[NGSV 2022] “패치 안된 시스템 하나로 해킹”
상태바
[NGSV 2022] “패치 안된 시스템 하나로 해킹”
  • 데이터넷
  • 승인 2022.06.23 15:31
  • 댓글 0
이 기사를 공유합니다

외부 노출된 취약한 시스템·계정 탐색해 안내하는 공격표면 관리 ‘필수’
공격자 관점에서 취약점 탐색…인텔리전스 기반 ASM으로 탐지 정확도 높여

[데이터넷] 공격표면관리(ASM)가 사이버 보안의 새로운 시장으로 떠올랐다. 클라우드, 재택·원격근무로 외부와 연결되는 지점이 많아지면서 공격자에게 노출되는 접점이 늘어났기 때문이다.

가트너도 ASM의 중요성에 대해 강조하며 “ASM은 조직이 인식하지 못할 수 있는 인터넷 연결 자산과 시스템에서 오는 위험을 식별하는데 도움을 준다. 성공한 공격의 1/3이상이 외부와 연결된 자산으로부터 시작되며 ASM은 CIO, CISO에게 필수의 과제가 될 것”이라고 강조한 바 있다.

서현석 그룹아이비 코리아 대표는 “공격표면은 상상하는 것 보다 훨씬 많으며, 다수는 정의되지 않고 관리되지 않고 있다. 2021년 발생한 보안 사고의 55% 이상이 경계기반 취약점, 관리되지 않은 인프라에서 발생했다”며 “패치되지 않은 단 하나의 취약점으로 인해 큰 피해가 발생할 수 있는데, 인터넷에는 취약점이 해결되지 않은 채 노출된 시스템, 중요 데이터 접근이 가능한 공개된 애플리케이션이 너무 많다. 공격 가능한 접점을 줄이는 ASM이 시급하다”고 주장했다.

인터넷 노출된 취약점 자동 탐지

서현석 지사장은 23일 ‘차세대 보안 비전 2022’에서 ‘사이버 위협 인텔리전스 기반 외부 공격 표면 관리 솔루션의 필요성’이라는 주제로 ASM에 대해 상세히 소개했다.

팬데믹 기간 중 재택근무가 증가하면서 대기업 네트워크에 접근 가능한 RDP 접근 계정 정보 판매가 173% 증가했고, 지난 1년 이내 10만개 이상 DB가 공개됐으며, 클라우드·공유 스토리지를 통해 15억개 이상 파일이 유출됐다. 이러한 정보를 이용해 공격자가 목표 시스템으로 침투하고 권한계정을 이용해 중요 데이터로 이동한다.

관리되지 않은 노출된 취약점은 공격자가 가장 쉽게 침투할 수 있는 것이며, 기업·기관은 취약점 스캐너를 이용해 패치되지 않은 취약점을 제거하고, 침투테스트로 제거되지 않은 취약점을 파악하며, 보안위협등급을 평가해 위협 대응 수준을 파악하고 있다. 그러나 이러한 조치는 연 1~2회 정도 수행하는 것으로 실시간 노출되는 취약점에 대응하지 못하고, 위협의 근본원인을 제거하거나 위협을 완화시키지 못한다.

ASM은 실시간으로 노출된 IT 자산을 스캔해 공격 가능한 취약점이 있는지, 접근 가능한 계정정보가 유통되는지 등을 확인하고 고객에게 조치하도록 한다. 다크웹에서 언급되는 내용 중 고객과 관련된 정보, 고객이 사용하는 시스템의 취약점이나 공격을 암시하는 내용이 있으면 고객에게 알려 미리 조치하도록 하며, DNS 세팅을 점검해 잠재적인 취약점을 확인한다.

실행 가능한 인텔리전스로 위협 대응 효과 높여

그룹아이비의 ‘애셋제로(AssetZero)’는 SaaS로 제공되는 인텔리전스 기반 ASM 솔루션으로, 공격자 관점의 뷰를 제공하고, 공격 행위를 기반으로 측정, 오탐 없이 공격에 정확하게 대응할수 있게 한다. 자산 식별, 취약점 점검, 위험도 스코어링 등 공격표면 관리 기능을 제공하며, 대시보드를 통해 IT 자산을 통합 모니터링 한다.

애셋제로는 그래프 시각화 기술로 자산간 상관관계를 파악하고, 공격표면 보안 가시성을 확보한다. 발견된 노드의 상세 정보와 상관관계를 파악하고, 과거부터 현재까지 위협 정보를 제공한다.

서현석 대표는 “애셋제로는 해커의 지속적인 공격 시도와 스캐닝 활동을 파악해 선제적으로 대응할 수 있을 뿐 아니라 인터넷·다크웹 등에서 공유되는 계정정보, 다크웹에서 특정 기업·기관의 취약점에 대한 언급 등을 분석해 침해가 피해로 이어지지 않게 한다”며 “애셋제로는 실행 가능한 조언을 제시하고 기존 툴과 연동·활용을 극대화 해 모든 조직이 쉽게 사용할 수 있게 한다”고 말했다.

한편 그룹아이비는 PoC를 통해 고객에게 애셋제로의 활용방법과 도입 효과를 알리고 있다. 애셋제로 PoC는 인프라에 아무것도 설치하지 않아 시스템에 영향을 미치지 않으며, 리포트를 받아볼 담당자의 이메일 외에는 어떤 정보도 요구하지 않는다.

서현석 대표는 “2주간 제공되는 애셋제로 PoC를 경험하면 얼마나 많은 시스템과 애플리케이션, 권한계정이 공격자에게 무방비로 노출돼 있는지 알 수 있다”며 “공격접점을 선제적으로 제거해 공격 가능성을 낮추는 ASM이 클라우드·하이브리드 업무 환경의 필수 솔루션이 될 것”이라고 말했다.

한편 그룹아이비는 전 세계 60여개국 500여 대형 고객에게 보안 인텔리전스 서비스를 제공하고 있으며, 세계 여러 국가 수사기관과 사이버 범죄 수사 공조를 진행했다. 공격자 관점의 TTP와 관련 데이터를 기반으로 해당 기업과 파트너, 관련 산업에 대한 맞춤형 대응과 실행 가능한 조언을 제시한다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.