웹 해킹 뉴비의 궁금증
웹 해킹으로 보안 분야 처음 입문해본 뉴비입니다.
기초적인 코딩 지식도 없는 비전공자이지만, 이번 방학을 틈타
HTTP 통신 과정과, XSS, CSRF, SQLI 등 공격 기법들 하나씩 공부하고 실습해보고 있어요.
근데 여기서 궁금한 점이, 저한테는 다 너무 새롭고 신기한 것들이지만
이미 이렇게 알려진지 한참 된 기법들이 실무에서 다 쓰이긴 하는지 궁금합니다.
각 기법들도 다 세분화되어 깊이가 있긴 하지만, 그것마저 사실상 이미 다 까발려진 것들이고
그렇다고 제가 새로운 취약점을 찾아내기엔 무리가 있을 것 같아서요.
웹 해킹만 마스터해도 취업할 수 있다는 꿈을 갖고 시작하게 됐는데, 과연 제가 뭘 할 수 있을지 모르겠어요.
더군다나 AI도 날마다 발전하고 있는데, 방어하는 개발자 입장에서 딸깍 한방으로 빈틈없이 취약점 막아버릴 날도 오지 않을까요?
작성자 정보
댓글
2
탚으카
탚으카
(개인적인 의견입니다! 어느정도 걸러들어도 좋아요)
솔직하게 말해서 보안에 관심있는 사람이 그렇게 많지 않습니다. 다수의 개발자들은 프로그램이 동작하기만 하면 아무런 신경도 쓰지 않고, 자신이 쓴 코드 패턴이 취약점인지도 모르는 경우도 많습니다. SQL Injection의 대표적인 취약 코드 패턴: `'SELECT * FROM...' + username...` 이러한 기초적인 패턴조차 안드로이드 앱이나 관리하지 않은 웹 서비스들에 보이는 경우가 허다합니다.
또한 XSS 혹은 SQLi와 같이 오래된 종류의 취약점이라고 해도, 연구를 거듭해서 세부적인 공격 방법들이 제시되는 경우도 잦습니다. 위 본문에선 언급되진 않았지만 HTTP Request smuggling의 경우가 좋은 예시가 되겠네요. 아래 아티클 한번 읽어보시면 어떤 느낌인지 감이 오실 듯 합니다.
[HTTP/1.1 must die: the desync endgame](https://portswigger.net/research/http1-must-die)
한편, 새로운 취약점을 찾아내는 것이 항상 매우 복잡하게 여러가지 취약점을 어떻게 조합해서 쉘 따는, 그런 복잡한 것은 아닙니다. 생각보다 어이없이 터지는 경우도 많습니다. 당장 생각해보면 CVE-2025-29927 와 같은 케이스가 있네요.
AI로 딸깍하고 취약점을 막는 날이 (이미 가능하지만) 온다고 해서, 공격 팀의 업무가 당장은 사라지진 않을 겁니다. 왜냐면 공격 팀도 AI 딸깍으로 패치한 부분의 다른 취약점을 얻어낼 수 있으니까요. 근미래에 AI가 모든 일을 사람보다 값싸고 빠르게, 그리고 똑똑하게 하는 날이 도래하기 이전까진 AI와 협업하는 관계를 계속 이어나가지 않을까 싶습니다. 물론, 그런 날이 도래하면 해킹 하나의 분야만 사라지는 것이 아닌, 노동이라는 개념이 종말하겠지만요.
자유게시판
다른 글
글 제목 | 작성자 | 추천 | 조회 | 작성일 |
|---|---|---|---|---|
| 0 | 101 | 7일 전 | ||
| 0 | 265 | 10일 전 | ||
| 1 | 248 | 12일 전 | ||
| 10 | 1195 | 12일 전 | ||
| 2 | 311 | 13일 전 |