모의해킹 서비스
제품의 필요성
공격자 관점에서 실제 운영 환경의 보안 위협/해킹·정보 유출·서비스 마비 등의 침해사고를 사전에 식별할 수 있습니다.
- 기업 내부 IT 자산을 대상으로 화이트해커가 실제 해커와 동일한 방식으로 침투를 시도하여 기술적 취약점을 탐지·검증
- 자동화 도구로는 발견하기 어려운 로직 결함, 복합 취약점 등을 수동 점검으로 심층 진단
- ISMS, CSAP, ISO27001 등 보안 인증 및 컴플라이언스 요건 충족을 위한 객관적 점검 근거 확보
- 발견된 취약점에 대해 위험도별 분류 및 단기/중기/장기 개선 로드맵 제시
점검대상
웹 애플리케이션
홈페이지, 쇼핑몰
관리자 페이지, 포털
모바일 앱
Android / iOS
하이브리드 앱
서버 / 인프라
Linux, Windows
네트워크 장비
클라우드
AWS, Azure, GCP
컨테이너 환경
API / 내부망
REST / GraphQL API
내부 업무 시스템
소셜엔지니어링
피싱 시뮬레이션
내부자 위협 점검
점검기준
국제 점검 기준
OWASP TOP 10 (웹/모바일/API)
CVE / CWE / SANS TOP 25
CERT Secure Coding Standard
PTES (침투테스트 실행 표준)
NIST SP 800-115
국내 점검 기준
주요정보통신기반시설 취약점 기준
전자정부 서비스 웹 취약점 (21종)
전자금융기반시설 보안 취약점 기준
국정원 8대 웹 보안 취약점
ISMS / CSAP 인증 요건
절차
1
사전 미팅을 통한 서비스 준비
- 점검 대상 및 범위 확인
- 점검 일정 및 방식 협의
- 네트워크·보안장비 예외 처리 요청 (WAF, IPS 등)
- 비밀유지계약(NDA) 체결
2
정보 수집 및 취약점 탐색
- 공격 표면 식별 및 대상 시스템 구조 파악
- 자동화 도구 + 수동 점검 병행
- 시나리오 기반 침투 경로 분석
3
모의해킹 수행
- 인증 우회, 권한 상승, 정보 탈취 등 공격 시나리오 실행
- 취약점 재현 및 영향도 검증
- 내부 피벗팅(Pivoting) 및 내부망 침투 시도
4
점검 결과 분석
- 발견 취약점 위험도 분류 (Critical / High / Medium / Low)
- 공격 시나리오별 영향도 평가
- 재현 가능한 PoC(Proof of Concept) 정리
5
보고서 및 보안대책 제시
- 요약 보고서 + 상세 기술 보고서 제공
- 취약점별 개선 가이드 및 소스코드 수정 방안 제시
- 담당자와 결과 리뷰 미팅 진행
기대효과
코드원 모의해킹 서비스를 통해 고객이 운용하는 주요 정보 시스템에 대한 실전형 침투 테스트를 수행하고, 도출된 위협에 대한 보호대책을 제시함으로써 침해사고 발생 위험율을 낮추고 보안 수준을 제고합니다.
- 실제 공격자 관점의 점검으로 자동화 도구가 놓치는 고위험 취약점 조기 발견
- ISMS, CSAP, ISO27001 등 보안 인증 심사 내 취약점 평가 소명 자료 확보
- 침해사고 발생 전 선제적 대응으로 사고 대응 비용 및 브랜드 손실 최소화
- 위험도별 개선 로드맵 제공으로 체계적인 보안 투자 우선순위 수립 가능
- 정기 점검을 통한 보안 수준의 지속적 향상 및 신규 위협 대응 체계 구축
- 경영진용 요약 보고서 제공으로 보안 현황의 가시적 보고 및 의사결정 지원