서문

디지털 환경의 복잡성이 증가하고 사이버 위협이 끊임없이 진화하는 오늘날, 기업과 조직은 보안을 최우선 과제로 삼고 있습니다. 또한, 컴플라이언스 요구사항이 강화됨에 따라 보안의 중요성은 더욱 부각되고 있습니다. 이러한 시대적 요구에 부응하기 위해, QueryPie 팀은 Privileged Access Management(PAM) 솔루션의 강력한 보안을 실현하는 데 전력을 다하고 있습니다. QueryPie의 보안 기능은 단순한 제품의 일부가 아니라, 제품 개발 초기 단계부터 최종 배포 단계까지 보안을 핵심 가치로 삼아 전사적으로 깊이 이식해 온 결과물입니다.

이러한 노력을 바탕으로, 우리는 개발 전 단계에서 철저한 보안성 검토 프로세스를 수립하고, 모든 단계에서 보안성을 검토하여 제품의 안전성을 극대화하고 있습니다. QueryPie 보안팀은 다양한 관점에서 보안 취약점을 식별하기 위한 체계적인 프로세스를 구축하였으며, 그중에서도 특히 중요한 프로세스 중 하나인 모의해킹 프로세스에 대해 소개하고자 합니다. 이 백서에서는 QueryPie의 모의해킹 프로세스와 그 중요성에 대해 자세히 알아보겠습니다.

QueryPie는 내부 In-House Red Team을 별도로 구성하고 있으며 지속적인 In-House 모의해킹, Bug Bounty Program 운영, 외부 전문가 모의해킹 컨설팅 세 가지 방식을 병행하여, 각 모의해킹 방식의 부족한 부분을 상호 보완하는 구조로 운영되고 있습니다.

대표적으로 모든 신규 버전 릴리즈 시마다 실시되는 내부 모의해킹은 안전한 제품을 만들기 위한 중요한 절차이며, 이를 통해 제품에 대한 잠재적 위협을 빠르게 식별하고 해결하고 있습니다. 이와 더불어 QueryPie의 Bug Bounty Program은 전 세계 보안 연구자들과 QueryPie를 실제로 사용하고 있는 고객사가 제품의 보안성을 한층 더 향상 시키는데 기여할 수 있는 기회를 제공하며, 이를 통해 우리는 고객들에게 더욱 신뢰할 수 있고 안전한 제품으로 보답합니다. 마지막으로 외부 모의해킹 전문가들과의 협력 역시 QueryPie 보안 검증의 중요한 축을 이루고 있으며, 외부 다양한 전문가의 경험과 시각을 통해 우리가 놓칠 수 있는 취약점을 보완합니다.

QueryPie의 Multi-layered Security Approach

• 인하우스 모의해킹 : 조직 내부의 보안 전문가들이 제품의 취약점을 발견하고 개선하기 위해 수행하는 내부 보안 테스트

  • 전문성 : 제품의 내부 구조와 아키텍처에 대한 깊은 이해

  • 지속성 : 신규 버전 릴리즈마다 반복적인 테스트 수행

  • 신속성 : 내부 팀 간 협업을 통해 취약점 발견 후 빠른 조치 가능

• 버그바운티 프로그램 : 외부 보안 연구자와 고객사가 참여하여 제품의 취약점을 발견하고 보고하면 보상을 제공하는 프로그램

  • 다양성 : 전 세계 보안 연구자 및 고객사의 폭넓은 참여

  • 창의성 : 예상치 못한 공격 기법과 관점 제공

  • 경제성 : 유효한 취약점에 대한 보상 지급으로 효율적인 리소스 활용

• 외부 모의해킹 컨설팅 독립적인 보안 전문가가 수행하는 객관적 보안 테스트

  • 객관성 : 독립적인 시각에서의 취약점 분석

  • 최신성 : 최신 위협 동향과 기술을 반영한 공격 시뮬레이션

  • 신뢰성 : 외부 전문가 인증을 통한 검증된 보안 평가 결과

우리가 모의해킹을 중요하게 생각하는 이유는 자동화된 도구만으로 제품의 프로세스나 규칙을 악용할 수 있는 논리적 취약점을 탐지하기 어려우며, 이러한 취약점을 효과적으로 식별하기 위해서는 다양한 보안 테스트 프로세스 수립을 통해 각 프로세스의 부족한 부분을 상호보완 할 수 있어야 합니다.

QueryPie는 왜 이렇게까지 보안의 중요성을 강조하는 것 일까요?

다시 처음으로 돌아가 PAM 솔루션은 Zero Trust 보안 아키텍처를 구현하는 데 있어 다양한 시스템과 데이터베이스에 대한 핵심 접근 권한을 관리하는 매우 중요한 관문 역할을 합니다. 이는 곧, QueryPie가 관리하는 데이터와 시스템이 악의적인 공격자에게 노출될 경우 조직 전체가 심각한 위협에 처할 수 있음을 의미합니다. 이러한 중요성 때문에 QueryPie는 사용자와 고객이 믿고 사용할 수 있는 제품을 제공하는 것을 최우선 과제로 삼고 있으며, 이에 따라 보안을 일관되게 강화하고 있습니다. QueryPie 팀은 고객의 데이터와 시스템을 안전하게 보호하는 것이 곧 고객과의 약속이며 우리의 사명이라고 믿고 있습니다. 따라서 QueryPie는 보안에 있어 절대 타협하지 않을 것이며, 철저한 검증과 모의해킹을 통해 더욱 견고한 우리 제품과 환경 구축을 위해 지속적으로 노력하는 이유 입니다.

QueryPie 의 모의해킹 Framework 및 성숙도 모델

그러면 먼저 QueryPie 의 모의해킹 프로세스와 성숙도 수준은 어느 정도인지 알아볼까요?

QueryPie Penetration Test Framework?

QueryPie는 종합적인 모의해킹 프레임워크를 개발하여 운영하고 있습니다. 이 프레임워크는 보다 체계적이고 철저한 모의해킹을 위하여 전세계적으로 인지도가 가장 높은 NIST SP 800-115, OWASP Testing Framework 를 기반으로 하여 개발되었습니다. 이는 제한된 내부 인하우스 모의해킹 시간동안 취약점을 효과적으로 탐지하고 분석할 수 있도록 효과성을 제공합니다.

이 프레임워크는 모의해킹 과정을 표준화하고, 각 단계에서의 활동을 명확히 정의하여 일관된 보안 검증이 이루어지도록 합니다. 이를 통해 QueryPie 는 모든 제품 릴리즈마다 높은 수준의 보안성을 유지하며, 발견된 취약점을 효과적으로 해결할 수 있습니다. QueryPie 모의해킹 프레임워크는 다음과 같은 6단계로 구성되어 있습니다.

QueryPie Penetration Maturity Model?

개발 전 단계에 대한 보안성 검토 과정에서 우리의 모의해킹 프로세스가 조직 내에서 안정화 되면서, 아래와 같은 모의해킹 성숙도 모델을 개발하여 우리의 현재 수준을 측정하고, 지속적으로 개선할 수 있는 기준을 마련하였습니다. 그래서 우리는 QueryPie 모의해킹의 성숙도 수준을 정량적, 정성적으로 측정한 결과 Proactive 수준으로 측정하였으며, 이에 만족하지 않고 나아가 Optimized 단계로 수준을 한층 높이기 위해 DevSecOps 파이프라인과의 통합을 진행중에 있습니다. 이를 통해 보안을 사후 대응이 아닌 사전 예방 차원에서 접근하고, 모의해킹 자동화와 AI 기반 위협 탐지 시스템을 결합하여 보안 검토와 대응이 더욱 효율적이고 일관성 있게 운영 되기를 기대하고 있습니다. 더불어 Optimized 단계로의 도약은 단순히 기술적인 진보를 의미하는 것만이 아닙니다. 이는 QueryPie가 고객들에게 최상의 보안성을 제공하고, 제품의 신뢰성을 극대화하며, 다양한 보안 위협에 한발 앞서 대응할 수 있는 체계를 구축하는 것을 목표로 합니다.

In-house Red Team

Red Team은 내부 모의해킹을 포함하여 CI/CD 파이프라인 전체 단계에서의 취약점(*CVE, CWE, CCE)을 점검하고, 개발 Life-Cycle에 대한 보안성 검토 및 가이드 업무를 수행하고 있으며, 매 신규버전 출시 전 QA 및 버그배시와 함께 아래와 같은 프로세스로 진행됩니다.

1. 모의해킹 전 사전 리뷰 : PM팀과 신규 버전의 핵심 기능들 및 주요 체크사항들을 협의합니다.

2. 모의해킹 수행 : 사전 리뷰에서 도출된 주요 기능을 우선적으로 모의해킹하며, 이와 동시에 전체 기능들을 다시 한 번 모의해킹 합니다. (2주 진행)

3. 보안팀 자체 리뷰 : 발견된 취약점들에 대해 1차적으로 보안팀 내부에서 리뷰 합니다.

4. 개발팀 공유 및 담당자 할당 : 취약점 정보를 개발팀에 공유하며, 상세 내용은 Jira Ticket을 통해 담당자 지정 및 추적관리 합니다.

5. 취약점 조치 확인 : 취약점 조치가 완료되면 Red Team 담당자가 이행점검 후, 해당 취약점 티켓을 완료처리 합니다.

*CVE : Common Vulnerabilities and Exposures
*CWE : Common Weakness Enumeration
*CCE : Common Configuration Enumeration

QueryPie Red Team 이 사용하는 도구 및 진단 방법론은 다음과 같습니다. 이와같은 방법론을 통해 테스트를 표준화하고 취약점의 심각도와 우선순위를 체계적으로 평가하여, 효과적인 대응방안을 마련하고 있습니다.

진단 도구

• Burp Suite

• Neuclei

• OWASP ZAP

• Nessus

• dnSpy

• Snyk

• Github Advanced Security