인터뷰 - 현대오토에버의 화이트 해커

인터뷰 - 현대오토에버의 화이트 해커

l 현대오토에버를 지키는 미모의 화이트해커, 명가영 대리 

“질병을 잘 막아내는 사람이라면, 다른 이들을 몰래 병들게 하는 데도 능하겠지요?” 플라톤의 <국가>에 나오는 말입니다. 플라톤은 ‘의사’를 두고 한 말이지만, 요즘 컴퓨터 보안에 적용해 보면 마치 해커와 화이트 해커 이야기 같습니다. 웹사이트를 공격하는 해커, 똑같은 능력을 가졌지만 해커로부터 웹사이트를 지키는 화이트 해커. 그들은 어떻게 해킹 능력으로 해킹을 막아내는 걸까요? 

화이트 해커가 되기까지 

l 겉으로 문제 없어 보이는 사이트도 이리저리 우회해보면 취약점이 보입니다 

화이트 해커, 다른 말로 정보보안 전문가. 모의로 시스템을 해킹해서 블랙 해커가 공격하기 전에 취약점을 찾아내는 사람들입니다. 현대오토에버 명가영 대리는 어떻게 화이트 해커가 되었을까요? 

“중학교시절 해킹이 굉장히 멋있어 보였어요. 시스템을 우회하고 공격하는 해킹기술과 그걸 찾아내서 방어하는 기술. 시스템의 취약점을 누가 먼저 찾아내느냐의 싸움이에요. 그래서 학원도 다니면서 컴퓨터 공부를 열심히 했고, 대학전공도 컴퓨터공학을 선택했어요.” 

4학년이 되면서 본격적으로 보안 분야에 입사를 준비했다는 그녀. 보안 스터디를 만들어서 함께 공부한 것이 도움이 됐다고 합니다. 

“정보도 공유하고, 모르는 게 있으면 물어서 배우기도 했어요. 같이 해킹 연습도 해보면서요. 그렇게 모의해킹 업무를 시작하게 됐고, 벌써 6년째 같은 업무를 하고 있습니다.” 

화이트 해커가 해킹하는 법 

l “이리저리 우회해보면, 패스워드 없이 로그인 가능한 사이트들이 있어요” 

모의해킹의 대상은 매년 정기적으로 진단하는 운영시스템 혹은 신규 시스템입니다. 시스템을 하나 담당하게 되면 보통 일주일정도 잡고 취약점을 찾아낸다고 합니다. 

“우선 접속할 수 있는 계정을 받고, 정상적으로 접속되는지 확인해요. 모의해킹을 수행할 기간과 IP를 미리 알려줘야 해요 그래야 공격이 들어와도 놀라지 않을 테니까요. 안 그러면 범죄죠.” 

본격적으로 모의해킹을 시작하면, 일단 로그인 인증우회를 해본다고 합니다. 아이디와 패스워드를 몰라도 로그인을 할 수 있는지 보는 것입니다. 

“로그인 창에 싱글쿼터(‘)나 더블쿼터(“) 등의 특수문자를 넣어봐요. 이런 특수문자에 대한 반응차이가 존재하면 명령어를 변경시킬 가능성이 있거든요. 이 때 실제 명령어 조작이 가능한지 우회 구문을 사용하다보면, 취약한 시스템은 계정정보 없이도 로그인이 가능합니다. 결국, 타인의 권한으로 시스템 접속에 성공할 수 있죠. 그래서 개발단계에서 시큐어코딩(취약점을 차단하는 보안코드 프로그래밍)을 해야 돼요. 특수문자에 대한 필터링 만으로도 이런 문제에 대한 해결이 가능해요.” 

화이트 해커에게 필요한 역량 ① 꼼꼼함 

l 작은 빈틈도 보안사고로 이어질 수 있으니 꼼꼼함이 중요합니다 

작은 빈틈도 보안사고로 이어질 수 있습니다. 그래서 화이트 해커에게는 사소한 것도 놓치지 않는 꼼꼼함이 제일 중요합니다. 하지만 사람이 하는 일인지라, 완벽할 수는 없다고 하네요. 명가영 대리도 과거에 아찔했던 기억이 있다고 합니다. 

“모의해킹은 실제 운영되는 시스템을 진단하는 거니까 절대 위험한 공격을 해선 안돼요. 그런데 실수로 진단 사이트의 데이터베이스 내용이 전부 삭제된 적이 있었어요. 사이트가 너무 취약해서 이것저것 시도하다 보니 저도 모르게 들떠버린 거죠. 깜짝 놀라서 바로 보고 드렸고, 다행히 받아놨던 자료가 있어서 수작업으로 하나씩 올려서 복구했어요. 거대한 사이트였으면 큰일 날 뻔했죠. 같은 실수를 반복하지 않기 위해 지금도 조심하고 있어요.” 

화이트 해커에게 필요한 역량 ② 성실함 

l “다양한 시스템을 접할 수 있다는 점이 현대오토에버의 큰 장점이예요” 

화이트 해커에게 성실함이란, 꾸준히 공부해서 신기술 동향을 파악하는 것입니다. 모의해킹을 해야 할 사이트는 끝이 없고, 빽빽한 일정에 맞춰서 업무를 처리합니다. 그러다 보면 공부를 소홀히 하기 쉽다고 하네요.

“제가 처음 모의해킹 업무를 시작했을 땐, 웹 시스템이 대부분이었어요. 그런데 1~2년 사이에 모바일 보안 부문이 많이 커졌죠. 요즘엔 더 빠른 속도로 사물인터넷(IoT) 보안이 대두되고 있어요. 웹뿐만 아니라 사물인터넷 등 다양한 시스템에 대한 준비가 필요합니다. 미리 신기술 동향을 파악하여 취약점을 찾아내야 해커보다 한발 빠르게 대응할 수 있겠죠. 그런 면에서 현대오토에버는 다양한 시스템을 빠르게 접근해볼 수 있다는 게 큰 장점입니다.” 

화이트 해커에게 필요한 역량 ③ 실전 경험 

l “직접 사이트를 구축해서 해킹을 연습하는 게 제일 좋죠” 

마지막으로, 화이트 해커에게 가장 필요한 역량이 있습니다. 바로 실전 경험입니다. 하지만 약속 없이 사이트를 공격하면 곤란합니다. 그건 범죄니까요. 

“해킹을 공부하다 보면, 호기심이 많아지는 것도 사실이에요. 아무 사이트에나 특수문자를 넣어보고 싶겠지만 절대 안돼요. 대신에 해킹을 공부하는 사람들을 위해서 연습용으로 만들어진 사이트가 있어요. 또 워 게임 사이트라고 해서, 문제를 풀면서 공부할 수 있는 사이트도 있죠. 제일 좋은 방법은 직접 사이트를 하나 구축하는 거에요. 그걸 공격해보고 다시 보완하면서 연습하는 거죠.” 

최근에는 보안에 관한 자격증을 준비하는 사람도 많다고 합니다. 가장 많이 준비하는 국제 공인 자격증인 CISSP과 CISA가 있는데, 응시자격은 누구에게나 있지만 실무 경력이 있는 사람에게만 정식 자격증이 발급됩니다. 한편, 현대오토에버에서는 CEH(윤리적 해커)라는 자격증을 반드시 취득해야 한다고 합니다. 이런 자격증 들도 커리어에 도움이 된다고 하니, 화이트 해커 직무에 관심 있다면 준비해도 좋을 것 같습니다. 

---

출처 - http://blog.hyundai.co.kr/Group-Story/Social-Response/hyundai-white-hacker.blg#.WIWKWbE_reQ