2024.05.12 (일)
모의해킹, 금융·공공분야 도입 활발
해커 인력 부족 심각, 업체 간 ‘인력 품앗이’ 성횡
최근 국내 모의해킹 시장은 매년 15%가량 성장세를 보이고 있다.
모의해킹은 금융권과 공공분야에서 도입이 가장 활발하며 온라인 게임사나 쇼핑몰 등 주로 웹 서비스를 많이 하는 기업들도 개인정보 유출에 관한 모의해킹을 요구하고 있다. 특히 금융권의 경우 금융감독원 규정에 따라 연 2회 취약점 진단 및 모의해킹을 수행하도록 하고 있다. 공공기관들도 정보통신기반보호법에 의해 주요정보통신기반시설에 대해 2년마다 모의해킹 등 정보보호 컨설팅을 실시하도록 의무화돼 있어 적극적인 움직임을 보이고 있다.
최근에는 모바일 분야 모의해킹이 증가하고 있으며 가상화, 클라우드, 스마트TV, 스카다(SCADA) 등 새로운 플랫폼이나 디바이스는 물론, 냉장고, 세탁기, 자동차를 스마트폰으로 제어할 수 있는 신기술 등 새로운 영역에 대한 모의해킹 요구가 증가하고 있다.
연보라 기자 bora@ciociso.com
기술개요
1. 시장동향
2. 기술동향
3. 각 사별 솔루션 특징 (NSHC, 안랩, A3시큐리티)
1. 시장동향
200억 원 규모 시장, 매년 15% 이상 성장세
모의해킹은 인가받은 해킹 전담 컨설턴트에 의해 실제 해커가 사용하는 해킹 도구와 기법 등을 이용해 대상 정보 시스템으로의 침투 가능성을 진단하는 선의의 해킹(ethical hacking)이다. 또한 취약점 분석을 넘어 내부 시스템에 어느 정도까지 침투할 수 있고 어떤 정보나 시스템의 관리 권한을 불법적으로 획득할 수 있는지, 그리고 각 진단 모듈에서 발견된 취약점들이 어떻게 해킹에 이용되는지 등을 점검한다. 모의해킹은 일반적인 취약점 분석과는 차이가 있는데, 취약점 분석이 체크리스트를 기반으로 시스템 전체에 대한 모든 취약점을 찾아낸다면 모의해킹은 특정 대상에서 발견된 취약점을 이용해 실제 침투가 가능한지를 시도해보는 것이다.
취약점 분석은 자동화 툴을 이용해 취약점을 도출해내는 방식이지만 모의해킹은 해커가 직접 수동으로 작업을 해야 한다. 때에 따라 자동화 툴을 사용하기도 하지만 제한적인 활용이다.
취약점 분석과 모의해킹은 목적이 다른 만큼 결과도 다소 차이가 있다.
예를 들면 두 개의 서버에 대한 취약점 분석을 통해 A서버에는 취약점이 있고 B서버에는 취약점이 없는 것으로 판명 났다면, 모의해킹 관점에서는 A서버를 통해 B서버로 접근할 수 있으므로 B서버에도 취약점이 있다는 결론이 나온다.
따라서 취약점 분석을 선행한 후에는 보완적인 측면에서 모의해킹을 실시하는 것이 바람직하다.
최근 국내 모의해킹 시장은 꾸준하게 늘어나고 있어 중요한 시스템에 대해서는 모의해킹이 필수적으로 포함되는 추세며 매년 15%가량 성장세를 보이고 있다.
모의해킹은 다른 컨설팅 프로젝트에 포함돼 있는 경우가 많기 때문에 정확히 시장규모를 산정하기는 힘들지만 약 180~200억 원 수준이라고 업계는 추산한다.
다른 보안 분야와 마찬가지로 모의해킹도 금융권과 공공분야에서 도입이 가장 활발하다. 더불어 개인정보보호법과 관련해서 온라인 게임사나 쇼핑몰 등 주로 웹 서비스를 많이 하는 기업들이 개인정보 유출에 관한 모의해킹을 요구하고 있다.
모의해킹 체크리스트 모의해킹 업체를 선정할 때 가장 중요한 것은 업체 신뢰성이다. 기업의 주요 정보를 다루므로 유출의 위험성이 있기 때문이다. 또한 실제 해킹을 시도하는 모의해커들의 신뢰도도 중요하므로, 해당 업체의 모의해커들의 이직률도 고려해야 한다. 이직 후 문제가 발생할 수 있기 때문이다. 지식정보보안 컨설팅전문업체의 경우 모든 인력을 지경부에 등재하도록 돼 있어 명확한 신원을 파악할 수 있다. 또한 모의해킹 전문 업체가 변화하는 해킹 수법이나 트렌드를 충분히 연구하고 지원해줄 수 있는 연구기반이 갖추어져 있는가도 살펴야 한다. 더불어 사전에 업체가 보유한 취약점 진단 체크리스트 샘플을 받아보고 수행능력을 가늠하고 확인하는 작업이 필요하다. 수행 경험이 많은 업체일수록 체크리스트가 보다 섬세하고 전문성이 높을 것이다. 모의해킹 업체들에 따르면 고객사 중 간혹 있는 그대로를 오픈하지 않고 자신이 없는 부분은 시스템을 폐쇄해 놓는 등의 경우가 있다. 혹은 치명적인 결과에 대해서는 상위에 순화시켜 보고해달라는 담당자들의 요청이 더러 있다. 모의해킹 전문 업체 담당자는 “모의해킹을 시도하러 찾아가면 ‘지적하러 왔다’, ‘업무에 방해가 된다’는 식으로 귀찮아하는 담당자들도 있다”면서 “모의해킹의 목적을 바로 아는 마인드세팅이 필요하다”고 지적했다. 또 테스트에 필요한 계정 정보 제공이나 모의해킹 대상 선정 등 고객사에서 협조해줘야 할 부분들이 제때 신속히 피드백이 되어야 더 좋은 퍼포먼스를 낼 수 있다고 조언했다. |
2. 기술동향
모바일, 클라우드, 스마트TV, SCADA 등 새로운 영역으로 확대
모의해킹은 크게 외부 관점의 해킹과 내부 관점의 해킹으로 구분된다. 외부 관점의 해킹은 말 그대로 외부에서 공격하는 형태의 해킹이며, 내부 관점의 해킹은 내부 직원이 정보를 유출하기 위해 시도하는 해킹이다.
사용하는 기술은 다르지 않지만 외부 관점의 해킹은 기반 정보를 전혀 모르는 상태에서 시도하는 것이고, 내부 관점 해킹은 ID/PW나 어떤 서비스가 있는지 등 어느 정도 정보를 갖고 있기 때문에 외부 관점에서 보기 힘든 부분들을 더 많이 볼 수 있다. 최근에는 APT와 같이 내부에 악성코드가 잠복해 있다가 공격하는 사고들이 발생해 금융권을 중심으로 이러한 외부 관점과 내부 관점이 혼합된 형태의 해킹에 대한 요구가 늘어나고 있다.
또한 모의해킹은 타겟에 따라 분류할 수 있다. 특정 회사의 네트워크에 침입하는 ‘네트워크 해킹’, 서비스하고 있는 웹 사이트에 대한 ‘웹 해킹’, 모바일 앱에 대해 진행하는 ‘모바일 해킹’ 등이다. 최근 모의해킹의 가장 큰 이슈는 모바일 분야의 모의해킹이 많아지고 있다는 것이다. 더불어 가상화, 클라우드, 스마트TV, 스카다(SCADA) 등 새로운 플랫폼이나 디바이스는 물론, 더 나아가 냉장고, 세탁기, 자동차를 스마트폰으로 제어할 수 있는 신기술 등 새로운 영역에 대한 모의해킹 요구가 추가되고 있는 추세다.
모의해킹은 특정 기술로 한정돼 있지는 않다. 웹 서버에 파일을 올려 시스템을 장악하거나 인증을 우회하는 등 해커들마다 천차만별의 기술들이 사용되고 있다.
해커들은 때로 진단 툴을 일부 활용해 전체적인 사이트 구조를 파악하고 어떤 취약점이 있는지 도출해내는 데 사용하기도 한다. 또 특정 취약점에 대해서만 공격해주는 무료 툴도 있다.
3. 각 사별 솔루션 특징
NSHC - “언더그라운드 해커로 출발해 모바일 앱 분야 선두주자로”
안랩 - “별도 연구조직 ASEC 통해 전문성 제고”
A3시큐리티 - “1천 건 이상 프로젝트 수주의 노하우 집약”