'보안'에 해당되는 글 62건

  1. 2014.02.06 방문자 3,333,333 명, 한때 최고 월8만명 방문 (6)
  2. 2011.12.14 보안인닷컴 e-매거진 [보안人] 6호가 무료배포 되고 있습니다.
  3. 2011.05.19 몸값급등에 웃는 보안업계
  4. 2011.05.12 [칼럼-122] 전국중심의 보안, 기회는 평등해야 한다. (2)
  5. 2011.05.01 블로그운영6주년 이벤트, 배너 교환 해 볼까 합니다.
  6. 2011.04.28 은행 IT근무인력 및 보안인력 현황 (5)
  7. 2011.02.09 트위터 올라온 보안에 대한 새벽단상
  8. 2010.05.11 보안컨설턴트용 실무 가이드북
  9. 2010.04.03 [초보보안-14강] 함부로 다운로드 받아 설치하지 말자. (9)
  10. 2010.04.03 스펨 메일을 통한 악성코드 분석
  11. 2010.03.29 [설문] 당신이 개인정보보호나 보안을 위하여 월 지불할수 있는 최대 금액은?
  12. 2010.03.24 [칼럼-110] 보안담당자, 범죄자 낙인 찍히는데 누가 일하겠는가? (12)
  13. 2010.02.21 KISA에서 학술지를 창간하는군요
  14. 2010.01.22 안철수교수가 말하는 기업가(起業家) 정신이란? (4)
  15. 2009.12.23 [칼럼-105] 보안뉴스,보안닷컴..따로 또 같이..보안인(人)닷컴은 소통 (1)
  16. 2009.12.17 전자정부 정보보호관리체계지침 (G-ISMS) 문서
  17. 2009.12.16 웹취약성 OWASP 2010 배포 (2)
  18. 2009.11.25 아이폰 SMS & 연락처 리스트 해킹위험 (2)
  19. 2009.11.09 보안 키워드로 알아본 관심도 (2)
  20. 2009.11.06 DDoS가 비지니스 모델로 자리잡을터 (2)
  21. 2009.09.21 한국인터넷진흥원(KISA) 지방 지사설립은 어떨까? (4)
  22. 2009.09.01 안전한 패스워드 이용을위한 키보드 입력 패스워드 대체방안 연구
  23. 2009.08.30 『보안과 네이버카페』에 대하여. (10)
  24. 2009.08.24 트위터리언들, 보안은 귀찮은 존재이다. (4)
  25. 2009.08.17 [독서리뷰-17] 신수정 박사의 '1등처럼 공부하지마' 출간
  26. 2009.08.16 Open SSH 취약점 경고, 익스플로잇도 조심 할 것 (4)
  27. 2009.07.31 [칼럼-92] 정보보호 컨트롤 타워 없으면 같은일 또 당한다. (5)
  28. 2009.07.24 [칼럼-91] 국회 전자투표, 대리투표는 안되는 줄 알았는데 (22)
  29. 2009.07.20 최근 사이버수사, 바로 그자리에서 포렌식 작업 (7)
  30. 2009.07.20 [칼럼-90] 7.7 DDoS 사태가 남겨 준 교훈(3) - 보안인식 제고를 위한 제언 (14)


블로그를 운영한지 9년째 되어 가고 있다. 테터툴즈 설치형블로그부터 사용했으니 꽤 오래 되었다. 블로그를 운영하면서 많은 변화가 생긴 것도 사실이다. 오늘 우연히 블로그를 방문하여 방문자 수를 보니 3,333,333명방문자를 달성 할것 같아 기념으로 포스팅 해 본다.




테터툴즈가 인수되어 티스토리가 되고, 꾸준히 블로그를 운영하였다. 처음에 블로그 운영은 그냥 잡다한 관심꺼리를 기록하게 되었고, 잡다한 아무런 색깔이 없는 글 모음 공간 그 이상도 그 이하도 아니었다. 사실, 필자는 블로그 이전부터 개인홈페이지를 만들어 제로보드 게시판을 이용하여 유닉스, 리눅스, 보안등에 카테고리를 만들고 게시판에다 업무용 팁이나 이런 것을 올려 놓곤 했다. 그런데, 홈페이지를 만들려면 반드시 자신만의 공간이 필요한데 그것은 곧, 서버가 필요하다는 것이다. 


서버를 이용한다는 것은 비용이 발생한다는 것이고, 그냥 취미삼아 업무용 팁정도 공유하는 것에 많은 비용을 투입할 수 없었다. 그렇게 약 2-3년 운영하다보니 제법 자료도 많이 쌓였고, 나만의 공간도 있었지만 늘 서버가 다운되거나 서버의 소유자가 아니기 때문에 축척된 콘텐츠에 대한 미련이 있었다. 그러던 찰라에 2005년도에 블로그라는 개념이 IT에 불기 시작하였고, 쌍방향 소통에 대한 반향이 일기 시작하였다. 홈페이지가 정적이라면 블로그는 트랙백과 같은 기능도 있으니 참 신기한 기술이기도 하였다. 


그리고 혼자가 아닌 여러 사람과 소통하는 도구로서 조명을 받기 시작하였다. 그때 포털에서는 너도 나도 서비스용 블로그를 로그인 계정과 연동하여 제공하기 시작하였다.  블로그는 서비스용과 설치형이 있는데 아무래도 소스를 자유롭게 수정할 수 있는 설치형 블로그에 매력을 느끼게 되었다. 그렇게 하여 테터툴즈가 인수된 티스토리에 안착하게 되었다. 물론 테터툴즈 설치형 블로그를 설치해서 사용하다가 아무래도 장기간 오래동안 데이터를 축적할 수 있는 안정적인 서비스 업체를 찾기 위해서이기도 하다. 


<여기서 잠깐 팁>


자신이 축적하고자 하는 데이터가 있으면, 일기든 , 기록이든 ,자료등 업체를 잘 고르고 선택하는 것이 좋다.

꾸준히 기록한 자신만의 데이터를 어느날 회사가 부도나거나 , 망해서 자신의 기록을 고스란히 날려 버린다면 굳이 꾸준히 성실하게 관리할 필요가 없기 때문이다. 나도 그렇게 해서 몇번 소중한 데이터를 날려 먹은적이 있다. 그래서 조금 안정적인 서비스를 하는 기업의 서비스를 선택하는 것이 바람직 하다. 


블로그가 한창 인기있었을때, 블로그 관련하여 연구하는 모임도 가지게 되었고, 또한 어떠한 주제로 블로그를 운영할 것인가에 대한 고민을 하는 시절도 있었다. 그때가 아마 블로그 운영하고 2-3년 정도가 된 2007년 정도로 기억이 된다. 그때 어떤 지인이 조언을 해 주었다. 자신만의 색깔을 나타낼수 있는 블로그를 꾸준히 3년이상만 운영을 한다면 아마도 여러가지 변화가 있을 것이라는 조언을 해 주었다. 나도 그 말에 고무되어 '보안'이라는 주제로 블로그를 운영하기 시작하였다.



 


한때 블로그 방문자가 많을땐 한달에 8만명이상 방문한 적도 있었다. 물론 여러 인기 연예인 이야기나 가십성 글로 아주 많은 방문자를 유도하는 사람도 있지만 보안이라는 주제로 그와는 상대할 바가 아니기에 굳이 비교 할 필요성은 느낄 수 없었다. 단지 한가지 얼마나 꾸준히 성실하게 운영하는가 그것이 관건이었다. 성실함 앞에는 그누구도 당할 수 없기 때문이다. 


2007년도 방문자를 보면 그때 한창 포털에서도 블로거가 주가를 올리고 있어서 포털 메인에 전진매치하기도 하고 해서 서로 트래픽을 유도하기 위한 치열한 경쟁도 있었다. 어떤이는 방문자 기록에 약간 허수가 있다는 이야기도 있었다. 


아무튼, 지금 현재 블로그 방문자는 한달에 꾸준히 3만명 이상 검색이나 기타 경로를 통하여 많이 방문을 한다. 그것은 과거든 지금이든 참고 할만한 콘텐츠가 기록으로 남아 있기 때문이고 그것이 방문자에게 도움이 될 수 있다면 블로그에 남아 있는 시간이 길어지고, 또 다른 카테고리를 이용하여 블로그내 콘텐츠를 살펴 볼것이다.


이는 최근에 SNS와 연동이 되고 있어 트위터와 페이스북을 통하여 다양한 방문자 유입이 되고, 사실 블로그 처음에는 어떻게 하면 방문자를 많이 올수 있게 할까라는 고민도 하였지만 지금은 일시적인 방문보다는 한번 방문하고 , 그 다음에도 다시 재방문해서 즐겨찾기 해 놓고, 다시 올수 있는 기록을 남기는 것이 목적이다. 블로그를 9년여 동안 운영하면서 깨달은 것이 있다. 


그것은 아무리 제목이 낚시성 글이고, 아무리 유명한 사람이고, 아무리 여기저기 떠들고 다녀도 겉포장보다는 내용이 좋아야 하는 것은 아주 단순한 진리이다. 음식을 만들어 보면 안다. 요리를 할때 재료가 좋아야 맛있는 요리를 할 수 있는 것은 당연한 것이다. 아무리 겉보기에 사진으로 멋지게 꾸며 놓아도 맛이 없으면 그 음식은 외면 받는 것이다. 블로그도 마찬가지이다.


꾸준하게, 성실하게 진심성 있게 자신의 글을 올리고 그리고 언제나 그 자리에서 자신을 나타낼수 있고 방문자로 하여금 진실된 글, 그리고 가치있는 정보를 줄수 있다면 보다 인간적으로 다가오고 또 다시 발걸음을 할 수 있는 공간으로 탄생이 될 것이다. 오랜만에 블로그 관리자 모드에 들어갔다가 방문자 통계를 보다가 이런저런 생각에 포스팅 해 보았다. 어쩌면 블로그라는 것은 자신과 대화하는 또 다른 창구일지도 모른다. 끝.

@엔시스.







신고
Posted by 엔시스

안녕하세요. 국내 최대 보안 커뮤니티 보안인닷컴 (http://www.boanin.com) 대표 운영자 엔시스입니다..

지난달에는 개인적으로 바쁘고, 또한 발행할만한 내용과 주제를 잡지 못하여 배포하지 못하였습니다.  그냥 취미로 만들어서, "전국민 보안마인드 업데이트와 전국중심의 보안"을 만들어 보겠다는 생각으로 하는것이니...

그래도 조금이나마 기다리시는 분들에게는 죄송하더군요...저도 생업에 투입되다보니 쉽지 많은 안네요..

하지만 그래도 조금씩 주위에서 도와주시고 서로 참여 해 주셔서 함께 조금씩 조금씩 예전보다는 성장 발전해 가는 것이 아닌가 생각해 봅니다. 그래서 제6호가 발행이 되었습니다.

이번호에는 [A3시큐리티 한재호대표님, 김휘강교수님 ] 인터뷰도 실려 있습니다. 직접 발로 뛰어준 기자단 분들에게도 감사드립니다.

                           <보안인닷컴 E-매거진 (보안人) 6호 발행목차>


보안 , 중요하다는 것은 모두 알고 있습니다. 하지만 모르는 것이 더 많은 분야가 보안이고 자신이 알고 있으면, 조직에 소속이 되어서, 또는 대외비라서, 또는 기술적 위협때문에...이런저런 핑계로 정보 공유하기가 쉽지 않습니다.

그래서 또 혼자 대부분 체험과 업무에서 독학을 해야 합니다.  너무 민감한 부분은 제외하더라도 함께 공유하고 나눌수 있는 문화와 이제는 "보안은 생활 문화"로 자리 매김 할 수 있도록 미흡하지만 하나씩 실천해 보려고 합니다..

늘 부족함을 느끼는 것은 당연한 것입니다. 그렇기에 더욱 발전 가능성이 있는 것이구요. 조금 할말이 많아서 말이 길어 졌는데, 아무튼 보안에 관심이 있는 많은 분들이 참여 해 주시고 함께 관심 가져 주었으면 하는 바램이라는 말이 결론 입니다... 더욱 노력해 보겠습니다.

신고
Posted by 엔시스


한가지 사안으로 두가지 효과가 발생이 되네요...

직접적인 피해를 입는 당사자는 책임을 물을 것이고, 그에 따른 효과로 다른 전문가는 몸값 상승..
글쎄,..진짜 몸값이 상승할지에 대한 직접적인 것은 두고 봐야 할 사안입니다..

그렇게 되기를 기대해야 하는 것이죠. 그나마 희망이라도 있겠지요..
 
또 오늘자 보도에 따르면 모증권사가 해킹 당했다고 하니 금융사는 더 많은 신경을 써야 겠습니다.

하지만 채용공고등을 보면 아직도 계약직 등으로 채용하는 것으로 봐서는 정신 덜 차린듯 합니다. 그러다 몇백배 더 그에 따른 댓가를 치르게 되는 것은 아닌지..눈으로 보고도 느끼지 못하니..

누군가 롤모델이 되어 진짜 처우개선이나 그에 따른 안전성등을 보장해 준다면 로열티로 더 높아지고 악순환에서 선순환으로 되지 않을까 해 봅니다.  조금 규모있고, 대기업이나 기관에서 조금 파격적으로 한번 이미지 쇄신 차원에서 시범으로라도 보여 준다면 좋을텐데..말이죠.

정말 중요한데...진짜로 중요한데... 어떻게 보여 줄수도 없고,..어떤분 댓글이 생각나네요.. 보안업체는 아무리 잘해도 갑과 을에서 "을"에 지나지 않는다고...




신고
Posted by 엔시스
TAG 몸값, 보안

어제 어느곳에서 전화가 왔습니다. 

상대방: 000씨죠?
나: 네,.그런데요.

상대방: 저희가 개정되는 개인정보보호법 교육을 좀 하려고 하는데요?
나: 아..네..

상대방: 국가 00부에서 추천해 주셔서 연락받고 전화드립니다.
나: 아..네..

상대방: 언제쯤 가능하시겠어요?
나: 언제쯤 계획이신지요?

상대방: 다음주쯤..
나: 확인해 보겠습니다..제가 지역에 있어서 ...

상대방: 그래요? 어디신데요?
나: 부산입니다..

상대방: 아..네..그래요? 그럼 다시 스케쥴 알아보고 연락드릴께요.
나: 네..알겠습니다.

그러나 연락이 안옵니다.  수도권, 즉 서울 사람이 아니기 때문인지 아니면 다른 이유인지는 모르겠지만.


                                 <사진출처: http://blog.naver.com/ehot?Redirect=Log&logNo=40125106111>

흔히, 겪는 일이라 이제는 일상화 되어 있지만,  기회는 평등해야 한다고 생각을 합니다. 보안이 중요하다고 하면서 수도권이 아니라는 이유만으로 소외 되어서는 안될 것입니다.

그만큼 교육의 기회가 없다는 것입니다. 그나마 형식적인 관(官) 주도의 교육에 공문을 통한 눈치보기 교육으로 하기 보다는 정말 고민하여 잘 짜여진 교육 커리큘럼을 통하여 수도권이 아닌 곳에서도 정기적으로 교육을 할 수 있는 시스템을 구축을 하여야 합니다.

아마도 지방에 있는 사람들은 많은 것을 공감할 것이라 생각이 듭니다. 다음의 공통점은 바로 "기회균등" 입니다.

  • 유능한 인재가 있습니다. - 기회가 없으니 먹고 살려고 서울로 갑니다. 인재 유출이 심각합니다. 조금 능력있다 싶으면 먹고 살기 위하여 서울로 갑니다.
  • 유능한 업체가 있습니다. - 사업을 해 봅니다. 하지만 녹녹치 않습니다. 갑-을-병-정..놀이로 채널사로 대리점 형태로 근근히 입에 풀칠만 하고 있습니다. 혹 그나마 업계에서 잘 나간다 하는 업체는 본사를 서울로 옮겨 갑니다.
  • 유능한 기관이 있습니다. - 복지 부동입니다. 수퍼 울트라 갑에서 전부 병정놀이에서 스스로 노력 하려고 하지 않습니다. 업자를 시키면 되는것이고, 또한 순환 보직으로 언제 다른 부서로 옮길지 모르니 그렇게 열정이 있는 것도 아닙니다. 그져 적당히만 하면 됩니다.


보안이 중요하다고 언론이나 방송에서 난리를 칩니다. 하지만 기회는 주어지지 않습니다.  왜 기회가 주어져야 하는지에 대한 것은 평소 존경하는 안철수 교수님의 cbs 인터뷰를 한번 들어 보시면 도움이 되실 것입니다.  http://cbspodcast.com/podcast/sisa/20110509_sisa.mp3  


며칠전 어느 보안인의 인터뷰를 보니까 다음과 같은 말을 하였더군요.

"쇠사슬의 전체 강도는 연결 부위가 가장 약한 부분의 강도와 같다"


아무리 보안이 중요하고, 강조해도 수도권 한곳에서만 교육하고 인식시킨다고 되는 것이 아니라는 생각이 듭니다.  취약한 수도권 외에서도 수도권과 똑 같은 "기회 균등"을 주어지고, 보안 무지(無知)로 부터의 교육 받을 수 있는 기회를 박탈해서는 안되는 것입니다. 

그런 기회균등을 주기 위한 대안으로는 다음과 같이 생각해 보았습니다.

  • 지방IT관련 학생 공기업 취업할당제 실시 - 공기업 취업시 지역 학생 할당제를 실시하여 자신의 집에서 밥 먹고 다닐수 있도록 하여 유능한 인재가 로컬에서 자신의 능력을 발휘 하도록 해야 합니다. 안교수님도 말씀 하시더군요. 위에 링크해 놓은 파일을 들어 보시면 공감하는 부분이 많이 있을 것입니다. 이제는 귀를 좀 기울이세요..제발..
  • 기업의 갑을병정놀이 중단 - 이제는 기업이 바뀌어야 합니다. 대기업이 독점하기 보다는 스스로 선의의 경쟁을 통하여 우수한 능력을 갖춘 기업이라면 중소업체라도 당당히 입성 할 수 있는 기회를 주어야합니다. 마찬가지로 공공 입찰시에 지역업체 할당 비율을 책정하면 어떨까 생각해 봅니다.
  • 사람과 능력에 의한 평가 - 그 기업이 잘 하느냐, 그 사람이 보안에 열정이 있느냐, 전문적이느냐가 중요하지 어디에사느냐, 어디곳에 근무하느냐가 중요하지 않습니다. 제대로 평가할 수 있는 시스템을 만들어 제대로 "기회를 똑 같이 주어지게 하고 나서" 판가름 하여도 늦지 않을 것입니다.
  • 정보보호예산 지방 할당제 - 정보보호 예산을 10%까지 올린다고 하는데 과연 수도권 외 지역에 정보보호 인식제고를 위한 예산을 얼마나 책정하고 있는지요. 얼마나 수도권과 서울 외지역에서 보안관련 세미나 교육을 진행 하는지요.  형식적인 교육보다는 작지만 잦은 인식제고가 중요하다고 생각합니다.


며칠전 언론 기사에서는 지방 금융권 보안담당자가 부족하다는 기사를 보았습니다.


관련 포스팅

지방은행 IT근무인력 및 보안인력 현황 

부산은행,광주,제주,대구은행등에 보안담당자를 보면 1명에서 4명까지 대동소이하게 몇명 되지를 않습니다. 상식적으로 생각해도 수많은 점포에 각종 네트워크와 PC를 사용하면서 보안담당자 1명이 무슨 수퍼맨도 아니고, 혼자서 해야할 업무는 안 봐도 잘 알 수 있습니다.

그만큼 기회도 없고, 인식도 부족하다는 것입니다. 돈이 오고 가는 제일 중요한 금융권의 일상이 이러할진대 다른 중소기업은 더 하면 더했지 덜 하지는 않을 것입니다.

기업도 고객의 니즈를 잘 파악 기업이 성공하고 발전합니다.  객관적인 제3의 시각에서 냉철하게 무엇을 해야 하고 점차 발전해 나가야 하는지를 파악해야 합니다.

국가나 정부는 결코  상업적인 이익을 기반으로 하지 않습니다. 공무(公務)라는 것은 국민이 내는 세금을 가지고 운영하는 것이고, 그것으로 어떻게 사업을 효율적으로 잘 하는것인가를  평가 받는 것이지, 구조적 모순을 그대로 안고 복지 부동하는 자세는 분명히 스스로의 매너리즘에 빠지게 만들것입니다. 

권력이 있다고, 권력기관에 있다고 단순히 말만하는 정책성 남발 보다는 진정  "말로보다는 직접 몸으로 실천해서 보여주는 것이 진정성이 있고 구성원들에게도 설득력이 있다"라는 안철수 교수의 말을 되새겨 보면서 일련의 보안사건 사고로 인하여 호들갑 떨기 보다는 [수도권중심이 아닌] [전국중심의 보안]을 왜 해야 하는지에 대한 물음을 스스로 던져 보시길 바랍니다.

단지, 사람이 없다, 행사를 규모있게 치를수 없다고 말하기엔 이젠 너무 궁색한 변명이 되어 버렸습니다. 보여주기 위한 교육이나 행사를 떠나서 이제는 소외 받는 사람들에게 "기회균등"이라는 평등한 인격적인 대우를 해 주어야 할때입니다. 
꼭 기억하였으면 좋겠습니다. 터무니 없이 두서 없이 적긴 하였지만 꼭 하고 싶은 말이기에 적어 보았습니다.   @엔시스.


신고
Posted by 엔시스

2005년도2월부터 블로그를 운영하였습니다. 이제 약 6년정도 블로그를 운영해 온 듯 합니다. 처음에는 글 퍼 오기에만 신경을 썼지만 이제는 어느정도 블로그 본연에 모습으로 운영자의 블로그 운영 원칙에 따라 흔들림 없이 운영해 오고 있습니다.

물론 대부분 보안에 대한 이야기로 운영하고 있으며, 간혹가다 이런저런 세상사는 이야기도 적고 하는데 예전만큼 심혈을 기울이기엔 시간이 좀 모자라는 듯한 느낌이 있네요. 또한 블로그라는게 글을 올리다 보면 자신의 '흔적'과 같이 스스로 삭제 하기 전에는 웹에 남아 있기 때문에 또한 조심 스러운 부분도 있기도 합니다.

아무튼, 블로그만 운영하기엔 조금 지루한 면이 없지 않아 있어서, 이번에 [배너 교환] 이벤트를 벌여 보려고 합니다. 배너 공간을 하나 만들어서 배너를 보내 주신 분들의 배너를  포스팅 하나에 링크를 걸어 보려는 것도 재미있을 듯 합니다.

관심 있는 분들은 sis@sis.pe.kr 로 자신의 배너를 보내 주시면 되겠습니다.  다만, 상업적인 목적이나 도박, 음란관련 배너는 받지 않습니다. 혹시 관심 있는 분들의 많은 참여를 바라겠습니다..^^;;  몇개나 보내 올까요?  변방에 알려지지 않는 블로거라서 한명도 없을수도 있겠지만...

IT나 보안관련 블로거분들이 많이 참여하면 좋을듯하네요..보안인식제고에도 도움이 되겠지요..이상 배너교환에 대한 내용이었습니다..

신고
Posted by 엔시스

최근 보안사건사고가 일어나면서 조금은 주목을 받고 있는 듯합니다. 하지만 아직도 열악한 구조는 오늘자 언론에 나온 금융권 인력에서만 보더라도 알수 있습니다.


                                                                <출처: 전자신문 4/28일자>



실제 대규모 은행을 제외하고는 일부 지방은행의 경우에는 1-2명이 보안담당을 하고 있다는 것이 현실을 단적으로 보여 주고 있네요...  이제는 조금 인식이 바뀌어야 할때인듯 합니다.  1-2명이 처리 해야 할 일이 있고, 여러명이 해야 할 일이 있습니다.  보안은 방어적인 개념이므로 혼자서 감담하기엔 리스크가 큰 분야이기도 합니다.  이번 사건을 계기로 많은 인식과 인력 투자가 이루어졌으면 좋겠습니다.




 

신고
Posted by 엔시스


힘내세요 RT @mornsea: 정보보안 패키지를 만들어 고객사에 공급하는 것이 대한민국에서는 얼마나 험한 일이고 가시밭길인 지를 오래전부터 알고 있었다. 금일 또다시 뼈져리움이 온다.


어제 퇴근길에 트위터에 올라온 '보안'에 대한 어떤 트워터러분의 이야기입니다.  위 글을 보면서 왜일까? 정작 보안이 중요하다는 것을 알면서 투자에는 소홀히 하는 일면을 나타내 주는 것은 아닌지 하는 생각이 들었습니다.

여러분 정말 대한민국에서는 보안인식제고를 시키는게 어려울까요?  이른 새벽에 드는 생각이었습니다. 이런 한숨 섞인 글들이 이제는 올라 오질 않길 바래 봅니다. #새벽단상


신고
Posted by 엔시스
TAG 보안





http://www.tpcc.or.kr/contents/ebook/ba_gbk/ba_gbk.html


보안에 관심을 두고 있는 분들이라면 한번쯤 읽어 보면 좋겠지요...보안 컨설팅에 대한 이야기인데..도움이 되실 것입니다. 꼭 한번씩 읽어 보시기 바랍니다.

p.s 위 링크 파일을 다시 pdf 로 전환한 파일을 같이 첨부합니다. 많은 도움이 되실듯 합니다.. 감사합니다..





신고
Posted by 엔시스

주말을 기해서 그동안 아이들 사진 찍은 것을 동영상으로 편집해 보고자 동영상 프로그램을 찾던 중 쉽고 가볍게 쓸수 있는 윈도우에서 제공하는 무비 메이커 프로그램을 다운로드 받고자 하였다.

그래서 검색하여 다운로드를 받았다. 정식 홈페이지에서 다운로드 받는것이 아니라 조금 찜찜 하긴 했지만



아무튼 첨부파일이 있었고, 다운로드 받아 보았다. 위 그림이 더 있지만 마치 윈도우 무비 메이커를 상세히 설명하는 듯 하게 만들어 놓았다.


벌써부터 냄새가 나기 시작한다. 무비메이커 윈도우 프로그램 받는데 웬 업체 이름이 붙어 있다. 이런 경우에는 보나 안보나 100% 무슨 꿍꿍이 속이 있는 경우가 많다.

초보자일 경우 이런 경우 대부분 위 그림에서 업체명 같은 경우의 이름따위는 눈에 들어 오지 않는다.. 그냥 자동적으로 마우스 클릭하는 손짓만 빨라질 뿐이다.  특히 실행 파일등은 조심해야 하는 경우가 많다. 여기서 멈추려고 했지만 보안연구를 위한다는 거창한 사명감으로 한번 클릭 해 보았다. 물론 가상 화면에서 말이다. 안되면 지워 버려야 하니까..



잘 보면 알겠지만 [초보자]들은 마우스를 [전송시작] 이라는 곳으로 가져가서 아무렇지도 않게 그냥 클릭을 해 버린다. 배포하는 이도 양심은 있으니 [무비메이커] 프로그램은 설치가 되겠지.

하지만 오른쪽 빨간 박스 안을 보면 생각이 좀 달라질 것이다. 몇가지 프로그램이 자신도 모르게 함께 설치가 되는 것이다. 물론 난 여기서 그냥 멈추었다. 그안에 어떤 프로그램이 어떻게 되어 있을지 모르기 때문이다.

우리가 아무런 생각없이 프로그램을 설치하였을때 갑자기 백신 검사가 나오고 자신은 설치한 기억도 없는데 갑자기 돈 달라는 프로그램이 나오는 경우를 우리는 이런 경우에서 목격하고 있는 것이다.

자신의 손으로 프로그램을 설치시에는 반드시 다음과 같은 원칙을 가지도록 하자. 자신이 보안 초보자라면 반드시 지켜야 할 항목중에 하나일 것이다.

  • 공식적인 홈페이지에서 다운로드 받느다 - 번거롭더라도 공식 배포하는 사이트를 이용하자.
  • 설치시에 설치화면을 반드시 확인한다 - 누가 쫒아오기라도 하는지 무조건 클릭은 위험
  • 신뢰되지 않은 프로그램을 혹시 모르고 설치 했다면 신뢰된 백신으로 검사를 하던지 아니면 설치후 해당 프로그램은 당장 삭제한다.
  •  유틸 프로그램 설치는 가급적이면 가상 머신에서 한번 실행해 보는 것도 좋다.

아무튼, 이렇듯 초보이신 분들은 이런 환경에 노출이 많이 되기에 자신이 주의를 기울일 수 밖에 없다. 즉, 철저한 보안 마인드로 무장하는 수 밖에 없다. 이 사이버 상에서는 보안 마인드가 안되어 있는 당신을 노리고 있는 총과 칼을 들지 않은 무수한 적들이 있다는 사실을 인지 하기 바란다. 보안의 중요성은 당해 보는 사람만이 알수 있다.




신고
Posted by 엔시스


                                  출처: 한국인터넷진흥원


신고
Posted by 엔시스

당신이 개인정보보호나 보안을 위하여 월 지불할 수 있는 최대 금액은 어느정도가 적당하다고 생각하시는지요?

                         < 그림 1> 개인정보보호 및 보안 월 지불 금액 예시

* 투표는 아래 그림에서 하시면 됩니다..

 국내에 아이폰이 들어오면서 이제는 소프트웨어도 돈을 주고 구입을 해야 된다는 인식이 조금씩 확산이 되고 있다. 이제는 소프트웨어에 대한 정당한 댓가를 지불하고 구입을 해야 한다는 것이다.

이것은 지금까지 무료나 불법 복제로 인한 소프트웨어의 약화로도 이어진 것이 사실이다. 이와 같이 보안도 마찬가지로 지금까지 보안은 비용이라고 생각하는 것이 팽배해져 있다. 지금시점에서 이제는 일반 국민의 보안에 대한 인식전환이 필요로 한다.

이에 각 개인은 개인정보보호 및 보안을 위하여 개인이 지불할수 있는 월(月) 최대 금액이 얼마정도로 생각하는지 궁금해 졌다. 각자 나름대로 생각하시는 금액을 클릭 해 주면 고맙겠습니다.


신고
Posted by 엔시스

오늘자 언론기사중에 눈에 띄는 기사가 하나 있었습니다. 지난번 언론을 통하여 난 기사인데 오늘 보니까 형사입건이 되었다는 기사입니다.

고객정보 못지킨 죄, 보안담당 혼자 져라?



아직까지 근본적인 문제파악을 잘못하고 있다.

보안관리자가 소홀히 해서 기술적,물리적,관리적 조치를 잘못했다고 치자. 보안업계에서도 또는 각 조직이나 기업에서 보안담당하는 사람들은 아는 사람들은 이미 다 아는 사실에서 보안담당자만 입건한다고 해서 해결 될 사안이 아닌 것이다. 

아직도 보안담당자를 지정한 곳이 없는 곳도 많다. 중소업체는 보안에 대한 실행조차 하지 못하고 있다. 이러한 현실을 감안할때 사회에서 보안에 대한 투자라는 인식이 선행되어야 하고 경영자가 마인드가 보안에 대한 투자 마인드가 안되어 있는데 보안담당자만 형사입건 한다고 해서 해결 될 문제가 아닌것이다.


                                                           <출처: 한국일보 2010-03-24일자 인터넷판>

군대에서 사고가 일어나면 그 부대를 책임지는 상관이 옷을 벗는다. 경찰에서 경찰관이 사고치면 당사자는 물론이고 그 상관도 옷을 벗는다. 하물며 보안담당자가 설령 소홀히 했다고 하여도 경영자에 대한 책임을 묻지 않고 담당자에게만 처벌을 한다는 것을 지극히 잘못된 발상이다. 그것은 경영자의 잘못도 있기 때문이다.


뚫는자와 막는자..못 막으면 처벌하면 누가 보안 담당을 하겠는가? 

지금 사회에서 해야 할 것은 사이버 안전을 지키는 사람을 격려하고 자긍심과 자부심을 가지고 업무에 임하도록 사기를 올려주어야 하는 것이 관련 기관과 기업의 몫이다. 하지만 최근 개인정보 유출 이슈가 되었다고 해서 해당 담당자를 처벌 한다면 범죄자가 되는 일은 누가 하겠는가?

보안은 100% 안전이라는 것은 없다. 경영자 마인드가 바뀌어야 하고 사회적으로 보안에 투자하는 것이 비용이 아닌 투자라는 인식이 확대되어야 하는데 더욱 위축이 되게끔 진행하고 있다. 법이라는 것은 판례라는 것이 있기 때문에 한번 오판하게 되면 그것이 그 이후에 여러가지 사건에 대하여 영향을 미친다.

혹시 여론에 밀려 보안담당자를 처벌 하는것은 아닌지

개인정보 유출이 사회적 이슈가 되고 어쨋든 결과는 유출이 된 것이고 그것을 막지 못하는 기업이나 조직은 책임을 져야한다. 하지만 그렇다고 해서 여론에 등 떠밀리듯이 하여 보안 담당자만을 처벌 하는 것은 잘못된 것이다. 이것은 보안업계나 담당자들이 자신의 밥 그릇때문에 이야기 하는 차원이 아니다. 그럼 더 객관적인 시각에서 바라보자.

  • 정부 및 관련 기관                                                                 

 개인정보유출에 따른 근본적인 문제점을 파악해야 한다. 그리고 기업이 보안에 조금더 투자 할수 있는 분위기 조성과 정책적인 사업 마련이 중요하다. 가장 좋은 예로 무선망에 대한 여러가지 이런저런 이유로 미온적인 자세로 되어 있다가 '아이폰' 도입으로 여러가지 패러다임이 바뀌었다. 각 공공기관에서 스마트폰으로 업무를 보는등 무선랜을 정책적으로 활성화 해야 하는등..언제부터 관심을 갖었는지. 발등에 불이 떨어지니 하는 것은 아닌지. 그러한 활성화된 서비스 뒤에는 반드시 보안문제가 있다는 사실을 기억해야 한다. 지금이라도 늦지 않았다. 보안에 관심을 갖기 바란다. 아직도 국회에 계류중인 '개인정보보호법' 이 그것을 반증해 준다.

  • 기업 및 조직

 경영자는 보안에 관심을 갖어야 한다. 이제 기업이 살아 남을려면 보안에 대한 마인드를 가지고 있지 않는 기업은 반드시 외면 받을 것이다. 그져 해당 담당자만 문책해서 될 사안이 아니라는 것이다. 기업의 보안에 대한 애로사항이 있으면 목소리를 높여서 정부에 대책 마련을 하고 관련 기관에 많은 요청을 해야 할 것이다. 하지만 경영자의 보안마인드가 되어 있지 않으면 결국 보안에 대한 투자는 우선순위에서 밀리고 개인정보 유출과 침해사고등이 일어나면 그때서야 담당자 문책하고 기업은 이미지 및 신뢰도는 추락하고 현재 자신들의 모습이 아닌지 반성을 해야 한다.

  • 개인

정부 관료나 기업에 경영자나 일반 국민이나 자신의 소속된 위치를 떠나면 개인으로 돌아 올수 밖에 없다. 당장 쇼핑몰을 이용하려면 회원 가입을 해야하고 VIP 대접을 받으려면 신상정보를 넘겨 등록을 해야 한다. 철처하게 개인으로 돌아 가는 것이다. 이러한 개인들의 보안마인드도 높여져야 한다. 스스로 보안에 대한 관심과 연구 그리고 자신의 소중한 권리를 잘 지킬수 있는 마인드를 가져야 한다. 본인은 그런 의미에서 보안커뮤니티 '보안인닷컴'운영자 칼럼에 그 이유를 밝히고 있다.

앞으로는 개인도 철저하게 보안마인드를 가지고 있는 자(者)와 아닌자(者)가 분명히 구별이 될 것이다. 그에 따른 인센티브도 분명히 바뀔 것이다. 정부와 사회 그리고 기업은 이러한 보안마인드가 되어 있지 않은 인재를 채용하여 침해사고로 들어가는 사회적 비용을 국가와 경영자가 살펴 볼 필요가 있다.

결론

당장 법에 잣대를 대기 위해서는 담당자를 형사입건을 할수 있다. 하지만 조금만 문제점을 깊게 파고 들어가면 그것이 해결책이 아니라는 것은 누구보다 잘 알고 있을 것이다

보안쪽은 워낙 빠르게 기술이 변하고 정말 치열하게 노력하고 연구하고 자신의 분야에 대하여 피나는 노력을해야 하는 분야이다. 그만큼 기술의 발전이 빠르다는 것이다. 6개월전에 기술은 이미 지나가고 향후 잠재된 위험에 대한 여러가지 대응방안과 대책을 강구해야 하는것도 보안담당자의 역할이다. 그들에게 무조건 법적 잣대를 대어 처벌해서는 안된다. 더 잘 보안을 할수 있는 프레임프로세스를 만들어 주어야 한다. 

 미래는 사이버전의 시대가 도래한다. 이제는 그만큼 인터넷이 우리의 생활에 밀접하게 파고 들어 있고 각종 사회간접자본시설에도 접목이 되어 있다.

이젠 굳이 휴전선 넘어와서 각종 기업에 자료 정책자료를 간첩을 이용하여 가져갈 필요가 없다. 유능한 해커 부대를 이용하여 각종 국방에 대한 정보를 유출해 간다면 그 게임의 결과는 이미 판가름이 난것이다. 그런 사례는 언론에서 많이 나온 바가 있다.

따라서, 
국민의 보안인식 수준을 높이고 그러한 분위기와 보안담당자에 대한 사기진작과 보상을 해주지는 못한다 하더라도 '보안담당자'를 범죄자로 만드는 구시대적인 정책 집행은 하지 않아야 한다. 국민의 낮은 보안수준을 끌어 올리고 조금 더 기술적으로 국가 사이버 안전을 책임지는 담당자들이다.

부디 이러한 글이 소설을 쓴다고 이야기 하지 말자. 대비하지 않으면 언젠가 그만한 댓가를 치를 날이 올것이기 때문이다. @엔시스.


* 3/24일 12시55분 추가포스팅

현재 3/17일자로 '정보통신이용촉진및 정보보호등에 관한 법률' 제75조가 [전문개정]이 되었습니다. 고로 담당자에게 책임을 물을수 있는 법적근거는 있다는 이야기구요. 사실 이러한 부분들이 보안담당자들이 간과해서는 안되는 부분중에 하나이기도 합니다.

하지만 법률적 규정도 규정이지만 가끔은 현실을 바라보아야 할때도 있습니다. 조금은 현실을 바라보고 규제등이 필요하겠습니다. 실제 이번 사건은 보안담당자가 태만했는지 안했는지는 알길이 없으나 분명 보안을 업으로 하는 사람들에게는 현실의 외면하고 도피하려고 하는 빌미를 제공하는 사건임에는 틀림이 없을껏 같네요.



신고
Posted by 엔시스

KSIA에서 학술지를 창간하는군요. 평소 정책 제언이나 제안 그리고 관심있던 내용을 조금 더 구체적이고 객관적인 형태인 논문을 통하여 자신의 의견을 전달 할 수 있는 통로가 마련된 셈이네요..

기고요령

  1. 논문기고자의 자격제한은 없으며, 주제는 인터넷 및 정보보호와 관련된 내용이어야 합니다. (다음 내용은 주요 작성분야이며, 필자의 의도에 따라 주제는 다양하게 할 수 있음)
    • 인터넷 및 정보보호 관련 법제도, 정책, 산업전망, 이용자보호
    • 인터넷 및 정보화 역기능의 사회경제적 파급효과, 사회문화적 영향
    • 인터넷주소 및 정보보호 기술 정책 방향
    • 국제기구(IGF, ICANN, ITU 등) 및 외국의 인터넷 & 정보보호 논의 현황과 대응방안
    • 기타 인터넷 및 정보보호 관련 분야
  2. 작성언어는 한글 또는 영어로 작성할 수 있습니다.
  3. 원고는 수시로 접수하며, 논문투고신청서(다운로드)와 함께, 전자우편(journal@kisa.or.kr)으로 제출합니다. (전자우편으로만 접수) 제출할 논문은 한글프로그램 또는 MS-Word를 사용할 수 있습니다. (국문은 한글, 영문은 MS-Word 권장) 원고분량은 한글의 경우 A4 20페이지 내외를 권장합니다. (국문초록은 600단어, 영문초록은 200단어 이내, 키워드는 영문으로 5~7개 이내).
  4. 창간호 원고마감 : 2010년 3월 15일(월)까지
  5. 본 저널의 원고투고 지침 및 논문 작성요령을 참고하시어 많은 투고 바랍니다.

기 타

  1. 제출된 논문은 편집위원회 심사를 거쳐 게재를 결정합니다. (제출된 논문은 반환되지 않음)
  2. 채택된 논문에 대해서는 소정의 원고료를 지급합니다.
  3. 자세한 사항은 학술지 담당자(02-405-6516, journal@kisa.or.kr)로 문의해 주시기 바랍니다.



관심 있으신 분들은 참여 해 보시면 좋겠습니다. 평소 정보보호에 관심이 많은 본인도 한번 정리하는 차원에서 주제를 정하여 고민좀 해 보아야 겠습니다.  그냥 일반적인 글 쓰기 보다 논문을 적는다는 것은 자료 수집과 검증 그리고 틀에 많게 논리적으로 글쓰는 연습이기에 여러가지 자기 주장을 객관적으로 표출하는 수단에서 가장 좋은 형태입니다.

제가 블로그를 시작할때쯤은 대학원을 다니고 있던터라 논문에 대한 압박이 있어 글쓰기를 잘 하기 위한 방편으로 블로그 글쓰기를 하기도 하였는데 왠지 논문하면 딱딱하고 어려울꺼 같지만 글로 자기주장을 표출 하는 가장 좋은 방법이기에 한번 도전은 해 보고 싶네요..늘 문제는 시간과 노력이겠지요.

자세한 사항은 키사 홈페이지나 첨부파일 참고 하시면 되겠습니다...





신고
Posted by 엔시스

" 새로운 가치나 일자리를 창출하는 사람"

다양한 직업을 거쳐 카이스트 석좌 교수로 계시는 '안철수 교수님' , V3 를 만들고 보안 하면 떠오르는 사람. 안철수 교수님이 지난 금요일 TV 에서 " 기업가 정신" 에 대하여 특강을 가졌다.

사전에 방송에 나온다는 정보를 알고 있었기에 본방사수를 하여 본방을 보게 되었다.  언제보아도 부드러운 이미지에 차분한 목소리는 듣는 이로 하여금 끌어 당기는 매력이 있는 듯 하다.


안철수 교수가 말하는 기업가는 3가지 유형이 있다.
  • 첫째는 흔히 알고 있는 회사나 기업을 운영하는 기업가 (企業家)
  • 둘째는 천을 짜는 사업을 하는 사람의 뜻의 기업가(機業家)
  • 셋째는 안 교수가 주창하는 (기업가(起業家) -->새로운 가치나 일자리를 창출하는 사람

이렇게 이야기 하는데 그중에 제일 마지막인 기업가 정신을 주창하고 있다. 새로운 가치나 일자리를 창출하는 기업가 정신이야 말로 진정한 의미있는 일인듯 하다. 사실, 안교수님도 이야기하듯 국내에는 벤쳐가 안되는 여러가지 이유들이 많이 있다. 그런가운데 누군가 나서서 올바르게 이끌어 주는 것이 바람직한 것이다. 그것을 안철수 교수님이 기업가 정신이라는 이론으로 학문과 후학힘쓰는 듯 하다.

의사에서 프로그램에서 경영인 그리고 학생에서 다시 교수로..다양한 직업을 옮기면서 나름 존경 받는 사람.

이미 많은 언론과 인터뷰를 통하여 그 내용을 알고 있었지만 직접 화면으로 마주하면서 듣는 것은 마치 나의 앞에서 앞으로 당신도 그런 기업가 정신을 이어 받으라는 메세지와 같은 느낌을 받았다.

사실, 무엇인가 처음 주창을 하고 제기를 하면서 하나의 새로운 획을 긋기엔  정말 힘든 일이다. 다행히 존경 받는 인물에서 늘 빠지지 않는 안교수님이시기에 제자들도 많은 활력을 찾아 "창업"을 하겠다는 학생들도 많아졌다는 후문이 들린다.

기회가 되면 개인적으로 만나고 싶은 분 중에 한분이기도 하다.  꼭 나도 새로운 가치나 일자리를 창출하는 존경받는 기업가가 (entrepreneurship)되고픈 생각이 든다.

다시보고 싶은 분은 http://www.kbs.co.kr/1tv/sisa/firstclass/guest/index.html 에서 가면 볼수 있다.



신고
Posted by 엔시스

오늘 포스팅은 조금은 의미심장하고 조금은 반길만한 주제로 포스팅을 해 보겠습니다. 지금까지 '보안'이라는 이슈와 주제는 끊임없이 있었지만 '1.25' 대란이후에 관심을 가지게 되어 그 이후 각종 인터넷의 발달과 기술의 발달로 해킹에 대한 사건사고는 큰 사회적 이슈로 떠올랐으며 최근 7.7 DDoS 사건은 뜨거운 감자로 떠 오르기도 하였습니다,. 이 사건을 계기로 '정보보호'에 대한 관심도 많아졌지만 늘 그렇듯이 일정 시간이 지나면 또 제자리로 돌아가지 않을까 하는 업계에 우려도 있습니다. 그런 가운데 오늘 전자신문에서 '보안닷컴' 런칭에 즈음하여 지금까지 보안관련 사이트에 대한 정리를 해 보고자 합니다. 도움이 되었으면 합니다.


1세대 온라인 보안 언론 '보안뉴스'

보안 콘텐츠만을 온라인 취급 하는 일반 미디어 매체로서는 보안뉴스가 가장 많이 알려져 있습니다. 초기 보안뉴스에 많은 제보와 커뮤니케이션도 하였는데 이제는 어느덧 보안관련 언론 미디어로 자리 잡아가고 있습니다.

단지, 온라인 매체만을 이용한다는 단점이 있습니다. 오프라인 신문을 이용하지는 않지요. 아마도 정보보호21c 라는 정보보호관련 오프라인 월간 잡지가 그 자리를 대체하고 있어서인가 봅니다.

[사진=보안뉴스 메인 화면]

                                                          

최초의 기사를 표방한 신속한 뉴스꺼리를 지속적으로 업데이트 함으로 인하여 기존의 보안에 대한 관련 뉴스 및 이슈를 제공하고 있습니다.


참여형 정보보호 지식 포털 지향 하면서 런칭한 '시큐어넷'

처음으로 공기관(KISA) 주도로 야심차게 내놓은 정보보호 지식 포털 '시큐어넷'은 처음에 많은 주목을 받았습니다. 참여형이라는 키워드가 의미 하듯이 관련 전문가들이 풀에 등록을 하게 되었습니다.


[사진=시큐어넷 메인 화면]



하지만 사실상 운영의 주체가 공기업이고 일방향 커뮤니케이션에서 일방적인 소통으로 인하여 교류가 미흡하여 지금은 그다지 활성화가 되고 있지를 않습니다. 상당히 아쉬운 부분중에 하나입니다.



일반 IT매체가 런칭한 '보안닷컴' , 오픈 기대에 못미쳐


오늘 2009년12월23일 창간한 '보안닷컴' 이 오픈을 하였습니다. 정보보호포털을 선언하면서 런칭을 하여 많은 기대를 하고 있습니다.. 아마도 기존에 IT매체중에 가장 역사가 오래되어 기존의 노하우와 인지도 그리고 브랜드를 가지고 최근에 불고 있는 보안에 대한 소식을 전하려고 하는 의도가 아닌가 생각해 봅니다.


[사진=보안닷컴 메인화면]

 

조금 살펴 보니 조금은 성급한 오픈이 아닌가 하는 생각이 들고 기존 신문 미디어에 있는 기사를 재활용한다는 느낌이 많이 들었습니다.  추후 지켜봐야 할 것이지만 뉴스,콘텐츠만 가지고는 경쟁하기 쉽지 않을껏 같다는 생각이 듭니다.

특히, 가장 관심이 있는 부분은 바로 '도메인'에 있었습니다. 'boan.com' 이라는 도메인은 이미 등록이 된지 아주 오래된 도메인입니다. 약 2000년도에 등록이 되었으니까 전자신문에서는 이 도메인을 기존에 보유하고 있는 분으로부터 구입을 하지 않았나 생각이 듭니다.  인지도 있는 언론 미디어가 구입하는 것인만큼 저렴한 가격에 보유자가 넘기지는 않았으리라 생각합니다.

그렇게 본다면 이번 '보안닷컴' 런칭에 따른 상당한 기대와 부담이 작용하리라 생각이 됩니다. 그런데 이미 보안 기사로서는 '보안뉴스'가 선점을 하여 어느정도 자리를 잡고 있고, 기존의 브랜딩과 역량만 가지고 뒤늦게 '보안뉴스'를 따라 잡기엔 많은 노력이 필요 할 것으로 생각을 합니다. 많은 기대를 해 보겠습니다.


자발적인 참여와 회원간의 양방향 소통채널을 가진 '보안인닷컴' 더 돋보여


제가 운영하고 있는 '보안인닷컴' 은 2004년7월에 포털 네이버에 오픈을 하여 각종 정보보호관련 자격증 정보공유, 그리고 보안에 대한 이슈토론, 정보보호관련 대학원 진로상담, 그리고 정기적인 모임을 통하여 진정한 보안에 대한 함께 나눔을 실천하고 있는 국내 최대 보안커뮤니티입니다.

[사진=보안인닷컴 메인화면]



이런 나눔실천을 인정받아  지난 몇주전에 '2009 인터넷미디어대전에서 우수상'을 수상한 바가 있습니다. 그것은 일방향이 소통이 아닌 진정한 '보안인(人)'으로서 충분한 시간을 가지고 끊임없이 교류를 하고 열정을 발산했기 때문이 아닌가 하는 생각을 가져 봅니다.


마무리글


지금까지  보안관련 사이트들은 많이 오픈이 되었지만 실질적인 운영에 미흡함이 있었습니다. 대부분 기존에 인지도와 신뢰성 그리고 브랜드만 가지고 접근 하였지만 결국은 '소통의 부재' 로 인한 운영상에 부족함이 있었다라고 생각합니다. 따라서 기존 IT매체의 브랜딩과 인지도와 자발적인 커뮤니티의 '보안인닷컴'과 같은 참여로 서로 윈-윈하여 보다 일반인들에게 접근성이 뛰어나고 내실있는 사이트가 되어야 할 것입니다.

그렇지 않으면 기존에 밟았던 전철을 똑 같이 밟게 될 것입니다.  '보안닷컴' 런칭에 사회에 상당한 인사분들이 창간 인사말을 해 주셨더군요.. 그에 걸 맞은 운영이 필요하며 허울만 나타내는 것이 아닌 내실있는 사이트로 거듭나길 기대해 봅니다. @엔시스.


보안인닷컴 대표운영자 엔시스.

신고
Posted by 엔시스

내년 2010 년에는 전자정부 정보보호관리체계를 의무화 한다는 기사가 있었습니다.  본격적인 작업에 돌입이 되지 않나 싶네요.

정보보호관리체계에 관심이 있는 분들은 한번씩 참고 해 보시구요. 또한 공공조직에서 보안담당자들은 반드시 한번씩 일독 하기를 권해드립니다.



세부적으로 하나씩 읽어보니 기존에 ISMS와 유사한 느낌이 나는데 얼마나 효과가 있을지에 대해서는 한번 지켜봐야 겠습니다.

제가 늘 말했듯이 보안과 편리성과는 trade-off 관계에 있습니다. 따라서 정보보호관리체계를 귀찮은 일로 생각하시면 오산입니다. 어쩌면 제대로 된 관리체계를 수립해 놓고 제대로만 운영을 하면 더 수훨하게 관리 할수도 있습니다.

저는 관리체계를 보통 "집안 대청소"에 비유을 합니다.

어느날 아이들이 장난감과 교구 그리고 방을 완전 쓰레기 장으로 만들어 놓았습니다.  그럴때 아버지는 아이들을 데리고 책은 책꽂이에 장난감은 장난감 통에 그리고 옷을 옷걸이에 차곡차곡 정리를 합니다.

그러다가 쓸모 없는 물건이나 옷들이 있으면 쓰레기나 재활용에 버립니다. 그렇게 아이들과 같이 집안 대청소를 하고 나면 한결 잘 정리가 되고 물건이 있어야 할 자리에 있으면 그 다음부터는 관리 하기도 쉽습니다.

마찬가지로 정보보호(보안)도 기존에는 아주 주먹구구식으로 운영이 되어 왔습니다. 예를들면 화면보호기를 몇분동안 지정을 해야 하는지 패스워드는 몇자리로 해야 하는지, 정말 정보를 보호해야 할 자산은 무엇인지. 무엇이중요하고 무엇이 중요하지 않은지에 대한 기준과  규칙이 없었다는거죠..

그러한 규칙을 하나하나씩 인증심사 기준에 맞추어 체계적으로 수립해 나갈때 커다란 하나의 틀 안에서 관리를 하게 되니까 잘 고관리가 될수 있는 것입니다.

아마도 이러한 측면에서 공공기관부터 정보보호에 대한 관리 틀을 다시 한번 수립해야 하지 않는가 하는 점에서 의무화는 당연하다고 생각합니다. 실제 인증 심사를 받기위한 관리체계라기 보다 정말 조직의 정보를 보호 한다는 차원에서 접근하면 그 의미도 남다르지 않을까 생각합니다. 정보보호, 보안관리자 여러분 화이팅 하시기 바랍니다. @엔시스.



신고
Posted by 엔시스

웹 취약성에 대하여 해마다 배포하고 있는 OWASP 프로젝트에서 2010 년도 판을 배포 하고 있네요..



파일 전문은 아래에 첨부 하겠습니다. 시간 날때 한번 읽어 보아야겠습니다...

새롭게 눈에 띄는 부분이 있네요....보안 환경설정을 잘 못해서 일어난는 것이 10대 웹 취약성에 새롭게 포함이 되었군요.
보안에 관심 있는 분들이라면 꼭 한번씩 읽어 보길 권해 드립니다..





신고
Posted by 엔시스

역시 안전한 곳이 없군요...국내 막 풀리기 시작한 아이폰.

보안에도 각별히 신경을 써야 하겠습니다.....이미 아이폰 사용자를 대상으로 하여 해킹하는 소스 코드가 인터넷에서 공개가 되었습니다.

일명 " 아이폰정보도둑" 정도로 해석이 되겠는데.




늘 보안의식을 가지고 100% 안전한 곳은 없다라는 인식이 중요하겠습니다. 특히 무선이 가능하기 때문에 이제는 유선보다 보안이 취약하면 더 겉 잡을수 없는 보안위협과 정보 유출이 되었을때 파급효과가 미칠것입니다. 효율성과 보안은 양날의 검인듯 싶네요..



신고
Posted by 엔시스

우연히 블로그 리퍼러 확인하다가 포털 다음에서 재미있는 서비스를 제공하고 있는 것을 발견하였다. 그것은 관련 키워드를 입력하고 검색을 하면 얼마나 많은 검색이 되었는지를 기존 검색 키워드 데이터 베이스와 비교하여 챠트로 보여 주고 있다.

물론 정보보호관련 블로거인 만큼 관련 주제어를 넣어 검색을 해 보았다.

첫번째 검색어는 "정보보호" 

1. 검색추이 부분이다.,


역시 느낌으로 봐서도 7.7 DDoS가 일어난 시점에서 많은 검색이 이루어졌다는 사실을 알수 있다. 그만큼 정보보호에 대한 관심이 고조 되었단 것을 반증 하는 것이다.

2. 성별



성별은 단연코 남성이 앞서게 된다. 정보보호쪽은 여성보다는 남성의 진출이 두드러지는 느낌을 많이 받는다. 여성분들의 많은 진출을 기대하고 기존에 있던 여성분들의 약진을 기대해 본다.

3. 연령



연령에서는 20대가 가장 많이 검색을 해 보고 있었다. 10대들이 없었다는게 조금 의문이 들긴 하였다. 같은 내용이라 여기 포스팅에는 언급을 하지 않았지만 10대들은 '정보보호'라는 키워드보단 '해킹' '해커'라는 키워드 검색을 주로 하였다.

4.지역별


인구분포 비례상 서울 지역이 가장 많은 것은 당연한 것이지만 역시 서울에 있는 분들이 지방보다는 훨씬 보안에 대한 관심을 갖고 있다는 사실을 알게 되었다.

또한 지방중에서 대전과 경기 전북지역에서 '정보보호'라는 키워드 검색을 많이 한 것으로 나타났다. 그 나머지 지역은 관심이 적은 모양이다. 주로 서울경기 지역에서 검색을 많이하였으며 대전은 연구소가 많아 아무래도 연구원분들이 검색을 하지 않았나 생각을 해 본다. 타 지방에서도 많은 관심을 갖었으면 생각해 본다.


마무리글

본 조사는 포털 다음에서 제공하는 한정된 서비스로 네이버나 네이트 기타 검색엔진을 사용하는 사용자분들이 배제된 단편적인 내용이다. 따라서 본 내용이 모든 것을 대변하고 대표적으로 나타낼순 없겠지만 타 검색 엔진을 이용한다고 하여도 그리 변경 될꺼 같지는 않겠다는 생각이 든다.

흔히 '정보보호'라는 용어 보다는 '보안', '정보보안', '해킹', '해커'등에 대한 조사도 같이 해 보았지만 연령에서 10대가 조금 있다는 것 외에는 대부분 대동소이 하다는 느낌이 들었다.

우리가 검색 엔진에서 관련 키워드를 찾는다는것은 그만큼 관심이 있다는 증거이기도 하다. 그것은 7월달 기준으로 하여 다른 키워드를 검색을 하여도 마찬가지 결과가 나왔다.  그만큼 이슈가 되고 관심이 많았다는 증거가 된다.

이제 약 4개월정도 시간이 흘러가고 있다. 우리들 기억속에서 아스라히 사라져 가고 있다. 하지만 지금 이시간에도 사이버 보안 위협은 끊임없이 나타나고 있다. 늘 관심을 가지고 주변을 살펴 보아야 할 것이 '사이버 보안'이 아닐까 생각해 본다.



신고
Posted by 엔시스

국내에서도 DDoS를 비지니스 모델로 하여 사업을 하는 곳이 몇군데 있습니다. 이제는 이러한 공격을 막아주는 것을 비지니스 사업으로 하는 곳들이 늘어 나게 되겠군요.




일부 외국에서는 비지니스를 하면서 보내는 샘플용 편지도 소개가 되고 있네요..

Sample DDOS extortion letter:
"Hello. If you want to continue having your site operational, you must pay us 10 000 rubles monthly. Attention! Starting as of DATE your site will be a subject to a DDoS attack. Your site will remain unavailable until you pay us.

The first attack will involve 2,000 bots. If you contact the companies involved in the protection of DDoS-attacks and they begin to block our bots, we will increase the number of bots to 50 000, and the protection of 50 000 bots is very, very expensive.

1-st payment (10 000 rubles) Must be made no later than DATE. All subsequent payments (10 000 rubles) Must be committed no later than 31 (30) day of each month starting from August 31. Late payment penalties will be charged 100% for each day of delay.


For example, if you do not have time to make payment on the last day of the month, then 1 day of you will have to pay a fine 100%, for instance 20 000 rubles. If you pay only the 2 nd date of the month, it will be for 30 000 rubles etc. Please pay on time, and then the initial 10 000 rubles offer will not change. Penalty fees apply to your first payment - no later than DATE"

You will also receive several bonuses.
1. 30% discount if you request DDoS attack on your competitors/enemies. Fair market value ddos attacks a simple site is about $ 100 per night, for you it will cost only 70 $ per day.
2. If we turn to your competitors / enemies, to make an attack on your site, then we deny them.

Payment must be done on our purse Yandex-money number 41001474323733. Every month the number will be a new purse, be careful. About how to use Yandex-money read on www.money.yandex.ru. If you want to apply to law enforcement agencies, we will not discourage you. We even give you their contacts: www.fsb.ru, www.mvd.ru
"

http://ddanchev.blogspot.com/2009/11/pricing-scheme-for-ddos-extortion.html


악의적인 공격으로 인하여 공격해오는 것을 방어하는 의미에서 비지니스 모델은 좋겠지만 비지니스 모델로써 너무 과열되다 보면 그 역기능이 발생하지도 않을까 하는 우려를 해 보기도 합니다.

이러한 모델로 인하여 비지니스를 하시는 분들은 유혹(?)에 빠지면 절대 안된다는 사실을 기억 하시기 바랍니다.



신고
Posted by 엔시스
TAG DDos, 보안

다른 제목도 있었지만 제목을 좀 자극적으로 해 보았습니다.

새롭게 태어난 '한국인터넷진흥원(이하 KISA)'는 공기업 선진화 방안으로 3개의 공기업이 통합이 되었습니다. '한국정보보호진흥원', '한국인터넷진흥원','정보통신국제협력진흥원' 이 하나로 통합이 된 것이지요..

지난 정부때 '공공기관' 이전에 따라 '한국정보보호진흥원'은 나주로 지방이전이 확정이 되어있었습니다. 하지만 3공기업 통합으로 인하여 지방이전이 불투명해 졌습니다.



2012년까지 지방이전 과연 될까?

이러한 문제로 인하여 지방이전은 어려울꺼 같고 지방균형발전이라는 것도 또다시 수도권집중화로 되어 있습니다. 사실, 지방에서 서울로 가는 것은 더 발전적이고 기회를 잡으려고 가는 것이지만 반대로 서울에서 지방으로 거점을 옮긴다는 것은 사실 그리 쉽지 않은 결정입니다.

하지만 국가 균형발전측면에서는 반드시 공공기관이 움직여 줌으로 인하여 전체 균형적인 발전이 이루어지는 것입니다.

서울에만 인구 집중화 현상과 주택가격이 천정부지로 올라가고 지방 다른 도시에는 그야 말로 휑한 느낌이 든다면 아이가 밥을 골고루 먹지 않고 편식만 하는 그래서 아이가 영향 불균형을 초래 하는 것과 같습니다.


급격한 IT인프라 발전과 정보보호의 대두


앞으로 정보보호와 보안에 대한 이슈와 역기능은 지속적으로 나타날 것이다. 그것은 대한민국의 IT발전이 급속하게 급성장을 하였기 때문입니다. 조금만 생각해 보면 우리가 최초 인터넷이라고 접한 것이 보통 1995년 1996년 정도로 기억이 됩니다. 그때 당시 천리안,나우누리등과 같은 모뎀을 이용한 PC통신과 인터넷은 1999년 정도로 될 것입니다., 어쨌든 대한민국 인터넷의 역사는 10년 남짓합니다.

그 10년동안 정말 눈부신 IT 인프라 발전을 가져왔습니다. 이제 집집마다 초고속 인터넷 안들어가 있는 곳이 거의 없고, 속도도 집까지 100M까지 사용하게 되었습니다. 예전에 모뎀 사용시에는 동영상이 끊겨서 사용할수 없었던 것이 이제는 왠만한 동영상은 무리없이 시청할수 있습니다.

또한 인터넷 뱅킹 사용자가 늘면서 은행의 창구업무는 점점 줄어들고 있으며 창구를 찾는 횟수도 점점 줄어들고 있습니다. 책도 서점에서 사기 보다 온라인 서점을 이용하여 구매하는 시대에 살고 있습니다.
인터넷의 혁명이 우리 생활에 지난 10년 동안 깊숙히 파고 들었습니다.

하지만, 인터넷 역기능이 나타나면서 정보를 관리를 하던 단계에서 이제는 '보호'를 해야 하는 단계로 진입을 하였다는 것입니다. 정보보호와 보안에 대한 마인드과 인식이 필요한 시점이 되었다는 것이죠. 그것은 작년과 올해 여러가지 보안이슈성 사건 사고들이 언론과 방송에서 다루어지면서 많이 부각이 되기도 하였습니다.


보안사고 터지면 의례히 나타나는 단골메뉴 - 정보보호 인력 양성

지난번 한번 블로그를 통하여 한번 포스팅 한 적이 있지만 보안사고가 터지면 의례히 나타나는 전문인력 부족현상을 이야기 합니다. 솔직히 말씀드리면 지방에선 전문 인력을 찾아 보기 힘듭니다. 아니 거의 없다고 해도 과언이 아닐것입니다.  수도권으로만 이루어지는 전문인력 양성. 그것도 제대로된 전문인력 양성이 될지 않될지 모르는 가운데 지역에서 사용하는 IT인프라를 책임지고 관리 운영하는 전문인력조차 그리 없습니다. 전부 수도권위주로 진행이 됩니다. 그러다 보니 관련 기관에 보안을 관리 감독하는 기관조차도 없습니다. 중앙에 통제를 받는 것도 중요하지만 '정보보호'에 대해서만은 스스로 해결하고 노력 하는 것이 정말 중요합니다. 그런 기반 마련이 시급한 것입니다.


한국인터넷진흥원 지방 지사 설립은 어떨까?

어차피 3개기관 통합하여 지방이전은 사실상 물건너 갔다고 보아집니다. 따라서 대한민국 수도권을 제외한 전국 IT인프라와 정보화, 인터넷의 정보보호와 보안을 관리 감독하고 책임질수 있는 한국인터넷진흥원 주요 광역도시 지방 지사설립은 어떨까 하는 생각을 해 보았습니다.

3개 통합기관중에서 가장 많은 인원이 있으며 향후 보안에 대한 대책 방안이나 정책 수립시에 각 지방에 있는 의견을 수렴하는 창구 역할을 할수 있을 것입니다. 물리적인 여건으로 멀리 떨어져 있다보면 아무래도 정부 정책 전달이 늦어지고 멀어질수 밖에 없습니다. 그냥 막연히 국민에게 무엇무엇을 하라는식의 상명하달보다는 조금 더 기관이 다가 갈수 있는 적극적인 자세가 필요한 것입니다. KISA지사 설립을 한다면 다음과 같은 장점이 있을 것입니다.

  • 지방 IT인프라에 대한 현황 파악 및 기술전파, 비IT 기업의 보안인식의 확대
  • 수도권 위주의 인력 양성을 지방 거점 도시에 전파하여 부족한 정보보호 전문인력 양성
  • 정기적인 세미나와 지역 업체 면담을 통하여 정보보호에 대한 인식전파와 의견 수렴
  • 정보보호 법과 제도 집행으로 인한 정보부족을 지역 거점 지사에서 확대,전파
  • 기관 한곳이 아닌 지역 여러 곳에서 역할분담으로 정보보호 법,제도 균형 운영
  • 사이버 테러, 사이버전 발생시 지역 유관 기관과 유기적인 대응체계 구축
  • 지역 정보보호, 보안 인력 풀 구축 활용, 전문가 양성


맺는말

지금 공기업 선진화 방안으로 인력 감축을 하고 오히려 덩치를 줄이고 있는데, 기관을 더 확장을 한다는 것은 정부정책에 맞지 않을지도 모릅니다. 하지만 향후 미래 산업은 모든것이 컴퓨터와 인터넷으로 이루어질 것이며, 이러한 '정보'(infomation)에 대한 '보호'(保護)는 당연한 것입니다. 사실 수도권에서 말하는 것이 지방까지 얼마나 가슴에 와 닿게끔 전달이 될수 있을까요? 조금 더 가까이 내 주변부터 챙기고 알릴수 있는 거점이 필요한 시기입니다.

대한민국 모든 것이 안 중요하고 사람이 안 필요한 것이 없겠지만 향후에는 컴퓨터로 대체되어 '무인화' 되어 가는 시스템이 점점 중요해 지고 그 안에 정보의 중요성은 점점 커질 것입니다.

이러한 미래 대체 역할로 중앙집중식 보다는 분권화 시켜서 그 대안을 마련하고 방법을 모색해 보는 것이 장기적인 안목에서 혜안(慧眼)을 찾을수 있는 것이라 생각합니다. 다양한 생각과 제안은 때로는 결정적인 정책적 대안 제시가 될수도 있기에 몇가지 생각을 적어 보았습니다. 이러한 부분들은 꼭 기관에만 한정 되는 것이 아니라 기업도 마찬가지고 생각해 볼수 있는 문제이겠지요. 한번씩 고민해 보면 좋을꺼 같습니다.  늘 불가능하다고 생각하면 영원히 할수 없는 것입니다.

"못해서 안한게 아니라 안하니까 못 한 것입니다."


신고
Posted by 엔시스


인하대학교에서  "KISA" 과제 수행한 논문인거 같네요.. 키보드 입력 패스워드 대체방안으로 연구한 내용입니다..

아직 저도 전부 읽어 보지는 못하였는데 시간날때 한번 읽어 보겠습니다..대충 그냥 훑어 보니까 패스워드 입력에 대한 내용인데 금융권 같은데에서는 OTP를 사용하고 있기에 조금 더 안전한 것 같고 일반 웹사이트에 적용하는 방법으로 제안이 되겠습니다.

한번 읽어 보세요..






신고
Posted by 엔시스

초보자개발 항해일지를 운영하고 있는 아리새펜촉님이 바톤을 넘겨 주어 포스팅 하게 되었습니다. 그 내용은  http://hisjournal.net/blog/259 포스팅을 참고 하시면 되겠습니다. 그동안 다른 일때문에 많이 바쁘다보니 미쳐 마음에 여유를 가질 기회가 없었습니다. 이번에 한번 돌아 볼겸 해서 정리해 봅니다..

바톤을 넘겨준 제목은 『보안과 네이버카페』 아마도 저에게 있어서 특화된 주제로 넘겨 준거 같은데 한번 정리를 해 보겠습니다. 제가 네이버에서 국가공인 정보보호전문가 자격증 모임 이라는 커뮤니티를 운영하고 있습니다. 지금 회원은 약 2만4천명정도 되겠네요..

자칫 네이버 카페에 대한 보안적인 측면에 관심을 가지고 방문하신 분은 낚기신것입니다. 네이버 카페 보안에 대한 이야기가 아니고 제가 보안 커뮤니티를 운영하고 있고 또한 사람과 사람들이 엮인 커뮤니티인만큼 보안이란 키워드와 카페라는 키워드 측면에서 적어 보는 것입니다.

1. 카페의 시작

카페는 2004.7월에 어느날 SIS 자격증 시험을 보게 되었습니다. 그런데 SIS 1급 자격증 시험이 너무 어려워 그만 시험에서 떨어지고 말았습니다. 나름 준비 부족도 있었지만 충격을 먹었습니다. 그래서 하는수 없이 SIS 자격증은 반드시 취득하고자 마음 먹었으며 그러면서 카페를 만들어 자료 정리를 해 보고 또한 준비 하는 사람들끼리 정보도 공유하면 좋겠다고 생각하여 만들었습니다.

무엇이든지 처음엔 재미가 없게 마련이지요..늘 혼자 노는 기분과 같겠지요..그리고 아는 사람도 없으니 방문자도 없고..

2. 카페 홍보와 자료 마련

카페 홍보를 하기 위하여 그 당시 한창 잘나가던 지식인에 보안에 대한 답변을 쓰기 시작 하였습니다. 그리고 그에 대한 답은 카페에 올리기도 하였고 같은 질문과 답을 적기도 하였습니다. 지금이야 지식인이 한물 같지만 그당시만 해도 지식인이 인기였습니다. 또한 정회원이 되기 위하여 자료 2개를 반드시 올리게 되어 있습니다.


3. 서울카페 첫 정모

서울에서 카페 첫 정모를 하였습니다. 사전에 준비도 하였고 몇명 안되지만 카페내에서 닉네임이 익숙한 몇분과 함께 첫 모임을 갖었던 기억이 납니다. 그때 모인 인원중에 지금 운영진에 있는 회원이 대다수이며 같이 이끌어 가고 있습니다. 첫 정모에서 약 20여명 모였으며 몇분의 여성분들도 있었던걸로 기억합니다.


4. 보안커뮤니티 연합 세미나

그런던중 옆 카페에서 평소 교류가 있던 솔라리스테크넷과 연합 보안 세미나를 서울역 세미나실에서 열게 되었습니다. 많은 사람들에게 다가갈수 있는 기회가 되었고 몇분의 새로운 지인분들 알게 되었습니다. 약 100명정도 모인 세미나였으며 카페를 더 많이 알리고 서로 알아가는 기회가 된 것 같기도 합니다. 또한 처음 행사를 해 본 경험도 되겠습니다.

5. 커뮤니티 운영하면서 가장 인상 깊었던 경우는?

커뮤니티를 운영하면서 많은 일들이 있었는데 그 중에서도 SIS 시험 관련하여 그 당시 한국정보보호진흥원 원장님에게 직접 메일을 보내어 민원을 청구 하였던 기억이 납니다. 이러한 민원이 접수가 되어 해결이 되긴 하였지만 그 모든 것이 개인 스스로의 일이었다면 불가능 하였을 것입니다.


6. 카페 운영하면서 자주 받는 질문은?

카페를 운영을 하다보면 자주 메일과 쪽지를 받게 되는데 대부분 보안에 대한 이야기이며 어떻게 하면 보안에 대한 공부를 할 수 있으며 시험 공부를 하려면 또는 취직을 하려면 어떻게 하면 되는지에 대한 질문을 다수 받습니다. 가끔은 카페를 양도하면 얼마를 주겠다는 메일과 쪽지를 받은 적도 있습니다.


7. 카페를 운영하면서 잃은 것과 얻은 것은?

우선 카페를 운영하면서 얻은 것은 많은 분들과 교류를 할 수 있었다는 것입니다. 그리고 어느정도 규모가 되었을땐 알아보는 사람이 조금 있다는 것입니다.
잃은 것이 있다면 카페 운영에 많은 시간이 투여가 됩니다. 이제는 어느정도 습관이 되고 운영진과 예비스텝들이 도와 주고 있어서 조금 나아지긴 하였지만 아직도 시간이 투여가 됩니다. 역시 무슨 일이든 시간을 투자 하지 않으면 이루어지는 것이 없더군요.

8. 왜 하필이면 보안 커뮤니티였습니까?

물론 카페가 보안자격증 정보공유정도로 보일수도 있지만 지금 추구 하고 있는 것은 보안, 정보보호라는 것은 즉, 소홀히 할수 없는 것입니다. 그것이 비록 미래 전망 직업에 항상 등장하는 이유이기 때문이기 아닌 이제는 잘 갖추어진 인프라를 통하여 더 많은 역기능들이 나타나고 있는데 빠른 정보화와 편리성 보다는 정보보호에 대한 마인드는 아직도 뒤쳐저 있기 때문입니다. 그래서 많은 사람들과 보안에 중요성과 인식을 일깨우는 커뮤니티로 거듭나고자 노력 하고 있습니다.

9. 블로그와 카페에 대한 느낌을 각각 적어 본다면?

블로그는 개인 미디어로 개인에대한 느낌과 생각을 적기 때문에 아무래도 부담이 덜 됩니다. 그리고 그 책임은 개인이 지게 됩니다. 또한 블로그는 오픈된 공간이라서 서로 깊은 피드백이 오고 가지 못하는 점이 있습니다. 그것은 아마도 블로그를 운영하는 사람들의 생각과 주제가 일정하지 않고 그렇다 보니 각자 관심사가 그리 많이 일치하는 점이 없기 때문인거 같습니다.

하지만 카페는 그 충성도는 상당히 높은 편입니다. 그리고 약간은 폐쇄적인 구조를 가지고 같은 주제와 생각을 가지 사람들로 모인 만큼 피드백이 상당히 높습니다. 블로그와 카페를 둘다 운영하고 있는 제 입자으로 봐서는 아직까지 우리나라는 카페가 운영자로서는 더 관심이 가고 높은 충성도와 피드백으로 인하여 더 관심이 가는게 사실입니다.

다만, 카페와 블로그를 같이 연계하여 장단점을 보완해서 운영하는 하이브리드 형식을 띄면 많은 부분이 보완 되리라 생각합니다. 그 몫은 여러분들 고민해야 하겠죠.

10.  마지막으로 블로거와 카페 분들에게 한마디 한다면?

인생은 끊임없는 도전과 열정 그리고 노력입니다. 카페도 열심히 활동하다보니 네이버 대표카페에 선정이 되었고, 블로그도 열심히 노력하여 꾸준히 운영하다보니 여러가지 수 많은 콘텐츠도 점차 쌓이게 되었습니다.

따라서 지금 이 시간 바로 시작하는게 중요하겠습니다. 언젠가 시작하기 보단 자신이 원하고 하고자 하는 것이 있다면 바로 시작하라는 것이죠. 보안과 네이버 카페에 대하여 충실하게 질문 대답형식을 적어 보았으나 제대로 되었는지 모르겠네요. 아무튼 네이버에 카페를 먼저 정착 하였기에 지금에 많은 회원들과 호흡할수 있고 그것은 또 다른 인연을 불러 오는 것입니다. 자신이 아무것도 하지 않는다면 또 다른 인연과 발전은 올수가 없겠지요. 지금 이 시간에도 부단히 노력하면서 준비하는 자세가 필요하다고 생각합니다.  대한민국 최고의 정보보호 커뮤니티를 만들고 보안 블로그로 거듭 나게끔 노력해 보겠습니다.

아리새펜촉님 이정도면 어느정도 답변이 되었나요? 추후 나중에 조금 더 자세히 정리해 보도록 하겠습니다..



신고
Posted by 엔시스

최근에 보안의 중요성이 대두 되고 있는 가운데 아직도 사람들 의식 속에서는 보안이 그냥 귀찮은 존재로만 생각한다는 사실을 또 한번 느꼈다.

트위터를 운영하고 있어서 트위터리언(트위터 하는사람을 일컫는말)에게 다음과 같은 질문을 던져 보았다.



질문은 간단하다. 보안이 중요하다고 하는것은 누구나 인식을 같이 한다. 하지만 왜 잘 지켜지지 않을까 하는 원초적인 질문이었다.

그런 질문에 약간은 대답을 예상은 했지만 너무도 일치되는 답변들이 많아서 문뜩 놀랐으며 아직도 갈길이 멀다는 생각을 하게 되었다.


개인 프라이버시 관계상 앞에 사진을 제외 하였으니 양해 바란다. 일부는 보안업체의 자각을 이야기 하기도 하고 하지만 대부분은 개인의 습성을 이야기 하고 있었다. 그 내용은 다음과 같다.

  • 보안과 귀찮이즘과의 trade off 관계
  • 번거로움
  • 게으름
  • 안전성 보다는 편리성을 추구
  • 보안의 중요성은 인식
  • 행동으로 실천 옮기기가 쉽지 않음
  • 설마 어떻게 되겠어?

이러한 부분들이 전부는 아니겠지만 또한 답변 한 사람들이 많이는 아니었지만 대부분 너무 일치하는 답변들을 보고 흠짓 놀라기도 하였다.

그럼 어떻게 해야 할 것인가?  보안이 중요하다는 것은 아는데 안전한 것 보다는 편리성을 더 찾는 인간의 습관을 어떻게 고칠 것인가?

참 어려운 문제이다.  보안 아무리 강조해도 지나치지 않는다. 우리 모두 보안 마인드를 가집시다..

 

신고
Posted by 엔시스

오늘은 리뷰가 아닌 책 하나를 소개 해 드리려고 합니다. 저도 아이 키우고 있는 입장에서 교육에 대하여 많은 관심을 가지고 있습니다.  그런데 최근 '1등처럼 공부하지마' 라는 책이 나왔습니다.

책의 저자인 '신수정'박사는 보안쪽에서 더 많은 이름이 알려져 있으며, 보안에 대한 많은 지식을 가지고 있는 분이기도 합니다. 하지만 이번에 나온 책은 보안에 대한 책이 아니라 아이들 초중고 학생들 교육에 대한 공부방법에 대한 이야기를 책으로 엮어서 출간하게 되었습니다.

지난 8월정도에 개인블로그에 글을 올리면서 관심을 가지고 보고 있었으며 1년여에 걸친 산고 끝에 드디어 책이 출간이 되었더군요. 이 책에 대한 포커스는 공부를 잘 할려면 어떻게 하는것이 아닌 공부를 상위 5% 미만의 학생들에게 도움이 되는 책이라 저자는 말하고 있습니다.

또한 학생뿐만 아니라 직장인들에게도 유용한 공부방법에 지침이 되고 있다고 하니까 한번 읽어 보아야 겠습니다.

1등처럼 공부하지 마
카테고리 중/고등학습
지은이 신수정 (늘봄, 2009년)
상세보기





책에 대한 목차와 정보는 http://book.naver.com/bookdb/book_detail.php?bid=6057614 에서도 살펴 볼수 있으며 일부 샘플본을 읽어 보시려면 신수정 박사님의 개인 블로그인 http://blog.naver.com/sjs4321 을 참고 하시면 되겠습니다. 서울대 출신으로 어느날 갑자기 아이들이 공부를 하는 방법을 제대로 한번 만들어 보자는 취지에서 출발 하였다고 하는데 자녀가 있는 저로서도 많은 공감이 가는 내용이고 제 스스로 학습법에도 응용을 해 보아야 겠습니다.. @엔시스.




신고
Posted by 엔시스



조금 시간이 지난 이야기입니다. 이 포스팅은 한참 Open SSH 에 대한 말들이 많을때 포스팅 해 놓았으나 비공개로 되어 있었던 부분인데 굳이 비공개로 해 놓을 이유가 없어 발행합니다. 참고 하시면 되겠습니다.

리눅스를 사용하시는 분이라면 Open SSH를 잘 알고 있을 것입니다. 보통 윈도우 경우 원격 서버 관리 툴로 윈도우 터미널을 사용하는 반면에 리눅스의 경우 텔넷이나 SSH를 사용하게 됩니다.

그런데 텔넷은 원격 서버와 통신시에 암호화가 되지 않은 이유로 보통 SSH를 많이 사용하고 있습니다. 즉 오고가는 패킷을 암호하여 전달하고 있다는 이야기입니다. 따라서 외부로의 안전을 보장 받아서 유명한 서비스 기능이기도 하는데 이 패키지에 취약점이 발견 되었다는 것입니다.

그런데 이러한 취약점을 공격하는 익스플로잇 (일명: 공격도구툴) 이 인터넷을 통하여 나돌고 있는데 그것이 가짜라고 하는 것입니다.


일부 쉘코드가 있고 스크립트가 있습니다. 그런데 저 안에 쉘코드를 인코딩한 것을 디코딩하고 텍스트로 바꾸어 보면

http://cloud.ttongfly.net/ssh_rm_command.jpg

보인다고 하니 조심을 해야겠습니다. 그의미는 바로 서버 루트를 날려 버리는 것입니다..이것은 우선 자신의 리눅스 서버에서 오픈 SSH가 취약점이 있는지 없는지를 테스트 해 보기 위해서 할 수 있는 방법인데 잘못 하다간 큰일이 나겠습니다.

따라서 리눅스 서버 관리자들은 조심하여 시스템을 관리 하셔야 겠습니다. 잘못 실행하면 서버 디렉토리나 파일이 삭제 된다는 이야기입니다.

스크립트키드 함부로 사용하지 말것

일명 스크립트 키드라고 불리는 보안에 관심은 있지만 일정한 수준에 오르지 못하고 스스로 프로그램을 만들지 못하며 남이 만든 프로그램으로 악용하는 사람들을 일컫어 부르는 말입니다.. 이런 사람들에게는 이번 오픈 SSH 익스플로잇에 대하여 진짜다 가짜다 설왕설래 의견이 분분하지만 조심 해야 한다는 경고의 메세지를 보냅니다.

아무래도 익스플로잇에 대한 이해가 없이 그냥 막연히 실행만 하였을 경우 위에서 보듯이 가짜 일 경우 바로 서버에 파일이 삭제가 되는 현상이 발생합니다. 보안 커뮤니티에서는 이 같이 가상의 머신에서 익스플로잇을 테스트 하다가 파일을 날려 먹었다는 이야기도 오고가고 있으니. 상당한  주의를 요하게 됩니다. 설령 서비스중인 서버에서 위와 같은 무모한 행동은 하지 않기를 바랍니다. 그것은 평소 테스트용 에서 하는 습관을 가지는게 좋습니다. @엔시스.

신고
Posted by 엔시스

오늘자 언론 기사를 접하고 딱 떠오르는 말이 있었다. 다른날 같으면 그냥 뇌리를 스치는 말이지만 이번엔 그냥 입으로 튀어 나왔다.

"그러면 그렇지 " "내 이럴줄 알았다"  실망감을 감출수 없다.

靑 "정보보호 컨트롤타워 계획없다"

화장실 갈때와 갔다온 후가 달라지는 것이다. 조금은 신랄한 비판을 해 보고자 한다. 아직까지도 "매뉴얼만 있으면 대응이 되는 것이라 생각하는 건지 "

사정이야 있겠지만 아직까지 "정보" 가치에 대한 소중함과 "보호"에 대한 마인드가 부족하다고 생각을 한다. 정해진 조직이 하루 아침에 다르게 바뀐다는 것도 힘이 드는 것이겠지만 그래도 무엇인가 변할수 있는 마인드를 가져야 한다.

공공조직이라는 것이 속앓이가 많을 것이다. 그것은 개인이 혼자 열정적으로 한다고 해서 되는 일도 아니고 전체적인 안목에서 이루어져야 하는 부분이기 때문이다.

하지만 말이다. 이제는 조금 더 합리적이고 효율적인 국가 위기 관리시스템이 도입이 되고 그곳에서 집중관리 될 수 있는 핵심 기관이 있어야 하는 것은 당연한 것이다.

언론과 일이 일어났을때만 호들 갑을 떠는 우리나라..이미 여러번 반복 효과로 인하여 이제는 체념해 버린 우리.

왜 이렇게 자꾸 만들어가고 있을까?

늘 그 외침은 그들만에 외침이고 그들만의 관심일까? 안타깝다. 이제 딱 한달만 지나면 또 관심이 사라져 버리겠지..언제 그랬느냐는 듯이...

다시 한번 말하지만 DDoS가 전부가 아니다. 그것은 정보보호에 대한 극히 일부분일 뿐이다. 사이버 사고가 일어나면 사고 축소에 급급하기 보다는 미리 마련을 하고 , 준비를 하고 법률과 제도를 개선하여 또 다른 사고로부터 보호를 해야 하는 것이다.

이제는 소통을 해야 하고 귀를 기울여야 한다. 고객이 왕이고, 국민이 왕인 것이다. 그냥 일방향 통행을 하지 않길 바랄뿐이다. 고객이 없으면 어떻게 기업이 돈을 벌게 될 것이며, 국민이 없으면 어떻게 국회의원이 입법을 추진하겠는가?  지금 상황을 잘 한번 살펴 보아야 한다.

"정보보호", "보안" 그렇게 중요하다고, 해야 한다고 , 실천하자고 외쳐도 차잔속에 태풍으로 남아서 언제나 외로워서는 안되는 것이다.

정말 중요한 것은 바로 "국민에게 상대방에게 고객에게 학생에게 바로 당신에게 귀를 기울일줄 아는 것이다."

청와대가 의지가 없는 것이나 조직에 장 즉, CEO가 의지가 없는것이나 다름바가 없다. 결국 의지가 없으면 변화는 올수 없고 똑 같은 행동과 결과를 반복 할 뿐이다.

아인슈타인이 말했다.

" 같은 행동을 하고도 다른 결과를 바라는 사람은 정신 병자나 다름이 없다."

다시 한번 새겨볼 말이다.




신고
Posted by 엔시스

필자는 TV는 뉴스와 경제, 시사,다큐만 주로 본다. 그것도 특별한 프로그램이 아니면 TV를 자주 보는 편이 아니다. 주로 인터넷을 통하여 모든 정보를 얻을 수 있기 때문이다. 그런데 최근 국회 '미디어법' 통과를 두고 말이 많다.

정치적인 이야기는 하지 않겠다. 그것은 이 블로그의 내용상 맞지도 않고 그렇게 정치 운운할 역량도 되지 못하니 순수하게 보안적인 관점에서 이번 사태의 촛점을 찾아 보기로 한다.


1.전자투표시스템이란?

전자투표란 전자 투표행위나 투표 집계작업시 전자적 수단이 도입된 투표 방식이라 할 수 있겠다. 따라서 예전에 기표소 안에서 하얀 천막치고 그 안에서 볼펜 막대 같은 것으로 빨간 인주를 찍어서 하는 투표와는 다른 방식인 것이다.

2. 왜 전자투표 시스템을 사용하는가?

무엇보다 신속한 데이터 수집 합산으로 인한 빠른 표결 처리를 확인 할 수 있기 때문이다. 또한 일일이 수작업을 통하여 사람이 가,부 판단을 하는 시스템에서 벗어나 전자적으로 하기 때문에 훨씬 효율적인 것이다.

3. 전자투표 시스템은 언제 도입이 되었는가?

중앙 선관위는 2012년까지 전자투표 도입 방침을 로드맵[각주:1]을 잡은 적이 있으며, 국회에서는 2000년 16대 국회부터 표결 원칙이 기립표결에서 의원 개개인의 투표 결과를 직접 눈으로 확인, 의원의 책임성을 높일 수 있는 전자투표로 바뀌었다.[각주:2]


4. 전자투표 하는 방식

  • 터치스크린 방식 - 스크린에 정해진 부분을 눌러 하는 방식으로 네덜란드등에서 사용중
  • PC기반 기술방식 - 투표를 위해 키보드와 마우스를 이용하여 사용하는 것으로 브라질에서 사용
  • 키오스크 방식 - 투표소가 아닌 편리한 장소,일터,병원등에 설치되어 이용되는 방식

5. 전자투표의 요구 사항  -  제일 핵심적인 부분이 아닐까 생각한다.

    • 안전성 -정당한 유효투표가 정학하게 투표 결과에 집계되어야 한다.
    • 건전성 - 부정투표자에 대하여 투표가 방해되어서도 안되고, 투표 결과에 부정 투표가 집계되어서도 안된다.
    • 기밀성,익명성 - 모든 투표는 비밀투표이고 투표자의 내용을 알 수 없어야 한다. (일반적인 투표)
    • 이중투표불가성-정당한 투표자는 두번 투표 할 수 없어야 한다.
    • 권한성 - 투표권이 없는 사람은 투표에 참여 할 수 없어야 한다.
    • 공정성 - 투표에 영향을 미치는 일이 없어야 한다, 투표과정에서 일부분의 투표 내용이 알려져 투표에 영향을 미쳐서는 안된다.
    • 검증성 - 투표 결과를 조작 할 수 없도록 누구라도 자신의 투표 내용이 투표 결과에 반영이 되었는지 검증 할 수 있어야 한다.[각주:3]


    6. 무엇이 문제였나?


    보안 연구하는 사람으로 가장 중요하게 생각하는 것 중에 하나가 바로 인증(Authentication)이다. 조금 쉽게 말하자면 바로 나, 나임을 판단하는 근거를 마련하는 것이다. 대표적인 것이 아이디/패스워드와, 생체정보 등이 있을 것이다. 그리고 가장 흔히 알고 있는 것 중에서 주로 인터넷뱅킹 할때 사용하는 인증서도 있을 것이다. 그런데 국회 전자투표 시스템에 인증절차가 없었다니..


출처: 각주1


뉴스를 보다가 황당한 느낌이 들었다. 대리투표 의혹이 불거져 나오는 것이다. 그것도 '미디어법'이라는 여야 첨예한 대립을 가지고 1차 논의를 연장하면서까지 중대한 투표를 하는데  본인 인증 절차도 없었다고 한다는 것은 전자시스템 설계 당시부터 잘못 되어 있다는 반증이기도 하다.

필자는 대학원에서 연구를 할때 한때 전자투표 시스템에 대하여 연구한적이 있었다. 그래봐야 SCI논문에 올라온 외국 전자투표 관련 논문 몇개 번역하고, 수업시간에 전자투표에 대한 공부가 고작이지만 위에 요구사항 7가지에 대해서는 어떤 전자투표 논문이나 연구에서도 언급이 되어 있었다. 심지어 국가공인 정보보호전문가 자격증 (SIS) 시험에도 기본적으로 공부해야 하는 것 중에 하나이다.

그런 중요한 것이 국회 전자시스템 투표하는데 적용이 되지 않아 정책적으로 투표 하는데 아무나 다른 곳에 가서 버튼을 누르고 투표를 한다는 것 자체가 모순이다.

7. 어떻게 해야 하나?

민주주의 국가에서 국민의 권리를 행사하는 것 중에 하나가  바로 "투표권" 행사이다. 그런 설계 시스템에 '보안'적 부분이 미흡하다는 것은 아주 치명적인 것이다. 그것은 오히려 디지털을 좋아하다가 다시 아날로그로 돌아가는 시대에 흐름에 역행하는 것인지도 모른다. 오히려 흰 천막안에서 빨간 인주로 볼펜막대로 투표하는 것이 더 나을지도 모른다. 그곳에서 자기가아닌 다름 사람이 들어가 투표를 하지는 않지 않는가?

법을 만드는 국회에서 그 법이, 정책적 논리로 부정하게 정당한 국회의원 개개인의 투표권 행사에 어떠한 외부적 영향력 행사도 있어서는 안되어야 할 것이며,  국회 전자투표 시스템에 대한 설계를 다시 재검토하고 수정하는 것이 불가피 하게 보인다. 5번에 요구사항을 참고하여 잘 설계해 보기를 바란다.


마무리글

보안은 생활에 일부분이다.  필자가 외치는 것 중에 하나가 "보안문화의 생활화"이다. 앞으로 다양한 분야와 다양한 형태에서 사건 사고가 터지면서 "보안" 잘못 되었네. 하면서 수 많은 질타를 하고 받을 것이다. 이 모든 것이 아직까지 우리 생활 습관에 보안에 대한 실천과 마인드가 스며들지 않았기 때문에 그런것이다. 아마도 이번 '미디어법'의  정치적인 이슈로 인하여 "국회 전자투표 시스템" 설치 업체는 또 다른 압박을 받을 것으로 생각이 된다.

개인적인 생각으로는 제안시에 전자투표에 대한 "인증"이 빠질리가 없다. 그것은 보안을 연구하는 사람이라면 제일 먼저 생각하는 것이 바로 '인증'이기 때문이다.  어떠한 사유로 인하여 이러한 전자투표에 '인증' 절차가 빠졌는지 모르겠지만 초기 시스템 설계시 만약 그런 언급이 없었다면 실수를 한 것이다. 그것이 얼마나 크나큰 여파를 가져 오는지 우리는 눈으로 똑똑히 보고 있는 것이다.

이렇듯 보안은 잘 지켜지지 않았을때 무서운 것이다. 이제는 보안에 대하여 인식을 좀 했으면 한다. 잘 모른다면 전문가의 조언에 꼭 귀를 기울일 필요가 있다. 

이제는 모든 프로젝트나 업무를 할때 조직에 장이나 고위관계자는 실무자에게 이런 질문을 하는 습관을 가지는게 좋겠다.

조직에 장 : " 이번 업무는 말이야 보안적으로는 문제가 문제가 없나요? "
실무자: " 네..이러이러한 보안적 문제가 대두되고 있는데 어떻게 조치 할까요? "
조직에 장 : " 응..그래요?...요즘 말이야..보안보안 하는데 나도 보안에 관심을 좀 가져야겠어"
                " 보안에 대한 대응책을 마련해서 보고 할 수 있도록 하세요"

이런 대화가 오고가는 날이 하루 빨리 오기를 기대 하여 봅니다. @ 엔시스.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

* 추가포스팅:

포스팅하고 나서 검색하다보니 이런 영상이 있었는데 이것은 진정 아닌거 같습니다. 무슨 국회투표가   동네 반장 선거투표도 아니고..이번엔 딱 걸렸습니다.

http://www.seoprise.com/board/view.php?table=seoprise_12&uid=74967

* 추가포스팅2: 
'미디어법' 이 옳고 그르다를 떠나서 일단 한마디만 하겠습니다. 동영상을 다시 한번 보았는데 너무 황당합니다. 국회의원이면 똑똑한 사람들 모아다 놓았을텐데 초등학교 반장선거 투표도 이렇게 하지는 않을 것 같습니다.  국민이 뽑은 국회의원의 자질이 의심스럽습니다. 꼭 그렇게 해야만 했었는지 하는 의구심이 듭니다.  그리고 당파를 떠나서 그렇게 행동했다는 자체가 국민의 한 사람으로서 화가 납니다. 자신이 한 행동이 당에 도움이 되리라 생각을 했겠지만 결국 당을 해(害)치는 꼴이 되었습니다. 

* 검은 돌을 자꾸 흰돌이라고 합니다. 누구나 눈으로 확인하는데도 말입니다.
국민을 바보로 알지 마시길 바랍니다.  그렇게 국민이 우습게 보입니까? 정치 생명이 4년이라는 것만 기억하시기 바랍니다. 아니 국회의원이 이리저리 다니면서 대리투표하면서 하는 행동을 어찌 그냥 가만히 보고만 있으란 말입니까?

* 신성한 국회에서 법처리하는데 뒤 방청석에서는 두눈 시퍼렇게 뜨고 카메라 셧터 누를 준비만 하고 있는데  그런데도 그냥 무자비로 하면 통할줄 알았습니까?

http://www.seoprise.com/board/view.php?table=seoprise_12&uid=74967

동영상 다시봐도 이건 아닙니다. 꼭 이렇게 해서라도 통과되어야 할 법인지요. 국회의원 품위를 지키는것은 책에나 나오는 것인지요.

정치이야기 안 한다는 포스팅이 결국 정치 이야기로 끝나버리네..쩝..보안 이야기 구독하신 분들에게는 죄송하단 말씀 드립니다., 하도 열받아서리..

* 추가포스팅3

국회 영상회의록 홈페이지 (http://w3.assembly.go.kr/vod/index.jsp ) 참고 하세요..역사의 현장입니다.
정말 대한민국이 부끄럽습니다.


각주
--------------------------------------------------------------------------------

  1. 중앙선거관리위원회, "전자투표 추진계획 및 로드맵". 중앙선거관리위원회 자료실 선거자료, 2005.4 [본문으로]
  2. 네이버 용어사전, http://terms.naver.com/item.nhn?dirId=702&docId=988 [본문으로]
  3. 강신범,정현철 "전자투표 사업현황 및 사례분석" 정보보호학회지 . 2005.10 [본문으로]
신고
Posted by 엔시스

최근 사이버 수사는 많이 발전을 하였습니다.  몇년전까지만 해도 범죄상의 여러가지 분석 작업을 위하여 압수수색영장을 가지고 와서 바로 하드디스크나 서버를 바로 압수 조치를 취하였습니다.

만약, 그렇게하여 서버나 하드디스크를 압수를 당하면 기업은 서비스를 할수 없습니다. 음란물이나 기타 범죄에 악영향을 끼친다 든지 한다면 충분히 이해가 가지만 그렇지 않고 단순한 분석 작업을 위해서라면 사실 서버 담당자는 고민스러울수 밖에 없습니다.

또한 이러한 증거물은 각종 재판과정에서 증거물로 채택이 되어야 하기에 그 시일또한 오래 걸립니다.

하지만 이제는 최신식 포렌식 소프트웨어를 통하여 빈 하드디스크를 준비하여 바로 그자리에서 디스크카피를 하여 기존에 사용하던 똑 같은 하드디스크 상태를 유지한채 포렌식 하여 증거 자료로 진행을 하기 때문에 예전보다는 많은 불편함을 덜게 되었습니다. 보통 1-2시간내에 바로 카피해 버리더군요..



                                                   <이미지출처: 여기>


점점 증거수집에 기술적 진화를 하고 있습니다. 향후에는 이러한 케이스(case)등이 더 많아지기 때문에 포렌식에 대한 요구도 더 많아질 것입니다. 보안에 관심 있는 분들은 주제를 포렌식으로 한번 잡아 보셔도 좋겠습니다. 




신고
Posted by 엔시스

필자는 두렵다. 그것은 또 '보안'이라는 것이 '정보보호'라는 것이 사람들 관심에서 사라질것이라는 것 때문이다. 그럼 현실을 냉정하게 바라보고 미래에 대응할수 있는 방법에 대하여 살펴보도록 하자.

국내에서도 보안전문가들이 많이 있다.  실무에서 여러가지 체험을 하면서 노력하는 분들도 있고 학계에서 선도하시는 분들 그리고 이제 막 이러한 이슈가 터질때마다 국민적 이슈로 부상을 하기에 미래 장미빛 청사진을 가지고 이제 막 공부를 시작하는 분들도 있다. 필자는 커뮤니티를 운영하면서 이러한 질문을 상당히 많이 받는다. 어떻게 하면 보안전문가가 될수 있는지..과연 필자가 그런 답을 할만한 위치에 있는지 또는 그런 정도에 실력은 보유하고 있는지..하지만 늘 그런 고민을 하면서 필자라도 그렇게 하지 않으면 아무도 하지 않을꺼 같아 비록 부족하고 그릇도 안되지만 필자 역량에 맞게 조언을 해 준다. 이제 보안에 대한 시각을 바로 가져 보도록 하기 위한 몇가지 제언을 해 보고자 한다.

1. CEO가 보안에 관심을 가지고 실천을 해야

이러한 몸소 실천을 제일 잘 하고 있는 분이 바로 안랩의 김홍선 대표이다. '김홍선의 IT와세상' 을 통하여 보안 1세대 답게 '소통'을 하고 있는 것이다. 김대표는 보안업계에서 잔뼈가 굵었기 때문에 무엇보다 보안 현실에 대하여 잘 알고 있다. 그러한 사항을 블로그를 통하여 솔직하게 소통을 하고 있는 것이다. 실로 진실되어 보인다. 자신의 얼굴을 걸고 이야기 하는 것이기에 다른 말을 할수 없는 것이다,. 그것은 필자가 블로그 메인에 얼굴을 걸고 하는 것이나 마찬가지일 것이다. 최근 화제가 된 글 몇개를 링크걸어 보겠다.
안철수연구소 CEO가 바라 본 DDoS 대란 (1)
안철수연구소 CEO가 바라본 DDoS 대란 (2) : DDoS 공격의 성격
3D 업무에 한숨짓는 보안인력의 현실 : 안철수연구소 CEO가 바라본 DDoS 대란 (3)

물론 국내에서 보안을 대표하는 안랩 CEO라서 그런게 아니라 그런 솔직한 마인드를 가지는게 중요한 것이다. 스스로 현실을 냉철하게 분석하게 이야기 할 사람이 몇이나 되겠는가? 그것도 국내 보안 대표CEO가.

대통령도 보안에 관심을 가져야 하고 조직에 장도 보안에 대하여 관심을 가져야 한다. 모르면 전문가의 조언을 들어서라도 들어야 한다.  조직의 장이 보안에 관심이 없으면 결국 스스로 자멸하는 길임을 꼭 기억을 하여야 한다.

국내에서 일어나는 사건사고는 국내에서 어느정도 대한민국 국민으로 해결을 하면된다.하지만 국내 보안의식과 정보보호수준이 후진국이라서 미국이라든지 해외 나라로부터 사이트를 차단을 당하거나 미리 국내에서 차단을( 2009/07/16 - [Security Skill&Trend] - KISA, 어도비(adobe)社 웹사이트 일방적 차단 논란 )하게 된다면 이 얼마나 민망하고 얼굴 부끄러운 일인가? 세계12-13하는 경제국가가..이젠 정말 정신 차리자.

2.  법과 제도가 정비가 안되면 처벌할 법적근거가 없어

법에 대한 정비와 제도 운영도 미흡하긴 마찬가지이다. 이번엔 DDoS공격 때문에 이런저런 말들이 많았지만 지난해에는 개인정보보호 유출때문일때도 말이 많았다. 그때에도 사회적 이슈가되었지만 결국 처벌할 법적근거를 마련하지 못해 불기소처분이 되었다. 이렇듯 그때만 반짝하는 것은 이젠 일상화가 되어 버렸다. 17대 국회에서 '개인정보보호법'이 통과가 되지 못하였고 18대 국회에서도 '개인정보보호법'도 그 진척이 미진한 것 같다.  그러다가 이번에 DDoS공격을 당하고 나니 갑자기 예산을 200억편성을 하여 긴급 지원하겠다고 한다.  또한 '정보통신망 이용촉진 및 정보보호에 관한 법률 (일명 -망법)'의 개정에도 관심이 없는가 보다. 오죽하면 이런 광고도 냈을까 싶다. 2009/07/09 - [Security Skill&Trend] - '정보보호' 얼마나 급했으면 이런 광고까지.


3.  보안인력 양성과 개인들의 정보보호 인식제고에 힘써야

보안인력을 붕어빵처럼 찍어내라는 소리가 아니다. 우리나라는 '해커'라는 용어에 대해서는 관대하지 못하다. '해커'라고 하면 우선 왜곡된 시각으로 보고 사건이 터지고나면 이런 저런 대안을 봇물처럼 쏟아내곤한다. 여러가지 노력은 하고 있지만 아직까지 미흡한 것은 사실이다. 이러한 부분에 있어서 좋은 조언을 해 준 기사가 있어서 링크를 건다. http://www.boannews.com/media/view.asp?idx=17136&kind=0
요약을 해본다면
  • 부처별 정보보호과 신설
  • 청와대 국가사이버 총괄 코디네이터 필요
  • 국내 대학교에 정보보호학과 신설

민간이 아무리 주도적으로 하여도 국가기관에서 정책적으로 이루어지지 않으면 결국 스스로 포기하게 된다. 그것은 많은 수의 국내 대학에 '사이버경찰과'나 '정보보호학과'를 개설 하였다가 제대로 지원이 되지 않아 결국 학과를 통폐합 하는 경우도 있었다.  이러한 사항은 2009/04/29 - [Security Data] - 2008 정보보호 실태조사, 개인편 2009/04/29 - [Security Data] - 2008년 정보보호 실태조사, 기업편 에서도 알수 있으며 기업에 대한 현황은 2009/03/10 - [Security Statistics] - 2008 매출로 분석한 정보보호산업 현황 을 참고 하면 되겠다.


정보보호가 정보처리만도 못하는 현실은?  이젠 '처리'보단 '보호'를 해야 할때

흔히 우리는 전문가라고 한다면 관련 분야에 오랜동안 업무를 해오거나 전문가 반열에 올라서 관련 '자격증'을 취득 하였을때 인정을 한다. 늘 자격증이야기가 나오면 같이 등장하는것이 자격증 유무론에 대한 이야기인데 '자격증'이 있다고 해서 반드시 전문가는 아니다. 하지만 그 보안의 지식을 가늠하는 척도가 되거나 자격증 공부를 하면서 이론적 공부를 하게 되는 것이다. 그런 관점에서 본다면 다음과 같은 점을 개선 하였으면 한다.

  • 정보처리 - 국가기술자격증으로 노동부 산하 한국산업인력공단에서 관리를 하며 국가공공기관이나 지자체 각종 공무원시험과 공공기관 진출이나 통신업무를 하고 있는 것에 경력관련 척도로 사용이 되고 있어 해마다 많은 사람들이 시험에 응시를 하고 있다.  이것은 초창기 컴퓨터와 인터넷이 등장하면서 '정보'를 생산해 내기 위한 목적과 처리 하는 과정을 이해하기 위하여 마련된 자격증이라 생각을 한다. 하지만 지금은 '정보의 처리'는 물론이고 '보호'까지 해야 하는 시대로 발전이 되었다.  지금 집집마다 컴퓨터 보급이 되고 초고속 인터넷이 보급 된 만큼 '정보를 처리'하지 못하는 사람은  많지 않다. 각종 게임과 인터넷이 익숙한 학생들은 오피스와 워드를 쉽게 접하고 활용하는 것이다.
  • 정보보호 - 이젠 '정보를 처리'를 하는것도 중요하지만 '정보를 보호'하는 일이 더 크게 되었다. 누구나 정보를 생산,가공,처리,폐기를 할수 있는 능력을 가지고 있다. 하지만 그런 소중한 정보를 '보호'하는 데에는 아직도 인색하고 귀찮은 일로 생각을 한다. 이러한 부분을 일정한 자격제도로 운영을 하여 국가 기술로 인정을 해 주어야 한다.
  • SIS 국가기술자격 승격화 - 필자는 늘 이러한 부분을 제안하고 요청해 오고 있다. 또한 이러한 사항은 2009/01/18 - [Security Policy] - 지경부, 보안산업 강화를 위한 중기 계획 어떻게 이끌어 갈 것인가?  2009/05/09 - [Security Policy] - 공공·민간의 정보보호 종합대책 발표 - 2008.7.22
    에서 정부주도로 SIS 자격증을 국가기술 자격증으로 만들겠다고 발표를 하였다. 이제는 조금 더 앞당겨 이러한 분위기가 무르익었을때 논의를 해서 집행을 해야한다. 그것은 이러한 분위기가 사라지면 또 그 시점에 이슈에 밀려 흐지부지 되는것은 자명한 일이고 또 그렇게 되어 왔다. 하지만 이번만은 꼭 이루어지길 제안한다. 한 언론에 따르면 SIS자격증을 국가기술자격증으로 승격하려면 '노동부'소관이라 부처간 협조가 이루어져야 한다고 한다. 하지만 빨리 움직이길 바랄뿐이다. 그렇지 않으면 다음엔 또 관련부처가 DDoS공격을 당하거나 담당자가 문책을 당할 수도 있는 것이다.

SIS자격증이 국가기술자격증이 된다면

SIS자격증이 국가기술자격증이 되면 인센티브가 많이 부여가 될것이다., 우선 공무원 시험에 가점을 부여를 하고 그러면 많은 사람들이 자격증을 취득을 하게 되고 그러한 자격증이 있는 인력을 각 부처에 우선 배치하고 정보보호에 대한 업무를 담당하게 된다.  기존에 있던 공공에 대한 인력은 이러한 자격증을 취득 함으로 인하여 정보보호에 대한 인식도 높이고 승진 가점을 주어 '정보를 보호' 한다는 것이 얼마나 중요한 것인지를 같이 인식하게 만드는 선순환 구조를 만드는 것이다.

이러한 현상은 자연히 민간으로 가게 되어 각종 프로젝트시에 입찰 할땐 국가기술 자격증인 SIS 자격증 소지자를 기본 기준으로 하면 각 기업은 또한 이러한 공급을 위하여 정보보호 인력을 수요하게 된다.

 
4.  국정원이나 KISA는 블로그를 운영하여 '발빠른 소통'을 해야

각 정부 기관에서는 지금 블로그를 운영을 하고 있다. 하지만 아직까지 본질을 이해하면서 운영하기엔 많은 부분이 미흡하다. 이번 DDoS 공격 당시에도 민간 기업에 근무하는 연구원들이 자신의 블로그에 자세히 분석해서 기록 함으로 인하여 빠른 상황 전파를 할 수 있었다. 이렇듯 방통위에서 '두루누리'를 운영하고 있지만 아무런 반응이 없었고, 국정원에서도 그렇고, 사실, 공격에 대응하기 바쁘기 때문에 이러한 부분을 신경쓸 겨를이 없었겠지만 중요한 것은 쓰고 안쓰고를 이야기 하는 것이 아니라 그렇게 국민들에게 알려줄수 있는 '소통'의 공간이 없다는 것이다. 이러한 사항을 홈페이지 메인을 수시로 장식하면서 올리는 일도 사실 부담스러운 일이다.

따라서 가볍게 소통할수 있는 도구을 활용해 주고 '대국민요령'을 어떻게 대처해 주어야 하는지를 먼저 알려 줄수 있는 것이 공공기관이 할 일이고 대응해야 하는 것이다. 그래서 힘든 것이다. 국민은 내부 사정은 잘 모른다. 그냥 결과만 가지고 이야기 할 뿐이다. 그렇기 때문에 컨트롤 타워가 없었네 어떻네 이야기를 하는 것이다. 결국 고생은 고생대로 했지만 인정을 받지 못하는 것은 국민이 어떻게 대응하고 대처했는지를 모르기 떄문이다. 실시간으로 일어나는 일을 하나씩 알려 주면서 '위기관리'에 대처를 했다면 지금처럼 이야기 하지는 않을 것이다.

5. 국민 개개인도 제발 보안에 대한 인식을 가지길.

조직에서 일하던 사람도 집으로 돌아오면 하나의 '개인'이요. '국민'인 것이다. 개개인의 보안마인드가 되어있다면 조직에서도 잘 행동하고 실천하는 것이지만 그렇지 않으면 결국 조직이든 집이든 개인의 마인드 문제이다. 따라서 대 국민 보안의식 계몽을 위하여 필자가 나름대로 제안을 해 본다.

  • 매주 수요일은 최신 백신으로 내PC 점검 하는 날
  • 매달 15일은 운영체제 및 어플리케이션 업데이트 하는 날
  • 각 조직에서는 업데이트가 되지 않은 PC는 업데이트 후에 인터넷 접속 유도
  • 각 ISP에서 업데이트 되지 않은 PC에는 경고문을 보내어 업데이트를 유도
  • 대 국민 홍보를 각 방송과 언론을 통하여 계몽 운동을 할 것. (정보보호 홍보대사 활용)
  • 보안 솔루션 도입시 세제 감면과 각종 인센티브 제공
  • 패치와 업데이트, 백신으로 점검을 하면 인센티브 제공 (각종 보험료 20% 할인 -부족분은 정부에서 대납, 유명음식점,영화 관람권 20% 할인) - 안해서 그렇지 국민을 유도 하는 방법은 많음 이렇게 해서라도 대 국민 계몽을 펼치지 않으면 몇달 지나면 또 사람들 기억속에서 사라지는 보안의식.

 

마무리글

지금까지 3회에 걸쳐서 이번 7.7 DDoS 사태에 대하여 필자가 생각하는 것을 가감없이 한번 포스팅 해 보았다. 아는 이야기도 있고, 다소 황당한 제안일수도 있겠지만 누군가가 자꾸 이야기하고 공감하고 실천해 나가지 않으면 절대 이루어질수 없는 부분이기에 다소 무리를 해 보았다.  이글을 적는데에만에도 주말을 다 보냈다. 그만큼 필자는 마음이 절실한 것이다. 보안 업계가 힘들다고 외면하지 말고, 그렇다고 이제 막 입문 하고자 하는 사람들에게 미래의 청사진만 제시 하지도 말고 힘들지만 어렵지만 희망의 끈을 놓지 않고 한번 제대로 대한 민국이 '정보보호 후진국'이 아닌 '보안 선진국'으로 바꾸어 보고 싶다.  그리고 충분히 그럴 가능성도 있고 할 수도 있다. 다만 하지 않아서 못할 뿐이다.

다시 한번 부탁하건데 그냥 그들 만의 외침이라 절대 생각하지 말고 '내 건강 내가 지키듯이' '내 정도 내가 지킨다'는 마음으로 꼭 이글을 읽는 이들에게 부탁하고자 한다. 이제는 모르면 그냥 있는 것이 아니라 주변에 전문가에게 조언을 구하여 꼭 안전한 IT세상 만들기에 동참해 주었으면 하는 바램을 가져 본다. 필자가 알고 있는 말 중에 가슴에 와 닿는 말이 있어 마지막으로 적으면서 이 포스팅을 마감 하고자 한다.

아인슈타인은 이런 말을 했다고 한다. 개인적으로 가장 좋아 하는 말이기도 한다.

"같은 행동을 반복하고도 다른 결과를 원하고자 하는 사람은 정신병자나 마찬가지이다"

같은 사건사고를 되풀이 하지 않길 바라면서 이 글을 맺고자 한다.  @엔시스.

관련포스팅

 7.7 DDoS 사태가 남겨 준 교훈(1) -무엇이 문제일까?
 7.7 DDoS 사태가 남겨 준 교훈(2) -사이버 조폭 DDoS


신고
Posted by 엔시스