Penetration Testing Framework : 침투 테스트 프레임워크로 매우 포괄적인 실전 침투 테스트 가이드를 제공한다. 또, 각 테스트 범주에서 사용하는 도구들의 사용법을 나열한다. # 도구 사용법 OSSTMM(Open Source Security Methodology Manual) : 안전한 시스템 운영을 위해 검증된 사실로부터 결과를 도출하기 위한 표준 테스트 방법론을 제공한다. # 표준 테스트 방법론 제공 PTES(Penetration Testing Execution Standard) : 모의해킹을 정의하고 평가할 수 있는 각 단계별로 7개의 카테고리를 통해 침투 테스트 절차를 정의한다. # 시나리오ㆍ절차ㆍ정의(7개 카테고리) ISSAF(Information Systems Securi..

모의해커는 기업(고객)과 계약을 통해 진행하므로 합법적으로 모의해킹을 진행한다. 공격 포인트(웹 서비스, 모바일 서비스 등)를 서로 협의하에 지정하고 범위도 협의한다. 또, 네트워크 장애를 유발하는 DDoS나 BOF 공격 등은 제외하여 진행한다. 즉, 공격 범위, 시간, 포인트 등을 모두 고객사와 협의한 끝에 모의해킹을 진행한다. 범죄자는 그런거 없다. 협의하지 않고 자기 목적을 달성하기 위해 모든 짓을 다 한다. 주로 피해 기업 내부의 개인 PC를 악성코드로 감염시키고 접근한다.(Drive by Download) 제약사항이 없기 때문에, 보유한 다양한 해킹기술들을 화려하게 시도한다. 즉, 모의해커는 DMZ 구간을, 범죄자는 개인 PC 대상을 주 공격 포인트로 설정하고 해킹을 시도한다.

Pentest = Penetration + Test Penetration : 침투, 침입, 침해 Pentest는 해커와 동일한 환경 즉, 해커의 관점에서 해킹 기술을 이용해 모의침투 테스트를 실시하는 것이다. 해커는 자신의 목표 이익을 위해서라면 어떠한 제약을 가지지 않고 자신이 가진 기술들을 동원해서 해킹을 시도한다. 해커가 심어놓은 악의적인 악성코드를 분석하면, 역으로 새로운 아이디어와 기술, 방법들을 얻을 수 있다. 이유는 다양하지만 목적을 달성하려는 강한 의지 덕분인지, 다양한 아이디어가 나오나보다. 최근 Web, 모바일 어플리케이션 뿐만 아니라 IoT(Internet of Things), IoE(Internet of Everything)과 같은 기기들이 상용화되면서 주위의 많은 사물들의 보안 역..