토픽 229 / 234·비교표
보안 운영과 위협 대응
BAS vs 침투테스트 vs 취약점 스캐닝
| 항목 | 취약점 스캐닝 | 침투테스트 | BAS |
|---|
| 정의 | 자동 취약점 탐지 | 수동 공격 시뮬레이션 | 자동 지속적 공격 시뮬레이션 |
| 방식 | 자동 스캔(시그니처) | 수동(윤리적 해킹) | 자동(ATT&CK 기반) |
| 주기 | 정기적(주/월) | 연 1~2회 | 지속적(상시) |
| 깊이 | 얕음(알려진 취약점) | 깊음(체인 공격) | 중간(통제 검증) |
| 적용 | 패치 관리 | 보안 평가 | SOC 효과성 검증 |
CVE vs CVSS vs CWE
| 항목 | CVE | CVSS | CWE |
|---|
| 정의 | 취약점 고유 식별자 | 취약점 심각도 점수(0~10) | 취약점 유형 분류 |
| 질문 | 무엇이 취약한가? | 얼마나 심각한가? | 왜 취약한가?(근본 원인) |
| 관리 | MITRE | FIRST | MITRE |
| 형식 | CVE-연도-번호 | 0~10 점수 | CWE-번호 |
| 적용 | 취약점 추적 | 패치 우선순위 | 시큐어 코딩 |
취약점 스캔 vs 침투테스트 vs BAS
| 항목 | 취약점 스캔 | 침투테스트 | BAS |
|---|
| 정의 | 자동 취약점 탐지 | 수동 공격 시뮬레이션 | 자동 지속 공격 시뮬레이션 |
| 범위 | 넓음(알려진 취약점) | 심층(체인 공격) | 중간(통제 검증) |
| 자동화 | 자동 | 수동 | 자동 |
| 주기 | 정기(주/월) | 연 1~2회 | 지속적 |
| 적용 | 패치 관리 | 보안 평가 | SOC 효과성 검증 |
침투테스트 vs 레드팀 vs 블루팀
| 항목 | 침투테스트 | 레드팀 | 블루팀 |
|---|
| 정의 | 취약점 발견(기술 중심) | 목표 지향 공격 시뮬 | 탐지·방어·대응 |
| 기간 | 단기(1~2주) | 장기(수주~수개월) | 상시 운영 |
| 목표 | 취약점 목록 | 특정 자산 탈취/장악 | 공격 탐지·대응 |
| 은밀성 | 공개(사전 합의) | 은밀(블루팀 미인지) | 방어 관점 |
| 적용 | 보안 평가 | APT 시뮬레이션 | SOC 운영 |
감사 vs 평가 vs 침투테스트
| 항목 | 보안 감사 | 보안 평가 | 침투테스트 |
|---|
| 정의 | 독립 검증(통제 적정성) | 현황 분석(개선 권고) | 기술적 취약점 검증 |
| 시점 | 과거(운영 효과성) | 현재(현황 파악) | 현재(공격 시뮬레이션) |
| 방법 | 문서 검토, 통제 테스트 | 인터뷰, 분석 | 모의 해킹 |
| 결과 | 감사 보고서(적합/부적합) | 개선 권고서 | 취약점 보고서 |
| 적용 | ISO 인증, SOC 2 | 보안 수준 진단 | 웹/네트워크/모바일 |
Black Box vs White Box vs Gray Box (침투테스트)
| 항목 | Black Box | White Box | Gray Box |
|---|
| 정의 | 정보 없이 외부 공격자 관점 | 전체 정보(소스코드 포함) | 부분 정보(내부자 관점) |
| 현실성 | 가장 높음(실제 공격자) | 낮음 | 중간 |
| 범위 | 외부 노출면 | 전체(내부 포함) | 내부 일부 |
| 효율성 | 낮음(탐색 시간 소요) | 높음(코드 분석 가능) | 중간 |
| 적용 | 외부 보안 평가 | 코드 리뷰, 내부 감사 | 내부자 위협 시뮬레이션 |