실무에서 모의해킹 업무들의 차이점

모의해킹 실무를 하는 재직자까지 자신이 하고 있는 모의해킹 업무가 컨설턴트 회사에서 하는 모의해킹 업무가 맞는지?

관리 실무에 가면 모의해킹 업무를 하지 못하는 것인가? 등의 질문을 많이 받는다. 이것은 회사의 주력 사업 부서에 따라 업무가 다르게 접근하기 때문이다. 컨설팅 지정 업체에서는 컨설팅이 주 사업이고 인력도 많기 때문에 모의해킹 팀이 별도로 구성되는 경우가 많다. 신생 기업에서는 팀이 분리가 안되어 있기 때문에 모든 업무를 협동하여 하는 경우도 있다. 관제 지정 업체, 개인정보영향평가 업체, 감리전문 업체 등 모두 업무 성격이 다르다.

 

관제팀 모의해킹과 컨설팅 모의해킹 업무의 차이

모의해킹 사업은 2000년 초반에 시작하면서 관리적 컨설팅 분야와 계속 성장했다. 컨설팅 분야의 한 분야로 인력이 투입되는 경우가 있고, 취약점 진단 사업 명목으로 모의해킹 범위만 별도 진행하는 경우가 있다. ISMS, PIMS등 인증을 받기 위해 진행되는 사업에 투입된다. 또한 보안 솔루션이나 서비스 영역이 세분되면서 각 업체에서 모의해킹인력을 보유하고 있다.

 

개인적으로 모의해킹업무를 하며 제일 중요한 것은 다양한 환경에서 경험이다. 어떤 환경을 만나도 난관을 헤쳐나가면서 취약점을 도출해나가면 역량을 크게 향상할 수 있다. 문제는 프로젝트 기간이 너무 짧으면 겉핥기로 분석하고 기간 내에 취약점을 도출해야해서 스트레스가 많아진다. 기간보다 대상이 너무 많으면 취약점 여부 체크만 한다.

 

관제사업이나 솔루션 사업에 투입되는 인력은 분야가 한정되는 경우가 많다. 년 단위로 계약을 하다 보니 한 고객사에서 상주하는 경우도 많다. 또한, 관제하는 서비스가 하나에 집중된 서비스이다 보니 여러 플랫폼 서비스 대상으로 진단할 기회가 적다. 하지만, 오랫동안 분석을 할 수 있고, 고객사와 더욱 가까이 있으므로 관리실무 프로세스를 간접적 경험할 수 있다. 여러 공격형태 시나리오를 구상할 수 있고, 효율적 진단 방법을 고민할 수도 있다.

 

어떤 곳에 가든 장단점은 분명 같이 존재한다. 자신이 마주친 곳에서 " 내가 정말로 최선을 다하고 있는 것일까?"

를 고민할 시간을 가져보란 한다.

 

부가적으로 자신의 업무에 의심하여 이직을 고민하는 사람들에게

자신의 현재 위치에 불안함이 많이 생 길 수있다. "지금A라는 회사에서 일하고 있는데 이 업무가 후에 내가 가고싶은 분야로 갈 때 도움이 되는가?", "회사에서 하는 업무가 내가 생각한 것과 너무 달라서 다른 회사로 옮기고 싶다." 하루에 수도 없이 이런 생각을 가지고 회사생활을 하고 있다.

 

그런데 가만히 생각해보니 보안이라는 분야에서는 크게 벗어나지 않았다. 이전에 했던 업무에 익숙해졌던 생각과 업무스타일에 안주하고 있다 보니 발생한 문제였다. 새로 맡은 업무 기준으로 이전에 했던 업무들과 어떻게 연계를 할 수 있을지 계속 고민하고 부족한 프로세스가 있다면 한번 채워보고 시도한다면 내가 구상했던 업무들이 만들어지고 이때부터 다시 자신의 스타일에 맞춰진다.

 

웹해킹과 모의해킹업무는 다른가?

"웹 해킹과 모의해킹 업무는 다른가?" 어떤 업체에서 구인을 하는데 업무가 " 웹모의해킹", "웹취약점진단"으로 명시가 되어있어 이런 질문을 한 것이라 생각한다. 결론부터 이야기하면 컨설턴트 입장에서만 본다면 모의해킹 업무 안에 '웹모의해킹 진단 업무'가 포함 되어 잇지만, 웹 모의해킹 업무가 꼭 모의해킹 컨설턴트 직무에서만 하는 것은 아니다.

 

모의해킹은 쉽게 풀어 쓰면 "모든 서비스 대상으로 공격자(범죄자) 입장에서 모든 보안위협들을 찾아내는 것"이다. '모든'이라는 단어가 많이 들어가 있다. 그만큼 범위가 광범위하고 범위를 특정해서 정할 수 없다. 물리적인 범죄를 모의해킹 사업으로 끌어와서도 충분히 점검할 수 있다.

 

몇 고객사에서는 어떤 범위를 정해주지 않고, 물리적/기술적 접근을 통해 내부 시스템 접근 여부를 검톤한 적이 있다. "실제 범죄자라면?"이라는 시나리오를 적용한 것이다. 모든 사업 전반적으로 보안위협을 점검하고 있지만, 이런 수행들이 특정 인원들에게 배분 되고 있기 때문에 대부분의 컨설팅 인원들이 경험하지 못할뿐이다. 이런 현상이 계속 이어지다 보니 모의해킹 범위를 특정 지어버리고, 다른 수행을 할 이눵ㄴ들이 양성이 되지 않고 있을뿐이다. 몇 커뮤니케이션에서는 다양한 분야를 연구하고 공유하고 있지만, 이것을 실제 비지니스로 끌어 올리기 힘들다.

 

구인 업무란에 "웹 모의해킹" 이라고 명시한 이유는 간단하다. 보안분야에서 많은 부분을 차지하는 것이 고객들의 서비스가 안전한지 365일 모니터링 하는것이고 이 모니터링 하는 대상이 대부분 웹이기 때문이다 (90%이상 웹이라고 생각해도 된다.)웹 모의해킹은 컨설팅의 일부로 해서 일을 하거나, 별도 모의해킹 진단을 필요로 하는 고객사에서 별도 사업으로 받아서 한다. 고객사에서 요구(needs)가 많기 때문에 모의해킹 비지니스로만 해도 회사가 유지하기 충분하다. 컨설팅 신생 업체에서 모의해킹으로만으로 기반을 잡고 회사를 키워가는 사례가 많다. 컨설팅 지정 업체에서도 주 사업 중의 하나인 것이다.

 

관제/침해사고 대응을 하는 쪽에서는 고객을 계속 잡아오는 방법들이 필요하다. 장비만 좋다고, 롤셋이 좋다고 차별화가 잘 보이지 않는다. 서비스를 정기적으로 점검도 해주고, 실제 모의해킹 관점에서 위협들을 미리 발견해주는 것을 매우 중요하다. 이 업무를 중점으로 할 인원들이 필요하고, 이런 서비스들이 자연스럽게 고객유지와 확장된 시장을 가져올 수 있다.

 

웹 서비스 취약점 진단에 투입된다고 해서 웹 파트의 해킹만 한다는 것은 잘못된 생각이다. 체크리스트 방식처럼, 혹은 이전에 수행 했던 방법대로만 수행을 하려는 것이 업무능령향상에 좋지 않을 뿐이다. 고객사는 작은 서비스에서 큰 서비스까지 다양하다. 그 서비스에 다양한 애플리케이션이 포함되어 있다. 웹뿐만 아니라 C/S기반의 기능들도 있다. 이런 것은 리버싱 기술, 시큐어코딩 관점 점검도 많이 필요하다. 개인정보 노출에 대한 관리적 관점도 필요하다.

 

서비스를 점검할 때마다 특징을 보며 시나리오를 달리 접근해볼 수 있고, 효율적인 점검들이 필요한 부분은 점검도구를 만들어 낼 수 있다. 관제 업무를 하는 것은 자신이 모니터링 하고 있는 서비스이기 때문에 공격패턴이 들어왔을 때 새로운 공격 기법들을 익힐 수도있다. 실제 다른 사이트에 이런 공격 패턴이 적용될 수 있는지도 테스트 가능하다 (업무를 하면서 다른 영역까지 어떻게 하냐고 반박한다면, 정말 그 일이 반복업무만 하고 있지 않은지도 고민해보면 좋겠다.0

 

모의햌이 컨설턴트 업무를 할 때보다 관리실무를 했을 때 더 기술적인 부분이 중요하다고 생각했다. 더 상세하게 볼 수 있는 기회도 많다. 그 환경들을 최대한 이용해서 업무 능력을 향상해보시기 바란다.