2022년 11월 25일 금요일

Snort 교육 안 하나요?

작년 말 신규 강의 소개를 올린 후 가끔 받는 질문. 기존 출강 커리큘럼에는 패턴매칭 방법론이 포함되어 있지만 새로 기획한 강의는 갈수록 줄어드는 니즈를 감안해 배제하게 됐다.

개인적으로야 패턴매칭과 이상징후 분석의 병행만이 최선의 네트워크 보안이라고 생각하지만 수요 없는 공급을 할 수는 없으니(..)

수요가 적은 이유는 일단 주 질문자인 취업준비생 등 학생층이 감당하기엔 출강 기관의 수강료 부담이 크고, 두 번째로 대부분 갑의 위치에 있는 기업 수강생들에겐 협력업체 업무(?)인 IDS/IPS 교육의 중요도가 낮아서가 아닌가 싶다.

물론 학생층을 대상으로 수강료 부담을 줄인 강의를 진행해볼 수도 있지만 그들에게 실제 도움이 될지에 대해서는 회의적이다. 내 강의는 패턴매칭 정확도 개선 방법론이 핵심인데 현장에서 그런 역량을 요구하지 않기 때문.

2014년부터 IDS 로그 분석 등 패턴매칭 방법론에 대한 강의를 하다가 이런 생각이 들었다. 보안 장비의 정확도 개선이 성과로 인정받기 어려운 분위기에서, 나조차 경영진 눈치 봐가며 시도해야 하는 방법론을 옳다고 강의하는 게 맞을까? 그래서 이상징후 분석을 해보자고 마음 먹었다. - 엘라스틱서치로 알아보는 이상징후 분석1st (250페이지)

snort 설치나 룰 관련 지식 정도는 취업 스펙으로 쓸모가 있겠지만 그정도는 인터넷에 흔한 상태라 습득이 어렵지 않고, 그 이상의 지식은 이미 얘기했듯이 현장에서 필요가 없다. 

현장에서

가끔 IPS 정책 점검 의뢰를 받는다. 대부분 보안(장비에 의한) 사고 이슈로 인해 내외부적으로 액션이 필요한 상황. 경보만 울리는 IDS는 사고 터져도 묻히기 쉬운데, IPS는 IDS와 유일하게 차별화되는 차단 기능 때문에 그러지 못할 때가 있다.

의뢰를 받고 가보면 보통 장비 제조사와 관제 업체, 사람 좋은 갑사 담당자가 모두 모인 현장을 경험하게 된다. 처음엔 좀 당황스럽다. 장비와 룰을 만든 전문가, 그 룰을 운영하는 전문가가 모두 있는데 나를 왜 불렀지?

갑사 입장
비싼 돈 주고 산 장비를 제대로 운영하려면 현장 환경에 룰을 커스터마이징하는 것이 필수지만, 그런 업무는 경영진 어필이 쉽지 않다. 보안 업무 최고 성과는 나쁜 일이 발생하지 않는 것. 잘 해야 본전이라는 얘기.

결국 조직 유지 및 성장에 기여했음을 어필하기 힘든 업무 성격상 보안 업무는 컴플라이언스 대응 위주로 돌아가게 된다. 이때 (보안 장비 정확도를 검증하지 못하는) ISMS 등의 인증은 어필하기 좋은 성과.

제조사 입장
위와 같은 이유로 룰 커스터마이징 수요가 없다. 즉 돈이 안 되는 시장이다. 돈이 되는 장비 만드는 데 역량을 집중할 수밖에 없다. 자연스럽게 룰 커스터마이징 역량이 쌓이지 않는다. 

국내만의 문제일까? 시스코나 IBM 장비 사도 룰 커스터마이징 안 해준다. 그런 미국이 전세계 트렌드를 주도한다. 그럼에도 장비 구매 조건에 룰 커스터마이징이 포함된다면 수단과 방법을 가리지 않고 지원해줄 것이다. 결국 수요가 있어야 공급이 생긴다.

관제 입장
최우선 업무는 정오탐 구분 및 상황 대응이다. 룰 커스터마이징 과정에서 룰 제조사와 의견 충돌이 발생할 수도 있다. 90년대에나 반짝했을 teardrop같은 룰을 2022년에도 운영할 필요가 있을까?

그럼에도 돈이 된다면 당연히 할 것이다. 하지만 수요도 없는 업무 때문에 동종 업계와 일부러 불편한 관계를 만들 이유는 없다.

이런 관계들이 얼키고 설킨 덕을 내가 본다. 현장이 달라도 상황은 거의 비슷하다 보니 일도 쉽다. 10년이 넘게 같은 보고서 돌려 쓰는 중.

IDS와 보안관제의 완성 (311페이지)

개인적인 바람이 하나 있다면 IPS 제조사들이 더 힘을 내서 모든 IDS를 빨리 윈백해줬으면 하는 것. 묻히기 쉬운 IDS는 이슈가 발생하기 힘들어서(..)
IDS는 IPS가 되어야 한다 - IDS와 보안관제의 완성 (457페이지)

패턴매칭 고급 과정이 수요 없는 공급이 될 수밖에 없는 이런 환경에서도 보안(관제?) 취업을 희망한다면 최소 스펙으로 빠르게 진입 후, 법적으로 수요가 보장된 인증 분야로의 전직을 추천. 결론은 그럼에도 snort 교육, 요청 있으면 합니다. 

댓글 없음:

댓글 쓰기

크리에이티브 커먼즈 라이선스