• 뉴스
  • 보안정보

보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

I² AXIS asm을 활용한 효과적인 공격 표면 관리

2025.03.05

227

빠른 기술 발전과 정교해진 공격 도구 및 공격 기법으로 인해, 방어자들은 방대한 데이터를 분석하고 신속히 대응해야 하는 부담에 직면하고 있다. 또한 디지털 환경의 급속한 확장은 조직의 공격 표면을 더욱 넓고 복잡하게 만들어가고 있다.

변화하는 보안 환경에서 공격 표면 위협 현황과 공격 표면 관리 필요성에 대해서 알아보고, 이글루코퍼레이션에서 새롭게 출시한 보안관제 특화 공격 표면 관리 서비스인 아이스퀘어 액시스 에이에스엠 (I² AXIS asm)에 대한 소개와 아울러 효과적인 공격 표면 관리를 위한 핵심 기능 및 활용법에 대해서 소개하고자 한다.

01. 공격 표면 위협 현황

코로나 팬데믹 이후 디지털 트랜스포메이션이 가속화되고 있다. 고객이 원하는 시장의 빠른 변화에 적응하기 위해 AI, 빅데이터, 클라우드, IoT 등의 혁신 기술로 빠르게 전환하고, 기술 간의 융합이 필수적인 요소로 자리하는 시대가 되어가고 있다.

2024년 8월 정부는 2030년까지 기존 정보시스템의 90%를 클라우드 네이티브로 전환하고, 서비스형 소프트웨어(SaaS)는 70%까지 적용하겠다는 방침을 세웠다. 그리고 2024년 10월 행안부는 ‘정보 시스템 클라우드 네이티브(Native)로 더 빠르게 개선하고 안정적으로 제공한다’는 보도자료를 통해서 약 500억 원을 투입해 10개 기관, 13개 공공 정보시스템 클라우드 네이티브 전환 사업을 추진한다고 발표했다.

같은 시기에 보도된 보안뉴스의 ‘클라우드 도입률 늘어나고 있지만 안전한 사용 습관은 제자리걸음’을 통해서 클라우드의 도입률은 점점 더 빨라지고 있고, 클라우드 인프라를 활용해 현대 소프트웨어를 빠르게 개발할 수 있게 되었으나 그만큼 복합해지면서 각종 부작용들이 생겨나기도 하는데, 그중 하나는 해커들의 공격이며, 보호 실력은 그 수준을 맞추지 못하고 있다고 한다.

디지털 트랜스포메이션 가속화 속에서 국내 침해사고의 신고 건수는 지속적으로 증가되는 추세이다. 한국인터넷진흥원(KISA)의 2024년 상반기 사이버 위협 동향 보고서 자료를 통해서 알 수 있듯이, 2024년 상반기 유형별 침해사고 신고 통계를 보면 웹쉘(Web shell) 및 악성 URL 삽입(504건), DDoS 공격(153건) 등이 크게 증가한 것으로 확인된다.

[표 1] 유형별 침해사고 신고 현황 (출처 : 한국인터넷진흥원)

팔로알토의 UNIT 42 공격 표면 위협 보고서 자료에는 ‘제로 트러스트 보안 설계, 클라우드 컴퓨팅, SaaS(Software as a service) 가치 전달, 분산된 인력을 활용하기 위해 엔터프라이즈 네트워크 아키텍처를 업데이트하기 위한 경쟁을 하고 있다’고 하며, 이는 ‘알려지거나 알려지지 않은 인프라의 급격한 증가를 유발하며 결국 환경 보안의 복잡성을 대폭 증가시키는 원인이 되었다’고 한다.

주요 조사 결과를 세 가지로 요약하면, 첫째, 클라우드의 끊임없는 변화는 새로운 리스크를 초래한다. 둘째, 원격 액세스 노출은 널리 확산되어 있다. 셋째, 클라우드는 공격 표면의 큰 부분을 차지한다. 이와 같이 클라우드 환경의 보안 노출 부분이 80%로 대부분 조직의 보안 리스크에서 큰 부분을 차지하며, 노출 분포를 잦은 구성 오류, 책임 공유, 섀도 IT, 인터넷에 대한 고유한 연결, 클라우드 자산에 대한 가시성 부족으로 인한 것으로 발표하고 있다.

'공격 표면 관리의 복잡성을 해결하는 것이 중요하다.'

클라우드를 비롯해서 AI, 빅데이터, IoT 등의 디지털 환경의 급속한 확장은 조직의 공격 표면을 더욱 넓고 복잡하게 만들어가고 있다. 급격한 기술의 발전과 변화 그리고 융복합 속에서 놓치지 말아야 할 핵심은 무엇일까? 그것은 바로 보안이다.

최근 딥시크(DeepSeek) 사례를 통해서 보안이 얼마나 중요한지 다시 한번 알 수 있다. 중국판 챗GPT라고 불리는 딥시크가 추론 능력이 뛰어나다는 평가로 여러 산업에서 관심을 끌고 있지만, 취약점 문제가 드러나고, 내부 데이터베이스가 노출되는 사고 등이 발생하면서 전 세계 기업들과 정부 기관들은 데이터 유출 가능성을 우려하여 딥시크 접속을 차단했다.

02. 공격 표면 관리의 필요성

이글루플러스 2025년 1월호 내용 중 자사를 포함한 국내 주요 사이버 보안 기업들과 공공기관(과기정통부, 금융보안원) 그리고 해외 주요 사이버 보안 벤더들이 전망한 ’25년도 사이버 위협 전망을 분석하고 재구성해서 발표된 자료에 따르면, 아래 [표 2] ’25년도 국내외 사이버 위협 전망 및 Top 5 리스트 자료를 통해서 공격 표면과 관련된 내용이 상위 3위로 나타나고 있으며, 이는 공격 표면 관리에 대한 필요성이 2025년에는 보다 더 강조될 것으로 예상된다.

[표 2] ’25년도 국내외 사이버 위협 전망 및 Top5 리스트 (출처: 각 사, 재구성: 이글루코퍼레이션)

가트너(Gartner)가 ‘2024년 보안 운영 하이프 사이클(Hype Cycle for Security Operations, 2024)‘을 통해서 ‘공격 표면 관리(Attack Surface Management)의 복잡성을 해결하는 것이 중요하다’고 발표했고, 2023년에도 같은 보고서를 통해 공격 표면 관리의 중요성에 대해 강조했는데, 올해는 공격 표면 관리의 ‘복잡성(Complexity)‘을 어떻게 해소할 것인지에 대해 초점이 맞춰졌다.

발표 자료를 통해서 ‘지속적인 위협 노출 관리(CTEM), 사이버 보안 메시 아키텍처(CSMA)를 통해 공격 표면 관리의 복잡성을 해결할 수 있고, 우선적으로 관리해야 할 공격 표면을 식별하고, 다양한 기술들과 아키텍처를 결합하고, 지속적으로 관리하는 것이 중요하다’는 인사이트를 얻을 수 있다.

[그림 1] ’24년도 보안 운영 하이프 사이클 (출처: Gartner)

'공격 표면 관리를 위한 통합된 중앙 체계 구축 필요'

결국, 변화하는 보안 환경에서 안정적인 보안 태세를 유지하기 위해서는 노출된 전체 공격 표면을 포괄적으로 관리할 수 있는 통합된 중앙 체계가 필요함을 알 수 있다.

03. I² AXIS asm 서비스 오픈

‘공격 표면 관리의 '복잡성(Complexity)'을 어떻게 해소할 수 있을까?’

'우선적으로 관리해야 할 공격 표면을 식별하고, 다양한 기술들과 아키텍처 결합을 통해 최적으로 대응하고, 공격 표면의 잠재적 위험을 최소화하기 위해 지속적으로 관리하는 것이 중요하다.'

이글루코퍼레이션에서는 노출된 전체 공격 표면을 포괄적으로 파악하고 관리할 수 있는 통합된 중앙 체계의 필요성을 인식하고, 보안 관제 특화 공격 표면 관리 서비스인 아이스퀘어 액시스 에이에스엠(I² AXIS asm)을 2025년 1월에 출시했다.

I² AXIS asm은 외부에 노출된 모든 IT 자산 정보의 식별-대응-관리를 지원하는 보안 관제 특화 공격 표면 관리 서비스이다. 보안 대상의 공격 표면을 통합적으로 파악하고 외부에 노출된 조직의 IT 자산 정보와 이글루코퍼레이션 긴급 대응 등급(IEAC, IGLOO Emergency Action Classification) 정보를 결합하여 고위험군 이벤트를 우선 처리함으로써, 공격 대응 효율성을 극대화할 수 있다.

또한 공격 표면 관리와 보안 운영 센터의 유기적 연계를 통해 실시간으로 발생하는 공격을 적시 대응하여 공격 표면의 잠재적 위험을 최소화하고, 위험 목록 및 사고 관리 기능을 활용해 공격 표면 취약성 정보 및 공격 이벤트 내역을 실시간 확인·대응함으로써, 조직 전반의 보안 태세를 개선할 수 있다.

04. I² AXIS asm 기능 소개

I² AXIS asm은 공격 표면 정보를 기반으로 조직이 일원화된 IT 자산 식별-대응-관리 프로세스를 구현할 수 있도록 도와줍니다. I² AXIS asm의 효과적인 공격 표면 관리 핵심 기능을 소개한다.

1) I² SOC 연계 공격 표면 관리

이글루코퍼레이션의 보안운영센터(I² SOC)와 에이아이스페라(AI SPERA)의 Criminal IP 기술을 결합하여, 공격 표면 관리뿐만 아니라 식별된 IT 자산의 공격 처리 현황을 제공한다. 이를 통해 보안 조직은 기존 분석 결과와 함께 공격 표면 정보를 통합적으로 확인 가능하며, 외부에 노출된 조직의 IT 자산 정보와 이글루코퍼레이션 긴급 대응 등급(IEAC) 정보를 결합하고 고위험군 이벤트를 우선 처리하여 공격 대응의 효율성을 높일 수 있다.

① 공격 표면 자산 현황 조회

공격 표면 자산 현황을 실시간으로 조회가 가능하며, 신규 자산 탐지 정보를 포함하여 노출된 취약 자산 정보, 최신 자산 현황 정보 및 상세정보를 직관적으로 확인할 수 있도록 자산 현황 정보를 차별화된 시각화로 나타낸다.

[그림 2] ASM 화면 (출처: 이글루코퍼레이션)

주요 정보로 △최신 자산 현황 정보 △자산 중요도 및 자산 예상 위험도 평가 정보 △자산 위험도 스코어링 △취약점 정보 △오픈 소스 인텔리전스(OSINT) 정보 △도메인 만료 정보 △자산별 공격 이벤트 매핑 정보 △자산별 공격 이력 정보 등을 제공한다.

■ 자산 예상 위험도 평가 정보

노출된 자산 취약점과 연관해 공격 이벤트가 발생할 경우를 예상하여, 자산 예상 위험도 정보를 확인할 수 있다.

[그림 3] Asset Risk Detail 화면 (출처: 이글루코퍼레이션)

■ 자산별 공격 이벤트 매핑 정보

공격 표면 관리 자산별로 공격 이벤트와 매핑된 상세 정보를 제공함으로써, 공격 표면에 대한 공격 이벤트 정보를 확인할 수 있다.

[그림 4] Threat & Action 화면 (출처: 이글루코퍼레이션)

② 공격 IP 위협 정보 조회

공격 IP 위협 정보를 실시간으로 조회가 가능하며, 공격 표면에 대한 공격 IP의 주요 위협 정보 및 기존 공격 이벤트 분석 정보를 차별화된 시각화로 나타낸다.

[그림 5] IP Search 화면 (출처: 이글루코퍼레이션)

주요 정보로 △이벤트 공격 IP 주요 위협 정보 △해킹 그룹 여부 및 공격자 식별 정보 △ 공격 위협 IP의 IEAC 등급별 현황 및 티켓 현황 정보 △SOC 전체의 공격 현황 정보 등의 상세 정보를 제공한다.

③ 공격 표면 관리 기반 실시간 대시보드

공격 표면 관리 현황 및 공격 이벤트 현황을 실시간으로 모니터링이 가능한 공격 표면 관리 기반의 대시보드 기능을 제공한다. 공격 표면에 노출된 자산 현황 정보 및 취약점 정보, 자산별 실시간 공격에 대한 처리 현황 및 SOC 티켓 처리 현황도 실시간으로 제공된다.

무엇보다도 공격 표면에 노출된 취약점과 공격 위협 정보를 통해서 이글루코퍼레이션 긴급 대응 등급(IEAC) 정보에 따라 분류되고, 고위험으로 분류된 이벤트 정보를 고위험 공격 실시간 처리 현황 정보로 나타낸다. 해당 정보 선택시 SOC 티켓 검색 및 탐지 보고서 조회 기능을 제공하고 이를 통해 상세 내역도 확인이 가능하다.

[그림 6] Dashboard 화면 (출처: 이글루코퍼레이션)

주요 정보로 △공격 표면 관리 기반의 실시간 현황 정보 △취약 자산 및 공격 위협 등급별 위험 현황 정보 △자산별 실시간 공격 위협 상세 정보 △고위험 공격 실시간 처리 현황 정보 △SOC 티켓 검색 및 탐지 보고서 조회 정보 등의 상세 정보를 제공한다.

2) 공격 표면 데이터 연동 지원

AIP(Attack Information Provide) 연계 기능을 통해 공격 분석 결과와 공격 표면 정보를 종합적으로 확인할 수 있다. REST API 형태의 서비스를 통해서 자사의 SPiDER SOAR와 같은 보안 자동화 솔루션에서도 플레이북을 통해서 연동 처리되며, 공격 표면과 관련된 이벤트 처리를 최적으로 대응할 수 있다.

[그림 7] SPiDER SOAR Playbook 내 AIP 연계 자료 (출처: 이글루코퍼레이션)

주요 정보로 △구독 정보 △자산 정보 △IEAC 등급 정보 △상황 정보 등을 제공한다.

3) 공격 표면 관리 프리미엄 보고서 제공

공격 표면 관리 현황, SOC 이벤트 현황, 공격 행위자 현황에 대한 정보를 일일∙주간∙월간 보고서 형태로 제공하고, 기간별 데이터 및 요약 정보를 바탕으로 관리 현황과 이력을 체계적으로 확인할 수 있다. 또한 이글루코퍼레이션의 SPiDER SOAR와 같은 보안 자동화 솔루션의 이벤트 처리 내역도 I² AXIS asm으로 취합되어 종합적인 공격 분석 결과와 공격 표면 정보도 제공한다.

[그림 8] 공격 표면 관리 프리미엄 주간 보고서 (출처: 이글루코퍼레이션)

주요 정보로 △공격 표면 관리 요약 정보(권고사항, 조치사항) △자산 현황 정보(요약 현황, 등록 자산 현황, 신규 자산 정보, 자산 위협 추이, High 등급 위협 자산 현황) △이벤트 현황 정보(요약 현황, 주간 이벤트 추이, 자산별 대응 현황, 취약점 공격 현황) △공격자 현황 정보(국가별 공격 추이) 등의 상세 정보를 제공한다.

4) I² SOC 연계 잔존 위험 관리

이글루코퍼레이션의 보안운영센터(I² SOC)에서 유효성이 확인된 공격 정보와 IT 자산과 연관된 취약점 정보를 목록화하여, 조치되지 않은 잔존 위험을 효과적으로 관리할 수 있도록 지원한다. 조직은 잔존 위험에 대한 지속적인 관리를 통해서 조직 전반의 보안 태세를 개선할 수 있다.

① 위험 목록

공격 표면 관리를 통해 식별된 취약점 정보를 위험 목록으로 관리한다. 이글루코퍼레이션의 보안운영센터(I² SOC)에서 조치 권고 등 위험 처리 내역에 대해서 관리하고, 조직 자산의 잔존 위험도를 측정한다. 조직은 잔존 위험 및 취약점과 연관된 유효성이 확인된 공격 이벤트를 확인할 수 있다.

[그림 9] Risk List Detail 화면 (출처: 이글루코퍼레이션)

주요 정보로 △공격 표면 관리를 통해 식별된 취약점 및 조치 현황 정보 △잔존 위험도 평가 정보 △위험 대상 별 사고 관리 현황 정보 등을 제공한다.

② 사고 관리

위험 대상에 따른 유효성이 확인된 모든 공격 이벤트를 사고 관리 목록으로 관리한다. 이글루코퍼레이션의 보안운영센터(I² SOC)에서 공격 이벤트에 대한 상황 정보를 기반으로 작성된 소명 내용을 통해서 사고 여부를 식별하고, 사고 조치 내역을 관리한다. 조직은 소명 내용과 사고 조치 내역을 통해서 잔존 위험에 대한 사고 현황을 관리할 수 있다.

[그림 10] Incident Detail 화면 (출처: 이글루코퍼레이션)

주요 정보로 △공격 이벤트 사고 여부 식별 및 사고 관리 현황 정보 △소명 내용, 사고 조치 내역 정보 등을 제공한다.

05. I² AXIS asm 활용법

I² AXIS asm 핵심 기능을 알아보았으며, 이번에는 가상 사례를 통해 Apache Log4j 취약점(CVE-2021-44228)이 자산의 공격 표면에 노출되고, 해당 취약점을 통해 공격 위협 이벤트가 발생됨을 가정하여, I² AXIS asm의 핵심 기능을 활용해 효과적인 공격 표면 관리의 활용법에 대해서 알아보고자 한다.

1) 조직 자산의 공격 표면에 Apache Log4j 취약점(CVE-2021-44228) 노출 여부를 식별 확인

[활용법] 공격 표면 관리 현황 조회 화면을 통해 공격 표면에 노출된 자산의 신규 취약점 및 상세 정보 확인 가능

[그림 11] Vulnerabilities Detail 화면 (출처: 이글루코퍼레이션)

2) 해당 신규 취약점이 위험 목록 관리에 신규 위험 대상으로 자동 등록되어 관리됨

[활용법] 위험 목록 화면에서 신규로 등록된 취약점 관련 위험 정보가 확인되며, 위험 처리 내역 및 잔존 위험도 확인 가능

[그림 12] Risk List Detail 화면 (출처: 이글루코퍼레이션)

3) 공격 표면에 노출된 해당 취약점과 연관된 공격 이벤트 발생 시 실시간 확인

[활용법] 공격 표면 관리 실시간 대시보드 화면에서 IEAC-1 코드 발생되며, 고위험 공격 실시간 처리 현황 부분에 관련 이벤트를 확인 가능하여, 티켓 번호 선택 시 이벤트 처리 상세 내역 조회 가능

[그림 13] Dashboard 화면 (출처: 이글루코퍼레이션)

4) 해당 공격 이벤트 관련 공격 IP의 위협 정보 확인

[활용법] 공격 IP 위협 정보 조회 화면에서 공격 IP에 대한 위협 상세 정보, IEAC 등급, 해킹그룹 정보 등을 확인 가능

[그림 14] IP Search 화면 (출처: 이글루코퍼레이션)

5) 공격 표면 관리 정보 연계를 통해서 SOAR에서 해당 공격 이벤트를 자동 처리함

[활용법] SOAR에서 등록된 플레이북에 의해 해당 이벤트와 관련된 공격 표면 관리 정보 및 공격 분석 정보를 활용해 자동으로 이벤트 처리 확인 가능

[그림 15] SOAR 이벤트 보고서 화면 (출처: 이글루코퍼레이션)

6) 사고 관리에 해당 공격 이벤트가 자동 등록 처리되어 관리됨

[활용법] 사고 관리 화면에서 해당 공격 이벤트가 자동으로 등록되고, 소명 내용 및 사고 후 조치 내역 등의 정보 확인 가능

[그림 16] Incident Detail 화면 (출처: 이글루코퍼레이션)

06. I² AXIS 라인업 및 로드맵

'보안 환경이 복잡해질수록, 중심축을 잘 잡아야 한다'

아이스퀘어 액시스(I² AXIS)는 조직과 연관된 핵심 정보와 자료를 실시간으로 확인할 수 있는 보안관제 포털이다. 이글루코퍼레이션의 실전 경험과 노하우를 집약한 보안 관제 중심축으로써 조직의 공격 대응 목표 달성을 돕는다는 의미를 담고 있다. ‘보안 운영 자동화 플랫폼’화 가속을 위해, I² AXIS를 중심으로 라인업을 확장하고 플랫폼화할 계획이며, 사용할 수 있는 다양한 부가 콘텐츠 서비스를 개발하여 확장해 나갈 예정이다.

'보안 운영 자동화 플랫폼'화 가속

2025년 1월에 출시된 I² AXIS asm은 공격 표면 관리 및 보안 운영 관제 서비스를 대상으로 구독 서비스를 진행하고 있다. 더 많은 조직이 보안 운영의 가시성과 통찰력을 높여 보안의 효율성을 높일 수 있도록, 각 조직 보안 환경에 부합하는 패키지 서비스를 확장 공급할 계획이다.

07. 참고자료

1.코로나 이후 디지털 트랜스포메이션의 가치와 중요성
https://www.samsungsds.com/kr/insights/the-value-of-digital-transformation.html
2.정부 시스템 클라우드 네이티브(Native)로 더 빠르게 개선하고 안정적으로 제공한다.
https://www.mois.go.kr/frt/bbs/type010/commonSelectBoardArticle.do?bbsId=BBSMSTR_000000000008&nttId=113234
3.정보, 2030년까지 기존 시스템 90% 클라우드 네이티브로 전환
https://www.etnews.com/20240812000245
4.中 딥시크 R1, 알고 보니 ‘헛똑똑이’?
https://www.boannews.com/media/view.asp?idx=135780
5.딥시크 AI 데이터베이스 유출…100만 건 이상 노출 사고
https://www.mk.co.kr/news/it/11229375
6.한국인터넷진흥원(KISA), 2024년 상반기 사이버 위협 동향 보고서
7.클라우드 도입률 늘어나고 있지만 안전한 사용 습관은 제자리걸음
https://www.boannews.com/media/view.asp?idx=133687&direct=mobile
8.팔로알토, UNIT 42 공격 표면 위협 보고서
9.Hype Cycle for Security Operations, 2024. Gartner
10.이글루코퍼레이션, 이글루플러스 2025년 1월 호

목록