침투 테스트(Penetration Testing) 개요
침투 테스트(Pentest)는 허가된 환경에서 실제 공격자의 시각으로 시스템 취약점을 찾아 보안을 강화하는 활동입니다. 체계적인 방법론을 따라 수행해야 법적 보호와 신뢰성이 보장됩니다.
침투 테스트 유형
- 블랙박스(Black Box): 대상 정보 없이 외부 공격자 시각으로 테스트. 실제적이지만 시간 소요 많음
- 화이트박스(White Box): 소스 코드, 아키텍처 등 모든 정보 제공받고 테스트. 가장 철저한 검사
- 그레이박스(Gray Box): 부분적 정보 제공. 내부 사용자 시나리오 시뮬레이션
PTES (Penetration Testing Execution Standard)
침투 테스트의 표준 절차를 정의한 프레임워크입니다.
- 1단계 사전 합의(Pre-engagement): 범위, 목표, 법적 허가, 비상 연락처 합의
- 2단계 정보 수집(Intelligence Gathering): OSINT, 풋프린팅으로 대상 정보 수집
- 3단계 위협 모델링(Threat Modeling): 수집 정보 기반 공격 시나리오 수립
- 4단계 취약점 분석(Vulnerability Analysis): 자동·수동 취약점 식별
- 5단계 공격 수행(Exploitation): 취약점 악용, 접근 획득
- 6단계 사후 공격(Post-Exploitation): 권한 상승, 측면 이동, 데이터 수집
- 7단계 보고(Reporting): 발견 사항, 위험도, 개선 방안 보고
사이버 킬체인 (Cyber Kill Chain)
Lockheed Martin이 제안한 APT 공격 단계 모델입니다.
- 1. 정찰(Reconnaissance): 대상 정보 수집
- 2. 무장화(Weaponization): 악성코드 또는 익스플로잇 제작
- 3. 전달(Delivery): 이메일 첨부, 웹, USB로 악성코드 전달
- 4. 익스플로잇(Exploitation): 취약점 악용, 코드 실행
- 5. 설치(Installation): 백도어, RAT 설치
- 6. C2(Command and Control): 공격자 서버와 통신 채널 수립
- 7. 목표 달성(Actions on Objectives): 데이터 탈취, 랜섬웨어 배포
킬체인의 어느 단계에서든 차단하면 공격을 막을 수 있습니다.
MITRE ATT&CK와의 비교
- 킬체인: 7단계 선형 모델, 고수준 공격 흐름 파악에 유용
- ATT&CK: 200+ 기술의 세부 매트릭스, 구체적 TTP 탐지·방어에 활용
- 상호보완적: 킬체인으로 대략적 단계 파악 → ATT&CK으로 세부 대응
취약점 스캐너와 익스플로잇 프레임워크
- Nmap: 포트 스캔, OS 탐지, 서비스 버전 확인
- Nessus/OpenVAS: 취약점 자동 스캔
- Metasploit: 익스플로잇 프레임워크. 모듈 기반 공격 코드 실행
- Burp Suite: 웹 애플리케이션 침투 테스트 도구
- OWASP ZAP: 오픈소스 웹 취약점 스캐너
시험 핵심 포인트
- 블랙박스: 정보 없음 / 화이트박스: 모든 정보 / 그레이박스: 부분 정보
- 킬체인 7단계: 정찰→무장화→전달→익스플로잇→설치→C2→목표달성
- PTES 1단계: 반드시 사전 합의 (법적 허가) 후 진행
- Metasploit: 익스플로잇 프레임워크 (공격 실행)
- 킬체인: 어느 단계에서든 차단하면 공격 무력화
마무리
침투 테스트는 합법적 허가 하에 수행되어야 합니다. 킬체인 7단계와 PTES 절차는 시험 빈출 항목이므로 순서와 내용을 정확히 암기하세요.