PTES(Penetration Testing Execution Standard)는 침투 테스트의 일관성과 품질을 보장하기 위해 제안된 표준 프레임워크입니다. 실무에서 침투 테스트를 계획하고 실행하는 데 있어 전반적인 로드맵을 제공하며, 다양한 단계별로 필요한 절차와 고려사항을 정의합니다.
PTES 주요 구성 요소 (7단계)
-
Pre-engagement Interactions (사전 협의 단계)
- 테스트 범위, 일정, 목적, 법적 동의서(NDA 포함) 등을 명확히 합의합니다.
- Rules of Engagement(ROE)를 포함하여 어떤 도구나 기법이 허용되는지도 정합니다.
-
Intelligence Gathering (정보 수집)
- Passive/Active 수집을 통해 목표 시스템에 대한 정보를 최대한 모읍니다.
- WHOIS, DNS 정보, 공개된 이메일 주소, OSINT, 포트 스캔 등 포함.
-
Threat Modeling (위협 모델링)
- 수집한 정보를 바탕으로 가능한 위협 벡터를 식별하고 우선순위를 정합니다.
- 공격자의 관점에서 어떤 경로로 침투할 수 있을지 가설을 세움.
-
Vulnerability Analysis (취약점 분석)
- 수집한 정보와 도구(예: Nessus, OpenVAS 등)를 활용하여 취약점을 식별.
- 수동 분석도 병행되며, 논리적/구성적 취약점도 다룸.
-
Exploitation (취약점 공격)
- 실제로 취약점을 활용해 시스템에 접근.
- 권한 상승, 세션 하이재킹 등도 포함. 시스템에 영향을 주지 않는 선에서 수행.
-
Post-exploitation (침투 후 활동)
- 얻은 권한으로 내부 네트워크 탐색, 민감 정보 접근, 피봇팅 등.
- 실제 공격자가 할 수 있는 피해 시나리오를 시뮬레이션.
-
Reporting (보고서 작성)
- 기술적 상세와 함께 비기술적인 설명도 포함하여 이해관계자에게 보고.
- 문제점, 영향도, 재현 방법, 대응 방안 등을 포함.
PTES는 침투 테스트를 단순히 스캔 → 공격 → 리포트 형태가 아니라, 체계적인 프로세스로 접근할 수 있도록 가이드합니다. DevSecOps 환경에서는 위 표준을 기반으로 보안 테스트 자동화나 사전 보안 설계 검토 등의 활동과 연계할 수 있습니다.
