보안

윤리적 해커, CEH가 되는 법…자격증 취득 비용과, 교육 방법, 가치

Josh Fruhlinger | CSO 2021.08.13
윤리적 해커(Certified Ethical Hacker, CEH)는 고용주나 고객의 취약점 파악에 도움을 주기 위해 공격과 관련된 많은 기법을 사용, 표적이나 대상 시스템의 약점을 평가할 수 있는 능력을 입증하기 원하는 보안 분야 종사자들이 경력 초기에 취득하는 자격증이다. 

CEH는 911 공격 이후 설립된 사이버보안 교육 및 트레이닝 비영리 단체인 ICECC(International Council of Electric Commerce Consultants), 또는 EC-카운슬(EC-Council)이 제공하는 가장 유명한 자격증일 것이다.

CEH 자격증은 2단계로 나눠져 있다. 해킹에 대한 광범위한 지식을 다룬 객관식 시험을 통과하고, 일정한 경험과 트레이닝에 대한 요건을 충족하면 CEH 자격증을 받을 수 있다. 여기에서 더 나아가고 싶다면, CEH 실무(CEH Practical) 시험을 볼 수 있다. 시뮬레이션한 시스템의 침입 테스트 시험이다. 이 시험에 통과하면 CEH 마스터(CEH Master)가 된다.

실제 시험과 자격증 취득 과정에 대해 자주 묻는 질문과 답변, 윤리적 해커의 역할, CHE 같은 자격증 취득이 경력에 도움이 되는 이유를 소개한다.


‘윤리적 해커’는 필요한가?

‘윤리적 해커(ethical hacker)’라는 용어부터 알아보자. 컴퓨팅이 등장한 아주 초기에 해커는 호기심 많고 탐구심이 많은 컴퓨터 사용자들에게 가치 중립적인 용어였다. 그러나 지금은 대부분 사람이 재미나 이익을 위해 남의 시스템에 침입하려 시도하는 악당들을 설명하는 데 사용하는 용어이다. 

윤리적 해커는 이런 해킹 스킬을 사용하는 사람이다. 피해자가 될 수 있는 사람들에게 정보를 제공하고, 획득한 인사이트를 이용해 보안책을 강화하는 등 나쁜 목적이 아닌 좋은 목적에서 사이버 방어체계의 취약점이나 코드의 버그를 찾는 스킬을 의미한다.

어떻게 보면, ‘윤리적 해커’라는 용어는 많은 ‘블랙 햇(black hat)’이라는 악당 해커들이 공격자가 아닌 방어자, 그리고 좋은 사람이 될 수 있는 환경을 제공하자는 취지에서 시작했다. 또한 ‘침입 테스트’나 ‘OSR(Offensive security research)’ 등 지루하게 들리는 다른 용어보다 더 ‘친숙한’한 용어이다. 

대규모 침입 테스트 훈련에서 사용되는 ‘레드 팀(red team)’이라는 용어를 들어봤을 것이다. 레드 팀은 공격자를 맡고, 블루 팀(blue team)은 방어자가 된다. 어떻게 부르든 수요가 있는 ‘일자리’이다. 내부에 해커를 채용해 방어망의 취약점을 찾거나, 프리랜서로 활동하는 윤리적 해커가 기업이 놓쳤을 수 있는 문제를 찾도록 유도하는 버그 바운티(Bug bounty) 활용에 비즈니스 이점이 있다는 사실을 깨닫는 기업들이 증가하는 추세다.


윤리적 해커 자격증은 가치가 있을까?

윤리적 해커가 필요하다고 하더라도, CEH 자격증이 경력에 도움이 된다고 무조건 말할 수는 없다. 모든 자격증에 해당되는 이야기다. 누군가 자격증과 성공적인 경력 사이에 직접적인 상관관계가 있음을 증명할 수 있다고 말한다면, 이는 무언가를 팔려 하는 것이다(여기서는 자격증).

CEH 자격증 취득에 드는 비용을 감당할 수 있다면, 성공은 보장받지 못하더라도, 구직 활동과 경력 발전에 도움을 받을 수도 있다고 말할 수 있다. 윤리적 해커나 침입 테스터, 또는 침입 테스트가 직무에 포함된 보안 분석가 일자리를 찾고 있다면, CEH는 가장 잘 알려진 자격증 가운데 하나다. 

따라서 채용 담당자의 관심을 유발할 것이다. 특히 해커와 스스로를 해커로 일컫는 사람들 사이에 ‘악명’을 떨치는 직업 분야에서 자격증 요건 가운데 하나인  EC-카운슬의 윤리 강령은 일부 사람들에게 확신을 준다. 


CEH 자격증으로 얻을 수 있는 일자리는 무엇일까?

EC-카운슬은 CEH 자격증에 잘 맞는 일자리들을 목록으로 제시하고 있다.
   
  • 정보 보안 분석가/관리자
  • IASO(Information assurance security officer)
  • 정보 보안 관리자/전문가
  • 정보 시스템 보안 엔지니어/관리자
  • 정보 보안 전문가/책임자
  • 정보 보안/IT 감사자
  • 위험/위협/취약점 분석가
  • 시스템 관리자
  • 네트워크 관리자 및 엔지니어

물론 이는 훨씬 멋지게 들리지만 동시에 더 찾기 힘든 ‘윤리적 해커’나 ‘침입 테스터’ 같은 직종을 포괄하는 직종들이다. 실무에서는 풀타임으로 침입 테스트를 하지는 않는 네트워크 및 보안 관리자, 분석가도 CEH 자격증 취득이 도움이 될 수 있다. 해커의 관점에서 소속 조직 인프라의 보안을 평가하는 데 도움이 되기 때문이다.


CEH 자격증을 취득했을 때 기대할 수 있는 연봉은?

다시 말하지만, CEH 자격증 취득과 연봉 인상 간 직접적인 상관관계를 증명하기란 아주 어렵다. 그러나 CEH 자격증 소지자가 구할 수 있는 일자리 가운데 상당수는 꽤 높은 보수를 받는다. 집리크루터(ZipRecruiter)에 따르면, 2021년 기준 윤리적 해커의 평균 연봉은 12만 달러이다.

그러나 자격증 자체는 어떨까? 인포섹(InfoSec)은 CEH 자격증 보유자의 평균 연봉을 8만 3,591달러로 추정하고 있다. 대부분 4만 5,000달러~12만 9,000달러의 연봉을 받는다. 페이스케일닷컴(Paysacle.com)도 유사하게 결론을 내리고 있다. 중간 값은 약 8만 3,000달러이며, 90%는 4만 9,000달러~12만 8,000달러의 연봉을 받고 있다. 이들 사이트는 모두 이런 수치의 근거를 명확히 밝히지 않고 있다는 점을 유념해야 한다. 그러나 어느 정도인지 추측은 할 수 있는 통계들이다.


CEH 자격증 취득의 사전 조건은?

18세 이상만 CEH 자격증을 받을 수 있다. 해당 연령인 경우, 윤리적 해커 자격증을 취득하려면 다음 2가지 전제 조건 가운데 하나를 충족해야 한다. 정보보안 분야에서 2년 이상 일한 경력을 증명해야 한다(자격증 신청비는 100달러로 환불이 되지 않으며, EC-카운슬이 연락할 수 있는 사람의 추천서를 제출). 또는 EC-카운슬이 승인한 CEH 교육 과정을 이수하면, 실무 경력을 증명할 필요가 없다.


가용한 CEH 과정과 훈련은?

이 기사 맨 아래에 있는 링크를 클릭하면, CEH 전제 조건을 충족하기 위해 이용할 수 있는 다양한 훈련 과정과 선택지들을 확인할 수 있다. 혼자 공부를 하거나, 실시간 온라인 강좌를 들을 수 있다. 대인 마스터 교육 과정도 있고, EC-카운슬 트레이닝 파트너를 이용할 수도 있다. EC-카운슬 파트너는 기업이나 학교에서 대인 교육 과정을 제공한다. 신청비는 교육 과정 비용에 반영된다.

EC-카운슬이 제공하는 공식 교육 자료 외의 자료를 이용해 시험 준비를 하는 방법도 있다. 이용할 수 있는 교재와 안내서들이 많다. 맷 워커가 저술한 ‘CEH 윤리적 해커 자격증 올인원 시험 준비 가이드(CEH Certified Ethical Hacker All-in-One Exam Guide)’와 릭 메시어의 ‘CEH v11 윤리적 해커 자격증 시험 안내서(CEH v11 Certified Ethical Hacker Study Guide)’가 인기있는 교재들이다.

실제 시험을 보기 전에 자신의 지식을 테스트할 방법이 있을까? 고우서티파이(GoCertify)에 50개가 넘는 CEH 연습 문제가 있다.


CEH 시험 시간과 다루는 내용은?

신청서가 승인되면 CEH 시험을 볼 수 있다. ANSI(American National Standards Institute)가 인정하는 시험이라는 의미에서 CEH ANSI 시험으로 지칭되는 경우도 있다. 피어슨 VUE 테스트 센터에서 직접 시험을 치르거나, 웹캠을 통한 시험 감독에 동의하고 관련 수수료를 납부한 후 원격으로 온라인 시험을 치를 수 있다. 시험 시간은 4시간이며, 다음 분야를 다루는 125개 객관식 문제들로 구성되어 있다.
  
  • 정보 보안 및 윤리적 해킹에 대한 개요
  • 정찰 기법
  • 시스템 해킹 단계 및 공격 기법
  • 네트워크 및 경계선 해킹
  • 웹 애플리케이션 해킹
  • 무선 네트워크 해킹
  • 모바일 플랫폼, IoT, OT 해킹
  • 클라우드 컴퓨팅
  • 암호(Cryptography)

주제에 대한 더 자세한 정보는 EC-카운슬 CEH 시험 블루프린트에서 참조할 수 있다.
시험에 합격하고 CEH의 나머지 요건을 충족한 후 다음 단계를 원할 수도 있다. CEH 마스터 자격을 취득하는 것이다. 이를 위해서는 6시간 동안 실제 가동하는 가상 머신 네트워크에서 20개의 도전과제를 해결하는 CEH 실무 시험(CEH Practical exam)을 치러야 한다.

집에서 브라우저를 이용해 접속할 수 있는 EC-카운슬의 가상 환경인 아이랩스 사이버 레인지(iLabs Cyber Range)에서 치를 수 있는 시험이다. CEH 실무 시험에서 테스트하는 스킬들은 다음과 같다.
  
  • 포트 스캐닝 도구들(nmap, hping 등)
  • 취약점 탐지
  • 시스템에 대한 공격(DoS, DDoS, 세션 하이재킹, 웹 서버 및 웹 애플리케이션 공격, SQL 주입 공격, 무선 위협 등)
  • SQL 주입 기법 및 회피 기법
  • 웹 애플리케이션 보안 도구(Acunetix WVS 등)
  • SQL 주입 탐지 도구(IBM Security AppScan 등)
  • 통신 프로토콜


CEH에 드는 비용은?

CEH 자격증 취득 비용에 대한 질문에 답하기란 의외로 복잡하다. 먼저 100달러의 신청비가 있다. 여기에 더해 시험 쿠폰을 사야 한다. 최소 950달러 이상이다. 온라인 시험은 더 비싸다. 시험 동안 감시할 개인 감독관에 100달러를 지불해야 하는 것도 온라인 시험이 더 비싼 이유 가운데 하나다. 공식 트레이닝 과정에 드는 비용도 있다. 2년 이상 실무 경력이 있는 사람들에게 반드시 필요하지 않지만, 이 또한 비용에 추가된다. 

더 자세한 정보는 퀵스타트(QuickStart)를 참조할 수 있다. 비용을 세분화해 정보를 제공한다. 트레이닝 과정을 수강하지 않고 혼자 공부를 하면 1,050불이 든다. 하지만 트레이닝 부트캠프에 참여할 경우 많게는 4,298달러의 비용이 발생할 수도 있다. CEH 마스터 자격증 취득을 위한 실무 시험 비용은 550달러이다. 


CEH 자격증 확인 방법은?

마지막으로 현재 고용주, 또는 미래의 고용주를 위해 자격증을 확인시키고 싶을 수 있다. EC-카운슬은 자격증 여부를 쉽게 확인할 수 있도록 만들었다. 여기 링크에 자신의 정보를 입력하면 된다. 자신의 상사에게 깊은 인상을 주길 바란다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.