크래커를 추적하고자 하는 컴퓨터 가동법이나 아는 초보의 질문입니다.

안녕하세요. XXXX에서 침해사고 대응팀에 근무했던 사람입니다.

 

우선 질문자님께서 가지고 계신 비젼은 침해사고 대응/분석 분야인 것 같습니다. 현재 침해사고 대응분야에 대한 수요는 급격하게 늘고 있는 실정입니다. 하지만 분석 분야는 촉망받는 분야이기는 하나 수요가 거의 없어 국내에서는 아직 크게 부각되고 있지 않습니다. 또한 보안이라는 것이 앞으로 유망해질 것은 분명하나 그것 때문에 우호죽순 보안업체가 생겨 요즘은 경쟁이 치열하여 밥먹고 사는데 넘 힘들어여..ㅠㅠ(마무리가 쫌 그렇네요^^)

 

질문 1 : 일단 위에서 말한 기술들을 배우기 위해 거쳐야 할 학과와 해야하는 공부와 그것을 공부하기 위한 서적들을 알고 싶습니다.

  - 침해사고 대응/분석을 위해 기본적으로 네트워크에 대해 알아야 합니다. TCP/IP관련된 서적을 읽어보시길 원하고 패킷구조에 대해서 자세히 숙지하셔야 합니다.^^ TCP/IP관련된 서적중 가장 유명한 책은 TCP/IP Illustrate라는 원서(영문)입니다. 사실 네트워크에 대해 중급이상의 실력을 갖추시면 질문자님께서 말씀하신 그러한 업무를 이론상으로는 모두 하실 수 있습니다. 하지만 실제 업무에서 침해시도(해킹)의 용의자를 찾는 것이 어려운 이유는 여러가지가 있습니다. 법적인 문제와 기업이윤을 위해 어쩔 수 없이 용의자를 밝히는 것이 어렵습니다.ㅠㅠ 하지만 공적기관(수사기관)에서는 시도할 수 있습니다.

 

질문 2 : 언수외 성적은 80 70 70에 가까우나 현재 진짜 공부를 하고있어 적어도 서울 4년제 하위권 대학은 무난하게 갈 성적은 만들 자신이 있습니다. 등급은 3 2 4 정도이고 예상 변동수치는 2 2 2 까지입니다. 이 성적으로 갈 수 있는 범위내의 질문1의 학과가 있는 대학교를 알고 싶습니다. 목적지가 뚜렷하면 학업을 함에 있어 훨씬 수월해지니까요.

  - 저 수능때랑은 많이 다른 것 같아 구체적으로 말씀드리기 힘듭니다. 어느 대학을 가든지 어떻게 공부를 하느냐가 더 중요합니다. 대학교는 목적지가 아니고 과정입니다. 극단적인 예로...원하던 대학에 떨어졌다라면....인생포기할 건 아니잖아요^^ 어디(대학교)에서 공부하느냐가 목적이 되면 안 되고 어떻게 무엇을 공부할 지 고민하시기 바랍니다^^ 굳이 말씀드리자면 수도권 하위권 대학이라면 순천향대에 정보보호학과가 있는 것으로 알고 있습니다.

 

질문 3 : 위에 말한 방법 외에 현실적으로 가능한 추적방안과 그 추적방안에서 필요한 기술들, 그 기술들을 사용하기 위해 배워야하는 것들, 배워야하는 것들을 배울 방법과 그것을 배울 수 있는 대학교, 학과 등을 상세하게 알고자 합니다.

  - 추적은 간단합니다. 피해 시스템에 로그를 남기도록 설정한다면 모든 공격은 흔적이 남겠지요. 설사 로그를 삭제한다 하더라도 복구는 얼마든지 가능합니다. 로그를 남기지 않더라도 몇 몇 상황만 맞는다면 공격지를 찾아내는 것은 쉽습니다. 말씀하신 유동아이피는 공격자를 찾는데 장애물이 되지 않지만 NAT라는 네트워크 기법은 사용자를 찾는데 어려움을 줍니다. NAT 서비스를 제공하는 기관에서의 협조가 필요한 것이지만, 대부분 비협조적입니다. 법적으로도 협조를 할 이유도 없기 때문에 공적기관의 압력이 없으면 안 되겠죠..하물며 해외에서 침해시도를 한 경우에 국내 수사기관의 영장이 무슨 소용이 있겠어요^^ 암튼 이론만으로는 안 되는 것들이 참 많습니다.

기술이랄 것은 없구요. 네트워크에 대해 자세히 알고 계시면 어렵지 않게 할 수 있는 업무들입니다. 모든 대학교의 컴퓨터관련 학과들에서는 모두 배우고 있는 과목이지만 대학교 수준에서는 그다지 자세히 배우지 않으니 이러한 부분은 취업 후 또는 개인적으로 공부하셔야 합니다.

 

질문 4 : 불법적인 방법이든 합법적인 방법이든 가리지 않고 사용하고자 합니다만 불법적인 방법의 경우, 위험성이 따르고 합법적인 방법의 경우, 제약이 따르겠죠.

불법이든 합법이든 이 분야의 각각의 길을 걷는 분들의 조언과 충언을 듣고자 합니다.

  - 불법적으로 추적을 할 수 있는 방법은 거의 없습니다. 각 ISP 관리자들에게 뇌물을 먹여서 로그를 빼오지 않는 이상 일반적인 경우 불가능에 가깝다고 할 수 있습니다. 합법적인 방법에 대해서 가이드 해드린다면 사이버수사대에 수사요청을 하고자 할 경우 수사지원을 해야할 근거를 제시해야 합니다.(이 부분이 아주 중요함) 이러한 근거에는 피해정도를 공개하여야 하나, 대부분 피해사실을 숨기고자 하기 때문에 공개적인 수사지원을 하는 경우는 극히 드문 경우입니다. 공개했다가는 그 회사 주가폭락하겠네요ㅠㅠ

 

질문 5 : 수능 이후, 그러니까 대략 2011년 1월 1일부터 이러한 분야의 공부를 본격적으로 전념하여 할 터인데 그때부터 과연 어느정도의 시간이 지나야 제대로 된 추격조사를 시작할 수 있을까요? 그리고 이러한 방안이 현실적으로 가능할까요?

  - 이론적으로는 가능하나 현실적으로 가능하지 않습니다. 앞서 말씀드렸다시피 법적인 문제와 피해회사 자체적인 이윤과 관련된 문제로 이러한 추적은 하지 않습니다. 이러한 기술을 습득하시는 것은 기본적인 네트워크 이론만 아셔도 될 듯 하니 3개월이면 되겠네요?? 하지만 실무에서 장비를 만져보지 않으셨다면 어떠한 확답도 해드리기 힘듭니다.

결론은 대학교가서 열심히 공부하면 졸업후 반드시 기회가 옵니다. 구체적인 목표를 두고 공부하시는 것이 분명히 좋은 습관이지만, 현재 하고 있는 것들에 충실히 하시는 것이 바탕이 되어야 합니다.

 

감사합니다. 답변확정바랍니다.