글쓰는 공학도 You Jing

▶ Snort 사용법

-  Snort 실행 상태 중 ping 테스트  -

※ ping 테스트 란 ?

ping 을 보내는 상태로 네트워크 상에서 각 호스트 간 통신이 살아있는지를 확인하는 명령어

아래와 같이 naver에 ping 테스트를 하여  naver가 탐지되는 것을 확인 가능

-  Snort를 중단하여 패킷 데이터의 통계 확인  -

Snort 실행 상태 중, Ctrl + C 를 누른다.

Snort 가 중단되고 자동으로 패킷 데이터의 통계를 확인 가능

▶ Snort 란 ?

Snort는 실시간으로 트래픽 분석과 패킷을 기록하는 침입 방지 시스템이다.

▶ Snort 기능

• 패킷 스니퍼 모드

 tcpdump 와 같은  네트워크의 TCP/IP 패킷을 읽어  보여주는 기능을 제공

• 패킷 로거 모드

모니터링 한 패킷을 저장하고 로그를 기록하는 등 트래픽 디버깅에 유용하게 사용

• Network IDS 모드

침입탐지시스템(IDS) / 네트워크 트래픽 분석 및 공격 탐지 기능 제공

• Snort Inline

침입방지시스템(IDS) / 패킷 분석, 공격 차단 기능 제공 

▶ Snort 구조

• Sniffer

 Snort IDS를 통과한 모든 패킷을 수집

• Preprocessor

공격 탐지를 위해 plug-in 을 먼저 거치며 매칭되는지 확인 ( ex) PRC plug-in)

• Detection Engine

Rule 기반 탐지 엔진으로, 사전 정의된 탐지룰과 매칭되는지 확인

• Alert Logging

정책에 따른 로그 기록을 함

▶ Kali에 Snort 설치

1. Terminal을 켜고 root@Kali 에

apt-get update

apt-get install snort를 차례대로 입력

2. Y/N ? 창이 뜨면 Y를 클릭 -> 설치 진행

3. 완료되면 snort 정책 및 룰을 활성화하자.  

vi /etc/snort/rules/local.rules

snort -v -c/etc/snort/rules/local.rules 를 차례대로 입력

4. 설치가 최종 완료되면 Initialization Complete와 함께 Snort 돼지 모양이 나타난다 !

방학 중 4번의 만남이 있었고, 3번 참석하였다.

정보보안 프로젝트와 마찬가지로, 결과 보고서를 포함한 공모전 참가신청서를 작성 후 제출하였다.

여기에는 야구 사이트의 웹 개발만 포함된 것이 아니고, 내 분야의 웹 사이트 보안 문제를 최소화한 코드 작성 및 팀원의 텐서플로우를 활용한 플로우 그래프 구현도 포함하였다.

(※ 텐서플로우 란 ?  딥러닝을 일반인들도 사용하기 쉽도록 다양한 기능을 제공하는 라이브러리.

Python/C++을 지원하며 데이터 플로우 그래프를 통한 풍부한 표현력을 자랑한다. 계산 구조, 목표함수 등을 정의하면 자동으로 미분 계산을 처리한다. )

우리 팀에서 만든 웹의 특장점은 내 구단에게 최적화된 맞춤형 사이트를 제작했다는 점에 있다. 또한 일정 시간 간격으로  승부 예측을 통해 재미있는 야구 관람 문화를 마련하는 것도 염두에 두었다. 내가 만든 개인정보보호 동의서와 이용약관도 회원가입 시 적용되었다.

아래에 S/W 주요 기능 중 내가 구현한 부분만 따로 올려본다.

java로 쓰인 시큐어코딩 가이드를 방학 중에 완벽 숙지하는 것이 지난 목표였고, 개학을 맞은 지금,

'내 임의대로' ppt로 시큐어코딩 가이드를 모두 정리하였다.

(1) 시큐어코딩 가이드  - 보안 기능 -  

(3) 시큐어코딩 가이드  - 에러 처리 -

오류 상황 대응 유형, 패스워드 요구 조건을 설명한다.

(4) 시큐어코딩 가이드  - 코드 오류 -

방학동안 총 세 번의 미팅이 있었고, 나는 한국전력공사에서 진행하는 해외 봉사에 다녀오는 덕분에 미팅을 한 번 빠졌다.

webgoat을 이용한 burpsuite Tool 사용으로 어느 정도 웹 해킹 스터디를 진행하였고, 우리가 처음 네트워크 구성도를 그릴 때 배웠던 방화벽과 IDS를 직접 사용해보기 위하여 Modesecurity와 Snort를 설치하고, 그 기능을 알아보는 시간을 가졌다.

(내가 알아본 Snort에 대해서는 다음 편에 설명하도록 하겠다.)

또한 한이음의 1차 결과 보고서 제출 기간인 9.5까지 공모전 참가신청서(중간 개발 보고서)를 작성하였다.

참가신청서... 라고 하면 별 것 없어보이지만 사실은 20장이 넘는 요약본 & 본문(작품 개요 및 특장점/주요 기능/프로젝트 문제점 등등)을 모두 작성하는 '참' 노가다를 맛보았다 ...

우리가 지금까지 해온 스터디를 되돌아보는 시간은 무의미할 것 같았지만 생각보다 되게 소중한 시간이였다. 나 스스로도 우리 스터디의 처음 목적과 현재 상태를 비교하면서 최종적으로 도달해야할 목적지를 다시 한 번 되뇌이게 되었다.

아래는 우리 팀의 요약본과 수행일정이다.

현재 또 다른 목표가 생겨 웹 제작으로 고생해주신 팀원이 있어 나도 부족하지만 도움이 되야겠다는 생각을 했다.

자꾸 헷갈리던 개념을 제대로 정리할 수 있는 과제가 다음 시간까지 주어졌다. 

주제는, XSS와 CSRF의 차이점 !!! 

XSS는 공격 대상이 client인 반면, CSRF의 공격 대상은 사용자라는 점에서 큰 차이가 있다. 

꼭 기억할 것 ! 

한동안 바빠서 포스팅이 늦었다. 

웹 사이트를 개발하는 데에 목적이 있지만 html과 css, jsp의 기초를 선 수강한 나는 화면 제작 때 투입하기로 하고, 웹 보안에 대한 공부를 하기로 하였다. 

멘토님께서 스터디를 위해 건넨 자료는 Java 시큐어코딩 가이드이다. 행정안전부에서 배포된 2012년 판 자료로 우선 공부를 시작했다. 

=============================================================================

개인 정보보호 동의서 작성

첫번째 과제는 KBO와 같은 스포츠 데이터를 활용한 사이트의 로그인 중 개인 정보 동의서를 참고할 수 있어서 수월히 넘어갔다. 

▶ 개인 정보 동의서 예시

이용약관 안내는 수정해야할 것들이 많아서 나중에 이야기해보도록 하겠다. 이용약관에서는 손해 배상과 관련된 모든 부분까지도 법적으로 명시해 놓아야 하므로 생각보다 내용이 길어졌다.

=============================================================================

시큐어코딩 가이드 내용 내 것으로 정리 후 발표

시큐어코딩 가이드는 java를 지난 학기에 배웠음에도 불구하고 보안 공격 용어 및 점검 방법 등의 까다로움 덕분에 공부하기가 쉽지 않았다. 차차 알아나가야 할 것들이 정말 많은 분야이다. 

제일 먼저 공부한 분야는 '입력데이터 검증 및 표현' 이다. 

간단한 sql 삽입을 통한 여러가지 공격법들의 분류에 대하여 공부하고, Xquery 삽입, 크로스 사이트 요청위조(CSRF), 디렉토리 경로 조작 등의 생길 수 있는 보안 상 문제들을 파악하였다. 또한 그것을 방지하기 위한 코딩법을 간략히 정리해서 발표했다.

▶ 시큐어코딩 발표본

간단한 점검 방법을 실제로 우리 웹 사이트에 실행해 보았고, 로그인이 안되는 것을 확인하였다! 

파일 업로드 등의 자칫 실수하기 쉬운 부분에서 whitelist를 적용하라는 가이드의 조언을 참조하였다. 

=============================================================================

발표 후, 개발자 조원들에게서 여러 질문이 쏟아졌었는데 내가 남에게 무엇인가를 확실하게 설명하려면 더욱 자세하고 정확히 공부할 필요가 있다는 생각이 들었다. 다음 시간은 지난 시간 Q&A와 함께 가이드를 더욱 상세히 파헤치고 오려고 한다.

시큐어코딩 가이드 과제는 내용이 방대하여 내 임의대로 3회에 걸쳐 나눴다. 방학이 끝나기 이전에 가이드를 완벽히 숙지할 수 있을 것이다. 

참, 우리 팀의 개발은 순조로이 진행중이다~~

세번째 미팅! 

내가 맡았던 과제는 burp suite의 사용법을 알아보고, burp suite를 사용하여 우리가 생성한 web goat 서버의 문제를 해결하는 것이었다. 이 과정을 통해 자연스레 해킹 분류를 알 수 있었다. 욕심이 과해서 여러 문제를 해결하는 바람에 한 두개씩 정확히 알아온 스터디원들에 비해 설명이 부족했던 점이 아쉬웠다. 

▶ XSS 분류 및 XSS attack 과정 

XSS 공격은 한 사용자가 입력한 스크립트 코드를 다른 사용자의 컴퓨터 상에서 실행시킬 수 있다는 뜻이다. 

웹 애플리케이션에서 브라우저로 전송하는 페이지에서 사용자가 입력하는 데이터를 제대로 검증하지 않을 때 발생한다. 

다른 스터디원들은 OWASP (Open Web Application Security Project) 취약점 중 한 가지를 골라 조사해 왔는데, 그 중에서도 A2 인증 및 세션 관리의 취약점이 가장 기억에 남는다. 

다음 시간까지 내가 맡은 과제는 CSRF와 XSS의 차이점에 대하여 조사해보고, 서버 등록 및 snort 설치를 완료하는 것이다. 

아이디어에서 끌어낼 만한 확고한 장점이 없다는 것을 절실히 깨닫고, 우리는 팀원 대다수가 좋아하는 야구를 키워드로 요구사항 분석서를 작성하기 시작했다. 

요구사항 분석서는 앞으로 우리가 개발할 것들을 차례로 나열하여 앞으로도 참조할 수 있도록 하였다. 

▶ 예시 

다음으로, 시각적인 프로토타입을 위하여 ppt로 대략적인 웹의 구상을 해 보았다. 

▶ 예시 (커뮤니티 페이지)

Burp Suite란 웹 취약점을 찾아낼 수 있는 웹 해킹 툴 중의 하나이다. 보통 paros가 더 많이 쓰인다고는 하나 꾸준히 사용되고 있다. 

웹 사이트에 접속하기 전에는 프록시 서버를 거쳐야 한다. 그래야만 웹 서버간의 request/response 패킷을 burp suite 내에서 확인할 수 있다. 

처음에 burp suite가 서버에 응답을 하지 않아 문제가 있나 했는데, 

Burp Suite를 사용할 때마다 프록시 서버 설정을 계속 해주어야만 한다... 정말 번거로운 것. 

먼저, burp suite proxy 설정을 하자.

burp suite의 메인 화면에서 

Proxy → Options → IP와 port 클릭 → Edit 후에 원하는 포트를 설정해준다. 주로 8080 포트를 입력하면 정상 작동한다. 

다음으로, 브라우저가 프록시 서버와 연결되도록 설정해준다. 

인터넷 익스플로러에서는 제어판 → 인터넷 옵션 으로 들어가면 된다. 

위와 같은 창이 뜨면 아래의 LAN 설정을 클릭한다. 

LAN 설정에서 프록시 서버 아래에 check 해주고, 원하는 포트를 입력한다. 주로 8080 포트를 입력하면 정상 작동한다. 

확인을 눌러주면 웹 해킹 사용환경 설정 끝 ~!

주의할 점은 다시 인터넷 익스플로러를 사용할 때에는 프록시 서버 연결을 풀기위해 인터넷 옵션에서 원상태로 되돌려 놓아야 한다는 것이다... 

내가 생각한 아이디어를 구체화하려면 일단, 잘 설명할 수 있어야 한다. 

나조차도 모르는 아이디어를 구현하기란 불가능하다.

두번째 미팅에서는 우리가 만들기로 한 프로젝트를 구체화하는 단계를 가졌다. 일단 서로 개발 환경이 잘 구축되어 있는지 점검하고 한이음에서 받은 서버와 연결이 잘 되는지 확인했다. 

이번 시간에는 우리가 말로만 이야기 했던 개발자 매칭 시스템(웹)을 구현하기 위하여 어떤 페이지들이 구성되어야 하는지 요구사항 분석서를 작성하고, 대략적인 화면 구성 ppt를 만들어 보았다. 

이 작업을 한 후, 개념적 및 논리적 모델링을 거치고 나면 비로소 차근차근 우리가 원하던 구상을 개발해 나갈 수 있을 것이다. 또한, 중간에 수정해야할 부분이 생기면 초안과 비교해가며 문제점을 더욱 잘 짚어낼 수 있다. 

그런데, 우리가 구상한 아이디어를 구체화하는 과정에서 인공지능을 활용한 프로젝트로 나아가기에는 사용자의 C랭귀지만 매칭하는 등 소재가 적어 어려움에 부딪혔다. 더욱이 지식을 공유하는 것을 곧 경쟁력이라고 생각하는 요즈음 지식 거래로 수익성을 창출한다는 것이 구시대적인 발상이라는 결론에 이르렀다. 

우리는 결국 현재까지 나온 아이디어를 엎고, 팀원끼리만 모이는 세번째 미팅을 갖게 되었다. 

전통자원 상품화 아이디어 공모전에 참가하게 되었다. 

IoT를 활용하여 전통자원을 더욱 널리 알릴 수 있는 아이디어를 제출하는 것이다. 

최근 O2O 서비스 및 저렴한 위치 기반 서비스로 이용가능한 비콘(Beacon)의 장점을 극대화 해보기로 하였다. 

지난 시간에 배운 네트워크 보안에 대한 이해를 토대로, 

강의를 듣기 전 구현해 온 네트워크 구성도를 분석해보고, 문제점을 보완하여 하나의 완성된 네트워크 구성도를 만들어 보려고 한다.

강의 중 가장 자세히 구현된 팀원의 네트워크 구성도를 골라 개선방안을 논의해보았다. DMZ존, 통합서버존, DB서버존, 업무서버존 등이 나뉘어져 있어 보기에 편리했다.  

▶ 네트워크 구성도(최종)

제일 기억에 남는 것은 방화벽의 이중화 기능. 이중화(fail-over)가 되어있을 시에는 fail-open을 권장하지 않는다. 

다음 시간에는 webgoat로 구축한 서버를 해킹 도구를 사용하여 공격점 찾기를 할 것이다. 나는 웹 해킹 툴인 burp Suite를 다뤄보기로 했다. 

지난 한해동안 전기사랑기자단 3기로서 여러 활동을 했지만 기자단 앞에서 개인발표를 했었던 시간이 유독 기억에 남는다. 

내가 발표하고 싶은 책을 스스로 택하고, 그 책을 읽은 후 ppt를 만들어 나만의 방식으로 발표하는 것이 과제였다. 

내가 선택한 책은 '이기는 대화'. 한창 사회생활을 잘한다는 것이 어떻게 하는 것인가 의문이 들고, 어른들과의 대화법이 궁금하던 차에 이 책을 고르게 되었다. 비록 기사 작성에 도움이 되는 책은 아니었으나 앞으로의 취재 활동이나 공식적인 곳에서 유용한 팁이 될 수 있겠다 싶었다. 

책을 읽고 얻은 결론은, '대화'란 혼자 하는 것이 아니라는 것. 상대방과 함께 하는 것이 '대화'라는 점을 유념하면 훌륭한 대화를 만들 수 있다는 것이었다. 

내가 생각하는 '대화의 기술'이라는 것은 따로 존재하는 것이 아닌, 우리가 대화 시에 놓치고 있는 당연한 부분들이라는 것을 깨닫게 되었다. 

발표뿐만이 아니고 내용 자체가 대화에 대한 새로운 시선을 갖게끔 신선한 충격을 주었다. 

▶ 발표 현장

이렇게 ‘내가 듣기 싫은 말은 무엇인지’ 생각해보는 마음가짐으로 ‘역지사지’를 행한다면 대화를 하면서 더 좋은 방향으로 나아갈 수 있어요. 이러한 대화가 지속되다 보면 상대의 호의 속에 우연찮게 내가 그토록 원하던 정보가 담겨 있기도 해요.

앞으로 우리 기자단원들이 인터뷰를 위해 취재를 하거나, 큰 틀로 보아 공식적인 자리에서 담소를 나누게 될 때에도 겸손하고 당당한 ‘나 자신’을 보여줄 수 있을 것 같아요.

나에게 필요한 것들을 얻어가는 대화는 내가 만든다는 것을 모두 꼭 아셨으면 좋겠습니다.

작은 발표를 마치며 누군가에게 내가 느낀점을 공유할 수 있다는 것은 정말 큰 행운이라는 생각이 들었다. 모두모두 잘 들어준 덕분에 무사히 마친 발표가 3기 활동 중 기억에 남는 한 페이지가 되었다. 

지난 한해는 한국전력공사의 전기사랑 기자단과 함께 했었다. 

나주에 있는 본사 방문을 시작으로, 한전 사내 기자단분들과 함께하여 더욱 뜻깊었던 1박2일의 워크숍, 매달 진행했던 수차례의 기획회의 등을 참석하며 많이 성장했다. 

사실 2016년 첫 지원서 제출 및 면접 때만 해도, 양복을 입고 온 다른 지원자들을 보며 무척 기가 죽었었다. 그런데 기사 작성에 대한 나의 열망, 전공을 살린 ICT 및 IOT에 대한 나의 관심도 등을 좋게 봐주셔서 나도 최종합격에 이르게 되었다. 당시 2학년인 나로서는 성취감이 생기는 뿌듯한 일이었다.

한전 기자단 3기의 활동 중 20건 정도의 기사를 쓸 수 있었고, 내 관심 분야를 응용한 IT 관련 기사들도 한국전력공사 공식 블로그 KEPCO에 게재할 수 있었다. 많은 배움 중 특별히 남는 것이 있다면, 

그리고, 나의 관심분야를 기사로 녹여낼 수 있는 행복을 조금 더 누리고 싶어 이번 한국전력공사 전기사랑기자단 4기에 재지원하게 되었다. 

우연찮게 면접보는 내 모습(왼쪽 마지막)이 지난 기수에 우리 활동을 담당해주셨던 한전 뉴미디어 팀장님의 페이스북에 올라왔다. 재지원에도 불구하고 쟁쟁한 경쟁자들이 많아 떨렸던 것은 사실이나 이번에는 한층 더 자신감이 생겨 당당하게 나를 어필할 수 있었다. 

그리고 4기도 최종합격.

또 한번의 기회를 내게 주신 한전 관계자분들께 너무 감사드리고, 앞으로의 한 해도 한국전력공사와 함께 발전할 수 있는 내가 되었으면 좋겠다. 

4/11 발대식은 전공 수업이 2개 있는 화요일에 진행되는 탓에 함께하지 못했다. 한 해동안 달려보자! 화이팅