'보안 점검'에 해당되는 글 1

  1. 2008.08.18 Differences between the Security Check and the Penetration Testing #1
보안 진단(네트워크 진단, 시스템 진단, 웹 진단, 등)과 모의해킹의 구분이 모호해지고 있음을 접하게 된다. 이러한 현상은 고객사에서 뿐만 아니라 보안 회사에서도 발생하고 있어, 오랜 시간동안 이 문제에 대해서 고민하게 되었다. 이 글은 보안 점검(보안 진단과 모의해킹을 통합하는 의미로 '점검'이라는 단어를 사용하기로 하겠다.)을 서비스 받는 이용자와 서비스 제공자 모두를 대상으로 한다.

이 글을 읽고 왜? 보안 점검을 실시하는 지를 각 점검을 계획, 실시하기 전에 반드시 고민해보았으면 한다.

보안 진단과 모의해킹의 차이를 한 가지 예를 들어 살펴보자. 병의 발생을 막기위한 방법을 크게 두 가지로 구분해보자. 혈액 검사, X-ray 등과 같은 검사를 통해서 주기적으로 환자의 건강 상태를 점검하여 발병을 사전에 예방하는 방법과, 예방 접종을 실시하여 병에 대한 면역력을 길러주는 방법이 존재한다. 예방 접종이란 병의 근원이 되는 바이러스를 몸에 침투시켜 면역성을 높이는 것으로, 체질이 특이할 경우 사고가 발생할 수 있으므로 사전에 주의가 요구되는 위험성이 존재하는 방법이다. 앞서 설명한 건강 관리는 보안 점검에 해당 되며, 예방 접종은 모의해킹에 비유될 수 있다. 건강한 몸을 유지하는 것이라는 광의의 목적은 동일하지만, 건강 검진과 예방 접종은 엄연히 그 역할과 목적이 틀리다.

최근 느끼는 것은 사람들이 예방 접종을 만병 통치약으로 생각한다는 것이다. 모든 것을 모의해킹으로 푼다는 것이 얼마나 잘못된 인식에서 비롯된 것인가를 알지 못한다. 다시 한번 강조하지만, 모의해킹은 만병통치약이 아니다.

오늘은 보안 진단과 모의해킹의 목적에 대해서 살펴보자.
보안 사고(피해)는 아래 그림과 같은 과정을 거쳐서 발생하게 된다. 공격자가 정보를 획득하고, 이를 통해서 관리자 또는 특정인의 권한을 획득한다. 획득한 권한을 이용하여 개인정보 노출, 또는 기업의 주요 정보가 노출되거나 특정 권한이 악용되어 다양한 피해가 발생하게 된다.
피해 발생 과정과 보안 점검의 주요 영역

보안 진단은 권한 노출이나 피해가 발생하지 않도록 사전에 위험을 제거하는 것이 가장 큰 목적이다. 따라서 피해를 발생시킬 수 있는 정보의 노출이나 권한 노출의 원인이 될 수 있는 것들이 존재하는 지를 파악하여 위험을 제거하게 된다. 이때, 빠짐없이 점검하기 위해 ”체크리스트”라는 것을 사용한다. 그리고 이 체크리스트의 위험도를 바탕으로 도출된 위험들을 하나둘씩 제거하는 것이다. 모든 작업이 완료되었을 때 해당 시스템(또는 환경)이 완벽하게 안전하다고 할 수는 없지만, 일반적으로 발생되는 위험들로부터는 어느 수준까지 안전할 수 있다. (보안 점검의 딜레마라는 것이 존재한다. 오늘까지 알려진 보안 위험들로부터 안전하다고 해서 내일도 안전하다고 할 수는 없다. 첫째, 내가 알고 있는 보안 위험이 세상에 존재하는 모든 위험이 아닐 수도 있다. 제로데이 익스플로잇 같은 것들은 소수의 사람들만 알고 있으며, 이것이 대외적으로 널리 알려지기까지는 시간이 걸린다. 둘째, 내일 새로운 위험이 등장할 수 있기 때문이다.)
모의해킹은 현재의 보안 수준에서 얼마만큼의 피해가 어떠한 형태로 발생할 수 있는 지를 도출하는 것이다. 점검자는 가능한한 모든 수단과 방법을 동원하여 최대한의 피해가 발생하도록 시도한다. 모의해킹에서의 체크리스트는 보안 진단의 체크리스트와 틀리다. 비즈니스 로직 또는 환경에 따라서 수행 시나리오(체크리스트; 어떤 위치에서 어디를 대상으로 어떠한 경로를 따라서 특정 정보 또는 권한을 어느 수준까지 획득이 가능한가 등의 형태)를 구성한 후 다양한 방법을 활용하여 결과를 도출한다. 이는 점검자에 따라서 방법과 도출되는 피해의 차이가 발생한다.

보안 진단을 통해서 얻을 수 있는 것은 현재의 보안 상태와 문제점, 그리고 이를 차단할 수 있는 방법들로써, 보안 진단은 피해 발생의 초기 단계에서 정보 노출이나 권한 관리 영역을 중점적으로 관리할 수 있다는 이점이 있다. 모의해킹을 통해서 얻을 수 있는 것은 피해 규모 및 대상 등 결론적인 것들이다. 이는 임직원들에게 보안의 심각성을 일깨우게 할 수 있는 정량적 또는 정성적 기준이 될 수 있다. 또한 부가적으로 문제가 발생한 원인을 중심으로 보안 진단을 실시하여, 위험을 관리할 수 있다. 따라서, 보안 진단은 피해 발생의 원인이 되는 초기에 초점을 맞추어 진행되어야 하며, 모의해킹은 서비스를 이해하고 정보를 수집하여 발생 가능한 피해를 극대화하는 것에 초점을 맞추어야 한다.

모의해킹은 권한 또는 정보를 획득하고 피해를 직접 보여준다는 점에서 그 효과는 즉각적이며, 표면적으로 매우 화려하게 보인다. 보안의 진정한 목적, 정보 자산을 안전하게 보호하는 측면에서 살펴보자면, 현재 자신의 수준 또는 목적에 부합하는 보안 점검이 무엇인지를 알고 그에 맞는 보안 점검을 받아야 한다. 진단과 모의해킹은 목적성이 틀리므로 점검하는 사람 역시 그 목적에 충실한 수행과 결과를 도출할 수 있도록 노력해야 한다.
신고
이전 1 다음

티스토리 툴바