제가 해킹보안쪽으로 공부를 하고싶은데

해커가 되기 위해 필요한 공부는
크게 2가지 네트워크와 리버스 엔지니어링이죠.

말이 이 두가지지, 이를 배우려면 배경지식으로 여러 분야를 알아야합니다.
매우 광범위하고, 깊게 알아야하는데,

절대 학원에서 3,4년만에 배울 수 없습니다.
애시당초 3~4년 커리큘럼과정을 가진 학원도 없고요.
절대 학원은 비추입니다.

동아리나 모임, 포럼에서 정보교환하며 독학하는게 최고입니다.
지금은 어떤지 모르겠는데, 약 30년전~20년전까지만 해도 유닉스 환경이 구축된 곳이
카이스트,서울대,포항공대 정도 여서, 이 세곳의 동아리 출신들이 국내 해킹 탑 실력이였습니다.
해킹보안은 분야가 매우 좁고, 깊은 분야입니다. 국내 포럼에서는 찾기 힘들고 외국포럼에서 활동하셔야
합니다. 좁고 깊지만, 배경지식으로 알아야 하는부분은 네트워크부터 OS까지 매우 광범위 하고요.

국내 유명해커들은 전부 해외 포럼활동, 및 동아리 활동, 같이 해킹공부하는 그룹이
있었기에 많은 기술들을 익히고 응용하고 할 수 있었죠.

말씀드렸다 시피 OS부터 어셈블리,컴퓨터 구조, c 언어, 파이썬(필수는 아님, 곁다리로 배워두면 나쁘진
않음. 하지만 구지 필요한가 싶음), 리눅스 란 OS 이해. 는 기본으로 있어야 합니다.
당연히 책 한권으로 이해 할 수가 없죠. 전문가가 보면 내용은 없고, 목차 소개정도로 수박 겉핡기식의
해킹 이론 및 실습에 관해 기술한 책이 많더군요. 거기에 나와있는 내용중에 구식 기술도 많고,
현대에는 응용이나 재활용이 불가능한 쓰레기 기술도 많았고, 한마디로 그런 책들 중에 실제 해킹에 도움되는 부분은 1%도 없습니다. 핵심은 xx시 xx구 xx동 xx번지 인데, 시 외곽만 뺑글뺑글 도는 식의
내용이 없는 비전공자에게 흥미유발만 일으키는 내용을 가진 책들이 99%입니다(국내 출간서적의경우)

제가 국내 탑이라 생각하는 이정훈씨 같은 경우 방위 산업체로 일할때 보안쪽 사람들과 정보교환을 할 수있는 그룹이라는 환경적 요소, 본인 노력과 본인의 이해능력, 본인의 문제해결방식 선천적 재능으로 독학으로 그 위치까지 간 케이스죠.

전산학도 내지 컴공학도라면... 그 책이 단순 수박 겉핡기란걸 이해하실텐데,
프로그래밍은 기본으로 알고있다는 가정하에, 리눅스, 컴퓨터 구조, 알고리즘 을 배경지식으로 안 상태에서 네트워크(분야가 굉장히 넓습니다 이중 보안쪽으로 잘 파고드셔야 합니다) 와 리버스엔지니어링
(레드게이트사의 .넷리플렉트 나 소프트 아이스 , intermediate-language : 이 분야는 정확히 보안쪽이 아닌 디버깅 분야지만 연관이 있음)을 따로 공부하셔야 합니다.

결코 쉬운 분야가 아니며, 능력과 경력이 굉장히 중요한 분야입니다.

화이트 해커 경진대회 문제들을 보면 아시겠지만,
프로그래밍 실력, 컴퓨터 언어능력과는 다른 분야입니다,
백날 프로그래밍, 언어 배워봤자 프로그래머 그 이상 그 이하도 아닙니다.
프로그래밍 실무 능력 키우기엔, 학교보다 학원이 배로 낫습니다.
프로그래머 되는거도 학원이 낫고요.

그치만 보안전문가, 화이트 해커, 파워유저를 꿈꾼다면,
독학이 최고고, 그 다음으로 대학교육, 그다음으로 고교과정,
최악의 케이스가 학원입니다.

이 분야에 오랫동안 활동해오신분들은 백이면 백 다 저와 같은 소견일겁니다.

리버스 엔지니어링을 배우기 위한 최고의 방법은 독학입니다.(이정훈씨,홍민표씨 케이스)
하지만 죄다 이정훈씨나 홍민표씨가 아니죠, 환경과 기본베이스를 제공해주는 고교와 대학을
가는게 제일 중요합니다. 절대 c,java,python,assembly,리눅스 를 배우기 위해 학원 다니지 마세요.
거기 다니느니 수학학원을 다니라고 말씀드리고 싶을 정도네요.

고교시절 수학과 영어에 매진하시고,(그래야 독학이 됩니다)
대학을 전공하신후 보안전문가쪽으로 방향을 잡으면 됩니다.
전산학을 전공하더라도 분야가 굉장히 많습니다.

도대체 해커가 되기위한 교육을 왜 학원에서 가르친다는건지 광고글들을 보니,
답답한 마음을 감출 수가 없네요.

이미 5년전부터 두각을 나타낸 국내 탑클래스 화이트 해커 이정훈씨가 어디
학원 한군데라도 다녔답니까?? 홍민표씨 어느 해커가 대체 어느 학원에서 어떻게 인재를 양성하나요??
고작 언어 c,java,python, 내지 ccna 자격증 준비하는 데서 어디서 어떻게 능력과 경력이 충분히 있어야
하는 해커를 만들어 줄 수가 있지요??

보안전문가나 리버스 엔지니어링이 그토록 만만하고, 창의력 수학적 문제 해결 능력, 문제 접근방법 능력 같이 능력과 경력이 중요하지 않은 분야인가요??

만약 학원에서 가르칠 수 있었다면, 롤같이 재능이 필요한 것도 학원에서 다 가르쳐주면 누구나 챌린저
달겠네요. 학원에서 학문으로 가르쳐서 화이트 해커가 될 수 있다면,
이번에 이정훈씨가 구글에 갔고, 삼성에서 1억5천연봉으로 스카웃 간거도 학원만 다니면 누구나
그런 대우 받겠네요.

죄다 학원에 등록만 하면 우리나라 대학생들은 죄다 구글,애플에 들어가고 취업난이 없겠네요??
학원만 다니면, 죄다 가수가 되서 나가수에 나가고요??

해커가 되기위해선 능력이 제일 필요한데, 이는 고등학교 수업과 대학 전공수업에서 제일 얻기 쉽습니다.

과거 20년전 시절, 유명한 해커들은 죄다 포항공대, 서울대, 카이스트, 과학고 출신이 많았던 이유라고
생각합니다. 환경적 요인과 선천적 재능이 제일 크다고 생각하고요.

고교수준의 영어와, 수학을 가능한한 마스터 하심을 추천합니다
(이부분이 안되면 대학교 수업에 지장이 있습니다. 보통의 컴퓨터 공학과 학생이라면
필수로 이산수학,공업수학,미적분학,선형대수 등의 여러가지 수학 과목을 배우게 됩니다.)

국내 탑클래스로 알려진 이정훈씨 같은 특별한 케이스가 아니라면,
(이분은 제가 5년전부터 유심히 봐왔던 분입니다. 이미 고교 시절부터 국내 화이트해커 대회 1위하셨고,
검색하시면 그 문제와 답안도 pdf로 나옵니다. 리버싱에 필요한 수학적 사고능력과 영어 , 컴퓨터 구조의 이해 가 타고난 재능으로 이미 갖고 계셨던분이죠. 리버스 엔지니어링이나 보안전문가가 꿈이시면 그 문제 직접 풀어보시면서 이정훈씨 해답과 비교하는것도 좋습니다.)

학원보다는 일반 대학에서 전공하면서 독학하는게 더 낫다고 생각하고요.
(OS,자료구조, 알고리즘, 컴퓨터 구조,어셈블리 같이 기본 베이스를 착실히 얻기 제일 좋은 방법같습니다.) 가능하면 국내보다는 유학을 가는게 좋구요.

리버스 엔지니어링은 문제 접근방식을 찾기위해, 또 문제를 해결하기 위해, 수학적 능력이 많이 필요합니다, 또한, 해외 포럼이나 논문, 레퍼런스를 많이 활용해야 하므로 어느정도 기본 영어 실력이 필요합니다.

이런 기초 과정이 없이 보안전문가가 되기 어렵습니다.
학원에서 C언어나 자바를 가르치는데, 선행이 필요한 필수는 맞는데, 비중이나 의미는 크지 않습니다.
오히려 문제 접근방식, 해결 능력을 키우는게 중요하지, 언어학습에 목메여서는 안된다고 생각합니다.
언어를 배움으로서 알고리즘과 자료구조나 컴퓨터구조를 배우는 도구지, 언어가 메인이 아닙니다.
컴퓨터 언어는 남녀노소 누구나 배경지식이 없어도 단기간에 마스터 합니다.

언어는 독학으로 2,3개 마스터하심이 낫고 학원에서 다른 네트워크나 리버싱 엔지니어링에 관련된
학문을 배우는게 낫지, 학원에서 언어 배우는건 절대적 시간낭비라고 생각합니다.

영어학습으로 비유를 하자면, 컴퓨터 언어는 a,b,c,d 와 같은 알파벳일뿐 영어 문법을 배우기 위한 도구일뿐, 코어는 아닙니다. 리버싱 엔지니어링은 영어회화 라고 생각하면 되겠네요.
회화 배우기 위해선 abcd의 알파벳은 기본으로 알고 있는게 당연하고, 중간 과정인 영어 기초 문법을
배우고 나서야 현지인과 유창한 영어회화가 되는거죠. 회화는 당연히 실생활에서 계속 이리 저리 쓰면서
익혀야 하고요. 누군가에게 배우는거보다 혼자 마구 쓰면서 배우는게 낫습니다.

어느정도 수준까지는 책으로 배우는 과정이 필요하지만, 결국에는 본인의 능력 수학적 능력과 (영어능력 내지 환경) 이 제일 중요하며, 본인이 리버스 엔지니어링이 자기생활인양 그 분야를 계속 써야 되는 분야 입니다.

C나 파이썬, 어셈블리,자바 는 고교시절 충분히 학업과 병행하면서 독학으로 마스터 가능하므로,
(기본적으로 언어의 문법은 경력있는 실무자들이면 몇일이면 마스터합니다.)
처음엔 언어부터 마스터하시고 네트워크쪽(ccna,ccnp)에 그리고 리버스 엔지니어링 관련지식들을 해외포럼을 이용해서 독학하심을 추천드립니다. ccna 는 국제 네트워크 장비 자격증인데 영어가 필수입니다.

고교시절 영어와 수학 베이스를 충분히 닦아놓으셔야, 나머지 베이스 과정도 배우는데 용이 합니다.
언어 배우는건 배경지식이 없어도 누구나 단시간내에 가능하지만, 리버스 엔지니어링을 배우기 위해선 어느정도 배경지식이 있어야 습득이 가능합니다. 이 리버스 엔지니어링을 습득하기 위해선 수학과 영어는 필수입니다. 그 다음으로 컴퓨터를 배워야하고요. 컴퓨터 언어

일단 수학,영어를 마스터 하시고, 컴퓨터 언어 2,3개정도 문법은 마스터하시고, 네트워크와 리버스엔지니어링을 독학하는걸 추천드립니다. 전문적으로 화이트해커를 만들어주는 학원보다는 대학과정이 열배는 더 낫다고 생각합니다. 문제 해결능력, 사고능력, 창의력 등 해커가 되는데 필요한 요소를 우선시 하는곳(대학/독학)과 속성교육,반복훈련,문제풀이 식 교육(학원)으로 얻은 능력은 한계가 금방 드러납니다.


제 경우도 그렇고, 이정훈씨나 다른 홍민표등 유명한 국내 유명 화이트 해커들은 해외포럼등을 이용해
토론하거나 배울 수 있는 환경이 있었기에 그 위치까지 갈 수 있었다고 생각합니다.

정말 화이트 해커나 보안전문가를 꿈꾸신다면,
c언어, 파이썬,리눅스 마스터, ccna,api 만 가르치는 학원은 제발 다니지 않기를 바랍니다.
극단적으로 말씀드려서, 알파벳 abcd 26개 반복과 1+1=2 ,1+2=3 등만 학습하는 식의 1차원적인 문제해결능력만 가르치는 데라고 개인적으로 생각합니다. 물론 c언어와 리눅스, 네트워크 이 3개는 필수로 알고는 있어야 합니다.

수학적 문제 해결능력이 제일입니다. 천성적으로 타고 나야 하는 부분과 영어회화처럼
본인 생활속에 녹아들어야 실력이 느는 부분이고요.


일반인들이 쓰는 해킹은 디어셈,디버깅 일 수도 있고,
전공자가 표현하는 해킹은 유닉스상에서 일시적으로 루트권한 획득하는걸 말합니다.
세계적인 해커들은 모두 이 유닉스상의 해킹을 말하고,
어나니머스란 국제적 해커그룹도 이 분야에 능통한자들이죠.

노벨상을 타면 해당분야의 권위자로 인정해주는 것처럼,
데프콘이란 대회 우승을 국제급 해커로 인정해줍니다.

그냥 남의 게임계정을 가져오는 건 해킹이라고 말하기 우스운 수준이고,
프로그램을 마음대로 바꾸는거도 크래킹,디어셈,디버깅,역어셈,리버스 엔지니어링이라고 표현합니다.
이런 수준은 프로그래밍만 할줄알고, 해킹툴만 쓸줄아는 수준이니 격이 다르죠.
컴퓨터를 사용하는 단계와 스스로 무에서 유를 창조하는 단계 차이니까요.

진짜 해킹은 가르치거나 배우는거 둘다 불가능 합니다.
스스로 창의적으로 보안이 취약한 부분을 뚫는 방법을 생각해 내는게 해킹이기때문이죠.
스스로 생각하는걸 배움이나 가르침으로 얻을 수 있는 부분이라고 보시나요?

물론 그전 컴퓨터 기초까지 배울 수는 있지만,
역사적으로 모든 해커들은 독학과 정보공유로 이뤄낸 겁니다.

모든 해커들은 이렇게 님 처럼 질문을 올려서 답변 받아 또는 가르침을 받아,
되는 경우는 없습니다. 모든 해커들은 스스로 문제제기, 스스로 문제해결 하는 과정을
수없이 거쳐서 되는 자리입니다. 그렇기에 정확한 답을 누구한테 묻고 배우는게 아니라, 스스로 찾아내는 과정을 수없이 거친 사람들이죠.
관심을 가지고 꾸준히 하다보니 해커가 된 케이스가 대부분이죠. 국제적 해커 그룹
어나니머스 역시 가입조건이 해킹이죠. 역시 스스로 문제해결을 해야하는 부분이라, 관심이 있고
재능이 있으면, 자동으로 가입되는 부분입니다.

보안의 취약점을 분석할때 필요한 여러 해킹소스를 자체 제작하여,(모든 해커들은 각자 본인만의
고유한 방법들과 응용하는 기법, 그때 환경(OS,플랫폼)에 맞는 고유한 소스를 제작합니다)
본인만의 노하우로 취약한 부분을 파고드는 게 해킹입니다.
무에서 유를 창조하고, 스스로 답을 찾는 과정이 숙달된 자가 해커라고 볼 수 있습니다.
이는 해킹을 모르는자가 본인의 해킹소스를 타인에게 전달하고 사용법을 가르쳐줘봤자,
응용하거나 이해하지 못할뿐더러, 활용 자체가 안됩니다. 물고기를 100번 200번 잡아줘봤자, 물고기 잡는 방법을 익혀질 리가 있겠습니까??
고급 레스토랑에서 어떤 요리를 수십번 먹는다고 , 그 요리하는 스킬을 배울 수 있을까요??
이러니 해킹은 재능이자 독학의 분야라고 하는 겁니다.

해커가 해커에게 가르치는건 정말로 가르치고 배우는게 아니라 기술공유, 정보공유입니다. 배우거나 가르치는게 아니라 토론이자 생각을 합치고 같이 구상하는거이며, 협업 내지 참고, 레퍼런스를 하는거죠.
해커가 해커가 아닌자아게, 해킹을 가르친다라? 원숭이에게 인간같이 사고하는걸 가르치는 격이라고 비유하면 적당하겠네요. 덧셈,뺄셈을 모르는자에게 미적분학을 가르치는 꼴이랄까요? 이 덧셈뺄셈을 안다는건 스스로 답을 찾는 과정을 반복해온 자이며 곧 스스로 미적분학까지 마스터할 예정이라는 겁니다.

질문에 답변해드리겠습니다.

정보보안 분야는 해당 분야의 전문가가 되기 위해 효과적으로 공부하기 어려운 분야중의 하나입니다.
이론뿐 아니라 실체를 알아야만 진정 그것이 내것이 되는 분야라 생각되기 때문입니다.

하지만, 기본지식을 쌓을때는 암기가 아닌 이해를 중심으로 공부하면 그것이 제일 효과적인 공부가 될듯합니다. 하나 더 첨언 드리자면 보안에는 여러 세부 분야가 있지만 화이트해커나 컨설팅, 개발자 등 공통적으로 필요한 분야가 있는데, 그것이 위에 공부하신 책처럼 소스코드를 잘 만들고, 이해하고 분석하고, 응용할 줄 아는 것입니다. 그럴려면 평소에 하단 이해에 그쳐서는 안되고 반드시 실습을 해보아야만 하고, 끊임 없는 훈련을 해야 합니다. 노력을 많이 해야 합니다. 그렇다고 해서 모든 정보보안 전문가가 꼭 소스코드를 잘 다루는 것은 아닙니다. 그 이유는 아무래도 이 쪽 분야에 공부를 좀 해보셔야 합니다 ^^

또한, 말씀하신 내용을 효과적으로 공부하는 부분에 대해서 동아리를 말씀하셨는데,, 아주 좋은 방법이라 생각합니다. 선배들이 이미 만들어 놓은 성과나 공부하는 체계를 조금이라도 쉽게 접하거나 익힐 수 있으니까요.KUCIS라는 대학정보보호동아리 모임이 있습니다. 매년 한국인터넷진흥원이 동아리를 선정하여 모집하고요.(http://www.kisa.or.kr/notice/notice_View.jsp?mode=view&b_No=4&d_No=1679)  국내 주요 대학의 정보보안 동아리들은 거의 지원 받는것으로 알고 있습니다. 조금만 검색해보시면 재학중인 대학에 해킹 동아리가 있는지 알 수 있으실 겁니다.

그럼.. 이만..

안녕하세요 저는 서울에 있는 IT 전문교육기관에서 학생들 상담을 도와드리고 있는
 교육실장입니다.

동아리는 학교내에서 찾아보시고 공모전이나 대회 및 포트폴리오 준비를 하는 게 중요합니다.

정보보안 전문가는 5가지로 나눠지는데 그 직업에 따라
공부해야할 과정이나 취득해야하는 자격증도 차이가 있습니다.

정보보안전문가 세부 직업

모의해킹 컨설턴트	회사내 사용되는 서버나 웹 또는 프로그램에 대하여 모의해킹을 통해 취약점을 분석
보안 솔루션	발견된 취약점에 대해 보안 솔루션 및 인프라를 구축 하여 보안 하는 직업
보안 관제	DDOS 등 해킹 공격에 대하여 실시간으로 모니터링을 통해 감시하는 직업
악성코드 분석가	크게 보안 S/W개발과 악성코드 분석가로 나뉘며, 악성코드를 분석해 S/W개발
디지털 포렌식 수사관	사이버 수사요원이라 불리며, 디지털 범죄 증거자료를 수집하고 분석 하여 증거물 수집

직업을 먼저 선택하시고 그 커리큘럼을 따라서 공부를 해야합니다.
우선적으로 공부하셔야 하는 과정은
C언어 ->C++ ->자료구조 -> TCP/IP 소켓프로그래밍 -> CCNA -> 리눅스 ->Sever2008
-> 웹해킹 ->네트워크 해킹-> 시스템 해킹 순으로 공부하시면 되세요.

직업에 따라서 리버싱, 포렌식 ,악성코드 분석에 대해서도 공부를 하셔야 합니다.

 

아무래도 혼자서 준비하기에는 한계가 있는 분야에요. C언어가 정말 중요한데

처음 개념을 잡을 때 어설프게 잡으면 나중에 힘들게 됩니다.

추가적인 질문이 있거나 조언 및 상담이 필요하면 네임카드를 통해 연락주세요^^