흔히 영화나 드라마에서 묘사되는 해커의 모습은 익숙합니다. 예를 들어, NCIS와 같은 드라마에서 어두컴컴한 법의학 연구실에서 애비 슈토(Pauley Perrette)와 티모시 맥기(Sean Murray)가 사이버 범죄자로부터 수사 정보를 지키려 애쓰는 장면이 떠오릅니다.
알아들을 수 없는 기술 용어들(방화벽이 뚫리고 암호화 수준이 DOD 레벨 9라든지!)이 난무하는 가운데, 그들은 즉각적인 반격을 시도합니다. 급기야 같은 키보드를 동시에 두드리는 모습은 다소 우스꽝스럽게 보일 수 있습니다.
해킹의 세계
이러한 장면들은 TV나 영화에서 묘사되는 해킹의 전형적인 모습입니다. 원격 컴퓨터 시스템 침입은 의미 없는 녹색 텍스트와 무작위 팝업 창들이 순식간에 나타나는 것으로 그려집니다.
하지만 현실은 훨씬 덜 극적입니다. 해커나 합법적인 침투 테스터들은 목표로 하는 네트워크와 시스템을 이해하는 데 많은 시간을 투자합니다. 그들은 네트워크 구조, 사용 중인 소프트웨어 및 장치를 파악하고, 이를 어떻게 악용할 수 있는지 분석합니다.
NCIS에서처럼 실시간으로 이루어지는 해킹 대응은 실제와는 거리가 멉니다. 보안 팀은 모든 외부 시스템을 패치하고 적절하게 구성하여 방어에 집중하는 것을 선호합니다. 해커가 외부 방어 시스템을 뚫고 들어올 경우, 자동화된 침입 방지 시스템(IPS)과 침입 탐지 시스템(IDS)이 작동하여 피해를 최소화합니다.
이러한 자동화 시스템이 필요한 이유는 대부분의 공격이 특정 대상을 노리는 것이 아니라 기회주의적이기 때문입니다. 인터넷을 스캔하도록 설정된 서버는 스크립트 공격을 통해 쉽게 악용될 수 있는 취약점을 찾아냅니다. 이러한 문제는 대규모로 발생하므로, 수동으로 처리하기 어렵습니다.
대부분의 인적 개입은 보안 침해 직후에 이루어집니다. 침입 지점을 확인하고 재사용되지 않도록 차단하는 것이 주요 과제입니다. 사고 대응 팀은 또한 어떤 피해가 발생했는지, 어떻게 복구했는지, 그리고 해결해야 할 규정 준수 문제가 있는지 파악하려고 노력합니다.
이러한 과정은 흥미로운 볼거리를 제공하지 못합니다. 누가 기업 IT 장비 설명서를 꼼꼼히 읽거나 서버 방화벽을 설정하는 것을 보고 싶어 할까요?
깃발 뺏기(CTF) 대회
해커들은 때로는 실시간으로 경쟁을 벌이기도 하지만, 이는 일반적으로 전략적인 목적이 아닌 재미를 위한 것입니다.
바로 깃발 뺏기(CTF) 대회를 말합니다. 이러한 대회는 다양한 정보 보안 회의나 보안 관련 행사에서 자주 개최됩니다. 참가자들은 제한된 시간 내에 주어진 과제를 해결하기 위해 경쟁하며, 더 많은 과제를 성공할수록 더 높은 점수를 얻습니다.
CTF 대회는 크게 두 가지 유형으로 나뉩니다. 첫 번째 유형인 ‘레드 팀’ 이벤트에서는 해커(또는 팀)가 방어가 없는 특정 시스템에 침투하는 것을 목표로 합니다. 다른 유형은 대회 전에 시스템에 기본적인 보안 조치를 취해두는 방식입니다.
두 번째 유형의 대회는 ‘레드 팀’과 방어적인 ‘블루 팀’이 경쟁하는 방식입니다. 레드 팀은 목표 시스템을 뚫고 들어가 점수를 획득하고, 블루 팀은 공격을 얼마나 효과적으로 방어하는지에 따라 평가됩니다.
주어지는 과제는 대회마다 다르지만, 일반적으로 보안 전문가가 실제 업무에서 사용하는 기술을 테스트하도록 설계됩니다. 프로그래밍, 알려진 시스템 취약점 공격, 리버스 엔지니어링 등이 포함됩니다.
CTF 이벤트는 경쟁적이지만, 적대적인 분위기는 거의 없습니다. 해커들은 호기심이 많고, 자신의 지식을 다른 사람들과 공유하는 것을 즐깁니다. 그래서 경쟁 팀이나 관객이 서로에게 정보를 공유하며 도움을 주는 모습도 드물지 않게 볼 수 있습니다.
원격 CTF
하지만 상황은 변했습니다. 이 글을 쓰고 있는 현재, 코로나19로 인해 2020년의 모든 보안 관련 행사가 취소되거나 연기되었습니다. 그러나 사람들은 사회적 거리두기 지침을 따르면서도 CTF 이벤트에 계속 참여할 수 있습니다.
CTF Time과 같은 웹사이트는 다가오는 CTF 이벤트를 모아 보여줍니다. 오프라인 행사에서처럼 이러한 대회는 치열한 경쟁을 유발하며, CTFTime은 가장 성공적인 팀의 리더보드도 제공합니다.
오프라인 행사가 재개될 때까지, 개인적으로 해킹 챌린지에 참여할 수도 있습니다. Root-Me 웹사이트는 해커의 능력을 극한까지 시험하는 다양한 챌린지를 제공합니다.
만약 개인 컴퓨터에 해킹 환경을 구축하는 것을 꺼리지 않는다면, 취약한 웹 애플리케이션(DVWA)을 사용해 볼 수도 있습니다. 이름에서 알 수 있듯이 이 웹 애플리케이션에는 의도적으로 다양한 보안 취약점이 포함되어 있어, 잠재적인 해커가 안전하고 합법적인 방법으로 자신의 기술을 시험해 볼 수 있습니다.
잊지 말아야 할 단 하나의 규칙은, 키보드 위에 있는 사람은 바로 당신이라는 것입니다!