안녕하세요. 돗개입니다. 이번 포스팅은 보안전문가가 되기 위해서는 기초적으로 무엇을 공부하고 어떻게 준비해야 하는지에 대해 포스팅해보려고 합니다. 우리나라에는 수많은 대학교들이 존재하고 그 대학교들 중에 또 많은 컴퓨터공학부, 정보보안학과, 정보통신학과 등 컴퓨터와 관련된 전공이 굉장히 많습니다.
컴퓨터 관련하여 또 다양한 직업들이 존재하죠. 개발자, 운영자, 데이터 분석, SI, SM 등등 어마어마하게 많은 직업들이 존재하죠. 이 포스팅은 정보보안 꿈나무들을 위해 준비해보았습니다.
정보보안이란 무엇일까요? 간단히 말하자면 우리의 정보 자산을 외부로부터 지키는 것입니다. 정보 자산이란 내 서버에 존재하는 고객 정보, 중요 데이터 등이 될 수 있습니다. 이 외에도 민감한 정보들을 보호하는 것입니다. 아마도 보안전문가가 되기 위해 많이 검색하고 찾아보셨으니 잘 알고 계실 겁니다.
그렇다면 왜 화이트해커 혹은 보안전문가가 되고 싶으신가요? 보통 유명한 화이트해커 분들도 계기가 있습니다. 해킹을 주제로 한 게임을 해보고, 영화(다이하트4가 유명하죠?)를 보고, 게임 핵 혹은 불법 매크로를 만들다 보니 어느새 정보보안을 하고 있었다고요. 저 또한 마찬가지입니다. 한 때 던파라는 게임에 푹 빠져있었는데 제 계정이 해킹당한 이후로 컴퓨터 공부를 하게 되었죠.
하지만 하고 싶다고 해서 해킹, 크래킹을 할 수는 없습니다. 해킹을 하기 위해서는 많은 공부를 해야 하고 컴퓨터 기본 지식이 있어야 하기 때문입니다. 그렇다고 처음부터 전문 서적을 사서 볼 필요는 없습니다. 오히려 전문 서적을 보면 너무 어려워서 그만두게 되니깐요.
그렇다면 어떻게 준비해야 하고 무엇을 공부해봐야 할까요? 저 또한 이 부분에 대해 엄청나고 고민해보고 삽질도 많이 해봤습니다. 그러다가 기본부터 충실히 해보자는 마인드로 웹 개발을 시작했습니다. 시스템 해킹, 네트워크 해킹, 리버싱 등 다양하게 있지만 가장 빠르게 실력이 늘며 장벽이 가장 낮은 건 웹 해킹이 맞습니다.
그렇기 때문에 웹 개발 공부를 먼저 하셔야 해요. 이게 꼭 이것부터 해야 한다는 것은 아니지만 쉽고 재미가 있어야 공부도 진행이 되기 때문에 감히 추천드립니다. 웹 해킹을 하기 위해서는 HTML, Javascript, php, jsp, ASP 등 웹 개발 언어를 잘 알아야 합니다. 기본적으로 웹은 해당 언어들로 만들어지고 개발을 할 줄 알아야 취약점도 잘 찾는 법입니다.
제가 대학생 시절 보안 동아리장이었는데 동아리에 새로 들어온 후배들에겐 웹 개발부터 시켰습니다. 본인이 원하는 웹 개발을 마친 후배들 모두 만족하며 공부가 많이 되었다고 했습니다.
보안 공부는 따로따로 있는 것이 아닙니다. 웹 해킹은 네트워크 해킹과도 시스템 해킹과도 연결이 됩니다. 간단한 시나리오를 써보자면 공격자가 내가 소속된 회사의 자산을 노리고 있으며 공격자가 원하는 자산은 고객 정보입니다. 공격자는 당연히 고객 정보를 탈취하기 위해 시스템 즉 서버에 접근을 해야 하는데 무작정 시스템으로 접근할 방법은 없습니다. 때문에 해당 서버와 연결된 웹을 통해 서버로 접근해야 합니다. 하지만 일반적으로 웹에 접근하면 차단이 될 것입니다. 네트워크 HTTP 메서드를 변조(이것이 네트워크)를 해서 접근하여 웹을 속이고 데이터베이스에 접근합니다.
보통 이런 식입니다. 웹은 웹 서버, 데이터베이스 등이 연결되어 있고 웹 서버와 데이터베이스 서버를 연결하기 위해서는 네트워크가 필요하고 다 두루두루 알고 있어야 하는 것입니다.
그럼 다시 돌아가서 왜 웹 개발부터 진행해야 할까요? 웹 개발을 하다 보면 개발 도중 데이터베이스도 개발해봐야 하며 개발된 것을 연결해봐야 합니다. 즉 웹 개발을 하다 보면 깊숙이는 아니더라도 두루두루 공부하게 되는 것입니다. 일단 저는 그렇게 공부하였고 크게 도움이 됐다고 생각합니다.
어디서 공부하는 게 좋을까요? IT 학원을 가야 할까요? 아니요! 학원을 가는 것은 선택이지만 학원에서 배우는 것들은 모두 독학으로 할 수 있습니다. 속도 차이는 당연히 날 수 있지만 그러기에는 학원비가 너무 비싸요. 저는 비추천입니다.
인터넷에 검색을 해보면 정말 많은 정보들이 있고 그것들을 모아 자신의 것으로 만들면 되는 것입니다. 제가 한 사이트 추천드리자면 생활코딩(https://opentutorials.org/)입니다. 아주 질 좋은 영상들이 많으며 강의해주시는 '이고잉'님을 존경하게 되실 겁니다.
해당 포스팅을 작성하다 보니 저의 부족한 점들이 보이네요. 저 또한 아직도 공부 중이고 더 고차원적인 공부를 해야겠습니다. 공부를 바탕으로 포스팅을 하고 제 포트폴리오로 만들어야겠지요. 이 포스팅은 정리가 잘 되지 않았습니다. 그저 생각나는 데로 작성한 탓인데요. 그럼에도 처음 공부를 하기 위해 이것저것 찾아보시는 분들에게 도움이 되었으면 좋겠습니다.
전문가분들이 찾아보시다가 쯧하고 지나 갈 수도 있겠지만 뭐 어쩔 수 없죠. 제가 부족한 탓이니깐요. 여러분 정보보안에 재미를 못 붙이셨다면 하지마세요.
'잡소리 돗개 > 댕소리' 카테고리의 다른 글
| [정보보안] 보안관제를 하기 전에 기본적으로 알고있어야 하는 것 #1 (0) | 2020.09.17 |
|---|---|
| 애드핏 컨텐츠 부족 심사보류 (5) | 2020.04.13 |
| [정보보안] 보안관제의 현실과 고증 (11) | 2020.03.31 |
댓글