취약점 분석 도구는 사전에 구성된 패턴을 인식하여 분석하는 방식으로 다양한 범위의 취약점을 검출할 수 있다는 장점이 있지만, 어디까지나 표준화 된 정보를 기반으로 취약점을 분류화 하므로 스캐닝 엔진에 따라 일부 오탐(false positive)이 발생하기도 합니다. 특정 프레임워크가 아닌 사용자지정의 개발 애플리케이션의 심각한 보안 결함을 발견하지 못합니다. 또한, 검사 된 네트워크에 특화되지 않기에 네트워크 요소 간의 어떠한 연결도 드러나지 않고 실제 위협되는지를 판단할 수 없기에 실제 해킹 위협과는 거리가 먼 부분이 있습니다.

취약점 분석은 자동화 된 도구가 한번에 하나의 문제를 질의하기 때문에 전체적인 흐름을 파악할 수 없습니다. 침투 테스트의 경우 전문 엔지니어의 경험과 판단 그리고 추론 및 기술을 바탕으로 자동화 도구와 상반되는 결과를 제공하기도 합니다. 예를 들면 로그인 폼을 보호하기 위한 CAPTCHA와 같은 보안 문자 기능을 사용하고 있는 경우, 취약점 분석 스캐너는 단순한 이미지로 판별하는 반면, 침투 테스트의 경우 해당 기능(Function)에 대한 취약점을 검출합니다. 만약, 고객의 아이디나 비밀번호 또는 계좌번호가 URL 매개 변수에서 사용되고 있다면, 보안 엔지니어는 비즈니스 로직을 이해하고 취약점과 대응 방법을 제출하겠지만 취약점 스캐너는 고객의 비즈니스 로직을 분석할 수 없습니다.

C-Secure는 최적의 정보 보안 서비스를 제공하는 것을 목적으로 합니다. 서비스 프로세스 및 테스트 방법론의 목표를 보안 투자에 대한 효율성에 중점을 두고 있으며, 충분한 커뮤니케이션을 통해 고객에게 적합한 방향을 제안합니다. 일반적인 외주 컨설팅과 모의 침투 테스트는 리포트만 관리될 뿐 취약점에 대한 이력관리가 안된다는 것이 가장 큰 문제였으며, 누가 담당하느냐에 따라 취약점 결과가 달라지는 경우가 대부분입니다. 이런 이유 때문에 C-Secure은 취약점에 대한 히스토리 관리를 중점으로 생각하며, 이러한 취약점 이력관리를 통해 기업은 취약점에 대한 체계적인 대응전략을 세우고 궁극적인 목적을 달성할 수 있습니다.

C-Secure는 결코 고객의 시간을 낭비하지 않습니다. 발생한 문제에 즉시 대응할 수 있도록, 상황을 파악하고 시나리오와 리포트를 작성합니다. 고객과의 커뮤니케이션을 통해 정리된 리포트의 항목들은 문제를 해결하는 방법에 대한 세부 사항(구체적인 예와 적절한 스크린 샷)을 유첨하고, 때로는 복잡하기도 한 프로그램 코딩 문제를 설명하기 위해 프로토타입 코딩으로 설명을 진행하기도 합니다.

치료 및 복구에 대한 지원을 합니다. 단순히 취약점을 보고하고 수정하는 게 아닌, 파손되거나 손실 된 데이터와 하드웨어의 복구를 지원합니다.

대부분의 경쟁 업체들은 네트워킹에 대한 배경 지식을 기반으로 하는 데에 비해, C-Secure는 보다 깊이 있는 침투 테스트를 위해 일정 레벨의 프로그래밍 지식을 갖고 있습니다. 때문에 애플리케이션에 대한 오류나 취약점을 찾는 데에 훨씬 용이합니다.

아무리 뛰어난 리포트라고 해도 고객이 프로그래밍에 대한 지식이 없다면 이해하기 어렵습니다. C-Secure의 리포트는 시스템 관리자 및 개발자 이외에 관리자들도 이해하기 쉽게 작성됩니다. C-Secure의 취약점 조치 가이드에는 취약점에 대한 설명, 조치방법, 다운로드 링크, 예상 소요시간 등의 취약점 조치에 필요한 상세정보가 포함됩니다.

모의 침투 테스트에서 대체적으로 높은 비용이 발생하는 요소는 경험이 풍부한 보안 전문 엔지니어입니다. C-Secure는 포괄적인 결과를 제공하는 것을 원칙으로 하고 있기 때문에, 모든 취약점을 위해 전문 침투 테스트 팀을 활용하고 다양한 형태의 접근 방식을 통해서 취약점을 검출합니다.

외주 컨설팅과 침투 테스트로는 취약점에 대한 체계적인 관리가 불가능합니다. 또한 업체에 따라 자동화 된 검사를 침투 테스트라고 서비스하거나 자동화 검출 프로그램에 의존한 리포트 관리만으로 마무리하곤 합니다. 이렇듯 아웃소싱 업체에 따라 내용과 품질은 크게 변화합니다. 취약점에 대한 이력관리가 되지 않는 경우 고객은 취약점에 대한 체계적인 대응전략을 세울 수가 없으며 보안의 목적이 사라집니다. 하지만, 아직도 많은 보안 담당자들은 가장 낮은 비용의 입찰자에게 회사의 보안 엔지니어 업무를 아웃소싱하고 있습니다.

진단을 통해 다양한 취약점과 문제점이 검출되면 그에 대한 대비를 해야 합니다. 때로는 검사가 반복되기도 하며 익스플로잇(Exploit) 등 대응 항목이 늘어나면서 높은 비용으로 이어질 수 있습니다. 하지만, 회사의 보안 담당자는 필요한 항목 만을 선별할 수 있는 권리가 있습니다. 때문에, 가장 저렴한 기본 단위의 항목 만을 선별하기도 합니다. 이러한 패러다임은 시스템 보안에 대한 부정확한 믿음으로 이어질 수 있습니다.

고객이 침투 테스트를 원하는 경우, C-Secure는 테스트 규정에 대한 준수 요구사항을 충족하는데 중점을 두고 있습니다. 테스트의 범위와 방법에 대한 세부 사항을 포함한 리포트를 제안하고 악용 가능성이 있는 민감한 세부 사항을 선별할 수 있습니다. 기업의 목적이 조직을 포함한 전반적인 보안의 개선에 있다면, 저희는 철저하게 보안에 대한 위협을 해결하기 위해 노력하고 네트워크 및 시스템 및 응용 프로그램 레이어를 포함한 테스트를 제공합니다.

• 웹 애플리케이션의 보안 취약점 점검과 조치를 위한 수정 권고안 및 보안/코딩 가이드라인 지원
• 모든 운영체제에서 운영되는 웹 서버 및 기반 기술(ASP, PHP, AJAX, NET 등)에 대한 인프라스트럭쳐 및 애플리케이션 점검 지원
• 빠른 취약점 업데이트와 제로데이 취약점 대응

C-Secure의 침투 테스트에 대한 방법론은 구체적으로 고객의 데이터 손실 및 다운타임과 위험을 완화하도록 설계되었습니다.

위협 모델링(Threat Modeling)과 취약점 분석(Vulnerbility Analysis)을 통해 시스템의 위험성과 손상여부를 예측하며 이 단계에서는 진행시 발생할 수 있는 시스템의 손상에 대한 가능성을 예측합니다. 그 후 침투 테스트에서 핵심적인 단계 중 하나인 Exploitation을 통해 실질적인 테스트가 진행되는데, 정밀함 보다는 brute force(무차별 대입) 형태로 종종 진행이 됩니다. Exploit은 해당 Exploit을 통해 공격이 성공할 것이라는 확신이 들때에 수행하게 됩니다.

테스트를 통해 발견한 취약점들을 어떻게 통제할 것인지, 어떤 액션들이 있었는지 무엇이 중요한지에 대한 커뮤니케이션을 report를 통해 하게 됩니다.
고객의 시스템에서 실질적인 취약점을 테스트하는 경우, 악용 가능성이 높은 취약점을 비롯하여 진행 방법을 문서화하여 고객에게 전달합니다.

취약점 분석 도구는 사전에 구성된 패턴을 인식하여 분석하는 방식으로 다양한 범위의 취약점을 검출할 수 있다는 장점이 있지만, 어디까지나 표준화 된 정보를 기반으로 취약점을 분류화 하므로 스캐닝 엔진에 따라 일부 오탐이 발생하기도 합니다. 또한, 검사 된 네트워크에 특화되지 않기에 네트워크 요소 간의 어떠한 연결도 드러나지 않고 실제 위협되는지를 판단할 수 없기에 실제 해킹 위협과는 거리가 먼 부분이 있습니다.

모의 침투 테스트는 실제 위협을 확인하기 위해 취약점을 공격합니다. 사전에 실제 공격이 이루어질 수 있는 취약점을 식별하고 연결고리를 찾아서 다양한 패턴의 공격을 시도할 수 있습니다. 스캐너가 발견하지 못하는 특정 네트워크 자원 혹은 시스템 자원에 실제로 위협을 주는 취약점을 식별하고 공격하기 때문에, 해커가 실제로 악용 가능한 특정 취약점의 잠재적인 위험을 평가하고, 이를 통해 주의와 즉시 처리가 필요한 취약점을 우선 순위화 할 수 있도록 지원합니다.

취약점 분석과 모의 침투 테스트는 병행해서 수행해야 효율적인 검사를 수행할 수 있습니다.