오늘날 기업은 그 어느 때보다 디지털 자산에 더 많이 의존한다. 클라우드 사용이 늘어나고, 원격·재택근무도 지속된다. 공장 설비와 기계가 네트워크에 연결되며 관리할 포인트는 증가했다. 이로 인해 기업이 관리해야 하는 알려진 사이버 공격 표면과 알려지지 않은 공격 표면까지 확장 중이다. 악의적인 행위자가 기업 환경에 침입할 수 있는 경로는 계속 늘어난다.
집에 입구가 한 개라고 생각해보자. 보안을 위해 입구에 100개의 자물쇠를 설치하면 외부 공격자가 들어오기가 힘들다. 하지만, 집 문이 100개라면 자물쇠를 한 개씩만 설치할 수 있다. 공격자는 100개의 문 중에 가장 약한 자물쇠가 설치된 곳을 집중 공략해 침입할 수 있다.
집주인은 어떻게 해야 할까. 공격자가 침입할 수 있는 문의 수를 줄여야 한다. 바로 공격 표면을 줄이는 것이다. 그리고 남겨진 문은 지속적으로 관리해야 한다. 문의 나사가 헐거워져 떨어지지는 않는지, 자물쇠가 제대로 잠겼는지를 꾸준히 점검해야 한다. 낡은 자물쇠 역시 보안의 허점이 된다.
사이버 보안이 어려운 이유는 한 번의 노력으로 끝나지 않는 데 있다. 다양한 보안 솔루션을 설치하고 1년에 한 번 취약점을 점검하는 것만으로는 사이버 위협을 완벽히 방어할 수 없다.
글로벌 시장조사 기관 가트너는 2022년부터 끊임없는 취약점 관리 중요성을 강조했다. 가트너는 2024년 올해 주목해야 할 보안 CTEM(Continuous Threat Exposure Management)이라는 개념을 제시했다. 가트너는 2026년까지 CTEM 프로세스를 우선 도입한 조직은 그렇지 않은 조직보다 보안 침해가 3분의 1로 줄어들 것으로 전망했다.
지속적인 위협 노출 관리는 전체 디지털 공간에 보안 취약점을 체계적으로 식별, 평가, 해결하는 프로세스를 말한다. 클라우드 서비스에서 잘못된 설정부터 시작해 과도한 권한이 부여된 아이디(ID), 기타 자격 증명 기반 문제와 알려진 소프트웨어(SW) 취약점(CVE) 관리를 총괄한다.
기업이 위협 노출을 관리한다는 것은 알려진 취약점뿐만 아니라 공격자가 실제 악용할 수 있는 방법까지 관리한다는 의미다. 보안 관리자는 공격 시나리오에서 가장 중요한 노출 우선순위를 지정하고 먼저 대응해야 할 분야에 집중해야 한다. 새로운 위협을 지속적으로 모니터링하고 환경 전반의 위험을 재평가한다.
기존 취약점 관리 시스템은 주기적인 스캔과 패치 적용에 집중했다. 하지만 이러한 방식은 빠르게 변화하는 사이버 위협 환경에 대응하기엔 한계가 있다. 새로운 취약점은 매일 같이 발견되고, 공격자의 수법은 점점 더 정교해진다. 주기적인 스캔만으론 실시간으로 발생하는 위협을 모두 포착할 수 없다.
이것이 기업에서 지속적인 위협 노출 관리가 필요한 이유다. 이벤트성 표면 관리가 아닌 상시적 관리를 진행하며 실시간으로 표면의 상태를 파악할 수 있다. 전문가들이 상시적으로 침투 테스트를 진행하며 자산 표면을 모니터링한다면 공격 위험은 현저히 줄어들 수밖에 없다. 또한 실제 위협에 대처할 내부 보안 인력을 확립하고 더욱 굳건히 하기 위해 사이버 훈련도 병행한다면 금상첨화다.
지속 위협 노출관리를 위해 기업은 첫째, 조직 자산과 공격 표면을 지속 평가해 취약점을 식별하는 작업부터 시작해야 한다. 둘째, 실제 공격 시나리오를 시뮬레이션해 조직의 방어 태세를 체크한다. 셋째, 실시간으로 위협을 모니터링하고 탐지한다. 이후 식별된 위협에 신속히 대응해 피해를 최소화한다. 장기적인 보안 전략을 개발해 지속적으로 위협을 완화해야 한다.
물론 조직이 지속적인 위협을 관리하는 체계로 나아가는 건 쉬운 일이 아니다. 초기 투자 비용이 높고, 기술적으로 복잡하며 조직 내부의 문화적 변화도 필요하다. 이런 과정을 함께할 전문 파트너를 찾는 일부터 시작해야 한다.
이성권 엔키화이트햇 대표 sklee@enki.co.kr