2024-05-30 00:35 (목)
제3기 ITL 아카데미 개최, 침투시험 역량 강화 기회
상태바
제3기 ITL 아카데미 개최, 침투시험 역량 강화 기회
  • 길민권
  • 승인 2015.11.18 20:14
이 기사를 공유합니다

12월 14일부터 18일, 증가하는 보안 침해사고에 대한 사전 예방 역량강화 과정
제3기 ITL 아카데미는 침투시험 전문가 과정을 개설한다고 밝혔다. 이번 과정에 참여하는 수강생들은 다양한 네트워크, 웹 애플리케이션 침투시험기법과 도구를 활용법을 배울 수 있다. 침투시험 전문가를 원하거나, 대형 공공기관, 대기업 금융기관 등 조직 내부의 침투시험 전문가를 양성해 해커들이 노리는 조직의 네트워크 취약점을 사전에 파악하고 예방할 수 있는 교육이다. 11월 27일(금)까지 조기 등록 시, 정가에서 45만원 할인도 받을 수 있다.
 
제3기 ITL 아카데미 교육 일정은 다음과 같다.
◇1일차: 메타스플로이트 침투시험 방법 (M210)
해커들이 악성코드, 이메일 링크 방식, 윈도 취약점, 유닉스 시스템 취약점, 웹 취약점 등 다양한 방법을 통해 보안 취약점을 찾아내어 조직의 시스템을 장악하고, 데이터를 훔쳐가는 등 해킹 공격이 발생하고 있다. 조직에서는 이러한 다양한 보안위협을 평가하기 위해 주기적으로 침투시험 수행하고 취약점 평가를 하고 있다. 메타스플로이트 프레임워크(MSF)는 체계적인 침투시험을 지원하는 훌륭한 오픈 소스 도구다. 기존의 상용제품 못지않은 다양한 기능과 지속적인 DB 업데이트로 많은 보안 전문가들의 사랑을 받고 있다. 이 과정에서는 침투시험 절차에 따라 메트스플로이트 프레임워크 활용에서부터 프레임워크 아키텍쳐 이해, 모듈 작성 방법, 자체 스크립트 제작 방법 학습 등을 통해 사용자의 요구에 맞는 메타스플로이트를 이용하여 침투시험을 하는 방법에 대해서 배울 수 있다.
 
◇2일차: 침투시험 준비 및 조사 (M220.1)
이 과정에서는 적은 비용으로 높은 효과를 줄 수 있는 하드웨어, 소프트웨어, 네트워크 인프라 및 시험 도구 패키지 등을 이용하여 침투시험 인프라를 구축하도록 한다. 2일차 과정 중에는 침투시험 방법 계획, 프로젝트 범위 설정 방법 및 목표 환경 인력과 함께 규칙을 정하는 방법 등을 설명한다.
자세한 준비과정을 거친 후, 사전 조사 등 대부분의 침투시험 프로젝트의 초기 단계에 필요한 주제를 다룬다. 이 과정에서는 자세한 DNS 조사 방법, 후이즈(Whois) 조사 및 검색 엔진 취약점 조사 도구 등 공개된 자료에서 유용한 정보를 활용하는 방법을 살펴본다. 또한 새로운 조사 도구와 시험 환경에서 이용하는 방법을 살펴본다.
 
◇3일차: 네트워크 침투시험 (M220.2)
3일차 과정에서는 패스워드 추측 방법, 패스워드 크래킹, 및 해쉬 값 크래킹 등 패스워드 공격방법을 다루게 된다. 패스워드는 대부분의 기업에서 인증방법으로 사용하고 있기 때문에 침투시험 전문가는 시험 대상 환경에서 패스워드의 취약점을 찾는 방법을 이해하고 있어야 한다. 이 과정에서는 침투시험 전문가들은 효과적으로 패스워드 공격을 하기 위해 실제 경험에 바탕한 다양한 방법을 배우게 된다. 최근 사용되고 있는 가장 좋은 패스워드 추측 자동화 도구인 THC Hydra를 사용하여 목표 시스템인 윈도 SMB 및 리눅스 SSH 패스워드를 찾아낸다. 그리고 주요 운영체제의 패스워드 표현 양식에 대해서 살펴보고 상세한 크래킹 도구를 배운다.
무선 네트워크 기술이 광범위하게 사용됨에 따라, 침투시험 전문가들은 무선 인프라에 대한 취약점을 평가하는 일이 발생한다. 이 과정에서는 잘못 구성된 접근 포인트(AP), 약한 보안 프로토콜 응용 방법 및 강한 보안 기술을 잘못 구성하는 것 등 일반적인 무선 취약점을 찾는 방법을 배운다.
 
◇4일차: 웹 취약점 조사 (M250.1)
4일차 과정에서는 공격자의 관점에서 웹 프로토콜, 언어, 클라이언트, 서버 아키텍처 등의 웹 기술을 자세히 분석하는 것부터 시작한다. 그리고 웹 프록시 도구를 이용해 웹 애플리케이션 취약점을 확인하는 방법에 대해서 알아본다. 마지막으로 웹 브라우저 확장 프로그램을 이용해서 웹 애플리케이션 취약점을 확인하는 방법에 대해서 강의와 실습을 병행한다.
 
◇5일차: 웹 애플리케이션 취약점 침투시험 및 대응 (M250.2)
마지막 날에는 4일차 과정에서 사용한 다양한 프록시 도구를 이용하여 본격적으로 웹 애플리케이션 침투시험 기법을 배우게 된다. 수강생들은 다양한 종류의 오픈 소스 프록시 도구의 동작방법을 실질적으로 배우고, 보다 상세한 사용 방법에 대해서도 이해할 수 있다. 또한 이와 같은 웹 프록시 도구를 이용해 다양한 웹 취약점에 대한 점검 방법과 함께 실습을 병행한다. 마지막으로 조직에서 웹 취약점을 방어하기 위해 점검하고 확인해야 할 내용을 배운다.
 
(과정 등록: www.itlkorea.kr/academy.php)
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★