2019.12.31

침투 테스트의 흔한 실수 8가지와 그 해결법

Michelle Drolet | CSO
가장 효과적으로 보안 취약점을 파악하는 방법의 하나가 제3자를 통해 회사 시스템을 공격하는 것이다. 이런 침투 테스트(Penetration testing)는 기업 방어 체계의 허점을 찾아 악의적 의도를 가진 누군가 이를 악용하기 전에 없애는 데 목적이 있다. 이런 방법은 꾸준히 발전해 현재는 기업의 여러 분야를 표적으로 고안된 몇 종류의 침투 테스트가 있다.
 
ⓒ Getty Images Bank

네트워크 인프라부터 애플리케이션, 장치, 직원까지 기업을 표적으로 삼은 범죄자가 잠재적으로 이용할 수 있는 공격 경로가 많다. 유능한 침투 테스트 파트너는 개방적인 태도로 문제에 접근하고, 악의를 가진 해커를 흉내 내 취약점을 찾고, 다양한 기법과 도구를 사용해 네트워크에 침입하려 시도한다.

침투 테스트가 필요한 것으로 널리 인정되기는 하지만, 적절히 계획을 수립해 전문적으로 실행에 옮기는 것이 중요하다. 전문성이나 경험이 부족하면 침투 테스트가 기준 이하가 돼 취약점을 파악하는 데 실패하고, 이로 인해 계속 위험에 노출될 수 있다. 여기서는 침투 테스트 때 흔히 저지르는 실수 8가지와 이를 방지하는 방법을 소개한다.

위험에 우선순위를 부여하지 않는다
보안 태세를 강화하려 할 때 가장 먼저 하는 일 중 하나는 위험에 대한 기준을 수립하는 것이다. 가장 큰 위험이 초래되는 곳을 찾아야 한다. 이 정보는 침투 테스트 목적 달성에 필요한 정보를 제공해야 한다. 고객 데이터, 지적 재산, 기업의 재무 데이터 등 표적을 염두에 둔 상태에서 침투 테스트를 해야 한다. 위험에 우선순위를 부여하면 가장 큰 가치를 창출할 수 있는 분야에 보안 노력과 활동을 집중할 수 있다.

기업에 발생할 수 있는 최악의 시나리오를 생각한 후 이와 관련해 침투 테스트 목적을 수립한다. 중요하지 않은 문제는 쉽게 발견할 수 있겠지만, 오히려 이런 것이 정말 중요한 문제를 발견하는 데 방해가 될 수 있다.

적절하지 않은 도구를 사용한다
현재 시중에는 다양한 침투 테스트 툴이 나와 있다. 그러나 분야별로 사용해야 할 도구, 이를 올바르게 구성하는 방법을 알려면 상당한 전문성이 필요하다. 상용 침투 테스트 도구를 구매해 어설프게 내부 IT팀이 실행하는 경우 상당한 충격에 빠질 수도 있다. 따라서 내부에 경험 많은 레드 팀이 없다면, 결국은 충분한 전문성을 갖춘 제3자를 이용하는 것도 방법이다.

단, 침투 테스트 전문가에게 지불해야 할 보수가 매우 비쌀 수 있고, 단기간만 채용할 확률이 높다. 따라서 자동화 툴을 활용하는 것도 고려할 가치가 있다. 자동화된 침투 테스트 플랫폼은 방어 체계를 확인할 수 있도록 도와주고 지속해서 보호를 해준다. 신중히 플랫폼을 선택해야 하고 또 제3자 침투 테스트 파트너에게 조언을 구하는 것이 좋다.

보고서가 부적절하거나 미흡하다
제3자 침투 테스트 파트너가 접근성이 좋은 보고서를 제공하지 않는다면, 발견된 취약점과 잠재적인 영향을 이해하기 어려울 수 있다. 따라서 쉽게 이해할 수 있는 정보를 받는 것이 매우 중요하다. 문제 그 자체와 그 문제를 해결할 수 없을 때 초래될 결과, 문제를 해결할 방법이 자세히 설명된 정보를 확보해야 한다.

또한, 잘못된 보고서로는 전략적 자산을 위협하는 중요한 침해 경로를 구분하는 것이 어려울 수 있다. 명확한 목표 없이 시작할 경우 보고 단계 부정적인 영향이 초래된다. 반면 좋은 보고서는 ‘노이즈’와 ‘긍정 오류’를 걸러낸 상태에서 기업에 정말 중요한 부분만 강조해 설명해 준다. 명확한 방향 없이 단순히 수백, 수천의 취약점만 설명하는 자동화된 도구나 제3자는 피하는 것이 좋다. 바다를 끓일 수는 없는 법이다. 해결할 취약점을 명확히 규정해 실천할 수 있으면서도 우선순위를 부여한 계획을 수립해 실천해야 한다.

점검 항목에 표시만 한다
침투 테스트 전문가가 점검 항목에 표시만 하면 된다는 태도로 침투 테스트에 접근하면 무언가를 놓치게 된다. 컴플라이언스가 중요하기는 하지만, 침투 테스트를 하는 유일한 이유는 아니다. 점검 항목 확인에만 초점을 맞추면 보안에 대해 잘못된 판단을 내릴 수 있다. 사이버 범죄자는 점검 항목을 가지고 공격을 하지 않는다.

비즈니스를 중단시킨다
침투 테스트에 대한 적절한 계획을 수립하면서 중요한 비즈니스 시스템에 초래될 수 있는 영향을 고려해야 한다. 유능한 해커는 서비스를 중단시키지 않으면서 익스플로잇 공격을 하는 경우가 많다. 따라서 침투 테스트 파트너도  프로덕션 환경을 대상으로 테스트해야 한다. 침투 테스트 파트너가 조직의 인프라를 파악하지 못한 블랙박스 시나리오에서는 중단이 더 중대한 위험이 될 수 있다.

시대에 뒤떨어진 기법을 사용한다
침투 테스트에 대한 계획을 계속 발전시켜야 한다. 그렇지 않으면 금방 무용지물이 되기 때문이다. 항상 새로운 기법, 새로운 도구, 새로운 취약점이 등장하므로, 최신 정보를 파악해 지속해서 방식을 업데이트해야 한다. 유능한 침투 테스트 파트너는 최신 해킹 기술과 기법을 침투 테스트에 활용한다.

간헐적으로 침투 테스트를 한다
많은 기업이 매년 한 차례 정도 침투 테스트를 하지만 이는 ‘마음의 안정’을 주지 못한다. 이런 간헐적인 테스트는 테스트를 할 당시의 방어 체계에 대한 정보만 제공하기 때문이다. 따라서 지속해서 방어 체계를 확인해야 한다. 또 노출된 취약점이 적절히 해결됐는지 확인하기 위해 다시 테스트해야 한다. 이는 자동화된 침투 테스트 플랫폼이 유용한 또 다른 이유다.

해결하지 못한다
누군가를 지정, 침투 테스트 파트너와 자동화된 도구가 제공한 보고서에 맞춰 조처를 할 책임을 부여해야 한다. 파악한 문제에 우선순위를 부여하고, 적시에 이를 해결할 계획을 수립해야 한다. 많은 금전적 피해를 초래하는 데이터 도난은 기업이 제대로 해결하지 않은 알려진 취약점의 결과물인 경우가 많다. 지속해서 침투 테스트를 하면서 발견된 취약점이 적절히 해결되었는지 확인하는 테스트를 해야 한다.

침투 테스트를 제대로 계획해 이행하지 않으면 위험하다. 강력한 보안 태세를 유지하고 싶다면 자기만족에 머물러서는 안 된다. ciokr@idg.co.kr


2019.12.31

침투 테스트의 흔한 실수 8가지와 그 해결법

Michelle Drolet | CSO
가장 효과적으로 보안 취약점을 파악하는 방법의 하나가 제3자를 통해 회사 시스템을 공격하는 것이다. 이런 침투 테스트(Penetration testing)는 기업 방어 체계의 허점을 찾아 악의적 의도를 가진 누군가 이를 악용하기 전에 없애는 데 목적이 있다. 이런 방법은 꾸준히 발전해 현재는 기업의 여러 분야를 표적으로 고안된 몇 종류의 침투 테스트가 있다.
 
ⓒ Getty Images Bank

네트워크 인프라부터 애플리케이션, 장치, 직원까지 기업을 표적으로 삼은 범죄자가 잠재적으로 이용할 수 있는 공격 경로가 많다. 유능한 침투 테스트 파트너는 개방적인 태도로 문제에 접근하고, 악의를 가진 해커를 흉내 내 취약점을 찾고, 다양한 기법과 도구를 사용해 네트워크에 침입하려 시도한다.

침투 테스트가 필요한 것으로 널리 인정되기는 하지만, 적절히 계획을 수립해 전문적으로 실행에 옮기는 것이 중요하다. 전문성이나 경험이 부족하면 침투 테스트가 기준 이하가 돼 취약점을 파악하는 데 실패하고, 이로 인해 계속 위험에 노출될 수 있다. 여기서는 침투 테스트 때 흔히 저지르는 실수 8가지와 이를 방지하는 방법을 소개한다.

위험에 우선순위를 부여하지 않는다
보안 태세를 강화하려 할 때 가장 먼저 하는 일 중 하나는 위험에 대한 기준을 수립하는 것이다. 가장 큰 위험이 초래되는 곳을 찾아야 한다. 이 정보는 침투 테스트 목적 달성에 필요한 정보를 제공해야 한다. 고객 데이터, 지적 재산, 기업의 재무 데이터 등 표적을 염두에 둔 상태에서 침투 테스트를 해야 한다. 위험에 우선순위를 부여하면 가장 큰 가치를 창출할 수 있는 분야에 보안 노력과 활동을 집중할 수 있다.

기업에 발생할 수 있는 최악의 시나리오를 생각한 후 이와 관련해 침투 테스트 목적을 수립한다. 중요하지 않은 문제는 쉽게 발견할 수 있겠지만, 오히려 이런 것이 정말 중요한 문제를 발견하는 데 방해가 될 수 있다.

적절하지 않은 도구를 사용한다
현재 시중에는 다양한 침투 테스트 툴이 나와 있다. 그러나 분야별로 사용해야 할 도구, 이를 올바르게 구성하는 방법을 알려면 상당한 전문성이 필요하다. 상용 침투 테스트 도구를 구매해 어설프게 내부 IT팀이 실행하는 경우 상당한 충격에 빠질 수도 있다. 따라서 내부에 경험 많은 레드 팀이 없다면, 결국은 충분한 전문성을 갖춘 제3자를 이용하는 것도 방법이다.

단, 침투 테스트 전문가에게 지불해야 할 보수가 매우 비쌀 수 있고, 단기간만 채용할 확률이 높다. 따라서 자동화 툴을 활용하는 것도 고려할 가치가 있다. 자동화된 침투 테스트 플랫폼은 방어 체계를 확인할 수 있도록 도와주고 지속해서 보호를 해준다. 신중히 플랫폼을 선택해야 하고 또 제3자 침투 테스트 파트너에게 조언을 구하는 것이 좋다.

보고서가 부적절하거나 미흡하다
제3자 침투 테스트 파트너가 접근성이 좋은 보고서를 제공하지 않는다면, 발견된 취약점과 잠재적인 영향을 이해하기 어려울 수 있다. 따라서 쉽게 이해할 수 있는 정보를 받는 것이 매우 중요하다. 문제 그 자체와 그 문제를 해결할 수 없을 때 초래될 결과, 문제를 해결할 방법이 자세히 설명된 정보를 확보해야 한다.

또한, 잘못된 보고서로는 전략적 자산을 위협하는 중요한 침해 경로를 구분하는 것이 어려울 수 있다. 명확한 목표 없이 시작할 경우 보고 단계 부정적인 영향이 초래된다. 반면 좋은 보고서는 ‘노이즈’와 ‘긍정 오류’를 걸러낸 상태에서 기업에 정말 중요한 부분만 강조해 설명해 준다. 명확한 방향 없이 단순히 수백, 수천의 취약점만 설명하는 자동화된 도구나 제3자는 피하는 것이 좋다. 바다를 끓일 수는 없는 법이다. 해결할 취약점을 명확히 규정해 실천할 수 있으면서도 우선순위를 부여한 계획을 수립해 실천해야 한다.

점검 항목에 표시만 한다
침투 테스트 전문가가 점검 항목에 표시만 하면 된다는 태도로 침투 테스트에 접근하면 무언가를 놓치게 된다. 컴플라이언스가 중요하기는 하지만, 침투 테스트를 하는 유일한 이유는 아니다. 점검 항목 확인에만 초점을 맞추면 보안에 대해 잘못된 판단을 내릴 수 있다. 사이버 범죄자는 점검 항목을 가지고 공격을 하지 않는다.

비즈니스를 중단시킨다
침투 테스트에 대한 적절한 계획을 수립하면서 중요한 비즈니스 시스템에 초래될 수 있는 영향을 고려해야 한다. 유능한 해커는 서비스를 중단시키지 않으면서 익스플로잇 공격을 하는 경우가 많다. 따라서 침투 테스트 파트너도  프로덕션 환경을 대상으로 테스트해야 한다. 침투 테스트 파트너가 조직의 인프라를 파악하지 못한 블랙박스 시나리오에서는 중단이 더 중대한 위험이 될 수 있다.

시대에 뒤떨어진 기법을 사용한다
침투 테스트에 대한 계획을 계속 발전시켜야 한다. 그렇지 않으면 금방 무용지물이 되기 때문이다. 항상 새로운 기법, 새로운 도구, 새로운 취약점이 등장하므로, 최신 정보를 파악해 지속해서 방식을 업데이트해야 한다. 유능한 침투 테스트 파트너는 최신 해킹 기술과 기법을 침투 테스트에 활용한다.

간헐적으로 침투 테스트를 한다
많은 기업이 매년 한 차례 정도 침투 테스트를 하지만 이는 ‘마음의 안정’을 주지 못한다. 이런 간헐적인 테스트는 테스트를 할 당시의 방어 체계에 대한 정보만 제공하기 때문이다. 따라서 지속해서 방어 체계를 확인해야 한다. 또 노출된 취약점이 적절히 해결됐는지 확인하기 위해 다시 테스트해야 한다. 이는 자동화된 침투 테스트 플랫폼이 유용한 또 다른 이유다.

해결하지 못한다
누군가를 지정, 침투 테스트 파트너와 자동화된 도구가 제공한 보고서에 맞춰 조처를 할 책임을 부여해야 한다. 파악한 문제에 우선순위를 부여하고, 적시에 이를 해결할 계획을 수립해야 한다. 많은 금전적 피해를 초래하는 데이터 도난은 기업이 제대로 해결하지 않은 알려진 취약점의 결과물인 경우가 많다. 지속해서 침투 테스트를 하면서 발견된 취약점이 적절히 해결되었는지 확인하는 테스트를 해야 한다.

침투 테스트를 제대로 계획해 이행하지 않으면 위험하다. 강력한 보안 태세를 유지하고 싶다면 자기만족에 머물러서는 안 된다. ciokr@idg.co.kr


X