디지털 전쟁터: 윤리적 해커 vs. 악의적인 해커
소개
2011년에 씨티은행(Citigroup)이 사이버 공격을 받아 거의 270만 달러에 달하는 피해를 입었다는 사실을 알고 계십니까?
공격자들은 자신들의 웹사이트에서 발생한 단순한 데이터 유출을 이용했습니다. 그들은 그것이 발견되기 몇 달 전부터 이를 악용해 왔습니다. 36만 개 이상의 계좌가 영향을 받았기 때문에 은행은 많은 어려움을 겪었고, 이를 제거하는 것은 상당히 어려운 일이었습니다.
요약
정보보안의 탄생
지난 20년 동안 컴퓨터 과학은 급격히 성장했습니다. 많은 것이 발견되었고 많은 것이 개선되었습니다. 오늘날 컴퓨터와 기술은 적어도 그 형태와 기능 면에서 처음에 존재했던 것과 아무런 관련이 없습니다. 그것이 새로운 보물, 이전에는 쉽게 접근할 수 없었던 보물을 키워낸 것입니다. 그것으로 인해 많은 것이 달라졌을 것입니다. 그것이 바로 _정보_입니다.
인류의 생명을 구할 수 있을 만큼 정보의 중요성이 높아졌습니다! 이는 일상생활에서도 매우 중요하며 다양한 형태로 발견됩니다. 이번 글에서는 디지털 정보, 즉 컴퓨터에 저장된 정보에 대해 이야기할 것이며, 이를 데이터라고 부르겠습니다.
데이터는 학교, 병원, 은행, 정부, 군대, 슈퍼마켓 등 어디에나 있습니다. 따라서 기본적으로 전 세계 모든 사람이 데이터를 가지고 있습니다. 그 중요성은 사람마다, 사용법마다 다릅니다. 때로는 매우 중요할 수도 있습니다.
불행하게도 세상에 완벽한 것은 없기 때문에 이 정보에 대한 액세스가 손상될 수 있습니다. 이는 주로 다양한 형태의 인적 요인 때문입니다. 그것은 오류일 수도 있고, 실수일 수도 있고 때로는 단순한 부주의일 수도 있습니다. 이는 디지털 시스템에 보안 허점을 남길 수 있으며, 이러한 허점을 취약성이라고 합니다.
그리고 이러한 취약점을 이용하여 자신의 이익을 위해 이를 표적으로 삼으려는 악의적인 의도를 가진 사람들이 많이 있습니다. 그들은 해커라고 불립니다.
해커는 범죄자로 간주되며 이는 결코 잘못된 것이 아닙니다. 그들의 행위의 결과는 금전적 손실과 많은 사람들의 삶의 파멸을 포함하여 비참할 수 있지만 때로는 무시할 수 없는 사소한 피해가 있을 수도 있습니다. 우리는 나중에 이러한 결과 중 일부를 살펴볼 것입니다.
그들의 존재로 인해 그들(해커)과 맞서 싸우는 사람들이 있어 정보 보안에 대한 관리가 불가피해졌습니다.
그들은 윤리적 해커라고 불리며, 그들의 임무는 기본적으로 해커의 공격(사이버 공격이라고도 함)을 예방하거나 최소화하는 것입니다. 그들은 디지털 세상을 보다 안전한 곳으로 만들기 위해 노력하는 사람들입니다.
사이버 공격
따라서 사이버 공격은 앞서 소개한 바와 같이 해커의 행위입니다. 해커는 다양한 악의적인 목적으로 데이터를 훔치거나, 무단 변경을 수행하거나, 심지어 파괴하기 위해 시스템을 공격합니다.
이러한 공격의 대부분은 다음 세 가지 범주 중 하나로 분류될 수 있습니다.
시스템에 대한 공격
이 경우 취약점은 일반적으로 시스템의 기술적 실수로 인해 발생합니다. 해커는 시스템에 대한 지식과 시스템 작동 방식을 사용하여 이를 자신에게 유리하게 사용하는 방법을 찾고 리소스나 시스템 전체에 대한 무단 액세스를 얻을 수 있습니다.
우리는 일반적으로 다음에 대해 이야기합니다.
-
제로데이 익스플로잇(최근 발견된 취약점이지만 패치가 적용되지 않아 최신 버전의 시스템에 여전히 존재함을 의미함).
-
CVE(취약성 공격 코드)는 오래된 시스템과 관련된 개념 증명입니다.
-
중간자 공격, 서비스 거부(DOS), 분산 서비스 거부(DDOS) 등
사람을 공격함
디지털 시스템에서 가장 취약한 부분이 인간이라는 것은 널리 알려져 있다. 그 안에서 가장 예측불가한 배우다. 실제로 회사에서 일하는 사람들을 대상으로 많은 사이버 공격이 수행되어 중요한 데이터를 노출하거나 많은 시스템에서 재앙적인 작업을 수행했습니다.
제가 공개하고 싶은 인용문은 다음과 같습니다.
'인간의 어리석음에는 패치가 없다'
즉, 해커가 직접 사람들을 해킹하는 데 성공하면 아무 것도 할 수 없다는 뜻입니다! 여기서는 피싱과 같은 다양한 기술을 사용하여 개인의 사고방식을 해킹하는 것을 목표로 하는 사회 공학에 대해 자세히 설명합니다.
사람을 통한 시스템 공격
이 경우 공격의 목적은 일반적으로 데이터를 파괴하거나 시스템을 오작동시키는 것입니다. 이는 사람들이 악성코드라고 불리는 악성 컴퓨터 프로그램을 사용하게 함으로써 이루어집니다.
이는 데이터를 파괴하거나 형태를 완전히 변경하여 사용할 수 없게 만들거나 심지어 데이터를 유출하여 심각한 결과를 초래하는 프로그램입니다. 그리고 그것이 바로 그 일이다
-
바이러스: 시스템이나 네트워크에서 매우 빠르게 확산되는 프로그램
-
랜섬웨어: 강력한 알고리즘을 통해 데이터를 암호화하고 이를 되찾기 위해 몸값을 요구하는 악성 코드입니다.
-
트로이 목마, 웜 등
-
반면에 맬웨어는 스파이웨어처럼 유휴 상태를 유지하면서 데이터만 훔칠 수 있습니다.
보시다시피 이는 어떤 방식으로든 시스템에 포함되는 인간의 오류에 의해서만 달성됩니다.
일부 심각한 사이버 재난
지난 10년 동안 세계는 심각한 결과를 초래한 수많은 사이버 공격을 알고 있었습니다.
이로 인해 조직은 시스템 보안에 더 많은 관심을 갖게 되었습니다.
가장 잘 알려진 것들은 다음과 같습니다:
- 소니 픽처스 해킹(2014)
2014년 북한 소행으로 지목된 소니 픽처스 엔터테인먼트(Sony Pictures Entertainment)에 대한 사이버 공격으로 인해 미공개 영화와 민감한 직원 정보를 포함한 기밀 데이터가 노출되었습니다. '평화의 수호자'라는 가명으로 활동하는 가해자들은 북한 지도자 암살을 다룬 가상의 음모를 다룬 영화 '인터뷰'의 개봉을 중단하라고 소니 측에 요구했다.
- WannaCry 랜섬웨어(2017)
세계적인 랜섬웨어 공격인 WannaCry는 특히 오래된 Windows 버전을 사용하는 컴퓨터를 찾았습니다. 이 악성 프로그램은 빠르게 전파되어 전 세계의 조직과 개인 모두에게 영향을 미쳤습니다. 이는 NSA에서 훔친 보안 취약점을 악용하여 피해자의 파일을 암호화하고 데이터 암호 해독에 대한 대가를 지불하도록 유도했습니다. 상당한 피해가 발생하기 전에 보안 연구원은 우연히 공격을 중단할 수 있는 메커니즘을 찾아냈습니다.
- SolarWinds 사이버 공격(2020)
SolarWinds 사이버 공격은 저명한 IT 관리 회사인 SolarWinds를 표적으로 삼아 복잡하게 계획된 공급망 침해였습니다. 공격자는 SolarWinds의 소프트웨어 업데이트를 손상시켜 정부 기관 및 유명 기업을 포함한 다양한 기관의 시스템에 대한 액세스를 제공했습니다. 해당 공격은 러시아 APT(Advanced Persistent Threat) 그룹과 연계되어 있었습니다.
- Log4j(2021)
20년의 역사를 지닌 잘 정립된 Java 유틸리티인 Log4j는 2021년 12월 Log4Shell이라는 중요한 취약점이 발견되면서 중요한 순간을 맞이했습니다. 이 결함으로 인해 인증되지 않은 미숙련 악의적인 행위자가 애플리케이션을 제어할 수 있게 되어 비용이 많이 드는 보안 위반이 발생했습니다.
- 트위터(2022년 사회공학 공격으로 사용자 계정 540만 개 도난)
2022년 8월 5일, 트위터는 '악마'라는 가명으로 활동하는 해커가 제로데이 취약점을 악용했다는 놀라운 발표를 했습니다. 이 침해로 인해 그들은 전화번호, 이메일 주소와 같은 개인 식별 정보를 소셜 미디어 플랫폼의 사용자 계정과 연결할 수 있었습니다.
이 취약점이 제공하는 기회를 포착한 해커는 이후 온라인 포럼에 방대한 데이터 세트를 30,000달러의 가격으로 공개했습니다. 이 버그의 존재는 2021년 6월에 공개되어 500만 명 이상의 사용자에게 영향을 미쳤습니다.
이 사건에 대해 트위터는 신속하게 조치를 취해 영향을 받은 계정 소유자에게 직접 연락하고 지침을 제공했습니다. 그들은 사용자에게 계정에 대한 무단 액세스에 대한 필수 보호 수단으로 이중 인증을 구현할 것을 촉구했습니다.
윤리적 해커
앞서 언급했듯이 기술 분야에서 해커가 증가하면서 조직은 시스템 보안을 강화하기 위한 솔루션을 고려하게 되었습니다.
따라서 그들은 패치나 수정을 위해 이러한 시스템을 검토하고 취약점을 탐지하는 데 비용을 지불할 수 있는 직위나 일자리를 찾아야 했습니다. 이러한 직책을 맡은 사람들은 실제로 우리가 윤리적 해커라고 부르는 사람들입니다.
윤리적 해킹은 크게 두 가지 범주로 나뉜다.
-
공격적인 보안: 침투 테스트 또는 윤리적 해킹이라고도 알려진 것은 취약성과 약점을 식별하기 위해 조직의 시스템에 대한 사이버 공격을 시뮬레이션하는 관행입니다. 공격적 보안의 주요 목표는 악의적인 행위자가 보안 문제를 악용하기 전에 보안 문제를 사전에 발견하고 해결하는 것입니다.
-
방어적 보안: 잠재적인 위협으로부터 조직의 시스템, 데이터 및 네트워크 인프라를 보호하는 데 중점을 둡니다. 주요 목표는 무단 액세스, 데이터 침해 및 기타 보안 사고를 방지하는 것입니다.
윤리적 해킹은 시스템을 보호할 때 일반적으로 다른 접근 방식이나 팀을 사용합니다. 이들 중 일부는 다음과 같습니다:
-
레드팀 구성: 조직의 시스템, 프로세스, 방어의 보안을 테스트하고 평가하는 체계적이고 체계적인 접근 방식입니다. 여기에는 조직의 보안 상태, 취약성 및 전반적인 탄력성을 평가하기 위해 사이버 공격 및 기타 위협을 시뮬레이션하는 작업이 포함됩니다. 레드팀 구성의 주요 목표는 조직의 보안 기능에 대한 편견 없고 현실적인 평가를 제공하고 기존 보안 테스트 방법으로는 명확하지 않을 수 있는 약점을 식별하는 것입니다.
-
블루 팀 구성: 블루 팀은 조직의 디지털 자산, 시스템, 데이터를 사이버 위협으로부터 보호하는 동시에 보안 사고를 탐지하고 대응하는 일도 담당합니다. 공격과 적대적 활동을 시뮬레이션하는 레드팀과 달리 블루팀은 주로 조직의 보안 태세를 유지하고 개선하는 데 관심이 있습니다.
-
퍼플 팀 구성: 조직 내 레드팀과 블루팀의 노력을 결합하는 사이버 보안에 대한 협력적이고 통합된 접근 방식입니다. 퍼플 팀 구성의 목표는 두 팀 간의 의사소통, 지식 공유, 공동 테스트를 촉진하여 조직의 전반적인 보안 상태를 개선하는 것입니다.
아래 이미지와 같이 보다 전문화된 다른 유형의 팀도 있습니다.
정보 세계에서 역할의 중요성과 관련하여 침투 테스트 및 애플리케이션 검토와 같은 정보 보안 분야의 서비스를 전문적으로 제공하는 여러 조직과 기업이 있습니다.
조직뿐만 아니라 이 분야의 프리랜서들도 버그 바운티 헌팅 프로그램(시스템에서 발견한 취약점을 보고한 개인에게 보상을 제공하는 회사에서 시작한 프로그램)의 등장으로 흥미로운 증가세를 보였습니다.
결론
결론적으로 우리는 디지털 정보가 중요한 자원으로 남아 있는 한 윤리적인 해커와 비윤리적인 해커 사이의 전쟁은 끝날 수 없다는 점을 명시해야 합니다.
모든 사람은 기술 지식이 전혀 필요하지 않은 정보 보안 관행을 알고 있어야 합니다. 사이버 보안 분야에서 경력을 쌓는 것을 고려하는 것은 윤리적인 해커에 대한 수요가 높고 즉시 학습을 시작할 수 있는 리소스가 많기 때문에 흥미로운 선택입니다! 그럼 이 글을 마치며 여러분께 질문 하나를 드리겠습니다. 피싱 등 사이버 공격을 받은 적이 있거나, 이미 랜섬웨어나 바이러스에 감염된 적이 있나요? 그것에 대해 알려주십시오!