본문 바로가기

IT,컴퓨터 이야기

모의 해킹의 정의와 종류 알아보기

대부분의 개인 및 기업들에게 '해킹'이라는 단어는 부정적인 인상을 줍니다. 많은 사람이 이용하는 공공기관이나 대형 기업체가 해킹 피해를 입으면 불특정 다수가 함께 불편을 겪고 언론에 보도되는 등의 일이 여러 차례 일어났기 때문인데요. 그런데 간혹 대규모 데이터를 관리하는 기업 등에서는 오히려 비용을 지불하고 '자신들을 해킹해달라'고 의뢰하기도 한다는 사실을 알고 계셨나요? 오늘은 모의 해킹에 대해 알아보겠습니다.

 

해킹이란

해킹(Hacking)이란 어떤 프로그램의 잠금장치 역할을 하는 락 알고리즘(Lock Algorithm)을 해제해서 해당 프로그램의 정보를 알아내거나, 프로그램 자체를 변화시키는 행동을 말합니다. 일반적으로 느끼는 어감과는 달리, 해킹 자체는 경우에 따라 타인에게 피해를 주는 행동이 아닐 수도 있습니다.

 

반면 해킹을 통해 불순한 의도로 프로그램에 접근해서 중요한 정보를 탈취하거나, 원래 사용자가 의도대로 사용할 수 없게 만드는 등의 행동을 두고 크래킹(Cracking)이라고 부릅니다. 흔히 떠올리는 '나쁜 해킹'은 크래킹에 해당하는 행동입니다. 다만 정보보안 전문가가 아니라면, 일상 생활에 영향을 줄 정도의 해킹이 대부분 크래킹에 해당하기 때문에 두 행위를 명백히 구분하여 사용하지는 않는 상황입니다.

HACKER_IMAGE

모의 해킹이란

정리하자면, 해킹과 크래킹은 정보보안 전문가 관점에서는 다른 의미이지만 일상 생활에서는 유사한 단어로 사용되고 있습니다. 이번 포스팅에서 다루는 '모의 해킹' 역시 명확한 의미를 구분한다면 '모의 크래킹'이라는 의미에 더욱 가깝습니다. 

 

그렇다면 이 모의 해킹이 무엇인지, 왜 모의 해킹을 하는지에 대해 살펴봅시다.

 

모의 해킹의 정의

모의 해킹, 혹은 침투 테스트(Penetration Test)란 특정 기업 또는 단체가 자신들의 보안 취약점을 테스트하기 위해 시행하는 일종의 보안 점검입니다. 

 

자신들의 보안성을 테스트하기를 원하는 기업이나 단체(이하 고객)이 IT,보안 전문가로 구성된 단체(이하 해커)에게 모의 해킹을 의뢰하면 해커는 고객의 허락 하에 고객의 시스템에 침투하고, 해킹을 시도합니다. 

 

이 과정을 통해 해커는 고객의 시스템의 취약점을 탐색하고, 내부 중요 데이터에 도달할 수 있는 우회 경로를 비롯한 접근 방법이 있는지 테스트합니다. 그리고 모의 해킹에서 확인된 취약점을 고객에게 전달해서 보안 취약점을 개선할 수 있도록 돕습니다.

모의 해킹의 목적

모의 해킹의 주요 목적은 기업 및 공공기관 등 대량의 데이터를 다루는 단체에서 보호가 필요한 데이터(개인정보, 사업 계획 등)를 적절하게 보호하고 있는지 확인하기 위해 자신들의 보안성과 안전성을 사전에 검증하는 것입니다.

 

모의 해킹 전문가들은 일반적인 보안 점검에서 발견되지 않는 특수하고 예외적인 보안 취약점을 발견하기 위한 전문성을 중요시하며, 쉽게 발견하기 힘든 취약점들을 탐색해 고객에게 전달하는 것을 목표로 합니다.

모의 해킹의 종류

모의 해킹은 크게 2가지 방식으로 진행됩니다. 시나리오에 기반한 모의해킹과 블랙박스 기반의 모의해킹이 그것입니다.

1. 시나리오 기반 모의해킹

시나리오 기반 모의해킹은 이름대로 사전에 준비된 특정 시나리오에 의해 진행되는 모의해킹을 의미합니다. 

일반적으로 해커들에게 대상에 대한 다양한 정보가 사전에 제공되며, 블랙박스 기반 모의해킹에 비하면 다소 낮은 강도로 해킹이 진행됩니다. 또한 상대적으로 모의 해킹 진행 기간이 짧은 편입니다.

 

주로 의뢰 단체가 새롭게 구축한 시스템의 보안성을 테스트하고자 할 때 자주 활용되는 기법으로, 모의 해킹 시나리오에 해당 시스템에 관한 내용이 포함되어 진행됩니다.

2. 블랙박스 기반 모의해킹

블랙박스 기반 모의해킹은 사전에 제공되는 정보 없이 진행되는 모의 해킹으로, 해커들은 외부에서 침투하는 악성 해커들과 동일한 관점에서 자유롭게 해킹을 시도합니다.

 

모의해킹에 참여한 해커의 역량에 따라 결과에 많은 차이가 있으며, 해커의 역량이 높을수록 전혀 예상하지 못한 취약점이 발견될 수 있다는 특징이 있습니다. 또한 상대적으로 모의 해킹 기간은 긴 편이며, 깊이 있는 모의 해킹을 진행하고자 하는 경우 자주 선택됩니다.

 

모의 해킹의 필요성

한편, 과거에는 대량의 데이터를 다루는 단체에서도 보안 사고에 대한 경각심이 그다지 높지 않아 모의 해킹과 같은 IT 보안 전문가를 통한 보안 컨설팅에 대한 수요가 낮은 편이었던 데 반해 최근에는 그 수요가 급격히 오르고 있습니다.

 

이는 해외는 물론이고 국내에서도 정보 보안 사고가 급증하면서 현실적인 피해가 발생한 것이 가장 큰 이유로 여겨집니다. 국내에서는 2019년도에 국민 포털 '네이버'가 해킹으로 인해 개인정보가 유출되는 피해가 발생한 바 있고, 가상화폐 거래소인 '업비트'에서는 거래소 내에 보관된 가상화폐가 해킹되면서 580억원 규모의 자산 피해를 입은 바 있습니다.

 

이렇듯 보안 취약점으로 인한 피해가 눈에 보일 정도로 커지자 각 기업 및 기관에서도 보안사고에 의한 피해에 대한 경각심이 커지며 전문가를 통한 보안 컨설팅을 의뢰하는 사례가 늘어나고 있습니다.

 

이에 따라 국내 보안 컨설팅 업체도 늘어나는 의뢰에 대응하기 위해 정보보안 전문가들을 지속적으로 채용하는 추세이며, 현재 기준으로 에스케이쉴더스, 큐비트시큐리티, 라스컴, 시큐위즈, 시큐어플러스 등 다양한 업체에서 채용공고를 게시한 상태입니다.