침투 테스트는 최종 단계인 동시에 자격이 있는 전문가(타깃에 관한 사전 지식이 있을 수도 있고 없을 수도 있다)가 수행하는 가장 공격적인 형태의 보안 평가입니다. 침투 테스트에서는 애플리케이션, 네트워크 장비, 운영체제, 통신 매체, 물리 보안, 인간의 심리 등을 포함하는 IT 인프라 구성요소를 모두 평가할 수 있습니다. 테스트를 마친 후 보고서를 작성하는데, 보고서에는 식별된 리스크를 분류한 후 경영진이 이해할 수 있는 수준으로 표현한 보안 평가 결과의 모든 정보를 담아야 합니다.
방법론이란 정보 보안 감사 도중 축적된 규칙, 프랙티스, 절차, 방법 등을 한데 모아 정의한 것입니다. 침투 테스터 입장에서 방법론적인 과정을 따르면 테스트의 각 단계에서 시스템의 현재 방어 상태를 이해하고 비판적으로 분석하는데 큰 도움이 됩니다.
침투 테스트의 종류
침투 테스트의 종류는 다양하지만 일반적으로 산업에서 널리 쓰이는 방법은 블랙박스와 화이트박스 방식이 있습니다.
블랙박스 형식은 외부 테스트라고도 합니다. 블랙박스 테스트를 수행하는 보안감사자는 원격지에서 네트워크 인프라를 평가하며, 타깃 조직이 사용 중인 내부 기술에 관해서 전혀 알지 못합니다. 실제 해커들이 사용하는 다양한 기술과 잘 구성된 테스트 절차를 따르면 네트워크에 존재하는 취약점들을 발견할 수 있습니다. 감사자는 리스크 수준에 따라 취약점을 잘 구분하고 이해해야 합니다. 리스크는 일반적으로 취약점에 따른 위협과 침투사고 발생 시 발생할 수 있는 재정적 손실로 측정할 수 있습니다.
화이트박스 방식은 내부 테스트라고도 합니다. 화이트 박스 테스트를 수행하는 감사자는 타깃 환경에서 사용 중인 내부 기술을 미리 알아야 합니다. 그러므로 감사자는 최소한의 노력으로도 보안 취약점을 비판적으로 평가할 수 있습니다. 화이트박스 테스트를 수행하고 나면 타깃 인프라 환경의 내부적 보안 문제를 식별하고 제거할 수 있으며, 침입자가 발견해 악용하기 전에 보안 문제를 미리 제거하려는 목적으로 개발 주기에 통합하기도 용이합니다. 보안 취약점을 찾아서 해결하는 데 필요한 시간과 비용도 블랙박스 방식에 비해 적습니다.
취약점 평가
취약점 평가는 조직의 자산에 심각한 결과를 초래할 수 있는 위협을 식별하는 방식으로 내부와 외부의 보안 제어를 평가하는 과정입니다. 내부 취약점 평가는 내부 시스템의 보안을 강화하는데 쓰이며, 외부 취약점 평가는 페리미터(perimeter, 경계) 방어의 보안을 평가할 때 사용됩니다. 두 경우 모두 미발견된 위협을 식별하고 대응책을 정량화할 수 있도록 다양한 공격 벡터를 이용해 각 네트워크 자산을 광범위하게 테스트합니다. 수행되는 평가 방식에 따라 정보 자산 취약점을 자동으로 탐지하고 식별하는데 필요한 테스트 과정과 툴, 기술 등이 각기 다르므로, 자동화는 최신 취약점 데이터 베이스를 유지하고 다양한 유형의 네트워크 장비를 테스트할 수 있으면서 장비 설정의 변경 사항을 모니터링하는 통합 취약점 관리 플랫폼을 사용해 구현합니다.
취약점 평가는 시스템에 존재하는 결점이 시스템에 미치는 영향은 측정하지 않기 때문에 현존하는 결점을 전반적으로 알아보는데 유용합니다. 취약점 평가 과정에서는 취약점을 조심스럽게 식별하고 정량화합니다. 침투 테스트의 경우 취약점을 식별하는 수준에 그치지 않고 취약점을 이용해 타깃에 실제로 침투한 후, 권한 상승을 수행하고 장악을 유지하는 과정이 포함됩니다. 침투 테스트는 취약점 평가보다 훨씬 강도가 세고, 운영 중인 환경을 공격할 수 있는 모든 기술적 방법을 공격적으로 적용합니다.
보안 테스트 방법론
보안 평가의 니즈를 해결할 목적으로 등장한 다양한 오픈 소스 방법론 중 일부는 보안 테스트의 기술적인 측면을 집중적으로 다루는 반면 일부는 관리적 평가 기준을 주로 다룹니다.
오픈 소스 보안 테스트 방법론 매뉴얼
- OSSTMM, Open source testing methodology manual
정보 시스템 보안 평가 프레임워크
- ISSAF, Information system security assessment framework
오픈 웹 애플리케이션 보안 프로젝트
- OWASP, Open web application security project의 상위 10
웹 애플리케이션 보안 컨소시엄 위협 분류
- WASC-TC, Web Application security consortium threat calssification
처음의 두 항목은 거의 모든 정보 자산의 보안 테스트에 적용할 수 있는 일반적인 가이드라인과 방법을 다루며 마지막 두 항목은 주로 애플리케이션 보안 영역의 평가 방법을 다룹니다.
올바른 평가 전략을 결정할 때는 타깃 환경의 기술 세부 사항, 리소스 가용성, 침투 테스터의 지식, 비즈니스 목적, 규제 관련 주의 사항 등 다양한 요소를 고려해야 합니다. 타깃 테스트의 평가 기준에 적합하면서 네트워크나 애플리케이션 환경과 조화되는 최상의 전략을 선택하는 일은 보안 감사자의 몫입니다. 최상의 방법론을 선택할 때는 어떤 방법론이 책임, 비용, 효과 측면에서 최적의 평가 결과를 산출할 수 있는지 주의 깊게 고려해야 합니다. 타깃 환경의 작은 변화가 보안 테스트 전체에 영향을 미칠 수도 있고, 최종 결과 보고서에 오류가 발생하는 원인이 될 수도 있습니다. 그러므로 위의 테스트 방법을 적용하기 전에 타깃 환경이 변경되지 않도록 무결성을 보장받아야 합니다.