모의 해킹의 줄임말인 펜 테스트는 권한이 부여된 개인이나 기업이 컴퓨터 시스템, 네트워크, 애플리케이션에 대한 사이버 공격을 시뮬레이션해 악성 해커가 악용할 수 있는 취약점을 식별하는 사이버 보안 훈련입니다. 모의 해킹은 실제 공격자가 이를 악용하기 전에 시스템 보안 조치의 약점을 발견하는 것을 목표로 합니다.
‘펜 테스트’ 또는 '펜 테스팅'이라고도 하는 모의 해킹은 시스템의 보안 대응 및 제어에 숨겨진 취약점을 노출하기 위한 심층적인 프로세스입니다. 일반적으로 권한 있는 외부인이 수행하는 모의 해킹은 시스템의 모든 요소에 대한 다양한 종류의 공격을 시뮬레이션합니다. 목표는 시스템 제작자와 보안팀이 간과할 수 있는 취약점을 발견하는 것입니다.
모의 해킹은 거의 항상 대상 시스템을 개발하는 데 관여하지 않은 사람들이 수행합니다. 일반적으로 모의 해커는 시스템을 구축한 기업에서 일한 경력이 전혀 없는 경우가 많습니다. 이렇게 해야 하는 이유가 몇 가지 있습니다. 먼저, 개발, QA/테스트, 보안팀의 구성원들은 자신이 구축한 내용에 대해 너무 잘 압니다. 이들은 선입견이 없는 새로운 시각의 인물이 시스템에 와서 알아낼 수 있는 보안 격차를 안고 있을 수 있습니다.
또한 모의 해킹은 특별히 설계된 툴을 필요로 하는 특수 기술 집합입니다. 모의 해킹은 해커처럼 생각해야 합니다. 실제로 일부 모의 해커는 정상적인 목적으로 기술을 사용하기로 결심한 전직 ‘악성 해커’ 또는 악의적 해커이기도 합니다. 옛 속담처럼 도둑을 잡기 위해서는 도둑이 필요합니다. 모의 해커는 특별한 교육과 자격증을 가지고 있을 수도 있습니다. 대부분의 경우 시스템을 구축한 기업의 직원들은 이러한 자질이 부족합니다.
모의 해커는 종종 ‘윤리적 해커’라고 불리지만, 이들의 역할은 서로 다릅니다. 기본적으로 모의 해커는 모의 공격을 통해 표적을 선의에 따라 해킹합니다. 이들은 ‘공격’할 수 있는 권한이 있으며, 악용하지 않기로 동의하고 보안 결함을 발견합니다.
일부 구조적인 차이가 있는 것입니다. 모의 해킹은 일반적으로 보안 문제를 식별하고 문서화하기 위해 체계적인 접근 방식으로 사전 설정된 일련의 프로세스를 따릅니다. 반면 윤리적 해킹은 보다 개방적인 경향이 있습니다. 예를 들어, 윤리적 해커는 '버그 현상금' 프로그램에 참여해 이전에 알려지지 않은 취약점을 발견하면 보상을 받을 수 있습니다. 그러나 철저한 모의 해킹을 수행하고 프로세스에서 발견한 내용을 문서화한다는 것과는 다릅니다.
모의 해킹의 방법은 일반적으로 5단계로 나뉩니다.
모의 해킹 프로그램을 조직의 모든 관련 시스템 유형과 일치시키는 것은 현명한 리스크 관리 방법입니다. 연결된 디바이스, 애플리케이션 또는 데이터 소스는 공격표면의 일부가 될 수 있으므로 침해 가능한 취약점을 평가하기 위해 모의 해킹을 활용하는 것이 좋습니다. 일반적으로 모바일 앱이 아닌 웹 앱에서 모의 해킹을 수행하는 것은 바람직하지 않습니다. 두 가지 방법 모두 피싱부터 소셜 엔지니어링에 이르는 다양한 기법의 악의적인 공격자가 잠입하는 사이버 보안 공격 경로가 될 수 있습니다.
애플리케이션 모의 해커는 자동화된 툴과 수동 테스트를 통해 애플리케이션 및 연결된 데이터베이스 내부의 취약점을 찾습니다. 이는 애플리케이션 바이너리 자체나 권한 확인 프로세스, 암호화, SQLi의 잠재력, 유사한 공격 방법에 대한 검사를 의미할 수 있습니다.
네트워크 네트워크는 최소한 이론적으로는 기업의 보안 경계로서 엄격한 모의 해킹을 받아야 합니다. 이 프로세스는 일반적으로 관리 접속 제어, SSL(Secure Socket Layer), 암호화된 전송 프로토콜, 인증서, 네트워크 세그멘테이션 등을 체계적으로 살펴봅니다.
Cloud. 모의 해커는 클라우드를 통해 시스템 설정, 애플리케이션 프로그래밍 인터페이스(API) 및 스토리지를 살펴봅니다. 모의 해커는 표준 정책의 적용 없이 수립된 클라우드 인스턴스도 찾을 것입니다. 이런 누락은 생각보다 흔히 있습니다. 선의적이지만 정보를 잘못 알고 있는 개발자는 보안 제어의 적용을 빠뜨리거나 다른 사람에게 클라우드 인스턴스가 존재함을 알리지 않고 애플리케이션과 데이터베이스를 클라우드 플랫폼에 배포할 수 있습니다.
소프트웨어 개발 프로세스. DevOps 워크플로우와 지속적인 통합 및 배포(CI/CD) 파이프라인은 개발자가 의도치 않게 버그와 코딩 오류를 소프트웨어에 포함시켜 애플리케이션을 유출에 취약하게 만드는 곳입니다. DevOps 및 CI/CD 파이프라인에 대한 자동화된 모의 해킹을 통해 모의 해커는 정적인 코드 스캐닝으로는 탐지할 수 없는 숨겨진 취약점을 찾을 수 있습니다. 또한 모의 해커는 개발자 워크플로우에 침입해 코드베이스에 악성 코드를 삽입할 수 있는지 확인합니다. Docker와 같은 컨테이너에 대해서도 비슷한 작업을 수행합니다.
디바이스 하드웨어는 네트워크 또는 애플리케이션과 마찬가지로 유출에 취약할 수 있습니다. 모의 해커는 애플리케이션 바이너리, 펌웨어, 운영 체제 소프트웨어의 취약점을 사용해 디바이스에 침입하려고 시도합니다. 모의 해커는 보안 패치가 설치되지 않은 디바이스에서 취약점을 찾는 것이 일반적입니다.
API. 모의 해커는 수동 및 자동화된 API 테스트 프로세스를 조합해 API에 손상된 오브젝트 수준 권한(BOLA)과 같은 OWASP(Open Worldwide Application Security Project) API 보안 상위 10대 취약점이 있는지 확인하는 동시에, API에 전송률 제한이 부족하거나 사용자 인증 문제가 있는지 분석합니다.
모의 해킹은 다른 보안 테스트 모드에서는 사용할 수 없는 다양한 이점을 제공합니다. 이는 단위 테스트, 기능 테스트 등의 수행 필요성과 중요성을 떨어뜨리지 않습니다. 그러나 모의 해킹을 통해 다른 프로세스로는 발견할 수 없는 보안 결함을 찾을 수 있습니다.
또한, 모의 해커는 실제 공격자가 어떻게 취약점을 발견하고, 악용하며, 접속하고, 접속을 유지하는지 등 전체 공격 체인을 보여줄 수 있습니다. 결과적으로 보안팀은 모의 해킹이 아니었다면 볼 수 없었던 시스템 상의 문제를 해결할 수 있습니다. 효과적인 모의 해킹은 제어 또는 대응책이 실제로 얼마나 강력한지도 보여 줄 수 있습니다. 이는 PCI DSS 및 GDPR과 같은 규정 준수를 고려할 때 더욱 분명해집니다.
모의 해킹은 악용 대상의 수와 특성, 모의 해커가 사용할 수 있거나 수집한 정보의 수준, 사용할 수 있는 툴, 기술 및 리소스에 따라 접근 방식이 달라집니다. 다양한 모의 해킹 접근 방식에는 다음과 같은 여러 가지 박스 테스트 방법이 있습니다.
블랙박스 모의 해킹: 모의 해킹에 블랙박스(일명 닫힌 상자 또는 단일 블라인드) 방식을 취하는 경우, 모의 해커는 표적 시스템에 대한 사전 지식이 없으며 실제 공격을 시뮬레이션하기 위해 외부 관점에서만 테스트하게 됩니다. 이때 모의 해커는 어떠한 가정도 없이 가장 창의적이고 편견 없는 전술을 사용합니다.
화이트박스 모의 해킹: 화이트 박스(일명 열린 상자 또는 투명 상자 방식)에서 모의 해커는 회사의 보안 정보에 대한 사전 승인을 받아 접속할 수 있습니다. 따라서 이들은 지시된 위치에서 테스트를 수행합니다. 이 접근 방식은 모의 해커가 추측하는 데 소요되는 시간을 줄여 더 많은 리스크를 탐지할 수 있도록 합니다. 아키텍처 다이어그램, 소스 코드, 기능 등 대상 시스템에 대한 광범위한 정보도 제공합니다. 이로써 모의 해커는 철저하고 상세한 분석을 할 수 있으며, 제한된 정보로는 알 수 없는 심층적인 취약점을 발견할 수 있습니다.
그레이박스 모의 해킹: 그레이박스 방식에서 해킹 팀은 회사 시스템에 대한 일부 정보에 접근할 수 있습니다. 따라서 리스크가 높은 취약점을 식별하고 해결의 우선순위를 정할 가능성이 높아집니다.
은밀한 또는 이중 블라인드 접근 방식은 IT 직원을 포함한 모든 사용자가 테스트가 진행 중이라는 사실을 알지 못하는 경우입니다. 이 테스트는 유출에 실시간으로 대응하는 IT의 능력을 테스트합니다. 이러한 테스트에는 사법 기관에 사전에 알려 잘못된 경보가 발생하지 않도록 하는 것이 포함될 수 있습니다.
모의 해킹은 모든 조직에서 강력하고 효과적인 네트워크 보안을 유지하는 데 도움이 되는 중요한 취약점 평가입니다. 또한 기업이 다음 사항을 수행하도록 지원합니다.
따라서 IT 워크로드와 고객 데이터를 보호하고 원활한 운영을 유지하려면 적절한 모의 해킹이 필수적입니다.
모의 해킹은 보안 취약점을 식별하기 위해 매년 최소 1~2회 실시해야 합니다. 기업의 규모와 고객에 대한 도달 범위에 따라 모의 해킹 테스트를 더 자주 수행해야 하는 경우도 있습니다. 모든 업계에서 사이버 공격과 보안 유출이 증가함에 따라, 디지털 취약점에 대해 선제적으로 대응하고 정기적으로 모의 해킹을 실시해야 합니다.
현재 시스템의 환경 설정, API 보안 조치, 운영 규모에 따라 모의 해킹을 완료하는 데 일반적으로 1~2주가 소요됩니다. 그러나 완료 시간은 장비, 방화벽, 공격 대상 네트워크에 따라 달라집니다.
Akamai는 온라인 비즈니스를 지원하고 보호하는 사이버 보안 및 클라우드 컴퓨팅 기업입니다. 시장을 대표하는 보안 솔루션, 탁월한 위협 인텔리전스, 글로벌 운영팀이 모든 곳에서 기업 데이터와 애플리케이션을 보호하는 심층적 방어 기능을 제공합니다.
