테스트 및 윤리적 해킹(Ethical Hacking)

개요

오라클은 자사의 인프라, 제품 및 서비스의 보안 강도를 평가하기 위해 오라클의 보안 전문가 팀을 유지하고 있습니다. 이들 팀은 다양한 수준의 상호 보완적인 보안 테스트를 수행합니다:

  • 운영 보안 스캐닝(Operational security scanning)은 모든 오라클의 시스템 및 서비스의 정상적인 시스템 운영 과정에서 실행됩니다.’ 이와 같은 유형의 평가는 대체로 상용 스캐닝 툴을 포함한 툴은 물론, 오라클의 자체 제품(Oracle Enterprise Manager 등)을 활용합니다.’ 운영 보안 스캐닝의 목적은 안전하지 않고 승인 받지 않은 보안 구성을 감지하는 것입니다.
  • 침투 테스트(Penetration testing)는 해당 시스템들이 오라클의 회사 표준에 따라 설정되었으며 이들 시스템이 운영 위협 환경을 견디고 인터넷으로 침투한 악성 스캔을 막아낼 수 있는지 확인하기 위해 정기적으로 실행됩니다. 침투 테스트는 2가지 방식으로 수행될 수 있습니다.
    • 수동적 침투 테스트(Passive-penetration testing)는 상용 스캐닝 툴과 수동 단계를 활용해 수행됩니다. 일반적으로 최소한의 내부자 지식을 활용하고 인터넷을 통해 실행합니다. 수동적 테스트는 충분한 신뢰성과 정확성으로 알려진 유형의 취약점이 있는지 확인하고, 보고된 이슈 유무를 확인하기 위해 개발 또는 클라우드에서 사용될 수 있는 테스트 케이스를 만드는 데 사용됩니다. 수동적 침투 테스트 중에는 이슈를 확인하는 데 최소한으로 요구되는 것 이외에는 운영 환경에 대한 공격을 실행되지 않습니다. 예를 들어, SQL 인젝션은 데이터 추출을 위해 악용되지 않을 것입니다.
    • 능동적 침투 테스트(Active-penetration testing)는 수동적 침투 테스트보다 깊이 침입하며 발견된 취약점을 악용하는 것을 허용합니다. 보안 팀들이 일반적으로 하나의 시스템을 다른 시스템으로 피봇할 수 있기 때문에 수동적 테스트보다 그 범위도 넓습니다. 능동적 침투 테스트는 운영 시스템에 대한 의도하지 않은 영향을 방지하기 위해 엄격하게 제어됩니다.
  • 운영 보안 스캐닝 및 침투 테스트와 달리, 윤리적 해킹은 EHT(Ethical Hacking team)가 테스트 대상 제품의 설계 사양 및 소스 코드 등과 같은 엔지니어링 설명서에 접근할 수 있도록 하는 자료 열람 방식입니다. 대상 시스템에 대한 보다 침입적인 분석을 위해 EHT에게 추가 로깅 및 디버그 모드를 활용할 수 있는 관리 액세스 권한을 부여할 수 있습니다. 윤리적 해킹 방식은 일반적으로 대상 시스템의 재구성이 필요한 수준으로 혼란을 야기하기 때문에 전용 테스트 환경에서 실행됩니다.

운영 보안 스캐닝(Operational Security Scanning)

오라클 IT 조직들은 오라클의 서버 보안 정책 및 관린 기술 표준에 따라 관리하는 오라클 사내 시스템 및 클라우드 서비스에 대한 보안 스캐닝을 책임지고 있습니다.’ 모든 스캐닝 툴은 기업 보안 솔루션 보증 프로세스(CSSAP: Corporate Security Solution Assurance Process)에 따라 승인을 받아야 합니다. 스캔 결과는 리스크 기반 접근 방식을 이용해 분석됩니다. 변경 관리 프로세스는 경영진의 승인을 받아 리스크 기반 우선 순위에 따라 모든 확인된 이슈를 해결하는 데 사용됩니다.

오라클의 사내 시스템 및 클라우드 서비스의 운영 보안 스캔에 대한 자세한 정보는 오라클의 기밀 사항이며 외부에 공개되지 않습니다.’

침투 테스트

오라클에서는 외부용 시스템과 클라우드 서비스에 대해 독립 보안 팀들이 진행하는 침투 테스트를 받아야 합니다. Global Information Security’의 침투 테스트 팀은 침투 테스트를 실행하며 외부 보안 팀이나 승인 받은 제3자가 침투 테스트 작업을 수행하는 경우, 모든 현업 부서를 감독합니다. 이와 같은 감독은 침투 테스트 활동과 관련 방법론의 품질, 정확성 및 일관성을 높이는 데 그 목적을 두고 있습니다. 오라클은 테스트 범위 및 환경 정의, 승인된 툴, 결과 분류, 자동 및 수동 단계를 통해 시도한+ 익스플로잇의 범주, 결과 보고 절차 등 공식적인 침투 테스트 요구 사항을 가지고 있습니다.

모든 침투 테스트 결과와 보고서는 오라클의 사내 보안 팀에서 검토하여 독립적이고 철저한 테스트가 수행되었는지 확인합니다. 일선 현업들이 새로운 시스템 또는 클라우드 서비스를 운영 환경에 도입하는 것을 허용하기 전에 오라클은 주요 침투 테스트 결과에 따른 수정 조치를 완료하도록 요구합니다.

오라클의 사내 시스템 및 클라우드 서비스의 침투 테스트에 대한 자세한 정보는 오라클의 기밀 사항이며 외부에 공개되지 않습니다.

윤리적 해킹

윤리적 해킹 방식은 Global Product Security 조직의 독립 보안 연구원 그룹인 EHT(Ethical Hacking Team)가 수행합니다.

EHT 테스트 보고서는 외부에 절대 공개되지 않지만 이 팀은 조사 결과를 기업 보안 아키텍트는 물론, 영향을 받는 일선 현업 부서의 고위 임원들에게 보고합니다. 또한, EHT 팀은 오라클 시큐어 코딩 표준(Oracle Secure Coding Standards)의 주요 기여자이며 오라클 개발을 위한 “경험적 지식”으로서 요약된 조사 결과를 정기적으로 제공합니다.

Oracle Labs

Oracle Labs의 미션은 단순합니다. 오라클 소프트웨어, Oracle Cloud 서비스 및 기업 운영을 크게 향상시키는 새로운 기술을 식별하고 조사하며 전파하는 것입니다. Oracle Labs 연구원들은 새로운 접근 방식과 방법론을 모색하고, 종종 고위험 또는 불확실성을 가지고 있거나, 제품 개발 조직 내에서 처리하기 어려운 프로젝트에 착수합니다.

’R&D에 대한 오라클의 확고한 의지와 노력은 오라클이 컴퓨터 산업에서 선도적인 위치를 유지할 수 있게 만든 기술 개발의 원동력입니다. 많은 오라클의 최첨단 기술들이 자체 제품 개발 조직에서 탄생했지만, Oracle Labs는 오직 연구에 집중하는 유일한 오라클 조직입니다.