IT자산보호 위한 ‘공격표면기술(ASM)’ 급부상

[애플경제 전윤미 기자] 현재 대부분 기업들은 인터넷 등으로 인해 외부에 노출되는 IT자산들이 많을 수 밖에 없다. 그러나 외부로부터의 침투나 오염 가능성 등을 일일이 파악, 대비한다는 것이 말처럼 쉽지않다. 이에 기업의 IT 자산의 침해 가능성을 원천 차단하기 위한 ‘공격표면관리’(attack surface management, ASM) 기술이 날로 중시되고 있다. 이는 외부에 노출된 정보자산들의 정보 유출 가능성을 수시로 점검할 수 있는 시스템이다.

금융권, 공공기관 중심 빠르게 확산

이 분야 전문가인 김휘강 고려대 교수는 “국내의 경우 ‘Criminal IP ASM’이 ASM 솔루션들을 제공하고 있다.”면서 “해외에선 구글 맨디언트, ‘Recorded Future’등의 CTI(Cyber Threat Intelligence) 기업들이 이를 공급하고 있다”고 시장 실태를 전했다. 최근 한국지능정보원을 통해 ASM 관련 연구 결과를 공개한 김 교수는 “국내 시장에 관한 정확히 통계는 없지마느 기업들의 수요가 꾸준히 늘어나고 있다”면서 “특히 최근 금융권의 자율보안체계, 즉 망 분리 개선 로드맵 이후 금융권과 공공기관을 중심으로 시장이 빠르게 성장하고 있다”고 전했다.

ASM은 날로 극심해지는 사이버범죄에 대응할 수 있는 가장 이상적인 방안으로 평가되고 있다. 흔히 기업에선 SW개발과 데이터베이스나 서버 관리 등을 망라한 데브옵스가 빠르게전파되면서 사내 IT 시스템도 외부 공격에 노출될 여지(표면)가 더욱 커지고 있다.

앞서 김 교수는 “심지어 개발자들도 긴급히 클라우드 상의 가상머신들을 신규 투입하거나, 서비스 부하가 증가하며 규모가 커질수록 시스템 현황을 자세히 파악하지 못할 수 있다”고 우려했다. 그로 인해 해커들의 침투 경로는 더욱 많아지고, 취약점이 늘어나면서 리스크가 커진다는 지적이다.

IP 어드레스 대역 내의 포트들을 모두 스캐닝

그에 따르면 ASM은 네트워크 상의 IT 자산에 어떤 공격 벡터가 침투했는가를 스캐닝하는 것에서 시작된다. 이를 통해 취약점 존재 여부를 파악하는게 중요하다.

이를 위해 현재 가장 많이 쓰이는 ASM 기술은 ‘고속 네트워크 스캐닝’ 기술이다. 이는 인터넷 상의 장비들의 안전성을 파악하기 위해 해당 IP 어드레스 대역 내의 포트들을 모두 스캐닝하는 것이다.

김 교수는 “이 과정에서 각 포트를 스캐닝할 때 각각 평균 60초(timeout까지의 기본 시간)가 소요된다”고 했다. 물론, 이 경우 응답이 없는 포트들은 건너뛰고, 대체로 외부에 노출 가능성이 높은 포트를 스캐닝하면 소요시간은 줄어든다.

이는 “기존 상태와 다른 변경(여부) 추적관리를 통해 인터넷에 연결된 장비들을 빠르게 식별해 내는 것이 핵심”이라며 “각 ASM 제품을 만든 회사마다 고유의 스캐닝 알고리즘을 보유하고 있다.”고 한다.

다음으로 ‘자산식별 기술’도 많이 쓰인다. 즉, 하드웨어, OS, DB, 애플리케이션, 소프트웨어 정보 등이 대상이다. 그 과정에서 해당 서버의 OS 정보나, 구동 중인 애플리케이션 정보를 파악하기 위한 기술이 동원된다. 대표적으로 OS Fingerprinting(OS 지문), ‘배너 grabbing’이나 ‘제품 목록별 탐지’(Product Enumeration) 등의 기술도 함께 적용된다.

또한 기존에 구동 중인 제품이나 서비스를 식별, 고유한 ID를 부여한 관리체계인 ‘CPE’(Common Platform Enumeration)도가 있다. 다만 이는 대상 소프트웨어의 소수점 단위 세부 버전까진 정확히 식별하지 못한다거나, 유사한 OS 간에는 기술적인 한계로 OS 버전이나 커널 버전 판정을 정확히 못하는 경우가 많다는 지적이다.

또한 “IPS와 같은 보안장비가 네트워크 상에 구축되어 있는 경우, 스캐닝 시도를 차단하거나 거짓 정보를 주어 탐지 오류를 유발하기도 한다”고 주의를 당부했다.

그러나 많은 기업들은 자체 보유 내지 구동 중인 모든 IT 자산의 정보를 일일이 파악하고 있는 경우가 많지 않다. 그렇다고 수작업으로 모든 자산을 실사하는 것은 불가능하다. 이에 ASM 제품 회사들은 대부분 “하드웨어, OS, 애플리케이션 데이터를 축적하고, 통신 프로토콜 분석을 통해 탐지 정확도를 높여가고 있다”는 설명이다.

탐지 위험 등급 부여, 새로운 위협 요소 포착

탐지된 위협들에 대해 위험등급을 부여하고, 기존 상태와는 달리 새롭게 포착되는 위협 요인이나 취약점은 없는지 식별할 수도 있다.

이를 위해 흔히 탐지된 취약점 정보와 매핑되는 CVE-ID를 식별한다. 그런 다음 해당 CVE의 심각도 정보를 ‘CVSS score(단계별 점수)’를 참고, 분석한다. 다만 “이들 CVE와 CVSS는 어떤 수법으로 얼마만큼 침투 가능성이 높은가를 다루는 것”이란게 한계란 지적이다. 전반적인 해킹 자취나 가능성, 이력 등은 파악하지 못한다.

이에 “ASM 솔루션에서는 어느 해킹그룹이(who) 과거 유사한 공격을 시도했던 적이 있는가(TTP), 어떤 이유로 해킹했는가(why)에 대한 CTI 정보를 추가 제공하고 있다”는 설명이다.

한편 ASM은 최근엔 ‘자율보안체계’ 등을 통해 자산과 정보의 중요성과 민감성을 통해 위협 요인을 식별하는 기법도 구사하고 있다. 즉, 조직 외부의 네트워크, 즉 인터넷이나 다크웹에 있는 해당 조직의 정보를 파악, 위험 평가를 하는 것이다. 최근엔 국내 상용 ASM 솔루션들의 경우 ‘OSINT’(Open Source Intelligence) 분석을 적용하고 있다. “이를 통해 인터넷이나 다크웹에 노출된 파일들을 검색, 정보유출 여부를 식별해 내는 것”이다.