침투 테스트란 무엇인가요?

침투 테스터는 해킹 도구와 기술을 사용하여 해를 끼치지 않고 보안 취약점을 수정하는 윤리적 해킹 기술에 능숙한 보안 전문가입니다. 기업은 침투 테스터를 고용하여 앱, 네트워크 및 기타 자산에 대한 시뮬레이션된 공격을 시작합니다. 침투 테스터는 가짜 공격을 준비하여 보안 팀이 중요한 보안 취약점을 발견하고 전반적인 보안 태세를 개선할 수 있도록 지원합니다.

"윤리적 해킹"과 "침투 테스트"라는 용어는 때때로 같은 의미로 사용되지만 차이가 있습니다. 윤리적 해킹은 네트워크 보안을 개선하기 위해 해킹 기술을 사용하는 것을 포함하는 광범위한 사이버 보안 분야입니다. 침투 테스트는 윤리적 해커가 사용하는 방법 중 하나일 뿐입니다. 윤리적 해커는 멀웨어 분석, 위험 평가 및 기타 서비스를 제공할 수도 있습니다.

기업이 침투 테스트를 수행하는 데는 크게 세 가지 이유가 있습니다.

침투 테스트는 취약성 평가보다 더 포괄적입니다. 침투 테스트와 취약성 평가는 모두 보안 팀이 앱, 장치 및 네트워크의 약점을 식별하는 데 도움이 됩니다. 그러나 이러한 방법은 목적이 조금씩 다르기 때문에 많은 조직에서 둘 중 하나에 의존하지 않고 두 가지 방법을 모두 사용합니다.

취약성 평가는 일반적으로 시스템에서 알려진 취약성을 검색하고 검토를 위해 플래그를 지정하는 반복적인 자동화된 검사입니다. 보안 팀은 취약성 평가를 사용하여 일반적인 결함을 신속하게 확인합니다.

침투 테스트는 한 걸음 더 나아갑니다. 침투 테스터는 취약점을 발견하면 악의적인 해커의 행동을 모방하는 시뮬레이션 공격에서 취약점을 악용합니다. 이를 통해 보안 팀은 실제 해커가 취약점을 악용하여 민감한 데이터에 액세스하거나 작업을 방해할 수 있는 방법을 심층적으로 이해할 수 있습니다. 보안 팀은 해커가 무엇을 할 수 있는지 추측하는 대신 이 지식을 사용하여 실제 사이버 위협에 대한 네트워크 보안 제어를 설계할 수 있습니다.

침투 테스터는 자동 프로세스와 수동 프로세스를 모두 사용하기 때문에 알려진 취약점과 알려지지 않은 취약점을 발견합니다. 침투 테스터는 발견한 약점을 적극적으로 활용하기 때문에 오탐이 발생할 가능성이 적습니다. 결함을 악용할 수 있다면 사이버 범죄자도 악용할 수 있습니다. 또한 침투 테스트 서비스는 해커의 관점에서 시스템에 접근하는 타사 보안 전문가가 제공하기 때문에 침투 테스트를 통해 사내 보안 팀이 놓칠 수 있는 결함을 발견하는 경우가 많습니다.

사이버 보안 전문가는 침투 테스트를 권장합니다. 많은 사이버 보안 전문가와 당국은 사전 예방적 보안 조치로 침투 테스트를 권장합니다. 예를 들어 2021년에 미국 연방 정부는 기업들에게 증가하는 랜섬웨어 공격을 방어하기 위해 침투 테스트를 사용할 것을 촉구했습니다.

침투 테스트는 규정 준수를 지원합니다. 건강 보험 양도 및 책임에 관한 법률(HIPAA) 및 일반 데이터 보호 규정(GDPR)과 같은 데이터 보안 규정은 특정 보안 제어를 의무화하고 있습니다. 침투 테스트는 기업의 제어 기능이 의도한 대로 작동하는지 확인하여 이러한 규정을 준수하고 있음을 입증하는 데 도움이 될 수 있습니다.

다른 규정에서는 침투 테스트를 명시적으로 요구합니다. 특히 신용카드를 처리하는 조직에 적용되는 PCI-DSS(결제 카드 산업 데이터 보안 표준)는 정기적인 '외부 및 내부 침투 테스트'를 요구합니다.

또한 침투 테스트는 ISO/IEC 27001과 같은 자발적 정보 보안 표준을 준수하도록 지원할 수 있습니다.

모든 침투 테스트에는 회사의 컴퓨터 시스템에 대한 모의 공격이 포함됩니다. 그러나 다양한 유형의 침투 테스트는 다양한 유형의 기업 자산을 대상으로 합니다.

애플리케이션 침투 테스트는 웹 애플리케이션 및 웹사이트, 모바일 및 IoT 앱, 클라우드 앱, 애플리케이션 프로그래밍 인터페이스(API)를 포함한 앱 및 관련 시스템의 취약점을 찾습니다.

침투 테스터는 주로 오픈 웹 애플리케이션 보안 프로젝트(OWASP) Top 10에 나열된 취약점을 검색하는 것으로 시작합니다. OWASP Top 10은 웹 애플리케이션에서 가장 심각한 취약점 목록입니다. 이 목록은 악성 코드 주입, 잘못된 구성, 인증 실패 등의 취약점이 주를 이루지만 사이버 보안 환경의 변화에 맞춰 주기적으로 업데이트됩니다. OWASP Top 10 외에도 애플리케이션 침투 테스트는 해당 앱에만 있을 수 있는 일반적이지 않은 보안 결함과 취약성도 찾습니다.

네트워크 침투 테스트는 회사의 전체 컴퓨터 네트워크를 공격합니다. 네트워크 침투 테스트에는 외부 테스트와 내부 테스트의 두 가지 유형이 있습니다.

외부 테스트에서 침투 테스터는 외부 해커의 행동을 모방하여 서버, 라우터, 웹 사이트 및 직원 컴퓨터와 같은 인터넷 연결 자산에서 보안 문제를 찾습니다. 이를 "외부 테스트"라고 하는데, 이는 침투 테스터가 외부에서 네트워크에 침입하려고 시도하기 때문입니다.

내부 테스트에서 침투 테스터는 자격 증명을 훔친 악의적인 내부자나 해커의 행동을 모방합니다. 목표는 개인이 네트워크 내부에서 악용할 수 있는 취약성을 찾아내는 것입니다. 예를 들어 액세스 권한을 남용하여 민감한 데이터를 훔치는 것입니다.

이러한 보안 테스트는 노트북, 모바일 및 IoT 디바이스, 운영 기술(OT) 등 네트워크에 연결된 디바이스의 취약점을 찾습니다.

침투 테스터는 해커가 엔드포인트에 원격으로 액세스할 수 있도록 하는 운영 체제 악용과 같은 소프트웨어 결함을 찾을 수 있습니다. 이들은 악의적인 행위자가 침입할 수 있는 부적절하게 보호된 데이터 센터와 같은 물리적 취약성을 찾을 수 있습니다. 테스트 팀은 해커가 손상된 디바이스에서 네트워크의 다른 부분으로 어떻게 이동할 수 있는지 평가할 수도 있습니다.

직원 침투 테스트는 직원의 사이버 보안 위생에 대한 취약점을 찾아냅니다. 기업이 소셜 엔지니어링 공격에 얼마나 취약한지 평가하는 것입니다.

직원 침투 테스트에서는 피싱, 비싱(음성 피싱), 스미싱(SMS 피싱)으로 직원을 속여 중요한 정보를 누설하도록 유도하며 사무실의 물리적 보안 상태도 평가할 수 있습니다. 예를 들면 침투 테스터가 배달원으로 변장하여 건물 잠입을 시도합니다. '테일게이팅'이라고 불리는 이 수법은 실제 범죄에도 흔히 사용됩니다.

침투 테스트가 시작되기 전에 테스트 팀과 회사는 테스트 범위를 설정합니다. 이 범위에는 테스트할 시스템, 테스트 시기, 침투 테스터가 사용할 수 있는 방법이 설명되어 있습니다. 또한 범위는 침투 테스터가 미리 확보할 수 있는 정보의 양을 결정합니다.

• 블랙박스 테스트에서 침투 테스터는 대상 시스템에 대한 정보를 가지고 있지 않습니다. 그들은 실제 해커처럼 공격 계획을 개발하기 위해 자체 조사에 의존해야 합니다.

• 화이트박스 테스트에서는 침투 테스터에게 대상 시스템을 완전히 투명하게 공개합니다. 회사는 네트워크 다이어그램, 소스 코드, 자격 증명 등과 같은 세부 정보를 공유합니다.

• 그레이박스 테스트에서 침투 테스터는 약간의 정보를 얻지만 많은 정보를 얻지는 못합니다. 예를 들어, 회사에서 네트워크 디바이스의 IP 범위를 공유할 수 있지만 침투 테스터는 해당 IP 범위의 취약점을 직접 조사해야 합니다.

범위가 설정되면 테스트를 시작합니다. 이때 사용할 수 있는 침투 테스트 방법론으로는 OWASP의 애플리케이션 보안 테스트 가이드라인, 침투 테스트 실행 표준(PTES), 미국 국립표준기술연구소(NIST) SP 800-115가 있습니다.

테스트 팀이 어떤 방법을 사용하든 프로세스는 일반적으로 동일한 전체 단계를 따릅니다.

테스트 팀은 대상 시스템에 대한 정보를 수집합니다. 침투 테스터는 대상에 따라 다른 정찰 방법을 사용합니다. 예를 들어, 대상이 앱인 경우 침투 테스터는 소스 코드를 연구할 수 있습니다. 대상이 전체 네트워크인 경우 침투 테스터는 패킷 분석기를 사용하여 네트워크 트래픽 흐름을 검사할 수 있습니다.

침투 테스터는 종종 오픈 소스 인텔리전스(OSINT)도 활용합니다. 공개 문서, 뉴스 기사, 직원의 소셜 미디어 및 GitHub 계정을 읽음으로써 침투 테스터는 대상에 대한 귀중한 정보를 수집할 수 있습니다.

침투 테스터는 정찰 단계에서 얻은 지식을 사용하여 시스템에서 악용 가능한 취약점을 식별합니다. 예를 들면 Nmap과 같은 포트 스캐너를 사용하여 멀웨어를 보낼 수 있는 뚫린 포트를 찾습니다. 소셜 엔지니어링 침투 테스트의 경우 테스트 팀은 직원 자격 증명을 훔치기 위해 피싱 이메일에 사용하는 가짜 스토리 또는 '프리텍스트'를 개발할 수 있습니다.

이 단계의 일환으로 침투 테스터는 보안 기능이 침입에 어떻게 반응하는지 확인할 수 있습니다. 예를 들어 의심스러운 트래픽을 회사의 방화벽으로 보내 어떤 일이 발생하는지 확인할 수 있습니다. 침투 테스터는 학습한 내용을 사용하여 나머지 테스트 중에 탐지를 피합니다.

테스트 팀이 실제 공격을 시작합니다. 침투 테스터는 대상 시스템, 발견한 취약점 및 테스트 범위에 따라 다양한 공격을 시도할 수 있습니다. 가장 일반적으로 테스트하는 공격은 다음과 같습니다.

• SQL 주입: 침투 테스터가 입력 필드에 악성 코드를 입력하여 웹 페이지나 앱이 민감한 데이터를 공개하도록 합니다.
  
  

• – 크로스 사이트 스크립팅: 침투 테스터가 기업 웹 사이트에 악성 코드를 심습니다.
  
  

• 서비스 거부 공격: 침투 테스터가 서버, 앱 및 기타 네트워크 리소스에 트래픽을 폭증시켜 해당 리소스를 오프라인 상태로 만듭니다.
  
  

• 소셜 엔지니어링: 침투 테스터가 피싱, 베이팅, 프리텍스팅 또는 기타 전술로 직원을 속여 네트워크 보안을 손상시킵니다.
  
  

• 무차별 대입 공격: 침투 테스터는 암호가 작동할 때까지 잠재적인 암호를 생성하고 테스트하는 스크립트를 실행하여 시스템 침입을 시도합니다.
  
  

• 중간자 공격: 침투 테스터는 두 디바이스 또는 사용자 간의 트래픽을 가로채 민감한 정보를 훔치거나 멀웨어를 심습니다.

침투 테스터는 취약점을 악용하여 시스템에 발판을 마련한 후 더 많은 취약점에 접근하기 위해 이동합니다. 이 단계를 "취약성 체인"이라고도 하는데, 침투 테스터가 취약점에서 취약점으로 이동하여 네트워크에 더 깊이 들어가기 때문입니다. 예를 들어 직원의 컴퓨터에 키로거를 설치하는 것으로 시작할 수 있습니다. 이 키로거를 사용하여 직원의 자격 증명을 캡처할 수 있습니다. 이러한 자격 증명을 사용하여 중요한 데이터베이스에 액세스할 수 있습니다.

이 단계에서 침투 테스터의 목표는 보안 조치를 회피하면서 액세스를 유지하고 권한을 에스컬레이션하는 것입니다. 침투 테스터는 이 모든 과정을 통해 지능형 지속 위협(APT)을 모방하며, 이러한 위협은 몇 주, 몇 달 또는 몇 년 동안 시스템에 잠복해 있다가 발견될 수 있습니다.

모의 공격이 끝나면 침투 테스터는 자신이 심은 백도어 트로이목마나 변경한 구성 등 남겨진 흔적을 모두 정리합니다. 이렇게 하면 실제 해커가 침투 테스터의 악용 흔적을 통해 네트워크를 침해할 수 없습니다.

그런 다음 침투 테스터는 공격에 대한 보고서를 준비합니다. 이 보고서에는 일반적으로 발견한 취약점, 사용한 악용 방식, 보안 기능을 회피한 방법에 대한 세부 정보, 시스템 내부에서 수행한 작업에 대한 설명이 간략하게 설명되어 있습니다. 보고서에는 취약점 해결에 대한 구체적인 권장 사항도 포함될 수 있습니다. 사내 보안 팀은 이 정보를 사용하여 실제 공격에 대한 방어를 강화할 수 있습니다.

침투 테스터는 다양한 도구를 사용하여 정찰을 수행하고, 취약성을 감지하고, 침투 테스트 프로세스의 주요 부분을 자동화합니다. 가장 일반적인 도구는 다음과 같습니다.

특수 운영 체제: 대부분의 침투 테스터는 침투 테스트 및 윤리적 해킹을 위해 설계된 OS를 사용합니다. 가장 인기 있는 것은 Nmap, Wireshark 및 Metasploit과 같은 침투 테스트 도구가 사전 설치된 오픈 소스 Linux 배포판인 Kali Linux입니다.

자격 증명 크래킹 도구: 이러한 프로그램은 암호화를 해독하거나, 봇이나 스크립트를 사용하여 잠재적인 비밀번호를 자동으로 생성하고 작동할 때까지 테스트하는 무차별 비밀번호 대입 공격을 실행하여 비밀번호를 알아낼 수 있습니다. 예를 들면 Medusa, Hyrda, Hashcat, John the Ripper 등이 있습니다.

포트 스캐너: 포트 스캐너를 사용하면 침투 테스터가 네트워크를 침해하는 데 사용할 수 있는 열려 있고 사용 가능한 포트에 대해 장치를 원격으로 테스트할 수 있습니다. Nmap은 가장 널리 사용되는 포트 스캐너이지만 masscan과 zMap도 일반적입니다.

취약점 스캐너: 취약점 스캔 도구는 알려진 취약점을 시스템에서 검색하여 침투 테스터가 대상에 대한 잠재적인 진입 경로를 빠르게 찾을 수 있게 해줍니다. 예를 들어 Nessus, Core Impact 및 Netsparker가 있습니다.

웹 취약점 스캐너는 웹 애플리케이션과 웹사이트를 평가하는 취약점 스캐너의 하위 집합입니다. 예로는 Burp Suite 및 OWASP의 Zed Attack Proxy(ZAP)가 있습니다.

패킷 분석기: 패킷 스니퍼라고도 하는 패킷 분석기를 사용하면 침투 테스터가 패킷을 캡처하고 검사하여 네트워크 트래픽을 분석할 수 있습니다. 침투 테스터는 트래픽이 어디에서 오는지, 어디로 가는지, 경우에 따라 어떤 데이터가 포함되어 있는지 파악할 수 있습니다. Wireshark와 tcpdump는 가장 일반적으로 사용되는 패킷 분석기 중 하나입니다.

Metasploit: Metasploit은 다양한 기능을 갖춘 침투 테스트 프레임워크입니다. 가장 중요한 것은 Metasploit을 통해 침투 테스터가 사이버 공격을 자동화할 수 있다는 것입니다. Metasploit에는 사전 작성된 익스플로잇 코드와 페이로드로 구성된 라이브러리가 내장되어 있습니다. 침투 테스터는 익스플로잇을 선택하고 대상 시스템에 전달할 페이로드를 제공하며 Metasploit이 나머지를 처리하도록 할 수 있습니다.