모의해킹 방법론 정리
1. 모의해킹 방법론이란?
모의해킹 방법론은 정보시스템의 보안 취약점을 식별하고 이를 평가 및 검증하기 위해 체계화된 절차와 기준을 의미합니다.
비정형적 ‘감’에 의존하지 않고, 표준화된 프레임워크를 통해 일관되고 재현 가능한 테스트를 수행하는 것이 목적입니다.
주요 특징
- 신뢰성 있는 테스트 수행
- 재현 가능한 절차 기반 수행
- 법적·윤리적 리스크 최소화
- 다양한 조직 요구에 맞는 유연성 제공
2. 대표적인 모의해킹 방법론 비교
| 방법론 | 특징 | 주요 적용처 |
|---|---|---|
| PTES (Penetration Testing Execution Standard) | 침투 테스트에 필요한 7단계 실행 프로세스 제공 | 민간 보안업체, 보안 컨설팅사 |
| PCI-DSS Penetration Testing Guide | 카드 정보 보호를 위한 규제 기반 침투 테스트 가이드 | 금융기관, 결제서비스업체 |
| OWASP WSTG (Web Security Testing Guide) | 웹/모바일/클라우드 등 애플리케이션 중심 보안 테스트 가이드라인 | 웹 개발사, DevSecOps 팀 |
| NIST SP 800-115 | 정부기관 중심의 보안 점검/진단 절차 정의 (Testing, Examination, Interviewing 분류) | 공공기관, 준정부기관, 정책 기반 진단 수행팀 |
3. 공통적인 모의해킹 수행 절차
대부분의 방법론은 아래와 같은 7단계 구조를 따릅니다.
① 사전 계획 수립 (Pre-Engagement Interactions)
- 테스트 범위, 기간, 목표 시스템 식별
- 법적 동의, 책임 한계, ROE(Rules of Engagement) 설정
② 위협 모델링 (Threat Modeling)
- 보호 대상 자산 식별 및 우선순위 결정
- 예상 공격자 유형, 목적, 기술 파악
- 현재의 방어 체계 분석 및 우회 경로 예측
③ 정보 수집 (Reconnaissance & Enumeration)
- OSINT (Open Source Intelligence): 공개된 자료 분석 (WHOIS, SNS 등)
- Passive Enumeration: 트래픽을 발생시키지 않는 정적 정보 수집
- Active Enumeration: 포트 스캔, 서비스 버전 파악 등 적극적 조사
- Footprinting: 기업/조직의 전체 IT 자산 파악 (도메인, 서브넷 등)
④ 취약점 진단 (Vulnerability Assessment)
- 자동화 도구 (Nessus, OpenVAS, Nexpose 등) 및 수동 분석
- 시스템, 네트워크, 애플리케이션 등 전 계층에 대한 취약점 평가
⑤ 취약점 공격 (Exploitation)
- 취약점 기반으로 시스템 침투 시도
- 인증 우회, 명령어 삽입, 버퍼 오버플로우 등 사용
- 영향도는 최소화 원칙 (비파괴성 테스트)
⑥ 후속 공격 (Post-Exploitation)
- 권한 상승, 세션 하이재킹, 내부망 이동(Lateral Movement)
- 민감 정보 수집, 백도어 설치, 지속성 확보 테스트
⑦ 보고서 작성 (Documentation & Reporting)
- 취약점 요약, 재현 방법, 실제 영향도 분석 포함
- 경영진용 요약 + 기술 담당자용 상세 내용 구분
- 대응 방안 및 우선순위별 개선 권고
4. 각 방법론별 핵심 요약
PTES
- 7단계 침투 테스트 절차 정의
- Pre-engagement → Reporting까지 명확한 흐름
- 공격자 관점에서 실전적인 Red Team 스타일에 적합
PCI-DSS PT Guide v1.1
- 카드 소유자 데이터 보호가 목적
- 테스트 주기, 범위, 방법론, 무결성 기준 등 명확화
- QSA(공인 심사자)에 의한 제3자 점검 필요
OWASP WSTG
- 웹/모바일/API 보안에 특화
- 테스트 케이스 기반 접근 (e.g., WSTG-INFO-02)
- SAST/DAST 도구 연계 및 DevSecOps 연동이 용이
NIST SP 800-115
- Testing(기술 테스트), Examination(문서 검토), Interviewing(면담) 세 축
- 공공기관에 특화되어 절차적 투명성과 문서화 강조
- 정책/절차 점검까지 포함하는 포괄적 방법론
5. 실무 적용 시 고려사항
| 항목 | 실무 적용 예시 |
|---|---|
| DevSecOps 통합 | CI/CD에서 SAST, DAST, 취약점 스캔 자동화 |
| Red Team Exercise | PTES 기반으로 위협 시나리오 설계 및 침투 시뮬레이션 |
| 보안성 점검 제안 | 공공기관 제안서에서 NIST 800-115 기반 점검 절차 삽입 |
| 교육 및 훈련 | OWASP WSTG 기반 웹 보안 실습 시나리오 구성 |
6. 결론
모의해킹 방법론은 단일한 도구가 아닌, 변화하는 위협 환경에서 보안 진단의 방향성과 일관성을 제공하는 나침반입니다.
처음엔 기존 방법론을 학습하고 실습하며 익히고,
나중엔 조직과 프로젝트에 맞는 커스터마이징된 자체 방법론을 유지/확장해나가는 것이 이상적입니다.
