침투 테스트는 시스템과 네트워크의 보안을 평가하기 위한 시뮬레이션된 사이버 공격입니다. 이 가이드는 침투 테스트의 원칙, 그 혜택, 그리고 보안 전문가들이 사용하는 방법론을 탐구합니다.
취약점을 식별하고 보안 조치를 강화하는 데 정기적인 침투 테스트의 중요성에 대해 알아보세요. 침투 테스트를 이해하는 것은 조직이 디지털 자산을 효과적으로 보호하는 데 필수적입니다.
침투 테스트는 누가 수행하나요?
조직은 IT, 애플리케이션 보안, 네트워크 보안 및 소프트웨어 프로그래밍 언어에 대한 광범위한 지식을 갖춘 자격을 갖춘 침투 테스트 담당자를 고용합니다. 침투 테스트 담당자는 스크립팅 언어를 사용하여 테스트 중 시스템에 피해를 주지 않도록 설계된 특정 경계 내에서 시스템에 승인된 공격을 실행하는 스크립트를 작성합니다. 그들은 소프트웨어 코드에 대한 지식을 활용하여 소프트웨어의 보안 결함을 검사합니다. 전문 침투 테스트 담당자(펜 테스터)는 조직의 요청에 따라 침투 테스트를 수행합니다. 침투 테스트 담당자는 테스트 수행 중 시스템을 손상시켜서는 안 됩니다. 취약점과 이를 어떻게 침투했는지에 대한 증거를 제공해야 합니다.
조직은 침투 테스트 결과를 활용하여 시스템을 패치하고 결함을 완화할 수 있습니다. 그런 다음 침투 테스터는 시스템을 다시 침투해 보며 조직이 취약점을 수정했는지 확인합니다.
외부 대 내부 침투 테스트
침투 테스트에는 뚜렷한 유형이 있습니다. 외부 침투 테스트는 침투 테스터가 테스트 대상 시스템에 대한 특별한 접근 권한이나 허가 없이 시작합니다. 테스터는 범죄 해커와 동일한 관점에서 시작하여 외부에서 접근 가능한 조직 내 경계, 인터넷에 노출된 애플리케이션 및 취약한 시스템에 진입을 시도합니다.
테스트에는 예를 들어 업무 수행을 위해 외부 네트워크 접근이 필요한 계약자를 위한 취약한 원격 데스크톱 프로토콜(RDP) 연결에 대한 공격이 포함될 수 있습니다. 펜 테스터는 네트워크상의 스마트폰 및 사용자 컴퓨터와 같은 엔드포인트 장치를 테스트할 수 있는데, 이는 무단 접근의 진입점이 될 가능성이 높기 때문입니다.
내부 펜 테스트는 조직의 내부 네트워크 및 인프라에 대한 취약성 테스트입니다. 이 테스트는 공격자가 네트워크 내부로 침투한 후 접근 권한을 얼마나 확장할 수 있는지 판단합니다. 이 테스트는 공격자가 네트워크 내에 장기간 존재할 수 있는 '장기 체류'가 가능한지, 그리고 회사가 장기간 동안 공격자의 존재를 알지 못하는지 여부를 판단합니다.
이 테스트는 공격자가 내부 네트워크 및 인프라 내에서 고객 데이터베이스와 같은 한 세트의 네트워크 자산에서 지적 재산이 포함된 다른 자산으로 측면 이동(lateral movement)할 수 있는지 여부를 판단합니다. 이는 과도한 접근 권한 및 허가를 포함한 기존 취약점을 악용하는 내부자 위협의 능력을 드러낼 것입니다.
침투 테스트 대 취약점 평가
침투 테스트와 달리 취약점 테스트는 네트워크 취약점 스캐닝 소프트웨어를 사용하여 자동화되는 경우가 많습니다. 취약점 테스트는 조직에 취약점이 존재함을 알려줍니다. 침투 테스트는 공격자가 악의적으로 취약점을 활용하여 추가적인 접근 권한을 획득하고 데이터를 유출할 수 있는지 확인합니다.
화이트, 블랙, 그레이 | 침투 테스트 수행 방식
다양한 유형의 침투 테스트는 조직이 우수한 보안 위생과 강력한 보안 태세를 유지하는 데 도움이 될 수 있습니다. 고객은 이러한 침투 테스트 중 하나 또는 여러 가지를 조합하여 요청할 수 있습니다.
화이트 박스 테스트
화이트 박스 테스트에서는 테스트 대상 네트워크와 시스템을 테스트 담당자가 완전히 파악할 수 있습니다. 화이트 박스 테스트는 테스트 담당자의 시야에서 숨겨진 것이 없기 때문에 모든 소프트웨어 코드를 테스트에 포함시킬 수 있습니다. 화이트박스 테스트는 개발 환경에서 흔히 사용하는 자동화 테스트에 적합합니다. 화이트박스 테스트를 통해 개발 중인 소프트웨어를 개발 라이프사이클 전반에 걸쳐 안전하게 유지하기 위한 빈번하고 자동화된 테스트가 가능합니다.
블랙박스 테스트
블랙박스 테스트는 침투 테스트 담당자에게 시스템이나 소프트웨어에 대한 정보를 전혀 제공하지 않습니다. 테스터는 공격자의 관점에서 테스트해야 하며, 사전 내부 지식 없이 정찰, 정보 수집, 초기 네트워크 접근을 수행해야 합니다. 테스터는 자신이 지닌 도구로 공격을 실행하고 시스템을 악용해야 합니다. 블랙박스 테스트는 가장 어렵지만 가장 포괄적인 테스트입니다.
그레이박스 테스트
그레이박스 테스트는 침투 테스트 담당자에게 시스템과 소프트웨어에 대한 제한된 가시성을 제공합니다. 테스트 설계는 특권 사용자가 추가로 획득할 수 있는 접근 권한의 범위와 이를 통해 수행 가능한 행동을 파악하는 데 목적이 있습니다. 그레이박스 테스트는 내부자가 권한을 상승시켜 내부 공격을 수행하거나 외부 공격자와 협력할 수 있는지 여부를 판단하는 데 도움이 됩니다.
침투 테스트 단계
테스터가 테스트 대상 시스템에 대한 사전 지식이 없는 경우, 침투 테스트는 크게 다섯 단계로 진행됩니다. 정찰, 스캐닝, 익스플로잇, 백도어 설치, 추적 방지 단계입니다.
첫 번째 단계는 정찰입니다. 테스트 대상 시스템에 대한 정보 수집을 의미합니다. 군사적 정찰과 마찬가지로, 침투 테스트에서의 정찰은 테스터가 네트워크에 접근하여 공격에 유용한 개방된 포트, 네트워크 주소, 로그인 페이지를 탐지해야 함을 뜻합니다. 네트워크와 자산을 매핑함으로써 테스터는 테스트에 사용할 익스플로잇을 결정할 수 있습니다.
테스터는 네트워크를 스캔하여 취약점을 찾습니다. 우수한 침투 테스트 전문가는 제로데이 취약점을 발견할 수 있습니다. 제로데이란 해당 취약점이 발견된 이후 공급업체가 패치를 적용할 시간이 전혀 없었다는 의미입니다. 패치가 출시되기 전까지 범죄 해커들은 이 취약점을 계속 악용할 수 있습니다.
테스터는 시스템을 악용하기 위해 악성코드를 포함한 익스플로잇을 선택합니다. 테스터는 향후 공격을 위해 네트워크에 백도어를 남겨둡니다. 마지막으로, 침투 테스트 담당자는 보안 로그를 제거하고 침해의 징후를 지워 탐지를 방지합니다.
침투 테스트 결과로 조직은 무엇을 할 수 있나요?
조직은 테스트 담당자의 최종 보고서에서 취약점을 파악하고 취약점을 해결하기 위한 계획을 세울 수 있습니다. 그런 다음 침투 테스트 담당자는 모든 취약점이 해결되었는지 확인하기 위해 결함을 재테스트합니다. 침투 테스트는 위험을 완화함으로써 비즈니스에 이점을 제공합니다. 조직은 손상된 접근 제어와 같은 주요 취약점을 테스트하고 수리할 수 있습니다. 기업은 침투 테스트를 통해 보안 상태에 대한 인식을 얻습니다. 이를 통해 공격 표면에 보안을 적용하고 조직이 원하는 상태와 일치하도록 유지할 수 있습니다. 조직은 또한 침투 테스트를 사용하여 업계 및 규제 요구 사항을 준수할 수 있습니다. 취약점을 테스트함으로써 기업은 패치를 적용하고 통제 수단을 활용하여 규정 준수를 달성하고 유지할 수 있습니다.
기업은 침투 테스트 보고서를 통해 고위험 취약점을 먼저 확인하고 해결함으로써 혜택을 얻습니다. 보고서는 감사 시 규정 준수 증빙 자료로 활용될 수 있습니다. 보안 분석가는 보고서를 활용하여 규정 준수 감사 실패로 이어지는 취약점에 노력을 재집중할 수 있습니다.
기업은 테스트 대상 영역, 제외 영역, 식별할 취약점 유형을 포함하여 침투 테스트 범위를 정의해야 합니다. 고위험 시스템, 소프트웨어 및 구성을 대상으로 함으로써 조직은 예산 범위 내에서 우선순위 취약점을 찾아 수정할 수 있습니다.
침투 테스트의 유형
네트워크 서비스 침투 테스트
네트워크 서비스 침투 테스트는 네트워크의 가장 중요한 취약점과 약점을 식별합니다. 이 테스트에는 내부 및 외부 테스트가 포함됩니다. 네트워크 구성 요소를 테스트합니다. 또한 엔드포인트와 네트워크 주변부도 테스트합니다.
네트워크 인프라 장치에는 다음이 포함됩니다:
- 방화벽
- 스위치
- 라우터
이 테스트를 통해 기업은 취약점을 보완하고 분산 서비스 거부(DDoS) 공격과 같은 일반적인 네트워크 기반 공격을 방어할 수 있습니다.
웹 애플리케이션 침투 테스트
웹 애플리케이션 침투 테스트는 웹 기반 애플리케이션과 브라우저의 취약점을 찾습니다. 취약한 브라우저를 통한 애플리케이션 공격은 흔하며, 예를 들어 전자상거래 페이지의 자바스크립트를 공격하는 봇이 있습니다.
웹 애플리케이션 테스트는 웹 애플리케이션 보안의 취약점 해결을 가속화하여 조직에 이점을 제공합니다. 침투 테스트와 패치 적용은 웹 애플리케이션의 복원력을 높입니다. 안전한 웹 애플리케이션은 침해 및 중단을 최소화함으로써 사용자 생산성이 계속 유지되는 등 비즈니스 연속성을 보장합니다. 웹 애플리케이션 침투 테스트는 브라우저 내 JavaScript 취약점을 식별하여 보안 팀이 브라우저 결함에 대비해 애플리케이션을 강화할 수 있도록 합니다.
물리적 침투 테스트
물리적 침투 테스트는 조직의 구내에 대한 모의 공격을 포함합니다. 물리적 침투 테스트는 제한 구역을 보호하는 물리적 보안을 측정합니다. 공격자가 무단 접근을 얻지 못하도록 하는 물리적 보안 통제를 테스트합니다. 물리적 침투 테스트는 기술 지원이나 다른 직원을 사칭하는 등 사회공학적 기법을 사용하여 적절한 권한이나 자격 증명 없이 접근을 얻습니다.
사회공학적 침투 테스트
사회공학적 침투 테스트 담당자는 직원들이 타인에게 두는 신뢰를 악용합니다. 테스터는 직원을 속여 민감한 데이터를 공개하거나 시스템 및 소프트웨어에 대한 접근 권한을 얻기 위한 구실을 만들 수 있습니다.
클라우드 침투 테스트
클라우드 공급자는 자사 서비스를 보호하지만, 고객은 클라우드에서 자신의 데이터와 애플리케이션을 보호할 책임이 있습니다. 클라우드 침투 테스트에는 고객이 업데이트할 생각을 하지 못할 수도 있는 인터넷에 노출된 인증 정보에 대한 무차별 대입 공격 테스트가 포함됩니다. 그러나 이를 수행하는 것은 고객의 책임입니다.
IoT 침투 테스트
IoT 침투 테스트는 고객의 전체 IoT 장치 목록을 검토하여 취약한 자격 증명이나 기본값 자격 증명, 레거시 통신 프로토콜, 보안 패치 부족과 같은 일반적인 취약점을 확인합니다. 침투 테스트 담당자는 취약한 프로토콜을 찾기 위해 무선 보안 테스트를 수행할 수 있습니다. 알려진 취약점에 대한 패치를 확인하고 무단 접근을 시도할 수도 있습니다.
침투 테스트의 장점
침투 테스트는 사이버 공격, 데이터 유출 및 다양한 산업 및 규제 요건 미준수로 인한 조직의 보안을 강화합니다. 조직은 GDPR, ISO 27001, PCI DSS를 비롯한 다수의 국가 및 국제 규정의 감사 및 준수를 요구받습니다. 기타 규정으로는 HIPAA/HITRUST가 있습니다.
기업은 소비자 신뢰를 유지하고자 합니다. 침해 사고가 발생하지 않는 신뢰할 수 있는 기술은 고객을 유지하는 반면, 침해 사고는 고객을 떠나게 하는 경향이 있습니다. 침투 테스트는 침해로 인한 가동 중단 및 핵심 업무에서 인적 자원을 빼앗는 침해 조사로 인한 예상치 못한 상황을 줄여 비즈니스 연속성을 지원합니다.
결론
침투 테스트는 보안 및 규정 준수를 유지하는 데 필수적인 요소입니다. 침투 테스트는 조직의 공격 표면을 평가하여 핵심 애플리케이션의 고위험 취약점을 식별합니다. 기업은 침투 테스트 보고서를 활용하여 우선순위 취약점을 수정하고, 보안 위험을 완화하며, 규정 준수 감사를 준비할 수 있습니다.
FAQs
취약점 스캔은 네트워크, 네트워크 포트 및 IP 주소를 자동으로 스캔하여 취약점을 찾습니다. 침투 테스트는 수동 스캔 및 기타 방법을 사용하여 취약점을 발견하고 이를 악용합니다.
침투 테스트 담당자는 고객이 정의한 영역에 승인된 범위의 공격 기법을 적용하여 특정 취약점을 찾습니다. 침투 테스트 담당자는 조직의 보안 정책을 테스트하고, 대응책을 개발하며, 보안 문제에 대한 방어적 해결책을 구현합니다.
침투 테스트는 능동적인 전문가가 주도하는 수동 작업으로, 취약점을 추가 조사할 만한 관심 영역과 해당 영역을 침투하는 방법을 식별합니다. 자동화된 테스트는 설정된 작업 목록에서 벗어나지 않습니다.
