Drive SIS 2023 : Drive 후기

SIS 컨퍼런스 트랙 출처 : https://s2w.inc/kr/resources/view/?id=174

2023년 7월 11일에 개최되었던 SIS 2023 Drive에 참석하였다.

SIS는 이제 2회차 개최된 보안 컨퍼런스로 보안에 대한 여러가지 주제를 포괄하는 행사이다.

컨퍼런스도, 보안에 관련된 공식행사도 처음이여서 너무 좋은 경험이었고 앞으로 더 열심히 해야겠다는 생각을 하게 되었던 날이었고 어려울까봐 많이 걱정했지만 준비된 자료의 질, 스피커들의 숙련도, 컨퍼런스회장, 엄청난..케이터링 모두 좋았다. 내년에 개최가 된다면 또 참여하고 싶다.

컨퍼런스는.. 너무 집중하느라 사진을 못찍었고 케이터링도 사람많아지기 전에 한장만 남겨보았다.

노트북을 가져갔어야 했는데.. 내 판서 속도가 좋은내용을 못따라가서 아쉽다.

꼬질꼬질..

엄청난 케이터링..

다양한 트랙을 내가 직접 선택해서 듣는다는게 흥미로웠지만 같은시간 다른트랙에도 관심이 있었을때는 조금 아쉬웠다..!

움직일 때 너무정신이 없었던것도 한몫..

 

본인은 

• 글로벌 보안 트렌드 및 변화 사례 소개
• Lockbit의 파일단속
• VPN환경에서의 모바일 앱 핑거프린팅
• 익명 채널의 특화된 AI 언어모델  DarkBert의 개발 과정과 활용 사례

트랙을 각 선택하였다.

 

1. 글로벌 보안트렌드 변화 및 사례 (PWC 이성호)

https://www.pwcconsulting.co.kr/ko/aboutus/our-partners.html

PWC라는 컨설팅보안 이사님께서 글로벌 보안트렌드, 우리사회 비즈니스에서는 이 보안트렌드를 어떻게 따라가 구조화 해야하는지에 대해 설명해 주셨다.

보안은 국제적으로 핵, 인권문제 보다더 위협되고 개발 되고 있는 분야로 선정되었으며 사이버 분야는 정량적 관리가 필요하다.

이에 맞게 사이버 복구 조직을 형성해야하며 국내에서는 내외부적인 기술력, 예산, 보안에대한 문제 등등으로 인해 해결되지 못하고 정체되고 있다. 따라서 이사회와 실무자 사이의 보안 관리자는 중간에서 각 팀원들을이해 시키고 리포트를 작성하는 노력을 많이 기울여야한다.

또한 이사회는 내외부에 대한 CyberRisk에 대해 이해도와 역량확보가 반드시 필요하다.

시스템 적으로는 회사에서도 <Zero-Trust> 시스템을 도입하여 사내에서 무조건적 신뢰를 지양하고, 지속적 검증 및 권한접근을 제한하여 내부자유출, 바이러스감염 등에 항상 주의 하여야한다.

정책포인트(PPP)와 정책을 실행하는 포인트(PEP)사이에 등급별로 나누어 민감한정보는 더 보호하고 민감하지 않은 정보는 가용성을 높이는 제도가 필요하다.

 

2.Lockbit의 문단속 (S2W 양희성, 임정연)
Lockbit의 역사

Lockbit이라는 현존하는 랜섬웨어 중 가장 고전그룹에 대해 역사와 더불어 테크니컬하게 어떻게 발전 해왔는지 먼저 설명해 주셨다.

Lockbit은 2021년 06월부터 현재까지 활동하고 있으며 기존 BlackMatter를 인수하여 활동하다가, 개발자들 임금체불로 인해 코드가 유출되어 다양한 랜섬웨어를 파생시키며 현재는 Conti 기반으로 업데이트하여 Mac OS까지 타겟팅 하고 있다.

Lockbit Tatto Challenge

해커 러시아 커뮤니티에서, 한 유저가 "타투 추천받는다"라는 게시글에 공식 Lockbit 계정에서 Lockbit 로고로 타투를 하면 $1,000를 주겠다는 멘션을 하고, 커뮤니티 유저들이 무려 18명이나 참여하여 실제로 돈도 Lockbit이 유저들에게 지급했다는 재미있는(?) 사례이다.

실제 인증도 이루워졌으며 지급은 17명에게 비트코인으로 지급되었다.

놀랍게도 유저한명의 Case를 조사했을때 무려 2개의 문신을 다른부위에 새기며 다른 아이디, 하지만 같은 비트코인 지갑으로 총 $2,000받은것으로 추적 되었다.

돈을 받지 못한 1명은 가짜문신으로 밝혀져 지급되지 않았다.

 

3.VPN 환경에서의 모바일 앱 핑거프린팅 (성균관 대학교 김형식)

말 그대로 VPN환경에서 모바일 앱을 어떻게 식별하고 특정지을 수 있는가에 대해서 설명해 주셨다.

어플리케이션의 보안강화 프로그램 및 시스템 SSL/TLS, VPN, Tor등이 발전함에 따라 안전하지만 추적이 안되는 어려운 상황에서 앱을 식별 할 수 있는방법은 패킷의 Length를 ET-BERT*라는 자연어 학습 딥러닝 모델을 기반으로 학습시켜 암호화된 트래픽을 Challnege하여 학습시키고, 과정에서 Flowprint + Sever + DNS + Authentication를 조합하여  F-score가 무려 90%가 넘는 매칭률을 보이며 앱을 특정 지을 수 있다.

 

하지만 세팅에 의해 영향을 많이 받는 기계학습에서 모수의 일반화가 잘 이루워 지지 않았고, 프록시나 원시데이터 조작, VPN사용 시 계속 IP가 변화 하기때문에 점진적인 연구가 필요할 것으로 보인다는 한계점도 잘 설명해 주셨다.

 

4. 익명 채널의 특화된 AI 언어모델  DarkBert의 개발 과정과 활용 사례

우연하게 해당 트랙도 Bert와 관련되어있는 트랙이었다.

자연어 처리 학습 딥러닝모델인 Bert를 딥웹에 특화 시켜 학습시켰던 사례, 방법 등에 대해서 알려주셨다.

이 과정을 Fine Tuning이라고 하며 목적에 맞게 러닝 모델을 도메인, 이메일 URL등, 비트코인관련등등 을 학습시켜

High Qulity 라는 질문을 하였을 때 일반모델은 Product, DarkBert는 drug, fill 로 대답하는 신기한 사례등을 자세히 알려주셨다.

 

5. 공통세션 AI와 사이버 보안의 미래

기술이 너무 빠르게 발전함에 따라 AI와 보안은 아직 윤리보안이라는 항목으로 민감하게 반응하고 있어 사용 시 주의가 필요하며 정립해 나가야할 의무가 있을것으로 보인다.

또한 법적으로 논의가 꼭 필요하고 AI 비식별화에 대한 연구도 많이 이루워 지고 있다.

하지만 보안인으로써 AI를 기본으로 알아둬야하는것은 맞지만 기본..도 많으므로 기본을 먼저 열심히 해야한다.

 

QnA

본인이 한 질문만 간단하게 정리해보았다.

기술적으로 궁금한 질문 한개와 앞으로 테크니션 사회인으로서의 마음가짐에 대한 질문을 했다.

 

Q. 보안분야에 AI를 적용할 분야가 많이 있나? 데이터분석 입문인 IRIS, Titanic 데이터셋이나 분석은 너무 기초적이고 고전적이라고 생각한다.

A. 보안은 엄청난 데이터셋을 다방면의 분야에서 보유하고 있기때문에 악성코드등 트레이닝 데이터셋은 무궁무진하게 많다. 하지만 캐글대회식 분석은 추천하지 않는다.

 

Q. 일반회사에서 보안팀으로서의 테크니션과 비테크니션의 Challenge, 특히 나의 상사를 설득하는데 있어서 팁이 있나

A.  "인간관계론"을 읽어보는 것을 강력히 추천한다. 그리고 비테크니션의 입장을 충분히 이해하고 Use-case를 아주 많이 준비해서 설명하는 것을 추천한다.

 

 

너무 즐거운 하루였고 인간관계론 읽으러 가야겠다.

https://www.aladin.co.kr/shop/wproduct.aspx?ItemId=209457983 

데일 카네기 인간관계론