사이버 보안에 대해 읽는다면 침투 테스트라는 용어가 시스템이 안전한지 확인하는 방법으로 떠오를 것입니다. 침투 테스트란 무엇이며 어떻게 작동합니까? 어떤 종류의 사람들이 이러한 테스트를 수행합니까?
펜 테스트란 무엇입니까?
침투 테스트라고도 하는 침투 테스트는 사이버 보안 전문가가 시스템을 공격하여 방어를 통과할 수 있는지, 즉 “침투”를 수행하는지 확인하는 윤리적 해킹의 한 형태입니다. 공격이 성공하면 펜 테스터는 악의적인 공격자가 악용할 수 있는 문제를 발견했다고 사이트 소유자에게 보고합니다.
해킹은 윤리적이기 때문에 해킹을 수행하는 사람들은 어떤 것도 훔치거나 손상시키려는 것이 아닙니다. 그러나 펜 테스트는 의도 외에 모든 면에서 공격이라는 점을 이해하는 것이 중요합니다. 펜 테스터는 책에 있는 모든 비열한 트릭을 사용하여 시스템을 통과합니다. 결국, 실제 공격자가 사용할 모든 무기를 사용하지 않는다면 테스트가 많지 않을 것입니다.
펜 테스트 대 취약성 평가
따라서 침투 테스트는 널리 사용되는 또 다른 사이버 보안 도구인 취약성 평가와는 다른 야수입니다. 이메일에서 사이버 보안 회사인 Secmentis에 따르면 취약성 평가는 시스템 설정의 잠재적인 약점을 강조하는 시스템 방어의 자동 스캔입니다.
펜 테스트는 실제로 잠재적인 문제를 악용할 수 있는 실제 문제로 만들 수 있는지 확인합니다. 따라서 취약성 평가는 침투 테스트 전략의 중요한 부분이지만 실제 침투 테스트가 제공하는 확실성을 제공하지는 않습니다.
펜 테스트는 누가 수행합니까?
물론 이러한 확신을 얻으려면 시스템을 공격하는 데 능숙해야 합니다. 결과적으로 침투 테스트에 종사하는 많은 사람들이 블랙햇 해커로 개편됩니다. 루마니아에 본사를 둔 사이버 보안 회사인 CT Defense의 수석 사이버 보안 엔지니어인 Ovidiu Valea는 전직 검은 모자가 그의 분야에서 일하는 사람들의 70%를 차지할 수 있다고 추정합니다.
검은 모자 출신인 Valea에 따르면 악의적인 해커와 싸우기 위해 그와 같은 사람을 고용하는 이점은 그들이 “그들처럼 생각하는 방법을 알고 있다”는 것입니다. 공격자의 마음에 들어갈 수 있게 됨으로써 그들은 더 쉽게 “그들의 단계를 따라가서 취약점을 찾을 수 있지만 악의적인 해커가 악용하기 전에 회사에 보고합니다.”
Valea와 CT Defense의 경우 문제 해결을 돕기 위해 회사에서 고용하는 경우가 많습니다. 그들은 시스템을 크랙하기 위해 회사의 지식과 동의를 얻어 작업합니다. 그러나 최고의 동기로 시스템을 공격하지만 항상 해당 시스템을 실행하는 사람들에 대한 지식이 있는 것은 아닌 프리랜서가 수행하는 침투 테스트의 한 형태도 있습니다.
이 프리랜서는 종종 Hacker One과 같은 플랫폼을 통해 소위 바운티를 모아 돈을 벌 것입니다. 예를 들어 최고의 VPN을 비롯한 일부 회사는 발견된 모든 취약점에 대해 현상금을 게시합니다. 문제를 찾고, 보고하고, 보상을 받으세요. 일부 프리랜서는 심지어 등록하지 않은 회사를 공격하고 그들의 보고서가 돈을 받기를 바랍니다.
그러나 Valea는 이것이 모두에게 해당되는 방식은 아니라고 경고합니다. “몇 달 동안 일해도 아무것도 찾을 수 없습니다. 당신은 집세를 낼 돈이 없을 것입니다.” 그에 따르면 취약점을 찾는 데 매우 능숙해야 할 뿐만 아니라 자동화된 스크립트의 출현으로 쉽게 얻을 수 있는 결과가 많지 않습니다.
침투 테스트는 어떻게 작동합니까?
희귀하거나 예외적인 버그를 찾아 돈을 버는 프리랜서가 약간의 디지털 모험을 떠올리게 하지만 일상의 현실은 조금 더 현실적입니다. 그렇다고 해서 흥미롭지 않다는 것은 아닙니다. 모든 유형의 장치에는 공격에 견딜 수 있는지 확인하는 데 사용되는 일련의 테스트가 있습니다.
각각의 경우 펜 테스터는 생각할 수 있는 모든 것을 사용하여 시스템을 크랙하려고 시도합니다. Valea는 우수한 침투 테스터는 단순히 다른 테스터의 보고서를 읽는 데 많은 시간을 할애한다고 강조합니다. 이는 경쟁사의 최신 정보를 파악하는 것뿐만 아니라 그들 자신의 속임수에 대한 영감을 얻기 위해서이기도 합니다.
그러나 시스템에 대한 액세스 권한을 얻는 것은 방정식의 일부일 뿐입니다. 침투 테스터는 일단 안으로 들어가면 Valea의 말을 빌리자면 “악의적인 행위자가 그것으로 무엇을 할 수 있는지 보려고 합니다.” 예를 들어 해커는 훔칠 암호화되지 않은 파일이 있는지 확인합니다. 이것이 옵션이 아닌 경우 우수한 펜 테스터는 요청을 가로채거나 취약점을 리버스 엔지니어링하고 더 많은 액세스 권한을 얻을 수 있는지 확인하려고 시도합니다.
미리 정해진 결론은 아니지만 문제의 사실은 내부에 들어가면 공격자를 막기 위해 할 수 있는 일이 많지 않다는 것입니다. 액세스 권한이 있으며 파일을 훔치고 작업을 망칠 수 있습니다. Valea에 따르면 “기업은 위반이 미칠 수 있는 영향을 인식하지 못하고 회사를 파괴할 수 있습니다.”
내 장치를 어떻게 보호할 수 있습니까?
조직은 운영을 보호하기 위해 펜 테스트와 같은 고급 도구와 리소스를 가지고 있지만 일상적인 소비자로서 안전을 유지하기 위해 무엇을 할 수 있습니까? 표적 공격은 회사가 겪는 것과는 다른 방식이지만 당신에게도 피해를 줄 수 있습니다. 회사의 데이터가 유출되는 것은 확실히 나쁜 소식이지만 사람들에게 발생하면 삶을 망칠 수 있습니다.
자신의 컴퓨터에 대한 펜 테스트는 대부분의 사람들이 접근할 수 없고 불필요할 가능성이 높지만 해커의 희생양이 되지 않도록 하기 위해 따라야 하는 몇 가지 훌륭하고 쉬운 사이버 보안 팁이 있습니다. 가장 먼저 의심스러운 링크를 클릭하기 전에 의심스러운 링크를 테스트해야 합니다. 이는 해커가 시스템을 공격하는 매우 일반적인 방법인 것 같습니다. 물론 좋은 바이러스 백신 소프트웨어는 맬웨어를 검사합니다.
2022년 최고의 바이러스 백신 소프트웨어 
비트디펜더 인터넷 시큐리티
Avira 무료 보안
Malwarebytes 프리미엄
Intego Mac 인터넷 시큐리티 X9
