회사에 입사한지도 1달이 되어갑니다. 일산이라는 동네를 잘 알지는 못하지만 대체로 조용하고 서울처럼 높은 건물도 없어서 개방감도 들고 살기에는 참 좋은 것 같습니다. 출퇴근 편도로 2시간씩만 안걸린다면 말이죠. 각설하고 드디어 저도 업무가 생겼습니다. 그간 적응이라는 이름의 깍두기였는데…

담당업무

정보보안솔루션

인수인계 받은 솔루션은 다음과 같습니다.

1
2
3
4
5
6
7

스팸 차단 솔루션
유해사이트 차단
망연계 솔루션
APT (네트워크, 메일, 백신)
내PC지키미
데이터 유출방지 솔루션
서버 개인정보 검출 솔루션

이렇게 놓고보니 많은 것 같지만 업무 강도가 높지는 않았습니다.
정보보호 솔루션은 이벤트 발생 시, 직원 문의사항에 대한 대응이 주요 업무였고, 개인정보보호 솔루션은 개인정보보호법을 준수하기 위한 활동의 보조기구 같은 느낌이였습니다.

가명정보 키 관리

사실 이 부분이 인수인계(?) 받으며 제일 이해가 안되는 부분이였습니다. 전임자도 없었고 업무가 완전히 새로 만들어진 터라 무엇을 해야할지도 감이 잘 안잡히는 것 같았습니다만, 업무를 요약해보면 다음과 같습니다.

식별에 사용되는 특정 키 값을 별도의 다른 키 값(가명키)으로 대체해주는 작업

말은 거창하지만 실상은 DB Query를 짜는 일이였습니다. 뼈대가 되는 Query만 잘 짜두면 일 자체는 쉬워 보였지만 문제는 운영 정의서?를 만들어야된다는 점이였습니다.

마치며

인수인계(인수인계서 같은게 없는건 좀 이상하긴했지만)를 받으며 공공기관의 업무특성(?)에 대해서도 조금이나마 알게 된것 같습니다. 정책 하나를 추가/변경하더라도 이에 대한 근거가 필요하고 이에 대한 결과를 보고하는 절차를 전부 공문으로 처리하여 하나의 프로세스화 한 것이 인상적이였습니다. 바꿔말하면 근거가 없다면 움직일수가 없다는 점은 좀 답답할 것 같다는 생각도 들었네요.

이상입니다.

홈프로텍터로서의 1달을 보내고 좋은 기회가 있어 공공기관(병원)에 전직 퀘스트를 받으러 갔습니다. 특이사항으로는 정보보호팀이 생긴지 얼마 안됐다는 것이 특징이였습니다.

주요업무

주요 업무 중 관심이 갔던 건 개인정보보호 업무였습니다. 그중에서도 정보보안기사 문제로만 봤던 가명처리 담당 업무가 있었습니다. 그 밖의 업무는 정보보안/개인정보보호 솔루션 담당, 각종 보안감사 지원 등이 있었습니다.

조건

경력이 홈프로텍터 말고는 경력이 없던 저에게는 공공기관이라는 네임벨류와 주요 업무의 시너지가 향후 커리어에 있어서 상당히 메리트가 있다고 생각됩니다.

다만 아쉬운 점은 거리가 집에서 출퇴근 편도로 2시간이 거리는 치명적인 단점이 있지만 고민은 합격하고나서 해도 늦지 않아보입니다.

면접

면접은 면접자로 정보보호팀 팀장님과 파트장님이 들어오셨고 피면접자는 저 외 1인으로 진행되었습니다.

면접 질문은 자소서/인성 관련 질문으로 나누어 진행되었습니다. 자소서 관련 질문에 대한 답은 어려움 없이 했습니다. 자소서에 대학원시절 서버 운영 경험이 있어 그 부분을 신기해 하셨습니다. 인성관련 질문은 그때그때 답해서 사실 기억이 잘 나지 않습니다.

합격이 된다면 신입의 입장으로선 커리어 면이나 배움의 기회에는 정말 좋겠지만 거리가 멀어서 출퇴근이 매우 힘들어보입니다.(두시간 걸리는데 8to5는 아무래도 좀) 만약 붙고 오래 일할생각이 있다면 자취를 고려해야 할 것 같습니다.

지난 2월 26일에 시험본 데이터 분석 준전문가에 합격했습니다. 사회복무요원 소집 해제와 겹처서 공부시간도 많이 부족했고 기존에 쓰던 용어들과 차이가 있어서 불안불안 했지만 합격하게 되었습니다.

가채점 결과

신기하게 ADsP는 합격 발표일인 3월 25일 전인 3월 21일에 가채점 결과가 나왔습니다. 아마 단답형 문제들이 있어 이의신청을 위해 있던 것이 아닌가 싶습니다.

시험 개요

시험 시간: 90분
문항 수: 50문항(객관식 40문항, 단답형 10문항)

• 데이터 이해: 객관식 8문항, 단답형 2문항
• 데이터분석 기획: 객관식 8문항, 단답형 2문항
• 데이터분석: 객관식 24문항, 단답형 6문항
  배점
• 객관식: 80점(각 2점)
• 단답형: 20점(각 2점)
  합격 기준: 60점 이상

공부 방법

기간

하루에 2시간 2주 정도 준비했습니다. 개념 정리가 끝난 뒤엔 문제를 풀면서 오답 노트를 개념 정리 본에 추가하면서 공부했습니다.

책

영진 닷컴의 이기적 ADsP 교제를 사용했습니다. 시험 자체가 문제은행 방식이다 보니 문제가 많은 것이 큰 도움이 되었습니다.

정리

책을 한번 정독한 뒤에 다시 타이핑 해서 정리했습니다.

다음은 개인정보 관리사 혹은 정보보안기사 합격 후기를 가져오겠습니다.

세계에서 가장 각광받는 직업. 주 7일 24시간 근무에 봉급은 거의 없는 빡센 직업이지만, 의식주를 완벽하게 해결해주고, 일이라고 해봤자 자택 안에 거주하기뿐이기 때문에, 이 조건만 충족하면 무엇이든지 해도 된다. 부모님이라는 존재는 이 직업을 굉장히 싫어한다.
자택경비원, 나무위키

작년 6월에 썻던 목표에 이어 소집해제 후기로 찾아왔습니다. 소집 해제 한지 이제 한달 가까히 되어가네요. 대한민국 소속 요원에서 자택 경비원으로 전직했습니다. 왠진 모르겠지만 홀가분한 기분입니다.

하반기 목표 현황

목표

자격증 취득

• AWS-SOLUTIONS-ARCHITECT-ASSOCIATE
• Azure AZ-500
• SQLD(가능하다면 SQLP 까지)
• 정보보안기사

블로그 1일 1포스팅
알고리즘 공부
영어 공부
공모전 준비

달성

AWS-SOLUTIONS-ARCHITECT-ASSOCIATE

SQLD(가능하다면 SQLP 까지)

블로그 1일 1 포스팅(부분 달성)

공모전 준비

아무튼 준비 부족으로 보안기사를 따지 못한건 많이 아쉬웠습니다. 이번에 꽤나 쉽게 나와서 단답형 두 문제만 맞췄더라면 합격했을텐데.. 앞으론 시험을 주관하는 곳이 바뀌기 때문에 다시 준비해야 할텐데 큰일입니다.

한 달 사이에 했던 것들

AWS SSA 책 집필

공동 저자의 형태로 책을 쓰게 되었습니다. 제가 풀었던 문제들을 응용해 만든 문제들이 수록됩니다. 5월 쯤에 출판한다고 하네요

ADsP 합격

사회복무요원 소집해제일 다음날에 시험을 봤습니다. 준비 기간이 길지 않고 신경쓸 것들이 많아서 공부를 많이 못했는데 운 좋게 합격할 수 있었습니다. 시험 보고 집가는길에 저희 집 대장님(아버지)이 코로나 확진 받으셔서 저도 2일간 자가격리 했던 헤프닝도 있었네요.

IBM Cybersecurity Analyst 취득

IBM Cybersecurity Analyst를 취득했습니다. 전부 영어로 된 것이 좀 부담스러웠지만 보안기사와 겹치는 부분이 많아 어찌어찌 취득할 수 있었습니다.

국립 암센터 면접

서류 전형에 합격해 면접을 볼 수 있었습니다. 면접 준비를 하려고 해도 간호사, 의사, 연구원에 대한 정보는 찾을 수 있어도 정보보호 팀에 대한 자료는 찾을 수 없어 준비가 좀 덜 되었습니다.

어김 없이 올해 상반기 목표

보안기사

이젠 좀 따고싶습니다. 운이 부족할때도, 실력이 부족할때도 있었지만 너무너무 아쉬웠습니다. 제일 많이 준비했는데 제일 많이 떨어졌습니다. 이번엔 합격하고 싶습니다.

개인정보 관리사

요즘 특히 관심있는 분야가 ISMS와 PIA입니다. PIA는 해당 업무의 3년 경력 혹은 개인정보관리사 + 1년 경력이 있어야 응시자격이 주어집니다. PIA 응시자격을 위해 준비하고 있습니다. 시험 비용이 만만치 않고 인기가 없는 시험이라 그런가 자료도 없고 참 막막합니다.

취업

막연하게 취업 이라고만 적어두지만 꽤 이름 있는 회사에 들어가고 싶습니다. 다른 대기업 이직이 편하다고 들어서 ㅎㅎ

마치며

시기가 맞아 소집 해제 이후에 자격증 취득 뿐만 아니라 여러가지 일을 할 수 있었습니다. 특히 집필과 면접은 처음 해보는 일이라 조금 서툴렀지만 좋은 경험이 되었습니다. 이런 경험들이 쌓여 나만의 스토리를 만들 수 있는 사람이 되고 싶습니다.

대칭키: 기밀성 무결성
비대칭키: 기밀성, 무결성, 인증
hash: 무결성
MAC: 인증, 무결성
디지털 서명: 부인방지, 인증, 무결성

암호학의 기본 개념

암호화: 평문(P) -> 키(K) -> 암호문(C)
복호화: 암호문(C) -> 키(K) -> 평문(P)

암호화 시스템의 요소

공개

암호 알고리즘, 키의 길이

• 알려져도 평문을 알아낼 수 없음

• 비공개

  암호화 키
• 알려지면 평문을 알아낼 수 있음

Clusting(Key Clusting)

다른 키로 암호화를 했지만 암호문이 같아지는 경우

• 이런게 발생하는 암호화 알고리즘은 사용하면 안되는 것
• hash에서는 이것을 Collision(충돌) 이라고 한다

전치와 치환

전치: Transposition, 위치 변경
치환: Substitution, 값 변경

전치 암호

평문의 문자를 암호문 전반에 퍼트린다

• 확산: 평문의 통계적 성질을 암호문 전반에 퍼뜨려 숨김
• Shifting

치환 암호

평문의 문자를 다른 블록으로 대체

• 암호화 키의 상관 관계를 숨김
• 단일 치환은 빈도 분석을 통해 해석 가능

블록, 스트림 암호

블록 암호

Feistel 구조

암호화 함수 = 복호화 함수

• DES, SEED 등

SPN 구조

암호화 함수 != 복호화 함수

• AES, ARIA 등

스트림 암호

스트림 암호는 암호화의 특성 상 동기화가 필요하다

동기식 스트림

키 스트림이 어떤 것에 영향 받지 않고 계속 생성해 암호화에 사용

• 전송 중 변조되어도 오류의 영향을 받지 않음

비동기식 스트림

키 스트림이 암호문에 영향을 받아 복호화에 필요한 키 스트림을 생성

• 전송 중 변조되면 복호화에 영향을 받는다

암호화 알고리즘

국내 암호화 알고리즘

암호 분석

암호문 단독 공격(COA: Chiper Only Attack)

어떤 암호문을 얻어서 대응되는 평문과 키를 찾는 공격

기지 평문 공격(KPA: Known Plaintext Attack)

여러개의 평문과 암호문의 관계성을 조사하는 공격

선택 암호문 공격(CCA: Chosen Chiphertext Attack)

암호문을 통해 대응되는 평문을 얻을 수 있는 경우 공격이 가능

선택 평문 공격(CPA: Chosen Plaintext Attack)

평문을 통해 대응되는 암호문을 얻을 수 있는 경우 공격이 가능

암호 알고리즘의 안정성 평가

평가 순서

• 암호 알고리즘 평가 -> 암호 모듈 평가 -> 정보보호제품 평가 -> 응용시스템 평가

암호 알고리즘의 안정성

• 암호 해독 비용 > 정보 가치
• 암호 해독 시간 > 정보 유효 기간 초과

CMVP(암호 모듈 안정성 평가)

• 암호 기술의 구현 적합성, 암호 키 운용 및 관리, 물리적 보안 등
• KCMVP: k-암호모듈인증

CC(Common Criteria)
정보보호제품 평가

접근통제

구성 요소

식별(Identification)

사용자 ID를 확인하는 과정

• root, admin, system, sys
• net localgroup administrators

인증(Authentication)

사용자가 맞음을 시스템이 인정하는 것

인가(Authorization)

파일을 읽고, 쓰고, 실행시킬 수 있는 권한을 부여

접근통제 원칙

최소 권한의 원칙

권한의 남용을 방지하기 위함

직무 분리의 원칙

보안관리자와 감사, 개발자와 운영자

• devops는 직무분리가 안된게 아니다

접근통제 기술 정책

MAC(강제적 접근통제): 관리자에 의해 권한 할당
DAC(자율적 접근통제): 객체의 소유자에 의해 권한 할당
RBAC(역할기반 접근통제): 사용자의 역할에 따라 권한 할당
하드닝: 여러가지 설정으로 공격으로부터 시스템을 안전하게 지키는 방법

접근통제 모델

Bell-Lapadula(BLP) – MAC 모델

기밀성을 강조한 모델, 높은 등급의 정보가 낮은 등급으로 유출 방지

• No Read Up, No Write Down

규칙

• No Read-up(단순 보안규칙): 주체는 자신보다 높은 보안 등급의 객체를 읽을 수 없음
• No Write-Down(* 스타 보안규칙): 주체는 객체보다 높거나 동일해야 객체를 수정할 수 있음

Biba

무결성을 위한 모델(BLP를 보완)

• No Read Down, No Write Up

클락-윌슨

무결성 중심, 최초의 상업용 모델

보안용어 정리

자산

조직이 보호 해야 할 대상

취약점

정보 시스템, 정보보호 시스템의 결함 또는 손실(위협의 위험 대상)

위협

결함 또는 손실의 원인이 될 가능성을 제공하는 환경의 집합

위험(자산 x 위협 x 취약점)

취약점을 활용할 수 있는 가능성

정보보호

개념

정보의 수집, 가공, 저장, 검색, 송신, 수신 중에 발생하는 정보의 훼손 변조, 유출 등을 방지하기 위한 관리적, 기술적 수단 또는 그러한 수단으로 이루어지는 행위
기밀성, 무결성, 가용성, 인증성 및 부인방지를 보장하기 위하여 기술적, 관리적, 물리적 보호대책을 수립하는 것이다

정보의 가용성과 안전성

정보의 활용과 통제 사이를 조율하는 행위, 가용성을 극대화 하고 위협 요소를 줄이고 안전성을 극대화 하기위해 통제해야 한다

목표

기밀성(Confidentiality)

인가(Authorized)된 사람, 프로세스, 시스템 만이 알 필요성(Need to Know)에 근거해 시스템에 접근해야 한다

• 허가받지 않은 정보 유출을 예방하기 위해 접근 통제, 암호화 수행
• 보안 등급(Security Label)을 부여

기밀성을 보장하기 위한 기술

• 접근제어, 암호화, 보안 인식 교육

기밀성 공격 방식

• Sniffing, 트래픽 분석

무결성(Integrity)

데이터가 불법적으로 생성, 변경, 삭제도지 않도록 보호해야 한다
무결성을 보장하기 위한 보안기술

• 접근제어, 메시지 인증, 디지털 서명, Hash

무결성 공격 방법

• MITM(Man in the Middle) Attack, Phising, Farming, 과도한 권한 집중 등
• 피싱: 위장된 홈페이지로 접속을 유도해 개인정보를 탈취
• 파밍: 피싱의 한 종류, DNS Spoofing이라고 불리며 정당한 URL을 입력해도 가짜 사이트로 이동

가용성(Availability)

시스템이 지체 없이 동작하도록 하고, 모든 서비스 사용자가 서비스를 거절당하지 않고 사용하는 것
가용성 보장 기술

• 데이터 백업, 이중화 구성, 물리적 위험 요소로부터 보호 등

가용성 공격 방식

• DDoS, DoS

인증성(Authentication)

송신자의 메시지의 출처, 데이터 정보가 신뢰할 수 있는지 확인할 수 있는 것

책임추적성(Accountability)

주체의 행동을 추적해서 찾아낼 수 있어야 한다.
주체가 잘못을 한 이후에 부인 방지를 할 수 없도록 한다.

• 디지털 서명, 포렌식, 디지털 워터마킹, 핑거 프린팅, 인증서 등을 활용

정보보호 관리

기술적 보호대책

데이터를 보호하기 위한 가장 기본적인 대책

• 접근통제, 암호기술, 백업, 보안성이 강화된 소프트웨어 사용 등

물리적 보호대책

자연 재해로부터 정보시스템을 보호하기 위한 대책

• 출입통제, CCTV, 잠금장치, 생체 인증 등

관리적 보호대책

위험 분석 및 감사를 시행해 정보시스템의 안정성과 신뢰성을 확보하기 위한 대책

• 보안인식 교육, 직무 분리, 감사 증적 등

정보보호 공격유형

Passive(수동적) Attack

시스템 자원에는 영향을 끼치지 않는 공격

• 스누핑, 트래픽 분석
• 정보를 수집하는 것이 목적
• 탐지 보단 예방이 중요

Active(능동적) Attack

시스템 자원에 영향을 끼치는 공격

• 수정, 삭제, 삽입
• 대부분 수동적 공격을 통해 얻은 정보를 바탕으로 공격
• 예방보단 탐지가 중요

변조(Modification)

원래의 데이터를 조작하는 행위

가로채기(Interception)

Sniffing

차단(Interruption)

정상적인 서비스를 방해하는 것

• DDoS, DoS

사이버 대피소

• KISA에서 운영하는 서비스로 DOS 공격 트래픽을 우회 시켜주는 서비스

위조(Fabrication)

상대방을 속여버리는 것

시점 별 통제

예방통제(능동적 통제)

사전에 위협과 취약점에 대처하는 통제

• FDS, 방화벽, 보안 인식 교육

탐지 통제

위협을 탐지하는 통제

• IDS, CCTV, 감사 로그

교정통제

이미 탐지된 위협이나 취약점에 대처하거나 위협이나 취약점을 감소시키는 통제

• 데이터 복구, 백업, BCP/DRP, 백신(예방부터 교정까지 가능)

여러분들은 공부하실때 어떤 매체를 사용해 공부하시나요? 저는 주로 책, 영상으로 사용해 공부합니다. 요즘에 와서야 youtube나 다른 강의들이 많아져 사용하고 있는데 예전엔 책을 가지고 공부했습니다. 예전부터 책을 쓰면서 불편한점이 한두가지가 아니였습니다. 책을 본다고 땅을 보다 모니터를 본다고 앞을 보는 걸 반복하다보면 목이 참 아파왔죠. 책 받침대도 써봤지만 목이 움직이는 것은 변함이 없었죠.

아무튼 의도치 않은 목 운동을 안하려고 대안을 찾던 중 책도 모니터로 보면 되지 않나! 라는 생각이 뇌리에 스쳐지나 갔고 홀린든 Ebook을 찾기 시작했습니다. 외국이야 Ebook이 많긴 하지만 우리나라 Ebook은 책의 종류가 많이 없었습니다. 특히 새로 나온 책들은 거의 없었죠.

아메리카 대륙을 발견한 콜롬버스처럼 발견해 버리고 말았습니다. “북 스캐너”

이 제품들을 보고 저는 몹시 기뻐했습니다. 드디어 지긋지긋한 목운동에서 해방인건가? 나도 있어보이는 IT인이 되는 것인가? 하고 말이죠 우선 어떤 스캐너를 사야할지 고민하다가 어차피 책 다시 팔것도 아닌데 시간도 노동력도 많이 사용하는 비파괴 스캐너보단 깔끔하게 작두와 파괴형 스캐너를 구매하기로 했습니다.

스캔은 간단합니다

스캔이 끝나면 전용 소프트웨어에서 관리할 수 있으며 pdf나 jpg 등의 확장자로 저장할 수 있습니다

사용하면서 가장 만족했던 것은 고개를 움직이지 않아도 된다는 것과 책을 들고다니지 않아도 된다는 점입니다. 스캔한 책은 PDF로 변환해 NAS에 저장해 사용하고 있습니다. 스캐너는 약 40~50권의 책을 스캔했지만 스캔 품질의 저하 없이 고르게 스캔되었으며 작두도 잘 잘리고 있습니다. 무엇보다 이중급지 문제가 발생하면 스캐너에서 알려줍니다(책을 잘 자른다면 이중 급지되는 일은 거의 없습니다).

여러분도 지갑이 허락한다면 북 스캐너와 작두 어떠신가요?

2022년 1월 24일 AWS SAA-C02에 합격했습니다

인증서가 국내 자격증과는 다른 맛이 있군요. 역시 비싼 값을 하는건가? 싶네요. 내가 처한 환경과 비용을 생각해 최선의 AWS 솔루션을 찾아내는 것, 이게 SAA-C02를 얻기 위한 시작이라고 할 수 있겠네요. 참고로 자격증은 3년의 유효기간이 있고, 이후엔 재취득 해야합니다.

AWS 자격증

AWS에서는 이러한 자격증이 있다고 하니 관심 있는 분들은 도전해봐도 좋을 듯 합니다. 저도 기회가 되면 Solution Architect Professional, Security Speciality에 도전해 보고 싶습니다.

시험 형식

문제: 65문제
시간: 130분(한국어로 응시하면 30분 연장 가능)
비용: $150
합격: 720/1000

시험은 문제은행 식으로 대부분이 4개의 선택지 중 1개를 고르는 문제이고 5개의 선택지 중 2개를 고르는 문제도 간혹 출제됩니다. 사실 가장 어려운건 비용이 아닐까요?

결과

결과는 시험을 본 뒤 바로 출력됩니다. 합격 확인은 하루 정도면 메일로 보내주며 자격증도 5일 이내로 메일로 전송되었습니다.

공부 방법

전 약 2주정도 공부했습니다. 이미 AWS 서비스에 대해 사전지식도 있었기 때문에 덤프 위주로 공부했습니다.

정리

도현 님의 깃헙을 참고해서 따로 개념정리 노트를 만들어두었습니다. 시험 전반적인 설명도 잘 되어있어 많은 도움이 되었습니다.

덤프

AWS SAA-C02 샘플 문제는 10문제 밖에 안되지만 문제가 이런식으로 나온다 정도로 확인하시면 됩니다.

가장 많은 도움이 되었던 것은 exam topic이였습니다. 사이트의 답안이 틀릴 수 있어 문제를 풀고 Discussion을 꼭 확인하셔야 합니다.

end

다시 한번 강조하지만 이 시험의 가장 큰 난이도는 비용이라고 생각합니다. 여러분들도 꼭 한번에 합격하길 기원합니다.

진작에 올려놨어야 했을 글들인데 한번에 몰아서 하려니까 힘들긴 하군요 역시 미루면 안된다는 걸 느끼고 있습니다. 공부 기간은 기존에 해놨던 공부를 정리하는 식으로 진행해서 약 4~5일 정도 소요 되었습니다. SQLP 자격증도 취득해야 하기 때문에 기본기인 SQLD를 확실하게 정리해두어 SQLP는 조금이라도 편하게 공부할 수 있도록 준비했습니다.

시험 개요

시험 시간: 90분
배점:100점

• 데이터 모델링의 이해: 20점
• SQL 기본 및 활용: 80점
  합격 기준: 60점 이상

들어가기 전에

저는 대학원에서 사이버보안을 전공했으며, 연구실에서 데이터베이스 구축 및 운영 경험이 있는 상태로 준비했습니다.

비교적 쉽게 합격할 수 있었습니다.

공부 방법

책

영진닷컴의 이기적 SQL 개발자를 사용했습니다. 개념이 깔끔하게 정리되어 있고, 교제에 해당하는 강의까지 들을 수 있었습니다.

정리

추후에 SQLP도 취득할 계획이 있어 꼼꼼하게 정리했습니다.


개념을 정리하면서 필요한 SQL문을 직접 사용해 보고 옵티마이저가 어떻게 실행계획을 세우는지까지 정리해 두었습니다.

이후에 교재에 있는 기출문제를 반복해서 풀고 틀린 부분에 대한 개념을 보강한 뒤 시험을 봤습니다.