토픽 190 / 210·법규 및 컴플라이언스
침투 테스트 (Penetration Testing)
침투 테스트 (Penetration Testing)
실제 공격자의 관점에서 시스템, 네트워크, 애플리케이션의 보안 취약점을 모의 공격으로 발견하고 악용 가능성을 검증하는 보안 테스트
특징: 윤리적 해킹(사전 허가), 실제 공격 기법 사용, 결과 보고서 제공
구성요소: 정찰(Reconnaissance): 정보 수집, 스캐닝(Scanning): 취약점 탐색, 침투(Exploitation): 취약점 악용, 권한 상승(Privilege Escalation): 추가 권한 획득, 보고(Reporting): 발견사항/권고
기술요소: Kali Linux(테스트 OS), Metasploit(익스플로잇 프레임워크), Burp Suite(웹 테스트), Nmap(포트 스캐닝)
프로세스 상세(PTES 기반)
- •1) 사전 계약(Pre-engagement): 범위/목표/규칙/일정 합의, 면책 합의서(Get Out of Jail Free), 긴급 연락처
- •2) 정찰(Reconnaissance):
- •3) 스캐닝/열거(Scanning/Enumeration): 취약점 스캔(Nessus/OpenVAS), 웹 스캔(Nikto/Burp Suite), 디렉토리 브루트포스
- •4) 침투/공격(Exploitation): 발견된 취약점 실제 악용, Metasploit/수동 익스플로잇, 쉘 획득
- •5) 후속 공격(Post-Exploitation): 권한 상승(Privilege Escalation), 측면 이동, 데이터 접근 증명, 지속성 확보 테스트
- •6) 보고(Reporting): 경영진 요약(Executive Summary), 기술 상세(취약점/재현 절차/증거), 위험도 평가(CVSS), 개선 권고안
리포트 구성
- •경영진 요약: 비기술적 언어, 비즈니스 영향, 핵심 위험, 우선순위
- •기술 상세: 취약점별 설명/재현 단계/스크린샷/PoC 코드
- •위험 등급: Critical/High/Medium/Low/Informational
- •개선 권고: 단기(즉시 조치)/중기(계획적 개선)/장기(아키텍처 변경)
유형: Black Box(정보 없음/외부 공격자 시뮬레이션), White Box(전체 정보/소스코드/내부 관점), Gray Box(부분 정보/내부자 관점)
적용사례: 웹 앱, 네트워크, 무선, 모바일, 물리적 침투, 클라우드
비교: 침투테스트(수동/심층 공격 모의/일회성) vs 취약점 스캔(자동/넓은 범위/정기적) vs BAS(자동/지속적/통제 검증)
연관: 취약점 관리, 레드팀, 시큐어 코딩, OWASP