네트워크 보안 시스템 구축과 보안 관제, 오탈자 안내

네트워크 보안 시스템 구추고가 보안 관제’ 종이책에 존재하는 오탈자 신고된 내용 알려드립니다.

오타외 내용에 대한 의견은 적색으로 표시하였습니다. 책을 보실 때 참고하시기 바랍니다.

최신 오탈자 등록은 http://www.hanbit.co.kr/store/books/look.php?p_code=B3889564106 에서 해주시기 바랍니다.

 

■ 2016-10-05 / 167 페이지 / 유형진님 신고

• 유형 : 오자/탈자, 띄어쓰기 오류

• 위치 : 2번째 박스 “OSSEC Server 모드 설치”

주석 처리 부분에서 설치 유형 설명 시 Local과 Hybrid 사이에 콤마가 빠짐

수정) // OSSEC 설치 유형 선택(Server, Agent, Local Hybrid)

 

■ 2016-10-05 / 158 페이지 / 유형진님 신고

• 유형 : 오자/탈자, 띄어쓰기 오류

• 위치 : 2번째 박스 “Snorby와 MySQL DB 연동 설정”

snroby  => snorby

틀린문장 : cd /var/www/html/snroby

 

■ 2016-10-03 / 105 페이지 / 유형진님 신고

• 유형 : 오자/탈자, 띄어쓰기 오류

• 위치 : 2) 외부의 해킹 공격 시도 차단

IP 주소 표기 시 점(.)이 빠짐

수정 ) 2) 외부(126.74235.82) => 외부(126.74.235.82)

 

■ 2016-10-03 / 44 페이지 / 유형진님 신고

• 유형 : 오자/탈자, 띄어쓰기 오류

• 위치 : ARP

ARP를 소개하는 문단에서 ARP에 대한 Full Name을 작성시 오타 발견

수정) Adress => Address

 

■ 2016-09-24 / 157 페이지 / 조일하님 신고

• 유형 : 오자/탈자, 띄어쓰기 오류

• 위치 : “wkhtmltopdf 설치” 부분

wget 명령어가 두번 들어감

수정 ) wkhtmltopdf 설치 수정

# wget wget http://download.gna.org/wkhtmltopdf/0.12/0.12.2.1/wkhtmltox-0.12.2.1_linux-centos6-amd64.rpm

-> # wget http://download.gna.org/wkhtmltopdf/0.12/0.12.2.1/wkhtmltox-0.12.2.1_linux-centos6-amd64.rpm

 

■ 2016-09-24 / 126 페이지 / 조일하님 신고

• 유형 : 내용 오류/확인 요청

• 위치 : “Repo 추가” 부분

epel 리포지터리를 추가하기 위해 wget 으로 epel-release-6-8.noarch.rpm 파일을 다운로드 받아서 설치하지만..

실제 centos6에서는 yum install epel-release 라는 명령어를 이용해서 설치 가능

다운로드 경로가 추후에라도 변경될 가능성이 있기 때문에(매우 낮을수도 있지만… )

yum 명령어를 이용해서 설치하는 것이 권장되는 내용

답변) 2쇄 인쇄시 내용에 추가 하도록 하겠습니다.

 

■ 2016-09-24 / 126 페이지 / 조일하님 신고

• 유형 : 오자/탈자, 띄어쓰기 오류

• 위치 : “Repo 추가” 부분

주소 앞에 역슬레시가 들어감

http://  를 http:// 로 수정 필요

물론 틀린 부분은 아니지만 서적의 내용은 한줄로 끝나기 때문에 굳이 역슬레시가 추가될 필요가 없음

수정 ) Repo 추가 수정

# rpm –Uvh http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm

-> # rpm –Uvh http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm

 

■ 2016-09-18 / 54 페이지 / 박재유님 신고

• 유형 : 내용 오류/확인 요청

• 위치 : 3문단 4줄

“보고 및 대응 단계에서는 공격에 대해 콘솔뿐만 아니라 E-mail, SMS, SNMP 등을 통해 공격 탐지를 알리고

보안 담당자가 해당 공격을 확인한 후 차단할 수 있다.”

여기에서 SNMP 라는 프로토콜을 명시하였습니다.

이는 일명 ‘간이 망 관리 프로토콜(Simple Network Management Protocol)’입니다.

망관리 프로토콜로 공격 탐지를 알린다? 에 대해 곰곰이 생각해보았습니다.

아주 틀린 의미는 아니지만 무엇인가 약간 어색합니다.

전후 문맥상 관리자(사람)에게 알려줄 수 있는 수단으로써 Email이나 문자메시지(SMS) 가 언급되고 있습니다.

그런데 SNMP 는 네트워크 장비들 사이에서의 통신에 사용되는 프로토콜입니다.

혹시, SMTP(간이 전자 우편 전송 프로토콜, Simple Mail Transfer Protocol) 을 의도하신 것은 아닐까요?

SMTP는 이메일 전송에 사용되는 프로토콜로써 서버 관리자(사람)에게 메일을 보낼 수 있도록 지원합니다.

두 프로토콜의 철자가 비슷하다보니 발생한 오류가 아닌지 저자분께 확인이 필요할 것 같습니다.

답변) E-Mail 과 중복(SMTP) -> SNMP 삭제

 

■ 2016-09-16 / 163 페이지 / 박재유님 신고

• 유형 : 오자/탈자, 띄어쓰기 오류

• 위치 : chapter 6 단원명 전체

chapter 6 단원명 : 호스트 기반 침입 탐치/차단 시스템

호스트 기반 침입 탐지/차단 시스템

책 맨 앞의 목차 부분, 6단원(163page)의 타이틀, 페이지별 하단부에 표기된 명칭이 모두’탐치’로 오타

수정) ch6 호스트 기반 침입 탐치 -> 호스트 기반 침입 탐지

 

■ 2016-09-16 / 110 페이지 / 박재유님 신고

• 유형 : 오자/탈자, 띄어쓰기 오류

• 위치 : 사용자 인증설정

사용자 인증방식은 None, Local Directory, RADUIS, Active Directory 중에 ~

사용자 인증방식은 None, Local Directory, RADIUS, Active Directory 중에 ~

수정) 110p 사용자 인증 설정 1번째 줄 RADUIS -> RADIUS

 

■ 2016-09-16 / 68 페이지 / 박재유님 신고

• 유형 : 내용 오류/확인 요청

• 위치 : 3.2.1. GNS3 설치

GNS3를 설치하면 ~ 윈도우, 리눅스, iOS 환경을 지원한다.

여기에서 iOS라는 명칭이 오류인 것 같습니다. 우선 흔히 iOS라는 표기는 Apple사의 모바일 운영체제를 뜻합니다.

또한 책의 몇 페이지 뒤에서 등장하는 IOS(대문자 I사용)라는 용어도 있는데,

이는 Cisco IOS(Internetwork Operating System)의 의미로써 첫글자를 대문자로 표기해야 합니다.

따라서 두가지 의미로 해석이 가능합니다.

1)  앞뒤 문맥상 “윈도우, 리눅스, Mac OS X”환경을 지원한다.

* 실제로 GNS3의 홈페이지에서도 권장운영체제 항목에 “윈7, 데비안 우분투, Mac OS X Mavericks 이상” 으로 언급한 것으로

보아 애플사의 PC환경 운영체제를 의미한 것으로 강력히 추정되며, 이때에는 모바일 운영체제인 iOS 와는 엄연히 다르므로

Mac OS X 라고 써야 정확함.

2) 만약 Cisco IOS 를 의미한 것일수도 있으나, 이렇게 될 경우 앞뒤문맥상 성립하지 않게됨.(GNS3을 설치한 후에야 Cisco IOS를

사용할 수 있으므로) 그리고 만약 Cisco IOS를 의도한 것이라면, 소문자(iOS) 표기법이 아닌 대문자(IOS)로 표기해야 함.

수정) 68p 3.2.1 GNS3 설치 2문단

윈도우, 리눅스, iOS 환경을 지원한다. -> 윈도우, 리눅스, Mac OS X 환경을 지원한다.

 

■ 2016-09-16 / 55 페이지 / 박재유님 신고

• 유형 : 내용 오류/확인 요청

• 위치 : 2문단

1) 통신프로토콜에 대한 언급 중
“첫째, L2PT 또는 L2TP로 불리는 프로토콜 ~한다.”

여기에서 L2PT와 L2TP 는 동일한 표현에 대한 서로 다른 이름을 알려주는 것인지,

혹은 일반적으로 알려져 있는 또하나의 터널링 프로토콜로써 시스코(Cisco Systems)의 L2F(Layer 2 Forwarding Protocol)을 의도한게 아닌지 궁금합니다. 일반적으로 실무에서 터널링 3대 프로토콜로 알려져 있는 것은 (PPTP, L2F, L2TP)로 부릅니다.
즉, “L2F 또는 L2TP” 가 되어야하지 않을까요? 아니면 L2TP(위키 백과 기준)의 혼용 표기법으로 L2PT를 병행표기한 것일 뿐인가요?
2) 그리고 PPTP 에 대한 설명에서 “MS가 주도해서 만든 기술이지만 대부분 운영체제(ios, 안드로이드 등과 같은 다양한 플랫폼)에서도 작동한다.”고 명시하고 있는데, 이 부분이 오해의 소지가 있습니다. PPTP의 사용자는 PPTP 지원 소프트웨어만 있으면 되기 때문에 플랫폼의 제약을 받지 않는것은 맞습니다만, PPTP의 서비스 제공자는 ‘반드시’ MS사의 윈도우 NT 계열 서버를 사용해야만 합니다. 본 챕터에서는 네트워크 보안 시스템 구축을 위한 내용을 다루고 있으므로, 사용자 입장에서만 해석하는 것은 문제가 될 수 있습니다.

답변) 1)에 대한 질문에 대해서는 병행 표기를 하였습니다. 2)에 대한 질문은 PPTP 서비스 제공자는 ‘반드시’ MS 사 윈도우를 사용한다는 의미가 무엇인지 모르겠으나 MS 사의 윈도우 NT 계열 서버만 사용뿐만 아니라 Linux 서버를 통해서도 구축이 가능합니다.

 

■ 2016-09-15 / 43 페이지 / 박재유님 신고

• 유형 : 오자/탈자, 띄어쓰기 오류

• 위치 : 표 2-8 사설 IP 범위

A 클래스 사용가능한 사설 IP 범위

기존 : 10.255.255.255.255

변경 : 10.255.255.255

IP 주소는 .으로 구분한 4개의 숫자임. 오타로 추정됨.

수정) 43p 표 2-8 , 10.0.0.0 ~ 10.255.255.255.255-> 10.0.0.0 ~ 10.255.255.255

 

■ 2016-09-15 / 43 페이지 / 박재유님 신고

• 유형 : 내용 오류/확인 요청

• 위치 : 표2-7 특정 용도 IP 주소 (RFC 5735)

본문에서 RFC 5735 를 참고한 표를 기재하였는데, 실제 RFC 문서를 보면 내용이 다른 부분이 존재합니다. 확인이 필요할듯합니다.

예를들어 RFC5735에서는 사설 네트워크를 10.0.0.0/8로 표기하였는데, 책에서는 10.12.0.0/8이라고 되어있습니다.

더 자세한 출처는 RFC 5735 : https://tools.ietf.org/html/rfc5735 에서 4. Summary Table을 참고해야 하며, 이는 다시 RFC 1918을 참고하였다고 명시되어 있습니다. 따라서 RFC 1918의 3. Private Address Space를 보면 10.0.0.0/8이 맞는듯합니다.

혹시 모르니 다른 항목도 확인 부탁드립니다.

답변) 오타 -> 10.0.0.0/8 이 맞습니다.

 

■ 2016-09-15 / 29 페이지 / 박재유님 신고

• 유형 : 오자/탈자, 띄어쓰기 오류

• 위치 : 1.6.3절의 5줄

인터넷침해대응센터(KR-CERT) 인터넷침해대응센터(KrCERT) 또는 해당 사이트의 공식 표기법을 따름.

*참고 : https://www.krcert.or.kr/main.do

수정) 26p 1.6.3 사이버 침해사고 대응 프로세스 2문단 3번째 줄

인터넷침해대응센터(KR-CERT) -> 인터넷침해대응센터(KrCERT)

 

■ 2016-09-15 / 25 페이지 / 박재유님 신고

• 유형 : 오자/탈자, 띄어쓰기 오류

• 위치 : 표 1-5 사이버 위협 경보의 단계

“정상”과 “관심” 단계에서는 영어의 독음으로 ‘그린’ ‘블루’로 표기하였으나 이하 다른 곳에서는 ‘노랑’ ‘주황’ ‘빨강’ 등

한글로 표기하여 용어 통일성이 저해됨.

* 국가정보원의 국가사이버안전관리규정 제 11조에서는 별도로 색깔에 대한 용어를 정의하지 않았으며

단순히 ‘정상’ ‘관심’ 등의 5단계로만 표기하였음.

답변) 28p 표 1-5, 색표현은 빼고 정상 → 관심 → 주의 → 경계 → 심각 5단계로만 표기

 

■ 2016-09-15 / 5 페이지 / 박재유님 신고

• 유형 : 내용 오류/확인 요청

• 위치 : 대상 독자 및 참고사항

대상 독자 및 참고사항에 기재된 웹 해킹 실습 예제 다운로드 주소

http://maxoverpro.org/pds/webhack.zip

해당 주소가 유실됨. 작가 확인 필요.

답변) 서버 이전으로 작업 중 누락. 현재는 정상적으로 업로드된 상태임.

 

■ 2016-09-15 / 5 페이지 / 조일하님 신고

• 유형 : 오자/탈자, 띄어쓰기 오류

• 위치 : 그림 2-20

그림 2-20 방화벽 설명중 “접급” 을 “접근” 으로 수정 필요

수정) 접급 제어 목록 -> 접근 제어 목록

 

■ 2016-09-13 / 40 페이지 / 조일하님 신고

• 유형 : 오자/탈자, 띄어쓰기 오류

• 위치 : 표2-5

표2-5 내용중 listen 상태 설명의 “통시” 를 “통신”  으로 수정 필요

수정) 통시 요청을 -> 통신 요청을

[악성코드] 악성코드의 역사와 진화

본 글에서는 어떻게 악성코드가 발전해 왔는지 악성코드의 탄생 배경과 시대별 악성코드의 특징을 다룬다.

▶ 용어의 탄생, 바이러스? 악성코드? 용어는 어떻게 탄생되었나?

바이러스라는 용어는 생물학적인 바이러스처럼 자기복제와 증식을 기계에서도 발생할 수 있다는 개념에서 출발하여 실제 컴퓨터에서도 자기복제와 증식을 갖추고 있는 프로그램을 바이러스(Virus)라고 부르게 되었고, 불과 몇 년 전까지만 하더라도 악성코드라는 용어보다 더 널리 사용되었다. 하지만 지금은 바이러스라는 용어만으로는 표현에 제한되는 부분이 많아 보다 상세하게 나누고 그 개념을 포괄적으로 표현할 수 있는 개념이 필요하게 되었다. 그로 인해 만들어지는 용어로 Malicious(악의적인)+Code 즉, 악의적인 코드를 포함한 소프트웨어라는 의미로 짧게 줄여 Malware ( Malicious+Software ) 란 용어가 탄생하게 되었다.

▶ 1940~1960년대, 컴퓨터 바이러스(Computer Virus)의 개념 적립

1946년 미국의 에커트(J.P.Eckert)와 머큘리(J.W.Mauchly)가 제작한 최초의 전자식 진공관 컴퓨터인 ENIAC 나온 이후 1949년 폰 노이만이 “Theory and Organization of Complicated Automata” 라는 논문을 통해 컴퓨터에서도 생물학적 바이러스처럼 자신을 복제하고 증식할 수 있다는 이론을 발표하였다.
그 후, 1966년 Robert Morris Sr. 과 친구들이 함께 새로운 게임 환경을 만들기 위해 Darwin 불리는 게임을 만들었고, 그 이후에는 Core War 라는 게임으로 불려졌다. 이 게임은 스스로 자기 변형을 해서 상대 프로그램을 파괴으로 바이러스 개념을 선보인 게임이었고 지금까지도 Corewar 웹 사이트( http://corewar.co.uk/ )를 통해 즐길 수 있다. 참고로, Rober Morrise Sr. 은 최초의 I-Worm을 만든 Robert Tappan Morris 의 아버지이다.

▶ 1970년대, 첫 번째 바이러스와 Anti-Virus 의 탄생

1971년, Creeper 라는 바이러스가 DEC 회사의 TENEX 시스템에서 처음 발견이 되어 Creeper가 세계최초로 발견된 바이러스로 알려지게 되었으며, Creeper 를 제거하기 위한 프로그램인 The Reaper 프로그램은 세계 최초의 Anti-Virus가 되었다. 그 후, 1970년대 초반 Univax 1108 시스템에 The Rabbit 이란 프로그램이 등장했으며, 이 프로그램은 처음 기억 장소에서 복사되는 형태로 Worm 이란 개념을 성립하게 되었다. 이에 1975년 UNIVAC 환경에서 작동하는 ANIMAL 이라는 게임이 등장하였고, ANIMAL 을 배포하기 위해 Pervade 라는 것이 만들어졌다.

▶ 1980년대, 바이러스 기술 진화의 시대

1982년, Apple의 8Bit 컴퓨터인 Apple-II 에서 당시 학생 이었던 Rich Skrenta 만든 Elk Cloner 란 Boot Virus 가 처음 발견 되었으며, 개인용 컴퓨터에서는 최초의 바이러스 이자 디스켓의 Boot 영역을 감염시키는 첫 바이러스 이었다.

986년, 최초의 IBM PC에서의 MS-DOS 바이러스로 Brain Virus 가 파키스탄에서 제작되었다. Brain Virus 는 컴퓨터 가게를 하고 있던 Basit Alvi, Amjad Alvi 형제가 자신들이 만든 소프트웨어가 불법복제되어 유통되면서 불법 소프트웨어 사용자들에게 복수하기 위해 바이러스를 제작하여 디스켓을 통해 전파되었다. 한국에는 1988년에 한국에서 처음 발생되었고, 이 바이러스를 치료하기 위해 국내에서는 당시 의대생이시던 안철수 박사님께서 자신의 컴퓨터가 브레인 바이러스에 감염되어 있는 것을 확인하고, Vaccine 이라는 것을 만들었다. 이 당시 안철수 박사님께서 만드신 Vaccine 이라는 것은 IBM PC에서의 첫 백신이 되었다.

1987년, 13일의 금요일에 맞춰 실행되는 바이러스가 이스라엘 예루살렘 헤브루 대학에서 처음 발견되었고, 예루살렘 바이러스라고 명명되었다. 한국에는 1989년에 처음 발견되었고, 감염시 COM, EXE 의 확장자를 가진 파일의 크기를 커지고, 시스템 속도 등도 저하하는 증상이 있었고, 13일의 금요일날 실행 파일을 파괴시키고 지워버리는 것이 특징이다. 예루살렘 바이러스란 이름 말고도 13일의 금요일 바이러스라고도 불리는 바이러스였다. 1988년, 12월 Robert Tappan Morris 가 인터넷에 연결되어 전파되어 번지는 첫 Worm을 제작했다. 이 시기에 첫 Buffer Overflow 취약점을 이용하는 첫 번째 Exploit 가 만들어지기도 했다. 1989년, Brain 및 Jerusalem 바이러스가 나타나면서 바이러스 제작에 대한 정보가 공유되면서 파키스탄, 이스라엘, 불가리아(동유럽), 미국 등을 중심으로 바이러스의 수적 증가와 기술적 향상이 본격적으로 시작되었다. 한국에서도 LBC 바이러스가 제작되어 한 동안 많은 사용자들의 디스크 데이터를 파괴시키는 등 많은 피해가 발생되었다. 또한 10월에는 Ghostball 이라는 부트 바이러스와 파일 바이러스가 결합된 형태의 바이러스가 출현하였다.

▶ 1990~1995년, 은폐형 악성코드 전성시대

초창기 바이러스는 분석하기 쉬운 형태였지만, 점점 분석을 어렵게 만들기 위해 바이러스 코드를 암호화 시키는 바이러스(Cascade, Slow), 자신을 감추기 위한 은폐형 바이러스(Brain, Joshi, 512) 가 나타났다. 이후 1990년에 들어 다형성(Polymorphic) 바이러스(Whale)들이 나타나면서 Anti-Virus에서 시그너쳐만 가지고는 진단을 할 수 없게 하는 바이러스가 나타났다. 하지만 바이러스 코드를 시뮬레이션 하는 진단해 낼 수 있다. 이러한, 바이러스의 기술 발전은 바이러스 제작 그룹에서 바이러스 제작 도구를 배포하기도 하고 정보 공유를 통해 바이러스의 기술적 발전을 이룰 수 있게 되었다.

1990~1995년간에 주요 바이러스는 1992년 미켈란젤로 바이러스이다. 미켈란젤로 바이러스는 1991년 스웨덴에서 처음 발견 되었으며, 3월 6일 하드 디스크를 파괴하는 바이러스로 언론에 많이 알려지게 되면서 유명해진 바이러스였다.

▶ 1995~2000년, 악성코드 환경 변화 적응 시대

1995년, MS-DOS 환경(CUI)에서 윈도우 환경(GUI)으로 넘어가면서, 악성코드는 작동 환경변화를 준비하기 시작했다. 1996년 1월에 오스트레일리아 바이러스 제작 그룹인 VLAD(Virus Laboratory And Distribution)에서 첫 윈도우 바이러스인 Boza 라는 바이러스를 공개 했었지만 제대로 작동되지 않는 문제가 발생되었고, 윈도우 환경에서 제대로 작동 되는 악성코드를 만들기 위해 많은 노력을 했다. 이후 1998년도부터 제대로 된 윈도우 바이러스가 제작되어 퍼지게 된다. 이 외에 OS/2 환경에서 작동되는 악성코드인 AEP 라는 바이러스가 발생되었다. 또한 오피스 소프트웨어의 취약점을 이용한 첫 매크로 바이러스(Laroux)가 처음 발견되었다. 1998년, 백오리피스의 등장은 Backdoor 개념 만들어 냈다. 백오리피스는 원격 제어 프로그램으로 트로이목마형의 분류에 포함이 되지만 외부에서 접근 가능하게 포트를 열어 놓는 행위를 보고 이러한 악성코드를 Backdoor 라고 부르기 시작했고, 이 시기에 백오리피스와 유사한 프로그램들이 유행처럼 많이 만들어지고 전파되었다. 또한 악성코드를 효과적으로 전파하기 위해 E-mail을 통해 전파하는 악성코드(Happy, I love you)가 나타나기 시작했고,이 시기에는 다양한 환경에서 악성코드가 작동 될 수 있는지 환경 변화에도 악성코드가 살아남을 수 있는지에 대한 연구가 진행 되었다고 할 수 있다.

▶ 2001~2005년, Worm 의 전성시대

2001년, MS IIS 취약점을 통해 전파되는 CodeRed Worm가 처음 발생되었다. 특이한 점은 웜 전파가 파일 형태로 전파가 되지 않는 특징이 있다. 9월에는 다양한 기능이 포함된 Nimda 바이러스가 발생되었다. Nimda 바이러스는 E-mail, 네트워크 공유, MS IIS 취약점을 이용해 전파되었다. 또 CodeRed 와 비슷하지만 웜이 파일 형태로 존재하고 다른 취약점(Web Directory Traversal)을 이용해 전파되었다. 2003년, 1월 24일 Slammer Worm 이 발생되었다. Slammer Worm은 Microsoft SQL Server 의 SQL Overflow 취약점을 이용한 것으로 전 세계적으로 인터넷 혼란을 가져왔고, 한국도 전국적으로 인터넷이 마비되는 1.25 대란이 일어났었다. 이어 취약점들을 이용한 Blaster Worm, Welchia Worm, Sobig Worm, Sober Worm 등이 MS-윈도우 환경의 시스템들 사이에서 급격히 퍼져나갔다. 2004년, 1월 마지막 주에 MyDoom이 발생되어 E-mail로 급격히 퍼져 나가기 시작했다. 3월에는 Sasser worm이 LSASS 취약점을 이용해 전파되었으며, 12월에는 Santy 라는 첫 번 째 Web Worm 이 등장했다. Santy는 구글에서 phpBB를 이용하는 게시판들을 찾아 감염시키는 Worm 이었다. 2005년, 인터넷 ActiveX 환경에서 비디오 코덱 등을 설치해야만 어떤 내용을 볼 수 있다는 Trojan 악성코드인 Zlob 가 처음으로 발생되었고, 원격 제어를 위한 Backdoor 악성코드들이 제작이 늘어갔고, 프로세스 하이젝킹, 방화벽 무력화, 인터넷 접속 정보등을 수집하는 등의 다양한 기능들을 포함한 악성코드들이 제작되기 시작했다.

▶ 2006~2007년, 금전적 이익을 위한 목적 변화의 영향

2006년, OSX/Leap-A , OSX/Oompa-A 라는 Trojan 이 Mac OS X에서 처음 발견되었다. 이 악성코드는 시스템에 큰 위협은 주지 못하였지만, Mac OS X도 악성코드가 존재한다라는 의미를 담고 있는 악성코드라고 할 수 있었다. 2007년, 1월 Storm Worm이 발견되었고, Storm Worm은 빠르게 E-mail을 통해 전파되었고, 수 백만대가 감염되어 Storm Botnet을 구성하였다. 2008년, Sinowal, Mebroot라는 Rootkit 형태의 악성코드가 나타났다. 이 악성코드에 감염되면, 다른 컴퓨터에서 접근 가능하도록 만들며, Anti-Virus 소프트웨어를 무력화 시키고, 데이터 변경, 사용자 정보를 탈취, 다른 악성코드를 실행시키는 등의 무서운 시스템이다. 11월에는 Conficker Worm이 발생되어 전 세계의 수백만대 시스템을 감염 시켰고, 지금도 계속 활동 중에 있다. 2009년, 최근에는 소셜 네트워크가 인기를 끌면서 소셜 네트워크를 서비스하는 Facebook, Myspace를 대상으로한 Koobface라는 웜이 전파되어지고 있다. 각 년도별 특징 외에도 2006년 이후 자동화 악성코드 제작 도구들과 팩커들이 급격히 발달되고 제작되어 지면서 악성코드의 수가 급속히 증가하기 시작했다. 이유는 악성코드를 통해 정보를 탈취하고 금전적 이익을 얻을 수 있기 때문이었다. 또한 이러한 악성코드나 BotNet을 거래하는 암흑 거래 시장 사이트들이 생겨났기 때문이기도 하다.

▶ 2010 ~ 년, 발빠른 환경 변화와 정밀화 되어진 악성코드의 시대
(SNS 을 이용한 악성코드, APT 발생, 모바일 환경에서 악성코드의 활동 증가)

2010년들어 Facebook 나 Twitter등과 같은 SNS을 활용한 악성코드 확산법이 유행중이며, 또한 APT(Advanced Persistent Threats) 형태로 특정한 타겟(국가, 기업, 개인)을 대상으로 한 공격들이 지속적으로 발생되고 있다. 더불어, 스마트폰 보급이 확산되면서 스마트폰등에서 활동하는 악성코드 또한 빠르게 증가 중에 있다.

분야별 정보보안전문가의 직업

정보보안전문가들을 꿈꾸는 분들을 만나보면 막연하게 “저는 정보보안 전문가가 되고 싶습니다.”라고 말하는 분들이 있다. 하지만 구체적으로 뭘 하고 싶은가에 대해서 물으면 제대로 답을 못하는 분들이 많다. 그 이유는 내가 무엇을 잘 할 수 있고 잘 하고 있는지를 잘 모르는 자기 자신에 대한 고찰이 부족한 부분도 있고 목표를 정해서 해보려해도 무엇을 어떻게 준비해야 하는지 몰라서 방황하고 좌절하는 이들에게 주요 정보보호 분야에서 정보보호전문가들이 활동하는 다양한 전문 분야가 무엇이 있는지 이 글을 통해 도움을 주고자 한다.

 

정보보안 연구&개발 분야

 

취약점 연구원
(Vulnerability researcher)
어떤 소프트웨어들을 분석하여 취약점을 찾아내고 이를 증명할 수 있는 POC(Proof of Concept) Code 를 개발하는 역할을 한다.

 

보안 분석가
(Security analyst)
기업의 특정 자산이나 제품 등에서 발생 할 수 있는 다양한 보안 위협을 연구하고 분석하여 제품 개발자에게 알려 보안 위협에 대응할 수 있도록 하는 역할을 하게 된다. 이에 필요한 능력은 최신 해킹 기술에 대한 이해와 다양한 방법으로 취약점을 찾아내는 능력 그리고 제품 개발자들과 의사 소통을 잘 할 수 있는 유연한 커뮤니케이션 능력이 요구된다.

 

보안 소프트웨어 개발자
(Security savvy software developer)
보안을 잘 이해하고 보안 프로그램을 안전하게 논리적으로 설계하고 개발을 하는 역할을 한다. 이에 필요한 능력은 Secure Code 작성 기술, 취약점에 대한 이해와 소프트웨어 설계 능력이 필요하다.

 

악성코드 분석가
(Malware Analyst)
악성코드의 본질을 파악하고 상세하게 분석하는 업무를 수행한다. 이에 필요한 능력은 바이너리를 분석할 수 있는 리버스 엔지니어링이 필요하고 이를 통해 악성코드의 특징, 전파 방법등을 분석하여 체계화 시키고 문서화 시킬 수 있는 능력이 요구된다.

 

소프트웨어 모의 해킹 전문가
(Application penetration tester)
회사에서 개발된 소프트웨어의 취약점을 분석하는 역할을 한다. 주로 보안을 고려한 프로그램 코드들을 적용했는지 네트워크 통신에서 암호화 기능을 쓰고 있는지 바이너리에는 문제가 없는지 다양하게 소프트웨어를 분석하고 보고서를 작성한다.

 

정보보안 관리 분야

웹&시스템&네트워크 모의해킹 전문가
(System, network and/or Web penetration tester)
내부나 외부에서 시스템 및 네트워크에 접근해서 제대로 시스템이나 네트워크가 보안이 잘 되어 있는지 지속적으로 새로운 방법들을 적용하여 시스템이나 네트워크의 취약점들을 찾아내고 이를 증명하는 것을 수행한다. 이에 필요한 능력으로는 웹 해킹, 네트워크 해킹, 무선 네트워크 모의 해킹등을 할 수 있는 능력이 요구 된다.

 

침해 사고 대응 전문가
(Incident response, incident handler)
시스템이나 네트워크에서 침해 사고가 발생 했을 경우 이를 대응하는 업무를 수행한다. 이에 필요한 능력은 다양한 해킹 공격 기술에 대한 이해를 바탕으로 침해사고 당한 네트워크 및 시스템들을 분석하고 적합한 보안 조취를 할 수 있는 능력이 요구된다.

 

보안 설계 전문가
(Security architect)
기업/기관 등의 다양한 환경들과 요구사항을 반영하면서 보안 위협을 최소화 시킬 수 있는 효율적인 방법들을 고민하고 적합한 보안 모델들을 찾아내어 반영하는 역할을 한다. 이에 필요한 능력은 다양한 시스템, 네트워크, 보안 장비들에 대한 깊은 이해가 필요하다.

 

네트워크 보안 전문가
(Network security engineer)
네트워크 보안을 설계하고 구현하고 운영을 하는 일을 수행한다. 주로 Firewall, IDS, IPS, VPN 등 다양한 보안 장비들을 관리/운영한다. 이를 하기 위한 능력은 다양한 네트워크 장비, 네트워크 보안 장비들에 대한 깊은 이해가 필요하다.

 

최고 보안 책임자
(CISO/ISO or director of security)
비즈니스에 대한 감각과 의사소통 능력을 갖추고 프로세스를 갖고 기업내의 필요한 보안 기술, 법, 보안 정책 등을 책임지는 역할을 한다.

 

보안관제전문가
(Security operations center analyst)
다양한 곳에서 들어오는 트래픽이나 보안 위협들을 확인하고 대응하는 역할을 한다.

 

보안 교육 전문가
(Security evangelist)
기업/기관등의 구성원들에게 다양한 보안 위협과 기술, 동향을 소개하는 역할을 한다.

 

보안 평가&분석 전문가
(Security assessment analyst)
기업내 존재하는 다양한 보안 위협이 될 수 있는 취약점들을 찾아내어 평가하고 이를 해결할 수 있는 것들을 자문해주는 역할을 한다.

 

보안 감사 전문가
(Security auditor)
기업내 수립된 관리 정책 및 절차를 잘 지키고 있는지를 분석하고 조직내 위험이 있는지를 확인하여 보안상 문제가 되는 부분들을 확인하여 조치하고 개선해 나가는 일을 담당한다.

 

정보보안 법적 분야

사이버 범죄 수사관
(Information security crime investigator/forensics expert)
시스템이나 네트워크가 어떤 공격자에 의해서 침해 사고가 당한 경우 공격자가 어떻게 침투를 했는지 큰 틀을 갖고 그 기록을들 찾아 과학적으로 분석하고 수사를 한다. 이에 필요한 능력으로는 네트워크&시스템 등의 포렌직 능력, 악성코드 같은 바이너리를 분석할 수 있는 리버스 엔지니어링, 컴퓨터 관련 법률들에 대해서 잘 알고 있어야 한다.

 

포렌직 분석가 (Forensics analyst)
침해사고가 발생한 시스템에서 법적 효력을 발휘 할 수 있는 다양한 데이터들을 과학적으로 수집하고 분석하는 일을 담당한다. 이에 필요한 능력은 시스템 및 네트워크를 조사할 수 있는 능력, 컴퓨터 관련 법률, 바이너리를 분석할 수 있는 리버스 엔지니어링 능력을 갖추어야 한다.

 

정보보안을 전공으로 한 검사 및 변호사
(Prosecutor or lawyer specializing in information security crime)
정보보안을 전공으로 한 검사 및 변호사로 컴퓨터 범죄에 대한 조사와 법 집행을 담당, 변호하는 역할을 한다.

 

기타 궁금한 점

정보보안 학원을 다녀야 하나?

국내 정보보안 관련해서 검색해보면 여러 정보보안 학원들이 검색 결과로 나오고 대부분 정보보호 자격증 취득을 해야 한다라고 마케팅하고 있다. 하지만 실상 제대된 커리큘럼과 강사진을 갖추고 양질의 교육을 하고 있는 것이 아니라 단기간내에 자격증에 촛점을 두고 맛보기식으로 가르치기만 하고 스스로 문제를 해결해 나가야만 하는 보안 분야에서는 오히려 독이 될 수 있으므로 어느 정도 기초를 쌓았다면 오히려 독학으로 깊이 있게 해당 분야 커뮤니티의 분들을 찾아 배워나가는 것이 자기의 지식이 되며 학습 속도도 더 빠르게 진행 할 수 있다.

 

취직을 위해 정보보안 자격증은 필수 인가?

정보보안 업체에서 근무하는 직원들을 보면 정보보호 자격증을 모두 소유하고 있는 것은 아니다. 단지 체계적으로 한번 전반적으로 공부한다 생각하고 해외 자격증(CISA, CISSP,…), 국내(정보보안기사) 정도의 정보보안 자격증을 공부하고 자격증 취득을 하겠다라는 목표가 있다면 권장한다.

네트워크 보안 시스템 구축과 보안 관제 출간

2권으로 나뉘어서 출간되었던 네트워크 보안 시스템 구축과 보안 관제 책을

통합하고 내용을 증보하여 출간되었습니다.

 

 

책 소개

시스템 구축부터 보안 관제까지
제대로 배우는 네트워크 보안의 모든 것

전 세계적으로 사이버 공격이 점점 고도화되고 있는 상황에서 해킹 사건들은 끊임없이 발생하고 있다. 하지만 기업이나 공공기관에서는 전산 담당자가 정보 보안 업무를 겸직하거나 보안 전담 인력이 1~2명이 있더라도 제대로 된 보안 시스템을 구축하고 운영하기는 힘들기 때문에 끊임없이 사이버 침해사고/ 사건은 발생할 수밖에 없다.

『네트워크 보안 시스템 구축과 보안 관제』는 보안 시스템을 구축하고 보안 관제를 하려는 기업과 공공기관의 보안 담당자, 보안 시스템 구축과 보안 관제를 배우려는 학생을 대상으로 어떻게 보안 조직과 보안 관제 센터를 만들어야 할지 설명한다. 또한, 보안 관제 시스템 구축과 운용에 대한 기본적인 내용 등을 이해하고 실제 사이버 공격 유형에 따른 대응 방법을 익혀 실제 보안 관제 업무에 도움을 주는 것을 목표로 한다.

기존의 네트워크 보안이나 보안 관제 관련 도서들은 이론적인 측면에서 보안 관제를 다루고 있기 때문에 실무에 적용하기에는 부족한 부분이 많다. 이 책은 자체적으로 보안 시스템을 구축하는 방법, 트래픽 분석, 서버 쪽 공격 위협 모니터링뿐만 아니라 보안 사고에 효과적으로 대응할 수 있도록 공격 차단 방법 등을 포함하고 있어 실무에 바로 적용할 수 있다.

『네트워크 보안 시스템 구축과 보안 관제』는 한빛 리얼타임 『네트워크 보안 시스템 구축과 보안 관제 : 시스템 구축편』 『네트워크 보안 시스템 구축과 보안 관제 : 보안 관제편』을 통합하고 내용을 증보하였다.

 

차례

chapter 1 보안 관제 시작하기
1.1 보안 관제란
1.2 보안 관제 어떻게 하고 있나
1.3 보안 관제를 왜 해야 하는가
1.4 보안 조직 구성하기
1.5 보안 관제 센터 구축하기
1.6 보안 관제 실무
1.7 정리

chapter 2 네트워크 보안 시스템 구축과 보안 관제를 위한 배경 지식
2.1 네트워크 이론
2.2 네트워크 장비
2.3 네트워크 보안 시스템 구축
2.4 보안 시스템
2.5 정리

chapter 3 네트워크 보안 실습을 위한 환경 구축
3.1 가상 머신 환경 구축
3.2 네트워크 시뮬레이터를 이용한 네트워크 구축
3.3 정리

chapter 4 방화벽 구축
4.1 방화벽 장비 제작
4.2 방화벽 설치 및 설정
4.3 방화벽 운영
4.4 정리

chapter 5 네트워크 침입 탐지/차단 시스템
5.1 NIDS/IPS 장비 제작
5.2 NIDS/IPS 네트워크 구성
5.3 Suricata
5.4 정리

chapter 6 호스트 기반 침입 탐치/차단 시스템
6.1 HIDS/HIPS 설치 및 설정
6.2 OSSEC 에이전트 관리
6.3 HIDS/HIPS 보안 관제
6.4 정리

chapter 7 웹 방화벽
7.1 웹 방화벽 설치
7.2 웹 방화벽 정책 관리
7.3 정리

chapter 8 네트워크 접근 제어 시스템
8.1 네트워크 접근 제어 시스템의 필요성
8.2 네트워크 접근 제어 시스템 구축
8.3 PacketFence 운영
8.4 정리

chapter 9 보안 관제 시스템
9.1 보안 관제 구성
9.2 데이터 분석과 검색을 위한 Elasticsearch
9.3 로그 수집을 위한 Logstash
9.4 데이터 시각화를 위한 Kibana
9.5 정리

chapter 10 보안 취약점 점검을 위한 도구 활용법
10.1 netstat
10.2 tcpdump
10.3 WireShark
10.4 EtherApe
10.5 Bit-Ttwist
10.6 Nmap
10.7 OpenVAS
10.8 정리

chapter 11 실전 보안 관제
11.1 보안 관제 기본 운영
11.2 임계치 기반 공격 탐지와 대응
11.3 유해 및 악성 사이트 탐지와 대응
11.4 웹 해킹 탐지와 대응
11.5 공격 코드 탐지와 대응
11.6 서버 및 엔드포인트 공격 탐지와 대응
11.7 정리

chapter 12 보안 관제의 미래
12.1 보안 관제 트렌드의 변화
12.2 보안 관제 트렌드 변화에 따른 고려사항
12.3 보안 관제 인력의 전문성
12.4 보안 시스템 구축 시 체크 리스트
12.5 정리

 

YES24 보기

http://www.yes24.com/24/goods/30343483?scode=032&OzSrank=1

Profile

Name : Jang SangKeun ( 장상근 )
Nick : maxoverpro
E-mail : maxoverpro@gmail.com

Summary

In 1998, at the time of middle school ago, I took first step into security field in an online activity of a UNITEL.
and I joined a community of HackersLab at Chung-buk province as a start-up member.
At first I liked to attack but hacked by other hackers. so I realized the importance of defense against the attacks.
Since then, I entered into an university as a security specialist and researched IDS, malicious code in a security club activity.
I operated several security systems and large-scaled server in the Army as a CERT member, When I served in ZAYTUN Division at Iraq,
I made a special Anti-Virus for a malicious code which couldn’t be removed by existing Anti-Virus.
I won several prizes until finished my duty. When I returned to the University, I worked in a Anti-virus company as a malicious code analyst.
I has been a chairperson in a security club union of universities and made presentations in several security conference in Korea.

Experience

KBS(Korea Broadcasting System)
2013.08 ~ / Information Security Engineer

AhnLab, Inc.
2011.12 ~ 2013.07 / Assistant Research Engineer

– Vulnerability Analysis ( Mobile, Web, System, Netowork, … )
– Security Developer ( Automatic Exploit Prevention, Mobile Security )

HAURI, Inc.
2007.09 ~ 2011.09 / Assistant Research Engineer

– Malware Analyst
– Security Developer ( Automated Malware Analysis System )

Republic Of Korea Army,
2005.08 ~ 2007.08 / C.E.R.T(Computer Emergency Response Team)

– Server Management ( Linux, MS-Windows Server, Solaris )
– Security Management ( Incident rapid response, Monitoring Intrusion Etc. )
– FireWall/IDS/IPS Management
– Anti-Virus Management
– ZAYTUN Division at IRAQ ( Server Management & CERT )

Hackerslab ( Chungbuk )
2001.08 ~ 2003.10 / UNIX Team

– Unix Education

Skills & Expertise

– Reverse Engineering
– Malware Analysis
– Vulnerability Analysis
– Web Application Security
– Network Security
– Penetration Testing
– Server Management
– Management Of Technology

Education

2003.03 ~ 2009.02, Sejong University, Seoul, Korea
BS, Computer Science

Activities

2011 ~ , h4ru(Hackers Reunion) / Member
2008, KUCIS(Korea University Clubs Information Security) / Leader
2008, Sejong Security Guard(S.S.G) / Leader
2004, The Institute for Technological Innovation (ITI), Sejong University / Lab Member

Honors and Awards

– 2002, The 2nd National JeongIn college High School Students Hacking Contest / Special Prize
– 2002, Chungbuk Information Olympiad Content / The first prize
– 2002, Saysafe(Personal Firewall) Bug Report Content / Prize
– 2007, The 1St National Defense Hacking Contest / 2nd prize.
– 2007, The Army Chief of Staff , Defense Security Command Chief of Staff / Award certificate.
– 2007, The 1St Information Security Policy Contest / The 2nd place.
– 2008, The 8th International Cyberterror&Information Warfare Conference / Speaker
– 2008, PADCON CONFERENCE / Speaker.
– 2009, Hacking Defense&Conference / Speaker.
– 2010, CodeEngn ReverseEngineering Conference / Speaker.
– 2011, KAIST Cyber Security WorkShop / Speaker.
– 2011, SecuInside Conference 2011 / Speaker.
– 2012, SecuInside Conference 2012 / Speaker.
– 2013, SecuInside Conference 2013 / Speaker.

Paper

2010,정보처리 학회지 2010.03 제 17권 제2호, 64 Page
‘스마트폰 환경에서의 보안 위협’
2013,정보보호학회논문지 23(2) 14-20 1598-3978 KCI
‘모바일 악성코드의 전략과 사례 분석을 통한 모바일 악성코드 진단법’

Project

2003.03 ~ 2003.10, KISA 지원 대학동아리 연구과제
– Neural Network Searching Intrusion Detection System
2008.03 ~ 2008.10, KISA 지원 대학동아리 연구과제
– Anti-Virus Project