정보보안 윤리에 대하여

정보보안이란?

- 해킹의 의미

프로그램 자체를 제작자의 의도와 다르게 바꾸는 것을 해킹이라 한다. (그것을 나쁘게 바꾸는 것을 크래킹이라 한다)

해킹은 본래 컴퓨터 네트워크 보안 취약점을 찾아내는 문제를 해결하고 이를 악의적 이용을 방지하는 행위라는 의미이다.

하지만 컴퓨터가 널리 보급되면서 점차 나쁜 의미로 변질되었다.

 

- 보안의 의미

모의해킹을 통해 취약점을 파악하고 대응방안을 마련하여 크래커가 공격을 하는 행위를 미리 예방하고자 하는 것

 

(화이트해커) : 모의해킹을 통해 취약점을 파악 후 대응방안을 제시

(블랙해커) : 해킹을 악의적으로 사용하여 이득을 챙기는 해커

(그래이해커) : 낮에는 보안전문가이지만 밤에는 블랙해커인 (예시:어나니머스)

(레드해커) : 시스템을 박살내는 것에 초점을 둔 해커

(블루해커) : 프로그램을 런칭하기 전에 버그 테스트를 하는 해커

 

(리버싱) : 프로그래머가 만든 소스코드를 역으로 분석하는 기술

(웹해킹) : 웹 사이트의 취약점을 공격하는 기술

(포너블) : 시스템 해킹으로 시스템 취약점을 통해 권한상승이 목적인 기술

(포렌식) : 범죄를 밝혀 내기 위한 수사에 쓰이는 과학적 수단이나 방법 기술 (데이터 복원)

 

리버싱

게임, 모바일 앱, 일반 프로그램(워드, 한글), 악성코드 분석(어떻게 제작 되었는지)

 

포너블

커널, 브라우저, 일반 프로그램

 

웹해킹

웹 사이트, 웹 CMS(그누보드, 워드프레스 등 컨텐츠를 관리할 수 있는 사이트)

 

포렌식

메모리, 디스크, 파일 데이터

 

---

 

윤리 및 도덕 의식

- 잘못된 예시

 

대기업을 해킹해서 스카웃이 된다? : 오래된 이야기로 현재는 실력을 증명할 수 있는 환경임 (CTF, 버그바운티)

따라서 잘못된 방법으로 해킹을 한다면 법적인 처벌을 받는다.

 

 

- 올바른 예시

BOB / 화이트햇 스쿨 / 케이쉴드 주니어 (등) 교육 수료

해킹방어대회 및 해커톤 버그바운티 등의 참여로 개인 커리어를 좋은 방향으로 쌓을 수 있다.

 

※ 즉 정보보안 윤리적 자세와 도덕적 의식이 가장 중요합니다.

 

 

윤리란?

사람으로서 마땅히 행하거나 지켜야 할 도리로 정보보안의 윤리는 IT 기술과 관련된 행위에 대한 도덕적인 가치판단과 규범

윤리가 중요한 이유는?

기술을 악용하여 사람을 죽일 수 있다는 것까지 생각을 못함 (병원의 랜섬웨어 공격으로 진료를 받지 못해 사망함)

악성행위를 은닉하기 위해 안티 포렌식 기법 활용 / 차량 절도를 위해 CAN 프로토콜을 사용함 (등)

 

 

모의해킹

- 대상 범위 확인

- 취약점에 따른 가용성 침해 영향 확인

- 모의해킹을 통한 개인정보 보호 및 민감 자료 처리

- 문서화(보고서)

- 소통(취약점 보고 등)

- 이행점검

---

정보보안 윤리적 의사결정

PMI (project management institute)

평가 -> 대안 -> 분석 -> 적용 -> 행동 (5가지 프레임워크)

 

평가 : 윤리적 딜레마에 대한 사실 확인

대안 : 선택할 대안 고려

분석 : 결정안 유효성 검증

적용 : 결정안 윤리 원칙 적용

행동 : 의사결정

 

시나리오(내부 무단 접근)

- 평가 : 개발자 A가 다른 팀의 서버에 무단으로 접근할 수 있는 권한을 발견한다.

- 대안 : 권한 문제를 보고하거나 무시한다.

- 분석 : 무단 접근은 회사 정책과 윤리적 원칙에 위배된다.

- 적용 : 무단 접근은 정보보안 윤리와 회사 정책을 위배하는 행위다.

- 행동 : 개발자 A는 보안 팀에 이 문제를 보고한다.

 

 

시나리오(피싱 공격 시도)

- 평가 : 직원 A가 의심스러운 이메일을 받는다.

- 대안 : 이메일을 무시하거나, 링크를 클릭하거나, IT 팀에 보고한다.

- 분석 : 의심스러운 링크 클릭은 데이터 유출 위험이 있다.

- 적용 : 안전한 환경을 유지하는 것은 기본적인 윤리다.

- 행동 : 직원 A는 이메일을 IT 팀에 보고한다.

 

 

시나리오(비밀번호 공유)

- 평가 : 직원 A가 작업 편의를 위해 동료와 비밀번호를 공유하려고 한다.

- 대안 : 비밀번호를 공유하거나, 별도의 접근 권한 설정을 요청한다.

- 분석 : 비밀번호 공유는 보안 위반의 가능성이 있다.

- 적용 : 개인 정보의 보안은 중요한 윤리적 책임이다.

- 행동 : 직원 A는 별도의 접근 권한 설정을 IT 팀에 요청한다.

 

 

시나리오(보안 업데이트 무시)

- 평가 : 소프트웨어 보안 업데이트 알림이 뜬다.

- 대안 : 무시하거나 즉시 업데이트한다.

- 분석 : 보안 업데이트를 무시하면 시스템이 취약해질 수 있다.

- 적용 : 시스템의 보안을 유지하는 것은 기본적인 책임이다.

- 행동 : 즉시 보안 업데이트를 진행한다.

 

 

시나리오(데이터 유출)

- 평가 : A팀이 실수로 중요한 고객 데이터를 외부에 유출했다.

- 대안 : 이를 숨기거나 즉시 관련 당사자 및 관리자에게 보고한다.

- 분석 : 데이터 유출은 법적인 문제와 회사의 명성에 손상을 줄 수 있다.

- 적용 : 문제 발생 시 책임감 있게 대응하는 것이 중요하다.

- 행동 : A 팀은 즉시 문제를 관리자에게 보고하고 문제 해결 방안을 모색한다.

 

 

시나리오(무단 소프트웨어 설치)

- 평가 : 직원 A가 작업 효율을 위해 무단으로 소프트웨어를 설치하려고 한다.

- 대안 : 소프트웨어를 설치하거나 IT 팀에 허가를 요청한다.

- 분석 : 무단 설치는 시스템에 보안 위협을 가져올 수 있다.

- 적용 : 모든 소프트웨어 설치는 보안 검토를 거쳐야 한다.

- 행동 : 직원 A는 IT 팀에 설치 허가를 요청한다.

 

 

시나리오(보안 테스트)

- 평가 : 개발자 A가 보안 강화를 위해 실제 환경에서 해킹 시도를 계획한다.

- 대안 : 승인 없이 해킹을 시도하거나 관련 담당자에게 승인을 받는다.

- 분석 : 승인 없이 테스트는 불법적이며 윤리에 어긋난다.

- 적용 : 모든 보안 테스트는 승인 절차를 거쳐야 한다.

- 행동 : 개발자 A는 보안 테스트에 대한 승인을 요청한다.

 

 

시나리오(로그인 시도 알림)

- 평가 : 직원 A가 자신의 계정으로 이상한 로그인 시도 알림을 받는다.

- 대안 : 그냥 무시하거나 보안 팀에 보고한다.

- 분석 : 이상한 로그인 시도는 계정 해킹의 징후일 수 있다.

- 적용 : 계정 보안은 개인과 회사에게 중요한 책임이다.

- 행동 : 직원 A는 알림을 보안 팀에 보고한다.

 

 

시나리오(데이터 조작)

- 평가 : 침투 테스터 A가 시스템에 접근 후 테스트 완료를 알리지 않고 데이터를 조작한다.

- 윤리적 문제 : 테스트의 목적을 벗어나 실제 데이터를 조작하는 것은 허용되지 않는다.

 

 

시나리오(테스트 범위 초과)

- 평가 : 테스터 A가 주어진 범위를 벗어나 다른 서버나 시스템을 테스트한다.

- 윤리적 문제 : 지정된 범위 이외의 영역에 대한 침투 시도는 불법적일 수 있다.

 

 

시나리오(테스트 결과 누설)

- 평가 : 해커 A가 침투 테스트 결과를 외부에 누설한다.

- 윤리적 문제 : 보안 취약성 정보의 누설은 대상 기관에 큰 피해를 줄 수 있다.

 

 

시나리오(개인 정보 접근)

- 평가 : 해커 A가 테스트 중 개인의 정보에 접근한다.

- 윤리적 문제 : 개인정보에 접근하는 것은 프라이버시 침해 및 법적 문제를 초래할 수 있다.

* 프로젝트 범위에 따라 다르다(협의를 할 때 개인정보 접근에 대해 허용할지 담당자와 확인)

 

 

시나리오(공격 도구 남김)

- 평가 : 테스터 A가 침투 테스트 후 사용한 도구나 스크립트를 시스템에 남겨둔다.

- 윤리적 문제 : 이러한 도구는 추후 보안 위협의 원인이 될 수 있다. (다음 단계의 공격을 모르는 해커가,
남겨져 있는 스크립트를 확인하고 다음 단계의 공격에 성공할 수 있다)

 

 

시나리오(악성 이메일 테스트)

- 평가 : 해커 H가 직원의 이메일을 위장하여 보안 팀에게 공격 시나리오를 전송한다.

- 윤리적 문제 : 사기나 기만을 통한 접근 시도는 윤리적으로 허용되지 않는다.

 

 

시나리오(복구 미흡)

- 평가 : 테스터 A가 테스트 중 발생한 문제를 복구하지 않고 그대로 둔다.

- 윤리적 문제 : 테스트 후 발생한 문제를 해결하지 않으면 실제 서비스에 문제를 초래할 수 있다.

 

 

시나리오(승인된 영역의 착각)

- 화이트해커 A가 승인된 범위의 IP 주소를 잘못 이해하고 다른 시스템에 침투를 시도한다.

대상의 IP주소인 1.1.1.1 이 아닌 1.1.0.1로 침투하게 된 경우

 

 

시나리오(외부 도구의 신뢰)

- 테스터 A가 외부에서 다운받은 침투 테스트 도구를 사용했지만 공격 범위가 프로젝트 기준을 넘어선 경우

(데이터 삭제, 게시글 도배 등) 도구를 사용하기 전 해당 도구가 남기는 로그나, 특정 행위를 하는지 확인필요

 

 

시나리오(테스트 시간대의 착각)

- 화이트 해커 A가 주간에 진행해야 할 테스트를 밤에 진행하면서 시스템에 중대한 오류나 중단을 일으킨다.

(프로젝트 범위에 따라 다르다)