보안

윤리적인 해커가 되는 방법

Eric Geier | PCWorld 2012.02.17
기초부터 시작한다면 이렇다. A+ 자격증을 획득해 기술 지원 일자리를 구한다. 경력을 쌓고 Network+나 CCNA같은 자격증을 추가로 따서 네트워크 지원 또는 관리직으로 올라선 다음 몇 년 후 네트워크 엔지니어가 된다. 그 다음 시간을 투자해서 보안 자격증(Security+, CISSP 또는 TICSA)을 따고 정보 보안 담당자로 취직한다. 거기서 일하면서 침투 테스트를 집중적으로 연마하고 관련 도구를 익힌다. 그리고 국제 전자상거래 컨설턴트 위원회에서 발급하는 CEH(Certified Ethical Hacker, 공인 윤리적 해커) 자격증을 목표로 노력한다. 이 때쯤 되면 스스로를 윤리적 해커로 내세울 수 있게 된다.
 
해커는 네트워크 노하우도 매우 중요하지만 관련 영역에 대한 경험도 쌓아야 한다. 유닉스/리눅스 명령과 배포에 숙달해야 한다. 또한 C, LISP, 펄, 자바 등을 사용한 프로그래밍도 배워야 하고, SQL과 같은 데이터베이스도 다뤄야 한다.
 
소프트 스킬
해킹은 기술이 전부가 아니다. 다른 IT 직종과 마찬가지로 이른바 소프트 스킬도 필요하다. 건전한 노동 윤리와 뛰어난 문제 해결 및 커뮤니케이션 기술, 의욕적으로 말하는 능력 등이 필요하다.
 
또한 윤리적 해커에게는 비정석적인 지식, 사람 다루는 기술, 때로는 생각을 유도하는 기술도 필요하다. 사람을 구슬려서 신원 정보를 말하게 하거나, 시스템을 재시작 및 종료하도록 하거나, 파일을 실행하도록 하거나 기타 알게 모르게 해커의 목표 달성을 돕도록 해야 하는 경우가 종종 있기 때문이다. 이 분야에서 "소셜 엔지니어링"으로 통하는 이런 측면들에 통달해야 유능한 윤리적 해커가 될 수 있다.
 
합법성을 유지하라!
"나쁜" 해킹을 멀리하는 것이 중요하다. 나쁜 해킹이란 누군가의 네트워크에 허가 없이 침투하거나 공격하는 행위를 말한다. 불법 활동에 연루될 경우 실제 유죄 판결까지 가지 않는다 해도 그것으로 윤리적 해킹 경력은 끝나게 될 가능성이 높다. 이 분야의 많은 일자리가 정부 관련 조직에 있으며, 기밀 취급 인가와 거짓말 탐지기 검사를 요구한다. 일반 기업들도 기본적인 뒷조사는 한다.
 
CEH 되기
앞서 언급했듯이, CEH가 되려면 몇 년 동안 보안 관련 IT 경력을 쌓은 후 EC위원회로부터 인증을 받아야 한다. 이 인증 과정은 해커의 관점에서 보안을 이해하는 데 도움이 된다. 일반적인 악용, 취약점 및 대응 유형을 배우게 된다.
 
업체 중립적인 CEH를 위한 자격를 갖추려면 침투 테스트, 흔적 추적, 수색, 소셜 엔지니어링을 마스터해야 한다. 학습 과정에는 트로이 목마, 백도어, 바이러스 및 웜 만들기가 포함된다. 또한 서비스 거부(DoS) 공격, SQL 주입, 버퍼 오버플로, 세션 하이재킹, 시스템 해킹에 대해서도 다룬다. 웹 서버와 웹 애플리케이션을 하이재킹하는 방법을 배우며, 네트워크를 스캔/스니핑하고 무선 암호화를 풀고 IDS/파이어월/유인 시스템(허니팟)을 피해가는 방법도 익힌다.
 
EC 위원회의 공인 교육 파트너를 통해 5일 동안의 현장 또는 온라인 교육 과정을 밟아 CEH 자격증을 준비할 수 있다. 5일 연속으로 온라인 강좌를 듣는 경우가 일반적이다. 현장 과정의 경우 보통 인근에 거주하는 사람들을 위해 몇 주에 걸친 교육 과정을 제공하기 때문이다. 또한 교육 과정에 참여하든 하지 않든 자가 학습 과정을 선택해서 자습 자료(CEH 공인 윤리적 해커 스터디 가이드 북 등)로 공부하는 방법도 있다. EC 위원회는 가상화된 원격 시스템에 로그온해 연습할 수 있는 가입형 서비스인 i랩스(iLabs) 서비스도 제공한다.
 
공식 CEH 자격증을 따려면 시험에 통과하는 것 외에, 일반적으로 최소 2년의 정보 보안 관련 경력(고용주 승인 필요)이 필요하다.
 
윤리적 해킹 관련 자료
윤리적 해킹에 관심이 있다면 다양한 리소스를 통해 추가 정보를 얻을 수 있다. 먼저 EC 위원회 사이트의 리소스 섹션부터 시작해 보자. 아마존에서 윤리적 해킹과 CEH 자격증에 대한 책들도 검색해서 찾아볼 수 있다.
 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.