반응형

산·학·연 연계 강화해 유용한 정보 공유...결국 국내 보안발전

지난 12월 22일에는 보안분야에서 의미있는 행사 하나가 개최됐다. 바로 두 개의 순수 비영리 보안커뮤니티가 의기투합해 올해 마지막으로 열리는 보안컨퍼런스를 개최한 것이다.


<지난 22일, 솔라리스와 엔시스의 공동 보안 컨퍼런스에서 많은 참가자들이 발표자의 주제발표를 경청하고 있다.> ⓒ보안뉴스


솔라리스 시큐리티 테크넷(http://cafe.naver.com/solatech)과 보안 커뮤니티 엔시스(http://cafe.naver.com/nsis), 두 커뮤니티가 힘을 합쳐 개최한 이번 컨퍼런스의 주제는 ‘2007년 보안 이슈 및 2008년 보안 동향’이다. 


이날 발표로는 이경문 씨의 ‘ARP 스푸핑 공격 이슈’와 VSN글로벌(www.vsnglobal.co.kr) 최기용 이사의 실명인증 우회공격 기법과 문제점 그리고 정현우 씨의 ‘방화벽의 구성 및 보안정책의 수립방법’, 엔시스 운영자인 전주현 씨의 ‘정보보호 자격증(CISSP, SIS) 학습 요령’ 등이 있었다.


이경문 씨는 스눕스파이 프로그램을 이용해 암호화가 제대로 이루어지지 않고 있는 국내 사이트들의 문제점을 지적했다. 특히 그는 아이디와 패스워드에 대한 암호화와 메신저 서비스에 있어 암호화가 제대로 이루어지지 않고 있다는 점을 지적했다.


이 발표는 국제 해킹·보안 컨퍼런스 POC2007에서도 언급된 내용이지만 여전히 국내 사이트들이 크게 신경을 쓰지 않고 있어 다시 한번 경각심을 일깨우는 자리가 됐다.


또 VSN글로벌 최기용 이사는 “사이트 가입시 대부분 사이트들이 실명인증 절차를 거치도록 하고 있다. 이를 통해 정확한 신원을 가진 회원을 확보하자는 이유에서다. 하지만 실명인증 우회공격을 사용하면 이 모든 것이 수포로 돌아간다”고 경고했다.


바로 우리가 사이트 가입시 일상적으로 하는 실명인증을 너무도 간단하게 우회해 타인의 명의로 바꿔 악용할 수 있다는 것이다. 기업에서는 실명인증을 위해 건당 얼마씩 돈을 지불하면서도 제대로된 회원을 확보할 수 없게 된다. 향후 이 문제는 사이트의 관리적 측면에서 큰 파장을 불러올 것으로 보인다. 


<보안전문가 자격증 전문 커뮤니티 엔시스 운영자 전주현 씨>
ⓒ보안뉴스

엔시스 커뮤니티 운영자인 전주현(KTIS 시스템운영팀 과장) 씨는 “엔시스의 정신은 국내 정보보호 인식제고와 전체 보안마인드를 높이는데 있다”며 “이를 위해서는 전체 보안을 체계적으로 공부할 수 있는 자격증 등이 필요하다. 이를 서로 공유하고 함께 공부하자는 차원에서 2004년 7월 처음 개설하고 지금까지 운영해오고 있다. 현재 회원만 9300여 명”이라고 소개했다.


그는 또 “이번 컨퍼런스가 규모는 작지만 어떠한 이익조직에도 편승하지 않고 순수하게 커뮤니티 회원들간의 힘으로 개최됐다는 점이 의의라고 할 수 있다”며 “보안자격증은 앞으로 수요가 더욱 늘어날 것이다. 이를 제대로 배워 더욱 많은 보안인력들이 배출될 수 있도록 노력하겠다”고 말했다.


<솔라리스 시큐리티 테크넷 운영자 김석 씨> ⓒ보안뉴스

솔라리스 시큐리티 테크넷 운영자인 김석(VSN글로벌 컨설팅팀) 팀장은 “기존 제품홍보 위주의 컨퍼런스에서 벗어나 이슈위주의 보안컨퍼런스를 개최하려 했다”며 “이를 통해 회원들간 정보 교류가 이루어지고 보안을 공부하는 학생들에게 제대로된 보안전문가의 가이드를 제시할 수 있는 자리가 됐으면 한다”고 강조했다.


또 김 팀장은 “비영리 컨퍼런스로 진행하다보니 비용문제 등 여러 가지 어려움이 있었다. 하지만 공부하는 학생들에게 미약하나마 도움이 됐으면 하는 바람”이라며 “앞으로 이러한 커뮤니티간 교류문화 정착이 잘 됐으면 하고 이를 계기로 산·학·연 보안정보교류도 더욱 활발해지길 바란다”고 덧붙였다.


이날 행사에는 토요일 임에도 불구하고 대학생부터 대학교수, 기관·기업 보안담당자 등등 대략 100여 명이 참석했다. 내년에는 규모면에서나 내용면에서 더욱 커질 전망이다. 

[길민권 기자(reporter21@boannews.com)]

,