2024-03-28 18:15 (목)
[특별기고-황석훈 타이거팀 대표] 모의해커는 컨설턴트인가?
상태바
[특별기고-황석훈 타이거팀 대표] 모의해커는 컨설턴트인가?
  • 길민권 기자
  • 승인 2017.09.25 01:25
이 기사를 공유합니다

타이거팀 시즌 2를 준비하며...제대로 된 모의해킹 컨설턴트 조직으로 만들 것

hw-1.jpg
▲필자. 황석훈 타이거팀 대표이사
많은 분들이 필자에게 직업이 해커냐고 물어보면 저는 해커가 아니라 보안컨설턴트라고 주저없이 말하고는 했습니다. 저의 정체성에 대해서 명확하게 하는 것은 저의 직업에 대한 당연한 태도이기 때문입니다.

정보보호컨설팅에는 크게 관리, 기술, 물리보안 영역으로 나눕니다. 모의해킹은 기술분야에 포함되어 있으며, 모의해킹 회사의 대표로서 저의 정체성 역시 그 속에서 출발했기 때문에 컨설턴트임은 분명한 것이라 생각합니다.

그래서 필자는 "모의해킹 기술을 가진 보안컨설턴트"라고 말하는 것을 가장 좋아합니다. 따라서, 모의해킹 기술 이전에 보안컨설팅이 본질이고, 보안 이전에 컨설팅이 저의 직업이며 저는 컨설턴트라고 믿습니다. 따라서 제가 일을 잘하기 위해서는 컨설턴트가 무엇인지에 대한 물음을 스스로 하는 것이 너무도 당연한 태도라고 생각하고 살아왔습니다. 

◇컨설턴트란?

그렇다면 컨설턴트는 어떤 사람일까요?

컨설턴트는 그 직업이 셀수도 없이 많습니다. 경영컨설턴트, 회계컨설턴트, 재무컨설턴트, 심지어 병을 고치는 의사마저도 컨설턴트라고 생각합니다.(제가 컨설팅 업무를 설명할 때 가장 많이 드는 예가 진료 이야기입니다.)

현재 우리가 살고 있는 세상은 너무도 복잡하고 분야가 다양합니다. 각 개개인이 세상의 모든 분야를 배우고 이해하고 살 수가 없기 때문에 각 분야의 전문가로부터 자문을 구하는 방식으로 살아갑니다. 컨설턴트가 자신의 분야에 대한 기술적 역량은 기본적으로 요구되는 이유이기도 합니다.

그리고 그 전문가라고 하는 사람들은 해당 분야에 대한 자신의 지식과 경험 등을 바탕으로 문제점을 이해 및 분석하고 그 속의 근본적인 이유를 찾아내(AS-IS분석) 개선할 수 있는 방법을 제시(To-BE제시)하는 사람이며, 이들을 우리는 '컨설턴트'라고 부릅니다.

따라서 좋은 컨설턴트가 되기 위해서는 고객에 대한 문제를 신속 정확하게 이해하는 것도 매우 중요하지만, 궁극적으로는 고객이 궁금해 하는 개선방안이 더욱더 중요하다는 점입니다. 이것이 결국 실력이 되기 때문입니다.

◇보안컨설팅에 투영의 전제

이러한 업무적 특성을 우리의 보안컨설팅에 대입해 보고자 합니다. 물론, 시대가 변하고 소비자와 공급자의 암묵적 타협으로 인해 서비스의 특성이 변할 수도 있겠지만, 근본적인 서비스의 개념 자체가 변하는 것은 아니라는 전제를 기반으로 합니다.

또한 시장에서 컨설턴트에게 요구했던 상황이나 요구들에 문제점을 전가하는 것만도 바람직하지 않으며, 그러한 시시콜콜한 갑론을박을 위해서 본 글을 기고하는 것 또한 아닙니다.

저는 보안컨설팅 시장의 초기(2002년)부터 함께 걸어왔던 보안컨설턴트로서 우리의 정체성에 대해서 지금이라도 한번 되돌아 보아야 하는 것이 아닌가 하는 마음에서 이 글을 쓰고 있습니다. 

마지막으로 지금부터 다루고자하는 내용이 모든 컨설턴트의 문제라고 생각하지 않습니다. 또한 할 말은 많지만 타 분야에 대해서 제가 언급할 수준에 있지 않다고 생각하기 때문에 모의해킹 분야에서만 국한하고자 합니다.

◇모의해킹 컨설턴트

모의해킹 기술을 가진 컨설턴트가 컨설팅을 할 때의 주요 흐름은 다음과 같습니다. “현황분석 및 협의”, ”모의해킹 수행”, ”보고서 작성”. 모의해킹 기술은 세 단계중 한 단계에서만 적용되고 나머지 두 단계에서는 컨설팅의 역량이 발휘되어야 하는 부분입니다.

모의해킹 수행을 통해서 컨설턴트는 고객 서비스에 대한 현황을 신속 정확하게 이해해야 하고 그에 따른 적절한 대안을 제시할 수 있어야 합니다.

고객의 상황은 모두 다릅니다. 또한 프로젝트의 목적도 모두 다릅니다. 고객이 사업을 통해서 알고 싶은 것 역시 다를 수 있습니다. 이 말은 반대로 말하자면 문제점에 대한 대안 역시 모두 달라야 한다는 것입니다. 같은 취약점이 도출되어도 상황과 대상, 그리고 고객사 수준에 따라서 우리는 모두 다른 대안을 제시할 수 있어야 한다는 것입니다.

암에 걸린 환자를 진찰했는데 의사가 1억이 넘는 수술을 해야 한다고 두명의 환자에게 이야기했을 때, 돈이 많은 A 환자에게는 100% 완치를 보장받는다면 최고의 선택이 될수 있지만, 돈이 없는 B 환자에게는 적절한 대안이 되지 못할 수도 있기 때문입니다. 또한 대안은 여러개 일수록 바람직하며 선택은 고객의 몫이라는 점도 중요합니다.

하지만 대한민국 모의해킹 보고서는 어떤 상황에서든 어떤 프로젝트에서든 그 보고서의 내용이 대다수의 경우 모두 같습니다. 심지어 양식 마저도 같습니다. 어떤 경우에는 취약점 진단 스캐너보다 못한 경우도 허다합니다.(필자가 봤던 것이 전부라고는 생각하지 않으니 본 의견 역시 전체라고 말하는 것은 분명 아님을 이해 바랍니다.)

왜 이런 상황이 당연한 상황이 되어버렸는지 개인적 의견을 바탕으로 몇가지 이야기들을 해보고자 합니다.

◇제안서를 적지 않는 컨설턴트

첫번째, 한국의 모의해킹 컨설팅은 과연 성숙했는가

컨설팅의 과정을 보면 고객과의 협의를 통해서 현황을 분석 및 이해하고 모의해킹을 실시합니다. 이후 결과를 바탕으로 보고서를 작성합니다. 여기에서 모의해킹을 실시하는 과정만 모의해킹 기술이 필요한 영역이고 그 이외의 영역은 순수하게 컨설팅 기술이 필요한 구간이라고 볼 수 있습니다.

컨설팅에서 사업의 목적을 정확히 이해하지 못하면 그에 맞는 상황 이해나 보고서 작성은 당연히 불가능합니다. 그러므로 프로젝트에 투입된 이유도 모르고 당사가 어떤 제안을 했는지도 모르고 대상만 받아서 모의해킹을 시작하는 것은 바람직하지 않습니다. 이후 고객과의 이견이 발생해 문제가 생기면 PM에게 그냥 전가하는 듯한 태도 역시 맥을 같이 한다고 할 수 있겠습니다. 따라서 제안서를 작성하지 않았다고 하더라도 최소한 프로젝트에 투입되었다면 RFP와 제안서는 반드시 읽어야 한다고 생각합니다.

현재의 컨설팅 시장은 어느 순간부터 제안서를 작성하지 않는 문화가 정착되었으며, 대부분의 경우 영업에서 표준제안서를 제출하는 형식으로 제안 작업을 대체하고 있는듯 합니다. 늘 그렇지는 않지만, 이유중에는 컨설턴트가 제안서를 작성할 시간 또는 인력이 부족하거나 업무 내용 자체가 평이해 그러할 수도 있다고 볼 수 있을 것 같습니다.

오래전 모 프로젝트에 투입되고 나서 RFP와 제안서를 보게 되었는데 완전히 다른 내용이라 결국 고객사와 해당 업무를 재협상을 해야만 했던 일도 기억나는군요.

하지만 이러한 최적화된 업무 프로세스는 결국 컨설턴트에게 취약점 진단 도구처럼 일하게 만들었고, 혹자의 말처럼 보안이라는 것이 갑으로 점프하기 가장 쉬운 일 정도로 여겨지게 만든 것도 사실인듯 합니다.

지금 모의해킹 컨설턴트가 작성하는 보고서 수준이 진단 도구와 다를 바가 무엇인가요?

둘째, 최소한 컨설턴트라면 작성하는 보고서에서 확인된 현상과 원인은 구분할 수 있어야 하며, 고객에게 제시되어야 할 것이 무엇인지도 생각할 수 있어야 합니다. 병원을 예로들면, 콧물이 난다고 바로 콧물약만 처방해 준다면 이 사람은 다시 콧물약을 처방받기 위해서 재방문할 가능성이 매우 높겠죠? 그리고 이러한 일을 굳이 의사가 할 필요가 있을까요? 약사면 충분하지 않나요? 같은 맥락으로 보면 진단도구면 충분하지 않을까요?. (물론 도구가 여전히 부족한 부분이 더 있기는 하지만.)

SQL Injection 취약점이 발견된 것이 원인은 아닌것이죠. 문제점을 다루고자 한다면 보고서에 왜 이러한 문제들이 도출되었는지 다루어야 하나, 현재 대다수의 모의해킹 보고서는 “SQL Injection 몇건이 발견되었다” 이렇게만 언급합니다.

이러한 문제는 정보보호(안) 전문가를 양성하는 그 어떤 학원에서도 제대로 가르쳐주지 못하고 있고 (모든 학원의 포트폴리오를 보면 금방 알 수 있음) 입사를 해도 이를 제대로 전달해주는 선임자가 없는 것이 문제인 것 같습니다. 왜냐면 선임자도 애초에 제대로 전달받지 못했을 수도 있고 알아도 안 알려주는 경우도 있고 말이지요.

세째, 보호대책을 공부하지 않는다.

오펜시브 리서치를 한창 주창하는 분들은 본디 오펜시브(공격)의 역량이 곧 디펜시브(방어)에도 영향을 미처 고른 발전을 이룰 수 있다고 생각해서 일 것입니다. 하지만 작금의 상황은 다소 그러하지 못한 것 같습니다. 물론, 최근의 상황이 오펜시브를 주창한 몇몇 분들로 인해서 만들어졌다고 생각하지는 않지만, 현재의 모의해킹 업무를 하는 컨설턴트들은 공격기술 이외에 나머지 대응 기술이나 관련 법령 및 프로세스 등에 대한 공부는 거의 하지 않는 듯 합니다. 지금까지 필자가 봤던 그 어떤 보고서에도 보지 못했을 뿐만 아니라 심지어 그 보고서들이 모두 유사했기 때문입니다. 

개선방안에 대한 부분은 업체들마다 탬플릿을 만들어두고 해당 취약점이 나오면 그냥 카피해서 사용하는 것 같습니다. 하지만 같은 취약점이라고 하더라도 상황과 내용에 따라서 개선방안은 달리 작성되어야 하지 않을까요? 또한 해당 개선방안이 특정 가이드라인이나 자료를 보고 사용된 경우, 해당 원 자료의 개선방안이 적절한지 여부는 확인하지 않고 그냥 사용되는 경우도 허다합니다.

네째, 모든 프로젝트의 보고서가 다 똑같다.

프로젝트는 수행 목적에 따라 매우 다양합니다. 따라서 보고서 역시 그에 맞게 작성되는 것이 당연하며 같을 수가 없습니다. 하지만 현재의 많은 경우 모의해킹 보고서는 카피 앤 패이스트의 산물 정도라고 해도 무방할 정도로 똑같습니다. 게다가 심지어 실수이겠지만, 이전 보고서 내용을 그대로 담고 있는 경우도 있습니다.

예를 들면, 신규 사이트를 개발하고 나서 개발보안 프로세스 때문에 모의해킹을 받는 것과 마스터플랜 수립을 위한 종합컨설팅의 모의해킹 보고서가 거의 동일하다는 점이 대표적인 사례라고 볼 수 있겠습니다.

신규 사이트는 오픈 전에 검토를 받는 것으로 확인 가능한 취약점을 빠른 시간내에 제거하고 안정적 운영을 목표로 하고 있기 때문에 빠르게 소스 코드를 수정하거나 환경을 개선할 수 있는 대안을 제시하는 것이 가장 중요한 목표가 될 것입니다.

하지만 마스트플랜 수립을 위한 모의해킹은 마스트플랜에 담아야 할 과제들을 도출하는 것이 가장 중요한 목표여야 합니다. 따라서 두 보고서가 같다는 것은 상식적으로 말이 될 수가 없습니다.

다섯째, 모의해킹의 대다수 프로젝트 목표는 모의해커의 능력치를 자랑하는 것이 아닙니다. 또한 쉘을 따는 것을 목표로 하지 않습니다.(가끔 이런 일이 있기도 하지만) 고객사의 리스크를 줄이고 관리하는 것이 대부분의 경우에서 목표점이 됩니다. 따라서 모의해킹은 자신들이 좋아하고 잘하는 해킹 기술을 보여주는 자리가 아니라 해당 서비스에 존재할 수 있는 취약점을 최대한 찾아내어 문제점을 줄일 수 있도록 하는 것이 중요합니다.

물론 프로젝트를 보다 원활하게 이끌기 위해서 가시적으로 보기 좋은 공격들을 하기도 합니다. 하지만 이러한 부분이 본질은 아니라는 것을 말하고 싶은 것입니다.

여기에서 컨설턴트에게 요구되는 태도가 '성실함'입니다. 태도가 불량하거나 성실하지 않은 컨설턴트를 수시로 봅니다. 그들은 '해커는 자유로워야 한다'고 합니다. '해커는 밤에 일을 잘한다'고 합니다. '해커는 해킹할 때는 음악이 있어야 한다'고 말합니다.

하지만 이런 요구들은 해커와는 어울릴지 몰라도 컨설턴트와 어울리는지는 고민이 필요한 상황입니다.(상황들이 다양할 수 있기 때문에) 품위있는 컨설턴트가 되도록 노력하지는 못할 망정 업무시간에 지각을 하거나 딴 짓을 하는 것이 당연한 모의해커의 권리쯤으로 여겨진다면 이건 분명이 잘못된 것이라고 생각합니다.

◇결언

고객에 대한 이해나 관심은 둘째라고 하더라도 최소한 해당 업이나 해당 프로젝트에 대한 이해라도 있어야 하는데, 단순히 투입되어 웹서비스 1천개 모의해킹만 한다면 과연 성숙된 컨설턴트 인력이라고 이야기할 수가 있는가 하는 것입니다. 시장이 원하는 것이 과연 이런 것인지 묻지 않을 수가 없습니다.

필자는 이런 관점에서 모의해킹은 등급이 무의미하다고 늘 생각해 왔습니다. 사실 고급인력보다 초급인력들이 취약점을 더 잘 찾는 경우가 허다하기 때문입니다. 더 성실하며 경험이 적기 때문에 오히려 경험에 의한 편견이 적기 때문이지요.

여기에서 숙련이라 함은 컨설팅에 대한 능력치가 아니라 케이스에 대한 대처능력이 상대적으로 뛰어나다 할 정도일 것입니다. 경험적으로 말이지요.

대한민국의 18개 컨설팅 전문회사를 비롯해 수많은 보안컨설팅 회사의 임원을 보면 기술쪽 출신이 거의 없음은 참으로 씁쓸한 현실입니다. 애초에 좋은 기업을 가기 위한 점핑 수단으로 보안을 택했다고 해도 뭐라고 할 수는 없지만 단순히 모의해킹 파트만 그렇게 하지는 않았을 것이라고 생각한다면 안타까울 수 밖에 없는 것 같습니다.

모의해킹을 하는 컨설턴트들은 우선 자신이 컨설턴트인지를 알고 있는지부터가 궁금합니다. 만약 그렇다면 그들에게 컨설턴트는 어떤 사람인지 묻고 싶고, 어떤 준비를 하고 있는지도 묻고 싶습니다. 해킹 기술만 열심히 공부하면 좋은 컨설턴트가 될 수 있다는 생각은 이제는 안했으면 하는 개인적 바람입니다.

마지막으로 이런 글을 적고 있는 타이거팀 대표로서 "당신은 잘해왔느냐" 물어보신다면 저 역시 많이 부족했던 것이 아닌가 하는 생각을 가지고 있습니다.

타이거팀이 이 분야의 대표성을 가지거나 모범을 보일 생각은 없습니다만, 필자는 '타이거팀 시즌2'를 준비하면서 우리의 색깔대로 최선을 다해 준비하고 향후 프로젝트의 결과로써 평가 받도록 노력하겠습니다. [글. 타이거팀 황석훈 대표이사]

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★