“시뮬레이션”이라는 단어로 인해 가볍게 생각한다면 오산이다. 침투 테스터는 실제 공격자가 사용하는 툴과 기법을 모두 동원해 대상 시스템을 공격한다. 단지 이렇게 해서 발견한 정보나 획득한 통제력을 개인적 이익을 위해 사용하는 것이 아니라 대상 시스템 소유자에게 보고해서 보안을 개선할 수 있도록 한다.
침투 테스터가 취하는 행동은 악의적인 해커와 동일하므로 침투 테스트를 윤리적 해킹 또는 화이트햇 해킹이라고도 한다. 침투 테스트 초창기에는 악의적인 해커였다가 침투 테스터로 전향한 경우가 많았지만, 지금은 예전만큼 그런 경우가 흔하지는 않다. 군대에서 실시하는 전쟁 게임 시나리오에서 ‘적군’ 역할을 하는 팀을 지칭하는 데서 비롯된 레드팀이라는 용어도 종종 사용된다. 침투 테스트는 팀 또는 개별 해커가 수행할 수 있으며, 테스터는 대상 기업의 내부 직원이거나 독립적인 전문가 또는 전문 침투 테스트 서비스를 제공하는 보안 업체 소속 직원 등 다양하다.
침투 테스트의 진행 방식
넓은 의미에서 침투 테스트는 조직의 시스템에 대한 실제 침투 시도와 거의 동일한 방식으로 이뤄진다. 침투 테스터는 먼저 대상 조직과 관련된 호스트, 포트, 네트워크 서비스를 살펴보고 특징을 파악한다. 그런 다음 이 공격 표면의 잠재적인 취약점을 조사하고, 이 조사를 통해 대상 시스템으로 더 심층적, 세부적으로 들어가는 방법을 알아낼 수 있다. 최종적으로 대상의 경계를 넘어 침투해서 보호되는 데이터에 대한 액세스 권한을 얻거나 시스템의 제어 기능을 장악한다.
물론 세부적인 부분에는 많은 차이가 있다. 침투 테스트의 유형도 여러가지이다.