모의해킹 수행 표준안(PETS; Penetration Testing Execution Standard)은 체계화된 방법을 통해 모의해킹을 수행할 때 필요한 노력들을 정량적/정성적으로 규명하고, 그 작업 순서들을 지정함에 따라 보안전문가가 업무를 원활하게 처리할 수 있도록 돕는다. 


자세한 것은 http://www.pentest-standard.org/index.php/Main_Page 에서 확인할 수 있다.

PTES 는 다음과 같이 7가지의 카테고리로 구분되어 있다.


1. Pre-engagement Interactions

이 단계에서는 고객과 함께 향후 어떤 방식과 수준의 모의해킹을 수행할 것인지 협상한다. 즉, 소프트웨어 공학적 측면에서 Requirements Engineering단계와 유사하며, 이때 목표가 최대한 구체적으로 드러나는 것이 좋다.


2. Intelligence Gathering

이 단계는 정보 수집에 해당되는 작업을 실시한다. SNS에 대한 OSINT나 구글해킹, footprinting 등을 통해 해당 기업의 정보를 수집하는 과정이다. 모의해킹 전문가는 전체 시스템을 파악하고, 그것을 방해하는 요소가 무엇인지를 인지해야 한다. 예를 들어, 허용된 포트를 점검하던 중 방화벽에 의해 특정 포트가 차단되어 있다거나 하는 정보를 파악하게 된다면 추후에는 이를 적절히 우회할 수 있는 방안을 강구해야 한다는 점을 인식하게 되는 것이다. 또한, 방화벽에 자신의 침입 흔적을 남으면 추적당할 우려가 있으므로 주의해야 한다는 것 등을 깨닫게 된다.


3. Threat Modeling

위협 모델링 단계는 정보수집 단계에서 파악된 정보를 이용해 대상 시스템에 존재하는 취약점을 본격적으로 식별하는 단계이다. 수집한 정보를 먼저 적절한 기준을 세워 분류하고, 그 중 효과적이고 효율적인 방법을 찾아 공격방식들을 결정한다. 또한, 어느 지점이 취약하며 왜 그곳을 공격해야 하는지에 대한 판단과 선택도 필요하다.


4. Vulnerability Analysis

이 단계에서는 이전과정에서 식별했던 것 중 '가장 적합한 공격 방법'을 통해 실제로 어떻게 대상에 접근할 것인지를 고려한다. 즉, 이전 단계에서 획득한 정보를 통합하고 이를 이용해 실행 가능한 공격 방법이 무엇인지를 구체적으로 분석한다.


5. Exploitation

이 단계에서는 구체적인 침투를 수행하는 과정이 포함된다. 모의해킹에서 가장 매력적인 부분이라고 할 수 있으며, 침투의 정확도를 높이기 보다는 빈틈을 찾는 것 자체에 집중한다. 만약 특정 지점의 공격 성공가능성이 높다고 판단되면 그곳에 침투 수행을 시도하는 것이다. 


6. Post Exploitation

포스트 익스플로잇 단계는 이미 여러 시스템을 감염시킨 상황에서, 다양한 정보를 수집하고 그 중에 실질적으로 활용가치가 높은 정보를 확인하고, 이득을 가져올지 판단하여 공격하는 시나리오이다.


7. Reporting

이 단계는 가장 중요하지 않은 것 같지만 실제로는 가장 중요한 부분이다. 보통 해킹의 경우 굳이 이런 지루한 작업을 할 필요가 없겠으나, 모의해킹은 해당 기업과의 계약을 통해 맺어진 일종의 납품관계이다. 이 단계는 납품할 최종 결과물을 작성하는 것이다. 모의해킹을 수행한 결과는 대상 기관이 그동안 발견하지 못했던 문제점을 공격자의 관점에서 찾았다는 것을 서술하여야 한다. 이 정보를 통해 대상 기관은 미래 공격을 선제적으로 방어할 수 있게된다. 보고서의 구성은 지나치게 기술적일 필요는 없으나 최소한 경영진이 납득할 수 있어야 하고, 실무자들이 대처할 수 있는 방안이 제시되는 것이 좋다.

CPUU님의 창작활동을 응원하고 싶으세요?