감성·열정·도전이 가득한 보안같지 않은 '보안이야기'

보안이야기

제목	<오늘의 보안이야기 No.42 - 2020 #보안전문가>
작성자	onesecure
작성일자	2019-04-07
<오늘의 보안이야기 No.42 - 2020 #보안전문가> 보안은 행동하지 않으면 아무것도 없는 허상일 뿐 입니다. 우리가 흔히 말과 문서로 이루어지는것은 실제의 서비스에 많은 영향을 주지 못합니다. 그렇기에 보안 인력들과 얘기 하면 대화가 안된다는 말을 자주 듣는 이유이기도 합니다. 보안전문가는 단순 특정 기술만 배워서는 결코 다음단계로 이동할 수 없습니다. 여러 워크샵이나 세미나, 컨퍼런스를 가보면 자신의 Job이 한정되어 있슴을 내포하고 있습니다. 그것은 전문가(Specialist)가 아닌 보안인(Generalist) 일 뿐입니다. 국내 보안인력 40% 모의 해킹기술, 20% 컨설팅, 20%가 IT기획이나 운영 인력, 나머지 20%가 그나마 보안전문가라 할 수 있는 인력구조입니다. 이처럼 한때 정부의 정책으로 붐을 이루었던 모의해킹, 일부 보안기술을 양성했기 때문에 보안 전문가의 말이 통하지 않고 판단이 늦어지는 문제는 IT서비스 부분에서 가장 치명적인 결과를 가져오는 것을 종종 보았습니다. 그러면 보안전문가와 보안관리자의 차이를 살펴 보겠습니다. 보안전문가와 보안관리자에 대해서 상당히 애매하게 접근을 하고 있는 것은 사실입니다. 일반적으로 알려진 상식으로 구분을 해보면 보안전문가는 보안 관련된 기술을 깊이 있게 이해하고 있고 실제 적용이 가능한 상태로 만들 능력을 지니고 있는 자를 의미합니다. 보안관리자는 보안 정책에 대한 집행과 이행 , 시스템에 대한 관리 등등 다양한 부분을 책임지고 있는 자라고 할 수 있습니다. 전문가는 기술에 대한 전문가이고 관리자는 관리 능력과 책임을 지닌 담당자라고 일반 경계를 그을 수 있을 것 같습니다. 보안전문가와 보안관리자는 Specialist와 Generalist라고 볼 수 있으며 일반 기업에서는 보안 관리자는 Generalist여도 되나 IT서비스를 주된 업종으로 하는곳에서는 특정 부분[기술적인 부분]에서 Special한 능력을 일정 수준이상 보유한 Generalist가 보안관리자 라고 할 수 있습니다. 그러면 보안관리자는 보안전문가 영역에 대한 이해를 기본 바탕으로 하고 현재의 공격이나 위협의 흐름에 대한 인식과 배움을 게을리 하지 않은 보안관리자들에게 요구되는 것은 현상에 대한 판단능력과 위협에 대한 대응 능력이 가장 필요합니다.. 보안전문가들이 개별사안에 대해 문제점을 진단하고 위협을 나타낸 것을 가지고 전체 서비스 분야 에서 이 문제가 어떤 파급효과를 가져 올 수 있고 향후에 어떤 위험이 될 수 있다는 것을 판단하고 과감하게 행동에 옮길 수 있어야만 진정한 보안 관리자라 할 수 있습니다. 자리를 차지하고 있다고 관리자가 아니며 판단과 책임이 동반됨을 인지하고 기민하게 움직이고 판단/대응하는 능력을 지닌 자가 보안관리자(Special Security Manager)라 할 수 있습니다. 세부적인 기술에도 익숙하고 전체적인 부분에 대해서도 이해가 가능하며 책임의식이 있는 사람을 보안관리자라 칭할 수 있을 것입니다. 보안전문가는 아래 기술을 최소한 언급한 네가지 기술에서 2가지는 필수이고 다른 두가지는 중급 이상의 능력을 지녀 야만 어느 곳에서도 역량 발휘를 할 수 있습니다. (아주 이상적인 모델이지만 필요한 기술입니다) 필수는 시스템/네트워크 보안기술이며 Application 보안기술과 Penetration Test의 경우 중급이상의 능력을 보유하여야만 합니다. 시스템/네트워크 보안 기술만 보유하여도 충분한 기술이라 할 수 있지만 장기적인 안정성은 부족하며 현재의 공격기술 발전상황을 따라 갈 수 없는 상황 이라 할 수 있습니다. 모의해킹과 Application 보안 기술 각각만 하여도 충분히 인정 받을 수 있으나 장기적으로는 세부 기술에 대한 이해와 범위를 확대하고 끊임없이 노력하여야만 장기적인 발전 통로를 확보 할 수 있습니다. -네트워크 보안 기술 : 네트워크 분야의 기본적인 보안 구성에 대한 이해가 가능하며 네트워크 구성도에 대한 이해가 명확해야 합니다. 취약지점과 보완해야 될 부분에 대해서 정확하게 지적할 수 있을 정도의 능력이 요구 됩니다. 또한 네트워크 보안장비에 대한 기본 이해도 충분해야만 합니다. - 시스템 보안 기술 : 각 서비스 하위 단위를 구성하고 있는 물리적인 단위인 각 개별 시스템 및 운영체제들에 대한 이해도가 충분하게 높아야 됩니다. 운영체제의 종류도 여러 가지가 있지만 대체로 *BSD 계열과 Windows 계열에 대한 충분한 이해와 일반 운영인력들 보다 나은 능력을 보유하여야만 됩니다. - Application 보안기술 : 다양한 부분이 있습니다만 만들어진 부분에 대한 보안요소를 강조하는 의미에서 Web , Database에 대한 보안 기술과 구성요소에 대한 이해가 되어야만 합니다. Game의 경우에는 게임내에서 발생하는 Abusing에 대한 분석능력도 충분하여야 하며 Service의 경우에는 Service에 대한 Abusing 대응과 분석이 가능한 능력이 있어야만 합니다. 이 부분에서 다양한 요소기술이 요구 됩니다. - Programming 능력 : 개발이 가능한 능력이 있어야만 본질적인 보안상의 문제 이해와 지적이 가능합니다. - 구조에 대한 이해 : 오랜 시간이 소요되지만 서비스의 구성과 구조, Process에 대한 이해가 있어야만 게임이든 서비스든 Abusing에 대한 분석과 대응이 가능합니다. - 각 Application별 [ 상용 또는 자체개발 ] 보안 취약성의 동향과 흐름에 대해 신속한 정보 수집과 전파, 가공 능력을 지녀야만 합니다. - Reverse Engineering : 현상에 대한 분석을 위해 Binary분석 능력을 갖추고 있어야 하며 최소한 이해는 할 정도는 되어야만 됩니다. Game의 분석을 위해서는 Binary분석 및 Reverse Engineering 능력은 필수적인 부분입니다. 물론 어셈블리에 대한 이해도도 충분한 수준 이여야 합니다. - Penetration Test 능력 : 일반적으로 모의해킹 이라고 부릅니다. 시스템/네트워크/Application을 총체적으로 이해하는 상황에서 각 분야별로 침입을 시도합니다. 현재에는 시스템 및 네트워크 부분에 대해서는 상당 부분 강화가 많이 되고 차단이 되는 상태라 주된 초기 침입지점 은 Web을 통한 침입지점이 많습니다만 침입이후에 진단 되는 부분은 시스템/네트워크/Application 영역을 막론 하고 모두 해당이 되므로 모든 부분에 대한 능력을 보유 하고 있어야 됩니다. 최소한 어느 곳에 어떤 정보가 있고 이런 유형에는 어떤 문제가 있다라는 Feeling 이라도 지니고 있어야만 됩니다. 현재의 국내 보안 인력들은 인력풀은 매우 협소하나 충분한 역량 발휘가 가능한 인력들이 다수있다고 볼 수 있으며 각 세부부분에 너무 치중하여 전체 적인 균형이 부족한 부분이 흠이라고 할 수 있습니다.
첨부파일