나경아빠의 스케치북 - 고통은 희망의 씨앗이다

참고문헌 및 사이트

- 웹 모의해킹 및 시큐어코딩 진단가이드(최경철, 김태한)

1. 툴 진단

1) 특징

- 자동화된 취약점 진단도구를 이용한 방법

- "웹 스캐너" 툴 이용

2) 툴

- 현장에서는 주로 칼리 리눅스 가상 머신 만들고 칼리안에 있는 웹 스캐너 이용(1.0.9a 버전)

- 윈도우용 : OWASP Tool(프락시 써야 함)

- 상용버전 : http://w3af.org/

3) 웹 스캐너 기능

- URL 수집

사전 정의된 태그정보를 통해, 사이트 구조를 수집

사이트 디렉토리 및 페이지 구조 파악

- 취약점 분석

URL 수집을 통해 확인된 디렉토리 및 페이지에 사전 정의된 패턴을 전송하여 취약점 판단

2. 모의진단

1) 특징

- 사이트의 메뉴를 추적하면서 로그인 페이지, 게시판 등에서 발생할 수 있는 취약점을 확인

- 툴 진단에 확인된 취약점을 검증하거나 분석이 불가능한 부분을 검증

3. 소스진단

1) 특징

- 소스코드를 분석하여 취약점이 발생가능한 위치를 확인

- 상용 툴을 통해 확인 결과를 점검자가 검증

2014년 핀테크 이슈가 불거지더니 2015년 들어서는 금융위원회가 금융혁신 과제로 핀테크를 지정할 정도로 뜨거운 분위기다.

비 금융회사인 IT기술 기반의 회사가 IT기술을 앞세워 금융회사 수익사업 영역으로 확대하는 것을 보면서

조직의 IT 부서와 비 IT 부서와의 관계를 생각해본다.

1. 핀테크란?

금융(Finance)와 기술(Technology)이 만나 전통적인 금융산업을 혁신하는 기술 또는 기술을 말한다.

현재도 금융은 IT 기술을 기반한 금융산업을 이루고 있지만 핀테크 이전의 금융회사 IT는 개인과 금융회사간의 중계 및 금융업무 지원정도로

인식이 되었지만 핀테크는 개인과 금융회사의 중계를 넘어 개인과 개인의 중계와 비 금융회사의 비대면, 모바일 등의 IT 기술을 이용하여

금융 비즈니스를 영위하는 것으로 생각된다.

2. 우리 주위의 핀테크는 무엇?

2013년 가격 폭등으로 주목을 받았던 비트코인

미국의 페이팔 결제

구글의 NFC 기반의 구글월렛

중국 알리바바의 알리페이

다음카카오의 뱅크월렛카카오와 카카오페이

3. 핀테크의 본질은 갑을관계의 파괴

금융산업은 전통적인 수수료 사업에 의존을 많이 해 왔다. 물론 선물옵션 파생거래 등의 비 수수료 사업도 있지만.

그런 전통적인 사업 모델에서 IT는 업무 지원 정도로만 활용되어 왔다.

즉, 현업에서는 IT 부서를 비즈니스 수행의 지원 부서로만 인식이 되어왔고 대부분의 조직이 그러한 체계로 움직이고 있다.

(비즈니스 이슈로 사업 기획 -> 전산 구현 검토 의뢰 -> 전산 개발 -> 비즈니스 수행)

핀테크는 이러한 전통적인 접근방식의 변화를 가져왔다.

As Is : 현업(금융회사) -> IT(비 금융회사) 

To Be : 비 금융회사(IT) -> 금융회사(현업)

여러 금융회사의 고객들이 소수의 거대한 플랫폼을 가진 IT 회사의 고객이 되고 산재되어 있는 각 고객의 금융서비스를

하나로 제공해주면서 금융회사와 IT 회사간의 역전이 발생한 것이라고 볼 수 있다.

4. 금융회사 내 IT 조직은?

금융회사 내에서 업무 오더를 내리는 현업이 갑이고 IT 조직은 을의 위치에 가까운 경우가 많다. 

즉, 핀테크 이전의 금융회사와 IT 회사간의 관계가 이와 같다.

5. 핀테크 이후 IT 조직의 운영은?

현업 업무 하나당 IT 조직원 몇명 할당해서 현업업무 : IT부서 = 1 : 1 구조로 조직이 구성되어 왔다.

비즈니스의 모든 정보가 녹아있는 프로그램, 데이터를 보유(?)한 IT 조직은 무궁 무궁한 잠재력이 있다.

전통적인 IT 조직 구조를 탈피해서 IT 부서원이 N개의 업무를 소화할 수 있는 역량과 유연한 업무 투입 체계를 갖추고

신규 비즈니스 분석, 개발, 제안을 할 수 있는 조직 체계를 갖춘다면 금융회사 내에서도 IT 부서는 그들만의 "핀테크"를 

만들 수 있지 않을까? 

그러기 위해서는 자기 IT 업무만 붙잡고 있으면 만고땡이라는 작은 밥그릇 근성도 버려야 할 것이다.

2014년 많은 팀원들이 떠나고 난 뒤 남은 일을 챙기면서 스스로 부족한 면을 많이 느끼면서 약자, 무능한자의 위치에서

대처하는 법을 알고 싶어 읽게된 책

1. 자리가 바뀌면 사람들은 변한다.

사보나롤라는 이상주의자였다. '불을 토하는 것 같았던' 그의 설교는 사람들의 심금을 울리기에 충분했다. 종교의 본질로 돌아가자나는 그의 호소는 피렌체 시민들을 열광시켰다. 그러나 대중의 열광적인 인기를 등에 업고 권력을 잡았을 때, 그는 변하기 시작했다. 아니, 더 정확하게 말하자면 현실의 문제에 눈을 뜨게 되었기 때문에 그는 변할 수 밖에 없었던 것이다.

정치인들은 총선, 대선 전후로 많이들 변하는 것을 봐왔다. 그것이 자리와 위치가 바뀌면서 자기가 뱉은 말이 결코 실행될 수 없는 현실을 봤고 그 현실에서 움직일 수 밖에 없기에 대중들은 변했다고 판단하는 경우가 많다.

회사에서도 이런 경우는 볼 수 있다. 

팀원, 파트장이었던 사람이 팀장이 되면서 조직의 운영 방향이 과거에 했던 발언과 다르게 운영하는 것을 볼 수 있다.

(팀장이 되었다면 아랫 사람들에게 했던 발언과 다르게 상사들이 원하는 말과 정책의 동조를 했을지도)

비단 권력을 가진 자리로 이동, 변화가 아니더라도 책임의 무게가 무거운 쪽으로 이동하게 되면 이전의 발언과 본인이 현실에서 해야하는 행동이 서로 다를 수 있다. 예를 들어 책임이 가벼운 사람이 이런 정책은 현실적으로 저런 문제로 하기 힘들거나, 하더라도 형식적으로밖에 되지 않는다라고 말을 하는데 상사로부터 책임을 부여받은 사람 입장에서는 그것을 알고도 형식적이든 포장이든 결과를 만들어 내야 한다. 그런데 이전에 반대 입장을 내세웠던 사람이 책임이 무겁거나 직접 질책을 받는 자리로 옮겨지면 결국 "현실"의 벽에 부딪쳐 과거의 자기 생각과는 반대로 일을 하는 경우가 있다. 또 한가지는 사례는 과장까지는 절대 술을 안 먹겠다는 사람이 40 중반이 되어가는 차장이 되어서는 상사가 권하는 술을 먹는 경우도 이런 것과 비슷하다.

2. 이성을 가진 약자, 울보가 되어야 한다.

난세의 한가운데를 지나고 있던 피렌체 정국에서 마키아벨리가 국가의 중대사를 결정하는 권력의 핵심으로 등장할 수 있었던 것은, 본인 스스로가 '얼빠진 짐승'처럼, 대중처럼 행동하지 않았다는 말이다. 자기 이익을 쫓아 쉽게 분노를 폭발시킨 아라비아티처럼 행동하지 않았다. 마키아벨리는 스스로에게 이렇게 다짐했을 것이다. 울지도 말고, 분도하지도 말자. 역사는 울보에게도, 분노한 자에게도 맡겨지지 않는다.

대중은 왜 늘 소수의 지배자에게 당하고 사는 것일까? 그것은 그들이 울보이기 때문이며, 쉽게 분노하면서 이성을 잃기 때문이다.

지배를 하는 사람은 이성을 가진 반면, 지배를 받는 사람은 비이성적으로 행동하기 때문이다.

이성을 가지고 울보가 되지 말라는 것은 자기 감정을 쉽게 내 보이면 상대방에게 그 패를 보여지기 때문일까?

가장 흔한 케이스는 회의와 자기 업무에 대한 투덜이 아닐까한다. 

여러 부서간의 회의에서 대변인인냥 나서서 목소리를 높이거나 노골적으로 비협조적으로 나오는 경우와 자기 일이 가장 힘들고 많고

투덜거림이 많은 사람들이 다소 이런 부류가 아닐까 생각이 든다.

그들을 대하는 현명한 방법은 무엇이 있을까? 

대충 떠오르는 방법이 있긴 하지만 맞는지는 모르겠다.

3. 모략만이 성공의 비결

나는 비천하게 태어난 자가 정정당당하게 실력으로 출세한 예를 지금까지 한 번도 들어 보지 못했다. 오히려 내가 목격한 것은 조반니 갈레아초가 그의 큰아버지인 베르나르도 각하의 손에서 롬바르디아의 지배권을 빼앗은 것과 같은 사건들이다. 즉, 모략만이 성공의 비결이라는 것을 나는 확고하게 믿고 있다.

마키아벨리는 공직에 오르기 위해서 강력한 후원자를 얻었다. 예나 지금이나 '내가 무엇을 아는가' 보다 더 중요한 것이 있다. 그것은 '내가 누구를 아는가', 또 '누가 나를 아는가' 이다. 실력은 나에게 맡겨진 업무를 처리할 능력이지만, 그 능력을 발휘할 수 있는 기회는 내가 가진 인적 자원으로부터 출발한다.

모략이라고 표현했지만 결국은 자기 목표를 이루기 위한 접근방법을 말하는 것인데 과거나 현재나 결국 그 접근방법의 시작은 인맥이다.

참고문헌 및 사이트

- 웹 모의해킹 및 시큐어코딩 진단가이드(최경철, 김태한)

1) 기술적 취약점 진단

- 해킹 등에 의한 사이버 위협에 대한 주요시설의 취약점을 종합적으로 분석하고 개선하는 작업

2) 기술적 취약점 진단 유형

① 업무서버, 네트워크 장비, 보안장비

- 서버, 장비 등의 불필요한 서비스/포트/데몬, 취약한 버전을 사용하는 서비스/데몬, 부적절한 파일 권한 등의

   취약점을 점검

② 홈페이지 모의해킹, 내/외부망 모의해킹, DDoS 모의공격

- 모의해킹 점검 항목 사례

③ 소스코드 전수검사 및 소스코드 Eye-Check

- 소스코드 취약점 점검도구를 이용하여 1차 점검 수행

- 확인된 결과물을 전문 보안컨설턴트가 재검토

3) 취약점 점검 평가 RFP 사례

ABC캐피탈_2014취약점진단_RFP.hwp

KISA 취약점 분석 평가 제안요청서.hwp

한국거래소 취약점 분석 평가 제안요청서.hwp