모의해킹에서 사용하는 방법론과 그 선택 이유를 체계적으로 서술한 접근결
모의해킹을 진행할 때 저는 주로 PTES(침투 테스팅 실행 표준)를 기준으로 접근합니다. 정보 수집 → 취약점 분석 → 공격 시뮬레이션 → 후속 조치 순서로 진행하는 구조가 체계적이기 때문입니다. 이 방법론을 선택한 이유는 각 단계에서 무엇을 확인해야 하는지가 명확하여 빠뜨리는 항목이 줄어들기 때문입니다.
정보 수집 단계에서 공개 정보(OSINT)와 네트워크 스캔으로 공격 표면을 파악한 뒤, 발견된 취약점을 우선순위화합니다. 단순히 취약점을 찾는 것이 아니라 실제 공격자의 관점에서 얼마나 활용 가능한지를 평가하는 것이 핵심입니다. 보고서에는 기술적 내용뿐 아니라 비즈니스 영향도도 포함합니다.