모의해킹과 보안 취약점 진단은
기업의 정보 보안을 강화하기 위한 중요한 프로세스 중의 하나인데요.
보안 취약점 진단이 시스템의 전반적인 보안 상태를 평가하는 거라면,
모의해킹은 실제 공격 시나리오에서 시스템의 방어 능력을 테스트 하는데
효과적인 방법입니다.
모의해킹은 실제 해커의 공격 방식을 시뮬레이션해서
시스템의 보안 취약점을 찾아내는 과정으로
일반적으로 아래와 같은 절차를 밟고 진행하게 됩니다.
사전협의 단계
-고객과 모의해킹의 범위와 대상을 결정
정보수집 단계
-구글 검색, 서비스 디렉토리, 스캐팅 정보 등 대상 시스템에 대한 정보 수집
위협모델링 단계
-수집된 정보를 바탕으로 보안 위협이 될수 있는 요소들을 분류
취약점분석 단계
-웹 해킹, 모바일 해킹 등 실제 공격을 시도해서 취약점 발견
침투 단계
-발견된 취약점을 이용해서 시스템에 침투 시도
내부침투 단계
-중요한 정보를 취득하는 단계
보고서 작성
-발견된 취약점과 개선 방안을 정리해서 보고서를 작성
모의해킹을 수행할 때는
모의해킹의 범위, 대상, 목적을 명확하게 정의해야 하며,
실제 운영중인 시스템에 피해가 가지 않도록 주의해야 합니다.
그리고 개인정보나 중요한 데이터는 특별히 주의해야 하며,
진단 과정에서 업로드된 불필요한 파일을 반드시 삭제해야 합니다.
또한 모의해킹으로 인한 시스템 변경사항이 모두 원상복구 되었는지
꼭 확인해야 합니다.
보안 취약점 진단은 시스템의 보안 취약점을 체계적으로 식별하고
분류하는 프로세스인데요.
일반적으로 아래와 같은 절차를 밟고 진행하게 됩니다.
진단대상 선정
-진단할 시스템이나 어플레이이션을 선정
정보수집
-대상 시스템에 대한 정보 수집
취약점 진단
-자동화 도구와 수동 점검을 통해 취약점 식별
진단결과 분석
-발견된 취약점의 심각도와 영향을 분석
대응책 수립
-각각의 취약점에 대한 해결 방안을 제시
보고서 작성
-진단 결과와 개선 방안을 정리해서 보고서 작성
취약점 진단에는 모의해킹 보안 취약점 진단 이외에
웹 및 어플리케이션 취약점 진단, 소스코드 취약점 진단,
인프라 취약점 진단, 모바일 취약점 진단 등이 있는데요.
정부 및 공공기관은
개인정보보호법, 정보통신망법, 주요정보통신기반시설 보호조치 고시 등에 따라
연간 2회 이상 취약점 점검과 1회 이상의 모의해킹을
의무적으로 실시해야 하구요.
금융기관은
금융감독원의 금융전산 보안강화 종합대책에 따라 취약점 분석 평가를 해야 합니다.
개인정보처리자는
개인정보의 안전성 확보조치 기준에 따라
취약점 점검 관련 사항을 내부 관리계획에 포함해서 시행해야 하며,
ISMS, ISMS-P 인증 대상 기업은
정기적으로 취약점 점검을 수행하고 발결된 취약점에 대해 신속하게 조치를 해야 합니다.
아래 연락처로 연락주시면
다양한 업종의 취약점 진단 컨설팅 서비스 경험이 있는
비즈니스 파트너를 연결시켜 드리겠습니다.
