약간의 낚시성 제목이 될수 있습니다. 감안하시고 구독 하시면 되겠습니다. 얼마전에 유튜브에서 보았던 동영상인데 정말 이런 일이 일어 날수 있을까요?

이게 현실인데 진짜인지 가짜인지는 모르겠으나 아마 불가능하지 않다는게 지론입니다.

                               

실제로 이런 일이 가능하다면 여러가지 가상 시나리오를 써 볼수 있겠습니다. 약간은 엉뚱한 발생일수도 있는데 해커가 자신의 연인에게 고백할때 단문의 글로서 사랑 고백을 해 볼수도 있겠지요.

하지만, 집에 있는 아파트 주민은 실내 조명이 왔다갔다 하니까 짜증 나겠습니다. 무엇보다 이러한 일들이 현실로 다가 온다는 것 자체가 무서운 것이지요.

"보안" , " 해킹"  그들만의 잔치라고 하기엔 너무 현실적으로 다가와 있는 것 같습니다. 다 같이 보안에 대하여 한번쯤 생각해 볼때입니다.. 그런걸 일깨워 주는 동영상이라 생각이 드네요.
 @엔시스. (sis@sis.pe.kr)


Posted by 엔시스

최근 국제 해킹대회 코드게이트 2009 에서 우승한 국내팀 "씨팍" 팀의 뒷 이야기를 한 동영상이 KBS 뉴스풀이로 올라와 있네요..

이런 계기로 인하여 보안의식이 저변 확대가 되었으면 하는 바램이구요..또한 이들도 일반인들과 똑 같은 생각과 사고 방식을 가지고 있다고 보겠습니다.

다만, 조금 남들보다 컴퓨터에 대한 열정과 관심이 많을 뿐이겠지요...이 동영상은 많은 보안전문가 해커들을 이해하는 도움이 되는 부분일것이고....추후 국제 대회등에서도 좋은 성적을 거두어 유독 우리나라에서 IT강국이라고 하지만 보안에 대해서는 아직도 미흡한, 그리고 각종 왜곡된 시선으로 바라보는 해커에 대한 이미지가 올바르게 비추어 졌으면 하는 바램입니다..

아래 링크를 클릭하시면 약 20분동안 인터뷰한 내용을 볼수 있습니다...대회 우승을 하니까 각종 언론과 방송에서 지대한 관심을 가지는 군요...

http://news.kbs.co.kr/article/culture/200904/20090417/1760319.html





참고 하시기 바랍니다...@엔시스.


Posted by 엔시스


지식경제부는 지난달 6일 해킹대회 '코드게이트'를 주최해온 소프트포럼한국정보보호진흥원, 한국정보보호산업협회(KISIA) 등과 올해 행사의 성공적인 개최를 위한 업무협약을 체결했다.

이에따라 지식경제부는 민간이 주최하는 해킹대회 '코드게이트'에 5천만원을 지원하여 앞으로 세계적인 국제 해킹대회로 육성하고, 해킹을 방어할 수 있는 인력을 발굴할 계획이다.

기사출처 : http://media.daum.net/digital/view.html?cateid=1008&newsid=20090305060310905&p=nocut


해당 기사에 따르면 민간이 주최하는 해킹대회에 5천만원을 지원한다고 밝히고 있다. 과연 5천만원을 지원하여 많은 정보보호인력들이 양성이 될지는 의문이다.

또한 기사에 따르면 "윤리적 해커"를 양성 한다고 하는데 과연 "윤리적 해커"라는 정의가 무엇인지 궁금하다. 이러한 해킹대회를 함으로 인하여 윤리적 해커가 저절로 양성이 되는지 의구심이 간다.

이것은 지난해 지경부에서 발표한 중장기 정보보호대책에 즈음하여 나온 윤리적 해커 양성이라는 계획에 끼워 맞추는 듯한 느낌이 든다.


해킹대회라는 용어보다는 "침해사고방지대회" 라는 것은 어떨까?


아직까지 아무리 우리나라에서 해커와 크래커의 차이점을 이야기 한다고 하여도 통상 해커라는 용어로 언론 지상에 올려 지곤 한다. 그럼 대회 취지에 맞게 "침해사고방지 대회"라든지..아니면 적절한 용어를 선택하는 것도 생각해 보아야 한다.

자칫 해커양성 이라고 하고 해킹대회라고 하면 일부 선입견 때문에 오해를 할수 있기도 하다. 그것은 만약 해킹대회에서 우수한 실력이 입증이 되어 선정이 되었다고 하더라도 왜곡된 시각으로 볼수 있기 때문이다.

차라리 약간은 완곡한 표현이 더 낫지 않을까 하는 생각도 해 보았다.


아무튼, 지경부에서 조금씩 지원하는 의미는 좋으나 일부 5억이나 들어가는 민간 해킹대회에 5천만원 지원하여 윤리적 해커 양성이라 인력 발굴이라는 타이틀은 조금 과대 포장되어지지 않는가 하는 느낌이 든다.

차라리, 그 5천만원으로 정보보호 홍보대사를 선정 하였으면 좋겠다.  그것이 훨씬 유익하고 공익적인 목적이 클것이라는 것에 여러분들은 동의 하시는가?

Posted by 엔시스

[칼럼] 보안전문가, 이젠 윤리적 소양을 가져야 할때

 


                                                                          <이미지출처: 보안뉴스>

최근 한 보안업체를 가장하여 악성코드를 전파하고 중국소재에 있는 통제시스템에서 원격으로 조종을 하여 국내 70여개 인터넷 사이트를 대량의 신호를 보내어 과부하를 일으키는 일명 DDoS 공격(서비스방해공격)을 하여 충격을 주고 있다. 이는 일부러 악성코드를 배포하여 수십만명을 감염 시키고, 이들을 이용하여 다량 트래픽 공격을 하여 자신의 공격 방어시스템을 판매를 하고 또는 경쟁사로부터 청부를 받아 공격을 하였다는 이야기는 가히 충격적이다.


보안업계 있는 사람이라면 가끔 듣는 이야기인 하지만 보안에 대한 지식은 양날의 칼을 가진 것과 같다. 그래서 보안전문가는 반드시 윤리적 소양을 바탕으로 하여 도덕적인 기본 자질을 갖추어야 할 것이다. 그렇지 않는다면 이롭게 쓰여야 할 전문적인 지식을 오히려 다른 곳에 사용하게 된다면 그 피해는 고스란히 일반인들에게 돌아가게 마련이기 때문이다.

흔히 해커라고 하면 왠지 음지에서 무엇인가 연구하고 남에게 피해를 입히는 선입견을 가지는 것도 윤리적 소양이 없기 때문에 일어나는 일이라 할수 있겠다. 또한 실제로 그런 일들이 일어나기 때문이다.

결국, 사람이 문제인 것이다. 그래서 난 기본적인 나의 보안철학을 철저하게 믿는다. 그것은 보안 = 사람이고 사람 = 교육이라는 것이다.  최근 한 보고서에 따르면 정보보호전문가의 특급,고급,중급 기술자는 감소하는 반면 초보 기술자는 증가하고 있다는 보고서를 본 적이 있다. 그것은 이러한 윤리적 소양을 갖추는데 초급 기술자들에 대한 미흡한 교육 시스템도 문제이다.

 아무런 교육시스템이 없기 때문에 사이버 안전을 지킨다는 사명감보다는 그져 영웅심과 기업의 비즈니스 이윤추구만을 위하여 전문지식을 쓴다는게 안타까울 뿐이다., 따라서 해당 부처에서는 이러한  인터넷 사용자들을 위한 윤리적 소양을 가질수 있는 제도적 정책 마련도 고민해 보아야 할 것이다.  특히 보안전문가, 정보보호전문가들의 도덕적 소양이 요구되는 때이기도 하다.

 

Posted by 엔시스
어째 제목과 기사 내용은 조금 다른것 같다. 대회 수상자 한명 인턴 시켰다고 해서 전문인력 양성까지 나선다는 것은 조금 오버인거 같다. 부디 이벤트성이 아니길 바라겠다.

한국정보보호진흥원(KISA, 원장 황중연)는 지난 5월에 개최한 해킹방어대회에서 대상을 수상한 구사무엘씨(19세, 건국대 재학중)가 7~8월 방학기간 동안 KISA 인터넷침해사고대응지원센터에서 근무하게 됐다고 17일 밝혔다.

구씨는 악성코드분석, 침해사고 기법 분석 등 침해 대응 현장에서 실무를 경험하고, 특히 정보보호 전문가로서의 마인드 교육을 받는 것 뿐만 아니라, 해커의 입장에서 관련 업무의 개선점을 제시하는 등 활발한 활동을 벌이고 있다.

구씨는 선린고 고등학생 때부터 인터넷상에서 `스타 해커`였고, 이때부터 고등학생 신분으로 해킹방어대회에 참가, 올해까지 2년에 걸쳐 좋은 성적으로 수상자 대열에 섰다. 또한, 지난 5월에는 공군회관 대회의실에서 육·해·공군 보안실무자 300여명을 대상으로 한 국방컨퍼런스에서 해킹기술의 공격과 방어에 대해 발표하기도 했다.   - 출처: 전자신문

원문: http://www.etnews.co.kr/news/detail.html?id=200807170023

능력 있는 사람은  더 능력을 발휘하게끔 유도 하는 게 바람직한 정책이라 생각을 한다. 그런 의미에서 지금 대학생들의 취직난을 걱정 하는때에 올바른 가치관으로 자신의 실력과 능력을 마음껏 분출할수 있는 기관에서 재량껏 전문 인력으로 양성 된다는 것은 반가울 일이 아닐수 없다.

우리는 늘 해킹이나 침해 사고를 접하다보면 그런 실력을 범죄에 사용하지 말고, 좋은 일에 쓰면 얼마나 좋을까 하는 이야기를 자주 하게 된다.

마찬가지로 구 사무엘씨는 그런 의미에서 KISA에서 어떤 일을 하는지, 또는 어떤 역할을 하는지를 보고 배우는 인턴 과정을 통해 자신의 역량을 더 발산할수 있게 될 것이다.

향후 또 다른 언더 쪽에서도 자츰 양지쪽으로 나올수 있게 유도를 해야 하고 이러한 부분들은 정책적 의지를 가지고 꾸준한 노력이 있어야만 하는 것이다. 늘 그렇지만 이벤트성, 성과성으로 머물러선 같은 일을 반복하는 것은 상당히 비효율적이다.

앞으로 구 사무엘씨의 활약을 기대해 보겠다. @엔시스
Posted by 엔시스
실력있는 해커는 국내보다 해외에서 더 잘 안다.

늘상 우리는 해커라고 하면 이미지가 않좋은 쪽을 생각하게 됩니다. 처음 읽는 사람들을 위하여 크래커와 구분이 됨을 알려 드립니다.

얼마전  반젤리스라는 닉네임을 사용하는 국내 언더족에 유명하신 분들도 외국 해커들과 교류가 많습니다.  늘상 국내에서 컨퍼런스 한번 개최할려면 스폰서 한곳 구하기가 어렵다고 합니다..

오늘 rootkit.com 에 올라온 것을 보니 Ps/2 Keyboard byte Polling 이라는 제목으로 국내의 한 해킹랩에서 올린 글이 있더군요.. 아마도 국내보단 외국과 교류하면서 다양한 정보를 공유하려는 모양입니다.


미래 국가 경쟁력은 사이버전 인력

그런데 안타까운 것은 대부분 국민이나 언론에서 이렇게 비추어 지기 때문입니다.
물론 일부 도덕적으로 범죄를 저지르는 사람은 분명히 처벌을 받아야 할것입니다. 하지만 정보보호 자체의 이미지가 훼손 되어선 안될 것입니다. 

향후 미래에는 사이버전이 된다는 것은 누구나 알고 있습니다. 그리고 북한에도 유능한 해커양성을 한다는 것이 공공연하게 알려져 있습니다. 그런데 국내에서만 뉴스에서 이렇게 싸잡아 보도 한다면 누가 미래 사이버전에 대응하겠습니까?   위에서 말했듯이 옹호 하자는 것이 아니라 조금더 올바른 시각과 왜 그네들이 그 좋은 기술로 저렇게까지 해야 하는지를 정책 당국과 기업은 가슴에 손을 얹고 반성을 해야 합니다.


산업정보 유출 심각

이런 것은 비단 해킹에만 국한 되지 않습니다.  국내 뉴스를 보면 하루가 멀다하고 대규모 첨단 산업 유출이 된다고 합니다. 반도체,선박 , 도면 설계 자료가 이웃 중국등으로 빠져 나가고 있습니다.  그런데 이런 기술 유출은 그 피해액이 어마어마 합니다.  이런 가장 기본적인 것은 사람이 하는 것이기때문에 사람 교육에 힘을 쏟고, 관리에 힘써야 할것입니다. 그러지 않으면  또 같은 일이 반복이 될 것입니다.  정부와 경영진은 절대 간과해서는 안됩니다.


국내보단 알아주는 해외에서 활동하자.

그러니 조금 유능하다 하는 언더 해커들은 국내에서 보다는 해외에서 활동을 더 많이 하고 교류 하는 것입니다. 국내에선 한계가 있기 때문이죠..보안 잘한다고 해서 무슨 떼돈 버는 것도 아니고 , 그렇다고 알아주는 것도 아닌 .. 잘하면 기본이고 못하면 왜곡된 시각으로 바라보는 안타까운 현실이 뉴스지상에 나와서 더욱 미래가 암울 합니다.
점차 기업에서 정부에서 언더와 실력 있는 인력을 양성하기 위하여 여러가지 해킹대회를 개최하고는 있다고 하지만  기업에서 핵심 고유 기술을 보유 하고 있는 인력 관리라든지 보상체계, 그리고 늘 그들의 수호신이 되고 열악한 환경에서 근무하는 인력 자원들에 대하여 다시한번 눈을 돌릴 때입니다.





Posted by 엔시스