최대한 많은 취약점, 시나리오 기반의 결과 보고서 중요

보안프로젝트 매거진

우석대학교 강의를 한 뒤에 보안 동아리 후배들이 프로젝트 방향에 문의를 해서 아래와 같이 조언을 했습니다.

최대한 많은 취약점을 접하기 바랍니다. 

모의해킹 수행을 하기 위해 실무와 비슷하게 환경을 구성하는 것은 좋지만, 너무 환경에 초점을 맞추다 보면 취약점 분석하는 시간에 집중할 수 없습니다. 현재 가지고 있는 환경에서 공격자가 찾을 수 있다고 판단되는 모든 취약점을 다 정리한 뒤에 환경에 변화를 주며 비교를 해보기 바랍니다. 100개의 취약점을 배웠다고 한다면, 프로젝트에는 100개의 취약점이 표현되어야 합니다. 환경으로 인해서 10개의 취약점만 표현되면, 면접관(평가자)은 10개의 취약점만 알고 있다고 판단할 수 있습니다. 자신의 지식을 더욱 가치 있게 표현해야 하는 것이지, 더욱 낮아지면 안 됩니다.

1주일 단위의 짧은 프로젝트를 하다 보면 큰 프로젝트가 됩니다. 중요한 것은 결과물입니다. 

너무 큰 프로젝트에만 집중하면 매일 하는 것을 기록하지 못하고 지칠 수 있습니다. 1주일 단위로 했던 내용을 서로 공유하고, 멤버 내에서 잘할 수 있는 것에 집중하세요. 그리고 서로 결과물을 공유하며 큰 프로젝트로 완성해나가기 바랍니다. 동아리에 많은 인원이 자주 모일 수 있다는 장점을 꼭 살리기 바랍니다.

공격 시나리오가 제일 중요합니다. 

배웠던 기술이 어디에 쓰일지 알 수 있는 것은 시나리오 내에서 발견할 수 있습니다. 시나리오를 만들기 위해서는 국내, 국외 IT 보안 이슈를 끊임없이 모니터링하세요. 3달 정도면 정보를 수집해도 범죄자들이 실 서비스 대상으로 공격을 진행하고, 어떤 정보를 가져가는지 알 수 있습니다.

관련 동영상은 아래 있습니다. 꼭 한 번씩 보시기 바랍니다.