“모의해킹 비용이 얼마쯤 하나요?”라는 질문에 단번에 금액으로 답하기는 어렵습니다. 정직하게 말씀드리면, 견적은 거의 “며칠짜리 일인가”로 정해지기 때문입니다. 그래서 이 글은 구체적 금액 대신, 그 ‘며칠’을 가르는 요소들을 솔직하게 정리해 보려 합니다. 견적을 받아보기 전에 머릿속으로 범위를 그려보시는 데 도움이 되면 좋겠습니다.
비용을 가르는 건 결국 ‘투입 일수’
대부분의 모의해킹은 숙련된 인력이 며칠을 투입하느냐로 비용이 결정됩니다. 그 일수를 키우거나 줄이는 요소는 대략 이렇습니다.
요소 | 비용에 주는 영향 |
|---|---|
범위 크기 | 대상 기능·엔드포인트·계정 수가 많을수록 ↑ |
깊이 | 단순 점검 vs 체이닝·컴포넌트 1-day까지 보는 깊은 점검 |
방식 | 정보가 적은 블랙박스는 정찰에 시간이 더 듦 |
대상 유형 | 웹·앱·API·클라우드·인프라마다 필요한 전문성이 다름 |
재점검 포함 | 조치 후 재검증을 포함하면 일정이 늘지만 품질은 ↑ |
이런 경우엔 비용이 올라갑니다
“가능한 한 깊게, APT 관점으로 컴포넌트·라이브러리의 취약점까지” — 깊이를 높이면 그만큼 시간이 듭니다.
대상이 여럿(웹 + 앱 + API)이고 각각 인증 구조가 다른 경우
운영 영향이 민감해 시간대·통제 조건이 까다로운 경우
반대로, 이렇게 하면 합리적입니다
가장 중요한 자산부터 우선순위를 두고 범위를 좁히기
첫 점검은 그레이박스로 — 정찰 시간을 실제 점검에 쓰기
정기적으로 받기 — 변경분 위주의 점검은 보통 더 가볍습니다
가장 싼 견적이 가장 비싼 선택이 될 때
조심스럽게 한 가지만 덧붙이면, 가격만 보고 고르신 점검이 ‘스캐너 결과 + 정리’에 그치는 경우가 종종 있습니다. 그러면 정작 위험한 인가·비즈니스 로직·컴포넌트 결함은 그대로 남습니다. 비용을 비교하실 때 “무엇을, 어느 깊이로, 누가 보는가”를 함께 보시면 후회가 적은 것 같습니다. (점검 깊이 이야기는 모의해킹 진행 글에 더 적어두었습니다.)
현장 노트: 견적 전에 “무엇을 가장 지키고 싶으세요?”를 먼저 정리해 오시는 분들과는, 같은 예산으로도 훨씬 알찬 범위를 잡게 되더라고요.
자주 묻는 질문
대략적인 금액이라도 알 수 있을까요?
범위를 들으면 일수 기준으로 빠르게 가늠해 드릴 수 있습니다. 간단한 웹 한 개와 복합 인프라는 차이가 크기 때문에, 짧은 상담으로 함께 범위를 잡는 게 가장 정확합니다.
재점검은 꼭 포함해야 하나요?
필수는 아니지만 권해드립니다. 조치가 ‘정말’ 됐는지 확인하는 단계라, 점검의 가치를 완성하는 부분이라고 생각합니다.
마치며
비용은 결국 “무엇을 어느 깊이로 보느냐”의 결과입니다. 우리에게 맞는 범위와 일정을 함께 가늠해 보고 싶으시면 부담 없이 모의해킹 상담으로 물어봐 주세요. 범위부터 차분히 같이 잡아드리겠습니다.