침투 테스트란? | 펜 테스트란?

Ref. https://www.cloudflare.com/ko-kr/learning/security/glossary/what-is-penetration-testing/

펜 테스트에는 윤리적 해커가 회사의 보안 인프라에 대해 계획된 공격을 확장하여 패치해야 할 보안 취약성을 색출하는 작업이 포함됩니다. 펜 테스트는 전체적인 웹 애플리케이션 전략의 일부입니다.

침투 테스트란?

침투 테스트는 사이버 보안 전문가가 컴퓨터 시스템의 취약점을 찾아내어 악용하는 것을 시도하는 보안 활동입니다. 이 시뮬레이션 공격의 목적은 공격자가 악용할 수 있는 시스템 방어의 취약점을 파악하는 것입니다.

이는 은행에서 누군가를 고용하여 도둑으로 분장하고 건물에 침입하여 금고에 접근하도록 하는 것과 같습니다. 그 '도둑'이 은행이나 금고에 침입하는 데 성공하면 은행은 보안 조치를 강화해야 하는 방법에 대하여 귀중한 정보를 얻을 수 있습니다.

침투 테스트는 누가 수행할까요?

침투 테스트로 시스템을 구축한 개발자가 놓친 사각지대를 발견할 수 있으므로 시스템 보안에 대한 사전 지식이 거의 또는 전혀 없는 사람이 침투 테스트를 수행하는 것이 가장 좋습니다. 이러한 이유로 일반적으로 외부 계약업체를 통해 테스트를 수행합니다. 이러한 계약업체는 허가를 받고 보안을 강화할 목적으로 시스템을 해킹하기 위해 고용되므로 흔히 '윤리적 해커'라고 불립니다.

윤리적 해커의 대부분은 고급 학위와 침투 테스트 자격증을 보유한 숙련된 개발자입니다. 반면에 최고의 윤리적 해커 중 일부는 독학으로 공부한 사람입니다. 실제로 일부 개심한 범죄 전과 해커들은 이제 보안 결함을 악용하기보다는 자신의 전문성을 활용하여 보안 결함을 수정하는 데 도움을 주는 해커들입니다. 침투 테스트를 수행하기에 가장 적합한 후보자는 대상 회사와 어떤 유형의 침투 테스트를 시작하려는지에 따라 크게 달라질 수 있습니다.

침투 테스트의 유형에는 어떤 것이 있을까요?

• 오픈 박스 침투 테스트 - 오픈 박스 테스트에서는 해커에게 대상 회사의 보안과 관련된 일부 정보가 미리 제공됩니다.
• 클로즈드 박스 침투 테스트 - '싱글 블라인드' 테스트라고도 하는 이 테스트에서는 해커에게 대상 회사의 이름 외에는 어떠한 배경 정보도 제공되지 않습니다.
• 은밀한 침투 테스트 - '더블 블라인드' 침투 테스트라고도 하는 이 테스트는 공격에 대응할 IT 및 보안 전문가를 포함하여 회사 내 그 누구도 침투 테스트가 진행되고 있다는 사실을 알지 못하는 경우입니다.은밀한 테스트의 경우 해커가 법 집행에 문제가 발생하지 않도록 테스트 범위와 기타 세부 사항을 미리 서면으로 작성하는 것이 특히 중요합니다.
• 외부 침투 테스트 - 외부 테스트에서 윤리적 해커는 웹 사이트 및 외부 네트워크 서버와 같은 회사의 외부 대면 기술과 대결을 벌입니다.경우에 따라 해커가 회사 건물에 들어오는 것조차 허용되지 않을 수도 있습니다.이 테스트 과정에서는 원격 위치에서 공격을 수행하거나 근처에 주차된 트럭이나 밴에서 테스트를 수행해야 할 수도 있습니다.
• 내부 침투 테스트 - 내부 테스트에서는 윤리적 해커가 회사 내부 네트워크에서 테스트를 수행합니다.이러한 종류의 테스트는 불만을 품은 직원이 회사 방화벽 뒤에서 얼마나 많은 피해를 입힐 수 있는지 파악하는 데 유용합니다.

일반적인 침투 테스트는 어떻게 진행될까요?

침투 테스트는 윤리적 해커가 시뮬레이션 공격을 계획하는 데 사용할 데이터와 정보를 수집하는 정찰 단계로 시작됩니다. 그 후에는 대상 시스템에 대한 액세스를 확보하고 유지하는 데 중점을 두며, 이를 위해서는 다양한 도구가 필요합니다.

공격 도구에는 무차별 대입 공격 또는 SQL 삽입을 생성하도록 설계된 소프트웨어가 포함됩니다.눈에 잘 띄지 않는 작은 상자를 네트워크에 있는 컴퓨터에 연결하여 해커가 해당 네트워크에 원격으로 액세스할 수 있도록 하는 등 침투 테스트용으로 특별히 설계된 하드웨어도 있습니다.윤리적 해커는 또한 소셜 엔지니어링 기법을 사용하여 취약점을 찾을 수 있습니다.예를 들어, 회사 직원에게 피싱 이메일을 보내거나 배달원으로 위장하여 건물에 물리적으로 접근하는 등의 행동을 할 수 있습니다.

해커는 흔적을 감추는 것으로 테스트를 마무리합니다. 즉, 임베디드 하드웨어를 제거하고 감지를 피하기 위해 할 수 있는 모든 작업을 수행하여 대상 시스템을 발견한 시점의 상태 그대로 만드는 것입니다.

침투 테스트 이후에는 어떻게 될까요?

침투 테스트가 완료되면 윤리적 해커는 그 결과를 대상 기업의 보안 팀과 공유합니다. 이 정보는 테스트 중에 발견된 취약점을 해결하기 위해 보안 업그레이드를 구현하는 데 사용할 수 있습니다. 이러한 업그레이드에는 레이트 리미팅, 새로운 WAF 규칙, DDoS 완화, 더 엄격한 양식 유효성 검사 및 삭제 처리 등이 포함됩니다.