2주차

Source: Dev.to

Disclaimer

이 블로그에서 논의되는 도구와 기법은 교육 목적에 한정됩니다.

Testing Methodologies and Legalities

이번 주 윤리적 해킹 및 침투 테스트 수업에서는 침투 테스트의 이론과 법적 측면에 중점을 두었습니다. 시스템을 실제로 해킹하기 전에 구조적 경계와 관련 법적 프레임워크를 이해하는 것이 필수적입니다.

Roles in Security

• Ethical Hackers – 허가를 받고 시스템에 침투하여 취약점을 찾아 보고함으로써 조직이 이를 패치할 수 있도록 합니다.
• Hackers & Crackers – 무단으로 시스템에 접근하여 데이터를 탈취하거나 파괴하는 경우가 많으며, 이는 징역형에 처해질 수 있습니다.
• Script Kiddies – 기본 코드를 이해하지 못한 채 스크립트와 기법을 복사·붙여넣기만 하는 경험 부족한 사람들입니다.

Engagement Types

• White Box – 전체 네트워크 토폴로지를 제공받고 IT 직원과 인터뷰할 수 있는 권한이 주어집니다.
• Black Box – 아무런 정보도 제공되지 않으며, 내부 직원조차 테스트가 진행 중이라는 사실을 모를 수 있습니다. 모든 것을 스스로 찾아내고 매핑해야 합니다.
• Gray Box – 클라이언트가 일부 정보를 제공하는 혼합형 접근 방식입니다.

Security Operations Teams

• Red Team – 공격자 역할을 수행하며, 보통 IT 직원이 모르는 상태에서 테스트를 진행해 시스템 방어 능력을 평가합니다.
• Blue Team – 시스템을 방어하고 Red Team에 맞서는 내부 팀입니다.

Legal Considerations

• 명시적인 허가 없이 컴퓨터에 접근하는 것은 불법입니다.
• 인도네시아에서는 UU ITE (정보 및 전자거래법) 가 이러한 활동을 규제합니다.
• Pasal 31에 따르면, 자신이 소유하지 않은 시스템에서 전자 정보나 문서를 가로채거나 도청하는 행위는 범죄에 해당합니다.
• 겉보기에 무해해 보이는 정찰 활동도 ISP의 허용 사용 정책에 따라 위법으로 판단될 수 있습니다.

Golden Rule of Penetration Testing

계약서를 사용하는 것은 좋은 비즈니스 관행이며, 계약서에 서명하기 전에 변호사의 검토를 받는 것이 좋습니다.