범위 합의를 절차의 출발로 두는 결
단계를 단어로 나열하기보다, 왜 그 순서이고 무엇이 먼저인지로 말씀드리고 싶습니다. 침투 테스트의 진짜 출발은 공격이 아니라, 어디까지를 대상으로 하고 어떤 행위는 금지인지 합의하는 것입니다. 이 합의 없이 하면 기술 행위 자체가 문제가 되기 때문입니다. 그다음 대상이 어떤 시스템으로 이뤄졌는지 정보를 모으고, 어디에 약점이 있을지 점검하고, 합의된 범위 안에서만 실제로 들어가 보고, 어디까지 영향을 줄 수 있었는지 확인합니다. 마지막이 가장 중요합니다.
무엇이 어떻게 뚫렸고 어떻게 막을지를 정리해 전달하는 보고입니다. 침투 테스트는 뚫는 게 목적이 아니라, 뚫리는 길을 알려 막게 하는 게 목적이기 때문입니다. 그래서 순서는 합의 → 정보 수집 → 약점 점검 → 통제된 침투 → 영향 확인 → 보고이고, 처음과 끝(합의·보고)이 기술 단계만큼 중요합니다. 다만 현장 범위나 규정에 따라 세부는 달라진다는 한계는 둡니다. 핵심은, 나열이 아니라 범위 합의를 출발로, 보고를 목적으로 두는 절차를 보인다는 점입니다.