소스코드 진단 항목 매핑 (CWE, PVS, KISA)
모의해킹은 크게 화이트 박스와 블랙 박스 진단으로 분류된다. 화이트 박스는 관리자 권한을 얻은 상태에서 보안 설정 값을 검사하는 것으로 국내 환경에 맞춰진 공신력 있는 기관의 소프트웨어 보안약점 진단가이드를 기준으로 수행한다. 블랙박스는 비인가자의 권한으로 패스워드 획득, 관리자 권한 획득, 고객정보 획득 등을 얻기위해 수행하는 것으로 국내외 공신력 있는 기관의 주요정보통신기반시설 기술적 취약점 분석 평가 방법 가이드, OWASP TOP 10 등의 기준으로 수행한다. 소스코드 취약점 진단 시 기준, 사용 도구, 국내외 진단항목 매핑, 샘플 환경에 대해 말해보고자 한다. 하단의 취약점 진단 항목은 소프트웨어 보안약점 진단가이드 기준으로 국내 코드별 CWE 항목을 매핑했다. 간혹 고색사가 해당 항목이 어떤 ..