2016년 12월 31일 토요일

시장은 항상 효율적일까?

IT 분야에서 남다른 통찰력을 보여주는 박상민님의 글 중 일부.

자신이 원하는 문제가 아닌, 사회가 원하는 문제를 해결해야 스타트업 성공 가능성이 높아진다는 얘기. 그럼 구글이나 페이스북은 다 뭐람? 모두 자신이 원했던 문제 해결에 집중한 거 아니었나? 하고 싶은 걸 했을 뿐인데 운 좋게 사회의 바람과 일치한 건가?

아무래도 전생에 나라를 구하지 못한 범인들에게 포커스가 맞춰진 조언이 아닐까 싶다. 자신과 사회가 해결하고자 하는 문제의 간극을 좁히려면 어떻게 해야 할까?
시장은 효율적이기 때문에 어떤 문제가 가치 있고 해결할 만하다면 이미 그 문제는 다른 회사에 의해 해결되었을 것이다. 반대 논리로 당신이 관심있는 어떤 문제가 해결되지 않았다면 구조적으로 그 문제의 해결이 불가능한 이유가 있을 것이다

2016년 12월 19일 월요일

검은 간호사 공격?

지난 11월 단 한 대의 컴퓨터로 거대한 서버들을 다운시킬 수 있다는 BlackNurse란 공격이 보고됐다. 소량(?)의 ICMP(Type 3, Code 3) 트래픽을 흘려보내면 특정 방화벽 등 일부 네트워크 장비들이 CPU 과부하를 일으켜서 뻗는다고.

해외 기사

2016년 12월 14일 수요일

데이터 시각화 작업량

"보이는 작업량은 빙산의 일각에 대한 개인적인 보충 "

데이터 시각화 제작 과정을 잘 설명한 글이다. 다만 '04 인터렉티브 개발' 과정의 작업량이 가장 많다는 글쓴이의 의견에는 별로 동의하고 싶지 않다. (글쓴이는 주로 가공이 완료된 데이터를 가지고 작업하는 듯)


2016년 12월 8일 목요일

텍스트 의미망 분석

빅데이터 유행 덕에 텍스트 의미망에 대한 분석 결과를 꽤 자주 접하게 된다. 어떻게 하는 건가 궁금했는데, Gephi라는 데이터 시각화 도구를 이용하면 비교적 쉽게(?) 접근할 수 있는 것 같아 소개해볼까 한다.


2016년 11월 29일 화요일

대통령의 품사

한동안 원고 교정 문제로 무슨 도 닦는 기분으로 산 듯하다. 왜 오탈자나 문법 오류 교정이 아닌, 글쓴이의 의도나 기획 자체를 훼손하는 교정이 발생할까? 기술 서적인데 명령어나 실행 코드는 왜 바뀌지? (틀린 정보가 담긴 책이 나오면 출판사도 손해일텐데?)

2차 교정 및 조판 원고 상태가 어떨지 불안하기만 하고, 이러려고 책을 썼나 자괴감이 들어 괴롭다. 나라도 시끄럽다. 박근혜 대통령 당선 소식을 들으면서 박정희 신화(?)를 깨지 않기 위해 잘 하지 않을까란 생각을 했던 기억이 난다. 결과는(..)

지난 19일 방영된 '그것이 알고 싶다'를 뒤늦게 보게 됐다. 대통령의 세월호 7시간을 집중 조명한대서 잔뜩 기대하고 봤는데 별 거 없더라. 대신 방송 내용 중 품사 분석을 통해 문장을 사용하는 사람의 내면을 들여다볼 수 있다는 내용이 흥미로웠다.

2016년 11월 7일 월요일

VIM 7.4 버전의 버그 하나

VIM 검색 모드를 사용할 때 대소문자 구분을 해제(set ignorecase)하면 소문자 또는 대문자만을 이용하더라도 대소문자를 구분하지 않고 모두 검색할 수 있다.

2016년 10월 30일 일요일

드디어 탈고

작년 8월부터 쓰기 시작한 책을 드디어 탈고했다. 1년 3개월 걸렸군. 한 번 해봐서 쉬울줄 알았는데 첫 번째 책을 쓸 때보다 더 후달린 듯. 주제는 정규표현식이다.
정규표현식은 특정한 규칙을 가진 문자열의 집합을 표현하는 데 사용하는 형식 언어이다 – 위키백과

학습 의욕을 뚝 떨어트리는 설명이 아닐 수 없다. 일단 '정규표현식'이란 단어가 주는 어감부터 너무 딱딱하고 고리타분하다. '빅데이터'와 같은 멋진 이름 없을까? 매직표현식? 스마트표현식? 파워표현식? 이름만 잘 지었어도 정규표현식의 저변이 훨씬 더 넓어졌을 테고, 그랬으면 이런 책을 써봐야겠다는 생각도 안 했을 텐데!

친구가 술 한 잔 하다가 돈도 안 되는 책을 왜 쓰냐며, 유명해지고 싶은 거냐고 물었다. 뭐 그런 마음도 조금은 있다. 유명해지면 똥을 싸도 박수를 쳐준다는데, 설득이 좀 쉬워지지 않을까? 그리고 담배값 정도는 벌 수 있다고(..)

2016년 9월 10일 토요일

인공지능 이상징후 탐지 시스템?

재미난 미국 특허를 발견했다.

아래는 발명 개요.

"A real-time anomaly SQL Injection detection system is provided to detect anomalies specific to the backend Database layer and the Web application layer of a Website. 

To reduce false alarms, the system correlates abnormal scores for the Database layer and Web application layer to detect and catch different forms of SQL injection attacks. The attacks are detected based on anomalies and not signatures or patterns."

요약하면 SQL 인젝션 공격 발생 시 URI 변수 영역의 길이가 평소(공격이 없는 정상 상태)보다 길어지는 점을 이용해서 대응하는 SQL 인젝션 이상징후 탐지 시스템.

[0048]
The ParameterValue Abnormal Score 84A or 84B is generally defined, for SQL injection to happen, such that the parameter Value length Will be longer than normal in most cases.

2016년 8월 28일 일요일

욱일기에 대한 단상

80년대 낭만 폭발하는 포스터
내가 중학생이었을 때 중간고사나 기말고사가 끝나면 학교에서 단체로 영화 관람을 시켜주곤 했다. (500원인가 냈음)

그때 기억에 남는 영화가 인디아나 존스, 에이리언2, 고스트 버스터즈, 베스트 키드 정도.

특히 베스트 키드를 관람했을 때는 한동안 학교에 심각한 후폭풍이 몰아쳤었다.

쉬는 시간, 청소 시간 등 짬만 생기면 애들이 단체로 영화 속 무술 수련 장면을 흉내내느라 교실이 난장판이 됐던 것. 칠판 지우개로 수련하던 친구놈 보고 싶네

영화 내용은 유약한 소년이 귀인을 만나 무림지존이 되고, 미인도 차지한다는, 열 너댓 살 남자애들이 환장할만한 무협 판타지. 여주인공도 예뻤음(..)

2016년 8월 19일 금요일

VIM 사용 설명서(secure 로그 분석 - 6th)

VIM 사용법을 시작으로 secure 로그 분석을 진행하고 있는데 한 달 넘게 질질 끄는 느낌이라 뭔가 좀 찜찜하다. 말이나 글로 설명하는 게 적성에 안 맞나? 그냥 작업만 하면 하루도 안 걸리는데(..)

어쨌든 오늘은 쫑낼 생각. 어제 1차 ID 추출을 완료했다. 이제 1차 ID 추출 전에 삭제했던 줄에서만 ID 문자열을 추출하면 된다. 다 지워버렸는데? Undo 명령어를 이용하면, 'u' 키를 세 번만 누르면 세 번의 삭제 작업이 취소된다. (아예 ID 문자열이 없었던 줄은 계속 삭제된 상태)

삭제 작업 취소 후, 중복 추출을 막기 위해 1차로 ID를 추출했던 줄은 삭제해야 한다. 일단 '\vfor\s\S+'로 검사할 수 없었던 ID 문자열을 검사해보자.

2016년 8월 18일 목요일

VIM 사용 설명서(secure 로그 분석 - 5th)

지난 시간에 secure 로그를 6개의 필드로 나뉜 테이블로 만들었으며, 프로세스/키워드별 발생 통계 및 발생 추이를 추적할 수 있게 되었다.


2016년 8월 16일 화요일

VIM 사용 설명서(secure 로그 분석 - 4th)

지난 시간에 secure 로그의 프로세스별 발생 추이를 추적한 결과, sshd 프로세스의 압도적인 발생량과 함께 그 발생량 대부분이 9월에 집중되고 있음을 확인했다.


2016년 8월 7일 일요일

VIM 사용 설명서(secure 로그 분석 - 3rd)

이제 secure 로그를 테이블로 만들어보자. '헬로 데이터 과학'편에서 이미 확인했듯이 '호스트명'까지는 일정한 길이로 구분되어 있기 때문에 쉽다.


2016년 7월 30일 토요일

VIM 사용 설명서(secure 로그 분석 - 2nd)

가장 많은 로그를 발생시킨 sshd 프로세스의 메시지 분포를 확인해보자. 메시지만의 정확한 분포 확인을 위해 필요없는 문자열은 지울 필요가 있다. 사용한 검색어 '^.*]: '은,
  1. 각 줄에서 첫 번째 시작(^)하는 문자부터 검색을 시작하며,
  2. 끝나는 문자는 ']:공백'이고,
  3. 검색 시작 위치와 끝 문자 사이에 임의 문자(.)가 0개 이상(*) 있음을 의미하는 정규표현식이다.

2016년 7월 24일 일요일

VIM 사용 설명서(secure 로그 분석)

이제 VIM을 이용한 secure 로그 분석을 진행해보자. 특히 오늘은 문자열 데이터를 다양한 관점에서 해체하고 조립하는 과정을 통해 전체적인 구조와 의미를 (대충) 파악하는 시간을 가져볼 것이다.

'헬로 데이터 과학'편에서 이미 살펴봤듯이 secure 로그는 일정 길이나 ':' 등의 특정 기호를 이용해서 완벽하진 않지만 나름의 일관성을 부여해서 데이터의 성격별 영역 구분이 가능한 반정형 데이터이다.


2016년 7월 18일 월요일

안전해지고 싶다면

"이 글은 '미래의 범죄는 신기술을 따라 발전한다'란 글에 대한 개인적인 생각입니다."

글쓴이는 '누가 우리의 미래를 훔치는가'라는 책을 소개하며, 사이버 세상의 어두운 면에 대한 경각심을 잃지 말 것을 당부한다.

어두운 사이버 세상의 존재는 엄연한 사실이다. 사이버 세상은 해킹, 피싱 등으로 발 디딜 틈이 없어 보이고, 관련 언론 지면은 하루가 멀다하고 등장하는 새로운 보안 취약점으로 도배되다시피 하고 있다.

어떻게 하면 안전해질 수 있을까? 저자는 개개인의 주의 및 미국이 세계 유수의 과학자들을 모아 원자폭탄을 만든 것처럼 사이버 보안계의 '맨해튼 프로젝트'를 진행해서 사이버 테러 행위에 대한 장기적인 대처 방안을 마련하자고 주장하는 듯.

좋은 의견이긴 한데, 어차피 미국이 북치고 장구치고 다 할 거 같은데-_- 아니면 '사이버 게놈(2010년부터 했는데 성과가 있나?)' 비슷하게 이미 하고 있지 않을까? 외계인 고문하면서(..)

2016년 7월 14일 목요일

VIM 사용 설명서 - 3rd

지난 시간에 살펴봤던 문자열 치환 기능은 당연히 문자열 단위로만 동작한다. 원본 데이터의 줄 단위 구조는 바뀌지 않는다는 얘기. 그런데 가끔 줄 단위 구조를 바꾸고 싶을 때가 있다. 예를 들면 특정 문자열을 포함한 줄만을 골라서 삭제한다든지.

글로벌 명령어

그런 기능이 있을까? 이런 기능이 있으면 좋겠다 싶어서 구글링 해보면 VIM은 신기하게도 반드시 그 기능을 가지고 있더라.


2016년 7월 10일 일요일

VIM 사용 설명서 - 2nd

VIM 기능 중에서도 꽃 중의 꽃이라고 할 수 있는 문자열 치환 기능에 대해서 알아보자. 문자열 치환 명령어 역시 당연히 명령 모드에서 동작하며, 형식은 다음과 같다.


해당 명령어는 검사 대상 문자열에서 ②를 찾아서, ③으로 바꿔준다. 즉 명령어 ':%s/aaa/bbb/'를 입력하면 aaa 문자열을 찾아서 bbb로 바뀌주며, /로 구분되는 세 개의 영역은 다음과 같은 특징을 가지고 있다.

2016년 7월 2일 토요일

VIM 사용 설명서

7월이다. 2016년이 벌써 반이 지나갔고, 장마가 시작된 듯. 지난 주엔 병원에서 목 디스크 초기 진단 받고 주사 한 방 맞고 왔다. 여러분 컴퓨터 오래 하지 마세요. 실손 보험도 꼭 들어 놓으시고(..)

뻘소리 그만 하고지난 달에 '헬로 데이터 과학'이란 책의 후기를 남기면서 전체 데이터 분석 과정에서 데이터 처리 작업이 차지하는 비중을 설명하고자 (VIM으로 시작해서 VIM으로 끝나는) 리눅스 secure 로그 분석 과정을 일부 포스팅했었다.

그런데 그 부분을 자세히 설명해달라는 요청이 있어서 보강을 해볼까 하다가, VIM을 알아야만 이해가 쉬운 부분이라 아예 VIM 사용법부터 시작하는 게 좋겠다는 생각이 들었다. 개인적으로 VIM을 사용하는 이유는 기능과 성능이 대량 문자열 데이터를 다루는 데 있어서 우주 최강이기 때문.

2016년 6월 19일 일요일

LogParser 활용(Windows Logon Event 이상징후 분석 - 4th)

3회에 걸쳐서 윈도우 로그온 성공 및 실패 이벤트 이상징후 분석 과정을 살펴봤다. 그리고 그 과정에서 로그, 즉 데이터의 구조 및 속성에 대한 이해와 함께 SQL을 이용해서 데이터를 분석에 적절한 형태로 가공만 할 수 있다면 분석은 그다지 어렵지 않다는 사실을 알 수 있었다.

문제는 여태 분석에 사용했던 로그는 달랑 PC 한 대에서 발생한 로그라는 것. 우리 조직의 PC가 100대면 같은 작업을 백 번 해야 한다는 뜻이다. 물론 불가능하진 않다. 처음에 얘기했다시피 한 대로 시작해서 익숙해지면 10대, 100대로 늘려가면 된다.


2016년 6월 12일 일요일

헬로 데이터 과학

몇 번 망설이다 보게 된 책. 우연히 저자의 블로그를 통해 '엑셀을 이용한 데이터 분석 길라잡이' 형식의 내용을 미리 접해버렸기 때문이다.

하지만 결국 마이크로소프트 데이터 과학자라는 타이틀에 이끌려 구매^^; 물론 저자의 주제의식 전반을 살펴볼 수 있다는 점에서 책이 낫겠지.

저자는 다음 한마디로 '데이터 과학'이라는 뜬구름을 현실로 만들어준다.
'데이터는 테이블이다' (40 페이지)

데이터는 분석이 가능할 때만 의미가 있음을 이보다 더 쉽게 설명할 수 있을까?

학생들의 성적을 관리해보자. 수기로 기록하는 것과 열과 행의 테이블 구조를 이용하는 것은 어떤 차이가 있을까?

2016년 5월 31일 화요일

LogParser 활용(Windows Logon Event 이상징후 분석 - 3rd)

지난 시간에 네트워크 로그온에 성공한 'itl' 계정이 주체적으로 발생시킨 이벤트가 '파일 공유' 관련 이벤트인 5140, 5145 뿐임을 확인했다. 발생 추이는 다음과 같다.


2016년 5월 24일 화요일

편 가르는 사회

지난 17일 강남역 인근에서 한 젊은 여성이 살해당했다. 정신질환 또는 개인적·사회적 좌절때문에 극단적 선택을 한 가해자와 같은 시간, 같은 공간에 있었던 약자 혹은 여자라는 이유만으로. 나만 조심하면 뭐하나? 작정하고 덤벼들면 장사 없다.

가해자의 진술을 들어보면 과거 정신질환 병력도 의심스럽지만 주로 원만하지 못한 사회 관계가 범행 동기로 작용하지 않았나 싶다. 사실 많은 정신질환이 비정상적인 사회 관계에서 야기되고 있으니 선후 관계를 따지기도 힘들겠다.

사회적 소속·유대감의 결여로 인해 충족되지 못한 인정 욕구는 자기 파괴적 또는 반사회적 행동으로 표출되게 마련. 사회 부적응이 야기하는 이런 반사회적 비극을 사전에 예방하려면 어떻게 해야 할까?
병든 사회가 병든 인간을 낳는다 - 싸우는 심리학 (257 페이지)

2016년 5월 21일 토요일

보안관제 출판 증가 의미

  • 2012 : 해킹 사고의 재구성
  • 2013 : IDS와 보안관제의 완성
  • 2014 : 보안관제학
  • 2015 : 네트워크 보안 시스템 구축과 보안관제
  • 2016 : 보안관제 실무가이드

2012년 이후, 매년 한 권꼴로 보안관제 분야의 출판이 이어지고 있다. (내 책도 한자리 차지하고 있군. 하하^^;) 개인적으로 무척 반가운 현상.

2016년 5월 17일 화요일

LogParser 활용(Windows Logon Event 이상징후 분석 - 2nd)

지난 글에서 로그온 실패 현황을 살펴봤으니 오늘은 성공 현황을 살펴보자. 로그온 성공 이벤트의 strings 필드 구성은 다음과 같다.


2016년 5월 9일 월요일

보안 분야 연구 방향을 살펴보면

가끔 네트워크 보안 분야의 논문이나 특허를 검색해보는데 연구가 진행되는 방향을 살펴보면 크게 세 가지 주제로 나뉘는 듯하다. 트래픽 처리나 탐지 성능 향상 및 탐지의 정확도 향상, 그리고 학술적 가치 이상의 의미를 찾기 힘든 룰 패턴 관련 자동화.

관심가는 분야는 탐지 정확도 향상 분야인데 해당 분야의 아이디어들을 살펴보면 공통적으로 등장하는 하나의 특징을 발견할 수 있다.

특허1
  • 웹 보안 시스템 및 방법(출원 번호:10-2006-0095531)
접속 요청 수 추출부는 사용자 단말이 접속 요청하는 서버의 각 웹 페이지들에 대해 접속 요청의 수를 추출하고, 대처 과정 수행부는 웹 페이지들에 대한 접속 요청의 수가 소정의 정상 범위를 벗어나는 경우 소정의 이상 대처 과정을 수행한다. 
웹 서비스 요청에 대해 미리 설정된 공격 패턴과 일일이 비교하는 것이 아니라 웹 서비스 요청 자체에서 이상 여부를 판단하기 때문에 룰 업데이트의 필요가 없고, 빠르게 웹 보안을 수행할 수 있게 된다.

2016년 4월 30일 토요일

LogParser 활용(Windows Logon Event 이상징후 분석)

웹로그만 쳐다보고 있으니 지겨워서 다른 걸 해볼까 한다. 2월쯤에 잠깐 언급하다 말았던 윈도우 이벤트 로그. 대부분의 사용자가 윈도우를 사용하는 현실, 그리고 APT, 내부정보 유출, 랜섬웨어 등의 부각으로 윈도우 이벤트 로그 분석의 중요성은 점점 커지고 있는 추세다. 더불어 할 일도 증가(..)

하지만 LogParser와 엑셀이 있으니 괜찮;;

2016년 4월 15일 금요일

보안 알파고?

빅데이터에 대한 특집 방송이 편성되고, 해외 사례가 소개되고, 온갖 장미빛 청사진을 담은 기사들이 쏟아지던 2012년이 떠오른다. 그 열풍은 조금 사그라든 듯하지만 빅데이터는 아직 현재진행형이다.

개인적으로는 긍정적으로 평가하는 편이다. 실제 눈으로 확인할 수 있는 효과나 소위 '가성비'와는 별개로 어쨌든 사람들을 데이터에 주목하게 만들었고, 데이터의 활용 가치에 눈 뜨게 만들었으니까. 물론 순기능이 있으면 언제나 그렇듯이 역기능이 따라온다.

프리즘 사태 등으로 확인된 빅브라더의 가능성과 함께 무분별한 마케팅으로 인한 맹신과 만능주의 확산이 바로 그것. 마케팅 비용이 쏠리는 곳에 거품이 형성된다고나 할까? 뭐 신기술의 필수 통과 의례 정도가 아닐까 한다. 거품이 초기 투자를 이끌어내는 긍정(?)적인 측면도 있고.

2016년 4월 13일 수요일

LogParser 활용(Web Log 이상징후 분석 - 6th)

이미 얘기했지만 이상징후 분석이 어려운 이유는 피해자 또는 공격자라는 힌트가 없기 때문이다. (피해자나 공격자를 알고 있다면 이러고 있을 필요도 없고) 그래서 이상징후 분석 체계가 성공적으로 자리잡기 위해서는 정상 상태를 정의한다는 관점의 접근이 필요하다.


2016년 4월 1일 금요일

LogParser 활용(Web Log 이상징후 분석 - 5th)

4회에 걸쳐서 웹 응답코드 및 웹 문서 종류의 개수라는 로그의 단일 요소를 기준으로 이상징후 분석을 시도했었다. 그런데 이상징후 분석에 대한 오해가 생길 수도 있을 것 같아서 오늘은 좀 다른 얘기를 해볼까 한다.

지난 분석 사례에서 공격 징후 포착이 나름 수월(?)했었다. 이상징후 분석은 원래 이렇게 쉬운 걸까? 그럴리가 해당 사례의 분석이 쉬웠던 이유는 사고 발생이 알려지고 난 뒤에 이루어진 분석이기 때문.

피해자라는 힌트가 있었기 때문에 피해 시스템에서 피해가 발생한 일시의 로그만을 분석하는데 어려울 턱이 있나. 그런데 만약 공격이 발생하지 않았다면 어땠을까? 수많은 시스템과 서비스에서 발생하는 대량의 로그라는 어려움을 겨우 극복해서 분석했음에도 정작 발생한 공격이 없다면?

2016년 3월 25일 금요일

기브 앤 테이크

제목 그대로 준 만큼 받아내는 처세술을 알려주는 자기계발류인가 싶었는데 의외로 좀 복잡했던 책.

저자 애덤 그랜트는 세상 사람을 기버(Giver), 테이커(Taker), 매처(Matcher)로 나눈 뒤, 기버도 성공할 수 있다고, 기버만이 성공을 독식하지 않고 전체 파이를 키워서 함께 성공하는 세상을 만들 수 있다고 얘기한다.

짐작대로 기버는 받은 것보다 더 많이 주는, 테이커는 준 것보다 더 많이 받아내는, 매처는 준 만큼만 받으려는 사람을 뜻한다.

이용하지 않으면 이용당할 수도 있다는 불안감이 만연하는 세상에서 남을 이롭게 하고 그 과정에서 자신을 희생하는 기버는 사회적으로 불리한 위치에 놓일 가능성이 높다는 게 나를 비롯한 일반 사람들의 인식일 것이다.

저자는 초반 몇 페이지를 통해 그러한 인식이 사실이라고 얘기한다(..) 그러나 곧 반전이 펼쳐진다. 기버는 사회 밑바닥으로 내팽개쳐질 가능성도 높지만 사회적 성공의 꼭대기 자리에 올라갈 가능성 역시 높다고 한다. 그 이유는 결국 세상은 혼자 살 수 없기 때문.

2016년 3월 20일 일요일

LogParser 활용(Web Log 이상징후 분석 - 4th)

지난 시간에 웹 로그 구성요소 중 하나인 HTTP 응답코드 발생 추이 분석을 통해서 이상징후 분석의 가능성을 살펴봤었다. 오늘은 URL 발생 추이를 분석해보자. 

참고로 Windows 웹 로그 필드 중 cs-uri-stem은 URL, cs-uri-query는 '변수=값' 영역에 해당된다.


일단 cs-uri-stem의 전체 발생 분포를 확인해보자.

2016년 3월 12일 토요일

경쟁의 정의를 다시 쓰는 프로듀스101

어렸을 때 라이덴이라는 오락실 게임을 좋아했었다. (총알이 레이저로 바뀔 때 쾌감 쩔었음) 한 게임에 세 판까지 할 수 있었던가? 항상 시작은 여유로웠지만 마지막 판이 끝날 때면 무척이나 아쉬웠던 기억이 난다. 기회를 한 번만 더 주면 잘 할 수 있을 것 같은데..


2016년 3월 10일 목요일

LogParser 활용(Web Log 이상징후 분석 - 3rd)

오늘은 500 응답코드의 급증 원인을 확인해보자. 일단 500 응답코드를 발생시킨 출발지 IP와 해당 IP가 접근을 시도한 웹 문서(URL) 현황은 다음과 같다.

접근 IP 내역

2016년 3월 4일 금요일

LogParser 활용(Web Log 이상징후 분석 - 2nd)

지난 글에서 Windows 웹서버의 404, 500 응답코드 이상징후를 발견했다. 증가 시점을 기준으로 응답코드별 발생 주체와 발생 내역, 즉 출발지 IP와 접근을 시도한 URL(로 접근 가능한 웹 문서) 현황을 확인해보자. 확인 결과 및 사용한 쿼리문은 다음과 같다.


2016년 3월 2일 수요일

LogParser 활용(Web Log 이상징후 분석)

2016년도 벌써 3월. 작심삼일을 앞으로 백번 정도만 더 하면 올해도 다 가겠지(..) 개인적으로 10여 년 이상 로그 분석 업무를 해오면서 느낀 점이 하나 있다면 내가 나름 운이 좋은 놈이라는 거. VIM, 엑셀과 함께 LogParser를 알게 됐으니까.

이 분석도구 3총사를 알지 못했다면 진작에 다른 일 알아보지 않았을까? 일전에도 잠깐 소개했지만 LogParser는 정말 많은 일을 할 수 있다. 그래서 일 많이(?) 하고 싶은 사람들을 위해 활용 사례를 소개해볼까 한다. 첫 번째는 Windows 웹서버 로그 분석 사례.

하루 8만 줄이 넘어가는 로그

2016년 2월 25일 목요일

정규표현식 학습 사이트

정규표현식을 쓰다 보면 종종 형편없는 가독성에 학을 떼곤 하는데, 그럴 때마다 정신줄을 붙잡게 도와주는 사이트가 몇 개 있어 소개할까 한다. 첫 번째 사이트는 Snort 분석 사례에서 몇 번 소개했었던, 정규표현식 구조를 도식화해주는 regexper.com.


2016년 2월 21일 일요일

Security Intelligence

몇 년 전부터 'Security Intelligence'란 단어가 업계에 자주 등장하는 듯하다.


보안 인텔리전스? 보안 지능? 똑똑한 보안? 사방에서 멋드러진 그림 그려가면서 이렇게 해야 한다, 저렇게 해야 한다. 서로 앞다퉈가며 이거 할 수 있다, 저거 할 수 있다고 자랑하는데 구체적으로 뭘, 어떻게 하라는 건지 솔직히 잘 이해가 가지 않았다. 분명히 좋은 소리인 거 같은데(..)

2016년 2월 13일 토요일

네이버 라인 소송전을 바라보면서

네이버 라인 소송 판결 때문에 꽤 시끄럽다. 

전말은 이렇다

① A씨, 2010년 4월 'line.co.kr' 도메인 등록
② 라인코퍼레이션, 2015년 1월 'line.co.kr' 도메인 말소 조정 신청

네이버는 A씨가 적법한 절차를 거쳐 선점한 도메인의 말소를 신청했다. 그리고 재판부는
① 네이버의 '라인'이 유명(?)하니 네이버만(??) '라인'이란 보통명사를 쓸 수 있고(???),
② A씨가 네이버의 도메인 양수 요청 대가로 미화 10만 달러를 요구한 것은 '부정'하다며 네이버의 손을 들어줬다.

2016년 2월 5일 금요일

정보보호 인증의 한계

지인으로부터 보안 담당자를 구하는 기관이 있는데 지원해볼 생각 없냐는 연락을 받았다. (굶을까 걱정해주는 분이 은근 많음 -_-) 좋은 일 없냐는 둥, 칼 뺐으니 무라도 썰어야 한다는 둥 시시콜콜한 잡담을 나누다 결국 언제 술 한 잔 하자는 말로 전화를 끊었다.

주고받는 얘기 가운데 올해 ISMS 의무 인증 대상이 확대되면서 보안 인력 구인이 늘었다는 얘기도 슬쩍 들리고.

그러고 보니 작년부터 대목을 기대하며 인증심사원 자격을 준비하는 이들이 주위에 좀 보이는 듯. 인증 분야는 관심 밖이긴 하지만 어쨌거나 보안 수요가 늘고 있다니 동업자 입장에서 반길만한 일인 듯하다. 다만 커지는 규모만큼 내실도 좀 다졌으면 하는 생각이 든다. 그만큼 말이 많기 때문.

2016년 2월 1일 월요일

사전예방 관점의 로그 분석

어제 로그 분석의 어려움, 특히 왜 사전예방 관점의 접근이 어려운지에 대한 얘기했었다. 어렵다고 언제까지 손 놓고 있을 수는 없다. 까짓거 한 번 해보자.

'6.25 해킹 사태'와 함께 2013년을 떠들썩하게 했던 '3.20 해킹 사태' 이후 APT 공격 징후 및 피해 내역, 발생 경위 파악을 위한 필수 정보로 Windows 운영체제 구동 과정에서 발생하는 거의 모든 정보를 담고 있는 Event Log가 주목을 받기 시작했다.

기껏 확보한 좀비PC를 죄다 날려버린 3.20

2016년 1월 31일 일요일

알고 보면 쉬운 로그 분석

어느 기관 강의 갔다가 생긴 일. 높으신 듯한 분과 점심을 먹게 됐는데, 식사 도중 어떤 과목을 강의하냐 물어서 '로그 분석'이라고 했더니 한마디 하시더라.
제일 쉬운 거네 (예리하시다고 칭찬해드림 -_-)

2016년 1월 22일 금요일

지혜의 심리학

나이 먹을수록 내 마음도 잘 모르겠고, 사람들 마음은 더 모르겠고 해서 시작한 게 심리학 관련 책 읽기.

자기계발류인 '착각하는 CEO'란 책을 보다가, 여러 심리학 연구를 기반으로 의사결정의 오류를 설명해주는 과정이 제법 그럴싸하다는 생각이 들어서 이후 관련 책들에 관심이 갔던 것 같다.

'지혜의 심리학'도 그렇게 보게 된 책이다. 작년에 '이끌지 말고 따르게 하라'를 출간한 심리학자 김경일 씨의 2013년 작.

('지혜의 심리학'을 재미있게 읽은 편이라 심리학자의 관점에서 리더십을 얘기한 '이끌지 말고 따르게 하라'도 읽을까 하다가 리더십은 결국 인성이란 한줄평을 보고 급 시무룩해 하는 중)

여러 심리학자들이 던졌던, '인간은 왜 종종 불합리한 의사결정을 하고야 마는가?' 라는 질문을 저자 역시 던진다. 인간은 왜 상식적으로 이해하기 힘든 사고를 하고, 그 사고를 기어이 행동으로 옮기는 걸까?

2016년 1월 15일 금요일

닫았다 열까 열었다 닫을까

1992년 휴학 후 영장 나오길 기다리면서 읽었던 책. 10여 년의 청소년 상담 경험을 저자가 글로 엮은 것인데, 대부분 사랑 타령이다. 저자는 '상담가가 쓴 사랑론'이라고 주장.

약속 시간이 남아 서점에서 시간 때우던 중 경기고, 서울대라는 엘리트 코스의 선입견과는 달리 매우 친근한 인상의 저자 사진에 끌려 선택했던 기억이 난다. (고3 담임 선생님과 매우 흡사했음)

가벼운 마음으로 고른 책이었지만 어린 나에게 삶의 방향성? 같은 걸 보여준 책이 아니었나 싶다.

이 책을 보기 전이나 후나 변함없는 나로 살았지만 가슴 한 켠에 남아서 이따금씩 생각나는 정도?

오랫동안 까맣게 잊고 지내다 얼마 전 고향 집에 갔다가 우연히 발견하고는 반가운 마음에 냉큼 집어왔는데, 너무 더러워져서;; 다시 읽을 생각을 못 하고 있다가 중고로 다시 구입.

2016년 1월 12일 화요일

공인인증서를 둘러싼 감정과 대립

꽤 오랫동안 오픈넷 등을 중심으로 공인인증서에 대한 문제 제기가 있어 왔고, 그 주장의 타당함이 받아들여져서인지는 모르겠지만 공인인증서 의무사용 조항은 2014년 전자금융거래법 개정과 함께 사라졌다.

물론 여전히 공인인증서는 금융 거래의 필수 조건. 그래도 ActiveX에 의존하지 않는 공인인증서로의 변신 가능성이 갈수록 높아지고 있으니 바람직한 문제 제기가 아니었다 싶다.

그런데 이런 법 개정에 대한 불만, 공인인증서 자체가 폐기될지도 모른다는 불안을 느낀 사람들이 많았었나 보다. 최근 소위 '핀테크' 바람을 타고 결제 수단의 보안성이 강조되면서 그동안 공인인증서의 문제 제기에 앞장서온 오픈넷 등을 (비판이 아닌) 비난하는 여론이 나타나기 시작한 것.

2016년 1월 3일 일요일

2015년에 있었던 일

겨우 사흘 지났는데 작년이라니 뭔가 좀 웃기지만, 아무튼 작년에 신상에 변화가 좀 있었다. 일단 백수가 됐고, 잠깐 눈물 좀 닦고 책을 하나 쓰기 시작했다. 원래 작년에 끝낼 작정이었는데(..)

블로그도 본격적으로 시작했다. 고등학교 때 이후로 써본 적이 없는 일기를 다시 쓰는 기분. 고딩 때부터 써왔던 일기장은 군대 가져갔다가 당장 집으로 돌려 보내라는 조교의 불호령에 쿨하게 소각장에서 태워버렸지. 나중에 땅을 치고 후회했지만 그 때는 때려 죽여도 집에 보낼 수 없었다. -_-

그리고 또 뭐가 있나? 어깨가 아프구나. 여름부터였나? 일상 생활할 때는 모르겠는데 수영만 하면 어깨가 조금씩 아파서 그럴 때마다 얼음 찜질 해주면서 무시했는데 최근에 좀 많이 아파서 병원 갔더니 어깨 근육에 염증이 생겼다고.

신기한 게 수영할 때는 처음엔 좀 아픈 듯 하다가 점차 통증이 사라지는데, 수영 끝나고 나면 다시 아파온다는 것. 군대에서 물집 잡힌 발로 걸으면 아픈데 뛰면 아프지 않았던 경험과 비슷하다.

크리에이티브 커먼즈 라이선스