2020-07-03 07:15 (금)
황석훈 타이거팀 대표, 모의해킹 업무 프로세스 단계별 문제점과 개선방안 제안
상태바
황석훈 타이거팀 대표, 모의해킹 업무 프로세스 단계별 문제점과 개선방안 제안
  • 길민권 기자
  • 승인 2017.11.06 21:43
이 기사를 공유합니다

▲ 데일리시큐 주최 PASCON 2017. 타이거팀 황석훈 대표.
▲ 데일리시큐 주최 PASCON 2017. 타이거팀 황석훈 대표.
데일리시큐가 주최한 하반기 최대 2017 공공·기업 개인정보보호&정보보안 컨퍼런스 PASCON 2017이 지난 10월 26일 양재동 더케이호텔서울 가야금홀에서 공공, 금융, 기업, 의료, 교육기관 등 전국의 정보보안 실무자 800여 명 이상이 참석한 가운데 성황리에 개최됐다.

이 자리에서 황석훈 타이거팀 대표는 ‘기업의 올바른 모의해킹 컨설팅, 준비 방안과 효과 극대화 전략’에 대해 키노트 발표를 진행했다.

황석훈 대표는 “모의해킹 서비스란 보안컨설팅의 한 부분으로써 고객사의 서비스에서 예상 가능한 취약점을 사전에 발견해 제거해 내외부의 악의적 사용자로부터 공격 당할 가능성을 최소한으로 낮춰주는 서비스”라고 정의했다.

모의해킹 서비스 종류로는 신규 서비스에 대한 취약점 점검, 솔루션 도입을 위한 취약점 점검, 마스터플랜 수립을 위한 종합컨설팅, 정기적인 취약점 점검, 국내 또는 국제 인증을 받기 위한 컨설팅, 시나리오 기반 취약점 점검, 블랙박스 기반 취약점 점검 등이 있다.

◇모의해킹 업무 프로세스 단계별 문제점과 개선방안

황 대표는 모의해킹 업무 프로세스 단계별로 문제점과 개선방안에 대해 의견을 제시했다.

1. 협의 단계
우선 협의 단계에 대해 그는 제안서를 쓰지 않는 컨설턴트, 커뮤니케이션이 없는 컨설턴트를 비판하며 “해커의 경우 프로젝트 목적 및 내용을 잘 모르는 경우가 허다하다. 즉 솔루션 도입을 위한 진단인지 신규 서비스 진단인지 어떤 종류의 모의해킹인지 모르는 경우가 많다. 또 점검 항목 및 관련 기술에 대한 고민과 근태 및 업무 태도 등의 이슈도 존재한다”며 개선방안에 대해 “협의시 사업의 목적을 명확히 재설명해야 하며 최종 산출물의 지향점을 명확하게 설명하고 사업수행계획서를 작성해야 한다. 또 각 컨설팅 업체가 고객(업종, 관련 기사, RFP, 제안서 등)에 대해 공부할 시간을 줘야 한다”고 제안했다.

2. 수행 단계
다음은 자기 만족에 빠진 컨설턴트와 기술발전이 없는 컨설턴트를 지적하며 “취약점을 최대한 찾는데 집중하지 않고 자신이 관심있고 좋아하는 공격만 집중하는 유형이 있다. 또 기술적 역량 부족으로 진단 내용 깊이가 부족하고 자신이 수행하는 내용을 모두 기록하지 않는 경우도 있다”고 밝히고 “모의해킹 컨설턴트는 모든 항목을 점검해야 하며 모든 수행 내역을 기록해야 한다. 이렇게 하지 않으면 정확히 무엇이 안전하고 안전하지 않은지를 파악하기 힘들다”고 전했다. 

3. 보고 단계
이 단계에서는 원인과 현상을 구분하지 못하는 컨설턴트와 개선대책을 공부하지 않는 컨설턴트가 대상이다. 황 대표는 “이들이 양산해 내는 현상과 원인을 구분하지 않는 보고서들, 사업 목적에 부합하지 않는 보고서들, 개선안이 없거나 부적절한 보고서들이 만들어진다. 원인을 충분히 이해하고 개선안을 고려하는데 필요한 시간이 부여되지 않는 다는 점도 문제”라며 “적절한 개선안을 제시하려면 충분한 시간이 필요하고 또 각 컨설팅 업체의 보고서 작성 능력도 더 키워야 하는 실정”이라고 꼬집었다.

◇모의해킹, 더욱 발전할 수 있는 방안들

▲ PASCON 2017 컨퍼런스 현장
▲ PASCON 2017 컨퍼런스 현장
보다 발전된 컨설팅 방법들에 대해서도 언급했다. 황 대표는 “지금까지 모의해킹은 웹어플리케이션에만 집중됐다. 웹서비스 전반에 대한 점검으로 범위를 확장하는 것이 필요하다. 웹서버 취약점, 통신 프로토콜 적절성, 포트, 연동서비스 등에 대한 모의해킹이 필요하다”고 강조했다.

또 그는 정보를 최대한 공유하라고 말한다. 취약점을 찾으면 추가 정보를 제공하는 보안담당자의 마인드가 필요하다는 것이다. 특정 쇼핑몰을 언급하며 보안담당자의 성숙한 마인드로 취약점을 찾기 어렵기로 유명한 기업이지만 모의해킹 서비스를 이용해 취약점을 가장 잘 관리하는 기업중 하나라고 전했다.

또 컨설턴트는 문제점을 사전에 찾아서 제거해 취약점의 수를 최소화하는 역할을 한다. 따라서 보안제품을 테스트하는 것이 아니다. 만약 그렇게 하려면 충분한 시간을 줘야 한다. 황 대표는 “익숙하지 않는 것으로 실력을 평가하는 것은 올바르지 않다. 제품 테스트 결과는 결과적으로 큰 도움이 되지 못한다”고 밝혔다.

그는 보고서 작성에도 변화가 필요하다고 강조했다. 취약점만 기록하던 보고서에서 수행 내역 전체를 기록하는 보고서 작성으로 변화해야 한다는 것이다.

황 대표는 “수행 내역 전체를 기록하는 보고서가 바람직하다. 이를 토대로 전년도와 실제적인 차이를 알 수 있다. 또 안전한 부분과 보완이 필요한 부분을 명확하게 구분할 수 있으며 사고 발생시 책임 소재도 명확하게 파악할 수 있다. 그리고 점검에서 누락되는 항목이 줄어들 수 있다. 다만 수행 기간이 길어져야 한다”고 설명했다.

DFD(Data Flow Diagram)를 통한 모의해킹도 강조했다. DFD를 기반으로 한 위협 시나리오를 도출하고 해당 시나리오에 대한 구현 가능성을 검증한다. 예상 가능한 모든 취약점에 대해서 가장 확실한 취약점 제거 방법이 될 수 있다고 덧붙였다.

황석훈 타이거팀 대표의 PASCON 2017 발표자료는 데일리시큐 자료실에서 다운로드 가능하다. 

★정보보안 대표 미디어 데일리시큐!★