태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.


* Facebook에 올렸던 촌평을 묶어서 게시한 내용입니다. - p4ssion

Chinese Military Suspected in Hacker Attacks on U.S. Satellites - Businessweek
 

http://www.businessweek.com/news/2011-10-27/chinese-military-suspected-in-hacker-attacks-on-u-s-satellites.html

블룸버그 뉴스보도 입니다. 2007년과 2008년에 미국의 기상관측 위성과 지형관찰 위성에 4회 정도의 침입이 있었다는 보도 입니다. 

항상 오해를 하는 것이 위성을 해킹한다는 것은 위성에 직접 침입한다는 것이 아니고 위성을 조정하는 지상의 시스템을 권한 획득 했다는 것이죠. 마찬가지 결과 입니다만 항상 오해를 하죠.

실제 위성에 대한 권한 획득이나 외부조정의 배경에는 중국 군부가 있을 것으로 당연히 예측 되었으나 중국은 부인 하죠.

실제 사이버전의 배경도 마찬가지 입니다. 외부세력에 의해 분쟁이 조정 될 수도 있고 또 다른 세력에 의해 사이버전이 조장 될 수도 있습니다. 그만큼 실체와 정체를 확인 하기가 어려운 전장임은 분명합니다.

또 상대방을 조작하기에도 손쉬운 전장이구요. 미국에서 사이버전을 제 5의 전장으로 정의하고 물리적 전투력을 투입 하겠다는 것은 그래서 위험한 발상입니다. 위험한 발상이지만 그만큼 극도로 위협을 받고 느끼고 있다는 것의 반증이기도 하죠.

그럼 우리나라는??. 

흐 손이 아프니 그만 하도록 하죠.




China a minimal cyber security threat: Paper

관련 기사 및 Report 입니다. 한번 일독은 필요한 부분 입니다.
http://www.computerworld.com.au/article/405767/china_minimal_cyber_security_threat_paper/

http://www.securitychallenges.org.au/ArticlePDFs/vol7no2Ball.pdf   

중국의 단점은?. 한쪽으로 너무 치우쳐진 불균형적인 사이버전 전력.

극단적인 공격 측면에만 치우쳐져 있고 실상 방어에는 무기력한 면을 보이고 있다는 점. 단순한 기사들과 관련 기사들을 묶어서 종합적인 의견을 도출해낸 페이퍼 정도. 그냥 일상적으로 알고 있는 내용을 묶었다고 생각 하면 될듯.

공격에는 극한대로 올려진 공격력을 가지고 있으나 좀 더 복잡하고 하이브리드한 공격에는 약하며 ( 뭐 시간이 해결해 주겠지만.) 방어 측면에서는 상당히 취약함을 보임. 그러나 가장 두려워 해야 할 곳들은 어디인가를 살펴야 하는데 그게 부족한듯.


ICT가 활성화 되어 활발하게 활용되고 있는 모든 국가들 ( 아마 선진국이나 그 문턱에 걸려 있는 모든 국가가 해당됨), 즉 지켜야 할 것이 많은 국가들은 반드시 방어와 보호에 역량을 갖추어야 된다. 무조건 공격이나 탐지 되면 미사일 쏘겠다는 엄포로는 씨알도 안먹힌다는걸 알아야 되는데 안타까움.

일정수준 이상의 대응 경험, 계속 갱신되는 환경과 정보에 대한 업데이트, 다양한 대응수단, 일정 수준 이상을 항상 유지 할 수 있는 도구나 서비스의 자체 운영 등등.. 해야할 과제들이 이렇게 많은데 그냥 넋을 놓고만 있다.

일단 당하면 시작하자 ..이기도 하고 너무 무지해서 이기도 하며 정보통신은 그저 사회를 유지하는 도구일뿐이라고 생각하기 때문이기도 하다. 

인간의 단어는 사람 사이이고 사람 사이는 관계를 의미한다. 이 관계가 사회를 이룬다. 지금의 ICT 는 관계를 시.공간적으로 단축하고 즉시적 반응을 끌어내는 핵심적 도구다. 즉 사회의 기반이라는 말이다. 왜 SNS 인가? 부터..

허긴 당하고서도 허송세월 하기도 하는데 .. 다른 나라들을 말할때가 아니기도 하지.



Process, not just product, will save your IT department • The Register

http://www.theregister.co.uk/2011/10/26/rtfm_process/
 

일단 여기에 대한 의견은 많음. Grossman 의 의견도 맞지만 프로세스가 모든걸 해결 하지 않으며 그 프로세스가 또한 정답이 될 수 없음. Intermediate 한 도구 및 프로세스가 결합되어야 하는데 현재는 그것과 거리가 있음. ITIL 이나 Cobit , ISO27K 등도 모두 유용한 프로세스이나 이 프로세스를 도입하여 적용 하기에는 성숙도가 너무 떨어짐.


부유하고 여유가 있는 자들만이 이 세상을 가치있게 만드는 것이 아님.
모든 사람들에게 공정한 기회가 주어져야 하고 보안도 마찬가지 여야 된다고 생각함.

지금까지는 가진자들에게만 모든 보호 방안들이 주어졌으나 이제는 그렇게 되어서는 사회 나 시스템 전체를 레벨업 할 수가 없다고 보고 있슴.

그래서 본인의 선택은 ..모든 것을 자세하고 완벽하게 하기 보다는 가장 시급하고 손쉽게 공격당하는 부분들에 대해서 체크하고 아주 저가에 진단이 가능하며 실질적인 코딩 가이드까지 된다면 일차적인 문제는 해결을 할 수 있다고 봄.

빈자나 부자에게나 공정한 기회. 그 기회는 서비스로서 주어질 수 있다.

항상 보안을 한다고 하면 비싼 장비를 먼저 도입하는 것이 순서이고 당연한 것처럼 여겨졌으나 이 문제들은 앞으로도 공격기술의 빠른 진보에 의해 손쉽게 무너질 모래성임. 그렇다고 도입 하지 말자는 아니며 도입하되 더 중요한 가치를 어떻게 지키고 전체의 수준을 어떻게 유지 할 수 있을 것인가에 대한 고민이 필요하다는 점.

부자는 전체를 살펴 볼 수 있게 해주고 빈자에게는 당장의 시급한 문제를 해결 할 수 있게 해준다가 빛스캔의 서비스 컨셉임.

다만 한국에는 실정상 맞지 않는 부분이 있고 이미 알고 있는 부분이며 지금의 서비스 오픈은 차후를 대비한 명분축적용. 이미 글로벌 적용은 눈앞에 온 상황이고 거기에 포커싱이 되어 있을 뿐임.

제대로 되었을 경우의 뒷일에 대해선 언급 불필요.
알아서 느낄리도 없겠지만 댓가는 비싼 댓가를 치룰 것임.

이미 오래된 이야기이고 생각일뿐. 이젠 구체화의 타임.
앉아서 세상을 본다. 이게 인터넷이고 평등한 세상. 모두가 위협을 받는 평등한 세상에서 기회란 접근성의 확대와 시대적 문제를 해결 할 수 있느냐 이고 아직 이런 개념을 가지고 준비하는 곳은 없다. 오로지 돈이 목적일뿐.

이상과 방향이 없는 기업이나 서비스 모델은 이래저래 바뀌고 변경 되다 누더기가 되게 마련이고 종래에는 흔적없이 사라지게 마련이다. 그렇게 만들지는 않을 것이다. 어차피 대상은 여기가 아니니까..



Strong increase in hacker attacks targeting retailers - Security Park news

http://www.securitypark.co.uk/security_article266904.html

Dell Secure works에서 소매점 대상으로 분석한 공격의 증가 현상과 원인에 대한 내용. 의미 있는 내용들이 있슴. 이제 해외에서도 상황에 대한 기본 인지가 되어 간다고 봐야 할듯. 그러나 해답은 저기 먼 안드로메다에 여전히 가 있는 상태. 어쩌면 말그대로 자포자기 상태로 가는지도 모르겠다. 

지금껏 그 완벽한 보안솔루션 ( 최초 혹은 완벽 이라는 말이 안 붙은 솔루션이 있던가? .. 단지 현혹을 위한 단어 선택이라면 앞으로 계속 후회하게 될듯) 들의 역사는 그리 오래 되었음에도 불구하고 문제는 계속 더 커지고 확산 되는가 .. 고민이 필요하다.

간단하게 요약하면 전년대비 소매점으로 부터 들어오는 의심 트래픽에 대한 차단이 거의 43%가량 증가 했다는 이야기이고 이 근간에는 세 가지 주요 요인들이 존재 한다고 분석 .

1. SQL Injection에 의한 직접 정보 탈취 및 권한 탈취 -서비스 영역 

2. Web kit에 의한 대규모 확산 - 뭐 별거 아니다. Web으로 조정이 가능한 Web bot 정도 생각 하면 된다. 예전 Botnet은 저리 가라 할 정도..

3. Web을 통한 Download action에 의한 감염 - 이건 기본 보호 솔루션들을 통과하여 발생 하고 이후 Web kit을 전파하거나 다양한 공격 도구 및 권한 획득 도구를 시스템에 설치한다. 

이 세가지 항목 모두 사용자 베이스 및 서비스 베이스에 동일하게 발생이 된다는 것이고 근본적인 것은 단 하나다.

취약한 웹 애플리케이션에 의한 정보 유출 및 악성코드의 대규모 유포가 핵심!.
그리고 이 문제점을 수정 ,보완 하는 것은 매우 어렵다는 것을 의미한다. 수없이 많은 도메인 , 언제든 수시로 변경 되고 갱신되는 Web app 차원에 상시적인 보안을 유지 한다는것은 매우 어려운 과제이다. 앞으로도 계속 될 문제라는 것. 

앞으로 더 증가 할 것은 불을 보듯 뻔한 것 아니겠는가?
기존 도구들로 최대한 노력을 해보길~ 자신 이외에 주변 것들 까지도 같이 수준을 올려야 할 것이다. 듣기좋은 말 하지 않겠다. 할 수 있으면 해볼 것.

  
Posted by 바다란

 룰즈섹(Lulz Sec)이 대수인가?” -zdnet

 

미 상원과 CIA, FBI를 해킹하고 PBS 방송국을 공개적으로 해킹하여 전 세계적인 이슈를 불러 왔던 룰즈섹이 50일간의 활동을 접고 해체한다고 한다. 세계적인 관심을 불러 일으켰던 해킹그룹은 여러 측면에서 현재 인터넷의 위험한 상황을 잘 전달 했다고도 볼 수 있다. 그렇다면 세계 여러 언론들이 언급한대로 룰즈섹은 특별한 기술을 가지고 있고 전 세계 어디든 마음대로 공격이 가능한 집단일까? 또 최고의 멤버로 구성이 되어 있어서 세계적인 화제가 되었을까?

 

의문을 가져야 한다.

 

진짜 위급한 상황에 처했을 경우 나타날 수 있는 공격자들도 룰즈섹 정도 일까? 결론적으로 룰즈섹 부류의 공격자들은 지금 이 순간에도 전 세계적인 활동을 하고 있으며 너무나도 일반적이라는 것이다. 진짜는 따로 있다. 이번 컬럼에서는 그 리얼한 모습의 일부분을 제시 하고자 한다.

 

글로벌 하며 대담하고 체계적인 구성을 갖춘 수준높은 조직들과 언제든지 맞설 수 밖에 없는 상황에서 과연 우리는 어떤 준비가 되어 있는가? 상대의 수준도 모른다면 농협과 같은 혼란상황은 불을 보듯 뻔하다. 먼저 컬럼의 제목대로 룰즈섹의 공격기법과 행위에 대해서 살펴보고 진짜 공격자들의 수준을 가늠할 수 있는 일면을 엿보도록 하자.

 

 

룰즈섹 해킹 사례 정리

 

5 7미국 오디션 프로그램 참가자 정보 공개

5 10 - 폭스방송 홈페이지 가입자 정보공개

5 23 - 소니뮤직(일본) 해킹

5 30– PBS 방송국 홈페이지 변조

6 2소니 픽쳐스 정보공개

6 3 FBI 산하의 인프라가드 정보탈취

6 3일본 닌텐도 서비스 공격 및 정보 획득

6 13미국 상원 홈페이지 정보 획득 및 공개

6 15– Tango Down – CIA 홈페이지 접속차단

 

5월부터 6월까지 50일 가까운 활동기간동안 언론에 언급된 주요한 팩트들만 9건 이상이 언급이 되고 있다. 물론 더 많은 사례가 있지만 큰 이슈들만 나열 하였다. 정말 특별한 기술을 가진 그룹이기에 세계적인 관심을 끌었을까?

 

공격과 정보탈취는 이미 인터넷 상에서 일상적으로 일어나는 활동이고 지금도 매우 심각한 상태로 발생 되고 있으며 수없이 많은 서비스들이 권한을 탈취 당한다. 단지 룰즈섹의 경우는 SNS를 이용한 이슈화에 성공 하였을 뿐이며 특별하지는 않다. 9건 가량의 주요 공격을 살펴보면 대부분 웹서비스에 대한 직접 공격 ( SQL Injection이 대부분) DDos ( CIA에 대한 공격) 외에 특별한 기술을 발견하기는 어렵다.  이 두가지 기술 모두 현재 일상적으로 발생 되고 있는 공격에 지나지 않는다. 웹서비스에 대한 취약성을 타이트하게 관리하는 CIA의 경우에는 DDoS 공격 정도로 이슈화를 시켰으며 그외의 공격들은 웹서비스의 코딩은 수시로 변경되고 적용이 되고 있어서 엄격한 관리가 어려운점을 이용하여 웹서비스를 공격하여 권한을 획득하고 데이터베이스의 정보를 획득한 것이라 볼 수 있다.

( SQL Injection을 이용한 공격기법의 변화는 여기를 참고 - http://p4ssion.com/207 )

 

n  난이도 있는 공격?

 

일상적인 수준의 공격이지만 왜 막기가 어려운 것일까? DDoS의 경우는 대량의 좀비 PC를 이용한 트래픽을 발생 시킬 경우 홈페이지 서비스는 차단 될수 밖에 없다. 상징적인 의미이지 실질적인 정보의 유출은 없는 경우라 할 수 있다. 단 에스토니아처럼 모든 것이 IT화된 국가의 경우 행정업무가 마비되는 것은 큰 문제라고 할 수 있을 것이다.

 

그렇다면 SQL Injection은 왜 막기가 어려울까? 이미 문제점에 대해서는 최초 알려진것이 10년도 휠씬 이전이다. 그때와 지금의 다른점은 자동화된 도구가 많아졌고 매우 정교해 졌다는 점뿐일 것이다. 그럼에도 불구하고 막기가 어려운 것은 변화무쌍한 웹페이지 코드의 변화때문이기도 하다. 잦은 개발과 수정이 일상적으로 일어나는 웹서비스의 경우 보안적인 안정상태를 유지한다는 것이 매우 힘들다. 다양한 보안도구들이 있으나 모두 한계를 지니고 있으며 결정적으로 개발기간보다 길게 소요되는 문제 해결기간과 우회가 가능한 패턴매칭의 한계가 있기 때문에 소스코드 보안이든 웹보안 장비를 이용한 차단이든 문제가 될수 밖에 없는 것이다.

 

국내에서 발생된 여러 정보탈취 사건사고들도 별반 다르지 않다. 모두가 정문만을 바라보고 있고 철통같은 경계를 취한다. 그러나 웹서비스가 위치한 지역은 성으로 볼수 있다. 원형의 성에는 외부와 연결되는 여러지점들을 가지고 있으며 이 지점들에는 항상 다른 곳과 연결 될 수 있는 통로가 있다. 즉 어느 곳 한 곳이라도 뚫리게 된다면 내부의 은폐된 정보에 이르는 길은 다 똑같다는 점이다.  모든 웹서비스의 수준을 일정수준이상 유지한다는 것은 매우 어려운 과제가 될수 밖에 없고 공격자들은 이미 전체 노출 범위에 대해 상시적인 공격도구를 보유하고 활발하게 활용하고 있어서 계속적인 위험에 노출되는 것이다.

 

룰즈섹의 경우에도 정보탈취의 경우는 대부분 웹서비스의 인자값들이 완벽하게 필터링 될 수 없다는 점을 이용하여 성공한 사례일 뿐이다. 이미 오래전 부터 겪어왔던 일의 한 부분일뿐이며 지금 이 순간에도 발생되는 사례일 뿐이다. 룰즈섹의 뛰어난점은 허세와 광고에 능했을 뿐.. 진짜 위기의 순간에 맞닥뜨릴 대상들은 지금도 조용히 웃고 있을 뿐이다.

 

n  진짜 우리의 상대는?

 

이제 숨어 있고 잘 알려져 있지 않은 조금 더 수준 높은 자들의 형태를 살펴보자. 공격자들의 역량은 위급상황에 언제든지 태세를 전환하여 큰 피해를 입힐 수 있다는 점을 우리는 농협사태에서 충분히 느낄수 있다. 이면을 살펴 보도록 하자. 먼저 지금까지 공개된바 없는 데이터를 제시한다.

 



< 공격자들이 인위적으로 웹서비스에 추가한 악성코드 다운로드 경로 및 발견일시>

 

올해초 부터 국내 사이트를 통해 대규모로 사용자에게 악성코드를 유포하는데 이용된 경유지들의일부이다. 특히 파일공유 사이트 및 주요 서비스들의 웹서비스 소스를 수정하여 인위적인 외부경로를 추가함으로써 웹서비스 방문자에게 악성코드를 설치하도록 하는데 이용된 주소들이며 최근의 어도비의 플래쉬 플레이어 업데이트가 잦은 이유도 바로 이 주소들로 부터 사용자들에게 설치되는 악성코드들이 거의 제로데이에 해당되는 수준으로 사용자 PC 대부분에 (맥 제외) 설치된 어도비  플래쉬 플레이어를 공격했기 때문이기도 하다.

< 공격 및 감염에 대한 개요도>

최근 공격자들의 공격 방식을 보면 국내의 경우 개별 사이트의 해킹을 통한 정보유출은 사실상 종료 되었다고 봐야 한다. 물론 여전히 발생되고 있고 중요정보를 얻기 위한 수단으로 이용이 되고 있으나 현재는 더 큰 범위로 진화를 했다고 보아야 할 것이다. 개별 사이트가 아닌 동시에 수십여개 이상의 웹서비스에 동일한 악성코드 서버링크를 추가하고 모든 방문자들에게 악성코드 감염을 시도한다. 현재 공격코드의 특성(플래쉬 플레이어 공격)으로 보면 개인 PC에 대한 권한 획득 비율은 50% 이상은 넘을 것으로 예상이 된다. 파일공유 사이트 및 언론사, 커뮤니티 사이트등 수십여개의 주요 사이트들에 대해 공격코드를 가지고 있는 주소를 웹소스에 추가함으로써 자연스럽게 좀비 PC를 확산 시키고 있다.

 

현재까지 공격자들의 목적은 오로지 금전적인 이득이다. 규모와 전략적 차원에서도 비교하기 어려운데 더군다나 국제적이기까지 하다. 악성코드를 뿌리기 위한 수단으로는 국내의 주요 웹서비스를 이용하고 유포하는 주소는 미국의 ISP를 휩쓸다시피한다. 올해 초 부터 관찰되는 데이터에서도 공격자들의 강력함은 여실히 느낄 수 있다. 현재 미국은 정체파악도 못한 상태로 보인다.

 

사용자들에게 악성코드를 뿌리기 위한 수단 : 파일공유, 언론, 커뮤니티외 다수 웹서비스

웹서비스 소스에 추가하는 악성코드 다운로드경로: 해외 ISP 및 국내의 취약한 웹서비스

 

단 하루만에 수십에서 수백여개의 웹서비스를 통해 몇십만대의 PC의 권한을 획득 하고 있는 이들이야 말로 진짜 상대가 아닐까? 해외 ISP를 통채로 이용하는 이들에 비하면 룰즈섹은 피래미가 아닐까? 어쩌면 이것도 빙산의 일각일 수 있다. 우리가 위급한 상황에 처했을때 진정으로 상대해야 할 자들중 일부가 지금은 잠시 돈벌이를 할 뿐이 아닐까? 전 세계는 지금 이들의 정체 조차도 잘 모르고 있는 상황이다. 앞으로 위기의 인터넷은 더 심각한 국면에 직면 할 것이다. 당신이 어디를 방문하든 그들은 지켜보고 있다. 농협사태의 단초가 이들로 부터 시작 했음을 잊지 마라.

 

바다란 세상 가장 낮은 곳의 또 다른 이름

Posted by 바다란

木鷄

기성자는 왕을 위해 싸움닭을 훈련시키는 사람이었다.

그는 훌륭한 닭 한 마리를 골라 훈련을 시켰다.

열흘이 지나자 왕은 닭이 싸움할 준비가 되었는가를 물었다.

 

[단계 1]

조련사는 대답했다.

아직 안 됐습니다. 아직 불 같은 기운이 넘치고 어떤 닭과도 싸울 자세입니다. 공연히 뽐내기만 하고 자신의 기운을 너무 믿고 있습니다.”

 

[단계 2]

다시 열흘이 지나 왕이 또 문자 그는 대답했다.

아직 안 됐습니다. 아직도 다른 닭의 울음소리가 들리면 불끈 성을 냅니다.”

 

[단계 3]

또다시 열흘이 지났으나 왕의 물음에 여전히 그는 대답했다.

아직 멀었습니다. 아직도 상대를 보기만 하면 노려보고 깃털을 곤두세웁니다.”

 

[단계 4]

또 열흘이 지나서 왕이 묻자 기성자는 마침내 대답했다.

이제 거의 준비가 되었습니다. 다른 닭이 울어도 움직이는 빛이 안 보이고,

먼 데서 바라보면 마치 나무로 조각한 닭과도 같습니다.

이제 성숙한 싸움닭이 되었습니다.

어떤 닭도 감히 덤비지 못할 것이며, 아마 바라보기만 해도 도망칠 것입니다.”

 --------------------

나는 어디쯤이던가? 장자의 고사는 분명하면서 명쾌하다.
무언가 빈듯 하면서도 새는 곳이 없는 세상의 진리를 이야기 한다.

단계2와 단계 3의 어디쯤에서 홀로 자라는 싸움닭과도 같다.

그 길의 고독함이야 말해서 무엇 할까?

가이드가 있어서 길이 있는 것도 아니고 스스로 알아서 모든 것을 만들어 가야 하는 길이다. 그 길은 때론 포장길이고 때론 비포장이다. 지금까지는 비포장이 더 많았던것 같다.

굴곡 많은 인생의 길을 걸으면서 삶은 예정된 무엇이 아닌 살아야 할 신비라는 점에 백퍼센트 동감 한다.


기다릴줄 아는 왕과 시기의 적절성과 훈련을 시킬 수 있는 기성자의 조합. 그 둘의 조합에서 싸움닭은 나무로 만든 닭이 되어 간다. 스스로를 준비하고 스스로를 다독이며 스스로가 준비된자. 자연이란 말 자체가 스스로 그러한 것이 아니던가.

단계 1은 확실하게 벗어났지만 아직도 걸어야 할 길들은 많이 남았다. 스스로 그러할 때까지 말 그대로 자연인이 될 수 있을때까지 노력해 보고 세상을 관찰하며 흐름을 볼 수 있어야 하겠다.

이번에 준비된 서비스들은 시류에 편승 할 것이다. 오랜기간 이때가 반드시 올 것이라 여기며 준비한 것들이다. 그 준비 단계가 어떠 했는지, 또 시의 적절한지는 세상에서 평가를 받게 될 것이다.

- 바다란 세상 가장 낮은 곳의 또 다른 이름 

 

Posted by 바다란

보안전문가와 보안관리자의 차이와 구분에 대해

 

 

안녕하세요. 바다란입니다.

 

일전에 보안전문가에 대해서 한번 써보기로 했었는데 생각해 보니 범위도 매우 넓고 세부기술 단위도 많은 문제가 있었습니다. 그리고 보안이라는 부분이 모든 IT 관련된 기술 부분과 연관되다 보니 적용의 범위와 산업의 범위를 어디까지로 두어야 할지 경계가 모호하여 적지 못한 적이 있습니다.

오늘은 IT서비스 부분에 대해 전체의 범주는 아니지만 많은 부분 포함이 되는 범위 안에서 보안전문가와 보안관리자에 대해 써보도록 하겠습니다.

 

보안전문가와 보안관리자에 대해서 상당히 애매하게 접근을 하고는 합니다. 그러나 일반적으로 알려진 상식으로 구분을 해보면 보안전문가는 보안 관련된 기술을 깊이 있게 이해하고 있고 실제 적용이 가능한 상태로 만들 능력을 지니고 있는 자를 의미합니다. 보안관리자는 보안정책에 대한 집행과 이행 , 시스템에 대한 관리 등등 다양한 부분을 책임지고 있는 자라고 할 수 있습니다.

전문가는 기술에 대한 전문가이고 관리자는 관리능력과 책임을 지닌 담당자라고 일반 경계를 그을 수 있을 것 같습니다. 보안전문가와 보안관리자는 Specialist Generalist라고 볼 수 있으며 일반 기업에서는 보안관리자는 Generalist여도 되나 IT서비스를 주된 업종으로 삼는 곳에서는 특정 부분[기술적인 부분]에서 Special한 능력을 일정수준이상 보유한 Generalist가 보안관리자라고 할 수 있습니다. 세부적인 기술에도 익숙하고 전체적인 부분에 대해서도 이해가 가능하며 책임의식이 있는 부류를 보안관리자라 칭할 수 있을 것입니다. 보안관리자는 또 두 가지 큰 부류로 나눌 수 있습니다. Manager Officer의 차이점이라고 할 수 있는데 후반부에 기술 하도록 하겠습니다. Security Manager의 속성에는 지켜야 할 대상에 따라 두 가지 부류로 나눌 수 있습니다. 고정 자산에 대한 보호를 위한 정책적인 보안관리자와 서비스에 대한 보호를 위한 Special Security Manager로 나눌 수 있습니다. 지켜야 할 대상이 무엇인가에 따라 부류가 달라진다고 보면 됩니다. General Security Manager Special Security Manager에 대한 차이는 보안관리자 부분에서 다루도록 하겠습니다.

 

IT 서비스를 구성하는 요소는 시스템 , 네트워크 , 서비스로 한정할 수 있습니다. 시스템과 네트워크는 이미 기본으로 갖추어야 하는 능력이며 서비스 [  , 게임 , Application 등등 ]에 대한 능력은 새롭게 강조되고 요구되는 능력입니다. 사실상 가장 중요하고 IT서비스에 막대한 영향을 미칠 수 있는 부분이기도 합니다. Web 2.0에서 사용자와의 인터페이스가 가장 중요한 부분인 IT 서비스 부분에서는 서비스에 대한 보안기술 능력은 더욱 중요한 부분이 됩니다. 범위를 한정하여 IT 서비스를 주된 업종으로 삼고 있는 업계에 한정하여 보안전문가가 갖추어야 할 요건은 다음과 같습니다.

 

보안전문가 [ IT Service 부분]

 

해커의 길에 유사한 내용들이 포함 되어 있습니다.

해커의 길 I : http://p4ssion.com/233

해커의 길 II: http://p4ssion.com/228

 

-         네트워크 보안 기술 : 네트워크 분야의 기본적인 보안 구성에 대한 이해가 가능하며 네트워크 구성도에 대한 이해가 명확해야 합니다. 취약지점과 보완해야 될 부분에 대해서 정확하게 지적할 수 있을 정도의 능력이 요구 됩니다. 또한 네트워크 보안장비에 대한 기본 이해도 충분해야만 합니다.

 

-         시스템 보안 기술:  각 서비스 하위 단위를 구성하고 있는 물리적인 단위인 각 개별 시스템 및 운영체제들에 대한 이해도가 충분하게 높아야 됩니다. 운영체제의 종류도 여러 가지가 있지만 대체로 *BSD 계열과 Windows 계열에 대한 충분한 이해와 일반 운영인력들 보다 나은 능력을 보유하여야만 됩니다.

 

-         Application 보안기술: 다양한 부분이 있습니다만 만들어진 부분에 대한 보안요소를 강조하는 의미에서 Web , Database에 대한 보안 기술과 구성요소에 대한 이해가 되어야만 합니다. Game의 경우에는 게임 내에서 발생하는 Abusing에 대한 분석능력도 충분하여야 하며 Service의 경우에는 Service에 대한 Abusing 대응과 분석이 가능한 능력이 있어야만 합니다. 이 부분에서 다양한 요소기술이 요구 됩니다.

 

n         Programming 능력: 개발이 가능한 능력이 있어야만 본질적인 보안상의 문제 이해와 지적이 가능합니다.

 

n         구조에 대한 이해: 오랜 시간이 소요되지만 서비스의 구성과 구조, Process에 대한 이해가 있어야만 게임이든 서비스든 Abusing에 대한 분석과 대응이 가능합니다.

 

n          Application [ 상용 또는 자체개발 ] 보안 취약성의 동향과 흐름에 대해 신속한 정보 수집과 전파 , 가공 능력을 지녀야만 합니다.

 

n         Reverse Engineering : 현상에 대한 분석을 위해 Binary 분석 능력을 갖추고 있어야 하며 최소한 이해는 할 정도는 되어야만 됩니다. Game의 분석을 위해서는 Binary 분석 및 Reverse Engineering 능력은 필수적인 부분입니다. 물론 어셈블리에 대한 이해도도 충분한 수준 이여야 겠죠?

 

-         Penetration Test 능력: 일반적으로 모의해킹이라고 부릅니다. 시스템 / 네트워크/ Application을 총체적으로 이해하는 상황에서 각 분야별로 침입을 시도합니다. 현재에는 시스템 및 네트워크 부분에 대해서는 상당부분 강화가 많이 되고 차단이 되는 상태라 주된 초기 침입지점은 Web을 통한 침입지점이 많습니다만.. 침입 이후에 진단되는 부분은 시스템/ 네트워크 /Application 영역을 막론하고 모두 해당이 되므로 모든 부분에 대한 능력을 보유하고 있어야 됩니다. 최소한 어느 곳에 어떤 정보가 있고 이런 유형에는 어떤 문제가 있다라는 Feeling이라도 지니고 있어야 됩니다.

 

간략하게 살펴보면 나열된 유형의 지식이 존재하여야만 됩니다. 물론 이상적인 경우입니다. 최소한 언급한 네 가지 기술에서 2가지는 필수이고 다른 두 가지는 중급 이상의 능력을 지녀야만 어느 곳에서도 역량 발휘를 할 수 있습니다.

 

필수는 시스템/네트워크 보안기술이며 Application 보안기술과 Penetration Test 의 경우 중급 이상의 능력을 보유하여야만 합니다. 시스템/네트워크 보안 기술만 보유하여도 충분한 기술이라 할 수 있지만 장기적인 안정성은 부족하며 현재의 공격기술 발전상황을 따라 갈 수 없는 상황이라 할 수 있습니다.

모의해킹과 Application 보안 기술 각각만 하여도 충분히 인정 받을 수 있으나 장기적으로는 세부 기술에 대한 이해와 범위를 확대 하고 끊임없이 노력하여야만 장기적인 발전 통로를 확보 할 수 있습니다. 작금의 국내 보안인력들은 인력풀은 매우 협소하나 충분한 역량 발휘가 가능한 인력들이 다수 있다고 볼 수 있으며 각 세부부분에 너무 치중하여 전체적인 균형이 부족한 부분이 작은 흠이라고 봅니다. [ 물론 제가 이런 말을 할 입장은 아닙니다만 ^^ ; 사견이므로  용서가 되리라 봅니다.]

 

 

보안관리자 [Security Manager]

 

보안관리자라는 용어에는 앞서 서두에서 GSM[General Security Manager] SSM[Special Security Manager]라고 구분을 지을 수 있다고 하였습니다. 대상이 무엇이냐에 따라 달라집니다만.. General Security Manager의 구성요소는 일반적으로 많이 아시는 자격증을 생각 하시면 됩니다. CISA , CISSP등과 같은 유형은 보안의 폭넓은 부분을 다루고 있으며 깊이보다는 넓이에 치중을 하고 있습니다. 물론 물리적인 보안 부분도 넓게 다루고 있습니다. 지켜야 할 대상의 범주에 따라 구분을 하시면 됩니다. 서비스의 제공이 아닌 제품의 제조 또는 연구결과물에 대한 보호가 필요한 기업이나 굴뚝형 기업[지켜야 할 그 무엇이 있는 기업? ]의 경우 GSM[ General Security Manager 이후 약어로 GSM이라 칭함]의 역할이 필요합니다. 물리적인 보안 조치 및 정책적인 보호 이슈 등에 대해서 대비를 하고 준비를 하면 일정 수준 이상의 보안 대응이 가능합니다. 물론 일부 IT 관련된 보호 대책도 논의가 되고 있으나 그다지 특화된 서비스라 보기는 어렵습니다.

 

 

GSM[General Security Manager]

 

상당히 폭넓은 분야에 대한 상대적으로 가벼운 지식[?]이 필요합니다. 그 동안의 ISO 인증이나 정통부의 인증 부분도 유사유형이라고 볼 수 있으며 이런 인증들이 IT서비스의 위험을 막을 수는 없습니다. 그러나 최소한의 대응과 준비는 할 수 있게 해준다는 점에서 의의를 찾을 수 있습니다. 외부와의 접촉 통로가 물리적인 방식 외에는 없을 경우 이 부분에 대한 대책을 진행 하면 됩니다. 이 부분도 심도 있게 들어갈 경우에는 많은 고민이 필요합니다만 지켜야 할 그 무엇에 대한 관점에 따라 달라집니다. GSM이 관장하는 영역을 일반보안이라고 칭하기도 하고 산업보안이라고도 할 수 있을 것입니다. [ 대략적인 업무에 대해서는 알고 있으나 상세 발전 내용에 대해서는 자세히 알고 있지 못하므로 표현에 대해 넓은 양해를 바랍니다.]  물리적인 보안 및 PC 보안에 대한 부분과 통제 부분이 주된 부분이 되며  BCP [ Business Continuity Planning] 영역으로 넘어가 전사적인 비즈니스 연속성 관점에서 이루어 지기 위해서는 GSM 영역도 매우 사려 깊고 심도 있는 지식과 이해가 필요한 부분이 됩니다. 그러나 이해를 하기 위해서 필요한 지식 부분은 GSM 보다는 SSM 영역에서 BCP에 접근하는 것이 더욱 손쉬운 길이며 또한 BCP를 수행 하기 위해서는  보안전문가 영역의 수준을 이해 할 수 있어야 됩니다. 이제는 자연재해만이 재해가 아니며 대규모 해킹이나 지속적인 DDoS에 따른 장애도 BCP에 포함이 되어야 하기에 더욱 그렇습니다.

 

 

 

SSM [ Special Security Manager]

 

Special Security Manager라 불릴 수 있는 보안관리자는 이제 걸음마 단계라고 할 수 있습니다. 보안전문가 수준에서 올라 갈 수 있는 레벨이라고 보시면 됩니다. GSM이 다른 영역에서도 보다 손쉽게 초기에 진입을 할 수 있다면 SSM은 매우 어렵습니다. 상당한 기간의 보안전문가 수준을 거쳐야만 가능하기 때문입니다. GSM은 시장에 초기 진입은 쉬우나 발전 양상에 따라 매우 어려운 상황에 처할 수 있으며 중대 사고 발생시에 빠른 판단과 대응을 하지 못함에 따라 문제가 심각해 질 가능성이 있습니다.

 

보안전문가와 Special Security Manager와의 차이점은 몇 가지 안됩니다.

 

보안 전문가 영역에 대한 이해를 기본 바탕으로 하고 현재의 공격이나 위협의 흐름에 대한 인식과 배움을 게을리 하지 않은 SSM들에게 요구되는 것은 현상에 대한 판단능력과 위협에 대한 대응 능력이 가장 필요합니다.. 보안 전문가들이 개별 사안에 대해 문제점을 진단하고 위협을 나타낸 것을 가지고 전체 서비스 분야에서 이 문제가 어떤 파급효과를 가져 올 수 있고 향후에 어떤 위험이 될 수 있다는 것을 판단하고 과감하게 행동에 옮길 수 있어야만 SSM 이라 할 수 있습니다. 자리를 차지 하고 있다고 관리자가 아니며 판단과 책임이 동반됨을 인지하고 기민하게 움직이고 판단/ 대응 하는 능력.. 이런 능력을 지닌 자가 Special Security Manager라 할 수 있습니다.

 

한국의 IT서비스 역사는 일천합니다. 좋게 봐도 10년이 한계입니다.  IT서비스 역사에서 보안이라는 기술 부문은 매우 거친 환경에서 자생 할 수 밖에 없었고 더욱이 서비스에 대한 이해를 하고 있는 보안관리자는 거의 없다고 볼 수 있습니다. 이제서야 보안전문가들이 보안관리자 영역에 접근을 하고 있는 시점에서 보면 좀 더 많은 시간이 지나야 각 IT 서비스 부문에 대해 특화된 전문적인 보안관리자들을 만날 수 있을 것입니다.

 

대규모 해킹 사고가 나거나 백도어가 발견 되었을 때 취할 수 있는 행동에 따라 GSM SSM의 행동 동선과 사고의 동선도 다르며 손쉽게 구분이 될 수 있습니다. 실효적인 대응 조치가 무엇이고 당장 무엇을 해야만 하는지 또 보안대책의 이행에 따른 서비스의 장애가 충분히 감내 할만 하고 그만큼의 가치가 있는 작업인지에 대해서 기술적으로 판단을 하여야 합니다. 이런 판단은 SSM 만이 명쾌하게 내릴 수 있습니다. GSM의 경우는 IT 서비스 부문에서 현상에 대한 판단 능력과 위협에 대한 대응 능력이 느릴 수 밖에 없으며 서비스 부문에서의 대응에서 느림이라는 것은 종말과도 같은 결과를 가져오게 됩니다.

 

Global 부문에서도 마찬가지 입니다. IT 서비스를 하는 모든 기업들 [ 사용자와의 인터페이스를 중시하고 사업모델인 모든 기업]에게 SSM은 매우 필요한 존재이며 이런 존재는 보안전문가와 함께 전문가집단을 구성함으로써 완전함을 이룰 수 있습니다. 완벽하게 방어하는 것이 아닌 공격기술과의 격차를 최소화 하고 빠르게 대응하는 체제만이 향후의 IT 서비스에 긍정적인 역할을 할 수 있고 최선의 결과를 가져 올 수 있습니다

 

Web2.0이 화두입니다.

Web2.0의 기본 모토는 사용자와의 호흡입니다. 호흡을 하기 위한 도구로 Internet이 사용됩니다. Web2.0을 표방하는 기업은 이 호흡에서 이익을 창출합니다. 사람들은 모두 위험성은 외면한 채로 이득만을 바라봅니다. 그러나 이런 이득은 오래 지속 될 수 없습니다. 위험에 대한 대비가 없고 준비가 없는 상태에서는 기껏 이루어 놓은 것들 조차도 순식간에 사라질 수 밖에 없습니다

 

 

 

Security Manager Security Officer

 

보안관리자와 CSO [ Chief of Security Officer]의 차이는 경영을 보는 눈에 있습니다. 보안관리자는 현실에서의 최선을 추구합니다. 그러나 경영을 보는 관점에 따라 ..회사의 수익구조와 발전방향을 이해하고 있는 CSO에게서는 적절한 수준의 대응과 미래에 대한 준비를 고민 할 수 있습니다. 수익에 기여 할 수 있는 부분을 찾고 보안이라는 역할을 수익에 직접 기여 하고 가장 큰 위험요소를 전략적으로 선별하여 제거 하도록 하는 관점이 있습니다. 모든 부분에 힘을 쏟을 수 없으므로 중요한 부분을 찾아서 선별적으로 힘을 집중하여 대응을 하는 큰 그림을 그릴 수 있는 능력이 있습니다. 보안관리자와 CSO의 차이는  경영을 보는 관점과 수익창출에 기여 할 수 있는 부분을 가려내는 능력에 있다고 봅니다. 물론 CSO의 경우에도 기술적인 의견들에 대해서는 판단을 하여야만 합니다. 서비스의 중지라는 극단적인 선택을 택하면서도 이러한 선택이 장기적인 관점에서 이익임을 이해 할 수 있어야만 합니다. 서비스의 중지가 필요한 사안인지에 대한 판단능력을 CSO가 가지고 있어야만 함은 당연한 이야기입니다. 최소한 보안전문가와 보안관리자의 의견을 종합하여 분석하고 판단할 수 있는 능력은 있어야 CSO라 할 수 있을 것 같습니다.

 

Security Manager Security Officer는 아직 경험해 보지 못한 영역[물론 앞으로도.. ^^]입니다. 따라서 단편적으로 제가 보는 시각에서 논의 하는 것이 부적절 할 수 있습니다만 개인의 관점에서 바라본 입장임을 양해 바랍니다..

 

이상과 같이 Security Specialist  Manager [ GSM  SSM] , Officer에 대해서 나름대로 생각하는 부분을 정리해 보았습니다. 자판 가는 대로 쓰다 보니 어설픔이 곳곳에 배여 있습니다 GSM [ General Security Manager ]은 물리적인 보안 부분과 정책적인 보안 부분에 대한 집중도가 높습니다. SSM [ Special Security Manager]는 기술과 동향에 대한 이해도가 높으며 집중도가 높습니다. Specialist Generalist의 영역 관점에서 보았을 때 최소한 IT 서비스 보안이라는 부분에서는 Specialist가 더 중요한 존재입니다. SSM의 중요성이 GSM의 중요성 보다 더욱 크다는 이야기 입니다.

 

SSM은 키우기도 어렵고 서비스에 대한 이해도가 높아지기 위해서는 많은 시간이 필요한 부분입니다.보안전문가와 Special Security Manager의 조합은 변화무쌍한 Web 2.0 환경과 그 이상의 복잡한 환경에서 기업의 안정성을 보장하고 빠르게 변화하는 공격 기술로부터 IT서비스를 지킬 수 있는 조합이라 할 수 있습니다.

 

IT 서비스 측면에서 보안전문가와 보안관리자[SSM]의 필요성과 차이, 구분에 대해서 느끼는 대로  적어 보았습니다 마지막으로 국내의 IT서비스 환경에서도 보안전문가의 중요성과 각 서비스 환경에 능숙한Special Security Manager의 양성에도 많은 관심이 있었으면 합니다.

 

좋은 하루 되세요.   2007.3.6

 

* 사족으로 그 동안 여러 회사에서  Security manager들과 많은 일들을 해보았습니다만 보안은 행동하지 않으면 아무것도 없는 허상입니다. 말과 문서로 이루어 지는 것은 실제의 서비스에 많은 영향을 주지 못함은 당연한 사실입니다. 보안전문가의 말이 통하지 않고 판단이 늦어지는 문제는 IT서비스 부분에서 치명적인 결과를 가져온 것을 종종 보았습니다. ^^;

Posted by 바다란