보안

블로그ㅣ기업들이 직면할 수 있는 ‘공격 표면’ 과제 5가지

Jon Oltsik | CSO 2022.09.23
공격 표면이 커지고 복잡해지면서 보안과 소프트웨어 개발 간 격차가 확대되고, 취약점이 증가하며, 보안 조사가 느려지고 있다. 

ESG(Enterprise Strategy Group)의 최신 보고서에 따르면, 2년 전보다 보안 운영이 더 어려워졌다고 답한 기업이 절반 이상(52%)에 달했다. 그 이유로는 진화하는 위험과 위협 환경(41%), 커지는 공격 표면(38%), 경고 볼륨과 복잡성(37%), 퍼블릭 클라우드 서비스 사용 증가(34%)가 꼽혔다. 

여기서 주목해야 할 것은 바로 증가하는 공격 표면이다. 모자이크 브라우저(웹 브라우저의 시조)를 사용하기 시작한 이후로 공격 표면은 꾸준하게 증가해왔지만 지난 몇 년 동안은 더욱더 그랬다. 
 
ⓒ Getty Images Bank

아마존, 코로나19 사태 또는 디지털 트랜스포메이션 등으로 인해 기업들은 IT 시스템을 서드파티에 연결하고, 원격근무자를 지원하며, 클라우드 네이티브 애플리케이션을 개발하고, 기록적인 수의 SaaS 서비스를 사용하고 있다. 일반적으로 기업들은 인터넷과 연결된 수만 개의 자산을 쓴다. 

점점 더 커지는 공격 표면이 오래된 보안 운영 관행을 위협하고 있다. 그렇다면 실제로 어떤 영향을 미치고 있을까? ESG는 보안 전문가 376명에게 이 질문을 던졌다. 보안 전문가들이 말한 문제는 다음과 같다. 
 
  • 개발자와 더 긴밀한 관계가 필요하다. 이는 기업들이 더 많은 클라우드 네이티브 애플리케이션을 개발하고 새 기능을 프로덕션 애플리케이션에 지속적으로 푸시하면서 나타난 소프트웨어 개발과 보안 간의 격차를 의미한다. 서버리스 기능을 사용하고 있는가? 안전하지 않은 API에 연결하겠는가? 오픈 S3 버킷에 민감한 데이터를 남겨두겠는가? 많은 경우, 보안팀은 이러한 질문의 답을 모른다. 보안/개발자 간극을 메우는 것은 모든 CISO에게 최우선 순위가 돼야 한다. 
  • 현 도구 및 프로세스의 재평가로 이어진다. 이는 보안 운영팀을 계속 괴롭히는 또 다른 문제다. 기업은 기존 도구(자산 관리 시스템, 취약점 스캐너, 로그 관리, CSPM 등)를 사용하여 공격 표면 발견 및 관리를 시작하는 경향이 있다. 그리고 머지않아 이질적인 시스템에서 데이터를 수집하는 데 엄청난 시간이 걸릴 수 있다는 사실을 깨닫게 된다.실제로 기업의 43%가 전체 공격 표면 관리 인벤토리를 수행하는 데 80시간 이상이 걸린다고 말했다. 여러 시스템에서 데이터를 가져오기 때문에 누군가는 이를 온전한 상태로 확인해야 하고, 당연히 오버헤드와 인적 오류가 발생하기 마련이다. 그 결과? 기업의 69%는 알 수 없거나, 관리되지 않거나, 잘못 관리되는 공격 표면 자산으로 사이버 사고를 당했다고 답했다. 
  • 취약점의 양과 패치 주기를 늘린다. 이는 간단한 수학이다. 자산이 증가하면 취약점 또한 증가하고, 이에 따라 패치 적용 주기를 늘리는 것이다. 하지만 이렇게 할 수 있는 프로세스와 리소스가 충분한 기업이 있는 반면, 대부분은 그렇지 않다.  
  • 보안 조사 및 대응 속도가 둔화된다. 보안 애널리스트가 필요한 모든 데이터에 액세스하지 못하고, 결국 서로 다른 데이터 소스에 걸쳐 데이터를 추적하게 될 수 있다. 이로 인해 애널리스트가 문제를 파악하는 시간이 지연돼 (위에서 언급한) 보안 사고의 빈도가 증가할 수 있다. 또 보안 및 IT팀이 일부 시스템을 수정하더라도 비정형 공격 환경에서 전체 공격 범위를 놓치기 때문에 사고 대응 조치가 불완전할 수 있다. 
  • 결과적으로 가시성 격차가 발생한다. 점점 커지는 공격 표면은 (보안 애널리스트에게 끔찍한 악몽인) 가시성의 사각지대로 이어진다. 측정할 수 없다면 관리할 수 없다. 

CISO가 이러한 문제의 심각성을 인식하면서 기업의 공격 표면 관리에 대한 관심이 높아졌다. 보안 업계도 M&A를 통해 대응에 나섰다.

다크트레이스(DarkTrace)는 사이버스프린트(Cybersprint)를, IBM은 랜도리(Randori)를, 맨디언트(Mandiant)는 인트리그(Intrigue)를, 마이크로소프트는 리스크IQ(RiskIQ)를, 팔로알토 네트웍스(Palo Alto Networks)는 익스팬스 네트웍스(Expanse Networks)를, 테너블(Tenable)은 비트디스커버리(BitDiscovery)를 인수했다. 이뿐만 아니다. 사이코그니토(CyCognito), 사이버피온(Cyberpion), 업가드(Upguard) 등의 스타트업과 비트사이트(BitSight), 보안 스코어가드(Security Scorecard) 등 서드파티 위험 관리 벤더도 이 분야에서 활약하고 있다. 

5년 전만 해도 ‘공격 표면 관리’를 이야기하는 기업이 거의 없었지만, 시대가 바뀌었고 이제는 엔터프라이즈 보안 요구사항이 됐다. 그렇다. 위험을 무릅쓰고 싶지 않다면 공격 표면 관리를 주목하라. 

*Jon Oltsik는 ESG의 수석 애널리스트다.
ciokr@idg.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.