안녕하세요. 멘토님.

 ©Boitumelo Phetla

저는 파견직으로 웹 모의해킹 2년, 현재 중소기업에서 웹 및 모바일 모의해킹을 업무를 7개월 정도 수행한 직장인입니다. 최근 들어 부쩍 개인 기량 및 커리어에 고민이 많아 찾아보다가 잇다를 알게 되고 멘토님께 질문을 드립니다

제 가장 큰 고민은 개인 기량 발전 및 커리어입니다. 총 2년 정도의 경력이 있으나 아직 기초도 잘 모르는 거 같고 모의해킹이라고는 하지만 체크리스트 기반으로 취약점을 점검하고 딥하게 시나리오 기반 모의해킹은 경험이 없습니다. 

첫 번째 고민은 기초가 부족한 경우에 burp academy나 dreamhack 등을 찾아보며 초심으로 공부하고 있지만, 실제 발생하는 환경, 탐지, 재현 과정, 추가 exploit이 없으니 지식으로만 알고 어떻게 적용해야 할지를 모르겠습니다.

두 번째는 일단 여러 환경에서 경험을 쌓는다는 마음으로 계속 다니고 있으나, 매번 똑같은 케이스이며 첫 번째 고민과 맞물려 어떻게 취약점을 찾는지 모르겠습니다.

이직도 생각하고 있지만, 그래도 2년은 채워야 하지 않을까 하는 생각과 2년을 채운 후에도 능력과 커리어에 도움이 될만한 회사의 채용 공고가 계속 있을까도 걱정입니다.

긴 글 읽어 주셔서 감사합니다.

안녕하세요! :D

모의해킹 업무를 총 3년 정도로 얼추 하셨으니, 모의해킹 사업에 대한 이해는 충분하시겠네요.

처음 모의해킹을 공부할 때, 배워야 하는 베이스가 없다면 프로젝트 경험으로 올라갈 수 있는 실력의 한계가 존재합니다. 그렇기 때문에 벽을 만났을 때마다 기초 공부로 돌아가서 쌓는 식으로 프로젝트 경험을 늘려야 경력에 맞는 실력 수준으로 맞출 수 있지요. 

보통 모의해킹 업무를 시작하게 되는 많은 분들이 웹 해킹 책이나 교육 자료들을 통해 공부하는데요. 어떤 교육 자료를 보든, 어떤 실습을 하든, 해킹 대회에서 얼마나 많은 문제를 풀었든, 이런 방식의 공부는 한계가 존재할 수밖에 없습니다.

고민 내용도 보면 "실제 발생하는 환경, 탐지, 재현 과정" 등에 대한 지식이 없으시다고 해주셨는데, 바로 이 부분이 핵심입니다!

질문해 주신 첫 번째, 두 번째 포함해 전체적인 질문의 고민이 한 가지로 해결될 수 있습니다.

 ©Hello I'm Nik

돌고 돌아 기본

웹 모의해킹을 하시는 분들 중에는 의외로 웹 개발을 해보신 분이 별로 없더라고요. 웹 개발 경험이 없으면 100000% 한계에 부딪히게 됩니다. 웹 개발을 해봤다 하더라도 학원에서 따라 한 수준이나, 인터넷 글을 보고 따라서 한 수준이면 웹 모의해킹 실력을 높이 쌓기 힘듭니다.

만들고, 부수고, 우회하고, 공격하자

가장 먼저 웹 서버를 직접 개발해 보시죠! 그리고 그 웹 서버에 취약점을 직접 만들어보고, 공격을 해보면서 어떤 과정에서 공격이 이뤄지는지 직접 눈으로 보는 겁니다. 그리고 이를 방어도 해보고, 다시 우회도 해보는 것이죠. 많은 프로젝트에서 만나는 다양한 환경을 매번 나갈 때마다 집에 돌아와서 그와 비슷한 시스템을 직접 개발해 보고, 그 환경에서 어떤 공격이 이뤄질지 직접 공격해 보는 것이 중요합니다.

예를 들어, 모 기업의 웹 사이트에 e2e 암호화가 되어 파라미터들이 암호화되어있는데, 이를 우회한다고 가정해 봅시다. 아마 평상시에는 이런 사이트를 만나면 "취약점이 없다"라고 넘어갈 테지만(대부분의 업계 사람들이 아쉽지만 그러더라고요), 이를 우회하기 위해 시스템이 어떻게 되어있는지 직접 분석하고, 직접 e2e 암호화가 적용된 웹 사이트도 만들어보고, 이를 어떻게 분석할 수 있는지 어떻게 우회할 수 있는지를 직접 해보셔야 합니다!

분명 이런 경험들이 쌓이게 되면, 지금 하고 계신 고민이 사라질 것입니다. 중요한 건 이런 내용은 절대 어떤 수업이나, 강의로 해결될 내용이 아니라는 점입니다! 직접 만들어보고 분석하는 과정을 공부 과정에 넣어보세요! :D

분명 게임 체인저가 될 겁니다. 또 궁금한 게 있으시면 글 남겨 주세요.

말씀 감사합니다! 멘토님의 말씀대로 다시 한번 초심으로 돌아가 기초부터 차근차근해보려 합니다. 감사합니다!