윤리적 해킹이란?

윤리적 해커는 악의적인 해커와 동일한 스킬을 가지고 동일한 도구와 전술을 사용하지만, 항상 네트워크나 사용자에게 해를 끼치지 않고 네트워크 보안을 개선하는 것을 목표로 합니다.

윤리적 해킹은 여러 면에서 실제 사이버 공격의 리허설과 같습니다. 조직은 윤리적 해커를 고용하여 컴퓨터 네트워크에 대한 모의 공격을 시작합니다. 이 공격에서 윤리적 해커들은 실제 사이버 범죄자들이 네트워크에 침입하는 방법과 네트워크에 침입하면 어떤 피해를 입힐 수 있는지 시연합니다.

조직의 보안 분석가는 이 정보를 사용하여 취약점을 제거하고 보안 시스템을 강화하며 민감한 데이터를 보호할 수 있습니다.

'윤리적 해킹'과 '침투 테스트'는 때때로 같은 의미로 사용됩니다. 하지만 침투 테스트는 윤리적 해커가 사용하는 방법 중 하나일 뿐입니다. 윤리적 해커는 취약점 평가, 멀웨어 분석 및 기타 정보 보안 서비스도 수행할 수 있습니다.

윤리적 해커는 자신의 행동이 기업에 해가 되기보다는 도움이 되도록 엄격한 윤리 강령을 따릅니다. 국제 전자 상거래 컨설턴트 위원회(EC Council)와 같이 윤리적 해커를 교육하거나 인증하는 많은 조직에서는 자체적으로 공식적인 윤리 강령을 발표합니다. 명시된 윤리는 해커나 조직에 따라 다를 수 있지만 일반적인 가이드라인은 다음과 같습니다.

• 윤리적 해커는 자신이 해킹하는 기업으로부터 허가를 받음: 윤리적 해커는 자신이 해킹하는 조직에 고용되거나 해당 조직과 파트너 관계를 맺습니다. 이들은 기업과 협력하여 해킹 타임라인, 사용 방법, 시스템 및 자산 테스트 등 활동 범위를 정의합니다. 
• 윤리적 해커는 해를 끼치지 않음: 윤리적 해커는 자신이 해킹하는 시스템에 실질적인 피해를 주지 않으며, 발견하는 민감한 데이터를 훔치지도 않습니다. 화이트햇 해커가 네트워크를 해킹하는 것은 실제 사이버 범죄자가 할 수 있는 일을 보여 주기 위한 것일 뿐입니다. 
• 윤리적 해커는 조사 결과를 기밀로 유지함: 윤리적 해커는 취약점과 보안 시스템에 대해 수집하는 정보를 해당 기업에만 공유합니다. 또한 기업이 이러한 조사 결과를 사용하여 네트워크 방어를 강화할 수 있도록 도와줍니다.
• 윤리적 해커는 법의 테두리 안에서 활동함: 윤리적 해커는 합법적인 방법만을 사용하여 정보 보안을 평가합니다. 이들은 블랙햇 해커와 어울리거나 악의적인 해킹에 가담하지 않습니다.

이 윤리 강령과 관련하여 두 가지 다른 유형의 해커가 있습니다.

'블랙햇 해커'라고도 불리는 악의적인 해커는 개인적 이익, 사이버 테러 또는 기타 목적으로 사이버 범죄를 저지릅니다. 이들은 컴퓨터 시스템을 해킹하여 민감한 정보 또는 자금을 훔치거나 운영을 방해합니다.

'그레이햇 해커'라고도 불리는 이러한 해커는 윤리적인 목적을 위해 비윤리적인 방법을 사용하거나 법의 테두리 밖에서 활동하기도 합니다. 그 예로는 익스플로잇을 테스트할 수 있는 권한 없이 네트워크나 정보 시스템을 공격하는 경우 또는 벤더가 수정할 예정인 소프트웨어 취약점을 공개적으로 악용하는 경우를 들 수 있습니다. 이러한 해커는 좋은 의도를 가지고 있지만, 자신의 행동을 통해 악의적인 공격자에게 새로운 공격 벡터를 제공할 수도 있습니다.

윤리적 해킹은 합법적인 진로입니다. 대부분의 윤리적 해커는 컴퓨터 과학, 정보 보안 또는 관련 분야의 학사 학위를 가지고 있습니다. 이들은 Python 및 SQL과 같은 일반적인 프로그래밍 및 스크립팅 언어를 잘 아는 경향이 있습니다.

이들은 Nmap과 같은 네트워크 스캔 도구, Metasploit과 같은 침투 테스트 플랫폼, Kali Linux와 같은 특수 해킹 운영 체제 등 악의적인 해커가 사용하는 것과 동일한 해킹 도구 및 방법론에 능숙하며 계속해서 스킬을 쌓습니다.

다른 사이버 보안 전문가와 마찬가지로 윤리적 해커는 보통 자신의 스킬과 윤리에 대한 헌신을 입증하기 위해 자격 증명을 취득합니다. 많은 경우 윤리적 해킹 과정을 수강하거나 해당 분야에 특화된 인증 프로그램에 등록합니다. 가장 일반적인 윤리적 해킹 인증은 다음과 같습니다.

• 공인 윤리적 해커(CEH): 국제 사이버 보안 인증 기관인 EC-Council에서 제공하는 CEH는 널리 인정받는 윤리적 해킹 인증 중 하나입니다.

• CompTIA PenTest+: 이 인증은 침투 테스트 및 취약점 평가에 중점을 둡니다.

• SANS GIAC 침투 테스터(GPEN): PenTest+와 마찬가지로 SANS Institute의 GPEN 인증은 윤리적 해커의 침투 테스트 스킬을 검증합니다.

윤리적 해커는 다양한 서비스를 제공합니다.

'침투 테스트'는 모의 보안 침해입니다. 침투 테스터는 기업 시스템에 무단으로 액세스하는 악의적인 해커를 모방합니다. 물론 침투 테스터가 실제로 해를 끼치지는 않습니다. 이들은 테스트 결과를 사용하여 실제 사이버 범죄자로부터 기업을 보호합니다.

침투 테스트는 다음과 같은 세 단계로 진행됩니다.

정찰 단계에서 침투 테스터는 기업 네트워크의 컴퓨터, 모바일 디바이스, 웹 애플리케이션, 웹 서버 및 기타 자산에 대한 정보를 수집합니다. 이 단계는 침투 테스터가 네트워크의 전체 발자국을 매핑하기 때문에 '풋프린팅'이라고도 합니다. 

침투 테스터는 수동 및 자동 방법을 사용하여 정찰을 수행합니다. 이들은 힌트를 얻기 위해 직원의 소셜 미디어 프로필과 GitHub 페이지를 샅샅이 뒤질 수도 있으며, Nmap과 같은 도구로 열린 포트를 검색하고 Wireshark와 같은 도구로 네트워크 트래픽을 검사할 수도 있습니다. 기업이 허용하는 경우에는 소셜 엔지니어링 전술로 직원을 속여 민감한 정보를 공유하도록 할 수도 있습니다.

침투 테스터는 네트워크의 윤곽과 악용할 수 있는 취약점을 파악한 후 시스템을 해킹합니다. 침투 테스터는 테스트의 범위에 따라 다양한 공격을 시도할 수 있습니다. 가장 일반적으로 테스트되는 공격은 다음과 같습니다.

– SQL 주입: 침투 테스터가 입력 필드에 악성 코드를 입력하여 웹 페이지나 앱이 민감한 데이터를 공개하도록 합니다.

– 크로스 사이트 스크립팅: 침투 테스터가 기업 웹 사이트에 악성 코드를 심습니다.

– 서비스 거부 공격: 침투 테스터가 서버, 앱 및 기타 네트워크 리소스에 트래픽을 폭증시켜 해당 리소스를 오프라인 상태로 만듭니다.

– 사회 공학적 전술: 침투 테스터가 피싱, 베이팅, 프리텍스팅 또는 기타 전술로 직원을 속여 네트워크 보안을 손상하도록 합니다. 

공격 중에 침투 테스터는 악의적인 해커가 기존 취약점을 어떻게 악용할 수 있는지, 그리고 내부에 침입한 후에는 네트워크를 통해 어떻게 이동할 수 있는지 살펴봅니다. 이들은 해커가 어떤 종류의 데이터와 자산에 액세스할 수 있는지 알아냅니다. 또한 기존 보안 조치가 자신의 활동을 탐지하거나 방지할 수 있는지 여부도 테스트합니다.

공격이 끝나면 침투 테스터는 자신의 흔적을 감춥니다. 이렇게 하는 데는 두 가지 목적이 있습니다. 첫째, 사이버 범죄자가 네트워크에 어떻게 숨을 수 있는지 보여 주기 위한 것입니다. 둘째, 악의적인 해커가 몰래 윤리적 해커를 따라서 시스템에 침입하는 것을 방지하기 위한 것입니다.

침투 테스터는 해킹 중의 모든 활동을 기록합니다. 그런 다음 자신이 악용한 취약점, 액세스한 자산 및 데이터, 보안 시스템을 회피한 방법을 설명하는 보고서를 정보 보안 팀에 제출합니다. 윤리적 해커는 이러한 문제의 우선순위를 지정하고 해당 문제를 수정하기 위한 권장 사항도 제시합니다.

취약점 평가는 침투 테스트와 비슷하지만 취약점을 악용하는 수준까지 진행되지는 않습니다. 대신 윤리적 해커는 수동 및 자동 방법을 사용하여 시스템의 취약점을 찾아 분류하고 우선순위를 지정합니다. 그런 다음 조사 결과를 기업과 공유합니다.

일부 윤리적 해커는 랜섬웨어 및 멀웨어 변종 분석을 전문으로 합니다. 이들은 새로운 멀웨어 릴리스를 연구하여 그 작동 방식을 파악하고 결론을 기업 및 광범위한 정보 보안 커뮤니티와 공유합니다.

윤리적 해커는 높은 수준의 전략적 위험 관리를 지원할 수도 있습니다. 이들은 새로운 위협을 식별하고 이러한 위협이 기업의 보안 태세에 미치는 영향을 분석하며 기업이 대응책을 개발할 수 있도록 지원할 수 있습니다.

사이버 보안을 평가하는 방법으로는 여러 가지가 있지만, 윤리적 해킹은 기업이 공격자의 관점에서 네트워크 취약점을 이해하는 데 도움이 될 수 있습니다. 윤리적 해커는 허가를 받아 네트워크를 해킹함으로써 악의적인 해커가 다양한 취약점을 악용하는 방법을 보여주고 회사가 가장 중요한 취약점을 발견하고 폐쇄하는 데 도움을 줄 수 있습니다.

윤리적 해커의 관점은 내부 보안 분석가가 놓칠 수 있는 사항을 드러낼 수도 있습니다. 예를 들어 윤리적 해커는 방화벽, 암호화 알고리즘, 침입 탐지 시스템(IDS), 확장 탐지 시스템(XDR) 및 기타 대응책에 정면으로 맞섭니다. 그 결과 이들은 이러한 방어 체계가 실제로 어떻게 작동하는지, 그리고 어떤 부분이 부족한지 정확히 파악하게 되며, 기업은 실제 데이터 유출을 겪지 않습니다.