Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

침투테스트

“합법적 해킹으로 기업의 보안성을 높이다” 윤리적 해커의 세계 - Deep Dive

세상에 완벽한 보안은 없다. 각종 보안 기술을 아무리 도입해도 해커는 언제나 빈틈을 찾기 마련이다. 하지만 세상에 꼭 나쁜 해커만 있는 것은 아니다. 한쪽에서 기업을 공격하는 해커가 있다면, 다른 한쪽에선 기업을 돕는 착한 해커, 즉 윤리적 해커가 존재한다. 윤리적 해커(Ethical Hacker 또는 화이트 해커라고도 표현)는 일반 해커와 동일한 수준의 지식과 기술을 가지고 있으며, 기업에게 합법적으로 고용돼 해킹을 시도한다. 나쁜 해커의 입장이 되어 다양한 방식으로 시스템을 공격한 후 기업에게 어떤 취약점을 고쳐야 하는지 알려주는 식이다. 공격에 실패하더라도 상관없다. 그만큼 내부 시스템이 안전하다는 것을 기업은 윤리적 해커를 통해 확인한다. 최근엔 높은 보안성을 요구하는 금융권이나 대기업 등에서 이런 윤리적 해커에 대한 수요가 점점 높아지고 있다.  해커라고 하면 왠지 아무나 도전하기 어려운 직업처럼 보이지만 여러 보안 기술을 익힌다면 누구나 윤리적 해커가 될 수 있다. 윤리적 해커를 위한 자격증도 따로 존재해서, 해당 자격증을 공부하면 윤리적 해커가 되기 위한 기본 지식을 빠르게 습득할 수도 있다. 여기에서는 윤리적 해커에 대한 기본 정의와 윤리적 해커가 되고 싶은 사람이 보면 좋은 자격증 정보, 그리고 실제 공격이 어떻게 이뤄지는지 살펴본다.  주요내용 - '합법적인 공격자' 윤리적 해커 지망생이 알아야 할 모든 것 - 현업 종사자 인터뷰로 살펴보는 윤리적 해커의 필수 역량 10가지 - 윤리적 해커를 위한 대표 자격증 ‘CEH’ 총정리 : 비용부터 학습 방법까지 - 윤리적 해킹의 핵심 ‘침투 테스트’의 이해

윤리적해커 침투테스트 화이트해커 2022.07.20

"침투 테스트 툴 '브루트 라텔' 악용 정황 포착" 팔로알토 네트웍스 보고서

비교적 새로운 적대적 시뮬레이션 프레임워크인 ‘브루트 라텔 C4(Brute Ratel C4, BRc4)’을 배포하는 사이버 공격이 포착됐다. APT(Advanced Persistent Threat)와 같은 표적 기법을 사용하는 것으로 알려졌다. 해커들이 침투 테스트 툴을 악용하는 행태는 새롭지 않다. 대표적으로 코발트 스트라이크(Cobalt Strike), 메타스플로잇(Metasploit)의 페이로드 중 하나인 미터프리터(Meterpreter)는 위협 집단이 수년간 악용한 침투 테스트 툴이다. 브루트 라텔은 탐지 회피 기법에 집중하고 있어 기업의 방어팀에 심각한 문제가 될 것으로 보인다.   보안 업체 팔로알토 네크웍스 연구팀은 여러 건의 최근 샘플을 분석한 신규 보고서에서 “새로운 침투 테스트 및 상대방 모방 기능의 등장은 심각한 일이다. 그러나 더욱 심각한 것은 BRc4가 최신 방어 EDR 및 AV 탐지 기능을 효과적으로 무력화한다는 사실”이라고 밝혔다. ‘취미’에서 ‘상용 제품’이 된 프로젝트 브루트 라텔을 개발한 체탄 나약은 ‘편집증 닌자(Paranoid Ninja)’라고도 알려진 전직 탐지 엔지니어 겸 레드팀원이다. 크라우드스트라이크와 맨디언트에서 근무했다. 나약은 2020년 12월 브루트 라텔 개발 프로젝트를 시작한 후 서서히 기능을 늘려나갔다. 2021년 1월 나약은 브루트 라텔과 훈련 과정 개발에 모든 시간을 집중하겠다고 선언한 후, 같은 해 5월 주요 버전인 1.0을 공개했다. 브루트 라텔은 슬랙, 디스코드, 마이크로소프트 팀즈와 같은 서비스를 사용하는 C&C 채널을 작성하는 기능을 제공한다. 기존 프로세스에 셸코드를 주입하고, 보안 소프트웨어로 모니터링되는 정상 윈도우 API 대신 불법 시스템을 호출할 수 있다. DLL 리플렉션 기법은 물론 다양한 종류의 코드 및 스크립트의 인메모리 실행도 수행한다. 여러 도메인에 걸친 LDAP 질의용 그래픽 인터페이스를 제공하며, EDR 후크(hook)를 탐지하고 이런 탐지를 피하...

브루트라텔 침투테스트 2022.07.08

“윤리적 해커가 공격을 시뮬레이션하는 방법” 침투 테스트의 이해

침투 테스트는 보안 전문가가 네트워크 또는 컴퓨터 시스템 소유자의 허락을 받고 해당 시스템에 대한 공격을 시뮬레이션해 보안을 평가하는 프로세스다.  “시뮬레이션”이라는 단어로 인해 가볍게 생각한다면 오산이다. 침투 테스터는 실제 공격자가 사용하는 툴과 기법을 모두 동원해 대상 시스템을 공격한다. 단지 이렇게 해서 발견한 정보나 획득한 통제력을 개인적 이익을 위해 사용하는 것이 아니라 대상 시스템 소유자에게 보고해서 보안을 개선할 수 있도록 한다.    침투 테스터가 취하는 행동은 악의적인 해커와 동일하므로 침투 테스트를 윤리적 해킹 또는 화이트햇 해킹이라고도 한다. 침투 테스트 초창기에는 악의적인 해커였다가 침투 테스터로 전향한 경우가 많았지만, 지금은 예전만큼 그런 경우가 흔하지는 않다. 군대에서 실시하는 전쟁 게임 시나리오에서 ‘적군’ 역할을 하는 팀을 지칭하는 데서 비롯된 레드팀이라는 용어도 종종 사용된다. 침투 테스트는 팀 또는 개별 해커가 수행할 수 있으며, 테스터는 대상 기업의 내부 직원이거나 독립적인 전문가 또는 전문 침투 테스트 서비스를 제공하는 보안 업체 소속 직원 등 다양하다.   침투 테스트의 진행 방식 넓은 의미에서 침투 테스트는 조직의 시스템에 대한 실제 침투 시도와 거의 동일한 방식으로 이뤄진다. 침투 테스터는 먼저 대상 조직과 관련된 호스트, 포트, 네트워크 서비스를 살펴보고 특징을 파악한다. 그런 다음 이 공격 표면의 잠재적인 취약점을 조사하고, 이 조사를 통해 대상 시스템으로 더 심층적, 세부적으로 들어가는 방법을 알아낼 수 있다. 최종적으로 대상의 경계를 넘어 침투해서 보호되는 데이터에 대한 액세스 권한을 얻거나 시스템의 제어 기능을 장악한다.  물론 세부적인 부분에는 많은 차이가 있다. 침투 테스트의 유형도 여러가지이다. 가장 먼저 다뤄야 할 중요한 부분은 테스터와 대상 조작 간에 테스트의 정확한 유형과 시뮬레이션 공격의 범위에 대한 사전 협의가 필요하다는 점이다. 조...

침투테스트 윤리적해커 시뮬레이션 2021.12.14

"활짝 열린 공장문" 산업용 시스템의 위험한 허점

제품을 생산하거나 자원을 대량으로 추출하는 산업체는 그 규모와 비즈니스 프로세스의 중단이 미치는 영향이 큰 만큼 범죄 대상이 되는 경우도 증가하고 있다. 포지티브 테크놀로지(Positive Technologies)의 보고서에 따르면, 정부 분야에 이어 두 번째로 인기 있는 해커 공격 대상으로, 2020년 공격의 12%가 이 분야에서 발생했다.    산업체에 대한 가장 큰 위협은 산업 스파이 행위와 재무적 손실이다. 2020년 해커들은 주로 데이터 절도에 관심을 보였고(84%), 직접적인 금전적 보상을 노린 경우도 36%에 이르렀다.    작은 공격, 큰 영향  해커들의 동기가 다양한 것만큼 공격에 따른 영향의 심각도도 다양하다. 대표적인 예를 살펴보자. 2020년 6월 자동차 제조업체 혼다는 회사 네트워크에 랜섬웨어 공격을 받은 후 여러 공장의 생산을 중단해야 했다. 기술 및 비즈니스 시스템 기능을 완전히 복원하고 향후 동일한 사건의 재발을 방지하는 조치를 취하는 데 하루가 걸렸다. 미국 최대의 연료 공급업체인 콜로니얼 파이프라인은 2021년 5월에 랜섬웨어 공격을 받았다. 컴퓨터 시스템이 일주일 동안 작동하지 않아 동부 해안 지역에서 사용되는 연료의 거의 절반을 담당하는 중요한 파이프라인 가동이 중단됐다.  2021년 2월, 한 해커가 플로리다의 작은 도시의 상수도 시스템에 접근해서 물의 화학성분 변경을 시도했다.  2020년 2월, 크로아티아의 석유 회사 INA는 해커의 공격을 받아 송장 발행, 고객 카드 등록 모바일 쿠폰 발급 업무가 중단됐다. 이 공격에 사용된 클롭(Clop) 랜섬웨어가 회사의 내부 서버에 있는 데이터를 암호화하면서 비즈니스 프로세스가 멈췄다.    해커보다 먼저 취약점 찾기  IT 보안 전문 업체는 이런 심각한 장애를 사전에 방지하기 위해 해커 역할을 맡아 이런 기업의 인프라에 대한 액세스 권한을 어떻게 얻고 사이버 공격이 어떤 영향을 ...

산업체 ICS SCADA 2021.09.16

성공적인 침투 테스트를 위한 5가지 팁

기업 데이터 유출 및 랜섬웨어 사이버 공격 사례가 대폭 증가함에 따라 철저한 보안 평가 실시는 고객 데이터를 다루는 기업 운영에 불가피한 부분으로 자리잡았다. 전 세계 각지의 규정 준수 법안에 명시된 데이터 보호 요건에 따르면, 보안 통제 장치를 개선하고 기밀 정보 처리 시스템을 강화해야 하는 기업의 책임이 한층 더 커졌다.     이런 상황은 비록 단기적으로는 힘들겠지만 바람직한 방향이다. 초기에 사이버보안 전략을 계획해 두면 데이터 유출 시 기업이 겪게 되는 고액의 벌금과 평판 훼손 등 전반적인 고통을 미연에 방지할 수 있기 때문이다.  심사숙고를 거친 보안 평가에 당연히 수반되는 것은 필수 자산에 대한 종합적인 침투 테스트(penetration test)이다. 본지에서 윤리적 해킹 전문가와 네트워크 보안 전문가와의 인터뷰를 통해 들어 본 성공적인 침투 테스트 프로그램을 위한 요령은 다음과 같다. 1. 고위험 자산 및 업무 워크플로우를 파악한다 일반적인 보안 평가 체크리스트를 사용하는 것보다는 해당 기업에 어떤 고위험 자산이 존재하고 비즈니스 로직과 어떻게 조화를 이루는지 파악하는 것이 관건이다. 침투 테스트를 할 고위험 자산 및 네트워크 세그먼트를 파악할 때 도움이 되는 것은 해당 기업의 약점에 대해 보다 전체적인 그림을 그리는 것이다. 이를 위해서는 발상의 전환이 필요할 수도 있다. 윤리적 해킹 그룹 사쿠라 사무라이(Sakura Samurai)의 창립자 존 잭슨은 “테스트 수행자가 효과적인 침투 테스트 방법론을 만들 때는 소속 기업이나 테스트 수행 대상 기업을 위한 구체적인 모델을 만드는 것을 목표로 삼아야 한다”라고 말했다.  예를 들어, 침투 테스트 수행자는 웹 애플리케이션의 로그인 및 로그아웃 기능을 평가해야 한다거나, 원격 코드 실행으로 이어질 수 있는 서버 상의 유효 기간이 지난 버전을 찾는다. 이는 당연한 것이며, 대부분 알고 있는 수행 내용이다.  업무 연속성을 해치고 금전/자산에 의도...

침투테스트 2021.03.24

"침투 테스트에 최적화된 특수한 리눅스 배포판" 칼리 리눅스란 무엇인가

칼리(Kali) 리눅스는 ‘공격적 보안에 최적화된’ 리눅스 배포판 중에서는 가장 인기있는 배포판이다. 오펜시브 시큐리티(Offensive Security)에서 유지, 관리하는 칼리는 2006년 백트랙(BackTrack) 리눅스로 탄생했으며 2013년 대대적인 리팩터링(Refactoring) 이후 칼리로 이름이 변경됐다. 그리고 "칼리"라는 이름의 뜻을 아는가?      칼리 리눅스 정의 데비안 테스팅(Debian Testing)을 기반으로 하는 칼리는 메타스플로잇(Metasploit), N맵(Nmap), 에어크랙-ng(Aircrack-ng)와 같은 유명 툴부터 잘 알려지지 않은 전문 툴에 이르기까지 300개 이상의 보안 툴이 포함된다. 칼리는 무료로 다운로드해서 사용할 수 있지만 침투 테스트에 최적화된 특수한 리눅스 배포판이며, 이메일을 확인하거나 웹 브라우징을 하거나 페이스북에서 고양이 사진을 공유하는 등의 일상적인 운영체제 용도로는 부적합하다. 칼리 시작하기 리눅스, 특히 우분투(Ubuntu)와 같은 데비안 변형에 익숙하다면 칼리도 최소한 처음에는 익숙해 보일 것이다. 터미널을 열고 이리저리 살펴보라. 데비안 프로젝트에서 조건을 준수하는 데비안 변형으로 공식 인정한 배포판이며 기본 GNOME 데스크톱이 제공되므로 처음에는 별로 특별해 보이지 않는다. 이 쯤에서, 시가를 입에 문 머리가 희끗희끗한 하사관이 먼지가 가득 앉은 덮개를 걷어내고 그 밑에 감춰졌던 대포를 드러나는 2차대전 영화의 한 장면을 상상해 보자.  칼리를 둘러보기 시작할 때 받는 느낌과 거의 흡사하다. 특히, 여기에 포함된 툴을 허가 없이 대상에 사용하는 것은 미국의 컴퓨터 사기 및 남용 방지법(Computer Fraud and Abuse Act, CFAA) 및 이와 유사한 전 세계의 다양한 법에 따라 불법임을 감안하면 마치 곡사포를 손에 넣은 어린아이가 된 듯한 느낌을 받을 것이다. 함부로 조준해서는 안 된다. 다시 한 번 말하지만 칼리는 ...

침투테스트 칼리 칼리리눅스 2020.02.27

보안 전문가가 사용하는 침투 테스트 도구 11선

침투 테스트(Penetration testing)는 전문적인 윤리적 해커가 공격자들보다 먼저 약점을 찾기 위해 회사 네트워크에 침입하는 가상의 사이버공격이다.    모의 해킹(Pentesting) 또는 윤리적 해킹(Ethical hacking)이라고 부르는 침투 테스트는 영화 스니커즈(Sneakers)처럼 해커 컨설턴트가 공격자가 침입하기 전에 약점을 찾아 회사 네트워크에 침입하는 것을 의미한다. 이는 침투 테스터가 악의적인 해커가 사용할 수 있는 도구와 기술을 사용한 모의 사이버공격이다. 아주 오래 전에는 해킹은 어려웠고 수동 조작이 많았다. 하지만 오늘날 자동화된 테스트 도구들은 해커를 사이보그로 변화시켜 이전보다 훨씬 더 많이 테스트할 수 있게 해준다. 제트 비행기를 타고 비행할 수 있는데, 굳이 말이나 배를 타고 나라를 건널 필요는 없다. 침투 테스터의 작업을 더 빠르고, 좋고, 똑똑하게 만들어주는 초음속 도구 목록을 소개한다.  1. 칼리 리눅스(Kali Linux) 칼리를 기본 펜테스팅 운영체제로 사용하지 않으면 최첨단 지식의 소유자이거나 특화된 사용 사례를 갖고 있거나 아니면 잘못 수행하고 있는 사람이다. 이전에는 백트랙 리눅스(BackTrack Linux)로 알려져 있었고, 오프섹(OffSec, OSCP(Offensive Security Certified Professional) 인증을 받은 사람)과 같은 선량한 사람들에 의해 유지됐기 때문에 칼리는 침투 테스터로서 공격을 위한 모든 면에서 최적화됐다. 칼리를 자체 하드웨어에서 실행할 수 있지만, 일반적으로 침투 테스터들은 OS X 또는 윈도우에서 칼리 가상 시스템을 훨씬 더 많이 사용한다. 칼리는 이번 기사에서 언급하는 대부분의 도구와 함께 제공되며, 대부분의 사용 사례에 대한 기본적인 침투 테스트 운영체제다. 하지만 칼리는 방어가 아닌 공격에 최적화되어 있어 쉽게 공격받을 수 있다는 것에 주의해야 한다. 자신의 칼리 VM에 여분의 비밀 파일을 남겨둬서는 안된...

히드라 칼리 존더리퍼 2020.02.25

성공적인 레드 팀 운용을 위한 5가지 조언

필자는 레드 팀을 적극적으로 지지한다. 그러나 레드 팀은 뛰어난 실력에 대한 과시욕 탓에 본래의 임무, 즉 조직이 사이버보안 위험을 낮추도록 돕는 일을 망각하는 경우가 많다. 레드 팀은 조직의 컴퓨터 자산을 해킹해서 방어선에 존재하는 약점을 드러내는 역할을 하는 직원 또는 계약업체다. 필자가 30년 이상 일해오면서 가장 즐거웠던 때는 레드 팀원으로 다른 회사의 네트워크에 침입하면서 돈을 벌 때였다. 지금은 그 일을 하지 않지만 프레젠테이션을 위한 사실적인 해킹 데모를 만들면서 소소한 재미를 느끼곤 한다. 필자는 돈을 받고도 침입하지 못하면 어떻게 하나 늘 걱정했지만 항상 침입에 성공했다. 사용할 툴과 기법만 알면 해킹은 비교적 쉽다. 보통 해커를 대단한 천재라고 생각하지만 배관공, 전기 기술자와 마찬가지로 그 분야에 숙련된 사람들일 뿐이다. 모든 조직은 환경과 애플리케이션/서비스/사이트를 대상으로 정기적인 레드 팀 훈련을 실시해야 한다. 훈련 빈도는 조직이 결정할 일이지만 연 1~2회도 되지 않는다면 문제가 있다. 아예 하지 않는 조직이라면 미처 모르는 다수의 취약점이 존재할 가능성이 높다. 레드 팀은 윤리적이고 전문적이어야 하며 발견한 모든 취약점을 문서화해서 전달해야 한다. 성공적인 레드 팀 운용을 위한 필자의 조언은 다음과 같다. 1. 레드 팀은 발견한 모든 중요 사항을 최고 부서 책임자에게 보고해야 함 레드 팀은 최고 부서 책임자에게 직접 보고할 수 있어야 한다. IT 관리자, CSO, CISO, CIO에게 직접 보고하는 것도 괜찮지만 보고 결과에 따라 일자리가 좌우되는 사람들이 보고서에 영향을 미치도록 해서는 안 된다. 레드 팀이 발견한 모든 사항은 CEO 또는 이사회에도 전달되어야 하는데, 이 과정에서 CEO나 이사회의 직속 부하에 의해 보고서 내용이 변경되면 안 된다. 필자는 당황스러운 세부 사항이 상부에 보고되는 것을 원치 않는 레드 팀 책임자가 보고서에서 중요한 내용을 죄다 빼는 모습을 많이 봤다. 이렇게 해서 가짜 “정상 증명서”로 ...

침투테스트 해킹 레드팀 2019.11.14

사이버 위험 관리가 좀 더 쉬워지는 "CAPAT"의 의미와 효과

새로운 연속 자동 침투 및 공격 테스트(Continuous Automated Penetration and Attack Testing, CAPAT) 도구는 CISO가 조직에서 취약한 부분을 잘 파악하고 치료 조치의 우선 순위를 정하는 데 도움을 준다.    최근 ESG 설문조사에서 보안 전문가의 73%가 현재 사이버 위험 관리가 2년 전보다 더 어려워졌다고 응답했다. 설문 응답자들은 그 이유로 점점 더 증가하는 공격 표면과 소프트웨어 취약점의 수적 증가, 사이버 공격자들의 기술적 능력 향상 등을 꼽았다.  그렇다면 조직은 증가하는 사이버 위험을 어떻게 완화할 수 있는가? 일반적인 방법으로 침투 테스트나 레드팀과 같은 연습을 통해 기존 사이버 방어의 강도를 좀 더 잘 처리하는 것이다. 많은 조직에서 이미 침투 테스트나 레드팀을 구성하고 결과 데이터를 사용해 보안 팀의 성능을 측정하고 IT 책임자와 결과를 검토하며 보안 제어 및 프로세스를 재평가한다.   그러나 문제는 대부분의 조직은 1년에 한두 번 이런 침투 테스트를 운용한다는 것이다. ESG 보고서에 따르면, 조직의 75%는 침투 테스트 및 레드팀 활동이 2주 이하에 불과하다. 침투 테스트 및 레드팀 구성은 가치가 있지만 비용이 많이 들 수 있기 때문에 일부 조직은 직접 직원을 고용하거나 숙련된 스킬을 스스로 익혀 연습하기보다는 서드파티 서비스를 사용하는 빈도가 증가하고 있다.  급변하는 IT 환경에서 보안 방어에 대한 2주 간의 테스트만으로는 충분하지 않다.    지속적인 자동 침투 및 공격 테스트가 도움 다행히 ESG는 지속적으로 CAPAT라는 새롭고 유망한 사이버보안 기술 시장 분야를 주목해왔다. CAPAT는 숙련된 침투 테스트나 화이트 햇 해커를 사용하는 대신, 공격자의 행동을 모방한 시뮬레이션된 피싱 이메일, 소셜 엔지니어링, 애플리케이션 계층 공격과 같은 공격 기술을 통해 사이버보안 체인의 취약한 링크를 제거한다.   ...

ESG 침투테스트 CAPAT 2019.09.30

글로벌 칼럼 | 모바일 앱 보안, 애플과 구글을 믿으면 망한다

심호흡을 하고 기업 IT 부서라면 절대로 듣고 싶지 않은 모바일 보안 뉴스 하나를 보자. 보안 전문업체인 포지티브 테크놀로지스(Positive Technologies)는 다양한 모바일 앱에 대한 침투 테스트에 착수했는데, 보안 허점이 창궐하고 있는 것을 발견했다.   상세한 조사 결과도 살펴보겠지만, 결론은 분명하다. iOS용 모바일 앱의 38%, 안드로이드 앱의 43%에서 고위험 취약점이 발견됐다. 대부분 원인은 보안 메커니즘의 약점인데, iOS 앱의 74%, 안드로이드 앱의 57%, 서버 측 요소의 42%였다. 이런 취약점은 설계 단계에서 생기기 시작하기 때문에 바로잡으려면 코드를 상당 부분 수정해야 한다. 가장 위협적인 결과는 따로 있다. “위험이 반드시 클라이언트나 서버 측의 특정한 취약점 하나 때문에 생기는 것은 아니다. 많은 경우, 모바일 애플리케이션의 다양한 부분에서 여러 가지 소소한 결함의 결과물이다. 이런 결함이 “하나로 합쳐지고”, 이들을 간과하면 심각한 결과를 낳는다.” 기업 IT 부서가 쉽게 대응할 수 없는 문제라서 점에서 가장 위협적이다. 이로써 기업 IT 부서, 특히 CISO나 CSO는 더는 애플 앱스토어나 구글 플레이의 앱을 신뢰할 수 없게 된다. 개인용이든 기업용이든 직원들은 이곳에서 앱을 다운로드해야 한다는 점에서 거대한 악몽이 아닐 수 없다. 보안 허점은 고의적인 악성코드일 수도 있고, 의도하지 않은 악성코드일 수도(ISV의 개발자는 공통 기능을 구현하는 데 기존 코드를 이용하는데, 모르는 사이에 악성코드가 포함될 수도 있다), 의도하지 않은 보안 허점일 수도, 심지어는 자체적으로는 완벽한 코드이지만 다른 모바일 환경과 인터랙션하는 과정에서 예기치 않은 문제가 발생할 수도 있다. 포지티브 테크놀로지스가 “하나로 합쳐진” 허점이라고 지적한 부분이다. 기업은 전문 인력을 고용해 자체 침투 테스트팀을 꾸려야 할 처지이다. BYOD를 포함해 업무용으로 사용하는 디바이스에 설치해도 되는지 모든 앱을 테스트해야 하는 상...

앱스토어 취약점 해커 2019.07.05

보안 전문가가 사용하는 10가지 침투 테스트 도구

초보자들은 숙련자가 되기 위해 노력한다. 이에 첫 출발점이 있다(2017년 침투 테스트 도구 관련한 기사를 편집한 바 있는데, 2년만에 많은 도구가 바뀌었다. 편집자 주).  모의 해킹(pentesting) 또는 윤리적 해킹(ethical hacking)이라고 부르는 침투 테스트(Penetration testing)는 영화 스니커즈(Sneakers)처럼 해커 컨설턴트가 공격자가 침입하기 전에 약점을 찾아 회사 네트워크에 침입하는 것을 의미한다. 이는 침투 테스터가 악의적인 해커가 사용할 수 있는 도구와 기술을 사용한 시뮬레이션 된 사이버 공격이다. 침투 테스트란 무엇인가  아주 오래 전에는 해킹은 어려웠고 많은 수동 조작이 필요했다. 하지만 오늘날 자동화된 테스트 도구들은 해커를 사이보그로 변화시켜 이전보다 훨씬 더 많이 테스트할 수 있게 됐다. 제트기를 타고 비행할 수 있는데, 굳이 말이나 배를 타고 나라를 건널 필요는 없다. 침투 테스터의 작업을 더 빠르고, 좋고, 똑똑하게 만들어주는 초음속 도구 목록이 여기에 있다.    1. 칼리 리눅스(Kali Linux) 칼리를 기본 운영체제로 사용하지 않으면 최첨단 지식의 소유자이거나 특화된 사용 사례가 있거나 잘못 수행하고 있는 사람이다. 이전에는 백트랙 리눅스(BackTrack Linux)로 알려져 있었고, 오프섹(OffSec, OSCP(Offensive Security Certified Professional) 인증을 받은 사람)과 같은 선량한 사람들에 의해 유지됐기 때문에 칼리는 침투 테스터로서 공격을 위한 모든 면에서 최적화됐다. 칼리를 자체 하드웨어에서 실행할 수 있지만, 일반적으로 침투 테스터들은 OS X 또는 윈도우에서 칼리 가상 시스템을 훨씬 더 많이 사용한다.  칼리는 여기서 언급하는 대부분의 도구와 함께 제공되며, 대부분의 사용 사례에 대한 기본적인 침투 테스트 운영체제다. 하지만 칼리는 방어가 아닌 공격에 최적화되어 있어 쉽게 공...

도구 보안전문가 침투테스트 2019.06.10

IT 보안에 크라우드소싱이 필요한 이유와 주요 서비스

IT 인프라스트럭처와 애플리케이션, 그리고 서비스를 안전하게 보호하기 위해 중요한 활동 가운데 하나가 바로 화이트 햇 해커(white hat hacker)를 고용해 해킹 테스트를 해 보는 것이다. 애초에 해커의 공격을 원천 차단할 방법이 없는 이상, 차라리 해커의 입장이 되어 대비하자는 것이다. 하지만 모든 기업이 다 침투 테스트 팀을 고용할 수 있을 만큼 자원이 풍족한 것은 아니다. 시장에는 물론 적절한 가격만 지불하면 취약점 테스트나 침투 테스트를 기꺼이 해 줄 명망높은 기업이 많다. 하지만 급하게 완수해야 하는 프로젝트에서 마지막 순간에 부랴부랴 적절한 업체를 선정해 테스트를 진행하기란 쉽지 않을 것이다. 다행히도 대안은 있다. 이런 경우 크라우드소싱(Crowdsourcing)을 활용하면 합리적인 비용만을 들이고도 짧은 시간 안에 원하는 결과를 얻을 수 있다. 크라우드소싱은 인력 시장의 이베이라고 할 수 있다. 적절한 타이밍에, 필요한 인재를, 적당한 비용으로 고용할 수 있기 때문이다. 크라우드소싱, 중개 업체를 거쳐야 하는 이유 물론 IT 보안 인재를 크라우드소싱 했을 때 단점이 없는 것은 아니다. 예를 들어 회사 시스템을 해킹하는 사람인만큼 신원이나 이력을 어떻게 확인하고 보증할 것인지, 또 이런 인력에 적절한 임금은 어느 정도인지도 불분명하다. 또한 크라우드소싱 전 과정을 어떻게 시작하고, 추적하고, 통제할 것인지도 문제다. 따라서 사전에 기획해 둔 크라우드소싱 프로그램이 없다면 기껏 크라우드소싱을 통해 절감한 비용이 이에 따르는 시간 및 리스크로 인해 상쇄돼 버리고 만다. 특히 지원자들에 대해 잘 모를 경우, 그들이 경력이나 경험에 대해 거짓말을 할 위험도 있고, 최악의 경우 침투 테스트가 아니라 다른 짓(?)을 하는 불상사가 발생하기도 한다. 해킹 테스트를 아웃소싱 할 때 가장 큰 리스크는 무엇보다도 이들이 일을 하며 알게 된 사실을 추후에도 계속해서 남용하게 되는 것이다. 단지 자사에 고용이 되었다 뿐이지, 기본적으...

크라우드소싱 침투테스트 화이트햇 2018.08.30

"해커에서 침투 테스터로의 변신" 침투 테스트의 기초와 요구 사항

컴퓨터 보안 분야에서 30년 넘게 종사한 필자에게 가장 도전적이면서 재미있는 업무는 '펜 테스트(pen testing)'나 '윤리적 해킹(ethical hacking)'으로도 불리는 침투 테스트(Penetration test)다. 이는 기본적으로 보수를 받고 합법적으로 컴퓨터나 기기에 침투하는 일이다. Credit: Getty Images Bank 침투 테스트에는 단점이 없다. 현재 구현된 방어 체계를 뚫는다면, 의뢰한 고객에게 해커가 발견하기 전에 취약점을 없앨 기회를 줄 수 있다. 발견된 문제가 없다면 고객은 더 기뻐할 것이다. 화이트 해커조차 뚫을 수 없을 정도로 보안이 튼튼한 제품이라고 선언할 수 있기 때문이다. 한 마디로 '윈-윈'이다.  해커에서 침투 테스터로 변신하기 이런 윤리적 해킹(침투 테스트)이 항상 쉽다고 말하는 것은 아니다. 아니 확실히 쉽지 않다(그러나 높은 IQ는 필요 없다). 여러 다양한 상황에 극복하기 어려운 도전과제들이 존재한다. 그러나 첨단 기술을 파악하고, 무언가 뚫는 것을 좋아하는 사람이라면 침투 테스트 관련 일이 꿈에 그리던 일이 될 수 있다. 해커들이 합법적인 '윤리적 해커'가 되기 위해 반드시 거쳐야 하는 단계들이 있다. 최소한 침투에 앞서, 권한을 갖고 있는 사람으로부터 서면 승인을 받아야 한다. 전문 침투 테스터에게 가장 중요한 부분은 법을 지키는 것이다. 모든 윤리적 해커가 하는 일에 방향을 제시하는 윤리 강령(Code of ethic)을 따라야 한다. CEH(Certificated Ethical Hacker) 테스트를 만든 EC-카운실(EC-Council)의 윤리강령이 대표적이다. 윤리적 해킹의 단계 1. 범위와 목표 설정 전문 침투 테스터는 서면으로 범위와 목적을 합의해야 한다. 다음은 범위를 설정하기 위해 물어야 할 질문들이다. - 테스트의 범위에 포함되는 컴퓨터 자산들은 무엇인가? - 모든 컴퓨터가 포...

침투테스트 보안 윤리적해킹 2017.11.23

전문가들이 사용하는 17가지 침투 테스트 툴

침투 테스트는 전문 해커가 공격자보다 먼저 시스템 취약점을 찾기 위해 사용하는 방법이다. 침투 테스트를 위해서는 치밀한 사고와 인내심이 필요하며 약간의 운도 필요하다. 또한 대부분의 전문 해커에게는 테스트를 위한 몇 가지 특정 툴도 필요하다. Credit: Getty Images Bank  최근 본지는 몇몇 보안 전문가(일부는 레드 팀 운영자이자 개발자)에게 즐겨 사용하는 툴에 대해 물었다. 다음에서 설명하는 툴은 간단한 평가, 복잡한 교전 상황에서 도움이 됐거나 어떤 식으로든 현장에서 항상 전문가들에게 도움이 된 툴이다. 무료도 있고 라이선스 비용이 필요한 경우도 있지만 모두 한번쯤 살펴볼 가치는 있다. 1. N맵(Nmap)  N맵은 2017년 9월 1일자로 20주년을 맞았다. 처음 나온 당시부터 네트워크 검색 및 공격 표면 매핑을 위한 최고의 툴 자리를 지켜왔다. 호스트 검색과 포트 스캐닝부터 운영체제 탐지, IDS 회피/스푸핑에 이르기까지 다양한 기능을 제공하며 작업의 규모에 관계없이 필수 툴이다. 2. 에어크랙-ng(Aircrack-ng) 에어크랙-ng는 N맵과 마찬가지로 침투 테스터들에게 익숙하며 무선 네트워크 평가에서 단골로 사용되는 툴 가운데 하나다. 에어크랙-ng는 패킷 캡처와 공격(WPA 및 WEP 크랙 포함)을 포함한 종합적인 무선 평가 툴이다. 3. 와이파이피셔(Wifiphisher)  와이파이피셔는 무단 액세스 포인트 툴로, 와이파이 네트워크를 대상으로 자동화된 피싱 공격을 실행한다. 와이파이피셔를 사용하면 작업 범위에 따라 인증 정보를 수집하거나 실제 감염을 일으킬 수 있다. 와이파이피셔 웹사이트의 문서 세션에서 전체적인 개요를 볼 수 있다. 4. 버프 스위트(Burp Suite)  웹 브라우저와 함께 애플리케이션을 매핑하는 데 사용되는 버프 스위트는 특정 앱의 기능 및 보안 문제를 발견한다. 이를 통해 맞춤형 공격을 실행할 수 있다. 현재 무료 버전...

침투테스트 2017.09.15

글로벌 칼럼 | 해커를 고용했더니 깜짝 놀랄 문제점 발견

필자가 매년 지출하는 중요한 예산 가운데 하나가 바로 분기별 보안 평가다. 주요 시설의 물리적 침투 시험(enetration testing), 또는 주요 애플리케이션이나 제품을 평가하는데 주로 중점을 두고 있다. 그러나 이번 분기에는 해커 한 명을 고용하기로 결정을 내렸다.   필자는 자사의 보안이 제법 탄탄하다고 생각하고 싶다. 그러나 100% 안전한 것은 아니다. 취약점을 발견할 수 있는 유일한 방법은 내부 평가를 하는 것이다. 해커를 채용해 이런 평가를 하면 더 좋다. 최소한 침투 시험 전문가인 컨설턴트를 고용해야 한다.   또한 서드파티가 완벽하게 독립적으로 평가하면 더 완전한 현황을 파악할 수 있다고 생각했다. 필자는 컨설턴트에게 딱 한 가지만 못하도록 했다.    서비스 거부 공격(DoS)이다. 외부 회사를 이용하면 자사의 보안 팀이 얼마나 효과적으로 의심스러운 활동을 발견해 내는지를 시험할 수도 있다. 이를 위해 IT 부서의 믿을 수 있는 몇 명만 이 사실을 알도록 했다.    또다른 혜택도 있다. 데이터 누출 방지 시스템, 보안 사고 및 이벤트 관리 시스템이 자사를 얼마나 잘 보호해주는지 더 많은 정보를 얻을 수 있다는 것이다.   필자는 컨설턴트에게 평가 대상으로 선정한 핵심 애플리케이션을 제외하고는 다른 자세한 정보를 주지 않았다. 외부 컨설턴트가 개인 해커 또는 해커 단체가 사용하는 방법과 동일한 방법으로 해킹을 하기 원했기 때문이다.   2주 뒤 보고서가 도착했다. 외부 DNS 서버 가운데 하나가 내부 주소 공간을 노출시키고 있다는 중요한 사실을 알게 됐다. 또한 DNS 서버를 설정하면 누군가 내부 기반, 명명 규칙 매핑을 포함 존 정보를 옮길 수 있다는 것도 알았다. 해커들은 이 정보를 이용해 내부 네트워크를 파악, 목표에 초점을 맞출 수 있다.   다른 문제...

해커 침투테스트 보안평가 2012.10.11

“반복은 그만!” IT 업계 5대 보안 실수

새해가 밝았다. 언제나 그렇듯이 달력이 넘어가면 미래를 예측하는 기사들이 쏟아져 나온다. 물론 이것도 좋지만, 잠깐 멈추고 지난 시간을 돌이켜 보면서 미래를 준비하는 것은 어떨까?   같은 실수를 반복하면서 무조건 앞으로 나아가지만 말고, 지난 실수로부터 무언가를 먼저 배워보자.   1. 서명 기반의 방어 의존   우리는 서명 기반의 방어에 의존하는 관행을 지난 몇 년간 목격했고, 지금도 여전히 사용하고 있다. 1980년대 후반 PC 바이러스가 처음 등장했을 때, 업체들은 바이러스를 추적하고 삭제하는 툴을 배포했다. 그러나 당시 기술적으로 매우 밝은 사람들은 이런 서명 기반의 제품이 단기적인 해결책에 불과하고 더 큰 문제를 일으킬 것이라는 사실을 인지하고 있었다.   이 같은 실수는 1990년대 말 IDS(intrusion-detection systems)가 퍼지기 시작했을 때에도 반복됐다. 게다가 오늘날 대부분 유행하는 IDS와 IPS 제품은 공격 추적을 위해 여전히 정적인 서명 데이터베이스에 의존하고 있다.   물론, 이 제품은 매우 많이 발전됐고, 더욱 정교하게 만들기 위한 서명 엔진은 정규식(regular expression) 파싱(parsing) 및 스크립팅(scripting) 기능도 갖췄다. 그러나 내부의 문제는 아직 남아있다.   안전한 것만 접근을 허가하는 매커니즘인 화이트리스팅(positive validation)이 본격화 되기 전까지우리는 계속 새로운 공격에 놀라게 될 것이다. 화이트리스팅을 위해서는 무슨 일이 진행되고 있는지 이해할 필요가 있는데, 이것은 솔루션이 우리의 애플리케이션 소프트웨어 안에 포함되어 있거나 매우 근접해야 한다는 의미이다.   2. 침투 테스트   침투 테스트는 보안 분야에 있어서 가장 중요한 부분 중 하나...

보안 해킹 소프트웨어 2010.01.15

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.