"쥐도새도 모르게 뚫린다" 정부 '공격표면관리(ASM)' 강조하던데…그게 뭐야

등록 2025.09.22 14:57:56수정 2025.10.23 16:14:40

사이버 해커 침입 경로를 아예 없앤다…新 보안 전략으로 '공격표관리(ASM)' 부상

정부도 ASM 대응 강화…"보안 사각 지대 막는다"

기업들도 속속 제품 출시…ASM 시장 주도 경쟁 시작

[그래픽=뉴시스] 재판매 및 DB금지. infonews@newsis.com

[그래픽=뉴시스] 재판매 및 DB금지. [email protected]

[서울=뉴시스]송혜리 기자 = "침해 정황은 포렌식으로 찾을 수 있습니다. 하지만 해커가 어떤 통로로 들어왔는지는 쉽지 않죠."

한 보안 전문가는 최근 일어난 대형 해킹 사고를 두고 이렇게 말했다. 실제로 SK텔레콤과 KT 모두 침해 사고를 겪었지만 구체적인 침입 경로는 여전히 확인되지 않고 있다. 포렌식 분석으로 일부 흔적은 파악됐지만 최초 공격 지점을 특정하는 데에는 한계가 있다는 것이 보안업계의 공통된 진단이다.

이처럼 인공지능(AI), 사물인터넷(IoT), 클라우드 기술의 확산과 함께 기업이 보유한 IT 자산이 다양해지면서 해커가 침투할 수 있는 '보안의 틈새', 이른바 '공격 표면(Attack Surface)'도 기하급수적으로 늘어나고 있다.

단순한 침투 흔적을 넘어 침입 경로 자체를 파악하기 어려운 상황이 반복되면서 정부와 기업 모두 '공격 표면 관리(ASM, Attack Surface Management)'에 주목하고 있다.

공격 표면 식별부터 탐지·차단까지…정부도 ASM 본격 적용

공격 표면 관리는 외부 공격자가 접근할 수 있는 모든 시스템 노출 지점을 사전에 식별하고 관리하는 보안 전략이다.

기업의 IT 인프라는 서버, 클라우드, 네트워크 장비, 소프트웨어, 웹 애플리케이션 등 다양한 자산으로 구성돼 있는데, 이 가운데 외부에 노출된 영역이 곧 '공격 표면'이 된다. 공격 표면 관리는 이처럼 잠재적인 침입 경로를 빠짐없이 찾아내고 이 중 취약하거나 위험 요소가 있는 지점을 분석·보완하는 방식으로 작동한다.

최근 잇단 해킹 사고를 계기로 보안 대응의 초점이 '사후 조치'에서 '사전 예방'으로 옮겨지면서 정부도 공격 표면 관리 체계 적용에 나섰다.

개인정보보호위원회는 이달 초 발표한 '개인정보 안전관리 체계 강화 방안'을 통해 주요 개인정보처리시스템을 대상으로 외부에 노출된 취약점을 제거하고 이상징후를 탐지하는 등 공격 표면 관리를 강화한다고 밝혔다.

이를 위해 ▲주요 개인정보처리시스템을 대상으로 연 1회 이상 모의해킹을 실시하고 ▲정보통신망 관리 시스템 등에 대한 취약점 점검과 보완을 제도화할 방침이다. 그동안은 내부 관리 계획에 따라 기업이 점검 대상과 범위를 자율적으로 정했지만 앞으로는 이를 의무화해 관리 수준을 높일 계획이다.

아울러 대규모 개인정보처리시스템을 중심으로 자동화된 방식의 이상징후 탐지 활동을 강화하고, 다양한 침해 유형에 대응할 수 있도록 이상징후의 구체적 유형과 대응 방법을 정리한 안내서를 발간할 계획이다.

금융보안원 보안관제를 통해 확보한 침해 시도 데이터를 기반으로 금융사에 공격 표면 관리 서비스를 제공 중이며 올해는 이를 한층 고도화할 계획이다.

금보원은 특히 ▲취약점 정보 및 사고 데이터의 통합 분석 ▲IT 자산 자동 식별 및 탐지 ▲클라우드·제3자 서비스 영역까지 분석 범위를 확장함으로써 확장된 금융 IT 자산 환경에서도 위협에 선제 대응할 수 있는 기반을 마련한다. 이를 통해 기업이 인지하지 못한 숨겨진 IT 자산에 대한 보안 권고를 적시에 제공함으로써 침해사고 발생 가능성을 낮출 수 있다는 설명이다.

민간도 본격 가세…ASM 시장 개화에 보안업계 '속도'

국내 보안기업들도 공격 표면 관리 기반 제품과 서비스를 속속 출시하며 시장 선점에 나서고 있다.

AI스페라는 국내에 가장 먼저 공격 표면 관리 서비스를 시작했다. AI스페라는 '크리미널 IP'를 통해 전 세계 43억개 IP 주소를 실시간 모니터링하며 기업의 IT 자산과 연결된 서버·포트·취약점 등을 지도 형태로 시각화한다.

SK쉴더스는 '탑서트' 침해대응 조직의 경험을 기반으로 공격 표면 관리 서비스를 제공하며 실제 사고 현장에서 확보한 침해사고 지표(IoC)와 해킹 기법을 분석해 기업 환경에 최적화된 대응 체계를 마련한다.

이글루코퍼레이션은 보안관제에 특화된 '아이스퀘어 액시스 ASM'을 출시하고, 공격 표면 관리-보안관제 통합 생태계 확장을 선언했다.

엔키화이트햇은 공격 표면 관리와 서비스형 모의해킹(PTaaS)을 통합한 구독형 플랫폼 '오펜 v1.0'을 선보였다. 보안 실무자가 자산 탐지부터 점검, 검증까지 한 번에 처리할 수 있도록 구성한 '올인원 오펜시브 보안' 플랫폼이다.

◎공감언론 뉴시스 [email protected]