메뉴 바로가기 검색 및 카테고리 바로가기 본문 바로가기

한빛출판네트워크

한빛랩스 - 지식에 가능성을 머지하다 / 강의 콘텐츠 무료로 수강하시고 피드백을 남겨주세요. ▶︎

IT/모바일

모의해킹진단(취약점 진단)시 테스트 계정 2개는 필수이다

리얼타임 eBook

|

2016-06-23

|

by 조정원

26,430

모의해킹진단(취약점 진단)을 하기 전에는 고객들과 업무협의가 필요하다. 업무협의 동안에 수행대상/수행일정/수행인원에 대한 확인이 먼저이고, 수행하는 과정에서 발생할 수 있는 문제를 미리 공지해야 한다. 또한, 진단인원(컨설턴트)이 필요한 사항을 고객에게 요청해야 한다. 이 요청사항 중에는 테스트 계정이 포함되어 있다.

 

일반적으로 사용하고 있는 대외적인 서비스 대부분은 회원가입을 하여 계정정보를 얻는다. 이때는 진단자가 직접 계정 2개 이상을 만든다. 보통 2명 이상 투입되기 때문에 각각 하나씩 만들면 되지만, 혼자 투입이 되면 같은 회사의 사용자 정보를 빌려서 계정을 2개 만들어야 한다. (혹은 취약점의 하나로 분류되는 가입과정 우회를 통해 생성한다.)

 

계정 2개가 왜 필요하냐면 대표적으로 인증처리 미흡에 대한 검토를 할 때 번갈아서 로그인 인증을 해나가며 봐야 하기 때문이다. 인증처리 미흡의 주요항목은 아래와 같다.

  • 다른 사용자 게시물(쪽지, 문의, 비밀글 등) 수정 및 삭제 가능
  • 다른 사용자 개인정보 열람 가능
  • 다른 사용자 주문내역변경(금융권에서는 증권주문 매수/매도, 출금/입금 등)
  • 다른 사용자 세션정보를 획득하여 권한 획득

이 항목들을 점검하는데 단독계정으로 진행하게 되면 진단자가 작성한 게시물 이외 서비스에 등록된 다른 사용자의 실제 데이터들을 건들게 된다. 이 과정에서 실수하여 데이터를 삭제하거나 수정을 했을 때 진단자와 담당자가 곤란에 처한다. 데이터를 원복하는 과정도 현업과 이해관계가 되어야 해서 만만치 않은 절차들이 있다. 정말로 매출에 큰 영향을 주거나, 사업 제안을 하는 게시물이라면 그 심각성은 더 커진다.

 

한 가지의 큰 사례를 가지고 이야기했지만 업무를 진행하기 전의 고객과의 업무협의는 그만큼 중요하다. 책임 여부도 이때 협의했던 내용을 근거로 하므로 답변주고 받은 내용도 메일이나 서류로 남겨두는 게 좋다.

 

서비스 특정상 꼭 계정이 필요한 상황인데도 불구하고 담당자가 제공하지 않을 경우는에는 어떻게 해야 할까?

 

"계정 없이 접근할 수 있는 서비스에 대해서는 모두 진단하였으나, 취약점이 도출되지 않았다. 그러나, 계정이 있을 때 접근할 수 있는 서비스에서 취약점들이 도출될 가능성은 있다." 

 

이점을 꼭 고객에게 인지해야 한다. 

댓글 입력
자료실

최근 본 상품0