2023년에 있었던 일

연말에 이제 늘어지면 되나 싶었는데 곰팡이 핀 귤 먹었다가 근 1주일을 장염에 시달렸다. 귤 사놓으면 항상 한두 개는 곰팡이가 폈지만 매번 그 부분 걷어내고 먹어도 탈이 없었는데 이번엔 좀 덜 걷어냈나?

정신 차리고 보니 23년 나흘 남았네. 올해는 어떻게 보냈을까? 일단 코로나 종식으로 강의 시장 조금씩 살아나나 싶어 반가왔던 한 해.

그동안 시큰둥해하던 신규 과정도 드디어 내년 오픈 확정. 출강 기관 요청으로 이상징후 분석/패턴매칭을 분리한 원안 대신 결합 과정이 포함된 수정안으로 바뀌긴 했지만. Snort 수요가 꾸준히 있기는 한가 보다.

신경쓰이는 부분도 있다. 강의 때 오타 발생 빈도가 자꾸 늘어남(..) 작년까지 일주일에 한두 번 수준이었다면, 올해는 거의 이틀에 한 번꼴? 대책이 필요해. 루테인같은 걸 먹어야 하나?

새로운 경험

처음으로 학생층 대상 강의 진행. 주로 컴퓨터/정보보안 전공생들이었는데 리눅스 경험 부족한 이들이 많아서 의외였다. 강의 때마다 리눅스 기본기 있으면 보안을 하든, 뭘 하든 새로운 IT 기술 적응이 어렵지 않을 거다 떠들었는데 잘 전달됐을지 모르겠네.

오픈소스 없는 IT 세상은 상상도 할 수 없다. 그런데 그 오픈소스 대부분 리눅스 기반에서 동작. 리눅스에 익숙하면 반은 먹고 들어간다는 얘기. 미국애들이 오픈소스로 북치고 장구치는 이유가 아닐까?

후덜덜한 미국 꼬맹이들

한편으론 학생들에게 무리한 걸 바란 게 아닐까도 싶다. 과거 IDS 기술지원하던 시절 리눅스 몰라서 오직 매뉴얼대로만 기술지원 가능한 이들 많이 봤거든. 그런데 장비가 매뉴얼대로 안 돌아감 그들 잘못일까? 네트워크/방화벽 기술자 뽑아서 IDS 맡긴 회사 잘못. 

최초의 보안 장비인 방화벽은 네트워크 장비의 성격이 굉장히 짙다. 트래픽을 특정 목적지로 전달해주고, IP/Port 기준 허용/차단을 결정하는 (네트워크 장비의) 기능을 별도 구현한 게 방화벽. 그래서 많은 방화벽 엔지니어들이 네트워크 엔지니어 인재풀에서 유입됐고, 이렇게 만들어진 방화벽 인재풀은 자연스럽게 IDS/IPS 인재풀로 이어졌다.

재밌는 사건(?)도 있었다. 질문이 들어왔는데 시간이 오버돼서 궁금한 이 외엔 쉬는 시간 가지라 하고 진행한 질답 과정이 시끄러웠나 봄. 왜 쉬는 시간 뺏냐는 클레임 발생. 온라인이라 스피커만 끄면 되는데 처음엔 이게 MZ? 했지만, 한 명의 특징으로 전체를 일반화하면 안 되겠지.

강의장 분위기는 단기 직장인 과정과는 확실히 다르다. 다양한 커리큘럼으로 꽤나 빡세게 진행되는 장기 과정이라 흥미로워하면서도 좀 지친 모습? 그저 모두 취업 성공하기를.

출간

스플렁크 시리즈 두 권을 출간했다. 예상대로 시리즈 완성은 실패. 이벤트 로그편은 내년에 두고 보자. 그런데 쓰다 보니 재밌는 점 발견. 

분명 같은 주제를 거의 같은 방식으로 풀어나가는데 스플렁크 시리즈 분량이 더 적다. 스플렁크의 데이터 전처리 자동화 범위가 엘라스틱보다 넓다 보니 그만큼 전처리 작업 비중이 줄어서 발생한 결과. 

데이터 이해도가 충분하다면 스플렁크의 데이터 전처리 기능을 등에 업고 빠른 분석이 가능하다는 얘기. 반대로 데이터를 잘 모른다면? 남이 만들어준 데이터 구조에서 할 수 있는 건 별로 없을 것이다. 궁금한 게 없다면 아예 시작을 못할 것이고.

그런데 엘라스틱, 정확히는 로그스태시의 부족한 전처리 자동화 기능은 데이터 이해도를 높이는 데 도움을 줄 수 있다. 원하는 데이터 구조를 한 땀 한 땀 만드는 과정에서 자연스럽게 데이터 학습이 이루어지니까.

그리고 엘라스틱도 filebeat 모듈 기능을 사용하면 대부분의 데이터 전처리를 자동화할 수 있다. 문제는 그놈의 ECS 때문에 원본 필드보다 열 배 이상 많은 빈껍데기 필드가 추가돼서 정이 안 감.

그래도 내년에 스플렁크 시리즈 완성하면 filebeat 활용편을 써볼까 싶다. 스플렁크 SPL만큼의 완성도를 보여준다면 ES|QL 버전도 써보고 싶고.

희망사항을 하나만 더 얘기하라면

CxO 대상 강의를 해보고 싶다. 마지막 강의 때 이상징후 분석의 목적이 이상징후가 되어서는 안 된다는 얘기를 했는데 한 분이 무척 공감하더라.  

이상징후 분석은 데이터의 상태를 정의하고, 그 변화를 정량적으로 측정 및 추적하는 것을 목적으로 삼아야 한다. 그 과정에서 정상의 범위를 알 수 있고, 자연스럽게 비정상과의 구분이 가능해지기 때문. - 엘라스틱서치로 알아보는 이상징후 분석

어떤 행위가 발생하지 않았다는 것을 아는 것은, 발생했다는 것을 아는 것만큼 중요하다 - 네트워크 보안 실무

보안 업무 최고 성과는 나쁜 일이 발생하지 않는 것. 그런데 이 성과를 인정받기가 쉽지 않다. 왜냐하면 아무 일도 없으니까(..) 그래서 보안팀은 항상 경영진 눈에 띌만한 액션이 고프다.

범죄자/북한군에 맞서는 경찰/군인을 바라보는 시선으로, 누군지 알 수 없는 적에 맞서는 정보보안을 바라보기 때문에 벌어지는 일. 

해킹을 '막고' 해커를 '잡는' 것이 아닌, 얼마나 '안전'한지 측정한 결과를 성과로 인정받을 수 있다면 좀 낫지 않을까? '측정'은 어떻게? 블로그 7할은 '측정' 글인데(..)    

아무튼 그런 얘기를 해보고 싶다. 기술자와 경영진이 같이 바라볼 수 있는 방향이 생긴다면 좋지 않겠나. 그냥 그런 희망사항이 생겼다. 23년 잘 가고, 24년 잘 해보자. 한 해 동안 방문해주신 분들 모두 해피뉴이어~

관련 글

• 2022년에 있었던 일