8.2. 평가와 테스팅 정의하기

취약성 평가는 다음과 같은 두가지 유형으로 구분될 수 있습니다: 외부에서 내부를 평가하기 및 내부에서 외부를 평가하기.

외부에서 취약성 평가를 수행시에는 외부에서 여러분의 시스템으로 침입을 시도한다고 가정해보십시오. 회사 외부에서 침입을 시도함으로서 크래커의 관점을 이해할 수 있게 됩니다. 크래커가 보고 있는 사항들 — 공개적으로 라우팅가능한 IP 주소, DMZ 상에 위치한 시스템, 방화벽의 외부 인터페이스 등을 알아볼 수 있습니다. DMZ는 "비무장 지대(demilitarized zone)"를 줄임말로서 신뢰할 수 있는 내부 네트워크 (예, 회사 사설 LAN)와 신뢰할 수 없는 외부 네트워크 (공공 인터넷) 사이에 위치하는 컴퓨터나 소규모 하부 네트워크를 말합니다. 일반적으로 DMZ에는 웹(HTTP) 서버, FTP 서버, SMTP (이메일) 서버 및 DNS 서버와 같이 인터넷 트래픽을 처리하는 장치가 위치합니다.

내부에서 취약성 평가를 수행하시는 경우 여러분이 내부에 위치하며 신뢰받는 위치에 있으므로 어느정도 유리한 입장에 있습니다. 이것이 여러분이나 함께 근무하는 직원이 시스템에 로그인시 위치하게 되는 지점입니다. 프린트 서버, 파일 서버, 데이터베이스 및 디른 자원을 살펴보기 가능합니다.

이러한 두 가지 유형의 취약성 평가 사이에는 두드러진 차이점이 있습니다. 회사 내부에 위치하면 외부 사용자보다 많은 권한을 갖게 됩니다. 오늘날 대부분의 기업체에서는 외부인의 침입을 막을 수 있도록 보안을 설정합니다. 그러나 기업 내부에서의 침입을 막을 수 있는 조치를 거의 취해지지 않습니다 (예, 부서마다 방화벽 설치, 사용자 수준 접근 제어, 내부 자원을 위한 인증 절차 등). 일반적으로 대부분의 시스템은 회사 내부에 위치하므로 내부에서 보다 많은 자원을 찾을 수 있습니다. 만일 회사 외부에서 접근을 시도하시면 즉시 신뢰할 수 없는 상태로 간주됩니다. 회사 외부에서 접근 가능한 시스템과 자원은 일반적으로 매우 제한되어 있습니다.

취약성 평가와 침입 데스트 간의 차이점을 생각해 보십시오. 취약성 평가를 침입 데스트를 위한 첫번째 단계로 간주할 수 있습니다. 취약성 평가를 통해 수집한 정보는 테스팅에 사용됩니다. 취약성 평가에서는 보안 헛점과 잠재적 취약점을 찾는 반면, 침입 데스팅에서는 실제로 발견된 취약점을 사용하여 칩입 시도합니다.

네트워크 기반 구조를 평가하는 작업은 동적인 과정입니다. 정보 보안 및 물리적 보안 모두 동적이라 할 수 있습니다. 네트워크 평가를 수행함으로서 존재하지 않는 위험성이 보고되거나 존재하는 위험성이 보고되지 않는 경우를 발견할 수 있습니다.

보안 관리자는 자신의 지식과 보안 관리를 위해 사용되는 도구에 의존하고 있습니다. 현재 사용 가능한 평가 도구 중 하나를 한번 시스템 상에 실행시켜 보십시오. 거의 매번 보고된 문제점 중 최소한 몇 개는 존재하지 않는 문제점입니다. 프로그램이 잘못되었거나 사용자의 잘못인지 여부를 떠나서 결과는 언제나 같습니다. 도구는 실제로는 존재하지 않는 취약점을 찾아내거나 (false positive); 또는 실제로는 존재하는 취약점을 찾아내지 못하는 경우 (false negative)가 있습니다.

이제 취약성 평가와 침입 테스트 간의 차이점을 알아보았으니 평가 후 찾아낸 사항들을 주의깊게 검토한 후 침투 테스트를 실행해보시기 바랍니다.

	경고
	생산 자원의 취약점을 이용하여 침입 테스트를 시도하시면 회사 시스템과 네트워크의 생산성과 효율성에 반대 영향을 미칠 수 있으니 주의하십시오.

다음 목록에서는 취약성 평가를 수행함으로서 받을 수 있는 여러 가지 혜택을 설명하고 있습니다:

• 정보 보안 사전 대처할 수 있음

• 크래커가 찾아내기 전에 잠재적 취약점을 찾아낼 수 있음

• 시스템이 항상 업데이트되고 패치될 수 있음

• 직원의 전문적 기술을 증대시키는데 도움이 됨

• 재정적 손실과 부정적인 회사 이미지를 줄일 수 있음