능동적 보안 전문가 혹은 윤리적 해커가 되고 싶은 사람이라면

보안 전문가, 특히 해커의 입장에서 취약한 부분들을 파고들어 약점을 찾아내는 데 전문가가 되고 싶다면 어떻게 해야 할까? 공부다. 그런데 해킹 공부는 온라인의 자료만을 가지고도 어느 정도 수준에 이르는 것이 가능하다고 한다. 그런 의미에서 몇 가지 자료들과 출처들을 소개한다.

[보안뉴스 문가용 기자] 사이버 보안 인재 부족 문제가 심각하다 못해 정점을 향해 치닫고 있다. 사이버 공격 사건은 계속해서 증가하고 있는데, 그런 일들에 대응해야 하는 사이버 보안 전문가들은 (미국 내에서만) 50만 명이 부족한 상황이다. 기업과 기관들은 한 사람이라도 먼저 보안 전문가를 영입하려고 하고 있고, 그러한 흐름속에서 ‘윤리적 해커’들에 대한 수요가 높아지고 있다. ‘능동적 보안 강화’를 수행할 수 있는 인력들을 원하는 곳이 늘어나고 있다는 뜻이다.

[이미지 = utoimage]

윤리적 해커들이란 어떤 사람들인가? 온라인 자원들을 활용해 최신 해킹 기법을 독학하고, 다른 해커들이 어떤 식으로 공격을 하는지 관찰하며, 새롭게 등장한 전략과 기법들을 연구하여 습득하는 데에 전문성을 가진 부류들이다. 흔히 생각하는 ‘직업’이나 ‘직무’에 얽혀 있지 않는 것이 보통이며, 그렇기 때문에 초보자들이 무작정 뛰어들면 어디서부터 뭘 어떻게 시작해야 할지 헷갈릴 수밖에 없다.

그래서 윤리적 해커가 되고 싶다면 제일 먼저(당신이 초보라는 가정 하에) 해킹 및 보안 용어와 기법, 취약점 보고와 같은 개념에 익숙해지는 것이 필요하다. 필자는 다음의 온라인 소스들을 추천한다. (구글 검색을 용이하게 하기 위해 원문 그대로 싣는다.)

1) Nahamsec의 “Resources for Beginner Bug Bounty Hunters”
2) Codingo 웹사이트
3) S0cm0nkey의 “Security Reference Guide”
4) InfosecWriteups 웹사이트

연습으로 완벽해져라
윤리적 해커가 되고 싶다면 반드시 기억해야 할 것이 있는데, 읽는 것만으로는 배울 수 없다는 것이다. 손을 써보고 직접 연습을 해 봐야 익혀지는 것이 해킹 및 보안 기술이다. 다행스럽게도 이런 부분에서의 필요을 충족시켜 주는 온라인 코스들이 존재한다. 그 중 필자는 다음을 추천한다. (구글 검색을 용이하게 하기 위해 원문 그대로 싣는다.)

1) Pentesterlab
2) Portswigger Labs
3) Tryhackme
4) Hackthebox
5) Kontra
6) Hacker101.com
7) Vulnhub

전문가들로부터 배우기
윤리적 해커들은 자신들이 배우고 습득한 것을 초보자들에게 전수해주는 것을 매우 즐기는 부류다. 뭔가 프로그래밍을 하고, 애플리케이션을 개발하는 사람들의 핏속에 자리 잡게 된 특성 같은 것이다. 그러니 이름 좀 날리는 선배 윤리적 해커를 알게 되었다면 ‘팔로우’를 부지런히 하는 것도 큰 도움이 된다. 특히 버그바운티 등에 참여해 본 경험이 풍부한 사람들일수록 실질적인 도움이 될 가능성이 크다. 다음을 참고하라.

1) Hackerone Hacktivity
2) Crowdstream
3) Pentesterland
4) D0nut의 블로그
5) Intigriti의 Medium Publication
6) Secjuice
7) Detectify Labs

편안히 앉아 시청하기
사실 요즘 세상에서는 유튜브만 봐도 해킹 콘텐츠를 충분히 찾아서 열람할 수 있다. 유명 해커들은 이미 유튜브 영상으로 자신들이 가진 지식을 넉넉히 공유 중에 있다. 유튜브의 장점은 최신 기술과 지식을 빠르게 접할 수 있다는 것이다. 위의 자료들을 통해 배경 지식이나 전통적 기술 함양을 이뤄냈다면 유튜브를 통해 최신의 것들을 더해보자. 다음 채널들을 추천한다.

1) Liveoverflow
2) John Hammond
3) Nahamsec
4) STÖK
5) Farah Hawa
6) Codingo
7) PwnFunction
8) Ippsec
9) InsiderPhD
10) Hakluke

해킹 공부는 상당히 까다롭다. 그러니 조급함 없이 하나하나 정복해 가는 것이 가장 중요하다. 절대로 빠른 시일 안에 뭔가를 구체적으로 이룰 수는 없다. 나 개인의 능력을 기르는 것만이 아니라 해커 커뮤니티 전체의 분위기와 흐름을 익히는 것도 매우 중요하다. 빠르게 변하는 분야이기 때문이다. 기존의 ‘공부’와 사뭇 다른 경험을 하게 될 것을 기대하라.

글 : 루크 스티븐스(Luke Stephens), 보안 전문가, Detectify
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)