홈페이지 : 보안뉴스
홈페이지 : 보안뉴스
“쉽게 뚫려서 많이 당황하셨어요? 이게 바로 회사의 보안 현실이죠!” - [인터뷰] LG CNS 보안컨설팅팀 곽규복 차장 & 박태석 과장 - "모의해킹 업무는 매번 새로운 도전...다양한 시나리오 수립이 관건" - [인터뷰] KT 보안기술팀 모의해킹담당 박다롱 매니저 - |
모의해킹
‘모의해킹’이란 악의적인 목적이 아닌 기업으로부터 인가받은 해킹전담 컨설턴트에 의해 외부 또는 내부 네트워크상의 서비스와 서버에 대해 실제 크래커가 사용하는 해킹 도구와 기법을 이용하여 정보시스템의 침투가능성을 진단하는 업무이다. 이러한 진단과정을 통해 불법침입의 가능성이 발견될 경우 취약한 부분에 대한 대응책 및 개선방안을 마련해 보안사고를 미연에 방지한다.
현장에 직접 나가서 각종 취약점을 진단하고 연구하는 모의해킹 전문가는 실무에 투입되어 새롭게 변화하는 보안 트렌드 및 플랫폼을 직접 피부로 체감하는 직업이기도 하다.
필요한 기술적 측면에서의 기본능력
- 기본이 중요하다.
웹 언어, C언어, DB, 네트워크 분야가 이 일을 하는데 있어 베이스가 된다. 특히, 모의해킹을 하다 보면 웹 사이트, 모바일 앱, 서버 등 다양한 대상을 접하게 되는데, 어떤 대상을 만나더라도 기본이 제대로 쌓여 있다면 그 위에 응용기술을 접목하는 것은 어렵지 않을 것이다.
- 취약점들에 대한 이해가 선행되어야 한다.
웹 애플리케이션부터 시작해서 모의해킹이란 것은 외부에서 사내 시스템까지의 침투를 의미한다. 그런데 예전 방화벽이 없던 시절에는 서버에 직접적으로 침투했지만, 현재는 방화벽이 있기 때문에 HTTP(80) 웹 서비스에 집중하고 있다. 그렇기 때문에 웹을 통해서 내부 네트워크로 들어오는 다양한 경로를 찾아내는 게 모의해킹이라 할 수 있다.
- 웹 시스템에 대한 취약점, IT 인프라, 서버, DBMS, 네트워크 취약점들을 이해하고 있어야 한다.
각 취약점들은 물론 각 구성요소들에 대한 이해가 필수적이다.
- 개발자의 관점에서 ‘개발자들이 흔히 할 수 있는 실수가 무엇이 있을까?’에 대해 자문해 보는 자세가 필요하다.
침투하고 나서 끝난 것이 아니고 개선사항에 대한 방향성도 제시할 수 있어야 하기 때문이다. 보안대책은 시스템 및 환경별로 차별화해서 적용해야 되는데, 개발적인 관점을 볼 수 없으면 인터넷에 제공되고 있는 일반적인 대응방안만을 고객에게 제시해 줄 수 밖에 없다. 환경을 고려하지 않은 보안대책은 최악의 경우에는 서비스에 영향을 줄 수 있게 된다. 그리고 구글링 및 인터넷 검색을 하면 취약점에 대한 정보가 많이 나오는데, 자신이 생각한 시나리오를 시현할 수 있도록 검색능력도 요구된다.
- 인프라를 넓게 바라볼 수 있는 시각이 중요하다.
인성적인 측면의 능력
1. 불굴의 의지
취약점은 뚫릴 때까지 해야 되는 것이기 때문이다.
2. 커뮤니케이션 능력
내부 팀원 및 PM과의 커뮤니케이션이 필요하고, 고객에게 발견한 취약점들을 설명할 수 있어야 되고, 진단 도중 발생한 문제점에 대해서도 고객과 의논해야 되며, 경영진과의 커뮤니케이션 역시 필수적이다. 또한, 개발자들과 문제점에 대한 개선 및 취약점 판단 여부들을 논의해야 된다.
3. 윤리의식
항상 보안서약서를 숙지하고 계약서에서 명시된 부분 이외에 호기심에 의해서 공격을 수행해서는 안 된다.
취업 준비 시 필요한 과정과 노력
대회 준비를 한다거나, 바로 업무에 적용할 수 있는 기술들에 집중하는 게 좋다. 이와 함께 모의해킹으로 시작으로 해서 조금 더 나아가서 프로세스 문제에 대해서도 생각할 수 있는 전반적인 그림을 볼 수 있는 능력을 키우는 것도 좋다.
모의해킹 전문가의 장단점
- 장점 : 뚫었을 때의 성취감, 매번 새로운 고객을 만나고 새로운 미션을 가지는 새로움, 공부해야 할 게 많음
- 단점 : 뚫어야 된다는 부담감, 고객들보다 많이 알아야되고 짧은 시간 안에 고객과의 커뮤니케이션 할 수 있는 능력을 갖추어야 되는 부담감, 다양한 환경을 접하는 것에 비해 충분히 연구하고 준비할 시간을 갖지 못한 채 프로젝트에 투입되는 경우가 많은데, 그런 부분에 있어서 느껴지는 준비의 아쉬움과 늘 새로운 것에 대비해야 한다는 압박감
모의해킹 업무 프로세스
[1]
일단 프로젝트 구축을 할 때부터 고객들이 보안 요구사항을 제안하기 때문에 제안 사항에서부터 보안과 관련된 내용이 포함되어 있다. 제한사항 내에서는 분석, 설계, 구현, 테스트 이렇게 단계가 나누어져 있다.
분석, 설계 단계에서는 보안요구사항들을 추출하고 각 개발자들에게 교육을 시키고, 구현 단계에서는 코딩을 하다가 50% 정도 구현한 후 소스코드 취약점 점검한 후 보완해서 다시 개발을 마무리하도록 가이드하고 있다. 마지막으로 테스트 단계에서는 모의해킹을 수행해서 툴이 아닌 수작업으로 직접 진단을 하고 있다. 특히, 소스코드 진단 툴로는 발견하지 못하는 권한관리 취약점 등은 수작업으로 할 때 발견이 된다. 이러한 단계를 거친 후에 승인 후 프로세스를 오픈하고 있다.
[2]
프로젝트가 시작되면 가장 먼저 대상을 파악한 다음 환경 분석을 하게 된다. 그 후 팀원들과 어떻게 침투할 것인지 침투 시나리오를 생각한다. 서비스의 특성에 따라서 시나리오가 천차만별이기 때문에 최대한 다양한 시나리오를 만들어 내는 것이 관건이다.
모의해킹 대상 중 가장 많은 비중을 차지하는 웹 사이트의 점검기준은 보통 많이 쓰이는 OWASP TOP 10이나 국정원 8대 취약점 등에서 몇 가지씩 참고하되, 그것만 따르는 것이 아니라 여러 가지 환경적인 부분을 감안해서 자체적인 점검항목을 최적화시켜서 만들어낸다. 그렇기 때문에 회사마다 점검자마다 진단기준에는 조금씩 차이가 있을 수 있다.
침투 시나리오에 따라 점검을 수행한 뒤 발견된 취약점에 대해 문서로 정리해 보고하는 절차를 거친다. 발견된 취약점에 따라 적정한 보안대책을 권고해 주고, 얼마나 잘 보안조치가 적용됐는지 추후에 재확인을 한다.
모의해킹 부서의 평소 업무생활
모의해킹 업무는 프로젝트 베이스로 진행되기 때문에 각자 고객사에 파견되어 있는 경우가 많다. 프로젝트를 끝나고 돌아와서는 프로젝트 결과를 정리하고 전파 교육을 시킬 준비를 한다. 그 다음 프로젝트에 바로 투입이 될 경우에는 조건에 맞게 다시 준비를 한다.
기업에서 바라는 인재상
주도적으로 문제를 해결하려고 하는 사람을 원한다. 스킬 등은 회사에서 충분히 가르칠 수 있지만 태도는 본인의 문제이기 때문에 이러한 태도가 매우 중요하다.
지금 당장은 잘 못할지라도 앞으로 잘할 수 있다는 스스로에 대한 믿음, 이 일에 대한 관심과 열정, 그리고 해당 기업에 입사하고자 하는 열망이 얼마나 크냐는 것이 중요하다. 한마디로 취업에 임하는 ‘자세’를 본다. 면접에 오시는 사람들이 경력자가 아닌 이상에는 기술적인 베이스가 대부분 비슷비슷하고 별반 차이는 없다. 그렇기 때문에 그 누구보다 자신감 있게, 열정적으로 임한다면 목표한 바를 충분히 이루어 낼 수 있을 거다.
미래 정보보안의 향후 방향
현재 정보보안의 트렌드는 융합 즉, 물리보안과 IT 보안을 합쳐서 융합보안을 추구하는 방향이다. 매출이 한 요인일 수는 있으나 최근 트렌드가 모바일, 모바일 앱, CS(Reversing), 스마트TV, 그 외 사물간의 통신 등 결국에는 편의성을 위해서 만들어진 모든 영역에 대해서 보안성을 고려해야 될 시기가 되었다.
지금까지 공격대상이 하나의 1차원적인 시스템에서, 특정 개인, 그리고 최근에는 하나의 조직 혹은 단체를 겨냥하는 식으로 변화해 왔다. 앞으로는 국가간의 실질적인 전쟁에 해킹기술이 사용된다거나 지금은 누구도 상상할 수 없는 무언가가 공격대상이 되지 않을까.
'Another > 이런저런 이야기' 카테고리의 다른 글
| 보안 직업군 (4) : 보안 기술영업 (0) | 2016.08.28 |
|---|---|
| 보안 직업군 (2) : 악성코드 분석가 (0) | 2016.08.21 |
| 보안 직업군 (1) : 보안 컨설턴트 (0) | 2016.08.21 |
| 기업의 부실징후를 읽는 방법 (0) | 2016.08.21 |
| PT 잘하는 방법 (0) | 2016.08.20 |
댓글