2011년 10월 14일 금요일
개발자도 알아야 할 네트워크 포렌식 분석 기술, '안랩코어 2011' 컨퍼런스
오늘은 보안분석,인프라&관리,SW 개발기술등을 공유하는 안철수연구소의 첫 개발자 컨퍼런스인 '안랩코어 2011' 행사를 소개하고자 합니다.
2011년 10월25일 (화) 에 열리며, 장소는 양재동 EL 타워입니다. 제가 이 행사를 소개하는 것은 저도 여기서 한 꼭지를 맡고 있어서 입니다. "개발자도 알아야 할 네트워크 포렌식 분석 기술" 이라는 주제로 발표를 합니다. 사실, 제가 공식적으로 소속을 소개하는 것은 처음인것 같습니다. 지금까지는 블로그를 운영하면서 저에 대해서 거의 밝히지 않았는데, 어찌하다 보니 이렇게 되었네요.
트랙은 크게 A,B 로 보안 기술/분석 적인 것과 소프트웨어 개발쪽으로 나뉩니다. 이번에 제가 소개하는 내용은, 네트워크 관점의 포렌식이라는 의미에서 다뤄보고자 하였습니다. (사실 머 패킷분석이죠~^^) 개발자 분들도 패킷분석이라는 것에 쉽게 접근해 볼 수 있도록 패킷분석 방법론에 대해서 이야기 해 볼 것이고, 운영하고 있는 저희 패킷시스템에 대해서도 잠깐 소개해 드릴 예정입니다. 보관하고 있는 패킷 데이터가 상당합니다. 그리고, CaseStudy 를 통해서 관점별로 패킷분석 사례를 공유해 보고자 합니다. 패킷분석과 관련하여 소개하고 싶은 주제는 상당히 많은데, 제한된 시간과 주제가 있다보니 과연 어떤 내용을 여러분께 소개를 해 드려야 좋을지 고민이 많습니다.
자세한 내용은 아래 발표 프로그램과 다음 행사 홈페이지 주소를 참고하세요.
컨퍼런스 안내 페이지 : http://www.ahnlabcore.co.kr/
보안에 관심있는 분석가,개발자 여러분들의 참여를 기대해 봅니다. 다만, 유료로 열리는 컨퍼런스라는 점이 부담이 되긴 하는데요. 이건 제가 어떻게 해 드릴 방법이 없네요 ㅜㅜ
(혹시나, 패킷인사이드 통해서 많이 오신다면 얘기라도 해 볼까요? ㅎㅎ )
마지막으로, 보안 컨테스트도 열리고 있습니다. IT 보안에 관심있는 분이라면 누구나 참여할 수 있도록 구성되어 있습니다. 저희팀의 몇명이 특히 고생하고 있는 해킹대회인데, 이것도 많은 관심 가져주세요.
대회는 10월22일 (토) 에 열리며, 지금 사전 등록을 하실 수 있습니다.
대회 안내 페이지 : http://www.ahnlabcore.co.kr/contest.html
1등은 맥북에어 2등은 아이패드 등으로 상품도 푸짐합니다.
피드 구독하기:
댓글 (Atom)
네트워크 시스템 포렌식은 기술적 측면에서 단순 패킷 분석 영역많은 아닙니다.
답글삭제수집된 패킷이 변죄되지 않았다는 무결성 입증과 전송서버의 패킷과 수신 서버의 패킷이 동일하다는 동일성 입증.
더 중요한것은 분석서가 제대로 작성되어야 한다는 겁니다.
분석서 작성은 판사가 읽어보니 쉽고 평이하게 논리적 경험법칙을 동원하여 작성해야겟지요.
포렌식분석서는 정보보호의 로그 분석 수준이 아닙니다.
로그서버에 해커가 침입하여 날자,시간등을 변조하면 그 증거가 법적 증명력이 잇을까요?
사이버포렌식의 궁극적 목적은 각종 민.형사, 행정 소송등에서 승소하기 위한 전략을 세워주는 컨설팅입니다.
www.cfpa.or.kr 의 KPC강의 과정을 참조하시면 도움이 될겁니다.
네, 물론 포렌식의 범위는 훨씬 넓습니다. 포렌식 의미가 법적인 성격도 강하지만, 분석적인 여러면에서도 단어가 혼용되어 많이 사용되기도 합니다. 말씀해 주신대로, 이번 강연에서는 포렌식 의미를 사용하고 있지만 법적인 접근 보다는 패킷분석적인 면이 큽니다. 포렌식이라는 의미를 꼭 법적인 측면보다는 좀더 넓은 범위로 생각해 보셔도 될것 같습니다. 해외 경우를 봐도 분석적인 의미에서도 많이 이 단어를 사용하고 있습니다. 어찌되었든, 이번 강연은 '패킷분석' 이라는 측면에서 봐주시면 될것 같습니다. :-)
답글삭제안녕하세요. 평소에 패킷 인사이드의 도움을 많이 받고 있는 대학원생입니다. :)
답글삭제저도 이번에 AHNLAB CORE에 등록을 하고 저희 랩실 대부분의 학생 역시 참석합니다. 대구에서 올라갑니다.
그리고 TRACK A를 신청해두었는데 이렇게 반가울 수가 직접 강연하시는 모습을 볼 수 있게 되어 기대가 큽니다! :)
안녕하세요, 멀리서 오시네요? ^^.
답글삭제조심히 올라오시고요,행사날 뵙겠습니다. 인사라도 나누시죠 :-)
CORE 행사 잘 다녀왔습니다. 어제 강의도 무척 잘 들었습니다. ^^
답글삭제강의가 끝나고 인사라도 드리고 싶었는데 어디 계신지 찾을 수가 없고 행사가 마무리 되는 시점이라 어수선해서 뵙지를 못했네요.
와이어샤크에서 GeoIP 부분 보여주실 때 손 번쩍 들고 '국가정보요'라고 외치고 싶었는데 타이밍을 놓쳐버렸습니다. ^^;
즐겁고 유익한 행사였고요. 나중에 기회가 되면 꼭 한 번 뵙고 인사드리고 싶네요.
블로그에도 자주 들리고 행사 때 시연해 주신 것 정리한 것도 기다리겠습니다. ^^
정보보호학과에 재학중인 학생 입니다!..CORE 행사 좋았습니다. 특히 마지막 pack분석 부분이 저는 가장 흥미 있었습니다. 네떡 프로그래밍 쪽으로 관심이 많은지라..^^ 상품으로 USB에 패킷 담아서 주시는걸 봤는데 저도요! ^^;; 아무튼 부산에서 올라간 보람이 있었습니다!
답글삭제To dwkwon님,
답글삭제제가 마지막 발표라 따로 스피커와의 만남 시간이 없었습니다. 저도 끝나고서 정신이 없었네요. GeoIP 부분에서 손 한번 드시지 그러셨어요? 그러면 선물하나 드렸을텐데요. ^^
더 많은 내용을 소개해 드리고 싶었는데, 시간이 한정되어서 아쉬운 부분이 있네요. 시연때 보여드렸던 내용이나 기타 제가 추가로 말씀 드리고 싶은 부분은 조만간 정리해서 올려드리겠습니다. :-)
To 익명님,
답글삭제코어행사가 좋았다고 하니 다행이네요 ^^. 감사합니다.
네트워크 프로그램에 관심이 많으셨군요. 더 많이 소개해 드리지 못한점이 아쉽습니다. 많은 내용이 이미 블로그에 포스팅되어 있고요, 발표때 시연내용은 추가로 정리해서 올릴 예정입니다. 부산에서 올라오셨다고 하니 선물이라도 하나 챙겨드릴껄 그랬네요. 아 그리고, USB 상품에는 패킷은 담겨있지 않았습니다. ㅋㅋ 대신 쉽게 구하실 수 있는 곳을 정리때 말씀드리겠습니다.
먼곳에서도 이렇게 행사 방문해 주셔서 너무 감사드립니다.
안녕하세요! 안랩코어 강연 잘 들었습니다!^^ 사실 네트워크보다는 악성코드에 관심이 많았었는데 아주 재밌게 잘 들었습니다^^
답글삭제좋은 블로그를 운영하고 계시네요!
강연끝나고 블로그 말씀하실때 주소를 말씀해주시지 않으시길래 책을 한참 뒤졌답니다ㅋ
피피티슬라이드에 있더라구요!
종종 공부하러 놀러오겠습니다~
ps. 타블로 닮으셨어요!!
안녕하세요, 느낌님!
답글삭제악성코드에 관심이 있으셔서 강연을 들으셨군요. 네트워크에도 재미있었다고 하니 다행이네요. 악성코드에 관심이 많으시다면, 이 '네트워크'에도 관심을 가져보시면 분석하는데 큰 도움이 됩니다. 이제는 네트워크를 빼고 얘기를 할 수 없을만큼 네트워크에 기반으로 동작하기 때문이죠. 네트워크에 대해서 조금 더 깊게 파고들어보시면 네트워크를 기반으로 하는 악성코드에 대해서도 이해하는데 많은 도움이 되실겁니다. 블로그 주소는 마지막장에 있어서 따로 말씀은 안 드렸는데 ^^
조만간 발표내용 관련한 내용 정리해서 올릴테니 다시 한번 리뷰해 보세요. 아, 타블로는 종종 듣는 얘기인데. 역시나 그렇군요 ㅋㅋ
core 행사 잘 다녀왔습니다. 정말 인상깊은 강연이었습니다 ^^ '카라'를 매직아이로 확인하고 손 번쩍! 들었는데 다른 분을 호명해주시던ㅋㅋ
답글삭제인사드리고 싶었는데 마지막 세션 끝나고 경황이 없었네요. 자주 들리겠습니다~
안녕하세요, 붉은구름님!
답글삭제인상깊었다고 하시니 부끄럽네요 ^^ 매직아이를 직접 확인하신 1인 이셨군요. 제가 손 드신걸 못 봤나보네요. 음악틀고 바로 손 드시는 분만 보아서요 ~ 기회가 되면 다음번에 작은선물이라도 하나 챙겨드리고 싶네요. 마지막세션이라 인사를 나눌시간이 없어서 아쉬웠습니다.앞으로 자주 뵙겠습니다.
P.S 큰 화면에서 확인하는게 쉽지많은 않았을텐데, 눈썰미가 좋으시네요 :-)
안녕하세요 ^^ 저는 컴퓨터공학과에 재학중인 학생입니다. 올해 1년 동안 휴학을 하고 있어서 시간이 되어 AhnLab Core라는 좋은 프로그램을 들을 수 있었습니다. 특히 Rigel 님의 발표 정말 인상깊게 들었습니다.
답글삭제Ubuntu를 사용하고 있는 유저로서
우분투에서 Wireshark 를 돌릴때에 혹시 무선랜카드를 Interface 로 잡을 수 있는 방법을 찾아 봤는데 설명이 어려워서 이해가 안되는 부분이 많아서 고생하고 있습니다.
혹시 Rigel 님께서 무선랜을 우분투 환경 Wireshark 에서 Interface 로 잡는 방법을 알고 있으시면 알려주실수 있으신가요?
아니면 추천해주실 만한 사이트라도 알려주시면 감사드리겠습니다.
안녕하세요 Jack2님,
답글삭제좋은 평가 해 주셔서 감사합니다. :-) 기본적으로 무선랜이 잡혀있다면 와이어샤크 인터페이스에서 해당 인터페이스가 나타납니다. 그러면 그 인터페이스를 선택하여 패킷캡쳐를 할 수 있습니다. System → Administration → Network 에서 Network Manager 를 선택해서 무선랜을 잡으시면 됩니다. 만약 무선랜 인터페이스가 나타나지 않는다면, 드라이버가 제대로 올라오지 않은 것입니다. 사용하시는 무선랜카드 종류를 확인해 보시고, iwconfig 에서 제대로 인터페이스가 나타나는지 보시기 바랍니다. ^^
아핫! 여기 주인장이 늘 궁금했었는데, 정관진씨셨군요!!
답글삭제예전엔 아파치문서들로 도움을 많이 받았었는데, 이젠 이 블로그에서 정보를 많이 얻고 있습니다. 고맙습니다.
동명이인 일수도 있다고 생각했었는데, 타블로 닮았다는 댓글에서 확신이 들었습니다. ㅋㅋ
안녕하세요 Wanseok 님,
답글삭제저의 존재를 알아내셨군요. ㅋㅋ 아파치부터 아셨다고 하면 꽤 오래전부터 보셨었나 보군요. 아파치는 요새 거의 손을 놓고 있다보니 ㅜㅜ
네, 아파치시절 생각하면 오래전 일이네요. ㅎ ㅏ ㅎ ㅏ ~
답글삭제전에 KISC에서 일할 때 오며가며 몇번 뵀었는데 이곳 주인장이셨다니 더 반갑습니다. ^^
네트워크 트래픽/패킷분석을 보안관점에서 하는 분들이 많지 않은데, taosecurity 이후로 가장 자주 찾아왔던 블로그에요.
도움도 많이 되었구요. 그럼 앞으로도 계속 좋은 블로깅 부탁드립니당.
자주 방문해 주셨다니 감사합니다. 주로 네트워크 관점에서 블로깅을 많이 하려고 하는데, 쓰다보면 시간이 꽤 많이 필요한 일이더군요. 앞으로도 지식을 많이 털어서 계속 블로깅 할 수 있도록 하겠습니다. ^^
답글삭제앞으로도 블로그에서 자주 뵈어요~