많은 조직들은 보안 프레임워크가 아무리 강력하게 구축돼 있더라도, 무단 변조나 액세스로부터 보호하기 위해 모니터링하고 최소화해야 하는 노출된 공격 표면(Attack surface)을 갖고 있다.
NIST(National Institute of Standards and Technology, 미국 상무부 국립표준기술연구소)는 공격 표면을 ‘공격자가 시스템, 시스템 요소 또는 환경에 진입하거나, 영향을 미치거나, 데이터를 추출할 수 있는 시스템, 시스템 요소 또는 환경의 경계에 있는 점들의 집합’이라고 정의하고 있다. 이를 좀 더 명확하게 설명하자면, ‘공격 표면은 물리적, 혹은 디지털 기반으로 구성된, 조직이 공격에 취약할 수 있는 모든 영역’을 의미한다.
예를 들어 물리적 공격 표면에는 온프레미스(내부구축형) 데이터센터, 데스크톱 컴퓨터 또는 개방형 사무실 시설 등의 물리적인 환경이 포함될 수 있다. 또한 휴대폰이나 노트북PC, USB 드라이브 또는 스마트 홈 장치와 같이 공격자가 물리적으로 액세스할 수 있는 엔드포인트 장치일 수도 있다.
반면 디지털 공격 표면(또는 사이버 공격 표면)은 인터넷에서 액세스할 수 있는 모든 것이 포함된다. 여기에는 서버, 운영체제, 데이터베이스, 웹사이트, 포트, PaaS(Platform as a Service) 또는 IaaS(Infrastructure as a Service) 클라우드 서비스, SaaS(Software as a Service) 애플리케이션과 애플리케이션 코드 등의 디지털 자산이 포함된다.
물리적 공격 표면에 비해, 디지털 공격 표면이 갖는 주요 차이점은 디지털 공격 표면이 동적이며 종종 네트워크 또는 시스템의 구성에 따라 유동적으로 변경될 수 있다는 점이다. 디지털 방식으로 연결되는 장치의 종류와 수, 사용되는 클라우드 서비스와 범위, 배포되는 SaaS 애플리케이션 등 유동적인 환경을 지원하기 위한 다양한 요소들이 모두 디지털 공격 표면에 해당되기 때문이다.
특히 직원들이 원격으로 업무를 진행하면서 커뮤니케이션 소프트웨어나 CRM(Customer Relationship Management)과 같은 미션 크리티컬한 비즈니스 애플리케이션이 SaaS 방식으로 전환되면서 유동적인 디지털 공격 표면을 형성하고 있다.
조직마다 공격 표면이 다르기 때문에 공격 표면 분석을 수행해 취약할 수 있는 부분과 인프라의 어떤 측면에 더 나은 보호가 필요한지 정확히 이해하는 것이 가장 중요하다.
공격 표면 분석이 중요한 이유
공격 표면을 분석함으로써, 물리적 혹은 디지털 공격 표면을 모두 고려한 시스템, 시스템 요소 또는 환경에서 잠재적으로 악용 가능한 취약성과 보안 격차를 평가할 수 있다.
하지만 이 분석이 왜 그렇게 중요할까? 모든 기업의 비즈니스 목표는 공격 대상을 가능한 최소화해 공격 가능성을 제한하는 것이다. 잠재적 취약성을 모두 식별하지 않는 한 이 취약성을 평가, 우선 순위 지정, 해결할 수 없으며, 문제 해결 없이는 이런 취약성이 초래하는 전체 공격 표면을 줄일 수 있는 방법이 없다.
자동화된 공격 표면 관리 필요
공격 노출 범위(영역)에 대한 목록 작성은 신뢰할 수 있고 포괄적인 자산 인벤토리에서 시작해야 한다. 인벤토리는 최신 상태이고 정확해야 하며 모든 장치, 사용자, 클라우드 인스턴스와 SaaS 애플리케이션을 포함해야 한다. 이를 통해 기본적으로 평가와 분석, 비교를 위한 정확한 정보 기준을 제공할 수 있다.
그러나 포괄적인 IT 자산 인벤토리(IT asset inventory)를 만들고 유지 관리한다는 것은 쉽지 않은 일이다. 특히 기존 방식으로 인벤토리 구축을 한다는 것은 많은 시간과 인력, 노력이 필요하며, 그럼에도 불구하고 단편적이며, 최신 상태를 유지할 수 없을 뿐 아니라, 현재와 같은 디지털 공격 표면에서 이뤄지고 있는 유동적인 환경 변화에 대응해 최신 상태를 유지한다는 것은 불가능하다.
따라서 공격 표면 영역을 정의할 때 데이터 수집과 상관 관계를 자동화하고, 부담스러운 인력 리소스 투입을 최소화하며, 실시간 결과를 위해 지속적으로 실행할 수 있도록, 사이버 보안 자산 관리 플랫폼을 활용할 수 있는지 확인할 필요가 있다.
자산을 완전히 식별하는 신뢰할 수 있는 수단이 없으면 잠재적인 취약성의 중요성과 영향, 그리고 이를 악용하는 데 사용될 수 있는 공격 벡터를 평가하는 것이 불가능하기 때문이다.
공격 표면을 줄이는 방법
공격 표면을 줄이기 위해서는 무엇보다 가능한 빨리 공격 표면을 감지해야 한다. 그리고 이를 통해 분석을 완료하고 자산 인벤토리를 생성하고 공격 표면을 정의해야 한다. 그런 다음 조직의 보안 태세에 대한 정확한 이해가 필요하다.
이를 위해서는 다음과 같은 3단계 확인 과정을 거쳐야 한다.
① 공격 표면 영역의 식별
포괄적인 공격 표면 가시성 확보는 현재 공격 표면의 상태를 이해하기 위해 가장 먼저 해야 할 작업이자 기준이다. 포괄성(Comprehensiveness)은 여러 장치 검색 도구와 여러 데이터 집합 간의 상관 관계 결과를 확인할 수 있는 중요한 기준이다.
② 보안 범위의 격차 발견 및 알려진 취약점 추적
보안 범위 격차는 모든 조직을 괴롭히고 있는 문제다. 누락되거나 오작동하는 엔드포인트 보호 에이전트, 잘못 구성된 SaaS 애플리케이션 또는 누락된 취약성 스캐너는 공격 표면을 위험에 빠뜨린다.
CVE(Common Vulnerabilities and Exposures)와 같은 알려진 취약성은 취약점이 있는 위치를 명시적으로 식별할 수 있게 해 준다. 보안 격차와 알려진 취약성을 환경의 자산에 매핑하고 이들 간의 관계를 이해하면 우선순위를 알려주는 심층적인 컨텍스트(상관관계 분석 정보)를 확인할 수 있다.
보안 허점과 취약점을 상황에 맞게 완전히 이해해야만 IT와 보안, 위험 팀이 잠재적인 공격 벡터를 식별하고 우선 순위를 지정하고 해결할 수 있는 강력한 통찰력을 얻을 수 있다.
③ 지속적인 보안 격차 경감과 제어 범위 최적화로 공격 표면 최소화
IT 인프라 환경은 점점 더 복잡해지고 있다. 장치, 사용자, 원격 작업 환경, 하이브리드 인프라와 CVE의 양이 증가함에 따라 공격 표면 관리를 수동으로 수행하는 것은 이제 거의 불가능에 가깝다.
프로세스를 자동화하면 IT와 보안 담당자가 리소스에 더 집중하고 규정 준수나 조사 시간을 단축하며 취약성 관리를 최적화해 수동 설정에서는 달성할 수 없는 더 높은 수준의 IT 보안을 유지할 수 있다.
공격 표면을 줄이는 것은 일회성으로 진행될 수 있는 프로세스가 아니며 자산 가시성과 보안 제어 범위를 지속적으로 확인해야 한다. 그러나 공격 표면을 줄이기 위한 확인과 검증 프로세스를 자동화해, 점점 복잡해지고 있는 IT 환경에서도 공격 표면을 최소화할 수 있으며, 이를 통해 각종 보안 위협으로부터 비즈니스를 보호하고 체계적으로 관리하는 것이 가능해진다.
(*이 칼럼은 GTT KOREA의 편집 방향과 다를 수 있습니다.)