몇년전 부터 IT 보안 분야에서 화두가 되고있는 이슈 키워드 공격표면관리 ASM에 대해서 자세하게 알아보는 시간을 갖도록 하겠습니다. ASM이 왜 중요한지? 기업의 입장에서는 어떻게 지속적으로 모니터링하고 관리해야하는지 확인해 보도록 하겠습니다.
조직의 디지털 방패를 구축하다 공격 표면 관리(ASM)의 모든 것
ASM이란? Attack Surface Management 의 약자 입니다. 즉 공격 표면 관리를 의미합니다. 디지털 전환이 가속화되는 오늘날, 사이버 보안은 더 이상 단순한 선택이 아닌 생존 전략이 되었습니다. 이 가운데 공격 표면 관리(ASM) 는 현대적인 보안 전략의 핵심으로 자리 잡고 있습니다. ASM은 한마디로 조직의 공격 표면을 구성하는 사이버 보안 취약점과 잠재적 위협 요소를 끊임없이 발견 , 분석 , 우선순위 지정 , 수정 , 그리고 모니터링 하는 과정을 의미합니다. 하지만 가장 흥미로운 점은 ASM이 방어자의 시각이 아닌, 철저히 해커의 관점 에서 접근한다는 것입니다.
ASM이란 무엇인가? 해커의 시각에서 말하다
ASM은 기존 보안 전략과는 다른 특별한 시각에서 출발합니다. 악의적인 공격자들처럼 자산과 시스템을 바라보고, 그들이 노릴 수 있는 약점을 파악하며, 실제 공격 가능성을 평가합니다. 이를 위해 해커들이 사용하는 방식과 리소스를 모방하는데, 종종 윤리적 해커 가 ASM 작업을 설계하고 실행하는 데 중요한 역할을 합니다. 이 윤리적 해커들은 사이버 범죄자들의 행동 방식을 깊이 이해하고 이를 복제해 조직의 취약점을 사전에 발견하도록 돕습니다.
최근 등장한 ASM의 세부 기술 중 하나인 외부 공격 표면 관리(EASM) 는 특히 조직의 외부 IT 자산 또는 인터넷 연결 자산, 다시 말해 ‘디지털 공격 표면’에 초점을 맞춥니다. 이는 내부적으로 발생할 수 있는 악의적인 내부자 위협이나 피싱사기 같은 소셜 엔지니어링 공격까지 포괄하고 있어 조직 전반의 안전망을 더욱 강력히 구축하게 해줍니다.
왜 이제 기업들이 ASM에 주목해야 할까요?
클라우드 도입 증가, 디지털 혁신(Digital Transformation), 원격 근무 확산 등은 꾸준히 조직의 디지털 발자국을 확장시키고 있습니다. 그만큼 기업의 공격 표면도 더욱 넓어지고 복잡하며 역동적으로 변해가고 있죠. 매일 새로운 자산이 네트워크에 연결될수록 새로운 취약점과 공격 벡터도 끝없이 늘어납니다.
이러한 환경에서 기존의 보안 프로세스만으로는 더 이상 충분하지 않습니다. 예를 들어, 전통적인 침투 테스트는 이미 알려진 자산만을 대상으로 하기 때문에 새롭게 등장하는 위협 요인을 통찰하기 힘듭니다. 반면, ASM은 지속적인 워크플로우를 통해 변화무쌍한 환경에서도 실시간으로 신종 취약점을 탐지하고 이에 대응할 수 있습니다.
나아가 ASM 솔루션은 보안 팀(SOC) 에 실시간 가시성을 제공하며, 조직에 가장 큰 위험 요소를 우선적으로 다룰 수 있도록 도와줍니다. 특히 SIEM, EDR, XDR 같은 기존 위협 탐지 및 대응 기술과 통합되면 전체적인 보안 태세와 위협 대응 속도를 비약적으로 개선할 수 있습니다.
ASM의 4단계 핵심 프로세스 현장 중심형 보안 전략
ASM은 크게 자산 발견 , 분류 및 분석 , 수정 , 그리고 지속적 모니터링 의 4가지 주요 프로세스로 이루어집니다. 이 모든 과정은 날로 변화하는 디지털 환경에 맞춰 지속적으로 반복 수행되며 가능한 한 높은 수준으로 자동화됩니다. ASM의 궁극적인 목표는 조직 내 모든 노출된 자산에 대한 최신 목록을 유지하여 보안 팀이 빠르고 효율적으로 대응할 수 있도록 돕는 것입니다.
ASM을 통한 자산 발견의 중요성
자산 발견은 조직의 사이버 보안을 강화하기 위해 인터넷에 연결된 하드웨어, 소프트웨어, 그리고 클라우드 환경의 자산을 자동화된 방식으로 지속적으로 탐지하고 식별하는 과정을 의미합니다. 이는 해커나 사이버 범죄자가 조직에 침투할 수 있는 잠재적 진입점을 사전에 찾아 대응하기 위함입니다. 자산의 종류는 다음과 같이 나눌 수 있습니다.
알려진 자산
조직에서 이미 인지하고 관리 중인 IT 인프라와 리소스를 포함합니다. 여기에는 라우터, 서버, 회사 또는 직원 소유의 PC, 노트북, 스마트폰과 같은 디바이스, IoT 기기, 사용자 디렉터리, 온프레미스 및 클라우드 애플리케이션, 웹사이트, 독점 데이터베이스 등이 포함됩니다.
알려지지 않은 자산
IT 또는 보안팀이 확인하지 못한 ‘비관리’ 자산으로, 조직 내 네트워크에 무단 배포된 하드웨어나 소프트웨어를 포함합니다. 대표적인 예로는 승인 없이 사용되는 클라우드 애플리케이션이나 개인 웹사이트, 관리되지 않는 디바이스 등이 있습니다. 섀도우 IT는 이러한 알려지지 않은 자산의 일반적인 형태로, 지속적인 모니터링이 없는 환경에서 보안 위협을 초래할 수 있습니다. 또한 고아 IT라 불리는 오래된 소프트웨어나 폐기되지 않은 장비 역시 이 범주에 포함됩니다.
제3자 또는 공급업체 자산
조직이 직접 소유하진 않지만 디지털 공급망이나 IT 인프라와 관련된 외부 자산입니다. SaaS(서비스형 소프트웨어) 애플리케이션, API, 퍼블릭 클라우드 서비스 등이 여기에 해당합니다.
자회사 자산
조직의 자회사 네트워크와 관련된 자산으로, 알려진 자산, 알려지지 않은 자산 및 제3자 자산 모두를 포함합니다. 조직 간 합병 및 인수 이후 본사 IT 및 보안팀이 이를 즉각적으로 파악하지 못할 가능성이 있습니다.
악성 또는 악의적 자산
위협 행위자가 조직을 공격하기 위해 생성하거나 탈취한 자산입니다. 피싱 웹사이트처럼 브랜드를 사칭해 설계된 자산이나 유출된 데이터를 다크 웹 등에서 거래하는 경우가 이에 해당합니다.
분류, 분석, 우선순위 지정
식별된 자산은 다음 단계를 거쳐 처리됩니다.
1) 분류 : 자산을 ID, IP 주소, 소유권, 그리고 IT 인프라 내 다른 자산과의 관계를 기반으로 체계화합니다.
3) 취약성 분석 : 자산의 노출 위험을 평가하고, 원인(예: 잘못된 구성, 패치 미적용)을 분석하며, 이를 통해 발생할 수 있는 공격 시나리오(예: 데이터 유출, 랜섬웨어 감염 등)를 파악합니다.
3) 우선순위 지정 : 취약성의 심각도를 기반으로 위험 평가를 실시하며, 이를 통해 어떤 문제를 먼저 해결해야 할지 결정합니다. 우선순위는 위협 인텔리전스 자료(예: 다크 웹 트렌드 분석), 내부 보안 평가 결과 및 레드팀 활동을 통해 도출된 정보를 바탕으로 설정됩니다.
레드팀 활동은 해커 관점에서 수행되는 모의 침투 테스트로, 알려진 취약점뿐 아니라 해커가 악용할 가능성이 높은 모든 자산을 대상으로 포괄적인 점검이 이루어집니다.
안전한 디지털 환경을 구축하기 위해 조직은 취약점을 체계적으로 파악하고 신속히 대응해야 합니다. 일반적으로 취약점 관리의 우선순위에 따라 필요한 조치를 취하는 것이 핵심인데, 이를 통해 전략적인 보안 강화가 이뤄질 수 있습니다.
우선, 자산의 보안을 강화하려면 적절한 보안 제어를 적용해야 합니다. 예를 들어, 소프트웨어 및 운영 체제의 패치를 신속히 적용하거나, 애플리케이션 코드에서 발견된 오류를 수정하며, 더 강력한 데이터 암호화 방식을 구현하는 등의 방법이 있습니다. 이러한 과정은 개별 자산의 취약점을 해결하고 전반적인 보안 태세를 향상시키는 데 핵심적인 역할을 합니다.
다음으로, 알려지지 않았던 자산 관리 통제도 중요한 과제입니다. 기존에 관리되지 않았던 IT 자산에 대해 보안 표준을 새로 설정하거나, 불필요한 ‘고아 IT’를 안전하게 폐기함으로써 위험을 줄일 수 있습니다. 추가로, 악성 자산은 제거하고, 자회사 또는 분산된 시스템의 자산을 조직의 사이버 보안 전략과 정책에 효과적으로 통합하는 것도 필수적인 단계라 할 수 있습니다.
뿐만 아니라 문제 해결의 일환으로 최소 권한 액세스 정책을 도입하거나 다단계 인증(MFA)을 구현하는 등 전반적인 보안 수준을 높이는 추가 조치가 필요합니다. 이러한 방법은 단일 자산의 보호를 뛰어넘어 전체 시스템을 견고히 만드는 데 기여합니다.
조직의 공격 표면은 끊임없이 변화합니다. 새로운 자산이 네트워크에 추가되거나 기존 자산이 새로운 방식으로 활용될 때마다 새로운 취약점이 발생할 가능성이 존재하기 때문입니다. 따라서 지속적인 모니터링과 스캔은 필수적입니다. 이를 통해 네트워크 내 모든 인벤토리와 취약점을 주기적으로 파악하고, 변화에 민첩하게 대응할 수 있어야 합니다.
특히, ASM(공격 표면 관리)은 실시간으로 새로운 취약성과 공격 벡터를 탐지하고 평가하는 데 유용한 도구입니다. ASM 시스템은 즉각적인 주의가 필요한 위협을 보안팀에게 알림으로써 신속한 대응을 가능하게 하고, 조직이 사이버 공격 위험을 효과적으로 관리할 수 있게 돕습니다.
결론적으로, 철저한 취약점 해결과 지속적인 모니터링은 조직의 전반적인 보안 전략에서 빼놓을 수 없는 핵심 요소입니다. 빠르게 변화하는 디지털 환경 속에서 조직이 사이버 위협에 빠르게 적응하고 대응하려면, 이러한 노력이 반드시 뒷받침되어야 합니다.