보안 취약점 진단팀의 역할과 화이트박스 진단 프로세스

1️⃣ 정보보안 전문기업 내 취약점 진단팀의 역할

🔹1. 정보보안 전문 기업의 조직 구조

정보보안 전문 기업 내 보안 조직은 일반적으로 다음과 같은 영역으로 구성된다. 

보안조직 구성

• 기술영업: 고객 대상 보안 솔루션 제안 및 기술 설명
• 관제: 실시간 보안 이벤트 모니터링 및 이상 탐지
• 운영: 보안 시스템 운영 및 정책 적용
• 컨설팅: 보안 인증 대응 및 실무 보안 점검
  • 관리 컨설팅
  • 기술 컨설팅 (모의해킹 / 취약점 진단)
• 엔지니어: 보안 장비 구축및 네트워크 설계 지원 

이 중 ``취약점 진단팀``은 기술 컨설팅 분야에 포함되며, 기업의 웹사이트, 서버, 네트워크 등의 실질적인 보안 수준을 점검하는 실무를 수행한다.

---

🔹2. 기술 컨설팅 세부 분야: 취약점 진단 vs 모의해킹

기술 컨설팅은 ``취약점 진단``과 ``모의해킹``이라는 두 가지 실무 분야로 나뉜다. 이 중 ``취약점 진단팀``은 항목 기반 진단 방식으로 보안성을 평가하는 역할을 담당한다. 

기술 보안 컨설팅의 세부 영역

항목	취약점 진단	모의해킹
진단 방식	항목 기반	시나리오 기반
접근 방식	화이트 박스	블랙 박스
목표	보안 약점 식별	실제 침투 경로 입증
예시	XSS 항목 존재 여부 확인	XSS를 통해 세션 탈취 및 인증 우회
수행 주기	상대적으로 짧음 (2 ~ 14일)	비교적 김 (1주 ~ 수개월)

 

접근 방식별 정의

• 화이트 박스 (White-box): 대상 시스템에 대한 충분한 정보를 바탕으로 점검 수행 (소스코드, IP, 계정 등 제공)
• 블랙 박스 (Black-box): 대상에 대한 사전 정보 없이 외부 공격자 관점에서 접근
• 그레이 박스 (Gray-box): 제한된 일부 정보만을 제공받고 점검 수행

---

2️⃣ 정보보안 기술 컨설팅를 위해 갖춰야 할 핵심 역량

🔹1. IT 인프라에 대한 기본 지식

기술 컨설팅 업무는 다양한 시스템을 직접 분석하고 진단해야 하므로, 기본적인 IT 인프라 지식은 필수다.

• 운영체제: Linux/Windows 파일 시스템, 권한 구조, 계정 관리 등
• 서버 구조: 웹 서버(Apache/Nginx), DB 서버(MySQL/PostgreSQL 등) 이해
• 네트워크 기초: TCP/IP, 포트, 패킷 흐름, 방화벽, 라우팅 원리 등

💡 실제 진단은 이러한 환경 위에서 수행되기 때문에, 환경을 이해하지 못하면
취약점을 재현하거나 정확한 원인을 설명하기 어려움

---

🔹2. 취약점 진단 스킬

진단 항목을 그저 체크리스트로만 확인하는 것이 아니라, ``실제 우회 시도``, ``악용 가능성`` 등을 분석할 수 있는 역량 또한 필요하다.

• OWASP Top 10 등 주요 취약점 이해
• CVE 기반 취약점 테스트 및 PoC 작성 능력
• Burp Suite, Nmap, Nessus, Metasploit 등 다양한 툴 숙련도
• False Positive를 구분하는 ``판단 센스``, 우회 케이스에 대한 실전 경험

---

🔹3. 개발 및 스크립트 작성 능력

보안 취약점을 이해하려면 결국 ``코드를 이해하는 능력``이 필요하다. 특히 모의해킹에서는 자동화 스크립트를 작성하거나 리버싱 시 분석할 수 있는 능력이 필요하다.

• Python
• JavaScript
• Java/C/C++
• Shell Script

💡 개발자 수준까지는 아니더라도, 보안 관점에서 코드를 해석하고 수정하거나 응용할 수 있는 수준이 요구됨

---

🔹3. 다양한 실무 환경 경험

기술 컨설팅은 환경에 따라 결과가 완전히 달라지므로, 다양한 시스템 구조 및 환경에서 직접 수행해본 경험이 큰 강점이 된다.

• 웹, 모바일, 클라우드 등 다양한 플랫폼 진단 경험
• 진단 범위에 따른 사전 분석 및 정확한 스코프 산정 능력
• 다양한 산업군의 보안 요구사항 파악 및 커뮤니케이션 능력
• 복잡한 시스템 구조에서 실전 침투 시나리오 수립 경험

---

3️⃣ 취약점 진단 프로세스 (화이트 박스 방식)

화이트 박스 방식의 취약점 진단은 진단 대상에 대한 사전 정보를 충분히 확보한 상태에서 진행되는 점검 방식이다. 서비스 구조, 계정 정보, 네트워크 구성 등 내부 정보를 기반으로 보다 정밀하고 깊이 있는 보안 점검이 가능하다.

---

🔹1. 대상 서비스 정보 수집/획득

진단에 앞서, 대상 시스템에 대한 충분한 정보를 확보하는 것이 중요하다. 이 정보들은 전체 서비스 흐름을 이해하고, 진단 포인트를 선별하는 데 활용된다.

• 권한 별로 나눠진 계정 정보: 관리자 / 일반 사용자 계정 등
• 도메인 정보: 주요 URL, 하위 도메인
• 서비스 접근 정보: 포트, 인증 경로, API 등
• 서비스 구성도 및 아키텍처: 시스템 연동 구조 파악

---

🔹2. 환경 분석 (서비스 분석)

수집한 정보를 바탕으로 서비스 환경을 분석하고, 공격 가능 지점을 도출한다.

• 서비스 구조 및 동작 방식 파악
• 인프라 및 애플리케이션 관련 정보 유추
• 구성도 및 아키텍처 분석 

인프라 정보

• 운영 환경: 온프레미스 / 클라우드 여부
• 리소스 분석: OS, DBMS, WEB, WAS, 플랫폼 정보 등
• 포트 스캔: 도메인/IP 기반으로 Well-Known 포트 및 그 외 대상 포트 스캔
• 디폴트 페이지 점검: ``/catalina/``, ``/manager/`` 등 기본 설정 노출 확인

애플리케이션 정보

• 소스코드 기반 정보 파악: 프레임워크, 개발언어, 소스 규모, 설정 파일 등
• 외부 구성요소 확인: FCK 에디터, Netbean, Spring Cloud, Vine Platform 등

---

🔹3. 취약점 진단 수행

수집 및 분석을 마친 뒤, 실제 점검을 통해 취약점을 식별한다.

• 진단 기준
  • 회사 내부 기준 또는 KISA  가이드(주통기) 기반 항목 접검
• 도구 및 스크립트 활용
  • 파이썬 기반 스크립트로 포트 스캔, 디폴트 페이지 자동 점검 등
  • Burp Suite, SQLMap등 자동화 도구 병행
• 진단자 역량에 따라 식별 범위/Depth 차이 발생

---

🔹4. 보고서 작성 및 취약점 리뷰

식별된 항목을 기반으로 고객사에 공유할 리포트를 작성한다.

• 식별된 취약점 정리 및 보고서 작성
• 담당자 보고서 전달 및 취약점 결과 리뷰

---

🔹5. 취약점 조치 및 이행점검 수행

보안 조취가 이루어진 이후, 해당 항목에 대해 재점검을 수행한다.

• 조취된 취약점 이행점검 수행
• 최종 이행점검 보고서 제출

---