[정보보안] 침투 테스트(Penetration Testing) 개요

1. Preview

해커는 시스템, 네트워크 및 정보에 접근하기 위해 다양한 도구를 사용한다. 네트워크 스캐너, 소프트웨어 디버거, 암호공격 도구 등 공격에 있어 도구는 중요한 역할을 한다. 공격으로 부터 방어를 수행하는 보안 전문가는 공격자가 이용할 수 있는 취약점 식별 도구에도 높은 지식이 요구된다. 하지만 숙련된 공격자는 사이버 보안 방어를 무효화하기 위해 상당히 많은 도구를 사용하지만 결국에는 이러한 도구들이 제공하는 정보를 얼마나 잘 결합하고 창의력있게 접목하는지에 따라 공격의 성공 여부가 결정된다.

2. 침투 테스트란?

침투 테스트(Penetration testing)란 무엇일까? 조직의 보안을 테스트하기 위한 공격 도구의 순환적 사용과 이러한 툴의 힘을 숙련된 공격자가 사용했을 때의 격차를 줄이는 것을 목표로 한다. 기존의 보안 통제를 무시하고 허가되지 않은 행위를 수행하지만 침해 사고와는 다르게 합법적인 시도이다. 이 테스트에는 많은 시간이 소요되며, 실제 자원의 피해도 발생할 수 있으므로 실제 공격자 못지 않은 기술과 결단력을 가진 직원이 필요하다. 하지만 보안 취약성에 대한 전체 정보를 얻을 수 있는 가장 효과적인 방법이기 때문에 기업에서는 보안성을 높이기 위해 침투 테스트를 실시한다.

 

3. 목표

보안 목표는 CIA라는 잘 알려진 모델을 사용한다. 이 목표들은 사이버 보안의 주요 세 가지 특성을 포함하고 있다.

• Confidentiality measures seek to prevent unauthorized access to information or systems.
• Integrity measures seek to prevent unauthorized modification of information or systems.
• Availability measures seek to ensure that legitimate use of information and systems remains possible.

현대의 조직들은 광범위한 시간, 에너지 및 자원을 보안활동에 투자한다. 방화벽, 침입방지 시스템, 로그 시스템, 취약성 스캐너 등 많은 도구를 설치한다. 24시간 관제 센터를 운영하고 직원으로 하여금 이러한 기술들을 모니터링하고 시스템, 네트워크 및 애플리케이션의 성능 저하 징후를 관찰한다. 그럼에도 왜 우리는 침투테스트를 실시하면서까지 추가적인 부담을 떠안아야 하는가? 이 질문에 대한 답은 침투 테스트가 다른 방법으로는 도저히 사용할 수 없는 조직의 보안 상태에 대한 가시성을 제공한다는 것이다. 침투 테스트는 조직의 다른 모든 사이버 보안 활동을 대체하려는 것은 아니다. 대신에, 그것은 그러한 노력을 보완하고 기반으로 한다. 침투 테스터는 고유한 기술과 관점을 표로 가져와 보안 툴의 결과를 공격자의 마음가짐으로 볼 수 있으며 "내가 공격자라면 이 정보를 어떻게 활용할 것인가?"라는 질문을 던질 수 있다.

 

4. 침투 테스트의 이점

앞에서는 침투 테스터들의 작업을 어떻게 이해해야 하는지 설명했다. 침투 테스트는 방어자 입장에서는 얻을 수 없는 지식을 제공한다. 철저한 침투 테스트를 수행하여 테스터와 동일한 지식, 기술 및 정보를 가진 공격자가 방어를 뚫을 수 있는지 여부를 학습한다. 만약 침투테스트의 결과가 발판을 마련할 수 없다면, 네트워크가 현재의 상황에서는 동등한 재능을 가진 공격자의 공격으로부터 안전하다고 합리적으로 확신할 수 있다.

둘째, 공격자가 성공할 경우 침투테스트는 보완을 위한 중요한 청사진을 제공한다. 사이버 보안 전문가로서, 공격의 다른 단계를 거치면서 진행되는 테스터의 행동을 추적할 수 있고 테스터가 통과한 일련의 빈틈을 보완할 수 있다. 이는 향후 공격에 대한 보다 강력한 방어 기능을 제공한다.

마지막으로, 침투 테스트는 특정 공격 대상에 대한 필수적이고 집중적인 정보를 제공할 수 있다. 새 제품을 배치하기 전에 침투 테스트를 수행할 수 있다. 새로운 환경의 보안 장비의 설치에 초점을 맞춘 침투 테스트는 개방형 침투 테스트와는 달리 특정 대상 주변의 방어망을 뚫어 초기 노출에서 취약성을 막을 수 있는 실행 가능한 통찰력을 제공할 수 있다.