1월 20

[주말판] 프라이버시 침해가 판치는 인터넷에서 살아남기

[주말판] 프라이버시 침해가 판치는 인터넷에서 살아남기

 

인터넷을 사용하면서 흔적을 완전히 감추는 건 불가능하지만
VPN 서비스 업체에 대한 큰 기대 버려야…토르는 사용성 낮아지기도 해

[보안뉴스 문가용 기자] 사이버 공격이 너무 심해 인터넷 공간은 할렘가나 정글로 비유되고 있다. 그러한 때 안전하게, 사생활 침해도 받지 않으면서 웹 브라우징을 하려면 어떻게 해야 할까? 제일 먼저 알아두어야 할 건, 그런 방법은 없다는 것이다. 

[이미지 = iclickart]

당신이 오늘 어떤 사이트를 방문했는지, 먼저 인터넷 업체가 알고 있다. 그리고 정부도 알고 있다. 한국 정부만이 아니라 다른 나라 정부도 알고 있다. 요즘엔 소셜 미디어 사이트와 광고 네트워크, 일부 앱들조차도 당신이 어떤 사이트에 들어갔다 나왔는지 알고 있을 가능성이 높다. 요즘 사이버 세상에서는 당신만을 위한 표적화된 광고가 유행이기 때문이다. 그게 뭐 대수냐고 생각할지도 모르지만, 웹 서핑 기록은 꽤나 민감한 개인정보에 포함된다. 어떤 사이트에 방문했느냐에 따라 당신의 건강 상태, 정치적 성향, 남에게 말하기 쉽지 않은 성적 취향 등이 드러날 수 있기 때문이다. 

누구든 웹사이트에 방문할 때마다 데이터라는 흔적을 남긴다. 이걸 전부 막을 수는 없다. 그게 인터넷의 기본 메커니즘이기 때문이다. 하지만 흘리고 다니는 데이터의 양 자체를 줄일 수는 있다. 그것이 인터넷 프라이버시를 지키는 방법이다. 이번 주말판에서 몇 가지 소개하고자 한다.

VPN은 신원을 감추는 데 도움이 되지만, 익명화를 보장하지는 않는다
아마 프라이버시에 관심이 있는 사람이라면 VPN에 대해 한 번쯤 들어봤을 것이다. 아무도 당신이 발생시키는 트래픽을 엿보거나 훔쳐낼 수 없게 한다는 것을 말이다. 하지만 꼭 그런 건 아니다. 정확히 말해 VPN은 당신이 발생시키는 모든 트래픽이 통과하는 전용 터널을 만든다. 이를 VPN 서버라고 한다. 그렇기 때문에 인터넷 제공업체가 트래픽을 볼 수 없게 한다. 

검열이나 감시가 심한 국가에 산다면 이게 큰 도움이 된다. 그게 아니라면 사실은 인터넷 제공업체 대신 VPN 제공 업체에 모든 트래픽을 보내는 것이나 다름이 없다. 인터넷 업체를 신뢰하느냐, VPN 업체를 신뢰하느냐의 문제일 뿐이라는 것이다. VPN 서비스들은 무료로 제공되는 경우도 많은데, 이 업체들이라고 프라이버시 보호에 대단한 사명감을 가지고 일하는 건 아니다. 결국 이들도 사용자의 데이터를 팔거나, 사용자에게 광고를 보여줌으로써 돈을 번다. 유료 VPN 서비스들은 어떨까? 사정이 별반 다르지 않다. 데이터에 대한 암호화를 제대로 하는 기업이 손꼽힐 정도다.

물론 잘 하는 VPN 기업들도 있다. 실제로 검열과 감시로부터 사용자들의 프라이버시를 보호하고자 진실된 노력을 하고, 그러므로 신뢰를 받는 서비스들이 존재한다. 그런 서비스들 중 하나가 와이어가드(WireGuard)다. 아이폰과 아이패드 등 다양한 종류의 장비와 시스템에서 작동한다. 앱 중에서 눈에 띄는 건 가디언 모바일 파이어월(Guardian Mobile Firewall)이다. 아이폰 전용이라는 단점이 있긴 하지만, 데이터를 완전 익명화하기 때문에 가디언 모바일 파이어월 개발 및 운영사도 트래픽을 볼 수도 없고 당신이 누군지도 모르게 된다. 또한 폰에 설치되어 있는 다른 앱들이 사용자를 추적하고 데이터에 접근하는 걸 막아주기도 한다.

IT 전문가인 로메인 딜레(Romain Dillet)는 “최고의 VPN 제공업체는, 사용자에 대한 모든 것을 사용자가 직접 제어할 수 있게 해준다”고 요약한다. 그런 의미에서 알고 VPN(Algo VPN) 서버가 권장할 만하다. 사용자가 자신의 알고 VPN 서버를 수분 만에 만들 수 있게 해주고 연결, 서버, 데이터 관리 등 사용자에게 많은 권한을 주기 때문이다. 유명한 보안 업체인 트라이얼 오브 비츠(Trial of Bits)가 직접 만들고 제공하는 서비스이기도 하며, 소스코드가 깃허브를 통해 공개되기도 했다. 소스코드가 공개된 상태이기 때문에 백도어를 코드에 몰래 넣는 게 어렵게 된다. 

안전한 DNS가 필요하다
다시 이야기를 처음으로 돌려보자. ‘인터넷 제공업체가 당신이 방문한 사이트를 알고 있다’는 건 결국 무슨 뜻일까? 인터넷이라는 거대한 구조 속에는 도메인 이름 시스템(DNS)이라는 게 있다. 이 시스템은 사람들이 입력하는 웹 주소를 컴퓨터가 읽을 수 있는 IP 주소로 바꿔주는 역할을 한다. 이렇게 웹 주소와 IP 주소를 연결해주는 걸 ‘리졸브(resolve)’라고 하며, 리졸브를 하는 시스템이나 기능을 리졸버(resolver)라고 한다. 

대부분의 장비들은 장비가 연결된 네트워크(보통은 인터넷 통신사)가 설정한 리졸버를 자동으로 사용하도록 설정되어 있다. 이 말은 인터넷 제공업체가 리졸브 과정에서 사용자가 방문한 웹사이트를 알 수밖에 없다는 뜻이다. 게다가 미국 의회는 최근 인터넷 제공업체가 사용자의 브라우징 기록을 광고 업체에 팔수 있게 해주는 법안을 통과시켰다.

그러니 이 DNS에서부터 프라이버시가 지켜져야 한다. 대부분의 사람들이나 조직들은 오픈DNS(OpenDNS)나 구글의 퍼블릭 DNS(Public DNS)와 같이 널리 공개된 서비스를 사용한다. 설치도 쉽고, 설정도 쉬우며, 이미 여러 컴퓨터나 장비, 가정용 라우터에 설치되어 있는 상태이기도 하다. 

안전한 DNS 서비스로는 클라우드플레어(Cloudflare)가 제공하는 안전 DNS 서비스가 있다. 이름은 다소 특이한, 1.1.1.1이다. 트래픽을 암호화하는 건 물론 개인의 데이터를 가지고 광고 행위에 사용하지 않는다. 또한 사용자들의 IP 주소를 24시간 이상 저장하지 않는다는 규칙도 가지고 있다. 클라우드플레어의 1.1.1.1 앱은 애플의 앱 스토어와 구글의 플레이 스토어 모두에서 다운로드가 가능하다. 

HTTPS를 친구로 만들기
개인 사용자에게 있어 최고의 프라이버시 지킴이는 HTTPS다. 사용자의 컴퓨터나 스마트폰에서부터 최종 웹사이트까지의 연결 트래픽을 암호화시켜주기 때문이다. 이미 대부분의 ‘메이저급’ 웹사이트들은 대부분 HTTPS 연결을 제공한다. 구글의 크롬 등 여러 브라우저들에서도 HTTPS 연결이 제공되는 사이트에는 안전하다는 표시를 해준다. HTTPS만 있어도 누군가 인터넷 트래픽이 흘러가는 걸 가로채고 데이터를 훔쳐내는 게 불가능에 가까워진다. 

브라우저에 초록색 불이나 자물쇠 표시가 뜨는 순간 HTTPS가 당신의 컴퓨터와 현재 방문하고 있는 웹사이트 사이의 트래픽을 암호화했다는 뜻이다. 공공 와이파이에 연결되어 있다고 하더라도 HTTPS를 기반으로 하고 있는 웹사이트에 방문하면 누구라도 사용자의 트래픽을 스누핑할 수 없다. 그래서 HTTPS 사이트가 늘어나면 늘어날수록 인터넷 전체가 더 안전해지는 건 사실이다. HTTPS만으로 완벽해지는 건 아니지만 말이다. 

하지만 아직도 HTTPS가 디폴트로 지원되지 않는 많은 웹사이트들이 존재한다. 이런 사이트들에 방문하면 암호화의 보호를 받을 수 없다. 그래서 등장한 것이 브라우저 플러그인인 HTTPS 에브리웨어(HTTPS Everywhere)다. HTTPS 기능을 가지고는 있지만 디폴트 지원이 되지 않는 웹사이트를 방문할 때 이 플러그인이 HTTPS 기능을 활성화시킨다. 가볍고 빠른 플러그인이라 한 번 설치하면 눈에 띄지도, 기억도 나지 않는다는 장점도 가지고 있다.

웹 플러그인 이야기가 나왔으니 말인데…
다음은 웹 플러그인들에 대해 이야기할 차례다. 플래시나 자바도 예전에는 별도의 플러그인을 설치해야만 사용이 가능하던 시절이 있었다. 지금이야 이런 기능들이 아예 브라우저에 탑재되어 있지만, 플래시나 자바들도 플러그인 출신들이다. 웹 페이지마다 움직이던 것들이 신기하게 박혀 있던 시절 전성기를 누리던 플러그인들이 주류 브라우저에 편입되어 오늘날의 웹 생태계가 완성된 것이다. 그러나 모든 것에는 쇠퇴기가 있기 마련인지라, 이 두 왕들은 HTML5라는 것에 자리를 내어주고 말았다.

플래시와 자바에는 또 다른 공통점이 있다. 보안 문제를 끊임없이 일으키는 요소로서 오랜 기간 악명을 쌓아왔다는 것이다. 둘 다에서 버그와 취약점이 다수 발견되었으며, 그래서 자바는 2015년 웹 브라우저들에서 플러그가 뽑혔으며 플래시는 2020년을 공식 사망일로 앞두고 있다. 한 때는 모든 웹 사용자들의 눈을 즐겁게 해주던 것들이지만, 더는 아니기에 역사책 속으로 사라지게 된 것이다.

실제로 이제는 일부러 자바와 플래시를 사용하는 사람이 아니라면 그 두 가지 프로그램을 삭제하는 게 좋다. 이 두 가지가 설치되어 있다는 것만으로 위험 부담이 생기게 된다. 윈도우와 맥에서 플래시를 삭제하는 데에는 1분도 걸리지 않는다. 자바도 마찬가지다. 모바일 기기에도 플래시와 자바가 설치되어 있다면 역시 삭제하는 것을 권장한다.

파이어폭스나 크롬 등 대부분의 웹 브라우저들은 별도의 기능을 추가하고 싶은 사람들을 위해 플러그인을 제공한다. 마치 스마트폰에 앱을 설치해 기계의 활용도를 높이듯, 브라우저에도 플러그인을 깔아 더 나은 경험을 추구할 수 있다. 하지만 스마트폰의 앱들이 그러하듯, 이 플러그인들도 사용자의 개인적인 정보나 시스템 정보에 대한 접근 권한을 필요로 한다. 이 때문에 악의적인 플러그인들이 시시때때로 등장한다. 각종 검사를 피해 사용자의 브라우저에 올라타는 것들도 있으며, 예전에는 좋았던 것들이 잘못된 업데이트 등을 통해 변질되는 사례도 있다.

그렇다고 플러그인을 깔지 말라고 할 수도 없다. 도움이 되는 정직한 플러그인들도 분명히 존재하기 때문이다. 나쁜 플러그인은 무엇이며, 좋은 플러그인은 무엇이라고 명확히 정의하기도 어렵고, 한 번 괜찮았던 플러그인이라고 영원히 신뢰할 수 있는 것도 아니다. 이는 전적으로 사용자 자신이 판단해야 한다. 플러그인이 요구하는 권한이 과도한 것은 아닌지 확인하는 것이 핵심이다. 또한 더 이상 필요하지 않은 플러그인이라면 삭제하는 것에도 부지런해야 한다.

반대로 프라이버시 보호에 도움을 주는 플러그인들도 있다. 대표적인 게 애드블로커다. 광고를 차단시켜주는 플러그인으로, 이런 광고들의 공격적이고 과도한 추적 행위를 중단시키기도 한다. 유블록(uBlock)은 인기가 높은 오픈소스 블로커로 메모리를 많이 소모하지도 않는다. 애드블록(AdBlock)도 유명하고 인기가 높지만, 메모리를 조금 더 많이 필요로 한다. 애드블로커를 사용하면 광고가 덜 노출되기 때문에 웹 브라우징이 더 빨라지는 효과도 나타난다.

사이트와 사이트 간 추적 행위를 차단해주는 플러그인들도 도움이 된다. 예를 들어 프라이버시 배저(Privacy Badger)는 웹 페이지에 작게 숨겨져 있는 1~2픽셀 크기의 트래커들을 찾아서 마비시킨다. 이 트래커들은 사용자들이 사이트들을 옮겨 다니더라도 그대로 남아있어 사용자들의 행위를 관찰하고 기록하며 데이터를 축적시킨다. 이것이 나중에 당신에게 꼭 맞는 표적형 광고가 된다. 프라이버시 배저를 사용하면 표적 광고를 하고 싶어하는 업체들에 있어 당신은 사라진 존재가 된다. 이런 부분에서 사용해봄직한 플러그인으로는 고스터리(Ghostery)가 있다. 이 두 가지 앱은 사용해볼 것을 권장한다.

사용하는 검색 엔진을 바꾸는 것도 안전한 웹 서핑을 위해서는 고려해볼 만하다. 구글이나 네이버보다 훨씬 더 ‘프라이버시’ 및 ‘개인정보 보호’라는 개념 위에 만들어진 것들이, 유명하지 않아도 존재한다. 그 중 하나가 덕덕고(DuckDuckGo)로, 사용자의 개인정보를 저장하지 않고, 광고를 위해 사용자를 추적하지도 않는다.

익명성이 중요한 상황이라면 토르를 사용한다
위의 것들에 더해 완전 익명성을 원한다면 토르(Tor)가 답이다. 토르는 사용자가 생성하는 인터넷 트래픽을 무작위 릴레이 서버들을 통해 연결시킨다. 세계 곳곳의 릴레이 서버들 여기저기로 트래픽을 반사시키고 이동시키기 때문에 흔적이 남지 않는다. 대부분의 장비나 라우터들에서 사용이 가능하다. 토르를 사용하는 가장 간단한 방법은 토르 브라우저를 사용하는 것이다. 토르 브라우저는 파이어폭스를 기반으로 한, 보다 안전하고 제한적인 브라우저로 웹상에서 프라이버시를 지킨다는 게 어떤 건지 체감할 수 있게 해준다.

토르를 사용하는 사용자의 웹 트래픽을 스누핑 하거나, 방문하는 웹 사이트를 파악하는 일은 불가능에 가깝다. 심지어 그 사이트에 접근한 사람이 당신이라는 사실도 알아낼 방법이 없다. 그래서 검열이나 감시가 심한 환경에서 기자들과 운동가들은 토르를 즐겨 사용한다. 

그렇다고 해서 토르가 모든 걸 해결해주는 건 아니다. 실제로 토르를 사용하는 범죄자들이 수사기관에 체포되기도 한다는 건 토르에도 결점이 있다는 뜻이다. 특히 토르라는 프로토콜을 가장 간편하게 사용하게 해주고, 실제로 보편적으로 활용되고 이는 토르 브라우저도 결국은 브라우저이기 때문에 다른 브라우저들처럼 취약점이나 버그가 아예 없을 수 없다. FBI는 이런 취약점들을 익스플로잇 함으로써 사이버 범죄자들을 체포해온 것으로 알려져 있다. 

그러므로 토르 브라우저를 사용하기로 했더라도 주기적으로 업데이트하고, 토르 브라우저가 내보내는 경고 메시지를 심각하게 받아들여야 한다. 그렇지 않다면 일반 브라우저를 사용하는 것보다 못한 결과를 낳을 수도 있다. 토르 기술을 유지, 관리하는 토르 프로젝트(Tor Project) 측도 사용자들에게 ‘브라우징 습관을 종종 바꾸라’고 권고한다. 

또한 토르 브라우저는 ‘웹 사용 경험’이라는 측면에서 이상적인 프로그램은 아니다. 영상 스트리밍 등을 위해서는 최적의 선택이 아닐 수 있다. 실제로 사용해보면 여러 가지 불편한 점이 생기는 걸 느낄 수 있을 것이다. 굉장히 위험한 처지가 아니라면, VPN 앱을 알아보는 편이 더 나을 수도 있다.

3줄 요약
1. 인터넷은 구조 상 사용자의 흔적이 남을 수밖에 없기 때문에 완벽한 프라이버시 보호는 불가능.
2. VPN, 안전한 DNS, HTTPS, 도움이 되는 플러그인을 복합적으로 사용하면 많은 흔적을 지울 수는 있음.
3. 익명화를 원한다면 토르가 알맞은 선택지인데, 인터넷 사용성이 떨어진다는 단점이 있음.

[국제부 문가용 기자(globoan@boannews.com)]

[출처] https://www.boannews.com/media/view.asp?idx=76270#

152 total views, no views today

10월 6

“애플·아마존 서버에 중국 스파이칩… 한국도 안전 장담 못해”

“애플·아마존 서버에 중국 스파이칩… 한국도 안전 장담 못해”

조선일보

  • 베이징=이길성 특파원 
  • 장형태 기자

블룸버그비즈니스위크 “초소형 칩 심어 美기업 30곳 해킹”

중국이 미국 주요 기업에 납품되는 전산 서버에 초소형 스파이칩을 심어 애플과 아마존, 대형 은행 등 30개 미국 기업을 해킹해 정보를 빼내갔다고 블룸버그비즈니스위크(BBW)가 4일(현지 시각) 보도했다. 아마존과 애플은 “스파이용 칩을 발견한 사실이 없다”고 부인했지만, BBW는 “6명의 전·현직 당국자와 애플 내부 관계자 등 최소 17명이 중국 스파이 칩의 발견 사실을 증언했다”고 밝혔다.

BBW에 따르면, 애플은 2015년 자사 네트워크에서 발생하는 이상 반응의 원인을 찾다가 ‘수퍼마이크로’라는 업체가 납품한 서버에서 의심스러운 칩들을 발견했다. 이 칩들은 쌀알보다 작은 크기로, 회로 전문가가 아닌 사람은 그 존재조차 알아보기 힘들 정도였다. 애플은 이런 사실을 FBI(미 연방수사국)에 신고했다. 같은 해 동영상 처리 업체인 엘리멘털 테크놀로지를 인수하기 위해 실사를 벌이던 아마존도 이 회사 서버에서 이상한 칩들을 발견했다. 이 칩들 역시 수퍼마이크로 제품에 은밀히 심어져 있었다. 수퍼마이크로는 대만계 사업가가 실리콘밸리에서 창업한 기업으로, 10억달러 규모 전 세계 서버시장에서 단연 1위인 기업이었다.

 

중국이 미국 주요 기업 해킹을 위해 전산 서버에 심어 놓은 초소형 스파이칩(왼쪽 사진). 이 칩은 쌀알 크기보다도 작아 육안으로 쉽게 알아볼 수가 없다. 중국 인민해방군 산하 조직이 주도해 미국 기업에 납품되는 전산 서버의 메인 보드에 이 칩을 은밀히 심었다. 메인 보드에 있는 부품을 하나씩 걷어내면 육안으로 식별이 어려운 스파이칩이 나타난다(오른쪽 사진).
중국이 미국 주요 기업 해킹을 위해 전산 서버에 심어 놓은 초소형 스파이칩(왼쪽 사진). 이 칩은 쌀알 크기보다도 작아 육안으로 쉽게 알아볼 수가 없다. 중국 인민해방군 산하 조직이 주도해 미국 기업에 납품되는 전산 서버의 메인 보드에 이 칩을 은밀히 심었다. 메인 보드에 있는 부품을 하나씩 걷어내면 육안으로 식별이 어려운 스파이칩이 나타난다(오른쪽 사진). /블룸버그 비즈니스위크

조용히 조사에 착수한 미 보안 당국은 수퍼마이크로가 판매하는 서버에서 가장 핵심인 메인보드가 거의 전량 중국에서 조립되고 있다는 사실을 확인했다. 조사 결과, 문제의 칩들은 이 회사의 중국 내 하도급 공장들에서 은밀히 심어졌으며, 중국인민해방군 산하 조직이 이 일을 담당한 것으로 드러났다. 이들은 ‘미국 본사 관계자’라고 속이거나 뇌물을 동원한 매수, 아니면 ‘공장 폐쇄’를 협박하는 방법 등으로 생산 과정에 침투했다고 BBW는 전했다. 한 당국자는 “전 세계 금융기관과 IT 업체들이 수퍼마이크로 서버를 쓴다는 점에서 이 회사는 하드웨어 분야의 ‘마이크로소프트(MS)’ 같은 존재”라며 “중국 첩보 기관에는 미국을 해킹하는 최적의 침입로”라고 말했다. 중국은 결국 이를 통해 미국의 주요 은행, 애플과 아마존 등 30개 미국 기업에 영향을 미쳤으며, 이 중에는 미 국방부·CIA (중앙정보국)와 거래하는 조달 업체들도 포함됐다.

미국의 한 보안 전문가는 BBW와 인터뷰에서 “이 칩의 기능은 한마디로 네트워크를 공격하려는 침입자에게 문을 열어주는 것”이라고 말했다. 보안업계에서 말하는 ‘백도어(뒷문)’ 역할이다. 보통 서버용 컴퓨터는 접속 권한이 없는 사용자가 접근하는 것을 차단하지만, 이 칩이 꽂힌 서버용 컴퓨터는 칩을 설계한 해커가 시스템에 들어올 수 있는 권한이 생긴다. 서버에 저장된 각종 기밀 자료를 자유자재로 들여다볼 수 있는 것이다. 대부분 백도어 공격은 네트워크 운용 소프트웨어에 바이러스를 심는 방식으로 이뤄지는데, 중국은 아예 하드웨어 칩을 메인보드에 꽂아 백도어처럼 이용한 것이다. 중국이 이런 방식으로 스파이칩을 심어 해킹해온 곳이 미국 기업 외 또 있을 가능성도 배제할 수 없다. 일부 국내 기업도 수퍼마이크로 서버를 구입해 사용하는 것으로 알려져 IT(정보기술) 분야 보안에 대한 우려가 커지고 있다.

BBW는 “이 칩이 발견된 이후 애플은 7000여개에 이르던 수퍼마이크로 서버를 모두 교체했다”고 전했다. 아마존도 중국에 설치한 데이터 센터를 긴급 점검해 수상한 칩들을 다수 발견했다. 아마존은 칩을 설치한 그룹이 이를 알아챌 수 있다는 위험 때문에, 칩을 즉각 제거하는 대신 이 칩들을 모니터하는 방법을 써왔다. 아마존은 그러나 중국 정부가 2016년 중국 내 IT 기업들의 서버를 당국이 사실상 마음대로 열람할 수 있는 권한을 부여한 ‘사이버보안법’을 통과시키자, 중국 내 데이터센터를 현지 기업에 매각하고 완전히 발을 뺐다. 나스닥에 상장됐던 수퍼마이크로도 2016년 최대 고객이었던 애플 등을 잃은 여파로, 결국 나스닥에서 상장폐지돼 장외시장으로 밀려났다.

출처 : http://news.chosun.com/site/data/html_dir/2018/10/06/2018100600238.html

332 total views, no views today

7월 6

1사분기의 디도스 공격, 숨으려 하지 않았다

1사분기의 디도스 공격, 숨으려 하지 않았다
      2018-07-05
 
보다 파괴적이고 시끄러워진 디도스…용량 커지고 시간 늘어나
가장 큰 공격은 12살짜리 청소년이 유튜브 보고 따라해 발생

[보안뉴스 문가용 기자] 디도스 공격은 살금살금 다가오지 않는다. 디도스 공격자들은 큰 목소리로 자신들의 존재감을 뚜렷하게 드러낸다. 이와 관련하여 최근 두 가지 보고서가 발표됐다. 디도스 공격자들의 목소리가 계속해서 커지고 있으며, 공격 지속 시간도 더 길어지고 있다는 위협적인 내용이다. 

[이미지 = iclickart]

먼저는 인증 업체 베리사인(Verisign)은 “2018 1사분기 디도스 트렌드 보고서(Q1 2018 DDoS Trends Report)”를 발표했다. 보안 업체 아카마이는 “2018 여름 인터넷/보안 현황(State of the Internet / Security Summer 2018)”이라는 보고서를 발표했다. 이 두 보고서를 함께 보면, 디도스 공격의 가장 최신 모습을 알 수 있게 된다.

일단 두 보고서 모두 올 1사분기에 발생했던 디도스 공격 중 가장 큰 것이 170 Gbps와 65 Mpps(초당 백만 패킷)라고 짚었다. 이 두 개의 공격은 ‘표적’과 ‘발생지’라는 측면에서 주의 깊게 살펴야 한다고 한다. 

먼저 이 공격의 표적은 기존 디도스 공격들의 경우와 달리, 단일 기업이나 개인이 아니었다. 인터넷의 /24 서브넷 전체를 노린 공격이었다. 이렇게 광범위한 표적을 대상으로, 그렇게까지 큰 공격을 감행했다는 것은 전 세계 웹사이트 및 서비스 중 상당수에 영향을 미쳤다는 이야기가 된다. 

게다가 아카마이는 이 공격을 실시한 것이 12살짜리 청소년이었다고 밝히고 있다. 유튜브에서 공격 원리를 배우고, 스팀이라는 온라인 게임 플랫폼과 IRC를 통해 공격을 실시했다고 한다. 10살이 갓 넘은 아이가, 유튜브를 통해 간단히 전 세계 인터넷을 공격할 수 있게 되었다는 것은 실로 충격적이다. 

아카마이의 수석 보안 관리자인 리사 비글(Lisa Beegle)은 “아이들이 IT와 해킹 기술에 노출되어 있어, 이전 세대보다 훨씬 빨리 기술을 익혀나간다”고 말한다. “또한 그 나이 때 아이들은 자기가 좋아하는 것에 얼마든지 시간을 투자합니다. 이 12살짜리 아이가 특별한 천재였을까요? 전혀 아닙니다. 그럼에도 그런 큰 일을 저지를 수 있었던 겁니다.”

이 디도스 공격은 멤캐시드(memcached) 서버를 활용해 발생했다. 이 때문에 피해자의 서브넷으로 되돌아간 응답의 용량은 요청의 그것보다 5만 1천배나 컸다. 멤캐시드는 최근 디도스 공격자들이 증폭에 애용하기 시작한 서버의 일종이다. 

하지만 베리사인은 “멤캐시드와 같은 새로운 공격법이 등장하긴 했어도 UDP 플러드가 가장 인기 높은 공격 방법임에는 변함이 없다”고 말한다. “1사분기에 발생한 디도스 공격의 절반이 UDP 플러드를 통해 발생했습니다. 그 다음 인기가 높은 건 TCP 공격입니다. 약 1/4의 공격이 이 유형이었습니다.”

공격의 성질 역시 변하고 있다. “작년만 해도 디도스 공격은 탐지망에 걸리지 않게, 살금살금, 보다 작은 공격으로 쪼개져서 들어왔습니다. 공격 지속 시간도 약 30초 정도였고요. 탐지와 대응을 어렵게 하는 게 특징이었죠. 그렇지만 지금은 공격 시간이 더 길고, 공격의 다이내믹도 공격이 지속되는 동안 계속해서 바뀝니다. 어떤 공격은 1주일 동안 지속되기도 했습니다.”

비글은 이 두 가지 유형 – 살금살금 들어오는 디도스와 성큼성큼 들어오는 디도스 – 이 당분간 공존할 것이라고 예상한다. “두 가지 공격의 효과가 다르기 때문에 공격자의 목적에 따라 왔다 갔다 할 겁니다. 또한 공격자마다 선호하는 것도 다르고요. 아마추어 해커들로부터 국가의 지원을 받는 해커들까지, 디도스는 기본 중의 기본 공격 기법으로 오랫동안 자리할 겁니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC

[출처] http://www.boannews.com/media/view.asp?idx=71047&mkind=1&kind=1#

347 total views, no views today

2월 23

[김민석의 Mr. 밀리터리] 가공할 북한 사이버 공격력, 한국은 기능부전

[김민석의 Mr. 밀리터리] 가공할 북한 사이버 공격력, 한국은 기능부전

[중앙일보] 입력 2018.02.23 00:17

북한의 사이버 공격능력은 세계를 위협할 정도로 심각한 수준인데 한국군의 사이버전 수준은 잰걸음이다. 북한은 6000명이나 되는 사이버전 인력으로 한국과 미국을 비롯해 전 세계를 상대로 정부·군대·에너지·금융과 관련된 정보와 돈을 탈취하고 있다. 사이버 전문가들은 북한이 핵이나 재래식 무기의 공격 앞서 사이버로 한국을 마비·파괴할 것이라고도 한다. 그러나 우리 군의 사이버전 대비태세는 말 그대로 엉망진창이다.

북한 사이버 공격이 전 세계 위협 중
남북대화 실패하면 공격 재개할 듯

한국 사이버사 600명, 북한 6000명
독일군의 사이버전력은 1만3500명

사이버 무기 개발 예산 제로
사이버 방위 법적 근거도 없어

미국의 민간 보안업체인 파이어아이와 크라우드스트라이크가 지난 20일 발표한 북한의 사이버 해킹은 가히 위협적이다. 파이어아이는 이날 공개한 보고서에서 북한은 라자루스(Lazarus)라고 알려진 해킹그룹에 미로·침묵·별똥·물수제비 등 4개의 천리마 조직을 두고 해킹을 통한 정보 수집, 네트워크 파괴, 금융 탈취 등을 해왔다는 것이다. 이 보안업체에 따르면 ‘APT 37’로 알려진 미로천리마는 정교하게 연결돼 있지 않은 컴퓨터 네트워크도 해킹해 정보를 빼낼 수 있다고 한다. 한국의 국방부, 방산업체와 인터넷쇼핑몰 등을 해킹한 조직으로 추정된다. 침묵천리마는 2014년 북한 김정은 노동당 위원장의 암살을 다룬 영화 ‘인터뷰’를 제작한 영화사 소니 픽처스를 해킹한 조직으로 지목됐으며. 별똥천리마는 지난해 방글라데시 은행에서 8100만 달러를 사이버 해킹으로 훔쳐갔고 한국의 암호화폐 거래소를 해킹해 암호코인을 탈취한 배후조직으로 보고 있다. 이와 관련 미 국가정보국(DNI) 댄 코트 국장은 지난달 13일 미 상원 정보위원회에서 “솔직히 미국이 (사이버 위협에) 공격받고 있다”며 북한에 대한 무거운 제재를 주장했다. 현재 남북이 평창올림픽을 계기로 진행 중인 대화가 파행으로 가거나 북한이 불리할 땐 한국에 “대규모 사이버 공격을 감행할 것”이라고 고려대 임종인 정보보호대학원장이 말했다.

[그래픽=박경민 기자 minn@joongang.co.kr]

[그래픽=박경민 기자 minn@joongang.co.kr]

이처럼 북한의 사이버 위협은 날로 증대되는데 한국군 사이버전 조직은 임무분담이 명확지 않고 기능도 떨어지는 것으로 드러났다. 지난해 국방부가 군 사이버전의 문제점을 조사한 결과다. 사이버전은 적의 사이버 네트워크를 파괴하거나 주요 정보를 해킹하는 공세적인 작전과 적의 사이버 공격을 방어하는 기능, 군 내부 네트워크를 관리하는 임무 등으로 구분된다. 이 가운데 핵심조직은 사이버작전이 주 임무인 사이버사령부다. 조사에 따르면 사이버사는 공세적인 사이버 작전보다는 방어와 보안에만 전념하고 있다는 것이다. 이렇다 보니 사이버사의 작전을 통제하는 합참의 사이버 작전과가 작전부서가 아닌 지원부서에 소속돼 있다. 군의 무기 대부분이 컴퓨터에 연동돼 있고 언제든 사이버 공격을 받을 수 있는데도 사이버전을 일반 군사작전보다 낮게 보는 것이다. 사이버사를 감독하는 국방부 부서도 작전과 무관한 정보화기획관이 맡고 있다. 정보화기획관은 군의 정보체계 네트워크를 유지·관리하는 부서다. 당초 국방부 정책실이 사이버사를 감독해왔다. 그런데 2013년 사이버 댓글사건으로 사이버사가 부담스러운 존재가 되자 정보화기획관실로 그 감독임무를 떠넘긴 것이다. 댓글사건으로 사이버사의 기능이 거의 와해된 지경이다.
 
이렇다 보니 1200명으로 늘리기로 한 사이버사 인력이 여전히 600명에 미달하고 있다. 현재 인가된 정원에 100명이나 비어있다. 사이버사에서 북한을 담당하는 인력은 주로 부사관이 맡고 있다. 고도의 지식과 창의력이 필요한 사이버전에서는 한계가 있을 수밖에 없다. 독일은 사이버전의 중요성에 따라 2023년까지 독일군 병력의 7.5%에 해당하는 1만3500명으로 구성된 사이버군을 창설할 계획이다. 북한도 평양의 지휘자동화대학(옛 미림대학)에서 최우수 인력을 양성해 사이버전에 투입하고 있다. 이뿐만이 아니다. 공세적인 사이버작전을 펼치려면 사이버 공격무기 개발이 필수적인데 예산 뒷받침이 전혀 없다. 국방부가 적을 사이버로 공격할 수 있는 악성코드 등 사이버무기를 개발하기 위해 2016년 국방과학연구소 내에 국방사이버연구센터를 설치했지만 첫해에만 예산 55억원을 배정했다. 그 이후론 예산 반영을 일절 하지 않고 있다. 국방부 관계자에 따르면 현재 연구센터에 소속된 최고급 인력이 손을 놓고 있다고 한다. 이 연구센터의 인력 가운데는 전 세계 해킹대회에서 우승한 인재들도 있다. 반면 북한은 은행이나 암호화폐 거래소 해킹에 필요한 악성코드를 북한군 정찰총국에서 직접 개발해 실제 작전에 적용하고 있다고 한다. 미국은 트럼프 정부 들어 사이버전에 연간 80억 달러를 투입하고 있다. 냉전 시절 핵무기 예산에 버금가는 수준이다.
 
육·해·공군에서 사이버 방호를 맡고 있는 사이버방호센터는 조직 구성이 제각각이다. 가령 육군 사이버방호센터는 계획운영실·사이버상황실·사이버대응실로 구성돼 있는데 해군은 분석평가과·사이버방어과·통합관제과·기술개발과로 이뤄져 있다. 공군은 계획운영과·정보보호대·분석평가대·기술통제대 식이다. 각 군별로 조직 구성은 물론, 임무도 다르다. 특히 육군은 사이버방호를 위한 개발인력은 전혀 없고 해군은 대위 1명뿐이다. 사이버 기술을 연구하는 인력은 최고의 기술력을 갖춰야 하는데도 육군은 경험과 지식이 떨어지는 중위와 상사 등 3명으로 구성돼 있다. 해군도 소프트웨어가 대부분을 차지하는 이지스함을 운영하면서도 사이버 연구인력은 중위 등 딱 2명뿐이다. 북한이 전투 직전에 사이버를 통해 이지스함을 해킹하면 이지스함에 있는 미사일은 제 마음대로 날아가고 레이더는 마비될 수 있다. 해군 예비역 장성에 따르면 이지스함엔 악성코드 투성이라고 한다.
 
군 사이버 대처기능의 문제점은 이게 다가 아니다. 군 사이버체계의 기반인 지휘·통신체계를 관리하는 국군통신사령부의 사이버 침해사고대응팀(CERT)은 인터넷·국방망·합동연합지휘통제체계 등 각 분야에 1명씩의 인력만 배정돼 있다. 사이버 침해는 언제든 발생할 수 있는데 CERT팀의 24시간 근무는 불가능한 것이다. 모든 부대와 군 기관도 비슷한 실정이다. 24시간 사이버 관제를 하는 곳은 21%에 불과하다. 국군통신사령부의 인력은 4000명에 가깝지만 사이버를 전공한 인력은 거의 없다. 이들 중 90%가 사이버와 무관한 통신이나 행정직이다. 사이버 공간이 육·해·공과 별도로 존재함에도 군이 사이버 공간을 방위하기 위한 법적 근거가 없는 실태다. 임종인 원장은 “통합방위법에 사이버 공간을 추가해야 한다”고 말했다. 현재 국방부는 사이버 댓글 사건 수사에 몸살을 앓고 있고 여전히 그 후유증에서 헤어나지 못하고 있다. 그러나 사이버 공간은 군사·안보 차원에서 지켜야 하는 새로운 영역이고 북한의 공격이 예상되는 만큼 강력한 사이버 전투력을 갖춰야 한다.
 
김민석 군사안보연구소장 겸 논설위원 

[출처] http://news.joins.com/article/22390232?cloc=joongang|home|newslist1#none

555 total views, no views today

2월 21

대북제재로 더 과감해지는 北 해킹…美 “전세계가 해킹 표적”

대북제재로 더 과감해지는 北 해킹…美 “전세계가 해킹 표적”

   남민우 기자

입력 : 2018.02.21 14:54

 

미국 사이버보안 기업 파이어아이(Fire eye)는 20일(현지 시각) 북한의 사이버 공격 능력이 전 세계적인 위협으로 부상했다는 경고를 담은 보고서를 발표했다.

북한의 해킹 그룹은 그동안 주로 한국을 상대로 정보를 빼내고 사이버 공격을 하는 데 초점을 맞춘 것으로 알려져왔다. 그러나 최근엔 한국은 물론, 전 세계에 강력한 위협을 가할 존재로 진화했다는 게 파이어아이가 이번 보고서에서 강조한 대목이다.

파이어아이는 이 보고서에서 북한 정부와 연계된 것으로 보이는 해킹 집단 ‘APT37’의 활동을 상세하게 소개했다. ‘APT37’는 지난 해 5월 전세계 네트워크를 마비시킨 워너크라이(Wannacry) 사이버 공격을 감행한 다른 북한 해킹조직과 달리 외부 노출을 최대한 피하며 북한 정부의 임무를 수행하는 게 특징이다.

파이어아이에 따르면, ‘APT37’은 2012년 무렵 결성된 된 것으로 추정되며, ‘래저러스(Lazarus)’라는 이름으로 모호하게 불려온 북한 해킹 그룹의 하위 조직이다.

파이어아이가 ‘APT37’의 해킹 활동에 주목하는 것은 이들의 간첩 활동이 ‘심각한 위협’이 될 만큼 해킹 기술이 정교해지고 활발해졌다는 판단에서다. 보안업계에 따르면, APT37은 북한에 근거지를 두고 있으며 북한 정부의 지시에 따라 활동 중이다. 이들이 사용하는 악성 프로그램은 매우 정교해 인터넷에 연결되지 않은 네트워크에서도 문서를 훔쳐갈 수 있는 것으로 알려졌다. 파이어아이가 분석한 APT37의 특징을 정리했다.

① 日 정부기관 대북 제재 정보도 노렸다 

그동안 북한의 주요 해킹 표적은 국내 정부기관이었던 것으로 알려졌다. APT37 역시 2014년부터 지난해 초까지는 주로 한국 내 정부 기관, 방위산업업체, 언론기관, 인권단체 등을 대상으로 사이버 공격과 해킹을 여러 차례 시도했다.

그러나 북한의 핵·미사일 개발에 따른 대북 제재 강화로 인해 최근엔 해킹 공격 대상이 대폭 넓어지고 있다는 게 파이어아이의 분석이다. 국제사회에서의 입지가 좁아지면서 불법 활동에 대한 의존도가 더 커졌다는 것이다.

최근엔 UN 제재를 다루는 일본의 기관과 단체에서 기밀 정보를 빼오거나 사이버 공격을 감행한 것으로 분석된다. 또한 북한 인권 문제와 관련된 국내외 언론인도 공격 대상에 포함된 것으로 나타났다. 파이어아이는 “북한에 군사·전략·경제 이익을 가져다줄 정보를 은밀하게 빼오는 게 이 조직의 주요 목표”라고 분석했다.

② 항공·통신·금융·자동차·헬스케어 등 산업 정보도 타깃 

파이어아이는 북한 해킹 그룹이 정부 기관뿐 아니라 항공, 자동차, 금융, 군수 등 산업 정보도 집중적으로 노린 것으로 추정된다. LG, 현대, 삼성 등 국내 대기업은 물론, 북한과 거래하는 해외 기업도 주요 해킹 표적이었다.

오라스컴의 나기브 사위리스 회장(중앙)이 2011년 북한 방문 시 찍은 사진. /AP통신

파이어아이는 이집트 통신회사 오라스컴을 대표 해킹 사례로 꼽았다. 오라스컴은 북한에서 이동통신사업 독점 사업권을 가진 회사다. 파이어아이는 지난해 오라스컴과 북한 당국 간 협상이 삐걱거릴 때, APT37이 오라스컴의 내부 정보를 빼내와 협상에 유리한 정보를 줬다고 주장했다. 이 과정에서 거래처나 지인(知人)으로 가장해 가짜 이메일을 보내는 스피어피싱(spear phising) 수법 등이 활용된 것으로 분석된다.

③ 남북통일 주제 행사 안내문을 미끼로 활용 

북한 해커 그룹이 해킹 프로그램을 심어둔 문서 파일의 한 예 /파이어아이                         
APT37가 국내에서 해킹을 시도할 땐 주로 남북 통일 주제 행사 안내문 등을 활용해 정보를 빼냈다. 주로 한글 파일(hwp)에 해킹 프로그램을 심어, 쥐도 새도 모르게 컴퓨터 내 정보를 빼내가는 방식이다. 인터넷 동영상을 재생할 때 쓰이는 미국 어도비사의 플래시 파일 등도 해킹 시도 시 자주 활용됐다. 프로그램의 허점을
파고들기 쉽다는 이유에서다.APT37은 이메일 해킹 활동 초반엔 주로 다음 한메일의 이메일 주소인 @hanmail.net과 비슷한 @hmamail.com을 이메일 주소로 썼다고 한다. 그러다가 2015년 중반 무렵부터는 @yandex.com, @india.com 등의 메일 주소로 바꿨다가 최근엔 여러 변형 형태의 이메일 주소를 활용한 것으로 알려졌다.

출처 : http://news.chosun.com/site/data/html_dir/2018/02/21/2018022101875.html

433 total views, no views today

11월 8

산업보안관리사 요약집입니다. (제가 작년 시험볼때 요약했던것)

산업보안관리사 요약집입니다. (제가 작년 시험볼때 요약했던것)

작년도 1회 산업보안관리사 시험에 합격했는데요..

짧은 기간 준비하면서  정리를 해본 것입니다.

다섯번째 과목인 지식경영파트에선  책에 없는 내역이 대거 나와서.. 아주 당황했었죠..

급여에 관한 부분들이 많이 나왔었네요..

아래 정리본은 산업보안관리사 수험서에 나온 내용을 요약한 것입니다.

내용이 부족한 부분이 있더라도 양해해주세요..

이렇게 요약한게 있어야 시험장에 좀 일찍 도착해서 많은 내용을 빨리 리뷰할 수 있더라구요.

ISE1.관리적보안.pdf

ISE2물리적보안.pdf

ISE3기술적보안.pdf

ISE4보안사고대응.pdf

ISE5지식경영.pdf

[출처] http://cafe.daum.net/krcso/Lb6B/1?listURI=%2Fkrcso%2F_rec

2,492 total views, no views today

11월 4

[카드뉴스] 알파고가 다가 아니다! 인공지능의 대결 6

[카드뉴스] 알파고가 다가 아니다! 인공지능의 대결 6

영화에서나 보던 인간과 기계의 대결, 또는 기계끼리의 대결이 어느새 현실이 되었습니다.
최근 이런 대결이 더 많아지고 있습니다. 바둑, 체스, 스타크래프트, 가위바위보, 재즈, 월드컵까지! 다양한 인공지능의 대결을 소개합니다.

△‘이세돌 9단 vs 알파고’ 바둑 대결
구글 딥마인드 챌린지 매치가 2016년 3월 9일부터 15일까지 총 5회에 걸쳐 진행되었습니다.
최고의 바둑 인공지능 프로그램과 최고의 인간 바둑 실력자의 대결로 전 세계의 주목을 받았습니다. 최종 결과는 알파고가 4승 1패로 승리했죠. 대국 전 구글 CEO인 에릭 슈미트는 “누가 이기든 인류의 승리”라고 했습니다.
알파고의 승리, 인류의 승리일까요?

△‘세계 체스 챔피언 가리 카스파로프 vs IBM 슈퍼컴퓨터‘ 체스 대결
사실 인간과 기계의 대결은 바둑이 처음이 아니었습니다. 1989년, 세계 체스 챔피언인 가리 카스퍼로프와 IBM의 딥쏘트(Deep Thought)의 체스 경기가 있었고, 결과는 카스퍼로프의 완승이었습니다. 이에 IBM은 1996년 더 진화된 딥블루(Deep Blue), 그리고 1997년 디퍼블루(Deeper Blue)를 선보였죠. 결국 디퍼블루는 2승 3무 1패로 승리를 거둬 세계 챔피언을 이긴 기계로 기록되었습니다.

△‘인간 vs 인공지능’ 스타크래프트 대결
지난 10월 31일, 세종대에서는 인간과 AI의 스타크래프트 대결이 있었습니다. 인간 선수는 재학생 2명과 프로그래머 송병구, AI 선수는 세종대에서 개발한 MJ봇을 비롯해 호주의 ZZZK, 노르웨이의 TSCMOO 등이 출전했습니다. 결과는 재학생 일반인 선수는 모두 패했고, 송병구 프로게이머는 완승을 거뒀습니다. 송병구 선수는 “처음에는 방심했는데 실제로 경기를 치러보니 실제 인간과 유사한 모습을 보였다. 다만, 섬세한 부분이 아직 부족했다”고 소감을 밝혔습니다.

△‘인간 vs 인공지능’ 가위바위보 대회
AI 기술 기반 스타트업에서 인간과 인공지능의 가위바위보 대회를 개최합니다. 인간 참가자와 인공지능 개발팀 누구든 참여할 수 있으며, 인간과 인공지능 모두 예선을 거쳐 선발된 최후의 1인(1팀)이 결승을 치르는 형태입니다. 해당 스타트업은 “이번 대회를 통해 일반인들이 보다 쉽고, 재미있게 인공지능에 대해 이해했으면 한다”고 설명했습니다.

△‘인간 vs 인공지능’ 재즈 연주 대결
지난 자라섬국제재즈페스티벌에서는 인간과 인공지능의 재즈 대결이 있었습니다. 블라인드 무대에서 AI와 인간이 8마디씩 곡을 교차로 들려주고 관객이 알아맞히는 방식이었습니다. 신경과 근육의 미세한 움직임, 즉 감성의 차이로 표현되는 연주 부분에선 AI 기술이 미완성 단계라고 보고 있다고 합니다. 그럼에도 AI가 지배할 미래 음악 산업에 대해서는 우려를 표했습니다.

△‘인공지능 vs 인공지능’ 월드컵
KAIST에서는 인공지능이 구현하는 AI 월드컵 대회를 개최하며 지난 2일 시범경기를 일반인에게 공개했습니다. 경기는 기존 축구와 같이 상대 팀 골대에 골을 넣어 득점이 많은 팀이 이기는 방식으로 치러집니다. 또한, 축구뿐 아니라 경기 영상을 분석하고 해설하는 AI 경기 해설과, 결과를 기사로 작성하는 AI 기자도 선보였습니다.
인공지능 계의 메시는 누구(?)일까요?
[유수현 기자(boan4@boannews.com)]

[출처] http://www.boannews.com/media/view.asp?idx=57854&mkind=1&kind=1

782 total views, no views today

4월 27

사이버 위협 첩보 전문가가 되는 세 가지 방법

사이버 위협 첩보 전문가가 되는 세 가지 방법

      2017-04-27
위협 첩보 전문가가 되고 싶은가?
쉽지 않은 길이지만 세 가지 방법이 있다

[보안뉴스 오다인 기자] 사이버보안 전문가가 부족하다는 건 새로울 것 없는 사실이지만, 수요는 계속해서 커지고 있다. 미국 노동통계국에 따르면, 2018년까지 사이버보안 전문가에 대한 수요는 지금보다 58% 커질 것으로 보인다. 여러 조직과 정부 단체들은 앞으로도 계속 대규모 침해에 희생될 것이다. 정보보안 전문가에 대한 수요가 아주 확실할지라도 어떻게 그런 전문가가 될 수 있는지에 대한 커리어 로드맵은 불분명하다.

보다 많은 전문가들이 시급히 필요한 상황임에도 사이버보안 전문가 양성에 관한 교육적 선택지나 공식적인 경력을 쌓을 수 있는 길들은 제한돼있다. 운 좋은 몇 사람들의 경우에야 기존 IT 일을 하다가 사이버보안에서 자기 자리를 찾기도 하지만, 너무도 많은 사람들이 헤매고 있는 것이 현실이다. 정보보안 전문가가 되기를 꿈꾸지만 어디서 어떻게 시작할지 방향성을 잡지 못하기 때문이다. 그 중에서도 사이버위협 첩보 전문가가 되는 길 또한 마찬가지다.

ⓒ iclickart

사실, 사이버위협 첩보 전문가가 되는 길은 다른 사이버보안 분야에서 전문가가 되는 것보다 훨씬 더 어렵다. 그 길을 걸어온 사람이 훨씬 적기 때문이다. 사이버위협 첩보 전문가는 멀웨어 전달 기술을 이해하고 패킷 캡처를 읽어내는 능력 등 사건대응 분석가와 동일한 기본기술들을 쌓아야 하지만, 거기다가 첩보 이론의 기초에 대해서도 확실히 이해하고 있어야 한다. 첩보의 생애주기, 정보수집, 다양한 첩보 분석타입 개발, 시기적절하고 관련성 높은 첩보 제품 개발 등이 이에 포함된다. 이런 첩보 특화 기술들은 다른 정보보안 교육과정과 거의 겹치지 않기 때문에 정보보안의 세계에서 사이버위협 첩보는 다소 동떨어진 섬처럼 느껴지기도 한다.

위협 첩보 역할을 정의하기
여러 조직들이 정보보안 프로그램을 개발하면서, 위협 첩보의 역할도 점차 대중화하는 중이다. 위협 첩보 기술을 가진 정보보안 전문가는 그 업무범위가 크든 작든 간에 계속해서 더 필요한 상황이다. 사이버위협 첩보 프로그램의 이점을 최대한 활용하기 위해선 해당 팀에 훈련 받은 위협 첩보 분석가를 반드시 배치해야 한다. 배치된 분석가는 먼저 조직의 내·외부로부터 위협과 관련해 가공되지 않은 데이터를 수집, 분석한다. 그런 다음 경영진 등이 최종결정을 내릴 수 있도록 분석결과를 제공하며, 첩보 전문가가 사이버위협과 관련해 상황판단을 내리는 데 도움이 되도록 분석결과를 보고한다.

이를 제대로 수행하려면 위협 첩보 분석 훈련과 정보보안 분야의 특정한 기술들도 필요하다. 구체적으로, 분석결과를 유도하기 위한 정보수집의 요건들을 정의할 수 있고, 첩보 전문가가 요청한대로 새로운 첩보결과들을 개발할 수 있으며, 적어도 로그나 패킷캡처, 첩보의 전후 상황을 읽어낼 수 있는 능력들을 갖춰야 한다는 말이다. 분석 자체를 수행하고 다른 첩보에 대한 보고서를 작성하는 것이 분석가의 기본 역할임은 말할 필요도 없다.

세 가지 길
사이버위협 첩보 훈련을 받고자 한다면 다음과 같은 세 가지 주요 경로를 고려해보자. 먼저, 대학이나 군대를 통해 기존 첩보 이론을 공부하는 길을 택할 수 있다. 대학이나 군대는 위협 첩보에 대한 전인적 강좌 및 프로그램들을 제공하기 때문이다. 이런 프로그램들이 비록 사이버보안 영역에만 오롯이 맞춰져있진 않더라도, 이 길을 택한다면 첩보에 대한 실용적인 지식과 다양한 적용기술을 익힐 수 있다. 향후 정보보안 분야에서 이런 배경지식을 이상적으로 활용할 수 있을 것이다.

일반적인 사이버보안 직군에서 학위를 따거나 독학해 추후 첩보 경력을 도모하는 것도 하나의 길이다. 사이버보안 중심의 전공이 있는 학교는 아직 많지 않지만 카네기 멜론이나 조지아 테크 같이 프로그래밍부터 네트워크 보안 스크립팅 및 컴퓨터 과학수사까지 보안의 근본을 가르치는 유수한 대학들도 많다. 이런 기술을 갖는 것은 사이버보안 전문가를 꿈꾸는 사람에게 단단한 발판을 제공해줄 것이다. 그러나, 일반적인 사이버보안 커리큘럼이 정보보안 첩보를 위해 특별히 설계된 과정은 아니라는 점 또한 명심해야 할 것이다.

위와 같은 길을 택한 사람이라면 현장에 있는 동안 스스로 꾸준하게 공부하고 적용해보는 과정을 통해 첩보 기술을 익혀야만 한다. 이 길을 밟는 사람은 첩보 원칙에 대한 이해도가 기존 첩보 경력자만큼 탄탄하지 못할 수 있고, 첩보 전문가가 되기까지 많은 굴곡을 겪을 것이다. 따라서 이 길을 걷기로 선택했다면 반드시 추가적인 OJT(On the Job Training)나 다른 자원들을 찾아서 본인의 첩보 능력치를 키울 수 있도록 노력해야 한다. 위협 첩보 분야에서 전통적인 훈련을 받은 분석가들과 함께 일하는 것은 부족한 능력을 채울 수 있는 탁월한 방법이다.

위협 첩보 분야의 커리어에 대해 구체적으로 설명하기에는 공식적인 선택지가 너무 없다. 따라서 이 분야에서 성공하기 위해선 창의성과 끈기, 두 가지 자질이 모두 필요하다. 공공 자료를 자기 것으로 소화하기 위해 노력하고 직접 해보면서 배우는 것은 위협 첩보 분석 기술을 개발해나가는 데 효과적인 방법일 수 있다. 위협 첩보 분야에서 첫 발을 뗄 수 있도록 돕는 무료 자료들 또한 온라인에 많이 있다. 카네기 멜론 대학교의 사이버 첩보 트레이드크레프트 프로젝트(Cyber Intelligence Tradecraft Project)나, 미국 중앙정보부(CIA)에서 무료로 제공하는 첩보 분석 심리학(Psychology of Intelligence Analysis)이라는 중요한 문서 등이 그 사례다.

가상 머신을 활용해 이것저것 실험해보는 것도 좋은 방법이다. 피드, 로그, WHOIS 등과 같은 자료들로 첩보의 기본 자료를 만든 다음 첩보 분석에 직접 돌입해보는 것이다. 시큐리티 비사이드(Security BSides)와 같은 지역 보안 행사에 참석하거나 정보보안 관계자 모임에 참석해서 자신보다 경험이 많은 분석가와 엔지니어와 함께 시간을 보내는 것도 좋다. 이런 모임에서 구글이나 미트업닷컴(Meetup.com)의 관계자들과 친분을 쌓을 수도 있는 일이다. 이와 같은 행사들은 사이버위협 첩보에 대해 직간접적으로 관련된 주제 및 전문가들로 이뤄진다. 메일링 리스트에 등록하고, 데프콘그룹(Defcon Groups)과 같은 온라인 모임에도 참여하자. 다크리딩(Dark Reading)과 유투브 상의 정보보안 관련 토론들도 챙겨보자.

정보보안 분야만큼 과정이 풍부하진 못할지라도, 위협 첩보에 특화한 자료들도 존재한다. 효과적인 자료를 찾아내서 내 손으로 위협 첩보 커리어를 개척해보는 것은 어떨까.

글: 트라비스 파랄(Travis Farral)
[국제부 오다인 기자(boan2@boannews.com)]

[출처] http://www.boannews.com/media/view.asp?idx=54456&page=1&kind=4#

534 total views, no views today