자유게시판

후배님들을 위한 간단한 IT분야 설명 - 4(보안)

신명호 | 2015-08-18 20:22

0 보안

 

제가 도움을 잘 드리고 있는지 모르겠습니다.

 

원래 그림그려가면서 여러분들의 반응을 봐가면서 수위를 조절해야 하는데 긁적긁적 거리는게 게시판에 공해가 될까 염려되네요..

 

 

보안.. 음 참고로 전 보안분야에 관심 가진건 11년정도 되었구요 실무는 이제 5년차 정도 되는거 같습니다.

 

요즘 보안이 유망직종이라 (제가 보안 처음 시작한 2004년도에도 보안이 유망직종이었지만, 지금이나 그때나 대우는 별반 달라진게 없는거 같네요) 업무를 설명 드리기 전에 앞서, 보안분야에 대한 환상부터 깨드리려고 합니다.

 

다들 보안이라고 하시면 침해대응(해커들의 공격)을 방어하고 대응하는 곳이라고 생각하시어 그쪽에 많은 관심들을 보이세요.. 실제로 저도 한때 그랬었구요..

 물론 보안담당자는 그런일도 하지만 다른일에 더 많은 시간과 노력을 투자합니다.

 

 제가 있던 회사에는 정보보안팀 규모가 협력사 포함 100명규모였는데 그중에 침해대응 담당은 단 2명.. 오히려 감사팀이랑 연계되어 디지털 포렌식이나 정책 수립, 직원 교육, 보안장비 운영관리에 더 많은 중점을 두고 있습니다.

 

 그래서 지금부터는 사견이지만 기업에서 요구하는 보안관련 인재상도, 침해대응 뿐만 아니라 넓은 분야의 IT경험을 가지고 보안에 관심을 가지고 있는사람이 더 선호되는것 같습니다.

 이유는 보안정책하나 세우려면 그 개념을 정확히 이해한다음에 그 이론의 취약점을 찾아서 보안하는 법을 찾아야 하기 때문입니다.

 

그럼 지금부터 보안관련 업무를 하나씩.. 하나씩.. 설명하겠습니다.

 

- 침해대응

   : 회사 내부 서비스를 해킹하면서 매달 취약점이 있는 시스템 담당자에게 조치사항을 전달하고, 최근 이슈되는 제로데이 취약점(보안취약점이 발표되고 보안점이 나오기전에 발생하는 공격취약점)에 대응하는 것으로 창원대학교 캐스퍼 동아리의 전산원 CERT팀이 하는 업무와 유사합니다.

   아직까진 신입직원을 모집하는 경우는 본적이 없네요.. 아 한분 있었는데 그분은 대학도 안나오시고 고등학생부터 언더해커로 이름 날리시던 분이었어요... 뭐 침해대응 대회 수상하고 뭐 그런건 정보보안팀 100여명의 직원중에 많은 분들이 가진 스팩이기에 기대하시는 만큼의 큰 이득은 없을듯 합니다.

  금융권을 제외하고는 큰기업은 제로데이 취약점 자체에 거의 반응하지 않습니다...

  (이유는 아무리 큰 대기업도 금융권이 아니라면 보호하는 정보자산의 가치가 보안장비의 금액의 가치보다 낮은데다가 정보가 가친 가치가 감가상각이기 때문에 금융권처럼 막대한 돈을 투자하지 않습니다.. 심지어 뚫려도 방치하거나 보험을 들어 피해액을 보상받는 방법을 택하기도 합니다.)

  제가 위에서 10년전이나 지금이나 보안업계의 변화가 거의 없다고 말씀 드렸는데요..

  사실상 지금의 대부분의 모든 이슈는(모바일은 따로 뺄께요 이녀석은 아직 새로운 매체로 봐야해서) 서버나 NW, 기초적인 보안장비로 모두 방어가 가능합니다.

 DDOS는 처음 나올때부터 TCP/IP체계에서는 못막는 공격으로 결론이 났는데 어떻게든 해보려고 그런거고 최근 발생한 모든 보안이슈는 내부직원이 가진 "권한"을 기반으로 공모나 사용자 무지에 의해 뚫렸습니다.

 회사의 보안체계는 3중 4중으로 구성되어 있는데 외부에서 그걸 뚫는 유일한 방법은 내부직원의 "권한"이기 때문입니다.

 미션임파서블 탐형이 곡예까지 하면서 공격지 내부로 들어가려는 이유도 거기서 찾으시면 되겠네요.. 사실상 방법이 없기 때문입니다.

 요즘 나오는 대부분 취약점들도 그 권한 탈취를 위한 방법이 대부분이구요.. 그건 근본적인 방어가 충분히 가능합니다.

 결론은 회사에서 정보보안담당자 공고가 떴다고 해서 침해대응 인력을 뽑는줄 알고 자소서에 침해대응만 줄줄이 적으시면 굉장히 안타까운 상황을 맞이하실수 있다는 이야기를 드리고 싶었습니다.

 

- 디지털 포렌식

: 디지털 포렌식을 다양하게 이해하고 계시는데요 제경험상 회사에서 쓰는 것은, 어떤 사건이 발생했을때 디지털 정보가 법정 증거로 채택될수 있도록 전반적인 무결성을 거증하는 일이라고 생각합니다.

 회사에서 정보보안팀에 있으시면 감사실과 자주 일을 같이하시게 될겁니다.

 내부 직원이 정보를 몰래 유출하거나, 보안정책을 우회하는 방법을 고의로사용하는 경우, 국정원이나 관련기관에서 회사의 외부에 나가있는 노트북이 공격자에 의해 침투되어 조사가 필요한 경우..

 이럴때 정보보안팀 중 디지털 포렌식 관련 지식과 경험이 있으신분들이 대동하여, 증거를 확보하고 경우에 따라서는 대응도 하는 역할을 합니다.

 그래서 통상 이 활동을 하다보면 감사팀과 인사팀에 의해 제가 만들어준 증거를 토대로 징계가 공지되는걸 보시게 될겁니다.

 "회사에서 정보보안팀에 있을때 제가 제출한 로그로 인하여 제 입사동기가 징계를 받았을때 굉장히 기분이 이상하더라구요.."

 

- 교육

 : 보호조치의 경우, 물리적 기술적 관리적 3가지로 구분합니다만, 가장 멋있을것 같은 기술적 보호조치가 가장 저급 보안방법입니다.

 이건 CISSP 발췌인데요.. 예를 들어 메일 이슈나 USB 보안이슈의 경우 물리적, 기술적, 관리적 중 어떤걸로 막으면 가장 적절할까요?

 -기술적 : 차단 솔루션을 설치

 -물리적 : 포트를 물리적으로 막고, 외부메일을 물리적 망분리로 분리

 -관리적 : 사용자 교육.

 

기술적이 가장 취약한 방법인데 대부분의 기업에서 채택하고 있습니다. 이유는 기술적 조치가 가장 저렴하기 때문입니다. 그 다음이 물리적 조치, 관리적 조치가 가장 확실한데 가장 돈이많이 들기 때문에 기업에서 많이 투자를 못하는 겁니다.

 

 제 경험상도 그렇지만 USB나 메일 이슈의경우 기술적 조치로는 절대로 못 막습니다. 관리적 보호조치가 유일한 답인데요..

 그 관리적 보호조치중 하나가 "직원 교육" 입니다.

 

 사용자 인식이 한번 갖추어지기는 어렵지만 갖추어지면 따른 기술적 보호조치용 솔루션 도입이나 물리적 보호조치가 따로 필요없습니다. 군대와 일반 대기업의 보안을 비교하시면 되겠네요

 

 3개의 서로다른 기관에서 보안담당을 해본 결과 제 경험상 보안관련 공지를 했을때 사용자가 그것을 불편으로 인식하는지, 짜증나지만 지켜야 하는 것으로 보는지, 조회수가 많고 문의가 폭주하는지를 보면 그 기관의 사용자 보안수준을 알수 있다고 생각합니다.  

 

 그렇기 때문에 보안담당자가 주기적으로 하는 교육의 경우 많은 신경을 써야합니다.

 

-보안장비 운영

 : 아마 대부분의 신입직원을 모집하는 정보보안팀 공고는 이 직렬을 요구할 가능성이 굉장히 높습니다.

 

 보안장비야 뭐 방화벽, IPS, IDS, 유해사이트 차단, DRM,DLP,프락시,기업안티바이러스, DDOS장비, ESM 등등등등등..

 까보면 동작원리 다 똑같은데 뭘 이리도 돈벌려고 만들어 내는지...

 

 해당 장비를 도입하고 운영하는 역할을 하는데요

 

 구체적으로 하는일은 제가 이전글에 쓴 APP 담당자와 비슷한데.. 그 기능이 보안기능을 지원하고 있다 정도로만 이해하시면 될것 같습니다.

 

 APP 담당자와 다른일은 주기적으로 보안로그를 보면서 보안정책 수립을 위한 백 데이터를 마련하고, 보안위규 사용자를 로그에서 확인하여 넘기는 역할,, 실제로 공격이 들어올때 대응하는 일등을 수행합니다. ..

 

일 진짜 많지요... 살인적으로.. 그러나 한번 하시고 나면 NW 담당자나 서버담당자, DB 담당자보다 더 많은 실력을 키울수 있습니다.

 

증거로 TOPCIT이라는 IT 관련 서술형 시험이 있고 일부 IT회사에서는 조기진급 대상자를 선별할때 사용하기도 합니다.

 

제가 다니던 직장기준으로는 .. 정보보안팀 평균점수가 거의 안드로메다급으로 높습니다. (전 1년차때 1년~8년차까지 수백명이 친 시험에서 상위 2%안에 들어 조기진급도 노릴수 있더군요.. 제가 잘해서라기 보다 많은 영역을 직접 컨트롤 하다보니 아무래도 모든 문제를 풀수가 있었지요)

 

- 보안정책수립

: 많은 보안담당자들이 꿈꾸는 직책이지만 쉽지 않습니다.

 우선 직접 장비에 앉아서 콘솔 만지는 것보다 법령 바뀌는것에 민감하게 대응해야 하는 직무입니다.

 법령을 기준으로 우리회사에서 준수할 정보보안 정책을 수립하고 배포 공지합니다.

 그만큼 중요한 일을 하기에 통상 보안쪽으로 잔뼈가 굵은 10년이상의 경력자분들을 선호하는 편입니다.

 그런데 제가 봤을때 보안10년한 사람보다 APP,.NW,DB,서버,개발을 두루 섭렵하신 분들이 보안개념을 더 잘 잡으세요.. 다 아니까요..

 그래서 법을 해석하는 능력과 기술적인 지식 모두가 겸비되어야 합니다.

 

 

뭐 갑자기 적어서 다 안들어갈수 있지만 보안은 여기까지 정리할까 합니다.

 

IT회사를 지원할때 자소서를 쓰는 방법이나, 면접시 노하우 같은것은 여기 올려봐야 우리 학교 홈페이지가 구글링이 되서 남 좋은일만 시킬꺼 같아.. 다음으로 미룰려고 합니다.

 

예전에 올린 몇몇 글로 인해 후배님들 연락주시면 조그만한 도움이라도 드렸을대 뿌듯함을 잊을수가 없네요

 

모자란 선배지만 취업팁관련 도움 필요하시면 힘 닿는데까지 도와드리겠습니다.

 

감사합니다.  

 


윤솔아 2015-08-19 (16:02)
감사합니다 정말 도움 많이되었습니다~ 
신명호 2015-08-20 (15:01)
자소서나 기술면접, 임원 면접시 준비해야할 사항은 오프라인에서 진행이 되어야 할꺼 같아요 세미나실 하나 빌려서 관심있는분 몇몇 모으시면 2~3명이라도 노하우전수해드릴께요
김태완 2015-08-22 (22:34)
감사합니다 끝 까지 잘봤습니다!
이창훈 2015-08-24 (08:42)
취직하면 어떤일을 하는지 막연했었는데 알기 쉽게 잘 설명해주셔서 도움이 많이 되었습니다. 
정말 감사합니다.
이전글 2015-2학기 학생생활관 7동 기혼자실 입실자 모집 안내
다음글 후배님들을 위한 간단한 IT분야 설명 - 3(DBA/APP운영)
이동할 게시판을 선택 하십시오.