병원, 대학 연구실, 은행, 제약 회사, 경찰 본부, 출판사 등 다양한 개별 산업에서의 APT 모델링을 통해 메타스플로잇을 뛰어넘는 복잡한 공격 시뮬레이션을 제공한다. 보안 수준이 높은 환경을 목표로 삼아 사회공학, 프로그래밍, 취약점 공격 등을 이용한 여러 접근 방식을 제시한다.

IT 보안은 발전한다. 공격과 방어 사이에는 항상 불안정한 균형이 있었고 앞으로도 그럴 것이다. 지금 사용하고 있는 툴은 개선돼 더욱 강력하게 발전할 것이다. 그러나 잘 교육받은 전문가의 손 안에서만 진정한 가치가 더해질 것이다. 전문가들은 툴의 이점을 이해할 뿐만 아니라 툴의 한계와 결과를 해석하는 방법도 알고 있다.
윌 올소프가 바로 그런 전문가다. 2006년, 윌이 매디슨 구르카에 입사했을 때 나는 운이 좋게도 그와 함께 일했다. 그 당시에 운영 수년 차에 접어든 회사는 직원이 세 명인 스타트업에서 잘 자리 잡은 IT 보안 컨설팅 전문 회사로 사업을 확장했다. 윌은 보안 테스트의 한계를 넘을 수 있도록 도왔고 그 이후로도 계속 그렇게 했다. 그는 항상 새로운 취약성을 찾아 기업 및 기관이 최신 위협을 인식하기를 원했다. 이 책은 발전된 위협에 관한 다양하고 유용한 예제를 담고 있다.
조직이 체크 리스트에서 ‘통제 범위 안에 있는’ 긍정적인 점수를 확인하는 것뿐만 아니라 현재 전 세계적 규모로 진행되는 매우 발전된 공격도 견딜 수 있는지 알고 싶다면 이 책을 읽어야 한다. IT 보안 평가를 위해 고용한 회사가 실제로 이러한 공격을 수행할 수 있는지 확인하자.
다시 한 번 말하지만, 윌은 실제 IT 보안 전문가에게 유용한 툴의 사용법을 알고 있을 뿐만 아니라, 필요할 때는 고정관념에서 벗어나 추가적이고 지능적인 공격을 개발할 수 있음을 보여준다. 정기적인 취약성 스캔은 인프라를 동일하게 유지하는 데 도움이 된다. 이 책은 고급 기법을 사용해 실제 침투 테스트를 수행하면 실제로 IT 보안을 제어하고 있는지 또는 형식적으로 체크리스트에 표시만 하고 실제 위험에는 눈감고 있지 않았는지에 대해 판단하는 통찰력을 조직에 제공한다.
ㅡ한스 반 더 루이(Hans Van de Looy)/매디슨 구르카 설립자

■ 공격 벡터 탐색과 생성
■ 공격 대상 기업에서의 보이지 않는 이동과 네트워크 운영체제, 테스트 체계 조사
■ 사회공학적 기법을 활용한 초기 침투
■ 거점 확보와 강력한 커맨드 & 컨트롤 구성 유지
■ 인터넷 연결이 없는 상황에서도 사용할 수 있는 전문적인 데이터 유출 기법
■ 권한 상승을 위한 고급 기술 활용
■ 획득한 권한을 사용해 네트워크와 운영체제에 깊숙이 침투하기
■ VBA, 윈도우 스크립트 호스트(Windows Scripting Host), C, 자바, 자바스크립트, 플래시 등을 사용한 사용자 정의 코드 작성

1장. '의료 기록 보안'에서는 매크로 공격과 MITB 기술 같은 개념을 사용해 병원 인프라에 대한 공격을 설명한다. 그리고 명령 제어(C2)를 소개한다.
2장. '연구 훔치기'에서는 대학 연구실에 대한 공격이라는 맥락에서 자바 애플릿과 더 발전된 C2를 사용하는 공격을 탐구한다.
3장. '21세의 도둑'에서는 은행과 같이 경비가 엄중한 공격 대상에 대한 모의 침투 방법과 DNS 프로토콜을 사용하는 고도로 발전된 C2 기술을 고찰한다.
4장. '제약 회사의 업보'에서는 제약 회사에 대한 공격을 조사하고 이를 대처하기 위해 클라이언트 측 익스플로잇과 메타스플로잇 같은 제3자 프레임워크를 C2에 통합하는 과정을 소개한다.
5장. '총과 탄약'에서는 랜섬웨어 시뮬레이션과 토르(Tor)의 숨겨진 서비스를 사용해 C2 인프라의 물리적 위치를 숨기는 방법을 검토한다.
6장. '범죄 정보'에서는 경찰 본부 침입을 통해 임시로 물리적 접근이 가능한 장기간 계약을 위한 크리퍼 박스의 사용을 설명한다. 권한 상승, HTML 애플리케이션을 사용한 공격 배포와 같은 다른 개념도 설명한다.
7장. '워게임'에서는 기밀 데이터 네트워크에 대한 공격을 논의하고, 오픈소스 정보 수집과 C&C에서 발전된 개념을 설명한다.
8장. '해킹 저널리스트'에서는 출판사를 공격하는 방법과 출판사의 기술과 워크플로우를 사용하는 방법을 보여준다. 새로운 리치 미디어 콘텐츠와 실험적인 C2 방법론을 고려한다. 사회 공학의 고급 개념을 소개한다.
9장. '북한에 대한 노출'에서는 특정 접근 작전 팀(TAO, Tailored Access Operations)에 의한 적대적인 테러 지원국 가상 공격을 설명한다. 북한의 사례를 예시로 활용했다. 발전된 신중한 네트워크 매핑과 iOS/안드로이드 폰에 대한 악성코드 작성을 아우르는 스마트폰 공격 방법에 대해 논의한다.

시스템을 패치하고 네트워크를 보호해야 한다는 생각을 갖고 있었다. 해커는 이런 보호 조치를 하지 않은 희생자를 찾기 위해 방대한 범위의 주소를 스캔하고 취약한 시스템을 통제할 수 있기 때문이다. 이는 어느 정도 사실이다. 쉽게 달성할 수 있는 목표에 만족하는 사람은 항상 있다. 80년대에도 마찬가지였다. 어떤 공격인지 알고 있다면 PSTN1에 행하는 ‘워 다이얼링(War Dialing)’과 같은 공격은 경계할 만한 것이 아니었다. 하지만 시간과 자원을 가진 누군가가 특별히 공격 대상으로 삼았다면 완전히 다른 규모의 문제가 된다. 간단히 말하자면, 끈기 있게 사용자를 타깃으로 삼아 기업 시스템에 접근하는 것이 80년대에는 가장 좋은 방법이었다. 물론 지금도 가장 좋은 방법이다. 그러나 다른 곳과 마찬가지로 보안 업계도 계속해서 다른 이름의 ‘새로운’ 제품과 서비스를 팔아야 하고, 그러려면 전문적인 유행어가 필요했다. 그중 하나가 지능형 지속 위협(APT, Advanced Persistent Threat)이다.
APT가 기존의 침투 방식과 다른 점은 확실한 목표를 갖고 있다는 것이다. 공격자는 무엇인가(예:자산 정보)를 찾고 있으며, 그것을 얻는 데 필요한 만큼 인내할 준비가 돼 있다.
알려지지 않은 악성코드를 차단하고 APT를 예방할 수 있다고 주장하는 수많은 기술이 있다. 이러한 제품 중 일부는 나쁘지 않으며 어느 정도의 행위 분석을 제공해 실제로 다른 계층의 보안에 추가할 수도 있다. 예를 들어 쉽게 우회할 수 있는 안티바이러스 시그니처에 의존하지 않고 exe 파일이 실행하는 작업을 살펴보며 메타스플로잇 콜백을 탐지할 수 있다. 그러나 메타스플로잇과 같은 툴의 동작 방식을 매우 잘 알고 있기 때문에 단순하게 모델링하는 것은 어렵지 않다. 진정한 APT 공격은 현대의 침입 탐지/방지 시스템 작동 방식에 관한 확실한 이해를 바탕으로 자신만의 툴을 개발할 능력이 있는 숙련된 해커가 수행한다. 따라서 모델링 기술을 설명할 때 SSH 프로토콜을 많이 사용한다. 모니터링 시스템의 활동을 방해하고 동시에 정당한 트래픽으로 보이도록 하는 등 많은 문제를 해결할 수 있기 때문이다.
이 책에서는 현실 세계에서 APT 모델링을 검토한 후 좀 더 나아가볼 것이다. APT 테스트 프레임워크 작업을 소개하고 각 장에서 논의되는 목표 환경을 도출하고 문제를 해결하는 데 필요한 계층의 기능을 추가할 것이다. 때때로 익숙하지 않은 언어로 자신만의 툴을 만들기 위해서 탄탄한 프로그래밍 지식은 필수다.
이 책의 각 장에서는 특정 산업에 대한 APT 모델링 경험을 설명하며, 새로운 개념과 아이디어 그리고 버려야 할 교훈을 소개한다. 환경, 보안에 대한 태도, 네트워크 방어를 수행하는 사람들의 역량은 여러 분야에 따라 다르기 때문에 이 작업을 산업별로 세분화하는 것이 중요하다. 만약 여러분이 모의 침투 테스터라면 무언가를 배우게 될 것이다. 만약 침입자를 조직의 시스템에 들어오지 못하게 하는 달갑지 않은 업무가 있다면 야간에도 유지할 수 있는 방법을 배울 수 있을 뿐만 아니라 좀 더 복원력이 있는 방어 시스템을 구축하는 방법도 알 수 있다.

윌 올소프(Wil Allsopp)

항상 무엇인가 분해하는 것을 좋아하며, 가끔 분해한 것을 다시 조립하기도 한다. 그러다가 모의 테스트에도 빠져들었는데, 마치 다른 사람들의 발걸음이 자연스레 술집으로 향하는 것처럼 이 활동은 그의 마음 속으로 빠져드는 것 같았다. 1999년 헤트스타츠카페 잘트보멀(’t Stadscafe Zaltbommel)에서 우연하게도 생각이 같은 사람을 만나 IBM 소프트웨어 개발 계약을 포기하고 타이거팀 시큐리티(Tigerteam Security) NV라는 첫 번째 회사를 만들었다. 시간에 구애 받지 않고자 회사를 퀴라소(Curaçao)섬에 설립했다.
20년 가까이 지난 지금도 여전히 무엇인가를 분해하고 있지만, 전과는 큰 차이가 있다. 세계 유명 회사들이 그에게 돈을 지급한다는 점이다. 아내와 함께 야생 동물들을 기르며 네덜란드에 살고 있다.

‘Penetration Test’는 펜 테스트, 모의 침투 테스트, 모의 해킹과 같이 다양한 표현으로 번역되고 있으며, 조직의 정보 보안 수준을 적극적, 능동적으로 평가하기 위해 실제 공격 행위(hacking)를 시뮬레이션하는 것을 의미한다. 구축한 많은 보안 장비가 취약점 앞에서 무용지물이 되는 경우도 있기 때문에 모의 침투 테스트는 자산을 지키기 위해 필요한 절차로 인식되고 있으며, 점점 더 많은 기업에서 실행되고 있다.
많은 보안 업계 사람들이 모의 침투 테스트 업무를 해보고 싶어 한다. 하지만 다양한 환경 및 인프라에 대한 이해와 개발 능력이 필요한 탓에 실력 있는 모의 해커가 되기 어려운 것도 사실이다. 이 책의 저자는 본인이 실제 경험한 내용을 바탕으로 병원, 대학 연구실, 은행, 제약 회사, 경찰 본부, 출판사 등 다양한 개별 산업에서 이뤄지는 APT 모델링을 통해 모의 침투 테스트 기술을 알려준다. APT 공격 모델링 과정과 같이 자칫 딱딱하고 재미없을 수 있는 기술 관련 설명을 실제 공격자인 것처럼 자연스럽고 흥미롭게 표현하면서 예제를 제공하고 있으므로 좀 더 편하게 읽을 수 있다.
중요한 개념뿐만 아니라 모의 침투 테스트가 실제 어떻게 진행되는지 소개하고 이를 위해 무엇을 공부해야 하는지 알려주므로, 이 분야에 관심이 많았던 독자들에게는 이 책이 어느 정도 길잡이가 될 것이다. 하지만 전문적인 보안 용어가 자주 등장하기 때문에 초보자가 읽기에는 다소 어려움이 따를 수 있다.
이 책은 이제 막 모의 침투 테스터가 된 독자들이 과거와 현재의 기술이 어떻게 변화했는지 이해할 수 있도록 해준다. 또한 단순히 이론만 나열하는 것이 아니라, APT 공격자들의 생각이나 이를 방어하는 보안 담당자와 운영자의 입장 등을 고려해 실제 업무에서 활용할 수 있는 다양한 공격 루트와 방법을 제시한다. 네트워크와 시스템 등 인프라에 내재된 위협(threat)과 취약점(vulnerability)을 알 수 있어 위험(risk)을 개선하고 관리할 수 있는 보안 정책과 절차를 마련하는 데도 도움이 될 것이다.
APT 공격과 모의 침투 테스트에 대한 기본을 이해하고 적용하는 데 이 책이 많은 도움이 되길 바란다.

박지한

기업 보안 업무를 하다가 현재는 보안 정책 담당자로 근무하고 있다.

박조희

서울여자대학교 정보보호학과를 졸업했다. 모의 해킹 컨설팅을 하다가 현재는 자동차와 IoT 분야에서 취약점 분석을 담당하고 있다.

제정주

서울여자대학교 정보보호학과를 졸업했다. 현재는 내부통제/보안 컨설턴트로 근무하고 있다.

허환석

고려대학교 정보보호대학원 정보보호학과를 졸업했다. 취약점 분석/모의해킹 업무를 수행했으며, 현재는 IoT 임베디드 분야에서 취약점 분석 업무를 하고 있다.

조주봉

전남대학교 정보보호협동과정 박사과정 수료했다. 현재는 취약점 분석 업무를 하고 있다.