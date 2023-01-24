기업이 침투 테스트를 수행하는 데는 크게 세 가지 이유가 있습니다.

침투 테스트는 취약성 평가보다 더 포괄적입니다. 침투 테스트와 취약성 평가는 모두 보안 팀이 앱, 장치 및 네트워크의 약점을 식별하는 데 도움이 됩니다. 그러나 이러한 방법은 목적이 조금씩 다르기 때문에 많은 조직에서 둘 중 하나에 의존하지 않고 두 가지 방법을 모두 사용합니다.

취약성 평가는 일반적으로 시스템에서 알려진 취약성을 검색하고 검토를 위해 플래그를 지정하는 반복적인 자동화된 검사입니다. 보안 팀은 취약성 평가를 사용하여 일반적인 결함을 신속하게 확인합니다.

침투 테스트는 한 걸음 더 나아갑니다. 침투 테스터는 취약점을 발견하면 악의적인 해커의 행동을 모방하는 시뮬레이션 공격에서 취약점을 악용합니다. 이를 통해 보안 팀은 실제 해커가 취약점을 악용하여 민감한 데이터에 액세스하거나 작업을 방해할 수 있는 방법을 심층적으로 이해할 수 있습니다. 보안 팀은 해커가 무엇을 할 수 있는지 추측하는 대신 이 지식을 사용하여 실제 사이버 위협에 대한 네트워크 보안 제어를 설계할 수 있습니다.

침투 테스터는 자동 프로세스와 수동 프로세스를 모두 사용하기 때문에 알려진 취약점과 알려지지 않은 취약점을 발견합니다. 침투 테스터는 발견한 약점을 적극적으로 활용하기 때문에 오탐이 발생할 가능성이 적습니다. 결함을 악용할 수 있다면 사이버 범죄자도 악용할 수 있습니다. 또한 침투 테스트 서비스는 해커의 관점에서 시스템에 접근하는 타사 보안 전문가가 제공하기 때문에 침투 테스트를 통해 사내 보안 팀이 놓칠 수 있는 결함을 발견하는 경우가 많습니다.

사이버 보안 전문가는 침투 테스트를 권장합니다. 많은 사이버 보안 전문가와 당국은 사전 예방적 보안 조치로 침투 테스트를 권장합니다. 예를 들어, 2021년에 미국 연방 정부(ibm.com 외부 링크)는 기업들에게 증가하는 랜섬웨어 공격을 방어하기 위해 침투 테스트를 사용할 것을 촉구했습니다.

침투 테스트는 규정 준수를 지원합니다. 건강 보험 양도 및 책임에 관한 법률(HIPAA) 및 일반 데이터 보호 규정(GDPR)과 같은 데이터 보안 규정은 특정 보안 제어를 의무화하고 있습니다. 침투 테스트는 기업의 제어 기능이 의도한 대로 작동하는지 확인하여 이러한 규정을 준수하고 있음을 입증하는 데 도움이 될 수 있습니다.

다른 규정에서는 침투 테스트를 명시적으로 요구합니다. 신용카드를 처리하는 조직에 적용되는 PCI-DSS(결제 카드 산업 데이터 보안 표준)에서는 특히 정기적인 "외부 및 내부 침투 테스트"(ibm.com 외부 링크)를 요구합니다.

또한 침투 테스트는 ISO/IEC 27001(ibm.com 외부 링크)과 같은 자발적 정보 보안 표준을 준수하도록 지원할 수 있습니다.