모의해킹이란 허가 받은 시스템에 존재하는 모든 취약점을 찾아 공격하는 것을 말한다.
본래는 웹, 모바일 앱, 응용 프로그램와 같은 소프트웨어나 네트워크 장비, IoT 기기 등 하드웨어를 가리지 않았으나 해킹이라는 일이 사업화가 되다보니 수요가 높은 웹 및 모바일 앱 해킹에 한정되었고 암묵적으로 모의해킹이라 불리게 되었다.
물론 단순히 웹과 모바일 앱 해킹만을 모의해킹이라고 부르는 것은 잘못된 일이다. 최근에는 IoT 기기와 스마트팩토리에 사용되는 기기들, 더 나아가 자동차까지 그 범위가 넓어지고 있기 때문이다. 또한 모의해킹은 취약점을 찾기위해 모든 방식을 동원하므로 단순히 체크리스트 기반의 취약점 점검과는 엄연히 구분된다.
그런데 왜 아직도 모의해킹이 웹과 모바일에 한정되어서 불리고 있을까?
그 답은 앞서 언급했듯이 수요가 높은 웹과 모바일이 대다수 기업을 대표하는 서비스이기 때문이다. 어떤 기업이라도 사업을 하려면 홈페이지가 있어야 하고, 기업을 대표하는 앱 서비스도 있어야 한다. 또한, 사업 운영을 위해 회계시스템이 존재할 것이고 사업과 개발 업무를 위한 웹 서비스도 있기 마련이다. 즉, 거의 모든 회사들이 웹과 모바일 앱을 운영을 하게 된다. 이때 사업을 하는 곳이 일반 정보통신서비스제공자일 수도 있고 주요정보통신기반시설이나 전자금융업자일 수 있다.
여기서 주목해야할 점은 해당 기업이 속한 부류에 따라 관련 법(정보통신망법, 전자금융거래법, 개인정보보호법, 신용정보보호법 등)을 적용 받는다. 전자금융업자일 경우 전자금융거래법을 적용받아 하위고시인 전자금융감독규정을 준수해야 한다. 이처럼 기업이 속한 부류에 따라 관련 법을 준수해야하는데 보통 1년 단위로 취약점 분석평가를 하고 법에서 명시하고 있는 상위기관에 그 결과와 보완대책을 보고하게 된다. 이처럼 취약점 분석평가가 주목적이 되다보니 모의해킹이라는 수요는 당연히 웹과 모바일에 한정될 수 밖에 없는 것이다.
컨설팅, 취약점 분석평가 라는 말과 별개로 모의해킹에 낭만이 있는 사람이 있을 것이다. 처음 보안과 관련된 업무를 하고 있거나 심지어 현업에서 뛰는 사람들도 그렇게 느끼는 경우가 많다. 특별한 사람들이, 특별한 능력을 이용해서 해킹을 하는 일로서 외적으로 화려하다고 생각하는게 크지 않나 싶다. 스포츠에 비유하자면 공격에 특화된 공격수에 대한 낭만 정도일 것이다.
그러나 본 포스팅에서는 모의해커과 정보보안 컨설턴트를 구분 짓고 싶다. 왜냐하면 전문적으로 모의해킹을 하는 사람과 업체는 극히 소수이며 대부분이 정보보안컨설팅 업체 소속으로 체크리스트 기반의 취약점 점검을 하기 때문이다. 또한, 모의해킹에 특화된 업체와 정보보안컨설팅 업체는 사업의 목적부터 다른 점이 많다. 모의해킹 업체(특화된 전문업체를 의미)는 자신들의 모의해킹 방법론을 이용하여 실제 해킹 시나리오를 보여주는 것이 목적이고 정보보안컨설팅 업체는 기업의 법규 준수를 위한 취약점 분석평가를 목적으로 하는 것에 차이점이 있기 때문이다. 물론 정보보안컨설팅 업체에서도 블랙리스트 방식으로 모의해킹을 수행하여 침투 시나리오를 하기도 한다.
정리하자면 모의해커와 정보보안 컨설턴트를 먼저 구분해야한다는 것을 말하고 싶다. 포스팅을 통해 그 동안 쉽게 접하지 못한 업계를 조금이나마 쉽게 풀어 정보보안 업계에 종사하는 보안전문가들에게 조금이나마 도움이 되는 글을 전하고 싶다.
마지막으로 정보보안 컨설턴트라고 해서 해킹 실력과 자질이 부족하다는 평가를 내리진 말자. 실력 좋은 해커들이 하는 역할이 있을 것이고 컨설턴트가 해야할 역할이 있는 것이다. 서로의 역할이 다르다고 무시할 건 아니라고 생각한다. IT 업계 중 보안업종만 유일하게 상호존중이 없는 모습을 보이는 경우가 많은데 그러지 말자. 각자의 소속과 역할이 다를 뿐이다.
