<정보보안을 조명한다>(6)침투테스트

　한국 보안컨설팅 시장은 정보통신기반보호법 시행과 정보보호 전문업체 지정 이슈들을 기반으로 폭발적으로 성장하고 있다. 따라서 핵심기술 기반인 침투테스트(penetration test)라는 용어도 생소하지 않게 됐다. 그러나 이 말이 보안감사나 취약성 분석 등의 개념과 혼용되면서 어떤 요구사항이나 목적을 위해 수행해야 하는지 혼란스러워졌다.

　침투테스트는 고객들이 가장 선호하는 테스트다. 이는 고객의 네트워크와 시스템에서 잠재적인 보안 취약성들을 발견해내고 이 가운데 가장 파급효과가 크면서도 침입탐지가 어려운 취약성들을 악용해 어떤 결과가 초래되는지를 보여준다. 또 일부 관리자를 제외한 내부 직원에게 테스트 사실을 알리지 않은 상태에서 아무런 지원도 없이 수행된다. 그러나 침투테스트의 한계점은 말 그대로 ‘침투’ 자체가 목적이기 때문에 몇 개의 취약성을 뚫고 들어갈 뿐 많은 다른 문제들에 대해서는 진단하지 않는다는 점이다. 즉 시스템의 문제점을 포괄적으로 진단하는 데는 유용하지 못하다는 것이다.

　침투테스트는 보안을 등한시하면 엄청난 손실을 입을 수 있다는 주장을 납득시키기 위한 수단으로 활용된다. 보안관리자가 보안의 중요성을 경영진에게 인식시키고 예산을 편성받기 위한 방법이기도 하다. 물론 이 효과를 극대화하기 위해서는 기업망이 침해됐을 때 발생하는 손실은 극단적이고 구체적으로 묘사돼야 한다.

　이에 반해 보안감사(security audits)는 조직의 보안활동이 어떤 기준에 부합되는지를 평가하고 미진한 부분이 있으면 어떻게 조정해야 할지에 대한 지침을 제공하는 역할을 수행한다. 최근의 보안감사에는 CoBIT(Control oBjectives for Information and related Technology)·BS7799·SAS70 등이 활용된다. 이 보안감사 기준의 질과 내용은 매우 다양하다. 좋은 기준은 기술적 측면뿐만 아니라 물리적 보안에 대해서도 언급돼 있어야 한다. 또 직원들이 기업정보와 자원을 어떻게 다뤄야 하는지, 보안수준·시스템 설정·비밀번호 강화수단 등에 대한 내용을 포괄적으로 포함하고 있어야 한다. 이런 기준들은 일회성 평가수단이 아닌 지속적인 보안활동을 유지할 수 있도록 정의돼야 한다.

　컨설팅회사가 기본으로 제공하는 취약성 분석(vulnerability assessment)은 대상기업의 시스템과 네트워크의 문제점을 분석해내고 이들을 어떻게 해결해서 보안을 증진할 것인가의 방안을 규명하는 것이 목적이다. 침투테스트와의 차이점은 대상 조직이 자신의 시설과 네트워크에 대한 접근 권한, 네트워크 구성에 대한 정보를 사전에 제공해 상호협력체제 형태로 진행된다는 점이다. 또 분석 컨설팅업체는 포괄적인 보안진단과 이에 대한 해결방안을 제공한다. 그러나 취약성 분석에는 객관적 기준이 없어 구체적으로 어떤 범위와 대상에 대해 어떤 작업이 수행될 것인지를 사전에 명확히 할 필요가 있다.

　이처럼 보안점검 테스트를 수행하고자 할 때 기업들이 요구사항과 테스트의 목적을 결정하고 해당 테스트의 목적과 범위를 파악한 다음 가장 적절한 테스트를 선택하면 효과적인 보안 점검의 기회를 갖게 된다.

<필립 드와 트루시큐어아시아 부사장 pdewar@trusecure.com

　 김현준 트루시큐어코리아 컨설턴트 hjkim@trusecure.com>