일상글
등록 전
최근 국내 보안 컨퍼런스를 다녀왔는데 5할 이상이 보안관제 시스템을 소개하는 곳이였다.
많은 기업들이 산업보안을 위해 보안관제와 침해사고 대응팀을 두고 있는 것으로 알고 있다.
학부생인 입장에서 침해사고 교육을 듣고 싶었고 교수님의 도움으로 일방향 침해사고 대응 훈련 고급과정에 등록할 수 있었다.
운영기관은 두두아이티로 평소에 알고 있던 기업이라 반가웠다.
교육은 총 5일을 거쳐 매일 9시 30분부터 8시간동안 정보보호클러스터 사이버훈련장에서 진행된다.
고급과정이다보니 입과 전에 역량 테스트가 있으며 온라인으로 진행됐다. 시간 제한이 있어 급하게 풀었다.
본인이 알고 있는 분야를 선택하고 그 분야에 대한 질문이 나온다.
운이 좋아 붙은 거 같다.
본인은 네트워크는 이론만 공부했었고 하드웨어와 소프트웨어 시스템 해킹 이외엔 접해본 적이 없어서 걱정되었다.
기초적인 디지털 포렌식 이론을 공부해서 갔다. (당시 집에선 모두 맥을 사용했기에 페러럴즈로 확인했다.. 아)
1일차
정보보호클러스터는 집앞에서 버스를 타면 10분이면 도착하는 거리였다.
동기와 가장 먼저 도착해서 등록을 하고 기다렸다. 센터장은 상당히 크고 깔끔했다.
자세한 내부 사진은 보안을 위해 업로드를 하지 않았다.
첫날엔 전반적인 교육 소개 이후 팀을 조성해 바로 현장에 투입되었다.
1-3일차는 침해사고 대응 분석, 4-5일차에는 공격 실습으로 진행된다.
3인 1팀으로 총 4팀이 구성되었고 각각 다른 방을 사용했다.
인당 2대의 컴퓨터, 3대의 모니터를 사용했고 왼쪽 컴퓨터는 자료 검색용으로 외부 인터넷이 연결되어있지만, 오른쪽 컴퓨터는 원격으로 회사 내부폐쇄망에 접근할 수 있는 컴퓨터였다.
조사관 PC로 들어가 침해사고가 일어난 PC의 흔적을 찾고 타임라인을 토대로 추적하는 것이 목표였다.
회사망은 각종 보안 장비 서버들과 회사 사원들의 PC등이 등록되어있다.
처음이라 우왕좌왕하며 해킹 추적하겠다고 이리저리 건들었다. (이러면 안 된다. 추후 큰일난다)
그래도 1일차엔 멘토님이 가이드라인을 잡아주신다.
우연히 어떠한 공격이 이루어졌는지 알아냈고 1일차는 마무리 되었다.
기분이 매우 좋지 못 했다. 초반엔 아무것도 할 줄 몰랐고 패닉이였기 때문이다.
후반부엔 그래도 뭐하나 끄적끄적 만지긴 했지만 진전이 없었다. (나에게 실망스러워 집 가자마자 밤새서 공부했다)
실전형 사이버 훈련장에는 레퍼런스 자료로 훈련을 위한 참조 교재를 제공해주는데 이를 정독하길 바란다.
참조 교재는 외부 반출이 되지 않아 교재의 키워드를 싹 정리해서 집가서 공부했다.
해당 교육장 멘토님들과 진행을 도와주시는 분들은 모두 상냥하고 최선을 다해 도와주신다.
분위기또한 차갑지 않기 때문에 이 글을 보며 오해하는 일은 없었음 한다.
어떻게서든 따라가보고 싶었고 당일에 그러지 못한 스스로에게 많이 분했을 뿐이다.
2일차
나는 노베이스 완전 바보인 상태로 1일차에 이리저리 휘집으며 자료를 모았다.
부담감이 있어 공부한 것을 토대로 포렌식을 진행했다.
1일차에 해킹흔적을 찾긴 했지만 본인의 과실로 휘발성데이터를 날려 단서 하나를 놓쳤다는걸 알게 되었다.
팀원들과 상의 후 관리서버실에 찾아가 처음 상태로 초기화를 부탁드렸다. (이러면 안 된다.)
결국 교육을 위해 초기화에 응해주셨고 바로 Live Response를 수집하고 조사관 PC에 기록해 팀원과 공유했다.
사고를 통해 많이 배워나갔다. 각 아티팩트들을 분석하며 많은 단서를 찾아냈다.
브라우저 캐시가 가장 큰 단서가 되었고 이를 토대로 어느 PC에서 전파가 되었는지 그 임베디드 모듈이 어느 PC까지 전파되었는지, 파일이 업로드, 다운로드 기록이 있지만 어떤게 지워진 로그가 있는지등등 결국 다 찾아냈다.
개인 메모장에 정리를 해놓고 집가서 가능한 시나리오를 추려보았다.
어느덧 점심시간, 참고로 훈련장에서 5일간 사내식당 무료쿠폰을 제공한다.
맛은 그저그랬지만 동기는 맛있다고 극찬을 했다. (사바사)
꼭 찾은 단서와 머릿 속 생각들은 문서로 정리하길 바란다.
중요하지 않을 거 같았던 것들을 타임라인에 모두 적고 시간대를 확인해가면 큰 도움이 된다.
3일차
잠을 잘 수 없었다. 2일차 과정이 끝나고 눈에 불을 켜고 네트워크 공격에 대해 공부했다.
결국 2시간 숙면 이후 몬스터에게 생명을 의지하며 아주 이른 시간에 혼자 와서 조사를 시작했다.
하지만 3일차 이후로 같은 팀원이였던 실무자분이 문제가 생겨 출석을 하지 않아 2인에서 진행할 수 밖에 없었다.
훈련에 오시는 분들은 거의 모두 실무 경험이 있는 경력자였다.
대학생이 오는 일은 흔한 일이 아닌 거 같다.
3일차엔 모아놓은 자료를 통해 각 팀들이 차례로 발표를 한다.
발표에 나름 최선을 다했다.
우리 팀 결과에 만족하는건 아니지만 공식 시나리오와 일치하는 결론을 추론했다는 점에서 위안이 되었다.
3일 과정을 통해 침해사고 대응에 대해 알게 되었다. 포렌식에 자신도 생겼다. 물론, 완벽한건 아니지만 앞으로 더 공부하고 실무를 경험하고 싶다.
4일차
1-3일차도 재밌었지만 4일차는 그냥 신남의 연속이였다.
나는 해커로 고용되었고 한 회사의 기술을 탈취하면 거액의 돈을 받게 되었다.
라는 입장에서 침해 사고를 일으키는 훈련이였다.
Spear phising을 통해 회사 망에있는 PC에 접근했고 멀웨어는 칼리리눅스로 제작한다.
제로데이 취약점을 이용해 시스템 권한상승을 일으켜 이런저런 재밌는 행동을 취해야 한다.
(물론 실제 회사가 아닌 가상으로 이루어진 훈련만을 위한 공간이다.)
장난도 쳐봤다.
리버스쉘을 통해 접근해 다른 PC로 전파까지 했다. 회사망을 싹 내 세상으로 만들고 인사관리서버를 탈취하기 위한 방법으로 넘어갔다.
5일차
매우 성의없게 가리긴 했는데 중앙관리실에선 모든 사람의 화면을 모니터링하신다.
멘토님은 신난 나를 지도하기 위해 자주 찾아오셨고 이런저런 진로에 대한 상담도 받았다. 고맙습니다.
마지막 날엔 출석하는 사람이 얼마 없어 아쉬웠다.
그래도 데이터 탈취를 위해 끝까지 시도했지만 결국엔 부분 탈취로 훈련은 종료되었다.
어디가서 이런 훈련을 받을 수 있을까 싶었다. 아주 많은 생각이 든 훈련이였다.
대학에서 많이 공부하고 실무 경험을 많이 쌓아서 보안전문가가 되고 싶다.
침해사고 대응에 대한 공부가 제대로 되어있다면 훈련장 등록을 적극 추천한다.
양방향 공격훈련도 언젠간 등록해봐야겠다.
그 다음 날엔 사이버공격방어대회(CCE) 예선에 참여했지만 그동안 밤새며 버텨온 몸이 아파 견디기 힘들었고 부진한 성적을 거두었다. 역시 건강이 제일 중요하다..
KISA, 두두아이티, SK쉴더스 좋은 곳에서 양질의 훈련을 받을 수 있게 해주셔서 고맙습니다.
앞으로도 많이 배워서 사이버보안 인재로 거듭나겠습니다.
ref. https://www.boannews.com/media/view.asp?idx=105997
'후기' 카테고리의 다른 글
| 공군 정보보호병 합격 스펙 리뷰 (0) | 2024.05.20 |
|---|