실제 해커의 마음으로! 모의해킹의 성공조건

실효성 높이기 위해서는 정형화된 방법보다 실제적인 공격시도 필요 

[보안뉴스 김태형] 최근 공격자들은 기업이나 기관의 정보자산을 해킹하고 시스템에 침투하기 위한 기술을 계속 발전시키고 있다. 이에 각 기업이나 기관의 보안관리자들은 이러한 보안위협이나 공격에 대비할 필요가 있다.

▲ 실제적인 보안강화를 위해서는 모의해킹으로 도출된 결과를 토대로 체계적인 보안정책과 보안 시스템, 그리고 보안전문인력에 의한 철저한 보안관리가 이뤄져야 한다.

겉으로 드러나지 않은 보안 취약점을 찾아내어 보안수준을 높이고, 더 철저한 보안강화 대책을 마련하기 위한 방법으로 모의해킹이 주목받고 있다. 이를 통해  정보자산에 대한 안전을 보장하고 보안성을 향상시킬 수 있다는 것.  

모의해킹은 해커와 똑같이 기업의 시스템에 침투해 약점을 찾아내고 보완할 수 있다. 즉 공격자 입장에서 악성코드나 스크립트를 만들어 취약점을 찾아 침투해봄으로써 해당 기관이나 기업의 보안취약점이나 부족한 부분을 알아낼 수 있다.

모의해킹을 필요로 하는 기관이나 기업은 주로 이용하는 컨설팅 전문업체에 그 작업을 의뢰해 진행한다. 이를 위한 표준 모의해킹이나 절차가 있지만 모의해킹의 실효성을 높이기 위해서는 “실제와 같은 다양한 방법의 모의해킹을 진행해야 한다”고 전문가들은 말한다.

이에 대해 타이거팀 황석훈 대표는 “모의해킹은 자사의 자산을 내·외부 위협으로부터 안전하게 보호할 수 있는지를 검증하기 위한 가장 이상적인 행위라고 생각한다. 자사의 현황을 정확하게 알기 위해서 뿐만 아니라 지속적인 침해사고 발생시 이에 대한 다양한 루트를 확인하기 위해서도 필요하다”면서 “이미 구축된 시스템에 대해서 자산을 보호할 만큼 안전한 것인지, 누락된 부분은 없는지, 적절한 대응이 맞는지 등을 검증할 수 있는 최상의 방법이 바로 실제 해커와 같은 입장에서 해보는 모의해킹이라고 생각한다”라고 말했다.

즉 모의해킹은 정보보호 활동의 시작이자 마지막이 되는 것으로, 모든 보안사고의 시작은 반드시 공격자 입장에서 바라봐야 하기 때문이라는 것.

또한 에이쓰리시큐리티 보안기술팀 정대근 팀장은 “일반적인 취약점 점검 및 진단의 경우는 체크리스트 기반 점검이 많은데 비해 모의해킹은 시나리오 기반으로 출발해 우회방안이라는 요소가 추가된다”면서 “비용은 좀 더 비싸지만 시간이 갈수록 발전하는 해킹기법에 대해 ‘우회방안’이라는 요소를 접목해 보다 안전한 서비스를 도모할 수 있는 장점이 있다. 이는 변종 악성코드의 위험성을 줄이기 위해 ‘항상 최신버전의 엔진으로 업데이트하라’는 기본적인 안티바이러스 사용 권고안과 일맥상통하다고 볼 수 있다”고 설명했다.

인포섹 김태형 팀장은 “기업과 공공기관들은 정보자산에 침해 가능한 취약점 존재 여부를 확인하고 발견된 취약점을 보완함으로써 안전하고 안정적인 IT시스템 운영기반을 확보할 수 있다”고 말했다.

최근 모의해킹은 웹에서 모바일로 이동하고 있다. 모바일이 활성화되면서 IoT와 관련한 서비스가 점차 증가하고 있기 때문. 특히 스마트폰의 모의해킹은 기존 웹 기반 모의해킹에서 볼 수 있는 Server-Side 공격 기법 외에 장치(Device) 및 애플리케이션 변조를 통한 위협이 존재한다. 이로 인해 악성코드 감염시 개인사용자의 금전적인 피해, 개인정보 유출 및 절취된 데이터에 대한 2차 범죄로 악용될 수도 있다.

이에 대해 인포섹 김태형 팀장은 “최근엔 공격 포인트가 서버에서 클라이언트로 옮겨가면서 공격 비중이 증가하고 있으며, 모바일 및 사물인터넷 기술 발전으로 이에 대한 공격비중도 점점 높아질 것으로 보인다”고 설명했다. 

그렇다면 취약점 진단과 보안수준 강화를 위한 적절한 모의해킹 방법은 무엇일까? 타이거팀의 모의해킹은 단순히 취약점 점검 형태를 지양하고 실제 해커의 입장에서 얼마만큼의 피해를 입힐 수 있는지를 확인하는 것을 매우 중요하게 생각한다.

타이거팀 황석훈 대표는 “대상에 대해 빠르게 취약점을 체크하고 해당 서비스를 충분히 이해한 다음, 내가 해커라면 어떤 부분을 어떤 방법으로 공략하겠다는 시나리오를 도출한다. 상황에 따라서 시나리오를 미리 작성해서 시작하는 경우도 있다. 이렇게 나오는 산출물이 고객에게는 가장 실질적인 도움이 될 수 있다고 생각한다”고 설명했다.

에이쓰리시큐리티는 자체적인 모의해킹 방법론의 강화 및 툴 제작을 통해 모의해킹 방법을 지속적으로 발전시켜 나가고 있다. 예를 들면, 웹 모의해킹에서는 기존에 사용되던 XSS(Cross Site Scripting) 취약점 공격 패턴과 관련해 보안장비들의 탐지 패턴을 우회할 수 있는 방법을 지속적으로 연구하고 있으며, 해당 위협에 노출 시 대응할 수 있도록 권고한다.

에이쓰리시큐리티 정대근 팀장은 “모바일 애플리케이션과 관련해서는 특화된 기술로 독자적인 점검 툴을 개발하여 모의해킹 수행 시 사용하고 있으며, 모의해킹 시나리오는 최근 트렌드를 반영해 고객사 요구에 적절하게 대응할 수 있도록 고민하고 있다”고 덧붙였다.

또 인포섹 모의해킹팀은 사용자 입력값에서 발생하는 취약점(SQL Injection, XSS 등)에 대한 보안으로 기업(공공 및 금융 포함) 입력값 필터링을 구현하고 있어 해당 필터링을 우회 가능한 패턴을 이용한 모의해킹을 수행한다. 이에 대해 김태형 팀장은 “근본적인 문제점 해결을 위해 로직을 변경해야 하는 큰 문제가 있어 많은 기업이 필터링 구현으로 공격을 방어하고 있는 상황”이라고 말했다.

모의해킹은 한정된 인력과 시간에 진행되는 것인 만큼 정확하고 충분한 산출물이 나오도록 하는 것이 가장 중요하다.

이에 황석훈 대표는 “모의해킹 시 가장 중요한 것은 무엇을 얻고자 하는 것인지에 대한 목표가 명확해야 한다. 그리고 추가적으로 검토해야 할 것은 충분한 시간이 필요하다”고 말했다.

즉 공격자는 길게는 일년씩 투자해서 공격을 하는데, 단 1~2주의 짧은 시간에 모의해킹을 수행하고 이에 따른 필요조치만 취하고 이젠 모두 안전하다고 생각하기에는 역부족이라는 얘기다.

에이쓰리시큐리티 정대근 팀장도 “한정된 인력을 가지고 한정된 시간동안 모의해킹을 수행하는데 있어서 충분한 퀄리티의 산출물이 나올 수 있도록 하기 위해서는 모의해킹을 수행하는 인력과 의뢰한 고객간의 충분한 커뮤니케이션과 협조가 필요하다”고 강조했다.

국내 모의해킹은 대부분 URL 정보와 계정정보 등과 같이 대상을 한정지어 진행한다. 하지만, 해커 입장에서 공격대상에는 제한이 없다. 모의해킹의 실효성을 높이기 위해서는 사업목적에 따라서 다양한 컨셉의 대상을 선정하고 진행할 수는 있겠지만, 실제와 같은 다양한 공격방법은 모의해킹의 실효성을 배가시킬 수 있다.

이에 대해 황석훈 대표는 “아무런 정보와 대상의 범위를 지정하지 않고 진행하는 블랙박스 모의해킹이나 대상을 지정한다고 하더라도 내부인력에게 통보하지 않고 진행하는 방법 등 보다 실제와 가까운 방법의 모의해킹을 진행하는 것이 훨씬 더 바람직하다고 생각한다”고 말했다.

올해 초 카드사 고객정보 유출 등 대형 보안사고와 이에 따른 공공·금융기관의 보안강화 정책으로 모의해킹에 대한 관심이 높아진 것은 사실이다. 하지만 모의해킹으로 모취약점을 파악하고 조치가 취해졌다고 해서 안심할 수는 없다.

실제적인 보안강화를 위해서는 모의해킹으로 도출된 결과를 토대로 체계적인 보안정책과 보안 시스템, 그리고 보안전문인력에 의한 철저한 보안관리가 이뤄져야 한다고 전문가들은 입을 모은다. 

[김태형 기자(boan@boannews.com)]