저렴하거나 무료인 사이버보안 교육 자료 7선

CSO
"사이버보안 인력 부족"이라는 뉴스는 언제나 문제였으며, 언론에 정기적으로 쏟아지며 가끔은 주류 언론에서도 다뤄진다. 분명한 사실은 5년~10년의 경력을 가진 소수의 보안 전문가를 영입하는 경쟁은 사이버보안 인력을 보강하는 바람직한 방법이 아니라는 것이다. 그렇다면 바람직한 방법은 무엇인가. 바로 경력이 짧은 보안 인력을 교육하거나 채용하는 것이다. 



인터넷을 검색하면 무료, 또는 저렴한 교육 자료가 많이 있다. 수천 명의 사내 근로자의 기술을 향상시키고, 구직자가 자신의 가치를 상대적으로 낮은 비용으로 증명하기가 한층 쉬워진 것이다. 다음에 열거한 교육 자료는 전혀 포괄적인 목록이 아니다. 좋아하는 자료가 따로 있는가. 그렇다면 여기에 추가할 수 있도록 알려주기 바란다.

 
사이브러리

ⓒ Cybrary

확장성있는 원격 가상 학습 분야의 신생 업체인 사이브러리(Cybrary)는 직원 및 구직자가 Comp TIA A+, CompTIA Security+, CCNA, CISSP, 여타 초급 보안 자격증을 따는데 유익한 강좌를 갖춘 프리미엄 서비스를 제공한다.
 
정보 보안 분야에 진출할 생각을 가진 구직자는 수주 동안 사이브러리가 제공하는 각종 무료 강좌를 듣는다면 유익할 것이다. 일부 유료 강좌 역시 가치가 있다. 아울러 산업 및 정부에게 저렴한 좌석 수 기준의 엔터프라이즈 구독 서비스를 제공해, 수천 명의 직원의 기술을 향상시켜 기초적인 사이버보안 직무를 맡기는 것은 상당히 비용 효율적이다. 


핵 더 박스 

ⓒ Hack the Box

OSCP(Offensive Security Certified Professional, 공격 보안 인증 전문가) 자격증을 원하는 야심찬 구직자라면 핵 더 박스(Hack the Box)가 제공하는 다채로운 무료 랩 가상 머신을 고려해야 한다. 무료, 또는 최소한 훨씬 더 저렴하게 경험을 쌓을 수 있는데, 굳이 오프섹(OffSec) 랩을 이용하며 거금을 쓸 필요가 없다. 

열의가 있는 사람만 가입시키기 위해 핵 더 박스는 특이하게도 이용 지망자에게 로그인 양식을 해킹하도록 요구한다. 어정쩡한 사람을 걸러내는 귀엽고 유별난 방법이다.
 
핵 더 박스는 다수의 무료 랩 머신을 제공하는 한편 구형 머신과 상세 가이드는 월 12.80달러에 이용할 수 있다. 기업 및 대학은 사용자 수와 시간 범위에 따라 다양한 요금제로 전사적 이용이 가능하다. 


펜테스터 아카데미 

ⓒ Pen Tester Academy
침입 팀의 일원을 꿈꾸는 사람이라면 펜테스터 아카데미(Pentester Academy)가 침투 테스팅의 기본을 배울 수 있는 적정한 정보원이다. 예컨대 x86 어셈블리 및 셸 코드, 메타스플로잇(Metasploit), 버퍼 오버플로우(buffer overflow), 포렌식(forensics), 파워셸(PowerShell) 등이다.
 
가입비는 99달러이고 월간 구독료는 39달러다. 기업 요금제도 제공한다(아울러 펜테스터 아카데미는 침투 팀이 되어 학습하고 실습할 수 있는 랩 네트워크도 운영한다. 그러나 30일 액세스에 월 399달러로 상당히 비싼 편이다). 



SANS 사이버 에이시스 

ⓒ SANS Cyber Aces

눈물나게 비싼 강좌로 유명한 SANS는 운영체계, 네트워킹, 시스템 관리 등 기초적 사이버보안 무료 강좌 또한 제공한다. IT 기술이 부족한 직원에게 보안 문제를 속성으로 가르치는데 이상적이다. 이 속성 과정을 마친다면 심층 강좌를 위한 준비가 된 것이다.
 
SANS의 웹사이트를 보면, "SANS 사이버 에이스 온라인은 정보 보안 시스템을 평가하고 보호하는데 따른 핵심 개념을 가르치는 온라인 강좌이다. 강좌는 정보 보안 교육 및 보안 자격증 분야에서 세계 최대이고 가장 신뢰받는 기업인 SANS에 의해 개발되었다"고 한다. 

사이버보안 인력이 많을수록, SANS의 탁월하지만 값비싼 고급 과정에 돈을 지불할 학생 수는 많아진다. 이 양질의 무료 강좌는 잠재적 미래 수강생을 양성하려는 목적이지만, 인력난에 시달리는 조직이라면 참으로 유익할 것이다.

 
OWASP 브로큰 웹 앱 프로젝트 

ⓒ OWASP

사이버보안 학습은 대부분 자가 학습이다. 학습자가 스스로 무언가를 부수고 고치기 시작하기까지는 책을 보고 학습하며 달성할 수 있는 것은 매우 제한적이다. 방어를 배우는 최고의 방법은 공격을 이행하는 것이다. 

OWASP 브로큰 웹 애플리케이션 프로젝트(Broken Web Applications Project)는 애플리케이션 개발자, 초보 침투 테스터, 보안에 관심있는 경영진이 자신의 노트북의 가상머신이라는 안전함 속에서 공격을 실습할 수 있는 손쉬운 방법이다. 

OWASP 브로큰 웹 애플리케이션 프로젝트는 다수의 고의로 고장낸 웹 애플리케이션과 학습자가 여러 공격 경로를 마스터하는데 유익한 교재가 포함된 가상머신과 함께 패키지로 제공된다. 쉬운 것부터 시작해 점차 어려운 것으로 나아가며 웹 애플리케이션 보안에 대한 이해를 높일 수 있다. 

이 잘 정리된 프로젝트는 무료이고, 웹 애플리케이션 보안을 혼자 학습하려는 사람에게 이상적이다. 


오펜시브 시큐리티의 무료 메타스플로잇 과정 

ⓒ Offensive Security

칼리 리눅스와 OSCP 자격증의 개발자인 오펜시브 시큐리티는 요즈음 거의 모든 사람이 사용하는 자동화 공격 툴인 메타스플로잇(Metasploit)에 대한 무료 온라인 강좌를 제공한다. 

이 웹사이트에 따르면 "이 과정은 침투 테스팅과 윤리적 해킹을 학습하고자 하지만 아직 유료 강좌를 수강할 준비가 안 된 정보 보안 전문가를 위한 완벽한 시작점이다. 오펜시브 시큐리티는 구조화되고 직관적인 방식으로 메타스플로잇을 이용하는 법을 가르칠 것이다. 아울러 이 무료 온라인 윤리적 해킹 과정은 침투 테스터, 레드 팀, 여타 보안 전문가에게도 멋진 속성 참고 자료일 것이다."

오펜시브 시큐리티의 양질의 기술적 실습에 대한 명성을 감안하면 괜찮은 과정인 듯하다. 이 온라인 과정은 무료이고, 소소한 선택적 기부만을 대가로서 요구한다. 


노 스타치 프레스 도서 

책은 자가 학습을 위한 저렴한 정보원이다. 노 스타치 프레스(No Starch Press)만큼 양질의 기술 서적을 제공하는 출판사도 드문 편이다. ‘해킹 앤드 컴퓨터 시큐리티 시리즈’는 최고의 정보 보안 전문가들이 참여한다.

조지아 위드먼의 ‘침투 테스팅’과 시코스키 및 호니그의 ‘실전 악성 코드 분석’은 정보 보안 유망주를 위한 필수 학습 자료이다. 노 스타치의 도서에는 추가 비용 없이 DRM 없는 전자 에디션이 붙어 있다. editor@itworld.co.kr