IT 자산관리

많은 기업에서 정보보안 사고의 원인을 새로운 공격 기법에서 찾지만, 실제 발생하는 사고는 알려진 위협이거나 방치된 IT 자산으로부터 시작되는 경우가 대부분입니다.

정보보안 기업 AI스페라의 ‘크리미널 IP 2025 위협 인텐리전스 보고서’ 에 따르면 지난해 발생한 글로벌 사이버 공격이 신종 해킹 기법보다 이미 알려진 취약점과 장기간 방치된 IT 인프라를 이용하여 피해를 키웠다고 분석하고 있습니다.

그 주요 대상으로 인증 서비스, VPN 게이트웨이, 미들웨어, 웹 프레임워크 등이 지목되었습니다. 수개월에서 수년이 지나도록 패치(Patch) 되지 않은 서버, 관리되지 않고 방치된 자산(Shadow IT)으로부터 위협은 시작되고 있습니다.

자산관리(Asset Management)라는 용어는 맥락에 따라 전혀 다른 의미로 사용됩니다.

재무팀이 보는 자산, IT 운영팀이 보는 자산, 그리고 정보보안팀이 보는 자산은 그 정의와 목적이 서로 다릅니다. 일반적으로 CIO(최고정보책임자) 산하에 CISO(최고정보보호책임자)가 위치하는 경우가 많으며 자산 관리는 CIO, 보안 관리는 CISO의 역할로 인지되었습니다.

성공적인 거버넌스를 위해서는 자산관리와 리스크 방어 간의 차이를 명확히 이해하고 각 영역이 어떻게 상호보완적으로 작용해야 하는지를 정확히 이해해야 합니다.

가장 중요한 점은 ‘적시성(Timeliness)’입니다. 이제 얼마나 빠르고 정확하게 현재의 상황을 파악하고 있는지가 중요해지고 있습니다.

그러나 전통적인 자산관리 솔루션은 IT 서비스 제공 및 자산 수명 주기를 관리하는 것이 주 목적이며 핵심은 CMDB (Configuration Management Database)의 관리입니다.

CMDB는 주로 수동 입력이나 주기적 업데이트에 의존하므로 실시간 정보가 아닌 과거의 상태라고 볼 수 있습니다. 또한 에이전트를 설치할 수 없는 IoT 기기나 운영팀 모르게 생성된 클라우드 인스턴스(Instance) 등을 탐지하는 데 한계가 있습니다. 

사이버 위협이 고도화 됨에 따라 보안 담당자들은 경영진, 이사회 등 이해관계자에게 사이버 위협의 가능성과 개선 사항을 명확하게 전달해야 하는 압력을 더 많이 받고 있습니다. 그러나 기존의 취약점 및 위험 관리 접근 방식은 보안과 비즈니스를 전략적으로 논의하는데 필요한 가시성과 맥락을 제공하지 못하는 경우가 많습니다.

이제 취약점 관리와 같은 기술적 접근뿐 아니라 기술적 개선에 비즈니스 관점을 접목하는 접근이 필요합니다. 비즈니스 임원과 사이버 보안 책임자 간의 소통 격차를 해소하여 우선순위 불일치를 방지하고 비즈니스 관점에 부합하는 사이버 보안 대화를 촉진할 필요가 있습니다.

* ITA(S)M: IT Asset(Service) Management
** ASM: Attack Surface Management
** CAASM: Cyber Asset Attack Surface Management
*** CTEM: Continuous Threat Exposure Management