모의해킹진단회사 선별 체크포인트

정보보안 수준향상 위해 정부·기업 노력 필요

CISCO에서 발간한 어떤 책의 일부 내용 중에서 침투테스트(이하 ‘모의해킹 진단’이라 칭하겠음) 업무를 외주로 수행하고자 할 때 적정 업체 선별에 고려해야 할 18가지 체크포인트를 제시하고 있다.(일부 항목은 모의해킹 진단 수행을 계획할 때 고려해야 할 내용도 있다.)

실제적으로 Security Assessment와 Penetration Test는 분명 그 용도와 목적이 상이하다. 몇 년 전부터 웹 진단 요구가 늘어나면서 Web Security Assessment와 Web Penetration Test가 모호해진 결과를 낳게 되었지만 여기서 언급하고 있는 것은 Web Security Assessment가 아니라 순수한 Penetration Test를 의미하고 있는 것이다.

업체 선별을 위한 18가지 체크포인트와 적용할 때 고려할 사항

1.책임보험 가입여부를 확인하라

첫 번째 항목의 내용은 모의해킹 진단시 시스템 다운과 같은 문제를 초래하게 될 경우 이에 대한 적절한 손해배상을 책임질 수 있는 준비가 되어 있는 업체인지를 확인하라는 것이다.

필자의 경험으로 볼 때 이러한 우려는 모의해킹 진단을 처음 받아보는 고객사에서 주로 언급이 되곤 하는데 이러한 불상사가 절대 일어나지 않는다고 말로만 보장하는 것은 설득력이 떨어진다.

그러나 이제는 어느 정도 성숙된 국내 보안컨설팅 서비스의 수준으로 볼 때 이러한 대비책은 분명 필요한 것 같다. 또한 손해보상 한도에 따라 다르겠지만 이미 몇 업체들은 어느 정도의 책임보험은 가입되어 있는 상황이다.

2.수행한 레퍼런스를 요청하라

이 항목은 수행능력에 대한 항목이다. 업체가 기존에 수행한 고객사에게서 그 업체의 능력을 알 수 있으니까 레퍼런스를 확인해서 해당 레퍼런스에게 업체의 능력을 확인해보라는 것이다. 대부분의 기업이 내부 기밀사항을 이유로 답변을 잘 하지 않겠지만 어떤 회사는 기꺼이 업체와 함께 일해 본 경험을 이야기해 주는 기업도 있으니 시도해볼 가치가 있다는 얘기다.

실제 이러한 사항은 모의해킹 진단이 아니더라도 보안컨설팅 업체를 선별하는 제안평가가 포함되는 경우가 많으며 RFP의 내용에 유사 사업의 레퍼런스에 대한 고객사명, 담당자명 연락처 등을 요청하는 경우가 있다.

3.진단인력의 범죄사실과 같은 뒷 배경을 확인하라

업무수행자의 기본적인 자질을 확인하기 위한 항목으로써 진단인력 또는 책임자가 혹시 범죄사실과 같은 기록이 있는지 확인하라는 것이다. 이미 국내에서도 행정기관 프로젝트 같은 경우에는 대부분이 신원조회 절차를 거치도록 업무 절차가 마련되어 있는 상황이며, 특히 정보통신부에서 지정한 정보보호 전문업체로 등록된 기술 인력들은 신원조회 절차를 받는다.

4.샘플보고서를 요청하라

이 항목은 업체의 기본적인 직업윤리를 확인하는 항목으로써 업체에게 진단결과 보고서의 샘플을 요청해서 혹시 타 기업의 실제 진단 내용이 샘플보고서에 담겨져 노출되어 있지 는 않은지 확인하라는 얘기다. 샘플보고서에 실제 타 고객사의 진단 결과가 담겨져 있다면 당신에 회사의 진단결과가 다른 회사에 소개될지도 모른 다는 것이 주요 체크 내용이지만 이것은 당연한 확인 항목이다.

어떤 경우에는 진단 결과에 대한 Output Image를 협의하기 위한 목적으로 샘플보고서를 요청하는 경우도 있어서 이미 국내 대부분의 정보보안 전문업체들이 그렇게 해오고 있다.

5.취약점을 빌미로 비즈니스를 하는 업체를 피하라

실제 책에서의 내용은 ‘팀의 프로페셔널리즘을 검토하라’는 제목으로 되어 있지만, 실제 내용은 어떤 업체의 경우 당신네 보안 취약점을 미리 알아내서 이것을 빌미로 비즈니스 기회를 얻어내는 업체를 피하라는 내용이다. 이 항목은 기본적인 기업윤리 또는 컨설턴트의 윤리에 해당되는 사항이 되겠다.

6.업체가 모든 요소들을 진단할 수 있는지 확인하라

업체가 대상 정보시스템의 모든 구성요소들을 진단할 수 있는 능력이 안 된다면 여러 업체를 복수로 선택하는 것을 고려해보라는 내용이다. 그러나 국내 모의해킹 진단의 대부분이 Black-box Testing방식이기 때문에 크게 문제가 되지는 않지만 White-box Testing, Gray-box 또는 Crystal-box Testing으로 모의해킹 진단을 수행하는 경우에는 고려해 볼만한 항목이 되겠다.

7.전직 해커를(black-hat hackers) 고용한 업체인지를 확인하라

어떤 업체는 전직해커를 고용하고 있다고 광고를 하지만 그 해커가 직업윤리 정신을 가지고 업무를 수행한다는 것을 보장할 수 있기 때문에 그런 업체는 피하는 것이 좋겠다는 내용이다. 기업의 입장에서 이런 우려가 있을 수도 있다. 국내 정보보안 진단 컨설팅 서비스가 생기면서 진단 업무를 수행하던 인력출신을 보면 Black-hat이라고는 할 수 없지만 엄밀하게 White-hat이라고 볼 수도 없다. 하지만 업체들이 얼마나 내부 직원들에 대한 직업윤리를 지속적으로 교육하고 인식시키느냐는 업체의 노력이 필요한 부분이겠다.

8.해킹위협으로부터 자유로워지기 위해 모의해킹 진단을 제안하는 업체는 피하라

책의 내용상으로는 해킹위협으로부터 해방되기 위해서는 모의해킹 진단을 해야 한다고 업체가 제안하기도 하고 그들의 스킬을 자랑하기 위해 트로피를 제시하기도 한다. 이런 경우는 통상적으로 그 업체가 비즈니스적으로 초조한 상태임을 나타내는 표시이니까 이런 업체는 피하라는 내용이다.

가장 취약한 부분을 짧은 시간 내에 알 수 있는 방법으로 모의해킹 진단을 수행하는 것도 좋은 방법이지만 모의해킹 진단만으로 모든 것이 해결되는 것은 절대 아니기 때문에 그런 식으로 유인하는 업체의 꼬임에 빠져서는 안되겠다. 즉 정확한 모의해킹 진단의 목적과 목표를 가지고 모의해킹 진단 프로젝트를 추진할 필요가 있겠다.

9.해당 산업군의 법·제도에 대한 지식을 보유하고 있는지 확인하라

기업이 의료업계일 경우 HIPAA 법과 같은 산업군의 특수한 법·제도에 대한 기본지식을 업체가 보유하고 있는지를 확인하라는 내용이다. 이 항목은 IT감사와 같은 수행내용의 일부분으로 모의해킹 진단을 하게 될 경우에 해당하는 내용이다. 대부분의 제안서에 해당 산업군의 유사컨설팅 실적을 제출하는 경우가 많으므로 유사컨설팅에 대한 경험이 업체를 평가할 수 있는 판단 근거가 되겠다.

10.얼마나 오랜 기간 모의해킹 진단 서비스를 해오고 있는지 확인하라

업체가 모의해킹 진단을 얼마나 오래 동안 서비스해왔는지 확인해서 경험이 풍부한 업체를 선택하라는 내용이다. 필자의 생각으로는 업체의 이력보다는 모의해킹 수행자의 능력이 무엇보다도 중요하므로 이 항목에는 업체의 모의해킹 진단 서비스 경력과 더불어 모의해킹 진단업무 수행자의 경력을 체크하는 것이 최상의 방안이라 하겠다.

11.모의해킹 진단 서비스에 대한 전문성을 보유하고 있는 업체인지 확인하라

책의 내용으로는 업체가 모의해킹 진단 서비스를 그저 여러 가지 서비스 중에 하나로 제공하고 있는 것인지, 아니면 모의해킹 진단을 전문서비스로 제공하고 있는 업체인지를 확인하라는 것이다. 필자의 생각은 조금 다르다. 국내 타이거 서비스를 주 사업으로 제공하는 회사들이 몇 개 있지만 여러 가지 서비스 중에 한가지로 모의해킹 진단을 제공하는 업체라고 전문성이 떨어지는 것은 아니다. 업체 나름대로 장·단점이 있을 뿐만 아니라 모의해커가 다양한 산업군을 대상으로 진단을 해보았느냐는 개인들의 경험치가 무엇보다도 중요하다고 생각된다.

12.진단 인력이 관련 자격증을 가지고 있는지 확인하라

진단인력이 CCIE, Security, CEH, CISSP, CCSP, GIAC, OPSTA, Security+와 같은 보안관련 자격증을 보유하고 있는지 확인하여 전문성을 평가하라는 내용이다. 일반인들이 잘 모르는 CEH(Certified Ethical Hacker)는 미국 멕시코주에 본사를 두고 있는 CEH라는 회사에서 주관하는 사설자격증으로 22개의 모듈에서 시험문항을 출제하고 있으며 나중에 기회가 되면 소개하기로 하겠다. 국내 상황을 고려한다면 국가공인자격증인 SIS(정보보안전문가 ; Specialist for Information Security) 자격증도 포함되는 것이 좋겠다.

13.진단용 장비의 IP주소를 제공하는지 확인하라

모의해커가 사용하는 IP주소를 기업에 알려줌으로써 모의해킹 진단 기간 동안에 발생할 수 있는 실제 공격과 구별하는 것도 필요하며 이미 대부분의 국내 업체들이 그렇게 진행하고 있다.

14.모의해킹 진단의 종료시간을 명확하게 정의하라

모의해킹을 종료하는 시점을 명확하게 정의하라는 내용으로 어떤 경우에는 진단 결과 보고서를 작성하면서 다시 한 번 확인을 하거나 증적을 확보하기 위해 접속을 하는 경우도 있지만 이것은 어디까지나 모의해커의 직업윤리적인 부분인 것 같다.

15.업체가 진단결과 화면캡쳐, 로그 등 관련 Raw Data를 제공하는지 확인하라

업체가 모의해킹 진단으로 발견한 문제점에 대한 근거를 제시하는지를 확인하라는 항목이다. 필자의 경험상 외국의 서너 개 모의해킹 진단 결과 보고서를 보면 여기서 얘기하는 화면 캡쳐, 로그 등을 포함해서 우리나라만큼 모의해킹 진단 결과 보고서를 상세하게 작성하는 것도 드문 것 같다는 생각이다.

16.모의해킹 진단에 사용되는 도구와 방법론을 요구하라

모의해킹 진단을 위해 사용되는 도구가 기본적인 것들만 사용하는지, 대상 시스템별 도구를 다양하게 사용하는지를 확인하고 정형화된 방법론을 보유하고 있는지 확인하라는 내용이다. 국내 업체들은 대부분 외국의 선진모델을 기반으로 나름 데로의 방법론을 보유하고 있는 것으로 알고 있다. 특히 모의해킹 진단 시간대비 대상이 점점 많아지고 있는 현 시장요구사항으로 볼 때 해당 시스템별 도구를 다양하게 가지고 있는 것은 당연하다.

17.단일 업체와 수행할지 여러 업체와 수행할지 결정하라

한 개 업체와 모의해킹을 수행할지 아니면 여러 업체를 순환시켜가며 수행할지를 결정하라는 것이다. 대부분 국내기업들도 내·외부감사 또는 정기적인 점검을 목적으로 모의해킹 진단을 정기적으로 수행하는 경우가 많아졌다. 이러한 정기적인 진단을 한 개의 업체 또는 여러 업체에게 의뢰할지는 일장일단의 특징이 있으므로 상황에 따라 혼합하여 적용하는 것이 좋겠다.

18.모의해킹 진단 수행인력을 면담해봐라

책에서의 내용은 업체의 세일즈팀은 과대하게 진단 서비스를 소개하거나 비현실적인 약속을 할 수 있기 때문에 투입될 모의해킹 수행자를 직접 면접해봄으로써 그들의 경험 정도를 판단해볼 수 있다는 것이다. 그러나 이 항목은 기업의 담당자 능력에 따라 다르겠다.

국내 정보보안 수준향상 위해 기업·업체·정부 노력해야

위에 제시된 18가지 항목은 기업에서 모의해킹진단 사업을 수행하기 위한 수행방안을 포함하여 Ethical Hacking의 직업윤리, 수행 능력 및 경험 관점의 평가 등을 모의해킹진단 업체를 선별하기 위한 체크포인트로써 다루고 있는 것을 알 수 있다.

한편 Securityfocus에 의하면 66가지나 되는 수많은 정보보안 인력의 업무 포지션이 존재하고 있는 것을 알 수 있는데 이것은 그만큼 정보보안 인력이 전문화·다양화되어 있다 것을 반증하는 것으로 볼 수 있겠다.

이에 비해 국내 정보보안 컨설팅 시장과 업체상황은 이미 몇 년 전 사업을 포기하거나 또는 주력 사업을 변경하고 있는 업체도 있는가 하면 대부분이 아직까지도 생존의 단계를 벗어나지 못하고 있는 것이 정보보안 전문 업체들의 현주소다.

국내 정보보안 컨설팅 초기 사장에 대비해 모의해킹 진단의 시장가치가 많이 평가 절하되어 있는 것이 사실이다. 치열한 업체 간의 경쟁, 낮은 컨설턴트 단가, 진단 대상에 비해 턱없이 부족한 진단 대상요구 등 여러 가지 요인으로 지금의 국내 모의해킹 진단 컨설팅은 약간의 경험을 가진 인력에게 1주일만 가르쳐도 시장에서 요구하는 수준의 모의해킹 진단(특히 웹 모의해킹 진단)은 수행할 수 있는 것 또한 현실이며 이러한 상황이 그대로 기업에 제공되는 악순환을 겪고 있는 듯하다.

기업들이 양질의 서비스를 받고 업체에서는 적정수준의 단가로 양질의 서비스를 제공하기 위해서는 정보보안 전문 업체들이 해결해야 하는 부분도 있지만 기업에서 해결해줘야 하는 부분과 정부기관에서의 제도적, 정책적 부분도 있다. 이러한 각자의 몫을 고민하고 해결하고자 할 때 급속도로 발전되는 IT에 효과적이고 효율적인 정보보안이 성숙할 것이다.

<글: 홍진기 인포섹 보안연구센터 이사>

[월간 정보보호21c 통권 제87호(info@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)