모의해킹 취업 준비 프로젝트 시

1. 해킹 범죄 뉴스에서 시나리오 생각하기

2. 시나리오 기반은 필수인가

3. 항상 시나리오 고민하기

4. 체크리스트 기반 인프라 진단의 중요성

5. 공격지점으로 알아보는 모의해킹 방법

6. 가상 이미지를 활용한 테스트 환경 구축 및 활용

 

---

 
1. 해킹 범죄 뉴스에서 시나리오 생각하기

모의해킹은 범죄자가 서비스에 침투하는 과정을 미리 고민한 뒤 시나리오로 만들어 접근하는 과정

-> 취약점 항목뿐 아니라 내부 시스템 침투까지 고려 (범죄자 마인드) 

 

주요 해킹 사고 

1) APT 공격

중요 관리자 단말 PC를 대상으로 정한 뒤 내부 시스템에 지속적으로 접근하는 형태 

모의 해킹 업무 시에도 이런 시나리오가 가능하지만 관계자와 협의를 많이 해야하기 때문에 추진하기 힘든 과제 

 

윈도우 명령어 사용하는 경향이 큼 -> 리눅스 명령어에 너무 집중해서 윈도우 콘솔 명령어에 관심 X 

파워셸(PowerShell) 이 대표적인 예 

국내에서는 해킹/침해사고 대응 관점에서 다룬 정보 많이 없음 

파워셸은 윈도우 전용 스크립트 언어 

백신 우회하여 악성코드 실행하거나 메모리 정보를 얻어 단말 계정 정보를 획득하는 등 많은 공격 기법 진행 가능 

 

모의해킹 시 하나의 시나리오로 어떤 기술을 연구할 수 있는지 실제 업무에 어떻게 활용할 수 있는지 판단 해야 함

 

2) KT 개인정보 유출 사건 

웹 서비스를 통해 개인정보 대량 유출 

 

웹 취약점보다는 '파로스;라는 프록시 도구에 초점이 맞춰진 경우 

웹 파라미터 입력 값 검증(권한 체크 미흡)이 미흡해 발생 

입력한 대로 권한 체크 없이 전체 정보를 웹 페이지에 출력 

프로그래밍 통해 대량의 정보가 자신의 로컬 PC에 저장 

침입차단시스템(IPS)는 정상적인 접근으로 판단 

 

모의해킹을 수행할 때는 그냥 지나치고 넘어갈 수 있을 만큼의 광범위한 진단이 필수적 

 

 

2. 시나리오 기반은 필수인가

모의해킹은 대외 서비스를 비롯해 공격자가 침투해 들어올 수 있는 모든 가능성을 살펴보는 과정

서비스가 웹 서버만으로 이뤄진 곳은 없음 

WAS 서버, 데이터베이스, 내부 서버들과도 연결 

 

모의해킹의 목적으로 방법론과 함께 다양한 공격 기법도 연구해서 실 서비스에서 활용할 수 있는 방법을 고민해야 함 

'체크리스트 기반'

 

공격 단계 

1	SQL Injection(입력값 검증 미흡)
2	인증 우회, 정보 노출, 명령어 실행, 스크립트 생성
3	(인증 우회) -> 사용자 권한 -> 권리자 권한 -> 시스템 권한
4	(관리자 권한) -> 개인정보, 시스템 정보, 시스템 변조, 시스템 파괴

모든 공격을 1단계에서 끝내기보다 3단계, 4단계로 넘어가면 공격 목적을 취득할 수 있는 모든 시나리오를 고민해봐야 함 -> 보고서 품질 높음 

 

시나리오를 생각하지 않으면 체크리스터일 뿐 

국내에서 모의해킹 업무는 컨설턴트가 대부분 담당 

사업을 주최하는 것은 각 기관 부처 

법률/정책에 맞게 사업을 수행할 업체에 가이드 

ex) 주요정보통신기반시설 기술적 취약점 진단 가이드, 애플리케이션 소스코드 보안 가이드 

 

ISMS 의무화로 인증을 받아야할 업체들이 급속도로 늘어남 

컨설팅 업체도 바빠짐 

 

비즈니스가 우선 -> 진단은 항목에 맞춰 진행 -> 가이드 생성 -> 실무자또한 이를 토대로 가이드 요청 -> 모의해킹(체크리스트 기반 점검) -> 업무에 대한 지겨움 

 

해결방안은 모든 취약 가능성을 열어둔 채 서비스를 살피고 시나리오를 생각해보는 데 있음 

 

기술을 배우는 데 그치지 않고 아래와 같은 내용을 고민해야함

- 기술을 서비스에 어떻게 적용하면 될까

- 서비스를 해킹할 때 기술을 시작으로 시스템 권한을 획득한 후 개인정보를 획득하는 목적을 달성했나

- 여러 기술을 나열 했는데 기술들이 최종 목표에 도달할려면 어떤 시나리오가 더해져야하나 

 

 

---

3. 항상 시나리오 고민하기

'공격 시나리오를 항상 생각하자' 

취약점 도출과 공격을 구분해야 함 

취약점은 보안적인 문제가 발생한 부분이고 범죄는 이 취약점을 이용하여 공격

 

서비스를 제대로 이해하고 국내외 발생했던 범죄 사례 살피는 것도 중요

사례들에서 범죄자들이 실제 서비스의 어떤 기능을 통해 많은 개인정보를 획득했고 금전적 이득을 취했는지 알기 

이를 조사하는 서비스에 적용할 수 있는지도 판단하자 

 

서비스 흐름에서 취약점을 찾아내자 

숨겨진 관리자 페이지를 어떻게 찾아낼지 등

 

---

4. 체크리스트 기반 인프라 진단의 중요성

컨설팅 시 기술적 취약점 진단에는 서버, 네트워크, 데이터베이스, 보안 장비, 개인 단말 보안 점검등이 포함 

왜 인프라 진단을 매번 비슷한 항목으로 수행하나? 

 

모든 체크리스트 기반의 인프라 진단은 잠재적은 위협을 방지하는 것이 목적 

-> 외부에서 공격자가 침투해 내부에 진입하는 경로 차단 / 지연 목적 

---

5. 공격지점으로 알아보는 모의해킹 방법

모의 해킹은 외부 인터넷 망에서 시작 

외부에서 접근할 수 있는 것은 최소한의 방어 체계를 갖춘 DMZ 내 오픈된 서버 

이중에서도 서비스 포트가 열린 것 대상 

(80포트가 열려 있는 웹 서버에 대표적인 예)

 

목표는 시스템 침투 

하지만 모의해커는 서비스나 계약상의 문제로 웹 서버까지 밖에 가지 못한다.

 

그렇다면 내부 시스템에 이루어질 수 있는 공격 위협은 무엇으로 측정

-> 인프라 서비스 취약점과 내부 모의해킹 

법이 대외 서비스에 맞춰져 있기 때문에 내부 서비스는 스크립트 기반의 인프라 진단으로 대체 

 

침해 사고 후 역추적하면 뜻밖에 간단한 경로에서 시작된 경우 많음 

개발 도중 불필요하게 오픈된 서비스를 통해 침해 발생 

최신 보안 패치가 안 돼 있거나 기본으로 설정된 계정 정보나 불필요한 페이지 때문에도 많이 발생 

또 다른 이유로는 오픈소스 플랫폼 사용, 대표적으로 워드프레스(Wordpress) 

워드프레스는 현재 오픈 CMS 중에서 가장 많이 사용되고 있고 공식 플러그인만 수만 개인데 이는 개인이 개발해서 배포하는 것이기 때문에 제대로 된 보안 평가도 이루어지지 않은 채 배포 

 

공격자들은 워드프레스에 맞춰진 자동 취약점 도구로 서버에 침투한 뒤 사이트를 방문한 사용자에게 악성코드 배포 

드라이브 바이 다운로드(Drive By Download, 범용 애플리케이션 취약점을 사용해 사용자에게 악성 코드를 다운로드 및 실행하게 하는 공격 기법) 기법을 통해 애플리케이션 취약점을 우회하는 게 또 다른 배포 방법 

사용자에게 감염되는 악성 코드는 이후 랜섬웨어 , 파밍 등에 이용

 

---

6. 가상 이미지를 활용한 테스트 환경 구축 및 활용

모의해킹 공부 시 환경 구성을 할 때는 취약점을 최대한 많이 경험할 수 있는 환경을 구성해서 많은 기술을 보여줄 것 

취약점을 찾아내려면 많은 공격 성공 사례를 알아야 하기 때문에 책에 나오는 환경을 공부 하는 것도 좋은 방법 

 

웹 어플리케이션 

-beebox, 웹고트 , 워드프레스를 비롯한 오픈 CMS 구축해 학습 , 최신 공격 이슈 이해를 위해 Exploit-DB 사이트(사이트에 올라와 있는 환경을 구성해 공개된 공격 기법 재연 성공할 때까지 실습 후 원리 분석 후 보고서 작성 

 

공부는 취약점 항목 한가지를 선택하여 하기 

 

내부 모의해킹 진단

- Metasploitable : 취약점 진단 프레임워크 메타스플로잇을 제공하는 RAPID 7사에서 제공하는 가상환경 

메타스플로잇으로 테스트해 성능을 보여주는 목적도 있어 재밌는 취약점 진단 경험 가능 

웹 해킹을 통해 서버에 침투 

 

안드로이드 모바일 앱 서비스 진단

- InsecureBank

모의해킹 업무 시 모바일 앱의 취약점을 진단하는 건 필수 

모바일 앱 서비스 또는 보안 솔루션을 진단할 때는 금융권에서 요구하는 항목을 참고해야 함 

금융권이 우선적으로 법적 규제의 대상이 되는 경우가 많기 때문 

그 후 서비스에 따라 어떤 법률이 추가로 적용되는지에 다라 대응 방법이 달라짐

 

스마트폰 전자 금융 서비스 보안 가이드 

• 스마트폰 안전 대책 자체 점검
• 스마트폰 전자 금융 앱 위변조 방지 대책 
• 스마트폰 금융 안전 대책 이행 실태 점검 결과 

 

한국인터넷진흥원에서 배포한 아래 가이드

 

• 모바일 앱 소스코드 검증 가이드라인
• 모바일 대민 서비스 구축 가이드
• 모바일 대민 서비스 보안 취약점 점검 가이드 
• 대민 모바일 보안 공통 기반 활용 가이드 

 

악성 코드 앱 , 모바일 앱 취약점 분석이든 기술은 동일 

항목 및 서비스에 따라 접근 방법만 다를 뿐 

 

활용 가능한 취약점 항목을 연습할 수 있는 앱

인시큐어뱅크(InsecureBank)

인시큐어뱅크에서 테스트 가능한 취약점 항목 

 

침해 사고 대응

- SecurityOnion : 침해 사고 대응을 위한 분석 환경이 구성돼 있는 라이브 이미지 

모니터링하는 서버에서 발생하는 이벤트를 분석해 위협을 감지하는 기능 

침해 위협 탐지(IDS), 침해 위협 차단(IPS) 솔루션 탐지 시그니처로 많이 사용되는 스노트(Snort) 환경 기본 구성 

스노트 규칙에 따라 탐지 및 차단될 경우, 그래픽으로 표현해주는 도구들을 종합적으로 활용