공격 표면 관리(ASM, Attack Surface Management)란, 해커가 침투할 수 있는 기업과 기관의 IT 자산상 ‘공격 표면’을 미리 파악해 잠재된 공격을 예방 및 관리하는 행위로, 소중한 자산이 해커의 표적이 되지 않기 위해서는 필수적이라고 할 수 있다. 하지만 이러한 공격 표면 관리의 중요성에도 불구하고 여전히 많은 사람들이 공격 표면 관리가 자신의 기업, 기관에 실질적으로 어떻게 활용되고, 어떤 문제들을 해결할 수 있으며, 그것으로 인해 어떤 이점을 누릴 수 있는지 파악하지 못하는 경우가 많다. 이번 Best Practice에서는 실제 기업의 Criminal IP ASM 의 공격 표면 관리를 활용한 취약점 탐지 사례를 재구성하여 소개하고, 공격 표면 관리가 구체적으로 기업, 기관의 어떤 문제를 어떻게 해결해줄 수 있을지에 대해 다룸으로써 공격 표면 관리 도입을 고민하는 사람들에게 보다 입체적인 시각을 제공하고자 한다.

대기업 ‘A’사의 공격 표면 관리

대기업 ‘A’사는 국내, 해외 법인을 합해 상주 직원 2,000명이 넘는 대기업이다. ‘A’사의 보안팀은 외부에 공개된 포트나 어플리케이션 뿐만 아니라, 회사가 국내외 인터넷 상에서 소유, 운영하고 있는 수많은 IP주소, 도메인, 인증서 등이 공격 가능한 보안 취약점으로부터 안전하게 관리되고 있는지 상시 점검하고, 유사시 대응까지 실시하는 임무를 맡고 있다. 하지만 사업의 규모가 나날이 커져감에 따라 A사 보안팀이 관리해야 할 IT자산(IP, 도메인)의 수도 기하급수적으로 늘어나게 되었고, IT자산의 모니터링과 문제 대응 등 많은 부분을 자체 인력을 통해 수동으로 실시해오던 A사의 보안팀은 더 이상의 추가 리소스 투입이 어렵다고 판단, Criminal IP ASM팀에 도입 상담을 의뢰하였다.

Criminal IP ASM의 대시보드 홈 화면
Criminal IP ASM의 대시보드 홈 화면

Criminal IP ASM은 별도의 설치나 설정 과정 필요 없이 곧바로 웹페이지에 로그인해 모든 ASM 기능을 이용할 수 있었다. 회사의 대표 도메인을 입력하고 2~3일만에 전 세계에 연결된 모든 IT 자산이 자동 탐지되어 대시보드 형태로 간단하게 정리되었다. 기존과 같이 여러 명이 나누어 늦게까지 지켜보고 관리하지 않아도 한 페이지 안에서 IT자산의 분포 현황과 위치 정보, 오픈포트, 최근 발생 리스크 등의 상세 정보와 함께 이를 토대로 보유 자산이 안전한지 위험한지의 정도가 High, Medium, Low의 3단계로 나누어 표시되기 때문에, 짧은 시간 안에 직관적인 보고가 이루어질 수 있게 되었다.

위험도 ‘Critical’, 7개의 OpenSSH 취약점 가진 네덜란드 IP 탐지

며칠 후, 출근해 대시보드를 확인하던 보안팀 팀장은 문득 이상함을 느꼈다. A사는 네덜란드에 서버를 두거나 타 회사와 협업을 한 이력이 없는데, 보유 IT자산의 국가 정보에 ‘네덜란드’가 표시되고 있던 것이었다. 목록에 표시되는 여러 개의 IP 주소 중 ‘Critical’ 스코어로 표시된 한 IP를 사이버 위협 인텔리전스 검색엔진 Criminal IP를 통해 분석해본 결과, 해당 IP는 다른 자산을 공격하는 데 악용될 확률이 60%로, 이미 1건의 악용 이력을 보유하고 있었다. 여기에 설상가상으로 열려 있는 22번 포트에서 7개의 OpenSSH 취약점까지 발견되었다.

A사 IP자산 리스트 중 Critical 스코어로 표시된 네덜란드 IP주소
A사 IP자산 리스트 중 Critical 스코어로 표시된 네덜란드 IP주소
다른 자산을 공격하는 데 악용될 확률 60%, 악용 이력 1건, OpenSSH 취약점 7건 발견
다른 자산을 공격하는 데 악용될 확률 60%, 악용 이력 1건, OpenSSH 취약점 7건 발견

이는 A사의 이름으로 운용되는 IP 주소가 공격 등 악의적 행위에 이용되어 브랜드가 침해되거나,관리되지 않은 서버의 취약점으로 인해 다른 주요 서버가 해킹될 수 있는 상황이다. 이를 심각한 위협이라 판단한 A사 보안팀 팀장은 즉시 프로세스에 따라 보고하였고, Criminal IP ASM 취약점 리포트를 통해 즉각 대응 조치를 완료할 수 있었다. 기존의 방식으로 IT자산을 관리했다면 이처럼 빠른 발견과 대응이 어려웠을 것이다.

방대한 IT자산 취약점을 직관적으로 시각화

Criminal IP ASM의 IT 자산 자동 식별 과정
Criminal IP ASM의 IT 자산 자동 식별 과정

오늘 글에서는 공격 표면 관리를 활용한 취약점 탐지 및 조치 사례에 대해 알아보았다. Criminal IP ASM은 대표 도메인 한 개만 입력하면 전 세계 네트워크에 분포되어 있는 모든 자산을 자동으로 식별해 공격 표면 관리를 수행하는 SaaS 형태의 공격 표면 관리 자동화 솔루션이다. AI 기반의 사이버 위협 인텔리전스(CTI, Cyber Threat Intelligence) OSINT 검색엔진 Criminal IP의 검색, 인텔리전스, API와 연계되어 탐지 및 분석된 데이터가 항목별 대시보드로 알기 쉽게 가시화되어 간편하고 직관적으로 보안 취약점과 같이 자사의 IT자산에 존재하는 잠재 위협을 사전에 인지 및 예방해 인력부족 등의 문제로 보안 관리에 어려움을 겪고 있는 기업, 기관 보안 담당자들의 문제를 해소해줄 수 있다.

Criminal IP ASM의 더 자세한 내용과 사례가 궁금하다면 무료 데모 신청을 통해 직접 공격 표면을 모니터링 해볼 수도 있다. 그 외 <공격 표면 관리: 알려지지 않은 자산 및 취약점 모니터링> 글을 보면 공격 표면 관리의 개념과 기능, 중요성에 대해 더 자세히 알아볼 수 있다.


데이터 출처: Criminal IP (https://www.criminalip.io/ko)

관련 글