요즘 보안프로젝트 소속의 일원으로 강의도 듣고 연구활동도 수행하고 있다. 그러다보니 조정원(ngnicky)님의 저서를 많이 접하게 된다. 이번에 리뷰할 책은 위키북스에서 출간한 '모의해킹이란 무엇인가?'이다.

이 책을 읽고자하는 분들에게 미리 알려드릴 점이 있다면, 이 책은 모의해킹(Penetration test)을 어떻게(HOW)할 것인지를 기술적으로 설명하기보다는, 무엇(WHAT)인가에 초점이 맞추어져 있다. 만약 실질적으로 모의해킹을 어떻게 수행하는지에 대한 내용이 궁금하다면 <칼리 리눅스와 백트랙을 활용한 모의해킹>, <Nmap NSE를 활용한 보안 취약점 진단> 등이 더 도움이 될 것이다.


이 책은 모의해킹분야로 진로를 고민하고 있는 분들의 질문을 토대로 저자가 답변하는 형식을 취하고 있다. 서문의 작가의 말에서 '이 답변들이 정답은 아니며, 시간이 지난 후엔 또 다른 답변이 가능할 것이다.'고 언급하셨다. 이 책은 2014년에 초판이 출간되었는데, 그 이후에도 저자의 블로그에서 추가적인 질문과 답변이 계속 업데이트되고 있다. 특히 최근에는 모의해킹과 관련한 질문을 수렴하는 이벤트를 진행하신 것으로 보아, 조만간 개정판 소식을 기대해도 좋을 것 같다. 독자의 의견을 끊임없이 청취하고 계속해서 새로운 정보들을 공유해주시는 작가님께 참으로 존경의 마음을 드린다. 나도 간간히 블로그에 컨텐츠를 올리는 사람으로써 참 본받고 싶은 작가님이시다.


모의해킹 컨설턴트로 종사하시다보니 직접 경험하신 에피소드 위주로 글을 풀어가시는 것이 참 흥미롭고 어렵지 않아서 틈틈이 쉽게 읽을 수 있었다.


질문들 중 "매년 진단을 받는데 취약점은 모두 제거되나요?"(80page), "모의해킹과 컨설팅 업무를 같이 하나요?"(88page) 등을 읽어보면 단순히 원론적인 차원의 정답만 제시하는 것이 아니라, 현실적인 어려움을 잘 설명하고 있다. 법이나 정책이 추구하는 것은 상당히 이상적이므로 실제로 업무의 현장에서는 이를 완벽히 지켜내기가 쉽지 않다는 것이다. 이는 직접 경험해보지 않으면 느낄 수 없는 부분이다. 나는 모의해킹을 해본적은 없지만 당해본적은 많다. 나는 대학에서 컴퓨터공학을 전공하고 공군장교로 입대하여 전산실에서 복무했는데, 그때의 경험이 새록새록 떠올랐다. 당시의 나는 프로그래머로써의 지식만 있었지, 보안에 대해서는 무지했었다. 군 전산소는 주요정보통신기반시설이므로 법령 및 군사보안업무훈령에 의거하여 반기/분기마다 정보보호조치(일명 취약점 점검)을 수행한다. 관련 조직은 보안상 자세히 밝히기는 어렵지만 대략 기무사, 사이버사령부, 공군의 경우 7전대 사이버기술통제실 등에서 취약점 점검 요원이 파견되어 각 부대를 조사한다. 민간의 경우 모의해킹이 결국 돈으로 계약된 갑-을 관계의 컨설팅 형태로 진행되므로 관리자 재량으로 모종의 합의(?)를 통해 수위를 조절할 수 있겠지만, 군대는 어차피 서로 돈받는 것도 아니고 자신의 실적을 위해서만 투입되는 느낌이 강했다. 보이지 않게 사내정치(?)의 영향도 매우 컸다. 진급을 앞둔 부서장에겐 모든 이슈 하나하나가 민감한 사안이었다. 당시 내가 개발했던 프로그램이나 운영서버는 순식간에 취약점이 드러나 처참하게 무너지고 말았다. 그날 실장님께 엄청난 질책을 받고나서 보안을 공부해야겠다는 생각에 시큐어코딩 가이드와 OWASP 등을 찾아보게 되었다. 그렇게 보안조치를 수행한 프로그램은 사이버사령부의 후속 평가에서 우수기관 등급을 받을 수 있었다. 그것이 계기가 되어 독학으로 보안을 공부하여 정보보안기사를 취득할 수 있었고, 전역 후부터 보안쪽으로 시선을 돌려 현재에 이르게 되었다.


책에서 특히 인상깊은 부분은 "쇼핑을 잘해야 모의해킹도 잘한다"(113-117page)였다. 모의해킹을 할 때 취약점 진단 가이드라는 목록을 가지고 와서 단순히 리스트에 있는 것만 형식적으로 하는 경우를 많이 경험하였다. 이때는 방어하는 입장에서도 가이드에 나와있는 것만 적당히 떼우려는 눈가리고 아웅식의 대처를 하기가 쉬웠다. 그러나 제대로된 모의해킹이라면 껍데기만 두드려보는게 아니라 알맹이를 찌를 수 있어야 한다. 특히 쇼핑몰의 경우 직접 쇼핑몰을 사용해본 사람이라면 그것에 대한 평소의 경험이 폭넓은 이해로 연결되는 덕분에 더욱 다양한 공격 시나리오를 제공해 줄 것이다. 또한 어느정도의 경지에 이르면 "오감으로 진단한다"(128page) 부분에서도 나타나듯이, 일명 '찍신'이 임하여 공격에 성공할 수 있을지도 모르겠다. 


보안 직종은 어떤 순서로 옮겨가야 하나요? (231page)
보안 직종은 어떤 순서로 옮겨가야 하나요? (231page)

이 책의 마지막 부분은 모의해킹 분야로 취업을 준비하는 사람들을 위한 조언이 담겨있다. 정보보안 분야에서 널리 알려져있는 인식, 예컨대 신입땐 관제/서트 교대근무를 수행하며 좀 빡세게 살다가 어느정도 짬(*경력)이 채워지면 컨설팅이나 관리직으로 이직해야 한다는 그런 통설에 대해 반론을 제기한다. 물론 취업이 어려운 현실이므로 이러한 접근법이 발생한 상황도 이해는 되지만 모범답안은 아닌 것이다. 먼저 자신이 희망하는 업무가 무엇인지를 정확히 깨닫고, 그 분야의 선배를 만나 조언도 듣고 작은 경험들을 포트폴리오 삼아 취업에 시도하는 것이 좋을 것이다. 


나는 현재 대학원(석사) 과정에 재학중이다. 책에 따르면 학위가 꼭 중요한 것은 아니지만(260page), 나 스스로는 연구자로써의 지금 삶이 적성에 나름 잘 맞는 것 같아서 크게 만족하고 있다. 사실 취업과 관련하여서도 대학원 장학조건으로 채용이 계약된 상황이어서 다른 친구들에 비해 구직 자체가 절박하지는 않다. 그렇지만 해당 기업에 입사한후 보안을 주업무로 하는 부서에서 일하고 싶은 마음이 간절한 상황이다. 이 책에서 '스페셜리스트'와 '제너럴리스트'에 대해 언급한 구절(134page)이 나에게 정말 결정적인 메시지로 들려왔다. 그래서 책을 다 읽어보니 어쩌면 나는 오히려 모의해킹에는 적합하지 않은 사람일수도 있다는 생각이 들었다. 모의해킹이나 컨설팅 방면으로는 아직 배경지식이나 실력이 많이 부족함을 깨달았고, 결정적으로 흥미가 별로 생기지 않는다는 걸 깨닫게되었다. 그에비해 나는 디지털포렌식이나 침해사고대응, 소프트웨어 취약점진단 분야에 더 깊은 관심이 간다. 이제 나는 남은 대학원기간동안 우선 '스페셜리스트'가 되고자 한다. 그리고 이후 기업에서 업무 역량을 쌓다보면 언젠가 다른 분야로도 변화를 시도하여 영역을 넓힐 수 있으리라 기대해본다. 너무나 좋은 책 덕분에 큰 진로 고민에서 짐을 하나 덜었다. 


여러분에게도 추천드립니다!

위키북스 : 모의해킹이란 무엇인가(질문과 답변으로 쉽게 배우는 해킹/보안 실무)

CPUU님의 창작활동을 응원하고 싶으세요?