온라인 공간은 계속해서 빠르게 성장하여 컴퓨터 시스템, 네트워크 또는 웹 애플리케이션 내에서 사이버 공격이 발생할 수 있는 기회가 더 많이 생겨나고 있습니다. 이러한 위험을 완화하고 이에 대비하기 위해 침투 테스트는 공격자가 사용할 수 있는 보안 취약성을 찾기 위해 필요한 단계입니다.
“윤리적 해킹”과 “침투 테스트”라는 용어는 때때로 같은 의미로 사용되지만 차이점이 있습니다. 윤리적 해킹은 네트워크 보안을 개선하기 위해 해킹 기술을 사용하는 것을 포함하는 광범위한 사이버 보안 분야입니다. 침투 테스트는 윤리적 해커가 사용하는 방법 중 하나일 뿐입니다. 윤리적 해커는 맬웨어 분석, 위험 평가 및 기타 해킹 도구 및 기술을 제공하여 해를 입히기보다는 보안 취약점을 발견하고 수정할 수도 있습니다.
IBM의 2023년 데이터 유출 비용(CODB) 보고서에 따르면 2023년 데이터 유출로 인한 전 세계 평균 비용은 445만 달러로 3년 동안 15% 증가한 것으로 나타났습니다. 이러한 침해를 완화하는 한 가지 방법은 정확하고 정밀한 침투 테스트를 수행하는 것입니다.
기업은 침투 테스터를 고용하여 앱, 네트워크 및 기타 자산에 대한 시뮬레이션된 공격을 시작합니다. 침투 테스터는 가짜 공격을 준비하여 보안 팀이 중요한 보안 취약점을 발견하고 전반적인 보안 태세를 개선할 수 있도록 지원합니다. 이러한 공격은 주로 레드팀 또는 공격적인 보안팀에 의해 수행됩니다. 레드팀은 보안 위험을 평가하는 방법으로 조직의 자체 시스템에 대해 실제 공격자의 전술, 기법 및 절차(TTP)를 시뮬레이션합니다.
침투 테스트 프로세스를 시작할 때 고려해야 할 몇 가지 침투 테스트 방법론이 있습니다. 조직의 선택은 대상 조직의 범주, 침투 테스트의 목표 및 보안 테스트 범위에 따라 달라집니다. 모든 상황에 맞는 단일 접근 방식은 없습니다. 침투 테스트 프로세스에 앞서 공정한 취약점 분석이 이루어지려면 조직이 보안 문제와 보안 정책을 이해해야 합니다.
침투 테스트 프로세스의 첫 번째 단계 중 하나는 어떤 방법론을 따를지 결정하는 것입니다.
아래에서는 가장 인기 있는 침투 테스트 프레임워크 5가지와 침투 테스트 방법론에 대해 자세히 알아보고, 이해관계자와 조직이 특정 요구 사항에 가장 적합한 방법을 찾을 수 있도록 돕고 이 방법론이 필요한 모든 영역을 다루는지 확인해 보겠습니다.
오픈 소스 보안 테스트 방법론 매뉴얼(OSSTMM)은 가장 널리 사용되는 침투 테스트 표준 중 하나입니다. 이 방법론은 보안 테스트에 대한 동료들의 검토를 거쳤으며, 보안 및 개방형 방법론 연구소(ISECOM)에서 만들었습니다.
이 방법은 침투 테스트에 대한 과학적 접근 방식을 기반으로 하며, 테스터를 위한 접근 가능하고 적용 가능한 가이드를 제공합니다. OSSTMM에는 운영 초점, 채널 테스트, 메트릭 및 신뢰 분석과 같은 주요 기능이 방법론에 포함되어 있습니다.
OSSTMM은 침투 테스트 전문가를 위한 네트워크 침투 테스트 및 취약성 평가를 위한 프레임워크를 제공합니다. 이는 공급자가 민감한 데이터 및 인증과 관련된 문제와 같은 취약점을 찾아 해결할 수 있는 프레임워크입니다.
오픈 웹 애플리케이션 보안 프로젝트의 약자인 OWASP는 웹 애플리케이션 보안을 전담하는 오픈 소스 조직입니다.
이 비영리 단체의 목표는 웹 애플리케이션 보안을 개선하고자 하는 모든 사람이 모든 자료를 무료로 쉽게 이용할 수 있도록 하는 것입니다. OWASP에는 자체 Top 10 보고서가 있습니다(ibm.com 외부 링크). 이 보고서는 사이트 간 스크립팅, 인증 오류, 방화벽 침해 등 웹 애플리케이션에 대한 가장 큰 보안 문제 및 위험을 요약한 잘 정리된 보고서입니다. OWASP는 Top 10 목록을 OWASP 테스트 가이드의 기초로 사용합니다.
이 가이드는 웹 애플리케이션 개발을 위한 OWASP 테스트 프레임워크, 웹 애플리케이션 테스트 방법론 및 보고의 세 부분으로 나뉩니다. 웹 애플리케이션 방법론은 별도로 사용하거나 웹 애플리케이션 침투 테스트, 모바일 애플리케이션 침투 테스트, API 침투 테스트 및 IoT 침투 테스트를 위한 웹 테스트 프레임워크의 일부로 사용할 수 있습니다.
침투 테스트 실행 표준(PTES)은 포괄적인 침투 테스트 방법입니다.
PTES는 정보 보안 전문가 팀에 의해 설계되었으며 침투 테스트의 모든 측면을 다루는 7개의 주요 섹션으로 구성되어 있습니다. PTES의 목적은 조직이 침투 테스트에서 기대해야 할 사항을 간략하게 설명하고 사전 참여 단계부터 시작하여 프로세스 전반에 걸쳐 안내하는 기술 지침을 마련하는 것입니다.
PTES는 침투 테스트의 기준이 되고 보안 전문가와 조직에 표준화된 방법론을 제공하는 것을 목표로 합니다. 이 가이드는 침투 테스트 프로세스의 시작부터 끝까지 각 단계의 모범 사례와 같은 다양한 리소스를 제공합니다. PTES의 몇 가지 주요 기능은 익스플로잇과 사후 익스플로잇입니다. 익스플로잇이란 소셜 엔지니어링 및 비밀번호 크래킹과 같은 침투 기술을 통해 시스템에 액세스하는 과정을 말합니다. 사후 익스플로잇은 손상된 시스템에서 데이터를 추출하고 액세스를 유지하는 것을 말합니다.
정보 시스템 보안 평가 프레임워크(ISSAF)는 정보 시스템 보안 그룹(OISSG)에서 지원하는 침투 테스트 프레임워크입니다.
이 방법론은 더 이상 유지 관리되지 않으며 최신 정보를 얻을 수 있는 최적의 소스가 아닐 수 있습니다. 그러나 주요 강점 중 하나는 개별 침투 테스트 단계를 특정 침투 테스트 툴과 연결한다는 것입니다. 이러한 유형의 형식은 개별화된 방법론을 만드는 데 좋은 기초가 될 수 있습니다.
미국 국립표준기술연구소의 약자인 NIST는 연방 정부 및 외부 조직이 따라야 할 일련의 침투 테스트 표준을 제공하는 사이버 보안 프레임워크입니다. NIST는 미국 상무부 산하 기관으로, 따라야 할 최소한의 표준으로 간주해야 합니다.
NIST 침투 테스트는 NIST에서 보낸 지침을 따릅니다. 이러한 지침을 준수하기 위해 조직은 미리 정해진 지침에 따라 침투 테스트를 수행해야 합니다.
침투 테스트가 시작되기 전에 테스트 팀과 회사는 테스트 범위를 설정합니다. 이 범위에는 테스트할 시스템, 테스트 시기, 침투 테스터가 사용할 수 있는 방법이 설명되어 있습니다. 또한 범위는 침투 테스터가 미리 확보할 수 있는 정보의 양을 결정합니다.
다음 단계는 범위 지정 계획을 테스트하고 취약성과 기능을 평가하는 것입니다. 이 단계에서는 네트워크 및 취약성 스캔을 수행하여 조직의 인프라를 더 잘 이해할 수 있습니다. 내부 테스트 및 외부 테스트는 조직의 요구 사항에 따라 수행할 수 있습니다. 침투 테스터는 블랙박스 테스트, 화이트박스 테스트, 그레이박스 테스트 등 다양한 테스트를 수행할 수 있습니다. 각각은 대상 시스템에 대한 다양한 수준의 정보를 제공합니다.
네트워크에 대한 개요가 설정되면 테스터는 주어진 범위 내에서 시스템과 애플리케이션 분석을 시작할 수 있습니다. 이 단계에서 침투 테스터는 잘못된 구성을 이해하기 위해 가능한 한 많은 정보를 수집합니다.
마지막 단계는 보고 및 디브리핑입니다. 이 단계에서는 식별된 취약성을 간략하게 설명하는 침투 테스트의 모든 결과가 포함된 침투 테스트 보고서를 작성하는 것이 중요합니다. 보고서에는 문제 해결을 위한 계획과 문제 해결이 이루어지지 않을 경우의 잠재적 위험에 대한 내용이 포함되어야 합니다.
모든 자산을 테스트하려고 하면 시간, 예산과 리소스가 낭비됩니다. 과거 이력 데이터가 있는 커뮤니케이션 및 협업 플랫폼을 사용하면 고위험 네트워크, 애플리케이션, 디바이스 및 기타 자산을 중앙화하고, 관리하고 우선순위를 지정하여 보안 테스트 프로그램을 최적화할 수 있습니다. X-Force Red 포털을 사용하면 문제 해결에 관련된 모든 사람이 취약점이 발견된 직후 테스트 결과를 확인하고 편리한 시간에 보안 테스트를 예약할 수 있습니다.