털릴수록 안전한 모의해킹, 공격자 관점에서 찾아낸 취약점 패치...보안 강화로 이어져
모의해킹 점검계획 수립, 정보 수집, 취약점 식별, 보고서 작성, 이행 점검 총 5단계로 진행
체크리스트 활용한 점검보다 실제 위협 파악할 수 있는 ‘레드팀’ 성격의 모의해킹 필요성 커져
[보안뉴스 박은주 기자] 고객의 시스템과 서버를 공격하는 보안이 있다. 서버와 시스템이 털리면 털릴수록 안전해지는 역설적인 보안 방법이다. 심지어 북한 해킹그룹 김수키와 안다리엘과 같은 공격 기술을 사용하기도 한다. 다만, 찾아낸 취약점을 보완하고 보안성 향상에 이바지하는 착한 해킹 바로 ‘모의해킹’이다.
[이미지=gettyimagesbank]
모의해킹은 총 5단계로 진행된다. 첫째, 수행 대상을 정의하고, 점검 계획을 세운다. 이후 모의해킹 기간을 협의하는데, 기업 규모에 따라 짧게는 2주에서부터 길게는 6개월 이상 소요된다.
둘째, 취약점 분석에 활용할 정보를 수집한다. 점검 서비스 및 시스템을 파악하고, 기능을 사용하기 위한 정보를 모으는 단계다. 공개소스 정보(OSINT)를 활용해 대상의 웹사이트, 공개된 문서 등 다방면으로 정보를 수집하고, 공격 시나리오를 작성한다. 이때 ASM(Attack Surface Managment) 등 자동화 도구를 활용해 정보를 수집하게 된다. 사이버 공격자가 해킹을 시도하기 위해 타깃의 자료를 모으는 것과 같은 맥락이다.
셋째, 본격적인 취약점 식별 단계다. 수집한 데이터를 바탕으로 작성된 공격 시나리오를 기반으로 공격자 관점에서 취약점을 찾아낸다. △고객의 개인정보 탈취 가능성 △정보 임의 변경 가능성 △기업 내부 정보 탈취 가능성 등 기업 시스템과 서비스의 취약한 부분을 여러 공격 방식을 통해 식별해 낸다.
▲(왼쪽부터)스틸리언 임필호 팀장, 엔키화이트햇 정시헌 팀장[사진=보안뉴스]
스틸리언 모의해킹팀 임필호 팀장은 “기업 내부인력만으로 각자 다른 기술과 공격 방식으로 침투하는 사이버 위협자를 막기엔 어려움이 따른다”고 지적하며 “실제 공격과 같은 방식으로 취약점을 찾고, 공격 시나리오를 통한 사전 대비가 필요하다”고 강조했다.
엔키화이트햇 컨설팅팀 정시헌 팀장은 “모의해킹은 사이버 위협자의 침입 난도를 높이는 작업”이라며, “외부에서 노리는 취약점을 사전에 식별하고 보완해 기업 자산을 보호하는 것”이라고 모의해킹의 의미를 되짚었다.
한편 기업에서는 취약점 식별 과정에서 서버 가용성을 해칠 수 있다는 우려가 제기된다. 공격자와 같은 방식으로 취약점을 식별하려다 보니 자연스레 따르는 문제다. 이에 임필호 팀장은 “서버 부담을 덜기 위해 일정 패턴의 공격을 사용하거나 시간 간격을 두고 공격을 진행한다”고 설명했고, 정시헌 팀장은 “서버에 무리가 간다고 판단되면 로드밸런싱(부하분산)을 통해 조율한다”고 답했다.
넷째, 발견된 취약점에 관한 상세 보고서 작성 단계다. 취약점이 발견된 위치와 공격기법, 발생원인을 상세히 기술하고, 이를 토대로 취약점을 패치하게 된다. 스틸리언 임필호 팀장과 엔키화이트햇 정시헌 팀장 모두 “모의해킹 보고서는 취약점 패치와 더불어 기업의 보안성을 높이는 자료로 쓰여 보안성 강화에 기여한다”고 말했다.
보고서 내용에 따라 개발자에게 시큐어 코딩 교육을 진행하고, 보안팀을 상대로 해킹 방법론 등의 교육이 이뤄진다. 직원을 대상으로 사회공학적 공격 대응 등 정보보호 방법을 안내함으로써 보안을 유지하기 위한 기본 자료로 활용되는 것이다. 이 밖에도 기업의 보안 아키텍처를 설계하는 데 참고하거나 현재 보안 상태에 대한 전반적인 평가에 모의해킹 결과 보고서가 활용된다.
마지막은 이행점검 단계다. 취약점의 경우 제대로 보안 조치가 이뤄졌는지 점검하는 것을 끝으로 모의해킹이 마무리된다.
완전한 보안은 없기에, 한발 더 나아가야
선제적으로 취약점을 관리할 수 있다는 점에서 민간 기업은 물론 공공기관에서도 모의해킹을 진행한다. 다만 체크리스트를 활용한 점검 형식으로 정형화된 곳이 다수다. 정형화된 보안은 시스템의 다양성 및 가변성을 담아내기 부족하다는 한계가 있다. 따라서 취약점이 발견될 수밖에 없다는 전문가들의 지적이 이어진다. 따라서 대상에 제한을 두지 않고, 실제 위협을 파악할 수 있는 ‘레드팀’ 성격의 모의해킹 필요성이 대두된다.
다만 모의해킹, 버그바운티를 비롯해 선제적 사이버 보안으로 불리는 보안 방법조차 ‘완벽하다’고 말할 수 없다. 빠르게 발전하는 기술로 인해 파생되는 취약점 및 보안 위협을 전부 막아내기는 불가능하기 때문이다. 따라서 기본적인 보안수칙을 준수하고, 보안 솔루션을 보다 효과적으로 설치 및 운용하며, 이와 더불어 모의해킹, 버그바운티 등 선제적 보안이 어우러졌을 때에만 보안을 한층 더 견고히 할 수 있다.
[박은주 기자(boan5@boannews.com)]
모의해킹 점검계획 수립, 정보 수집, 취약점 식별, 보고서 작성, 이행 점검 총 5단계로 진행
체크리스트 활용한 점검보다 실제 위협 파악할 수 있는 ‘레드팀’ 성격의 모의해킹 필요성 커져
[보안뉴스 박은주 기자] 고객의 시스템과 서버를 공격하는 보안이 있다. 서버와 시스템이 털리면 털릴수록 안전해지는 역설적인 보안 방법이다. 심지어 북한 해킹그룹 김수키와 안다리엘과 같은 공격 기술을 사용하기도 한다. 다만, 찾아낸 취약점을 보완하고 보안성 향상에 이바지하는 착한 해킹 바로 ‘모의해킹’이다.
[이미지=gettyimagesbank]
모의해킹은 총 5단계로 진행된다. 첫째, 수행 대상을 정의하고, 점검 계획을 세운다. 이후 모의해킹 기간을 협의하는데, 기업 규모에 따라 짧게는 2주에서부터 길게는 6개월 이상 소요된다.
둘째, 취약점 분석에 활용할 정보를 수집한다. 점검 서비스 및 시스템을 파악하고, 기능을 사용하기 위한 정보를 모으는 단계다. 공개소스 정보(OSINT)를 활용해 대상의 웹사이트, 공개된 문서 등 다방면으로 정보를 수집하고, 공격 시나리오를 작성한다. 이때 ASM(Attack Surface Managment) 등 자동화 도구를 활용해 정보를 수집하게 된다. 사이버 공격자가 해킹을 시도하기 위해 타깃의 자료를 모으는 것과 같은 맥락이다.
셋째, 본격적인 취약점 식별 단계다. 수집한 데이터를 바탕으로 작성된 공격 시나리오를 기반으로 공격자 관점에서 취약점을 찾아낸다. △고객의 개인정보 탈취 가능성 △정보 임의 변경 가능성 △기업 내부 정보 탈취 가능성 등 기업 시스템과 서비스의 취약한 부분을 여러 공격 방식을 통해 식별해 낸다.
▲(왼쪽부터)스틸리언 임필호 팀장, 엔키화이트햇 정시헌 팀장[사진=보안뉴스]
스틸리언 모의해킹팀 임필호 팀장은 “기업 내부인력만으로 각자 다른 기술과 공격 방식으로 침투하는 사이버 위협자를 막기엔 어려움이 따른다”고 지적하며 “실제 공격과 같은 방식으로 취약점을 찾고, 공격 시나리오를 통한 사전 대비가 필요하다”고 강조했다.
엔키화이트햇 컨설팅팀 정시헌 팀장은 “모의해킹은 사이버 위협자의 침입 난도를 높이는 작업”이라며, “외부에서 노리는 취약점을 사전에 식별하고 보완해 기업 자산을 보호하는 것”이라고 모의해킹의 의미를 되짚었다.
한편 기업에서는 취약점 식별 과정에서 서버 가용성을 해칠 수 있다는 우려가 제기된다. 공격자와 같은 방식으로 취약점을 식별하려다 보니 자연스레 따르는 문제다. 이에 임필호 팀장은 “서버 부담을 덜기 위해 일정 패턴의 공격을 사용하거나 시간 간격을 두고 공격을 진행한다”고 설명했고, 정시헌 팀장은 “서버에 무리가 간다고 판단되면 로드밸런싱(부하분산)을 통해 조율한다”고 답했다.
넷째, 발견된 취약점에 관한 상세 보고서 작성 단계다. 취약점이 발견된 위치와 공격기법, 발생원인을 상세히 기술하고, 이를 토대로 취약점을 패치하게 된다. 스틸리언 임필호 팀장과 엔키화이트햇 정시헌 팀장 모두 “모의해킹 보고서는 취약점 패치와 더불어 기업의 보안성을 높이는 자료로 쓰여 보안성 강화에 기여한다”고 말했다.
보고서 내용에 따라 개발자에게 시큐어 코딩 교육을 진행하고, 보안팀을 상대로 해킹 방법론 등의 교육이 이뤄진다. 직원을 대상으로 사회공학적 공격 대응 등 정보보호 방법을 안내함으로써 보안을 유지하기 위한 기본 자료로 활용되는 것이다. 이 밖에도 기업의 보안 아키텍처를 설계하는 데 참고하거나 현재 보안 상태에 대한 전반적인 평가에 모의해킹 결과 보고서가 활용된다.
마지막은 이행점검 단계다. 취약점의 경우 제대로 보안 조치가 이뤄졌는지 점검하는 것을 끝으로 모의해킹이 마무리된다.
완전한 보안은 없기에, 한발 더 나아가야
선제적으로 취약점을 관리할 수 있다는 점에서 민간 기업은 물론 공공기관에서도 모의해킹을 진행한다. 다만 체크리스트를 활용한 점검 형식으로 정형화된 곳이 다수다. 정형화된 보안은 시스템의 다양성 및 가변성을 담아내기 부족하다는 한계가 있다. 따라서 취약점이 발견될 수밖에 없다는 전문가들의 지적이 이어진다. 따라서 대상에 제한을 두지 않고, 실제 위협을 파악할 수 있는 ‘레드팀’ 성격의 모의해킹 필요성이 대두된다.
다만 모의해킹, 버그바운티를 비롯해 선제적 사이버 보안으로 불리는 보안 방법조차 ‘완벽하다’고 말할 수 없다. 빠르게 발전하는 기술로 인해 파생되는 취약점 및 보안 위협을 전부 막아내기는 불가능하기 때문이다. 따라서 기본적인 보안수칙을 준수하고, 보안 솔루션을 보다 효과적으로 설치 및 운용하며, 이와 더불어 모의해킹, 버그바운티 등 선제적 보안이 어우러졌을 때에만 보안을 한층 더 견고히 할 수 있다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
