NIST SP 800-115는 미국 NIST(National Institute of Standards and Technology)에서 발행한 정보보호 테스트 및 평가에 대한 기술 가이드라인으로, 공공기관 및 일부 민간 부문에서도 널리 채택되고 있는 모의해킹 및 보안 점검 표준 프레임워크입니다.
NIST SP 800-115 개요
- 정식 명칭: Technical Guide to Information Security Testing and Assessment
- 발행 목적: IT 시스템에 대한 보안 테스트를 일관되고 효과적으로 수행하기 위한 기술적 기준 제시
- 주요 대상: 연방 기관 및 이를 따르는 공공 부문, 준공공기관
- 적용 범위: 시스템, 네트워크, 애플리케이션 등 모든 정보자산
보안 테스트 유형
NIST 800-115는 보안 테스트(Testing), 검토(Examination), **면담(Interviewing)**의 3가지 주요 범주를 정의합니다.
1. Testing (기술적 시험)
실제 시스템에 대한 기술적 접근 및 도구 활용을 통한 점검
- 네트워크 스캐닝 (Scanning)
- 취약점 평가 (Vulnerability Scanning)
- 패스워드 크래킹
- 소스코드 분석
- 침투 테스트 (Penetration Testing)
2. Examination (문서 및 설정 검토)
- 설정 파일, 정책 문서, 시스템 로그 등의 수작업 또는 자동화된 분석
- 정책/절차/구성 문서의 일관성 및 적정성 확인
3. Interviewing (면담)
- 관리자, 보안 담당자, 운영 인력과의 인터뷰
- 실제 정책과 실행 간의 차이 파악
보안 점검 프로세스 (NIST 800-115 기준)
-
Planning (계획 수립)
- 범위 정의, ROE 작성, 테스트 방법 선정
- 시스템 영향 평가 및 리스크 수용
-
Discovery (정보 수집)
- 네트워크, 시스템, 애플리케이션 수준의 정보 수집
- OSINT, 포트 스캔, 서비스 식별
-
Attack (공격 단계)
- 취약점 활용, 권한 상승, 침투 및 내부망 확장
- 피해 최소화 원칙(비파괴성)
-
Reporting (결과 보고)
- 기술적/관리적 시사점 도출
- 재현 절차, 영향도, 대응 방안 포함
실무 연계 포인트
| 분야 | 적용 예시 |
|---|---|
| DevSecOps | 코드 보안 분석(SAST), 배포 전 자동 취약점 검사 |
| 레드팀 | 공격 단계의 침투 테스트 수행 지침으로 활용 |
| 블루팀 | 로그 분석, 설정 검토 단계에 대한 가이드로 활용 |
| 공공 SI/ISP 제안 | 제안서 보안 항목 설계 시 근거 프레임워크로 인용 |
PTES vs. NIST SP 800-115 비교
| 항목 | PTES | NIST SP 800-115 |
|---|---|---|
| 목적 | 침투 테스트 표준화 | 정보보호 테스트 전반 가이드 |
| 범위 | 공격 중심(모의해킹) | 테스트 + 검토 + 인터뷰 포함 |
| 적용처 | 민간 중심 | 공공기관 중심 |
| 구성 | 7단계 실행 프로세스 | 계획 → 수집 → 공격 → 보고 |
