본문 바로가기

Security Indicator/Guide for guru

해커의 길 II

해커의 길 II
 
해커의 육성 부분에 대해서는 할 말이 많습니다. 90년대 후반 부터 2000년 초반 까지 약 2~3년간 활발하게 활성화 되어 인력들이 척박한 환경에서도 많이 나왔습니다. 지금 그 인력들 뭐하고 있을까요?..
 
해커로서가 아니라. 조직에 동화된 이후에 조직에 끌려 갈 수 밖에 없고 또 가장 중요한 연구문화가 활성화 될 수 없는 환경 때문에 다들 떠납니다. 또 그런 여유를 허가 하지도 않고. 연구가 없이 어찌 취약성을 발견할 수 있고 미래 위협을 대처할 수 있나요?..
 
자격증 많이 가진 사람을 보안분야의 유능인력이라고 할 수 있을까요?. 막상 사고나면 전부 나몰라라 하는 판국에..
참 재밌습니다. 정보의 제공이나 동향의 예측은 이제 많은 인력이 투입된 국가기관에서 해야 할 것으로 봅니다.  음지에 존재하는 해커들도 그리 많지 않고 이제는 그 레벨도 참 말하기 뭐한 상태죠.
 
변화의 폭은 크고 매우 빠르게 나타나고 있습니다. 특히 보안 분야는 더욱 그렇죠. 기술의 진보도 빠르지만 더욱 빠르게 변화하는 것은 공격기술의 변화입니다. 이걸 파악하고 대책을 수립하고 예측 할 수 있을만한 인력이 자랄 수 있는 환경인가 하는 문제를 제기 합니다.
 
학생때에는 노력하는 것이 가능합니다. 관심을 가지고 각 분야를 조금씩 깊이있게 보는 것이 가능합니다. 그러나 업으로 삼고 하기에는 너무 가혹한 환경이죠. 우리나라와 같은 IT 발전 상황이 빨라서 실험적인 공격이나 장애들이 발생하고 이런 문제를 해결하고 또 공격에 대한 대처를 하고 방향을 수립하고 권고하고 하는 많은 일들...그리고 끊임없이 발전하는 많은 지식 부분을 커버해야 하고 몸은 바쁘고 마음도 급하고 뜻대로 나아가지는 않는 진퇴양난의 상황.
아마 실무에 계신분들이 계시다면 처절히 느끼실 것이고 제가 하는 말에 공감하는 부분들이 있을 것입니다.
 
눈에 보이는 것과 실무에서 느끼는 벽의 차이는 대단합니다. 기술의 차이가 아니라 기본적인 input/ output을 강조하는 단기성과만을 보는 문화적인 이질감의 차이도 상당하죠. 하나의 결과를 내기 위해 몰입하는 구조자체가 될 수가 없죠. 해외의 자본이 넉넉한 보안업체에서 운용하는 security team의 예를 봐도 그러하구요. 그나마 인력을 투입하고 그 인력이 가져오는 장기적인 시너지 효과와 파급효과를 이용할 정도의 규모가 되는 회사는 세계적으로 몇 개 되지 않습니다. 여력이 있어야 되는거죠. 그리고 장기적인 비전이 있어야 되는 것이구요. 우리나라내에서는 쉽지 않은 일입니다. 취약성 하나를 발견하기 위해 하다 못해 6개월간이라도 집중할 시간이 주어 질까요? .. 빠른 변화에 대처하는 것 조차 어렵습니다.
 
 
적응하는 것 쉽습니다. 그리고 적응을 하고 또 보안의 기술을 따라가는 것은 엄청난 희생을 강요합니다.
 
필요한 지식을 언급해 볼까요?..
 
 
프로그래밍 ( C , C++ , Perl , CGI , script [asp , jsp ,php 등] ,Assembly...)
- Exploit도 작성해야 하고 분석도 해야 하며 간단한 exploit 변환 및 가장 많이 발생하는 웹해킹에 대한 분석과 대책을 위해서 스크립트 레벨까지도 익히고 알고 있어야 됩니다. Assembly는 또 각 머신이나 CPU에 따라 다르죠. Spac , X86 등에 대한 Assembly 구조 및 사용법을 능숙하게는 몰라도 익히고는 있어야 됩니다.  한번 intel 사를 방문해서 Assembly에 관련된 매뉴얼을 한번 보시지요. 좀 더 관심 있으시면 구조까지도.. 이 CPU의 구조만도 무어의 법칙을 능가하고 파괴해 가면서 변화하고 있습니다. ^^
 
 
시스템 ( Windows NT / 2000 / 2003 , Linux , Unix , SunOS ,Irix 등등 )
- 최소한 Windows 계열과 Linux 계열은 확실하게 보안대책까지 알고 있어야 됩니다. 다른 운영체제도 기본적인 사항들은 알고 있어야 되죠. 그래야 공격이 가능하고 또 공격이 되었을 경우 대책이 가능합니다. 웜과 바이러스의 경우도 여러 가지의 취약성을 한꺼번에 이용하는 추세입니다. 이걸 알려면 공격자체만이 중요한 것이 아니라 시스템에 어떤 영향을 미칠지를 판단 할 수 있어야 되고 추적할 수 있어야 됩니다. 또 나아가서 네트워크 영역에 어떤 영향을 미칠지 까지도 파악할 수 있어야 되죠. 이런 인력이 없음은 지난 2년전의 1.25때에도 분명하게 입증이 되었습니다. 지금은 나아 졌을까요?. ^^;
 
네트워크 ( TCP/IP 뿐 아니라 802.X 대역에 대한 무선 프로토콜에 대한 이해 )
- 무선 관련 네트워크 및 테스팅 , 네트워크 상에서 발생하는 장애들에 대한 이해 ( 최소한 장애와 해킹에 의한 DDOS 상황쯤은 구분할 수 있어야 되며 문제를 해결 할 수 있어야 됨 ) . 전 세계 무선 AP중 무시할 수 없는 수치가 국내에 설치가 되어 있습니다. 이런 AP를 이용한 문제점들이나 해킹등에 대한 고려는 지금껏 충분히 있어 왔는지요..^^;
 
장비에 대한 이해 ( IDS -수십종 , IPS , Firewall , Router , Switch 등등)
- 네트워크 및 각 장비들의 특성과 로그에 대한 이해 취약성에 대한 이해 등등
네트워크 장비는 2000년 초반을 기해 메가 단위에서 기가 단위로 넘어 왔습니다. 국내의 네트워크 환경도 몇 년 사이에 급격하게 바뀌었고 보안장비들도 대부분이 기가급을 사용합니다. 이런 장비에 대한 기본적인 이해 그리고 근본적인 이해가 되어 있는지요?.. 아주 바쁘게 해야 됩니다. ^^; 장비 회사도 많고 장비 출시도..또 여러 종류의 장비를 쓰는 곳이 기본입니다.
 
 
영어 능력 ( 대부분의 정보 획득을 하기 위한 노력)
 
- bugtraq , vulnwatch 등의 메일링 수시 점검 및 해외 보안 관련 사이트에서의 이슈사항 점검 및 exploit 이나 vulnerability에 대한 서치 능력이 있어야 됩니다.
 
대표적으로 위의 5가지 부분만 들겠습니다.
위의 네 가지 중 한 가지 만이라도 제대로 하는 것이 어렵습니다.  위의 요소에서 상위권인 것이 2개 정도는 되어야 하며 나머지는 남들 하는 수준은 되어야 됩니다. 그래야 가능성이 있습니다.  하나 정도만 제대로 해도 전문가 소리 듣습니다. 그러나 모의해킹은 이 전분야를 몇몇은 깊이 있게 몇몇은 남들 정도는 알고 있어야 됩니다. 이런 난이도와 기술적인 요구를 누가 알까요?
 
요소를 보면  거의 IT 발전의 모든 부분에 끼여 있고 중요요소가 됩니다. 이걸 개인 차원에서 하기에는 이젠 속도가 따라주지 않습니다. 클럽 단위로도 한계가 있구요. 대대적으로 활성화 하려면 지금의 예를 봐야 됩니다. 지금은 어떻게 변화 되었는지.. 아니면 예전에 활동하던 사람들이 지금은 무엇을 하고 있는지를... 왜 그렇게 되었고 문제는 무엇인지를 ..
 
 
왜 그렇게 되었는지에 대한 이해가 필요하죠. 압축성장이 제품의 선정 및 대량 생산을 통해서 이루어 지고 대표적인 우리의 성장 방식입니다. IT 부분도 압축성장입니다. 그러나 인력의 축적이나 문화의 축적은 아주 오랜 기간이 걸릴 것입니다. 이 말은 갭이 생길 수 밖에 없고 이 갭의 부분을 상당기간 의존 할 수 밖에 없다는 이야기 입니다.
 
그렇다고 인력을 육성하지 않을 수도 없습니다. 대표적으로 자격증을 통해 인력 양성하는 것은 최소한 다른 분야는 몰라도 보안분야에서만은 쉽게 되지 않습니다. 관리적 보안 분야는 단기간 대량의 인력이 양성 가능하고 일정 시점 이나 프로젝트 경험 이후에 숙성이 될 수 있다고 봅니다. 그러나 시스템 이나 기술적인 분야의 보안 분야 인력 양성은 매우 시간이 많이 걸릴 것이고 자발적으로 할려는 의지가 있는 사람이 없는 이상 어렵습니다. 대대적으로 포럼을 가지고 활성화 하고 상호간의 교류가 되어야 하는데 거의 교류가 없죠.
이런 문제들을 짚어 보아야 할 것 같습니다.
 
98년 쯤에 해커의 길이라는 글을 쓴 적이 있습니다. 그때와 비교하여 지금의 진보는 매우 빠릅니다. 기술의 진보가 매우 빠르고 변화의 폭이 큰 상태라 참 어렵다고 할 수 있습니다. 지금 해커의 길 II 를 쓰라고 한다면 정말 ..취미가 가장 좋을 것 같습니다. 한 가지 부분에서의 취미로 깊이를 이루는 것이 가장 좋은 길이 아닐까요?..  가장 쓰라리고 인내가 필요한 길이고 만족도는 있으나 세월이 지나면서 부딪히는 벽이 많이 있다는 점 ... 
이런 글을 쓰면서도 저는 아직 현역에 있습니다. 모의해킹 뿐 아니라 CERT 영역까지 폭넓게 운신을 하고 있지만 마음이 상당히 아프고 상하는 것은 어쩔 수 없네요. ^^; 저 조차도 위에 언급한 5가지의 영역에서 자유롭지 못한 부분들이 있습니다. 그리고 몇몇 분야에서는 깊이조차 없어서 허덕이는 것들도 있구요. 게을리 하지 않고 한 눈 팔지 않았음에도 이렇습니다.
 
 
언젠가는 쓰임이 있을 것입니다. 그때에 이르기 까지는 한순간도 호흡을 늦춰서는 안되는 것이구요. 그 언젠가가 올지 안올지는 모르지만 말입니다.
 
우리의 IT 산업 그리고 그중에 보안 분야는 시간이 지나고 보다 많은 쓰라린 경험들이 있게 되면 자연치유력에 의해 부족한 부분들이 보완이 될 것입니다. 그러나 아직 우리는 기술적인 스페셜리스트를 지니기엔 부족한 사회문화입니다.  이게 정답이라고 봅니다. 그렇다고 노력을 안할 수는 없겠죠. 이 노력을 인력 자체가 노력해서 채우라고 하기에는 너무 가혹하지 않나 하는 생각입니다.
 
 
물론 전부 제 생각입니다. 많은 의견 부탁합니다.