취약점 분석 도구는 사전에 구성된 패턴을 인식하여 분석하는 방식으로 다양한 범위의 취약점을 검출할 수 있다는 장점이 있지만, 어디까지나 표준화 된 정보를 기반으로 취약점을 분류화 하므로 스캐닝 엔진에 따라 일부 오탐이 발생하기도 합니다. 또한, 검사 된 네트워크에 특화되지 않기에 네트워크 요소 간의 어떠한 연결도 드러나지 않고 실제 위협되는지를 판단할 수 없기에 실제 해킹 위협과는 거리가 먼 부분이 있습니다.

모의 침투 테스트는 실제 위협을 확인하기 위해 취약점을 공격합니다. 사전에 실제 공격이 이루어질 수 있는 취약점을 식별하고 연결고리를 찾아서 다양한 패턴의 공격을 시도할 수 있습니다. 스캐너가 발견하지 못하는 특정 네트워크 자원 혹은 시스템 자원에 실제로 위협을 주는 취약점을 식별하고 공격하기 때문에, 해커가 실제로 악용 가능한 특정 취약점의 잠재적인 위험을 평가하고, 이를 통해 주의와 즉시 처리가 필요한 취약점을 우선 순위화 할 수 있도록 지원합니다.

취약점 분석과 모의 침투 테스트는 병행해서 수행해야 효율적인 검사를 수행할 수 있습니다.

레이어 단위의 네트워크 계층 테스트 (방화벽, 웹 서버, 이메일 서버, FTP 서버...등), 응용 프로그램 계층 (모든 주요 개발 언어, 모든 주요 웹 서버, 모든 주요 운영 체제, 모든 주요 브라우저), 무선 시스템, 내부 워크 스테이션, 프린터, 팩스 장비, WAR 다이얼링 기반의 전화번호, 가상화 및 클라우드 환경, 인터넷 지원 디바이스 등의 테스트가 이루어집니다.

• 소프트웨어, 특히 사용자 정의 소프트웨어는 거의 항상 보안 취약점에서 벗어날 수 없습니다. 클라우드 내에서 아무리 뛰어난 보안 서비스를 제공해도 고객의 애플리케이션 취약점까지 제어 할 수는 없습니다.
• 기업에서 사용되는 올 인원 프린터, 무선 서버, 노트북, 워크스테이션, 모뎀 등의 비즈니스 장치들도 취약점이 존재합니다.

• 언제나 고객의 중요한 데이터는 소유자의 허가 없이, 도난 되거나 무분별하게 복사하여 판매되고 있습니다.
• 대부분의 관리자와 조직의 구성원들은 자사의 시스템이 도난 및 유출에 얼마나 취약한지 인식하지 못하고 있습니다.
• 데이터 유출은 물리적인 침입과는 달리, 몇 달에서 몇 년이 지나도 발견되지 않을 수 있습니다.
• 데이터를 보호하는 가장 좋은 방법은 도난 된 데이터가 악용되기 전에 시스템에 있는 취약점을 검출하여 파악하고 보수하는 것 입니다.

Penetration testing은 Pen–testing 모의 침투 테스팅, 모의 해킹 테스트과 같은 용어로 사용되고 있으며 조직의 정보 보안 수준을 능동적으로 평가하기 위한 프로세스의 일환으로 실제 공격자 행위(=hacking)의 시뮬레이션을 수행합니다.

• 통상적으로 악용되는 보안 취약점과, 다양한 기법을 통해 취약점을 파악하는 방법입니다.
• 통상 침투 테스트(모의 해킹)는 IT 보안을 확인하기 위한 방법으로 테스트를 통해 해킹에 대한 대응전략을 구상합니다.
• 고객 시스템에 대해 보안담당자의 사전 승인을 받은 뒤, 진행하는 수행 테스트 입니다.
• 클라이언트 네트워크, 서버, 웹 애플리케이션, 모바일 플랫폼, 무선 시스템, 프린터, 모뎀 등 사이버 범죄에 악용될 수 있는 네트워크 범위의 환경을 테스트 합니다.

서비스 범위

• 고객의 요구 사항 분석과 보안 정책의 검토(IT 정책과 인사 정책 문서), 화이트 햇(white-hat) 모의 침투 테스트(Penetration testing)
• 정보보호 인증 컨설팅, 하이브리드 취약점 관제 서비스
• 다양한 보안 스캐닝을 기법을 통한 취약점의 검출과 해킹에 대한 대응 전략구상, DDoS, 무차별 대입 공격(Brute force attack) 등에 대응

취약성 진단 분야와 범위

• 무선 네트워크 취약성 분석 및 진단
• 스마트 폰 취약성 분석 및 진단
• 웹 어플리케이션 취약성 분석 및 진단
• 어플리케이션 및 OS 운영체제 시스템 취약성 분석 및 진단
• 네트워크 취약성 분석 및 진단
• VoIP 취약성 분석 및 진단
• 이외 다수 항목 진단