오늘 끝나면
안전한 실습 환경
- ✓안전한 실습 환경의 핵심 문제를 한 문장으로 설명한다
- ✓오른쪽 실습에서 안전한이 어떻게 움직이는지 관찰한다
- ✓다음 강의와 이어지는 한계를 말할 수 있다
실습 미션
샌드박스·VM·CTF — 격리된 곳에서만 손댐 이 문장이 실제로 무슨 뜻인지 실습에서 한 번 손으로 확인한다.
성공 조건
- □실습의 기본값을 먼저 관찰
- □입력값이나 모드를 한 번 이상 바꿔 결과 비교
- □왜 결과가 바뀌었는지 한 문장으로 설명
화이트해킹 · 02
안전한
실습 환경
공격 실습은 격리된 곳에서만 함.
VM · 컨테이너 · CTF 워게임 — 망가져도 되는 가짜 표적임.
남의 진짜 시스템은 표적이 아님.
왜 격리하나
공격 코드를 그냥 내 컴퓨터에서 돌리면 안 됨. 망가지는 게 표적이 아니라 나일 수 있음.
익스플로잇은 의도대로만 안 움직임. 실습용 악성 샘플 하나가 호스트 파일을 건드리거나 같은 네트워크의 다른 기기로 번질 수 있음.
그래서 실습은 격리가 기본임.
공격을 가둘 칸을 따로 두고 그 안에서만 손댐.
밖으로 못 나가니 터져도 그 칸만 버리면 됨.
격리 ON vs OFF
격리가 있고 없고의 차이를 오른쪽에서 직접 봄.
가운데 G 칸이 격리된 실습 공간(게스트)임. 나머지 칸은 내 진짜 컴퓨터(호스트)임.
공격을 한 단계씩 퍼뜨려 보셈.
샌드박스 ON이면 공격이 게스트 경계를 못 넘음 / 호스트는 멀쩡함.
OFF면 경계가 없어 진짜 PC까지 번짐.
이 경계 하나가 실습과 사고를 가름.
호스트 안전. 공격이 게스트 1/4 칸을 먹어도 격리 경계를 못 넘음. 스냅샷으로 되돌리면 끝.
VM · 컨테이너 · CTF
격리할 도구는 세 갈래임. 무게와 용도가 다름.
VM은 가상 컴퓨터 한 대를 통째로 띄움 / 가장 두껍게 격리됨.
컨테이너는 더 가볍게 프로세스만 가둠 / 빠르게 여럿 띄우기 좋음.
CTF·워게임은 남이 미리 만들어 둔 합법 표적임.
일부러 취약하게 만든 서버라 마음껏 공격해도 됨 / 처음엔 여기서 시작하는 게 제일 안전함.
| VM무거움 | 가상 컴퓨터 한 대 통째로가장 두껍게 격리 |
| 컨테이너가벼움 | 프로세스만 가둠빠르게 여럿 띄움 |
| CTF·워게임준비됨 | 일부러 취약한 합법 표적처음 연습에 최적 |
스냅샷으로 되돌림
격리의 짝꿍이 스냅샷임. 실습 전 깨끗한 상태를 찍어둠.
공격을 돌리다 게스트가 감염되거나 망가져도 문제없음.
찍어둔 스냅샷으로 한 번에 되돌리면 다시 깨끗한 표적이 됨.
그래서 실습은 부담 없이 반복됨.
망가뜨리고 · 되돌리고 · 또 시도함 / 진짜 시스템이었으면 한 번의 실수가 끝이지만 격리+스냅샷은 무한히 다시 함.
↺ 복원하면 다시 1번으로 — 무한 반복
범위와 동의서
격리만으론 부족함. 남의 시스템을 만질 땐 종이 한 장이 먼저임.
허가된 펜테스트는 scope를 정함 / 어떤 대상을 · 언제까지 · 어디까지 건드려도 되는지 서면으로 못박음.
범위 밖을 건드리면 합법이 불법으로 바뀜.
기술이 같아도 동의서 유무가 화이트해커와 범죄자를 가름.
연습은 격리 환경·CTF에서, 실전은 서면 허가 안에서만 — 이게 1강에서 본 “허가”의 실제 모습임.
Q. 실력 키우려고 남의 회사 서버에 취약점 연습 — 해도 됨?
안 됨.허가 없이 남의 시스템을 건드리면 의도가 좋아도 불법임.
연습은 내가 만든 격리 환경(VM·컨테이너)이나 합법 CTF·워게임에서만 함.
실전은 scope를 명시한 서면 동의 안에서만 / 범위 밖은 곧 범죄임.
| 대상 | test.example.com 만그 외 IP·도메인 금지 |
| 기간 | 6/1 09:00 – 6/3 18:00밖에선 권한 없음 |
| 범위 | 웹앱 · 로그인 폼DB 삭제·DoS 제외 |
| 서명 | 양측 서면 동의없으면 곧 불법 |