. 아주 오랜 시간..

나무가 자라기엔 6개월짜리 속성학원이 아닌 더 오랜 인고의 시간이 필요하다.

 

* 트랙백 걸고 계속 갱신한다. 그래야 될 것 같다.

Posted by 바다란
취약성에 대한 향후 발전방향 및 예상에 대해 간략한 의견을 말씀 드리겠습니다.

국내 바이러스 백신에 대한 evasion 및 공격 코드가 추가된 웜/바이러스 유형이 출현 한데 이어 하드웨어 및 네트워크 장비에 대한 문제점들이 노출되어 공격이 발생하고 있습니다.
05년 3월에 발표된 samsung adsl 모뎀에 대한 Default 다운로드의 경우도 상당히 어이없는 버그라고 할 수 있겠죠. 더불어 신규로 출현하는 웜에서는 기존 외국회사들의 백신만을 evasion 하고 종료시키는 코드에서 한국내의 백신벤더에 대한 공격코드도 추가 되어 있습니다.

이것은 한국을 공격의 전진베이스로 이용하고 다수의 사용자가 여전히 보안에 취약
한 형태인 것을 이용한다는 것을 시사하고 있습니다. 한국을 바이러스 및 웜 전파의 중요한 숙주로 여긴다는 것이죠.

예전 기억을 더듬어 보면 2~3년전쯤에 모 백신회사의 게이트웨이 시스템( 일명 바이러스 월)에 대해 root 권한 획득이 가능한 설정상의 오류가 발생되어 긴급하게 패치가 된 것을 볼 수가 있었는데 국내 제품들이 외국에 다수 알려지고 또한 하드웨어 및 네트워크 장비에 대한 수출 이 진행됨에 따라 문제점이 다수 발견되고 있습니다.

현재까지는 극히 미미합니다. 이 의미는 향후에 급증할 요소가 많다는 점을 이야기
하고 있기도 합니다.
 
security 취약성의 발견 원칙은 가장 간단합니다. 가장 많이 사용하는 제품의 취약성을 발견하라.. 그리고 그 파급력을 이용하라 입니다.
 
그동안 국내 vendor 및 제품에 대한 취약성 권고안은 거의 없었습니다.
왜냐하면 알려진 제품이 없었기 때문이죠. 그리고 그럴 가치도 없었구요.
향후에는 좀 더 다르게 진행이 될 것으로 보입니다.

발전을 함에 따라 또 변화를 추구함에 따라 Closed된 네트워크 환경에서 Open된 네
트워크 환경으로 전환할 수밖에 없고 공개가 될 수 밖에 없습니다. 즉 국내의 시장에만 한주해서는 기업의 규모를 유주할 수 없는 상황이 전개가 됨으로 인해 국외의 시장에 필연적으로 진출을 해야 하며 이에 따라 Open된 네트워크 환경으로 모습을 나타내는 것이 반드시 필요한 과정이 됩니다.
 
소프트웨어에 대한 공격도 증가하고 있고 또한 하드웨어 베이스의 제품에 대한 공격도 증가하고 있습니다. 하드웨어 Applience 제품군에 대한 공격도 점차 증가할 것으로 보이는데 지금껏 발견된 국내 취약성은 어이없는 코딩상의 오류등에 의한 취약성이 대부분 이였고 점차 시일이 지나고 인지도가 높아질 수록 고수준의 권한획득 공격들이 출현할 것입니다.
 
취약성을 발견하는 동향을 살펴보면 해외 전체로도 고수들의 활동은 적습니다. 적다기 보다는 기존의 운영체제에서 발견될 만한 큰 취약성들은 발견이 되었고 큰 영향을 미치는 Mega-vulnerability는 연 2~3회 정도로 줄어들 것 같습니다. 새로운 운영체제나 트렌드가 변화한다면 또다시 발견횟수가 늘어나겠지만 기존의 알려진 문제들은 대폭 줄어들 것입니다.
 
취약성의 발견에 따른 흐름을 보면 2003년이 피크였고 작년을 기점으로 운영체제에 대한 큰 이슈는 줄어 들었는데 이와 같은 현상은 소스코드 검증 및 Application 진단의 상시화에 따른 것으로 보입니다.
2004년 부터의 동향으로는 개별 Application에 대한 취약성 발견 동향이 큰 폭으로
증가하고 있습니다.
 
현재 신규보고 되는 취약성의 경우 하루에도 몇백개씩 발표되는 Application 제품들에 대한 취약성이 주로 발견되고 있어서 특정 제품을 사용하거나 특정 국가에 한정되어 사용되는 제품에 한해 큰 영향을 미치고 있습니다.
 
현재까지는 유럽권역과 미주권역에 사용되고 있는 상용 application에 대한 취약성 발견 비율이 상대적으로 높은데 향후 아시아 권역 특히 우리나라 제품군에 대한 영향이 매우 확대될 것으로 보입니다. 서두에서 말씀 드렸듯이 초고속 인프라가 고도로 활성화된 구조자체가 가장 큰 매력을 지니고 있기 때문에 전진기지로서 매우 가치가 높기 때문이며  휴대폰의 보급이 활성화 될 수록 IT가 결합된 컨버젼스 제품 판매가 호조를 보일 수록 더욱 가치 있는 인프라이자 가장 좋은 테스트베드 이기 때문입니다.

가까운 예로 zeroboard에 대한 취약성을 예로 들 수 있겠습니다.  
Application 의 취약성을 찾는 그룹이 큰 폭으로 증가를 하였으나 기존의 OS나 가장
보고가 많았던 Application의 경우 많은 시도에 따른 보완이 이루어져 문제점이 적은 반면 신규로 발생하거나 그동안 잘 알려지지 않았던 Application의 경우 기본적인 취약성이 다수 존재하므로 쉬운 대상을 찾아서 이동하고 있습니다.
 
현재 국내 사이트에 대한 Defacement 동향을 보아도 국내의 해킹 피해 사례는 zeroboard 와 PHP Application 취약성을 이용한 도메인 서버 해킹 그리고 Webdav를 이용한 PUSH method를 이용하여 임의의 파일 push 가 대다수 입니다.백신에 대한 공격증가도 향후 국제화가 될 수록 더욱 커질 것으로 보입니다. 지금껏 공격이 없었던 것은 취약성이 없어서가 아니라 정확하게는 유명세도 없고 로컬화된 제품이기 때문에 가치가 없어서 하지 않은 것이지만 많은 Defacement 그룹들이 신규 취약성을 발견하고 직접 공격을 수행하고 있어서 향후 큰 폭 증가가 예상됩니다.
 
더욱이 우려하고 있는 바로는 디지털 컨버젼스와 관련하여 다수의 제품군에 IT 기반이 접목되는 환경에서 더욱 크게 위협이 점증할 것으로 봅니다. 향후 5년 이내에 직접적으로 가시화 될 것입니다. 유비쿼터스의 경우도 동일하게 적용이 될 것입니다. 휴대폰을 이용한 위협의 내용은 2~3년 이내에 대중화 된 위협으로 나타날 것으로 봅니다.
 
예전에 작성했던 국가 기반시설에 대한 문서에 기술했던 내용들이 더욱 빠르게 다가 올 것입니다. 그때 그 문서를 만들면서 향후 3~5년 이후에 나타날 것이라 예상했는데 조금 더 기간이 연장되어  맞아 들어갈 것 같습니다.
 
인터넷이 가능한 냉장고, 인터넷을 이용한 가스 조작 및 검침 , 언제 어디서나 제어가 가능한 모든 머신들과 시스템 , 교통통제 시스템등이 부분적이라도 오픈되어지는 환경에서부터 소프트웨어적인 문제 이외에 하드웨어적인 장비에 대한 문제에까지  공격을 시도하게 될 것이고  직접 피해를 입힐 것으로 보입니다.물론 최악의 상황을 예상하면 이렇습니다.
 
embedded 운영체제도 기본 로컬의 활동이외에 외부와 연결되는 네트워크 부분이 연결되어 활성화 되는 시점 부터 문제는 더욱 리얼하게 다가올 것으로 보입니다.
현재 발생되고 발견되고 있는 Bot 관련 공격 경로에 OS 및 유명 Application에 대한 공격 이외에도 특정 취약성이 존재하는 무료 혹은 상용 Application에 대한 공격도 추가가 되어 있고 향후 발생된 모든 문제점들이 결합되는 구조로 나아갈 수 있을 것입니다. Monster-bot은 앞으로도 계속 진화할 것이고 유비쿼터스 환경에서도 위협은 여전할 것입니다.
 
피부에는 상당히 느리게 다가오지만 움직임은 상당히 빠릅니다. 또 그것에 대한 예측도 선행이 되어야 하고 부족한 부분에 대한 고려는 항상 존재해야만 합니다. 위협을 과대해석해도 안되지만 덮어놓고 가는 것은 더욱 큰 문제라고 생각합니다.

국가적 성장동력원인 IT제품이 대외적으로 활성화 되고 수출이 보편화 될 수록 또 컨버젼스가 빠르게 이루어 질수록 위협이 급증하게 된다는 점 하나와 국내의 수많은 개발 Application들도  더 이상 안전지대가 될 수 없다는 점입니다. 그동안 여유없이 앞만보고 달려 왔는데 기업의 연속성에 영향을 줄만큼의 위험 요소가 향후에는 존재할 것이라는 예상을 분명히 할 수 있을 것 같습니다.
 
언제나 의견 있으시면 의견 주십시요. ^^;
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
p4ssionable security expert!
MSN:      winsnort@hotmail.com
E-mail:   winsnort@cqrity.net ,
         
passion@securitymap.net
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
 
Posted by 바다란

참 재밌습니다.

얼마전 인터넷 종량제에 관한 글을 올렸었는데 거기에 프레킹이라는 용어가 나옵니다. 다이얼의 숫자를 누르면 일정한 톤이 있고 이 톤을 역으로 추적하면 어떤 숫자를 눌렀는지는 금새 나오죠. 이런 형태로 공격이 일어나고 정보를 도용하는 사례가 발생한다면 대책이 뭐가 있을까요?.. 개인 전화마다 비화기를 달아야 되는 것은 아닌지.. 정말 그렇습니다.

 

기술의 발전이 급격하게 발전하는 이때에 문제는 더욱 더 많이 발생할 것임을 쉽게 예측할 수 있습니다. 엄격하게 테스트 되지 않은 도구의 출현 및 검증 되지 않은 솔루션이나 장비들의 출현은 많은 위험을 가지게 될 것입니다.

일단 빠른 성장 및 가시적인 결과에만 눈을 맞추는 우리 나라의 IT 분야는 더욱 그런 과정을 겪게 되겠죠. 아마도 앞으로 보안적인 이슈가 매우 많이 발생할 것이라 예측 됩니다.

 

며칠 전 뉴스에서 내년쯤이면 1가정 1로봇 시대가 된다고 하더군요. 대당 백만원 가량하는 로봇을 사용할 수 있을 것이라 하던데.. 네트워크로 연결되어 비용이 저렴하다고 하던데 저는 그 뉴스를 보는 순간 앞으로 얼마나 많은 문제가 발생할 것인가 하는 생각만 머리 속을 지배하더군요. 2002년쯤에 기반시설의 보안에 관련된 공개 문서를 썼었는데 그 현실이 성큼 앞으로 다가온 느낌입니다.

 

업은 업인지라.. 이 분야를 스스로 선택을 했으므로 지금도 감당하고 있지만 누구에게도 권하고 싶지 않을 정도로 부담이 많이 가는 분야가 보안이라고 생각합니다. 해야 할 것들도 많구요. 하다못해 프로그래밍 기법이나 언어의 발전만도 눈이 돌아갈만큼 많은 기법들이 나옵니다. 또한 신종 기술은 날마다 나오죠. 무선이니 RFID 이니 하는 DMB 니 하는 기술요소들은 많은 부분을 고려해야만 합니다. 따라 가기도 벅찬데..이런 부분에 보안을 고려 해야 한다면 정말 경쟁은 대단해 집니다.  한 분야의 전문가가 되기도 어려운 마당에 여러 분야를 전문가 레벨로 해야 한다는 부담은 정말 장난 아닙니다. 요구 수준도 매우 높구요.

 

 

앞으로는 또 얼마나 많은 발전과 굴곡이 존재할까요?

IT 분야의 새로움은 그에 따른 굴곡을 가지게 마련인데 얼마나 많은 것이 기다리고 있을까 하는 생각에 설레이기도 하고 지겹기도 합니다.

 

오늘 하루도 좋은 하루 되시길..

 

 

===========================================================

 

http://news.naver.com/news/read.php?mode=LSS2D&office_id=138&article_id=0000000552&section_id=105&section_id2=283&menu_id=105

 

이달초 외환은행의 인터넷 뱅킹 시스템이 `넷데블‘이라는 프로그램에 뚫린 금융사고가 발생해 금융권 시스템 보안이 업계 이슈로 부상하고 있는 가운데, 보편적인 금융방식 가운데 하나인 텔레뱅킹(폰뱅킹)을 통한 금융거래도 해킹에 무방비로 노출돼 있는 것으로 지적돼 대책마련이 시급하다.

 

30일 업계에 따르면, 최근들어 일반전화를 통한 소액의 텔레뱅킹 해킹 사례가 가입자의 전화 단자함을 통해 빈번히 발생하고 있어 은행들에서 골머리를 앓고 있다.

 

지금까지 대부분의 은행에서는 텔레뱅킹 해킹 사례가 발생하고 있지만 규모가 소액이거나 건수가 적어 대외적으로 알리지 않고 내부적으로 손실을 보전해 주는 방식으로 처리하고 있는 것으로 알려졌다.

 

현재 국민, 신한, 조흥, 기업 등 국내 대부분의 시중 은행들은 텔레뱅킹 해킹 방지를 위해 주민등록번호, 계좌번호, 비밀번호, 보안카드 등을 누르도록 하는 4~5단계의 사용자 인증절차를 거치고 있는 것으로 조사됐다.

 

하지만 업계 전문가들은 현재 은행이 사용하고 있는 4~5단계의 보안책으로는 전화선 도청을 통한 DTMF(Dual Tone Multiple Frequency) 해킹의 경우, 대부분 도감청이 가능해 원천적인 보안책이 될 수 없다고 지적한다.

 

특히 최근 등장하는 텔레뱅킹 해킹 방식은 전화기 단자함에 도감청 장치를 부착해 관련 데이터를 불법 채집하고 있어 방어 또한 쉽지 않은 것으로 전해졌다.

 

이에 대해 업계에서는 텔레뱅킹의 다이얼톤을 통한 해킹을 방어하기 위해서는 시스템적으로 다이얼톤 주파수를 감지하지 못하도록 하는 장비의 개발이 필요할 것으로 보고 있다.

 

해킹 방식=현재 주류를 이루고 있는 전화단자함 도감청 기술은 기존 흥신소(심부름센터) 등에서 주로 사용하던 전화 도감청 방식으로 PC 등 디지털기기와 결합돼 신종 텔레뱅킹 해킹 방식으로 사용되고 있다.

 

DTMF(Dual Tone Multiple Frequency)를 이용한 해킹은 전화기의 다이얼톤에서 발생하는 고주파수와 저주파수군의 조합에서 생성되는 다이얼패드 키톤의 주파수 신호를 감지하는 방식으로 해커는 전화선에 도청기를 설치해 가입자가 누르는 번호를 모두 디지털로 해독해 해킹하는 방식이다.

 

가입자가 통장 계좌번호에서 부터 비밀번호, 인증키 등 전화기 버튼을 누르는 동안 모든 숫자는 고스란히 해커들의 PC에 저장되는 것이다. 실제 은행들에서 사용하는 다양한 인증체계 및 방식은 원천적인 해킹 방어책이 될 수 없다는 게 관련 업계 전문가들의 지적이다.

 

이처럼 해커들이 주로 사용하는 DTMF 전화방식이 해킹에 취약한 것은 DTMF가 전세계적으로 공통된 규격을 갖고 있으며, 관련 기기의 판매가 일반화돼 있다는 점과 네트워크상에서 발생하는 도감청은 증거가 남지 않기 때문에 검거가 쉽지 않다는 취약점이 있다.

 

최근 자주 이용되는 해킹방식중 하나인 직접연결의 경우는 전화기 단자함에 접속할 수 있는 장치로 자체 메모리를 내장하고 있으며, 데이터의 실시간 시리얼 전송도 가능하다. 따라서 해커가 원격지 PC모니터를 통해서도 실시간으로 전송되는 텔레뱅킹 원천 데이터를 가로채 불법 이체나 송금을 할 수 있게 된다.

 

은행들 대책마련 골몰=사실상 DTMF를 이용한 가입자 단자함 해킹에 무방비 상태인 대부분의 은행들은 사용시마다 비밀번호가 새로 생성되는 원타임패스워드(OTP)를 비롯한 지정번호제 등의 시스템으로 텔레뱅킹 보안 강화에 나서고 있는 상황이다.

 

국민은행은 현재 계좌번호 및 비밀번호, 주민등록번호, 보안카드 번호 입력 등 4~5단계의 보안책을 마련하고 있으며, 최근 불거지는 텔레뱅킹 시스템 보안 강화 차원에서 원타임패스워드, 출금계좌번호 지정 등의 보안 시스템 도입을 추진하고 있다.

 

신한은행은 4~5 단계의 기본 보안책을 포함해 발신자 지정번호제, 모바일 원타임패스워드(OTP), 송금한도 제한 등의 대책을 도입키로 했다. 이 회사 관계자는 “텔레뱅킹 보안을 위해 다른 보안책도 찾고 있다”고 말했다.

 

조흥은행 또한 현재 4~5단계의 시스템의 보강을 위해 OTP카드를 개발하고 있으며, 모바일 인증과 화자인증, SMS 통보기능, 사용자번호지정 등 다양한 방식 도입을 추진하고 있다. 특히 사고 등에 빠른 대응을 위해 SMS 통보 시스템 개발을 완료하고 파일럿 시스템 형태로 적용하고 있다.

 

기업은행은 주민등록번호나 보안카드 등 기존 방식이외에도 현재 OTP도입을 위해 개발 업체 선정에 나서고 있다. 기업은행의 OTP 도입은 2~3개월 후 도입될 것으로 보인다.

 

정부 대책, 텔레뱅킹 통한 해킹은 제외 돼=최근 넷데블 등을 통한 키스트로킹 방싱의 인터넷 뱅킹 사고 발생에 따라 정보통신부와 산업자원부, 금융감독위원회, 금융감독원, 한국정보보호진흥원 등은 공동으로 관련 태스크포스팀을 구성해 운영키로 했다.

 

TFT에서는 일단 ▲전자거래시스템 안전성 분석과 ▲해킹 프로그램 분석 ▲공인인증서 관리체계 개선 등의 실태조사와 그에 따른 안정성 강화방안을 마련키로 했다.

 

하지만 이 TFT에서는 대중적인 금융거래 방식중 하나인 텔레뱅킹으로 인한 금융사고 방어 및 안정화 방안은 현재 포함하지 않고 있다.

 

이와 관련해 정통부 관계자는 “현재 TFT에서는 인터넷 뱅킹에 초점을 맞추고 있어, 텔레뱅킹 보안에 대한 1차적인 계획은 없다”면서 “하지만 TFT가 다방면에서 금융사고를 예방하기 위해 구성됐기 때문에 관련 문제가 제기되면 TFT에서 논의할 수 있다”고 말했다.

 

<길섭 기자> seobi@ddaily.co.kr

안길섭기자

 

 

 

Posted by 바다란


Zone-h 가 해킹 그룹인지는 이 기사를 보고 처음 알았습니다.

zone-h는 단순히 정보 교류의 역할을 하고 변조된 사이트들을 리스트업 해주는 곳인데..해킹 그룹이라니..흠.. 뭐 세계적인 해킹 그룹은 아니여도 보안에 관련된 인력들임은 맞습니다만.. 제가 보는 관점과는 약간 다른 점이 있네요.

 

zone-h 사이트는 2003년 무렵에 신설된 사이트 인데..그 이전에는 alldas.de 라는 독일 사이트가 역할을 했었죠.
zone-h 초창기에는 정말 defacement 미러링 사이트로만 여기저기 이름이 알려졌었지 크게 알려지지는 않았습니다. 그리고 공격기법이나 공격툴도 오래된 것들이구요. 이후 몇개 안 남은 웹페이지 변조 미러링 사이트가 모두 사라지면서 유일하게 남아서 세계적인 이라는 이야기도 듣는 군요.  하루에 변조되는 웹서버가 어마어마한 양이라서.. ( 한국도 매우 높은 기여를 하고 있습니다.) 무료로 서비스 하려면 시스템 비용만도 만만치 않을 겁니다. ^^;


securityfocus 가  보안/해킹  분야에서는 가장 정평이 나 있었는데 시만텍이 인수한 이후로 느낌상으로는 점점 떨어지는 걸로 보입니다. 구지 따진다면 securityfocus 가 화이트햇에 가까운 정보교류의 장이고 zone-h의 경우는 크래커들의 정보 교류를 위한 장이라고 할 수 있습니다.

 

대책이나 대안 ,보안책의 경우는 아직도 www.securityfocus.com이 의미있는 이야기를 많이 하지만 기법이나 문제점에 대한 내용들은 메일링 자체 부터가 많이 줄었고 내용도 전에 비해 부실한 것들이 많습니다.   zone-h는 메일링 보다는 사이트에 해킹툴이나 점검툴을 올려 놓는 경향이 많고 특정 세션을 들어가면 해킹에 관련된 크래커들의 게시물에 갑론을박하는 것들을 볼 수 있죠..  이를테면 포탈과 같은 개념입니다. 

 

개인적으로 저 스스로도 수준이 그리 높지는 않지만 zone-h의 경우 기술적인 수준은 그다지 높은 수준은 아니다 입니다. 

 

한 두명이 뛰어나서 리딩을 하는 시대는 이제 거의 마무리 되는 것 같습니다. 특히 보안 분야에서...

이제는 한 분야에 조금 뛰어난 사람이 있고 분야가 워낙 넓어지다 보니 분야별로 특화되는 현상이 심해지고 있는데.. 스페셜리스트가 될 것이냐 제너럴 리스트가 되느냐 하는 고민이 주된 고민이 될 것입니다. 

 

제너럴리스트도 스페셜리스트의 기반하에 이루어 지는 것이라면 참 의미 있는 건데 매우 많은 고행을 요구합니다. ^^;.. 특히 한국에서는 더더욱..............윽...


차라리 현재 위협 상태로 보면 중국이 더 위험하고 수준이 있어 보이는 것 같습니다. 물론 보안 측면이 아닌 해킹과 크래킹의 측면에서 말입니다.

 

 

[머니투데이 성연광 기자]
세계적인 해킹그룹인 'Zone-H' 핵심 멤버들이 한국을 방문한다.
정보위협관리전문업체인 정보보호기술(대표 민병태)는 내달 7~8일 이틀간 서울 대치동 한국정보보호교육센터에서 'Zone-H' 핵심멤버를 초청, 이들과 함께 실전해킹교육(Hands-On-Hacking Unlimited 사진)을 진행한다고 21일 밝혔다.
'Zone-H'그룹은 정보보호 전문가(White Hacker)들이 만든 독립적인 해킹 감시기관으로, 매일 각종 인터넷 공격과 네트워크 침입, 웹사이트 변조 등 최근 사이버 위협을 공격자와 방어자 입장에서 각각 보고서를 제공하는 독보적인 보안 커뮤니티 사이트(
www.zone-h.org)를 운영하고 있다.
이 사이트는 특히 수많은 공격자들과 보안 담당자들이 알려오는 사이버 공격기법과 네트워크 취약점, 웹사이트 감염방법 등의 정보를 매일 기록하며, 알려지지 않은 공격시도에 대해서도 연중 매일 뉴스, 권고문, 의견, 통계, 포럼 등의 형식을 통해 공개하고 있다.
이번에 초청 강연차 한국을 방문한 'Zone-H' 핵심 멤버는 Zone-H 창립자인 오베르토 프리토리(oberto Preatoni)와 로리 코르츠 팜(Lauri Korts-Parn) 이사.
오베르토는 여러 정보기관의 보안 컨설트로 일하면서 다수의 사이버 테러 사건을 해결해온 독보적인 보안 전문가로, 국제 인증제도인 유럽위원회의 ITSEC(정보기술보안평가인증)의 CEO로도 활동 중이다.
특히, 미국 데프콘 등 세계적인 보안 컨퍼런스에서 강의를 진행해왔으며, 보안 분야 중 특히, 보안 경쟁력 분석 및 비대칭환경의 침입관리 전문가로 정평이 나있다.
동행한 로리 이사도 리눅스 관리자 10년 근무 경력의 보안 베테랑이다.
한편, 정보보호기술이 진행하는 '실전해킹교육'은 해커들이 회사의 시스템 권한을 뺏기 위해 사용하는 다양한 해킹기법과 방어법을 배우고자하는 IT전문가를 위한 전문 교육 코스다.
특히, 'Zone-H' 핵심 멤버들과 함께하는 이번 교육은 과정 중 70% 이상을 실제 해킹으로 진행, 잠재적인 위협을 설명함으로써 기존 일반 교육과 차별화할 예정이다.
정보보호기술 김동욱 상무는 "실제 해커들이 어떻게 생각하고, 행동하며, 어떤 기술과 방법을 사용해 현존하는 취약성을 활용하는지 아는 것은 단순히 교육적인 차원뿐 아니라 보안관리자의 실제 운영에 있어 문제 해결에 중요한 능력이 될 것"이라고 설명했다.
성연광기자
saint@moneytoday.co.kr
< 저작권자 ⓒ머니투데이(경제신문) >

Posted by 바다란

 

 

http://news.naver.com/news/read.php?mode=LSS2D&office_id=031&article_id=0000107365&section_id=105&section_id2=283&menu_id=105

 

 

위에 기사 보다가 매번 똑같은 이야기 반복하는데 질려서 씁니다. 야밤에..쩝

--

 

역군은 또 무슨 역군인가?.

쓸만한 인력이 그리 쉽게 만들어 지는가? 변화하는 지금의 환경에서 그 변화를 유연하게 따라 갈 수 있는 사람이 얼마나 되는가? 국내의 보안회사는 규모를 키우기 위해서라도 재편 되어야만 한다. 그렇지 않으면 정말 가망 없다.

 

쓸만한 사람이 없다는 소리를 할때가 아니고 또 사람 한명 데리고 와서 잘 부려서 이익 남겨 먹을 그런 생각 하지 말고 정신 좀 차려야 된다.  자본도 필요 없고 오로지 인건비만 있으면 모두가 해결 되는 이 분야 아닌가? 사람의 지식과 경험을 사서 돈을 버는 것이면 그만큼의 댓가를 지불 해야 하건만. 스스로의 손을 가슴에 얹고 생각해 봐라. 지금까지의 기간동안 얼마나 많은 영혼을 피폐하게 만들었는지도 생각해 봐야 된다.

 

그렇지 않다면 이제 보안회사는 단순한 하청 서비스에 지나지 않을 것이다.  가장 인간의 경험과 능력에 기대는 인력 베이스의 업종에서 뛰어난 인력이 없고 경험이 없고 축적된 기술이 없는 곳은 끝이다.  앞으론 어디가서 보안 업체라는 명함을 꺼내기도 힘들 지경이 될 수도 있을 것이다.

 

전문보안업체로서의 역량 확보에 무관심 하고 오로지 인력의 최대한도의 활용에만 중심이 되었기에 더 그러하다.

너도 나도 보안 한다고 들고 일어나 전체 서비스의 질을 대폭 떨어 뜨렸고 그 결과 도매금 취급이 되는 문제도 있었고

쓸만한 인력들이 모두 주눅 들거나 정리 되는 기회를 제공해 주는 곳들도 있었다.

 

오로지 하는 일이 좋았고 지금 몰입해서 열정을 쏟을 수 있어서 사랑한 많은 자들을 떠나게 한 결과는 사회가 져야만 한다.

 

전문가와 관리자의 차이도 구분 못하는 현실에서 대체 어떤 길이 있을 수 있겠는가?

 

자업자득이란 말 외엔 해줄 말이 없다. 

 

http://blog.naver.com/p4ssion/50014996901   <-  보안 전문가와 보안관리자의 차이

 

-------------------------

 

잡목이고 뭐고 간에 때되면 싹 베어내고선.. 이제와서 있네 없네 소리는 왜 하는지 ?

 

헐값에 출혈경쟁, 저가수주, 서비스성 업무 등등  보안이란 업무 자체를 돈버는 하나의 요소기술로 알고 덤벼든

많은 보안(?) 회사들과 또 그들로 인해  보안은  언제든 부르면 싸게 쓸 수 있는 기술로 인지하는 많은 갑이라 불리는 회사들.

 

그동안 싸고 저렴하게 아주 오랜기간 잘도 우려 먹었었다.

그리고 천직처럼 열정을 가지고 헌신해온 자들의 지식과 경험을 잘도 날로 먹었다. 

견디다 못해 보안 부분을 떠난 많은 자들은 다시는 돌아 오지 않는다.

 

이제 날로 먹는 시대는 간 것이다.

더불어 사람도 없다. 

 

잡목까지 다 베어버린 산에서 목놓아 나무가 없네 떠들어 봐야

오래전 스스로 베어버린 나무가 살아날리 만무하다.

비는 점점 거세지지 나무가 없는 산은 무너지려 하지..

앞을 내다보지 못한 많은 자들을 탓해야지 나무를 탓해서 될일이 아니다.


아주 오랜 시간이 걸릴 것이다. 아주 오랜 시간..

나무가 자라기엔 6개월짜리 속성학원이 아닌 더 오랜 인고의 시간이 필요하다.

 

* 트랙백 걸고 계속 갱신한다. 그래야 될 것 같다.

Posted by 바다란