관리 메뉴


Kinesis´s Open Document

이제는 "모의해킹"이 아니라 "침투테스팅(Penetration Testing)"이다. 본문

MEMO/기술 자료/Security

이제는 "모의해킹"이 아니라 "침투테스팅(Penetration Testing)"이다.

Kinesis 2018. 6. 7. 11:13

부제 : 우리는 허가되지 않은 "해킹"을 모의하고자 하는가? 아니면 승인된 시스템에 대해 "침투 테스팅"을 하려 하는가?


우리가 말하고 있는 "모의해킹" 이란?

우리나라 “한국”은 언재부터인가 [승인된 시스템을 대상으로 취약한 부분을 찾아 침투하는 과정을 통해 취약점을 발견하고 개선, 보완하는 일련의 과정]을 “모의해킹” 이라는 단어를 이용해 표현해 오고 있다. IT수준과 보안수준이 높아지고 있는 지금 이 시점에서 우리는 이것에 대해 고민을 해 볼 필요가 있다.


모의 模擬/摸擬[발음 : 모의/모이]

파생어 : 모의하다


명사로서 (흔히 다른 명사 앞에 쓰여) 실제의 것을 흉내 내어 그대로 해 봄. 또는 그런 일.

출처 : 네이버 국어사전


“모의해킹”이란 “모의” + “해킹(Hacking)”의 합성어로 국어사전적 정의를 보면 위와 같다. 즉 해킹(Hacking)을 ‘모의’하거나 또는 ‘이를 위한 일련의 행위’를 의미하는 것이 모의해킹인 것이다. 여기서 추가적으로 해킹(Hacking)이라는 단어의 사전적 정의를 살펴보면 다음과 같다.


해킹 (Hacking)


명사, <컴퓨터> 다른 사람의 컴퓨터 시스템에 무단으로 침입하여 데이터와 프로그램을 없애거나 망치는 일.

출처 : 네이버 국어사전



보안업에 종사한다는 것은?

우리가 보안업에 종사한다는 것은 [작게는 특정 장비에 문제가 발생하지 않도록 하는 일련의 조치에서 부터 크게는 그 회사2가 운영중인 서비스를 제공함에 있어 문제가 발생하지 않도록 하는 일련의 조치와 과정]을 목표로 삼고 있다고 할 수 있다.


이 과정에서 우리는 필요에 따라서는 사전에 공격을 시도 하여 취약점을 찾아내고 이로 인해 발생할 수 있는 영향도를 체크하여 방어하기 위한 일련의 행위와 과정을 취할 수 있으며 이러한 과정 자체 역시도 보안을 수행하는 것이라 할 수 있다.


다만, 우리는 그 과정과 전제에 대해 미리 사전에 그 회사로부터 “승인”을 받고 업무를 수행함으로 “모의해킹”이라는 사전적 의미와는 시작의 전제부터가 다르다 할 수 있다.


돌려 말하다보니 이해하기 어려울 수 있는데 요약하자면 다음과 같다.


우리는 승인을 받지 않은 해킹(Hacking)이라는 행위를 모의한 것이 아니라 사전에 승인(또는 협의)된 침투 테스팅을 통해 서비스가 안정적이고 보안성을 확보 하기 위한 업무를 수행한 것이므로 “모의해킹” 이라는 단어의 의미와는 본질적인 차이가 있다.



외국에서의 명칭

Github 에서 Penetration Testing 를 검색해본 결과 화면 (2018년 06월 05일 기준)Github 에서 Penetration Testing 를 검색해본 결과 화면 (2018년 06월 05일 기준)



최근 외국에서는 이러한 작업을 ‘Penetration Testing'(발음 : 페네트레이션 테스팅) 이라는 명칭을 사용해 다루고 있고, 거의 자리가 잡힌것으로 보인다. 실제로 Github 에서 Penetration Testing 라는 단어로 검색을 해보면 꽤 많은 프로젝트가 검색이 되는 것을 확인해 볼 수 있다.


단어의 사전적 의미는 ‘침투’를 의미하는 ‘Penetration’ 과 ‘시험’ 또는 ‘검사’의 의미를 가지고 있는 ‘Testing’이 결합된 것으로 직역하면 “침투 테스트”에 가깝다. 즉, 모의해킹이 아닌 침투 테스트다.


자고로 테스트, 즉 시험이라 함은 ‘시험의 대상’이 있고 ‘시험을 진행하는 주체’가 있다. 그리고 이를 위한 과정에서는 명시적이든 암묵적이든 합의를 전제로 이루어지게 된다. 따라서 보다 전문성 있고 의사소통에 있어서의 오차를 줄이기 위해서는 “모의해킹” 보다는 “침투 테스트(Penetration Testing)” 이라는 표현이 보다 옳바른 표현에 가깝다 할 수 있겠다.




결론은...

결론적으로 말하면, 우리가 보안업을 하고 있는 전문가 이거나 준비를 하고 있는 지망생이라면, 여태까지 사용 되어 오던 “모의해킹” 이라는 단어의 의미를 모른 채 무분별히 사용하기보다는, 의미를 이해하고 자신의 위치나 업무 목적에 따라 “침투 테스트(Penetration Testing)” 이라는 용어를 사용하여 의사소통에 있어 가급적 오해의 소지가 발생하지 않도록하자고 말할 수 있겠다.


원본 - https://www.kinesis.kr/project/from-now-on-it-should-be-called-penetration-testing/


Comments