[º¸¾È´º½º ±è°æ¾Ö ±âÀÚ] ¿£Å°ÈÀÌÆ®ÇÞ(´ëÇ¥ À̼º±Ç)ÀÌ ¼ºñ½ºÇü ·¹µåÆÀ Ç÷§Æû ¡®¿ÀÆæ PTaaS(OFFen Penetration Testing as a Service)¡¯¸¦ °ø°³Çß´Ù.
¡ã¿ÀÆæ PTaaS´Â ±âÁ¸ ħÅõÅ×½ºÆ®ÀÇ ¹®Á¦ ÇØ°á ¼Óµµ´Â ¹°·ÐÀÌ°í º¸¾È Àü¹®°¡¿Í Çù¾÷À» ±Ø´ëÈÇÑ ±¸µ¶Çü DevSecOps ¼ºñ½º´Ù.
¿£Å°ÈÀÌÆ®ÇÞÀº 27ÀÏ ¹®Á¤µ¿ º»»ç¿¡¼ ±âÀÚ°£´ãȸ¸¦ ¿°í ¡®¿ÀÆæ PTaaS¡¯ ½ÅÁ¦Ç°°ú ÇâÈÄ Á¦Ç° ·Îµå¸Ê ¹× ±Û·Î¹ú º¸¾È SaaS ±â¾÷À¸·Î ¹ßµ¸¿òÇϱâ À§ÇÑ ºñÀüÀ» ¹ßÇ¥Çß´Ù.
¿£Å°ÈÀÌÆ®ÇÞÀº À̳¯ ù¹ø° Á¦Ç°À¸·Î ¼¼°è ¼öÁØÀÇ ÈÀÌÆ®ÇÞ ÇØÄ¿ ±â¼ú·Â°ú dzºÎÇÑ º¸¾È ÄÁ¼³Æà °æÇèÀ» Á¢¸ñÇÑ ¿ÀÆæ PTaaS¸¦ ¼±º¸¿´´Ù.
PTaaS(Penetration Testing as a Service)¶õ ¸ðÀÇÇØÅ·À» ÅëÇØ ½Ã½ºÅÛ¿¡ Á¸ÀçÇÏ´Â º¸¾È Ãë¾àÁ¡À» ¹ß°ßÇÏ°í ¼öÁ¤ÇÏ´Â ±¸µ¶ ±â¹Ý ¸ðÀÇ Ä§Åõ Å×½ºÆ® ¼ºñ½º´Ù.
±Û·Î¹ú ½ÃÀå Á¶»ç ±â°ü °¡Æ®³Ê´Â ¡®ÇÏÀÌÇÁ »çÀÌŬ º¸°í¼¡¯¿¡¼ PTaaS°¡ ¿ÀÆæ½Ãºê º¸¾È ÇÙ½É ¼ºñ½º¶ó°í °Á¶Çß´Ù. ±ÞÁõÇÏ´Â »çÀ̹ö À§Çù¿¡ ´ëºñÇØ ±â¾÷°ú ±â°üÀº Áö¼ÓÀûÀ¸·Î À§ÇùÀ» °ü¸®Çϴ ü°è¸¦ ¸¸µé¾î¾ß ÇÑ´Ù. À̸¦ À§ÇØ Á¦Ç°°ú ¼ºñ½º, ±â¾÷ ³»ºÎ º¸¾ÈÀ» À§ÇØ Áö¼ÓÀûÀ¸·Î À§ÇùÀ» ã¾Æ³»°í ´ëÀÀÇÏ´Â °úÁ¤ÀÌ ÇÊ¿äÇÏ´Ù. PTaaS´Â Áö¼ÓÀ§Çù°ü¸®¸¦ À§ÇÑ ¼ºñ½º·Î ¶°¿À¸£°í ÀÖ´Ù.
¿£Å°ÈÀÌÆ®ÇÞÀº 8³â°£ ÃàÀûÇÑ ¿ÀÆæ½Ãºê º¸¾È ±â¼ú ³ëÇϿ츦 ¼Ö·ç¼ÇÀ¸·Î ±¸ÇöÇÏ°í ¡®¿ÀÆæ(OFFen)¡¯À¸·Î ºê·£µåÈÇß´Ù. ¿ÀÆæÀº ¡®¿¸°¡¯ »ç°í·Î Ãë¾àÁ¡À» ¡®°ø°³ÀûÀ¸·Î¡¯ ã°í ¡®³ëÃâ½ÃÄÑ¡¯ ÇØ°áÇÑ´Ù´Â Àǹ̴Ù.
¿ÀÆæ Á¦Ç°±ºÀº ·¹µå(RED)¡¤ºí·ç(BLUE)¡¤ÆÛÇÃ(PURPLE)·Î ±¸¼ºµÅ °í°´ÀÇ Áö¼ÓÀûÀÎ º¸¾È ż¼ °³¼±À» À§ÇÑ ¼ºñ½º¸¦ Á¦°øÇÑ´Ù. ·¹µå´Â Á¶Á÷ÀÇ °ø°Ý Ç¥¸é¡¤Ä§Åõ °æ·Î¡¤º¸¾È Ãë¾àÁ¡À» ½Äº°¡¤°ü¸®ÇÏ´Â ¿µ¿ªÀÌ´Ù. ºí·ç´Â ½ÉÃþ À§Çù ºÐ¼®¡¤´ëÀÀ¿¡ È°¿ë °¡´ÉÇÑ ¾Ç¼ºÄÚµå ºÐ¼® ¼ºñ½º¿Í °ø°ÝÀÚ TTPs ±â¹Ý ŽÁö ±ÔÄ¢À» Á¦°øÇÏ´Â ºÐ¾ß´Ù. ÆÛÇÃÀº ½ÇÀüÇü »çÀ̹ö °ø¹æ ÈƷðú º¸¾ÈÆÀ °È ±³À°À» Á¦°øÇØ Á¶Á÷°ú Á¦Ç°ÀÇ Àü ÁÖ±â Áö¼ÓÀûÀÎ º¸¾È¿¡ È°¿ëÇÒ ¼ö ÀÖ´Ù.
¿ÀÆæ PTaaS´Â ±âÁ¸ ħÅõÅ×½ºÆ®ÀÇ ¹®Á¦ ÇØ°á ¼Óµµ´Â ¹°·ÐÀÌ°í º¸¾È Àü¹®°¡¿Í Çù¾÷À» ±Ø´ëÈÇÑ ±¸µ¶Çü DevSecOps ¼ºñ½º´Ù.
±â¾÷ÀÌ ¿ÀÆæ PTaaS¸¦ ±¸µ¶ÇÏ¸é ¨ç±Û·Î¹ú ¼öÁØ ÀÎÇϿ콺 ÈÀÌÆ®ÇÞ ÇØÄ¿¿Í ¹Ù·Î Ä¿¹Â´ÏÄÉÀ̼ÇÇÒ ¼ö ÀÖ´Ù. ¨èÈÀÌÆ®ÇÞ ÇØÄ¿ °ø°Ý ±â¼ú·Î ³»ºÎ º¸¾ÈÆÀ ´ëÀÀ ´É·Â Æò°¡µµ °¡´ÉÇÏ´Ù. ¨é·¹µåÆÀÀÌ ±â¾÷ ³»ºÎ¿¡ ħÅõÇØ Ãë¾àÁ¡°ú µ¥ÀÌÅÍ À¯ÃâÀ» ½ÇÇàÇÏ¸é¼ ¿¹»óÇÇÇØ ±Ý¾×À̳ª ħÇØ ¼öÁØÀ» ÆľÇÇÑ´Ù. ÀÓÁ÷¿ø º¸¾È ÀÇ½Ä Çâ»óÀº ¹°·ÐÀÌ°í C·¹º§¿¡ ÀλçÀÌÆ®¸¦ Á¦°øÇÑ´Ù. ¨ê¿ÀÆæ PTaaS´Â ±â¾÷ÀÌ Á¦·ÎÆ®·¯½ºÆ®(Zero Trust) ¾ÆÅ°ÅØÃĸ¦ ÁؼöÇÏ´ÂÁö Áø´ÜÇÒ ¼ö ÀÖ´Ù. ¨ë¿ÀÆæ PTaaS¸¦ Áö¼ÓÇØ »ç¿ëÇϸé Á¶Á÷ÀÇ °ú°Å¿Í ÇöÀç º¸¾È ¼öÁØÀÇ ºñ±³ Æò°¡°¡ °¡´ÉÇÏ´Ù.
±â¾÷ º¸¾ÈÆÀÀº ¡®¿ÀÆæ PTaaS¡¯¸¦ ±¸µ¶ÇØ Ãë¾àÁ¡À» Á¶±â¿¡ ½Äº°ÇÏ°í ´ëÀÀÇØ Ä§ÇØ °¡´É¼ºÀ» ÃÖ¼ÒÈÇÒ ¼ö ÀÖ´Ù. ħÅõÅ×½ºÆ®¸¦ ÇÏ°í ½ÍÁö¸¸ º¹ÀâÇÑ °è¾à °úÁ¤¿¡ À庮À» °Þ¾ú´ø ±â¾÷¿¡ ¿ëÀÌÇÏ´Ù. 1³â¿¡ ÇÑ ¹ø Àü¹®°¡ ħÅõÅ×½ºÆ® ÁøÇà ÈÄ Áö¼ÓÀûÀÎ °ü¸®°¡ ÇÊ¿äÇÑ ±â¾÷ µî¿¡µµ À¯¿ëÇÏ´Ù.
±â¾÷Àº Á¦Ç°À̳ª ¼ºñ½º °³¹ß½Ã ¡®¿ÀÆæ PTaaS¡¯¸¦ »ç¿ëÇÏ¸é °³¹ß Ãʱ⠴ܰèºÎÅÍ Ãë¾àÁ¡À» ½Äº°ÇØ ¼öÁ¤ÇØ ¡®½ÃÅ¥¸®Æ¼ ¹ÙÀÌ µðÀÚÀÎ(Security By Design)¡¯À» ½ÇÇöÇÒ ¼ö ÀÖ´Ù.
¿£Å°ÈÀÌÆ®Àº ¿ÀÆæ PTaaS¸¦ ½ÃÀÛÀ¸·Î ¿ÜºÎ°ø°Ý Ç¥¸é°ü¸® ¹× Ãë¾àÁ¡ ½Äº° °ü¸®¼ºñ½º ¡®¿ÀÆæ ASM¡¯µµ Ãâ½ÃÇÑ´Ù. ¿ÀÆæ ASMÀº ¿ÜºÎ¿¡ ³ëÃâµÈ ÀÚ»ê°ú ¼ºñ½º ½Äº°, ÀÎÁõ¼ ¸¸·á Á¤º¸ Á¦°ø µîÀÇ ±â´ÉÀ» Á¦°øÇÑ´Ù.
¡ã¿ÀÆæ½Ãºê º¸¾È Àü¹® ±â¾÷ ¿£Å°ÈÀÌÆ®ÇÞ ¡®¿ÀÆæ PTaaS¡¯ Ãâ½Ã ±âÀÚ °£´ãȸ[»çÁø=¿£Å°ÈÀÌÆ®ÇÞ]
À̼º±Ç ¿£Å°ÈÀÌÆ®ÇÞ ´ëÇ¥´Â ¡°¿£Å°ÈÀÌÆ®ÇÞÀÌ 8³â°£ ÃàÀûÇÑ ¿ÀÆæ½Ãºê º¸¾È ³ëÇϿ츦 ¡®¿ÀÆæ PTaaS¡¯·Î ±¸ÇöÇß´Ù¡±¸é¼ ¡°ÄÁ¼³Æà Á᫐ ±â¾÷¿¡¼ ¿¬°£ ¹Ýº¹ ¸ÅÃâ(ARR)À» ¸¸µå´Â SaaS ±â¾÷À¸·Î ÁøÈÇÑ´Ù¡±°í ¸»Çß´Ù.
±×´Â ¡°ÃÖ±Ù ±â¾÷°ú Á¶Á÷Àº ¸ðµç Àڻ꿡 ´ëÇØ ³»ºÎ¿Í ¿ÜºÎ Àüü °ø°Ý Ç¥¸éÀ» Æ÷°ý °ü¸®ÇØ¾ß »çÀ̹ö À§Çù¿¡ ´ëóÇÒ ¼ö ÀÖ´Ù¡±¸é¼ ¡°¿£Å°ÈÀÌÆ®ÇÞÀº Àü¹®°¡ ¼ºñ½º¸¦ ³Ñ¾î ±¸µ¶Çü PTaaS±îÁö ³»³õÀ¸¸ç ½ÃÀåÀ» È®´ëÇÑ´Ù¡±°í µ¡ºÙ¿´´Ù.
¿£Å°ÈÀÌÆ®ÇÞÀº ¥Ä¿ÀÆæ PTaaS¸¦ ½ÃÀÛÀ¸·Î, °ø°Ý Ç¥¸é °ü¸® ¼ºñ½º ASM(Attack Surface Management) ¥Ä½ÇÀüÇü »çÀ̹ö °ø¹æÈÆ·ÃÀå CR(Cyber Range) ¥ÄÅëÇÕº¸¾È°ü¸® ¼ºñ½º SOCaaS(Security Operation Center as a Service)¸¦ ¿¬À̾î Ãâ½ÃÇÒ °èȹÀÌ´Ù.
[±è°æ¾Ö ±âÀÚ(boan3@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>