Key Takeaways
|
지난해 발생한 롯데카드 해킹사고는 많은 시사점을 제공하였습니다. 해킹에는 오라클 웹로직(Oracle WebLogic)의 취약점(CVE-2017-10271)이 악용되었고 200GB 상당의 데이터가 유출되었습니다. 주목 할 점은 해당 취약점의 패치가 이미(2017년) 발표되었다는 사실입니다. 취약점을 의도적으로 패치하지 않았다고 보기는 어렵습니다. 이 문제의 핵심은 ‘패치관리의 실패’ 보다는 패치 대상이 되는 ‘자산의 관리 실패'라고 봐야 할 것 입니다.
정보보안 기업 AI스페라의 ‘크리미널 IP 2025 위협 인텐리전스 보고서’에 따르면 지난해 발생한 글로벌 사이버 공격이 신종 해킹 기법보다 이미 알려진 취약점과 장기간 방치된 IT 인프라를 이용하여 피해를 키웠다고 분석하고 있습니다. 그 주요 대상으로 인증서비스, VPN 게이트웨이, 미들웨어, 웹 프레임워크 등이 지목되었습니다.
이러한 사례는 향후 IT 자산과 보안취약점에 대한 관리가 더욱 중요해 질 것이라는 점을 분명히 합니다. 그러나 여전히 다수의 기업은 ‘자산관리 대장(臺帳)’ 이라는 이름으로 PC, 서버 등 IT 자산의 구입일과 목록 등이 명시된 엑셀파일을 신뢰하고 있으며 갱신 역시 관리자의 비정기 수동 업데이트에 의존하고 있습니다. 이러한 방식은 실시간으로 변하는 IT 환경을 반영하는데 한계가 있습니다. 결국 관리자가 ‘인지하지 못한 자산(Shadow Asset)’ 은 대장에서 누락되고 패치 관리 등의 프로세스에서 제외되어 영구적인 보안의 구멍으로 남게 됩니다. 그리고 이 구멍이 훗날 보안사고로 이어지게 됩니다.
정부는 이러한 문제에 대응하기 위해 지난해 말 국내 CISO 신고기업 약 3만 곳을 대상으로 긴급 보안점검을 실시했습니다. 보안점검의 내용은 4가지로 가장 먼저 IT 자산에 대한 현황을 확인하는 것으로 시작됩니다. 주목할 점은 기 보유 내용(장부 등)의 제출이 아닌 ‘실사’ 를 통한 최신화 된 정보를 요구했다는 점 입니다. 이후 인터넷에 연결된 자산을 별도로 식별하고 해당 자산에 대한 취약점 점검을 요구하고 있습니다. 결론적으로 해당 점검을 통해 (백업체계를 제외하고) IT 자산에 대한 ‘일반관리’ 와 ‘보안관리’ 를 요청했다고 해석할 수 있습니다.
[그림 1] CISO 기업 대상 긴급 보안점검 요청사항
많은 기업(관)에서 동분서주했을 것으로 예상이 됩니다. 진행 과정에서 CIO(최고정보책임자) 와 CISO(최고정보보호책임자) 간에 갈등이나 마찰이 존재했을 수도 있습니다. 왜냐하면 '자산관리'라는 용어는 맥락에 따라 전혀 다른 의미로 사용됩니다. 재무팀이 보는 자산, IT 운영팀이 보는 자산, 그리고 정보보안팀이 보는 자산은 그 정의와 목적이 서로 다릅니다. 국내의 경우 일반적으로 CIO 산하에 CISO가 위치하는 경우가 많으며 자산관리는 CIO, 보안관리는 CISO의 역할로 인지되었습니다. 그런데 정부에서 CISO에게 일반 자산관리를 명 한 것이죠. 여하튼 성공적인 거버넌스를 위해서는 이들 간의 차이를 명확히 이해하고 각 영역이 어떻게 상호보완적으로 작용해야 하는지를 정확히 이해해야 합니다.
일반 관리 목적의 자산관리, ITAM은 아래와 같은 질문에 답변을 제공할 수 있습니다.
ITAM은 자본적 지출(CAPEX)과 운영 비용(OPEX)관리에 초점을 맞춥니다. 따라서 CFO(최고재무책임자)나 CIO(최고정보책임자) 조직에서 주로 관리되며 하드웨어와 소프트웨어의 구매부터 폐기까지의 전체 수명 주기(Lifecycle)를 관리하고 비용효율성과 컴플라이언스(주로 라이선스 관리)확보를 최우선 목표로 합니다.
이런 이유로 ITAM의 데이터는 구매 시점의 정적인 정보(Static Data)가 대부분 입니다. 송장(Invoice), 계약서, 고정자산 대장 등의 정보가 기록되며 일반적으로 월 또는 분기 단위로 업데이트가 이루어졌습니다. 또 다른 일반관리 분야로 ITSM(IT Service Management)이 존재합니다. 이것은 자산이 제공하는 서비스(애플리케이션)의 가시성과 가용성을 관리하는 것으로 IT 서비스의 생성, 제공 및 지원을 관리합니다.
반면, 보안 목적의 자산관리는 아래와 같은 질문에 답변을 제공해야 합니다.
보안 목적의 자산관리는 공격 표면(Attack Surface)의 최소화와 보안 위생(Security Hygiene)의 유지를 목표로 합니다. 이는 CISO의 핵심 책무이며 구매, 소유권 등 정적인 정보보다 IT 자산의 현재 상태(State)와 노출(Exposure) 여부에 집중됩니다. 따라서 CASM의 데이터는 실시간에 가까운 동적인 정보(Dynamic Data)가 요구되며 이를 위해 네트워크 트래픽 정보, 에이전트의 동작상태, 취약점 스캔결과 등이 실시간으로 취합되어야 합니다.
이러한 차이로 IT 자산관리에 대한 목적과 역할에 충돌이 발생할 수 있습니다. CIO 산하의 운영팀은 가용성이 중요하므로 서비스에 영향을 줄 수 있는 업그레이드나 패치, 심지어 네트워크 스캐닝에도 소극적일 수 밖에 없습니다. 반면 CISO 산하의 보안팀은 취약점과 보안에 영향을 줄 수 있는 사항에 대한 즉각적인 조치를 요구합니다. 정보의 업데이트 역시 만만치 않습니다. 운영팀은 구매 또는 폐기 등 주기에 따라 업데이트를 시행하는 반면 보안팀은 상시 스캐너 등을 활용해 자산을 파악합니다. 이 과정에서 장부에는 없으나 동작하는 신규 자산이 발견될 수 있고 패치 등 보안관리에서 누락되어 잠재적인 위협으로 확대될 수 있습니다.
| 구분 | IT 자산의 일반관리 | IT 자산의 보안관리 |
| 주요 목표 | 비용절감, 라이선스 감사 대응, 자산 수명주기 관리 등 | 리스크 식별, 공격표면 감소, 사고 대응 가속화 등 |
| 오너십 | CIO, CFO, 구매팀, IT지원팀 | CISO, SoC, 감사팀 |
| 관리 대상 | 자산 대장에 승인된 자산(Managed) | 연결된 모든 자산(Unmanaged, IoT, Cloud, Container 등 포함) |
| 업데이트 | 정기적(월/분기/연 등 재물조사) | 지속적/실시간(스캔 및 API 연동 등) |
| KPI | 예산절감, 재고정확, 라이선스 준수 등 | 자산 식별율, Agent 설치율 등 |
| 기술적 접근 | Agent 기반 Inventory 수집, 바코드 스캔 등 | 네트워크 스캔, API 쿼리, 로그분석 등 |
| 주요 솔루션 | ERP, CMDB 등 | CAASM, EASM 등 |
[표 1] IT 자산관리 분야별 비교
보안위협의 고도화와 클라우드 등 환경의 변화는 IT 자산관리 시장의 기술과 솔루션을 발전∙성숙시키는 계기가 되었습니다. 1세대 관리 도구들이 내부 운영 효율성에 집중했다면 최신의 기술은 내∙외부 위협 가시성과 실질적인 리스크 관리를 통해 비즈니스의 영속성을 유지하고 피해를 최소화할 수 있는 방향으로 발전하고 있습니다.
ITAM과 ITSM은 조직의 IT 서비스 제공 및 자산 수명 주기를 관리하기 위한 기반 솔루션 입니다. 솔루션의 핵심은 CMDB (Configuration Management Database)입니다. CMDB는 IT 자산 간의 논리적, 물리적 정보와 관계를 저장하는 관계형 데이터베이스로 변경 관리(Change Management)와 장애 관리(Incident Management)의 근간이 됩니다.
CMDB는 수동 입력이나 주기적인 스캔에 의존하기 때문에 실시간 정보가 아닌 과거의 상태라고 볼 수 있습니다. 또한 에이전트를 설치할 수 없는 IoT 기기나 운영팀 모르게 생성된 클라우드 인스턴스(Instance) 등을 탐지하는 데 한계가 있습니다. 따라서 보안팀이 신뢰할 수 있는 정보의 역할에는 한계가 있습니다.
공격표면관리(ASM)는 방치된 서버(Shadow IT) 등을 탐지하여 내/외부의 보안 사각지대를 제거하는 것이 목적이며 내부자가 아닌 외부 공격자의 관점에서 자산을 바라보는 접근법 입니다. 이러한 접근은 다시 EASM(외부공격표면관리)와 CAASM(사이버자산공격표면관리)로 나줄 수 있으며 이는 데이터 수집의 출처(Source)에 따라 구분된다고 볼 수 있습니다.
EASM은 IP 대역, 도메인정보, SSL 인증서, 열린 포트정보(Open Port) 등을 지속적으로 스캔하고 정보를 수집합니다. 이를 통해 임시로 생성된 웹페이지, 만료된 인증서, 노출된 Git 리포지토리 등을 탐지할 수 있습니다. 반면 CAASM은 이미 조직 내부에 존재하는 AD(Active Directory), EDR(Endpoint Detection & Response), 방화벽, Cloud Console(AWS/AZURE) 등의 다양한 데이터 소스를 연결하여 자산의 가시성을 통합하는 기술 입니다. 이를 통해 ‘EDR에는 없는데 AD 에는 있고 방화벽에 트래픽을 발생시키는 장비는 무엇인가?’ 와 같은 솔루션 간 가시성의 간극을 극복할 수 있습니다.
CTEM은 단일 기술이나 솔루션이 아닌 사이버보안 운영 프레임워크 입니다. 2022년 가트너(Gartner)가 제시한 이 방법론은 기존의 취약점 관리가 단순히 CVE(Common Vulnerabilities and Exposures)의 목록을 나열하고 이를 패치하는 데 그쳤다면 CTEM은 취약점이 실제로 비즈니스에 위협이 되는가에 초점을 맞추고 있습니다. 따라서 CTEM에는 앞서 언급한 자산관리, 공격표면관리를 포함하여 취약성의 실제 악용가능성을 검증하고 예측되는 문제를 해결하는 전체 순환과정이 포함되어 있습니다. ASM, CAASM 등은 CTEM을 구현하기 위한 기술적 요소라고 할 수 있습니다.
사이버위협이 증가하고 현실화 됨에 따라 보안 책임자들은 비즈니스 이해관계자, 고위 경영진, 이사회 등에 사이버 위험 노출 및 개선 사항을 명확하게 전달해야 하는 압력을 점점 더 많이 받고 있습니다. (앞서 정부의 긴급보안점검이 그러한 예 입니다.) 그러나 기존의 취약점 및 위험 관리 접근 방식은 보안과 비즈니스를 전략적으로 논의하는데 필요한 가시성과 맥락을 제공하지 못하는 경우가 많습니다.
CTEM은 취약점 관리와 같은 기술적 접근 뿐 아니라 기술적 개선에 비즈니스 관점을 접목한다는 점에서 기존 솔루션과 차별화됩니다. 비즈니스 임원과 사이버 보안 책임자 간의 소통 격차를 해소하여 우선순위 불일치를 방지하고 비즈니스 관점에 부합하는 사이버 보안 대화를 촉진합니다.
CTEM은 단일한 기술이나 솔루션이 아닙니다. 이것은 기술적 발전을 비즈니스 조치로 연결하는 일련의 절차이며 따라서 조직의 프로세스 변화가 필요합니다. 가트너는 아래 5 단계의 절차를 통해 미래 자산관리의 내용을 구체화 하고 있습니다.
먼저 어느 기능에 CTEM을 적용할지 정해야 합니다. 기업(관)은 영업, 생산, 연구개발 등 다양한 기능을 보유하고 있고 전체에 CTEM을 일괄 적용하는 것은 효과적이지 않습니다. 어느 기능에 위협이 발생했을 때 가장 큰 피해로 연결되는지를 고려하여 영역과 자산을 분류 합니다. 비즈니스에 치명적인 영향을 줄 수 있는 핵심자산을 정의하고 공격자가 관심을 보일만한 영역을 선정하는 것이 중요합니다.
EASM, CAASM 등의 기술을 활용하여 설정된 범위내에 포함된 모든 자산 및 시스템을 탐지하고 해당 자산이 가진 취약점, 설정오류, 과도한 권한 등을 식별해야 합니다. 자산간의 관계를 시각화 하여 공격자의 이동경로 등을 예측할 수 있습니다.
CTEM은 악용 가능성(Exploitability) 과 자산의 중요도(Asset Criticality)를 분석하여 우선순위를 결정합니다. 통계적으로 정의된 취약성 점수 뿐 아니라 취약점 발생 빈도, 가능한 제어 장치, 완화 옵션, 비즈니스 중요도 등의 요소를 종합적으로 고려하여 전체 시스템의 복원력에 미치는 잠재적 영향을 반영합니다. 우선순위 지정은 자산에 미치는 잠재적 영향, 보완 장치 등 다양한 요소를 포함하여 취약점 발생 가능성을 평가합니다. 이를 통해 발견된 수 많은 취약점 중에 어느 것부터 조치해야 하는지를 결정할 수 있습니다.
발견되거나 이론적으로 취약하다고 평가된 위협이 실제로 공격에 사용될 수 있는지를 확인합니다. BAS(Breach and Attack Simulation) 솔루션이나 모의해킹 등을 통해 공격 시나리오를 시뮬레이션 합니다. 외부 TI(Threat Intelligence) 등과 연계하여 발견된 취약점이 실제 공격에 활용되는지, 영향이 어느정도 인지 등을 확인할 수 있습니다.
검증단계에서 확인된 개선 계획을 실행하는 행동단계 입니다. 보안 솔루션이 서비스나우(ServiceNow)나 지라(JIRA) 같은 ITSM과 연동되어 위협에 대해 자동으로 티켓을 발행하거나 대응 방안을 할당합니다. 또는 SOAR(Security Orchestration, Automation and Response)와 결합하여 방화벽 차단, 계정 비활성화, 패치 배포 등의 조치를 자동으로 수행할 수 있습니다. 그러나 자동화가 만능은 아닙니다. 자산의 특성과 위협의 수준 등을 고려한 대응이 필요합니다.
각 단계에서 중요한 역할을 수행하던 단위 기술 및 솔루션은 이제 CTEM을 향하고 있습니다. 발견(Discovery) 단계의 핵심 솔루션인 ASM, CAASM 등이 CTEM으로 발전하는 것이 대표적 입니다. CTEM은 단일 솔루션이 아닌 '범위 → 발견 → 우선순위 → 검증 → 동원'이라는 5단계 프로세스를 포괄하는 프레임워크 입니다. 따라서 기존의 개별 보안 솔루션들이 이 프레임워크의 특정 단계(특히 발견, 우선순위, 검증)를 강화하거나 통합하는 방향으로 발전하고 있는 것은 어쩌면 당연하다고 할 수 있습니다.
앞에서 언급한 IT 자산의 일반관리와 보안관리 모두 PC 및 Server 등 IT 자산의 하드웨어와 소프트웨어 등 정보를 획득하는 것으로부터 시작됩니다. 이러한 정보수집의 방법은 크게 (1) Active Scan (2) Passive Monitoring (3) API Query 의 세가지 방법으로 나눌 수 있습니다.
가장 쉬운 방법은 자산에 에이전트를 설치하는 것 입니다. 가장 빠르고 정확하게 H/W및 S/W 정보를 수집할 수 있습니다. 또는 운영체제가 제공하는 표준 기술을 활용할 수 있습니다. Windows 의 WMI(Windows Management Instrumentation)가 대표적 입니다. 이것은 Windows 관리를 위한 표준 인터페이스 이며 SQL 형태의 쿼리(WQL)를 통해 원격에서 정보를 수집할 수 있습니다. 리눅스(Linux) 환경에서는 SSH(Secure Shell)를 이용한 방법이 대표적 입니다. 암호화된 터미널 접속을 통해 원격에서 ‘dmidecode, lshw, df’ 등의 CLI 명령어를 실행하고 그 결과값을 획득 분석하여 정보를 얻을 수 있습니다. 매우 상세한 자산정보를 획득할 수 있으나 획득 과정(Scanning 등)에서 자산에 부하(Overhead)가 발생할 수 있고 원격연결을 위한 방화벽 설정 등 추가 관리업무가 발생할 수 있습니다.
이것은 네트워크의 모든 트래픽 정보를 수집 및 분석하여(DPI: Deep Packet Inspection) 자산의 정보를 획득하는 방법 입니다. 자산에 에이전트를 설치할 필요가 없고 추가적인 부하를 발생하지 않습니다. 트래픽에 포함된 HTTP User-Agent, DHCP Request, SNMP Trap 등 다양한 지문(Digital Fingerprints)을 찾아 자산의 종류 및 운영체제 그리고 제조사 등을 추론 합니다. 이러한 이유로 자산 내부의 S/W 설치목록 이나 취약점 정보 등을 획득하는데 한계가 존재 합니다. 이를 극복하기 위해 앞서 언급한 WMI 나 SSH 등의 기능을 보조적으로 활용합니다.
이것은 에이전트를 설치하거나 네트워크를 스캔하지 않습니다. 대신 이미 자산정보를 보유하고 있는 다른 솔루션과 정보를 주고 받으며 자산의 목록을 구축하고 관리하는 방법입니다. 예를 들어 기업(관)에 이미 설치되었는 AD, EDR, NGFW, ITSM 등과 API로 연결하여 각 솔루션별로 정보를 수집하고 파편화된 정보를 정제 및 통합 하여 활용하는 방식 입니다. 일체의 에이전트 설치나 네트워크 스캐닝 등이 필요 없어 가장 효과적인 방식 일 수 있습니다. 그러나 해당 솔루션이 연동을 지원해야 하며 연동 대상(솔루션)이 충분치 않는 경우 부정확한 정보가 생성될 수 있습니다.
| 구분 | Active Scan | Passive Scan | API Query |
| 핵심기술 | 에이전트 및 표준연동 등 | 패킷분석(DPI) 등 | API 연동 및 연관분석 등 |
| 장비부하 | 존재함(스캔 시 CPU 등) | 없음 | 없음 |
| 필요정보 | Credential (ID/PW) | Switch Mirror/SPAN | 연동 대상 API Key 등 |
| 장점 | 상세한 자산 정보 취득 | IoT, OT, 비표준 장비 탁월 | 빠른 구현, 사각지대 탐지 |
| 단점 | 방화벽, 계정관리 복잡 | 암호화 Traffic 대응 한계 내부 SW 확인 제한 등 |
자산정보 연동 대상에 의존 |
[표 2] 자산정보 획득 기술 비교
NAC와 ZTNA가 단독으로 CTEM 솔루션으로 발전하기는 어려울 것 입니다. 그러나 CTEM 프로세스의 양 끝단(시작과 끝)을 담당하는 매우 중요한 실행(Enforcement)지점 및 데이터 소스의 역할을 수행하며 CTEM 생태계의 핵심 구성요소로 통합될 것이라고 예상할 수 있습니다. 그 이유는 NAC/ ZTNA가 앞서 언급한 자산정보 획득 기술을 모두 사용하는 대표적인 솔루션이기 때문 입니다. 발견(Discovery) 단계의 이러한 기능은 그 자체로 활용되거나 CAASM 등의 자산 데이터 소스(Source)로 활용될 수 있습니다.
첫째, Genian NAC 고객의 90%는 에이전트를 사용하고 있으며 Windows, Linux, macOS 에 설치되어 상세한 자산정보를 수집하고 단말의 컴플라이언스 상태를 확인하여 정책에 반영합니다. 에이전트가 설치되지 않거나 설치할 수 없는 환경을 위해 별도의 센서가 제공 됩니다.
둘째, 센서(Sensor)는 네트워크 장비 또는 별도의 에이전트로 제공됩니다. 센서는 Active / Passive 스캔을 통해 네트워크에 연결되는 모든 IT 자산을 실시간으로 탐지하고 자동으로 식별합니다. 이때 정확한 식별을 위해 Genian DPI(Device Platform Intelligence)기술이 사용됩니다. Genian DPI는 특허 받은 디지털 핑거프린팅(Digital Fingerprinting) 기술로 글로벌 수준의 식별능력과 분해능(Resolution)을 제공합니다.
셋째, NAC는 가장 많은 연동 체계를 제공하는 솔루션 입니다. REST API, Syslog, Webhook 등 다양한 연동 방식을 표준 인터페이스로 제공하며 AD, NGFW, IAM, ITSM(CMDB), SSO 등 200여 솔루션과 연동됩니다. 이러한 정보의 수집과 공유는 단순한 통제의 역할을 넘어 CTEM 플랫폼에 가시성을 제공하는 역할로 발전될 수 있습니다.
마지막으로 CTEM의 마지막 단계인 동원(Mobilization) 단계에서 자동화된 통제 도구로의 역할을 수행할 수 있습니다. 앞서 식별된 자산 정보는 보안 정책과 통합되어 최종 통제 정책을 적용 받게 됩니다. 단순히 에이전트를 설치하지 않거나 오래된 운영체제를 사용하는 자산에 대해 에이전트 설치유도, 웹 리다이션, 차단, 고립 등의 통제를 하는 것은 물론이며, 만약 CTEM이 ‘이 PC는 위험해’ 라고 판단하면 ZTNA가 즉시 인증을 취소하고 애플리케이션의 접속 권한을 축소시키는 등 동적 대응(Adaptive Access)의 핵심 역할을 수행하게 됩니다.
향후 CTEM을 위한 NAC/ZTNA의 발전 모습을 상상해 본다면 BAS(Breach and Attack Simulation) 또는 VM(Vulnerability Management) 기능의 내재화 등을 고려해 볼 수 있습니다. NAC/ZTNA는 특정 단말의 운영체제(OS) 버전이 낮다는 정보는 알고 있으나 이것이 실제 공격에 이용되는지는 알 수 없습니다. 또한 시뮬레이션을 통해 비 인가 접속 및 횡적이동 등의 공격에 실제 대응이 가능한지를 지속적으로 확인해야 합니다. 이러한 피드백 루프가 있어야 진정한 지속(Continuous) 위협관리가 가능해집니다.
[그림 2] CTEM 프로세스 단계별 NAC/ZTNA 역할
당분간 NAC와 ZTNA는 CTEM 프로세스에서 실시간 자산 정보 수집(Discovery)과 자동화된 대응(Mobilization)을 위한 최고의 도구로서 역할을 수행하게 될 것 입니다. 따라서 성공적인 CTEM을 위해서는 NAC/ZTNA를 교체하는 것이 아닌 손과 발로 활용하는 아키텍처를 구성하는 것이 중요합니다.
지니언스 전략마케팅실을 담당하고 있습니다. 회사의 성장전략을 수립하고 실행합니다.