최근 공격 표면 관리(ASM) 기술 활용방안에 대해 고민하고 있는 기업이 많다. 국내외 ASM 제품군별 지원 기능이 다르고 아직까지 도입한 기업이 많지 않은 상황에서 어떻게 활용해야 되는지 문의하는 기업도 많다.

따라서, 정보보안 관리체계(ISMS) 관점에서 ASM 활용의 효과성과 운영 방안에 대해 설명하고자 한다.

01. 모의침투 서비스와 ASM

현재까지 모의 침투 시나리오는 정해진 것이 없으며, 단기간 내에 컨설턴트가 내외부 공격 표면을 찾는데 오랜 시간을 쏟고 있으며, 대부분 스캔툴을 사용하고 CVE 취약점을 통한 침투를 수행한다.
그러다 보니 찾지 못한 공격 표면이 존재하고, 이를 통한 해커의 공격 가능성은 항상 존재하고 있는 상황이다.

보안 컨설팅과 보안 솔루션의 차이는 정보 보안팀의 운영상의 차이가 있다. 보안 컨설팅의 모의 침투 서비스의 경우 연 1회 수행하지만, ASM 보안솔루션의 경우 24시간 365일 기업의 공격 표면을 찾아 우선순위를 매겨 취약점을 제공함으로써 적절한 대응이 가능하다.

ASM 보안솔루션을 운영하지 않지만 모의 침투를 받아본 기업의 경우 매년 도출되는 공격 표면(외부에 공개된 IP 및 포트, 적절한 접근통제가 설정되어 있지 않은 내부 IP 및 포트)을 받아보았을 것으로 예상된다. 해당 공격 표면을 통해 컨설턴트는 네트워크 장비, 보안장비, 홈페이지, CCTV, 서버 관리자 권한 탈취가 가능함을 증명하였다. 실제 해커가 해당 공격 표면을 통한 공격이 이루어졌을 경우 얼마나 심각한 침해 사고가 발생하였을지는 예상할 수 있을 것이라 생각한다.

ASM 솔루션 도입을 통해 실시간으로 github(깃허브) 등에 노출된 기업의 소스코드 알림 기능 및 기업의 테스트 서버 등의 노출 알림 기능을 통해 실시간 대응력을 강화하고 방대한 범위(기업이 사용하는 오픈소스 및 SaaS 등)의 공격 표면 관리를 수행한다면 좀 더 강화된 관리체계를 수립할 수 있을 것으로 기대된다.

02. 기술적 취약점 진단 서비스와 ASM

ASM 솔루션을 도입하더라도 기존 보안업무를 안 할 수는 없다. 기업의 많은 유형별 자산의 취약점을 진단하고 위험평가를 통해 보호대책을 수립해야 한다. 지금까지의 관리적, 물리적, 기술적 취약점 진단 항목과 진단 기준을 살펴보면 실제 해커의 공격 가능성 및 악의적인 내부 침투의 공격 가능성을 생각 안 할 수가 없다.

기업은 정보보호 전문 서비스 기업을 통해 취약점을 분석하고 평가함으로써 그 위험을 평가하고 대응 방안을 수립한다. 컨설턴트는 주요 정보통신 기반 시설, 전자금융 기반 시설, ISMS-P 인증 컨설팅을 수행하며 기반시설 또는 ISMS-P 범위에 해당하는 자산을 식별하는 작업이 우선적으로 진행되어야 한다. 하지만 취약점 분석평가 및 위험평가는 잘 수행할지라도 매년 변경된 자산현황을 식별하여 만든 자산관리 대장에 있는 자산 목록이 범위에 해당하는 자산의 전부인지 확신할 수 없다. 현장 방문을 통해 자산을 육안으로 식별하거나 또는 자산별 관리 책임자를 통해 ITSM 등을 참고할 수는 있다. 하지만 인터뷰를 해보면 운영자 또는 관리자가 클라우드 또는 가상화 환경의 자산을 정확하게 식별할 수 없는 문제(예: 쿠버네티스의 Pod같은 경우 문제가 생기면 시스템이 해당 Pod를 삭제하고 재생성하면서 IP가 변경하도록 되어 있어 휘발성 IP를 사용하는 특징이 있음)가 다소 증가하고 있어 취약점 분석평가 및 위험평가를 수행하지 않고 자산 식별 단계에서 누락된 자산에서 침해 사고가 터질 위험이 있다.

만약 ASM 솔루션을 도입하여 사용한다면 어떨까? ASM 솔루션은 기업망 외·내부에 노출되거나 식별에 누락된 자산을 스캐닝 하여 리포트 기능을 가지고 있어, 개발용 서버 또는 테스트 서버 등 내부에 식별하지 못한 자산을 용이하게 식별하고 퍼블릭 클라우드 또는 프라이빗 클라우드 환경의 자산 식별 기능을 통해 누락 없이 자산 변동 현황을 확인할 수 있다. ASM 솔루션을 통해 찾은 자산을 취약점 분석평가 범위에 넣어 관리한다면 취약점을 제거함으로써 침해 사고를 사전 예방할 수 있을 것으로 기대된다.

03. 관리적 취약점 진단 서비스와 ASM

컨설턴트는 정보보안팀의 정보보안 관리체계 수준평가를 위해 각종 국내외 표준 및 평가기준을 통한 점검을 수행하며 도출된 취약점을 통해 매년 보호대책을 수립하여 정보보호 수준을 강화하고 있다. 하지만 아직까지 국내외 인증표준 및 정보보안 및 개인정보보호 평가기준에는 신기술 및 환경변화(트렌드) 적인 부분이 반영되어 있지 않아 인증취득 및 평가결과만 믿고 안주할 수는 없다.
관리 컨설턴트는 보다 기업의 환경을 정확히 식별하기 위해 추가 점검기준 마련이 필요하며 이에 따라 기업 맞춤형 중장기 발전전략 수립에 다가갈 수 있다.

최근 기업 현황을 살펴보면 여러 문제점을 쉽게 발견할 수 있다. 임직원 및 외주 개발자가 사용하는 허가되지 않은 SW 및 SaaS를 식별 및 탐지하지 못해 생기는 랜섬웨어 및 각종 자료유출 문제점, DevOps팀이 개발 및 검수 목적으로 정보보안팀에게 통지 없이 사용 중인 오픈소스 및 국외 클라우드 사용 문제점, 홈페이지 유지보수 담당자가 Dropbox 및 드라이브 등에 백업 및 파일서버에 업로드한 소스코드 문제점 등 당시에 식별 및 탐지하지 못해 한참 뒤 일부 식별 건에 대한 조치만 가능한 현황인 곳도 있다. 물론 유형별 보안솔루션을 통해 탐지 및 차단하도록 정책을 설정했지만 알고보면 보안솔루션이 미탐했거나, 네트워크 구간별 적절하지 못한 방화벽 예외정책 설정, 일부 구간 보안솔루션 미설치 등이 있었다.

대책으로 ASM 솔루션 같은 경우 한 개의 솔루션으로 DevOps팀의 자산관리를 통한 적절한 보안통제를 할 수 있으며 미흡한 부분 식별을 통해 위험을 사전에 식별하고 대응할 수 있다. 이는 뒤에 나올 보안관제 부분에서 이글루코퍼레이션의 SPiDER SOAR(스파이더 쏘아)와 보안관제 특화 ASM 서비스인 I² AXIS asm(아이스퀘어 액시스 에이에스엠)이 연계되면 적절한 대응체계를 수립할 수 있을 것으로 기대된다.

또한 해커관점에서 보면 다크웹, 구글, 텔레그램에 노출된 기업의 계정정보, 파일, 서버정보, 중요정보 등을 사전에 확인하고 연계된 CVE를 찾고 시도를 할 수 있다. ASM 솔루션의 경우 24시간 365일 기업관련 자산을 글로벌 스캔을 통해 위치를 확인하여 알려주고 다크웹 등에 노출된 계정정보 등을 확인하여 알려주고 CVE 등에 노출된 취약점을 찾아 알려줌으로써 침해사고 대응력을 한층 강화할 수 있을 것으로 기대된다.

04. 보안관제 서비스와 ASM

마지막으로 보안관제와 ASM 솔루션의 상관관계에 대해 설명할려고 한다. 이글루코퍼레이션은 AI 기반 보안 운영·분석 플랫폼 기업으로 SPiDER ExD, SPiDER SOAR 등 우수한 보안 운영·분석 솔루션 개발 및 구축과 다년간의 보안관제 서비스 경험을 가지고 있다. 최근 I² AXIS asm 출시를 통해 기존 솔루션과의 연계를 통해 한층 보안관제 수준을 강화할 수 있을 것으로 기대된다.

I² AXIS asm 도입 시 보안 대상의 공격 표면을 통합적으로 파악하여 공격 표면 관리 자산 현황 조회 보고서를 일일/주간/월간 단위로 제공한다. 외부에 노출된 조직의 IT자산정보와 이글루코퍼레이션 긴급 대응 등급(IEAC) 정보를 결합하여 고위험군 이벤트를 우선 처리함으로써 공격 대응 효율성 극대화할 수 있다. 또한 공격 표면관리와 보안운영센터(SOC)의 유기적 연계를 통해 실시간으로 발생하는 공격을 자동 반영하여 공격 표면의 잠재적 위험을 최소화하고 위험목록, 사고 관리 기능을 활용해 공격 표면 취약성 정보 및 공격 이벤트 내역을 실시간으로 확인 대응함으로써 조직전반의 보안태세를 개선할 수 있다.

05. 마치며

앞으로는 자율보안체계로의 전환을 목표로 거버넌스, 위험관리, 내부통제 및 보호, 탐지 및 대응, 복원력, 공급망 보호 수준을 점검하고 개선할 필요가 있다. 이 경우 이글루코퍼레이션의 I² AXIS asm은 모든 항목을 강화할 수 있는 수단으로 보여지며 기업의 정보보호 활동 수준 향상에 기여할 것으로 기대된다.

또한 국가망보안체계(N2SF) 적용 대비에 따라 정보시스템 식별 및 평가 시 ASM을 활용한다면 망분리 재조정 시에도 보안성 검토 문제가 줄어들 것으로 예상된다.