모의 해커를 꿈꾸는 사람들에게 무조건 도움 되는 실제 이야기 - "실무자가 말해주는 모의해킹" 책을 읽고...

 

 

이번에 내가 읽은 책은 보안 프로젝트 대표인 조정원 작가가 말하는 모의해킹

"실무자가 말하는 모의해킹" 라는 책이다.

 

 

이 책을 읽게 된 계기

 

모의해킹을 진로로 하고 싶은 욕심이 있다. 모의해킹을 업으로 사는 사람들은 어떤 업무를 하고 어떻게 돈을 벌까? 어떤 것들을 공부했으며 무엇을 준비해서 취직을 했을까? 어떤 삶을 사는 걸까? 하는 궁금증이 많았다.

 

궁금증을 설명해줄 책이 있다면 읽어보고 싶었는데 도서관을 돌아보며 읽어볼 책들을 고르던 중 이 책이 눈에 띄었다. 

그렇게 책을 읽기 시작했다.

 

이 책을 읽고 나서

 

아직은 학생이라 해당 책의 내용이 지금 당장 내게 도움이 되는 내용도 없는 것 같고 경험에 빗대어 공감할 부분도 솔직히 없었다. 하지만 훗날엔 분명히 도움이 될 거라는 확신이 든다. 현재 해킹과 관련한 직종을 갖고는 싶지만 구체적으로 생각해 둔 것을 따로 없어서 어디로 가고 싶은지 모르는 상태다.

 

이 책에선 모의해킹 컨설턴트를 주로 설명을 하고 있고 그 직종에선 어떤 일을 하는지 알 수 있었고 굉장히 매력이 있었다. 어쩌면 모의해킹 컨설턴트를 하고 싶은 생각이 든 것 같다. 이 책을 읽기 잘했다는 생각이 든다.

 

작가는 "모의해킹 업무를 진로로 선택한 학생", "취업준비생", "직무전환을 희망하는 사람들"에게 이 책을 추천한다고 했지만, 나는 "아직 무엇을 하고 싶은지 모르는 사람, 꿈이 아직 없는 사람" 들에게도 이 책을 추천하고 싶다.

 

 

책 소개

 

이 책의 작가는 보안 업무만 10년 넘게 하고 있는 베테랑이면서, 

모의해킹에 관해서 많은 강의와 책을 지어낸 경력을 가지고 있다.
작가는 모의해킹 업무를 진로로 선택한 학생, 취업 준비생, 직무 전환을 희망하는 사람들을 위해 이 책을 썼다고 한다.

책의 목차는

 

1장 "모의해킹 업무를 이해하는 시간"

2장 "모의해킹 취업 준비 프로젝트를 할 때"

3장 "모의해킹 진로를 선택했다면?"

4장 "모의해킹 분야에서 사회 초년생이 되었을 때"

순서로 진행된다.

 

 

1장 "모의해킹 업무를 이해하는 시간"을 읽고...

 

모의해킹은 취약점을 미리 파악하여 악성 유저들의 불법적인 행위를 막는 것만이 목적인 줄 알았다. 하지만 기업의 입장에선 그보다 더 원초적인 이유가 있었다. 기업은 가지고 있는 사용자들의 개인정보를 보호해야하는 의무가 있기 때문이었다. 게다가 이 부분은 법으로 지정 되어있다고 한다. 기업에서도 보안을 담당하는 팀이 있지만 그들이 모든 취약점을 막아 낼 수는 없기에 모의해킹만을 전문으로 하는 곳에 외주를 맡길 때가 많다. 외주를 맡겨도 취약점을 찾을 확률이 올라가는 것일 뿐 완벽한 보안 상태를 만들 수는 없다.

보안에 신경을 많이 쓰는 일부 기업에서는 "버그헌팅"이라는 현상금 시스템을 도입하여 취약점을 찾는다고 한다. 이렇게 "버그헌팅"으로 회사가 직접 요청하거나 계약하는 것이 아닌 이상, 모의해킹 행위를 아무 곳에서나 하면 안된다. 자칫 불법을 저지를 수 있다. 때문에 윤리 의식이 정말 중요한 분야라고 한다. 

회사와의 의사소통도 매우 중요하다. 회사와 계약으로 진행하는 모의해킹이라고 해도 취약점을 찾고, 그 위험성을 증명할 수 있을 정도만 모의 해킹을 진행해야지 취약점이 있다고 해서 그걸 이용하여 개인정보를 털고, 통장 잔고를 인출해버리는 회사에 직접적인 피해가 가는 행동을 하면 당연히 안된다. 모든 재산을 다시 돌려준다고 해도 그건 엄연히 불법에 해당한다. 그래서 회사와의 의사소통은 매우 중요하다고 할 수 있다. 

주변 사람들에게 들어보면 모의해킹 분야는 돈 잘 못 벌지 않아? 라는 말을 듣는다. 

물론 버그헌팅, 해킹 대회 등을 진행하며 프리랜서로 충분히 활동 할 수 있을 것 같지만, 안정적인 수입이 들어올 것 같진 않다는 생각이 든다. 안정적인 수입을 하려면 결국 취직이 답일 것 같다는 생각을 했다.
회사가 모의해킹을 요청하면 취약점을 찾아 실제 데미지를 입혀볼 수 있는 줄 알았지만, 모의 해킹 실무는 그 위험성을 인지 시켜주는 것이 이 업무의 핵심이라는 것을 알고 살짝 실망했다. 하지만 한편으론 그것만으로도 충분히 흥미있는 직업이 될거라는 생각에 한층 더 열정이 끓어오르게 만들어주는 챕터였다.

 

 

2장. 모의해킹 취업 준비 프로젝트를 할 때를 읽고...

 

모의 해킹의 핵심은 "범죄자처럼 생각하고 행동하자"라고 한다. 범죄자의 시선에서 행동을 해야하기 때문에 시나리오 구상은 중요하다고 한다. 범죄자는 어떤 생각을 가지고 접근을 할까를 생각하며 모든 가능성을 둬야 취약점을 이용한 공격 방향의 가능성을 여럿 만들어둘 수 있고 효과적인 분석이 될 수 있다.

실무에 가면 담당 보안 실무자에게 보고를 해야할 때도 있다. 모의해킹의 목적은 취약점 분석이 목적이라 체크리스트를 만들어 점검을 할 수 있기도 하지만, 그렇게 된다면 담당 보안 실무자에게 어설픈 결과를 보고 해야할 수도 있다.

모의해킹 실무에서 중요한건 역시 고객이 만족해야하는 것이다.
체크리스트를 이용한 간편한 점검이라면 고객이 모의해킹을 의뢰할 이유도 없다. 시나리오를 작성하여 다양한 공격의 가능성을 보여주고 그에 맞는 솔루션을 제공해야 고객입장에서 만족 할 수 있다는게 이 챕터에 핵심이었던 것 같다. 

사실 나는 모의해킹이라는 작업을 어쩌면 나의 만족으로만 생각했던 것 같다. 해킹을 합법적으로 할 수 있는 하나의 수단이라고 생각했다. 아무리 해킹이라는 장르가 적성에 맞고 행복해도 결국 돈을 벌려고 하는 일이라는 현실을 직시했다. 돈을 벌기 위해선 고객이 있어야하고 그 고객은 튼튼한 보안을 유지할 구체적인 솔루션을 원한다.
구체적인 솔루션은 범죄자가 할 법한 생각과 행동의 가능성을 아이디어로 제공하는 것이 될 수도 있다는 것을 알았다.
만약 내가 실제 모의해킹 분야로 취업을 한다면 초기에 분명 도움이 될 것 같은 말들이라 꼭 기억하고 있고 싶은 내용들이었다.

 

3장 "모의해킹 진로를 선택했다면?" 을 읽고...

 

이 챕터는 모의해킹 분야로 취업을 준비하는 사람들에게 많은 조언을 해준다. 회사에서는 어떤 인재상을 원하는지, 자신이 그 인재상이라는 것을 증명하기 위해선 어떤 것들을 준비하는 것이 좋은지 등등, 작가가 면접관이었던 경험을 살려 면접관의 입장에서 설명을 해준다.

작가는 포트폴리오를 준비 하는 것이 매우 좋다고 한다. 자신이 이 분야, 회사에 지원하기 위해 어떤 경험을 쌓았는지를 구체적으로 증명하는 것이 매우 좋다고 한다. 그럼 어떻게 구체적으로 증명을 하는가? 이 분야에 들어왔다면 자신이 공부했던 결과물, 프로젝트 등등 다양한 것들이 있을 것이다. 그것을 초기, 과정, 결과들을 상세하게 정리하여 보고서를 작성해보는 것이다.

어쩌면 지금 내가 쓰고 있는 독서감상문도 하나의 포트폴리오가 될 수도 있다. 언젠가 포트폴리오로 제출 할 수 있을 정도로 완성도를 높히기 위해 자주 글 쓰는 연습을 해야겠다는 생각이 들었다. 그리고 다양한 스터디 그룹에 들어가서 앞으로 할 프로젝트를 정리할 생각을 기본으로 가지고 있어야 할 것 같다고 생각했다.

 

4장 "모의 해킹 분야에서 사회 초년생이 되었을 때" 를 읽고...

 

작가가 지금까지 겪어온 경험들을 토대로 독자들에게 조언을 해준다. 사회초년생이라면 이 챕터를 읽고 감동을 받을 것 같다. 적어도 난 감동을 받았다. 작가는 "어려운 경험들이 쌓이고 이겨 낼 때, 후배에게 조언해줄 수 있는 선배가 될 수 있다" 이라는 말을 해준다. 꼰대 같은 듣기 싫은 말들이 아닌 작가가 독자에게 해주는 진심어린 조언들은 그가 어떤 어른이 됐는지 느낄 수 있다.

존경스럽다. 나도 꼭 어떤 분야가 됐는 최선을 다해서 버티고 후배애게 조언해 줄 수 있는 사람이 되고 싶다.