Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

윤리적해커

“합법적 해킹으로 기업의 보안성을 높이다” 윤리적 해커의 세계 - Deep Dive

세상에 완벽한 보안은 없다. 각종 보안 기술을 아무리 도입해도 해커는 언제나 빈틈을 찾기 마련이다. 하지만 세상에 꼭 나쁜 해커만 있는 것은 아니다. 한쪽에서 기업을 공격하는 해커가 있다면, 다른 한쪽에선 기업을 돕는 착한 해커, 즉 윤리적 해커가 존재한다. 윤리적 해커(Ethical Hacker 또는 화이트 해커라고도 표현)는 일반 해커와 동일한 수준의 지식과 기술을 가지고 있으며, 기업에게 합법적으로 고용돼 해킹을 시도한다. 나쁜 해커의 입장이 되어 다양한 방식으로 시스템을 공격한 후 기업에게 어떤 취약점을 고쳐야 하는지 알려주는 식이다. 공격에 실패하더라도 상관없다. 그만큼 내부 시스템이 안전하다는 것을 기업은 윤리적 해커를 통해 확인한다. 최근엔 높은 보안성을 요구하는 금융권이나 대기업 등에서 이런 윤리적 해커에 대한 수요가 점점 높아지고 있다.  해커라고 하면 왠지 아무나 도전하기 어려운 직업처럼 보이지만 여러 보안 기술을 익힌다면 누구나 윤리적 해커가 될 수 있다. 윤리적 해커를 위한 자격증도 따로 존재해서, 해당 자격증을 공부하면 윤리적 해커가 되기 위한 기본 지식을 빠르게 습득할 수도 있다. 여기에서는 윤리적 해커에 대한 기본 정의와 윤리적 해커가 되고 싶은 사람이 보면 좋은 자격증 정보, 그리고 실제 공격이 어떻게 이뤄지는지 살펴본다.  주요내용 - '합법적인 공격자' 윤리적 해커 지망생이 알아야 할 모든 것 - 현업 종사자 인터뷰로 살펴보는 윤리적 해커의 필수 역량 10가지 - 윤리적 해커를 위한 대표 자격증 ‘CEH’ 총정리 : 비용부터 학습 방법까지 - 윤리적 해킹의 핵심 ‘침투 테스트’의 이해

윤리적해커 침투테스트 화이트해커 2022.07.20

'합법적인 공격자' 윤리적 해커에 필요한 모든 것

윤리적 해킹, 일명 ‘침투 테스트’는 합법적으로 컴퓨터와 각종 기기에 침투하여 조직의 방어 능력을 테스트하는 것이다. 누구든 참여할 수 있는 가장 흥미로운 IT 업무다. 말 그대로 대가를 받고 체포될 위험 없이 최신 기술을 파악하고 컴퓨터에 침투할 수 있다. 기업은 윤리적인 해커와 함께 시스템의 취약성을 확인한다. 침투 테스터의 관점에서 볼 때도 단점이 없다. 기존의 방어를 해킹하면 공격자가 발견하기 전에 먼저 헛점을 찾아낼 기회를 제공하게 된다. 아무것도 발견하지 못하면 “대가를 받는 해커도 침투하지 못할 정도로 안전하다”라고 선언할 수 있어 고객도 더욱 만족한다. 일종의 ‘윈-윈’ 전략이다.   컴퓨터 보안 업계에 30년 이상 종사한 입장에서 전문적인 침투 테스트보다 더 어렵고 재미있는 일은 없었다. 업무가 재미있을 뿐 아니라 원하면 거의 모든 컴퓨터에 침투할 수 있다는 사실을 안다면 추가적인 장점도 많다. 이미 오래전에 합법화되기는 했지만 전 세계적으로 악명 높은 최고의 해커 케빈 미트닉은 돈을 받고 합법적으로 해킹할 때 불법적인 해킹을 했을 때와 같은 감정적 스릴을 느낀다고 말했다. 미트닉은 유일한 차이점이 ‘보고서를 작성해야 하는 것’이라고 말했다.   윤리적 해커가 되는 방법 윤리적인 해커가 되려면 보편적인 단계를 거쳐야 하며, 어딘가에 침투하기 전에 적절한 관리자에게 문서화된 권한을 받는 것이 가장 기본이다. 윤리적 해커가 되기 위해서는 법률을 어기지 않는 것이 중요하다. 모든 전문적인 침투 테스터는 윤리강령에 따라 행동해야 한다. CEH(Certificated Ethical Hacker) 시험을 개발한 ECC(EC-Council)는 현존 최고의 공개 윤리강령을 필수로 한다. 대부분의 윤리적 해커가 전문적인 침투 테스터가 되는 방법은 직접 해킹 스킬을 배우거나 공식적인 교육을 받는 것이다. 필자를 포함해 많은 사람이 두 가지 단계를 모두 거쳤다. 때로는 혼자 터득한 사람들에게 조롱을 당할 수도 있지만, 윤리적 해킹 코스와 ...

윤리적해커 윤리적해킹 2022.03.31

“윤리적 해커가 공격을 시뮬레이션하는 방법” 침투 테스트의 이해

침투 테스트는 보안 전문가가 네트워크 또는 컴퓨터 시스템 소유자의 허락을 받고 해당 시스템에 대한 공격을 시뮬레이션해 보안을 평가하는 프로세스다.  “시뮬레이션”이라는 단어로 인해 가볍게 생각한다면 오산이다. 침투 테스터는 실제 공격자가 사용하는 툴과 기법을 모두 동원해 대상 시스템을 공격한다. 단지 이렇게 해서 발견한 정보나 획득한 통제력을 개인적 이익을 위해 사용하는 것이 아니라 대상 시스템 소유자에게 보고해서 보안을 개선할 수 있도록 한다.    침투 테스터가 취하는 행동은 악의적인 해커와 동일하므로 침투 테스트를 윤리적 해킹 또는 화이트햇 해킹이라고도 한다. 침투 테스트 초창기에는 악의적인 해커였다가 침투 테스터로 전향한 경우가 많았지만, 지금은 예전만큼 그런 경우가 흔하지는 않다. 군대에서 실시하는 전쟁 게임 시나리오에서 ‘적군’ 역할을 하는 팀을 지칭하는 데서 비롯된 레드팀이라는 용어도 종종 사용된다. 침투 테스트는 팀 또는 개별 해커가 수행할 수 있으며, 테스터는 대상 기업의 내부 직원이거나 독립적인 전문가 또는 전문 침투 테스트 서비스를 제공하는 보안 업체 소속 직원 등 다양하다.   침투 테스트의 진행 방식 넓은 의미에서 침투 테스트는 조직의 시스템에 대한 실제 침투 시도와 거의 동일한 방식으로 이뤄진다. 침투 테스터는 먼저 대상 조직과 관련된 호스트, 포트, 네트워크 서비스를 살펴보고 특징을 파악한다. 그런 다음 이 공격 표면의 잠재적인 취약점을 조사하고, 이 조사를 통해 대상 시스템으로 더 심층적, 세부적으로 들어가는 방법을 알아낼 수 있다. 최종적으로 대상의 경계를 넘어 침투해서 보호되는 데이터에 대한 액세스 권한을 얻거나 시스템의 제어 기능을 장악한다.  물론 세부적인 부분에는 많은 차이가 있다. 침투 테스트의 유형도 여러가지이다. 가장 먼저 다뤄야 할 중요한 부분은 테스터와 대상 조작 간에 테스트의 정확한 유형과 시뮬레이션 공격의 범위에 대한 사전 협의가 필요하다는 점이다. 조...

침투테스트 윤리적해커 시뮬레이션 2021.12.14

윤리적 해커, CEH가 되는 법…자격증 취득 비용과, 교육 방법, 가치

윤리적 해커(Certified Ethical Hacker, CEH)는 고용주나 고객의 취약점 파악에 도움을 주기 위해 공격과 관련된 많은 기법을 사용, 표적이나 대상 시스템의 약점을 평가할 수 있는 능력을 입증하기 원하는 보안 분야 종사자들이 경력 초기에 취득하는 자격증이다.  CEH는 911 공격 이후 설립된 사이버보안 교육 및 트레이닝 비영리 단체인 ICECC(International Council of Electric Commerce Consultants), 또는 EC-카운슬(EC-Council)이 제공하는 가장 유명한 자격증일 것이다. CEH 자격증은 2단계로 나눠져 있다. 해킹에 대한 광범위한 지식을 다룬 객관식 시험을 통과하고, 일정한 경험과 트레이닝에 대한 요건을 충족하면 CEH 자격증을 받을 수 있다. 여기에서 더 나아가고 싶다면, CEH 실무(CEH Practical) 시험을 볼 수 있다. 시뮬레이션한 시스템의 침입 테스트 시험이다. 이 시험에 통과하면 CEH 마스터(CEH Master)가 된다. 실제 시험과 자격증 취득 과정에 대해 자주 묻는 질문과 답변, 윤리적 해커의 역할, CHE 같은 자격증 취득이 경력에 도움이 되는 이유를 소개한다. ‘윤리적 해커’는 필요한가? ‘윤리적 해커(ethical hacker)’라는 용어부터 알아보자. 컴퓨팅이 등장한 아주 초기에 해커는 호기심 많고 탐구심이 많은 컴퓨터 사용자들에게 가치 중립적인 용어였다. 그러나 지금은 대부분 사람이 재미나 이익을 위해 남의 시스템에 침입하려 시도하는 악당들을 설명하는 데 사용하는 용어이다.  윤리적 해커는 이런 해킹 스킬을 사용하는 사람이다. 피해자가 될 수 있는 사람들에게 정보를 제공하고, 획득한 인사이트를 이용해 보안책을 강화하는 등 나쁜 목적이 아닌 좋은 목적에서 사이버 방어체계의 취약점이나 코드의 버그를 찾는 스킬을 의미한다. 어떻게 보면, ‘윤리적 해커’라는 용어는 많은 ‘블랙 햇(black hat)’이라는 악당 해커들이 공격자가 아닌...

윤리적해커 Certified Ethical Hacker CEH 2021.08.13

윤리적인 해커가 되는 방법

해커라고 모두 나쁜 짓만 하는 것은 아니다. 해킹 기술을 좋은 방향으로 사용하려면 무엇이 필요한지 살펴보자.   바이러스, DDoS 공격 또는 버퍼 오버플로우라는 용어에 묘한 매력을 느끼는가? 그렇다면 합법적인 해커, 즉 윤리적인 해커, "착한" 해커 또는 침투 테스터가 적성에 맞을지도 모른다.   네트워크 보안을 우려하는 기업과 정부 관련 조직들은 데이터 도난과 사기를 방지하기 위해 윤리적인 해커와 침투 테스트를 통해 네트워크나 애플리케이션, 기타 컴퓨터 시스템을 점검하고 개선한다. 불법적인 해킹만큼 아드레날린이 솟구치진 않겠지만 적어도 떳떳한 삶을 살 수 있고, "나쁜" 해커들처럼 교도소에 들어갈 일도 없다.   윤리적 해커를 대상으로 하는 채용 시장 상황은 어떨까? 아주 좋다! 전반적인 경기 침체에도 불구하고 IT 시장은 성장세를 이어가는 중이다. 가트너는 전 세계 엔터프라이즈 IT 지출이 2009년에서 2010년 사이 5.9% 증가해 총 2조 7,000억 달러에 이른 것으로 추산했다. 보안에 대한 우려도 더욱 증폭되고 있다. 가트너는 2011년에서 2015년까지 5년 동안 보안 서비스에 대한 전 세계의 지출 규모가 40% 가까이 증가해 491억 달러를 초과할 것으로 예상했다.   경력이 짧은 윤리적 해커의 경우 IT 경력과 교육 수준, 그리고 입사하는 회사에 따라 연 5만 달러에서 10만 달러 사이의 연봉을 받는다. 몇 년 동안 경력을 쌓은 후에는, 특히 독립 컨설팅으로 진출할 경우 연 12만 달러 이상 받을 수 있다.   그러나 윤리적 해커가 되기 위해서는 준비가 필요하다. IT 보안 쪽 경력이 없으면 학위나 자격증도 별 도움이 되지 못한다. 다른 IT 직종과 마찬가지로 기업들은 대졸 인력을 선호하지만, 무엇보다 중요한 것은 관련 경력이다. 학위가 없더라도 경력에 자격증까지 갖춘다면 학위를 대신할 수 ...

해커 해킹 보안 2012.02.17

IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.