본문 바로가기
공부/모의해킹

모의해킹 진로를 선택했다면

by 맑은청이 2021. 5. 8.
728x90
반응형

 

포트폴리오를 준비하는 자세

목표 확실히 잡기

성과물을 보여주기

회사에서 필요로 하는 순서 파악하기 

지식 융합이 가능하도록 고민하기 

 

책 추천

[모의 해킹이란 무엇인가]

[CxO가 알아야 할 정보보안] - 보안 관리자 업무 이해 

연구 결과물 사례를 통한 학습 방법의 이해 

APT 공격 

시스템 관리자 몰래 잠적해 있다가 중요한 정보를 이용해 깊숙히 침투해 들어가는 것

ex) 드라이브 바이 다운로드, 워터링 홀 등도 시스템 침투를 위해 단계적으로 이용하는 공격 

 

모의해킹 시나리오를 세울 때 이런 악성 코드의 특징을 파악하는 게 중요 

 

한국 인터넷 진흥원 등 국책 과제를 통해 공부 주제 선택해보기 

www.kisa.or.kr/notice/bid_View.jsp?cPage=1&mode=view&p_No=35&b_No=35&d_No=3296&ST&SV

 

 

입찰공고 < 알림마당 : 한국인터넷진흥원

입찰공고 입찰공고 상세화면 입찰공고 상세화면으로 제목, 담당자, 등록일, 조회수, 내용의 정보를 제공 제목 웹셸 분류 체계 연구 담당자 침해사고조사팀  이재춘  전화 02-405-5503 이메일 등록

www.kisa.or.kr

모의해커에게 필요한 3박자 : 기술, 보고서, 발표

모의해킹 업무로 진로를 선택한 사람들 대부분은 컨설팅 업체에 소속돼 일한다. 모의해킹을 하는 인력을 컨설턴트라고 부르는 이유, 컨설턴트는 고객의 어려운 점을 알아내 해결 방법을 제시하는 사람 

모의 해커는 고객의 대외 서비스나 인프라 서비스에 포함된 모든 IT 전산 장비/시스템에서 발생할 수 있는 위협을 범죄자 입장에서 검토 

운영되는 서비스에서 작은 버그를 이용해 외부에서 내부까지 침투 시도 

모의해커가 되기 위해서는 침투를 시도하는 공격 기술 알아야 함 

기술을 모르면 모의해킹 업무를 할 수 없음 

이론적인 설명 보다는 노출되는 개인정보나 내부 중요 정보들을 결과물로 보여줘야 함 

 

즉 기술(지식을 알고) 발표(지식을 공유) 보고서(생각 정리)의 3박자가 잘 이루어져야한다. 

 

취업 준비생들은 웹서비스 공부를 많이 해야한다. 

이 환경들을 전반적으로 이해하고 환경마다 진단할 수 있는 공격 기술을 알아야 함 

공격 기술을 IT 지식에 기반을 두는데 이를 우회하는 기술들도 포함 

모의해킹 업무시 사용되는 기술들은 인터넷에 많이 공개되어 있기 때문에 공격적으로 고민해야 한다는 점

항상 공격 기술에 초점을 맞춰야 함 

 

모의해커에게 필요한 기술 

- 웹 애플리케이션 이해 및 취약점 분석 방법

=> 서버/WAS/네트워크/데이터베이스/프로그래밍

- 모바일 앱, 디바이스 이해 및 취약점 분석 방법

=>리버싱 엔지니어링 분석

- C/S 프로그램 이해 및 취약점 분석 방법

=> 소스코드 진단 분석 

 

블랙박스 진단 뿐만 아니라 화이트박스 진단도 함께 할 것 

공격 기법 뿐만 아니라 방어하는데 어떤 대응 방법이 필요한지 모든 인프라의 차원에서 고민 

-> 시큐어코딩 관점, 관리 설정 관점, 보안 솔루션 도입 관점 등 단깆거으로 중장기적 계획을 세워야함 

 

 

 

보고서 작성 

컨설턴트로 입사시 고객사의 자산 위협을 측정하고 침투 시나리오 결고를 만들어내는 일을 주로 한 뒤 상세 보고서 작성 (컨설턴트가 어떤 것을 수행했고 어떤 결과가 나왔는지 또 취약점에 대한 대응 방안은 무언인지가 포함)

 

발표 능력

지식을 전달하는 습관 가지기 

교육 자료를 직접 만들어 발표해보자 

아는 것만 교육자료에 넣자

시간 안에 발표하는 연습을 하자 

발표 연습을 할 때는 큰소리를 내자 

동영상 강의를 찍어보자 

반복 연습을하자 

책 안에서 보고서 작성 방법을 익히자

많이 써보고 많이 읽으면서 배우기 

 

자신만의 보안 가이드를 만들자 

보고서를 검토할 때 지나치게 보편적인 대응 방안을 보면 실망이 커짐 

기술적 취약점을 진단할 때 대개는 행자부에서 배포한 보안 가이드 참고 

참고만 해야지 모든 환경에 적용해서는 안됨 

동일한 취약점이어도 다른 대응 방안이 제시될 수 있기 때문에

또한 기술로만 대응하는 것도 있지만 다른 대응 방안이 제시될 수 있기 때문에 

중장기적으로 대응해야할 것도 있음 

 

담당자별로 참고해야 할 가이드도 다름 

 

본인만의 가이드를 만들자 

학교 생활을 참고해 팀원들과 어떻게 잘 어울릴지 강조하는 것도 팀워크 평가에 좋은 지표 

작은 회사부터 시작해도 대기업/ 공공 기관에 입사할 기회는 많다

국내 모의해킹 컨설턴트의 경우 외국계 컨설팅 회사, 대기업, 금융권 실무자로 많이 이동함 

 

 

 

 

728x90
반응형

'공부 > 모의해킹' 카테고리의 다른 글

모의해킹 취업 준비 프로젝트 시  (0) 2021.05.04
모의해킹 업무 이해하기  (0) 2021.04.29