해킹을 어필할 때 중요한 것은 '어떻게 악용되는가' 이다.

안녕하세요? 오늘의 주제를 다르게 작성하면, 해킹이 중요한게 아니라 어떻게 악용될지가 중요하다 입니다.

최근들어 정말 하루하루가 너무 빠르게 지나가고 있습니다. 

1분기에 2건만 신고한 것에 비해 이번 분기는 벌써 2달이 지나서 1달이 남았는데 KISA 취약점 신고 횟수가

2배나 늘었습니다. 그러면서 신고한 부분에 대해서 어떤 점이 더 필요하다 라는

지적 이라기보다 해달라 라는 것도 듣고 있죠.

 

그러면서 KISA의 사정도 어느정도 듣게되는 것 같아요. 

취약점 신고가 들어오면, 개발사에 연락해서 패치해주세요 라고 요청하지만 

대부분의 돌아오는 대답은 이게 어떻게 왜 취약한거니? 라는 것 같습니다. 

물론 이 내용들은 제가 직접 들은 것은 아니고 담당자들과 통화하면서 느낀 내용들이라 다를 수 있습니다.

 

예를 들어보죠. 어느 프로그램에서 힙 오버플로우 취약점이 발견됬습니다. 

그런데 이 취약점은 아무것도 하지못하고 프로그램을 종료시키는 영향력밖에 없습니다. 

그런 경우 개발사에게 패치해달라 라고하면 이게 왜 취약한거냐? 프로그램 종료밖에 못시키는데,

우리는 모니터링하는 프로그램이 따로 돌고 있으니 다시 켜면된다. 라는 답변을 하게 되는거죠

어느정도 개발사 입장도 공감이 되긴합니다. 

잘못해서 코드 한 라인이 변경되면 빌드가 안되거나 다른 버그가 생기는 마법을요...

(저는 2년간 C/C++ 개발을 했습니다.)

 

그러므로 우리는 보안을 하는 사람들이니 보안을 모르는 사람들에게 

어떻게 어떤부분에서 취약하니 해킹을 막는 것이 중요하다 라는 것을 어필해야 합니다.

 

몇일 전에 저는 관제를 하는 중에 해킹(침해 사고)의 시작인 패킷을 발견했습니다.

저는 그것을 서버 관리자에게 침해 사고가 발생했으니 이러이러한 내용들을 알아봐달라 라고 말했지만

서버 관리자는 탐지된 패킷을 보고서 이게 어떻게 해킹(침해사고)이냐? 말이 안된다. 라는 대답이 돌아오더군요. 

 

결국 해킹(침해사고)인 것으로 확인이 되었지만 이러한 경우처럼 우리는 보안을 모르는 사람들을 

설득할 능력을 키우는게 중요합니다. 물론 해킹하는 능력도 중요합니다만... 

 

그래서 제가 오랫동안 생각하고 내린 결론은

취약점이 없으면 설득하지 않아도 되지만, 취약점이 존재하는한 설득하는 능력이 더 중요하다.

(개인적인 생각입니다. 틀릴 수 있으니 답은 각자 판단에 맡깁니다)