'중요요소'에 해당되는 글 1

  1. 2009.03.24 The Important Facts of Penetration Test #1 Linked Paths (3)
보안 컨설턴트 or Penetration Tester로서 시간이 거듭하면 할 수록 부딪치는 어려움 중에 하나는 모의해킹에 대한 인식 부족이다. 고객 뿐만 아니라 보안 컨설팅 회사, 심지어는 모의해킹을 수행하고 있는 사람들 조차 잘못된 인식의 틀을 가지고 있는 것이 현실이다. 

잘못된 인식의 틀에서 현재의 모의해킹은 많이 왜곡되어 가고 있는 것 같다. 

그 잘못된 인식 중에 하나는 바로 모의해킹을 '형식'이라는 틀에 고정 시키려고 하는 것이다. 

'해킹'이란 규칙을 깨는 것이고, 문제를 제기하는 것이며, 규정을 위반하는 것이라고 생각한다. 그런데 점점 모의해킹은 정형화되어 가고, 보안 진단과 별반 차이가 없어지고 있다.  보안 진단이란 모의해킹으로 인해 도출되는 다양한 보안 위험 중에서 그 도출 빈도수가 높고, 그 중요도가 높은 것들을 정형화하여, 이를 주기적으로 진단하고 관리하기 위한 것이다. 그런데 요즘은 모의해킹을 수행하는 방향 또는 요구하는 방향을 보면, 모의해킹을 요구하는 것인지 보안 진단을 요구하는 것인지 애매모호한 경우가 많다. 

모의해킹의 중요 요소는 바로 연결 고리를 이어하는 것이다. 즉, 개별적인 취약점들의 상호연관성과 중요도 등이 서로 맞물려서 결과가 나타날 때 모의해킹은 진정한 가치가 있다. 그런데 현실은 이와는 별 관계없이 돌아가는 것 같다. 보안업계에서 모의해킹 전담 또는 팀은 사라져가고, Generalist가 되어가고 있는 것 같다. 따라서 모의해킹은 그 목적과 특징을 충분히 살려서 좋은 결과(예상치 못한 위험이나 금전적 손실 등을 사전에 탐지하고 대응)를 도출하기 보다는, 기계적인 수행을 하고 보안진단과 별반 차이가 없는 점검을 실시하는 경우가 많다. 

애플리케이션이 어떤 기능을 가지고 있는 지 알지도 못하면서, 단순히 기술 위주의 점검을 실시한다.  스캐너의 결과를 단순히 리뷰하는 수준에 그치는 경우도 있다. 이렇게 되다보니 이제는 모의해킹을 단순히 도구(스캐너 또는 특정 공격을 위해 제작된 도구)로 수행하는 것이라고 생각하는 인식들까지 일반화되어가고 있다. 

모의해킹을 제대로 수행하기 또는 적용하기 위해서는 우선 목적이 명확해야 한다. 목적이 애매모호해지거나 두 마리 토끼를 잡으려 하는 것은 자제했으면 하는 바람이다. 앞서도 얘기를 했지만 모의해킹의 중요 요소로서 연결 고리를 잇는다는 것은 다음과 같이 설명할 수 있다. 흩어져 있는 취약점들은 보안 진단을 통해서도 충분히 도출될 수 있는 것들이 많다.(일부는 기존의 취약점 진단 방법론에서 하지 못하는 것도 있다.) 그러나 보안 진단과 모의해킹의 결과는 확연히 다르다는 것을 두 가지 서비스를 받아본 사람이라면 느낄 것이다. 그 차이는 바로 연결 고리에서 나온다. 보안 진단은 개별 시스템에 초점이 맞춰져 있는 반면, 모의해킹은 단계별(정보 수집->권한획득->권한 오용 또는 상위 정보 획득)로 필요한 취약점들을 연결에 연결을 시키는 것이다. 취약점은 굳이 시스템적인 것에 한정되지 않으며, 취약점은 단순히 목적을 이루기 위한 수단에 지나지 않는다.

예를 들어 설명하자면, 서버 A와 서버 B를 대상으로 보안 진단과 모의해킹을 실시했을 경우, 보안 진단에서 아래와 같이 도출된 취약점들이 모의해킹에서는 다른 결과를 나타낼 수 있다는 것이다. 보안 진단의 결과에서는 큰 보안 위험으로 다가오지 않는 결과이지만, 모의해킹을 수행한 결과로서는 매우 심각한 보안 위험이었음을 알 수 있다. (아래와 유사한 사례를 직접 경험한 적이 있음을 강조하고자 한다.) 
  • 보안진단
    • 서버 A: 불필요한 서비스 존재 
    • 서버 B: 불필요한 파일 존재
  • 모의해킹
    • 서버 B에서 획득한 정보를 바탕으로 서버 A의 telnet 서비스를 통해 시스템 관리자 권한을 획득하고, 신뢰 관계에 있는 서버 B의 일반 계정을 획득함.
모의해킹의 중요 요소인 '연결 고리'에 대해 문제를 제기하는 수준에서 이 글은 마감을 하고, 다음 글엔 바람직한 모의해킹 수행 방안을 얘기해보고자 한다. 

PS. 이전에도 언급을 했지만 이 글은 보안 진단과 모의해킹 중 어느 것이 낫다는 것을 말하고자 하는 것이 아니다. 보안 진단은 보안 진단으로서의 장점과 역할이 있으며, 모의해킹은 모의해킹으로서의 장점과 역할이 있다. 이를 충분히 알리고 컨설턴트는 컨설턴트로서 제대로 된 서비스를 하고 고객은 이를 통해 안전한 서비스 제공을 할 수 있었으면 하는 바람이다. 
신고
이전 1 다음

티스토리 툴바