Breaking
사이버 보안(Cybersecurity)
윤리적 해커 '화트햇', 도덕적 딜레마 속 '선'의 경계 찾다
2019-07-30 17:17:33
유수연
▲테스터들은 블랙햇의 공격 가능성을 예방하기 위해 해킹을 시도한다(사진=ⓒ게티이미지)

[라이헨바흐=유수연 기자] 일반적으로 해킹은 불법이지만, 윤리적인 해킹도 존재한다. 이에 따라 불법적인 해커는 '블랙햇', 윤리적인 해커는 '화이트햇'이라고 분류한다. 

해킹으로 타인의 정보를 빼돌려 불법적인 소득을 올리는 블랙햇과는 달리, 화이트햇은 해킹을 통해 사이버 보안을 증진한다. 바로 IT 전문가들에게 잘 어울리는 직업이다.

침투 테스트

윤리적인 해킹에 대해 거론할 때 가장 먼저 언급되는 것은 침투 테스트다. 침투 테스트를 진행하는 테스터들은 주로 시스템, 네트워크 및 웹 기반 응용 프로그램의 취약점을 악용해 제한된 시간 내에 리소스 내에 침투한다. 

이 실험 결과는 시스템이 만약 실제 악의적인 해커에게 공격당했을 경우 시스템이 손상되기까지 걸리는 시간 및 회복 가능 여부 등을 알아보는 데 쓰인다.

테스터들은 블랙햇 해커가 어떻게든 찾아낼지 모르는 취약점을 알아내기 위해 모든 행동과 결과를 기록하며 IT 부서와 긴밀하게 협력해 보안 전략을 제시한다.

 

다니엘 미슬러는 '취약성 평가와 침투 테스트의 차이'라는 보고서에서 "침투 테스트는 특정 공격자가 시뮬레이션 된 목표를 달성하도록 설계됐다"며 "이미 원하는 보안 상태를 이룬 고객이 보안 허점을 알아내기 위해 테스트를 요청하는 경우가 많다"고 말했다.

이어 "취약성 평가는 우선 순위가 매겨진 취약점을 목록으로 산출하도록 설계된 것"이라며 "이때 고객은 그들이 원하는 보안 수준을 아직 이루지 못한 상태다"고 덧붙였다.

간단히 말하면 침투 테스트는 특정 시스템에 특정 공격을 수행할 때 블랙햇 해커가 이룰 수 있는 목표에 더 중점을 두고 있고, 취약성 평가는 공격자가 악용할 수 있는 시스템 내 보안 결함을 지적하는 것이다. 침투 테스터와 취약성 평가자들은 서로 협력할 수밖에 없다.

▲침투 테스트는 특정 공격자가 시뮬레이션된 목표를 달성할 수 있는지 여부를 알아보기 위해 설계됐다(사진=ⓒ게티이미지)

윤리적 해킹에 대한 윤리적 고려 사항

윤리적 해킹은 법적으로도 보호받지만, 그렇다고 해서 윤리적인 해커가 자신의 직업과 관련해 도덕적인 딜레마에 직면하지 않는 것은 아니다. 

영국 본머스대학과 이스트런던대학의 연구자 드룹은 화이트햇 해킹에 대한 윤리적 고려 사항을 연구했다. 이들은 윤리적 해킹에 대한 기존의 딜레마를 파악하기 위해 그들의 책임, 관행, 윤리, 보증 사항 등에 대해 연구했다.

연구진에 따르면 윤리적인 해커 중 윤리적 딜레마에 직면하는 사람은 소수다. 하지만 이처럼 윤리적 딜레마를 겪는 윤리적인 해커들은 때때로 곤경에 처한다. 즉, 조직에 이익이 되는 일, 혹은 개인에 이익이 되는 일, 이런 여부에 관계없이 도덕적으로 옳은 일 사이에서 선택을 해야 하기 때문이다.

 

연구진은 "이번 연구를 위해 인터뷰에 참여한 일부 화이트햇 해커들에 따르면, 기업이 보안 정책 자체의 적법성 또는 도덕성과 상관없이 사람이 개입한 테스트를 사용하는 것을 정당화한다고 말했다"고 전했다.

윤리적인 해커들이 직면하는 또 다른 딜레마는 테스트에 사용되는 해킹 방법이다. 이들은 때때로 신중하게 생각한 전략을 사용해야 할지, 아니면 구조화되지 않은 전략을 사용해야 할지 고민한다. 구조화되지 않은 전략은 창의적이고 더 많은 자원이 필요한 전략이기 때문에 계획 단계에서는 간과될 가능성이 높다.

많은 사람이 화이트햇 해커들이 하는 일에 감사하는 것도 사실이다. 이들은 궁극적으로 시스템의 보안을 강화하기 위해 어쩔 수 없이 자신의 도덕적인 딜레마를 견디고 해킹을 시도해야 하기 때문이다. 화이트햇 해커들의 행동은 수많은 조직과 개인이 실질적인 적, 즉 블랙햇 해커들로부터 더욱 안전해지도록 만든다.

[라이헨바흐=유수연 기자]