QueryPie가 제시하는 모의해킹의 새로운 기준

QueryPie는 종합적인 모의해킹 프레임워크를 개발하여 운영하고 있습니다. 이 프레임워크는 보다 체계적이고 철저한 모의해킹을 위하여 전세계적으로 인지도가 가장 높은 NIST SP 800-115, OWASP Testing Framework 를 기반으로 하여 개발되었습니다. 이는 제한된 내부 인하우스 모의해킹 시간동안 취약점을 효과적으로 탐지하고 분석할 수 있도록 효과성을 제공합니다.

이 프레임워크는 모의해킹 과정을 표준화하고, 각 단계에서의 활동을 명확히 정의하여 일관된 보안 검증이 이루어지도록 합니다. 이를 통해 QueryPie 는 모든 제품 릴리즈마다 높은 수준의 보안성을 유지하며, 발견된 취약점을 효과적으로 해결할 수 있습니다. QueryPie 모의해킹 프레임워크는 다음과 같은 6단계로 구성되어 있습니다.

QueryPie Penetration Framework V1

QueryPie Penetration Maturity Model?

개발 전 단계에 대한 보안성 검토 과정에서 우리의 모의해킹 프로세스가 조직 내에서 안정화 되면서, 아래와 같은 모의해킹 성숙도 모델을 개발하여 우리의 현재 수준을 측정하고, 지속적으로 개선할 수 있는 기준을 마련하였습니다. 그래서 우리는 QueryPie 모의해킹의 성숙도 수준을 정량적, 정성적으로 측정한 결과 Proactive 수준으로 측정하였으며, 이에 만족하지 않고 나아가 Optimized 단계로 수준을 한층 높이기 위해 DevSecOps 파이프라인과의 통합을 진행중에 있습니다. 이를 통해 보안을 사후 대응이 아닌 사전 예방 차원에서 접근하고, 모의해킹 자동화와 AI 기반 위협 탐지 시스템을 결합하여 보안 검토와 대응이 더욱 효율적이고 일관성 있게 운영 되기를 기대하고 있습니다. 더불어 Optimized 단계로의 도약은 단순히 기술적인 진보를 의미하는 것만이 아닙니다. 이는 QueryPie가 고객들에게 최상의 보안성을 제공하고, 제품의 신뢰성을 극대화하며, 다양한 보안 위협에 한발 앞서 대응할 수 있는 체계를 구축하는 것을 목표로 합니다.

In-house Red Team

Red Team은 내부 모의해킹을 포함하여 CI/CD 파이프라인 전체 단계에서의 취약점(*CVE, CWE, CCE)을 점검하고, 개발 Life-Cycle에 대한 보안성 검토 및 가이드 업무를 수행하고 있으며, 매 신규버전 출시 전 QA 및 버그배시와 함께 아래와 같은 프로세스로 진행됩니다.

1. 모의해킹 전 사전 리뷰 : PM팀과 신규 버전의 핵심 기능들 및 주요 체크사항들을 협의합니다.
2. 모의해킹 수행 : 사전 리뷰에서 도출된 주요 기능을 우선적으로 모의해킹하며, 이와 동시에 전체 기능들을 다시 한 번 모의해킹 합니다. (2주 진행)
3. 보안팀 자체 리뷰 : 발견된 취약점들에 대해 1차적으로 보안팀 내부에서 리뷰 합니다.
4. 개발팀 공유 및 담당자 할당 : 취약점 정보를 개발팀에 공유하며, 상세 내용은 Jira Ticket을 통해 담당자 지정 및 추적관리 합니다.
5. 취약점 조치 확인 : 취약점 조치가 완료되면 Red Team 담당자가 이행점검 후, 해당 취약점 티켓을 완료처리 합니다.

*CVE : Common Vulnerabilities and Exposures *CWE : Common Weakness Enumeration *CCE : Common Configuration Enumeration

QueryPie Red Team 이 사용하는 도구 및 진단 방법론은 다음과 같습니다. 이와같은 방법론을 통해 테스트를 표준화하고 취약점의 심각도와 우선순위를 체계적으로 평가하여, 효과적인 대응방안을 마련하고 있습니다.

진단 도구

Diagnostic Tools

• Burp Suite
• Neuclei
• OWASP ZAP
• Nessus
• dnSpy
• Snyk
• Github Advanced Security

진단 항목

• OWASP Top 10
• OWASP API Security Top 10
• SANS Top 25
• NIST SP 800-115

위험도 분류

• CIA 개별 스케일 및 가중치를 계산하여 분류
• 가중치(QueryPie 제품의 특성 고려)
• 기밀성(C): 0.4
• 무결성(I): 0.35
• 가용성(A): 0.25
• ex) C = 3, I=1, A=1 인 취약점일 때, Score : 3 x 0.4 + 1 x 0.35 + 1 x 0.25 = 1.8

CIA Scale Table

2024년 동안, QueryPie Red Team은 신규 버전 출시 시마다 철저한 인하우스 모의해킹을 실시하였으며, 총 7번의 모의해킹을 통해 총 26건의 취약점을 발견하였습니다. 이러한 지속적인 보안 점검을 통해 잠재적인 위협을 최소화하고, 보다 고객이 신뢰할 수 있는 안전한 서비스를 제공할 수 있도록 노력하고 있습니다.

QueryPie Bug Bounty Program

QueryPie는 버그바운티 프로그램을 통해 보안에 대해 개방적이고 적극적인 자세를 보여주고 있습니다.

고객이 발견한 취약점에 대해 신속하게 대응하고, 이를 공식적으로 인정하는 과정은 고객과의 신뢰관계를 강화하는 데 큰 역할을 합니다. 결과적으로, 이러한 신뢰 구축은 장기적으로 제품의 품질과 안전성을 높이는 데 중요한 역할을 합니다.

QueryPie의 버그바운티 프로그램은 아래와 같은 프로세스로 진행됩니다.

1. 버그바운티 제보 이후, 리포트를 기반으로 내부 취약점을 재현합니다.
2. 취약점이 정상적으로 채택될 경우, Score 별 Reward 테이블을 참고하여 포상금을 결정합니다.
3. 취약점을 내부에 공유하여 조치를 진행합니다.
4. 리워드 지급 및 명예의 전당에 등재하며, 제보자가 원할 경우 CVE를 부여 받을 수 있도록 지원합니다. 이는 제보자의 노고에 대한 감사와 명예를 높이는데 큰 역할을 합니다.

Bug Bounty Process

QueryPie Hall of Fame

외부 모의해킹 전문가 협업

QueryPie 팀은 제품의 보안 강화를 위해 사내 인하우스 Red Team이 정기적으로 모의해킹을 수행할 뿐만 아니라, 외부의 독립적인 보안 전문가와의 협업을 통해 제3자 모의해킹을 적극 활용하고 있습니다. 독립적인 보안 전문가는 새로운 시각에서 QueryPie의 보안성을 점검할 수 있으며, 다음과 같은 장점들이 존재합니다.

"객관적인 보안 검증"

외부 전문가는 제품 개발과 직접적으로 관련되지 않았기 때문에, 제품에 대한 이해도는 높지 않더라도 테스터 입장에서 편견 없는 시각으로 QueryPie의 잠재적인 취약점을 찾아내고 다양한 공격 시나리오를 적용할 수 있습니다. 이러한 객관적인 관점은 보안 검증의 수준을 한층 더 끌어올리고, QueryPie 팀이 발견하지 못한 보안 취약점을 식별하는 데 큰 도움이 됩니다.

"외부 모의해킹 인력의 전문성"

외부 전문가들은 업계에서 모의해킹 전문가로서 활발히 활동하고 있으며 다양한 제품들에 대한 모의해킹 경험을 바탕으로 최신 사이버 위협 동향과 공격 기법에 대해 깊은 연구와 높은 이해도를 가지고 있어, QueryPie가 예상하지 못한 방식의 공격을 통해 제품의 방어 수준을 실제로 시험해볼 수 있습니다. 이를 통해 QueryPie의 보안팀은 외부 전문가들이 발견한 취약점들을 철저히 분석하고, 취약점 보완과 더불어 보안 아키텍처를 한층 강화할 수 있습니다.

"인하우스 팀과의 협력"

외부 평가는 인하우스 모의해킹 팀의 노력을 보완하고 검증하는 데 중요한 역할을 합니다. 예를 들어, QueryPie 인하우스 팀이 발견한 취약점은 물론, 새로운 버전 릴리즈 전에 외부 전문가의 의견을 받아 제품을 재검증하는 절차를 통해 QueryPie는 제품의 보안을 반복적으로 개선할 수 있습니다. 외부 전문가가 수행하는 테스트 결과는 객관적인 성능 지표로 활용될 수 있으며, 이를 바탕으로 인하우스 Red Team은 QueryPie의 보안 전략을 지속적으로 개선하는 데 필요한 인사이트를 얻게 됩니다.

독립적인 제3자 모의해킹은 이또한 QueryPie가 고객들에게 신뢰를 제공하기 위한 중요한 요소입니다. 이를 통해 고객들은 QueryPie제품이 매우 엄격한 보안 검증 과정을 거치고 있음을 알 수 있으며, QueryPie 팀은 고객의 중요한 시스템과 데이터를 보호할 수 있는 강력한 PAM 솔루션을 제공하고 있다는 자신감을 가지고 있습니다.

모범 사례

"모의해킹을 통한 시큐어 코딩 강화와 보안 문화 정착"

모의해킹은 개발 단계에서 시큐어코딩을 강화하는 데 큰 기여를 했습니다. 예를 들어, 개발자들이 모의해킹 프로세스와 보안 점검의 중요성을 직접 경험하면서, 보안 취약점에 대한 인식이 높아졌습니다. 이에 따라서 개발자들은 이제 기능을 설계하거나 코드를 작성하는 과정에서 자연스럽게 보안성을 고려하고 발견된 취약점에 대해 신속하게 조치를 취하는 문화가 생겼습니다. 특히, 개발 중 모의해킹 관련 보안성 검토를 사전에 실시하고, 잠재적 위험 요소를 줄이는 문화가 조직 전반에 정착되었습니다. 이를 통해, 새로운 기능 개발이 이루어질 때마다 보안 취약점이 선제적으로 검토되고, 궁극적으로는 제품의 안정성과 신뢰성이 높아지게 되었습니다. 이러한 변화는 조직의 전반적인 보안 수준을 향상시켜 고객에게 보다 안전한 제품을 제공하는 데 기여하고 있습니다.

• Q: Test Connection 기능에 보안정책이 적용되어야 할까요?
  • Server Groups 페이지 접속하기 위해선 SAC 관리자 권한이 있어야 하다보니, 관련 보안 정책이 없어도 크게 문제는 없을 것으로 생각하였으나
  • Test Connection 실패 횟수 제한이 없어, 브루트 포스 공격으로 서버 계정의 패스워드를 알아낼 수 있다보니 보안성 검토를 요청드리게 되었습니다.
• A: 검토 결과, SAC 관리자 권한이 있다고 해서 보안 위협이 없는것은 아닙니다. 현재 서버 관리자 권한이 있더라도 기존에 쿼리파이에 등록된 서버의 패스워드를 평문으로 확인할 수는 없으나, 아래 위험 등이 존재하기에 5회의 실패 횟수 제한은 있어야 합니다.
  • 서버 관리자라고 하더라도 본인이 관리하는 서버가 아닌 다른 서버까지 브루투 포스 공격을 시도할 수 있음
  • 관리자 계정이 탈취되었을 경우 또한 서버 계정까지 탈취 위험 존재 등

"외부 모의해킹 컨설팅으로 얻은 객관적 보안 평가와 신뢰 증진"

외부 모의해킹 컨설팅을 통해 우리 제품에 대해 객관적이고 신뢰성 있는 평가를 받을 수 있었습니다. 외부 전문가들이 제품을 철저히 점검하고 보안 수준을 검증해줌으로써, 우리 내부 팀 역시 제품의 보안성을 다시 한 번 확인하고 신뢰를 높일 수 있었습니다. 이러한 외부 검증 과정은 고객들에게도 제품에 대한 신뢰감을 더해 주었으며, 우리 내부에서도 제품의 보안 수준에 대한 자신감을 강화하는 계기가 되었습니다.

"버그바운티로 얻은 수준높은 기술력"

버그바운티 프로그램은 새로운 점검 방법과 외부의 다양한 모의해킹 접근 방식을 접할 수 있는 기회를 제공하면서 인하우스 모의해킹 역량 강화에도 큰 도움이 됩니다. 이러한 학습과 경험은 인하우스 모의해킹에서 놓쳤을 수 있는 취약점을 더욱 세심하게 파악하도록 돕고, 점검의 깊이와 질을 크게 높여줍니다. 그 결과, 조직 내에서 뛰어난 모의해킹 기술력이 내재화되고, 장기적으로는 자체적인 보안 강화와 문제 대응 역량이 크게 향상되는 효과를 얻고 있습니다.

위와 같은 통합된 보안 점검을 통해 올해 총 44건의 취약점을 발견하였고, 현재 조치중인 13건을 제외한 모든 취약점을 조치하였습니다.

2024 Security Assessment Results

결론 및 향후 계획

QueryPie는 보안의 중요성을 깊이 이해하고 있으며, 이를 위해 지속적으로 혁신하고 발전하고 있습니다. Optimized 단계로의 도약을 목표로, 자동화된 모의해킹과 AI 기반 위협 탐지 시스템을 통합하여 보안의 효율성과 수준을 한층 더 높이고 있습니다. 이러한 노력은 단순히 현재의 보안 위협에 대응하는 것을 넘어, 잠재적인 위협을 선제적으로 식별하고 대응할 수 있도록 합니다.

또한, DevSecOps 파이프라인의 구축과 고도화를 통해 보안 테스트를 개발 프로세스에 자연스럽게 통합함으로써, 애플리케이션의 안전성을 더욱 강화하고 있습니다. Fuzzing 테스트 자동화의 도입은 런타임 중 발생할 수 있는 문제를 조기에 발견하여 서비스의 안정성을 보장합니다.

이러한 포괄적이고 체계적인 보안 접근 방식은 고객들에게 더욱 신뢰할 수 있는 서비스를 제공하는 기반이 되며, QueryPie의 고객들이 안심하고 서비스를 이용할 수 있도록 합니다. 앞으로도 QueryPie는 고객의 신뢰를 최우선으로 하여, 최고의 보안 수준을 유지하기 위해 끊임없이 노력할 것입니다.