IT보안과 사회공학(Social Engineering)

시간이 화살과 같이 빠르다는 것을 새삼 느낍니다. 벌써 2014년이 지나가고 2015년 새해가 밝았습니다. 블로그 글을 보시는 모든 분들 새해 복 많이 받으시고, 하시는 모든 일들이 잘 되기를 기원하겠습니다.

개인적으로 2014년을 되돌아 보면 가장 행복 했던 순간은 둘째가 건강하고 튼튼하게 태어난 것입니다.

2015년에 저에게도 역시 좋은 일이 많이 있기를 바라며, 많은 분들에게 도움이 되실 수 있는 연구 결과물들을 만들도록 노력해 보겠습니다. 물론 그 연구 결과물들은 개인 블로그에 모두 공개할 예정이구요.

아마도 2015년에는 많은 분들을 찾아 뵐 수 있는 기회가 더 많지 않을까 생각 됩니다. ^^

오늘 공개하는 자료는 12월 17일 용산 국방부 사이버사령부에서 진행된 강의에서 사용하였던 자료로 "IT보안과 사회공학(Social Engineering)"이라는 주제 입니다.

개인적으로 군 관련기관을 방문 했던 것이 6년 전 정도에 진해 해군사령부에서 진행되었던 악성코드 분석 관련 교육이후로 처음이었던 것 같습니다.

용산 국방부를 방문하던 그 날따라 날씨도 무척 쌀쌀했는데다, 바람까지 많이 불어서 가는 길이 편하지는 않았습니다. 하지만, 담당 주무관님들의 따뜻한 환대 덕분에 많은 분들과 좋은 이야기들을 나눌 수 있었습니다. 이자리를 빌어 담당 주무관님들께 감사의 말씀드립니다. ^^

강연은 총 2시간 예정되었으며, 중간에 10분 정도 휴식시간을 가지고 질의응답시간을 포함해 1시간 40분 정도에 끝이 났습니다. 내용이 악성코드나 취약점 분석과 같은 기술적인 내용이 아닌 심리학과 사회학이 배경이 되는 내용이다 보니 저도 편안하게 말씀을 드리고, 들으시는 분들도 여러 질문들을 편안하게 주셨던 것 같습니다.

주된 내용은 사회공학(Social Engineering)이 무엇이며, IT보안과 관련해 발생하는 보안 위협들이 사회공학을 어떠한 방식들로 사용하는지 사례를 설명드렸습니다. 그리고, 이러한 사회공학을 예방하기 위해서는 어떠한 방식으로 보안인식 교육이 진행되어야 하는지 설명을 드렸습니다.

오랜만에 군기관을 방문해 여러가지 말씀을 드릴 수 있었던 좋은 기회였습니다. 그리고, 제가 속한 조직에서도 외부 출강을 적극 지원 및 후원해주셔서, 추운 날씨에도 편안한 마음으로 다녀 올 수 있었던 것 같습니다.

2014년 8월 28일, "Volatility를 이용한 Memory Forensics" 강연

오늘 두번째로 공개하는 자료는 8월 28일 KISA에서 주관하는 사이버보안인력(K-Shield) 재교육 프로그램 중 하나로 멀웨어 포렌식(Memory Forensics)에서 자주 언급되는 메모리 포렌식(Memory Forensics) 관련 내용을 강의한 자료 입니다.

기본적인 자료는 2013년 가을에 완성하여 올해 1월에 원고 수준으로 완성한 "볼라틸리티(Volatility)를 이용한 메모리 분석 사례" 입니다만, 강의 요청을 받고 예전에 만든 자료를 다시 살펴보니 시기에 맞지 않는 업데이트 된 부분들이 제법 있더군요.

대표적인 부분이 2013년도에 작성 할 때는 백트랙(BackTrack)으로 실습 이미지를 만들었는데, 2014년도로 접어들면서 해당 운영체제가 칼리(Kali)로 대체되었습니다. 이 외에도 강연 자료의 핵심인 메모리 포렌식 도구인 볼라틸리티(Volatility)도 버전이 2.4 업데이트 되었습니다.

그래서 강의자료를 초반을 제외한 실습과 관련된 이미지와 내용들을 포함해서 70% 정도를 새롭게 테스트하고 작성하였습니다.

특히, 실습 이미지와 환경을 디지털 포렌식(Digital Forensics)을 위해 제작된 SANS SIFT 3.0에서 가능하도록 만들었습니다. 그리고 맨드언트(Mandiant)의 레드라인(RedLine)의 업데이트 된 버전 내용도 짧게 나마 다루고 있습니다.

결론적으로, 전체적인 큰 줄거리는 변함이 없지만, 최근에 새롭게 업데이트 된 분석 도구나 환경들을 새롭게 반영하였다는 것이 이번 강의 자료에 특징이라고 할 수 있습니다.

2014년 7월, "APT(advanced persistent threat) 공격의 현재와 대응 방안" 강연

날씨가 이제 아침, 저녁으로 제법 쌀쌀 한 것이 이제 완연한 가을로 접어들었는 것 같습니다.

8월에 블로그 글을 게시하고, 9월을 건너뛰고 10월에 들어서야 글을 작상하게 되었네요. 7월, 8월에는 회사 업무 가운데에 외부 활동을 병행해야 되어서 주말에는 집 근처 카페나 토즈에서 보내야 하는 시간들이 제법 있었습니다.

오늘 공개하는 자료는 올해 7월 서울과학종합대학원의 산업보안 MBA 및 전문가 과정에서 강의하였던, APT  공격의 현재와 대응 방안이라는 자료 입니다.

 이 번 강의는 지난 번에 강의하였던 자료에서 크게 달라진 내용이 없습니다. 그러나, 강의에서 해주셨던 질문들을 생각해보면, 다음 강의에서는 조금 더 시스템적인 체계를 다루는 "침해사고 대응 체계와 방법론"이라는 주제를 다루어야 할 것 같더군요.

마크 러시노비치의 두 번째 소설 트로이목마(Trojan Horse)

7월 한 달을 건너뛰고 8월에 이르러서 처음으로 쓰는 블로그 입니다. 오늘 블로그에서 다루는 내용은 IT 보안에 대한 이야기는 맞습니다만, 이제까지 블로그에서 다루었던 기술중심적인 글보다는 편하게 읽을 수 있는 소설 한편입니다.

IT 보안을 하시는 분들 외에도 윈도우 시스템이나 마이크로소프트의 테크넷(TechNet)을 자주 보신 분들이라면 마크 러시노비치(Mark Russinovich)에 대해 잘 아실 겁니다. 이 분은 윈도우 시스템 엔지니어로서도 뛰어난 역량을 가지고 있지만, 한편으로는 IT 보안을 주제로 재미있는 이야기를 풀어내는 소설가로도 알려져 있습니다.

마크 러시노비치가 처음 쓴 소설로는 제로데이(Zero Day) 입니다. 제로데이는 IT 보안을 하시는 엔지니어 분들이라면 익히 들어서 잘 아실겁니다. 2012년에 처음으로 읽었던 해당 소설 역시 제로데이 취약점과 악성코드들에 대해 다루며, 제프 에이킨이라는 뛰어난 보안 전문가의 활약을 다루고 있습니다.

저 역시 그의 첫번째 소설인 제로데이를 재미 있게 읽은 터라  2013년 12월 국내에서 조용히 발간된 그의 두번째 소설 트로이목마(Trojan Horse) 역시 별 다른 고민하지 않고 구매하게 되었습니다.

하지만, 소설 책을 사두고 어영부영하는 사이에 시간이 흘러가서, 최근에서야 주말 집에 있는 동안 짬을 내어 다 읽어보게 되었습니다.

마크 러시노비치의 트로이목마는 스턱스넷(Stuxnet)이라는 원자력 발전소 파괴를 목적으로 제작된 악성코드를 큰 주제로 다루고 있습니다. 이번 소설 역시 제프 에이킨은 어떠한 사건을 조사 중에 미국, 중국, 이란 등이 스턱스넷을 중심으로 얽히 사이버 전쟁에 대해 자세히 묘사를 하고 있습니다.

하지만, 전편과 다르게 이번 소설에서는 한국어로 번역된 내용들이 부자연스럽고 매끄럽지 못한 부분들이 많았습니다. 어떠한 부분에서는 무엇을 의미하는지 이해하기 어려운 부분도 있고, 영어 고유명사를 영어식 표현을 그대로 한국어로 옮겨 읽기에 부자연스러운 부분도 있었습니다.

5월에 출간된 마크 러시노비치의 세번째 소설인 "Rogue Code"가 한국어로 번역 출간 될지는 알 수 없습니다만, 전문 IT 보안 엔지니어의 감수를 받아 본다면 원작의 풍미를 더 잘 살릴 수 있지 않을까 생각 됩니다.

IT 보안 엔지니어라면 여름 휴가 기간 동안 시원한 곳에서 이 소설을 한번 읽어보는 것도 좋을 것 같습니다. 물론 IT 전문가가 아닌 일반인 분들도 읽어 보셔도 좋습니다.

2011년 10월 "클라우드 서비스를 이용한 APT 대응" 발표 자료

새로운 직장에 자리를 잡다보니 적응을 하느라 한 동안 블로그 활동이 예전보다 뜸해 진 것 같습니다. 아무래도 새로운 환경과 사람들 그리고 업무들에 적응을 해나고, 집도 이사를 하다 보니, 환경이 많이 바뀌어서 쉽게 시간을 내기가 어려웠던 것 같습니다.

오늘 공개하는 자료는 2011년 10월 국방정보기술 심포지움에서 발표했던 "클라우드 서비스를 이용한 APT 대응"라는 자료 입니다.

개인적으로는 악성코드 분석과 연구 관련 보안 업무들을 하면서 발표하였던 여러 세미나 자리에서 가장 실망한 장소였습니다.

해당 세미나 자리는 국방 관련 정보 기술을 공유하는 자리다 보니, 대학 교수님들이 의외로 많이 참석 하셨던군요. 제 발표가 있고 난 이후에는 특히나 많은 질문들이 있었는데, 모두 교수님들이었고, 굉장히 공격적이고 발표자를 앞에 두고 하는 질문치고는 너무나도 무례한 행동들을 보여주셔서 불쾌했었습니다.

지금도 기억 납니다만, 모 여대 교수님은 발표가 끝나고 나가는 자리에서까지 따라와서 표정에서부터 불쾌하고, 아는게 뭐가 있냐라는 삐딱한 자세로 빈정거리시는 모습이 기억납니다. 그래서 회사 복귀 후에 따로 인터넷에서 무엇을 하시는 분인지 검색을 했었던 기억이 나네요.

아무튼, 그런 안좋은 경험을 하고 난 뒤인지 개인적으로 교수님들에 대한 않좋은 이미지가 생겼는지 모르겠습니다. 물론 모든 교수님들이 다 그렇다는 것은 절대 아니구요

국방정보기술 심포지움에서 발표한 자료는 기존의 APT 공격들의 특징과 안랩에서 클라우드 서비스를 이용해서 어떻게 대응을 하고 있는지 소개로 마무리 한 자료 입니다.

앞으로는 조금 더 짬을 내서 침해사고 대응과 악성코드 분석 관련 기술들에 소개하는 글들을 블로그에 자주 게시하도록 해야 겠습니다.