Pentest = Penetration + Test
- Penetration : 침투, 침입, 침해
- Pentest는 해커와 동일한 환경 즉, 해커의 관점에서 해킹 기술을 이용해 모의침투 테스트를 실시하는 것이다.
해커는 자신의 목표 이익을 위해서라면 어떠한 제약을 가지지 않고 자신이 가진 기술들을 동원해서 해킹을 시도한다. 해커가 심어놓은 악의적인 악성코드를 분석하면, 역으로 새로운 아이디어와 기술, 방법들을 얻을 수 있다. 이유는 다양하지만 목적을 달성하려는 강한 의지 덕분인지, 다양한 아이디어가 나오나보다.
최근 Web, 모바일 어플리케이션 뿐만 아니라 IoT(Internet of Things), IoE(Internet of Everything)과 같은 기기들이 상용화되면서 주위의 많은 사물들의 보안 역시 대두되고 있다. 곧 자율주행자동차를 비롯한 빠른 프로세싱을 요구하는 시스템들과 5G 통신 기술이 접목되어 상용화된다면 역시, 강력한 보안정책이 필요할 것으로 보인다. 정리하자면, 아직까지 트렌드는 웹, 모바일 어플리케이션 보안이며 곧, 5G 통신기술과 함께 IoT, IoE의 보안의 시대가 다가올 것이다.
모의해킹을 해야하는 이유는, 정보통신망 및 정보보호법에 주기적으로 취약점 분석이나 침해사고 예방 등이 명시되어 있고, 정보보호관리체계(ISMS)가 의무화되었기 때문이다. 그래서 대부분의 기업에서는 정보보호팀, CERT팀, 관제팀 등이 꾸려져있다. 즉, 법률로써 명시되어 있기 때문에 모의해킹을 해야한다.
* 정보보호관리체계(ISMS) : 전년도 매출액 100억원 이상 또는 전년도말 기준 3개월간의 일일 평균 이용자수가 100만명 이상인 곳이 의무 적용대상에 포함된다.
해킹사고로 인해, 기업 이미지 실추나 개인정보 유출, 막대한 금전적 손실 등을 뉴스를 통해 많이 접할 수 있다. 이 때문에 처벌 수위는 강해지고 있다. 이를 예방하고 대처하기 위해서 모의해킹은 반드시 필요하다.
