Level 4 · Penetration Testing
L4 모의침투(Penetration Testing) 신청
LSI Security Red Team의 모의침투(Penetration Testing)는 실제 공격 기법을 활용해 귀사 시스템의 방어 태세를 검증하는 고위험·고정밀 서비스입니다. 운영 영향과 법적 책임 분담을 명문화하기 위해 별도 신청 절차와 서면 승인이 요구됩니다.
1. 서비스 정의
L4 모의침투는 합의된 범위 내에서 실제 익스플로잇(Exploit)을 수행하여 취약점의 실 위험도를 검증하는 점검 서비스입니다. 「정보통신망법」 §48조 침해행위 금지 조항의 예외 적용을 위해 자산 소유권자의 서면 권한 위임과 Rules of Engagement(RoE) 합의가 선행되어야 하며, 이를 충족하지 못한 신청은 접수되지 않습니다.
2. 신청 자격
본 신청은 다음 요건을 모두 충족한 경우에만 접수됩니다.
- 점검 대상 자산의 법적 소유자 또는 운영 권한을 보유한 법인
- 신청자가 CEO·CISO·CIO 또는 해당 임원으로부터 서면 위임을 받은 자
- 자산 소유권 증빙(사업자등록증, 도메인 WHOIS, 시스템 운영 계약서, 클라우드 청구서 등) 제출 가능
- 제3자 자산이 포함된 경우 해당 제3자 동의서 확보
⚠️ 익명·대리 신청, 소유권 증빙 불가, 승인권자 불명확 시 점검은 거부됩니다.
3. 신청 항목 안내 (전 10개 항목)
① 대상 시스템 구성도 (필수)
점검 대상의 네트워크 토폴로지, 서버 구성, 외부 연동 지점을 포함한 구성도를 사전회의 시 별도 안전 채널(암호화 zip 또는 1회용 URL)로 전달합니다.
② 점검 가능 시간대 (필수)
운영 영향을 최소화하기 위해 다음 중 선택합니다.
· 24/7 (상시) / 업무시간(09:00-18:00) / 야간(22:00-06:00) / 기타 협의
· 점검 금지일(블랙아웃) 별도 기재 — 결산기, 프로모션 등
③ 영향도 허용 범위 (필수)
Limited PoC: 취약점 존재 증명까지만 수행 (권한 상승·데이터 접근 제한)
Full Exploitation: 후속 침투·권한 상승·데이터 접근 허용 (추가 서면 동의 필요)
④ 비상연락망 (필수, 2인 이상)
운영 장애·중단 요청 시 즉시 연락 가능한 담당자 2인 이상(1차/2차)을 등록합니다. 야간 대응 가능 여부를 함께 기재합니다.
⑤ 사전회의 희망 일정 (필수)
RoE 합의를 위한 사전회의(1-2회)의 희망 일정·방식(대면/화상/전화)을 제시합니다.
⑥ 승인권자 정보 (필수)
CEO·CISO·CIO 본인 또는 해당 임원의 서면 위임을 받은 자임을 명시합니다. 단순 실무 담당자 명의 신청은 무효이며, 위임 시 위임장 원본은 사전회의에서 별도 안전 채널로 전달합니다.
⑦ Rules of Engagement (RoE) 동의 (필수)
LSI Security 표준 RoE의 다음 조항에 동의하는 경우 신청이 가능합니다.
· 점검 범위·시간·방법 명문화 / 비상중단 조건 / 증거 관리 / 보고 의무 / 비밀유지
· RoE 전문은 사전회의 시 제공되며, 최종 서명본은 양측 합의 후 확정됩니다.
⑧ 법적 책임 분담 명시 동의 (필수)
· 수행자: 합의 범위·방법 내 수행, RoE 위반 행위로 인한 손해 책임
· 의뢰인: 범위 외 자산 정보 미제공으로 인한 영향, 백업·복구 체계 운영 책임
· 공동: 사전 합의된 위험 범위 내 운영 영향 상호 면책
⑨ 점검 대상 자산 소유권 증빙 (필수)
사업자등록증, 도메인 등록 증명, 시스템 운영 계약서, 클라우드 계정 청구서 중 해당 항목을 사전회의 시 별도 안전 채널로 제출합니다.
⑩ 개인정보 처리 범위 합의 (필수)
점검 중 실 PII 노출 가능성, 마스킹 정책, 자격증명 처리 방식에 대한 사전 합의 동의. 실 개인정보 원본은 보관하지 않으며, 노출 시 즉시 마스킹 처리됩니다.
4. 신청 후 절차
[1] 온라인 신청 접수
↓ (48시간 내)
[2] 1차 검토 — 자격·소유권·범위 확인
↓
[3] 사전회의 1-2회 — 범위·시간·법적 요건 합의
↓
[4] Rules of Engagement (RoE) 작성
↓
[5] 양측 서명 (의뢰인 승인권자 + LSI Security 책임자)
↓
[6] 계약 체결 — 견적·결제·NDA 포함
↓
[7] 점검 개시
↓ (점검 중 주 1회 중간보고, Critical 발견 시 즉시 보고)
[8] 최종 보고서 제출 — 점검 종료 후 10영업일 이내
↓
[9] Evidence Pack 안전 폐기 — 종료 후 90일 (NIST SP 800-88 Purge)5. 자주 묻는 질문 (FAQ)
Q1. 신청 즉시 점검이 가능한가요?
아니요. 사전회의·RoE 작성·서면 서명·계약 체결 절차가 선행되며, 통상 신청 후 2-3주 후 점검 개시가 일반적입니다. 긴급 점검이 필요한 경우 사전 협의 시 단축 가능 여부를 검토합니다.
Q2. 비용은 얼마인가요?
L4 모의침투는 범위·깊이(Limited PoC vs Full Exploitation)·기간·대상 자산 수에 따라 개별 산정됩니다. 사전회의 후 견적서를 제공합니다.
Q3. L1-L3 취약점 진단과는 어떤 차이가 있나요?
L1-L3는 취약점 진단(Vulnerability Assessment, 자동화 스캐너 + 수동 검증)으로 운영 영향이 없으며 온라인 약관 동의만으로 진행됩니다. L4 모의침투는 실제 익스플로잇을 수행하므로 서면 위임·RoE·NDA가 필수이며, 별도 계약을 체결합니다.
Q4. 점검 도중 시스템에 문제가 생기면 어떻게 되나요?
비상연락망을 통해 즉시 중단 요청이 가능하며, 운영 장애 발생 시 LSI Security는 자체 판단으로 즉시 중단합니다. 수행자는 점검 기간 PI/E&O 보험을 유지하며, 책임 분담은 RoE 5조에 따릅니다.
Q5. 점검 결과 보고서는 누가 볼 수 있나요?
보고서 수령자는 의뢰인이 사전에 지정한 1~3인으로 한정하는 것을 권고합니다. Evidence Pack은 1회용 암호화 URL(24시간 유효)로 전달되며, 외부 유출 방지를 위한 NDA가 적용됩니다.
6. 면책 및 법적 고지
- 본 페이지의 신청은 점검 수행을 확약하지 않으며, 자격·범위·법적 요건 검토 후 거부될 수 있습니다.
- LSI Security는 자산 소유권이 불명확하거나 제3자 권리 침해 가능성이 있는 신청을 사전 통보 없이 거부할 권리를 보유합니다.
- 본 페이지에서 수집되는 모든 정보는 「개인정보보호법」 및 LSI Security 개인정보처리방침에 따라 처리되며, 점검 미진행 시 신청일로부터 90일 후 자동 폐기됩니다.
- 모든 점검 행위는 「정보통신망법」 §48조 예외 적용을 위한 서면 위임 후에만 개시되며, 위임 없이는 어떠한 점검도 수행하지 않습니다.
신청서 작성
위 안내를 확인하셨다면 아래 신청서를 작성해주세요. 별도 안전 채널이 필요한 항목(구성도, 위임장, 소유권 증빙)은 접수 후 사전회의 시 안내드립니다.
※ 일반 점검(L1-L3) 은 audit-intake 페이지에서 신청해주세요.