NSHC, 최신해킹 기술 따라잡기

Web Security Solution All Guide

Chapter 3. 웹 보안 전문가 노하우 훔쳐보기

항상 새로운 기술 습득위해 노력해야

필자는 보안전문 기업 NSHC의 보안컨설팅 팀에서 모의해킹과 취약성분석 업무를 맡고 있는 일반인에게는 해커로 더욱 잘 알려진 보안 컨설턴트이다. 하루가 다르게 바뀌어 가는 IT분야 중에서도 더욱 이슈가 되고 있는 정보보안이라는 분야에서 가장 중요한 것이 최신기술(기법)이 아닐까 생각한다. 항상 최신기술 습득에 귀를 열고 눈에 불을 켜고 공부를 해야 한다는 것이다.

분명 정보보안의 입문자나 취업 준비생들은 “시스템, 네트워크, 웹, 더 자세히 파고들면 끝도 없는 것 들을 어떻게 매일매일 공부를 한단 말이에요? 너무 힘든 거 아닌가요?”라는 의문을 가질 것이다. 이 질문에 나는 이렇게 대답을 해주고 싶다. “혼자서 들지 못하는 것을 언제든지 같이 들어줄 사람이 있다면, 그건 나의 힘이다.”

이 정보보안이라는 깊고 넓은 분야에서 혼자의 힘으로 모든 것을 헤쳐나가다는 것은 어렵다는 말과 동일하다. 또 방금 질문을 던졌던 이는 이렇게 말할 것이다. “저는 아는 사람도 없고 혼자 해야 할 것 같은데요?” 인맥도 중요하지만 어떠한 커뮤니티 속에서 하루를 보내느냐가 내일 이슈화될 취약점을 막느냐 못 막느냐와 흡사하다고 대답해주고 싶다. 자! 지금부터 보안 컨설턴트의 하루를 통해 최신 해킹기법과 대응법에 좀 더 발 빠르게 움직일 수 있도록 노하우를 습득했으면 한다.

아침에 출근하자마자 노트북에 전원을 키고 차 한 잔을 준비한다. 부팅이 완료된 것을 확인하고 한 시간 동안 커뮤니티 사이트를 순회하듯 방문하여 최신 게시물을 읽고 학습을 한다. 아래에 소개하는 커뮤니티는 가장 아끼는 정보보안 커뮤니티 사이트이다.

● 네이버 - SecurityPlus

정보보안업계에서 여기 모르면 간첩일 정도로 유명하다.

● 네이버 - 집중은 천재를 넘어선다!

아는 사람은 극소수지만 기술적으로는 뛰어나다.

● www.zone-h.kr

한국의 해킹당한 사이트들이 실시간으로 집계되는 곳이다.

● www.hackersnews.org

이곳은 수료한 회원들만 접근이 가능하고 정보공유 커뮤니티가 잘 형성되어 있다.

모의 해킹과 취약성 진단 수행, 보고서 작업 필수

그리고 나서는 점심식사 전까지 모의해킹과 취약성진단을 수행하거나 보고서 작업을 주로 한다. 이 때에도 노하우는 있다. 진단 시에 예전에 보이지 않았던 궁금한 점이나, 의문점은 메모를 하여 꼭 짚고 넘어가도록 해야 한다. 경험상으로도 지금 몰랐던 것은 나중에도 모르던 것이 다반사고 기초 공사가 탄탄해야 최신기술 또한 따라오기 때문이다. 메모를 한 것들은 점심시간을 이용해 스스로 학습을 통해 이해를 하고 시간이 걸리는 것들은 메신저에 접속중인 해당 분야 전문가들에게 자료를 요청하거나 짧은 강의를 듣는다. 물론 해당 분야 전문가들은 인맥이 필요한 경우이긴 하지만 열정만 있다면 인맥은 차곡차곡 쌓일 거라 믿는다.

점심 식사 후 오후 시간대에는 졸음이 오는 시간대이다. 30분 가량은 국내 해킹 그룹 홈페이지를 방문해서 업데이트된 기술문서가 있는지, 해킹대회가 있는지 정보를 탐색한다. 특히 자주 가보는 해킹그룹 홈페이지 들은 아래와 같다.

ⓔ http://www.wowhacker.org

ⓔ http://www.securityproof.org

ⓔ http://www.padocon.org

ⓔ http://www.hust.net

ⓔ http://www.plus.or.kr

요즘에는 Mass SQL Injection으로 떠들썩하다. 고객사측은 미리 대응을 한 탓에 피해가 없지만 다른 곳에서 부쩍 전화가 많이 온다. 이렇게 이슈화가 되는 최신기술들은 공부도 하고 공유도 할 수 있도록 문서화하는 습관도 중요하다. 물론 이번 Mass SQL injection도 미리 기술문서로 회사에서 문서를 만들었기에 고객사의 피해가 발생하지 않았고 회사 홈페이지의 방문자도 늘어났다. [자료가 필요한 사람은 회사 홈페이지에서 “Mass sql injection 공격기법과 대응법” 기술문서를 참고하면 된다.

오후 2시에는 오후 진단 시간이다. 진단 시간으로 정해진 17:30까지 집중해 임하는 시간이다. 물론 메모는 필수이다. 그리고 이 시간이 지나면 하루 일과를 마무리 하고 오늘 저녁에 있을 세미나의 위치를 파악한다. 바쁜 생활 속에서 세미나를 참석한다는 것은 쉬운 일이 아니다. 그렇지만 최신기술과 발맞춰 나가기 위해서는 세미나는 물론 스터디 그룹을 통해서 열정을 싹 틔워야 최신기술과 동행하는 보안관리자가 될 수 있을 거라 생각된다.

어느새 너무나 익숙해져 버린 나의 일과를 되짚어보니 그리 평범하지는 않은 것 같다. 자나 깨나 보안이다. 물론 좋아하지 않는 일이라면 불가능한 일상이다. 최신기술을 따라가는 것 또한 쉽지 않은 일이지만 꾸준히 이어갈 수 있는 ‘열정’이라는 엔진이 항상 끓어 넘치는 것이 급선무 인 것 같다.

Tip

1. 정보보안 커뮤니티 사이트를 뉴스 기사 보듯이 매일 아침 방문하라.

2. 하루 일과 중에 생긴 궁금증이나 의문점은 꼭 메모하라. 모르고 지나간 것은 꼭 다음에 당신의 발목을 붙잡는다.

3. 최신기술을 공부할 때 가장 좋은 방법은 문서화하여 공유&배포를 목적으로 작성하라. 다른 이들이 본다고 생각하면 얼렁뚱땅 공부 할 수 있겠는가?

4. 세미나는 한 달에 한 두 번씩은 있기 마련이다. 최대한 시간을 내어 참석한다. 스터디 그룹 활동도 예외일 수 없다.

5. 위의 것들이 익숙해질 때까지 지키고 또 지켜나간다.

[글·박용운 NSHC 보안컨설팅팀 컨설턴트(ywpark@nshc.net)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)