금주 월요일부터 금요일까지 임베스트에서 실전 모의해킹에 참여하고 있습니다.



참여는 



1) 김XX: 클라이언트 소프트웨어 전문가, 경력 15년, 정보보안강사

2) XX영 , 송XX: 임베스트 취업반 참석자

3) 임호진



이렇게 4명이서 모의해킹을 진행합니다.



전주에 XX영과 송XX는 2017년 교유기관보안관제시스템 구축 사업에 참여하고

바로 이여서 실전 모의해킹에 참여한 것입니

9시까지 출근인데, 모두 8시에 출근하였습니다.

확실히 의지가 대단 해보입니다.



모의해킹 전에 과거 XXX 기업, AAAA기업 등에서 수행한 모의해킹 보고서를 사전 리뷰합니다.

또한 시스템 구축에 관련된 산출물을 모두 리뷰하여 시스템에 대한 이해도를 높입니다.



그리고 실제 일이 어떻게 진행되는지 현장에서 느낄 수가 있습니다.



모의해킹 보고서 사전리뷰

모의해킹을 이끌어 줄 선생님과 함께 리뷰합니다. 선생님이 옆에 있으니 부담이 덜 할 것입니다

이제 본격적으로 모의해킹을 실전에서 그것도 가장 어려운 사이트에 수행합니다.



본 모의해킹 조건, 현재 운영 중인 시스템이므로 운영 서비스에 장애를 절대로 유발하면 안됩니다.



실전 모의해킹에서 하지 말아야 할 것과 안되는 것

- 본 모의해킹은 모든 보안 솔루션이 다 있습니다.

- Burp 및 NMAP, SQLMap, Nessus 등의 도구를 사용하는 순간 바로 해당 IP는 차단됩니다.

그리고 여기는 리버싱 도구를 사용할 수도 없습니다. Ollydbg를 실행하거나 메모리 변조를 수행하면 바로

탐지됩니다. ㅠㅠㅠ



또 모든 구간, 전 데이터는 SSL로 암호화 되어 있습니다. 그리고 더 힘든 것은 Active X, Non Active X,

안드로이드, iOS 등을 다해야 합니다. ㅠㅠㅠ



그리고 당연히 

그럼 어떻게 할까요?







아주 간단합니다. 일이 안될때는 밥먹고 하면 됩니다.



모의해킹 참석자에게 비용과 더불어 15000원짜리 갈비찜이 제공됩니다. ㅋㅋㅋ

그리고 3일이 지난 지금 ... 우리는 단 한가지의 방법을 쓰기로 했습니다.



어떤 공격도 안되면, 어떤 공격도 하지 않는다.

그리고 알려진 취약점(예를 들어 Version 때문에 발생되는 문제)은 모두 무시해라. 막상 보고서에 쓰면

별 내용없고 Patch하면 된다. 그것은 목록화 시켜서 보고 하면 된다.



그런데, 알려진 취약점은 하나 찾았는데, 다음 날 담당자가 패치했습니다. ㅠㅠㅠ



그리고 전략변경...



악성코드를 개발해서 공격한다.



이 부분은 어떻게 무엇을 했는지 보안상 이야기 할 수는 없습니다.



우리가 만든 악성코드로 각 구간별 하나씩 SSL를 깨나갔습니다.

여기까지 보고서의 내용은 더 이야기 할 수 없습니다.



그리고 모의해킹 보고서를 오늘 모두 작성했습니다.



그 다음은 지금까지 최근 3년간 모든 모의해킹 보고서에 있는 내용을 



XX영, 송XX에게 다시 재현하라고 시켰습니다.



못하겠으면 선생님에게 물어보라고 했고요.



그리고 마지막날 내일은 지금까지 한 것을 모두 가르쳐줄 것입니다.





이제 일도 끝나가니 







XX영과 송XX님의 기술경력확인서에 등록...그래야 공공 사업할 때 엄청난 혜택을 받을 수가 있습니다.

이제 금주에 이 일이 끝나면,



회사로 2주동안 한 일에 대해서 



비용을 지급받게 됩니다.



그리고 비용을 지급받으면 해당 통장사본을 스캔해서 한국소프트웨어 산업협회(소프트웨어 기술자 경력관리시스템)에



우편으로 보내면 최종적으로 과학기술 정보통신부에서 인정하는 기술경력 증명서를 발급받게 됩니다.





이것이 제가 해주고 싶었던 것입니다.



이제 12월 말에는 다시 APT 솔루션 업체에서 저희를 교육시킵니다.



그것은 APT 솔루션 유지보수 프로젝트 실제로 들어가기 위해서 무료로 실시되는 교육입니다.





이것이 내가 만들고 싶었던 취업반입니다

임베스트 정보보안 취업반
www.boanteam.com