단 하나의 열린 포트로 공격 가능…노출된 취약점 탐지하는 ASM ‘주목’
[데이터넷] ‘인수의 달인’ 팔로알토 네트웍스가 지난해 익스팬스(Expanse)를 인수하고 공격표면 관리(ASM) 시장으로 영토를 확장시켰다. 파이어아이는 최근 인트리그(Intrigue)를 인수하고 맨디언트 어드밴티지 플랫폼에 추가하면서 위협 탐지·대응 능력을 강화한다고 밝혔다. 지난해 우리나라에 진출한 그룹아이비(Group IB)는 스마일로그와 파트너십을 체결하고 ASM 솔루션 ‘애셋제로(AssetZero)’를 런칭했다.
ASM은 2018년 가트너가 보안 리더에게 “사이버 보안 리스크 관리를 위해 공격 표면을 줄이고 모니터링하며, 관리해야 한다”고 촉구하면서 주목받기 시작했으며, 지난해 ‘2021년 신흥기술: 외부 공격 표면 관리를 위한 중요한 인사이트’ 보고서를 공개하면서 시장의 집중 조명 받게 됐다.
ASM은 외부에 공개된 취약점을 찾아 대응하는 솔루션을 말한다. 클라우드로 비즈니스가 확장되면서 외부에서 연결되는 지점이 많아졌으며, 제대로 관리되지 않은 열린 포트로 공격자가 침입하기 쉬워졌다. 코로나19로 재택·원격근무가 늘어나면서 RDP·VPN 등 외부에서 접속할 수 있는 지점이 급증했으며, RDP·VPN의 취약점이나 무단 연결로 인한 침해 위협도 높아진 상황이다.
그룹IB에 따르면 2020년 발생한 보안 사고의 45%이 이상이 관리되지 않은 경계기반 인프라에서 발생했다. 단 하나의 취약점으로 공격자가 침투할 수 있는데, 유럽의 한 은행은 공격대상 서버에서 실행되는 RDP를 통해 침투한 후 도메인 관리자 계정을 탈취하고 가짜 계정을 생성한 후 랜섬웨어 공격을 실행, 오랜 시간 동안 은행 업무를 마비시켰다. 최초 침투부터 내부 시스템을 장악하고 공격에 성공하기까지 4시간 18분이 소요됐으며, 단 하나의 열려 있는 포트를 통해 공격이 진행됐다.
그룹IB의 ASM 백서에서는 “공격자에게 네트워크 경계는 가장 쉬운 침해의 출발점이지만, 경계의 모든 요소를 제대로 관리하는 것은 쉽지 않은 일이다. 공격자들은 관리자 실수, 허가 받지 않은 섀도우 IT 등에서 침투할 수 있는 취약점을 찾아낸다”고 지적했다.
글로벌 기업, 하루 2회 새로운 심각한 취약점 발견
ASM이 필요한 이유에 대해 팔로알토 네트웍스의 백서에서는 새로운 취약점이 매우 많이 발견된다는 점을 들었다. 공격자들은 연중무휴, 24시간 새로운 취약점이나 악용할 수 있는 취약점을 찾고 있다. 취약점이 공개되면 패치 전 공격하는데, 실제로 마이크로소프트 익스체인지 서버 제로데이 취약점이 공개된지 5분만에 공격자들이 취약한 시스템을 찾는 것을 발견했다. 또 글로벌 기업이 12시간마다 혹은 하루 2회 새로운 심각한 취약성을 발견한다고 밝혔다.
이처럼 급증하는 외부 노출된 취약점을 제거하기위해 ASM을 통해 조직 전체의 자산을 파악하고, 분류하며 관리한다.다. 지속적으로 취약성이나 잘못된 구성 설정 및 규제준수 위반 등을 파악하고 검증해야 하며, 다크웹 상에서 회사의 기밀정보나 관리자 계정, 접근권한 등이 판매·유통되는지 확인한다. 또 수시로 변경되는 서비스를 확인하고 추정해 새로운 취약점이나 구성오류, 사용자 실수 등을 파악하는 것이 필요하다.
보안에 많은 투자를 한 기업이나 엄격한 규제준수 의무를 갖고 있는 기업들은 IT 시스템이 갖고 있는 취약점을 찾기 위해 취약점 스캐너, 침투테스트, 보안위협 등급 툴 등을 사용하고 있다. 이 솔루션은 ASM과 탐지 범위가 다르다. 이들은 시스템 내부, 네트워크 내부에서 존재하는 취약점을 찾는 것이다.
ASM은 외부에 공개된 자산의 취약점을 찾고, 다크웹 등에서 기업의 중요 기밀정보와 중요 자격증명 데이터가 유통되는지 찾는 기능을 제공한다. 알려진 자산 중 잘못 구성되거나 방치된 자산, 관리조직이 파악하지 못하고 무단으로 사용되는 섀도우 IT, 위장 사이트와 모바일 앱, 타사 공급업체 등에서 공급받은 취약한 시스템과 소프트웨어 등이 관리 대상이다.
따라서 기존의 취약점 탐지·침투테스트 툴과 ASM을 함께 사용하면 보안 경계가 클라우드로 확장된 멀티·하이브리드 환경을 보다 안전하게 관리할 수 있다.
국내 활동 시작한 ASM 솔루션
ASM이 주목받으면서 업계 움직임도 본격화되고 있다. 가장 먼저 국내에서 활동을 시작한 그룹아이비는 인텔리전스 기반 ASM ‘애셋제로’를 공략한다. 애셋제로는 특허받은 분산환경 네트워크 스캐너로 열린 포트, 배너, 서비스, 소프트웨어·버전을 탐지한다.
애셋제로는 다크웹을 포함한 모든 인터넷과 외부 공격면에서 기업의 노출된 자산을 찾아 위험성을 식별한다. 그룹아이비의 위협인텔리전스를 통해 탐지된 위협 이벤트를 정확하게 식별하게 최적의 조치사항을 권고한다. 대기업이나 소규모 기업 등 모든 규모의 기업들이 쉽게 사용할 수 있도록 사용자 친화적 관리 환경을 제공한다.
팔로알토 네트웍스는 XDR 플랫폼 ‘코어텍스’에 익스팬스를 추가한 ‘코어텍스 익스팬스(Cortex Xpanse)’로 시장 공략에 나선다. 익스팬스는 승인된·승인되지 않은 자산을 파악하고 취약점을 찾아내며, 인터넷 흐름을 분석해 알 수 없는 행위를 탐지한다. 제 3자의 인터넷 자산, 서비스, 잘못된 구성, M&A 대상 위협을 식별하고 다른 운영데이터와 결합해 실제 실행 가능한 위협 데이터를 제공한다.
인트리그를 인수한 파이어아이는 맨디언트 위협 인텔리전스와 결합시켜 멀티·하이브리드 및 온프레미스 환경 전반에서 리스크를 식별하고 이해한다. 공격표면 전체에 대한 가시성과 공격자의 취약점 정보를 결합시키고, 정확한 이벤트만 전달해 보안관리자의 업무를 최소화 할 수 있도록 한다.
