娇色导航

수많은 보안 취약점이 등장하고 무기화되는 한편 기업의 보안 대응은 점점 더 복잡하고 어려워지고 있다.

사이버 위협은 기업의 수익에 실질적인 영향을 미칠 수 있는 요소다. 외부에 노출된 공격 표면뿐만 아니라 조직이 보유한 다양한 자산을 효과적으로 발견하고 관리하지 못한다면, 그 피해는 눈덩이처럼 불어날 수 있다. 6월 25일 娇色导航Korea, ITWorld, 한국IDC가 공동 주최한 ‘시큐리티 서밋 2025’에서 퀄리스 코리아(Qualys)의 김주형 이사는 공격 표면에 대한 가시성을 확보하고 보안 체계를 시급히 마련하는 것이 시급하다고 강조하며, “이를 위해서는 기업에 얼마나 많은 취약점이 있는지 아는 것이 급선무”라고 말했다.

기술 발전에 따라 확장되는 보안 사각지대

실제로 사이버 공격의 대상이 되는 공격 표면은 외부뿐만 아니라 OT 및 IoT, API, 오픈소스, 서드파티 서비스 등 내부 자산에서도 빠르게 확장 중이지만, 현재 많은 조직이 이런 변화에 적절히 대응하지 못하고 있다. 에 따르면 공격 표면을 100% 모니터링한다고 믿는 조직은 9%에 불과했으며, 조직의 69%가 알려지지 않은 자산을 대상으로 한 공격을 경험했다고 밝혔다.

Qualys

기업의 전체 취약점 역시 꾸준히 증가하는 추세다. 취약점을 바탕으로 한 침해 사고는 특히 기업이 지원 종료된 제품 또는 서비스(End of Life/End of Service, 이하 EOL/EOS)를 계속 사용하는 기업에서 더 많이 발생한다. 김주형 이사는 “실제 침해 사고의 대부분이 EOL/EOS에 기반한다. 시간이 지날수록 지원 종료되는 제품 또는 서비스가 늘어나지만, 이에 대한 가시성은 부족한 실정이다. 기업 내 자산에 대한 통합적인 가시성을 얻기 위해서는 사이버 자산 관리(CSAM) 도구와 외부 노출 공격표면 관리(EASM) 도구를 고려해야 한다”라고 말했다.

오픈소스 또한 취약점이 계속해서 증가하고 있다. 퀄리스에 따르면 기업에서 사용 중인 오픈소스의 약 48%가 중요한 보안 취약점에 노출되어 있으며, 개별 자산 기준으로는 평균 56개 이상의 취약점이 존재하는 것으로 나타났다. 김주형 이사는 “오픈소스는 특히 조직 내부에서 어떤 라이브러리를 어떻게, 어디에 사용하는지 정확히 파악하기 어렵기 때문에 개발 단계부터 상용 환경에 배포된 이후까지 전 주기에 걸친 관리가 필요하다. 하지만 많은 기업이 여전히 과거에 개발한 오픈소스를 현재도 그대로 사용하는 경우가 많다”라고 말했다. 더욱이 기술 스택이 온프레미스 중심의 파이썬(Python), 닷넷(.NET), 자바(Java) 등에서 클라우드 중심의 고(Go), 루비(Ruby), 러스트(Rust) 등으로 확장됨에 따라 오픈소스 보안 관리의 가시성 부족은 더 심화되고 있다.

보유 자산에 대한 기업의 가시성이 부족한 상황에서 AI를 본격적으로 도입하면 보안 위험은 한층 더 복잡해진다. 이제 AI 기술은 공격이 실행되기까지 필요한 준비 기간을 크게 단축하고 있으며, 프롬프트 인젝션과 같은 새로운 형태의 위협도 등장하고 있다. 김주형 이사는 “국내에도 실질적으로 AI를 이용한 공격이 일어나고 있으며, 보안팀이 따라가기 어려울 만큼 빠르게 발전하고 있다. 기업은 이런 구조적인 문제를 해결하기 위해 더 깊이 고민해야 한다”라고 조언했다.

Qualys

퀄리스의 통합 접근과 트루리스크 기반 보안 관리

이처럼 빠르게 진화하는 기술 환경에서 기존 보안 방식은 더 이상 효과적이지 않을 수 있다. 기존 한계를 극복하기 위해서는 실질적인 위협에 대한 우선순위를 파악하고, 발견된 취약점을 빠르게 해결하는 통합 보안 체계를 마련할 필요가 있다. 점점 더 복잡해지는 보안 환경에서, 퀄리스는 자산 탐지부터 공격 표면 분석, 취약점 식별, 우선순위 기반 조치까지 전 과정을 통합적으로 다룰 수 있는 보안 프레임워크를 제공하고 있다. 특히, 비인가 자산을 식별하고 관리할 수 있도록 기존의 액티브 스캐닝이나 패시브 센서 기반 방식을 넘어 에이전트 기반 탐지, 멀티캐스트 및 브로드캐스트 트래픽 분석 기능을 활용하고 있다.

주목할 만한 솔루션은 퀄리스 ‘트루리스크(TrueRisk)’ 플랫폼이다. 트루리스크는 취약점 탐지에 머무르지 않고, 다양한 보안 신호 속에서 실질적인 위협을 선별하고 우선순위를 부여하는 리스크 기반 취약점 관리 체계다. 이 솔루션은 CVSS 점수와 같은 전통적인 평가 기준에 의존하는 대신 실제 기업 환경의 다양한 요소를 반영해 위협의 심각도를 수치화한다.

Qualys

예를 들어, CVSS 점수로는 3.9에 불과한 취약점이 존재하더라도, 특정 해커 그룹이 이를 실제로 악용하고 있고 공격 사례가 실시간으로 포착되고 있다면, 트루리스크는 해당 취약점에 대해 95점의 위험 점수를 부여할 수 있다. 반대로 CVSS 10점과 같이 겉보기에는 매우 치명적인 취약점이더라도, 현재까지 이를 악용한 공격 사례가 존재하지 않거나 위협 인텔리전스에서 관련 정보가 확인되지 않는 경우 트루리스크는 낮은 점수를 부여해 대응 우선순위를 낮춘다. 김주형 이사는 “이와 같은 방식은 보안 자원의 불필요한 낭비를 막고, 실제 조직의 자산을 위험에 빠뜨릴 가능성이 높은 취약점에 집중할 수 있게 한다”라고 설명했다.

위험 점수를 산출하는 과정에서는 자산의 중요도 외에도 다양한 보안 항목이 고려된다. 자산이 노출된 위치와 같은 환경적 요소뿐만 아니라 구성 오류, 공격 성공률, 취약점 공격 가능성, 악성코드 연계 여부 등이 고려된다. 또한 기업이 모두 파악하기 어려운 EOL/EOS 현황도 리스크 평가 기준이 된다. 김주형 이사는 “지원 종료된 서비스로 인해 많은 공격이 발생하는 만큼 실제 취약점을 즉각적으로 볼 수 있는 체계를 지원하고 있다”라고 말했다.

Qualys

통합 보안 관리의 시작은 위협에 대한 ‘명확한 이해’

퀄리스는 공격이 어떤 방식으로 침투하고 확산되는지를 조직이 명확히 이해하고, 해당 위협의 전파 경로를 실시간으로 추적할 수 있도록 하고 있다. 이를 위해 공격 유형과 전술(tactics), 기법(techniques)을 구조적으로 분석할 수 있도록 지원하는 마이터 어택(MITRE ATT&CK) 프레임워크 기반의 위협 관리를 제공하고 있다. 이와 같은 접근이 단일 자산이나 개별 위협에 대한 대응을 넘어서, 전체 공격 표면과 자산 환경을 통합적으로 관리할 수 있는 기반을 제공한다는 설명이다. 김주형 이사는 “궁극적으로 각 비즈니스 자산의 실제 가치와 노출된 위험도를 종합적으로 고려해, 어떤 자산에 어떤 수준의 보호를 우선 적용할 것인지에 대한 전략적 판단을 내릴 수 있다”라며 “퀄리스는 온프레미스와 클라우드를 포함한 AI 기반 환경 전반에서 자산 식별, 위협 평가, 취약점 조치까지 연결되는 보안 운영 체계를 지원하고 있다”라고 설명했다.

퀄리스에 따르면 결국 복잡다변한 AI 시대의 보안은 ‘우선순위’와 ‘통합’이라는 2가지 핵심 요소에 달려있다. 무수히 많은 취약점과 보안 경고 속에서 어떤 위협이 실질적인지를 식별하고, 한정된 리소스를 어디에 집중할지를 결정하는 우선순위 중심 전략이 필요하다는 것이다. 또한 외부와 내부, 클라우드와 온프레미스, API와 LLM, 그리고 알려진 자산과 섀도우 IT까지 아우를 수 있는 ‘통합’된 관리 체계 없이는 방어는 불완전할 수밖에 없다. 김주형 이사는 “우선순위 중심 전략과 통합 보안 관리 체계를 마련해야 조직은 끊임없이 변화하는 보안 위협 환경 속에서도 핵심 자산을 효과적으로 보호하고, 효과 있는 보안 운영을 실현할 수 있다”라고 덧붙였다.
yuseong.kim@foundryco.com