Scanning

2025 Security engineer Bootcamp/7. Scan

Hoon`ss 2025. 12. 2. 17:35

정보 수집은 접근 방식과 깊이에 따라 크게 두 가지 단계로 나뉩니다. 비유하자면 도둑이 집에 침입하기 전, 멀리서 집의 구조를 관찰하는 것(OSINT)과 직접 담벼락에 다가가 문이 잠겼는지 흔들어보는 것(Scanning)으로 볼 수 있습니다.

공개된 출처의 정보를 활용하여 대상의 윤곽을 파악하는 방법입니다. 대상 시스템에 직접적인 패킷을 보내지 않아 탐지될 확률이 낮습니다.

활용 정보: 웹사이트, SNS, 뉴스 기사, 기업 공시 자료(DART), 채용 공고 등
수집 목표: 기업의 조직도, 사용하는 기술 스택(채용 공고를 통해 파악 가능), 담당자 이메일 주소, 관련 도메인 등 표면적인 정보를 수집합니다.

OSINT를 통해 얻은 표면적 정보를 바탕으로, 대상 시스템에 직접적인 접근을 시도하여 기술적인 상세 정보를 수집하는 행위입니다.

특징: 대상 서버와 직접 통신하므로 로그가 남을 수 있습니다.
수집 목표: 특정 포트의 개방 여부, 실행 중인 서비스 데몬, 운영체제 버전, 알려진 취약점 존재 여부 등 실질적인 기술 데이터를 확보합니다.

Key Point: 이 과정은 공격자에게는 '어디로 들어갈까?'를 결정하는 기회가 되지만, 방어자에게는 '어디를 막아야 할까?'를 알려주는 선제적인 보안 강화 포인트가 됩니다.

부트캠프 커리큘럼에서는 스캐닝을 통해 네트워크 환경과 시스템 구성의 취약점을 정밀하게 식별하는 과정을 강조합니다. 스캐닝은 보통 다음의 3단계 흐름으로 진행됩니다.

가장 먼저 네트워크상에서 '살아있는(Active)' 장치를 식별해야 합니다.

활성 호스트가 식별되었다면, 해당 장치가 외부와 통신하기 위해 열어둔 **문(Port)**을 확인합니다.

열린 포트(Open Port)의 의미: 웹 서비스(80, 443), 원격 접속(22, 3389) 등의 포트가 열려 있다는 것은 그곳에서 서비스가 작동 중임을 의미하며, 이는 곧 잠재적인 진입 경로가 됩니다.

단순히 문이 열려있는 것을 넘어, 그 안에서 **'무엇'**이 돌아가고 있는지 파악합니다.

특정 애플리케이션의 종류(Apache, Nginx, IIS 등)와 버전 정보를 알아내는 것이 핵심입니다.
위험성: 만약 탐지된 버전이 구버전이거나, 이미 공개된 취약점(CVE)을 포함하고 있다면 공격자는 해당 취약점을 이용해 손쉽게 침투할 수 있습니다.

토스뱅크와 같은 금융 IT 기업의 보안 조직에서 이 스캐닝 기술은 공격을 담당하는 **레드팀(Red Team)**과 방어를 담당하는 블루팀(Blue Team) 모두에게 필수적인 기본 역량(Base Skill)입니다.

역할: Nmap과 같은 스캐닝 툴을 활용하여 실제 해커처럼 시스템의 방어선을 시험합니다.
활용: 사각지대에 놓인 관리되지 않는 서버나, 실수로 열린 포트를 찾아내어 침투 시나리오를 구성합니다. "가장 약한 고리"를 찾아내는 것이 목표입니다.

역할: 공격자가 우리를 보기 전에, 우리가 먼저 우리를 들여다봐야 합니다.
활용: 주기적인 스캐닝을 수행하여 해커가 보게 될 정보와 동일한 정보를 파악합니다. 이를 통해 **'자산 식별'**을 명확히 하고, 외부에 노출되어서는 안 되는 포트나 취약한 서비스가 있다면 공격받기 전에 **선제적으로 차단(Patch & Block)**합니다.

ICTsecurity

멀티캠퍼스IT부트캠프, 부트캠프후기, [토스뱅크] 사이버 보안 엔지니어 부트캠프 (공격&방어 기술),

ICTsecurity