[SC1-⓵] 정보보안 전문가란? 무엇을 하고 어떻게 준비해야 할까? ref.

SEC 0. 오리엔테이션

• 서준석, 보안프로젝트 부대표

SEC 1. 정보보안 전문가란

정보 보안 전문가가 되려면

• 직접 만나서, 직접 여쭤보고, 직접 상담하는게 Best
• 일하고자 하는 직무 이해, 직무에 필요한 기술 이해, 단계적 기술 습득

  • 지금 당장 해킹 기술 하나라도 더 배우는 것도 좋지만, 가장 중요한 것은 방향성
  • 가장 중요한 건 지금의 내 상황과 나의 신분에 맞는 레시피

    1) 직무 : 일하고자 하는 직무에 대한 명확한 이해와 정보
    2) 정보 : 직무에 대한 정보, 사람, 관련 커뮤니티(관련 정보, 직무 요구사항 파악, 취업 기회 등)
    3) 인성 : 민감 정보를 사용하는 것에 문제점을 찾는 것-직무 관련 보안 인성, 정보 보안 전문가는 끝없는 공부가 필요-신기술과 기존 기술의 결합/신기술의 방향성 등, 업무 태도 등 기본 인성
    4) 기술 : 해당 직무에서 요구되는 기술, 정보보안기술은 지속적 공부와 기술 연마가 요구됨

  • 답이 정해진 길은 없다! 새로운 길을 개척해 나갈 수 있다!

정보 보안 전문가란

• the practice of preventing anauthorized access, use, disclosure, disruption, modification, inspection, recording or destruction of information
• 올바른 윤리 의식과 직업관을 가지고 조직 정보 자산의 취약점과 적절한 해결 방안을 제시할 수 있는 사람
• 해커(hacker) : 컴퓨터를 잘 알고, 잘 하면서, 궁금한 건 못 참는 사람

SEC 2. 정보 보안 직무

정보 보안 직무 1

• 정보 보안 기술 흐름도 (대응/사후)

1) 안전한 인프라 구축 - 장비, 망 구축 등 최소한의 보안 대책 마련(예방에 해당)
2) 공격이 들어옴 - 운영 웹서버 해킹, 악성코드(예시) 등
3) 인프라 구축 시 구축된 보안 시스템으로 모니터링 - 이상 징후 확인
4-1) 악성코드 분석 요청/공격 분석 - 침해사고 대응(영향 분석, 원인 파악)
4-2) 공격의 주체 확인, 증거 필요
5-1) 시스템 복구 및 점검
5-2) 디지털 포렌식 - 절차와 증명

• 세부 보안 직무 (대응) : 해당 직무가 왜 필요한 지 이해하는 것이 우선

  • 보안 개발: 조직 내의 IT 자산을 효율적으로 지키기 위한 최소한의 방어 수단 구비(예방에 해방됨)
  • 네트워크 관제: 관문을 오가는 네트워크 통신에서 비정상 흐름을 빠르게 탐지 및 대응
  • 악성코드 분석: 내부에 유입된 악성코드의 유입 경로와 수행 기능을 파악 후 대응 방안 마련
  • 침해사고 분석: 외부 공격으로 인해 내부 조직의 기밀성, 무결성, 가용성이
  • 디지털 포렌식: 악성코드 또는 보안 사고의 책임과 증거 수집을 위한 분석

정보 보안 직무 2

• 정보 보안 기술 흐름도 (예방/사전)

(1) 자산, 비공개, 기밀 정보 등 보호 대상
(2) 관리 체계 - 기술과 정책, 관리 인력 등 정보보안과 관련된 모든 것들을 유기적으로 판단, 점검항목들을 전체적으로 큰그림을 그려 본 후 부족한 부분 체크 및 개선 등
(3) 컨설팅 - 관리 체계 전체에 대한 컨설팅, 변경된 법에 대한 대응법(전문가에게 요청), 인프라 사전 점검, 모의 해킹(Black-Box)
(4) 인프라 보안 - 장애 및 보안의 위협을 받지 않게
(5) 보안 검수&취약점 점검 - 내부 보안 조직에서 보안 점검(보안 검수), 내·외부적 테스트

• 세부 보안 직무 (예방)

  • 인프라 보안: IT 자산에 대한 공격과 장애 발생을 예방하고 문제 발생 시 빠르게 대처
  • 보안 검수 및 점검: 조직에서 개발한 제품 또는 네트워크 환경의 보안 문제를 사전 점검 후 조치
  • 보안 교육: 보안 실무진의 직무 역량과 일반 직원들의 보안 의식 함양(인재)
  • 보안 정책: 앞서 소개한 분야들이 잘 돌아가게 하기 위한 지침과 방법들
  • 모의 해킹: IT 자산 공격 시나리오를 통해 발생 가능한 위협에 대한 예방 및 대처 방안 마련
  • 보안 컨설팅: 조직이 가지는 모든 자산과 정보에 대한 위협을 총체적으로 판단 후 대응방안 제시
  • 버그 헌팅: 조직에서 사용 중인 특정 시스템에 내재된 보안 취약점을 연구
  • 신기술 연구: 새로운 보안 기술을 개발하고 탐구하는 분야

어디에서 일할 수 있나요?

• 대기업

  • 일반적으로 알고 있는 모든 대기업에는 보안 부서가 있음
  • 기업의 성격과 조직 문화에 따라 보안 부서의 역할(지위)과 업무가 다름
  • 교육과 자기계발의 기회가 많음
  • 업무 영역이 특화되어 있어 기술적으로 많이 배울 수 있는 곳도 있고 일반적인 보안 관리 업무만 하는 곳도 있음

• 중소기업(중견)

  • '보안 부서'보다 '보안 회사'로 구분하는 것이 더 좋을 것 같음
  • 흔히 '보안 회사'라고 부르는 회사들이 속함(대기업도 있음)
  • 보안 컨설팅, 악성코드 분석, 백신 개발, 디지털 포렌식 등 사업 영역이 특화되어 있는 경우가 대부분
  • 조직 규모가 작다보니 대기업보다 '역량'을 더 우대해주는 편
  • 프로세스가 체계적이지 않아 좋은 점도 있고 나쁜 점도 있음
  • 하는 만큼 성장할 수 있음

• 연구소

  • 국가에서 운영하는 연구소도 있고, 기업에서 운영하는 연구소도 있음
  • 말 그대로 보안 기술을 연구하는 것이 주된 업무
  • 주로 석박사 출신들이 많이 가지만 실력이 출중하다면 문제될 것이 없다고 생각
  • 보통 대학원에 진학을 하게 되면 연구소 쪽으로 취직할 기회가 많아짐

• 국가 기관

  • 기관 요원
  • 국정원은 generalist(공채, 보안 기술보다는 '그릇')와 specialist(특채, 기술)로 구분해서 사람을 뽑고 있다고 함
  • 경찰에도 사이버 수사대가 있고, 군대에는 사이버 사령부가 있음
  • 사명감과 애국심이 없으면 권장하지 않음

• 공공 기관

  • 흔히 ○○공사라고 불리고 준공무원 대우를 해주는 회사들
  • 워낙에 많은 분야의 공사들이 있어 공통된 특징으로 설명하기 힘듦
  • 연구소 성격을 띄는 공사, 단순 보안 관리 업무만 하는 곳, 치열하게 외부 공격을 받아내며 싸워야 하는 곳 등 다양함
  • 앞서 설명한 모든 직장 유형들을 포용하는 곳이라고 봐도 무방할 거 ㅅ같음
  • 처우도 기관 성격에 따라 크게 차이가 남

• 대학원

  • 석사만: 프로젝트 경험, 인맥, 논문 등
  • 박사까지: 진정한 '연구'가 하고 싶다면 박사 권장, 하지만 박사 과정의 길은 험난할지어니...

직무별로 필요한 기술

• 직무를 막론하고 가장 중요한 것은 사람 됨됨이와 일을 대하는 태도
• 아직도 많은 사람들이 해킹만 잘 하면 보안 전문가가 되는 줄 착각하고 있음, 윤리 의식이 결여된 보안 전문가는 그냥 고급 기술을 가진 범죄자일뿐
• 보안이라는 분야에 필요한 기술은 크게 두 가지로 구분 가능

  • 기본 기술: 기본기, 프로그래밍, 네트워크 기초, 운영체제 동작 원리 등
  • 신 기술: 모바일, 빅데이터, 도커, 클라우드, 사물 인터넷 등

• 기본은 탄탄히 하되 새로운 기술은 끊임 없이 궁금해하고 연구해야 함 - 결코 쉬운 일이 아님
• SIS 가이드라인 참고
• 기본 기술은 전제로 깔고 진행(프로그래밍, 컴퓨터 구조, 네트워크, 운영체제 등)
• 공통 요구사항: 리버스 엔지니어링
• 분석 : Windows

  • 악성코드 분석(침해사고): 리버싱 상, 윈도우 프로그래밍, 웹 프로그래밍, 네트워크 트래픽 분석
  • 디지털 포렌식: 리버싱 중, 운영체제와 저장 장치에 대한 깊은 이해

• 해킹 : Linux

  • 모의 해킹: 리버싱 중, 일단은 웹(프로토콜, 언어), 그리고 시스템
  • 버그 헌팅: 리버싱 상, 해당 분야에 대한 깊은 지식과 경험
  • 보안 진단: 리버싱 줒ㅇ, 네트워크 실무, 웹(프로토코르 언어), 모바일 앱(언어, 동작 원리)

• 기술은 깊고 넓을수록 좋음
• 관리와 정책

  • 보안 컨설팅: 기술+관리, 컨설팅 능력은 지식과 경험에 비례 - 아는만큼 보임
  • 기업 보안: 전반적인 보안 기초 지식(확실하게), 정책과 기술을 큰 그림에서 이해하는 능력
  • 법(Law)

SEC 3. 정보 보안 전문가가 되기 위한 준비

어떻게 준비해야 하나요?

• 중·고등학생

  • 손만 뻗으면 잡을 수 있는 기회가 주변에 널려 있음
  • 학생들에게 가장 중요한 것은 대학이겠지만, 보안 분야에서는 학위가 만능 열쇠가 아님
  • 실력도 좋고 학력도 좋다면 더할 나위가 없긴 함
  • BEST 좋은 대학에 가는 것 - 학업 환경(무시 못함), 보안 특화 전공(고려대), 대학원과 연계
  • 해킹 대회에 도전 - 코드게이트 주니어, 해커스쿨 해킹캠프에서 친구들 사귀기
  • 프로그램 만들기 - 자신의 생각을 프로그램으로 구현할 수 있다는 것을 증명(언어는 중요하지 않음)
  • 블로거 되기 - 인터넷에 산재되어 있는 보안 지식들을 공부해 하나씩 정리

• 대학생

  • 많은 사람들이 본인은 이미 늦었다고 생각
  • 중고등학생 시절부터 실력이 출중한 친구들이 신기한 것, 자신에게 대입하지 말기
  • 대학생 컴퓨터 관련 전공자가 보안을 하고 싶을 때 이상적으로는

    • 저학년이라면 학교 보안 동아리가 있으면 가입하고, 아니면 만들어 버리면 됨, 해킹 대회가 최고의 경험
    • 고학년이라면 희망하는 보안 직무를 정하고 그에 맞는 직무 역량을 쌓기(실무를 고려한 프로젝트)

  • 대학원 진학도 바라볼 수 있고, 기업 인턴쉽 참여도 가능하고, 해킹 대회에 함께 참여할 사람들 찾기도 좋고, 그냥 다 좋음
  • 인턴쉽가 해킹 대회를 최대한 활용

• 비전공자

  • IT 분야에(비보안) 종사하고 계신 많은 분들이 보안 분야로 직무 전환을 원함
  • 혹은, IT 기술 자체가 아예 전무하신 분들도 보안 분야 진출을 희망
  • 학력이 부족하면 컴퓨터 관련 학과에 등록
  • IT 종사자들은 본인이 가지고 있는 직무 역량과 전환을 원하는 보안의 세무 직무과의 다리를 만들어야 함
  • 기본 기술 쌓기 - 자격증 취득, 기본서 읽고 따라하기, 인터넷 강의 듣기
  • 실무와 밀접한 수행 과제 - 스터디 그룹 또는 멘토링 프로그램을 통해 만들기

• 모든 대상을 통틀어

  • 구글은 항상 여러분과 함께 함
  • 인터넷에 좋은 강의들 많음
  • 입문 강의(유투브 or 전문 강좌 사이트) -> 그 다음은 알아서 보임
  • 보안 책도 많음
  • 보안에는 해킹만 있는 것이 아님, 해킹이 만능은 아님
  • 좋은 멘토분들과 뛰어난 실력자들이 많지만,

    • 좌절할 필요 없음, 그분들은 10년 이상 보안 분야에 종사함
    • 그분들이 걸어왔던 길이 반드시 정답은 아님, 틀에 얽매일 필요는 없음

  • 인터넷에 널려 있는 좋은 강의들과 시중에 출간된 보안 책들만 다 섭력해도 어디든 취직할 수 있음

• 나름대로의 결론

  • 답은 없음
  • 보안 분야에서는 실력이 있으면 짱
  • 기본기가 되어 있는 사람은 실력이 조금 부족해도 괜찮음
  • 진정한 보안 전문가라면 해킹 그 이상을 목표로 해야 함
  • 천재들을 보고 좌절하지 말기, 그들은 그들만의 역할이 있음
  • 늦었다고 생각할 시간에 하나라도 더 보면 됨, 정보보안은 하는 만큼 보이고 하는 만큼 올라갈 수 있음
  • 강한 사람이 버티는게 아니라 버티는 사람이 강한 것, 정보보안은 어렵고 힘든 분야지만 재미있고 보람이 있는 분야