보안프로젝트 매거진
공부할 때 진로를 기준으로 하다 보니 모두 다른 공부 방법이 필요하다고 생각한다. 네트워크 운영/보안, 관제 모니터링, 모의해킹, 침해사고 대응 분석, 악성코드 분석 등이다. 이 영역은 모두 직업군으로 나누어져 있다. 하지만 학생일 때는 이것을 분리해서 공부하면 진짜 자신이 좋아하는 것을 찾을 수 없을 가능성이 크다. 하나에 집중을 하는 시기는 "자신이 좋아하는 것"을 찾는 시점이다. 최대한 많은 영역을 다루어봐야 하고 이를 효율적으로 공부해야 한다.
보안은 무엇인가? 정보유출을 사전/사후에 대응하는 일련의 과정이다. 외부 대외서비스(고객서비스)를 통해 침해가 발생하여 내부 네트워크, 서버에 장애요소가 발생한다. 해킹은 대외서비스에서 내부시스템, 오피스 구간 대역까지 침투할 수 있는 경로가 모든 범위이다. 그 과정 하나하나에 모든 영역의 기술이 필요하다. 이제까지 분리해서 공부했던 것이 하나로 묶어 생각할 수 있다. 나는 이것을 수평적으로 공부하라고 권한다.
자신이 모의해킹에 관심이 있다면 공개된 서비스에서 발생할 수 있는 모든 기술을 습득해나가면서 중간중간 발생하는 로그들을 분석해보는 환경을 만들자. 두 명의 입장이 되면서 사전 대응을 어찌할 수 있는지 고민해보자. 이는 IDS/IPS/웹 방화벽/DDoS 등이 해당한다. 모든 장비를 실무와 같이 구성할 수 없지만, 실무에서도 충분히 사용될 수 있는 가상이미지와 도구들이 공개되어 있다.
그리고 침투를 하면서 서버/WAS에 발생하는 중요 로그를 분석할 수 있는 환경을 구성하자. 이제부터는 사전/사후 대응을 같이해야 한다. 서버 쪽에서도 잠재적인 취약점을 많이 해소하면 2차, 3차로 침투할 수 있는 확률을 많이 줄일 수 있다. 공격자가 웹 서버에 침투를 했다고 가정해도 내부 서버로 침투하기 어려워진다. 그렇다면 공격자는 획득하는 정보가 한정 된다.
기술적 컨설턴트로의 업무로만 생각했던 스크립트 진단 항목이 모의해킹 관점으로 충분히 고민해도 좋다. 스크립트 진단내에는 각 운영체제 서버군에서 발생할 수 있는 위협들이 명시되어 있다. 이것을 운영자 관점에서만 바라보면 재미가 없다. 모의해킹 컨설턴트는 이 항목에서 취약하게 설정되어 있을 때 어떤 공격을 할 수 있는지 기법을 숙달하면 좋다. 직접 내부망에서도 수행되는 "내부 모의해킹"에서는 외부 방화벽 정책과 다르기 때문에 진단할 수 있는 범위가 커진다. 이때 항목에서 다룬 모든 취약점들이 발생할 가능성이 존재한다.
각 대역별에서 공격할 수 있는 기법을 알기 위해서는 외부 비인가자 입장에서만 고민하는 것이 아니라 모든 대역에서 각 시스템에서 어떤 변화들이 발생하는지 관심을 가져야 한다. 침해사고 대응 분석, 악성코드 분석 기법들이라 생각한 것이 모의해킹에서 활용하면 더욱 시너지가 발생한다.