라스컴 시큐리티
HOME
  • 수행실적
  • 정보보호가이드
    • 수행실적

    정보보호가이드

    보안취약점점검과 모의침투테스트의 차이점

    페이지 정보

    profile_image
    작성자 라스컴
    댓글 댓글 0건   조회Hit 588회   작성일Date 24-03-11 09:08

    본문

    "모의해킹 · 보안취약점진단 · 정보보호컨설팅" 전문기업 『라스컴 시큐리티』  www.lassecu.com  T:1522-3863  secu@lascom.co.kr          


    안녕하세요 라스컴 시큐리티입니다.

    오늘은 조직에서 IT보안성 강화를 확보하기 위해서 수행하는 보안 활동 중에서 보안취약점점검과 모의침투 테스트에 어떤 차이점이 있는지 알아 보겠습니다. 


    1. 개요

    보안취약점점검은 보안취약점진단 또는 보안취약점분석 이라고도 합니다. 모의침투 테스트는 모의해킹 또는 모의침입 테스트라고도 하며 영어로는 Penetration Testing 이라고 하며 줄여서 Pen Test 라고도 합니다. 

    최근 정부에서는 이 두 가지 보안 취약성 분석 활동을 수행하기를 권고하고 있습니다. 또한 최근 보안성을 강화를 중요하게 고려하는 기업들은 보안컨설팅 업체에게 기본적인 체크리스트 기반 으로 수행하는 보안취약점 점검은 물론 시나리오 기반 또는 블랙박스 기반의 모의침투 테스트 까지 포함한 용역 발주가 증가하고 있습니다.

    조직의 기술 보안 측면에서 IT자산의 보안 안정성을 확보하기 위해서는 보안취약점점검과 모의해킹 테스트를 병행 수행하면 보다 정확하고 효과적인 결과를 확보할 수 있습니다.


    2. 보안 취약점 점검

    1) 보안취약점점검은 상용 솔루션을 사용하기도 하고 보안 전문가가 다양한 점검 툴을 활용하여 수동으로 진단(점검)하기도 합니다.

    2) 보안 취약점 점검 수행 대상은 웹 보안취약점점검, 모바일앱 보안취약점점검, 시큐어코딩 소스코드 취약점점검, 시스템 보안취약점점검(인프라보안취약점점검) 등이 있습니다.  

    3) 보안 취약점 분석 도구는 보안 위험성이 높거나 보안 낮은 취약한 문제점을 모두 보여줍니다.

    4) 아주 사소한 문제까지 모두 보여 주는 장점이 있지만 취약점이 실제 해킹 위협과는 거리가 먼 사소한 부분도 보여줍니다.

    5) 담당자는 IT 시스템 환경 내에 너무 많은 취약점이 실제 위협이 되는지 판단 할 수 없을 뿐만 아니라 오탐도 다수 포함되어 있기도 합니다.

    6) 조직에서 변경할 수 없는 시스템 환경을 가지고 있는 경우 상용 취약성 분석 솔루션은 우선 순위를 선정해서 제거하는데 효율적이지 못합니다.


    3. 모의침투 테스트

    1) 모의침투 테스트는 실제 위협을 확인하기 위해 보안 취약점을 찾아서 공격합니다. 또한 여러 보안 취약점이 연결되어 있는 연결고리를 이용해 공격을 시도합니다. 따라서 보안취약점진단 솔루션을 사용할 때 발생하는 오탐의 문제점이 없는것이 특징입니다.

    2) 모의침투 테스트는 여러 가지 보안 취약점 중 꼭 해결해야 되는 보안 취약점의 위험도 우선순위를 제공해 주기 때문에 보안 담당자가 적절하게 대응할 수 있습니다.

    3) 따라서 모의침투 테스트의 위험 결과가 실제 보안 취약성의 위험 이라고 판단할 수 있습니다.

    763f21f8b94f84943e0624fcf4bdc132_1710115408_3037.png 


    4. 보안취약점분석 vs. 모의침투 테스트 비교 분석  

    구분

    보안취약점점검(스캐닝)

    모의침투 테스트

    보안취약점 
    도출 수위

    모든 잠재적인 모든 보안 취약점을 탐지하고 도출함. 일반적으로 많은 보안 취약점들이 탐지됨

    실제 해킹 공격이 이루어질 수 있는 유의미한 보안 취약점을 찾고 위험도의 수준에 따라서 분류하여 제시함

    점검 대상환경 특성의 고려

    점검 대상의 고유한 환경을 고려하지 않고 일반적이며 표준화된 이론적인 정보를 기반으로 취약점을 분류함. , 표준화된 정보를 기반으로 보안 취약점을 분석 및 분류하며 개발자가 특정한 개발 어플리케이션의 결함을 발견하지 못하는 경우가 있음.

    점검 대상의 고유한 환경을 고려하여 보안 취약점을 점검하고 도출된 취약점의 위험도를 분류하여 제시함. 보안 엔지니어의 전문 지식과 경험을 기반으로 전반적인 비즈니스 로직을 이해하고 특정 기능에 대한 심각한 보안 취약점을 검출할 수 있음.

    점검 결과

    보안위험성이 낮아서 의미가 없는 사소한 보안취약점도 찾아 내며 점검 대상과 점검 솔루션의 특성에 따라서 오탐이 많이 발생할 수도 있어서 오탐을 제거하는 노력이 많이 들 수 도 있음

    실제 위험(위협)을 주는 보안 취약점을 찾아 내고 공격하여 유의미한 결과만을 선별하여 도출함

    점검 대상
    연결성

    점검 대상 구성요소 간의 연결성을 전혀 나타내지 않음

    점검 대상 구성 요소간의 연결성의 취약점을 찾아 내서 보안 취약점의 실제 공격 경로를 보여줌

    보안 장치별
    보안취약점
    탐지 가능 정도

    조직 내에 도입한 다양한 보안 장치 및 시스템 별로 각각 구분하여 보안 위험성을 찾아내지 못함

    조직 내에 도입한 다양한 보안 장치 및 시스템 별로 각각 구분하여 특성에 맞게 실제 해킹 공격 테스트를 통해서 보안 취약점을 찾아냄

     

    문 정보보안 컨설턴트가 제공하는 보안취약점점검 및 모의침투테스트 서비스가 필요하실 때 

    라스컴 시큐리티로 문의 주시면 친절하고 상세하게 안내 드리겠습니다.


    감사합니다. 

    모의해킹 · 취약점진단 · 정보보호컨설팅

    보안컨설팅 전문기업 - 라스컴 시큐리티

    070-4910-9042           secu@lascom.co.kr