DRJ 뉴스
해커라고 모두 나쁜 짓만 하는 것은 아니다. 해킹 기술을 좋은 방향으로 사용하려면 무엇이 필요한가. 바이러스, DDoS 공격 또는 버퍼 오버플로우라는 용어에 묘한 매력을 느끼는가? 그렇다면 합법적인 해커, 즉 윤리적인 해커, ‘착한’ 해커 또는 침투 테스터가 적성에 맞을지도 모른다.
<재난포커스 - 편집자 주>

윤리적 해커 필요로 하는 곳 많다

그 다음 시간을 투자해서 보안 자격증(Security+, CISSP 또는 TICSA)을 따고 정보 보안 담당자로 취직한다. 거기서 일하면서 침투 테스트를 집중적으로 연마하고 관련 도구를 익힌다. 그리고 국제 전자상거래 컨설턴트 위원회에서 발급하는 CEH(Certified Ethical Hacker, 공인 윤리적 해커) 자격증을 목표로 노력한다. 이 때쯤 되면 스스로를 윤리적 해커로 내세울 수 있게 된다.해커는 네트워크 노하우도 매우 중요하지만 관련 영역에 대한 경험도 쌓아야 한다. 유닉스/리눅스 명령과 배포에 숙달해야 한다. 또한 C, LISP, 펄, 자바 등을 사용한 프로그래밍도 배워야 하고, SQL과 같은 데이터베이스도 다뤄야 한다.
 
해킹은 소프트 스킬도 필요하다

 ‘나쁜’ 해킹을 멀리하는 것이 중요하다. 나쁜 해킹이란 누군가의 네트워크에 허가 없이 침투하거나 공격하는 행위를 말한다. 불법 활동에 연루될 경우 실제 유죄 판결까지 가지 않는다 해도 그것으로 윤리적 해킹 경력은 끝나게 될 가능성이 높다. 이 분야의 많은 일자리가 정부 관련 조직에 있으며, 기밀 취급 인가와 거짓말 탐지기 검사를 요구한다. 일반 기업들도 기본적인 뒷조사는 한다.앞서 언급했듯이, CEH가 되려면 몇 년 동안 보안 관련 IT 경력을 쌓은 후 EC위원회로부터 인증을 받아야 한다. 이 인증 과정은 해커의 관점에서 보안을 이해하는 데 도움이 된다.

 일반적인 악용, 취약점 및 대응 유형을 배우게 된다. 업체 중립적인 CEH를 위한 자격를 갖추려면 침투 테스트, 흔적 추적, 수색, 소셜 엔지니어링을 마스터해야 한다. 학습 과정에는 트로이 목마, 백도어, 바이러스 및 웜 만들기가 포함된다. 또한 서비스 거부(DoS) 공격, SQL 주입, 버퍼 오버플로, 세션 하이재킹, 시스템 해킹에 대해서도 다룬다. 웹 서버와 웹 애플리케이션을 하이재킹하는 방법을 배우며, 네트워크를 스캔/스니핑하고 무선 암호화를 풀고 IDS/파이어월/유인 시스템(허니팟)을 피해가는 방법도 익힌다.EC 위원회의 공인 교육 파트너를 통해 5일 동안의 현장 또는 온라인 교육 과정을 밟아 CEH 자격증을 준비할 수 있다.

저자 : 에릭 게이버