모의해킹

Panetration : 침투, 침입, 해킹 + Test = 모의해킹

국내에서는 모의해킹이란 단어로 쓰이나 해외에서는 Pentest로 불리고 있음

해커와 동일한 환경에서 고객 환경을 공격하여 취약점을 발견하는 방식으로 진행되며 모의 해커들은

화이트 해커로도 불림, 오래전에는 해커와 크래커로 구분이 되었으나 근래에는 블랙해커와 화이트해커로 구분됨

 

해킹 대상은 모든 IT 인프라 볼 수 있으며, 현행 트렌드상 주된 해킹 대상은 서버, 컴퓨터 등 거치형 장비에서

IoT, 모바일 등으로 점진적으로 옮겨가는 추세임 그 이유는 사용량이 많기 때문으로 사료됨

 

모의해킹을 하는 이유?

1. 법률에 명시가 되어 있기 때문에 정보통신망법, 개인정보법, 신용거래법, 전자금융 감독규정 등 정보보안 항목에

 침해대응 또는 해킹 등 방지대책 항목으로 명시가 되어 있음.

        (ISMS 인증 전 모의해킹 테스트 진행 대외 서비스인 Web과 App이 주된 대상)

2. 기업에서는 해킹사고로 인한 이미지 추락을 방지하기 위해서 모의 해킹을 진행 하기도 함

3. 기술적 관리적 보호조치에 관한 위반사항에 대한 정부의 과징금 부과.

        (인터파크의 경우 고객정보 유출로 44억의 과징 금을 부과 받음 2017년 기준)

 

 

국제적으로 사용되는 모의해킹 방법론

Penetration Testing Framework : 침투 테스트 프레임워크로 매우 포괄적인 실전 침투 테스트 가이드를 제공 

                                            또한 각 테스트 범주에서 사용하는 도구들의 사용법을 나열

 

OSSTMM                   : 안전한 시스템 운영을 위해 검증된 사실로부터 결과를 도출하기 위한                             

(Open Source Security    표준 테스트 방법론을 제공 정보와 데이터 제어 평가, 사내 직원의 

 Methodology Menual)   보안 수준평가, 사기와 같은 사회 공학 기법 평가, 컴퓨터와 원격통신

                                 네트워크, 무선 및 휴대장치 평가, 물리적 접근 제어 및 보안 절차 평가

 

PTES                       : 단계별로 모의해킹을 정의하고 평가할 수 있는 표준안을 제공                     

(Penetration Testing     기술적인 가이드라인과 함께 표준 침투 테스트 실행 방법을 제공

 Exexution Standard)    각 단계별로 7가지 카테고리로 침투 테스트 절차를 정의 (시나리오 기반)

 

ISSAF                       : 정보 시스템 보안 평가 프레임워크로 침투 테스트 기술 지침을 제공

(Information Systems

 Security Assessment

 Framework)

 

PCI               : 지불 카드 산업 데이터 표준 요구 사항에 대한 침투 테스트 기법을 정의

(Penetration      PCI DSS Penetraion Testing guidance, PCI DSS Penetraion Testing Requirements

Testing Guide)

 

NIST 800-115                :  기술적인 보안 평가를 수행할 때의 가이드라인 기술

(National Institute of         정보 보안 평가를 수행할 때 사용해야 할 기술과 방법론들을 제공

Standards Technology

Guide to Security Testing

and Assessment)