.gif)
데프콘 등 민간 보안 프로그램에 참여한 국방부 국장, 발품 아끼지 않아
국방부에서 진행하는 보안 훈련 프로그램, 단순히 국방 위한 프로그램 아냐
[보안뉴스 문가용] 미국 국방부가 지난 해에 이어 올해도 국장급 임원을 데프콘(Def Con)에 파견했다. 인재를 등용하기 위한 것은 아니었다. 병력훈련 책임자인 프랭크 디지오반니(Frank DiGiovanni)의 경우 “데프콘 참석자들에게서 최신 트렌드와 해킹 문화를 배우고자 했다”고 설명했다. “해킹 방어 대회에 참석하는 사람들은 누구며, 그들의 말과 문화를 어떻게 이해해야 하는가, 그들은 어떤 동기로 움직이며, 무엇을 기반으로 행동하는가, 등을 알고 싶었죠.”
국방부 국장급인 디지오반니는 데프콘 현장에서 직접 20명의 보안 전문가들을 인터뷰했다. 그가 가장 많이 물었던 건 “만약 후계자나 당신의 조수를 뽑는다면, 어떤 사람을 선택하겠는가?”였다.
그가 이런 질문을 가지고 현장에서 발품을 판 건 가장 최신화 되고 효과가 좋은 사이버 훈련 프로그램을 만들어내고, 결국에는 아직 ‘그들만의 리그’인 사이버 보안 및 해킹 분야의 전문성을 좀 더 필요한 곳으로 분산시킬 방법을 모색하기 위해서였다. “현재까지 저희가 계획하고 있는 건 학군단(ROTC) 형식으로 학생들을 선발해 국방부 사이버 보안 훈련을 받도록 하는 겁니다. 당연히 군 복무 지원 시 우선권을 주고요.” 데프콘 창립자인 제프 모스(Jeff Moss)가 인터뷰이를 찾는 것에 큰 도움을 주었다.
디지오반니는 훈련뿐 아니라 모병에도 관여하고 있다. 그래서 침투 테스트를 전문으로 하는 기업의 CEO, 침투 테스트 전문가들과 만나 국방부에서 가르쳐야 할 기술이 무엇인지, 어떤 사람들을 뽑고 훈련시켜야 하는지 자문을 구하기도 했다. “현재 국방부에서는 6개월짜리 훈련 코스를 진행하고 있고, 약 30명의 학생들이 참여하고 있습니다. 차세대 보안 인력을 길러내는 것이 정말로 중요하기 때문에 이 훈련을 항상 최신화시키려고 하는 것이죠.”
디지오반니 국장은 이번 데프콘에서 뭘 얻어 갔을까? “과학, 기술, 엔지니어링, 수학 능력이 반드시 최고 가치를 가진 능력이 아니라는 것이죠. 사실, 제가 만난 수많은 사람들 중에 저 네 가지 영역을 언급하는 사람은 거의 없었습니다. 기술력이 생각보다 중요하지 않다는 것은 커다란 충격이었습니다.” 오히려 그가 가장 많이 들었던 능력은 “창의력, 호기심, 탐구력, 지속성, 팀워크”였다.
‘데프콘’의 여러 가지 프로그램 중 가장 유명한 건 단연 CTP(capture the packet)일 것이다. 국방부도 훈련 프로그램 중에 이를 도입할 것이 유력해 보인다. “CTP 등의 콘테스트를 기획하고 진행한 브라이언 마커스(Brian Markus)를 영입했습니다. 10월엔 저희에게 맞는 CTP 프로그램을 제출할 예정입니다.”
데프콘에서 디지오반니를 만나 사람 중에 보안 전문업체인 디지털 가디언(Digital Guardian)의 글로벌 책임자인 패트릭 우파탐(Patrick Upatham)이 있다. “처음에는 국방부 국장이 만나자고 하니 불안했습니다만, 그 목적과 의도를 설명 듣고 나니 제가 아는 걸 전부 이야기해줄 수 있었습니다. 그들의 목적이 합리적으로 보였기 때문입니다.”
“디지오반니 국장은 보통의 사람들이 보안 인재를 찾을 때 그러하듯, ‘이공계열’ 인재를 찾는 것이 아니라 완전히 새로운 유형의 사람들을 찾고 있었습니다. 기본부터 뭔가를 바꿔가고 싶다는 느낌을 강하게 받았습니다. 좀 더 연구에 대한 의지가 있고, 호기심과 창의력이 왕성한 사람을 찾아서 사이버 보안에 필요한 기술을 가르치려는 것 같았습니다. 기존과는 완전히 반대되는 방식이죠.”
국방부의 훈련을 받았다고 해서 반드시 군대로 들어가는 건 아니다. 국가 안보 분야에서만 활동하게 되는 것도 아니다. “지금 국가 전체적으로 보안 인력에 큰 모자람이 있습니다. 작년만 해도 2십만 여개의 보안 관련 직책이 메워지지 않았죠. 그런 인적 보충을 하는 것이 국방부 훈련 프로그램의 목표입니다.”
현재 보안 훈련 프로그램의 80%는 키보드로 직접 해보는 ‘실기’로 구성되어 있고 나머지 20%는 이론 학습이다. 특이할만한 건 이 이론 수업들 대부분을 학생들 스스로가 진행한다는 것이다. “가르치는 게 최고의 학습 방법이거든요.”
민간 부문의 보안 인재 육성은 물론, 잦은 표적이 되고 있는 미국의 국가적 안보 강화라는 두 마리 토끼를 잡고자 민간 행사를 직접 찾아다니는 미국 정부기관의 노력이 부러우면서도 그만큼 미국의 사이버 보안 상태가 위급한 상황이라는 뜻으로도 해석된다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
국방부에서 진행하는 보안 훈련 프로그램, 단순히 국방 위한 프로그램 아냐
[보안뉴스 문가용] 미국 국방부가 지난 해에 이어 올해도 국장급 임원을 데프콘(Def Con)에 파견했다. 인재를 등용하기 위한 것은 아니었다. 병력훈련 책임자인 프랭크 디지오반니(Frank DiGiovanni)의 경우 “데프콘 참석자들에게서 최신 트렌드와 해킹 문화를 배우고자 했다”고 설명했다. “해킹 방어 대회에 참석하는 사람들은 누구며, 그들의 말과 문화를 어떻게 이해해야 하는가, 그들은 어떤 동기로 움직이며, 무엇을 기반으로 행동하는가, 등을 알고 싶었죠.”
국방부 국장급인 디지오반니는 데프콘 현장에서 직접 20명의 보안 전문가들을 인터뷰했다. 그가 가장 많이 물었던 건 “만약 후계자나 당신의 조수를 뽑는다면, 어떤 사람을 선택하겠는가?”였다.
그가 이런 질문을 가지고 현장에서 발품을 판 건 가장 최신화 되고 효과가 좋은 사이버 훈련 프로그램을 만들어내고, 결국에는 아직 ‘그들만의 리그’인 사이버 보안 및 해킹 분야의 전문성을 좀 더 필요한 곳으로 분산시킬 방법을 모색하기 위해서였다. “현재까지 저희가 계획하고 있는 건 학군단(ROTC) 형식으로 학생들을 선발해 국방부 사이버 보안 훈련을 받도록 하는 겁니다. 당연히 군 복무 지원 시 우선권을 주고요.” 데프콘 창립자인 제프 모스(Jeff Moss)가 인터뷰이를 찾는 것에 큰 도움을 주었다.
디지오반니는 훈련뿐 아니라 모병에도 관여하고 있다. 그래서 침투 테스트를 전문으로 하는 기업의 CEO, 침투 테스트 전문가들과 만나 국방부에서 가르쳐야 할 기술이 무엇인지, 어떤 사람들을 뽑고 훈련시켜야 하는지 자문을 구하기도 했다. “현재 국방부에서는 6개월짜리 훈련 코스를 진행하고 있고, 약 30명의 학생들이 참여하고 있습니다. 차세대 보안 인력을 길러내는 것이 정말로 중요하기 때문에 이 훈련을 항상 최신화시키려고 하는 것이죠.”
디지오반니 국장은 이번 데프콘에서 뭘 얻어 갔을까? “과학, 기술, 엔지니어링, 수학 능력이 반드시 최고 가치를 가진 능력이 아니라는 것이죠. 사실, 제가 만난 수많은 사람들 중에 저 네 가지 영역을 언급하는 사람은 거의 없었습니다. 기술력이 생각보다 중요하지 않다는 것은 커다란 충격이었습니다.” 오히려 그가 가장 많이 들었던 능력은 “창의력, 호기심, 탐구력, 지속성, 팀워크”였다.
‘데프콘’의 여러 가지 프로그램 중 가장 유명한 건 단연 CTP(capture the packet)일 것이다. 국방부도 훈련 프로그램 중에 이를 도입할 것이 유력해 보인다. “CTP 등의 콘테스트를 기획하고 진행한 브라이언 마커스(Brian Markus)를 영입했습니다. 10월엔 저희에게 맞는 CTP 프로그램을 제출할 예정입니다.”
데프콘에서 디지오반니를 만나 사람 중에 보안 전문업체인 디지털 가디언(Digital Guardian)의 글로벌 책임자인 패트릭 우파탐(Patrick Upatham)이 있다. “처음에는 국방부 국장이 만나자고 하니 불안했습니다만, 그 목적과 의도를 설명 듣고 나니 제가 아는 걸 전부 이야기해줄 수 있었습니다. 그들의 목적이 합리적으로 보였기 때문입니다.”
“디지오반니 국장은 보통의 사람들이 보안 인재를 찾을 때 그러하듯, ‘이공계열’ 인재를 찾는 것이 아니라 완전히 새로운 유형의 사람들을 찾고 있었습니다. 기본부터 뭔가를 바꿔가고 싶다는 느낌을 강하게 받았습니다. 좀 더 연구에 대한 의지가 있고, 호기심과 창의력이 왕성한 사람을 찾아서 사이버 보안에 필요한 기술을 가르치려는 것 같았습니다. 기존과는 완전히 반대되는 방식이죠.”
국방부의 훈련을 받았다고 해서 반드시 군대로 들어가는 건 아니다. 국가 안보 분야에서만 활동하게 되는 것도 아니다. “지금 국가 전체적으로 보안 인력에 큰 모자람이 있습니다. 작년만 해도 2십만 여개의 보안 관련 직책이 메워지지 않았죠. 그런 인적 보충을 하는 것이 국방부 훈련 프로그램의 목표입니다.”
현재 보안 훈련 프로그램의 80%는 키보드로 직접 해보는 ‘실기’로 구성되어 있고 나머지 20%는 이론 학습이다. 특이할만한 건 이 이론 수업들 대부분을 학생들 스스로가 진행한다는 것이다. “가르치는 게 최고의 학습 방법이거든요.”
민간 부문의 보안 인재 육성은 물론, 잦은 표적이 되고 있는 미국의 국가적 안보 강화라는 두 마리 토끼를 잡고자 민간 행사를 직접 찾아다니는 미국 정부기관의 노력이 부러우면서도 그만큼 미국의 사이버 보안 상태가 위급한 상황이라는 뜻으로도 해석된다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
