[데이터넷] 보이지 않는 것은 보호할 수 없지만, 복잡한 비즈니스 환경에서는 운용중인 자산을 모두 보지 못한다. 다종다양한 BYOD, IoT 기기, 수시로 변하는 컨테이너, 애플리케이션 등으로 인해 자산 정보에 대한 정합성을 맞추기가 어렵다. 비즈니스와 연결된 모든 자산과 상태, 취약점 여부, 컴플라이언스, 공격에 이용되는 정황 정보 등을 자동으로 식별하고 조치하는 새로운 자산관리 솔루션이 필요하다.<편집자>

IT 자산관리 시장은 매우 빠른 속도로 확장되고 있다. 초기 PC·서버와 소프트웨어·패치 관리를 중심으로 하던 것이 이제는 클라우드 상에서 운영 중인 자산 정보, IoT와 OT, AP, CCTV, 스프링클러 등 네트워크에 연결된 IoT 장비, 그리고 사용자와 계정까지 포함하면서 확장하고 있다.

자산관리 영역이 넓어지는 이유는 IT가 비즈니스 전체로 확장되고 있기 때문이다. 현대 비즈니스는 IT를 통해 이뤄지며, 클라우드로 연결된다. 업무 시스템, 애플리케이션과 임직원은 물론이고, 파트너, 계약직, 고객까지 IT를 통해 연결되는데, 이중 관리되지 않은 자산, 제거되지 않은 취약점을 이용해 공격이 진행된다.

퍼블릭 클라우드나 사용자 개인 소유의 기기, 기업 통제 밖에 있는 외부 파트너사와 고객의 자산이 공급망 공격에 이용될 수 있다. 따라서 기업에 영향을 미칠 수 있는 모든 자산을 파악하고, 보안 수준에 맞게 관리해야 한다. 에이전트를 설치하거나 네트워크 스캐닝으로 파악할 수 없는 자산 정보도 많으므로, 에이전트 설치 없이, IT·네트워크에 영향 없이 사용할 수 있는 자산 파악 기술이 필요하다.

CAASM이 바로 이 역할을 하는 솔루션으로, 자산정보를 생성하는 소스에서 정보를 수집해 자산의 성격과 중요도, 업무를 파악하고, 보호하며, 취약점 관리, 보안사고 대응, 클라우드와 온프레미스의 보안·설정 관리 등의 기능을 수행한다.

CAASM은 이제 막 시작되는 신흥 시장으로, 가트너의 사이버 시큐리티 분야 주목해야 할 트렌드 보고서에서 ‘공격표면 확장(Attack Surface Expansion)’에 대비하기 위한 기술로 선정됐다. 가트너는 CAASM이 보안팀이 기존 도구와 API 통합으로 지속적인 자산 가시성과 취약성 문제를 해결하도록 돕는 기술이라고 소개했다.

엔드포인트, 서버, 기기, 애플리케이션, 클라우드 워크로드 등 기업 내외부 자산을 실시간으로 탐지하고 식별하며, 취약성 평가와 침입 탐지·대응 기술을 연계해 관리하면서 보안위생을 개선한다. IT, OT, IoT 자산에 대한 완전한 가시성을 제공해 공격표면을 제거하고, 섀도우 IT를 통제한다. 가트너는 CAASM을 선택할 때 내부·외부 자산 가시성 기능을 결합할 수 있으며, IT·IoT·OT 시스템을 이해하는 공급업체를 선택하는 것이 좋다고 조언했다.

정선일 엑소니어스코리아 지사장은 “자산 식별은 제로 트러스트의 시작이다. 보호해야 할 자산을 파악하고 정책에 따라 보호하며, 침해 받은 자산을 파악해 빠르게 조치할 수 있도록 하는 것은 제로 트러스트 여정을 시작할 때 반드시 필요한 것”이라며 “특히 멀티 클라우드와 하이브리드 업무 환경을 도입하는 엔터프라이즈는 CAASM이 필수”라고 설명했다.

대규모 기업 성공 사례 만들며 시장 순항

CAASM 전문기업 엑소니어스의 ‘사이버 자산관리(CAM)’는 에이전트 없이 600개 이상 데이터 소스에 연결할 수 있는 어댑터를 제공하며, 어댑터가 없는 애플리케이션은 API를 이용하거나 DB 쿼리로 커스터마이징 가능하다. 토종 솔루션과의 연계도 쉽게 이뤄지며, 비표준 장비나 OT 기기 정보도 연계 가능하다. 사용중인 자산을 식별하기 때문에 사용하지 않는 라이선스와 클라우드 리소스를 파악해 비용을 줄일 수 있으며, 침해 사실을 발견했을 때 감염된 자산을 파악하고 빠르게 대처할 수 있다.

엑소니어스의 또 다른 주력 솔루션 ‘SaaS 매니지먼트’는 알려지거나 알려지지 않은 모든 SaaS 애플리케이션을 검색하고, 잘못된 구성과 데이터 보안 위험을 식별하고, 더 나은 IT 관리와 비용 최적화를 위한 통찰력을 제공한다. SaaS 앱과 앱 사이의 데이터 흐름을 가시화하고, 신뢰할 수 있는 SaaS 자산 인벤토리를 제공한다. 수백개의 SaaS 애플리케이션 전반에 걸친 수많은 구성 설정과 보안위험을 관리할 수 있게 한다.

정선일 지사장은 “CAASM이라는 용어는 생소하지만 CAASM이 제공하는 기술은 현재 대규모 기업에 서 필수로 요구하는 것이다. 기하급수적으로 늘어나는 IT 자산을 관리하고, 침해를 빠르게 파악할 수 있는 CAASM은 국내에서도 여러 엔터프라이즈에서 관심 있게 지켜보고 있다. 이미 국내 글로벌 하이테크 기업에 솔루션 공급 계약을 체결했으며, 이 성공사례를 다른 기업에게도 소개해 시장을 만들어 나갈 것”이라고 말했다.

공격자 관점 취약점 식별하는 ASM

CAASM은 자산에 대한 정보가 많을수록 높은 효과를 얻을 수 있는 솔루션이다. 다종다양한 IT 자산 정보를 대규모로 수집해 정책을 적용하고 개선하면서 침해 가능성을 낮추고 컴플라이언스를 만족할 수 있다. IT 자산에 대한 대규모 데이터 관리가 필요하지 않은 규모의 조직이라면 기존의 IT 자산관리 솔루션으로도 충분 할 것이다.

외부 공격표면 관리(ASM)는 이와 다르다. ASM은 취약점이 노출된 자산을 찾아 고객에게 알려 조치할 수 있도록 도와주는 클라우드 기반 서비스로, 불필요하게 공개된 포트, 취약점이 노출된 서버, 표면웹·다크웹 등에서 거래되는 계정정보·고객정보, 관리되지 않고 방치된 클라우드, 침해받은 시스템 등 공격자가 이용할 수 있는 취약점을 찾는다.

한국인터넷진흥원(KISA)에서 발표한 ‘SMB 어드민 공유 활동을 이용한 내부망 이동 전략 분석’ 보고서에 서 ASM이 필요한 이유를 찾아볼 수 있다. 이 보고서는 암호화폐 거래소 자산 탈취, 그룹웨어 개발 소스코드 탈취와 공급망 공격, 언론사 정보 탈취 등의 사고에 이용된 ‘SMB/Admin Share’ 기능을 이용한 내부전파(Lateral Movement)를 분석했다.

공격자는 목표기업에 침투한 후 SMB/Admin Share 기능을 이용해 악성코드를 내부 서버로 전파하며, 직 접 제작한 원격제어 악성코드를 사용해 피해서버에 명령을 전송한다. 원격제어 보조 프로그램으로 상용 VNC 소프트웨어를 사용한다.

이 공격은 SMB/Admin Share의 C$, Admin$ 공유 비활성화만으로 차단할 수 없으며, ‘Administrators’ 그룹에 속한 계정마다 필요한 권한을 나눠 사용하며, ‘Administrator’ 계정은 직접 사용하지 말아야 한다. 그런데 많은 기업들이 이러한 설정을 하지 않아 공격에 당했으며, 공격자가 인프라를 장악하고 수년간 공격활동을 이어가는 동안 피해 기업은 이를 인지하지 못하다가 KISA를 통해 피해 사실을 알게 됐다.

보고서는 “침해사고가 발생했다는 사실보다 더 중요한 문제는 방어자에게 감염 여부를 확인할 수 있는 트리거가 없었다는 점”이라며 “맨디언트 조사에 따르면 아태지역 랜섬웨어 사고에서 피해 기업의 20% 이상이 공격자가 700일 이상 인프라에 머물렀던 것으로 나타났다”고 설명했다.

이어 보고서는 “기업은 상시 침해평가(CA) 활동으로 내부에 다른 침해사고가 진행되고 있는지, 잠복된 위협은 없는지 스스로 평가해야 한다. 보안팀이 침해 사고의 의심정황을 인지하고 CA 활동을 진행하였다 면, 수년에 걸쳐 노출된 기업의 인프라가 빠르게 개선됐을 것”이라며 “주기적으로 인프라가 안전한지 자가 점검해야 한다”고 강조했다.

기업 69%, 관리 안된 인터넷 자산으로 침해

외부에 노출된 자산을 찾아 보호조치하는 ASM은 조직이 사이버 공격에 대한 취약성을 발견하고 우선순위를 지정하며, 해결하도록 돕는 기술로, 최근 몇 년간 꾸준히 시장에서 이해도를 높여오고 있다. CAASM이 기업 내부에서 보호해야 할 자산을 식별하는 기술이라면, ASM은 외부에서 노출된 자산을 찾아 조치한다. ASM과 CAASM을 함께 사용했을 때 공격 가능성을 크게 낮출 수 있다.

ASM과 비슷한 기술로 외부공격표면관리(EASM)가 있는데, 가트너는 이 둘을 같은 기술로 보고 있다. 세분화해 비교한다면, EASM은 외부·인터넷 IT 자산의 취약성과 리스크에 집중하며, ASM은 악의적인 내부자, 부적절한 최종 사용자까지 포함하는 물리적 보호와 소셜 엔지니어링 취약성 공격까지 보호 영역을 확장시킨다.

ASM은 온프레미스와 VM·컨테이너 및 클라우드, API, 애플리케이션, IP·도메인, 인증서 등 공격에 이용될 수 있는 모든 자산을 식별한다. 해커의 관점에서 공격 가능성을 평가해 리스크를 측정하고 대응 우선순위를 제공한다. 디지털 트랜스포메이션, 멀티 클라우드와 하이브리드 업무 환경 도입으로 인해 공격표면이 더 커지고 역동적으로 변하면서 ASM에 속하는 기술은 계속 늘어나고 있다.

IBM 자회사 랜도리(Randori) 보고서에 따르면 조직의 67%는 지난 12개월간 공격표면이 확장됐고, 69%는 지난 1년 동안 알려지지 않았거나 부적절하게 관리되는 인터넷 대면 자산으로 인해 침해를 입은 것으로 나타났다. 가트너 분석가들은 2022년 CISO의 1 순위 보안·리스크 관리 과제로 공격표면 확장을 꼽은 바 있다.

팔로알토네트웍스 조사에서는 전체 자산의 35%가 파악되지 않았을 수 있으며, 공격표면의 80%는 매일 바뀌고, 치명적인 익스플로잇이 공개되면 5분 안에 공격자가 취약점을 탐색하고 공격을 준비한다.

지속적 모니터링으로 새로운 취약점 탐지

ASM은 기존 취약성 관리 프로세스와 다른 관점에서 접근하는데, 시장조사기관 기가옴은 “기존 취약점 관리 솔루션은 취약한 자산을 발견한다 해도 이를 책임지는 담당자와 연결하는데 많은 시간이 걸린다. 또 클라 우드 구성 오류를 탐지할 수 없으며, 알려진 공격 표면 에 대한 통찰력이 부족하다”고 평가했다.

ASM은 자산 검색, 분류, 우선 순위 지정, 문제 해 결, 모니터링의 프로세스로 구성되며, 디지털 공격 표 면의 크기와 형태가 변하는 것을 추적하기 위해 전체 프로세스를 자동화한다. 보호해야 할 자산을 검색하 고 분류하며, 새로운 자산이 배포되거나 기존 자산이 새로운 방식으로 배포되는 것을 모니터링해 취약성이 있는지 검색한다. 지속적 모니터링을 통해 ASM은 새 로운 취약성과 공격 벡터를 실시간으로 감지 및 평가하고, 즉각적인 주의가 필요한 새로운 취약성을 보안 팀에 알릴 수 있다.

ASM은 비교적 쉽게 도입할 수 있기 때문에 많은 기업에 빠르게 적용되고 있다. ASM은 외부에서 위험한 자산을 식별하는 방식이기 때문에 기업 내부 시스템을 변경하거나 추가할 필요가 없다. 클라우드 서비스이 기 때문에 쉽게 사용, 확장, 중단할 수 있다. 실제 해 커가 침투 가능한 지점과 시나리오를 알려주기 때문에 취약점을 제거하고 불법 행위자의 침투를 막을 수 있다.

팔로알토 네트웍스는 ASM 전문기업 익스팬스(Expanse)를 인수하고 ‘코어텍스 익스팬스’라는 새 로운 브랜드로 출시했다. 이 제품은 머신러닝을 적용해 노출된 모든 자산을 식별하고, 오탐 없는 정확한 탐지로 공격표면을 가시화하고 조치할 수 있게 한다. 발견된 데이터를 내부 자산과 연결해 적절하게 관리할 수 있게 하며, 취약점 스캐너와 쉽게 통합될 수 있다.

이 솔루션은 부적절한 원격 액세스 서비스, 보호되지 않은 파일 공유·교환 서비스, 패치되지 않은 공개 익스플로잇이 남아있는 시스템과 단종된 시스템, 공개된 IT 관리자 포털, 민감한 비즈니스 운영 애플리케이션, 암호화되지 않은 로그인과 텍스트 프로토콜, 직접 노출된 IoT와 디바이스, 약하거나 안전하지 않은 암호 화, 노출된 개발 인프라, 안전하지 않거나 관리되지 않은 마케팅 포털 등의 문제를 해결한다.