[Penetration testing] 모의침투테스트란?

모의침투테스트란? Penetration testing

Penetration testing 은 Pen –testing 모의침투테스팅 , 모의해킹테스트과 같은 용어로 사용되고 있으며 조직의 정보 보안 수준을 능동적으로 평가하기 위한 프로세스의 일환으로 실제 공격 행위(hacking)의 시뮬레이션을 수행합니다.이때 모의해킹 테스트를 진행하는 해킹담당자를 Penetration Tester 혹은 Pen Tester 라고 부릅니다.

모의침투테스트를 받고 있는 기업과 기관의 주요 목적은 다음과 같습니다.

• 정기적으로 보안검사를 실시하면 업계와 시장 국민들로부터 안정화 된 정보를 취급하고 있다는 확신을 줄 수 있고 인정 받을 수 있습니다.
• 비즈니스 Integrity (무결성)를 보장받으면 필수적으로 지켜야 하는 내부 정책을 준수할 수 있으며 업계와 연관된 Compliance 를 취득 할 수 있습니다.
• 직원 , 고객 , 사용자 , 기타 비즈니스 주체의 주요 기밀 데이터가 저장 된 정보시스템을 보호 할 수 있다. 이는 파트너와 고객과 유연하면서도 견고한 비즈니스 구조를 형성할 수 있으며 신뢰를 극대화 할 수 있습니다.
• 네트워크 및 시스템의 인프라에 내재 된 Treatments(위협) 과 Vulnerability(취약점)을 알수 있고 이는 Risk(위험) 를 차단 할 보안 정책과 절차를 작성하는데 도움이 됩니다.
• 모의침투테스틀 정기적으로 하게 되면 전체적인 Confidentiality(기밀성) Integrity (무결성) Availability(가용성) 을 수치로 측정하고 실제 위험을 우선순위별로 확인할 수 있으므로 필요 없는 항목에 대한 “묻지마식” 과투자를 막고 IT 투자를 우선순위별 적정 비용으로 유지할 수 있게끔 합니다.
• 최근 실제 사례를 보면 가용성 위주의 비즈니스영역을 확대했던 업체가 한순간의 해킹사고로 업계에서 사라지는 경우도 볼수 있습니다. 모의침투테스트를 통해 악의적인 해커가 해킹을 수행했을 때의 잠재적 Risk 를 제거함으로써 더 높은 수익과 결과를 기대할 수 있습니다.
• 취약함 부분 즉 해킹이 가능한 부분을 조직 내 보안팀 혹은 IT 운영팀이 직접 해결할 수 있도록 세부적인 방어절차와 정책가이드라인을 제공하기 때문에 불필요한 운영상의 비용을 줄일 수 있다.
• 최신 업데이트 된 취약점과 Exploits 을 사용하여 현재 상태를 명확하게 확인하고 보안 프레임워크를 구성하는데 활용할 수 있습니다.
• 결과를 통해 보안 프레임워크를 제작하거나 기존 프레임워크를 분석하고 향후 보안프레임워크에 포함 시킬 보안솔루션을 추천 받을 수 있습니다.

Pen-testing 은 보안의 기술적영역 만을 통해 수행하는 것이 아닙니다.

• 정보보호는 기술적영역 , 관리적영역 , 물리적영역으로 구성되어 있습니다. 해당 영역은 서로 유기적으로 연결되어 있기 때문에 정보보호를 수행 할 때 각 항목을 모두 고려해야 합니다.
• Pen-Testing은 Security Process (보안 프로세스) 내 문제점을 검색하고 이용합니다. 설계 문제(design weakness), 기술 장애(technical flaw) 및 취약점(vulnerability)을 능동적으로 평가 할 수 있습니다.
• 취약점 관리, 설정 관리, 사고 관리
• 웹 애플리케이션, DBMS, ERP, 유/무선 네트워크 등의 보안 관리 등.

정기적인 Pen-Testing 대한 사회적인 요구 증대

• 최근 사회적인 관심을 받고 있는 주요 기관 해킹사고들을 분석하면 단순히 기술적 해킹을 직접 행하기 보다는 사용자 관점에서 사회공학적 공격 ,보안 의식 및 보안 구조에 대한 문제를 공격하는 방식으로 이루어져 있습니다.
• 기업 및 기관 내·외부 주요 정보를 보호하기 위한 주기적이고, 지속적이며, 항시적인 모의침투테스팅 및 위험분석이 필요합니다. 이는 위와 같은 위협과 위험이 매우 빠른 속도로 변화하고 다각화 되는 공격 기법에 대응하기 위한 필수 조건입니다.

모의침투 테스트의 영역은 전 IT 자산이 포함됩니다.

• Network : Switch , Router , Wireless Access Point etc.
• System : Server ( NT , Unix , Linux etc. ) , PC
• Security Device : Firewall ,IDS/IPS, Web Application Firewall , VPN Device etc.
• Application : Web Application , DMBS ,SAP , PDF ,Office etc.
• Etc. : SCADA System , VOIP

모의침투테스트의 분류 ( OSSTMM : www.isecom.org/osstmm )

• Blind Test : 검사 대상에 대한 정보 없이 수행합니다. 또한 수행 시에 미리 검사 대상에 통보하고 수행합니다. 미리 통지한다는 윤리적 측면 때문에 많이 사용되고 있습니다.
• Double Blind Test ( Black Box Test ) : 해당 검사는 Pentester 도 정보를 알지 못하지만 검사 대상 역시 모의침투테스트를 진행한다는 사실을 알지 못합니다. 실제 환경에 가장 근접한 테스트입니다. 다만 짧은 시간안에 결과를 도출하기가 어려우며 프로젝트 기간이 길어질 수 있습니다. 프로젝트 기간은 비용과 연관되어 있으므로 비용대비 성과를 충분히 고려하고 선택해야 합니다.
• Grey Box Test : Pentester 는 제한적인 지식을 제공 받습니다. 예를 들면 취약점 점검 결과를 넘겨 받거나 실제 수행 할 수 있게끔 기회를 받습니다. 해당 테스트 역시 모의해킹을 시작하기 전 검사 대상에 미리 통보를 합니다.
• Double Grey Box Test ( White Box Test ) : 감사의 시간이 제한되어 있고 채널과 벡터는 테스트하지 않는 점이 그레이 박스 테스트와 다른 점입니다.
• Tandem Test : tandem 테스트의 핵심은 pentester 가 모든 결과값을 볼수 있다는 것입니다. 검사 대상 역시 테스트 수행 전에 통보를 받습니다.해킹이 가능한 취약점을 다 확인 해볼 수 있습니다. 가장 이상적인 결과를 제출 할 수 있습니다. Crystal box Test 가 그 예입니다.
• Reversal Test : Pentester 가 모든 정보를 알고 있지만 검사 대상은 검사가 실시 된다는 사실을 모르게 됩니다. Red Team 테스트가 그 예 입니다.
• 간단하게 정리하면 침투 테스트에는 White Box Test 내부에서 내부 환경 지식을 토대로 테스트 , Black Box Test 외부 환경에서 테스트를 시도 , Grey Box Test 위의 2가지를 적절히 혼합하여 Test 하는 것으로 나누어집니다.
• 모의침투테스트는 각 회사와 기관의 환경과 목적에 맞게끔 비용과 시간을 고려해서 선택되어야 합니다.