보안 고려 안한 재택근무·관리 안된 예외처리 등으로 취약점 리스크 증가
[데이터넷] 취약점 패치를 적용하지 않아 발생하는 공격표면이 현재 10% 미만에서 2026년 절반 이상으로 늘어날 것으로 보인다. 이는 가트너가 공격표면 관리의 위험성에 대해 경고한 ‘2023년 예측: 기업은 위협에서 노출 관리로 확장해야 함’ 보고서에 따른 것이다. 가트너는 원격 액세스를 관리하지 못하는 조직은 2027년까지 침해 가능성이 3배로 증가할 것이라고 덧붙였다.
공격표면은 외부에 공개된 공격 가능한 접점을 말한다. 패치되지 않고 노출된 시스템, 열려있는 VPN 포트, 유출되거나 공개된 중요 계정, 알려진·알려지지 않은 취약점을 가진 애플리케이션과 엔드포인트 등이 이에 해당한다.
특히 작은 규모의 조직이나 보안 성숙도가 낮은 기업들이 이러한 위협에 노출돼 있다고 지적했다. 급하게 재택·원격근무로 전환하면서 사용자 경험을 중시하면서 보안을 고려하지 않은 관행이 공격표면을 증가시켰다고 설명했다. 일시적으로 예외처리한 정책이 변경되지 않고 굳어지면서 공격표면은크게 증가하게 됐다.
클라우드 사용을 확대하면서 중요 데이터와 서비스가 실수로 혹은 설정 오류로 공개될 가능성이 높아졌으며, 파트너 및 외부 협력업체로 인한 공격표면 증가도 위험한 일이 됐다. 특히 공격자들 공급망 생태계 내의 기업이나 애플리케이션, 계약직원 등의 보안 취약점을 이용해 상위 기관으로 침투하기 때문에 공격표면은 한 기업만의 문제가 아니게 됐다.
리스크 기반 취약점 관리 필요
가트너는 비즈니스 영향을 줄이면서 공격표면을 제거하기 위해 리스크 기반 취약점 관리(RBVM)을 패치 적용 프로세스로 채택해야 한다고 설명했다. 취약점이 공개되고 패치가 배포되면 즉시 이 취약점 영향을 받는 시스템·애플리케이션을 찾아 패치해야 하며, 정기적인 업데이트도 반드시 시행해야 한다.
그러나 기업은 패치·업데이트 파일이 다른 시스템에 영향을 미칠지, 혹은 취약점 영향받는 파일이 어느 시스템이나 애플리케이션에 있는지 파악하지 못해 쉽게 이를 적용하지 못한다. 이 문제를 해결할 수 있도록 취약성을 가시화하는 자동화된 툴을 사용하고, 패치 적용 전 이를 테스트 할 수 있는 프로세스를 마련해야 한다.
또한 패치 미 적용 공격표면을 빠르게 찾을수 있도록 광범위한 노출관리 프로세스를 마련하며, 클라우드를 포함한 전체 비즈니스의 보안상태를 검증하고 우선순위의 워크플로우를 강화해야 한다. 공급망·섀도우 IT 등의 취약점을 찾기 위한 디지털 위험 방지 서비스(DRPS), 외부 공격 표면 관리(EASM), 보안 등급 서비스(SRS)와 같은 솔루션도 제안된다.
취약점으로 인한 사이버 위협의 수준이 높아지면서 알려지지 않은 취약점을 찾으려는 노력, 특히 버그바운티 프로그램이 활발하게 진행되고 있다. 그러면서 공개되는 취약점이 급증하고 있는데, 이로인해 보안 조직은 ‘취약점 경보 피로’를 겪고 있다. 그래서 가트너는 자동화된 제어와 패치가 가능한 시스템을 도입하는것이필요하다고 조언했다.
모든 조직 참여하는 노출관리 프로그램 필요
가트너는 이 보고서에서 지속적인 위협 노출 관리(CTEM) 프로그램을제안했다. CTEM은 모든 취약점과 공격표면을 검증하고 관리하는조치로, 보안조직 뿐 아니라 I&O, 애플리케이션 아키텍처, 비즈니스 팀 등이 참여해 비즈니스 연속성 측면의 취약점 관리 프로세스가 운영될 수 있도록 해야 한다고 설명했다.
그러면서 가트너는 2026년까지 60% 이상의 조직이 노출 관리 데이터를 활용해 위협 탐지, 조사 및 대응(TDIR)을 시행하며, 탐지된 위협을 검증하고 우선순위를 지정할 것이라고 예측했다. 현재 이 활동을 실시하는 기업은 5% 미만이다.
TDIR은 거버넌스, 리스크 및 규정 준수(GRC)와 연계해 진행되어야 하며, 보안운영 기능을 균일하게 수행할 수 있는 통합 플랫폼과 플랫폼 에코시스템을 제공한다고 설명했다. TDIR은 SOC가 보안탐지 사용 사례를설계하고 구성·관리할 수 있다고 설명했는데, 예를 들어 EDR과 NDR, 신원위협 탐지 및 대응(ITDR)을 활용한 지능적 위협 탐지 시나리오를 만들 수 있다.
가트너는 “끊임없이 증가하는 클라우드 서비스의 채택과 진화하는 업무 습관은 위협 탐지 및 대응 제어가 성숙해지는 것보다 빠르게 공격 표면을 확장시킨다. 따라서 공격자와 방어자의 관점을 결합해 기업이 현재와 미래의 위협에 노출되는 것을 최소화하는 지속적인 위협 노출 프로세스가 필요하다”고 조언했다.
