보안

“윤리적 해커가 공격을 시뮬레이션하는 방법” 침투 테스트의 이해

Josh Fruhlinger | CSO 2021.12.14
침투 테스트는 보안 전문가가 네트워크 또는 컴퓨터 시스템 소유자의 허락을 받고 해당 시스템에 대한 공격을 시뮬레이션해 보안을 평가하는 프로세스다. 

“시뮬레이션”이라는 단어로 인해 가볍게 생각한다면 오산이다. 침투 테스터는 실제 공격자가 사용하는 툴과 기법을 모두 동원해 대상 시스템을 공격한다. 단지 이렇게 해서 발견한 정보나 획득한 통제력을 개인적 이익을 위해 사용하는 것이 아니라 대상 시스템 소유자에게 보고해서 보안을 개선할 수 있도록 한다. 
 
ⓒ Getty Images Bank

침투 테스터가 취하는 행동은 악의적인 해커와 동일하므로 침투 테스트를 윤리적 해킹 또는 화이트햇 해킹이라고도 한다. 침투 테스트 초창기에는 악의적인 해커였다가 침투 테스터로 전향한 경우가 많았지만, 지금은 예전만큼 그런 경우가 흔하지는 않다. 군대에서 실시하는 전쟁 게임 시나리오에서 ‘적군’ 역할을 하는 팀을 지칭하는 데서 비롯된 레드팀이라는 용어도 종종 사용된다. 침투 테스트는 팀 또는 개별 해커가 수행할 수 있으며, 테스터는 대상 기업의 내부 직원이거나 독립적인 전문가 또는 전문 침투 테스트 서비스를 제공하는 보안 업체 소속 직원 등 다양하다.
 

침투 테스트의 진행 방식

넓은 의미에서 침투 테스트는 조직의 시스템에 대한 실제 침투 시도와 거의 동일한 방식으로 이뤄진다. 침투 테스터는 먼저 대상 조직과 관련된 호스트, 포트, 네트워크 서비스를 살펴보고 특징을 파악한다. 그런 다음 이 공격 표면의 잠재적인 취약점을 조사하고, 이 조사를 통해 대상 시스템으로 더 심층적, 세부적으로 들어가는 방법을 알아낼 수 있다. 최종적으로 대상의 경계를 넘어 침투해서 보호되는 데이터에 대한 액세스 권한을 얻거나 시스템의 제어 기능을 장악한다. 

물론 세부적인 부분에는 많은 차이가 있다. 침투 테스트의 유형도 여러가지이다.

회원 전용 콘텐츠입니다. 이 기사를 더 읽으시려면 로그인 이 필요합니다. 아직 회원이 아니신 분은 '회원가입' 을 해주십시오.

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.