모의해킹( Penetration + Test, Pentest)
*Penetration : 침투, 침입, 침해
해커(=크래커)와 동일한 환경과 조건, hacking skill을 가지고 모의침투테스트를 실시하여 실제로 시스템의 취약성을 통해 시스템이 어떤 방식으로 침해될 수 있는 지 여부를 점검해보는 단계.
모의해킹의 대상은?
IT인프라, 데이터베이스, 서버, IoT
1) IoT
IoT는 통신 속도와 밀접한 관계가 있다. 4G-> 5G
5G의 실시간성이 전제가 되어야 사물간 통신이 의미가 있어 짐.
2) 비대면거래(인터넷 은행, 핀테크)의 등장
카카오페이, 카카오뱅크, 페이코
비대면 거래를 하는 과정에서 사용자의 개인정보가 안전하게 보관이 되어있는가?
중요한 정보(신용카드, 신분등)를 사진을 찍어 앱에 업로드하게 되는데 이 정보가 안전하게 보호가 되는가?
Q. 모의해킹을 하는 이유는?
인터넷사업을 하기위해서는 개인정보법, 신용거래법, 전자금융감독규정, 정보통신망&정보보호 법률, ISMS 의무화를 만족시켜야 한다.
정보보호관리체계(ISMS) 의무화 대상이 되는 사업장에서 모의해킹을 이용하여 법률조건을 만족하는 것이 목적이다.
금융권은 '전자금융감독규정'을 만족시켜야 한다. -> 금융감독원에게 인가받아야 한다.
해킹사고가 터지면 기업 이미지가 추락한다. -> 사용자 이탈
해킹사고가 발생했을 때 책임자(임원진)의 사퇴
개인정보 유출이 되면 기업이 법적처벌을 받아 과징금을 지불함.
최근 해킹 사고의 이해
최신 해킹사례를 이용하여 사용된 기술을 이용해 모의해킹을 진행해 봐야 함. + 보안담당자가 해당 사례를 분석하고 관리 시스템의 보안능력을 점검할 필요가 있다.
최근 해킹 사례에서 사용된 악성코드 샘플을 분석하여 이것을 모의해킹으로 활용할 수 있다.
안드로이드 앱(App) 코드 변조사례 - 성경통독
해킹메일을 전송함으로써 해킹( 메일 내 악성코드를 삽입)
- 안드로이드 악성코드
- Drive-by-download 악성코드
- SQL injection
그렇다면 어떻게 최신 해킹 동향을 수집할 수 있을까?
너무나 많은 데이터를 수집해서 보는것보다 크게 2가지 방법을 꾸준히 하는것이 중요하다.
1) 구글알리미
2) 트위터
모의해커 vs. 범죄자 vs. (버그헌팅)
가장 큰 차이 : 회사와 '계약'을 하고 허락하에 진행을 하냐 그렇지 않냐이다.
구분 |
모의해커 |
범죄자 |
합법적 여부 |
고객과 계약 후에 진행 |
합의없이 진행 |
1차 공격 Pointer |
웹 서비스, 모바일 서비스 - DMZ Zone |
개인PC(Drive by Download) - 악성코드 감염 - 관리자 권한을 획득하고자 함 |
공격 항목 |
네트워크 장애를 유발하는 DDoS, BoF 공격 항목 제외 |
마음 내키는 대로 진행함 |
공격 시간 |
정해진 날짜와 시간 |
시간 제한 없음 - 새벽시간에 공격 |
integrity, confidentiality, availability
모의해커 vs. 범죄자의 공격 Point
모의해커 : DMZ 구간
범죄자 : 개인 PC
WEB 서버에 접근하여 DB를 접근할 수 있느냐? 문제.
'모의해킹 > 기본' 카테고리의 다른 글
| 모의해킹 - (3) 모의해킹 절차 이해 (0) | 2019.02.24 |
|---|---|
| 모의해킹 - (2) 버그헌팅 프로그램 이해 (0) | 2019.02.24 |
