온오프믹스 [질의문답] 정보보안전문가가 되려면[5월_주말] 참가후기

생각보다 많은 사람들이 왔고 생각보다 좁은 강의실에서 진행되었다.

개인 발전의 일환으로 이런저런 세미나를 많이 다녀야겠다는 생각이 요즘 들었다. 해커톤을 많이 다니던 선배에게서 감명을 받은 것도 있지만 내 스스로도 더이상 '어떻게든 되겠지'가 슬슬 약발(?)이 떨어져 가고 있다고 느꼈던 것도 동기 중에 하나였다. 그래서 온/오프라인 모임 플랫폼인 온오프믹스에서 관련 세미나를 찾아보던 중 오픈시큐어랩이 진행하는 질의문답 세미나를 보고 참가하게 되었다.

5월 11일에 개최된 이 세미나는 강사의 정보 전달과 간단한 질의문답의 형태로 이루어졌다. 오픈시큐어랩을 운영하고 있다고 밝힌 강사는 군부대 CERT부터 여러 기업에서 취약점 분석을 담당하는 경력자였다. 내가 바라던 모습일지도 모른다는 생각이 들었다.

따로 큰 질문은 준비해가지 않았고 대신 다른 사람들이 사전에 질의했던 내용들에 대한 응답과 강사가 설명하는 내용을 귀담아 듣는데에 중점을 두었다. 생각외로 여성들도 많았고 비전공자 역시 많았다. 그래서인지 비전공자의 관점에서도 어떻게 해야할지 로드맵을 잡아주던 강사의 모습을 볼 수 있었다.

세미나가 수도권에서 개최되다 보니 버스 시간 때문에 촉박하게 움직여서 질의문답이 끝나기도 전에 나올 수밖에 없었지만 나름대로 최대한 적고 느낀 내용을 기록해보려고 한다.

1.스크립트 키디?

스크립트 키디란 단어에 대한 강사의 의견은 결론적으로 부정적이었다. 그는 이를 칼을 만드는 대장장이와 칼을 가지고 싸우는 검사에 비유했는데 둘 중 누가 더 칼을 잘 다루냐는 것에 대한 답은 당연히 검사라고 하면서 보안에서의 개발이란 무엇인가에 대한 의견을 전달했다. 물론 완전히 개발이 필요없다는 것은 무리가 있지만 필요한 툴을 고급화시켜 사용하며 자신이 입맛대로 커스터마이징하고자 할 때 개발을 해도 적절하다고 하며 툴을 사용한다고 스크립트 키디라 뭉뚱그려 칭한다면 침투 테스트 툴을 사용하는 자신 역시 스크립트 키디라 불릴 것이라며 이 호칭은 잘못되었다는 의견을 말했다. 제일 중요한 것은 원하는 것을 만들어내는 것이 중요하다는 것이라 하였다.

2.보안의 기초 지식은 어떻게 얻는가?

강사는 비전공자의 경우 정보처리기능사 등의 자격증을 추천했고 전공자에게는 정보처리기사, 정보보안기사 필기 등을 공부하면서 여러 방면에서 지식을 습득하라고 조언하였다. 특히 단순히 통과를 위한 시험이 아닌 100점을 맞도록 공부하는 것을 권장하였다. 군무원 등에 지원할 때는 90점은 넘어야 한다는 식으로 비유를 하였는데 이때 유의할 것이 하나 있다고 하였다. 만약 자신이 스펙을 쌓고 싶다면 정보보안기사 실기를 따고 기술력을 중시한다면 자신만의 보안관련 전문 지식을 함양하는 포트폴리오를 제작하라고 하였다. 이 둘을 모두 챙기려면 이도저도 되지 않기 때문에 무리가 있을 것이라 하였다.

3.추천 도서?

추천 도서는 나도 오픈채팅방이나 여러 커뮤니티를 돌아다니다보니 많이 본 책들을 주로 추천하였는데, 몇 가지만 나열해보자면 다음과 같다.

• 웹 모의해킹 & 취약점 진단 가이드 - 절판

• 리버싱 핵심원리

• CTF 정보보안 콘테스트 챌린지북

• 안드로이드 앱 취약점 진단

4.진로?

진로에도 라인이 갈리는데 쉽게 설명하자면 크게 '해커'와 '정보보안전문가'로 나눌 수 있다.
전자는 버그헌팅, 포너블 같은 시스템 해킹이고 후자는 안랩, 인포섹의 취약점 분석, 컨설팅에 속한다고 하는데 이 중간쯤에 있는게 모의해킹이라고 하였다. 실제로 후자에서 모의침투를 실시할 때는 포너블 같은 일은 하지 않지만 전자의 경우 해킹방어대회 등에 사용하는 경우가 있다고 한다.

기술적인 관점에서 볼 때 정보보안 전문가는 다음과 같은 일을 한다고 할 수 있다.

보안관제?

XSS, SQL Injection 등이 들어오면 IDS, IPS, 웹방화벽 등에서 이를 패턴 기반으로 탐지하고 알려준다(패턴이 바뀌면 뚫릴 수도 있다는 것을 의미한다). 보안관제는 이를 얼마나 심각한지 평가하고 영향도 평가(테스트인지 실제 공격인지)를 통해 CERT에 전달하는 등의 역할을 수행한다. 이때 단순 관제(보고~침해대응)는 취약점 점검, 악성코드 분석과는 구분되어진다.

만약 본사와 근무지가 다른 형태의 경우 관제센터에서 뽑아가는 형식인데 자신이 스킬업하고자 하는 방향과 좀 다를 수도 있다. 어떤 경우 기업에서 관제센터에게 권한을 주지 않아서 변형된 패턴으로 들어온 공격을 패턴에 추가시키지도 못하는 경우도 있었다고 한다. 또한 경력 인정이 안되거나 배울 수 있는 내용이 별로 없을수도 있다고 하였다. 물론 이것은 자기 공부하기 나름이지만 환경이 환경이니만큼 무시할 수 없다는 게 강사의 설명이었다. 하지만 네트워크 통신이 오가는 것을 직접 보기 때문에 네트워크의 차단정책 등을 인지하여 반대의 경우에서 도움이 되는 경우가 종종 있다고 한다.

그래서인지 강사는 대학교 인턴을 관제센터로 가보는 것을 추천하였다. 학교랑 협약(MOU 체결)이 된 곳이나 사이버원, 이글루, 윈스, 한국통신인터넷기술 등 다양한 기업에 관심을 가져보도록 하자.

CERT?

CERT에서는 침해대응, 취약점 점검, 악성코드 분석 등을 수행한다. 하지만 APT 솔루션(FireEye 등)이 악성코드 분석을 자동으로 수행하고 알려주기 때문에 추가적인 분석이 어려운 경우가 많고 처리해야 할 이벤트가 많아진다면 반복적인 업무로 빠질 가능성이 높다고 한다.
CERT도 다음과 같은 유형이 있다고 한다.

• 관제형

  취약점 분석보다는 관제에 더 비중이 실리는 유형으로 실력을 키우고 싶다면 피하는 것이 좋다고 하였다. 장비가 커버하지 못해서 웹 분야만 보는 경우가 많다고 함.

• 상주형

  같은 계열사에 위치한 그런 케이스에 속하는데 대형 회사에서 많이 보이며 관련 스킬을 많이 얻을 수 있어 신입사원에게 추천하는 유형이라고 한다.

• 컨설팅형

  한 회사에 1년 남짓하게 근무하면서 여러 회사를 돌아다니는 유형으로 여러 회사를 만나기 때문에 많은 정보를 얻고 안목을 높일 수가 있다고 한다

  그렇기 때문에 강사는 상주형->컨설팅형->더 큰 회사로 이직하는 로드맵을 추천하였다.

또한 취약점 진단을 할 경우가 있다면 신규 서비스에 대해서 취약점 점검을 하는 것을 추천하였는데 당연하지만 크고 오래된 서비스는 이미 수많은 취약점 진단을 통해 대부분의 문제가 해결된 경우가 많아 취약점을 찾기가 어렵다. 물론 대형 서비스의 프로세스를 분석하면서 안목을 높일 수 있겠지만 신규 서비스에서 스킬업을 위한 발판을 마련하는 것 또한 추천하였다.

5.보안을 하려면 다 알아야 하나?

당연하지만 모든 운영체제, DB, 언어를 섭렵할 필요는 없고 또한 불가능하다. 하지만 분야별로 하나씩은 해보면서 다른 걸 배울 때 러닝커브를 줄이는 것이 좋을 것이라 하였다.

6.그 외

오픈시큐어랩에서는 매월 1일 교류행사를 열고 있으니 참가해보는 것이 좋고 꼭 이곳이 아니더라도 다양한 커뮤니티를 통해서 경험을 쌓는 것이 좋다. 강사는 만약 자신이 우리 나이(대학교 3, 4학년)로 돌아간다면 기술을 많이 쌓을 수 있는 회사를 목표로 해서 동아리활동, 보안연구회, 세미나발표, 웹&모바일 포트폴리오, C/S 포트폴리오, 책 저술, 취약점 분석 리스팅 등을 할 것이라 하였다. 물론 이를 전부 하는 것은 어렵겠지만 최소한 지향이라고 해봐야 하지 않겠는가 하는 생각이 들었다.

웹이나 모바일을 잘해서 포트폴리오를 작성하면 좋다. 실무경험이 있다면 필요 없지만...
작성할 때는 기업이 볼 만한 틀에 박힌 보고서 타입의 문서나 세세하게 설명하는 교육자료 타입의 문서로 작성할 수 있을 것이다.

 

 

사실 이 질의응답을 한번 들었다고 모든 궁금증이 풀리진 않았다. 그렇지만 모 교수님이 말씀하신 것처럼 변화가 없는 죽은 삶보다는 어제보다 조금이라도 발전하는 삶을 살아야겠다는 의지로 조금씩 전진할 것이다.