2008/08/20 08:51
새벽에 너무 시간이 없어 대충 그려서 만들었는데...
아침에 출근하면서 떠오르는 아이디어로 새롭게 도안해봤습니다.
첫 번째 그림과 두번 째 그림 모두 트럭 위에 있는 벌레를 표현했으며,
두 번째는 좀더 트럭 같도록 바퀴를 달아봤습니다.
잠시 생각이 나서 세 번째를 추가해보았습니다. B 안에 느낌표를 추가했습니다.
(추가 #1) 점심 먹고 와서 조금 더 수정해서 네 번째 이미지도 올려봤습니다. 트럭 머리를 만들어줬습니다. :)
(추가 #2) ZIZI님의 의견을 수렴해서 다섯 번째 이미지를 제작했습니다. 이젠 지붕이 있는 트럭이 되겠습니다. (추가 #3) Matt님의 의견을 수렴하여 심플한 벌레를 그려봤습니다. 네 가지를 이미지를 추가했습니다.
이후엔 개인적인 사정에 의해 추가적인 업데이트는 없을 예정입니다. 하나의 이미지가 선정된다면, 일부 의견을 반영하여 조금의 수정은 가능할 듯 합니다.
아침에 출근하면서 떠오르는 아이디어로 새롭게 도안해봤습니다.
첫 번째 그림과 두번 째 그림 모두 트럭 위에 있는 벌레를 표현했으며,
두 번째는 좀더 트럭 같도록 바퀴를 달아봤습니다.
잠시 생각이 나서 세 번째를 추가해보았습니다. B 안에 느낌표를 추가했습니다.
(추가 #1) 점심 먹고 와서 조금 더 수정해서 네 번째 이미지도 올려봤습니다. 트럭 머리를 만들어줬습니다. :)
(추가 #2) ZIZI님의 의견을 수렴해서 다섯 번째 이미지를 제작했습니다. 이젠 지붕이 있는 트럭이 되겠습니다. (추가 #3) Matt님의 의견을 수렴하여 심플한 벌레를 그려봤습니다. 네 가지를 이미지를 추가했습니다.
이후엔 개인적인 사정에 의해 추가적인 업데이트는 없을 예정입니다. 하나의 이미지가 선정된다면, 일부 의견을 반영하여 조금의 수정은 가능할 듯 합니다.
이올린에 북마크하기Trackback Address :: http://bar4mi.tistory.com/trackback/18
2008/08/20 02:00
BugTruck에서 한창 2주년 기념 얘기가 오가고 있어, 일과후에 짬을 내어 간만에 도안을 해봤습니다.
3 가지 정도로 디자인 해보았는데, 메인 디자인(사슴벌레)가 괜찮다면 여러가지 도안으로 적용가능하지 않을까 합니다.
첫 번째는 벌레 디자인만이며, 두 번째는 원 안에 도안을 넣어본 형태입니다.
마지막 세번째는 트럭 위의 벌레를 표현한 것인데... 아이디어는 나름 괜찮았다고 생각하는데 표현이 조금 아쉽다는 생각이 듭니다.
3 가지 정도로 디자인 해보았는데, 메인 디자인(사슴벌레)가 괜찮다면 여러가지 도안으로 적용가능하지 않을까 합니다.
첫 번째는 벌레 디자인만이며, 두 번째는 원 안에 도안을 넣어본 형태입니다.
마지막 세번째는 트럭 위의 벌레를 표현한 것인데... 아이디어는 나름 괜찮았다고 생각하는데 표현이 조금 아쉽다는 생각이 듭니다.
Trackback Address :: http://bar4mi.tistory.com/trackback/17
2008/08/18 01:29
보안 진단(네트워크 진단, 시스템 진단, 웹 진단, 등)과 모의해킹의 구분이 모호해지고 있음을 접하게 된다. 이러한 현상은 고객사에서 뿐만 아니라 보안 회사에서도 발생하고 있어, 오랜 시간동안 이 문제에 대해서 고민하게 되었다. 이 글은 보안 점검(보안 진단과 모의해킹을 통합하는 의미로 '점검'이라는 단어를 사용하기로 하겠다.)을 서비스 받는 이용자와 서비스 제공자 모두를 대상으로 한다.
이 글을 읽고 왜? 보안 점검을 실시하는 지를 각 점검을 계획, 실시하기 전에 반드시 고민해보았으면 한다.
보안 진단과 모의해킹의 차이를 한 가지 예를 들어 살펴보자. 병의 발생을 막기위한 방법을 크게 두 가지로 구분해보자. 혈액 검사, X-ray 등과 같은 검사를 통해서 주기적으로 환자의 건강 상태를 점검하여 발병을 사전에 예방하는 방법과, 예방 접종을 실시하여 병에 대한 면역력을 길러주는 방법이 존재한다. 예방 접종이란 병의 근원이 되는 바이러스를 몸에 침투시켜 면역성을 높이는 것으로, 체질이 특이할 경우 사고가 발생할 수 있으므로 사전에 주의가 요구되는 위험성이 존재하는 방법이다. 앞서 설명한 건강 관리는 보안 점검에 해당 되며, 예방 접종은 모의해킹에 비유될 수 있다. 건강한 몸을 유지하는 것이라는 광의의 목적은 동일하지만, 건강 검진과 예방 접종은 엄연히 그 역할과 목적이 틀리다.
최근 느끼는 것은 사람들이 예방 접종을 만병 통치약으로 생각한다는 것이다. 모든 것을 모의해킹으로 푼다는 것이 얼마나 잘못된 인식에서 비롯된 것인가를 알지 못한다. 다시 한번 강조하지만, 모의해킹은 만병통치약이 아니다.
오늘은 보안 진단과 모의해킹의 목적에 대해서 살펴보자.
보안 사고(피해)는 아래 그림과 같은 과정을 거쳐서 발생하게 된다. 공격자가 정보를 획득하고, 이를 통해서 관리자 또는 특정인의 권한을 획득한다. 획득한 권한을 이용하여 개인정보 노출, 또는 기업의 주요 정보가 노출되거나 특정 권한이 악용되어 다양한 피해가 발생하게 된다.
보안 진단은 권한 노출이나 피해가 발생하지 않도록 사전에 위험을 제거하는 것이 가장 큰 목적이다. 따라서 피해를 발생시킬 수 있는 정보의 노출이나 권한 노출의 원인이 될 수 있는 것들이 존재하는 지를 파악하여 위험을 제거하게 된다. 이때, 빠짐없이 점검하기 위해 ”체크리스트”라는 것을 사용한다. 그리고 이 체크리스트의 위험도를 바탕으로 도출된 위험들을 하나둘씩 제거하는 것이다. 모든 작업이 완료되었을 때 해당 시스템(또는 환경)이 완벽하게 안전하다고 할 수는 없지만, 일반적으로 발생되는 위험들로부터는 어느 수준까지 안전할 수 있다. (보안 점검의 딜레마라는 것이 존재한다. 오늘까지 알려진 보안 위험들로부터 안전하다고 해서 내일도 안전하다고 할 수는 없다. 첫째, 내가 알고 있는 보안 위험이 세상에 존재하는 모든 위험이 아닐 수도 있다. 제로데이 익스플로잇 같은 것들은 소수의 사람들만 알고 있으며, 이것이 대외적으로 널리 알려지기까지는 시간이 걸린다. 둘째, 내일 새로운 위험이 등장할 수 있기 때문이다.)
모의해킹은 현재의 보안 수준에서 얼마만큼의 피해가 어떠한 형태로 발생할 수 있는 지를 도출하는 것이다. 점검자는 가능한한 모든 수단과 방법을 동원하여 최대한의 피해가 발생하도록 시도한다. 체크리스트라는 것이 존재하지 않으며, 비즈니스 로직 또는 환경에 따라서 수행 시나리오를 구성한 후 다양한 방법을 활용하여 결과를 도출한다. 이는 점검자에 따라서 방법과 도출되는 피해의 차이가 발생한다.
보안 진단을 통해서 얻을 수 있는 것은 현재의 보안 상태와 문제점, 그리고 이를 차단할 수 있는 방법들로써, 보안 진단은 피해 발생의 초기 단계에서 정보 노출이나 권한 관리 영역을 중점적으로 관리할 수 있다는 이점이 있다. 모의해킹을 통해서 얻을 수 있는 것은 피해 규모 및 대상 등 결론적인 것들이다. 이는 임직원들에게 보안의 심각성을 일깨우게 할 수 있는 정량적 또는 정성적 기준이 될 수 있다. 또한 부가적으로 문제가 발생한 원인을 중심으로 보안 진단을 실시하여, 위험을 관리할 수 있다. 따라서, 보안 진단은 피해 발생의 원인이 되는 초기에 초점을 맞추어 진행되어야 하며, 모의해킹은 서비스를 이해하고 정보를 수집하여 발생 가능한 피해를 극대화하는 것에 초점을 맞추어야 한다.
모의해킹은 권한 또는 정보를 획득하고 피해를 직접 보여준다는 점에서 그 효과는 즉각적이며, 표면적으로 매우 화려하게 보인다. 보안의 진정한 목적, 정보 자산을 안전하게 보호하는 측면에서 살펴보자면, 현재 자신의 수준 또는 목적에 부합하는 보안 점검이 무엇인지를 알고 그에 맞는 보안 점검을 받아야 한다. 진단과 모의해킹은 목적성이 틀리므로 점검하는 사람 역시 그 목적에 충실한 수행과 결과를 도출할 수 있도록 노력해야 한다.
이 글을 읽고 왜? 보안 점검을 실시하는 지를 각 점검을 계획, 실시하기 전에 반드시 고민해보았으면 한다.
보안 진단과 모의해킹의 차이를 한 가지 예를 들어 살펴보자. 병의 발생을 막기위한 방법을 크게 두 가지로 구분해보자. 혈액 검사, X-ray 등과 같은 검사를 통해서 주기적으로 환자의 건강 상태를 점검하여 발병을 사전에 예방하는 방법과, 예방 접종을 실시하여 병에 대한 면역력을 길러주는 방법이 존재한다. 예방 접종이란 병의 근원이 되는 바이러스를 몸에 침투시켜 면역성을 높이는 것으로, 체질이 특이할 경우 사고가 발생할 수 있으므로 사전에 주의가 요구되는 위험성이 존재하는 방법이다. 앞서 설명한 건강 관리는 보안 점검에 해당 되며, 예방 접종은 모의해킹에 비유될 수 있다. 건강한 몸을 유지하는 것이라는 광의의 목적은 동일하지만, 건강 검진과 예방 접종은 엄연히 그 역할과 목적이 틀리다.
최근 느끼는 것은 사람들이 예방 접종을 만병 통치약으로 생각한다는 것이다. 모든 것을 모의해킹으로 푼다는 것이 얼마나 잘못된 인식에서 비롯된 것인가를 알지 못한다. 다시 한번 강조하지만, 모의해킹은 만병통치약이 아니다.
오늘은 보안 진단과 모의해킹의 목적에 대해서 살펴보자.
보안 사고(피해)는 아래 그림과 같은 과정을 거쳐서 발생하게 된다. 공격자가 정보를 획득하고, 이를 통해서 관리자 또는 특정인의 권한을 획득한다. 획득한 권한을 이용하여 개인정보 노출, 또는 기업의 주요 정보가 노출되거나 특정 권한이 악용되어 다양한 피해가 발생하게 된다.
보안 진단은 권한 노출이나 피해가 발생하지 않도록 사전에 위험을 제거하는 것이 가장 큰 목적이다. 따라서 피해를 발생시킬 수 있는 정보의 노출이나 권한 노출의 원인이 될 수 있는 것들이 존재하는 지를 파악하여 위험을 제거하게 된다. 이때, 빠짐없이 점검하기 위해 ”체크리스트”라는 것을 사용한다. 그리고 이 체크리스트의 위험도를 바탕으로 도출된 위험들을 하나둘씩 제거하는 것이다. 모든 작업이 완료되었을 때 해당 시스템(또는 환경)이 완벽하게 안전하다고 할 수는 없지만, 일반적으로 발생되는 위험들로부터는 어느 수준까지 안전할 수 있다. (보안 점검의 딜레마라는 것이 존재한다. 오늘까지 알려진 보안 위험들로부터 안전하다고 해서 내일도 안전하다고 할 수는 없다. 첫째, 내가 알고 있는 보안 위험이 세상에 존재하는 모든 위험이 아닐 수도 있다. 제로데이 익스플로잇 같은 것들은 소수의 사람들만 알고 있으며, 이것이 대외적으로 널리 알려지기까지는 시간이 걸린다. 둘째, 내일 새로운 위험이 등장할 수 있기 때문이다.)
모의해킹은 현재의 보안 수준에서 얼마만큼의 피해가 어떠한 형태로 발생할 수 있는 지를 도출하는 것이다. 점검자는 가능한한 모든 수단과 방법을 동원하여 최대한의 피해가 발생하도록 시도한다. 체크리스트라는 것이 존재하지 않으며, 비즈니스 로직 또는 환경에 따라서 수행 시나리오를 구성한 후 다양한 방법을 활용하여 결과를 도출한다. 이는 점검자에 따라서 방법과 도출되는 피해의 차이가 발생한다.
보안 진단을 통해서 얻을 수 있는 것은 현재의 보안 상태와 문제점, 그리고 이를 차단할 수 있는 방법들로써, 보안 진단은 피해 발생의 초기 단계에서 정보 노출이나 권한 관리 영역을 중점적으로 관리할 수 있다는 이점이 있다. 모의해킹을 통해서 얻을 수 있는 것은 피해 규모 및 대상 등 결론적인 것들이다. 이는 임직원들에게 보안의 심각성을 일깨우게 할 수 있는 정량적 또는 정성적 기준이 될 수 있다. 또한 부가적으로 문제가 발생한 원인을 중심으로 보안 진단을 실시하여, 위험을 관리할 수 있다. 따라서, 보안 진단은 피해 발생의 원인이 되는 초기에 초점을 맞추어 진행되어야 하며, 모의해킹은 서비스를 이해하고 정보를 수집하여 발생 가능한 피해를 극대화하는 것에 초점을 맞추어야 한다.
모의해킹은 권한 또는 정보를 획득하고 피해를 직접 보여준다는 점에서 그 효과는 즉각적이며, 표면적으로 매우 화려하게 보인다. 보안의 진정한 목적, 정보 자산을 안전하게 보호하는 측면에서 살펴보자면, 현재 자신의 수준 또는 목적에 부합하는 보안 점검이 무엇인지를 알고 그에 맞는 보안 점검을 받아야 한다. 진단과 모의해킹은 목적성이 틀리므로 점검하는 사람 역시 그 목적에 충실한 수행과 결과를 도출할 수 있도록 노력해야 한다.
이올린에 추천하기Trackback Address :: http://bar4mi.tistory.com/trackback/16
