1. 프로젝트 주제
평소 관심이 있었던 주제인 모의해킹에 대해 생각하다가 이를 직접 프로젝트로 진행해보고 싶어 '시나리오 기반 모의해킹'을 프로젝트의 주제로 선정하였다.
2. 프로젝트 계획
모의해킹의 수행 표준안인 PTES에 맞추어 계획하였다.
1. 사전협의 단계
모의해킹을 어떻게 진행할 것인지에 대한 범위를 결정한다. 해킹의 대상(환경)을 정한다. 모의해킹을 진행하기 위해서는 해킹을 합법적으로 할 수 있는 환경이 필요하다. 그렇기 때문에 이를 직접 만든다거나, 혹은 인터넷에서 지원하는 해킹 가능 사이트를 이용할 수 있다. 또한 어떻게 진행할 것인지에 대한 수행 계획서를 작성한다.
2. 정보수집
선택한 해킹 대상에 대한 정보를 수집한다. 구글에 검색을 하여 정보를 알아보거나, 스캐닝, 서버, 네트워크 등의 정보를 알아본다. 여기서는 가상머신을 이용하여 다양한 명령어와 도구들을 사용할 수 있을 것이다.
3. 위협모델링
2번에서 수행한 정보수집을 바탕으로 보안적인 문제가 발견될 수 있는 정보를 분류한다. 이를 바탕으로 모의해킹을 진행할 수 있다.
4. 취약점 분석
해킹 대상에 맞는 공격을 진행한다. 예를 들어, 만약 해킹 대상이 특정한 웹사이트라면 웹 해킹 기술을 사용하여 해킹을 진행한다.
5. 침투
시나리오를 기반으로 하여 진단 항목을 서비스에 대입하여 침투가 되었는지 그 여부를 확인한다.
6. 내부침투
5번에서 수행한 해킹대상으로의 침투가 제대로 이루어졌을 경우 내부침투를 통하여 대상에 대한 중요한 정보를 취득할 수 있다.
7. 보고서 작성
모든 모의해킹을 끝내고 나면 어떻게 수행하였는지에 대한 결과를 정리하는 보고서를 작성하여 정리한다.
현재는 해킹할 대상이 명확하게 정해지지 않은 상태이기 때문에 각각의 단계를 어떻게 진행할 것인지에 대한 절차만을 계획해두었다. 실제 이 주제를 가지고 프로젝트를 진행한다면 각 단계별로 더 구체적이고 자세한 계획을 세우고 이에 따라서 진행할 수 있을 것이다.
