'수행 단위'에 해당되는 글 1

  1. 2009.03.30 The Important Facts of Penetration Test #2 Penetration Units (3)
모의해킹의 중요 요소인 '연결 고리'를 잘 활용하여, 모의해킹의 효과를 최대화하기 위해서는 다음과 같은 단위로 모의해킹을 수행하는 것을 권한다. (하나의 예일뿐 절대적인 단위는 아니다.)
  • 네트워크 단위
  • 시스템 단위
  • 애플리케이션 단위
네트워크 단위에 대한 모의해킹 수행조직 전체 또는 일부 구역의 보안 위협을 도출하고자 할 때 적합하다. 모의해킹을 한번도 수행해보지 않은 조직이라면 적극적으로 권하는 방법이다. 보안 진단은 '전수 검사'를 수행하기 어렵기 때문에 중요도 또는 샘플링을 통해서 일부 시스템을 대상으로 한다. (요즘은 보안 컨설팅이라는 것이 많이 변질되어 SI 용역 비슷하게 전락하였다. '전수 검사'를 해준다고 하지만... 현실적으로 말이 안되는 요청이며, 제안이다. 왜 이러한 요청이 말이 안되는 지와 누구에게 책임이 있는지에 대해서는 다음에 또 언급하고자 한다.) 관리자의 무관심이나 실수 또는 규정 위반자 등의 다양한 원인으로 취약한 시스템이 방치되는 경우가 많다. 항상 보안 사고는 관리되지 않거나 예외적인 시스템으로 인해 발생한다. 따라서 시간과 비용이 많이 들더라도 1년에 한번 정도는 이러한 단위의 모의해킹을 실시하여, 외부와 내부의 중요 영역에 대해 보안 위협을 파악할 것을 권하고 싶다. 이는 조직의 보안 위험을 파악하고 사고를 예방하는 데 큰 도움이 될 것이다. 

시스템 단위의 모의해킹은 현재 주로 이루어 지고 있는 형태이다. 특정 시스템 몇 개를 선정하고 그 시스템의 보안 위협을 도출하고자 할 때 적합하다. 이 방식은 처음 모의해킹을 수행하는 조직엔 적합하지 않은 방식이다. 이는 네트워크 단위의 모의해킹을 수행한 상황에서 신규 시스템이 도입되거나 중요 시스템에 대해서 보다 깊이 있게 보안 위협을 도출하고자 할 때 적합하다. 동 네트워크에 대한 보안 점검 또는 모의해킹이 수행되지 않은 상황에서 해당 시스템에 대해서만 모의해킹을 실시하는 것은 도움이 되지 못한다. 왜냐하면, 동 네트워크의 취약한 시스템에 의해서 보안 수준이 높은 시스템도 취약하게 되기 때문이다. 취약 수준은 항상 하향 평준화됨을 잊어서는 안된다. 예를 들어 A라는 회사의 관리되지도 않고 비즈니스에 큰 비중도 차지하지 않는 시스템이 침해사고를 당했다고 해보자. 관리자 또는 회사 내부에서는 “별로 중요하지도 않은 시스템인데 뭘...”이라고 생각할지 몰라도, 언론에서는 "A 회사 해킹 사고 당해 ...”이라고 다룰 것이다. 이러한 정성적인 이유뿐만 아니라 기술적인 이유에서도, 동 네트워크의 시스템이 침해를 당한다면 스니핑, 신뢰성을 이용한 내부 시스템 침해 등 매우 심각한 보안 위협이 발생할 수 있다는 잊어서는 안될 것이다. 
시스템 단위의 모의해킹을 수행할 때도 연결 고리는 매우 중요하게 작용한다. 대상 시스텍으로 선정된 시스템의 연관성, 해당 시스템에서 구동 중인 서비스 또는 프로프램의 연관성은 보안 위협을 도출하는 데 중요한 요소가 된다. 

애플리케이션 단위의 해킹은 몇 년전부터 유행하고 있는 웹 해킹과 같은 형태이다. 특정 애플리케이션(도메인 또는 URL)을 선정 또는 지정받아 수행하는 것으로 이는 네트워크와 시스템에 대한 보안 수준이 어느 정도 보장되는 환경에 적합하다. 애플리케이션에 대한 모의해킹을 수행 할때는 애플리케이션에서 제공하고 있는 기능들이 주요 연결고리를 이용하여, 보안 위협을 도출하게 된다. 특정 기능(파일 업로드, 데이터베이스 연동, 로그인 등)의 보안 취약점으로 인해서 얼마만큼 심각한 보안 위협이 발생할 수 있는 지를 파악하는 것이 주요 포인트이다. 

이와 같이 여러 단위로 모의해킹을 수행함에 있어서 추가적으로 중요한 요소는 고객의 비즈니스이다. 모의해킹은 보안 위협을 도출하기 위한 것으로 단순히 기술적인 수준의 취약점만을 도출하는 것에 그쳐서는 안된다. 취약점 간의 연결고리와 더불어 고객의 비즈니스 위협이 연결되어야 보다 더 현실적인 보안 위협들이 도출될 수 있다.  

PS. 다시 한번 강조하자면, 모의해킹이란 “안전합니다”라는 보장을 받기 위한 것이 아니라, 현재 상태에 초점을 두고, 보안 취약성 간의 상호 연관성과 이로 인해서 발생할 수 있는 피해를 파악하기 위한 것임을 강조하고자 한다.  


신고
이전 1 다음

티스토리 툴바