해킹 기술을 사용하여 IT 시스템 결함을 찾아 수정하는 윤리적 해커인 사이버 보안 전문가들이 공격형 보안 활동을 수행하기도 합니다. 시스템에 침입하여 민감한 데이터를 훔치거나 멀웨어를 퍼뜨리는 실제 사이버 범죄자와 달리, 윤리적 해커는 허가를 받아 모의 침해 행위를 수행합니다. 그들은 실제로 피해를 주는 것이 아닌 가짜 공격에서 발견한 결과를 사용하여 조직이 방어를 개선하도록 도와줍니다.
과거에는 공격형 보안이 위협 행위자를 막다른 디렉터리로 유인하는 등 잠재적인 공격자를 방해하기 위한 전략으로 쓰이기도 했습니다. 이러한 적대적 방법은 오늘날의 정보 보안 환경에서는 일반적이지 않습니다.
Think 뉴스레터
Think 뉴스레터를 통해 AI, 사이버 보안, 데이터 및 자동화에 대한 선별된 뉴스를 제공하는 보안 리더들과 함께하세요. 받은 편지함으로 직접 제공되는 전문가 튜토리얼과 설명서를 통해 빠르게 배울 수 있습니다. IBM 개인정보 보호정책을 참고하세요.
구독한 뉴스레터는 영어로 제공됩니다. 모든 뉴스레터에는 구독 취소 링크가 있습니다. 여기에서 구독을 관리하거나 취소할 수 있습니다. 자세한 정보는 IBM 개인정보 보호정책 을 참조하세요.
공격형 보안이 중요한 이유를 이해하려면 방어적 보안과 비교하는 것이 도움이 됩니다.
바이러스 백신 소프트웨어 및 방화벽과 같은 방어적 보안 조치는 설계에 따라 반응합니다. 이러한 도구는 알려진 위협을 차단하거나 의심스러운 행동을 탐지하기 위해 만들어졌습니다. SOAR 플랫폼과 같은 일부 고급 방어 보안 도구는 진행 중인 공격에 대한 대응을 자동화할 수도 있습니다.
방어적인 보안 전술은 진행되고 있는 사이버 공격을 저지하는 데 도움이 될 수 있지만, 이러한 방법을 사용하면 보안 팀에 막대한 업무 부담이 발생합니다. 분석가는 경고와 데이터를 분류하여 실제 위협과 허위 경보를 구분해야 합니다. 또한 방어적인 보안 조치로는 알려진 공격 경로에 대해서만 보호 조치를 취할 수 있기 때문에 조직은 알려지지 않은 새로운 사이버 위협에 그대로 노출됩니다.
공격형 보안은 방어적 보안을 보완합니다. 보안 팀은 공격형 보안 전술을 사용하여 다른 보안 조치가 놓칠 수 있는 알려지지 않은 공격 벡터를 발견하고 이에 대응합니다. 또한, 공격형 보안은 방어적 보안보다 더 능동적입니다. 공격형 보안 조치는 사이버 공격이 발생할 때 대응하는 대신 공격자가 이를 악용하기 전에 결함을 찾아 해결합니다.
즉, 공격형 보안은 방어적 보안을 더욱 효과적으로 만드는 정보를 생성합니다. 또한, 보안 팀의 부담을 줄여줍니다. 이러한 이점으로 인해 공격형 보안은 규제가 엄격한 일부 분야에서 업계 표준이 되었습니다.
공격형 보안 전문가가 사용하는 전술, 기술 및 절차(TTP)는 위협 행위자가 사용하는 것과 동일합니다. 공격형 보안 전문가는 이러한 전술, 기술 및 절차를 사용하여 기존 보안 프로그램을 테스트하는 동안 실제 해커가 사용할 수 있는 잠재적 취약점을 근본적으로 제거할 수 있습니다.
주요 공격 보안 전술은 다음과 같습니다:
취약점 스캔은 조직 IT 자산의 취약점을 탐지하기 위한 자동화된 프로세스입니다. 여기에는 컴퓨터 시스템의 취약점을 스캔하기 위해 특수 도구의 사용이 포함됩니다.
취약점 스캐너는 자산에서 특정 소프트웨어 버전과 관련된 알려진 취약성을 검색할 수 있습니다. 일반적인 SQL 주입 문자열이나 기타 악의적인 입력에 앱이 어떻게 반응하는지 확인하는 등 보다 적극적인 테스트를 수행할 수도 있습니다.
해커는 종종 공격 중에 악용할 수 있는 취약점을 식별하기 위해 취약점스캔을 사용합니다.결과적으로 공격형 보안 전문가는 동일한 취약점 스캐너를 사용하여 해커가 취약점을 포착하기 이전에 이를 찾아 해결합니다. 이러한 사전 예방적 접근 방식을 통해 조직은 위협에 미리 대비하고 방어 체계를 강화할 수 있습니다.
침투 테스트 또는 "펜 테스트"는 컴퓨터 시스템의 취약점을 찾기 위해 사이버 시뮬레이션된 공격을 사용하는 것입니다. 기본적으로 침투 테스트 수행자는 실제 해커를 모방하여 네트워크 결함을 검색하는 인간 취약점 스캐너 역할을 합니다. 침투 테스터는 공격자의 관점을 채택하므로 악의적 행위자는 표적으로 삼을 가능성이 가장 높은 취약점을 정확하고 효과적으로 찾아낼 수 있습니다.
인간 보안 전문가는 침투 테스트를 수행하기 때문에 완전 자동화된 도구가 놓칠 수 있는 취약점을 감지할 수 있으며, 오탐이 발생할 가능성이 낮습니다. 이들이 취약점을 활용할 수 있다면 사이버 범죄자들도 악용할 수 있습니다. 또한, 침투 테스트는 종종 타사 보안 서비스로 제공되는 경우가 많기 때문에 내부 보안 팀이 놓칠 수 있는 결함을 찾아낼 수 있습니다.
"적대적 시뮬레이션"이라고도 불리는 레드 팀 구성은 전문가 그룹이 실제 사이버 범죄자의 전술, 기술 및 절차를 사용하여 컴퓨터 시스템에 대한 시뮬레이션된 공격을 실행합니다.
침투 테스트와 달리 레드팀 구성은 적대적인 보안 평가입니다. 레드팀은 실제 피해를 입히지 않고, 공격 벡터를 적극적으로 사용하여 공격을 어디까지 진행할 수 있는지 확인합니다. 또한, 레드팀은 자신이 막으려는 보안 엔지니어로 구성된 블루 팀과 대결합니다. 이를 통해 조직은 실제 사고 대응 절차를 테스트해볼 수 있습니다.
조직은 사내 레드팀을 고용하거나 제3자와 계약하여 레드팀 훈련을 수행합니다. 레드팀을 운영할 때 기술적 방어 체계와 직원의 인식을 모두 테스트하기 위해 다양한 전술을 사용할 수 있습니다. 레드팀의 일반적인 기법에는 시뮬레이션된 랜섬웨어 공격, 피싱 및 기타 소셜 엔지니어링 시뮬레이션, 심지어 테일게이팅과 같은 현장 침해 기법도 포함됩니다.
레드팀은 보유한 정보의 양에 따라 다양한 유형의 테스트를 수행할 수 있습니다. 화이트박스 테스트에서는 대상 시스템의 내부 구조와 소스 코드에 대해 완전한 투명성을 확보합니다. 블랙박스 테스트에서는 시스템에 대한 정보가 없으며, 실제 해커처럼 외부에서 침입해야 합니다. 그레이박스 테스트에서는 네트워크 디바이스의 IP 범위와 같이 대상 시스템에 대한 기본 지식이 있을 수 있지만 그 외의 지식은 많지 않습니다.
실제적인 해킹 경험, 프로그래밍 언어에 대한 지식, 웹 애플리케이션 보안에 대한 익숙함은 공격형 보안에 대한 노력을 기울이는 데 필수적입니다. 공격형 보안 전문가는 이 영역에 대한 전문성을 검증하기 위해 종종 공격 보안 인증 전문가(OSCP) 또는 공인 윤리적 해커(CEH)와 같은 자격증을 취득합니다.
또한 공격형 보안 팀은 OSSTMM(Open Source Security Testing Methodology Manual) 및 PTES(Penetration Testing Execution Standard)와 같은 오픈 소스 프로젝트를 포함하여 확립된 윤리적 해킹 방법론을 따릅니다.
공격형 보안 전문가는 다음을 포함한 일반적인 공격형 보안 도구도 잘 다룹니다.
Metasploit: IT 시스템에 대한 활용을 개발하고 자동화하기 위한 프레임워크입니다. 주로 펜 테스트 및 취약점 평가에 사용됩니다.
Kali Linux: 펜 테스트 및 디지털 포렌식을 위해 설계된 Linux 운영 체제입니다.
Burp Suite: 취약점을 스캔하고, 웹 트래픽을 인터셉트하고 수정하며, 공격을 자동화할 수 있는 웹 애플리케이션 보안 테스트 도구입니다.
Wireshark: 네트워크 트래픽을 캡처하고 검사하여 네트워크 통신의 보안 문제를 식별하는 데 도움이 되는 네트워크 프로토콜 분석기입니다.
Nmap: 네트워크 감지, 포트 검색 및 서비스 식별에 사용되는 네트워크 검색 도구입니다.
Aircrack-ng: 패킷 스니핑, 핸드셰이크 캡처, 비밀번호 암호화 해독 기능을 갖춘 Wi-Fi 네트워크 보안 테스트용 도구 모음입니다.
John the Ripper: 암호 해시에 대해 무차별 암호 대입 공격을 수행하는 암호 크래킹 도구입니다.
sqlmap: 웹 앱에서 SQL 주입 취약성을 이용하는 프로세스를 자동화하는 도구입니다.