**침투 테스트(penetration testing, pen testing)**는 실제 공격자보다 먼저 악용 가능한 취약점을 찾기 위해 시스템을 승인받아 모의 공격하는 것입니다 — 윤리적 해커가 적극적으로 침입을 시도합니다. 자동화된 스캐닝을 넘어선 현실적인 보안 평가를 제공합니다.
침투 테스트란
PENETRATION TESTING = 실제로 악용 가능한 취약점을 찾기 위해 시스템에 대한 AUTHORIZED
모의 공격:
→ 윤리적 해커 / 보안 전문가가 적극적으로 BREAK IN 시도(공격자처럼 생각하고 행동)
→ 자동화된 스캐닝을 넘어 → 복잡하고 연쇄적이며 로직 취약점을 찾음
→ AUTHORIZED되고 범위가 정해짐(합법적, 합의된 경계) — 실제 공격과 달리
→ "실제 공격자가 어떻게 이것을 침해하고, 무엇에 도달할 수 있는가?"
유형과 접근
지식별:
BLACK-BOX → 내부 지식 없음(외부 공격자처럼)
WHITE-BOX → 전체 지식/접근(철저한 내부 관점)
GRAY-BOX → 부분 지식(예: 일반 사용자의 접근)
SCOPE → 웹 앱, network, API, 모바일, 클라우드, 사회공학, 물리 등
PHASES → 정찰 → 스캐닝 → 악용 → 후속 악용 → 보고
