Last Updated on 2월 12th, 2020, By
 In AppSealing News, 앱실링 블로그

Pentesting vs Vulnerability

취약점 탐색과 침투 테스트는 개념적으로 혼동되기 쉽습니다. 일부 보안 전문가조차도 이들을 하나의 동일한 개념으로 간주하기도 합니다. 결론적으로 두 가지 방법중 하나만을 사용하여 검증한 결과를 바탕으로 모바일 애플리케이션이 완전히 안전하다고 추정하는 실수를 피해야 합니다. 모바일 웹과 애플리케이션의 보안 전략을 고려하는 데 이 두 가지 접근법이 모두 사용되어야 하며, 포괄적인 위험 분석 및 애플리케이션의 전반적인 보호를 달성하도록 설계하는 것이 매우 중요합니다. 이 두 가지 접근법은 아키텍쳐 및 네트워크 취약점에 관한 보안 위협을 피하는 데 중요한 역할을 합니다.

모바일 웹과 애플리케이션의 보안 취약점을 파악하고, 전반적인 보안 커버리지를 확대하기 위해서는 두 가지 접근법에 관한 차이점을 이해하고 상호 간 보완 방법을 찾는 것이 매우 중요합니다.

정의와 범위

침투 테스트는 응용 프로그램의 보안 취약점, 위협 요소, 허점을 탐지하는 데 도움이 됩니다. 보안 전문가는위험한 코드 삽입, SQL 삽입, 매개 변수화, 권한 없는 입력 등의 공격을 수행하여 안전하지 않은 비즈니스 로직과 악용 가능성이 있는 부적절한 보안 조치를 식별하고 평가합니다. 평가된 결과를 이용하여 개발팀은 보안 허점을 제거하여, 보다 안전한 애플리케이션을 만들 수 있습니다. 침투 테스트는 자동으로 수행되기는 어려우며, 일반적으로 많은 경험을 가진 전문가에 의해서 수동으로 수행됩니다.

반면 취약점 탐색은 널리 알려진 취약점을 확인하는 과정이며 자동화될 수 있습니다. 이는 일반적으로 방화벽, 라우터, 서버 등과 같은 애플리케이션 및 네트워크 수준에서 수행됩니다. 트래픽을 모니터링하고 멀웨어를 탐지하여 보안 취약점을 식별하지만, 동일한 방법을 공격 수단으로 사용하여 테스트하지는 않습니다. 앞서 설명한 침투 테스트와 달리 취약점 탐색은 광범위한 범위에서 실행되고 정기적으로 수행됩니다. 취약점 탐색 프로그램은 보안 위협 탐지에만 도움이 되며, 효과적인 보안 프레임 워크 설계를 위해서는 침투 테스트와 병행되어 사용되어야 합니다.

위에서 언급한 바와 같이 적절하게 수행된 침투 테스트는 애플리케이션의 취약한 부분을 식별하는데 도움을 줄 뿐만 아니라 보안 위협요소가 비즈니스에 미치는 영향을 파악할 수 있는 인사이트를 제공합니다. 따라서 침투 테스트를 통해 기업은 알려지지 않은 취약점을 발견하고, 취약점 탐색을 활용하여 조치된 사항을 확인하는 과정을 반복하여 안전한 애플리케이션을 만들 수 있습니다.

어떠한 방법을 선택하여 언제 수행해야 하는가

취약점 탐색은 과거에 행해진 공격으로부터 학습된 내용을 토대로 정기적으로 수행되어야 합니다. 이 방법은 잘 알려진 잠재된 보안 위협을 찾아내는 데 있어 더욱 효과적이며, 특히 네트워크와 관련된 사항은 취약점 탐색 과정에서 면밀하게 살펴봐야 합니다. 생성된 취약점 보고서는 그 항목에 따라 우선순위를 부여하고, 개발팀에 공유되어 적절한 조치를 취할 수 있도록 해야 합니다.

침투 테스트는 실제 사이버 공격을 시뮬레이션하고 다양한 기술을 사용하여 방어 체계를 공격함으로써 방어 체계의 허점을 찾아내는 데 목적이 있습니다. 침투 테스트 수행자는 소위 이야기하는 윤리적 해킹을 수행하여 애플리케이션의 보안 기능의 제한 사항을 테스트하고, 실제 시나리오에서 다양한 공격을 견딜 수 있을지를 확인합니다. 이러한 사전 점검 과정을 통해서 기업은 보안 허점을 수정하고, 서버 인터페이스나 API를 보다 안전하게 설계할 수 있습니다. 기본적으로 침투 테스트는 보안 취약점을 발견하는 범위를 확대하기보다는 공격의 질을 더욱 중요하게 여깁니다.

침투 테스트는 일반적으로 다음과 같은 5단계로 이루어집니다.

  1. 정찰 – 목표 애플리케이션에 관련된 정보를 수집합니다.
  2. 탐색 – 애플리케이션을 검사하여 보안 위협에 관련된 상세 정보를 확인합니다.
  3. 접근 권한 취득 – 1과 2단계를 사용하여 애플리케이션의 허점을 찾아내어 악성코드를 삽입하여 데이터에 접근할 수 있는 권한을 획득한 후 이를 이용한 공격을 수행합니다.
  4. 액세스 유지 – 애플리케이션 내에 접근 권한을 계속 유지하여 많은 공격 수행합니다.
  5. 추적 방지 – 지능적인 공격자는 자신의 흔적을 남기지 않도록 로그, 수집된 데이터 등의 접근 이력을 모두 제거합니다.

앱을 완벽하게 만들기

우선 팀은 애플리케이션이 가질 수 있는 잠재적인 위협에 대한 전반적인 이해를 위해서 취약점 탐색을 시작합니다. 이 과정을 통해서 생성된 잠재 위협 목록은 개발자에게 전달됩니다. 이후 특정 공격 시나리오를 이용하여 직접 침투 테스트를 수행합니다. 타깃 애플리케이션의 취약점을 이용한 이러한 평가들은 개발팀이 보안 위협을 패치하기 위한 전략을 수립하고 발전시키는 데 큰 도움이 됩니다. 또한 비즈니스 로직의 취약점이나 제로데이 위협과 같은 예상치 못한 위협 요소를 발굴하는 데 도움이 됩니다. 이러한 과정은 결국 시간과 돈을 절약하여 비즈니스 IP를 보호하는데 큰 역할을 수행할 것입니다.

지속적인 취약점 탐색과 시기적절한 침투 테스트의 수행은 중요한 정보와 네트워크 보안을 유지하는 데 있어 필수 요소입니다. 또한 이러한 절차는 효과적이고 미래지향적인 성숙한 보안 전략을 수립하는 데 도움이 됩니다.

애플리케이션의 보안을 평가하고 취약점을 찾기는 쉽지만, 애플리케이션의 실행 시 발생할 수 있는 공격을 탐지하고 차단하려면 런타임 애플리케이션 자가 방어 솔루션이 필요합니다.

복잡한 결정을 내리는 데 도움이되는 실시간 모니터링 대시 보드를 사용하여 애플리케이션의 알려진 위협 및 알려지지 않은 위협을 차단할 수있는 AppSealing을 사용해보십시오.

무료 평가판을 지금 시작하십시오.http://bit.ly/signup-free-trial-appsealing

Dustin Hong
Dustin Hong
Dustin은 잉카엔트웍스의 앱실링 비즈니스 개발을 이끌고 있습니다. 그는 사이버 보안, IT, 컨텐츠 및 애플리케이션 보안 분야의 소프트웨어 개발과 혁신에 많은 관심을 가지고 있습니다. 또한 사이버 보안 세계에서 주요 사건의 대상, 이유 및 방법에 대해 다양한 사람들에게 공유하고 토론하는 것을 좋아합니다. 업계 동향 및 모범 사례에 대한 그의 견해는 기사, 백서에 실려있으며, 여러 보안 행사에서 유사 주제로 발표를 하였습니다.

Leave a Comment

Stop Mobile App HackingAppSealing to support 64 bit Android Apps