모의해킹 시나리오 구성할 때 필요한 것

보안프로젝트 매거진

모의해킹 업무로 취업을 준비할 때 “시나리오 기반의 침투 보고서”를 준비하라고 강조합니다. 그 이유는 구성한 시나리오 안에 면접 때 강조해야 할 자신의 기술 능력을 압축해서 보여줄 수 있기 때문입니다. 준비된 포트폴리오 안에는 이제까지 공부했던 기술 내용이 자연스러운 흐름 안에서 다 표현될 수 있도록 작성되도록 이야기합니다. 좋은 흐름을 위해서는 시나리오를 세워 1차, 2차, 3차 침투 사례와 이에 대한 대응 방안을 제시해주면 됩니다. 그렇다면, 모의해킹 시나리오를 구성할 때 필요한 것이 무엇일까요?

첫 번째는, 공부할 때마다 단계적인 공격을 실습 중심으로 정리해야 합니다.

웹 해킹, 모바일 해킹, 리버싱 분석 등 여러 공부 영역이 있습니다. 자신이 당장 재미를 느끼는 영역을 선택한 뒤에, 기술 용어 하나씩 익히면서 실습에 성공해나가야 합니다. 이론 공부만 하지 말고, 꼭 실습 중심으로 해야 이유는 기억에 많이 남기 때문입니다. 그리고, 면접을 볼 때 실습을 했냐 안 했느냐에 따라 말하는 것이 다릅니다. 자신이 실습했던 것을 그려가면서 이야기를 하게 됩니다. 얼마나 공부를 해야 하냐는 답이 없습니다. 시나리오에 포함할 기술이 생각하지 않는다면 더 공부해야 합니다. 중요한 것은 실습한 내용은 꼭 보고서로 정리해둬야 합니다. 미리 정리해야 시나리오 구성을 할 때 시간을 절약할 수 있고, 정리했던 것 이후로 이어서 심화한 연계 학습을 할 수 있습니다.

두 번째는, IT 보안 동향과 관련 전문 서적을 많이 읽어야 합니다.

그렇다면, 단계적으로 실습할 소재 거리를 어떻게 찾을까요? 하루하루 발생하는 해외, 국내 뉴스를 많이 봐야 합니다. 트위터, 페이스북, 메일링 서비스 등 정보를 얻을 수 있는 곳은 많습니다. 매일 보고 정리하는 습관을 지니지 않기 때문에, 동향 정리가 안 되는 것입니다. 한 달 정도만 동향을 파악해도, 어떤 자리에서든 강의할 수 있는 콘텐츠가 나옵니다. 이 정보들은 후에 면접을 볼 때 단골로 나오는 “최근에 발생한 해킹 사고와 기술을 아시나요?”라는 것에 대응할 수 있습니다. 또한, 시나리오를 구성할 때 범죄자들이 사용했던 기술을 자신이 공부했던 것과 매칭을 할 수 있습니다.

국내에 나온 전문 서적은 이제 너무 많습니다. “IT 보안에 공부할 수 있는 서적이 부족하다.”라고 말할 시대는 지났습니다. 서점에 가서 자신이 원하는 업무를 다룬 책이라 판단되는 국내 서적, 번역 책은 모두 읽으시기 바랍니다. 몇 권의 책을 보다 보면 중복되는 내용은 필터링할 수 있고, 하루에 한 두 권의 책을 반복해 읽을 수 있습니다. 책들은 항상 곁에 두고 틈나는 대로 읽고 정리하기 바랍니다. 책 속에 나오는 단어가 면접관이 제시하는 질문이라 생각하고 스스로 대답도 해보기 바랍니다.

세 번째는, 융합적인 생각으로 바라봐야 합니다.

시나리오 기반으로 결과물을 작성할 때, 공격자 입장에서 다루는 경우가 많습니다. 모의해킹 업무에서는 당연히 공격 기법이 중요합니다. 하지만, 그에 따른 대응 방안을 어떻게 제시할지도 매우 중요합니다. 대응방안은 각 인프라 영역별로 다뤄야 합니다. 자신이 공격했을 때 시스템과 네트워크에 어떤 현상이 나오는지 관심을 가져야 합니다. 그 현상을 보기 위해서는 침해 로그 분석, 포렌식 분석, 악성코드 분석 업무에서 사용하는 기술도 사용하게 됩니다. IT 보안이라는 큰 테두리 안에서 공통적인 기술 요소가 교집합이 되는 것이 많습니다. 여러 관점으로 고민하다 보면 더욱더 큰 시나리오로 발전할 수 있고, IT 보안 공부 흥미를 잃지 않습니다.