소개
개인 컴퓨팅 보안에 대한 계속되는 시리즈에서 오늘 우리는 Dino A. Dai Zovi와 이야기하고 있습니다. 3년 전 CanSecWest 주최측은 Pwn2Own이라는 콘테스트를 시작했습니다. 이 콘테스트에는 완전히 패치된 소매용 랩톱을 활용하는 문제가 포함되었습니다. 노트북을 해킹하면 기계를 상품으로 받을 수 있습니다. Dino A. Dai Zovi는 최초의 Pwn2Own 동안 Mac을 중단시킨 최초의 사람입니다. 작년과 올해 Charlie Miller는 완전히 패치된 두 대의 Mac을 다운시키는 영예를 안았습니다. Dino와 Charlie는 The Mac Hacker’s Handbook의 공동 저자입니다.
Alan: 시간을 내어 채팅해 주셔서 감사합니다. 시작하기 전에 자기소개를 좀 해주시겠어요?
Dino: 저는 컴퓨터 보안 전문가이자 독립 보안 연구원입니다. 내 전문적인 경험은 침투 테스트, 소프트웨어 보안 감사 및 보안 관리에 걸쳐 있습니다. 저는 두 권의 책을 공동 저술했습니다. 가장 최근에는 Charlie Miller가 쓴 The Mac Hacker’s Handbook이 있습니다. 저는 보안 컨퍼런스에서 악용 기술, 802.11 무선 클라이언트 보안 및 하드웨어 가상화 기반 루트킷에 대한 보안 연구에 대해 자주 연설합니다. 저는 공격적인 보안 연구에 중점을 두고 있습니다. 왜냐하면 더 안전한 시스템을 설계하기 위해 공격자가 시스템을 공격하는 것처럼 볼 필요가 있다고 믿기 때문입니다.
Alan: “공격적인” 보안 연구가 현재 가장 일반적으로 시행되고 있습니까?
Dino: 컴퓨터 보안 업계에서는 드문 일이며 많은 실무자들에게 여전히 “금기”로 간주됩니다. Black Hat Briefings 및 CanSecWest와 같은 일부 회의에서는 보안 취약점에 대해 논의하는 회의가 많지만 RSA Expo와 같은 대규모 회의에서는 보안 취약점에 대한 논의가 훨씬 적습니다.
Alan: 나는 그 차이를 깨닫지 못했습니다. 이제 Black Hat Briefings와 CanSecWest가 항상 가장 흥미롭고 혁신적인 작업을 제공하는 것처럼 보이는 이유가 이해가 됩니다. 보안 사업은 어떻게 시작하게 되었나요?
Dino: 고등학교 때 스스로 컴퓨터 보안을 가르치기 시작했고 그 이후로 여러 가지 컨설팅 업무를 하고 있었습니다. 주로 지역 및 원격 비즈니스에 대한 침투 테스트를 수행했습니다. 학비를 벌기에는 턱없이 부족해서 유닉스 시스템 관리자로 파트타임으로 일하기도 했습니다. 나는 학교와 직장에서 보안에 계속 집중했고, 결국에는 Unix 관리 그룹을 위해 보안 분석을 수행하는 연구소의 계약자로 일하기 시작했습니다. 거기에서 나는 또한 레드 팀에서 일할 수 있었고 결국 외부 조직에 대한 레드 팀 보안 평가를 수행하기 위해 그 그룹에 고용되었습니다. 대학을 졸업한 후 NYC로 이사하여 나중에 Symantec에 인수된 디지털 보안 컨설팅 회사인 @stake에서 일하기 시작했습니다.
