보안이란?

 
  • Jan 03, 2018

보안이란?

  • 신뢰감을 형성하는 것이다. 보안에서 다음과 같은 말이 있다. “There is no free lunch for security”. 보안을 강화하기 위해서는 어떠한 비용이 들어가기 마련이다. 하지만 진짜 보안전문가라면 그 비용의 밸런스를 어떻게 조절해야 하는지 아는 사람들이다. They knows how to balance security and convenience.
  • 일반 사람들의 생각으로는 보안이 강화되면 사용하기 불편해지거나 퍼포먼스가 떨어진다고 생각한다. 보안 전문가는 그 불편함을 들지 않게 하는 동시에 보안을 강화하는 방법을 찾거나 퍼포먼스에 해를 끼치지 않은 상태에서 보안을 강화하는 방법을 찾아야 할 것이다. 혹은 그러한 불편함을 감수하더라도 보안이 꼭 필요한 상황이라면 왜 그런 불편함을 감수하면서 보안을 강화시켜야 되는지 데이터를 가지고 확실히 설득할 수 있어야 할 것이다.

Principles in security

  • Principle of data/code Isolation: Data should be clearly isolated from code.
  • Principle of Least Privilege: Every program and every privileged user of the system should operate using the least amount of privileges necessary to complete the job.

내가 생각하는 커리어 path

  • 나는 다른 개발자와 다르게 포트폴리오를 보여줄 수 있는게 한정적이다. 따라서 내가 일을 하는 동안에 계속 키워야 할 포트폴리오는 hack the box 문제 풀이, CTF에서 수상, 버그 바운티 횟수 정도가 될 것이다. 이것은 내가 red team으로써 보여줄 수 있는 역량이다. 그리고 결국 이러한 것을 나는 하고 싶은데 이것을 잘 하기 위해서는 하나 정도의 분야를 잡고 하는게 좋다고 했다. 모든 분야를 섭렵할 수 없으니 전문 분야 하나를 정하라고 하셨다. hack the box를 통해 기본기들은 다 배우지만 제일 잘 하는 분야를 하나 정해야 할 것이다. 개인적으로는 웹 해킹 관련으로 잡고싶다.
  • 여유가 될 때에는 CVE에 관한 PoC를 작성해서 공유하는 것도 나의 포트폴리오가 될 것이다.
  • 최종적으로는 CISO와 같은 임원급에서 일을 하고 싶다. 왜냐하면 나는 어느 한 분야에서 박사와 같은 천재적인 재능을 지니고 있진 않지만 많은 분야에 관심을 가지고 있고 사람 그자체에도 관심을 가지고 있으며 네트워킹 능력을 포함한 소프트 스킬이 좋은 편이기에 그것을 활용하여 할 수 있는 자리가 CISO와 같은 자리라고 생각한다. red team job은 개인적인 취미생활 그리고 당분간 더 하고 싶은 일이지만 나는 내가 모든 것을 하는 것이 아니라 다른 사람들의 힘을 적절한 곳에 배치를 하고 임무를 할당하여 하나의 공통된 목표를 이룰 수 있는 일이 더 적성에 맞고 재밌을 것 같다.
  • Security Architecture, Security Software Engineer, Application Security Engineer.

자기소개

  • BGP hijking은 어떤 식으로 발생했으며, 그 발생의 원인으로부터 어떤식으로 프로젝트를 진행했으며, 어떤 결과를 만들어 냈는가. 가장 챌린징 했던 부분은 무엇인가. 로그 분석 과정중에 특이성은 무엇이 있었는가. 서버나 프론트엔드 관련 이야기는 그냥 하지 않는게 좋다. False alarm에 대해서도 정리해라.
  • 시큐어에 관한 것을 distribute하고 teaching시킬 수 있는 일을 하는 것은 실무적이고 중요하다. 다른 SE들에게 이러한 교육을 하는 것은 +가 된다. 코드 리팩토링을 한 것은 그냥 잠깐 얘기하고 그리 중점을 두지는 마라. 다른 누군가에게 문서화로 커뮤니케이션 교육을 하는 것은 시큐리티로써 강점이 된다.
  • 방화벽에서 특별한 문제에 대해 어떤 것을 했는지 고민해라. 무슨 기술을 썼는지 중요하지 않고 비쥬얼 한 부분을 해결했다기보다 그 자체에 대해 바꾼 나의 선택 기준을 설명하는 것이 더 중요하다. 모델링을 바꾼거는 그리 매력적이지 못하다.
  • 3분 이내로 간략하게 설명하는 것을 연습하자. 임팩트 있는 부분만 말하자. unified한 것도 좋지만 디테일한 부분이니깐 이런거는 제외하자.

코딩 인터뷰를 할 때 항상 질문을 많이 하고 해라. 바로 시작하기 보다 한 발 물러서서 생각해보라. 퍼포먼스도 생각해보라. 워킹하는 것만 아니라 포퍼몬스 자체를 생각해야한다. 효과적으로 코딩하는 것을 생각해라. 가독성 좋은 코드.

Search