status

• 여전히 에브리바디 세미나 준비로 바빴다
  내 주제는 http, https
  근데 어쩌다 보니 쿠키도 하고 API도 하고 TLS/SSL OWASP까지 다루게 되었다.
  어차피 보안을 다루는 엔지니어니까 기왕 하는 거 다해보자 했는데
  솔직히

  ppt 만드는 게 너무 힘들다

솔직히 계속 PPT 작업만 하는 게 생산성 없어 보이고.

내 푸념을 들은 친구들도 정말 할 일 없어 보인다고 ...
이게 IT 직군인지 행정직군인지

그래서 Rehearsal

추석 후 드디어 세미나 리허설을 진행했고, 그에 대해 피드백으로

• "기본적인" 것에 더 충실히 하라는 피드백을 받았다
• http 특성 중요하고
• CRUD 메소드 중요하고
• 쿠키 헤더 각각의 정의
• Stream 정의
• 캐시 정의
• OWASP 정의.. 등
• PPT 목차 등 깔끔하게 시각적으로 정리해 보기.
• 어려워 보이는 자료를 좀 더 쉽게 풀어내라는 피드백도 받았다
• http stateful, stateless에 대해 더 살을 붙이라고 하는데..?

의외였다
개인적으론 보안이 더 중요하다고 생각해 보안공격에 고민을 많이 했고, 공부를 많이 했는데.

지시하신 사항이었던
wire shark로 패킷을 분석하라는걸
도저히 https 패킷 정보에 뭘 보라는건지..? 모르겠다
( postman/ insomnia 이미 쓰고 있음 -
헤더 쿠키 분석은 당연히 API 호출해서 보는 이쪽이 더 보기 깔끔함)

결국 http도 TCP 통신을 하니까
handshake flag만 가지고 패킷 설명했는데
다시 분석해 보라고 하심.

아직도 딱히 방법은 못 찾고 있음
... 쓰는 법 좀 알려주면 좋겠구먼.

솔직히

무엇을 위한 세미나인지는 아직도 의아함.

우린 "보안" 을 다루는 엔지니어인데 정의나 기본을 설명해야 하나?

회사 스터디 세미나 하며, 시간 들여가며..
근데 서로에게 굳이 네트워크 기본을 알려줄 이유가..?

회사 스터디 PPT 하며, 시간 들여가며..
굳이 네트워크 기본까지 알려주기엔
시간 관리 차원에서
스스로 네트워크 지식이 부족한 부분은 독학하는 게 더 효율적이지 않나 는 생각이 든다.

나의 경우
결론적으로 플레이북 만들거나
생산성을 높이기 위해선
data 값을 보고 설계와 시나리오 짜는 게 더 중요한 게 아닌가 싶은데.

패킷 보고 에러 책임 유무를 판단하는게 "엔지니어"의 주 업무인 건지.
유지 보수를 하려면 syslog/rsyslog
등 로그 분석 공부하는 게 더 효율적인 게 아닌가.

경력사원 보니까
사이트에서 로그 에러 분석하셔서 문서화를 정말 잘하시던데..
역시 배운 사람은 다르다는 생각이 들었다.

그냥 공부 말고 실무 위주 교육을 하면 좋겠는데.

웹 취약점 분석?

... 그리고 패킷 분석은
웹 취약점 분석 때 주로 찾아서 보고하는 거로 알고 있는데요.

보통은 kali 리눅스랑 다른 OS 띄워서 하는 거로 아는데,
애당초 현재 kali 리눅스는 보지도 쓰지도 않는 환경이다.

스터디 할 거면
해킹이나 취약점 분석을 해보고 싶었는데.

wire shark 말고도
보안 분석 툴 따로 있는 거로 아는데...
이것도 알아서 공부하라는 걸까.

web 서버가 고장 나면 요새는 브라우저에서 개발자 도구로 헤더 확인할 수 있고, status Code가 GUI 환경에서 보이다 보니, 솔직히

Wire Shark는 초반 설계를 잘하면 그다지 사용할 일이 많지도 않을 것 같고.

유지보수도 뭣도 안해봐서
"엔지니어"로 봐야 한다는 포인트가
그걸 제가 어떻게 아나요 로 무한 Response..

질문

발표때 서로 질문을 안하는 분위기가 조성되었는데.
이유는

1
일단 사원끼리 부담이 느껴지기도 하고 같이 고생했으니 동질감이 들기도 하고.

2
각자 담당 공부한 부분이 아니다 보니까?

현재 주제로 DNS, HTTP&HTTPS, HTTP&HTTPS+CDN, IP+Router, TCP/UDP, Ethernetframe+Switch 등 이 되겠다.
본인들이 맡아서 유지보수하던 솔루션 기반으로 계층별로 맡게 되었다. (나빼고)

딱히 하는것 없는 나는
그냥 웹 애플리케이션 환경이 익숙하니까..
OSI 7계층 중
http랑 https + 보안 전반을 맡기로 했다.

DNS나 router, Switch 등
생소한 프로토콜과 디바이스가 많은 나로선
듣다가 이해가 안 되는 것 위주로 질문을 하는데,
질문받는 분들이 버거워하시는 것 같았다.
그리고 대답을 해주실 때도 있지만...
이하생략

점점 표정이 좋지 않아지는 것 같아
나도 좀 김이 빠지긴 했다.

게다가
대부분이 세미나가 첫 경험이라고 해서 그러신지.
질문받고 대답하는 상황 자체에 힘들어하는 게 보였다.

주 업무가 아니라
side라고 생각하시는 분도 계신 거 같았고.

그래서
이전 회사 때 사원분들보단
발표 자체에 대해 덜 목멘다고 해야 할까.

아쉽긴 했다.

FeedBack

피드백이 항상 좀 아쉬웠다.

나도 내 피드백을 상사분들께 발표 후 직접 들을 땐
경황도 없고 세부적인 것 까진 다 기억하진 못하고.

인간은 간사하게 안 좋은 기억을 잘 까먹는다.

그러다 보니 서로 피드백을 기록해 주기로 했다

그래봤자
솔직히 차장님과 과장님 팀장님 정도만 적극적으로 피드백해 주셔서 위 내용만 전달받는다.

같은 사원들의 시각도 필요한데 좀 아쉽다는 생각이 들었다.

익명으로
서로에게 장단점 적다 보면
좀 더 많이 받을 수도 있을 거 같아
... 의견제시했으나... 없던일로 하자

결론

그래서 나는 도대체

SIEM과 SOAR를
프로토콜과 어떻게 엮어서 설명해야 할지는 솔직히 모르겠음...

그냥 보안 엔지니어답게
솔직히 http/https 관련 보안 공격은 많으니,
대표적인 DDOS나 DOS공격을 SIEM과 SOAR로 막는 것을
라이브로 보여주면 참 좋겠는데,
해킹을 배운 적이 없다 보니 주말에 또 구글신과 공부를 해야 하는 상황이 되었다.