[보안직업군 프로젝트③] 모의해킹 전문가

[보안멘토]

 “쉽게 뚫려서 많이 당황하셨어요? 이게 바로 회사의 보안현실이죠!” 

[인터뷰] LG CNS 보안컨설팅팀 곽 규 복 차장 & 박 태 석 과장

[보안뉴스=임종민·민세아 객원기자] ‘모의해킹’이란 악의적인 목적이 아닌 기업으로부터 인가받은 해킹전담 컨설턴트에 의해 외부 또는 내부 네트워크상의 서비스와 서버에 대해 실제 크래커가 사용하는 해킹 도구와 기법을 이용하여 정보시스템의 침투가능성을 진단하는 업무입니다.

이러한 진단과정을 통해 불법침입의 가능성이 발견될 경우 취약한 부분에 대한 대응책 및 개선방안을 마련해 보안사고를 미연에 방지할 수 있습니다. 이번 보안직업군 프로젝트에서는 평소 기업의 취약성을 미리 분석하여 미래에 발생할 수 있는 위험에 대응하는 모의해킹 분야에 대해 알아보겠습니다. 보안직업군 프로젝트의 세 번째 인터뷰 대상자는 LG CNS의 상암IT센터에서 근무하는 보안컨설팅팀 곽규복 차장과 박태석 과장입니다. 그럼 지금부터 ‘모의해킹’에 대해 본격적으로 알아볼까요?

▲ 모의해킹 업무를 담당하고 있는 LG CNS 보안컨설팅팀 곽규복 차장(우)과 박태석 과장(좌)

모의해킹 업무 수행시 필요한 기술적 측면에서의 기본능력은 무엇인가요?

우선적으로 취약점들에 대한 이해가 선행되어야 된다고 생각합니다. 웹 애플리케이션부터 시작해서 모의해킹이란 것은 외부에서 사내 시스템까지의 침투를 의미합니다. 그런데 예전 방화벽이 없던 시절에는 서버에 직접적으로 침투했지만, 현재는 방화벽이 있기 때문에 HTTP(80) 웹 서비스에 집중하고 있죠. 그렇기 때문에 웹을 통해서 내부 네트워크로 들어오는 다양한 경로를 찾아내는 게 모의해킹이라 할 수 있습니다.

이에 웹 시스템에 대한 취약점, IT 인프라, 서버, DBMS, 네트워크 취약점들을 이해하고 있어야 됩니다. 이때 한 사람이 모든 업무를 하는 것이 아니라 각 분야의 전문가들과의 의견을 조합하여 진행하게 됩니다. 결과적으로 각 취약점들은 물론 각 구성요소들에 대한 이해가 필수적입니다. 이와 함께 웹 애플리케이션 진단에서는 개발자의 관점에서 ‘개발자들이 흔히 할 수 있는 실수가 무엇이 있을까?’에 대해 자문해 보는 자세가 필요합니다. 침투하고 나서 끝난 것이 아니고 개선사항에 대한 방향성도 제시할 수 있어야 하기 때문입니다.

보안대책은 시스템 및 환경별로 차별화해서 적용해야 되는데, 개발적인 관점을 볼 수 없으면 인터넷에 제공되고 있는 일반적인 대응방안만을 고객에게 제시해 줄 수 밖에 없습니다. 환경을 고려하지 않은 보안대책은 최악의 경우에는 서비스에 영향을 줄 수 있게 되죠. 그리고 구글링 및 인터넷 검색을 하면 취약점에 대한 정보가 많이 나오는데, 자신이 생각한 시나리오를 시현할 수 있도록 검색능력도 요구됩니다. 마지막으로 단순히 웹 서버만 바라보는 것이 아니라 인프라를 넓게 바라볼 수 있는 시각이 중요합니다.

업무 수행시 요구되는 인성적인 측면의 능력에는 무엇이 있을까요?

일단 3가지가 있을 것 같습니다. 첫 번째로 불굴의 의지 즉, 취약점은 뚫릴 때까지 해야 되는 것이기 때문이죠. 두 번째로는 커뮤니케이션 능력이 필요한 것 같습니다. 모의해킹 역시 단순히 뚫으면 될 것 같은데, 실제로는 의사소통을 해야 될 부분이 아주 많습니다. 내부 팀원 및 PM과의 커뮤니케이션이 필요하고, 고객에게 발견한 취약점들을 설명할 수 있어야 되고, 진단 도중 발생한 문제점에 대해서도 고객과 의논해야 되며, 경영진과의 커뮤니케이션 역시 필수적입니다. 또한, 개발자들과 문제점에 대한 개선 및 취약점 판단 여부들을 논의해야 됩니다. 마지막으로는 보안의 전 분야가 그렇듯 윤리의식이 꼭 필요합니다. 항상 보안서약서를 숙지하고 계약서에서 명시된 부분 이외에 호기심에 의해서 공격을 수행해서는 안 됩니다.

취업준비 시 어떤 과정과 노력이 필요할까요?

모의해킹 분야에 진출하기 쉬운 방법 중 하나는 각종 해킹방어대회에 입상하는 방법입니다. 주목을 받을 수 있고, 침투능력을 인정받을 수 있기 때문입니다. 하지만, 어떤 회사를 목표로 하느냐에 따라서 준비가 다를 것 같습니다. 만약 모의해킹 분야에 집중한다면 대회 준비를 한다거나, 바로 업무에 적용할 수 있는 기술들에 집중하는 게 좋을 것 같습니다. 이와 함께 모의해킹으로 시작으로 해서 조금 더 나아가서 프로세스 문제에 대해서도 생각할 수 있는 전반적인 그림을 볼 수 있는 능력을 키우는 것도 좋지 않을까 생각이 됩니다. 직원 채용과 관련해서는 동아리 활동 등 보안에 대한 적극적인 관심 여부를 중점적으로 살펴보고 있습니다.

CISSP, 정보보안기사 등의 자격증은 이력서에 쓰기는 괜찮을 것 같기는 한데, 신입의 경우 자격증이 그 사람을 판단하는 요소가 되지는 않을 것 같습니다. 덧붙여 비전공자라고 하더라도 문제점에 접근할 수 있는 능력은 전공에 상관이 없다고 생각합니다. 현상을 바라보는 눈을 어떻게 가져가는가 하는 마음가짐과 길을 찾아가는 트레이닝이 잘 되어 있으면 비전공자라고 하더라도 이러한 직업군에 적응하는데 문제가 없을 겁니다. 취업준비를 위해서 자격증을 따고 스펙 준비를 많이 하고 있는데, 이는 하나의 지표는 될 수 있지만 실질적으로는 스펙보다는 면접에서 자신의 그릇을 드러내 보이는 것이 더 중요하지 않을까 생각이 드네요.

모의해킹 직업상의 장·단점은 무엇이라고 생각하시나요?

곽 규 복 차장 - 저는 직업상의 장점은 성취감이라고 생각합니다. 뚫었을 때의 희열은 그 무엇과도 바꿀 수 없는 것 같습니다. 이러한 성취감 때문에 야근을 하는 것이 아닐까요? 반대로 성취감 때문에 야근을 하는 것과 뚫어야 된다는 부담감이 단점이 될 수도 있지만, 이러한 성취감을 얻고자 한다면 이 정도의 부담감은 있어야 되지 않을까라고 생각합니다.

박 태 석 과장 - 저 같은 경우는 새로운 일을 좋아합니다. 매번 새로운 고객을 만나고 새로운 미션을 가지고 하다보니 새롭다는 것이 장점이지만 반대로 고객들보다 많이 알아야 되고 짧은 시간 안에 고객과의 커뮤니케이션 할 수 있는 능력을 갖추어야 되는 부담감이 단점이 될 수도 있습니다.

 ▲ LG CNS 상암 IT센터 종합상황실 모습

모의해킹 업무 프로세스에 대해 간단히 설명해 주신다면?

일단 프로젝트 구축을 할 때부터 고객들이 보안 요구사항을 제안하기 때문에 제안 사항에서부터 보안과 관련된 내용이 포함되어 있습니다. 제한사항 내에서는 분석, 설계, 구현, 테스트 이렇게 단계가 나누어져 있습니다. 분석, 설계 단계에서는 보안요구사항들을 추출하고 각 개발자들에게 교육을 시키고, 구현 단계에서는 코딩을 하다가 50% 정도 구현한 후 소스코드 취약점 점검한 후 보완해서 다시 개발을 마무리하도록 가이드하고 있습니다. 마지막으로 테스트 단계에서는 모의해킹을 수행해서 툴이 아닌 수작업으로 직접 진단을 하고 있습니다. 특히, 소스코드 진단 툴로는 발견하지 못하는 권한관리 취약점 등은 수작업으로 할 때 발견이 됩니다. 이러한 단계를 거친 후에 승인 후 프로세스를 오픈하고 있습니다.

모의해킹 부서의 평소 업무생활을 알 수 있을까요?

모의해킹 업무는 프로젝트 베이스로 진행되기 때문에 각자 고객사에 파견되어 있는 경우가 많습니다. 프로젝트를 끝나고 돌아와서는 프로젝트 결과를 정리하고 전파 교육을 시킬 준비를 합니다. 그 다음 프로젝트에 바로 투입이 될 경우에는 조건에 맞게 다시 준비를 합니다.

혹시 업무 중에 마주치는 어려움이나 업무협조 과정에서의 문제점은 없나요?

가령 컨설팅 후 취약점을 진단하고 나서 큰 건이 나왔는데, PM 입장에서는 개선을 할 테니 고객에게는 말하지 말 것을 요구하는 경우도 있는 등 개발자들과의 커뮤니케이션이 제일 어려운 부분이 아닐까 생각이 됩니다. 개발자 입장에서는 결과물에 대해서 지적을 하는 것이 자존심이 상할 수 있기 때문이죠. 이러한 경우도 컨설턴트의 커뮤니케이션 능력에 달려있지 않나 생각됩니다. 또한, 공공기관의 경우에는 사전에 관제센터에 신고해야 되는데, 그게 부담스러워서 모의해킹 업무를 비공개적으로 탐지 안 되도록 수행하다가 이벤트가 발생해서 난감한 경우도 있었습니다.

기업에서 바라는 인재상은 어떤 것인가요?

주도적으로 문제를 해결하려고 하는 사람을 원합니다. 스킬 등은 회사에서 충분히 가르칠 수 있지만 태도는 본인의 문제이기 때문에 이러한 태도가 매우 중요하다고 봅니다. 스스로 결과를 예측해서 시작도 안하고 안 된다고 선을 긋는 사람보다는 적극적으로 참여하는 사람을 원합니다. 하고자 하는 적극적인 자세가 제일 중요한 것 같습니다. 기업에서는 교육을 시킨 다음 전문가가 되는 것이지 회사에 왔을 때부터 그 사람이 전문가라고 생각하지 않습니다. 그렇기 때문에 입사 후에도 많은 교육을 실시하게 되는 것이고, 그러한 교육을 통해서 스스로 성장해나가고 전문가가 되는 것이라고 보는 거죠. 그렇기에 기업에서 바라는 인재상은 태도나 성격을 중요시할 수밖에 없습니다. 그리고 너무 짧은 시간에 진로를 결정하기 보다는 회사에서 교육을 받으면서 스스로에게 맞는 길을 택할 것을 취업준비생들에게 말해주고 싶네요.

관련 분야에 있어 국가적인 지원이 필요한 부분은 무엇일까요? 

정부정책이 보안이 강화되는 추세로 가고 있기는 하나, 장기적인 시야를 갖는 측면에서는 부족한 부분이 있는 것 같습니다. 정부정책은 짧게 바라보는 게 아니라 5년, 10년을 앞두고 길게 바라봤으면 합니다. 그리고 업무에 종사하는 분들은 공감하겠지만 실제 피부에 와 닿게 느껴지는 부분은 미약한 것 같습니다.

해외 보안전문가들과 이야기를 해보면 그들이 가지고 있는 위상과 국내 전문가들의 위상이 현격히 차이가 나는 것을 알 수 있습니다. 보안사고는 이벤트성으로 끝나는 경우가 많기 때문에 그렇지 않나 생각이 됩니다. 평상시 아무런 문제의식을 가지고 있지 않다가 새로운 공격이 발생됐을 때 그때서야 지금까지 뭐했냐는 반응이 아직도 일반적이죠. 국가 및 기업 차원에서도 학교에 지원을 하는 등 전반적인 보안의식이 향상될 수 있도록 다양한 정책을 강구하는 것이 필요하다고 봅니다.

미래 정보보안의 향후 방향에 대해 설명해 주신다면?

현재 정보보안의 트렌드는 융합 즉, 물리보안과 IT 보안을 합쳐서 융합보안을 추구하는 방향인 것 같습니다. 매출이 한 요인일 수는 있으나 최근 트렌드가 모바일, 모바일 앱, CS(Reversing), 스마트TV, 그 외 사물간의 통신 등 결국에는 편의성을 위해서 만들어진 모든 영역에 대해서 보안성을 고려해야 될 시기가 된 거죠. 클라우드 보안, 스마트폰 보안 등 뭔가 신기술이 나오면 보안이라는 말이 붙어 결국 모두 보안이 요구되는 시대가 온 겁니다. 

마지막으로 취업준비생들에게 바라는 점이 있다면?

사용하는 툴에 현혹되지 말고, 기반이 되는 지식에 초점을 맞춰주었으면 합니다. 이와 함께 항상 호기심을 가지고 그 호기심을 충족시킬 수 있는 문제해결 방법을 키워나간다면 향후 훌륭한 보안전문가로 성장할 수 있으리라 봅니다.
[임종민(ljm4078@gmail.com) / 민세아(msa0309@gmail.com) 객원기자]

카페 소개 : 정보보안기사 카페(다음 정보보안기사 대표 카페)

카페 주소 :http://cafe.daum.net/Security-no1클릭

교재 소개 : 알·기·사(알기쉬운 정보보안기사.산업기사(필기편,실기편))