본 포스팅은 구글 프로젝트 제로의 멤버인 Ivan Fratric이 'So you want to work in security?'라는 제목으로 정보보안 직종에 종사하고 싶은 후배들에게 한 블로그 포스팅을 번역한 포스팅입니다.


번역 상에 오역이 있을 수 있으므로, 원문도 같이 첨부합니다.


원문 링크 : http://ifsec.blogspot.kr/2018/02/so-you-want-to-work-in-security-and-for.html?m=1


트위터를 써라



갑자기 트위터라는 SNS하라는 것이 이상한 소리처럼 들리겠지만, 많은 보안 커뮤니티가 정보를 공유하기 위해 트위터를 쓴다. 그리고 최근 연구, 취약점, PoC, 컨퍼런스 발표자료 소스같은것도 올라온다. 나는 이런것들이 어떻게 올라오는지 모르지만, 불필요하게 긴 토론이 있는 것 보다는 이런식으로 공부 자료들에 대한 링크를 공유하는 것이 더 높아 보인다. 그러므로 트위터에서 관심있는 보안 관련 자료들을 게시하는 사람들을 찾아라.



트위터 말고도, 너가 관심있을 만한 자료들을 찾을 수 있는 곳이 또 있다. r/netset고 해커뉴스이다.(비록 요녀석들은 보안과는 관계없는것들도 공유하긴하지만) 컨퍼런스 발표자료와 녹음본들도 확인해라(그런 자료들이 많다, 하지만 모두 다 좋은 자료는 아니긴 하다. 기술적인 부분에만 집중해서 봐라)


CTF를 하는 것은 배우기 좋은 방법 중 하나이다.



나는 해본적이 없지만 남에게는 추천하는 이상한 충고가 또 있지만, 내가 학습 곡선을 그린 것을 기억하는가? CTF는 다양한 어려움에 직면하기 때문에 학습을 점근적으로 하도록 해줄 수 있다.(각 문제의 점수로 난이도를 알 수 있다.) 따라서 쉬운 것 부터 시작해서 공부하게 할 수 있다. 예를 들어 미티게이션이 해제된 체 있는 익스플로잇 문제가 있는 경우가 있다. 그런 것을 익스플로잇 할 수 있는 버그와 방법이 있다는 것을 알게 되는식으로 공부할 수 있다.



CTF는 거의 매주 있으며 대부분 온라인에서 참여할 수 있다. 여기서 일정을 찾을 수 있다.(ctftime.org) 문제를 푸는 것을 실패한 경우, 문제 푼 사람들의 write-up을 확인하는 것을 잊지 말라.



CTF는 만족스러운 경험일 수 있지만, 그 이후에 실제 목표를 달성하기 위해 리얼월드 취약점을 찾으러 나가고 시도하는 것을 두려워 하지 말라. 너는 스스로 놀랄것이다.


그리고 리얼월드 취약점을 찾으러 나갔을때


실패를 두려워하지 말라, 많이하더라도


특히 최근에 취약점 분석 연구는 너를 매우 시무룩하게 할 수 도 있다. 너가 시도하는 대부분의 타겟들은 너가 원하는 대로 동작하지 않을 것이고, 너는 그걸 받아들여야 한다. 그렇다고 시도를 포기하지 마라. 이런 일은 너에게만 일어나는 것이 아니라, 나한테도 일어나고 다른 경험많은 연구원들도 똑같이 겪는 일이다. 하지만 다른사람들은 결국 성공하기 때문에 이런 일은 너에게만 일어난다고 생각하기 쉽다. 중요한 점은, 너의 아이디어가 실패했을 경우 왜 실패했는지를 파악하는 것이다.


너는 너 생각보다 똑똑하다(반대로, 다른 사람들은 너가 생각하는 것 보다 똑똑하지 않다)



다른 사람들은 "너는 개발자 보다 똑똑하지 않다"라는 조언을 주었기 때문에, 이 조언은 논란의 여지가 있을 수 있습니다. 이러한 조언은 맞는 말이고, 실제로 이미 산업에 있는 많은 사람들에게 좋은 조언입니다. 하지만, 이제 막 입문하였거나 입문하려는 사람들에게는 잘못된 조언일 수 있습니다. 해당 분야에서 해낸 것이 아무것도 없는 상태에서 똑독한 사람들이 직접 하는 일들을 보면, 자신의 능력을 의심하기 쉽다는 것입니다. 내 개인적인 예를 하나 들어보겠습니다.



지금은 이상하게 들릴 수 있지만, 내가 보안을 취미로 처음 시작했을 때 Windows에서 버그를 발견할 만큼 충분히 "l33t"가 될 수 없을 것이라 생각했습니다. 그리고 내가 우연히 윈도우 버그를 발견하기 전 까지 시도조차 하지 않았습니다. 나는 오래된 이미지 라이브러리를 퍼징하고 있었고 잠시후 크래시를 일으키는 샘플이 있었습니다. 그리고 내가 우연히 그 크래시 샘플을 윈도우에서 눌렀을때, 윈도우 익스플로러가 크래시가 났고 그것은 CVE-2008-3013이었습니다.



다른 케이스도 있다. 소프트웨어를 리뷰하는 도중에, 이러한 생각이 들 수가 있다. "와, 바보같이 개발자들은 분명 그렇게 생각했다." 이러한 일은 종종 일어날 수 있다. 이거는 그들이 멍청해서그런게 아니라 그 당시 다른 문제를 생각했기 때문입니다. 하지만 "나는 그들보다 더 똑똑하다"는 사고 방식을 통해 자신이 스스로 설정한 한계를 뛰어넘을 수는 있지만, 다른데서 겸손해지게 되는 문제를 일으킬 수 있습니다.


당신이 다른사람들, 특히 개발자들과 이야기할 때 그런 생각을 놓을 때입니다. 당신이 그들을 적으로 만나지 않고 같이 일할 사람으로 만난다면 대화하면서 즐거운 시간을 보낼 수 있을 것입니다. 이것은 당신이 듣는 모든것을 믿으라는 뜻은 아닙니다. 명심하세요, 그들은 그들이 작성한 코드의 전문가이지만 당신은 보안에서 전문가입니다.


내가 가지고 있는 기술을 세상에 보여줄 준비가 되었을때 무엇을 해야하나요?



처음에는 돈을 벌면서 무언가를 할 수 있습니다. 많은 회사들은 자신들의 제품에 있는 버그를 찾기 위해 크고 작은 버그바운티를 합니다. 구글과 페이스북, 마이크로소프트가 그렇지요.



버그바운티 상금이 없는 제품을 보더라도, 많은 사람들이 사용하는 것이므로 버그를 발견하면 당신의 기술을 뽐낼 수 있는 좋은 방법이 될 수 있습니다. 그러면 다른 사람들도 당신을 알아채기 시작할 것입니다.



불균형적으로 많은 관심을 얻겠지만, 취약점을 리포트하는 것은 커뮤니티에 기여하는 유일한 방법은 아닙니다. 유용한 도구를 만들고 방어 리서치를 하는 것도 멋진 방법입니다!


내가 더 알아야 하는게 있나요?


보안 연구원의 삶은 당신이 상상하는 것 처럼 영광스럽지 않을 수 있습니다. 컴퓨터 앞에 오랫동안 앉을 것입니다. 그래서 뭔가 괜찮은 아이디어를 얻었는데 그것이 커리어에 좋은 경로가 아닐 수 있다. 또한 꽤 지적으로 도전적이고 일상적이지 않은 일입니다. 이것은 꽤나 보람이 있을 수 있지만 정신적으로 힘들 수 있다는 것을 의미합니다.

+ Recent posts