펜 테스트에는 윤리적 해커가 회사의 보안 인프라에 대해 계획된 공격을 확장하여 패치해야 할 보안 취약성을 색출하는 작업이 포함됩니다. 펜 테스트는 전체적인 웹 애플리케이션 전략의 일부입니다.
이 글을 읽은 후에 다음을 할 수 있습니다:
관련 콘텐츠
가장 인기있는 인터넷 인사이트에 대한 월간 요약을 받아보세요!
글 링크 복사
침투 테스트는 사이버 보안 전문가가 컴퓨터 시스템의 취약점을 찾아내어 악용하는 것을 시도하는 보안 활동입니다. 이 시뮬레이션 공격의 목적은 공격자가 악용할 수 있는 시스템 방어의 취약점을 파악하는 것입니다.
이는 은행에서 누군가를 고용하여 도둑으로 분장하고 건물에 침입하여 금고에 접근하도록 하는 것과 같습니다. 그 '도둑'이 은행이나 금고에 침입하는 데 성공하면 은행은 보안 조치를 강화해야 하는 방법에 대하여 귀중한 정보를 얻을 수 있습니다.
침투 테스트로 시스템을 구축한 개발자가 놓친 사각지대를 발견할 수 있으므로 시스템 보안에 대한 사전 지식이 거의 또는 전혀 없는 사람이 침투 테스트를 수행하는 것이 가장 좋습니다. 이러한 이유로 일반적으로 외부 계약업체를 통해 테스트를 수행합니다. 이러한 계약업체는 허가를 받고 보안을 강화할 목적으로 시스템을 해킹하기 위해 고용되므로 흔히 '윤리적 해커'라고 불립니다.
윤리적 해커의 대부분은 고급 학위와 침투 테스트 자격증을 보유한 숙련된 개발자입니다. 반면에 최고의 윤리적 해커 중 일부는 독학으로 공부한 사람입니다. 실제로 일부 개심한 범죄 전과 해커들은 이제 보안 결함을 악용하기보다는 자신의 전문성을 활용하여 보안 결함을 수정하는 데 도움을 주는 해커들입니다. 침투 테스트를 수행하기에 가장 적합한 후보자는 대상 회사와 어떤 유형의 침투 테스트를 시작하려는지에 따라 크게 달라질 수 있습니다.
침투 테스트는 윤리적 해커가 시뮬레이션 공격을 계획하는 데 사용할 데이터와 정보를 수집하는 정찰 단계로 시작됩니다. 그 후에는 대상 시스템에 대한 액세스를 확보하고 유지하는 데 중점을 두며, 이를 위해서는 다양한 도구가 필요합니다.
공격 도구에는 무차별 대입 공격 또는 SQL 삽입을 생성하도록 설계된 소프트웨어가 포함됩니다.눈에 잘 띄지 않는 작은 상자를 네트워크에 있는 컴퓨터에 연결하여 해커가 해당 네트워크에 원격으로 액세스할 수 있도록 하는 등 침투 테스트용으로 특별히 설계된 하드웨어도 있습니다.윤리적 해커는 또한 소셜 엔지니어링 기법을 사용하여 취약점을 찾을 수 있습니다.예를 들어, 회사 직원에게 피싱 이메일을 보내거나 배달원으로 위장하여 건물에 물리적으로 접근하는 등의 행동을 할 수 있습니다.
해커는 흔적을 감추는 것으로 테스트를 마무리합니다. 즉, 임베디드 하드웨어를 제거하고 감지를 피하기 위해 할 수 있는 모든 작업을 수행하여 대상 시스템을 발견한 시점의 상태 그대로 만드는 것입니다.
침투 테스트가 완료되면 윤리적 해커는 그 결과를 대상 기업의 보안 팀과 공유합니다. 이 정보는 테스트 중에 발견된 취약점을 해결하기 위해 보안 업그레이드를 구현하는 데 사용할 수 있습니다. 이러한 업그레이드에는 레이트 리미팅, 새로운 WAF 규칙, DDoS 완화, 더 엄격한 양식 유효성 검사 및 삭제 처리 등이 포함됩니다.