모든 침투 테스트가 같은 것은 아닙니다. 침투 테스트의 종류는 두 가지 축에서 달라집니다. 테스터가 사전에 여러분의 시스템을 얼마나 아는지(black box, white box, grey box)와 환경의 어느 부분이 범위에 들어가는지(웹 앱, API, 네트워크 경계 등)입니다. 이를 올바르게 고르는 것이 형식적인 절차가 아니라 비용 효율적이고 진정으로 유용한 테스트로 이어지는 열쇠입니다. 이 가이드는 선택지를 설명해 현명한 결정을 돕습니다.
요약(TL;DR)
- black box, white box, grey box는 테스터가 처음에 얼마만큼의 정보로 시작하는지를 나타내며, grey box는 대부분의 과제에서 가장 흔하고 비용 효율적입니다
- 범위별 테스트 유형에는 외부 네트워크, 내부 네트워크, 웹 애플리케이션, API, 무선, 소셜 엔지니어링이 있습니다
- 올바른 조합은 무엇을 보호하는지, 컴플라이언스 요구사항, 예산에 따라 달라집니다
- 어떤 종류든 좋은 테스트는 PTES나 OWASP 같은 공인된 방법론을 따르며, 우선순위가 매겨진 악용 가능한 결과를 제공합니다
지식 수준별 침투 테스트의 종류
이는 테스터가 시작 전에 얼마나 통보받는지에 관한 것으로, 다양한 유형의 공격자를 시뮬레이션합니다.
Black Box 테스트
테스터에게는 사전 정보가 거의 또는 전혀 주어지지 않으며, 실제 외부 공격자가 가질 만한 것(예: 도메인 이름)만 제공됩니다. 처음부터 스스로 정찰을 수행합니다.
- 시뮬레이션 대상: 내부 지식이 없는 외부 공격자.
- 장점: 외부 노출을 현실적으로 파악. 기회주의적 공격자가 발견할 것을 테스트.
- 단점: 정찰에 쓴 시간 때문에 더 깊은 문제를 테스트할 시간이 줄 수 있고, 일부 취약점은 위험이 낮아서가 아니라 단지 시간 부족으로 놓칠 수 있음.
- 적합한 경우: 실제 외부 노출 평가.
White Box 테스트
테스터에게 아키텍처 다이어그램, 소스 코드, 자격 증명, 구성 등 완전한 정보가 주어집니다.
- 시뮬레이션 대상: 지식이 있는 내부자, 또는 최악의 공격자 지식을 가정한 철저한 감사.
- 장점: 가장 철저한 커버리지. 시간이 환경 파악이 아니라 문제 발견에 쓰임. 깊은 로직 및 코드 수준의 결함을 찾을 수 있음.
- 단점: 더 많은 준비와 정보 공유가 필요. 눈먼 외부 공격자를 덜 대표함.
- 적합한 경우: 커버리지 극대화, 그리고 현실성보다 철저함이 중요한 핵심 시스템.
Grey Box 테스트
테스터에게 부분적인 정보가 주어집니다. 예를 들어 표준 사용자 자격 증명과 상위 수준 개요는 주지만, 완전한 내부 정보는 주지 않습니다.
- 시뮬레이션 대상: 이미 발판을 확보한 공격자, 또는 악의적이거나 침해된 일반 사용자.
- 장점: 실용적인 균형. 시간을 효율적으로 쓰면서도 일반 계정에서의 권한 상승 같은 현실적인 공격 경로를 테스트함.
- 단점: 완전히 눈먼 시각도 완전히 정보를 가진 시각도 아니지만, 대부분의 목적에서 이 절충은 오히려 강점임.
- 적합한 경우: 대부분의 과제. grey box는 현실성, 커버리지, 비용의 균형을 맞추므로 흔한 기본 선택입니다.
범위별 테스트
지식 수준과 무관하게, 무엇을 범위에 넣을지 선택합니다. 흔한 유형은 다음과 같습니다.
- 외부 네트워크 테스트: 인터넷을 향한 경계. 공개 서버, 방화벽, 노출된 서비스.
- 내부 네트워크 테스트: 네트워크 내부에서, 이미 침입한 공격자(피싱, 불량 장치, 악의적 내부자를 통해)를 시뮬레이션하고 측면 이동을 테스트함.
- 웹 애플리케이션 테스트: 특정 웹 앱의 로직, 인증, 입력을 깊이 테스트하며, 보통 OWASP 방법론에 맞춤.
- API 테스트: API에 집중한 테스트. API는 커지는 공격 표면이며 웹 프런트엔드보다 보호가 약한 경우가 많음.
- 무선 테스트: Wi-Fi 네트워크와 민감한 시스템으로부터의 분리.
- 소셜 엔지니어링: 피싱과 구실 기반 기법으로 인적 계층을 테스트함(합의된 수행 규칙 하에).
올바른 테스트 고르는 법
- 특정 애플리케이션을 보호하나요? grey box 웹 앱(및 API) 테스트가 보통 가장 좋은 가치를 제공합니다.
- 외부 노출이 걱정되나요? 외부 네트워크 테스트부터 시작하되, black box 또는 grey box로.
- 내부 위험이나 봉쇄가 우려되나요? 측면 이동을 평가하려면 내부 네트워크 테스트를 고르세요.
- 컴플라이언스 주도인가요? 프레임워크나 고객 계약이 요구하는 것을 확인하세요. 일부는 범위나 독립성을 명시합니다.
- 예산이 제한적인가요? grey box는 중요한 부분에 노력을 집중해, 순수 정찰에 낭비되는 시간을 피합니다.
무엇을 고르든 공인된 방법론을 고집하세요. 전문적인 테스트는 **Penetration Testing Execution Standard (PTES)**와 OWASP 같은 표준을 따르고, 자동 스캔을 넘어 취약점을 연결하고 실제 공격 경로를 시도하며, 개념 증명(proof-of-concept) 익스플로잇과 우선순위가 매겨진 개선 로드맵을 제공합니다.
핵심 요점
- 지식 수준별 침투 테스트의 주요 종류는 black, white, grey box이며, grey box가 대부분의 필요에 대한 실용적 기본입니다.
- 범위(외부, 내부, 웹 앱, API, 무선, 소셜 엔지니어링)는 지식 수준과 별개의 선택입니다.
- 보호 대상, 컴플라이언스 요구사항, 예산에 테스트를 맞추세요.
- 좋은 테스트는 PTES/OWASP를 따르며, 단순한 스캐너 보고서가 아니라 우선순위가 매겨진 악용 가능한 결과를 제공합니다.
필요에 맞는 테스트 받기
범위와 지식 수준 선택은 전문가의 의견이 있으면 더 쉽습니다. 침투 테스트 서비스 는 웹 앱, API, 네트워크 경계에 걸쳐 PTES와 OWASP 방법론을 따르며, 개념 증명 익스플로잇과 우선순위가 매겨진 개선 로드맵을 제공합니다. 첫 테스트를 의뢰하신다면, 영국에서의 침투 테스트에 기대할 수 있는 것 가이드가 절차, 일정, 비용을 차례로 안내합니다.
자주 묻는 질문(FAQ)
black box, white box, grey box 침투 테스트의 차이는 무엇인가요? 테스터가 사전에 얼마나 아는지입니다. black box는 사전 정보가 거의 또는 전혀 없는(외부 공격자 같은) 상태, white box는 코드와 구성에 대한 완전한 접근(최대 철저함), grey box는 사용자 로그인 같은 부분적 정보(실용적 중간)를 의미합니다.
어떤 종류의 침투 테스트가 필요한가요? 대부분의 애플리케이션에서는 grey box 웹 앱 및 API 테스트가 현실성, 커버리지, 비용의 최적 균형을 제공합니다. 외부 노출에는 외부 네트워크 테스트, 내부 위험에는 내부 테스트입니다. 올바른 답은 무엇을 보호하는지와 컴플라이언스 요구사항에 달려 있습니다.
grey box 테스트가 black box보다 나은가요? 보편적으로 그런 것은 아니지만, 테스트 시간을 효율적으로 쓰면서 권한 상승 같은 현실적 공격 경로도 수행하므로 가장 흔한 기본 선택입니다. black box는 순수한 외부 노출에 더 현실적이고, white box는 전체적으로 더 철저합니다.
외부와 내부 침투 테스트의 차이는 무엇인가요? 외부 테스트는 외부 공격자가 하듯이 인터넷을 향한 경계를 겨냥합니다. 내부 테스트는 이미 네트워크 내부에 있는 공격자를 시뮬레이션하며, 측면 이동과 발판이 얼마나 퍼질 수 있는지에 초점을 둡니다.
침투 테스트는 표준 방법론을 따르나요? 따라야 합니다. 전문적인 테스트는 Penetration Testing Execution Standard (PTES)와 OWASP 같은 공인 표준을 따라, 임기응변식 스캔이 아니라 일관되고 반복 가능한 커버리지를 보장하며, 우선순위가 매겨진 악용 가능한 결과를 만들어 냅니다.
댓글