사이버보안 커리어 탐구: 모의해킹 에피소드 1

금융기관의 인터넷 복권을 해킹하다.

사이버보안 분야 직업에는 다양한 직업이 있으며, 그중에서도 Ethical Hacker는 주로 기술적 능력을 바탕으로 기업의 시스템과 네트워크에 침투시도하여 가장 중요한 정보자산을 획득하고, 그 과정에서 발견한 취약점을 클라이언트에게 알려줌으로써, 이후에 악의적인 사이버 공격자가 공격할 수 있는 길을 사전에 차단한다.

100군데가 넘는 조직을 대상으로 모의해킹(영어로는 Penetration Testing)을 진행하면서 수많은 에피소드가 있는데, 오늘은 SK인포섹에서 삼일회계법인(PwC)로 이직할 때 큰 영향을 줬던 모의해킹 이야기를 나누고자 한다.

모의해킹은 일반적인 취약점 연구와 다르게, 기업과 계약을 통해 일을 시작한다. 정해진 시간, 정해진 장소, 정해진 대상에 대해, 우리가 어떤 방식으로 접근할 것인지 방법론과 시나리오도 보통 담당자와 이야기를 나눈다. 당시 삼일회계법인이 수주했던 국내 4대 금융회사 대상으로 리스크 컨설팅을 진행하고 있었고, 그 프로젝트에서 시스템 리스크 분석의 일환으로 모의해킹 파트가 있었다. 당시 싱가포르 PwC에서 전문가가 1명 오고, 그 친구는 2주 정도 하는데, 약 4000만 원 정도 단가를 받아갔다. 삼일회계법인에 있던 지인분이 나를 추천하셔서 프로젝트 투입 요청을 해왔다. 보통 회사대 회사로 요청을 하고, 회사 내에서 적절한 전문가를 선발하여 보내는 형태에서, 반대로 내가 요청을 받고, 회사에 이야기해서 승인을 받고, 혼자 투입되었던 프로젝트였다.

금융권 대표 웹 사이트이다 보니 보안이 상당히 잘 되어있었다. 그리고 한국 금융 시스템의 특징 상, 공인인증서를 통해서 로그인해야지 많은 내용을 볼 수 있고, 다양한 공격 시도를 할 수 있었다. 싱가포르에서 온 친구는 상당히 똑똑하고 열심히 했지만, 한국의 공인 인증서 시스템이라는 독특한 형태를 처음 경험하다 보니, 크리티컬 한 취약점을 발견하지 못했다.

해당 금융기관이 당시 인터넷 복권을 금융사를 통해 온라인으로 구매하고, 결과를 볼 수 있는 서비스를 제공하고 있는 것을 확인했다. 웹 사이트는 모두 브라우저 단에 암호 모듈을 설치를 강제로 하게 함으로써, 모든 데이터가 암호화가 되어 클라이언트(브라우저)와 웹 서버 간에 통신되고 있었다.

그리고 그 보안 모듈을 깊게 분석했다. 그리고 크리티컬 한 취약점을 찾았다. 암호화를 하고 최종적으로 화면에 보여주는 단계에서 복호화가 가능했던 것이다. 암호화 로직을 분석한 다음에 복호화를 시도하였고, 결과적으로 브라우저와 서버 간의 모든 통신을 복호화할 수 있었다.

그리고 브라우저에서 서버로 전달되는 모든 데이터를 보고, 수정해서 공격을 시도할 수 있었고, 인터넷 복권의 로직을 분석해서 크리티컬 한 취약점을 발견했다. 그것은 당첨 여부를 조작할 수 있었고, 당첨 금액도 조작할 수 있었다. 내가 테스트한 서버는 물론 실제 운영 서버가 아니라, 운영과 동일한 환경의 서버였기에 테스트를 했는데, 500원짜리 복권을 구매했고, 당첨이 안되었는데도, 당첨된 것으로 조작하고, 당첨금액도 5억으로 바꿀 수 있었다.

이 크리티컬 한 취약점을 보고했고, 당시 프로젝트가 그렇다 할 성과가 나지 않고 있던 상황에서, 이 취약점으로 분위기는 급 반전되었고, 해당 취약점을 부행장님 앞에서 실제 시연을 보여드렸다. 그리고 그 결과 프로젝트는 매우 성공적으로 끝이 났고, 나는 예전 글에서 썼듯이, 해당 금융회사 감사실장님의 추천으로 삼일회계법인에 입사할 수 있는 기회도 얻었다.

학교에서 강의를 할 때도 종종 이 에피소드를 이야기하면서, 만일 내가 그 취약점을 악용했으면 지금쯤 라스베이거스나 마카오에 있을지도 모른다고 농담으로 이야기를 했다. 실제 모의해킹을 하다 보면 이러한 일들이 매우 많이 접하게 되기 때문에, 회사에서 모의해킹 컨설턴트를 채용할 때 무엇보다 가장 중요하게 보는 것이 윤리적 마인드이다. 윤리적 마인드가 없다면, 한 명의 모의해킹 컨설턴트로 인해 회사가 망하게 되거나, 심각한 문제가 생기는 경우도 발생한다.