https://www.youtube.com/watch?v=8n5PZBYVQj8
https://lilys.ai/digest/2504848/601882?s=1&nid=601882 토대로 정리함
1. 🤖 웹 해킹과 보안 AI에 대한 전문적 관심
- 민은 인하우스 레드팀에서 웹 해킹과 관련된 업무를 하고 있으며, 웹 해킹의 전문가로서 소스코드를 통해 화면 렌더링을 할 수 있는 능력을 가지고 있다.
- 그는 최근에는 침투 테스트와 같은 레드팀 관련 업무에도 관심을 갖고 있으며, 보안을 위한 AI와 AI에 대한 보안에도 많은 관심을 두고 있다.
- AI의 공격 기법이나 샌드박스를 우회하는 방법에 대해 연구하고 있으며, AI를 활용한 공격 감지와 정보 수집의 중요성을 강조한다.
2. 🔍 외부 공격자의 애플리케이션 해킹 가능성
- 외부 공격자가 호스트 장악에 성공한 후, 사내의 다양한 애플리케이션을 해킹할 가능성에 대한 질문이 제기된다.
- 애플리케이션은 웹사이트, 웹 서비스, 모바일 앱, CS 프로그램 등을 포함하며, 이러한 여러 형태의 애플리케이션들이 존재한다.
- 가상의 회사 블루라쿤에서 여러 PC와 서버 데이터베이스가 있으며, 이 위에 다양한 애플리케이션이 설치되어 있다고 설명된다.
- 공격자가 방어망을 우회하여 오피스 네트워크 내의 PC를 장악할 경우, 원격으로 명령을 수행할 수 있는 상황이 된다.
- 따라서 이러한 상황에서 빨간색 테두리로 표시된 애플리케이션을 해킹할 가능성이 논의되는 것이다.
3. 🔐 국내 보안 생태계와 인증 심사의 실정
- 국내 보안 생태계는 인증 심사를 중심으로 운영되며, 특히 ISMS가 대표적인 인증 심사 항목으로 자리잡고 있다.
- ISMS 심사 항목 중 하나인 사고 예방 및 대응이 모킹 사업의 주요 원인이며, 이에 따라 연 1회 취약점 점검을 수행하는 것이 일반적이다.
- 인증 심사 의무 대상에는 ISB 사업자, IDC, 병원, 대학교 등이 있으며, 이들은 인증 심사를 받지 않을 경우 최대 3천만 원 이하의 과태료를 부과받는다.
- 인증 심사는 인력 채용과 컨설팅에 영향을 미치며, ISMS 인증 경험이 있는 인력 선호 경향이 나타난다.