영국의 침투 테스트 - 2026년에 기대할 수 있는 것

영국에서 침투 테스트 서비스 검색은 2023년에서 2025년 사이 35% 이상 증가했습니다. 랜섬웨어 사고, 강화되는 규제 의무, 사이버 보험 정책 발행 전에 적극적인 보안 테스트 증거를 요구하는 보험사들의 물결이 맞물린 결과입니다. 이러한 수요에도 불구하고, 침투 테스트가 실제로 무엇인지, 취약성 스캔과 어떻게 다른지, 좋은 테스트에 얼마나 드는지에 대한 혼란이 여전히 광범위하게 존재합니다.

이 가이드는 전체 그림을 다룹니다: 침투 테스트가 무엇이고 무엇이 아닌지, 주요 유형, 프로세스 진행 방식, 결과물에 포함되어야 하는 것, 영국에서 중요한 자격증, 그리고 2026년의 현실적인 비용 범위를 설명합니다.

요약

• 침투 테스트는 실제 공격자와 동일한 기술을 사용하는 인가된 테스터에 의한 모의 공격입니다. 자동화되어 있으며 취약성을 연결하거나 실제 영향을 평가할 수 없는 취약성 스캔과는 다릅니다.
• 테스터들은 개별 문제를 나열하는 것이 아니라 여러 취약성을 연결하여 실제 영향을 입증합니다. 이것이 방법론을 차별화하고 가치 있게 만드는 것입니다.
• 영국에서 PCI DSS는 연간 침투 테스트를 의무화하며, UK GDPR 32조, ISO 27001, NCSC 지침 모두 적절한 기술적 통제의 증거로 정기적인 침투 테스트를 요구합니다.
• CREST 인증 제공업체의 경우 CRT(웹 앱), CCT App(웹 애플리케이션), 또는 CCT Inf(인프라) 자격을 확인하세요. 공공 부문 업무에는 CHECK 제도가 적용됩니다.

침투 테스트란 무엇인가 (그리고 무엇이 아닌가)

침투 테스트는 정의된 대상에 대한 구조화된, 인가된 공격 시뮬레이션입니다. 테스터는 악의적인 공격자와 동일한 도구, 기술, 사고 과정을 사용하지만 합의된 범위와 교전 규칙 내에서 운영합니다. 목표는 실제 공격자가 하기 전에 취약성을 식별하고 현실 세계에서의 악용 가능성을 입증하는 것입니다.

취약성 스캔은 침투 테스트가 아닙니다. 자동화된 스캐너는 알려진 취약성 데이터베이스와 대조하여 시스템을 검사하고 발견 사항 목록을 생성합니다. 빠르고 반복 가능하지만 맥락을 추론하거나, 발견 사항을 연결하거나, 비즈니스 논리를 평가하거나, 발견한 것의 실제 영향을 입증할 수 없습니다. 많은 조직이 둘을 혼동하며, 일부 공급업체는 의도적으로 경계를 흐립니다. 공급업체가 “침투 테스트"로 견적을 제시하고 수동 분석 없이 완전히 도구만으로 수행된다면 프리미엄 가격에 취약성 스캔을 구매한 것입니다.

이 차이는 실질적으로 중요합니다. 취약성 스캔은 애플리케이션에 계정 잠금 없는 로그인 양식이 있음을 표시할 수 있습니다. 침투 테스트는 더 나아갑니다: 테스터는 사용자 이름 열거 약점 및 예측 가능한 세션 토큰과 함께 이를 악용하여 완전한 계정 탈취 체인을 입증하려 합니다. 이것이 위험을 나열하는 것과 증명하는 것의 차이입니다.

침투 테스트의 유형

지식 수준별. 테스트는 일반적으로 블랙박스, 그레이박스, 화이트박스로 설명되며, 테스터에게 처음에 제공되는 정보의 양을 나타냅니다:

• 블랙박스: 테스터는 대상에 대한 사전 지식 없이 시작하며, 자체 정찰을 수행한 외부 공격자를 시뮬레이션합니다. 실제 공격 시나리오에 가장 가깝지만 테스터가 (애플리케이션 매핑과 같이 제공할 수 있는) 작업에 참여 시간을 소비하기 때문에 시간 비효율적일 수 있습니다.
• 그레이박스: 테스터에게 일반적으로 사용자 자격증명과 문서가 제공되지만 소스 코드나 전체 아키텍처 다이어그램은 제공되지 않습니다. 현실성과 효율성의 균형을 맞추기 때문에 웹 애플리케이션 테스트에서 가장 일반적인 선택입니다.
• 화이트박스: 테스터는 소스 코드, 아키텍처 문서, 인프라 다이어그램을 포함한 전체 액세스 권한을 가집니다. 포괄적인 평가 및 컴플라이언스 기반 코드 검토에 사용됩니다. 가장 높은 비율의 취약성을 발견하지만 팀의 가장 많은 준비가 필요합니다.

대상 유형별. 일반적인 범주에는 다음이 포함됩니다:

• 네트워크 침투 테스트: 외부 또는 내부 인프라, 방화벽 규칙, VPN 구성, 수평 이동 기회
• 웹 애플리케이션 침투 테스트: OWASP Top 10 이상, 인증, 세션 관리, 입력 유효성 검사, 비즈니스 논리 포함
• API 침투 테스트: REST 및 GraphQL 엔드포인트, 인증 우회, 대량 할당, 속도 제한, 데이터 노출
• 모바일 애플리케이션 침투 테스트: Android 및 iOS 앱, 안전하지 않은 데이터 저장, 인증서 피닝 우회, 모바일 레이어를 통해 노출된 백엔드 API 문제
• 소셜 엔지니어링: 피싱 시뮬레이션, 프리텍스팅, 비싱(음성 피싱)으로 인적 레이어 테스트
• 물리적 침투 테스트: 테일게이팅, RFID 복제, 접근 제어 우회, 물리적 시설 대상화

대부분의 영국 기업은 웹 애플리케이션 또는 네트워크 테스트로 시작하여 보안 프로그램이 성숙해짐에 따라 범위를 확장합니다.

침투 테스트 프로세스

엄격한 침투 테스트는 정의된 방법론을 따릅니다. CREST와 PTES(Penetration Testing Execution Standard) 프레임워크 모두 유사한 순서를 설명합니다:

범위 설정 및 교전 규칙

테스트가 시작되기 전에 귀하와 제공업체는 대상, 테스트 유형, 테스트 창(일부 조직은 프로덕션 영향을 피하기 위해 업무 시간 외 테스트를 요구함), 테스트 중 중요한 발견 사항이 발견될 경우 에스컬레이션 절차, 명시적으로 범위 밖인 것에 대해 합의합니다. 이를 서면으로 받으세요. 인가서는 양 당사자를 보호합니다.

정찰

테스터는 수동적 수단(오픈 소스 인텔리전스, 인증서 투명성 로그, 기술 스택을 드러내는 채용 공고, 침해 데이터베이스에 유출된 자격증명)과 능동적 수단(DNS 열거, 포트 스캐닝, 서비스 핑거프린팅)을 통해 대상에 대한 정보를 수집합니다. 블랙박스 테스트에서 이 단계는 참여 시간의 상당 부분을 차지할 수 있습니다.

악용

테스터는 초기 액세스를 얻거나 영향을 입증하기 위해 식별된 취약성을 악용하려 합니다. 여기서 방법론이 스캐닝과 달라집니다: 숙련된 테스터는 여러 경로를 시도하고, 하나의 경로가 차단되면 적응하며, 함께 높은 영향의 결과를 생성하는 더 낮은 심각도 문제의 조합을 찾습니다.

사후 악용 및 취약성 연결

이것은 대부분의 공급업체 마케팅이 무시하는 단계입니다. 초기 액세스를 얻은 후 공격자가 실제로 무엇을 할 수 있을까요? 웹 애플리케이션을 평가하는 테스터는 XSS 취약성을 CSRF 약점 및 예측 가능한 세션 식별자와 연결하여 완전한 계정 탈취를 입증할 수 있습니다. 인프라에 대해서는 사후 악용에 권한 에스컬레이션, 수평 이동, 초기 거점에서 액세스 가능한 데이터 또는 시스템 결정이 포함됩니다.

연결은 위험을 재구성하기 때문에 중요합니다. CVSS 5.5(보통)로 평가된 개별 발견 사항은 고객 데이터베이스 유출을 위해 다른 두 가지와 결합하여 악용될 수 있음을 보여줄 수 있을 때 완전히 다른 대화가 됩니다.

보고

테스터는 모든 발견 사항을 문서화하고 보고서를 작성하여 합의된 기간 내(일반적으로 테스트 완료 후 5~10 영업일)에 제출합니다. 보고서에 포함되는 내용은 다음 섹션에서 다룹니다.

양질의 침투 테스트 보고서에 포함되어야 하는 것

전문적인 침투 테스트 보고서는 제공업체의 판매 도구가 아니라 팀을 위한 작업 문서입니다. 다음을 포함해야 합니다:

임원 요약. 참여의 비기술적 개요, 전반적인 위험 자세, 발견 사항의 수와 심각도, 가장 중요한 문제. 코드를 수정해야 하는 개발자가 아닌 결정을 내려야 하는 이사회 수준의 독자를 위해 작성됩니다.

범위 및 방법론. 무엇이 테스트되었는지, 어떻게 테스트되었는지, 제한 사항(예: 특정 URL이 제외되었거나 테스트가 업무 시간으로 제한된 경우).

위험 등급 발견 사항. 심각도 등급과 함께 나열된 각 취약성. 대부분의 전문 영국 제공업체는 특정 환경을 고려한 맥락적 위험 등급과 함께 CVSS 3.1 점수를 사용합니다. 단독 CVSS 점수는 오해를 불러일으킬 수 있습니다; 외부 액세스 벡터 없는 7.5 발견 사항은 공개 엔드포인트의 동일 점수와 다른 위험입니다.

기술적 세부 사항 및 재현 단계. 개발자가 발견 사항을 재현하고, 왜 악용 가능한지 이해하고, 수정이 작동하는지 확인할 수 있는 충분한 정보. 정확한 요청 및 응답, 사용된 페이로드, 도움이 되는 스크린샷을 의미합니다.

해결 지침. 각 발견 사항에 대한 구체적이고 실행 가능한 조언. “의존성을 업데이트하세요"가 아니라 “라이브러리 X를 버전 2.3.1에서 2.4.0으로 업그레이드하고 UserController.php의 247번째 줄에서 더 이상 사용되지 않는 직렬화 호출을 제거하세요.”

재테스트 성명. 재테스트 포함 여부 확인, 포함된 경우 발견 사항이 어떻게 종료될지. 테스터가 확인할 때까지 발견 사항은 해결된 것이 아닙니다.

침투 테스트에 관한 영국 컴플라이언스 요구사항

PCI DSS. 카드 소지자 데이터를 처리, 저장 또는 전송하는 모든 기업은 최소 연 1회, 중요한 인프라 또는 애플리케이션 변경 후에도 침투 테스트를 수행해야 합니다. 2024년 3월에 유일한 활성 버전이 된 PCI DSS v4.0에는 침투 테스트 범위 및 방법론에 대한 업데이트된 요구사항이 포함됩니다. 이것은 권고가 아닌 필수 요구사항입니다.

UK GDPR 32조. 조직이 위험에 적합한 보안을 보장하는 적절한 기술적 조치를 구현하도록 요구합니다. 침투 테스트는 기술적 통제가 작동하는지 적극적으로 평가했음을 입증하는 가장 직접적인 방법입니다. ICO는 집행 결정에서 보안 테스트를 참조했습니다.

ISO 27001. 부록 A 통제 8.8은 기술적 취약성 관리를 다루며, 침투 테스트는 이 통제를 만족시키는 표준 방법입니다. ISO 27001 인증을 목표로 한다면 감사인은 테스트 증거를 볼 것을 기대합니다.

Cyber Essentials Plus. 영국 정부 Cyber Essentials 제도의 상위 단계는 현장 평가 및 취약성 스캔을 포함합니다. Cyber Essentials Plus는 침투 테스트가 아니지만 이를 달성하고 설정된 기준선을 유지하는 것은 합리적인 전제조건입니다.

NCSC 지침. 국가사이버보안센터는 “사이버 보안을 위한 10단계” 프레임워크의 일부로 침투 테스트를 권고하며, 특히 “취약성 관리” 및 “네트워크 보안” 단계에서 그렇습니다.

CREST 자격증과 중요성

CREST는 영국의 침투 테스트 회사 및 개인 테스터를 위한 주요 인증 기관입니다. CREST 등록 제공업체는 프로세스, 방법론 및 민감한 데이터를 적절하게 처리하는 능력에 대해 평가됩니다. 개인 테스터는 다음 자격을 보유할 수 있습니다:

• CREST Registered Tester (CRT): 웹 애플리케이션 또는 인프라 테스트에서 기술적 역량을 입증하는 입문 수준 자격증.
• CREST Certified Tester - Application (CCT App): 웹 애플리케이션 침투 테스트를 위한 고급 자격증. 실기 시험 합격이 필요합니다.
• CREST Certified Tester - Infrastructure (CCT Inf): 네트워크 및 인프라 테스트를 위한 동급 자격증.

영국 공공 부문 기관에는 CHECK 제도가 적용됩니다. CHECK는 NCSC가 관리하는 제도로 침투 테스터가 CHECK Team Member 또는 CHECK Team Leader 지위를 보유해야 합니다. 정부 부처, NHS 기관 또는 지방 당국이라면 제공업체가 CHECK 지위를 보유해야 합니다.

제공업체를 평가할 때 회사의 가장 상위 직원이 보유한 자격증이 아닌 귀하의 참여에 작업할 테스터가 보유한 특정 자격증을 확인하도록 요청하세요. 보고서를 작성하고 테스트를 수행하는 사람의 자격증이 중요합니다.

얼마나 자주 테스트해야 하는가

올바른 답은 위험 프로필에 따라 다르지만 실질적인 최솟값은:

• 개인 데이터 또는 결제 데이터를 처리하는 인터넷 연결 애플리케이션의 경우 최소 연 1회
• 새로운 기능, 새로운 인증 흐름 또는 새로운 통합을 도입하는 주요 릴리스 후
• 처음으로 개인 데이터 또는 결제 데이터를 처리할 새 제품, 애플리케이션 또는 서비스의 라이브 이전
• 공격자가 지속성 메커니즘을 남겼는지 또는 아직 폐쇄되지 않은 취약성을 악용했는지 이해하기 위해 보안 사고 후
• 합병, 인수 또는 사용자 기반의 상당한 확장 후와 같이 위험 프로필이 변경될 때

영국의 침투 테스트 비용

요금은 2026년 영국 시장 가격을 반영합니다. 이 범위보다 현저히 낮은 견적은 일반적으로 최소한의 수동 분석을 갖춘 자동화된 스캔을 의미합니다.

Mecanik 침투 테스트 서비스 는 PTES 및 OWASP 방법론을 사용하여 개념 증명 익스플로잇과 우선순위가 지정된 해결 보고서와 함께 영국 기업을 위한 웹 애플리케이션, API, 인프라 테스트를 제공합니다.

핵심 요점

• 침투 테스트는 수동적이고 인가된 공격 시뮬레이션입니다. 자동화된 취약성 스캔과 범주적으로 다릅니다.
• 테스터들은 개별 문제를 격리하여 나열하는 것이 아니라 여러 취약성을 연결하여 실제 영향을 입증합니다.
• 영국 컴플라이언스 의무(PCI DSS, UK GDPR 32조, ISO 27001, NCSC 지침)는 모두 기본 보안 관행으로서 정기적인 침투 테스트를 가리킵니다.
• 양질의 보고서에는 위험 등급 발견 사항, 기술적 재현 단계, 맥락적 등급의 CVSS 점수, 각 문제에 대한 구체적인 해결 지침이 포함됩니다.
• 자격증에 관해서는 참여의 개인 테스터에 대해 CREST CRT, CCT App 또는 CCT Inf를 확인하세요. 공공 부문 업무에는 CHECK 제도 지위가 필요합니다.
• 최소 연 1회, 주요 릴리스 후, 개인 데이터 또는 결제 데이터를 처리하는 새 서비스 라이브 전에 테스트하세요.

자주 묻는 질문 (FAQ)

침투 테스트와 취약성 스캔의 차이는 무엇인가요? 취약성 스캔은 자동화된 도구를 사용하여 알려진 문제 데이터베이스에 대해 시스템을 확인합니다. 침투 테스트는 대상에 대해 추론하고, 취약성을 연결하며, 실제 악용 가능성을 입증하는 인간 테스터가 포함됩니다. 스캔은 빠르고 기준선 설정에 유용하지만 수동 테스트의 대체물이 아닙니다.

침투 테스트는 얼마나 걸리나요? 중간 복잡도 사이트의 웹 애플리케이션 테스트는 일반적으로 3~5일의 테스트 시간이 소요됩니다. 대규모 애플리케이션, 소스 코드 검토가 있는 화이트박스 참여, 또는 많은 호스트의 인프라 테스트는 더 오래 걸립니다. 범위 설정 대화와 보고서 작성에 추가 시간이 소요되므로 참여 시작부터 최종 보고서 전달까지 2~4주를 계획하세요.

침투 테스트 전에 호스팅 제공업체에 알려야 하나요? 호스팅 또는 클라우드 제공업체의 서비스 약관을 확인하세요. AWS, Azure, GCP 모두 대부분의 서비스에 대해 사전 통지 없이 자체 리소스의 침투 테스트를 허용하지만 일부 제한이 적용됩니다. 공유 호스팅 제공업체는 사전 통지를 자주 요구합니다. 침투 테스트 제공업체는 범위 설정 시 이를 확인해야 합니다.

테스트 중 테스터가 중요 취약성을 발견하면 어떻게 되나요? 교전 규칙은 중요 발견 사항에 대한 에스컬레이션 절차를 정의해야 합니다. 평판 좋은 테스터는 보고서를 기다리지 않고 즉시 연락할 것입니다. 그런 다음 해결하는 동안 테스트를 일시 중지할지, 발견 사항이 문서화된 상태로 계속할지, 범위를 조정할지 결정합니다.

침투 테스트가 다운타임을 유발할 수 있나요? 대부분의 테스트 기술은 비파괴적이며 다운타임을 유발하지 않습니다. 서비스 거부 테스트는 명시적인 합의가 필요하며 일반적으로 업무 시간 외에 수행됩니다. 테스터는 잠재적으로 파괴적인 기술을 시도하기 전에 그 위험을 논의해야 합니다.

CREST 침투 테스터의 자격증을 어떻게 확인하나요? CREST는 crest-approved.org에서 등록 회사 및 인증 개인의 공개 레지스트리를 유지합니다. 상태를 확인하려면 회사 또는 테스터 이름으로 검색하세요. CHECK의 경우 NCSC가 CHECK 승인 서비스 제공업체 목록을 게시합니다.