Home > 전체기사

윤리적 해커에게도 행동 강령이 필요하다

  |  입력 : 2022-09-27 22:18
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
윤리적 해킹 혹은 모의 해킹은 겉에서 봤을 때 해킹 범죄자들의 행동과 똑같기 때문에 위험하다. 하지만 그것은 기술적인 면모만을 말하는 것이지, ‘해킹 기술’을 둘러싼 앞뒤의 행동에서는 큰 차이가 나타난다. 그것을 무시하면 윤리적 해커나 범죄자나 다를 게 없어진다.

[보안뉴스 문가용 기자] 올해 사이버 갱단인 랩서스(Lapsus$)가 출현해 적잖은 이목을 끌었던 적이 있다. 그도 그럴 것이 등장하자마자 삼성, 마이크로소프트, 엔비디아, 옥타 등 굵직한 테크 기업들을 침해했던 것이다. 그러면서 ‘윤리적 해킹’이라는 영역을 구분 짓는 선이 많이 흐려지기 시작했다. 

[이미지 = utoimage]


랩서스는 꽤나 모호한 단체였다. 피해자들에게 돈을 요구하거나 이윤 추구 행위를 하지 않았기 때문에 범죄자 집단이라고 하기에도 애매했지만, 윤리적 해킹 조직이라고 하기에는 피해가 너무나 컸다. 사이버 범죄 집단조차 이들의 모호한 스탠스  때문에 화가 났고, 그래서 결국에는 랩서스의 내부 정부를 유출하기에까지 이르렀다. 이 정보를 가지고 랩서스에 대한 수사가 진행됐고 결국 멤버들의 체포까지 이뤄졌다.

왜 사이버 범죄자들이 랩서스를 공격한 것일까? 그들 사이에도 일종의 행동 강령이라는 게 존재하기 때문이다. 명문화 된 서류나 법령이 존재하는 건 아니겠지만 적어도 사이버 범죄자들 사이에서 존중받는 행동 방식이나 ‘선’이라는 게 있는 건 분명해 보인다. 그렇다면 윤리적 해킹을 업으로 삼는 전문가들은 어떨까? 윤리적 해킹 행위라는 것에도 행동 규범이라는 게 있어야 하지는 않을까? 

윤리적 해킹이란 무엇인가?
먼저는 윤리적 해킹이 무엇인지부터 살펴보자. 간단히 말해 컴퓨터 시스템이나 네트워크, 인프라, 애플리케이션을 좋은 의도를 가지고 분석하는 과정을 말한다. 이 과정을 통해 취약한 부분들이나 오류들을 발견하고, 이를 좋은 마음으로 원 개발자나 제작자에게 알리며, 그럼으로써 사고가 터지기 전에 예방하도록 돕는다. 그리고 이러한 분석 행위를 하기 전에 원 제작사나 개발자의 허락이 있어야 한다. 그 외에 윤리적 해킹의 기본 원칙들을 다섯 가지로 정리하면 다음과 같다.

1. 안전하기 위한 해킹
윤리적 해커 혹은 화이트햇 해커는 어떤 회사에서 작업을 하든 취약점을 찾아내려고 한다. 하지만 컴퓨터 시스템에서만이 아니라 각종 업무 프로세스나 보고 체계, 혹은 정보 처리 절차에서도 취약점들을 물색한다. 왜냐하면 이들의 목적은 단순히 구멍을 발견하는 것에서 그치는 게 아니라 취약점을 둘러싼 복합적인 맥락과 환경까지 파악하여 조직 전체를 단단하게 만드는 것이기 때문이다. 서버와 엔드포인트 등에서 기술적 취약점 찾는 것만 좋아하는 건 신문을 사서 숨은그림찾기만 하고 버리는 것과 다름이 없다.

2. 책임감 있게 해킹
‘책임감’이라는 단어는 정보 보안에서 꽤나 자주 등장하는 말이다. 책임감 있게 취약점을 공개하기도 하고, 책임감 있게 정보를 공유한다는 식이다. 윤리적 해커에게 있어 책임감이란 일단 가장 먼저 ‘윤리적 해킹’ 혹은 ‘모의 해킹’ 대상에게 먼저 허락을 구하고 얻어낸다는 뜻이다. 어디서부터 어디까지 내가 기술적으로 파헤쳐 보고 침투해 볼 수 있는지 한계를 정해달라고 먼저 요청하는 게 윤리적 해커의 책임감이다. 

이는 매우 중요하다. 예를 들어 윤리적 해커에게 모의 해킹을 부탁했던 사람이 사실 자신의 개인정보와 가족 인적사항까지 탈탈 털어주기를 바란다는 건 상상하기 힘들다. 또한 모의 해킹을 진행하다가 실수로 선을 넘어가는 경우가 있을 수 있는데, 이 점에 대해서도 미리 이야기를 해 두고 어떤 조치를 취할지 미리 합의해 두는 것이 좋다. 모의 해킹을 당할 조직의 담당자와 해커 사이에 확실한 연락 채널이 마련되어 있는 것도 간과할 수 없는 일이다. 이 모든 준비 절차를 꼼꼼하게 완료하는 것 역시 윤리적 해커의 책임감이다.

3. 문서화의 중요성
실력 좋은 해커들은 윤리적 해킹 혹은 모의 해킹 과정 중에 드러난 모든 것들을 상세히 기록한다. 뿐만 아니라 자신들이 사용했던 모든 도구와, 그 도구들로 했던 모든 일들 역시 꼼꼼하게 적어서 남겨둔다. 일단 그렇게 해야 혹여 최초 해킹을 허락했던 조직과 마찰이 생겼을 때 증빙 자료가 확보된다. 즉 스스로를 보호하기 위해서다. 예를 들어 공교롭게도 모의 해킹을 하던 시기에 실제 해킹 사고가 발생했다면 스스로가 범인이 아님을 어떻게 증명할 것인가? 기록만이 답이다.

기록을 꼼꼼하게 남긴다면 모의 해킹을 허락했던 조직에 실질적으로 도움이 될 결과 보고서를 만들어 낼 수도 있게 된다. 실험을 마치고 한꺼번에 정리하려고 하면 놓치거나 빼먹는 게 많아진다. 특히 윤리적 해킹 행위를 통해 특별히 대단한 결과를 얻어내지 못했을 때(즉 고객사의 방어 체계가 탄탄했을 때)에 꼼꼼한 기록이 특히 도움이 된다. 뭘 잘하고 있으며, 어떤 점을 계속 유지해야 하는지를 신빙성 있게 알려줄 수 있기 때문이다. 

4. 항상 소통의 채널을 열어두어야
어떤 조직과 윤리적 해킹을 하기로 계약을 했다면, 소통의 방법과 시기 등을 계약서에 명확히 명시하는 게 좋다. 이게 별 거 아닌 거 같은데, 해킹이라는 기술을 매개로 두 조직이 관계를 맺는 것이기 때문에 소통만큼 중요한 걸 꼽기가 어려울 정도가 된다. 예를 들어 어떤 시스템을 침해하기 전에는 반드시 담당자에게 사전에 알려야 한다. 또한 매일 실시한 일과 결과를 빠짐없이 알리는 것도 신뢰를 형성하는 데 큰 도움이 된다.

취약점을 찾아내는 족족 보고서를 만들어 알려야 한다는 건 아니다. 하지만 대단히 위험하고 즉각적인 조치가 필요한 취약점이라면 그것부터 알려서 해결하는 게 맞다. 익스플로잇 난이도가 낮은 원격 코드 실행 취약점이나, 해커들 사이에서 대단히 흔히 알려진 SQL 주입 공격 취약점이나, 이미 익스플로잇 코드가 공개된 취약점 등이 여기에 해당한다. 계약서에 명시된 때가 1주일 후라고 해서 그 때 보고서를 내서 알리면 법적으로는 문제가 없을지 몰라도, 윤리적 해커의 할 일을 다한 거라고 말하기는 힘들다.

5. 해커의 마인드
사실 해킹이라는 말은 정보 보안이 중요해지기 이전부터 사용되어 왔다. 정보 보안보다 먼저 등장한 말이라는 것이다. 이 해킹의 본 뜻은 ‘제작자가 의도하지 않은 방법으로 도구/기능 등을 사용하는 것’이다. 그렇게 하려면 해커는 제일 먼저 제작자가 의도한 모든 방법을 이해하고 익혀야 한다. 정석에 대한 이해 없이 비정석을 익힌다는 건 사실 원래의 것을 망가트리는 것에 가깝다. 해커의 마인드라는 건 망가트리는 것이 아니라 학습하는 것이어야 한다.

윤리적 해커라면 이 부분을 자꾸만 기억하고 스스로에게 상기시켜야 한다. 해킹은 곧 끝없는 학습이라는 것을 말이다. 망가트려도 상관 없다는 마음가짐을 갖는 것이나 학습의 중요성을 기억하지 못하는 것에서부터 윤리적 해커와 범죄형 해커의 구분이 사라지기 시작한다. 

글 : 해리스 필라리노스(Haris Pylarinos), CEO, Hack the Box
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018
설문조사
산업 전 분야의 지능화·융합화·스마트화 추세에 따라 스마트시티와 스마트공장, 스마트의료, 스마트상점 등 각 분야에서도 정보보안과 물리보안이 함께 접목되는 융합보안이 이슈가 되고 있습니다. 올해 융합보안이 가장 활발하게 적용될 분야는 어디라고 보시나요?
스마트시티 보안
스마트공장 보안(OT 보안)
스마트의료 보안
스마트상점 보안
기타(댓글로)