검수요청.png검수요청.png

화이트해커

위키원
dlensk99 (토론 | 기여)님의 2021년 1월 7일 (목) 15:53 판
이동: 둘러보기, 검색

화이트해커(white hacker)는 대상 기관의 보안 시스템취약점을 분석하고 평가하기 위해해킹을 감행하는 해커를 의미한다. 화이트햇(white hat)이라고도 한다.

개요

인터넷 시스템과 개인 컴퓨터 시스템을 파괴하는 해커블랙해커(Black Hacker) 혹은 크래커(Cracker)라고 하고 화이트해커는 블랙해커가 인터넷과 컴퓨터를 파괴하는 행동에 대비하고, 방어하는 해커를 말한다. 이들은 보안 시스템의 취약점을 발견해 관리자에게 제보함으로써 블랙해커의 공격을 예방한다. 최근에 화이트해커는 민, 관에서 서버의 취약점을 찾아서 보안 기술을 만드는 보안 전문가들을 말하기도 한다. 이들 가운데 아키텍처(설계)를 분석하여 시스템에 존재하는 취약점을 찾아내 공격 시나리오를 짤 수 있는 최고 수준의 인력을 엘리트해커(Elite Hacker)라고 부른다.[1]

화이트해커들은 국가나 기업의 보안 시스템의 취약점을 알아내 관리자들에게 제보하여 크래커들의 공격으로부터 예방하는 역할을 한다. 이들은 기업이나 관공서 등에서 직접 근무를 하기도 하고, 학업이나 공부를 위해 보안의 약점을 조사하고 알려주는 역할을 하기도 한다.[2]

유명 화이트해커

홍민표는 대한민국의 IT 기술력을 세계에 널리 알려준 사람이기도 하다. 그는 2000년 카이스트가 주최한 '세계해킹대회'에서 우승하였다. 소프트웨어 개발, 공급회사인 ㈜에스이웍스(SEWORKS)와 와우해커(WOWHACKER)의 대표이사이다. 와우해커는 1998년에 설립된 대한민국의 해커그룹으로 2008년 보안 해킹 기술을 담은 전문 서적 '와우 스토리'를 출간하였다. 와우해커 멤버들과 함께 데프콘(DEFCON) 대회에 7번 참여하여 5번 본선에 연속 진출하였다. 홍민표 대표는 디도스 공격 전용백신인 'VGuard'를 만들어 무료 배포했다.[3]
박찬암은 2005년 고등학교 1학년에 청소년 정보보호 페스티벌에서 최우수상을 받았다. 2007년 고교생 해킹 보안 챔피언십 우승, 미국 라스베이거스 데프콘(DEFCON)26 CTF 해킹대회 입상, 2009년 코드게이트 국제해킹 방어대회 우승, 말레이시아 Hack In the Box 콘퍼런스 해킹대회 우승을 하였다. 그는 2018년 해커 출신으로는 최초로 고등학교 정보 교과서에 수록되었으며 미국 포브스 선정 아시아의 영향력 있는 30세 이하 30인(Forbes 30 Under 30 Asia) 리스트에 등재되었다. 현재 IT 벤처기업 ㈜스틸리언(STEALIEN)의 대표이사이다.[4]
구사무엘은 2007년 정보통신부 주최 제4회 해킹방어대회 본선에 진출했으며, 같은 해 고교생 해킹 보안 챔피언십에서 2위를 차지하면서 화이트 해커로 알려졌다. 2008년 건국대학교에 진학한 후, 메이킹(mayking)이라는 팀의 구성원으로 제5회 KISA 해킹 방어대회에 참가해 1위를 차지했다. 이후 조선일보 등 주요 언론에 소개되었으며, 각종 기업과 정부 기관, 군 등에서 해킹 기술에 대해 강연했다.[5]
이정훈은 2013년 미국 라스베이거스에서 열린 해킹 올림픽 '제21회 데프콘'에서 3위를 차지하였고, 2015년 'EDF KOR'이라고 하는 한국팀을 이끌고 '제23회 데프콘'에서 아시아팀으로 첫 우승을 하였다. 같은 해 캐나다 해킹 대회에서 우승하였다. 이 대회에서 구글, 애플, 마이크로소프트의 인터넷 접속 프로그램 보안망을 혼자서 뚫었다.[6] 이후 소프트웨어 보안 취약점을 찾아내는 버그바운티 폰투온 대회에서 역사상 가장 큰 금액의 상금을 차지하였다.[7]

화이트해커의 종류

모의해킹전문가

기업의 취약점 또는 라이벌 기업의 정보를 얻기 위해 모의로 해킹을 하는 업무를 담당한다.[8]

네트워크나 시스템을 보호하기 위해 보안 조치를 계획하고 실행하고, 고객의 환경에 적합한 시스템을 설계한다. 그 후 동의하에 모의 해킹 테스트를 진행하고 보안상의 문제점을 해결한다. 보안 시스템을 주기적으로 유지할 수 있게 한다.[9]

침해대응전문가

블랙해커 혹은 크래커들의 공격이 들어왔을 때 대응책을 만든다.[8]

침해 대응의 등급을 해킹의 공격 방법과 공격량의 위험도를 나누어 1등급에서 3등급으로 분류한다.[10]

  • 1등급
대규모 상태로 DDos 공격 등으로 정상적인 접근과 운용이 불가능하거나 네트워크 단계에서 접근제어를 해도 다른 경로로 침입자가 지속해서 해킹 공격을 하는 심각한 상황이다.[10]
  • 2등급
부분적으로 공격을 당하는 경우로, 시스템이나 권리자 권한이 허락받지 않은 사람에게 있거나, 악성코드, 허가되지 않은 파일 등이 발견되는 상황이다.[10]
  • 3등급
가장 약한 단계로, 보안관제를 진행하는 시스템의 취약점을 파악하고 있는 징조를 보이거나 허가를 받지 않은 IP의 접근 시도가 발견되는 단계이다.[10]

솔루션 개발자

초반의 네트워킹 망 구축부터 코드에 대한 백신 등을 다룬다.[8]

보안관제 정보보안전문가

트래픽양이 어느 곳으로 집중되는지, 어떤 동향들이 파악되는지 등을 실시간으로 모니터링을 한다.[8]

중앙관제센터에서 보안 시스템을 운영 및 관리를 한다. 24시간 모니터링을 하고, 사이버 침입에 대해 분석을 하고, 대응하는 업무를 한다.[11]

포렌식 정보보안전문가

컴퓨터 속에 남기고 간 증거를 종류별로 다 모아 수사를 진행하는 사이버수사대나 국정원 등에서 사용되는 수사기법을 사용한다.[8]

  • 메모리 이미지 포렌식
기기 내 RAM으로부터 증거 자료를 획득하는 기술이다.[12]
  • 사이버 포렌식 기술
기기 내 암호화된 정보를 복구하는 기술로, RAM 데이터의 복제본을 활용하여 이메일이나 텍스트 같은 정보를 다시 생성하는 것이다. 사용자가 최근에 접속했던 앱들을 열람할 수 있다.[12]

화이트해커가 하는 일

  • 운영체제, 서버 애플리케이션의 취약점을 분석하고 보완한다.
  • 바이러스 등의 악성코드 분석과 대응 솔루션을 개발한다.
  • 침해를 당했을 때 피해 규모를 최소화하기 위해 시스템보호 예방전략을 만든다.
  • 실제 크래커가 사용하는 해킹 도구와 기법을 이용한 모의 해킹 진단 등을 통해 안정적인 운영체계와 보안시스템을 갖추기 위한 업무를 진행한다.[8]

화이트해커가 되기 위해서

화이트해커가 되기 위해서 기본이 되는 프로그래밍, 네트워크, 운영체제에 대해 배워야 한다.[13] 프로그래밍 자격증에는 리눅스(LPIC)가, 네트워크 자격증에는 CCNA, CCNP가, 그리고 윈도우(MCITP) 자격증이 있다.[8]

정보보안 전문가 자격증에는 국제 자격증과 국내 자격증이 있는데, 국제 자격증에는 SIS(정보보호 전문가), CISSP(정보시스템 보안 전문가), CISA(정보시스템 관리사)가 있고, 국내 자격증에는 정보보안 기사, 정보보안 산업기사가 있다.[13]

한국교육학술정보원에서 교육부와 함께 '정보보호 영재교육원'을 운영한다. 수도권, 충청권, 영남권, 호남권 등 전국 4개 권역에 지정된 대학교에서 재능과 끼가 있는 학생을 대상으로 윤리의식과 전문성을 갖춘 화이트해커를 양성하기 위한 커리큘럼을 진행한다.[14]

화이트해커가 되기 위해서 물론 자격증도 필요하지만, 해킹 기술은 정해진 것이 없고 새로운 기술이 계속 나타나기때문에 집중할 수 있는 끈기와 남들과 다른 창의력도 있어야한다.[15]

화이트해커의 전망

해킹과 보안은 계속 발전하고 있다. 다가오는 4차 산업혁명을 둘러싼 고도의 기술 등 모든 사업영역에서 보안은 필수적이다. IT, 통신, 금융 등의 기업들은 보안체계구축이 법적으로 의무화되고 있어 보안 연구를 하는 화이트해커들의 미래가치는 중요해진다. 한국고용정보원에서 기업뿐만 아니라 국가적으로 전문가를 통한 보안유지의 필요성이 커지고 있어 고용이 지속적으로 늘어날 것이라고 했다.[15]

보안 위협을 방어하는 방법

보안 초점

대부분의 보안 방어자는 특정 위협에 집중하고, 침입 방식보다 해커가 침입 한 후의 조치에 집중한다. 패치되지 않은 소프트웨어, 소셜 엔지이너링, 비밀번호 공격, 물리적 공격, 사용자 오류, 도청, 잘못된 구성, Dos(Denial of Service)에 초점을 맞추면 해커와 악성코드에 대항하는 데 큰 도움이 된다. 보안 위험을 최대한 빠르게 최소화하고 싶다면, 큰 피해를 줄 수 있는 원인을 찾아내야 한다.[16]

향상된 소프트웨어 패치

패치되지 않은 소프트웨어는 최소한의 최종 사용자 개입이 필요하기 때문에 선호하는 공격 벡터이다. 해커가 패치되지 않은 소프트웨어를 찾아 네트워크 컴퓨터와 서비스를 공격하고 해킹한 후 추가적인 내부 대상으로 옮겨 갈 수 있다. 또는 사용자를 속여 취약성을 이용하기 위한 이메일을 열게하거나 웹사이트를 방문하도록 할 수 있다. 보안 위험을 가장 빠르게 최소화가 될 수 있게 하는 핵심은 가장 높은 위험의 컴퓨터에서 가장 높은 위험의 소프트웨어 프로그램에 집중하는 것이다. 패치 관리 프로그램에서 훨씬 강력한 보안 방어를 제공하기 위해서는 6가지의 질문에 답해야 한다.

위험이 가장 높은 프로그램을 우선시 하는가
위험이 가장 높은 프로그램에 99% 이하의 패치율을 허용하는가
허용한다면, 그 이유는 무엇인가
가장 높은 위험의 프로그램이 무엇인지 아는가
익스플로잇 공격을 할 때 가장 많이 이용되는 소프트웨어 프로그램이 무엇인가
패치 관리 프로그램에 펌웨어, 모바일 장치 패치, 하드웨어가 포함되어 있는가[16]

향상되고 증가된 소셜 엔지니어링 교육

컴퓨터를 계속 사용하는 한, 이메일이나 인터넷 브라우저를 이용한 소셜 엔지니어링 위협이 패치되지 않은 소프트웨어만큼이나 대부분의 기저 익스플로잇 공격의 원인으로 꼽힌다. 많은 연구 결과 인식 교육을 제공하는 것이 다른 방법에 상관없이 사용자가 소셜 엔지니어링 방법에 속을 가능성을 낮춰준다.[16]

비밀번호 관리 강화

비밀번호가 분산되어 해커가 볼 수 있다면, 초기 익스플로잇 공격에 문제가 된다. 모든 웹사이트에 전체적인 패턴 없이 고유한 비밀번호를 생성하는 것이 안전책이다. 비밀번호 관리와 관련하여 다섯가지의 사항을 권장한다.

수개월 동안 변경하지 않은 비밀번호를 패턴이 없는 비밀번호로 변경한다.
중요한 계정에서는 MFA(Multi-Factor Authentication)를 이행하자. 여기서 MFA(Multi-Factor Authentication)란 다요소 인증으로 지식(knowledge), 소유(possession), 속성(inherence) 중 두 가지에 한해 별도의 여러 증거 부분을 인증 메커니즘에 성공적으로 제시한 이후에만 접근 권한이 주어지는 접근제어 방식이다.
웹사이트마다 비밀번호가 고유해야한다.[17]
트로이 헌트의 HBP(HavelBeenPwned) 또는 BA(BreachAlarm) 같은 비밀번호 데이터 유출 서비스를 확인하거나 무료 기업용 툴을 이용하여 비밀번호를 한 번에 확인한다.
활성화된 비밀번호가 알려진 비밀번호의 데이터베이스에 저장된 것과 일치하는지 확인하는 관리 툴을 고려한다.[16]

활용

금융

디파이 프로토콜 워프파이낸스에서 플래시 론 공격에 노출되어 약 776만 달러(약 85억 원) 규모의 피해를 보았지만, 화이트해커들의 도움으로 손실한 자금의 75%를 회수했다.[18]

고객사의 핵심서버에 접근하여 인터넷뱅킹 잔고를 늘리거나 줄일 수 있다. 이런 취약점을 보완하기 위해 컨설팅을 받는다.[19]

스마트홈

전국 거의 모든 아파트의 전체 세대가 하나의 네트워크를 공유한다. 이 중 한 세대가 해킹되면 모든 세대가 위험에 노출된다. 스마트홈을 해킹하면 현관 도어록을 열 수 있고, 보일러, 전등, 냉장고 등을 마음대로 조종할 수 있다. 또한 CCTV나 컴퓨터를 이용하여 집안 상황을 들여다볼 수 있다. 이러한 문제점을 알려 건설사가 아파트를 지을 때 '사이버 경계벽'을 구축하고 있다.[19]

자동차

블루투스 해킹을 통해 차를 훔치는 것이 가능하다. 테슬라가 만든 SUV '모델X'를 화이트해커가 2분 30초 만에 뚫었다. 블루투스로 노트북과 모델X 자동차 키를 연결하여 잠금 해제 코드를 생성하여 복제한 키를 연동시키는 데 성공했다. 테슬라는 이를 허점으로 인정하여 소프트웨어 보안 업데이트를 하였다.[20]

정보 도용

신용카드 정보를 도난당했을 때, 사이버 포렌식 기술을 이용하였다. 포렌식 전문가가 시스템을 검사하여 멀웨어를 발견하였고, 카드를 사용할 때마다 정보를 다른 곳으로 전송하는 멀웨어가 발견되었다.[12]

CJ화이트햇
CJ올리브네트웍스에서 정보보안 강화 프로그램을 출시했다. CJ화이트햇은 CJ올리브네트웍스가 글로벌 정보보안 체계를 확립 및 인프라를 구축하고, 최신 해킹기법에 대한 대비로 정보보안 무사고를 유지하고, 신규사업을 진출 시 정보보안 요건 검토를 하여 다년간 쌓아온 컨설팅 역량을 활용하여 컨설팅 서비스와 정보보안 점검을 무료로 제공하는 프로그램이다.[21]

해킹 방어 대회

국내

대규모 대회
  • 코드게이트(CODEGATE)
과학기술정보통신부에서 주최하여 모든 사람이 참가할 수 있다.
코드게이트 주니어 대회도 있는데 이 대회는 미성년자를 대상으로 외국인도 참가할 수 있다.[22]
  • 시큐인사이드(SECUINSIDE)
한국인터넷진흥원(KISA), 한국정보기술연구원(KITRI)에서 주최하는 대회로, 화이트해커연합 HARU, 고려대학교 해킹기술연구동아리 CyKor에서 운영하고, 모든 사람이 참가할 수 있다.[22]
  • 화이트햇 콘테스트(WITHCON)
국방부, 국가정보원에서 주최하여, 국군사이버사령부가 주관한다. 미성년자인 청소년부와 일반부로 나누어져 있고, 외국인은 참가할 수 없다.[22]
  • 정보보안경진대회
대한민국 교육부와 한국교육학술정보원(KERIS)에서 주최하여 블랙펄 시큐리티가 운영한다. 중, 고등학생과 전국 4개 권역의 정보보호영재교육원 재원생을 대상으로 열린다.[22]


중, 소규모 대회
고등학교 / 대학교 동아리 등에서 주최하는 대회이다.
  • Holy Shield CTF
가톨릭대학교 정보보안동아리가 운영하는 대회로, 미성년자인 청소년부와 일반부로 나누어져 있고, 외국인은 참가할 수 없다.[22]
  • Power of XX
숙명여대 정보보안동아리 SISS에서 주최하여 남성의 협력 없이 여성만 참가할 수 있다.[22]
  • Layer7 CTF(선린 모의해킹 방어 대회)
선린인터넷고등학교 해킹동아리 Layer7이 주최하고 운영하는 대회로, 초창기에는 전국 중, 고등학생을 대상으로 진행했지만, 현재는 모든 사람이 참가할 수 있다. 이 대회는 매년 9월~10월 사이에 열린다.[22]
  • ROOT CTF
서울디지텍고등학교 해킹 보안동아리 ROOT에서 주최하는 대회로, 청소년을 대상으로 한다.[22]
  • YISF
순천향대학교에서 주최하고, 행정안전부, 과학기술정보통신부, 한국인터넷진흥원(KISA), 보안뉴스, 한국정보보호학회 등과 협력하여 진행된다. 청소년을 대상으로 하는 대회이다. 여름방학 중에 진행이 되며, 예선은 온라인으로, 본선은 순천향대학교에서 진행된다. 1등 수상을 하게 되면 장관상이 주어지고, 순천향대학교 총장상, 한국인터넷진흥원장상, Microsoft Korea 대표상 등 총 9개의 상을 준다.[22]


국외

  • DEF CON CTR(데프콘 CTF)
미국 라스베이거스에서 열리는 해킹대회로, '해커 올림픽'이라고 불릴 만큼 가장 큰 규모를 자랑한다.[22]
  • PCTF(Plaid CTF)[22]
  • SECCON CTF
일본에서 열리는 해킹 방어 대회이다.[23]
  • HITCON CTF
대만에서 열리는 해킹 방어 대회이다. 미국의 DEFCON과 일본의 SECCON과 함께 세계 3대 해킹대회로 꼽힌다.[23]

각주

  1. 화이트해커 한경경제용어사전 - http://dic.hankyung.com/apps/economy.view?seq=8837
  2. SK인포섹,〈화이트 해커와 블랙 해커, 해커도 다 같은 해커가 아니다?〉, 《네이버 블로그》, 2016-10-13
  3. 최영진 기자,〈홍민표 에스이웍스 대표〉, 《중앙시사매거진》, 2016-03-23
  4. 박찬암 위키백과 - https://ko.wikipedia.org/wiki/%EB%B0%95%EC%B0%AC%EC%95%94#cite_note-5
  5. 구사무엘 위키백과 - https://ko.wikipedia.org/wiki/%EA%B5%AC%EC%82%AC%EB%AC%B4%EC%97%98
  6. 한국 '해킹올림픽' 압도적 우승... 21세 天才가 있었다〉, 《조선일보》, 2015-08-13
  7. IT 메시,〈[대한민국국 해커 이정훈 그는 누구인가?]〉, 《네이버 포스트》, 2017-03-29
  8. 8.0 8.1 8.2 8.3 8.4 8.5 8.6 홍록기,〈화이트해커(컴퓨터 보안 전문가)〉, 《프레지》, 2013-10-20
  9. 스마럴,〈모의해킹전문가 하는일, 직업소개!)〉, 《티스토리》, 2017-12-11
  10. 10.0 10.1 10.2 10.3 주들, 〈[1] 침해대응 전문가 CERT 하는 일〉, 《네이버 블로그》, 2018-04-04
  11. IT&IN전문컨설턴트 필쌤〈보안관제전문가 하는일 공부과정과 자격증〉, 《티스토리》, 2017-01-19
  12. 12.0 12.1 12.2 문가용 기자,〈보안 전문가라면 디지털 포렌식도 익히자)〉, 《보안뉴스》, 2017-11-29
  13. 13.0 13.1 ,〈화이트해커되는법 해킹공부법과 자격증, 하는일 알아보기〉, 《티스토리》, 2018-02-13
  14. 원병철 기자,〈보안전문가로 성장하고 싶다면? 공공기관 '2021년 정보보호 교육계획' 총정리〉, 《보안뉴스》, 2020-12-15
  15. 15.0 15.1 (별별 JOB스토리: 화이트해커) 국내 엘리트급 100명에 불과...기술력 보다 중요한 건 윤리의식〉, 《스포츠조선》, 2020-01-07
  16. 16.0 16.1 16.2 16.3 RogerA. Grimes〈보안 위협을 방어하는 3가지 중요한 방법〉, 《아이티월드》, 2019-01-28
  17. 다요소 인증 위키백과 - https://ko.wikipedia.org/wiki/%EB%8B%A4%EC%9A%94%EC%86%8C_%EC%9D%B8%EC%A6%9D
  18. 코인니스 기자,〈그레이스케일, 비트코인 신탁 판매 중단...시장 하방 압력 전망 外〉, 《매일경제》, 2020-12-22
  19. 19.0 19.1 신찬옥 기자,〈언택트,초연결 대세지만 온라인 보안위협 크게 증가...기업 타깃 랜섬웨어 폭증, 스마트홈은 중학생에 뚫려〉, 《매일경제》, 2020-10-08
  20. 2분 30초 만에 화이트해커에 뚫린 테슬라 '모델X'〉, 《라디오코리아뉴스》, 2020-11-23
  21. 김지완 기자,〈CJ올리브네트웍스, 정보보안 강화 프로그램 'CJ화이트햇' 출시〉, 《뉴스핌》, 2020-08-12
  22. 22.00 22.01 22.02 22.03 22.04 22.05 22.06 22.07 22.08 22.09 22.10 22.11 해킹 방어 대회 나무위키 - https://namu.wiki/w/%ED%95%B4%ED%82%B9%20%EB%B0%A9%EC%96%B4%20%EB%8C%80%ED%9A%8C
  23. 23.0 23.1 (별별 JOB스토리: 화이트해커) 국내 엘리트급 100명에 불과...기술력 보다 중요한 건 윤리의식〉, 《스포츠조선》, 2020-01-07

참고자료

같이 보기


  검수요청.png검수요청.png 이 화이트해커 문서는 보안에 관한 글로서 검토가 필요합니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 문서 내용을 검토·수정해 주세요.