태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

왜 보안 취약점 연구가 필요한가?

┗ 연재스크랩 2008.05.23 09:20

덧글까지 싸그리 긁어왔는데...

참고하세요..^^

출처 : http://swbae.egloos.com/1756545

브루스 슈나이어가 간만에 멋진 글을 보여주는군요.

http://www.schneier.com/blog/archives/2008/05/the_ethics_of_v.html

보안 컨설팅 회사 내에서 흔히 해커들에 대해 갖는 잘못된 편견들 중에는
1.해커는 보안 전문가가 아니라 우리가 필요로 하는 노동을 제공하는 기술자일 뿐이다.
2. 해커는 공격하는 법 외에 보안에 대해 아무것도 모른다.
라는 견해가 있습니다.

그러나, 전세계적으로 뛰어난 보안 전문가인 브루스 슈나이어는
1. 해커의 마인드를 갖지 못한 사람은 제대로된 보안 시스템을 만들 수 없다.
2. 다수의 취약점을 연구해 발표했던 사람이 구축한 보안 시스템이 아니라면 거들떠볼 가치도 없다.
3. 취약점 연구야 말로 차세대 보안 전문가를 키워내는 핵심 요소이다.
라고 주장하고 있습니다.

저는 특히
"This is so important that when someone shows me a security design by someone I don't know, my first question is, "What has the designer broken?" Anyone can design a security system that he cannot break. So when someone announces, "Here's my security system, and I can't break it," your first reaction should be, "Who are you?" If he's someone who has broken dozens of similar systems, his system is worth looking at. If he's never broken anything, the chance is zero that it will be any good.

Vulnerability research is vital because it trains our next generation of computer security experts. Yes, newly discovered vulnerabilities in software and airports put us at risk, but they also give us more realistic information about how good the security actually is."
라는 문장이 인상이 깊군요(밑줄은 강조를 위해 제가 친 것입니다).

원문에서는 이외에도 생각해볼 다양한 이야기를 하고 있으므로, 꼭 한번 일독해보시길 권해드립니다.

Commented by xeraph at 2008/05/17 00:24
흑흑 거들떠볼 가치도 없는 것을 만드는 중 (..)
Commented at 2008/05/19 02:51
비공개 덧글입니다.
Commented by 서린 at 2008/05/19 10:50
실제로 한국의 경우는, 그 편견의 1/2가 둘 다 맞습니다.(아니, 사회 시스템 상 그렇게 맞게 되었다..가 옳겠네요.)

1990년대 말 ~ 2000년대 초의 부흥기를 지나 강렬한 법적 드라이브(대기업에 대한 정보보호안전진단 등)/대량 사이트 변조등의, 크게 밖으로 보이던 것이 지나간 시점에서(이는 '해킹'이라는게 하나의 이슈로 떠오르던 시기와 정확히 일치합니다. 각 대학에 정보보호 동아리들 우후죽순 생기고, 중기청이 지원하고..뉴스에선 매일 '뜨는 직종'으로 떠들던 시점이죠.) -그리고 우수한 사람들(전 1기 해커라 표현합니다.)이 상장/인수 기타 등등의 방법으로 실제로 돈을 손에 넣고 업계를 뜬 타이밍이죠.

시스템과 네트워크를 하다가 역으로 '음? 이게 왜 이렇게 되지?'로써 접근이 아닌 , 애초부터 '뚫자!'로 공부를 시작한 사람들이니 그 퀄리티와 소유한 날리지 베이스의 차는 언급할 가치조차 없을 정도입니다.

고객사 침투 테스트는 성공하는데, 왜 뚫렸는지 기술적 설명 부족하고, 논리적으론 '옳아'보이는데 실제로 안되는 대응(이런 잘못된 기술 발표를 당시 한국에서 3손가락 안에 들던 보안 업체 '해커'-소개도 이름으로 안하고 아이디로 함-가 대형 통신사 입찰에 참여해서 기술 브리핑에서 하는 거 봤습니다.)..

결론은 ..돈이겠죠.

기본적으로 고객사 대상으로 침투 테스트 수행할 정도의 기술력이면, 어디에 둬도 대부분 커버가 됩니다. 전에도 헐랭이님이 잠깐 언급하신...시스템 해킹의 경우면 기술 장벽 자체가 요새 유행하는 웹 공격과는 비교가 안되지요. 그런 지식/능력 갖은 사람들이 선택할 수 있는 직종 중에 보안이 급여가 가장 적은(특히 기혼자의 경우)한국 IT 시스템 상의 문제가 있습니다.

(..뭐 덕분에 국정원이나 NSC는 결과적으로 인력 꽤 땡기게 된 걸지도요..)

간단히 한 프로세를 예로 들면..
수동 진단, 전자 자산(서버/네트워크)수동 진단이야말로 담당자의 능력이 가장 드러나는 부분입니다.

사실 어떤 진단 담당자가 만든 수동진단 체크리스트도 벤더가 제공하는 케이스 바이 케이스 진단 매뉴얼의 부피와 퀄리티를 따라갈 순 없습니다.
사실 그 매뉴얼은 애초에 최하 3~4년간 해당 시스템 환경을 일상 업무로 수행한 '전문가'를 위한 것 이니까요.

일반 고객이 알아야 할 부분과 정말 필요한 대응-useless 서비스의 정지에 대해 SE를 설득하는데는 필요한 건 영업력과 끈기가 아닌 기술력이 입니다...하여 한국에선 일단 SE 설득이 어려우니, 블랙 박스 테스팅으로 '뭔가 보여주고' 압박하는 프로세스로 흘러가는 겁니다...이는 '올바른 정보보호 프로세스'에선 꽤 멀어져 버린거죠.-은 그야말로 '보안 컨설팅'의 꽃입니다.

..만, 현실은 어떤가요. 체크리스트 작성의 어려움과 난이도,전문성은 등한시 한 채,적당히 만들어진 체크리스트를 '비전문가'들이 일단 들고 나가서 X찍고 O찍고....점수 매기고...

시그내쳐,
만들어낸 탐색 시그내쳐를 단순 노가다로 취급당하는 일...비전문가가 시큐리티 포커스 대충 뒤져서 시그내쳐 따내던 일....

등.등.등

..말이 끝도 없을 듯 해서 이만 줄입니다...

ps:슈나이어의 말은 완전히 옳습니다. 한국도 예전 잘 나가던 사람들이 정상적인 급여 대우만 받았더라도 보안을 등지는 일은 훨씬 줄었을 겁니다. 그리고 지금 처럼 IT의 곁다리로 마지못해 하는 것으로 무시당하진 않게 되었겠죠.
Trackbacks 0 : Comments 0

Write a comment