모의 침투 테스트는 기업이 보안 프로토콜의 효율성을 평가하는 데 매우 유용합니다.
실제 공격과 유사한 시나리오를 시뮬레이션함으로써, IT 부서는 시스템의 취약점을 발견하고, 이를 악용하는 과정을 이해하며, 특정 보안 문제에 대한 실질적인 해결 방안을 찾을 수 있습니다. 관련된 단계에 대한 자세한 내용은 모의 침투 테스트 단계 가이드를 참고하십시오.
모의 침투 테스트는 내부 또는 외부에서 수행될 수 있으며, 다양한 공격 경로를 시뮬레이션합니다. 외부 공격 시나리오에서는 외부 접근이 가능한 정보들을 파악하기 위해 원격 공격자를 참여시킵니다. 반면, 내부 공격 시나리오에서는 해커가 시스템 내부에 접근했을 때 발생할 수 있는 상황을 파악합니다.
테스트 목적에 따라 테스터는 테스트 대상 시스템에 대해 사전 지식이 있을 수도 있고 없을 수도 있습니다. 시스템에 대한 지식을 가지고 있다면 화이트 박스 테스트, 그렇지 않다면 블랙 박스 테스트가 됩니다. 모의 침투 테스트는 애플리케이션, 네트워크 서비스, 사회 공학, 무선 통신 또는 물리적인 시스템을 대상으로 할 수 있습니다.
어떤 유형의 모의 침투 테스트를 선택하든, 중요한 것은 시스템의 취약점을 찾아내고 보안이 취약한 부분을 강화하는 데 도움이 되어야 합니다. 하지만 조직에 적합한 테스트를 선택하는 것은 시간과 노력이 필요할 수 있으며, 특히 다양한 선택지가 있을 때는 더욱 그렇습니다.
이 글에서는 다양한 유형의 모의 침투 테스트를 소개하고, 각 테스트의 내용과 어떤 상황에서 가장 효과적인지를 설명합니다. 또한 조직의 요구 사항에 가장 적합한 테스트를 선택하기 위한 몇 가지 팁을 제공합니다.
웹 애플리케이션 모의 침투 테스트
출처: synopsys.com
웹 애플리케이션 모의 침투 테스트는 웹사이트, 전자상거래 시스템, 고객 관계 관리 시스템, 콘텐츠 관리 시스템 등 웹 애플리케이션 전반의 취약점을 찾아내는 데 목적이 있습니다.
애플리케이션의 보안, 사용자 정의 기능, 핵심 논리 기능을 분석하여, 침해, 금전적 손실, 신원 도용을 예방하는 방법을 모색합니다. 테스트 전에 테스터는 여러 애플리케이션을 검토하고, 입력 필드를 스크리닝하며, 정적 및 동적 페이지 기록을 통해 설계 및 개발 결함을 쉽게 파악할 수 있습니다.
웹 애플리케이션의 일반적인 취약점으로는 XSS(크로스 사이트 스크립팅), 데이터베이스 삽입 및 손상된 인증 등이 있습니다. 웹 보안에 대해 더 자세히 알고 싶다면 OWASP(개방형 웹 애플리케이션 보안 프로젝트)의 저장소를 참조하십시오. 이 저장소는 수천 개의 애플리케이션에서 수집한 데이터를 통해 웹 결함의 빈도와 심각도에 대한 정보를 제공합니다.
웹 자산을 보유한 기업이라면 웹 모의 침투 테스트를 고려하는 것이 좋습니다. 현대 조직 환경에서 웹 애플리케이션은 정보 저장 및 전송에 필수적입니다. 통계에 따르면 코로나19 팬데믹 이후 사이버 범죄가 급증하고 있습니다.
네트워크 모의 침투 테스트
출처: synopsys.com
네트워크 모의 침투 테스트는 온프레미스 또는 클라우드 환경의 네트워크 인프라를 대상으로 하는 보안 감사입니다. 암호화 취약점, 보안 패치 누락, 안전하지 않은 구성 등 다양한 요소를 검사하여 비즈니스에 중요한 데이터의 보안을 확보합니다.
이 테스트 역시 내부 또는 외부에서 수행될 수 있습니다. 외부 테스트의 경우, 테스터는 시스템에 대한 사전 지식이 없이 인터넷을 통해 해커가 공격에 사용할 정보를 수집합니다. 내부 테스트의 경우, 내부 네트워크에 접근 권한을 얻는 데 중점을 둡니다. 예를 들어, 테스터는 인터넷 연결 시스템의 취약점을 악용하여 정보에 접근하거나 시스템 운영을 방해할 수 있습니다.
네트워크 모의 침투 테스트는 잘못된 방화벽 구성 및 우회, 라우터 공격, DNS(도메인 이름 시스템) 공격, 데이터베이스 공격, 프록시 서버 공격 등 일반적인 네트워크 공격으로부터 기업을 보호합니다. 대규모 데이터 전송이 필요한 기업이라면 네트워크 테스트가 필수입니다. 비즈니스에서 네트워크 서비스의 중요성을 고려할 때, 최소한 1년에 한 번 네트워크 테스트를 수행하는 것이 좋습니다.
모바일 애플리케이션 모의 침투 테스트
모바일 애플리케이션 모의 침투 테스트는 다양한 운영 체제(Android 및 iOS)의 애플리케이션과 API 간의 상호 작용을 검사합니다. 효과적인 테스트를 위해 애플리케이션의 소스 코드를 디컴파일하여 가능한 한 많은 정보를 수집합니다.
이 테스트는 애플리케이션 아키텍처에 중점을 두고 있습니다. 수동 테스트를 수행하기 전에 이를 디코딩하여 안전하지 않은 설계 및 네트워크 통신을 찾아냅니다. 데이터 이동, 저장, 개인 정보 보호 방법을 검사하고, 암호와 같은 중요한 데이터를 저장하는 대부분의 애플리케이션에 대한 규정 준수를 보장합니다. string.xml 파일에 저장된 API 키, 인증, 세션 관리를 포함하여 세션 종료, 토큰 유효성, 비밀번호 업데이트, 다단계 인증의 잘못된 구성 등을 감독합니다.
게임, 금융 서비스, 쇼핑 등 모바일 애플리케이션 개발에 주력하는 기업이라면, 제품을 공개하거나 새로운 업데이트를 출시하기 전에 모의 침투 테스트를 수행하는 것을 고려해 볼 수 있습니다.
무선 모의 침투 테스트
무선 테스트는 조직의 무선 네트워크와 연결된 장치들을 대상으로 합니다. 이러한 장치에는 스마트폰, 태블릿, 컴퓨터 및 기타 IoT(사물 인터넷) 장치가 포함됩니다.
무선 모의 침투 테스트는 무선 보안 프로그램의 수준을 평가하고, 취약점을 찾아 악용하며, 각 액세스 포인트에서 발생하는 위협을 이해하고, 취약점을 해결하기 위한 데이터 기반 전략을 수립하는 데 도움이 됩니다.
테스트를 시작하기 전에 게스트 및 무선 네트워크, SSID(서비스 세트 식별자)를 설정하여 서비스 범위를 지정해야 합니다. 이 과정은 하드웨어 기반이지만, Kali Linux와 같은 오픈 소스 운영 체제의 소프트웨어 도구를 사용하여 수행할 수 있습니다. 강력한 보안 문화 조성을 위해 기업은 1년에 두 번 무선 테스트를 실시하는 것이 좋습니다.
API 모의 침투 테스트
API 모의 침투 테스트는 (때로는 마이크로서비스와 함께 제공됨) API의 취약점을 식별하는 데 사용됩니다. 현재 많은 기업에서 제3자가 특정 데이터와 서비스에 접근하도록 허용하고 있어 인기가 높아지고 있습니다.
이 테스트는 GraphQL, REST, 웹 서비스 및 기타 API가 안전하게 작동하며 알려진 취약점에 대해 점검되었는지 확인합니다. API 테스트 과정은 웹 테스트 과정과 유사하여 동일한 도구를 사용할 수 있습니다. 하지만 Postman, Swagger 같은 새로운 도구도 활용될 수 있습니다.
더 자세한 정보를 원하시면 API 개발 및 테스트 도구 체크리스트를 참조하십시오. 이러한 도구에는 API 청사진이 제공되고, 이를 기반으로 기본 API 요청이 모델링되어 제품에 적용됩니다.
만약 귀사의 비즈니스에 API 백엔드가 포함된 웹 또는 모바일 애플리케이션이 있다면, API 테스트를 주기적으로 수행하여 공격자의 침입점이 될 수 있는 노출 또는 잘못된 코딩 설계를 찾아낼 수 있습니다.
사회 공학 모의 침투 테스트
기술적 결함에 초점을 맞춘 다른 테스트와 달리, 사회 공학은 인간의 심리를 이용하여 조직의 보안을 침해합니다.
이 테스트는 취약성을 식별하고, 보안 인식 수준을 측정하고, 직원 인식을 개선하고, 위험을 완화하고, 사고 대응을 개선하며, 규정을 준수하고, 이해관계자의 신뢰를 구축하고, 비용 효율적인 위험 관리를 보장하는 데 유용합니다.
주요 공격 방법으로는 프리텍스팅, 피싱, 미디어 드롭/물리적 전술, 테일게이팅 등이 있습니다. 사회 공학 테스트는 정찰 시 수집된 정보에 의존하며, 오픈 소스 인텔리전스를 활용합니다.
테스터는 정확한 대상 정보를 수집하여 공격을 적절한 방법에 맞게 조정합니다. 웹 테스트만큼 흔하지 않지만, 사회 공학은 운영 모델의 취약점을 식별하는 훌륭한 방법이 될 수 있습니다.
물리적 보안 모의 침투 테스트
물리적 보안 테스트는 기존 보호 조치의 효과를 확인하고 취약점을 파악하기 위해 시설의 물리적 공간에 대한 접근을 시도하는 테스트입니다. 일반적인 침투 테스트와 달리, 경보 시스템, 접근 제어 시스템, 민감한 정보를 보관하는 다양한 영역과 같은 물리적 보안 조치를 평가합니다.
이 테스트를 수행하기 위해 물리적 우회, 테일게이팅, 사회 공학 기술 등이 사용될 수 있습니다. 테스트 결과를 바탕으로 취약점을 해결하고 기존 보안 조치를 강화하기 위한 전략을 수립합니다.
데이터와 기타 민감한 정보를 보관하는 매장과 같은 물리적 공간을 가진 조직은 물리적 보안 테스트를 통해 보안을 강화하는 것이 좋습니다. 은행 및 금융 기관, 데이터 센터, 정부 기관, 병원 및 의료 시설, 소매점 및 쇼핑 센터, 제조 공장, 인증 보유 조직 등 다양한 분야에서 활용할 수 있습니다.
클라우드 모의 침투 테스트
클라우드 모의 침투 테스트는 Microsoft Azure, AWS(Amazon Web Services), Google Cloud Platform과 같은 클라우드 솔루션에서 애플리케이션과 인프라(예: SaaS)의 취약점을 식별하고 악용하는 것을 목표로 합니다.
다른 테스트와는 달리 클라우드 모의 침투 테스트는 클라우드 서비스에 대한 깊이 있는 이해가 필요합니다. 예를 들어, AWS 애플리케이션의 SSRF 취약점은 전체 클라우드 인프라를 손상시킬 수 있습니다.
Azure AD 및 AWS Cognito와 같은 다른 클라우드 솔루션은 문제와 구성 오류를 야기할 수 있습니다. 일반적인 클라우드 취약점에는 안전하지 않은 API, 취약한 자격 증명, 잘못된 서버 구성, 오래된 소프트웨어, 안전하지 않은 코딩 관행 등이 있습니다.
클라우드 서비스를 제공하는 기업은 클라우드 모의 침투 테스트를 통해 클라우드 보안을 강화할 수 있습니다. 대부분의 클라우드 서비스 제공업체는 공유 책임 모델을 채택하므로 클라우드 테스트는 플랫폼, 네트워크, 데이터 저장 영역의 취약점을 해결하는 데 도움이 됩니다.
컨테이너 모의 침투 테스트
컨테이너는 운영 체제 시각화 프로파일링으로 알려져 있으며, 마이크로서비스, 소프트웨어 프로세스 및 대규모 앱을 실행하는 데 사용됩니다. 컨테이너 모의 침투 테스트는 해커의 관점에서 컨테이너를 살펴보고 사용자 정의 테스트 환경을 구축하는 데 사용됩니다.
취약점을 검색할 때 두 가지 방법이 있습니다. 첫째, 정적 분석을 통해 컨테이너 이미지의 취약점을 찾을 수 있습니다. 둘째, 동적 분석을 통해 런타임 시 컨테이너 동작을 검사할 수 있습니다. 더 나은 결과를 위해서는 두 가지 방법을 모두 사용하는 것이 좋습니다.
컨테이너 취약점은 애플리케이션, 구성, 네트워크 및 이미지 OS 전체에 걸쳐 발생합니다. DevOps가 Docker를 중심으로 이루어지는 경우, 컨테이너를 사용자 정의하고, 필요한 모든 도구로 컨테이너를 강화하고, 취약성을 줄이고, 전체 기능을 간소화하는 데 모의 침투 테스트를 활용할 수 있습니다.
데이터베이스 모의 침투 테스트
데이터베이스는 비즈니스에 매우 중요합니다. 지불 세부 정보, 고객 정보, 제품 및 가격 데이터와 같은 민감한 정보를 보유하고 있는 데이터베이스는 손상될 경우 기업을 위험에 빠뜨립니다. 적절한 보안을 보장하기 위해 새로운 제품 데이터베이스를 사용하기 전에 테스트를 실시하고 기존 데이터베이스에 대해서는 정기적으로 테스트를 수행해야 합니다.
데이터베이스 모의 침투 테스트는 업계 최고 수준의 방법을 사용하여 해커가 데이터베이스에 액세스하는 방법을 모의로 시도함으로써 실제 공격에 대응하는 방법을 알려줍니다.
일반적인 데이터베이스 위협으로는 SQL 주입, 제한 없는 권한, 부실한 감사 추적, 노출된 백업, 잘못된 구성, 서비스 거부(DoS) 공격, 부실한 데이터 관리가 있습니다. 테스트를 통해 데이터베이스의 취약점을 찾아내고, 중요한 정보가 침입자로부터 보호되는지 확인합니다. 이것이 바로 기업이 데이터베이스 보안에 투자해야 하는 이유입니다.
IoT 모의 침투 테스트
사물 인터넷(IoT)은 인터넷을 통해 데이터를 교환하는 웹 장치들로 구성됩니다. 이러한 장치에는 소프트웨어, 센서, 전자 장치, 네트워크 연결 기능이 내장된 실제 물체, 차량, 건물이 포함됩니다.
IoT가 보편화됨에 따라 IoT 네트워크와 장치를 검사하여 결함을 찾아내는 데 집중하고 있습니다. 보안 테스트는 장치뿐 아니라 클라우드 컴퓨팅 플랫폼과 같은 통신 네트워크까지 포함합니다.
IoT 장치의 주요 보안 결함에는 암호화되지 않은 데이터, 안전하지 않은 펌웨어, 취약한 비밀번호, 취약한 인증/접근 제어 등이 있습니다. 조직이 더 많은 IoT 장치를 사용함에 따라, IoT 감사는 자산, 성능, 위험 관리를 강화하고 규정 준수 요건을 충족하는 데 도움이 됩니다.
화이트 박스 모의 침투 테스트
화이트 박스 테스트는 대상 시스템에 대한 깊이 있는 지식을 갖춘 상태에서 진행됩니다. 여기에는 애플리케이션 아키텍처, 소스 코드, 자격 증명, 화이트리스트, 다양한 계정 역할 및 문서 등이 포함됩니다.
이러한 접근 방식을 통해 화이트 박스 테스트는 참여 비용을 절감할 수 있습니다. 화이트 박스 테스트는 금융 기업, 정부 기관 등 높은 수준의 보안이 필요한 복잡한 시스템에 적합하며, 코드 전체를 테스트하여 내부 오류를 찾아낼 수 있습니다.
만약 보안 침해가 발생한 상황이라면, 화이트 박스 테스트를 통해 애플리케이션 보안, 네트워크 상태, 물리적 보안 및 무선 보안을 검사하는 것이 가장 좋습니다. 또한 소프트웨어 개발 초기 단계나 프로덕션 환경에 들어가기 전에 화이트 박스 테스트를 고려해 볼 수 있습니다.
블랙 박스 모의 침투 테스트
블랙 박스 테스트는 시스템에 대한 사전 지식 없이 해커의 접근 방식을 모방합니다. 소스 코드나 아키텍처 다이어그램에 접근할 수 없으므로, 외부인의 관점에서 네트워크를 악용하려고 시도합니다. 즉, 테스트는 대상 네트워크의 시스템과 실행 프로그램에 대한 동적 분석에 의존합니다.
성공적인 테스트를 위해서는 자동화된 검색 도구와 수동 침투 테스트 방법에 대한 지식이 필요합니다. 또한 관찰 결과를 바탕으로 목표를 설정해야 합니다. 이 방법은 빠르게 테스트를 수행할 수 있지만, 소요 시간은 취약점을 발견하고 악용하는 능력에 따라 달라집니다. 만약 시스템에 침입할 수 없다면 취약점은 발견되지 않은 채로 남게 됩니다.
블랙 박스 테스트는 가장 어려운 테스트이지만, 시스템의 전반적인 보안을 평가하는 가장 좋은 방법을 제공합니다. 때로는 “시행착오” 방식이라고도 불리지만, 고도의 기술 전문성이 필요합니다.
레드팀 테스트
레드팀 테스트는 모의 침투 테스트와 비슷해 보이지만, 실제 해커와 유사한 방식으로 시간 제한 없이 테스트를 진행합니다. 다양한 도구, 전술, 기술을 사용하여 대상 시스템이나 데이터에 접근합니다.
다른 모의 침투 테스트는 취약점을 노출하는 데 초점을 맞추지만, 레드팀 테스트는 위협을 감지하고 대응하는 방어자의 능력을 평가합니다. 탐지는 손상된 모니터링 시스템, 물리적 평가 테스트 또는 사회 공학 지표를 기반으로 할 수 있습니다. 모의 침투 테스트와 달리, 레드팀 테스트는 광범위한 범위에서 진행될 수 있습니다.
레드팀 테스트의 단점은 광범위한 침투 테스트를 제공하지 않는다는 것입니다. 시스템이나 데이터에 액세스하는 데 집중하고, 목표 달성 후에는 다른 취약점을 탐색하지 않습니다. 반면 모의 침투 테스트는 모든 취약점을 식별하는 것을 목표로 합니다.
올바른 모의 침투 테스트 선택하기
조직에 적합한 모의 침투 테스트를 선택하려면 기존의 모든 모델에 익숙해지는 것이 좋습니다. 이를 통해 워크플로에 따라 조직에 가장 적합한 테스트를 선택할 수 있습니다.
웹 애플리케이션을 운영하는 경우 웹 테스트가 가장 적합하고, API 및 백엔드 개발을 하는 경우 API 테스트가 좋은 선택입니다. 클라우드 서비스를 제공하는 경우 클라우드 테스트가 필수입니다.
위에서 설명된 내용은 좋은 시작점이 될 것입니다. 각 모의 침투 테스트를 구분하고, 각 테스트에 대한 최적의 활용 사례를 파악하는 데 도움이 될 것입니다. 이를 바탕으로 지식을 확장해 나가십시오.
다음으로 웹 애플리케이션용 프리미엄 모의 침투 테스트 소프트웨어를 확인해 보십시오.