책을 쓰기까지 - 교정

4월 10일경부터 교정을 시작했습니다. 그런데 출판사로부터 1차 교정본을 받아본 순간 분노가 온몸을 감싸더군요.

일단 '~것이다'란 표현이 모조리 '~이다'로 바뀌었습니다. 출판계가 '~것이다'란 표현을 싫어하는 건지, 확신없어 보이는 문체가 싫어서인지는 모르겠지만 죄다 고쳐놨더군요.

문제는 문맥을 고려하지 않고 무조건 바꿨다는 겁니다. 마치 '한꺼번에 바꾸기' 기능을 이용해서 바꾼 것처럼.. 결과적으로 많은 부분의 문맥 흐름을 어색하게 만들어 놨더군요.

예를 들면,

• '정확하게 탐지 또는 차단한 정보들이 모여야 한다. Positive 또는 Negative를 막론하고 정확한 룰 운영이 먼저인 것이다.' 

• -> '정확하게 탐지 또는 차단한 정보들이 모여야 한다. Positive 또는 Negative를 막론하고 정확한 룰 운영이 먼저이다.'

책을 쓰기까지 - 리뷰

지난번에 얘기했던대로 6월말에 초고를 완성했습니다. 출판사로 보냈더니 '지금은 바쁘니 기다려달라'고 하더군요. 9월에나 출간 작업이 가능하다고. 리뷰할 계획은 없냐고 물어봤더니 없다고 하더군요.

9월까지 신나게 놀았습니다. 평일에 놀러다니니 정말 재밌더군요. 길 안막혀, 사람 안북적대, 계속 백수로 살고 싶다는 생각이 강하게 들었습니다.-_-

두 달 간 팽팽 놀다가 9월이 되서 다시 출판사에 연락을 했죠. 그런데 여전히 바쁘다고, 10월에나 작업이 가능하다고 하더군요. 기분이 나빴지만 별 수 있나요. 참았죠. 그런데 10월이 돼서 다시 연락을 했더니 계속 바쁘다고, 작업을 언제 할 수 있을지 알 수 없으니 리뷰나 하자고 하더군요.

책을 쓰기까지 - 유용했던 팁

1. 자연스러운 문장

책을 쓸 때 최대한 자연스럽게, 독자와 대화하듯 쓸려고 노력했습니다. 책 성격에 따라 다르겠지만 기술적인 정보를, 그것도 돈을 받고 전달하고자 할 때는 최대한 친절해야겠죠? 독자가 쉽게 이해하는 데 중점을 뒀었죠. 그러다 보니 좀 길어지는 기술적 설명은 서술보다는 개조식으로 많이 쓰게 됐습니다.

이 기술은,
1. 이러하고,
-> 추가 설명

2. 저러하다
-> 추가 설명

책을 쓰기까지 - 힘들었던 점들

1. 맞춤법

책을 써보니 한글이 세계에서 제일 어려운 글인 것 같더군요. 특히 띄어쓰기는 왜 그렇게 헷갈리는지(..) 아래 두 개 사이트 참고했습니다.

• http://s.lab.naver.com/autospacing/
• http://speller.cs.pusan.ac.kr/

2. 그림

24인지 모니터를 세로로 세워놓고 문서를 화면에 꽉 채워서 작업했는데 절반쯤 작업하다가 문득 책은 이렇게 안 큰데? 라는 생각이 들어서 책 크기로 화면을 줄여보니 그림 해상도가 너무 떨어지더군요. 

책을 쓰기까지 - 집필 시작

목차 정하고, 계약하고 나니 비교적 수월(?)하게 진도가 나가더군요. 사실 처음 몇 달간은 직장 다니면서 퇴근 후 한 두 시간, 그리고 주말을 이용해서 시도했었는데, 정말 진도 안나갔었거든요.

왜 그랬을까 생각해보니 일단,

1. 뚜렷한 목차가 없었습니다.
-> 막연히 쓰기보단 출판사랑 계약을 먼저 해야겠다고 생각했습니다. 확실한 목표가 필요하다고 생각했죠. 출판사랑 계약할려면 목차 선정은 필수구요.

-> 목차를 정하고 나니 목차별로 이런 사례를 쓰고, 저런 이야기를 해야지란 대략적인, 하지만 전체적인 그림이 그려지더군요.

-> 경험이 책이 될 수 있겠다는 생각을 한 뒤로 꾸준히 자료를 수집한 덕도 좀 봤습니다. 책에 적합하게 수정하느라 고생 좀 했지만요.

패턴매칭의 문제점과 해법

Negative 패턴매칭

지난 글에서 보안솔루션의 기반 기술인 패턴매칭의 문제점에 대해 살펴봤다. 그리고 그 문제점을 해결하기 위해서는 패턴매칭 룰을 만들 때, 아래 두 가지 조건이 충족되어야 함을 알 수 있었다.

① 공격 패턴의 특성 반영

② 룰이 적용된 구간의 트래픽 패턴 특성 반영

좋은 룰의 필요성에 대해서 살펴봤다. 이중 첫 번째 조건은 그 중요성이 충분히 인식되어 있고, 룰 제작 시충실히 적용되는 편이다. 그러나 두 번째 조건은 아직까지 그 중요성에 대한 인식이 낮은 편. 

좋은 룰을 만드는 두 번째 조건에 대해서 좀더 자세히 살펴보자. 룰 기반 보안솔루션이 사용하는 룰은 크게 'Positive'와 'Negative', 두 가지 방식으로 나뉜다.

보안솔루션 기반 기술, 패턴매칭

IDS는 구식? DPI는 신식?

지난 글에서 IDS 로그 전수 검사를 통해 룰의 문제점을 찾아 수정함으로써 침입 탐지 정확도를 향상시킨 사례를 살펴봤었다. 

IDS? 어떤 이는 생소하게 느꼈을 것이고, 어떤 이는 '트렌드에 안 맞게 왠 IDS? 그 구식 보안솔루션 아직도 쓰나?' 라며 의아하게 생각했을지도 모르겠다. 

이 시간에는 네트워크 기반의 최초이자 본격 패턴매칭 기반 보안솔루션임에도 '구식'이란 오명을 쓰고 있는 IDS와 핵심 기술인 '패턴매칭'에 대해서 알아볼까 한다.

1980년대에 처음 제시된 침입탐지시스템, 즉 IDS(Intrusion Detection System)는 크게 '비정상 행위'와 '오용 행위' 기반으로 나뉘는 동작 모델을 가지고 있었다.

How to reduce false positive?

This is my experience. Following rule is one of the ids rules to detect sql injection.

alert tcp any any -> any 80 (content:"%20and%20"; nocase; http_uri;)

That rule made 6,078 logs for a week. Is it attack if the pattern matches all? Strings '%20and%20' is the just part of URI(Uniform Resource Identifier).

It means pattern of rule is possible to be pattern of attack. But matching patterns is not an unconditional attack. So you must analyze entire log messages including rule pattern. 

By the way, Even though you analyze one log for one minute, you can just analyze 1,440 logs for a day. (A day is 1,440 minutes) The entire log analyzing is very difficult.

빅데이터에 의한 보안, 빅데이터를 위한 보안

최근 미국 정부의 대국민 사찰 프로젝트 ‘프리즘‘이 이슈가 되면서 ‘빅데이터’에 대한 우려도 함께 커지고 있다. 빅데이터에 의해 조지 오웰의 소설 ’1984′에 등장하는 ‘빅브라더’가 현실화되는 것 아니냐는 목소리가 높아지고 있는 것이다. 

산업계 전반에서 빅데이터 열풍이 거세지고 있는 현 시점에서 이는 시기적절한 이슈다. 원자폭탄이 핵의 안전한 사용을 위해 다양한 조치를 시도하게된 계기가 됐던 것처럼, 열풍에서 한 걸음 물러서 차분히 빅데이터를 바라볼 수 있는 계기가 되기를 바라기 때문이다.

빅데이터가 2012년에 갑자기 튀어나온 것 같지만, 사실 데이터는 늘상 있어 왔다. 현재 빅데이터 논의의 대부분이 수집, 저장, 처리 기술에 치중해 있지만 빅데이터의 핵심은 데이터를 ‘새롭게 바라볼 때 새로운 가치가 나타난다’는 것이다. 

IDS 로그 분석

룰과 로그

파일 업로드 및 URL 삽입 등을 이용한 웹쉘 공격이 있다. 웹쉘은 웹 기반에서 시스템을 조작할 수 있는 도구의 통칭인데, 2008년 5월 KISA에서 ASP 기반 웹쉘의 실행 여부를 확인할 수 있는 시그니처를 배포한 적이 있다. 

그리고 해당 시그니처를 기반으로 Snort 룰 옵션을 이용하여 다음과 같은 IDS 탐지룰이 만들어진 사례가 있다.

alert tcp any any -> any 80 (content:"?Action="; nocase; pcre:"/\?Action\=(MainMenu|Show|Course|getTerminalInfo|ServerInfo|Cmd1?Shell|EditFile|Servu|sql|Search|UpFile|DbManager|proxy|toMdb)/i";)

보안 사고 재발의 악순환을 막으려면

알고도 당했다는 ‘사이버 6.25′가 발생했다. 곧 국가적 차원의 원인 규명이 시도될 것이다. 그리고 잊혀질 것이다. ’3.20 대란’, ’7.7 DDoS’, ’1.25 대란’, 그 외 셀 수 없는 개인정보 유출 사고들… 많은 보안 사고들이 발생했고, 성공했다. 

그리고 발생한 사고의 원인 규명이 이루어졌다. 소 잃고 원인 규명하고, 또 잃고 원인 규명하고… 사전 예방이 아닌 사고 수습에 집중된 대한민국 사이버 보안의 현주소.

수없이 원인 규명을 하고 있는데 왜 사고는 재발할까? 원인 규명이 원인 규명만으로 끝난 결과 아닐까? 사전 예방이 가능한 사이버 보안 체계를 구축하는데 우리가 놓치고 있는 것이 분명히 있다. 그것은 무엇일까? 답을 찾기 위해서는 먼저 사이버 세계의 구조를 알아야 한다.

빅데이터와 보안

빅데이터? 보안? 

관리 주체의 활용 역량을 초과하는 대량의 데이터, 2012년에 갑자기 등장한 빅데이터에 대한 간단한 정의이다. 구글 등 정말 특별한 역량을 가진 조직만이 접근할 수 있었다던 빅데이터는 왜 갑자기 이슈가 되었을까?

아마도 구글에서 출발한 ‘하둡’ 등의 빅데이터 처리기술이 성숙하면서 기술 벤더들이 제품화에 자신감을 갖게 된 결과일 것이다. 

이러한 배경 속에서 보안 업계 역시 차세대 핵심기술로 빅데이터에 주목하고 있으며, 빅데이터를 앞세운 제품과 기술이 앞 다투어 발표되고 있는 상황이다. 그렇다면 과연 빅데이터는 업계의 주장 또는 희망처럼 차세대 보안을 이끌어갈 핵심기술이 될 수 있을까? 

빅데이터 이전에 먼저 우리는 데이터가 가지는 의미에 대해서 생각해볼 필요가 있다. 위키백과를 보면 ‘아마존(구매 리스트를 이용한 상품 추천)’, ‘구글(검색 기록을 이용한 맞춤 광고)’, ‘대한민국 19대 총선(SNS 메시지를 이용한 여론 분석)’ 등 다양한 빅데이터 활용사례가 나온다.

빅데이터와 보안(slideshare)

빅데이터와 보안 from 미스타 강

보안사고의 이면

보안사고의 이면 from 미스타 강

책을 쓰기까지 - 기획

처음 책을 써봐? 했던 때가 2007년이었습니다. 그 전까지 혼자 보안관제를 하다가 IDS 벤더 입사하면서 여러 현장을 경험하게 됐는데 많은 문제, 특히 대량으로 발생하는 로그에 대한 해결책을 누구도 갖고 있지 못함을 알게 됐습니다.

그 때 회사에 많은 어필을 했죠. 우리가 직접 분석을 하면 더 잘할 수 있다. 보안관제 서비스를 해야 한다.. 등등. 하지만 회사는 보안관제, 인력 서비스는 돈 안 된다. 일만 많아진다. 이런 시큰둥한 반응이더군요.

이런 말 하면 한때 몸 담았던 회사 욕먹이는게 될 수도 있겠지만 솔루션만 팔고 빠지고 싶어 했어요. 사실 장애만 없으면 보안솔루션에 대한 요구사항도 까다롭지도 않았구요. 2011년 8월까지 5년 정도 회사를 다녔는데 점점 재미가 없어졌습니다.

보안과 빅데이터

책이 몇 번 기사를 탄 덕을 봤는지, 지난 12일 산업통산자원부 사이버안전센터 워크샵에 초대를 받았었습니다. 산업통상자원부답게 에어컨을 안 틀어주더군요. 땀으로 샤워하고 왔습니다. 여러분 전기를 아낍시다.ㅡㅡ 끝나고 사진 좀 달라고 했는데 얼굴이 제대로 나온 사진이 없네요. -_-

그 때 발표했던 자료를 공유합니다. 발표할 때는 몰랐는데 다시 녹음해서 직접 들어보니 설명에 비해 그림이 너무 부족한 듯.. 잡스 흉내를 내고 싶었나? 제가 발표해놓고도 많이 지루한 느낌입니다.

발표자 입장에서는 별 문제가 없었는데, 듣는 입장이 되보니 문제가 보이네요. 어쩐지 많이들 주무시더라구요(..) 보강 좀 해야겠습니다.