7월 6

1사분기의 디도스 공격, 숨으려 하지 않았다

1사분기의 디도스 공격, 숨으려 하지 않았다
      2018-07-05
 
보다 파괴적이고 시끄러워진 디도스…용량 커지고 시간 늘어나
가장 큰 공격은 12살짜리 청소년이 유튜브 보고 따라해 발생

[보안뉴스 문가용 기자] 디도스 공격은 살금살금 다가오지 않는다. 디도스 공격자들은 큰 목소리로 자신들의 존재감을 뚜렷하게 드러낸다. 이와 관련하여 최근 두 가지 보고서가 발표됐다. 디도스 공격자들의 목소리가 계속해서 커지고 있으며, 공격 지속 시간도 더 길어지고 있다는 위협적인 내용이다. 

[이미지 = iclickart]

먼저는 인증 업체 베리사인(Verisign)은 “2018 1사분기 디도스 트렌드 보고서(Q1 2018 DDoS Trends Report)”를 발표했다. 보안 업체 아카마이는 “2018 여름 인터넷/보안 현황(State of the Internet / Security Summer 2018)”이라는 보고서를 발표했다. 이 두 보고서를 함께 보면, 디도스 공격의 가장 최신 모습을 알 수 있게 된다.

일단 두 보고서 모두 올 1사분기에 발생했던 디도스 공격 중 가장 큰 것이 170 Gbps와 65 Mpps(초당 백만 패킷)라고 짚었다. 이 두 개의 공격은 ‘표적’과 ‘발생지’라는 측면에서 주의 깊게 살펴야 한다고 한다. 

먼저 이 공격의 표적은 기존 디도스 공격들의 경우와 달리, 단일 기업이나 개인이 아니었다. 인터넷의 /24 서브넷 전체를 노린 공격이었다. 이렇게 광범위한 표적을 대상으로, 그렇게까지 큰 공격을 감행했다는 것은 전 세계 웹사이트 및 서비스 중 상당수에 영향을 미쳤다는 이야기가 된다. 

게다가 아카마이는 이 공격을 실시한 것이 12살짜리 청소년이었다고 밝히고 있다. 유튜브에서 공격 원리를 배우고, 스팀이라는 온라인 게임 플랫폼과 IRC를 통해 공격을 실시했다고 한다. 10살이 갓 넘은 아이가, 유튜브를 통해 간단히 전 세계 인터넷을 공격할 수 있게 되었다는 것은 실로 충격적이다. 

아카마이의 수석 보안 관리자인 리사 비글(Lisa Beegle)은 “아이들이 IT와 해킹 기술에 노출되어 있어, 이전 세대보다 훨씬 빨리 기술을 익혀나간다”고 말한다. “또한 그 나이 때 아이들은 자기가 좋아하는 것에 얼마든지 시간을 투자합니다. 이 12살짜리 아이가 특별한 천재였을까요? 전혀 아닙니다. 그럼에도 그런 큰 일을 저지를 수 있었던 겁니다.”

이 디도스 공격은 멤캐시드(memcached) 서버를 활용해 발생했다. 이 때문에 피해자의 서브넷으로 되돌아간 응답의 용량은 요청의 그것보다 5만 1천배나 컸다. 멤캐시드는 최근 디도스 공격자들이 증폭에 애용하기 시작한 서버의 일종이다. 

하지만 베리사인은 “멤캐시드와 같은 새로운 공격법이 등장하긴 했어도 UDP 플러드가 가장 인기 높은 공격 방법임에는 변함이 없다”고 말한다. “1사분기에 발생한 디도스 공격의 절반이 UDP 플러드를 통해 발생했습니다. 그 다음 인기가 높은 건 TCP 공격입니다. 약 1/4의 공격이 이 유형이었습니다.”

공격의 성질 역시 변하고 있다. “작년만 해도 디도스 공격은 탐지망에 걸리지 않게, 살금살금, 보다 작은 공격으로 쪼개져서 들어왔습니다. 공격 지속 시간도 약 30초 정도였고요. 탐지와 대응을 어렵게 하는 게 특징이었죠. 그렇지만 지금은 공격 시간이 더 길고, 공격의 다이내믹도 공격이 지속되는 동안 계속해서 바뀝니다. 어떤 공격은 1주일 동안 지속되기도 했습니다.”

비글은 이 두 가지 유형 – 살금살금 들어오는 디도스와 성큼성큼 들어오는 디도스 – 이 당분간 공존할 것이라고 예상한다. “두 가지 공격의 효과가 다르기 때문에 공격자의 목적에 따라 왔다 갔다 할 겁니다. 또한 공격자마다 선호하는 것도 다르고요. 아마추어 해커들로부터 국가의 지원을 받는 해커들까지, 디도스는 기본 중의 기본 공격 기법으로 오랫동안 자리할 겁니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC

[출처] http://www.boannews.com/media/view.asp?idx=71047&mkind=1&kind=1#

92 total views, no views today

2월 23

[김민석의 Mr. 밀리터리] 가공할 북한 사이버 공격력, 한국은 기능부전

[김민석의 Mr. 밀리터리] 가공할 북한 사이버 공격력, 한국은 기능부전

[중앙일보] 입력 2018.02.23 00:17

북한의 사이버 공격능력은 세계를 위협할 정도로 심각한 수준인데 한국군의 사이버전 수준은 잰걸음이다. 북한은 6000명이나 되는 사이버전 인력으로 한국과 미국을 비롯해 전 세계를 상대로 정부·군대·에너지·금융과 관련된 정보와 돈을 탈취하고 있다. 사이버 전문가들은 북한이 핵이나 재래식 무기의 공격 앞서 사이버로 한국을 마비·파괴할 것이라고도 한다. 그러나 우리 군의 사이버전 대비태세는 말 그대로 엉망진창이다.

북한 사이버 공격이 전 세계 위협 중
남북대화 실패하면 공격 재개할 듯

한국 사이버사 600명, 북한 6000명
독일군의 사이버전력은 1만3500명

사이버 무기 개발 예산 제로
사이버 방위 법적 근거도 없어

미국의 민간 보안업체인 파이어아이와 크라우드스트라이크가 지난 20일 발표한 북한의 사이버 해킹은 가히 위협적이다. 파이어아이는 이날 공개한 보고서에서 북한은 라자루스(Lazarus)라고 알려진 해킹그룹에 미로·침묵·별똥·물수제비 등 4개의 천리마 조직을 두고 해킹을 통한 정보 수집, 네트워크 파괴, 금융 탈취 등을 해왔다는 것이다. 이 보안업체에 따르면 ‘APT 37’로 알려진 미로천리마는 정교하게 연결돼 있지 않은 컴퓨터 네트워크도 해킹해 정보를 빼낼 수 있다고 한다. 한국의 국방부, 방산업체와 인터넷쇼핑몰 등을 해킹한 조직으로 추정된다. 침묵천리마는 2014년 북한 김정은 노동당 위원장의 암살을 다룬 영화 ‘인터뷰’를 제작한 영화사 소니 픽처스를 해킹한 조직으로 지목됐으며. 별똥천리마는 지난해 방글라데시 은행에서 8100만 달러를 사이버 해킹으로 훔쳐갔고 한국의 암호화폐 거래소를 해킹해 암호코인을 탈취한 배후조직으로 보고 있다. 이와 관련 미 국가정보국(DNI) 댄 코트 국장은 지난달 13일 미 상원 정보위원회에서 “솔직히 미국이 (사이버 위협에) 공격받고 있다”며 북한에 대한 무거운 제재를 주장했다. 현재 남북이 평창올림픽을 계기로 진행 중인 대화가 파행으로 가거나 북한이 불리할 땐 한국에 “대규모 사이버 공격을 감행할 것”이라고 고려대 임종인 정보보호대학원장이 말했다.

[그래픽=박경민 기자 minn@joongang.co.kr]

[그래픽=박경민 기자 minn@joongang.co.kr]

이처럼 북한의 사이버 위협은 날로 증대되는데 한국군 사이버전 조직은 임무분담이 명확지 않고 기능도 떨어지는 것으로 드러났다. 지난해 국방부가 군 사이버전의 문제점을 조사한 결과다. 사이버전은 적의 사이버 네트워크를 파괴하거나 주요 정보를 해킹하는 공세적인 작전과 적의 사이버 공격을 방어하는 기능, 군 내부 네트워크를 관리하는 임무 등으로 구분된다. 이 가운데 핵심조직은 사이버작전이 주 임무인 사이버사령부다. 조사에 따르면 사이버사는 공세적인 사이버 작전보다는 방어와 보안에만 전념하고 있다는 것이다. 이렇다 보니 사이버사의 작전을 통제하는 합참의 사이버 작전과가 작전부서가 아닌 지원부서에 소속돼 있다. 군의 무기 대부분이 컴퓨터에 연동돼 있고 언제든 사이버 공격을 받을 수 있는데도 사이버전을 일반 군사작전보다 낮게 보는 것이다. 사이버사를 감독하는 국방부 부서도 작전과 무관한 정보화기획관이 맡고 있다. 정보화기획관은 군의 정보체계 네트워크를 유지·관리하는 부서다. 당초 국방부 정책실이 사이버사를 감독해왔다. 그런데 2013년 사이버 댓글사건으로 사이버사가 부담스러운 존재가 되자 정보화기획관실로 그 감독임무를 떠넘긴 것이다. 댓글사건으로 사이버사의 기능이 거의 와해된 지경이다.
 
이렇다 보니 1200명으로 늘리기로 한 사이버사 인력이 여전히 600명에 미달하고 있다. 현재 인가된 정원에 100명이나 비어있다. 사이버사에서 북한을 담당하는 인력은 주로 부사관이 맡고 있다. 고도의 지식과 창의력이 필요한 사이버전에서는 한계가 있을 수밖에 없다. 독일은 사이버전의 중요성에 따라 2023년까지 독일군 병력의 7.5%에 해당하는 1만3500명으로 구성된 사이버군을 창설할 계획이다. 북한도 평양의 지휘자동화대학(옛 미림대학)에서 최우수 인력을 양성해 사이버전에 투입하고 있다. 이뿐만이 아니다. 공세적인 사이버작전을 펼치려면 사이버 공격무기 개발이 필수적인데 예산 뒷받침이 전혀 없다. 국방부가 적을 사이버로 공격할 수 있는 악성코드 등 사이버무기를 개발하기 위해 2016년 국방과학연구소 내에 국방사이버연구센터를 설치했지만 첫해에만 예산 55억원을 배정했다. 그 이후론 예산 반영을 일절 하지 않고 있다. 국방부 관계자에 따르면 현재 연구센터에 소속된 최고급 인력이 손을 놓고 있다고 한다. 이 연구센터의 인력 가운데는 전 세계 해킹대회에서 우승한 인재들도 있다. 반면 북한은 은행이나 암호화폐 거래소 해킹에 필요한 악성코드를 북한군 정찰총국에서 직접 개발해 실제 작전에 적용하고 있다고 한다. 미국은 트럼프 정부 들어 사이버전에 연간 80억 달러를 투입하고 있다. 냉전 시절 핵무기 예산에 버금가는 수준이다.
 
육·해·공군에서 사이버 방호를 맡고 있는 사이버방호센터는 조직 구성이 제각각이다. 가령 육군 사이버방호센터는 계획운영실·사이버상황실·사이버대응실로 구성돼 있는데 해군은 분석평가과·사이버방어과·통합관제과·기술개발과로 이뤄져 있다. 공군은 계획운영과·정보보호대·분석평가대·기술통제대 식이다. 각 군별로 조직 구성은 물론, 임무도 다르다. 특히 육군은 사이버방호를 위한 개발인력은 전혀 없고 해군은 대위 1명뿐이다. 사이버 기술을 연구하는 인력은 최고의 기술력을 갖춰야 하는데도 육군은 경험과 지식이 떨어지는 중위와 상사 등 3명으로 구성돼 있다. 해군도 소프트웨어가 대부분을 차지하는 이지스함을 운영하면서도 사이버 연구인력은 중위 등 딱 2명뿐이다. 북한이 전투 직전에 사이버를 통해 이지스함을 해킹하면 이지스함에 있는 미사일은 제 마음대로 날아가고 레이더는 마비될 수 있다. 해군 예비역 장성에 따르면 이지스함엔 악성코드 투성이라고 한다.
 
군 사이버 대처기능의 문제점은 이게 다가 아니다. 군 사이버체계의 기반인 지휘·통신체계를 관리하는 국군통신사령부의 사이버 침해사고대응팀(CERT)은 인터넷·국방망·합동연합지휘통제체계 등 각 분야에 1명씩의 인력만 배정돼 있다. 사이버 침해는 언제든 발생할 수 있는데 CERT팀의 24시간 근무는 불가능한 것이다. 모든 부대와 군 기관도 비슷한 실정이다. 24시간 사이버 관제를 하는 곳은 21%에 불과하다. 국군통신사령부의 인력은 4000명에 가깝지만 사이버를 전공한 인력은 거의 없다. 이들 중 90%가 사이버와 무관한 통신이나 행정직이다. 사이버 공간이 육·해·공과 별도로 존재함에도 군이 사이버 공간을 방위하기 위한 법적 근거가 없는 실태다. 임종인 원장은 “통합방위법에 사이버 공간을 추가해야 한다”고 말했다. 현재 국방부는 사이버 댓글 사건 수사에 몸살을 앓고 있고 여전히 그 후유증에서 헤어나지 못하고 있다. 그러나 사이버 공간은 군사·안보 차원에서 지켜야 하는 새로운 영역이고 북한의 공격이 예상되는 만큼 강력한 사이버 전투력을 갖춰야 한다.
 
김민석 군사안보연구소장 겸 논설위원 

[출처] http://news.joins.com/article/22390232?cloc=joongang|home|newslist1#none

374 total views, no views today

2월 21

대북제재로 더 과감해지는 北 해킹…美 “전세계가 해킹 표적”

대북제재로 더 과감해지는 北 해킹…美 “전세계가 해킹 표적”

   남민우 기자

입력 : 2018.02.21 14:54

 

미국 사이버보안 기업 파이어아이(Fire eye)는 20일(현지 시각) 북한의 사이버 공격 능력이 전 세계적인 위협으로 부상했다는 경고를 담은 보고서를 발표했다.

북한의 해킹 그룹은 그동안 주로 한국을 상대로 정보를 빼내고 사이버 공격을 하는 데 초점을 맞춘 것으로 알려져왔다. 그러나 최근엔 한국은 물론, 전 세계에 강력한 위협을 가할 존재로 진화했다는 게 파이어아이가 이번 보고서에서 강조한 대목이다.

파이어아이는 이 보고서에서 북한 정부와 연계된 것으로 보이는 해킹 집단 ‘APT37’의 활동을 상세하게 소개했다. ‘APT37’는 지난 해 5월 전세계 네트워크를 마비시킨 워너크라이(Wannacry) 사이버 공격을 감행한 다른 북한 해킹조직과 달리 외부 노출을 최대한 피하며 북한 정부의 임무를 수행하는 게 특징이다.

파이어아이에 따르면, ‘APT37’은 2012년 무렵 결성된 된 것으로 추정되며, ‘래저러스(Lazarus)’라는 이름으로 모호하게 불려온 북한 해킹 그룹의 하위 조직이다.

파이어아이가 ‘APT37’의 해킹 활동에 주목하는 것은 이들의 간첩 활동이 ‘심각한 위협’이 될 만큼 해킹 기술이 정교해지고 활발해졌다는 판단에서다. 보안업계에 따르면, APT37은 북한에 근거지를 두고 있으며 북한 정부의 지시에 따라 활동 중이다. 이들이 사용하는 악성 프로그램은 매우 정교해 인터넷에 연결되지 않은 네트워크에서도 문서를 훔쳐갈 수 있는 것으로 알려졌다. 파이어아이가 분석한 APT37의 특징을 정리했다.

① 日 정부기관 대북 제재 정보도 노렸다 

그동안 북한의 주요 해킹 표적은 국내 정부기관이었던 것으로 알려졌다. APT37 역시 2014년부터 지난해 초까지는 주로 한국 내 정부 기관, 방위산업업체, 언론기관, 인권단체 등을 대상으로 사이버 공격과 해킹을 여러 차례 시도했다.

그러나 북한의 핵·미사일 개발에 따른 대북 제재 강화로 인해 최근엔 해킹 공격 대상이 대폭 넓어지고 있다는 게 파이어아이의 분석이다. 국제사회에서의 입지가 좁아지면서 불법 활동에 대한 의존도가 더 커졌다는 것이다.

최근엔 UN 제재를 다루는 일본의 기관과 단체에서 기밀 정보를 빼오거나 사이버 공격을 감행한 것으로 분석된다. 또한 북한 인권 문제와 관련된 국내외 언론인도 공격 대상에 포함된 것으로 나타났다. 파이어아이는 “북한에 군사·전략·경제 이익을 가져다줄 정보를 은밀하게 빼오는 게 이 조직의 주요 목표”라고 분석했다.

② 항공·통신·금융·자동차·헬스케어 등 산업 정보도 타깃 

파이어아이는 북한 해킹 그룹이 정부 기관뿐 아니라 항공, 자동차, 금융, 군수 등 산업 정보도 집중적으로 노린 것으로 추정된다. LG, 현대, 삼성 등 국내 대기업은 물론, 북한과 거래하는 해외 기업도 주요 해킹 표적이었다.

오라스컴의 나기브 사위리스 회장(중앙)이 2011년 북한 방문 시 찍은 사진. /AP통신

파이어아이는 이집트 통신회사 오라스컴을 대표 해킹 사례로 꼽았다. 오라스컴은 북한에서 이동통신사업 독점 사업권을 가진 회사다. 파이어아이는 지난해 오라스컴과 북한 당국 간 협상이 삐걱거릴 때, APT37이 오라스컴의 내부 정보를 빼내와 협상에 유리한 정보를 줬다고 주장했다. 이 과정에서 거래처나 지인(知人)으로 가장해 가짜 이메일을 보내는 스피어피싱(spear phising) 수법 등이 활용된 것으로 분석된다.

③ 남북통일 주제 행사 안내문을 미끼로 활용 

북한 해커 그룹이 해킹 프로그램을 심어둔 문서 파일의 한 예 /파이어아이                         
APT37가 국내에서 해킹을 시도할 땐 주로 남북 통일 주제 행사 안내문 등을 활용해 정보를 빼냈다. 주로 한글 파일(hwp)에 해킹 프로그램을 심어, 쥐도 새도 모르게 컴퓨터 내 정보를 빼내가는 방식이다. 인터넷 동영상을 재생할 때 쓰이는 미국 어도비사의 플래시 파일 등도 해킹 시도 시 자주 활용됐다. 프로그램의 허점을
파고들기 쉽다는 이유에서다.APT37은 이메일 해킹 활동 초반엔 주로 다음 한메일의 이메일 주소인 @hanmail.net과 비슷한 @hmamail.com을 이메일 주소로 썼다고 한다. 그러다가 2015년 중반 무렵부터는 @yandex.com, @india.com 등의 메일 주소로 바꿨다가 최근엔 여러 변형 형태의 이메일 주소를 활용한 것으로 알려졌다.

출처 : http://news.chosun.com/site/data/html_dir/2018/02/21/2018022101875.html

236 total views, no views today

11월 8

산업보안관리사 요약집입니다. (제가 작년 시험볼때 요약했던것)

산업보안관리사 요약집입니다. (제가 작년 시험볼때 요약했던것)

작년도 1회 산업보안관리사 시험에 합격했는데요..

짧은 기간 준비하면서  정리를 해본 것입니다.

다섯번째 과목인 지식경영파트에선  책에 없는 내역이 대거 나와서.. 아주 당황했었죠..

급여에 관한 부분들이 많이 나왔었네요..

아래 정리본은 산업보안관리사 수험서에 나온 내용을 요약한 것입니다.

내용이 부족한 부분이 있더라도 양해해주세요..

이렇게 요약한게 있어야 시험장에 좀 일찍 도착해서 많은 내용을 빨리 리뷰할 수 있더라구요.

ISE1.관리적보안.pdf

ISE2물리적보안.pdf

ISE3기술적보안.pdf

ISE4보안사고대응.pdf

ISE5지식경영.pdf

[출처] http://cafe.daum.net/krcso/Lb6B/1?listURI=%2Fkrcso%2F_rec

1,326 total views, no views today

11월 4

[카드뉴스] 알파고가 다가 아니다! 인공지능의 대결 6

[카드뉴스] 알파고가 다가 아니다! 인공지능의 대결 6

영화에서나 보던 인간과 기계의 대결, 또는 기계끼리의 대결이 어느새 현실이 되었습니다.
최근 이런 대결이 더 많아지고 있습니다. 바둑, 체스, 스타크래프트, 가위바위보, 재즈, 월드컵까지! 다양한 인공지능의 대결을 소개합니다.

△‘이세돌 9단 vs 알파고’ 바둑 대결
구글 딥마인드 챌린지 매치가 2016년 3월 9일부터 15일까지 총 5회에 걸쳐 진행되었습니다.
최고의 바둑 인공지능 프로그램과 최고의 인간 바둑 실력자의 대결로 전 세계의 주목을 받았습니다. 최종 결과는 알파고가 4승 1패로 승리했죠. 대국 전 구글 CEO인 에릭 슈미트는 “누가 이기든 인류의 승리”라고 했습니다.
알파고의 승리, 인류의 승리일까요?

△‘세계 체스 챔피언 가리 카스파로프 vs IBM 슈퍼컴퓨터‘ 체스 대결
사실 인간과 기계의 대결은 바둑이 처음이 아니었습니다. 1989년, 세계 체스 챔피언인 가리 카스퍼로프와 IBM의 딥쏘트(Deep Thought)의 체스 경기가 있었고, 결과는 카스퍼로프의 완승이었습니다. 이에 IBM은 1996년 더 진화된 딥블루(Deep Blue), 그리고 1997년 디퍼블루(Deeper Blue)를 선보였죠. 결국 디퍼블루는 2승 3무 1패로 승리를 거둬 세계 챔피언을 이긴 기계로 기록되었습니다.

△‘인간 vs 인공지능’ 스타크래프트 대결
지난 10월 31일, 세종대에서는 인간과 AI의 스타크래프트 대결이 있었습니다. 인간 선수는 재학생 2명과 프로그래머 송병구, AI 선수는 세종대에서 개발한 MJ봇을 비롯해 호주의 ZZZK, 노르웨이의 TSCMOO 등이 출전했습니다. 결과는 재학생 일반인 선수는 모두 패했고, 송병구 프로게이머는 완승을 거뒀습니다. 송병구 선수는 “처음에는 방심했는데 실제로 경기를 치러보니 실제 인간과 유사한 모습을 보였다. 다만, 섬세한 부분이 아직 부족했다”고 소감을 밝혔습니다.

△‘인간 vs 인공지능’ 가위바위보 대회
AI 기술 기반 스타트업에서 인간과 인공지능의 가위바위보 대회를 개최합니다. 인간 참가자와 인공지능 개발팀 누구든 참여할 수 있으며, 인간과 인공지능 모두 예선을 거쳐 선발된 최후의 1인(1팀)이 결승을 치르는 형태입니다. 해당 스타트업은 “이번 대회를 통해 일반인들이 보다 쉽고, 재미있게 인공지능에 대해 이해했으면 한다”고 설명했습니다.

△‘인간 vs 인공지능’ 재즈 연주 대결
지난 자라섬국제재즈페스티벌에서는 인간과 인공지능의 재즈 대결이 있었습니다. 블라인드 무대에서 AI와 인간이 8마디씩 곡을 교차로 들려주고 관객이 알아맞히는 방식이었습니다. 신경과 근육의 미세한 움직임, 즉 감성의 차이로 표현되는 연주 부분에선 AI 기술이 미완성 단계라고 보고 있다고 합니다. 그럼에도 AI가 지배할 미래 음악 산업에 대해서는 우려를 표했습니다.

△‘인공지능 vs 인공지능’ 월드컵
KAIST에서는 인공지능이 구현하는 AI 월드컵 대회를 개최하며 지난 2일 시범경기를 일반인에게 공개했습니다. 경기는 기존 축구와 같이 상대 팀 골대에 골을 넣어 득점이 많은 팀이 이기는 방식으로 치러집니다. 또한, 축구뿐 아니라 경기 영상을 분석하고 해설하는 AI 경기 해설과, 결과를 기사로 작성하는 AI 기자도 선보였습니다.
인공지능 계의 메시는 누구(?)일까요?
[유수현 기자(boan4@boannews.com)]

[출처] http://www.boannews.com/media/view.asp?idx=57854&mkind=1&kind=1

538 total views, no views today

4월 27

사이버 위협 첩보 전문가가 되는 세 가지 방법

사이버 위협 첩보 전문가가 되는 세 가지 방법

      2017-04-27
위협 첩보 전문가가 되고 싶은가?
쉽지 않은 길이지만 세 가지 방법이 있다

[보안뉴스 오다인 기자] 사이버보안 전문가가 부족하다는 건 새로울 것 없는 사실이지만, 수요는 계속해서 커지고 있다. 미국 노동통계국에 따르면, 2018년까지 사이버보안 전문가에 대한 수요는 지금보다 58% 커질 것으로 보인다. 여러 조직과 정부 단체들은 앞으로도 계속 대규모 침해에 희생될 것이다. 정보보안 전문가에 대한 수요가 아주 확실할지라도 어떻게 그런 전문가가 될 수 있는지에 대한 커리어 로드맵은 불분명하다.

보다 많은 전문가들이 시급히 필요한 상황임에도 사이버보안 전문가 양성에 관한 교육적 선택지나 공식적인 경력을 쌓을 수 있는 길들은 제한돼있다. 운 좋은 몇 사람들의 경우에야 기존 IT 일을 하다가 사이버보안에서 자기 자리를 찾기도 하지만, 너무도 많은 사람들이 헤매고 있는 것이 현실이다. 정보보안 전문가가 되기를 꿈꾸지만 어디서 어떻게 시작할지 방향성을 잡지 못하기 때문이다. 그 중에서도 사이버위협 첩보 전문가가 되는 길 또한 마찬가지다.

ⓒ iclickart

사실, 사이버위협 첩보 전문가가 되는 길은 다른 사이버보안 분야에서 전문가가 되는 것보다 훨씬 더 어렵다. 그 길을 걸어온 사람이 훨씬 적기 때문이다. 사이버위협 첩보 전문가는 멀웨어 전달 기술을 이해하고 패킷 캡처를 읽어내는 능력 등 사건대응 분석가와 동일한 기본기술들을 쌓아야 하지만, 거기다가 첩보 이론의 기초에 대해서도 확실히 이해하고 있어야 한다. 첩보의 생애주기, 정보수집, 다양한 첩보 분석타입 개발, 시기적절하고 관련성 높은 첩보 제품 개발 등이 이에 포함된다. 이런 첩보 특화 기술들은 다른 정보보안 교육과정과 거의 겹치지 않기 때문에 정보보안의 세계에서 사이버위협 첩보는 다소 동떨어진 섬처럼 느껴지기도 한다.

위협 첩보 역할을 정의하기
여러 조직들이 정보보안 프로그램을 개발하면서, 위협 첩보의 역할도 점차 대중화하는 중이다. 위협 첩보 기술을 가진 정보보안 전문가는 그 업무범위가 크든 작든 간에 계속해서 더 필요한 상황이다. 사이버위협 첩보 프로그램의 이점을 최대한 활용하기 위해선 해당 팀에 훈련 받은 위협 첩보 분석가를 반드시 배치해야 한다. 배치된 분석가는 먼저 조직의 내·외부로부터 위협과 관련해 가공되지 않은 데이터를 수집, 분석한다. 그런 다음 경영진 등이 최종결정을 내릴 수 있도록 분석결과를 제공하며, 첩보 전문가가 사이버위협과 관련해 상황판단을 내리는 데 도움이 되도록 분석결과를 보고한다.

이를 제대로 수행하려면 위협 첩보 분석 훈련과 정보보안 분야의 특정한 기술들도 필요하다. 구체적으로, 분석결과를 유도하기 위한 정보수집의 요건들을 정의할 수 있고, 첩보 전문가가 요청한대로 새로운 첩보결과들을 개발할 수 있으며, 적어도 로그나 패킷캡처, 첩보의 전후 상황을 읽어낼 수 있는 능력들을 갖춰야 한다는 말이다. 분석 자체를 수행하고 다른 첩보에 대한 보고서를 작성하는 것이 분석가의 기본 역할임은 말할 필요도 없다.

세 가지 길
사이버위협 첩보 훈련을 받고자 한다면 다음과 같은 세 가지 주요 경로를 고려해보자. 먼저, 대학이나 군대를 통해 기존 첩보 이론을 공부하는 길을 택할 수 있다. 대학이나 군대는 위협 첩보에 대한 전인적 강좌 및 프로그램들을 제공하기 때문이다. 이런 프로그램들이 비록 사이버보안 영역에만 오롯이 맞춰져있진 않더라도, 이 길을 택한다면 첩보에 대한 실용적인 지식과 다양한 적용기술을 익힐 수 있다. 향후 정보보안 분야에서 이런 배경지식을 이상적으로 활용할 수 있을 것이다.

일반적인 사이버보안 직군에서 학위를 따거나 독학해 추후 첩보 경력을 도모하는 것도 하나의 길이다. 사이버보안 중심의 전공이 있는 학교는 아직 많지 않지만 카네기 멜론이나 조지아 테크 같이 프로그래밍부터 네트워크 보안 스크립팅 및 컴퓨터 과학수사까지 보안의 근본을 가르치는 유수한 대학들도 많다. 이런 기술을 갖는 것은 사이버보안 전문가를 꿈꾸는 사람에게 단단한 발판을 제공해줄 것이다. 그러나, 일반적인 사이버보안 커리큘럼이 정보보안 첩보를 위해 특별히 설계된 과정은 아니라는 점 또한 명심해야 할 것이다.

위와 같은 길을 택한 사람이라면 현장에 있는 동안 스스로 꾸준하게 공부하고 적용해보는 과정을 통해 첩보 기술을 익혀야만 한다. 이 길을 밟는 사람은 첩보 원칙에 대한 이해도가 기존 첩보 경력자만큼 탄탄하지 못할 수 있고, 첩보 전문가가 되기까지 많은 굴곡을 겪을 것이다. 따라서 이 길을 걷기로 선택했다면 반드시 추가적인 OJT(On the Job Training)나 다른 자원들을 찾아서 본인의 첩보 능력치를 키울 수 있도록 노력해야 한다. 위협 첩보 분야에서 전통적인 훈련을 받은 분석가들과 함께 일하는 것은 부족한 능력을 채울 수 있는 탁월한 방법이다.

위협 첩보 분야의 커리어에 대해 구체적으로 설명하기에는 공식적인 선택지가 너무 없다. 따라서 이 분야에서 성공하기 위해선 창의성과 끈기, 두 가지 자질이 모두 필요하다. 공공 자료를 자기 것으로 소화하기 위해 노력하고 직접 해보면서 배우는 것은 위협 첩보 분석 기술을 개발해나가는 데 효과적인 방법일 수 있다. 위협 첩보 분야에서 첫 발을 뗄 수 있도록 돕는 무료 자료들 또한 온라인에 많이 있다. 카네기 멜론 대학교의 사이버 첩보 트레이드크레프트 프로젝트(Cyber Intelligence Tradecraft Project)나, 미국 중앙정보부(CIA)에서 무료로 제공하는 첩보 분석 심리학(Psychology of Intelligence Analysis)이라는 중요한 문서 등이 그 사례다.

가상 머신을 활용해 이것저것 실험해보는 것도 좋은 방법이다. 피드, 로그, WHOIS 등과 같은 자료들로 첩보의 기본 자료를 만든 다음 첩보 분석에 직접 돌입해보는 것이다. 시큐리티 비사이드(Security BSides)와 같은 지역 보안 행사에 참석하거나 정보보안 관계자 모임에 참석해서 자신보다 경험이 많은 분석가와 엔지니어와 함께 시간을 보내는 것도 좋다. 이런 모임에서 구글이나 미트업닷컴(Meetup.com)의 관계자들과 친분을 쌓을 수도 있는 일이다. 이와 같은 행사들은 사이버위협 첩보에 대해 직간접적으로 관련된 주제 및 전문가들로 이뤄진다. 메일링 리스트에 등록하고, 데프콘그룹(Defcon Groups)과 같은 온라인 모임에도 참여하자. 다크리딩(Dark Reading)과 유투브 상의 정보보안 관련 토론들도 챙겨보자.

정보보안 분야만큼 과정이 풍부하진 못할지라도, 위협 첩보에 특화한 자료들도 존재한다. 효과적인 자료를 찾아내서 내 손으로 위협 첩보 커리어를 개척해보는 것은 어떨까.

글: 트라비스 파랄(Travis Farral)
[국제부 오다인 기자(boan2@boannews.com)]

[출처] http://www.boannews.com/media/view.asp?idx=54456&page=1&kind=4#

303 total views, no views today