공격 표면 평가 – 기초 가이드

원격 근무 솔루션, 클라우드 기반 서비스 또는 상호 연결된 시스템을 통해 조직의 디지털 발자국이 진화하고 확장됨에 따라 잠재적 공격의 진입점도 증가합니다. 증가하는 잠재적 접근 지점은 공격 표면을 생성하며, 이는 무단 사용자가 환경에 진입하여 데이터에 접근하거나 환경에서 데이터를 추출할 수 있는 모든 가능한 지점의 총합입니다.

디지털 자산을 보호하려는 조직에게 공격 표면 평가(ASA)는 필수적인 관행입니다. 보안 팀은 공격 표면을 강력하게 파악하고, 취약점 관리 측면을 포함한 공격 표면의 모든 측면에 대한 완전한 가시성을 확보함으로써 공격 발견까지 걸리는 평균 시간을 단축할 수 있습니다. 이를 통해 조직은 전략적인 보안 우선순위 지정 및 자원 할당을 통해 사후 대응에서 예방으로 전환할 수 있습니다.

이 블로그에서는 공격 표면 평가, 그 중요성, 이점 및 과제에 대해 논의할 것입니다. 또한 조직이 더욱 정교해진 위협 환경으로부터 IT 자산을 방어하는 데 도움이 될 수 있는 프로세스도 살펴보겠습니다.

공격 표면 평가란 무엇인가요?

공격 표면 평가는 조직의 IT 인프라(하드웨어, 소프트웨어, 디지털 솔루션 포함) 내에서 잠재적 위협 행위자가 악의적인 목적으로 조직에 접근할 수 있는 모든 지점(공개적으로 노출된 부분)을 발견, 식별 및 분석하는 체계적인 접근 방식입니다. 여기에는 네트워크 포트, 애플리케이션 인터페이스, 사용자 포털, API, 물리적 접근 지점 등 특정 시스템에 대한 모든 접근 지점을 열거하는 작업이 포함됩니다. 최종 결과는 조직이 공격에 취약할 수 있는 지점에 대한 종합적인 시각을 제공합니다.

공격 표면 평가는 환경의 기술적 및 비기술적 구성 요소에 대한 평가입니다. 여기에는 하드웨어 장치, 소프트웨어 애플리케이션, 네트워크 서비스, 프로토콜, 사용자 계정이 포함됩니다. 비기술적 부분은 인적 요소, 조직 프로세스, 물리적 보안과 관련됩니다. 이 모든 요소가 결합되어 조직의 보안 상태에 대한 완전한 그림을 제공하고 개선이 필요한 영역을 식별합니다.

공격 표면 평가를 수행하는 이유는 무엇인가?

조직은 인지하지 못하는 것을 보호할 수 없습니다. 보안 침해는 방치된 시스템, 알려지지 않은 자산, 또는 보안 팀이 보호 계획에 포함시킬 생각조차 하지 않았던 범위 외 접근 지점을 통해 발생합니다.

조직이 공격자가 침투하는 경로를 파악하면, 구식 소프트웨어, 누락된 패치, 비효율적인 인증 메커니즘, 방어 체계가 취약한 인터페이스 등 취약점을 식별할 수 있습니다. 이를 통해 보안 팀은 공격자가 악용하기 전에 해당 취약점을 패치할 시간을 확보할 수 있습니다.

대부분의 조직은 보안 경고 및 사고 대응 과정에서 끝없는 반복 작업에 시달립니다. 팀은 지치고 조직은 노출된 상태입니다. 공격 표면 평가를 통해 팀이 취약점이 악용되기 전에 발견하고 해결할 수 있으므로 이러한 패턴이 바뀝니다.

ASA를 위한 일반적인 평가 방법론

보안 팀은 공격 표면을 효과적으로 평가하고 관리하기 위해 다양한 방법론을 사용합니다. 조직이 선택하는 접근 방식은 일반적으로 보안 요구 사항, 사용 가능한 리소스 및 디지털 환경의 복잡성에 따라 달라집니다.

자동화된 발견 기법

자동화된 발견 기법은 대부분의 공격 표면 평가 프로그램의 중추입니다. 이러한 도구는 네트워크, 시스템 및 애플리케이션을 스캔하여 최소한의 인적 노력으로 자산과 취약점을 모두 탐지합니다. 포트 스캐너는 개방된 네트워크 서비스를 매핑하고, 하위 도메인 열거 도구는 휴면 상태의 웹 속성을 찾으며, 구성 분석기는 안전하지 않은 구성을 찾습니다.

수동 검증 프로세스

자동화는 공격 표면 평가에 폭을, 수동 검증 프로세스는 깊이를 더합니다. 이는 핵심 시스템의 수동 검토, 접근 제어 테스트, 보안 아키텍처 평가를 포함하여 자동화 도구가 놓칠 수 있는 문제(예: 비즈니스 프로세스 논리적 결함, 인증 우회 기법, 보안 전문가의 접근 권한 검토)를 식별하는 과정입니다.

지속적 평가 vs. 시점별 평가

보안 프로그램을 설계할 때 조직은 지속적 모니터링과 시점별 평가 중 선택해야 합니다. 스냅샷 보안 평가로 알려진 시점별 평가는 분기별 또는 연간으로 자주 수행됩니다. 이러한 평가는 철저한 분석을 제공하지만 평가 주기 동안 새로 발생한 취약점을 놓칠 수 있습니다. 반면, 지속적인 모니터링은 새로운 자산, 구성 변경 또는 취약점을 항상 확인합니다.

위험 기반 우선순위 지정 프레임워크

위험 기반 우선순위 지정 프레임워크를 통해 보안 팀은 가장 중요한 항목을 우선적으로 처리할 수 있습니다. 이러한 프레임워크는 잠재적 침해 영향, 악용 가능성 및 영향을 받는 자산의 비즈니스 가치를 고려합니다. 위험 기반 접근 방식을 통해 보안 팀은 단순히 가장 많은 수의 취약점이나 가장 최근에 공개된 취약점보다 가장 큰 취약점을 먼저 해결할 수 있습니다.

공격적 보안 관점의 적용

공격 표면 평가에 대한 이러한 공격적 보안 접근 방식은 실제 공격 경로를 더 잘 이해할 수 있는 기회를 제공합니다. 이 접근법은 보안 팀이 공격자의 사고방식으로 전환하여 공격자가 시도할 만한 방식으로 시스템을 테스트하는 것입니다. 여기에는 공격 경로 매핑, 주요 침해로 이어지는 취약점 연쇄 매핑, 특정 위협 그룹이 사용하는 기술을 모방하는 공격자 시뮬레이션 등이 포함됩니다.

공격 표면 평가 수행 방법?

효율적인 공격 표면 평가는 체계적이어야 하며, 기술적 도구와 전략적 논리적 능력을 모두 결합해야 합니다. 다음은 조직이 보안 상태를 평가하고 취약점을 파악하기 위해 따라야 할 기본 단계를 설명하는 프로세스입니다.

초기 범위 설정 및 목표 설정

모든 효과적인 공격 표면 평가는 목표와 범위를 가져야 합니다. 이 단계에서 보안 팀은 검토 대상 시스템, 탐색할 보안 결함 유형, 성공적인 평가의 기준을 명시합니다. 이 계획 단계에서는 평가가 특정 중요 자산, 새로 배포된 시스템, 또는 전체 조직을 대상으로 하는지 정의합니다.

자산 열거 및 발견 단계

기업의 디지털 존재를 구성하는 모든 시스템, 애플리케이션, 서비스를 식별하고 등록하는 것이 이 단계의 핵심입니다. 발견 과정은 수동적 및 능동적 방법으로 시작됩니다. 수동적 방법에는 기존 문서 전체 검토, 네트워크 다이어그램 분석, DNS 레코드 확인, 공개 데이터베이스에서 조직 자산으로 추정되는 항목 검색 등이 포함될 수 있습니다.

외부 공격 경로 매핑

자산을 식별한 후 보안 팀은 사이버 범죄자가 외부에서 이러한 시스템에 접근할 수 있는 방법을 파악하는 데 주력합니다. 이 단계에서는 공격자가 초기 접근을 얻기 위해 취할 수 있는 다양한 경로를 분석합니다. 외부 공격 경로 매핑은 내부 시스템에서 외부 세계로 연결되는 모든 접점을 상세히 파악하는 과정입니다. 여기에는 인터넷에 노출된 모든 서비스, VPN 엔드포인트, 이메일 게이트웨이, 제3자 연결이 포함됩니다.

인터넷 노출 서비스 및 애플리케이션 식별

인터넷에 직접 또는 간접적으로(VPN 터널 등을 통해 설정된) 연결된 모든 시스템은 그 특성상 최우선 공격 대상이며 평가 시 특별한 주의가 필요합니다. 이 단계에서는 공용 인터넷을 통해 직접 접근 가능한 모든 서비스를 철저히 검토해야 합니다. 팀은 공개된 모든 IP 범위와 도메인을 스캔하여 열린 포트와 실행 중인 서비스를 확인합니다.

인증 및 접근 제어 시스템 평가

무단 사용자를 차단하는 접근 제어의 실패는 잘 보호된 시스템에서도 모든 사용자의 접근을 허용하게 됩니다. 이 부분은 사용자가 자신의 신원을 어떻게 검증하는지, 그리고 어떤 사용자가 리소스에 접근할 수 있는지 판단하는 방법입니다. 인증 평가에는 암호 정책, 2단계 인증, 세션 처리 및 자격 증명 저장을 확인하는 작업이 포함됩니다.

결과 문서화 및 위험 프로필 생성

마지막 단계는 취약점을 문서화하고 비즈니스에 미치는 영향을 평가하여 기술적 결과를 실행 가능한 보안 정보로 전환하는 것입니다. 이 문서를 바탕으로 수정 계획 및 전반적인 보안 개선이 이루어집니다. 팀은 각 취약점에 대한 기술적 설명을 작성하고, 잠재적 영향을 요약하며, 악용 가능성을 설명합니다.

공격 표면 평가의 이점

공격 표면 평가는 취약점 식별 외에도 조직에 상당한 가치를 제공합니다. 보안 분석을 위한 체계적인 프레임워크는 기업 보안 태세에 복원력과 운영 효율성을 기여하는 여러 가지 이점을 제공합니다.

가시성 향상

정기적인 공격 표면 평가는 복잡한 환경에서 가시성을 향상시킵니다. 조직이 발전함에 따라, 조직이 보유한 IT 자산에 대해 정확하게 이해하고 이를 유지하기는 점점 더 어려워지고 있습니다. 섀도우 IT, 레거시 시스템, 그리고 불량 애플리케이션은 보안 위험이 감지되지 않는 사각지대를 만들어냅니다. 보안 팀은 전체 환경을 파악하고 보안을 강화할 수 있습니다.

사고 대응 비용 절감

취약점을 조기에 발견하면 공격 표면 평가를 통해 사고 대응 비용을 크게 줄일 수 있습니다. 해커가 탐지되지 않은 상태로 오래 머무를수록 보안 사고 비용은 증가합니다. 취약점 평가를 통해 선제적으로 취약점을 식별하면 공격자가 발견하기 전에 이를 파악할 수 있어, 침해 대응, 고객 통지, 시스템 복구, 규제 벌금이 문제가 되기 전에 조치를 취할 수 있습니다.

전략적 자원 배분

이러한 평가는 또한 조직이 필요한 곳에 보안 지출을 집중할 수 있도록 지원하여 자원을 보다 전략적으로 배분할 수 있게 합니다. 오늘날 보안 팀은 제한된 자원으로도 그 어느 때보다 많은 시스템을 보호해야 하는 압박을 받고 있습니다. 공격 표면 평가에서 제공하는 정보는 의사 결정자에게 매우 중요합니다. 어떤 시스템이 가장 위험한지, 어떤 취약점이 악용될 경우 가장 큰 잠재적 피해를 초래하는지 정확히 파악할 수 있기 때문입니다.

비즈니스 확장 용이성

배포 전 보안 분석은 비즈니스 확장 시 보안을 강화합니다. 조직이 신제품을 혁신하거나, 신규 시장으로 확장하거나, 새로운 기술을 도입할 때 새로운 공격 경로도 함께 제공됩니다. 이러한 확장 전에 공격 표면 평가를 수행하면 보안 위협을 선제적으로 대응할 수 있습니다. 이러한 위협은 프로세스 초기에 해결하는 것이 더 쉽고 비용 효율적이기 때문입니다.

공격 표면 평가의 과제

공격 표면 평가 결과물은 보안 팀에게 분명히 가치 있지만, 공격 표면 평가 프로그램의 구현 및 유지 관리와 관련된 독특하고 큰 도전 과제들도 존재합니다. 조직이 이러한 도전 과제를 인식하면 평가에 대한 더 나은 고려 사항을 수립하고 목표를 재설정할 수 있습니다.

동적이고 진화하는 IT 환경

보안 팀은 지속적인 변화 속도를 따라잡기 어렵습니다. 특히 활발한 개발 팀과 빈번한 릴리스가 있는 조직에서는 더욱 그렇습니다. 현대 인프라의 유동적인 특성과 이를 관찰하기 위해 설계된 도구/프로세스 사이에는 격차가 존재합니다. 새로운 배포는 추가적인 잠재적 공격 경로를 가져오고, 폐기된 시스템은 종종 버려진 리소스를 여전히 접근 가능한 상태로 남깁니다.

클라우드 및 컨테이너화된 인프라의 복잡성

기존 온프레미스 인프라를 위해 구축된 평가 도구는 잘못 구성된 스토리지 버킷, 과도한 IAM 권한, 안전하지 않은 서버리스 함수 등 클라우드 기반 위험에 대한 가시성이 부족한 경향이 있습니다. 컨테이너화된 애플리케이션은 다중 계층의 주변 오케스트레이션 시스템과 레지스트리 보안 측면으로 인해 또 다른 수준의 복잡성을 더합니다.

정확한 자산 인벤토리 유지

자산 검색 도구는 종종 시스템을 간과하거나 완전한 정보를 제공하지 못합니다. 보안 팀의 인지 없이 배포된 섀도 IT 리소스는 보안 커버리지의 사각지대가 됩니다. 레거시 시스템은 문서화되지 않은 경우가 많아 그 기능과 관계가 항상 명확하지 않습니다.

리소스 제약과 우선순위 지정

자원 문제를 야기하는 도구, 전문성, 시간에 문제가 있습니다. 대부분의 팀은 클라우드 환경, IoT 기기 또는 특수 애플리케이션을 평가하는 데 필요한 고급 전문성을 갖추지 못했습니다. 평가 도구는 상당한 가격표를 달고 있어 할당된 예산을 초과할 수 있습니다. 사업부는 종종 시간 압박을 가해 평가 기간을 단축시키며, 이로 인해 중요한 취약점을 놓칠 수 있습니다.

오탐 관리

통찰력을 얻기 위해 보안 팀은 발견된 결과를 수동으로 검토하고 검증해야 하며, 평가 규모에 따라 몇 시간에서 며칠이 소요될 수 있습니다. 빈번한 오경보는 분석가가 이에 무감각해지기 쉽도록 만들어, 그 속에 숨겨진 진정한 위협을 놓칠 수 있습니다. 결과 분류 및 검증 프로세스가 부재할 경우, 팀은 정보의 홍수에 파묻히게 됩니다.

공격 표면 평가를 위한 모범 사례

많은 조직은 일반적인 함정을 피하고 최대 보안 가치를 달성하기 위해 성공적인 공격 표면 평가를 위한 모범 사례를 이해해야 합니다.

포괄적인 자산 목록 구축

완벽하고 정확한 자산 목록은 효과적인 공격 표면 관리의 기초입니다. 조직이 자산을 보호하려면 먼저 보유한 자산을 파악해야 합니다. 선도적인 조직들은 모든 하드웨어, 소프트웨어, 클라우드 리소스 및 디지털 서비스에 대한 자산 목록을 유지합니다.

지속적 모니터링 구현

모든 인프라에 센서를 배포하여 취약점 데이터, 구성 변경 사항 및 의심스러운 활동을 포함한 보안 텔레메트리 데이터를 수집하십시오. 오케스트레이션 도구를 활용하여 현재 상태가 예상 기준선과 일치하는지 자동으로 확인하고, 편차를 감지하면 경보를 발령하십시오. 또한 고정된 일정이 없는 지속적인 취약점 스캔을 수행하십시오.

위협 인텔리전스로 발견 사항 맥락화하기

보안 팀은 활발히 악용 중인 취약점, 신종 기법, 산업별 위협 주제에 대한 세부 정보를 얻기 위해 위협 피드를 구독해야 합니다. 조직의 공격 표면 발견 사항을 이러한 인텔리전스와 연계하여 가까운 시일 내에 악용될 가능성이 가장 높은 취약점을 파악하세요. 해당 산업이나 유사한 조직 프로필을 가진 기업을 표적으로 삼을 수 있는 위협 행위자 캠페인을 모니터링하여 예상되는 공격 경로를 파악하십시오.

위험 기반 수정 우선순위 지정

취약점 심각도, 자산 중요도, 악용 가능성, 데이터 민감도를 고려한 점수 체계에 기반한 문제 순위표를 작성하십시오. 공격자가 민감한 시스템이나 데이터에 접근할 수 있도록 하는, 악용하기 쉬운 취약점에 집중하십시오. 위험에 처한 비즈니스 가치에 따라 다양한 일정을 수립하십시오. 예를 들어, 중요한 문제는 며칠 내에 수정하고 위험도가 낮은 항목은 정기적인 유지보수 패치 주기에 포함시키십시오.

관계자 커뮤니케이션 및 보고

기술적 발견 사항을 잠재적 운영, 재무, 평판 영향 등 비즈니스 위험 용어로 요약한 경영진 보고서를 작성하십시오. 수행해야 할 조치 단계와 이를 확인하기 위한 점검 포인트 정보를 포함한 IT 전용 기술 보고서를 작성하십시오.

공격 표면 노출의 실제 사례

2017년 이퀴팩스(Equifax) 침해 사건은 파괴적인 결과를 초래한 가장 큰 규모의 공격 표면 노출 사례 중 하나입니다. 이 사건은 공격자들이 웹 애플리케이션 프레임워크인 Apache Struts의 패치되지 않은 취약점을 이용해 Equifax 시스템을 침해한 사례입니다. 해당 취약점은 이미 공개되었고 패치도 제공되었음에도 불구하고, Equifax는 자사 환경 전반에 걸쳐 패치를 적용하지 않았습니다. 바로 이 소홀함으로 인해 공격자들은 약 1억 4,700만 명의 민감한 소비자 신용 데이터에 접근할 수 있었습니다.

2019년 발생한 캐피탈 원(Capital One) 해킹 사건은 AWS 전직 직원이 캐피탈 원의 AWS 환경에서 잘못 구성된 WAF(웹 애플리케이션 방화벽)를 악용하면서 발생했습니다. 이 잘못된 설정으로 인해 공격자는 메타데이터 서비스에서 명령을 실행하고 S3 버킷 데이터에 접근할 수 있는 자격 증명을 획득할 수 있었습니다. 이 해킹으로 약 1억 명의 미국인과 약 600만 명의 캐나다인이 피해를 입었습니다. 이는 클라우드 환경 보안이 얼마나 복잡한지, 그리고 클라우드 구성 관리가 얼마나 중요한지 보여주는 좋은 사례입니다.

결론

현대적이고 진화하는 위협 환경에서 조직은 디지털 자산을 보호하기 위해 다양한 전략을 채택해야 하며, 그중 하나가 공격 표면 평가입니다. 보안 팀은 침투 가능성이 있는 지점을 체계적으로 식별, 분석 및 수정함으로써 사이버 공격 위험을 크게 최소화할 수 있습니다. 빈번한 평가는 공격자가 취약점을 발견하고 악용하기 전에 문제를 해결할 수 있게 합니다. 이러한 사전 예방적 조치는 보안을 강화할 뿐만 아니라 규정 준수 프로세스와 자원 배분에 도움을 주며, 보안 전략에 대한 통찰력을 제공합니다.

FAQs