2012.10.29

해커와 보안 전문가들이 말하는 침투 테스트와 소셜 엔지니어링

Matthew Heusser | CIO
매년 여름 미국 라스베가스에 열리는, 그레이 해커(화이트 해커와 블랙 해커의 중간)와 블랙 해커까지 참가하는 세계 최대의 해킹 및 보안 컨퍼런스인 데프콘(DefCon)에 대해서는 들어봤을 것이다.
 
그러나 미국 미시간주 그랜드 래피즈(Grand Rapids)에서 열리는 해킹 및 침투 테스트 보안 컨퍼런스인 GrrCon은 생소한 사람이 많을 것이다. 올해 2년째를 맞는 이 행사에는 850명이 참석했다. 
 
기본 입장권 가격은 한 사람당 85달러였다. 그러나 키노트 행사에서 전원코드가 달린 앞 좌석에 앉을 수 있고, 핑퐁(Ping Pong), 프스복(Foosball), 비디오 게임 행사에 참석할 수 있고, 간단한 간식이 제공되는 VIP 입장권의 가격은 280달러였다.
 
해커를 막을 수 있는 최고의 방어법, 선의의 공격(Good Offense)
컨퍼런스에 참석한 보안 전문가들은 시스템 강화, 침입 탐지, 침투 테스트, 침투 공격기법 강의, 시스템 접근 방법 등에 대해 토론을 가졌다.
 
예기치 않은 사고도 있었다. 오프닝 키노트 연설을 하기로 한 시큐어 아이디어의 케빈 존슨이 참석을 하지 못한 것이다. 이로 인해 'atlas of D00m'이라는 익명의 해커가 키노트 연설을 했다. 필자는 키노트 연설이 끝날 무렵 아틀라스라는 해커가 존슨이 아닌가 의심을 했다. 그러나 이를 조사하지는 않았다.

GrrCon 연단에 오른 atlas of D00m이라는 해커
GrrCon 연단에 오른 atlas of D00m이라는 해커
 
아틀라스가 말한 내용을 요약하면 '침투 테스트는 필요하고, 이를 전반적인 보안 정책에 반영해야 한다'는 것이다. 즉, 침투 테스트를 통해 취약점을 찾고 이를 바로잡아, 6개월 후 다시 침투 테스트를 했을 때 동일한 취약점이 다시 발견되지 않도록 해야 한다는 것이다. 
 
아틀라스는 공격받은 사용자들은 당황하게 되며, 기업이 향후 보안 대책을 세울 때 가장 큰 후원자 역할을 한다고 지적했다.
 
필자는 키노트 연설 종료 직후 락피킹(Lockpicking) 시연을 둘러봤다. 컨퍼런스 장소에는 무료로 사용할 수 있는 락피킹 툴이 설치된 테이블이 놓여 있었다. 경연은 다음날까지 계속됐다.

참석자들이 무료 락피킹 툴을 시험해보고 있다. 해커들의 디지털 생활에서 없어서는 안될 툴이다.
 
또한 침투 테스트 경연대회인 '캡처 더 플래그(Capture the flag)'가 열렸다. 현지 IT 전문가인 커트 로데스는 백트랙 리눅스와 nmap(network mapper)이라는 툴을 사용해 사설망의 서버를 찾는 방법을 직접 보여줬다. 
 
로데스는 서버 IP 주소를 발견한 후, nmap를 이용해 포트를 스캔하고, 개방된 서비스와 메타스플로잇(metasploit)을 찾아 공격을 실행했다.
 
NEM 테크놀로지 대표 래리 홀랜드는 "방화벽을 설치했더라도 해커가 이미 사무실 안에 침투해 있을 위험이 있다"는 내용을 골자로 발표했다.
 
홀랜드에 따르면, BYOD 추세때문에 감염된 컴퓨터가 방화벽을 직접 통과해 내부에서 공격할 수 있다. 홀랜드는 침입 탐지 능력을 높이려면 시그니처 패킷은 물론 어디로 침입이 이뤄지는 지도 감시해야 한다고 설명했다. 그러면서 VPN(Virtual Private Networks)를 만들어 롤기반 보안을 집행해야 한다고 덧붙였다. 
 
다른 말로 설명하면, 엔지니어가 특정 장치를 이용해 네트워크에 로그인하면, 해당 장치는 핑이나, 라우팅 등을 통해 시스템 계정을 확인할 수 없을 것이라는 의미다. 홀랜더는 또한 사용자 프로파일 감시 소프트웨어를 이용해, 직원이 공유폴더 시스템에 위치한 다른 부서의 정보를 검색하면서 비롯되는 위험을 측정해야 한다고 제안했다.
 
30년 경력의 해커와 미트닉의 해킹 강연
이번 컨퍼런스에서 가장 값진 순간은 복도에서 누군가를 만난 순간이었다. 그 사람은 그랜드 래피즈에 본사를 두고 있는 ISI의 고객 담당 직원인 드류 루엔가였다.
 
루엔가는 직원 채용을 위해 이번 행사에 참석했다. ISI는 단 2년 만에 17명에서 50명의 직원을 둔 기업으로 성장했다. GrrCon은 인재를 찾아 채용하기 좋은 행사다. 그냥 IT 기술자가 아닌 열정을 가진 인재들이 모이는 행사기 때문이다.
 
루엔가는 구직자에게 전자파일 형식의 데이터가 남긴 USB 키를 건네준다. 그러면 아주 독창적인 방법으로 암호화를 해야 한다. 예를 들어, 한 명은 독특한 유닉스 체계에서만 실행되도록 암호화를 했다. 루엔가에게 파일을 열어 결과물을 보여주면, 채용 인터뷰가 시작된다.



드류 루엔가는 채용 과정에서 첫 번째 단계로 구직자에게 소프트웨어 리버스 엔지니어링(역공학)과 관련된 문제를 제시한다

또한 개인 장비의 무선 네트워크 접속 시도를 탐지하는 장치인 라즈베리 파이(Raspberry Pi)를 개발한 개인 보안 전문가인 조슈 소엔라인과 이야기를 나누는 기회를 가졌다(소엔라인은 자신을 도와 프레임워크를 확장할 프로그래머를 찾고 있었다). 
 
소엔라인이 hilt.co에서 선보인 라즈베리 파이는 역신호를 보내 가정용 네트워크가 연결을 생성하는지 확인하고, 트래픽을 감시한다. 개인 전문가에게는 사소한 기술이다. 그러나 기업 입장에서는 BYOD 정책 도입으로 사용자로부터 초래되는 취약성을 파악해 바로잡을 수 있는 방법이 된다.
 
그러나 이번 행사의 하이라이트는 초기 해커 가운데 한 명으로 알려진 케빈 미트닉의 발표였다.
 
미트닉은 간단한 해킹 시범을 보이며 대화를 시작했다. 전날 저녁에 해킹한 누군가의 아메리칸 익스프레스 카드와 보안 번호의 사진을 보여줬다. 그리고 해커 시절에 대해 설명했다.
 
- 미트닉은 12살 되던 해 로스엔젤레스 버스의 티켓 펀칭 시스템 작동 방법을 알아냈다. 이후 공짜로 버스를 탔고, 다른 사람에게도 공짜 티켓을 나눠줬다.
- 또한 전화 시스템을 해킹해 공짜로 전화를 걸었다. 등록이 안된 전화번호를 찾기도 했다(스티브 잡스 또한 같은 일을 했다).
- 미트닉은 컴퓨터 클래스에서 피보나치의 첫 100개 숫자를 찾는 프로그램을 개발하라는 과제를 받았다. 그러나 이 과제 대신 텔레타이프에서 로그인을 시뮬레이션해 패스워드를 찾고, 시스템에 로그인하는 프로그램을 개발했다.

케빈 미트닉은 자신의 두 번째 저서인 <고스트 인 더 와이어스(Ghost in the Wires, 2011)>에 그려진 해킹과 수감 생활에 대해 이야기했다.
 
결국 가장 유명세를 떨친 성공한 소셜 엔지니어링 해커가 된 미트닉은 VAX/VMS의 소스 코드를 훔친 혐의로 결국 감옥에 갔다가 2000년에 석방됐다. 하지만 7년간 자신의 해킹 범죄활동을 담은 영화나 책에서 수익을 얻을 수 없다는 처벌이 내려졌다.
 
소셜 엔지니어링은 '하드' 크래킹의 대안이다. 포트와 소프트웨어 취약성을 노출시킨다. 미트닉은 체포 영장을 피해 도주를 하다 처음 체포된 1988년 이후 출생 증명서와 사망 증명서, 사용자 ID, 패스워드를 위조해 새 신분을 만들 수 있었다고 설명했다.
 
보안 전문가들, "누구도 믿어서는 안 된다"
GrrCon에서 계속 반복해서 다뤄진 주제는 미트닉의 소셜 엔지니어링 해킹 성공이었다. 사람을 잘못 믿어 재산 피해를 입을 수 있다는 것이다.
 
그럼 다른 주제는 뭐였을까? 누구도 믿어서는 안 된다는 것이다.
필자는 행사 도중 미국 미시간주 사우스필드에 본사를 두고 있는 24x7이라는 업체가 사람을 채용하고 있다는 정보를 들었다. 

필자는 GrrCon에 이 업체를 대표해 나온 직원에게 CIO닷컴이 인력 채용에 도움을 줄 수 있으니 인터뷰를 하고, 사진을 찍도록 해달라고 요청했다. 그러나 그는 필자가 일종의 소셜 엔지니어링 공격 시도를 하고 있다고 판단하고는 이름도 말하지 않았고, 사진도 찍지 못하게 했다.
 
사실 이번 행사에는 이런 '익명성'이 만연했다. 일부 연사들은 가명을 사용하고 있다고 언급했다. 컨퍼런스에 참석한 대부분의 전문가들은 시간과 돈을 투자한 사람들이다. 물론 85달러의 티켓을 구입한 다양한 배경의 사람들 가운데는 루엔가가 채용하기 원하는 사람도 있을 것이다. 물론 놀림감이 될 수도 있다는 점을 잊지 말기를 바란다. editor@itworld.co.kr



2012.10.29

해커와 보안 전문가들이 말하는 침투 테스트와 소셜 엔지니어링

Matthew Heusser | CIO
매년 여름 미국 라스베가스에 열리는, 그레이 해커(화이트 해커와 블랙 해커의 중간)와 블랙 해커까지 참가하는 세계 최대의 해킹 및 보안 컨퍼런스인 데프콘(DefCon)에 대해서는 들어봤을 것이다.
 
그러나 미국 미시간주 그랜드 래피즈(Grand Rapids)에서 열리는 해킹 및 침투 테스트 보안 컨퍼런스인 GrrCon은 생소한 사람이 많을 것이다. 올해 2년째를 맞는 이 행사에는 850명이 참석했다. 
 
기본 입장권 가격은 한 사람당 85달러였다. 그러나 키노트 행사에서 전원코드가 달린 앞 좌석에 앉을 수 있고, 핑퐁(Ping Pong), 프스복(Foosball), 비디오 게임 행사에 참석할 수 있고, 간단한 간식이 제공되는 VIP 입장권의 가격은 280달러였다.
 
해커를 막을 수 있는 최고의 방어법, 선의의 공격(Good Offense)
컨퍼런스에 참석한 보안 전문가들은 시스템 강화, 침입 탐지, 침투 테스트, 침투 공격기법 강의, 시스템 접근 방법 등에 대해 토론을 가졌다.
 
예기치 않은 사고도 있었다. 오프닝 키노트 연설을 하기로 한 시큐어 아이디어의 케빈 존슨이 참석을 하지 못한 것이다. 이로 인해 'atlas of D00m'이라는 익명의 해커가 키노트 연설을 했다. 필자는 키노트 연설이 끝날 무렵 아틀라스라는 해커가 존슨이 아닌가 의심을 했다. 그러나 이를 조사하지는 않았다.

GrrCon 연단에 오른 atlas of D00m이라는 해커
GrrCon 연단에 오른 atlas of D00m이라는 해커
 
아틀라스가 말한 내용을 요약하면 '침투 테스트는 필요하고, 이를 전반적인 보안 정책에 반영해야 한다'는 것이다. 즉, 침투 테스트를 통해 취약점을 찾고 이를 바로잡아, 6개월 후 다시 침투 테스트를 했을 때 동일한 취약점이 다시 발견되지 않도록 해야 한다는 것이다. 
 
아틀라스는 공격받은 사용자들은 당황하게 되며, 기업이 향후 보안 대책을 세울 때 가장 큰 후원자 역할을 한다고 지적했다.
 
필자는 키노트 연설 종료 직후 락피킹(Lockpicking) 시연을 둘러봤다. 컨퍼런스 장소에는 무료로 사용할 수 있는 락피킹 툴이 설치된 테이블이 놓여 있었다. 경연은 다음날까지 계속됐다.

참석자들이 무료 락피킹 툴을 시험해보고 있다. 해커들의 디지털 생활에서 없어서는 안될 툴이다.
 
또한 침투 테스트 경연대회인 '캡처 더 플래그(Capture the flag)'가 열렸다. 현지 IT 전문가인 커트 로데스는 백트랙 리눅스와 nmap(network mapper)이라는 툴을 사용해 사설망의 서버를 찾는 방법을 직접 보여줬다. 
 
로데스는 서버 IP 주소를 발견한 후, nmap를 이용해 포트를 스캔하고, 개방된 서비스와 메타스플로잇(metasploit)을 찾아 공격을 실행했다.
 
NEM 테크놀로지 대표 래리 홀랜드는 "방화벽을 설치했더라도 해커가 이미 사무실 안에 침투해 있을 위험이 있다"는 내용을 골자로 발표했다.
 
홀랜드에 따르면, BYOD 추세때문에 감염된 컴퓨터가 방화벽을 직접 통과해 내부에서 공격할 수 있다. 홀랜드는 침입 탐지 능력을 높이려면 시그니처 패킷은 물론 어디로 침입이 이뤄지는 지도 감시해야 한다고 설명했다. 그러면서 VPN(Virtual Private Networks)를 만들어 롤기반 보안을 집행해야 한다고 덧붙였다. 
 
다른 말로 설명하면, 엔지니어가 특정 장치를 이용해 네트워크에 로그인하면, 해당 장치는 핑이나, 라우팅 등을 통해 시스템 계정을 확인할 수 없을 것이라는 의미다. 홀랜더는 또한 사용자 프로파일 감시 소프트웨어를 이용해, 직원이 공유폴더 시스템에 위치한 다른 부서의 정보를 검색하면서 비롯되는 위험을 측정해야 한다고 제안했다.
 
30년 경력의 해커와 미트닉의 해킹 강연
이번 컨퍼런스에서 가장 값진 순간은 복도에서 누군가를 만난 순간이었다. 그 사람은 그랜드 래피즈에 본사를 두고 있는 ISI의 고객 담당 직원인 드류 루엔가였다.
 
루엔가는 직원 채용을 위해 이번 행사에 참석했다. ISI는 단 2년 만에 17명에서 50명의 직원을 둔 기업으로 성장했다. GrrCon은 인재를 찾아 채용하기 좋은 행사다. 그냥 IT 기술자가 아닌 열정을 가진 인재들이 모이는 행사기 때문이다.
 
루엔가는 구직자에게 전자파일 형식의 데이터가 남긴 USB 키를 건네준다. 그러면 아주 독창적인 방법으로 암호화를 해야 한다. 예를 들어, 한 명은 독특한 유닉스 체계에서만 실행되도록 암호화를 했다. 루엔가에게 파일을 열어 결과물을 보여주면, 채용 인터뷰가 시작된다.



드류 루엔가는 채용 과정에서 첫 번째 단계로 구직자에게 소프트웨어 리버스 엔지니어링(역공학)과 관련된 문제를 제시한다

또한 개인 장비의 무선 네트워크 접속 시도를 탐지하는 장치인 라즈베리 파이(Raspberry Pi)를 개발한 개인 보안 전문가인 조슈 소엔라인과 이야기를 나누는 기회를 가졌다(소엔라인은 자신을 도와 프레임워크를 확장할 프로그래머를 찾고 있었다). 
 
소엔라인이 hilt.co에서 선보인 라즈베리 파이는 역신호를 보내 가정용 네트워크가 연결을 생성하는지 확인하고, 트래픽을 감시한다. 개인 전문가에게는 사소한 기술이다. 그러나 기업 입장에서는 BYOD 정책 도입으로 사용자로부터 초래되는 취약성을 파악해 바로잡을 수 있는 방법이 된다.
 
그러나 이번 행사의 하이라이트는 초기 해커 가운데 한 명으로 알려진 케빈 미트닉의 발표였다.
 
미트닉은 간단한 해킹 시범을 보이며 대화를 시작했다. 전날 저녁에 해킹한 누군가의 아메리칸 익스프레스 카드와 보안 번호의 사진을 보여줬다. 그리고 해커 시절에 대해 설명했다.
 
- 미트닉은 12살 되던 해 로스엔젤레스 버스의 티켓 펀칭 시스템 작동 방법을 알아냈다. 이후 공짜로 버스를 탔고, 다른 사람에게도 공짜 티켓을 나눠줬다.
- 또한 전화 시스템을 해킹해 공짜로 전화를 걸었다. 등록이 안된 전화번호를 찾기도 했다(스티브 잡스 또한 같은 일을 했다).
- 미트닉은 컴퓨터 클래스에서 피보나치의 첫 100개 숫자를 찾는 프로그램을 개발하라는 과제를 받았다. 그러나 이 과제 대신 텔레타이프에서 로그인을 시뮬레이션해 패스워드를 찾고, 시스템에 로그인하는 프로그램을 개발했다.

케빈 미트닉은 자신의 두 번째 저서인 <고스트 인 더 와이어스(Ghost in the Wires, 2011)>에 그려진 해킹과 수감 생활에 대해 이야기했다.
 
결국 가장 유명세를 떨친 성공한 소셜 엔지니어링 해커가 된 미트닉은 VAX/VMS의 소스 코드를 훔친 혐의로 결국 감옥에 갔다가 2000년에 석방됐다. 하지만 7년간 자신의 해킹 범죄활동을 담은 영화나 책에서 수익을 얻을 수 없다는 처벌이 내려졌다.
 
소셜 엔지니어링은 '하드' 크래킹의 대안이다. 포트와 소프트웨어 취약성을 노출시킨다. 미트닉은 체포 영장을 피해 도주를 하다 처음 체포된 1988년 이후 출생 증명서와 사망 증명서, 사용자 ID, 패스워드를 위조해 새 신분을 만들 수 있었다고 설명했다.
 
보안 전문가들, "누구도 믿어서는 안 된다"
GrrCon에서 계속 반복해서 다뤄진 주제는 미트닉의 소셜 엔지니어링 해킹 성공이었다. 사람을 잘못 믿어 재산 피해를 입을 수 있다는 것이다.
 
그럼 다른 주제는 뭐였을까? 누구도 믿어서는 안 된다는 것이다.
필자는 행사 도중 미국 미시간주 사우스필드에 본사를 두고 있는 24x7이라는 업체가 사람을 채용하고 있다는 정보를 들었다. 

필자는 GrrCon에 이 업체를 대표해 나온 직원에게 CIO닷컴이 인력 채용에 도움을 줄 수 있으니 인터뷰를 하고, 사진을 찍도록 해달라고 요청했다. 그러나 그는 필자가 일종의 소셜 엔지니어링 공격 시도를 하고 있다고 판단하고는 이름도 말하지 않았고, 사진도 찍지 못하게 했다.
 
사실 이번 행사에는 이런 '익명성'이 만연했다. 일부 연사들은 가명을 사용하고 있다고 언급했다. 컨퍼런스에 참석한 대부분의 전문가들은 시간과 돈을 투자한 사람들이다. 물론 85달러의 티켓을 구입한 다양한 배경의 사람들 가운데는 루엔가가 채용하기 원하는 사람도 있을 것이다. 물론 놀림감이 될 수도 있다는 점을 잊지 말기를 바란다. editor@itworld.co.kr

X