🍎 BoB 뉴스레터 6월호 스토리
-
📢 6월 BoB 수료생&멘토 소식
- 2023 사이버 보안 컨퍼런스 개최 📢
-
수료생 근황 토크 - 11기 디지털포렌식 트랙 이익규님
-
[정보보호 동아리 취재] 중부대학교 S.C.P
-
진로 특집 - 장영진 교수님과의 만남으로 알아본 화이트 해커의 과거와 미래 👨🏫🔏
-
새로운 위협에 대비하는 국가정보보호백서 2023 발간
|
|
|
🍋 윤도현 멘티 <11기 디지털 포렌식 트랙>
|
|
|
2023년 06월 '엘라스틱서치 바이블' 출간
|
|
|
(2) 2023 사이버 보안 컨퍼런스 개최 📢
|
|
|
오늘날 디지털 기술의 사용 증가로 초연결 사회를 맞이하고 있다. 현실과 가상의 관계가 모호한 사회에서 우리는 인터넷을 통해 끊임없이 연결되어있다. 우리의 삶은 이러한 변화로 인해 끊임없이 발전해 왔다.
이러한 초연결 사회는 사이버 보안에도 중대한 위협이 되고 있다. 인공지능 기술의 등장으로 AI 알고리즘을 사용하여 취약점을 찾고 공격의 방법이 점차 다양하고 복잡하게 변화하고 있다. 특히 공공기관이나 기업들은 점점 더 많은 데이터를 다루게 되면서 이와 같은 해킹의 위협에 노출될 가능성이 크다. 이처럼 사이버 보안 산업의 구조는 빠르게 변화하고 있다. |
|
|
이러한 위협에 대처할 수 있는 대비책이 필요하다는 목소리가 나오고 있다. 사이버 공격을 탐지/대응하는 것 뿐만 아니라 사전 예방 조치를 통해 공격자보다 한발 앞서 능동적이고 효과적으로 방어할 수 있는 기술도 필요하다. |
|
|
조선비즈에서 이러한 트렌드를 반영하여 미래를 전망하기 위해 ‘AI 시대의 사이버 위협’을 주제로 '2023 사이버보안 컨퍼런스'를 6월 14일 9시부터 15시까지 개최했다. |
|
|
지난 해에 이어 두 번째로 개최되는 이번 컨퍼런스는 사이버 보안과 관련된 기업인들이 참석해 보안 트렌드를 공유하고 사이버 위협의 양상에 대해 이야기했다.
기조 연설로 크리스 호킹스(Chris Hockings) IBM 시큐리티 아태지부 CTO가 ‘개방형 보안 시대: AI를 위한 데이터, 계정, 그리고 위협관리’라는 주제로 컨퍼런스의 막을 올렸다. 그 다음으로 최고 권위의 해킹방어대회인 데프콘(DEFCON CTF)를 주최하고 현재 미국 사이버 안보 인프라 보호청 기술 자문위원으로 참여하고 있는 얀 쇼시타이시빌리(Yan Shoshitaishvili) 교수는 ‘보안 취약성 평가 자동화의 과거, 현재, 그리고 미래’라는 주제로 연설을 진행했다.
|
|
|
이원태 한국인터넷진흥원(KISA) 원장은 ‘Chat GPT 등 초거대 AI의 보안 위협과 대응’에 대해 강연을 진행했다. 이어서 임종인 고려대학교 정보보호대학교 교수를 좌장으로 크리스 호칭스 CTO와 쇼시타이시빌리 애리조나 주립대학교 교수, 그리고 이원태 한국인터넷진흥원 원장이 모여 함께 대담을 나눴다.
|
|
|
이후에는 조지훈 삼성 SDS 보안연구 마스터가 ‘양자컴퓨터 시대의 보안 위협과 대응 방안’에 대해 강연하였으며 그 뒤를 이어 엄정용 LG CNS 보안 솔루션 담당은 ‘생성형 AI를 활용을 위한 보안 대응 방안’, 신종회 엔씨 소프트 CISO는 ‘제로트러스트를 활용한 AI 서비스의 보안 위협 대응 전략’에 대해 소개했다.
김종현 SK쉴더스 시큐디움 센터장은 ‘A.I 기반의 보안 관제 한계 극복’이라는 주제로 강연했다. 마지막으로 윤두식 지란지교시큐리티 대표는 AI를 이용하는 과정에서 생기는 보안이슈에 대해 이야기하고 이에 대응할 수 있는 방안에 대해 소개했다.
|
|
|
사이버 보안의 대한 양상이 실시간으로 변화함에 따라 다양한 컨퍼런스의 참여를 통해 트렌드를 알아가는 것은 중요하다. 이번 2023 사이버 보안 컨퍼런스를 통해 최근 트렌드인 AI가 가지는 보안 주제들에 대한 정보를 알아갈 수 있는 기회라고 생각한다.
|
|
|
(3) 수료생 근황 토크 - 11기 디지털포렌식 트랙 이익규님
|
|
|
악성코드 분석 분야에 취직하면 어떤 일을 하고, 어떻게 악성코드를 분석할 수 있는지 그 방법에 대해 궁금해하시는 분들이 계실 것이다. 이번 기사에서는 이러한 궁금증을 해소하고 조금 더 악성코드 분석에 다가갈 수 있도록 안랩에 취업한 11기 디지털포렌식 트랙 이익규님을 모셨다. |
|
|
[BoB 11기 디지털 포렌식 트랙 이익규 님]
|
|
|
안녕하세요, 저는 BoB 11기 디지털포렌식 트랙을 수료한 이익규라고 합니다. |
|
|
BoB 수료하고 학교생활을 열심히 하다가 이번 1학기에 안랩 신입 공채에 지원하게 되었습니다. 지원 결과, 안랩에 최종 합격을 하게되어 안랩에서 일하게 되었습니다. |
|
|
3. 안랩에서는 어떤 직무를 수행하실 예정이신가요?
|
|
|
저는 악성코드 분석을 주로 하게 될 예정입니다. |
|
|
4. 악성코드 분석에 관심을 가지게 된 계기가 궁금합니다.
|
|
|
저는 1학년 때 학교 동아리에서 리버싱을 처음 배웠습니다. 이후 군대를 전역하고 다시 공부를 시작할 때 1학년때 배웠고 제일 거부감이 들지 않았던 리버싱이라는 분야를 택하게 되었습니다. 그 과정에서 자연스럽게 악성코드 분석에 관심을 가지게 되었던 것 같습니다. |
|
|
5. 많은 분들이 악성코드 분석에 관심을 가지고 있는데 샘플을 구하는데 어려움을 겪는 경우가 있습니다. 혹시 악성코드 샘플을 찾는 데 팁이 있을까요?
|
|
|
샘플 같은 경우에 저는 MalwareBazaar, ANY.RUN, Hybrid Analysis 등과 같이 무료 샌드박스 플랫폼에서 많이 구하는 것 같습니다. 그리고 또한 보안뉴스의 기사나 보안 회사들의 악성코드 분석 리포트를 보면서 최신 악성코드를 찾아서 분석했던 것 같습니다. |
|
|
6. 그렇다면 본인만의 악성코드 분석 팁이 있을까요?
|
|
|
저도 그렇게 잘하는 건 아니지만, 보통 제가 악성코드를 분석하기 전에 해당 샘플에 대해서 정적으로 확인을 해보게 됩니다. 어떤 언어로 쓰여져 있는 지, 만약에 .NET이라면 해당 .NET를 분석하기 위한 툴 등을 찾아보는 편입니다. 특히 악성코드를 분석을 하다보면 좀 어려운 구간이나 처음보는 알고리즘이 있을 때가 있습니다. 랜섬웨어라고 가정을 했을 때, 랜섬웨어에는 암호화 알고리즘이 많은데 랜섬웨어 제작자들도 공식 알고리즘을 사용하는 경우가 있어서 해당 암호화 알고리즘을 찾을 때, 공식 문서를 확인하는 것들이 팁이 될 수 있을 것이라고 생각합니다. |
|
|
7. VMProtect처럼 까다롭게 패킹된 악성코드 파일들이 존재하는데 혹시 그런 종류의 악성코드를 분석할 때 본인만의 노하우가 있을까요?
|
|
|
제가 VMProtect를 분석해본 적이 있긴 한데, 노하우는 딱히 없었고 열심히 분석을 했던 것 같습니다. 연산 되는 곳을 찾아서 연산되는 곳에서 함수 쪽으로 넘어가는 부분을 2주간 찾았던 기억이 있습니다. |
|
|
일단은 취직을 했기 때문에 회사생활에 잘 적응하는 것이 주 목표입니다. 안랩이 신입사원들이 다니기 좋은 회사라고 알고 있습니다. 그래서 거기서 많이 배우고 성장할 계획을 가지고 있습니다. |
|
|
9. 마지막으로 후배들에게 해주고. 싶은 조언이 있을까요?
|
|
|
BEST10에 너무 목을 안 매었으면 좋겠어요. 사실 그냥 탑텐이든 아니든 자기가 열심히 한 만큼 결과가 돌아오는 것 같아요. 꼭 탑텐이 아니더라도 그만큼 얻어 갈수 있는 것도 많고 “사회에서 이 사람은 탑텐이고 나는 탑텐이 아닌데 내가 과연 이 사람보다 나은게 뭘까?“ 그런 의문을 안 가졌으면 좋겠어요. |
|
|
끝으로 인터뷰에 응해주신 이익규님께 감사드리며, BoB 12기를 시작하는 교육생분들에게 좋은 조언이 되었길 바란다. |
|
|
(4) [정보보호 동아리 취재] 중부대학교 S.C.P
|
|
|
전국에는 다양한 정보보호 동아리들이 활동을 이어나가고 있다. 그중 이번 6월 호에서는 서경강권에서 활발하게 활동하고 있는 중부대학교 S.C.P를 취재하였다.
|
|
|
[중부대 S.C.P - 출처 : S.C.P 제공]
|
|
|
올해 2023년 KUCIS에 선발되었으며, POC 이벤트 부스 운영 및 S.C.P 오픈 세미나, JBU CTF와 같은 행사를 진행했던 중부대 S.C.P에 대해 더 상세히 듣고자, 현재 S.C.P 회장을 맡고 있는 이예준 님을 모셨다.
|
|
|
1. 안녕하세요, 먼저 간단한 자기소개 부탁드립니다. |
|
|
안녕하세요, 저는 현재 S.C.P 회장을 맡고 있는 중부대학교 정보보호학 전공 19학번 이예준입니다.
|
|
|
2. S.C.P 동아리에 대해서 간단히 소개 부탁드립니다. |
|
|
저희 S.C.P는 정보보호 관련 지식을 공부하고 매주 세미나를 진행하여 지식을 나누는 동아리입니다. 신입 부원에게는 재학생이 C언어와 리눅스 멘토링을 진행하며, 방학 기간에는 팀을 구성하여 프로젝트를 진행함으로써 다양한 경험을 쌓아가고 있는 동아리입니다.
|
|
|
3. 동아리 이름이 왜 S.C.P인지 알려주실 수 있으신가요? |
|
|
S.C.P는 Security와 Check Point 약자로 지어진 것이며, 정보보호 관련 지식을 공부하고, 쉽게 넘어갈 수 있는 보안 지점을 한 번 더 확인해 보자는 의미를 담고 있습니다.
|
|
|
4. S.C.P 동아리에서는 어떤 활동들을 진행하고 있나요? |
|
|
[중부대 학과 세미나 - 출처 : S.C.P 제공]
|
|
|
먼저 상반기에는 주로 신입 부원 멘토링과 지식을 공유하는 내부 세미나가 중점적으로 진행됩니다.
멘토링의 경우, C언어와 리눅스 멘토링을 지속적으로 진행하고 있으며, 이번 연도부터 학과 부원들을 대상으로 시스템 해킹, 웹 해킹, 악성코드 분석 특강 또한 진행함으로써 학과 발전에 기여하고 있습니다. |
|
|
하반기의 경우, 코드게이트, POC, 해킹 캠프 등 다양한 컨퍼런스에 참가하여 보안 관련 트렌드를 인지하고 여름방학부터는 자체적으로 CTF 문제를 제작하여 하반기에 JBU CTF (해킹방어대회)를 개최하고 있습니다.
JBU CTF의 경우, 처음에는 학과 친구들의 관심도를 높이기 위해 시작하였으나, 지금은 외부 중/고등학교 친구들도 참가함으로써 저희 학교를 알릴 수 있는 이벤트로 지속적으로 진행되고 있습니다.
또한 대외적으로 Hspace, CCA, 인코그니토 등 파트너를 맺고 각종 세미나와 프로젝트를 참가하면서 활동을 진행하고 있는 중입니다. |
|
|
5. 올해 S.C.P 동아리 내에서 새롭게 진행하거나, 계획한 활동이 있으신가요? |
|
|
[2022 JBU CTF 포스터 - 출처 : S.C.P 제공]
|
|
|
앞서 말씀드린 시스템 해킹, 웹 해킹, 악성코드 분석에 대한 특강이 올해부터 시작된 상태이며, 학과 반응이 좋기에 지속해서 진행하고자 하고 있습니다.
또한, 졸업하신 선배님들과 지속적으로 연락을 가짐으로써, 올해의 경우 안랩 및 토스 기업 견학을 진행할 예정입니다.
|
|
|
6. 올해 KUCIS와 관련하여 어떤 프로젝트 & 활동을 진행하실 예정이신가요? |
|
|
저희 S.C.P 동아리는 이번에 KUCIS 프로젝트로 OSINT 솔루션 개발을 진행할 예정입니다.
간단하게 설명하자면, 웹 크롤링과 API를 통해 데이터를 수집하고 가공해서 제공하는 프로젝트이며, 이를 통해서 특정 기업에 자사에 민감한 정보에 대하여 식별하고 대처할 수 있도록 하는 것을 목표로 하고 있습니다.
또한, 해당 프로젝트를 진행하는 과정 중 테스팅 과정에서 웹 크롤링의 경우, 대상에 대한 민감한 정보 혹은 문제가 존재하기에 이를 해결하기 위해서 자체적으로 모의 기업을 구축한 뒤, 도구 검증을 진행할 예정입니다.
|
|
|
7. 정보보호 동아리 내에서 활동하시면서 가장 기억에 남으시는 활동 & 경험은 무엇인가요? |
|
|
저희 S.C.P 동아리는 매년 하반기에 JBU CTF라는 해킹방어대회를 개최합니다.
처음에는 동아리 홍보를 위해서 진행하였으나, 현재는 서울/경기권으로 확장하여 중, 고등학생 또한 참가가 가능한 상태로 진행함으로써 학교 자체를 홍보할 수 있는 계기가 되었습니다.
교외로 개최하는 만큼, 교내에서 개최하는 것보다 운영적인 부분에서 많은 책임감을 느끼고, 준비하는 과정에서 많은 어려움을 극복했던 것들이 인상 깊게 남는 것 같습니다.
올해 2023년도에도 하반기에 제4회 JBU CTF를 개최할 예정이며, 여름 방학 기간 동안 열심히 준비하여 성공적인 CTF를 운영하는 것을 목표로 두고 있습니다.
많은 관심 가져주시면 감사하겠습니다! 😀
|
|
|
8. 정보보호 동아리를 운영하면서 애로사항이나 어려운 점이 있다면 무엇인가요? |
|
|
신입 부원 시절에는 주어진 일정에서 공부하고 세미나 발표를 준비했으면 됐으나, 고학년이 되고 회장을 맡으면서 동아리 운영 면에서 많은 어려움을 겪었던 것 같습니다.
하지만 동기나 주변에서 많은 도움을 주셔서 어떻게 하면 동아리가 더 발전할 수 있을지 생각해 보고 추진해 보면서 S.C.P와 함께 성장하고 있는 것 같습니다.
|
|
|
9. S.C.P 만의 특징 & 특색이 있다면 어떤 것이 있나요? |
|
|
저희 S.C.P 동아리의 가장 큰 특징은 저희 동아리가 매주 내부 세미나를 진행하고 있는데, 발표 역량을 기르기 위해서 매일 준비하고 있습니다.
단순히 공부뿐만이 아닌, 알고 있는 지식을 전달하는 것을 중요하다고 생각하기에 내부 세미나 비율을 높여서 자주 진행하고 있습니다.
방학 같은 경우에는 팀을 자체적으로 구성하여 프로젝트를 진행함으로써 BoB 및 대외활동에서 프로젝트를 진행하기 전에, 보다 대외활동을 더 잘 진행하기 위해 자체적으로 프로젝트를 진행함으로써 역량을 길러나가는 것이 저희 S.C.P의 특징이라고 생각합니다.
|
|
|
이번 뉴스레터 6월 호에서는 서경강권에서 활동하고 있는 중부대학교 S.C.P에 대해 취재하였다.
이번에 진행한 인터뷰 내용을 통해서 정보보호 동아리 내에서 활동하고 있거나, 운영진으로 활동하고 있는 BoB 인들에게 조금이나마 도움이 되었으면 좋겠다.
|
|
|
(5) 진로 특집 - 장영진 교수님과의 만남으로 알아본 화이트 해커의 과거와 미래 👨🏫🔏 |
|
|
본 뉴스레터를 찾아오는 이유 중에는 보안 관련 행사의 정보를 얻기 위한 목적도 있지만, 자신의 진로를 구상해 나가는 과정에서 도움을 받기 위함도 있을 것이다. 이에 이번 6월 호 기사에서는 정보 보안의 넓은 범위 중 'Offensive Security/취약점 분석 분야'로 나아가기를 희망하는 학생들에게 도움을 주기 위한 진로 특집을 기획해 보았다. 경험적이고 사실에 근거한 정보 전달을 위해 매 기수 BoB 교육생들을 위해 최신의 학계 동향을 전달해주시는 장영진 교수님과 컨택하여 인터뷰 진행하였다.
|
|
|
🔏 안녕하세요, 장영진 교수님! 인터뷰 요청 흔쾌히 받아주셔서 감사합니다. 자기 소개 부탁드릴게요! |
|
|
[장영진 교수님 - 사진 출처: 장영진 교수님 제공]
|
|
|
안녕하세요. 저는 장영진이라고 하고, 최근까지 오리건 주립 대학교에서 근무하였지만 6월 15일 자로 퇴직하고 이직 준비중입니다. 대학원에 있으면서 대표적으로 iPhone, Intel CPU 해킹이나 다양한 운영체제 보안 기법들에 관해 연구했습니다. 동시에 해킹 대회도 다양하게 출전하고, 운영해왔어요.
초등학생 시절 ‘프린세스 메이커’ 같은 게임을 하면서 컴퓨터와 친해지긴 했는데, 막상 보안 분야에 제대로 들어오게 된 시기는 군대 전역하고 2008년인 24살쯤이네요.
|
|
|
🔏 아하 그렇군요, 그렇다면 첫 커리어로 대학원을 진학하시고 또 교수직을 선택하게 된 계기가 궁금합니다! |
|
|
우선 저는 2008년부터 해킹 대회에 참여하면서 해킹 공부를 본격적으로 시작했는데요. 2009년과 2010년 DEFCON CTF 본선에 참가하여 각각 6등과 3등의 결과를 이뤄내면서 이후에도 지속적으로 최신의 해킹 및 보안 기술을 배우고 싶다는 생각이 들었습니다.
연구실을 고르게 된 기준은 당시 Wenke Lee 교수님이 DDoS Detection/Prevention과 Malware analysis의 세계 1인자 대가 교수님이셔서 제가 원하는 연구를 할 수 있을 것 같아 선택하였습니다.
‘교수’라는 직업을 선택하게 된 계기는 대학원 공부를 하다 보니 하고 싶은 것이 더 구체적으로 생기게 되었는데요, 우선 컴퓨터로 돌아가는 모든 것들에 대해 사이버 공격/방어의 관점으로 넓게 연구하며 좋은 영향력을 전파하고 싶다는 생각이 컸는데, 제가 회사 취직을 할 경우 중립적으로 해킹에 대한 발표할 수 없는 경우가 많다는 점을 알게 되었습니다.
|
|
|
예를 들어, A사의 직원이 되어 당사 제품의 취약점을 발견한 경우 내부에서 패치가 이루어지고 끝인 경우가 다반사이고, B사의 직원일때 C사의 제품의 취약점을 발견하여 좋은 목적으로 발표한다고 하더라도 업계에서 건설적인 방향으로 보안성 논의가 이루어지는 것이 아니라 관련 회사 간 이상한 공격 구도의 분위기가 형성되는 것이죠.
Google Project Zero가 있긴 하지만, 너무 공격적인 부분만 하고 싶진 않다는 생각이 들었습니다. 이렇게 많은 것들을 고려해 봤을 때, 중립적으로 하고 싶은 말과 연구를 다 펼치며 연구할 수 있는 곳은 ‘대학원'이라고 생각했고, 이 경험으로 자연스레 ‘교수’를 선택하게 되었습니다.
그리고 가장 제게 매력을 느낀 특징은 ‘가르치는 것’이었습니다. 가르침을 통해 매일 후학 양성에 대한 사회적 임팩트를 내는 것이 제가 교수직을 선택하게 된 큰 계기였던 것 같습니다.
|
|
|
🔏 이제까지 들었던 지원 동기 중에서도 손꼽히게 기억에 남을 멋진 스토리인 것 같습니다. 그런데 최근 산업계로 이직하실 예정이라고 알고 있는데, 그 계기가 궁금합니다. |
|
|
네 맞습니다. 지금까지 6년 정도 근무하였는데, 일을 하다 보니 교수직에도 장단점이 있다는 것을 몸소 느껴 아쉬웠던 점을 해소하고자 결정하였는데요. 우선 교수직의 장점부터 말씀드리자면, 중립성과 자율성이 굉장히 크다는 점이 있고, 미국 대학 교수의 경우 특히나 직속 상사나 상관이 없어 자유롭다는 점입니다. 그리고 젊은 학생들과의 교류(20~30대 초반)가 매년, 매 순간 이루어진다는 점은 엄청난 장점입니다. 덕분에 새로운 것을 항상 접하며 세상이 변해가는 것을 체감할 수 있고, 기술적으로도 젊게 살기가 가능하죠. 학생들과 Discord로 소통하며, 제가 써 보지 않던 새로운 framework들을 학생들에게 배우는게 아주 재밌었습니다.
하지만 단점으로는 첨단 기술이나 큰 규모의 연구는 몇몇 학교에서만 할 수 있는 경우가 많다는 점이 있어 아쉬웠습니다.
다년간의 교수 생활은 스스로 문제를 찾고 푸는 스킬을 더욱 강화할 수 있었다고 생각합니다. 그러나 학교에 있다 보면 약간 상아탑 같은 느낌이 들 때가 있었습니다. 다 그런 것은 아니지만, 많은 경우에 실제 문제를 해결한다기 보다, 논문을 위해 만들어진 작은 scope의 문제를 푸는 경우가 많다고 느꼈습니다. 학교는 프로토타입(Proof-of-Concept)을 만드는 곳이기 때문에 학계 연구가 추상적, 개념적으로는 훌륭한 것이 많지만, 실제로 적용되는 것은 아주 소수라 이 부분에 관해 많은 고민을 하게 되었습니다.
|
|
|
따라서 제가 이전까지 생각한 회사의 단점은 ‘시키는 일을 해야 한다’였는데, 연구 생활을 하며 느꼈던 한계점과 더불어 다시 생각해보니 시키는 일이 아니라 팀을 리딩하며 스스로 문제를 찾고, 사람들을 설득하며, ‘실제 제품을 안전하게 만들어서 사회에 공헌 할 수 있다’ 라는 생각이 들어서 산업계로 이직하려는 마음을 갖게 되었습니다.
정리하자면, 저는 사이버 보안 분야에서 사회적 임팩트를 크게 내고 싶기 때문에 이를 위해서는 학계 보다는 산업계가 직접적인 공헌을 할 수 있겠다고 결론 짓게 되었습니다.
|
|
|
🔏 해외 대학원 및 유학에 관련한 조언도 주시면 좋을 것 같아요! |
|
|
군 문제나 영어 기피 등의 이유로 해외 진학을 생각하지 않는 경우가 많다고 알고 있는데, 저는 해외 대학원 진학을 매우 추천합니다. 그 이유는 토론 중심의 문화와 교수/포닥(Post Doctor) 들과 대등한 관계에서 연구할 수 있는 환경이기 때문입니다.
|
|
|
제가 경험해 보기로는 미국과 같은 해외의 학생보다 한국에 더 끈기 있고 똑똑한 사람이 많은 것 같습니다. 그렇지만 연구는 비판적 사고(critical thinking)가 굉장히 중요합니다. 한국도 많이 바뀌고 있긴 하지만, 아직까지도 질문을 많이 하지 않고 시키는 것만 하겠다는 경우가 많고, 무엇이 중요하고 무슨 문제를 풀어야 할지 모르는 학생들이 많은 것 같아요.
물론 좋은 한국 대학원도 많지만, 나이, 직급 등에 구애받지 않고 토론하며 연구하는 문화는 꼭 경험해 보면 좋을 것 같습니다. 영어와 해외 생활을 두려워하지 않는다면, 생각보다 수월하고 즐거운 연구환경이 될 것이라고 생각합니다.
|
|
|
여기서 꼭 드리고 싶은 말씀은 해외 대학원이 무조건 좋다는 것은 아닙니다. 정말 안 좋은 곳도 수두룩합니다. 대학원은 학교 이름이 상관이 없으니, 학교 이름을 보고 학교를 고르지 말고 지도교수가 누구인가, 그 랩에서 무슨 연구를 하는가로 진학하는 것이 좋습니다.
|
|
|
진학하기 전 컨택 시기에는 원하는 연구실에서 무슨 연구를 하는지 최소 논문 20개는 읽어봐야 합니다. 아무것도 모르고 지원하면 All Reject이 당연합니다.
학점과 GRE 성적은 그다지 중요하지 않습니다. 총점 3.5 정도와 토플 100점이면 학점/시험성적은 충분합니다. 원하는 지도교수/랩으로 가려면 학점보다 연구 성과가 중요하므로 규모가 작더라도 국제적인 곳에 발표하는 것이 좋습니다.
이력은 International 하게 열람 가능하게 영어로 정리하는 습관을 가지시면 좋습니다. 또, Github에 자신의 코드나 발표 자료 등을 영어로 포트폴리오처럼 정리해서 홈페이지로 두는 것을 추천합니다.
|
|
|
🔏 맞습니다. 풀어야 할 문제를 발굴하는 것은 굉장히 어려운 것 같습니다. 이외에도 학생 때 기르면 좋을 역량이나 습관이 있을까요? |
|
|
첫째, 실패를 두려하지 않는 자세
저 또한 실패를 많이 했는데, 모든 저를 성장하게 만든 것은 이 실패의 경험이라고 생각합니다. 실패는 곧 배우는 것으로 생각하며 ‘다시 똑같은 실수를 하지 않으려면 어떻게 해야 하지?’라는 식으로 긍정적으로 피드백하는 것이 중요합니다.
둘째, 궁금한 점이 생기면 질문하는 것
수업 시간이든, 강연을 듣게 되든 궁금한 점이 생기면 두려워하지 말고 꼭 질문을 해보시기 바랍니다. 또 능동적으로 사람들에게 다가가고 여러 관점으로 배우는 것이 굉장히 좋습니다.
셋째, 잘한 연구를 보면, 저자에게 연락해서 질문하고 배우기
직전과 같은 맥락인데요, 해외 컨퍼런스를 갔을 때 멋있는 연구를 봤다면, 거기에 그치지 않고 질문을 해보는 것입니다. 세상에서 제일 그 연구를 잘 아는 사람은 그 연구를 수행한 저자입니다. 컨퍼런스가 좋은 점은 그들의 발표를 들을 수 있고 직접적인 상호작용이 가능하다는 것이기 때문에 잘 활용하시기 바랍니다.
또한 논문에 명시된 메일로 질문하면 생각보다 저자들은 반가워하며 상세히 답변해 줍니다. 😄
|
|
|
넷째, 이론의 중요성
다른 사람들이 해보지 못한 생각을 할 수 있는 역량이 중요한데, 이를 잘하기 위해서는 이론적 배경이 중요합니다. 이론을 배우지 않으면 자기 생각이 잡힐 수 없기 때문에 이론 공부로 생각을 많이 확장시켜두어야 합니다.
학부 과정에서의 <알고리즘>, <오토마타>가 특히 좋은 것 같고요, 또 대학 수학과 <정수론>, <집합론>, <대수학> 등이 굉장히 중요합니다.
마지막으로 가장 중요한건 윤리의식입니다.
해킹 기술은 곧 핵 무기와 같다고 생각합니다. 요즘 세상에서는 랩탑 하나로 도시 하나를 지워버릴 수 있을 정도로 특히나 그 힘이 강력합니다. 그런데 이 힘을 가졌다고 오만해져선 절대 안됩니다. 힘을 어떻게 좋은 방향으로 사용해야 할지 고민하셨으면 좋겠어요. 자신의 힘을 씀으로써 무슨 일이 생기는지 말이죠.
|
|
|
[교수님 추천 도서 : 인류의 종말은 사이버로부터 온다 - 출처 : 교보문고]
|
|
|
이 책은 현재 사이버 세상에서 Exploit들이 어떻게 거래되는지 상세하게 알 수 있는 책입니다. 또 해킹을 할 수 있는 사람에 대해 국가기관과 군에서 해커를 어떻게 접근하고 대하는지도 간접적으로 알 수 있습니다. 사이버 전쟁이 지속되는 상황에서 화이트 햇 해커가 어떤 마음가짐을 가져야 하는지에 대해 간접적으로 배울 수 있어서 이 책은 꼭 추천하고 싶고, 이런 것들을 보면서 보안 윤리에 관해서 많이 생각해 보셨으면 좋겠습니다.
Exploit을 해당 회사에 제보하여 막는 것이 아니라, 다른 곳에 판매 하는 것은 화이트 햇 이라고 할 수 없습니다.
|
|
|
🔏 Offensive Researcher Roadmap을 구상해보신다면 어떻게 추천해주실 수 있으신가요? |
|
|
우선 이 질문에 답변하기 위해서는 Offensive Research에 대한 정의가 필요하겠네요. Offensive Research는 취약점을 시제품에서 찾고, ‘막는' 것을 목표로 하는 것이라고 생각합니다.
2010년까지만 해도 Offensive Security는 나쁜 이미지가 있었는데, 해킹 커뮤니티에서 vendor들과 교류하며 문화가 발전해서 각 회사에 offensive security team도 많이 생기게 되었어요. 예전에는 좋은 마음으로 회사에 제보해도 법적 문제로 번지곤 했습니다.
Offensive Research에서 가장 중요한건 윤리 의식이예요. 이것과 관련해서는 white hat, grey hat, black hat으로 구분하는데, white hat은 vendor에 직접 제보하거나 vendor와 함께 일하는 버그 바운티 (hacker one, etc.)에 제보하며 보안성 강화를 하는 사람을 말합니다. Zerodium에 제보하는 경우도 있는데, 이건 절대 white hat이 아닙니다.
Grey hat은 취약점을 찾아 사이버 공격자에게 공급하는 업체에 판매하는 사람들을 말하고요, 높은 보상을 받을 수 있죠. 예를 들어 안드로이드 제로클릭 풀체인은 30억 정도 받는다고 하더라구요.
마지막으로 black hat은 직접 사이버 공격자에게 판매하는 것으로 보상이 훨씬 더 큽니다(제로클릭 풀체인 100억+, 포렌식 resistantce, etc…).
|
|
|
저는 한번도 grey나 black hat을 쓴 적도 없고 하고 싶은 마음이 든 적도 없는데요, 많은 보안 공부하는 학생들이 저처럼 white hat을 했으면 좋겠습니다. 하지 말라! 까지 강요하는 것은 아니지만, 본인이 만든 것이 어떻게 쓰이는지 알고, 어떤 부정적인 영향을 가져오는지, 실제 그런 것을 하고 싶은 건지 확실히 아셨으면 좋겠습니다.
그래서 로드맵은 white hat에 대해서만 다룰게요.
|
|
|
1️⃣ 개인 – 버그 바운티 (프리랜서)
제품의 버그 바운티를 수행하며 그때그때 수익을 내는 것입니다. 잘하는 친구들은 정말 자유롭게 일하더라구요. 하지만 언제까지고 찾을 수 있다는 보장이 없으니 안정성이 조금 떨어집니다.
2️⃣ 회사 – 자사 제품 red team
사내 레드팀이 있다는 말은 많이 들어보셨을 것입니다. 제품을 새로 출시하기 전에 모의 침투를 수행해 보는 직무입니다.
3️⃣ 회사 – 타사 제품 pentesting
레드 팀은 같은 회사 소속으로 해킹을 수행하는 것이라면, 이것은 타사 소속으로 침투 테스팅을 하는 직무입니다. 컨설팅 펌이나 offensive 전문 회사에서 일하는 형태가 있습니다.
4️⃣ 회사 - threat intelligence
요즈음 실제 이루어지는 공격이 뭐가 있고, 그 익스플로잇을 막으려면 어떻게 조치해야하는지의 관점으로 운영되는 팀입니다. offensive에 defense가 섞이는 느낌이죠. crash report를 보고 실제로 이러한 유형의 exploit이 유행하므로 이걸 예방하기 위해 공부하는 것입니다.
|
|
|
제가 컨설팅/포렌식/개발 트랙 분들께는 유의미한 정보를 전달드리기 어렵지만, 분명 그 트랙의 중요성은 아무리 강조해도 지나치지 않다는 점은 말씀드리고 싶습니다. 컨설팅은 레드팀이 없는 곳에서 훌륭한 서포트를 할 수 있고, 인텔리전스는 곧 포렌식과 연결되기 때문에 해당 분야를 희망하며 열심히 공부하는 학생분들 모두 응원한다는 말씀드리고 싶습니다.
|
|
|
🔏 정말 알찬 이야기 해주셔서 감사합니다. 마지막으로 사이버 보안분야에 만연한 ‘오해’에 관해 말씀해주실 수 있나요? 예를 들어 ‘저는 늦은 것 같아요.’ 혹은 ‘해킹 기술은 재능 아닌가요?’ 등이 있는 것 같아요. 😊 |
|
|
개인적으로 생각하기에 이른 시기에, 이전에 잘한 것은 크게 중요하지 않습니다. 지금과 미래의 내가 잘하는 것이 중요합니다. 내가 늦었다고 생각하면서 고민하는 것은 자신의 미래를 스스로 깎아먹는 것입니다.
반대로, 늦었다는 것은 오히려 좋은 기회가 될 수 있습니다. 예를 들어보면, 저 또한 늦은 학생이었습니다. 대학교도 5년을 다녔고, 학점도 굉장히 낮았습니다. 또 보통 5년 정도 하는 박사 과정도 저는 7년을 지냈습니다. 이렇게 되니, 제가 군대를 다녀와서 대학을 졸업할 때 친구들은 대학원 과정의 후반이라 친구들의 경험과 시행착오를 듣고 해외 대학원 진학을 결정할 수 있었습니다.
또 대학원 과정 때는 김태수 교수님이 공동 지도 교수로 임용되어서 가깝게 지내며 교수 생활을 미리 간접적으로 경험할 수 있었습니다. 즉, 먼저 경험한 사람들의 시행착오를 보면서 그 과정을 축약해서 더 높은 곳으로 도약할 수 있는 것입니다.
그렇기 때문에 많은 학생들이 생각하는 ‘늦어서 안된다’라는 생각보다 자신의 위치에서 ‘내가 지금 뭘 하면 장점이 될까, 어떤 부족한 점을 효과적으로 채울 수 있을까’라는 생각을 하며 발전하는 자세가 좋을 것 같습니다.
|
|
|
해킹 실력은 재능의 영역이 결코 아닙니다. 지금 잘하는 것처럼 보이는 분들은 그만큼 많이 공부했기 때문에 잘하는 것이고요… 필요한 재능이 있다면 그건 끈기라고 생각합니다. 어떤 문제를 파고들고 끝까지 풀어보려 애쓰는 과정을 통해 성장하기 때문입니다.
|
|
|
무려 100분이라는 시간 동안 이야기를 나누었지만, 그만큼의 시간이 흐른지 체감할 수 없을 정도로 교수님의 이야기는 흥미로웠다. 교수님이 중요한 선택을 할 때 지인들의 조언이 도움이 많이 되셨기 때문에, 본 기사를 보는 학생들에게도 최대한 도움을 주고자 다양한 경험을 공유해 주신 것 같다. 많은 대화를 통해 교수님께서 가지신 보안에 관한 열정과 애정을 확인할 수 있었는데, ‘화이트 햇을 해도 잘 살수 있다는 것을 보여주고 싶다’는 모토를 가진 교수님은 향후 교단이 아닌 산업계에 있으시더라도 많은 학생들과 사람들에게 좋은 영향을 주실 것 같다는 생각이 들었다.
가장 중요한 것은 보안 윤리라는 점을 명심하길 바라며, 본 기사를 읽는 예비 Offensive Researcher들에게 많은 도움이 되었길 바란다. 😎😎
|
|
|
(6) 새로운 위협에 대비하는 국가정보보호백서 2023 발간 |
|
|
2023년 6월 2일, 국가사이버안보센터에서 2023년도 국가정보보호백서를 발간하였다. 이번 6월호에서는 백서를 읽어보고 주 내용을 간략하게 소개하고자 한다. 국가정보보호백서 2023에서는 먼저 '정보보호 연혁'과 '2022년의 정보보호 10대 이슈'로 글을 시작하였다. |
|
|
[국가정보보호백서 표지, 출처 : 국가정보보호센터 누리집]
|
|
|
정보보호 연혁 & 2022년의 정보보호 10대 이슈 |
|
|
정보보호 연혁에서는 1964년 「보안업무규정」 (대통령령) 및 규정 시행규칙 (대통령 훈령) 제정을 시작으로 우리나라의 정보보호 관련 기관의 설립이나 법 개정, 국가적 해킹 사고(7.7 DDoS) 등 대한민국의 정보보호 관련 사건·사고를 한눈에 볼 수 있도록 하였다.
'2022년의 정보보호 10대 이슈'에서는 2022년 동안 국내에서 주요한 관심사로 떠오른 정보보호 이슈를 소개하였다.
'러시아-우크라이나전 등 현대 전쟁을 통하여 본 사이버공격의 위력', '북한 등 국가 배후 해킹 확산에 따른 사이버안보 위협 고조', '국내·외 관심 이슈 악용 사회공학적 해킹 공격 지속 증가' 등 7가지 이슈가 정보보호 10대 이슈로 백서에서 선정되었다.
|
|
|
제1편 : '정보보호 환경 변화 및 사이버위협 동향' |
|
|
1편에서는 코로나19 장기화로 인하여 비대면으로 변한 업무환경에 관한 사이버 위협 동향에 대하여 간략히 소개하였다.
기업 정보를 탈취하기 위한 스피어 피싱, 클라우드 서비스 전환에 따른 보안 위협, 대화형 인공지능 서비스를 악용한 사이버보안 위협 등 5가지 위협을 간략히 소개하였다.
|
|
|
2편에서는 정보보호 담당 기관과 법·제도를 다루었다.
정보보호 법·제도 발전 과정, 분야별 정보보호 법·제도와 2022년 주요 제·개정 법령을 작성하였으며, 정보보호 담당 기관은 국가기관과 전문기관으로 나누어 소개하였다.
2022년 정보보호 관련 주요 개정 법령으로는, 정보통신망 이용촉진 및 정보보호 등에 관한 법률(법률 제18871호, 2022. 6. 10. 일부개정, 시행 2022. 12. 11.), 정보통신기반 보호법(법률 제18870호, 2022. 6. 10. 일부개정, 시행 2022. 9. 11.) 2가지임을 확인할 수 있었다.
정보보호 담당 국가기관으로는 국가안보실, 국가정보원, 과학기술정보통신부, 행정안전부 등이 있었으며 전문기관으로 한국인터넷진흥원, 국가보안기술연구소, 금융보안원에 대해 소개하였다.
|
|
|
3편 '분야별 정보보호 활동'에서는 국가정보통신망 보호, 디지털정부, 주요정보통신기반시설, 정보통신서비스, 금융서비스 등 주요 분야별 정보보호 정책과 제도 및 활동을 상세히 다루었다.
1장에서는 '국가정보통신망 보호'를 다루었고, 사이버 공격 탐지와 차단, 사고조사 및 정보 공유, 보안관리컨설팅 및 관리 실태 평가, 보안적합성 검증 등을 소개하였다.
2장 '디지털 정부'에서는 디지털 정부 정보보호, 소프트웨어 개발보안, 전자서명 인증 등을 소개하였다.
3장 '주요통신기반시설'에서는 주요 정보통신기반시설 보호 추진체계와 주요 활동, 국내외 침해사고 사례를 소개하였다.
4장 '정보통신서비스'에서는 침해사고 대응과 예방 활동, 정보보호 관련 제도, 융합 보안을 소개하였다.
5장 '금융서비스'에서는 금융서비스 정보보호, 금융 분야 사이버공격 대응 및 정보 공유, 금융 IT 및 전자금융·핀테크의 보안 평가·점검 등을 소개하였다. |
|
|
4편에서는 정보보호산업 육성, 정보보호 기술 개발, 정보보호 인력 양성 분야, 개인정보보호, 대국민 정보보호, 국제협력 등의 내용을 다루었다.
1장 '정보보호산업 육성'에서는 정보보호산업 현황과 산업 육성을 위한 다양한 정책과 제도를 소개하였다.
2장 '정보보호 기술 개발'에서는 원천기술 개발 현황과 산업 육성을 위한 다양한 정책과 제도를 소개하였다.
3장 '정보보호 인력 양성'에서는 정규 교육과정 및 전문기관 교육과정에 의한 인력 양성, 정보보호 자격증 제도 등을 소개하였다.
4장 '개인정보보호'에서는 개인정보보호를 강화하기 위하여 그 동안 추진한 정책 등을 소개하였다.
5장 '대국민 정보보호'에서는 정보보호 상담과 처리, 인식제고 활동 등을 소개하였다.
6장 '국제협력'에서는 사이버 안보 외교 활동과 사이버보안에 관련한 국제협력 활동에 대한 내용을 소개하였다. |
|
|
이로써 2023년 국가정보보호백서의 주요 내용을 간략히 살펴보았다. 국가정보보호백서는 국가와 개인의 정보보호를 위한 중요한 참고 자료로 활용될 것으로 기대된다. 또한, 이를 통해 국내외의 정보보호 동향과 사례를 파악하고, 더욱 강화된 정보보호 환경을 조성하기 위한 지침과 방향성을 제시할 수 있을 것이다.
앞으로도 국가정보보호백서는 매년 발간되어 국가의 정보보호 역량을 강화하고, 새로운 위협에 대비하는 데 큰 도움이 될 것으로 기대하며 기사를 마친다. |
|
|
🚨 BoB 가족들의 소중한 소식을 기다리고 있습니다. 🚨
함께 공유하고 싶은 소식, 수상 내역, 행사
기타 소소한 일상까지 구독자분들의 공유를 기다립니다.
- 함께 만들어가는 BoB 뉴스레터 - |
|
|
|
newsletter.kitribob@gmail.com
Best of the Best 9대 총동문회 뉴스레터팀
서울특별시 금천구 서부샛길 606
뉴스레터 총 구독자 수 : 447명
|
|
|
|
|
