큐밋 인사이트 - QA 아웃소싱
[개념 정리] 소프트웨어 보안 테스트 유형 및 분류 가이드
보안 테스트 분류 가이드 및 총정리
우리 회사에 꼭 맞는 보안 테스트, 이렇게 선택하세요
보안 테스트, 도대체 어디서부터 어떻게 시작해야 할까요? 많은 기업들이 막연히 "보안은 중요해!"라고 생각하지만, 실제로 어떤 테스트가 필요한지 구분이 어려운 경우가 많습니다. 기업의 보안 테스트는 단순히 해킹을 막는 것이 아니라, 어디를 점검할지 → 어떤 테스트를 할지 → (필요하다면) 어떤 방식으로 검증할지를 단계적으로 선택하는 것이 중요합니다. 보안 테스트를 분류 기준에 따라 나눠 쉽게 이해하고, 우리 회사에 딱 맞는 보안 테스트를 고르는 방법을 총정리 해볼게요. (*관제, 운영·인증·교육·개발은 제외)
👉🏻 [관련 글] QA 테스트 유형 총정리, 초보자도 이해하는 SW 테스트 가이드
1. '무엇을' 점검해야 하나 (대상 기준 분류)
보안 테스트의 첫 단계는 점검 대상을 정하는 것입니다. 회사마다 보안이 필요한 대상이 다르기 때문에, 아래 기준을 참고해 주세요.
분류 | 설명 | 추천 대상 |
웹·모바일 애플리케이션 보안 테스트 | - 웹사이트, 모바일 앱 등 사용자가 직접 사용하는 서비스 화면과 기능을 점검 - 로그인, 결제, 게시판, API 등에서 해킹으로 악용될 수 있는 취약점을 확인 | - 웹·앱 서비스를 운영 중인 기업 - 회원정보, 결제 기능이 있는 서비스 |
시스템/서버 보안 테스트 | - 서버(OS), 계정, 설정 환경을 점검 - 서버 설정 오류나 패치 누락으로 인한 침입 가능성을 확인 | - 자체 서버 또는 클라우드 서버 운영 기업 - ISMS-P, 공공·금융 인증 대응 필요 기업 |
네트워크/인프라 보안테스트 | - 외부에서 내부 시스템으로 접근하는 네트워크 경로를 점검 - 방화벽, 포트, 접근 통제 설정이 제대로 되어 있는지 점검 | - 외부 접속이 많은 서비스 - 내부망 보호가 중요한 기업 |
데이터 보안 테스트 | - 개인정보·중요 데이터가 안전하게 저장·전송·관리되는지 점검 - 암호화 여부, 접근 권한, 로그 관리 상태를 확인합니다. | - 개인정보를 수집·보관하는 기업 - 정보 유출 리스크 우려 기업 |
기타 | 클라우드 환경 보안 테스트, IoT/임베디드 기기 테스트, 물리 보안 테스트 등 | - 특수 인프라 보유 기업 |
2. 같은 대상도 '어떻게' 점검할지 선택하세요 (테스트 유형 분류)
보안 테스트는 "무엇을"만큼이나 "어떻게" 하느냐도 중요합니다. 대상이 같더라도 어떤 방식으로 점검하느냐에 따라 테스트 유형이 달라집니다.
구분 | 설명 | 특징 |
보안 취약점 진단(시스템 ·서버/네트워크·인프라/웹/ 모바일) | - 이미 알려진 보안 취약점과 설정 오류를 기준에 따라 점검하는 기본 보안 테스트 - 자동 스캐너와 점검 기준을 활용해 전반적인 보안 상태를 확인 - 실행 중 환경을 스캔, 운영 중 서비스 점검 | - 가장 기본적인 보안 테스트 - ISMS-P, 공공·금융 기관 등 인증 필수 |
모의해킹(침투 테스트) | - 실제 해커처럼 시스템에 침입을 시도해 보안 사고가 발생할 수 있는지를 검증 - 단순 점검이 아니라, 실제 공격 가능성을 확인하는 테스트 | - 실제 공격 시나리도 기반 - 리스크 직관적 파악 |
소스코드 보안 진단 | - 프로그램을 실행하기 전, 소스코드 자체를 분석해 보안 취약 요소 분석 - 개발 단계에서 코드 자체를 분석해 취약점을 사전에 제거하는 테스트( 실행 전 코드 분석) | - 개발 단계 예방 중심 - 정적 분석(SAST) 기반 |
보안 아키텍처 / 설계 점검 | - 시스템 구조와 설계 자체가 안전한지 설계 단계에서 검토 - 신규 서비스나 대규모 시스템 구축 시 주로 수행 | - 위협 모델링 기반 - 장기적인 보안 안정성 확보 |
3. 모의해킹을 한다면, '누구 관점'인지 선택하세요 (접근 방식)
모의해킹은 "어디서 공격하느냐"에 따라 결과가 다르게 나옵니다.
※ 모의 해킹을 수행할 때만 적용되는 분류입니다.
- 블랙박스: 외부 공격자 관점
- 그레이박스: 일반 사용자 관점
- 화이트박스: 내부자 관점
'우리 회사 상황'에 딱 맞게 조합해서 선택하세요!
보안 테스트는 정답이 있는 게 아닙니다. 회사의 서비스 구조, 운영 환경, 인증 준비 여부, 예산 등 여러 요소를 고려해 맞춤형 조합을 선택해야 합니다.
예를 들어,
- 스타트업이라면? 웹/앱 + 취약점 진단으로 시작!
- 금융권이라면? 전체 + 모의해킹 + 화이트박스 조합 추천!
- 개발 단계라면? 소스코드 진단 + 아키텍처 점검 필수!
보안 테스트를 받고 싶은데, 업체마다 제공하는 보안 서비스 항목도 다르고, 어디에 어떤 보안 테스트를 문의해야 할까요?
큐밋에서는 고객의 이런 복잡한 질문을 해결해드려요!
- 보안 테스트 관련한 적합한 업체 매칭
- 예산, 기간, 구조에 따른 최적의 업체 추천
- QA테스트+보안 테스트 통합 제공 가능
우리회사에 맞는 보안테스트 업체 알아보려고, 더 이상 손품 팔지 마세요!
큐밋이 대신 해결해드릴게요!