✅ 제목: 왜 지금 공격표면관리(ASM)가 필수 보안 요소일까요?

최근 AI, 클라우드, 사물인터넷(IoT) 등의 기술 확산으로 기업이 보유한 IT 인프라 자산이 다양해짐에 따라, 해커가 침투할 수 있는 공격표면(Attack Surface) 역시 빠르게 확장되고 있습니다. 자산이 어디에 방치되어 있는지조차 파악하기 힘든 지금, 단순히 보안 규정을 준수하는 것만으로 우리 회사는 안전하다고 확신할 수 있을까요? S2W는 이 물음에 대해 공격표면관리(ASM), CART(Continuous Automated Red Teaming) 그리고 모의해킹을 통한 입체적 관리가 필수적이라고 답합니다.

1. 단순 보안 인증을 넘어, 실질적인 보안 점검의 필요성

정보보호 관리체계(ISMS)와 같은 보안 인증이 곧 완벽한 보안을 의미할까요? 양종헌 S2W 오펜시브연구팀장은 그 차이를 미슐랭 3스타 식당에 비유합니다. 음식의 맛을 인정받았다고 해서 그 주방의 위생까지 지속적으로 보장되는 것은 아니듯, 보안 관리 인증 역시 시스템의 규정 준수를 증명할 뿐 실제 침입 대응과는 별개라는 지적입니다. 서류상으로는 정돈돼 보이더라도, 설정 변경이나 기능 추가가 잦은 운영 환경에서는 언제든 새로운 빈틈이 생길 수 있기 때문입니다.

2. 진화하는 공격 패턴, 보안 전략도 바뀌어야 한다

우리가 실전 점검에 집중해야 하는 또 다른 이유는 공격 트렌드의 변화에 있습니다. 과거에는 취약점이 공개되면 악성코드를 대량으로 살포해 걸리는 대상을 무작위로 노리는 방식이 일반적이었습니다. 그러나 최근 공격자들은 노하우를 축적하며 기업의 규모, 협상 여력, 외부에 노출된 정보까지 분석한 뒤 수익성이 높은 대상을 선별해 타겟팅하는 흐름으로 움직이고 있습니다.

이러한 변화 속에서 기업의 보안 전략에도 변화가 필요합니다. 보안 인증을 받았는가라는 질문에서 벗어나, 공격자가 우리 조직을 노린다면 어디로 먼저 침투할 것인가를 고민해야 합니다. 공격자의 시선 그대로 외부에 노출된 자산을 식별하고 관리하는 것, 이것이 공격표면관리(ASM) 솔루션 도입의 출발점입니다.

3. ASM과 다크웹의 결합: 단순 노출을 넘어 실제 악용 가능성 탐지

📌 실질적인 보안 점검, 어디서부터 시작해야 할까요?

이 지점에서 QUAXAR ASM의 강점이 드러납니다. 가장 큰 차별점은 외부에 노출된 자산을 단순히 나열하는 데 그치지 않고, 이를 다크웹과 히든 채널 정보와 연결해 해석한다는 점입니다.

퀘이사 ASM은 디지털 리스크 보호(DRP) 모듈과 결합해 보다 입체적인 분석을 제공합니다. 세계 최초 다크웹 특화 언어모델(DarkBERT)을 기반으로 다크웹이나 텔레그램과 같은 히든 채널의 데이터를 손쉽게 수집하고 분석할 수 있기 때문입니다. 이렇게 확인된 유출 계정 정보를 자산 정보와 교차 분석함으로써, 노출된 자산이 실제 공격 시나리오에서 어떤 방식으로 악용될 수 있는지를 파악합니다.

여기에 위협 인텔리전스 센터 TALON의 노하우가 더해져, 공격자 동향과 공격 그룹의 전술(TTP)을 기반으로 무엇을 먼저 점검해야 하는지에 대한 우선순위를 제시합니다.

이때 활용되는 것이 탈론 스코어(TALON SCORE)입니다. 기존의 EPSS(Exploit Prediction Scoring System)나 CVSS(Common Vulnerability Scoring System) 같은 단순 지표는 자산의 비즈니스적 중요도나 운영 환경 같은 조직 고유의 맥락을 반영하지 못했습니다. 반면 탈론 스코어는 실제 악용 사례, 공격 코드 존재 여부 등을 종합적으로 반영해 기업 환경에 최적화된 위험도 정보를 제공합니다.

4. AI 어시스턴트: 인간의 빈틈을 채우는 3가지 방식

방대한 자산과 위협 정보를 사람이 일일이 분석하는 것은 한계가 있습니다. S2W는 이 간극을 메우기 위해 AI 기술을 고도화했으며, 이를 모의해킹 업무에 적용하는 방식은 크게 세 갈래로 나뉩니다.

첫째, 대상 자산과 노출 지점을 더 넓게 점검합니다. 사람이 일일이 찾기 힘든 외부에 열린 포트와 서비스 정보를 정리하고, 공개된 취약점이 실제로 우리 자산 어디에 닿아있는지 빠르게 매칭해 먼저 점검해야 할 지점을 좁혀줍니다.

둘째, 전문가가 놓칠 수 있는 요소를 재확인합니다. 사람은 경험이 쌓일수록 판단이 빨라지지만, 반복 업무에서는 작은 누락이 생길 수 있습니다. AI는 이러한 실수의 빈틈을 찾아내어 점검의 완결성을 높여줍니다.

셋째, 보고서 작성과 대응 계획 수립을 자동화합니다. 단순히 취약점이 발견되었다는 사실만 나열하는 것이 아니라, AI가 데이터를 폭넓게 분석하여 지금 바로 가능한 조치와 우선순위가 담긴 구체적인 계획까지 제안합니다. 이는 보안 담당자가 현황 파악에 시간을 쏟는 대신, AI가 제안한 대응책을 검토하고 의사결정을 내리는 데 집중할 수 있도록 돕습니다.

5. CART: 간헐적인 검사로는 부족할 때. 수시로 확인하는 반복 검증

이러한 자동화 흐름의 정점에 있는 핵심 요소가 바로 CART(Continuous Automated Red Teaming)입니다. 모의해킹이 1년에 한두 번 받는 정밀 건강검진이라면, CART는 매일 아침 체크하는 건강 상태 확인과 같습니다. 물론 모의해킹을 통해 효율적으로 공격자의 입장에서 조직의 보안을 점검할 수 있습니다. 하지만 수시로 모든 시스템을 전수 검사하기에는 물리적인 한계가 있습니다.

CART는 한 번의 점검으로 끝내지 않고 반복 가능한 공격 검증을 짧은 주기로 계속 돌려, 이 서버가 이 취약점으로 실제 침해될 수 있는지를 지속해서 확인하는 장치입니다. 시스템 설정은 수시로 바뀌고 새로운 취약점은 매일 쏟아지기 때문에, 어제 안전했던 문도 오늘은 열려있을 수 있습니다. CART는 이 간극을 메워줍니다.

앞으로의 보안 전략에서 공격표면관리(ASM) 솔루션을 비롯한 CTI 도구는 공격자의 시선에서 조직 전체를 조망하고, 방어의 우선순위를 결정하는 지휘부 역할을 맡게 될 것입니다. 여기에 CART는 반복 가능한 공격 검증을 짧은 주기로 점검합니다. 또한 필요에 따라 모의해킹을 적절한 시점에 투입함으로써, 자동화 도구로는 발견하기 어려운 허점을 전문가가 심층 분석해야 합니다. 이러한 구조를 통해 조직은 변화하는 위협 환경 속에서도 일회성 점검이 아닌, 상시적으로 방어 태세를 유지하는 보안 체계를 구축할 수 있습니다.