Offcanvas

���������������

모의해킹 전문가 "소셜 엔지니어링 공격 성공률은 150%"

화이트햇 소속 해커들은 기업을 '최악의 상태'로 파악한다. 이들이 하는 일은 결국은 취약점을 노출시키는 것이기 때문이다. 네트워크 월드 편집장인 존 딕스는 침투 테스트(모의 해킹) 전문가인 조쉬 베리와 인터뷰를 가졌다. 미국 휴스톤 소재 IT 컨설팅 및 통합 업체인 애큐데이터 시스템(Accudata Systems)의 선임 기술 매니저인 조쉬 베리는 자신이 직접 접했던 공격 기법과 이에 대응하는 방법을 자세히 설명했다. Q. 화이트햇 팀에 대한 간략한 소개를 부탁한다. A. 내부, 외부 취약점 평가, 네트워크 침투 테스트, 웹 애플리케이션 테스트, 모바일 애플리케이션 침투 테스트, 무선 관련 테스트, 소셜 엔지니어링 등을 담당하고 있다. 또한 PCI-DDS, HIPAA 등 컴플라이언스(규제 준수) 측면의 업무도 맡고 있다. 대부분이 '기본'에 해당하는 보안 자격증인 CISSP를 보유하고 있다. 나 같은 경우 침투 테스트라는 '틈새' 영역에서 높은 평가를 받는 OSCP(Offensive Security Certified Professional)이다. 연구소에서는 24시간 동안 가능한 많은 시스템에 침투, 액세스한 후 보고서를 작성한다. Q. 고객은 누구인가? A. 통상 정보보안팀 등 IT부서와 협력한다. 보안 통제정책을 검증해야 하는 컴플라이언스(규제 준수)와 관련된 의뢰가 많다. 신용카드 업계를 예로 들면, 데이터 보안 기준인 HIPAA 준수와 관련된 의뢰다. 고객이 목적과 목표를 인식하고 있어 많은 설명이 필요없다. Q. 침해 사고 후 의뢰를 받기도 하는가? A. 그런 경우도 있다. 침해 사고를 당한 경우 보안 계층과 통제정책을 강화하는 조치를 취한다. 강화 조치가 완료된 후 애큐데이터 같은 회사에 침투 테스트를 의뢰, 설치한 시스템을 검증하는 때가 많다. 예를 들어, 한 은행권 기업은 고객에게 배포할 모바일 애플리케이션 평가를 의뢰했다. 테스트를 통해 취약점 하나를 발견했다. 테스트...

소셜엔지니어링 컴플라이언스 화이트햇 침입테스트

2016.08.17

화이트햇 소속 해커들은 기업을 '최악의 상태'로 파악한다. 이들이 하는 일은 결국은 취약점을 노출시키는 것이기 때문이다. 네트워크 월드 편집장인 존 딕스는 침투 테스트(모의 해킹) 전문가인 조쉬 베리와 인터뷰를 가졌다. 미국 휴스톤 소재 IT 컨설팅 및 통합 업체인 애큐데이터 시스템(Accudata Systems)의 선임 기술 매니저인 조쉬 베리는 자신이 직접 접했던 공격 기법과 이에 대응하는 방법을 자세히 설명했다. Q. 화이트햇 팀에 대한 간략한 소개를 부탁한다. A. 내부, 외부 취약점 평가, 네트워크 침투 테스트, 웹 애플리케이션 테스트, 모바일 애플리케이션 침투 테스트, 무선 관련 테스트, 소셜 엔지니어링 등을 담당하고 있다. 또한 PCI-DDS, HIPAA 등 컴플라이언스(규제 준수) 측면의 업무도 맡고 있다. 대부분이 '기본'에 해당하는 보안 자격증인 CISSP를 보유하고 있다. 나 같은 경우 침투 테스트라는 '틈새' 영역에서 높은 평가를 받는 OSCP(Offensive Security Certified Professional)이다. 연구소에서는 24시간 동안 가능한 많은 시스템에 침투, 액세스한 후 보고서를 작성한다. Q. 고객은 누구인가? A. 통상 정보보안팀 등 IT부서와 협력한다. 보안 통제정책을 검증해야 하는 컴플라이언스(규제 준수)와 관련된 의뢰가 많다. 신용카드 업계를 예로 들면, 데이터 보안 기준인 HIPAA 준수와 관련된 의뢰다. 고객이 목적과 목표를 인식하고 있어 많은 설명이 필요없다. Q. 침해 사고 후 의뢰를 받기도 하는가? A. 그런 경우도 있다. 침해 사고를 당한 경우 보안 계층과 통제정책을 강화하는 조치를 취한다. 강화 조치가 완료된 후 애큐데이터 같은 회사에 침투 테스트를 의뢰, 설치한 시스템을 검증하는 때가 많다. 예를 들어, 한 은행권 기업은 고객에게 배포할 모바일 애플리케이션 평가를 의뢰했다. 테스트를 통해 취약점 하나를 발견했다. 테스트...

2016.08.17

IDG 설문조사

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.6