https://workplace.stackexchange.com/questions/112571/is-it-acceptable-to-do-a-security-test-on-a-companys-open-wifi-before-an-interv
---------------------------------------------------------------------------------------------------
질문: 면접 전에 회사의 공개 와이파이에 보안 테스트를 해도 될까요?
질문자: Chase Sandmann
질문 날짜: 2018-05-20
XYZ라는 조직에 IT 포지션으로 면접 제의를 받았습니다.
로비에서 기다리는 동안, XYZ라고 되어 있는 공개 WiFi를 발견했습니다. 와이파이에 연결하자 인사말과 함께 username과 비밀번호를 요구하는 웹 페이지가 나타났습니다. Fing(안드로이드 앱)을 사용해 연결된 장비들을 스캔해보니 XYZ-HR-1과 XYZ-FN-1이라는 랩탑을 몇 개 찾을 수 있었습니다.
면접을 보는 중에 그들에게 말했습니다. 내 포지션은 보안 쪽에도 좀 관련되어 있는데, 회사 의 공개 네트워크에 보안 취약점을 찾아냈다고요.
IT 매니저는 그 말에 인상깊어하는 눈치였지만, HR 직원은 아니었습니다. 그는 방어적인 태도로 아직 당신은 우리의 네트워크 보안을 체크하라고 고용된 건 아니다라고 말했습니다. 저는 이건 저나 다른 사람이 고용될 때까지 기다릴 수 없는 중요한 문제라고 했습니다.
이런 걸 그들에게 말하는게 맞는 거였나요? 제가 기회를 걷어차 버린 걸까요? 다른 곳에서도 이렇게 하는 것이 맞을까요(만약 뭔가 발견하게 된다면)? 이런 정보는 면접에서 어떻게 유리하게 써먹을 수 있을까요?
ㄴ해도 되냐고 물어보는 의미가 취업에 도움이 되냐는 뜻인가요 아니면 합법적이냐는 뜻인가요? - Mr Me
ㄴ왜 혼자서 생각해보거나 그 회사 문화가 어떤지 체크하지 않고인터넷의 모르는 사람한테 이런 질문들을 하는거죠? - mathreadler
---------------------------------------------------------------------------------------------------
투표수: 262
답변자: Sascha
답변 날짜: 2018-05-20
이런 멍청한 짓은 - 대부분의 환경에서 - HR로부터 골칫거리로 생각될 겁니다. 이유는 매우 간단합니다: 당신은 당신이 뭘 하는지 알고 있었고, 그리고 그 테스트를 하는 건 당신의 책무가 아니라는 것이죠.
혹시 당신이 "인터넷에 이런 얘기가 나돌던데요?" 라는 식으로 그런 문제를 발견했다면 괜찮았을 겁니다. 하지만 보안 전문가는 네트워크 스캐너를 네트워크 상에 돌린다는 것은, 관리자에게 허가받지 않았다면, 그 행동이 분명 "좋지 않음" 과 "나쁜 의도"라는 분류 중 어딘가에 속할 것이라는 것을 알아둬야 할 겁니다. 또한 이건 실제 문제를 발생시킬 수도 있습니다. 가령 False 알람같은 것을 작동시킨다거나 말이죠. 저는 다른 부서(혹은 내부망의 누구든지)의 어떤 놈이 허가 없이 했던 스캔의 근원지를 찾느라 몇 시간을 낭비해본 경험이 있습니다.
그런 상황에서는, 누군가는 당신이 회사 안으로 오기 전까지 그 네트워크는 보이지 않았을 거라고도 상상했을 법 합니다. 저는 특별한 방법없이는 외부에서 WiFi신호를 보지 못할 정도로 큰 장소에서도 작업해 봤습니다. 그런 경우 퍽이나 보안 위협이 있겠네요.
(저도 여러분이나 ,IT인들이 아시는 것처럼 공개 WiFi를 사용하는 것이 좋지 않음을 알고 있습니다. 하지만 저는 이게 인사부나 관리부에서도 듣고 싶어하는 얘기인진 모르겠네요)
ㄴ 어느 나라인지 언급이 안 되어 있지만, 미국에서는 정말 조심해야 합니다. 단순한 Fing 스캔조차도 컴퓨터 사기 및 남용 행위 (CFAA)에 저촉될 수도 있고, 불법적인 컴퓨터시스템 접근으로 생각될 수도 있습니다. 위키피디아의 첫 번째 라인을 보시길 바랍니다: en.wikipedia.org/wiki/Computer_Fraud_and_Abuse_Act "The law prohibits accessing a computer without authorization, or in excess of authorization"
- JesseM
---------------------------------------------------------------------------------------------------
답변자: Kate Gregory
답변 날짜: 2018-05-20
제가 당신을 저희집 뒷마당 바베큐파티에 초대했다고 상상해 봅시다. 당신은 제가 부엌에 있는 동안 도착한 다음 이렇게 말했습니다.
[
당신이 직장에 가 있는 동안 들렸었는데요. 울타리가 제 기능을 못하고 있더군요. 그네는 지반에 제대로 박혀있지 않았구요, 그건 덩치큰 애들이 강하게 타면 위험할 수 있어요. 또, 데크 난간이 너무 넓던데, 요즘 법은 X 인치만큼이고 당신 거는 Y 였습니다.
]
저는 당신의 무례함에 입을 벌린채 멍하니 서있을 겁니다. 아무도 당신에게 해달라고 한 적이 없고, 당신은 그게 해도 되는 건지 물어보지도 않았고, 당신은 단지 멋대로 침범한 다음 지금 지적질을 하고 있군요. 네, 그네 탈 때의 아이들의 안전과 데크는 정말 중요하죠. 하지만 사회생활의 규칙도 마찬가지로 중요합니다. 훌륭한 손님이라면 동의 없이 뒷마당을 침입하지도, 대화 초입부부터 검사 레포트를 내뱉지도 않겠죠. 대신 레몬에이드 한 잔과 함께 뒷마당에 갈 때까지 기다렸다가 이렇게 말할 겁니다.
[
어, 그네가 있네요. 그네에 대해 조금 압니다만, 이거 땅에 제대로 묻혀있는 건가요? 제가 한 번 봐도 되겠습니까?
]
그리고
[
요즘 데크 난간이 Y인치로 규정되어있는거 아시죠? ...보기에 당신거는 좀 오래되어 보이는데.. 혹시 괜찮으시다면 측정 테이프로 확인해봐도 될까요?
]
이렇게 당신은 뒷마당 안전에 대한 깊은 지식과 당신이 해당하는 도구를 가지고 있음을 보여줬지만, 아무에게도 피해를 주지 않았습니다.
이 비유는 공개 WiFi와 연결된 기기 이름을 체크하는 행동과 완벽하게 같지는 않습니다. 이건 이런 행동이 끌어내는 감정적 반응을 보여드리는 겁니다. 그들은 당신을 면접 보자고 사무실로 초대했죠. 당신은 그들이 보지 않는 곳에서 허가 없이 면접 규범의 바깥에 해당하는 무언가를 했죠. 그리고 당신이 무엇을 했는 지 말하는 것과 동시에 그들에게 지적을 했습니다. 적어도 그들 중의 한 명은 충격받고 기분이 상했습니다. 위의 실험적인 생각은 당신이 그런 기분을 이해하도록 해줍니다.
비유로 들었던 건 이제 됐고, 당신이 어떻게 했어야 했을까요? 면접 초반에 당신이 한 행동의 결과를 얘기하는 것 대신, 보안 쪽에 대한 얘기가 나올 때까지 기다렸다가 "많은 회사들이 네트워크가 몇 가지 새로운 공격에 취약하다는 것을 잘 모르기도 합니다. 괜찮으시다면 귀사의 손님용 WiFi를 5분 정도 스캔해볼 수 있습니다." 라고 할 수 있을 겁니다. 당신은 자신감 있게 이 제안을 할 수 있습니다. 왜냐하면 이미 로비에서 해봤으니까요 :-). 그리고 당신은 당신의 기술력과 도구를, 적절한 상황에서, 허가를 받은 채 보여주게 됩니다. 당신이 찾은 것은 그들을 바보로 만드는 것 대신 그들의 체면을 세워주게 됩니다. 당신이 문제를 찾았을 때, 당신은 어떻게 하면 취약점을 막을 수 있는지 알고 있다고 말할 수 있습니다. 이제 그들은 당신을 공격하는 대신 당신을 고용하고 싶어하겠네요.
ㄴ동의하지 않습니다. 올바른 비유는 누군가를 당신의 집에 어떤 문제를 확인하기 위해 초대했고 (당신이 비유했던 것처럼), 그러나 손님에 대해 혹은 일자리에 대한 이야기를 하기도 전에 당신이 기대했던 것보다 더 많은 것에 대해 모두 체크해 버린 것이죠. 질문자는 단지 수다 떨자고 초대받은 것이 아니라, 일자리를 위해 초대받은 것이죠 - John Weisz
ㄴRe "저는 당신의 무례함에 입을 벌린채 멍하니 서있을 겁니다", 정말요? 저라면 제 정원을 관리시키기 위해 면접보는 사람이 그랬다면 정말 좋아했을 겁니다. 물론 당신이 말한 요점 (마지막 두 문단)에는 동의합니다만, 당신의 비유는 조금 고칠 필요가 있겠군요. - ikegami
---------------------------------------------------------------------------------------------------
댓글 없음:
댓글 쓰기