뜨거운 여름 펼쳐지는 시원한 사이버 시큐리티 교육

ITL, ‘Cyber Security Summer 2015’ 8월 26~29일 코엑스서 개최

[보안뉴스 김태형] 사이버보안 전문교육 및 역량평가 전문기관 ITL은 2013년, 2014년에 이어 오는 8월 26일~29일까지 3일간, 서울 삼성동 코엑스에서 국내 유명 보안전문가가 참여하는 ‘Cyber Security Summer 2015’ 사이버보안 교육행사를 개최한다.

이번 행사는 침투시험, 침입탐지 기술, 침해사고 포렌식 기술 등을 배울 수 있는 교육과정이 개설되며, 시스템을 대상으로 해킹하면서 배운 내용을 익힐 수 있는 해커톤 프로그램이 처음으로 개설된다.

특히, 침투시험도구인 오픈소스 메타스플로이트 도구를 이용한 침투시험과정(M210), 웹 애플리케이션의 취약점 및 보안성을 평가할 수 있는 침투시험과정(M250)과, 윈도우 침해시고 포렌식 과정(M300) 및 침입탐지를 위한 로그분석 과정(M330) 등 4개 과정이 개설된다.

그리고 이번에 처음으로 침투시험 교육내용을 바탕으로 윈도우 또는 리눅스 기반의 시스템을 대상으로 취약점을 이용해서 시스템에 저장된 데이터를 최종적으로 획득하는 해커톤 과정도 개설된다. 모든 과정은 상세한 실무적인 기술과 실습을 통해 조직의 보안수준을 향상시킬 수 있다.

M210 과정에서는 침투시험 절차에 따라 메트스플로이트 프레임워크 활용에서부터 프레임워크 아키텍쳐 이해, 모듈 작성 방법, 자체 스크립트 제작 방법 학습 등을 통해 사용자의 요구에 맞는 메타스플로이트를 이용해 침투시험 방법에 대해 교육받는다.

웹 애플리케이션 침투시험(M250) 과정에서는 조직의 외부에 노출된 웹 서비스의 취약점을 직접 평가해 볼 수 있는 중급 수준의 강의 과정으로 교육생은 OWASP Top 10 등 다양한 웹 애플리케이션 취약점에 대해서 이해하고 다양한 프록시 도구를 이용한 취약점을 평가하는 방법을 배울 수 있다.

또한, WebGoat/DVMA과 워게임 사이트를 통해 실제 웹 취약점을 분석하는 실습시간을 가질 수 있다. 본 과정을 통해 공격자가 공격하기 전에 회사의 홈페이지에 존재하는 웹 취약점을 찾아낼 수 있는 방법과 취약점 방어 방법 교육도 진행된다.

윈도우 침해사고 포렌식 분석(M300) 과정에서는 F-Response, log2timeline, 레드라인(Redline), 볼라틸리티(Volatility), WinHex, EnCase, FTK 등 다양한 포렌식 분석도구를 활용하여 해킹된 윈도 시스템의 포렌식 분석 방법을 마스터할 수 있다.

또 침입탐지를 위한 로그분석 방법(M330) 과정은 이번에 2일 과정으로 업데이트되었으며 이번 과정에서는 외부의 침입을 정교하게 탐지하기 위해 패턴 매칭 기법을 공격 패턴과 함께 사용자 조직의 네트워크에 최적화하는 방법에 대해 이론과 실습을 통해 습득할 수 있다.

이번에 처음으로 선보이는 해커톤 과정은 수강생들이 M210 및 M250 교육과정에서 배운 내용을 바탕으로 인트라넷을 구성, 실제 CTF 방식으로 시스템을 대상으로 윤리적 해킹 실습을 통해 침투시험 기법을 배울 수 있는 과정이다.

수강생들은 윈도우 또는 리눅스 기반의 시스템을 대상으로 취약점을 이용해서, 시스템에 저장된 데이터를 최종적으로 획득하는 미션을 단계적으로 받으며, 문제를 풀면서 시스템 해킹 단계를 배울 수 있다. 이번 과정을 이수하면 수강생들은 조직의 시스템 및 네트워크 취약점 및 해커들의 공격방법을 이해할 수 있으며, 이를 바탕으로 조직의 네트워크를 안전하게 보호할 수 있는 역량을 제고할 수 있다.

ITL 진수희 이사는 “이번 행사에서는 해커들이 사용하는 취약점 공격 방법과 공격 탐지 기법, 해킹 후 포렌식 분석 등 조직에서 반드시 요구되는 사이버보안 필수과정을 포함하고 있어 교육을 통해 실무적인 사이버보안 대응력을 강화할 수 있을 것으로 기대한다”고 밝혔다.

한편, 이번 교육은 국내외 해킹대회 수상자, 前 정부기관 보안총괄 담당관, 포렌식 전문가인 서준석 씨, 김진국 씨, 강명훈 씨, 박상호 씨 등 현장 보안실무 전문가들이 대거 교수진으로 참여한다. 이와 관련한 자세한 사항은 행사 홈페이지(www.itlkorea.kr/css2015/)를 방문하거나 이메일(itl@itlkorea.kr)로 문의하면 된다.

[김태형 기자(boan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)