2024-03-29 02:55 (금)
일반 모의해킹컨설팅과 오펜시브리서치, 성격달라 구분해서 활용해야
상태바
일반 모의해킹컨설팅과 오펜시브리서치, 성격달라 구분해서 활용해야
  • 길민권 기자
  • 승인 2017.12.07 02:36
이 기사를 공유합니다

무엇을 진단할지 명확한 목표 갖고 진단기업과 긴밀한 협력 필요해

▲ ‘모의해킹과 보안의 상관관계’를 주제로 패널토의 진행. 패널로는 좌측부터 심준보 블랙펄시큐리티 이사, 황석훈 타이거팀 대표, 황태선 KT 팀장, 최병훈 CJ오쇼핑 팀장. 제21회 해킹방지워크샵.
▲ ‘모의해킹과 보안의 상관관계’를 주제로 패널토의 진행. 패널로는 좌측부터 심준보 블랙펄시큐리티 이사, 황석훈 타이거팀 대표, 최병훈 CJ오쇼핑 팀장, 황태선 KT 팀장. 제21회 해킹방지워크샵.
한국침해사고대응팀협의회(CONCERT. 회장 원유재)는 6일 여의도 전경련회관 컨퍼런스센터에서 국내 정보보호 실무자 900여 명이 참석한 가운데 제21회 해킹방지워크샵을 성황리에 개최했다.

마지막 세션에서 ‘모의해킹과 보안의 상관관계’를 주제로 패널토의가 진행됐다. 패널로는 황석훈 타이거팀 대표, 심준보 블랙펄시큐리티 이사, 최병훈 CJ오쇼핑 팀장, 황태선 KT 팀장이 참석했다.

모의해킹이라 하면 보안 컨설팅, Penetration Test(펜테스트), 취약점 점검, 오펜시브 시큐리티 등 비슷하지만 서로 다른 것들을 혼용해 사용하고 있는 것이 현실이다. 그러다 보니 발주자와 수행자가 서로 다른 생각을 가지고 접근할 수 있고 원하지 않는 결과를 얻기도 한다. 이번 패널토의에서는 모의해킹이 실제 기업 보안에 도움이 되는 방법과 기법 등에 대해 기업 입장에서 그리고 수행자 관점에서 서로의 입장을 들어보는 시간이 됐다. 다음은 패널토의를 정리한 내용이다.

“모의해킹 목적, 외부 전문가의 객관적인 시각을 통한 교차검증”

△최병훈=기업 입장에서 외부에 모의해킹을 의뢰하는 목적은 무엇이라고 생각하는지 들어보자.

△황태선=매년 모의해킹을 진행하고 있다. 10억 규모다. 목적은 3가지로 볼 수 있다. 내부보안통제가 제대로 작동하고 있는지 알기 위해서다. 또 내부 모의해킹 담당자가 있어도 인력 리소스의 한계로 외부 업체에 의뢰하는 것이다. 마지막으로 교차검증 차원이다. 내부 모의해킹 직원이 열심히 하지만 외부 컨설턴트의 객관적 관점에서 보면 새로운 취약점을 찾을 수 있다고 생각해 외부 모의해킹을 의뢰하고 있다.

△최병훈=온라인 쇼핑몰은 고객과 접점이 많다. 많은 방어선이 있지만 다양한 해킹 공격기법들이 발전하면서 보안담당자들이 위협을 인지하지 못하는 경우가 있다. 사용자 입장에서 위협을 탐지할 수 있도록 모의해킹을 시도해 그 결과를 기반으로 고객들이 입을 수 있는 피해들을 미연에 방지하기 위해 외부 모의해킹을 받고 있다.

“고객의 실질적 리스크 매니지먼트에 도움이 되기 위함”

△최병훈=모의해킹 전문업체 입장은 어떤가.

△심준보=전문업체 입장에서도 크로스 체크 느낌이 강하다. 크로스 점검시 내부자 눈과 다르게 볼 수 있기 때문이다. 또 의뢰받은 입장에서는 회사 역량도 보여줘야 하고 클라이언트에 증명할 수 있는 증거들을 주기 위해 노력하고 있다. 즉 기업들이 자신들의 내부의 눈이 아닌 공격자 입장에서 점검을 받기 위해 의뢰하는 것으로 생각하고 있다.

△황석훈=대기업 등에서는 당연히 내부 보안팀 구축이 잘 돼 있다. 하지만 중견∙중소기업들은 그럴만한 역량이 안된다. 그래서 외부 컨설팅에 의존하고 있다고 생각한다. 그리고 먼저 해킹과 모의해킹은 구분해야 한다. 모의해킹은 컨설팅이지 해킹이 아니다. 모의해킹은 컨설팅 영역으로 고객의 실질적 리스크 매니지먼트에 도움이 되기 위함이다. 모의해킹컨설팅과 오펜시브 시큐리티를 구분해서 봐야 한다. 모의해킹은 내부 직원들이 찾지못한 취약점을 찾는데 그치는 것이 아니라 조직의 전체적인 리스크를 낮추는 작업이다.

△황태선=모의해킹 발주목적은 교차검증의 필요성과 내부 리소스 부족으로 인해 외부 모의해킹 인력이 필요해서다. 이를 통해 핵심시스템과 관제체계 등이 제대로 동작하는지 컨설팅을 받기 위해서다. 모의해킹과 보안컨설팅은 분리해서 접근하려고 한다.

△최병훈=기업은 컨설팅을 받고 좀더 발전된 방향으로 가기 위함이다. 외부 컨설팅을 통해 객관적 자료를 확보하고 이를 경영진에 보고해 개선하려고 컨설팅을 받는 것이다. 모의해킹과 컨설팅 영역이 다르지만 기업은 둘다 더 좋은 방향으로 가기 위함이 목적이라고 할 수 있다.

“컨설팅 업체-기본 에티튜드 중시, 오펜시브리서치-특정 분야 뎁스있는 기술이 우선”

△최병훈=전문기업들은 어떤 인력들을 채용하고 있나.

△황석훈=인력 채용에 어려움을 겪고 있다. 국가차원에서 교육도 많아지고 구직자들의 눈높이도 높아졌다. 또 한단계 점프하기 위해 임시 직장을 구하려는 사람들도 있다. 타이거팀은 기술은 배우면 되지만 인성은 바뀌기 힘들다는 것을 알기 때문에 우선 컨설턴트로서 인성과 이 업에 대해 고민을 해 본 사람을 우선 채용하고 있다. 기술적인 부분은 시간과 경험이 축적되면 올라간다고 생각한다.

△심준보=블랙펄시큐리티는 타이거팀과 좀 다르다. 실력 위주로 뽑고 있다. 오펜시브 리서처들은 고객과 만나는 경우가 거의 없다. 그래서 전체적인 고른 점검보다는 한 분야에 뎁스(Depth. 깊이)있는 점검을 위주로 하기 때문에 특정 기술에 깊이가 남다른 화이트해커를 채용하고 있다. 외부 모의해킹을 의뢰하는 기업들도 컨설팅 업체들의 특성을 잘 파악하고 업체를 선택해야 한다고 생각한다.

△최병훈=기업에서 모의해킹이나 컨설팅 업체 선정 기준은 뭔가.

△황태선=진단수행원의 에티튜드(태도, 사고방식) 중요하게 본다. 진단 결과는 외부에 누출하면 안되는데 외부에서 그런 이야기들이 돌면 상당히 실망스러운 경우가 있다. 서로간의 신뢰가 중요한데 이런 부분들을 잘 지키는 소양이 중요하다고 생각한다. 또 해당 업체의 인적 역량도 중요하게 본다. 주로 내부 모의해킹 전문직원들이 인적 네트워크 많아 이들의 의견을 듣고 업체 선정을 주로 하고 있다.

△최병훈=윤리적 부분을 중요하게 생각하고 있다. 취약점이나 고쳐야 할 부분은 보안담당자 입장에서는 치부가 될 수 있고 개선해야 할 업무다. 컨설팅 이후 외부에서 이런 민감한 내용들이 들리면 곤란해 진다. 또 비즈니스를 빠르게 이해할 수 있는 인적역량도 중요하다. 쇼핑몰이라 유사한 분야에 경험이 많은 경력자를 선호하고 있다. 즉 업체 선정시 개개인의 역량과 경험 그리고 비즈니스 이해도를 중심으로 본다.

“보안컨설팅 업체 직원과 프리랜서…점검 분야를 달리해 활용”

△최병훈=컨설팅 업체 내부 직원과 프리랜서 등 연합군을 사용하는 경우도 있지 않나.

△황석훈=사용하는 경우 있다. 다만 검증된 프리랜서만 같이한다. 컨설턴트로서 에티튜드가 안돼 있으면 아무리 실력이 좋아도 함께 일하지 않는다.

△심준보=뎁스있는 컨설팅을 주로 하기 때문에 어떤 경우는 해외 유명 해커를 프로젝트에 투입시키는 경우도 있다. 이럴 경우 인성을 체크하기는 힘들다. 해커 커뮤니티의 쇼셜로 해결하려고 하는데 어떤 기준을 검증을 해야 할지 고민해 봐야 할 부분이다.

△최병훈=프리랜서 활용을 지양하고 있으며 웬만하면 정식 컨설팅 기업과 일하려고 한다.

△황태선=최근 4년을 보면 2년까지는 기업에 의뢰했고 그 뒤 2년은 연합군을 활용했다. 프리랜서가 일반 모의해커보다 역량이 높은 경우가 있기 때문이다. 해커의 경우 속성상 집요한 면이 있다. 뚫릴 때까지 계속 방법을 찾아낸다. 한편 컨설팅 기업들의 직원들은 정해진 틀에서만 움직이려고 하는 경향이 있다. 그래서 웹사이트 모의해킹은 업체에 의뢰하고 프리랜서에는 내부보안관제체계, APT 공격, 전이공격, 외부정보유출 통로, 보안장치를 리버싱해서 뎁스 있는 영역을 점검할 때 프리랜서를 유용하게 활용하고 있다.

“일반적인 모의해킹을 ‘주’로 하고 오펜시브리서치는 ‘부’ 채널로 활용하면 좋을 것”

△최병훈=기업들은 모의해킹을 어느 선까지 점검받는 것이 좋을까.

△황석훈=컨설팅을 의뢰받는 상황들이 다양하다. 가장 베스트는 특정 서비스를 제대로 봐달라고 하는 경우다. 이럴경우 위협 모델링을 제대로 할 수 있다. 업무 설명을 듣고 위협요소를 모두 도출하고 이를 증명한다. 의뢰할 때, RFP(제안요청서)에 요구하는 뎁스 수준을 꼭 명시해서 주면 좋다. 고객이 원하는 컨설팅 목적을 명확히 해야 그에 맞는 컨설팅이 이루어질 수 있다.

△심준보=일반적인 모의해킹 컨설팅과 오펜시브 리서치를 구분해서 의뢰해야 한다. 일반 모의해킹으로 기본적인 취약점들을 점검하고 차단했다면 더 뎁스있는 보안홀을 찾고 싶을 경우 오펜시브 전문 기업들에게 의뢰하면 된다. 목적에 맞는 기업 선정이 중요하다. 일반적인 모의해킹을 ‘주’로 하고 오펜시브 리서치는 ‘부’ 채널로 활용하면 좋을 것이다. 당연히 오펜시브 리서치시에도 어느정도 뎁스를 명시해야 한다.

△최병훈=발주요청시 어디까지 진단해야 할지 범위를 명확히 해야 한다. 그렇지 않으면 목적을 잃어버릴 수 있다. 기업담당자와 모의해커간 긴밀한 관계가 이루어져야 한다. 그래야 합리적 범위를 찾을 수 있다. RFP에 범위를 명시해야 한다. 그러려면 보안담당자가 기업의 리스크를 충분히 알고 있어야 한다. 그래야 정확한 RFP가 나올 수 있고 서로 오해 없이 목적을 달성할 수 있다.

또 컨설팅 PM은 커뮤니케이션 능력자가 되어야 한다. 실제 수행하는 인력과 발주기업 가운데서 PM의 역할이 중요하다. 컨설팅 성공여부가 여기에 달렸다고 해도 과언이 아니다.

“수행계획서 명확히 해주길…모의해커도 같은 목적을 가진 동료라는 인식 필요해”

△최병훈=컨설팅을 의뢰하는 기업들에게 바라는 점이 있다면.

△황석훈=커뮤니케이션이 컨설팅의 방향성과 결과물을 결정한다. 특히 수행계획서를 작성이 중요하다. 컨설팅의 최종 계약서라고 생각한다. 이를 제대로 작성하기 위해서는 커뮤니케이션이 필요하다. 고객 니즈들이 대화를 통해 수행계획서에 녹아들어야 제대로 된 수행계획서가 나올 수 있다. 명확한 방향성이 결정되면 좋은 컨설팅 결과물이 나올 수 있다. 꼭 수행계획서를 컨설턴트와 커뮤니케이션을 통해 명확히 해주었으면 하는 바람이다.

△심준보=오펜시브리서치를 통해 회사의 치부가 들어나는 경우 죄인이 되는 경우도 있다. 하지만 보안팀과 같이 한다는 생각을 해주길 바란다. 같은 팀의 인력이라고 생각하고 대화하고 원활하게 일을 할 수 있도록 도와줘야 궁극적인 목적을 달성할 수 있다.

△최병훈=외부 모의해킹컨설팅이나 오펜시브리서치를 보안담당자 입장에서 활용하는 것은 안전하게 조직의 비즈니스가 돌아가게 하기 위함이다. 각 산업별로 추구하는 목표가 다르겠지만 무엇을 진단할지 명확한 목표를 갖고 진단기업과 긴밀한 협조하에 목적을 달성하길 바란다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★