PTW에서 새롭게 제공해 드리는 침투 테스트 서비스 발표 이후, 당사의 기술 부문 이사를 역임하고 있는 Harlan Beverly와 더불어 IT 보안에 대한 모범 사례에 대한 더 많은 인사이트를 다뤄 보았습니다. “PTW와 같은 제3자가 수행하는 침투 테스트는 고객과 직원, 주주를 안전하고 안전하게 유지하기 위해 모든 합리적인 조치를 준수하고 있는지 확인합니다."라고 말했습니다 이는 최근 SolarWinds Corp와 그 CISO인 팀 브라운(Tim Brown)이 직면했던 문제를 통해 사실로 입증되었습니다.

SolarWinds는 IT 관찰 가능성 플랫폼입니다. 미국 증권거래위원회(SEC)는 이 회사가 자신들의 관행에 대한 보안을 의도적으로 잘못 전달한 것으로 보고 사기 및 내부 통제 실패 혐의로 기소했습니다. 2018년 10월부터 2020년 12월까지, SolarWinds는 "SUNBURST"라는 대규모 사이버 어택을 받았습니다. 그 공격을 통해 사이버 범죄자들이 SolarWinds의 인프라에 접근할 수 있었고, 이 인프라는 전 세계에 있는 고객들은 물론 미 연방정부까지도 사용하던 것이었습니다.

(출처:DarkReading.com)

지금도 SolarWinds의 애플리케이션 보안 실패로 인한 영향을 회사와 고객, 직원들은 물론 주주들도 이를 체감하고 있습니다. Harlan은 "데이터 손실, 복구 및 평판 손실에 따른 영향은 아무리 강조해도 지나치지 않습니다."라고 합니다. "어떤 기업이 해커가 자신들의 전산망을 뚫고 들어오지 못하도록 하는 걸 원치 않겠습니까? 그것이 침투 테스트가 확인하려는 것입니다. 화이트햇 IT 전문가들은 해커들과 동일한 기술을 사용해 시스템에 침투를 시도하며, 이를 통해 취약점은 무엇인지, 그리고 해커들이 이를 발견하여 악용하기 전에 패치를 적용하려는 것입니다.

관련 뉴스로, 특히 인공지능(AI)을 활용하는 애플리케이션의 사이버 보안과 게임이나 애플리케이션에 대한 침투 테스트의 중요성도 높아지고 있습니다. (출처: CNBC). Harlan은 "미국 정부는 최근 AI 시스템의 안전을 유지하는 새로운 가이드라인을 의무화했습니다"라며, "이번 프로그램에서는 특히, 기업들이 안전성 테스트 결과를 공유하고 개인정보보호 기술을 평가하도록 요구하고 있고 이 새 가이드라인은 프라이버시 및 보안 기술이 기능하는지 보장하는 단계로서 침투 테스트가 필수로 요구되며 앞으로 더욱 그 중요성을 더할 것을 의미합니다."라고 현황을 설명했습니다

"저희가 새롭게 개발한 NinjaScan 서비스는 침투 테스트를 보다 신속하고 저렴하게 이용할 수 있습니다."라며, 이것이 가능한 것은 "24시간의 작업 사이클을 활용하여, 전 세계에 걸쳐 작업을 분산하고 프로세스를 효율화적으로 처리할 수 있도록 개발된 특별한 도구 및 스크립트를 사용하여 침투 테스트를 실시함으로써 이를 달성할 수 있다고 말합니다."

증권거래위원회 및 새 미 정부 부서가 안전성 테스트의 중요성을 언급하는 가운데, OSCP(Offensive Security Certified Professional) 인증 파트너가 수행하는 침투 테스트의 필요성은 그 어느 때보다 높아지고 있습니다.