혼자 배우는 것이 아닙니다: 사이버 보안 초보자를 위한 체계적인 가이드

기술적인 배경 지식 없이 외부인으로서 사이버 보안 분야에 합류하는 것은 나에게 있어서 변혁적인 여정이었습니다. 업계에 대해 나를 즉각적으로 사로잡은 것은 끊임없는 속도와 끊임없이 제시하는 짜릿한 도전이었습니다. 해당 분야의 전문가들과 교류하면서 진심으로 배우고자 하는 의지를 보여준 신입사원들에 대한 압도적인 지지에 큰 힘을 얻었습니다. 그러나 나는 곧 지배적인 정서를 발견했습니다. 즉, 새로 온 사람들이 독립적으로 스스로 학습할 것이라는 일반적인 기대가 있다는 것입니다. 이는 특히 사이버 보안 분야의 많은 잠재적 초보자가 본질적으로 자가 학습자가 아니라는 점을 고려하면 어려운 기대일 수 있습니다. 타고난 호기심은 의심할 여지 없이 귀중한 특성이지만, 많은 개인, 심지어 엄청난 잠재력을 가진 사람이라도 이 광대한 영역으로 첫 발을 내딛기 위해서는 구조화된 프레임워크가 필요하다는 점을 인식하는 것이 중요합니다.

지난 몇 년 동안 업계의 인재 격차를 해소하는 데 상당한 진전이 이루어졌습니다. 그러나 ISC2 사이버 보안 인력 연구(ISC2 Cybersecurity Workforce Study) 에 따르면 2023년 현재 전 세계적으로 사이버 보안에서 440,000개의 새로운 일자리가 창출되었지만(전년 대비 8.7% 증가), 무려 400만 개의 자리가 채워지지 않은 상태로 남아 있습니다(전년 대비 12.6% 증가). . 이러한 엄청난 격차는 숙련된 전문가에 대한 고용주의 요구와 그러한 전문 지식의 실제 부족 사이의 단절로 인해 발생합니다.

이러한 인재 부족에 대한 해결책은 잠재적인 사이버 보안 전문가, 특히 어린 학생들의 경력 초기 단계에 초점을 맞추는 것입니다. 커뮤니티로서 청소년에게 실행 가능한 직업 옵션으로 사이버 보안을 탐색하는 데 필요한 도구를 제공하는 것이 중요합니다. 핵심은 구조화되고 실용적이며 접근 가능한 학습 경로를 제공하는 것입니다. 다음은 이를 수행하는 방법에 대한 몇 가지 단계와 예입니다.

NIST-NICE와 같은 학습 프레임워크

NIST-NICE 프레임워크는 사이버 보안 작업을 분석, 수집 및 운영, 조사, 운영 및 유지 관리, 감독 및 관리, 보호 및 방어, 보안 제공의 7가지 상위 수준 범주로 분류합니다. 각 카테고리는 전문 분야와 업무 역할로 세분화되어 경력 발전을 위한 포괄적인 로드맵을 제공합니다.

표 1: NICE 프레임워크 작업 역할 범주

이 표는 사이버 보안 환경 내에서 다양한 역할을 보여줍니다. 이러한 범주를 이해함으로써 초보자는 보다 맞춤화되고 정보에 입각한 경력 궤적을 위해 더 나은 위치를 차지할 수 있습니다.

NIST-NICE 프레임워크에 대한 포괄적인 이해와 초보자를 위한 다양한 리소스에 액세스하려면 다음을 방문하세요. NICE 시작하기 리소스 센터 .

목표는 사이버 보안의 다양한 측면을 탐구하고 열정과 숙련도가 교차하는 지점을 결정하는 것입니다. 사이버 보안은 역동적인 분야이기 때문에 개인이 방향을 바꾸고, 학습하고, 발전할 여지가 항상 있습니다.

실제 해커와 친구가 되어보세요

사이버 보안 커뮤니티는 신규 이민자를 특별히 지원합니다. 노련한 전문가라도 팁과 조언을 공유하는 데 열려 있는 경우가 많으며 초보자도 쉽게 접근할 수 있습니다. 이 사람들을 만나는 비결은 라이브 이벤트에 참석하는 것입니다.

대면 이벤트에서의 실시간 상호 작용은 자발적인 질문, 토론 및 더 깊은 이해의 가능성을 제공합니다. 단지 지식에 흠뻑 젖는 것이 아닙니다. 그것은 또한 네트워킹에 관한 것입니다. 이러한 장소는 의미 있는 연결을 구축하고 잠재적으로 멘토링, 취업 알선 또는 협업 프로젝트로 이어질 수 있는 주요 기회입니다. 더욱이 이러한 모임에는 종종 전문가의 지도 하에 참석자들이 이론을 실제로 적용할 수 있는 실제 과제나 실습 워크숍이 있습니다.

사이버 보안 애호가에게 직접 이벤트에 참석하는 것이 그토록 유익할 수 있는 이유는 다음과 같습니다.

• 기술 시연: 도전이나 워크숍에 직접 참여하여 실시간으로 기술을 연마합니다.
• 최신 정보 유지: 사이버 보안은 끊임없이 진화하고 있습니다. 아직 더 넓은 온라인 커뮤니티에 도달하지 못한 신선하고 최첨단 토론에 참여해 보세요.
• 도덕적 지원: 동료들과 경험과 어려움을 공유합니다. 다른 사람들도 비슷한 어려움에 직면해 있다는 사실을 알면 위안이 되고 동기가 부여됩니다.

장소와 관련하여 일부 플랫폼과 조직이 눈에 띕니다.

• OWASP (개방형 웹 애플리케이션 보안 프로젝트): 웹 취약성에 대한 통찰력으로 유명한 OWASP의 글로벌 지부는 정기적으로 회의와 워크숍을 개최합니다.
• BSides : 이러한 커뮤니티 중심 이벤트는 토론과 학습을 위한 더욱 아늑하고 친밀한 환경을 제공합니다.
• DEF CON : 해커 컨벤션 중 하나이며, 해킹과 사이버 보안에 대해 깊이 연구하고 싶은 사람에게 훌륭한 장소입니다.
  

참석을 계획할 때 다음과 같은 몇 가지 팁을 참고하세요.

• 적극적으로 참여하십시오. 수동적인 참여자가 되지 마십시오. 참여하고, 질문하고, 토론하세요!
• 준비: 행사 일정을 살펴보고, 관심 있는 세션을 기록하고, 연사를 조사합니다.
• 후속 조치: 흥미로운 사람과 연결되었나요? 이벤트가 끝난 후 감사 메시지나 간단한 메시지를 전하세요. 소중한 인연의 시작이 될 수 있습니다.
  

따라서 사이버 보안 지식과 네트워크를 심화시키려는 경우 이러한 이벤트에 참석하는 것이 다음 큰 기회를 향한 디딤돌이 될 수 있습니다.

CTF 챌린지 및 해커톤에 참여하세요

CTF(Capture The Flag) 챌린지는 참가자가 암호화부터 웹 애플리케이션 취약성에 이르는 사이버 보안 퍼즐을 해결하는 대회입니다. 이러한 과제는 초보자에게 실제 사이버 보안 문제를 해결하는 데 있어 실용적인 실무 경험을 제공합니다. 예를 들어, DEF CON CTF 이벤트는 매년 전 세계 청중의 관심을 끌고 있으며 모든 기술 수준에 적합한 퍼즐을 제공합니다.

CTF 과제에 참여하는 것은 NIST-NICE 프레임워크에 설명된 여러 영역과 직접적으로 연관되어 있습니다.

• 분석(AN): CTF의 암호화 퍼즐을 해독하면 들어오는 사이버 보안 정보를 평가하는 분석 범주와 관련된 기술이 향상됩니다.

• 보호 및 방어(PR): CTF 중에 취약점을 해결하면 IT 시스템에 대한 위협을 식별, 분석 및 완화하는 참가자의 능력이 강화되어 보호 및 방어 범주와 밀접하게 일치합니다.

• 조사(IN): 일부 CTF는 IT 시스템과 관련된 사이버 보안 사건이나 범죄를 조사하는 조사 범주에 맞춰 법의학 문제를 포함합니다.

• 보안 프로비저닝(SP): 참여자가 시스템을 보호하거나 강화해야 하는 문제를 해결하는 것은 보안 프로비저닝 범주를 반영하여 보안 IT 시스템의 설계 및 생성을 강조합니다.

  
  

CTF에 몰입함으로써 초보자는 귀중한 실무 경험을 얻을 뿐만 아니라 NICE 프레임워크에 따라 관심을 가질 수 있는 다양한 역할과 영역을 더 잘 이해할 수 있습니다. 이는 특정 사이버 보안 역량을 탐색하고 심화할 수 있는 실질적이고 매력적인 방법을 제공합니다.

버그 바운티 캠페인에 참여하세요

버그 포상금 캠페인에서 기업은 윤리적인 해커가 시스템의 취약점을 찾아 보고하도록 장려합니다. 이러한 관행은 선도적인 기술 기업들 사이에서 점점 더 널리 퍼지고 있으며, 독립적인 보안 연구원들로 구성된 글로벌 풀의 가치를 실현하고 있습니다. 예를 들어, Google, Facebook, Apple, Microsoft 및 Twitter와 같은 거대 기술 기업은 모두 자체 버그 포상금 프로그램을 출시하여 윤리적인 해커가 플랫폼의 잠재적인 보안 결함을 식별하고 책임감 있게 공개하도록 장려했습니다. 이러한 캠페인을 제공함으로써 이러한 조직은 시스템 보안을 강화할 뿐만 아니라 사이버 보안 커뮤니티와의 공생 관계를 조성합니다. 예를 들어:

• Google의 VRP(취약성 보상 프로그램)는 Google 제품 및 서비스의 보안 취약점을 발견한 연구원에게 보상을 제공합니다. 보상 금액은 결함의 심각도와 영향을 받는 제품에 따라 100달러에서 30,000달러 이상까지 다양합니다. 일부 예외적인 경우에는 더 높은 보상이 부여됩니다. Google의 VRP는 Google Chrome, Android, Google Cloud Platform과 같은 제품의 보안을 보장하는 데 중요한 역할을 해왔습니다.
  
• Apple의 보안 장려금 프로그램은 보안 연구원을 초대하여 iOS, macOS 및 기타 Apple 소프트웨어 전반의 취약점을 찾아냅니다. 지불금은 상당히 클 수 있으며, 가장 중요한 문제에 대한 보상은 최대 100만 달러에 이릅니다. 이는 사용자 개인 정보 보호 및 보안에 대한 Apple의 약속을 반영합니다.
  

Bugcrowd, Hackerone 및 Intigrity와 같은 플랫폼은 윤리적인 해커를 Google이나 Apple과 같은 독립적인 프로그램이 없는 조직을 포함하여 조직과 연결하는 중개자 역할을 하여 프로세스를 간소화했습니다. 취약점이 식별되어 이러한 플랫폼을 통해 또는 확립된 프로그램을 갖춘 회사에 직접 보고되면 검증 프로세스를 거칩니다. 검증되면 연구자는 재정적 보상, 표창 또는 둘 다를 받을 수 있습니다.

실무 중심 교육에 중점

초보자를 위한 웹 브라우저 기반 실습이 있습니다. 이러한 실습을 통해 사용자는 브라우저 내에서 직접 통제된 환경에서 실습할 수 있습니다. 편리하고 접근하기 쉽지만 이러한 플랫폼은 실제 시스템의 복잡성과 미묘함을 완전히 복제하지 못할 수도 있습니다. 이는 훌륭한 입문 도구이지만 사용자가 사이버 보안 여정을 진행함에 따라 덜 어려워질 수 있습니다.

반면에 VPN 액세스가 필요한 가상화된 환경이 있습니다. 이러한 플랫폼은 실제 회사 인프라와 거의 동일한 환경을 제공합니다. 가상화된 시나리오는 실제 네트워크, 서버 및 워크스테이션을 에뮬레이트하도록 세심하게 제작되었습니다. 사용자는 VPN을 통해 연결하면 마치 운영 네트워크 내에 있는 것처럼 느끼며 웹 브라우저 기반 랩에서는 부족할 수 있는 수준의 신뢰성을 제공합니다. 이러한 유형의 환경에서는 도구, 전술 및 절차를 더 깊이 탐색할 수 있으며 실제 사이버 보안 위협에 대처할 수 있도록 참가자를 효과적으로 교육할 수 있습니다. 이러한 환경에서의 엄격한 교육을 통해 참가자는 직업 준비를 갖추고 사이버 보안 경력에서 직면할 수 있는 다면적인 과제를 해결할 수 있도록 완벽하게 준비됩니다.

두 가지 유형의 교육을 모두 경험함으로써 후보자는 사이버 보안 문제의 복잡성 변화를 인식하고 효과적인 전문가가 되기 위해 기술을 더 잘 연마할 수 있습니다.

다음은 초보자를 위한 무료 또는 저렴한 실용적인 사이버 보안 교육 리소스 목록입니다.

• 오버더와이어 : 보안의 원리를 기초부터 고급 개념까지 교육할 수 있도록 고안된 일련의 전쟁 게임을 제공합니다. Linux 명령과 간단한 침투 테스트 기술을 배우고 싶은 초보자에게 훌륭한 출발점이 됩니다.

  
  

• 나를 루트하다 : 이 플랫폼은 사용자의 해킹 기술 향상을 돕기 위해 다양한 도메인에 걸쳐 300개 이상의 챌린지를 제공합니다. 네트워크 보안, 웹 애플리케이션 보안 등에 대해 학습할 수 있는 실습 접근 방식을 제공합니다.

  
  

• 포트스위거 아카데미 : Burp Suite 개발자가 개발한 웹 보안 실습 교육을 무료로 제공하는 아카데미입니다. 기본 웹 취약점부터 고급 웹 취약점까지 광범위한 주제를 다룹니다.

  
  

• PWNX.io : 실제 사이버 보안 시나리오를 에뮬레이트하는 VPN 기반 실제 교육 경험과 결합된 초보자 친화적인 과정을 제공합니다.

  
  

• PWN.college : 주로 학생들이 사이버 보안에 대해 배울 수 있도록 설계된 플랫폼입니다. 다양한 기술 수준에 맞는 교육 모듈을 제공합니다.

  
  

• TryHackMe : 실습형 가상 실습을 통해 사이버 보안 학습을 지원하는 온라인 플랫폼입니다. 게임화된 과제는 아주 기초부터 고급까지 다양하며 모든 기술 수준의 사용자에게 적합합니다.

  
  

• 상자를 해킹하세요: 다양한 사이버 보안 연구실과 과제를 제공하는 플랫폼입니다. 모든 기술 수준의 사용자에게 적합하지만 일부 과제는 매우 고급일 수 있으므로 기본 수준 이상으로 발전하려는 사람들에게 이상적입니다.

  
  

• TCM 보안: TCM Security는 침투 테스트, 보안 교육, 규정 준수 등의 주제를 다루는 자습형 사이버 보안 과정을 제공합니다. 또한 업계에서 점점 더 명성을 얻고 있는 인증을 제공합니다.

위에 언급된 리소스는 사이버 보안 커뮤니티 내에서 관심과 평가를 받은 많은 도구와 플랫폼의 스냅샷을 나타냅니다. 사이버 보안 교육의 영역은 방대하며 귀중한 리소스 목록은 여기에 제공된 것보다 훨씬 더 많습니다. 또한 학습 여정을 향상시키는 데 도움이 될 수 있는 수많은 오픈 소스 프로젝트와 기타 콘텐츠가 온라인에서 제공됩니다.

다음 단락에서 자세히 설명할 전문 포럼과 웹사이트는 다른 커뮤니티 회원의 리뷰나 피드백을 찾는 데 매우 중요할 수 있습니다. 이 피드백은 지속적으로 출시되는 새로운 리소스의 품질에 대한 통찰력을 제공합니다.

소셜 미디어와 포럼을 활용하여 멘토 찾기

광범위한 사이버 보안 영역에서는 경험이 풍부한 사람의 지도가 큰 변화를 가져올 수 있습니다. LinkedIn과 같은 플랫폼은 네트워킹뿐만 아니라 잠재적 멘토를 식별하는 데에도 특히 유용할 수 있습니다. 프로필을 주의 깊게 검토하고, 관련 그룹에 가입하고, 토론에 적극적으로 참여함으로써 귀하의 열의를 보여주고 신규 이민자를 기꺼이 안내하려는 숙련된 전문가의 관심을 끌 수 있습니다.

원래 게이머를 위해 만들어진 플랫폼인 Discord는 다양한 전문 커뮤니티의 허브로 성장했습니다.

전문 포럼과 웹사이트를 통해 기회가 더욱 확대됩니다.

• Reddit의 사이버 보안 커뮤니티: 다음과 같은 플랫폼 Reddit의 사이버 보안 그리고 넷섹 하위 레딧에는 최신 보안 동향, 과제 및 솔루션에 대해 논의하는 전문가와 열성팬이 가득합니다. 그만큼 넷섹학생 하위 레딧은 질문과 안내를 위한 육성 공간을 조성하여 학생과 초보자를 위해 특별히 설계되었습니다.

• Wilders 보안 포럼: 온라인 개인 정보 보호, 보안 및 데이터 보호에 대한 심층 토론을 진행합니다. 와일더스 보안 포럼 . 광범위한 스레드와 게시물은 전용 커뮤니티를 의미하므로 모든 사이버 보안 관련 주제에 대한 귀중한 리소스가 됩니다.

• MalwareTips 및 Antionline 포럼: 다음과 같은 웹사이트 악성코드팁 그리고 안티온라인 맬웨어 위협부터 네트워크 안전에 이르기까지 보안의 다양한 측면에 대해 심도 있는 토론에 참여할 수 있는 활발한 커뮤니티입니다.

• Bleeping Computer 및 Spiceworks 커뮤니티: 다음과 같은 포럼 블리핑 컴퓨터 그리고 Spiceworks 보안 포럼 방화벽 및 VPN부터 비밀번호 관리자 및 맬웨어 공격에 이르기까지 포괄적인 보안 관련 논의에 전념하고 있습니다.

• Hacklido: 독특한 플랫폼, 해클리도 최고의 해커들이 모여 지식, 경험, 지침을 공유하는 곳입니다. 실용적인 통찰력과 실제 사례가 풍부한 소스입니다.

  
  

이러한 포럼과 커뮤니티에 적극적으로 참여함으로써 지식을 확장할 수 있을 뿐만 아니라 의미 있는 관계를 구축할 수도 있습니다. 귀하가 참여하고 기여함에 따라 귀하의 열정과 헌신을 인정하는 잠재적 멘토를 만날 가능성이 크게 높아집니다. 사이버 보안의 멘토링은 단순히 요령을 배우는 것이 아닙니다. 빠르게 진화하는 디지털 보호 세계의 미묘한 차이를 안내하고 피드백하고 이해하는 것입니다.

무료 도구 활용

사이버 보안 여정을 시작할 때 사용 가능한 수많은 무료 도구에 익숙해지는 것이 중요합니다. 해당 분야의 전문가들이 널리 인식하고 활용하는 이러한 도구는 학습 경험을 크게 향상시킬 수 있습니다.

• 와이어샤크:

  • 설명: 오픈 소스 패킷 분석기인 Wireshark를 통해 사용자는 네트워크에서 일어나는 일을 미세한 수준에서 확인할 수 있습니다. 네트워크 문제 해결, 분석, 소프트웨어, 통신 프로토콜 개발 및 교육에 널리 사용됩니다.
  • 자원: 이 도구는 다양한 기능과 함께 제공됩니다. 공식 문서 및 가이드 신규 사용자가 기능을 파악하는 데 도움이 됩니다.

• OWASP ZAP(Zed 공격 프록시):

  • 설명: OWASP(Open Web Application Security Project)에서 개발한 ZAP는 무료 오픈 소스 웹 애플리케이션 보안 스캐너입니다. 웹 애플리케이션을 개발하고 테스트하는 동안 웹 애플리케이션의 보안 취약점을 찾는 데 도움이 됩니다.
  • 리소스: 신규 사용자는 도구의 이점을 누릴 수 있습니다. 공식 문서 그리고 다양한 커뮤니티 기부 가이드.

• Metasploit 커뮤니티 에디션:

  • 설명: Metasploit 프로젝트의 일부인 이 버전은 취약점을 확인하고 보안 평가를 관리하는 데 도움이 되는 무료 침투 테스트 도구입니다. 이는 취약점의 발견, 분석 및 활용을 돕습니다.
  • 리소스: Metasploit은 다양한 기능을 제공합니다. 튜토리얼 및 사용자 가이드 다양한 기능을 위해.

• 흡입:

  • 설명: 오픈 소스 네트워크 침입 방지 시스템(NIPS) 및 침입 탐지 시스템(IDS)인 Snort는 실시간 트래픽 분석 및 패킷 로깅을 수행하는 데 능숙합니다.
  • 리소스: 초보자는 다음에서 광범위한 문서와 사용자 커뮤니티를 찾을 수 있습니다. 스노트 공식 홈페이지 .

• OpenVAS(개방형 취약성 평가 시스템):

  • 설명: OpenVAS는 수많은 테스트와 함께 제공되고 최신 취약점에 대한 업데이트를 제공하는 모든 기능을 갖춘 취약점 스캐너입니다. 이는 시스템 및 애플리케이션의 문제를 식별하는 데 도움이 됩니다.
  • 리소스: OpenVAS 커뮤니티는 다음을 제공합니다. 포괄적인 문서 세트 새로운 사용자가 도구 기능을 이해하고 극대화할 수 있도록 지원합니다.

• 칼리 리눅스:

  • 설명: Kali Linux는 고급 침투 테스트 및 보안 감사에 맞춰진 Debian 기반 Linux 배포판입니다. 수백 개의 통합 보안 도구가 사전 설치되어 있어 사이버 보안 커뮤니티의 필수 요소입니다.
  • 자료: Kali를 처음 접하는 사람들을 위해 공식 문서 설치부터 광범위한 도구 활용까지 포괄적인 지침을 제공합니다.

  
  

이러한 도구의 기능을 활용하면 초보자에게 다양한 사이버 보안 영역에 대한 실질적인 이해를 제공할 뿐만 아니라 잠재적인 위협에 맞서기 위한 실무적인 접근 방식도 제공됩니다. 풍부한 지식과 모범 사례를 담고 있는 경우가 많으므로 각 도구에 대한 관련 문서와 튜토리얼을 살펴보세요.

아직 개발되지 않은 잠재력과 지침의 필요성

스스로 점을 연결하는 독학자가 있지만, 초기 지침이 부족하기 때문에 수많은 신진 인재가 아직 사이버 보안 생태계 의 일부가 아닙니다. 목표가 있고 실용적인 지침을 제공함으로써 우리는 빠르게 발전하는 이 분야가 제공해야 하는 과제와 기회를 받아들일 준비가 된 차세대 사이버 보안 전문가를 위한 길을 닦는 데 도움을 줄 수 있습니다.

구조화된 학습은 다양한 방법으로 달성할 수 있으며, 이 가이드는 실제 해커로부터 배울 수 있는 특별한 기회를 가진 비전통적인 사이버 보안 전문가로부터 대안적인 관점을 제공하는 것을 목표로 합니다.