ASM과 ‘동전의 양면’, CTEM 기술

[애플경제 전윤미 기자] 공격표면기술(ASM)을 완벽히 구사하기 위한 또 다른 기술이 CTEM(Continuous Threat Exposure Management, 지속적인 위협노출관리)이다. 이는 가트너가 지난 ‘2024 10대 전략 기술 트렌드’의 하위 방법론으로 제시하면서 특히 눈길을 끌었다.

원론적 개념으로 CTEM은 사이버 보안 측면에서 기업의 디지털·물리적 자산의 접근성이나, 노출, 악용 가능성을 지속적이고 일관되게 평가하는 체계적인 접근 방식이다. CTEM은 인프라 구성 요소가 아닌 위협 벡터, 비즈니스 프로젝트에 맞춰 평가나 수정 범위를 조정하면 취약성 뿐만 아니라 패치 불가한 위협들도 드러난다. 이와 관련, 가트너는 “2026년까지 CTEM 프로그램을 기반으로 보안 투자에 주력하는 기업은 사이버 침해 사고를 최대 3분의 2까지 줄일 수 있을 것”으로 예측했다.

이에 관한 연구보고서를 최근 정보통신기획평가원을 통해 공개한 김휘강 고려대 교수는 또 “ASM을 효율적으로 관리하기 위한 세부 방법론이 CTEM이라 볼 수 있으며, 보안회사들에 따라 ASM 솔루션을 CTEM 솔루션이라고도 부르고 있다.”고 전했다.

CTEM, 5단계 프로세스로 구성

앞서 가트너는 ‘10대 전략기술 동향’의 3개 축의 하나로서 ‘Protect Your Investment’ 관련 기술과 함께 사이버보안과 관련된 기술인 ‘AI Trust, Risk, and Security Management’(AI TRiSM, AI신뢰, 리스크, 보안관리), 그리고 ‘Continuous Threat Exposure Management’(CTEM) 등 두 가지 기술을 제시했다.

여기서 CTEM은 다시 ‘Scoping’(자산 식별), ‘Discovery’(취약점 발견), ‘Prioritization’(대응 순위), ‘Validation’(취약점 평가), ‘Mobilization’(대응) 등 5단계의 프로세스로 구성되어 있다.

구체적으로 보면 ‘Scoping’은 분석과 함께 보호대상 인프라와 정보자산을 식별하는 과정이다. 이를 통해 가치가 높은 자산들을 식별할 수 있다.

‘Discovery’는 식별한 관리 대상 자산들에 대해 위험, 취약점, 위협을 발견해내는 것이다. 또 ‘Prioritization’은 위협 요인을 식별한 후, 다시 해당 위협 요인들이 자산 가치에 얼마나 악영향을 끼치고, 그 위협의 정도가 어느 정도인지를 기반으로 대응 우선순위를 결정하는 것이다.

‘Validation’은 실제로 발견된 취약점이 사이버공격을 수행할 수 있을 것인지를 판별하는 것이다. 우선은 식별된 위협 요인이 실제로 취약한지를 확인하는 단계다. 이 과정에서 ‘Attack Graph’와 같은 시뮬레이션 도구를 사용할 수도 있고, 추가적인 모의해킹이나, 취약점 진단을 수행할 수도 있다.

‘Mobilzation’은 실제 위협에 대응하기 위해 자원을 투입하는 단계다. 즉, 패치를 설치하거나, 코드를 수정하고, 접근제어를 관리하는 등의 작업이 이뤄질 수 있다.

이같은 5단계 프로세스로 구성된 CTEM에 의해 다시 IT 자산이 가지고 있는 취약점을 식별하고, 업무 영향도(business impact)가 높은 고가치 자산들이나, 심각도가 높은 위험도에 대해 우선 대응을 할 수 있도록 선별하는 작업을 할 수 있다. “이는 기업의 인적 자원과 예산이 제한되어 있기 때문에 필요한 단계”라는 설명이다.

그 과정에서 자원의 제한으로 인해 실제 대응(Mobilization) 과정에서 제외되었던 자산들은 다음 사이클에서 해결하는 방식을 구사한다. 즉 지속적인 개선(continuous improvement)을 통해 조직의 위험관리를 수행해 나가는 것이다.

AI 도입과 함께 넓은 관점에서 위협·위험관리

앞서 가트너가 제시한 기술 트렌드의 3개 축의 하나인 ‘Protect Your Investment’도 이런 하위개념들을 포괄하는 것이다. 즉, “모든 자산은 가치(value)를 가지고 있고, 지속적인 위험관리를 통해 자산들의 가치를 지켜나간다는 관점에서 기존의 위험관리를 고도화 하기 위해 ‘AI TRiSM’과 CTEM을 제시했다고 해석할 수 있다”는 것이다.

특히 ‘AI TRiSM’에서처럼 AI 기술을 도입, 적극적으로 활용할 수도 있다. 이런 경우, AI 시스템은 모델, 애플리케이션, 에이전트로 구성된다. 이들은 그러나 내부 민감 데이터를 학습에 무단으로 사용하게 되는 위험이 있다. 또 데이터가 편향되어 잘못된 학습결과를 만들어 낼 위험이나, AI 시스템이 편견을 갖게 될 위험 등의 문제점들이 있을 수 있다.

가트너는 “이를 탐지하고 예방하기 위해 콘텐츠에 대한 이상징후 탐지(content anomaly detection), 데이터 보호(data protection), 애플리케이션 보안(application security)을 요소기술로 갖추어야 한다”면서 “서비스 제공자들은 ‘설명력과 투명성’, ‘모델 관리’, ‘적대적 공격에 대한 저항력’을 가진 AI 시스템을 제공할 수 있어야 한다.”고 주문했다.

‘AI TRiSM’은 이처럼 기업이나 조직에서 AI를 도입할 때 고려해야 할 기술들에 대해 세부적인 사항들을 다루고 있다. 이에 비해 CTEM은 보다 넓은 관점에서 위협 및 위험관리의 나아갈 방향을 제시한 것이다. CTEM은 기업의 정보자산들에 대해 외부에 노출되어 있는지 여부를 확인한다. 외부에 노출된 자산들이 어떤 취약점들을 가지고 있으며, 이로 인해 발생 가능한 위험을 식별하고, 지속적인 관리를 통해 경감시켜 나가는 프로세스라 할 수 있다.

가트너는 “CTEM이 효과적으로 동작하기 위해서는 최신의 위협정보를 신뢰도 있게 확보할 수 있는 파이프라인이 있어야 한다”고 강조하며 “이를 위해 사이버 위협정보(cyber threat intelligence)를 외부 기관 및 전문 기업으로부터 제공받거나 내부에 위협 헌팅(threat hunting)을 전담하는 부서를 두어 능동적으로 확보할 수 있어야 한다”고 주문했다.