해킹/정보 보안을 배우려면 가장 빠른 방법!

안녕하세요 미래의 정보 보안 전문가/해커 여러분~

오늘은 드디어 저처럼 비전공자들이 해킹과 정보 보안을 접하는 데에 가장 도움이 되는 방법에 대하여 알려 드리겠습니다!

해킹을 배우려면 서양에 가장 인기가 많은 tryhackme라는 홈페이지에 알려드릴 것이지만, 일단은 제가 생각했을 때는 비전공자가 좌절감이 없고 동기부여를 오랫동안 유지하는 방법에 대하여 먼저 알려드리고 싶습니다.

​

​

효과적이고 좌절감이 없는 길

여러분이 아마 지금 하고 계시는 걱정을 하나를 바로 없애드리겠습니다.

​

해킹을 배우려면 코딩 실력이 굳이 없어도 됩니다!

​

되게 논란이 될만한 발언이죠? 제가 "코딩을 무조건 알아야 해커가 될 수 있지!"라는 말을 싫어하는 두 가지 이유가 있습니다.

​

1) 뛰어난 코딩 실력을 갖추어야만 하는 분야가 생각하는 것보다 적다. 과연 해킹이라는 넓은 세상에서는 코딩을 언제 많이 필요할까?

​

Exploit Development 악성코드 개발:

악성코드는, 개발자의 윤리적인 동기를 빼고, 일반 소프테웨어와 별 차이가 없기 때문에 코드를 많이 짜야겠죠? 아울러 Exploit Development는 코딩 말고도 다양한 실력을 무조건 갖고 있어야 되는 분야입니다. 소프트웨어 안에 있는 취약점을 찾기 위하여 Reverse Engineering, Assembly 실력이 필요하고, 상대가 무슨 운영체제를 쓰느냐에 따라, 윈도우나 리눅스에 대한 깊은 이해도 있어야 됩니다.

​

2) 동기부여 문제

인간은 낯설고 새로운 것을 시도했을 때는 얻은 지식이 가장 잘 외워지는 방법이 무엇일까? 바로 반복과 실습!

한국어를 배운 지 이제 7년 된 외국인 입장에서 말씀해드리자면 하루 종일 책 보기만 하고 단어를 암기하는 방법이 최악 방법입니다.

첫 번째 이유는 언어 실력이나 발음이 좋아지고 있는지 아울러 내가 잘하고 있는지 알 수 없어서입니다.

새로운 단어나 문법을 배웠을 때 그 문법 혹은 단어로 문장을 만들거나 원어민과 소통하는 방법이 최고입니다.

해킹도 역시 마찬가지입니다. 새로운 콘셉트는 반복함으로써 외워집니다.

두 번째 이유는 심리학적인 포인트이지만 아주 중요하다고 봅니다. 우리 비전공자는 대학교를 다니면서 과제나 시험 압박도 없고 4년이 지나고 이쁜 졸업 옷 입고 손에 있는 학위 증명서를 들고 졸업사진을 찍는 것이 아니기 때문에 우리는 우리의 동기부여를 따로 찾아야 합니다.

​

위와 같은 이유들 때문에 코딩부터 배우는 것은 안 좋다고 생각합니다. Exploit Development는 당연히 딱 들었을 때는 멋있게 들리겠지만 무작정으로 동시에 코딩, Assembly, Windows Internals, Windows API 등을 배우면 현타올 수밖에 없습니다. 그러니까 우리는 천천히 기초부터 해킹을 어떻게 재밌게 접할 수 있는지 tryhackme를 보면서 알아봅시다!

​

서양에 가장 인기가 있는 해킹 연습 홈페이지!

여기가 바로 www.tryhackme.com입니다! 해킹을 완전 처음으로 접하는 초보자든 경력이 많은 모의해커든 누구나 tryhackme에서 새로운 것을 배울 소 있습니다.

tryhackme의 많은 콘텐츠가 무료이긴 하지만 구독하는 것을 추천해드립니다. 가격은 매달 10파운드 (1만6천원)인데 tryhackme에서 제공해 주는 강의 양을 고려했을 때는 너무나 적당한 가격이라고 봅니다.

위에 6가지 path들이 나오는데 각자에 대해 설명해드리고 이 글을 읽으시는 여러분에게는 어떤 path가 가장 좋은지 설명해드리겠습니다.

​

Pre Security 40시간짜리 콘텐츠: 이 path는 왕초보를 위한 path입니다. 리눅스와 윈도우 환경을 다루는 방법을 배우며, 인터넷이 어떻게 작동되는지를 배웁니다! 하지만 해킹을 공부하려는 사람들은 대부분이 어느 정도 둘의 운영체제 다룰 줄 알고 인터넷에 대해 충분히 아시죠?

Complete Beginner 64시간짜리 콘텐츠: 바로 해킹에 다이빙하고 싶으신 분들은 이 path를 추천해드리고 싶습니다! 저도 이 path부터 시작하였고 든든한 토대가 되었습니다. 네트워크 취약점 악용하기, 홈페이지 해킹, 암호학, 윈도우 해킹, 권한 상승, 컴퓨터 해킹 등! 없는 것이 없죠?

Offensive Pentesting 47시간짜리 콘텐츠: 여기부터 재밌어집니다. 이 path는 서양에 가장 인기가 많고 모의 해커가 되려면 무조건 있어야 되는 OSCP자격증을 위한 준비path입니다! 아까 제가 뭐라고 했죠? 실습이 중요하다고! 실습이 바로 이 path 핵심입니다. 간단한 Exploit Development (Buffer Overflow)도 배우고, 제가 가장 좋아하는 Active Directory라는 주제에 대해도 배웁니다! Active Directory 회사 네트워크 해킹이라고 해석하시면 됩니다. 재밌죠?

이것은 바로 tryhackme의 대표적인 room 공부 방식입니다! 첫 번째 "Steel Mountain"를 같이 볼까요? Mr. Robot를 본 사람들은 Steel Mountain을 알죠? :) Mr Robot를 모르시는 분들은 꼭 보세요! 해킹에 대한 드라마입니다.

우리가 해킹할 머신을 부팅을 하면 바로 ip 주소를 받습니다. 처음에는 ip 주소만 받으면 어려울 수도 있기 때문에 tryhackme가 질문으로 학생들을 가이드 해줍니다. 첫 번째 질문을 읽고 우리는 홈페이지를 공격해야 된다는 것을 알 수 있으며, 3번째 질문은 CVE 번호는 그 홈페이지가 쓰는 소프트웨어에 대한 취약점을 찾으라는 것입니다. 해킹할 때 목표는 권한이 가장 높은 유저가 되는 것이겠죠? 바로 Task 3의 Privilege Escalation (권한 상승)에서 합니다!

방금 설명해드린 것들은 room마다 똑같습니다! 질문을 답함으로써 점수를 받을 수 있고 Leaderboard를 올라갈 수 있습니다 (저는 대한민국 해커 중에 9위 ㅠㅠ 더 열심히 해야겠네...)

​

위와 같은 room 총 400개 넘습니다!!! 실습할 수 있는 기회 많겠죠? 암호학, Reverse Engineering, 악성코드 분석, 홈페이지 해킹, 포렌식스 등.. 없는 분야가 없습니다.

​

이렇게 글과 사진으로만 설명해드리는 것이 쉽지 않고 조금 복잡해서 비디오를 하나 찍어서 유튜브에 올리고자 합니다! 아마 제가 커버하지 않은 것들도 많을 것 같은데 댓글을 달아주시면 다 답하도록 하겠습니다!

​

다음 블로고는 hackthebox에 대해 알려드리고 그다음에는 제가 hackthebox과 tryhackme에서 풀었던 모의 침투 walkthrough를 올릴 겁니다!