실무자가 말하는 모의해킹

5월 2일에 완독

 

조정원 지음

 

 

기존에는 모의해킹 업무가 운영되는 서버들의 취약점을 진단하고 해결방법을 제시하는 게 끝이라고 생각하고 있었다.

그렇기에 별 생각이 없었기도 했고, 버그헌팅과 비슷할 것이라고 생각을 했는데 책을 읽으면서 생각이 바뀌었다.

 

아마 책에서 얘기한 모의해킹 컨설턴트는 궁극적으로 아름다운 목표를 얘기한 것 같다.

고객사의 서비스가 어떠한 식으로 운영되는지에 대해 미리 알아본 뒤, 마구잡이로 취약점을 찾는 게 아니라 해킹 시나리오를 그린 뒤, 이 시나리오가 고객사에게 어떠한 위협을 끼치게 될 것인지 설명하고, 그에 대한 대처법을 자료와 함께 설명하는 것. 때로는 솔루션을 소개하는 식으로도 얘기를 하는데 이 정도까지 가면 고급 등급의 컨설턴트가 아닐까 싶었다. 그 이유는, 모의해킹의 시장이 조그맣고 경쟁이 심하며 무언가 부가적으로 가치를 창출하는 사업이 아니다 보니 몸값이 낮기 때문이다. 그리고, 체크해야 할 취약점들도 많다보니 체크리스트 형식으로 가게 되는 경우도 더러 있다고 책에서 설명한 점도 들 수 있겠다. 

 

모의해커가 된다면 저 이상적인 지점을 목표로 가야하지 않을까 싶다. 공부해야 될 내용은 끝도 없고, 다양한 분야를 접하면서 더 컴퓨터의 지식이 깊어지게 되지 않을까 싶은 직업이다.

다만, 컨설턴트이기 때문에 컴퓨터와 소통하는 것 뿐만 아니라 사람과도 소통을 해야 하는 것이 좀 어려운 점이 아닐까 싶었다. 여러모로 팔방미인같은 능력이 필요한 직업같다. 

 

책을 읽으며 알게 된 나중에 확인해볼 정보들을 아래에 정리해둔다. 

 

버그헌팅--

한국인터넷진흥원 포상제

hackerone서비스

 

참고 자료--

주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세 가이드

exploit-db

한국인터넷진흥원 모바일 앱 소스코드 검증 가이드라인

한국인터넷진흥원 모바일 대민 서비스 구축 가이드

한국인터넷진흥원 모바일 대민 서비스 보안 취약점 점검 가이드

한국인터넷진흥원 대민 모바일 보안 공통 기반 활용 가이드

스마트폰 전자 금융 서비스 보안 가이드

스마트폰 안전 대책 자체 점검

스마트폰 전자 금융 앱 위/변조 방지 대책

스마트폰 금융 안전 대책 이행 실태 점검 결과

트위터(X) 참고

구글 알리미 정보 수집

한국인터넷진흥원 국책 과제

 

도서--

해킹사고의 재구성 (침해 사고 대응) 

모의해킹이란 무엇인가 (필자가 쓴 책)

CxO가 알아야 할 정보보안 

보안으로 혁신하라 (에세이)

 

가상 이미지--

beebox

Metasploitable (RAPID7사)

InsecureBank (안드로이드 모바일 앱 서비스)

SecurityOnion(침해사고 대응 분석 환경)