공통 - 정보보안 윤리

*화이트햇 스쿨 2기에서 이수한 이론교육 내용을 바탕으로 작성되었습니다.

1. 정보보안 개요

정보보안이란?

해킹의 원래 의미는 프로그램 원 제작자가 걸어 놓은 프로그램 코드 락 알고리즘을 뚫어서 프로그램 소스를 알아내거나 프로그램 소스를 변경해서 자기 입맛에 맞 게 바꾸는 모든 행위를 포함한다. 즉, 프로그램 자체를 제작자의 의도와 다르게 바꾸는 것이 해킹이고, 그것을 나쁘게 바꾸는 것이 크래킹이다.

 

보안이란?

모의해킹을 통해 취약점을 파악하고 대응방안을 마련 하여 블랙해커(크래커)가 공격 하는 행위를 미리 예방 하고 지키는 것

White Hacker	Black Hacker
모의해킹을 통해 취약점을 파악하고 대응방안을 제시 해주는 해커	해킹을 악의적으로 사용하여 이득을 챙기는 해커
Gray Hacker	Red Hacker
화이트, 블랙이 섞인 해커(ex 낮에는 보안전문가, 밤에 는 블랙해커, ex 어나니머스)	이득과 관계 없이 시스템을 박살내는 것에 초점을 둔 해커

 

Reversing	WebHacking
역공학,프로그래머가 만든소스코드를 역으로 분석하는 기술 - 게임, 모바일, 일반 프로그램, 악성코드 분석	웹 사이트의 취약점을 공격하는 기술 - 웹 사이트, 웹 CMS
Pwnable	Forensic
시스템해킹이라 불리며 시스템 취약점을 통해 권한 획득이 목적인 기술 - 커널, 브라우저, 일반 프로그램	범죄를 밝혀 내기 위한 수사에 쓰이는 과학적 수단이나 방법, 기술 (데이터 복원)  - 메모리, 디스크, 파일 데이터

 

윤리 및 도덕 의식

- 합법적으로 좋게 사용하는 경우

  1. 웹 모의해킹으로 고객사 보안 환경 개선

  2. 버그바운티 취약점 제보 및 개인 커리어 활용

  3. 해킹대회 참여

- 불법적으로 이용하게 되는 경우

  1. 허가 받지 않은 환경 데이터 유출

  2. 가용성 침해 및 권한 탈취

 

정보보안 윤리적 자세 + 도덕적 의식이 가장 중요!

 

2. 정보보안 윤리

 

윤리

사람으로서 마땅히 행하거나 지켜야 할 도리

 

정보보안 윤리

IT 기술과 관련된 행위에 대한 도덕적인 가치판단과 규범

 

윤리적 해킹의 정의

- 제공하는 해킹 서비스 협의(모의해킹, 레드팀 등)

- 기밀성, 무결성, 가용성

 

모의해킹

- 대상 범위 확인 (모의해킹, 레드팀)

  → A ~ Z

  → everything

- 취약점에 따른 가용성 침해 영향 확인

  → 서비스 영향

  → 데이터 삭제 우려

- 모의해킹을 통한 개인정보 보호 및 민감 자료 처리

- 문서화(보고서)

  → 각 대상 모의해킹 과정 상세 기록

  → 대응방안 상세 기록

- 소통(취약점 보고 등)

  → 대상 확인

  → 취약점 보고

  → 주간 진행 보고

  → 월간 진행 보고

- 이행점검

 

3. 정보보안 윤리적 의사결정

 

윤리적 의사 결정 프레임 워크

  1. 평가 - 윤리적 딜레마에 대한 사실 확인

  2. 대안 - 선택할 대안 고려

  3. 분석 - 결정안 유효성 검증

  4. 적용 - 결정안 윤리 원칙 적용

  5. 행동 - 의사결정

 

Scenario

  1. 내부 무단 접근

  - 평가: 개발자 A가 다른 팀의 서버에 무단으로 접근할 수 있는 권한을 발견한다.

  - 대안: 권한 문제를 보고하거나 무시한다.

  - 분석: 무단 접근은 회사 정책과 윤리적 원칙에 위배된다.

  - 적용: 무단 접근은 정보보안 윤리와 회사 정책을 위배하는 행위다.

  - 행동: 개발자 A는 보안 팀에 이 문제를 보고한다.

  2. 피싱 공격 시도

  - 평가: 직원 A가 의심스러운 이메일을 받는다.

  - 대안: 이메일을 무시하거나, 링크를 클릭하거나, IT 팀에 보고한다.

  - 분석: 의심스러운 링크 클릭은 데이터 유출 위험이 있다.

  - 적용: 안전한 환경을 유지하는 것은 기본적인 윤리다.

  - 행동: 직원 A는 이메일을 IT 팀에 보고한다.

  3. 비밀번호 공유

  - 평가: 직원 A가 작업 편의를 위해 동료와 비밀번호를 공유하려고 한다.

  - 대안: 비밀번호를 공유하거나, 별도의 접근 권한 설정을 요청한다.

  - 분석: 비밀번호 공유는 보안 위반의 가능성이 있다.

  - 적용: 개인 정보의 보안은 중요한 윤리적 책임이다.

  - 행동: 직원 A는 별도의 접근 권한 설정을 IT팀에 요청한다.

  4. 보안 업데이트 무시

  - 평가: 소프트웨어에 보안 업데이트 알림이 뜬다.

  - 대안: 즉시 업데이트하거나 무시한다.

  - 분석: 보안 업데이트를 무시하면 시스템이 취약해질 수 있다.

  - 적용: 시스템의 보안을 유지하는 것은 기본적인 책임이다.

  - 행동: 즉시 보안 업데이트를 진행한다.

  5. 데이터 유출

  - 평가: A 팀이 실수로 중요한 고객 데이터를 외부에 유출했다.

  - 대안: 이를 숨기거나, 즉시 관련 당사자 및 관리자에게 보고한다.

  - 분석: 데이터 유출은 법적인 문제와 회사의 명성에 손상을 줄 수 있다.

  - 적용: 문제 발생 시 책임감 있게 대응하는 것이 중요하다.

  - 행동: A 팀은 즉시 문제를 관리자에게 보고하고, 문제 해결 방안을 모색한다.

  6. 무단 소프트웨어 설치

  - 평가: 직원 A가 작업 효율을 위해 무단으로 소프트웨어를 설치하려고 한다.

  - 대안: 소프트웨어를 설치하거나 IT 팀에 허가를 요청한다.

  - 분석: 무단 설치는 시스템에 보안 위협을 가져올 수 있다.

  - 적용: 모든 소프트웨어 설치는 보안 검토를 거쳐야 한다.

  - 행동: 직원 A는 IT 팀에 설치 허가를 요청한다.

  7. 보안 테스트 - 평가: 개발자 A가 보안 강화를 위해 실제 환경에서 해킹 시도를 계획한다.

  - 대안: 승인 없이 해킹을 시도하거나, 관련 담당자에게 승인을 받는다.

  - 분석: 승인 없이 테스트는 불법적이며 윤리에 어긋난다.

  - 적용: 모든 보안 테스트는 승인 절차를 거쳐야 한다.

  - 행동: 개발자 A는 보안 테스트에 대한 승인을 요청한다.

  8. 로그인 시도 알림

  - 평가: 직원 A가 자신의 계정으로 이상한 로그인 시도 알림을 받는다.

  - 대안: 그냥 무시하거나, 보안 팀에 보고한다.

  - 분석: 이상한 로그인 시도는 계정 해킹의 징후일 수 있다.

  - 적용: 계정 보안은 개인과 회사에게 중요한 책임이다.

  - 행동: 직원 A는 알림을 보안 팀에 보고한다.

  9. 승인 없는 테스트

  - 평가: 해커 A가 회사의 보안 강도를 테스트하기 위해 승인 없이 모의해킹을 시도한다.

  - 윤리적 문제: 승인 받지 않은 모의해킹은 불법적이며, 실제 피해를 줄 수 있다.

  10. 데이터 조작

  - 평가: 침투 테스터 A가 시스템에 접근 후 테스트 완료를 알리지 않고 데이터를 조작한다.

  - 윤리적 문제: 테스트의 목적을 벗어나 실제 데이터를 조작하는 것은 허용되지 않는다.

  11. 테스트 범위 초과

  - 평가: 테스터 A가 주어진 범위를 벗어나 다른 서버나 시스템을 테스트한다.

  - 윤리적 문제: 지정된 범위 이외의 영역에 대한 침투 시도는 불법적일 수 있다.

  12. 테스트 결과 누설

  - 평가: 해커 A가 침투 테스트 결과를 외부에 누설한다.

  - 윤리적 문제: 보안 취약성 정보의 누설은 대상 기관에 큰 피해를 줄 수 있다.

  13. 개인 정보 접근

  - 평가: 해커 A가 테스트 중 개인의 정보에 접근한다.

  - 윤리적 문제: 개인정보에 접근하는 것은 프라이버시 침해 및 법적 문제를 초래할 수 있다.

  14. 공격 도구 남김

  - 평가: 테스터 A가 침투 테스트 후 사용한 도구나 스크립트를 시스템에 남겨둔다.

  - 윤리적 문제: 이러한 도구는 추후 보안 위협의 원인이 될 수 있다.

  15. 악성 이메일 테스트

  - 평가: 해커 H가 직원의 이메일을 위장하여 보안 팀에게 공격 시나리오를 전송한다.

  - 윤리적 문제: 사기나 기만을 통한 접근 시도는 윤리적으로 허용되지 않는다.

  16. 복구 미흡

  - 평가: 테스터 A가 테스트 중 발생한 문제를 복구하지 않고 그대로 둔다.

  - 윤리적 문제: 테스트 후 발생한 문제를 해결하지 않으면 실제 서비스에 문제를 초래할 수 있다.

  17. 승인된 영역의 착각

  - 화이트 해커 A가 승인된 범위의 IP 주소를 잘못 이해하고 다른 시스템에 침투를 시도한다.

  18. 외부 도구의 신뢰

  - 테스터 A가 외부에서 다운받은 침투 테스트 도구를 사용했지만 공격 범위가 프로젝트 기준을 넘어 선 경우

    ex) 데이터 삭제, 게시글 도배 등

  19. 테스트 시간대의 착각

  - 화이트 해커 A가 주간에 진행해야 할 테스트를 밤에 진행하면서, 시스템에 중대한 오류나 중단을 일으킨다.

 

4. 실제 사례

 

5. 신기술의 윤리

 

인공지능, 사물인터넷 등 윤리적 고찰

 

6. 필드에서의 윤리의식

 

모의해킹 실무에서의 윤리

- 대상 범위 확인

  → 포트 스캔한 결과 호스팅 서비스인 경우

- 공격 범위 확인

  → 웹 취약점만 발견

  → 내부망까지 침투

  → 서비스 가용성 관련 협의

 

버그바운티에서의 윤리

 

CTF에서의 윤리

 

7. 정보보안 윤리의식 함양

 

모범 사례