모의해킹 또는 침투 테스트는 고객사와 협의 하에 고객사의 실 운영 서버를 해킹하는 직업군을 의미한다.
모의 해킹 개요
- 침투 테스트(Penetration Test).로 불리기도 함
- 해커와 유사한 조건, Hacking Skill을 가지고 실시
- 어떤 방식으로 침해할 수 있는지 여부를 점검해 보는 단계
모의 해킹이란 직업은 범죄자와 유사한 수준의 기술력과 사고를 가져야 하지만, 철저하게 합법적인 범주 안에서 활동하는 것이 매우 중요하다.
모의 해킹 범죄자 비교
- 고객과의 협의 여부에 따라 범위와 목적이 다름
구분 모의해킹 수행원 범죄자 Legal 고객사와 계약을 통해 합법적인 활동 불법 공격 포인터 고객사의 담당자가 지정한 시스템 무분별 공격 항목 장애를 유발해 가용성을 침해하지 않는 범위 내에 무분별 공격 시간 고객사와 협의한 시간 안에 활동 무분별
- 모의해킹은 컨설팅의 한 영역으로 분류
- 고객사와 충분한 협의가 필요
모의해킹 범위 - 시스템 기준
- 외부 비인가자
- 외부 아이피 대역
- 공개된 서비스 위주로 진행
- 회원가입 없이 진행
- 외부 인가자
- 외부 아이피 대역
- 공개된 서비스 위주로 진행
- 회원 가입 가능
- 상황에 따라 관리자 계정 부여 가능
- 내부 비인가자
- 내부 아이피 대역
- 비공개 서비스 진행 가능
- 임직원 권한 없이 진행
- 내부 인가자
- 내부 아이피 대역
- 비공개 서비스 진행 가능
- 임직원 권한을 가지고 진행
모의해킹 범위 - 수행 관점 기준
- 체크 리스트 기반 진단
- 서버 보안 진단
- 네트워크 장비 보안 진단
- DBMS 보안 진단
- 개인 PC 보안 진단
- 보안 시스템 운영 진단
- 웹 애플리케이션 진단
- 모바일 애플리케이션 진단
- 모의해킹
- 시나리오 기반 모의해킹
- 블랙박스 모의해킹
- Red / Blue / Purple Team Penetration Testing
모의해킹 종류
- 시나리오 기반 모의해킹
- 진행 방식
- 취약점 진단 이후 추가 수행하는 경우
- 내부/외부 정보 파악 용이
- 시나리오 구성 후 침투 시작
- 정해진 시간에 모의해킹을 수행
- 고객사와 협의
- 전반적인 협의는 정보시스템 진단과 유사
- 진행 과정에 수집한 정보에 따라 시나리오가 변형될 수 있음
- 수행 과정에 정보시스템 관제, 침해 대응 팀에서 인지할 경우
- 고객사와 협의하여 예외처리 후 진행 가능
- 원활한 진행이 어려운 경우
- 고객사와 협의 하에 정보보안 솔루션 등 방어 요소 예외처리 후 진행 가능
- 진행 방식
- 블랙박스 모의 해킹
- 진행 방식
- 사전에 어떤 정보도 제공받지 않음
- 어떠한 예외처리도 진행하지 않음
- 정해진 시간이 없음
- 침투 성공 후 시나리오 표현
- 고객사와 협의
- 극 소수만이 모의해킹을 진행하는 사실을 인지
- 수행 과정에 정보시스템 관제, 침해 대응 팀에서 인지할 경우
- 다른 우회 경로를 새롭게 진
- 진행 방식
- Red Team
- 외부 침투자 역할
- 블랙박스 모의해킹과 유사하게 진행
- Blue Team
- 보안 관제, 침해사고대응 팀 등 방어를 수행
- 언제 침투할지 모르는 Red Team의 공격을 방어
- Purple Team
- Red와 Blue 팀을 통제
- 고객사 보안 담당자와 외부 컨설팅 PM이 담당
- 서로가 발전할 수 있게 환경 구성
- 통합 보고서 제작
- Red와 Blue 팀을 통제
모의해킹 업무 절차
- 사전 협의
- 고객사 정보보안 담당자와 침투 진행 범위 결정
- 정보 수집
- 고객사 뿐만 아니라 침투 대상과 관련된 정보를 최대한 수집
- 위협 모델링
- 자산, 비즈니스 프로세스 등 다양한 형태의 정보를 기반으로 위협적인 행위를 표현하는 모델링 제작
- 취약성 분석
- 시스템이나 응용프로그램에서 침투할 수 있는 요소를 찾아내기 위해 분석하는 행위
- 침투
- 취약성 분석을 통해 찾은 경로로 실제 침투를 진행
- 후속 침투
- 침투 후 손상된 시스템을 제어하여 또 다른 침투 경로를 찾기 위한 방법
- 보고서 작성
- 고객사에게 보고할 최종 보고서 제작 후 리뷰
기타 정보
- Penetration Testing Execution Standard
- www.pentest-standard.org
- 공식 표준은 아니지만 모의해킹을 연구하기에 충분한 가이드를 제공
- NIST 800-115
- carc.nist.gov/publications/detail/sp/800-115/final
- 미국 국립 표준 기술 연구소(NIST)에서 발간한 정보보안 테스트와 평가를 위한 기술 가이드
- Penetration Testing Framework
- www.vulnerabilityassessment.co.uk
- 여러 교육 기관에 모의해킹을 위한 정보를 제공하는 사이트
- Awesome Pentest
- github.com/enaqx/awesome-pentest
- 모의해킹과 관련 있는 다양한 정보를 종합적으로 모아 놓은 Awesome 시리즈