모의해킹 이란 무엇인가?(정의, 목적, 종류)
2021-04-17
라스컴
"모의해킹 · 보안취약점진단 · 정보보호컨설팅" 전문기업 『라스컴 시큐리티』 secu.lascom.co.kr T:1522-3863 secu@lascom.co.kr
[ 모의해킹 정의 ]
모의해킹(Penetration Testing)이란 의뢰자(또는 단체)로 부터 허가를 받은 자(또는 단체)가 전문적인 IT 및 보안 지식으로 보안 취약점 시험이나 취약점 진단의 목적으로 의뢰자의 IT자산(시스템)에 침투하여 해킹(Hacking)을 시도하는 일을 말합니다.
다시 말하면 실제 해커(Hacker)와 동일하게 의뢰자의 내부 IT자산(시스템)에 접근하거나 우회 경로로 접근하여 목표물을 탈취하고 취약점을 검증하여 의뢰자(또는 단체)의 시스템을 개선할 수 있도록 돕는 가상 해킹 활동입니다. 이렇게 단체(기업 또는 기관)가 악의적인 해커인 블랙 해커(Black Hacker)의 공격으로 부터 보안 취약점을 예방하는 목적으로 실시하는 활동을 모의해킹 이라고 하며 이러한 선의의 목적으로 예방 활동하는 보안전문가를 화이트 해커(White Hacker)라고 합니다. 단, 허가 받지 않은 모의해킹은 악의적인 목적의 해킹으로 오해 받을 수 있으며 법적 처벌을 받을 수도 있기 때문에 각별한 주의가 필요합니다.
[ 모의해킹 목적 ]
모의해킹의 주요 목적은 대부분 기업(또는 기관) 내부에 위치하고 있는 주요 IT 정보 및 IT 자산을 대상으로 보안 전문가인 화이트 해커가 외부에서 모의해킹 진단을 수행하여 기술적인 보안 취약점을 탐지하고 검증하여 취약점을 해결할 수 있는 개선 가이드 또는 해결 방안을 제시하여 기업(또는 기관)의 IT 정보 및 IT 자산의 보안성과 안전성을 사전에 확보하기 위한 목적입니다.
모의해킹 전문가들은 일반적인 보안취약점 진단 솔루션으로는 점검할 수 없는 예외적이고 특수한 경우의 보안 취약점(또는 보안 약점) 까지 수동 작업으로 깊이 있게 침투하고 탐지하여 안전하고 종합적인 보안성을 구축하는데 목적이 있습니다.
(보안 뉴스 2020.10.6)
[ 모의해킹 종류 ]
구분 |
시나리오 기반 모의해킹 |
블랙박스 기반 모의해킹 |
주요 개념 |
- 모의해킹을 의뢰한 기업(기관)으로 부터 다양한 정보를 사전에 받고 모의해킹을 수행하는 방식 - 일반적으로 사전에 시나리오를 준비하고 기업(기관)에 제시한 후에 모의해킹을 수행하나 반대로 의뢰한 기업 (기관)에서 시나리오를 제시하는 경우도 있음 - 보안취약점진단 컨설팅의 경우에는 보통 기업(기관)에 진단 대상의 계정을 요구하여 받고 진단을 수행하나 시나리오 기반 모의해킹에서는 계정을 받지 않고 모의 해킹을 수행함 - 블랙박스 모의해킹은 심도있게 깊이침투하여 수행하나 시나리오 기반의 모의해킹은 적정한 수준의 모의해킹을 수행함 |
- 모의해킹을 의뢰한 기업(기관)으로 부터 어떠한 정보도 받지 않고 블랙 해커와 동일한 관점과 조건으로 해킹을 수행하는 방식 - 모의해킹을 의뢰한 기업(기관)에서 특정 미션을 주는 경우도 있으며 충분한 시간을 갖고 매우 깊이 있는 침투를 수행하여 특정 미션을 수행함 - 시나리오 기반의 모의해킹과 달리 모의해킹 전문가의 역량에 따라서 전혀 예상하지 못한 보안 취약점과 위험성이 도출 될 수 있음 - 또한 모의해킹 전문가의 역량에 따라서 모의해킹 결과의 차이 가 매우 클 수 있음 |
방식 장점 |
- 기업(기관) 내부에 새롭게 구축된 시스템(S/W 및 HW) 에 대한 보안 취약성검증에 유용함 |
- 모의해킹 전문가들이 실제 블랙 해커와 동일한 조건과 방식 으로 해킹을 수행하므로 기업(기관)의 보안성 수준 및 취약점 을 깊이 있게 파악 가능함 |
검증 대상 |
- 새롭게 구축한 시스템(S/W 및 HW)의 보안 수준 및 안정성을 검증 |
- 외부의 모의해킹 전문가로 부터 실제 해킹을 통한 보안 수준 및 안정성을 검증 |
모의해킹 · 취약점진단 · 정보보호컨설팅