단독 주택이나 다세대 주택의 경우 자산을 지키기 위해 시스템 경비 서비스를 많이들 이용합니다. 전문 업체에 맡기면 누군가 침입을 하기 위해 강제로 문을 연다거나, 창문을 깨고 들어오려 하면 경보가 울리고 출동 요원이 현장으로 출발을 합니다. 듣기만 해도 마음이 든든합니다. 사이버 보안에서 취약점 관리는 주택 보유자가 시스템 경비 서비스로 자산을 지키는 것과 다를 바 없습니다. 다만 취약점 관리만으로는 뭔가 아쉬움이 남습니다. 위험을 완전히 제거했다고 확신하기 어렵습니다. 그렇다면 추가적으로 무엇이 더 필요할까요? 바로 노출 관리(Exposure Management)입니다. 노출 관리는 조직이나 개인이 정보, 시스템, 네트워크 같은 IT 자산에 대한 보안 위험을 줄이기 위해 취약점을 관리하고, 위험을 평가하고, 보안 정책 및 프로세스를 개선하는 등 전체적인 보안 수준을 높이기 위한 일련의 활동을 말합니다.

노출 관리를 적용하면 조직의 보안 수준을 한 단계 더 높을 수 있습니다. 주택 경비에 비유해 보자면 일반적인 시스템 경비를 이용하는 것을 넘어 지속적인 순찰 서비스를 통해 안전을 강화하는 것과 같습니다. 노출 관리 서비스를 이용하면 사이버 범죄에 대한 심층적인 인텔리전스를 갖춘 보안 회사가 조직의 사이버 환경을 순찰하며 비정상적인 활동을 모니터링하여 위협을 감지하고 대응하는 능력이 높아집니다.

사이버 영역에서 노출 관리는 취약성 뿐만 아니라 공격 가능성과 침해의 잠재적인 영향을 최소화하기 위한 총체적인 접근 방식을 취합니다. 또한, 보안 제어를 구현하고 보안 모범 사례를 바탕으로 보안 운영 인력의 역량을 높이기 위한 교육 수행도 노출 관리 활동에 포함됩니다. 맨디언트의 팟캐스트 에피소드 중 '노출 관리'를 다룬 이야기를 글로 정리해 보았습니다.

노출 관리의 진화! 사전 예방적인 접근 방식...

구글 클라우드의 식구가 된 맨디언트(Mandiant)는 모든 조직이 사이버 위협으로부터 위험을 능동적으로 관리할 수 있도록 하는 것을 목표로 삼고 있습니다. 이 같은 목표를 달성하기 위한 노력의 일환으로 'Mandiant Proactive Exposure Management'라는 새로운 서비스(이하 맨디언트 노출 관리 서비스)를 제공합니다. 이 서비스는 공격 가능한 노출을 지속해서 줄일 수 있도록 돕는 제품 및 서비스로 구성됩니다. 조직의 모든 자산, 디지털 위험 및 보안 태세를 평가하여 대응 우선순위와 위험 완화 전략을 지속해서 평가할 수 있는 도구, 서비스, 프로세스로 구성된 포괄적인 솔루션이라 보면 됩니다.

노출은 취약점 보다 더 넓은 개념이라 할 수 있습니다. 노출은 클라우드의 잘못된 구성, 피싱 이메일 클릭 같은 사람의 실수 등 기업을 위험에 빠지게 할 수 있는 모든 것을 뜻합니다. 노출 관리에 대한 사전 예방적 접근은 4단계를 밟아 나아갑니다.

• 무엇이 노출되었는지 파악
• 누가 표적이 되었는지 파악
• 공격에 대응할 준비가 되어 있는지 파악
• 현재 공격을 받고 있는지 파악

자산 평가 - 무엇이 노출되었는지 파악하기

존재 여부를 모르는 대상은 보호할 수 없습니다. 노출 관리의 첫 단계는 조직에 속한 모든 자산에 대한 가시성을 확보하는 것입니다. 여기서 말하는 가시성은 단순히 자산의 존재 여부를 아는 것을 뜻하지 않습니다. 비즈니스 가치가 높은 핵심 자산이 무엇인지 식별하고, 공격자가 어떤 자산을 악용할 수 있는지에 대한 통찰력까지 담긴 가시성을 말합니다. 이런 수준의 가시성을 확보하려면 다음과 같은 기능이 필요합니다.

• 지속적인 자산 발견, 분류 및 중요도 평가
• 취약점, 잘못된 구성 및 노출 열거

공격 표면과 노출에 대한 가시성 확보라는 목표는 외부 공격 표면 관리(EASM), 사이버 자산 공격 표면 관리(CAASM), 클라우드 보안 태세 관리(CSPM) 같은 기술과 지속적인 레드팀 또는 모의 침투 테스트를 통해 달성할 수 있습니다.

누가 조직을 표적으로 삼고 있는지 파악하기

두 번째 단계는 조직을 표적으로 삼는 공격자와 이들이 어떻게 공격을 이어가는지에 대한 방식을 이해하는 것입니다. 맨디언트가 최근 발표한 위협 인텔리전스 관련 보고서에 따르면 응답자의 79%가 공격자에 대한 통찰력 없이 의사결정을 내린다고 답했습니다. 이는 정보가 아니라 감에 의지해 판단하는 것과 다를 바 없습니다.

우선순위 지정 및 리소스 할당에 대한 인텔리전스 기반 의사결정이 가능하려면 다음과 같은 질문에 답할 수 있어야 합니다.

• 우리 조직 또는 동종 업계를 표적으로 삼는 위협 행위자는 누구인가?
• 보안 제어 및 팀이 방어할 수 있어야 하는 상위 5~10개의 전술, 기술, 절차(TTP)는 무엇인가?
• 위협 인텔리전스를 통해 탐지 및 대응에 필요한 정보를 팀에 제공하고 있는가?

공격에 대응할 준비가 되어 있는지 파악하기

가정용 보안 시스템에 대한 신뢰를 구축하는 데 있어 중요한 요소 중 하나는 보안 시스템이 제대로 기능하고 있는지 확인하는 정기 점검입니다. 보안 제어도 마찬가지입니다.

공격 표면의 범위와 집중해야 할 위협을 파악한 다음 조직은 보안 제어와 운영 효율성을 지속해서 테스트하고 검증해야 합니다. 테스트는 공격자가 실제로 사용하는 TTP를 적용해야 합니다. 더불어 자동 및 수동 공격 에뮬레이션이 모두 포함되어야 합니다.

현재 공격받고 있는지 파악하기

가정용 보안 시스템을 설치한 경우 이웃집 아이가 실수로 야구공을 던져 창문을 깨는 등 이벤트가 발생하면 집주인은 실시간으로 알람을 받습니다. 노출 관리도 비슷합니다.

보안 팀은 진행 중인 위협 활동에 대한 실시간에 가까운 알림을 받을 수 있고 관련해 사고 대응 준비를 위한 수단을 마련할 수 있습니다. 이게 가능한 이유는? 맨디언트 노출 관리 서비스를 이용하면 침해 지표를 보안 이벤트에 매핑하여 진행 중인 공격을 식별할 수 있고, 신뢰할 수 있는 전문가와 협력해 위협에 대비할 수 있기 때문입니다.

결론

조직은 맨디언트 노출 관리 서비스로 확장되는 공격 표면을 지속해서 살펴보고 잠재적으로 비즈니스에 끼칠 수 있는 영향 평가는 보안 인시던트 발생 가능성을 기반으로 해결 활동이 우선순위를 정하는 프로세스를 결합할 수 있습니다. 이를 통해 사후약방문 방식이 아니라 사이버 보안에 대한 사전 예방적 접근을 할 수 있습니다. 맨디언트는 노출 관리 전략 수립부터 관리 방법을 발전시키는 과정까지 조직과 긴밀히 협력을 합니다.