보안을 잘하는 사람의 기준

안녕하세요. Winner75입니다. 


사람들마다 바라보는 관점이 많이 다른데요. 


"오늘은 보안을 잘하는 사람의 기준" 이라는 내용으로 이야기를 해볼까 합니다. 


과연 해킹방어대회를 다수 입상했다고 보안을 잘하는 걸까요? 

아니면, 매스컴에 많이 노출되어 있다고 보안을 잘하는 걸까요?

관련 자료를 인터넷상에 잘 정리해서 공유하고 올린다고 잘하는 걸까요? 

CVE, 코드 분석 등 한가지 기술을 연마한 친구들이 잘하는 걸까요? 


보안 공부를 몇 년 안한 저로서 이런 이야기를 해도 될까 고민은 했지만

제 생각을 말씀드리면, 


"한가지에 몰두하면서 깊게 공부하고 자연스레 그에 따라 기술력 뿐 아니라 경력이 쌓이면서 사업관리, 인적관리(관�! �), 처세술 거기에 따른 기술력까지 다양한 방면으로 두루두루 갖춘 자를 말한다"


라고 정의를 내리고 싶네요. 


좀더 쉽게 풀어서 설명드리면, 보안을 공부해본 사람들이면 누구나 다 알고 있는 SQL Injection 이란 웹 취약점이 있습니다. 


해당 취약점에 대해 설명하면서 깊이에 대해 말씀드릴까합니다. 


입문자가 SQL Injection에 대해서 책을 쓴다면 50페이지 정도, 보안 입문 1~3년차가 책을 쓴다면 300페이지 정도, 5~9년차가 책을 쓴다면 500페이지 정도 쓸 수 있다면. 


단순한 SQL Injection 취약점 하나를 가지고 3,000페이지 가량 내용을 정의할 수 있는 사람이 있다면, 


어떻게 생각이 되시나요? 


후자를 이야기한 사람에 대해 또 예를 든다�! �� 웹페이지에 SQL Injection 취약점을 확인했을 때!  

웹서버에서는 어떤 문자열들이 필터링되었고, 웹서버 앞단에 있는 웹 방화벽에서는 어떤 문자열들이 필터링되었고 


따라서 우회할 수 있는 구문을 만들 수 있으려면 어떻게 해야하고, 우회를 할 수도 있을 수 있지만, 못할 수 도 있겠죠. 


하지만 여기 사이트는 "필터링 뭐뭐뭐가 걸려있어서 인젝션 구문을 만들 수 없고 우회도 무엇무엇을 해보았는데 불가능하여 현재 구조 상 불가능합니다." 라고 정확하게 정의할 수 있는 초급, 중급, 고급, 특급이라고 불리우는 보안 컨설턴트가 몇명이나 될 것인가에 대해서 생각해봤을때 


저는 0.001%라고 생각합니다.  


일반적으로 이렇게 이야기합니다. 뭐뭐가 필터링되어 있어 안될것 같습니다.�! �

이말은 결국 다른 누군가가 한다면 가능할 수도 있다는 의미가 되기도 하고 어떤 구문을 어떻게 조합해봤어? 라 질문하면 

제대로 답변또한 못할 것이라고 생각합니다. 대다수의 보안 컨설턴트들은. 


따라서 이 처럼 SQL Injection이란 취약점 하나를 바라보는 시점과 관점에 따라 엄청나게 틀리고 연구하고 공부하는 것에 따라 수준치는 어마어마한 차이가 난다는 점을 이야기드리고 싶습니다. 


이런 형태로 한개의 분야를 공부했다면 보안의 꽃이라 불리우는 리버스엔지니어링 영역 등 처음 접했을 때 몇 주만에 루틴분석을 하고 1달쯤되었을 때 실제 솔루션들에 대해 안티디버깅 우회, 로직분석 등하면서 큰 성과를 내는 사람을 직접 목격하고 나니 

제 자신이 부끄러워지기도 하였습니다.  


거기에 경력도 14년이 넘어 관리나 관계�! �� 처세나 전체적인 부분으로 곧게 성장하는 모습을 보고 믿고 따라가게 되었고요. 


그래서 제가 봤을 때 보안을 잘하는 사람의 기준을 본다면 아래와 같이 정의할 수 있었던 것 같습니다. 


"한가지에 몰두하면서 깊게 공부하고 자연스레 그에 따라 기술력 뿐 아니라 경력이 쌓이면서 사업관리, 인적관리(관계), 처세술 거기에 따른 기술력까지 다양한 방면으로 두루두루 갖춘 자를 말한다"


결국 사업을 하려면 결국 보안을 하려면 보여줄 수 있는 무언가를 만들어야하기에 결국 17년부터 해킹방어대회를 출전해서 이력을 만들고 있는데요, 


아래 내용처럼 단순 보여주기식 스펙이 아닌 기술적으로의 성장도 당연하지만 사업관리, 인적관리, 처세 등 전체적으로 성장하는 사람으로 저도 성�! ��하고 또 이 글을 읽고 있는 보안을 즐거워하고 행복해하는 사람이 될 수 있었음 좋겠습니다. 


감사합니다.


※ 2017년 사이버공격방어대회(CCE)최종 5위 : https://cafe.naver.com/opensecurelab/120




by CCL S from http://winner75.tistory.com/65

댓글

이 블로그의 인기 게시물

와이파이 이용시 주의사항

정보 보안 - 암호

카카오톡계정삭제 탈퇴 방법 -아이디 세탁