QueryPie가 제시하는 모의해킹의 새로운 기준
November 22, 2024
서문
디지털 환경의 복잡성이 증가하고 사이버 위협이 끊임없이 진화하는 오늘날, 기업과 조직은 보안을 최우선 과제로 삼고 있습니다. 또한, 컴플라이언스 요구사항이 강화됨에 따라 보안의 중요성은 더욱 부각되고 있습니다. 이러한 시대적 요구에 부응하기 위해, QueryPie 팀은 Privileged Access Management(PAM) 솔루션의 강력한 보안을 실현하는 데 전력을 다하고 있습니다. QueryPie의 보안 기능은 단순한 제품의 일부가 아니라, 제품 개발 초기 단계부터 최종 배포 단계까지 보안을 핵심 가치로 삼아 전사적으로 깊이 이식해 온 결과물입니다.
이러한 노력을 바탕으로, 우리는 개발 전 단계에서 철저한 보안성 검토 프로세스를 수립하고, 모든 단계에서 보안성을 검토하여 제품의 안전성을 극대화하고 있습니다. QueryPie 보안팀은 다양한 관점에서 보안 취약점을 식별하기 위한 체계적인 프로세스를 구축하였으며, 그중에서도 특히 중요한 프로세스 중 하나인 모의해킹 프로세스에 대해 소개하고자 합니다. 이 블로그에서는 QueryPie의 모의해킹 프로세스와 그 중요성에 대해 자세히 알아보겠습니다.
QueryPie는 내부 In-House Red Team을 별도로 구성하고 있으며 지속적인 In-House 모의해킹, Bug Bounty Program 운영, 외부 전문가 모의해킹 컨설팅 세 가지 방식을 병행하여, 각 모의해킹 방식의 부족한 부분을 상호 보완하는 구조로 운영되고 있습니다.
대표적으로 모든 신규 버전 릴리즈 시마다 실시되는 내부 모의해킹은 안전한 제품을 만들기 위한 중요한 절차이며, 이를 통해 제품에 대한 잠재적 위협을 빠르게 식별하고 해결하고 있습니다. 이와 더불어 QueryPie의 Bug Bounty Program은 전 세계 보안 연구자들과 QueryPie를 실제로 사용하고 있는 고객사가 제품의 보안성을 한층 더 향상 시키는데 기여할 수 있는 기회를 제공하며, 이를 통해 우리는 고객들에게 더욱 신뢰할 수 있고 안전한 제품으로 보답합니다. 마지막으로 외부 모의해킹 전문가들과의 협력 역시 QueryPie 보안 검증의 중요한 축을 이루고 있으며, 외부 다양한 전문가의 경험과 시각을 통해 우리가 놓칠 수 있는 취약점을 보완합니다.
QueryPie의 Multi-layered Security Approach
- 인하우스 모의해킹 : 조직 내부의 보안 전문가들이 제품의 취약점을 발견하고 개선하기 위해 수행하는 내부 보안 테스트
- 전문성 : 제품의 내부 구조와 아키텍처에 대한 깊은 이해
- 지속성 : 신규 버전 릴리즈마다 반복적인 테스트 수행
- 신속성 : 내부 팀 간 협업을 통해 취약점 발견 후 빠른 조치 가능
- 버그바운티 프로그램 : 외부 보안 연구자와 고객사가 참여하여 제품의 취약점을 발견하고 보고하면 보상을 제공하는 프로그램
- 다양성 : 전 세계 보안 연구자 및 고객사의 폭넓은 참여
- 창의성 : 예상치 못한 공격 기법과 관점 제공
- 경제성 : 유효한 취약점에 대한 보상 지급으로 효율적인 리소스 활용
- 외부 모의해킹 컨설팅 독립적인 보안 전문가가 수행하는 객관적 보안 테스트
- 객관성 : 독립적인 시각에서의 취약점 분석
- 최신성 : 최신 위협 동향과 기술을 반영한 공격 시뮬레이션
- 신뢰성 : 외부 전문가 인증을 통한 검증된 보안 평가 결과
우리가 모의해킹을 중요하게 생각하는 이유는 자동화된 도구만으로 제품의 프로세스나 규칙을 악용할 수 있는 논리적 취약점을 탐지하기 어려우며, 이러한 취약점을 효과적으로 식별하기 위해서는 다양한 보안 테스트 프로세스 수립을 통해 각 프로세스의 부족한 부분을 상호보완 할 수 있어야 합니다.
QueryPie는 왜 이렇게까지 보안의 중요성을 강조하는 것 일까요?
다시 처음으로 돌아가 PAM 솔루션은 Zero Trust 보안 아키텍처를 구현하는 데 있어 다양한 시스템과 데이터베이스에 대한 핵심 접근 권한을 관리하는 매우 중요한 관문 역할을 합니다. 이는 곧, QueryPie가 관리하는 데이터와 시스템이 악의적인 공격자에게 노출될 경우 조직 전체가 심각한 위협에 처할 수 있음을 의미합니다. 이러한 중요성 때문에 QueryPie는 사용자와 고객이 믿고 사용할 수 있는 제품을 제공하는 것을 최우선 과제로 삼고 있으며, 이에 따라 보안을 일관되게 강화하고 있습니다. QueryPie 팀은 고객의 데이터와 시스템을 안전하게 보호하는 것이 곧 고객과의 약속이며 우리의 사명이라고 믿고 있습니다. 따라서 QueryPie는 보안에 있어 절대 타협하지 않을 것이며, 철저한 검증과 모의해킹을 통해 더욱 견고한 우리 제품과 환경 구축을 위해 지속적으로 노력하는 이유 입니다.
QueryPie 의 모의해킹 Framework 및 성숙도 모델
그러면 먼저 QueryPie 의 모의해킹 프로세스와 성숙도 수준은 어느 정도인지 알아볼까요?
QueryPie Penetration Test Framework?
QueryPie는 종합적인 모의해킹 프레임워크를 개발하여 운영하고 있습니다. 이 프레임워크는 보다 체계적이고 철저한 모의해킹을 위하여 전세계적으로 인지도가 가장 높은 NIST SP 800-115, OWASP Testing Framework 를 기반으로 하여 개발되었습니다. 이는 제한된 내부 인하우스 모의해킹 시간동안 취약점을 효과적으로 탐지하고 분석할 수 있도록 효과성을 제공합니다.
이 프레임워크는 모의해킹 과정을 표준화하고, 각 단계에서의 활동을 명확히 정의하여 일관된 보안 검증이 이루어지도록 합니다. 이를 통해 QueryPie 는 모든 제품 릴리즈마다 높은 수준의 보안성을 유지하며, 발견된 취약점을 효과적으로 해결할 수 있습니다. QueryPie 모의해킹 프레임워크는 다음과 같은 6단계로 구성되어 있습니다.
QueryPie Penetration Maturity Model?
개발 전 단계에 대한 보안성 검토 과정에서 우리의 모의해킹 프로세스가 조직 내에서 안정화 되면서, 아래와 같은 모의해킹 성숙도 모델을 개발하여 우리의 현재 수준을 측정하고, 지속적으로 개선할 수 있는 기준을 마련하였습니다. 그래서 우리는 QueryPie 모의해킹의 성숙도 수준을 정량적, 정성적으로 측정한 결과 Proactive 수준으로 측정하였으며, 이에 만족하지 않고 나아가 Optimized 단계로 수준을 한층 높이기 위해 DevSecOps 파이프라인과의 통합을 진행중에 있습니다. 이를 통해 보안을 사후 대응이 아닌 사전 예방 차원에서 접근하고, 모의해킹 자동화와 AI 기반 위협 탐지 시스템을 결합하여 보안 검토와 대응이 더욱 효율적이고 일관성 있게 운영 되기를 기대하고 있습니다. 더불어 Optimized 단계로의 도약은 단순히 기술적인 진보를 의미하는 것만이 아닙니다. 이는 QueryPie가 고객들에게 최상의 보안성을 제공하고, 제품의 신뢰성을 극대화하며, 다양한 보안 위협에 한발 앞서 대응할 수 있는 체계를 구축하는 것을 목표로 합니다.
In-house Red Team
Red Team은 내부 모의해킹을 포함하여 CI/CD 파이프라인 전체 단계에서의 취약점(*CVE, CWE, CCE)을 점검하고, 개발 Life-Cycle에 대한 보안성 검토 및 가이드 업무를 수행하고 있으며, 매 신규버전 출시 전 QA 및 버그배시와 함께 아래와 같은 프로세스로 진행됩니다.
- 모의해킹 전 사전 리뷰 : PM팀과 신규 버전의 핵심 기능들 및 주요 체크사항들을 협의합니다.
- 모의해킹 수행 : 사전 리뷰에서 도출된 주요 기능을 우선적으로 모의해킹하며, 이와 동시에 전체 기능들을 다시 한 번 모의해킹 합니다. (2주 진행)
- 보안팀 자체 리뷰 : 발견된 취약점들에 대해 1차적으로 보안팀 내부에서 리뷰 합니다.
- 개발팀 공유 및 담당자 할당 : 취약점 정보를 개발팀에 공유하며, 상세 내용은 Jira Ticket을 통해 담당자 지정 및 추적관리 합니다.
- 취약점 조치 확인 : 취약점 조치가 완료되면 Red Team 담당자가 이행점검 후, 해당 취약점 티켓을 완료처리 합니다.
*CVE : Common Vulnerabilities and Exposures *CWE : Common Weakness Enumeration *CCE : Common Configuration Enumeration
QueryPie Red Team 이 사용하는 도구 및 진단 방법론은 다음과 같습니다. 이와같은 방법론을 통해 테스트를 표준화하고 취약점의 심각도와 우선순위를 체계적으로 평가하여, 효과적인 대응방안을 마련하고 있습니다.
진단 도구
- Burp Suite
- Neuclei
- OWASP ZAP
- Nessus
- dnSpy
- Snyk
- Github Advanced Security
진단 항목
- OWASP Top 10
- OWASP API Security Top 10
- SANS Top 25
- NIST SP 800-115
위험도 분류
- CIA 개별 스케일 및 가중치를 계산하여 분류
- 가중치(QueryPie 제품의 특성 고려)
- 기밀성(C): 0.4
- 무결성(I): 0.35
- 가용성(A): 0.25
- ex) C = 3, I=1, A=1 인 취약점일 때, Score : 3 x 0.4 + 1 x 0.35 + 1 x 0.25 = 1.8
2024년 동안, QueryPie Red Team은 신규 버전 출시 시마다 철저한 인하우스 모의해킹을 실시하였으며, 총 7번의 모의해킹을 통해 총 26건의 취약점을 발견하였습니다.
이러한 지속적인 보안 점검을 통해 잠재적인 위협을 최소화하고, 보다 고객이 신뢰할 수 있는 안전한 서비스를 제공할 수 있도록 노력하고 있습니다.
QueryPie Bug Bounty Program
QueryPie는 버그바운티 프로그램을 통해 보안에 대해 개방적이고 적극적인 자세를 보여주고 있습니다.
고객이 발견한 취약점에 대해 신속하게 대응하고, 이를 공식적으로 인정하는 과정은 고객과의 신뢰관계를 강화하는 데 큰 역할을 합니다. 결과적으로, 이러한 신뢰 구축은 장기적으로 제품의 품질과 안전성을 높이는 데 중요한 역할을 합니다.
QueryPie의 버그바운티 프로그램은 아래와 같은 프로세스로 진행됩니다.
- 버그바운티 제보 이후, 리포트를 기반으로 내부 취약점을 재현합니다.
- 취약점이 정상적으로 채택될 경우, Score 별 Reward 테이블을 참고하여 포상금을 결정합니다.
- 취약점을 내부에 공유하여 조치를 진행합니다.
- 리워드 지급 및 명예의 전당에 등재하며, 제보자가 원할 경우 CVE를 부여 받을 수 있도록 지원합니다. 이는 제보자의 노고에 대한 감사와 명예를 높이는데 큰 역할을 합니다.
외부 모의해킹 전문가 협업
QueryPie 팀은 제품의 보안 강화를 위해 사내 인하우스 Red Team이 정기적으로 모의해킹을 수행할 뿐만 아니라, 외부의 독립적인 보안 전문가와의 협업을 통해 제3자 모의해킹을 적극 활용하고 있습니다. 독립적인 보안 전문가는 새로운 시각에서 QueryPie의 보안성을 점검할 수 있으며, 다음과 같은 장점들이 존재합니다.
"객관적인 보안 검증"
외부 전문가는 제품 개발과 직접적으로 관련되지 않았기 때문에, 제품에 대한 이해도는 높지 않더라도 테스터 입장에서 편견 없는 시각으로 QueryPie의 잠재적인 취약점을 찾아내고 다양한 공격 시나리오를 적용할 수 있습니다. 이러한 객관적인 관점은 보안 검증의 수준을 한층 더 끌어올리고, QueryPie 팀이 발견하지 못한 보안 취약점을 식별하는 데 큰 도움이 됩니다.
"외부 모의해킹 인력의 전문성"
외부 전문가들은 업계에서 모의해킹 전문가로서 활발히 활동하고 있으며 다양한 제품들에 대한 모의해킹 경험을 바탕으로 최신 사이버 위협 동향과 공격 기법에 대해 깊은 연구와 높은 이해도를 가지고 있어, QueryPie가 예상하지 못한 방식의 공격을 통해 제품의 방어 수준을 실제로 시험해볼 수 있습니다. 이를 통해 QueryPie의 보안팀은 외부 전문가들이 발견한 취약점들을 철저히 분석하고, 취약점 보완과 더불어 보안 아키텍처를 한층 강화할 수 있습니다.
"인하우스 팀과의 협력"
외부 평가는 인하우스 모의해킹 팀의 노력을 보완하고 검증하는 데 중요한 역할을 합니다. 예를 들어, QueryPie 인하우스 팀이 발견한 취약점은 물론, 새로운 버전 릴리즈 전에 외부 전문가의 의견을 받아 제품을 재검증하는 절차를 통해 QueryPie는 제품의 보안을 반복적으로 개선할 수 있습니다. 외부 전문가가 수행하는 테스트 결과는 객관적인 성능 지표로 활용될 수 있으며, 이를 바탕으로 인하우스 Red Team은 QueryPie의 보안 전략을 지속적으로 개선하는 데 필요한 인사이트를 얻게 됩니다.
독립적인 제3자 모의해킹은 이또한 QueryPie가 고객들에게 신뢰를 제공하기 위한 중요한 요소입니다. 이를 통해 고객들은 QueryPie제품이 매우 엄격한 보안 검증 과정을 거치고 있음을 알 수 있으며, QueryPie 팀은 고객의 중요한 시스템과 데이터를 보호할 수 있는 강력한 PAM 솔루션을 제공하고 있다는 자신감을 가지고 있습니다.
모범 사례
"모의해킹을 통한 시큐어 코딩 강화와 보안 문화 정착"
모의해킹은 개발 단계에서 시큐어코딩을 강화하는 데 큰 기여를 했습니다. 예를 들어, 개발자들이 모의해킹 프로세스와 보안 점검의 중요성을 직접 경험하면서, 보안 취약점에 대한 인식이 높아졌습니다. 이에 따라서 개발자들은 이제 기능을 설계하거나 코드를 작성하는 과정에서 자연스럽게 보안성을 고려하고 발견된 취약점에 대해 신속하게 조치를 취하는 문화가 생겼습니다. 특히, 개발 중 모의해킹 관련 보안성 검토를 사전에 실시하고, 잠재적 위험 요소를 줄이는 문화가 조직 전반에 정착되었습니다. 이를 통해, 새로운 기능 개발이 이루어질 때마다 보안 취약점이 선제적으로 검토되고, 궁극적으로는 제품의 안정성과 신뢰성이 높아지게 되었습니다. 이러한 변화는 조직의 전반적인 보안 수준을 향상시켜 고객에게 보다 안전한 제품을 제공하는 데 기여하고 있습니다.
- Q: Test Connection 기능에 보안정책이 적용되어야 할까요?
- Server Groups 페이지 접속하기 위해선 SAC 관리자 권한이 있어야 하다보니, 관련 보안 정책이 없어도 크게 문제는 없을 것으로 생각하였으나
- Test Connection 실패 횟수 제한이 없어, 브루트 포스 공격으로 서버 계정의 패스워드를 알아낼 수 있다보니 보안성 검토를 요청드리게 되었습니다.
- A: 검토 결과, SAC 관리자 권한이 있다고 해서 보안 위협이 없는것은 아닙니다.
현재 서버 관리자 권한이 있더라도 기존에 쿼리파이에 등록된 서버의 패스워드를 평문으로 확인할 수는 없으나, 아래 위험 등이 존재하기에 5회의 실패 횟수 제한은 있어야 합니다.
- 서버 관리자라고 하더라도 본인이 관리하는 서버가 아닌 다른 서버까지 브루투 포스 공격을 시도할 수 있음
- 관리자 계정이 탈취되었을 경우 또한 서버 계정까지 탈취 위험 존재 등
"외부 모의해킹 컨설팅으로 얻은 객관적 보안 평가와 신뢰 증진"
외부 모의해킹 컨설팅을 통해 우리 제품에 대해 객관적이고 신뢰성 있는 평가를 받을 수 있었습니다. 외부 전문가들이 제품을 철저히 점검하고 보안 수준을 검증해줌으로써, 우리 내부 팀 역시 제품의 보안성을 다시 한 번 확인하고 신뢰를 높일 수 있었습니다. 이러한 외부 검증 과정은 고객들에게도 제품에 대한 신뢰감을 더해 주었으며, 우리 내부에서도 제품의 보안 수준에 대한 자신감을 강화하는 계기가 되었습니다.
"버그바운티로 얻은 수준높은 기술력"
버그바운티 프로그램은 새로운 점검 방법과 외부의 다양한 모의해킹 접근 방식을 접할 수 있는 기회를 제공하면서 인하우스 모의해킹 역량 강화에도 큰 도움이 됩니다. 이러한 학습과 경험은 인하우스 모의해킹에서 놓쳤을 수 있는 취약점을 더욱 세심하게 파악하도록 돕고, 점검의 깊이와 질을 크게 높여줍니다. 그 결과, 조직 내에서 뛰어난 모의해킹 기술력이 내재화되고, 장기적으로는 자체적인 보안 강화와 문제 대응 역량이 크게 향상되는 효과를 얻고 있습니다.
위와 같은 통합된 보안 점검을 통해 올해 총 44건의 취약점을 발견하였고, 현재 조치중인 13건을 제외한 모든 취약점을 조치하였습니다.
결론 및 향후 계획
QueryPie는 보안의 중요성을 깊이 이해하고 있으며, 이를 위해 지속적으로 혁신하고 발전하고 있습니다. Optimized 단계로의 도약을 목표로, 자동화된 모의해킹과 AI 기반 위협 탐지 시스템을 통합하여 보안의 효율성과 수준을 한층 더 높이고 있습니다. 이러한 노력은 단순히 현재의 보안 위협에 대응하는 것을 넘어, 잠재적인 위협을 선제적으로 식별하고 대응할 수 있도록 합니다.
또한, DevSecOps 파이프라인의 구축과 고도화를 통해 보안 테스트를 개발 프로세스에 자연스럽게 통합함으로써, 애플리케이션의 안전성을 더욱 강화하고 있습니다. Fuzzing 테스트 자동화의 도입은 런타임 중 발생할 수 있는 문제를 조기에 발견하여 서비스의 안정성을 보장합니다.
이러한 포괄적이고 체계적인 보안 접근 방식은 고객들에게 더욱 신뢰할 수 있는 서비스를 제공하는 기반이 되며, QueryPie의 고객들이 안심하고 서비스를 이용할 수 있도록 합니다. 앞으로도 QueryPie는 고객의 신뢰를 최우선으로 하여, 최고의 보안 수준을 유지하기 위해 끊임없이 노력할 것입니다.