Burp로 기업 내부망 웹앱 평가 전략

소개

기업 내부 네트워크에서 웹 애플리케이션을 평가할 때는 외부와 다른 제약이 존재한다. 접근 경로, 인증 흐름, 서비스 간 통신, 그리고 운영 영향까지 고려해야 한다. 이 글은 Burp를 중심으로 내부망 스캔을 안전하고 효율적으로 수행하는 전체 흐름을 설명한다. 사전 동의와 범위 정의를 기반으로 작업해야 한다.

사전 준비

권한과 범위 확정

테스트 전 반드시 문서화된 동의서와 범위를 확보한다. 대상 호스트, 포트, 테스트 시간, 허용된 공격 유형(예: DoS 금지) 등을 명확히 한다. 이는 법적 보호와 운영 리스크 관리를 위해 필수다.

환경 및 접근 경로

내부망 접근 방식은 다양하다. VPN, 점프 서버(bastion), 테스트 에이전트 등 조직에서 허용한 경로를 사용한다. 접근 방식에 따라 Burp를 로컬에 설치하거나 원격 에이전트에서 실행할지를 결정한다.

환경 구성

프록시와 터널링

Burp는 프록시 기반 도구이다. 내부망에서 프록시를 어떻게 연결할지 미리 계획한다.

• 로컬에서 직접 접속 가능한 경우: Burp를 로컬에 실행하고 브라우저 프록시를 설정
• 원격 에이전트 사용 시: SSH 포워딩 또는 조직이 제공한 터널을 통해 트래픽을 전달
• 에이전트 설치 시: 테스트 전 에이전트의 보안성, 로그 보관, 접근 제어 검토

인증 및 세션 관리

내부 애플리케이션은 SSO, Kerberos, 클라이언트 인증서 등을 사용하기도 한다. Burp에서 세션 핸들링을 설정하고 필요한 경우 인증 토큰을 자동 갱신하도록 구성한다. 민감한 자격증명은 안전하게 취급하고 로그에 남기지 않는다.

스캔 전략

범위와 우선순위 설정

모든 엔드포인트를 동시 스캔하기보다는 서비스 중요도에 따라 우선순위를 정한다. 인증이 필요한 페이지, 내부 API, 관리자 인터페이스가 우선 대상이다. 스캔 강도는 운영 영향도를 고려해 점진적으로 높인다.

수동 탐색과 자동 스캔 병행

자동 스캐너로 대량 취약점 후보를 찾아내고, 수동 검증으로 오탐을 배제한다. Burp의 Proxy와 Repeater를 활용해 요청을 관찰하고 정밀 분석을 병행한다.

Burp 설정 권장값

스캐너 설정

• 스레드 수와 동시 요청 제한을 낮게 시작
• 오탐 방지를 위해 파라미터별 테스트 범위 조정
• 민감한 기능(계정 삭제, 결제 등)은 공격 리스트에서 제외

로그와 증적 수집

테스트 중 발생한 모든 결과는 보안 로그와 별도로 저장한다. 발견된 취약점은 재현 가능한 단계로 문서화하고 스크린샷, 요청·응답 캡처를 첨부한다.

운영 영향 최소화

스캔 전 백업과 모니터링 담당자에게 사전 공지를 한다. 트래픽 증가는 서비스 장애로 이어질 수 있으므로 낮은 트래픽 시간대를 활용하고, 장애 발생 시 즉시 중단할 수 있는 절차를 마련한다.

결과 분석과 보고

우선순위 분류

취약점은 CVSS뿐 아니라 내부 영향도를 고려해 우선순위를 매긴다. 인증 우회 가능성, 권한 상승, 민감정보 노출 여부를 중심으로 분류한다.

개선 권고와 재검증

발견 항목에 대해 재현 단계, 원인 분석, 구체적인 완화 방안을 제시한다. 수정 후 재검증 계획을 수립해 해결 여부를 확인한다.

안전 수칙과 윤리

항상 문서화된 동의 범위 내에서만 작업한다. 불필요한 서비스 중단을 피하고, 민감 데이터는 테스트에서 배제하거나 마스킹한다. 테스트 전후 결과와 로그는 안전한 저장소에 보관한다.

실무 예시: SSH 포워딩으로 Burp 연결(예시)

ssh -L 8080:internal-host:80 tester@bastion.example.com

위 명령은 로컬 8080 포트를 내부 호스트의 80 포트로 포워딩한다. 조직의 승인과 보안 정책을 확인한 뒤 사용한다.

맺음말

Burp를 사용한 내부망 웹앱 평가는 기술적 이해와 운영 고려가 동시에 필요하다. 권한과 범위를 명확히 하고, 낮은 영향도로 시작해 단계적으로 검증하면 안전하게 리스크를 줄일 수 있다.