brunch

You can make anything
by writing

C.S.Lewis

by Younggi Seo Jun 25. 2018

모의 해킹 침투 테스팅 개요

Penetration Testing  preview


Penetration Testing is a method that many companies follow in order to minimize their security breaches.

기업에서 그들의 보안 시스템에 대한 침해를 최소한으로 방지하기 위해 따르는 하나의 체계가 침투 테스팅이다.


This is a controlled way of hiring a professional who will try to hack your system and show you the loopholes that you should fix.

이것은 당신의 시스템을 해킹하거나 당신이 이미 고쳤어야 할 취약점을 보여줄 전문가의 고용에 의해 통제하는 식이다.


Before doing a penetration test, it is mandatory to have an agreement that will explicitly mention the following parameters −

침투 테스트를 수행하기 전에 아래의 사안들을 명시적으로 언급하여 합의를 가지는 것이 의무다.


what will be the time of penetration test,

침투 테스트의 시간대는 언제로 할 것인가,


where will be the IP source of the attack, and

공격의 IP 근원지(출발지 주소)는 어디로 할 것인지, 그리고


what will be the penetration fields of the system?

어느 시스템의 분야를 할 것인가?


Penetration testing is conducted by professional ethical hackers who mainly use commercial,

open-source tools, automate tools and manual checks.

침투 테스팅은 주로 상용 소프트웨어, 오픈 소스 툴, 자동화 툴(kali linux, metasploit) 이용하거나 수동적인 점검 등을 통해 화이트햇(전문적이고 윤리적인) 해커들에 의해 수행된다.


 There are no restrictions; the most important objective here is to uncover as many security flaws as possible.

어떠한 제한은 없으나 가장 중요한 목적은 시스템 상의 취약점을 가능한 많이 드러내는 것이다.


Types of Penetration Testing

침투 테스팅의 유형이다.


We have five types of penetration testing −

다섯 가지의 유형이 있다. -


Black Box − Here, the ethical hacker doesn’t have any information regarding the infrastructure or the network of the organization that he is trying to penetrate.

블랙박스 - 이것은 해커가 침투하려는 국가기반시설이(이하 인프라)나 특정 기관(기업이나 단체)의 네트워크에 대한 어떠한 정보를 가지고 있지 않을 때 하는 테스트다.


In black-box penetration testing, the hacker tries to find the information by his own means.

블랙박스 침투 테스팅에서 해커는 그들 자체 도구들에 의해 취약점 정보를 발견하기 위해 시도한다.


Grey Box − It is a type of penetration testing where the ethical hacker has a partial knowledge of the infrastructure, like its domain name server.

그레이 박스 - 이것은 해커가 도메인 네임 서버(DNS)와 같은 기반시설의 일부 지식을 보유하고 있는 곳의 침투 테스트이다.


White Box − In white-box penetration testing, the ethical hacker is provided with all the necessary information about the infrastructure and the network of the organization that he needs to penetrate.

화이트 박스 - 이 테스팅에서는 테스터가 침투 테스팅을 하는데 필요한 인프라와 기관의 네트워크에 대해 필요한 정보를 제공받을 수 있다(블랙박스 테스트인 경우라도 필요시 소스코드를 요구할 수 있다).


External Penetration Testing − This type of penetration testing mainly focuses on network infrastructure or servers and their software operating under the infrastructure.

외부의 침투 테스팅 - 이 유형은 주로 네트워크 인프라 또는 서버 그리고 그러한 인프라 범주에 포함된 그들의 의 소프트웨어 운영에 주로 초점을 맞춘다.  


 In this case, the ethical hacker tries the attack using public networks through the Internet. The hacker attempts to hack the company infrastructure by attacking their web pages, web servers, public DNS servers, etc.

이 경우, 침투 테스트는 인터넷을 통해 공인망을 이용하는 침투 테스팅을 주로 한다. 화이트 해커는 그들의 웹페이지, 웹서버, 공인 DNS 서버 등에 의해 기업 인프라의 해킹을 시도한다.

 

Internal Penetration Testing − In this type of penetration testing, the ethical hacker is inside the network of the company and conducts his tests from there.

내부 침투 테스팅 - 이 유형은 테스터가 그 회사의 내부망에서 회사의 사설망(망 분리된 폐쇄망)에서부터 테스트를 수행한다.

 

Penetration testing can also cause problems such as system malfunctioning, system crashing, or data loss. Therefore, a company should take calculated risks before going ahead with penetration testing.

침투 테스팅은 시스템의 오작동, 충돌 또는 데이터 손실 등의 문제점을 발생시킬 수 있다. 그러므로 회사는 테스트에 앞서 위험(Risk) 요소 분석을 먼저 받아야 한다.


The risk is calculated as follows and it is a management risk.

위험은 다음과 같이 계산되고 이것이 관리적 위험이다.

RISK = Threat × Vulnerability

위험 = 위협 X 취약점


Example 사례

You have an online e-commerce website that is in production. You want to do penetration testing before making it live.

당신은 제품을 거래하는 온라인 비즈니스 웹사이트를 가지고 있다. 당신은 웹사이트를 개시하기 전에 침투 테스팅을 하기를 원한다.


Here, you have to weigh the pros and cons first. If you go ahead with penetration testing, it might cause interruption of service.

먼저 당신은 침투 테스팅의 장단점을 따져봐야 한다. 만약 침투 테스팅이 그대로 진행된다면 서비스 중단을 야기할지도 모른다.


On the contrary, if you do not wish to perform a penetration testing, then you can run the risk of having an unpatched vulnerability that will remain as a threat all the time.

반대로, 만약 당신이 침투 테스팅을 거치지 않고 서비스 론칭을 바란다면 모든 시간대에 위협으로 남아 있을 특정 취약점을 패치받지 않은 채로 위험 부담을 질 수 있을 수 있다(일단 이론상으로).


Before doing a penetration test, it is recommended that you put down the scope of the project in writing. You should be clear about what is going to be tested.

침투 테스트를 하기 전 위험 완화 수행(침투 테스팅) 범위를 서면으로 적어 둬서 확실히 할 것을 권고한다. 무엇을 테스팅할 것인지에 대해 확실히 해둬야 한다. (만에 하나 잘못되면, 이것을 가지고 따지면 된다.)

 

For example −

Your company has a VPN or any other remote access techniques, and you want to test that particular point.

이를테면 -

회사가 VPN 사설망이나 어떤 다른 원격 액세스 접속 기술의 특정 지점에 대한 테스트를 원한다.


Your application has web servers with databases, so you might want to get it tested for SQL injection attack which is one of the most crucial tests on a web server.

당신의 애플리케이션은 데이터베이스와 함께 웹서버를 가지고 있어서 웹서버에서 가장 치명적인 공격 중 하나인 SQL 인젝션(DB 서버의 내용을 통째로 삭제할 수 있다. -역주)을 위한 테스트를 받고 싶을지도 모른다.


Also, you can check if your web server is immune to DoS(Denial of Service) attacks.

게다가 당신의 웹서버의 DoS(서비스 거부) 공격의 취약점 여부를 점검할 수 있다.



Quick Tips


Before going ahead with a penetration test, you should keep the following points in mind −

침투 테스트를 행하기 전에 당신은 다음의 중요 사항에 대해 염두둬야 한다 -


First, understand your requirements and evaluate all the risks.

먼저 당신의 요구사항을 이해하고 모든 위험에 대해 밝혀라.


Hire a certified person to conduct penetration test because they are trained to apply all the possible methods and techniques to uncover possible loopholes in a network or web application.

침투 테스트를 행할 수 있는 자격의 사람을 고용하라*. 왜냐하면 그들은 가능한 모든 테스팅 방법과 네트워크와 웹 애플리케이션 또는 네트워크의 잠재적인 취약성을 드러내는 기술을 적용하도록 훈련받았기 때문이다.


Always sign an agreement before doing a penetration test.

테스트 수행 전에 이전에 서약서에 결제해라. (By C.S.O.)











Selected from:

(33), I., (74), C., & (61), S. (n.d.). PENETRATION TESTING - Steemit. Retrieved from https://steemit.com/technology/@igah/penetration-testing



매거진의 이전글 정보보안기사 11회 실기 문제 복원
브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari