ASM(Attack Surface Management)은 조직의 공격 표면을 구성하는 사이버 보안 취약성과 잠재적 공격 벡터를 지속적으로 발견, 분석, 해결 및 모니터링하는 활동을 말합니다.

다른 사이버 보안 분야와는 다르게, ASM은 방어자의 관점이 아니라 전적으로 해커의 관점에서 수행됩니다. ASM은 표적을 식별하고 악의적 공격자에게 주어진 기회를 바탕으로 리스크를 평가합니다. ASM은 해커가 사용하는 방법과 리소스 중 많은 부분을 똑같이 사용하며, ASM 작업과 기술은 사이버 범죄자의 행동을 잘 알고 이들의 행동을 재연하는 데 능숙한 '윤리적 해커'가 만들어 내고 이를 수행합니다.

비교적 최근의 ASM 기술인 외부 공격 표면 관리(external attack surface management, EASM)는 ASM과 같은 의미로 사용되기도 합니다. 그러나 EASM은 조직의 외부 또는 인터넷 대면 IT 자산(조직의 디지털 공격 표면이라고도 불림)의 취약성과 리스크에 특히 집중합니다. ASM은 악의적 내부자 또는 부적절한 최종 사용자에게 피싱 사기 예방 교육을 진행하는 등 조직의 물리적, 소셜 엔지니어링 공격 표면의 취약성도 해결합니다.

COVID-19 팬데믹으로 가속화된 클라우드 도입, 디지털 혁신, 원격 근무 확장으로 인해 새로운 자산이 회사의 네트워크에 매일 연결되면서 평균적인 회사의 디지털 발자국과 공격 표면이 더 커지고, 더 분산되며, 더 역동적으로 변했습니다.

Randori의 State of Attack Surface Management 2022(ibm.com 외부 링크) 보고서에 따르면, 조직 중 67%는 지난 12개월간 공격 표면이 확장되었으며, 69%는 지난 1년 동안 알 수 없는 또는 부적절하게 관리되는 인터넷 연결 자산으로 인해 손해를 입은 것으로 나타났습니다. (Randori는 IBM Corp.의 자회사임) Gartner(ibm.com 외부 링크)의 산업 분석가들은 공격 표면 확장을 2022년 CISO의 1순위 보안 및 리스크 관리 우선 과제로 꼽았습니다.

기업 네트워크가 더 안정적이었고 중앙 집중식으로 관리되었던 과거에 개발된 기존의 자산 검색, 리스크 평가, 취약성 관리 프로세스는 오늘날의 네트워크에서 발생하는 새로운 취약성과 공격 벡터의 속도를 따라잡을 수 없습니다. 예를 들어, 침투 테스트는 알려진 자산에서 의심되는 취약성을 테스트할 수 있지만, 보안 팀이 매일 발생하는 새로운 사이버 리스크와 취약성을 식별하는 데는 도움이 되지 않습니다.

그러나 ASM은 지속적 워크플로우를 따르고 해커의 관점을 견지하므로 보안 팀과 보안 운영 센터(SOC)는 끊임없이 증가하고 형태가 변하는 공격 표면에 맞서 사전 예방적 보안 태세를 유지할 수 있습니다. ASM 솔루션은 취약성과 공격 벡터가 등장할 경우 이에 관한 실시간 가시성을 제공합니다. ASM 솔루션은 취약성을 분석하고 우선 순위를 지정할 때 배경 정보를 얻기 위해 기존의 리스크 평가 및 취약성 관리 툴과 프로세스에서 얻은 정보를 활용할 수 있습니다. 그리고 위협을 더 효과적으로 완화하고 전사적으로 위협 대응 속도를 높이기 위해 보안 정보 및 이벤트 관리(SIEM), 엔드포인트 감지 및 대응(EDR) 또는 확장 감지 및 대응(XDR)과 같은 위협 감지 및 대응 기술을 통합할 수 있습니다.

ASM은 자산 발견, 분류 및 우선 순위 지정, 문제 해결, 모니터링이라는 네 가지 핵심 프로세스로 구성됩니다. 다시 말하지만, 디지털 공격 표면의 크기와 형태가 끊임없이 변하므로 프로세스는 지속적으로 실행되며 ASM 솔루션은 가능한 경우 언제든지 이러한 프로세스를 자동화합니다. ASM의 목표는 보안 팀이 항상 노출된 자산을 완벽하게 파악하고 이에 관한 최신 목록을 유지하도록 지원하며, 조직에 가장 큰 리스크를 제기하는 취약성과 위협에 대한 대응 속도를 높이는 것입니다.

자산 검색

자산 검색은 조직을 공격하려고 시도하는 해커 또는 사이버 범죄자에게 진입 지점 역할을 수행할 수 있는 인터넷에 연결된 하드웨어, 소프트웨어, 클라우드 자산을 지속적으로 자동 검색하고 식별합니다. 이러한 자산의 예는 다음과 같습니다.

• 알려진 자산—라우터, 서버, 회사 지급 또는 개인 소유 디바이스(PC, 노트북, 모바일 디바이스), IoT 디바이스, 사용자 디렉토리, 온프레미스 또는 클라우드에 배치된 애플리케이션, 웹 사이트, 독점적 데이터베이스 등 조직이 알고 있으며 적극적으로 관리 중인 모든 IT 인프라와 리소스.
  
  
• 알려지지 않은 자산—IT 또는 보안 팀 모르게 네트워크 리소스를 사용 중인 '목록에 없는' 자산. 공식적인 관리 승인 및/또는 감독을 받지 않은 상태에서 네트워크에 배포된 하드웨어 또는 소프트웨어를 의미하는 섀도우 IT는 가장 흔한 유형의 알려지지 않은 자산입니다. 사용자의 컴퓨터에 다운로드된 무료 글꼴, 조직의 네트워크를 사용하는 개인적 웹사이트 또는 클라우드 애플리케이션, 회사 정보에 액세스하는 데 사용되지만 관리되지 않는 개인용 모바일 디바이스는 모두 섀도우 IT의 예입니다. 더 이상 사용되지 않고 적절하게 폐기되지 않은 오래된 소프트웨어, 웹사이트, 디바이스를 의미하는 고아 IT(orphaned IT) 또한 또 다른 흔한 유형의 알려지지 않은 자산입니다.
  
  
• 써드파티 또는 공급업체 자산—조직이 소유하고 있지는 않지만 조직의 IT 인프라 또는 디지털 공급망의 일부를 구성하는 자산. 이러한 자산의 예로는 SaaS(Software-as-a-Service) 애플리케이션, API, 퍼블릭 클라우드 자산 또는 조직의 웹 사이트 내에서 사용되는 타사 서비스 등이 있습니다.
  
  
• 자회사 자산—조직의 자회사 네트워크에 속해 있는 알려진 자산, 알려지지 않은 자산 또는 써드파티 자산. 인수 또는 합병 후에 모회사의 IT 및 보안 팀은 이러한 자산에 즉시 관심을 기울이지 못할 수 있습니다.
  
  
• 악의적 자산 또는 악성 자산—회사를 표적으로 삼기 위해 위협 행위자가 만들었거나 훔친 자산. 이러한 자산의 예로는 회사 브랜드를 흉내 내는 피싱 웹사이트나 데이터 유출을 통해 도난당한 후 다크 웹에 공유되는 민감한 데이터 등이 있습니다.

분류, 분석 및 우선 순위 지정

자산이 식별된 후 분류 및 분석을 통해 취약성을 결정하고 '공격 가능성'에 따라 우선 순위를 지정합니다. '공격 가능성'은 해커가 조직을 표적으로 삼을 가능성을 측정하는 객관적 기준입니다.

그 다음, ID, IP 주소, 소유권, IT 인프라 내 다른 자산과의 연결을 기준으로 자산 목록을 작성합니다. 분석을 통해 가능한 노출과 이러한 노출의 원인(예: 구성 오류, 코딩 오류, 패치 누락), 해커가 이러한 노출을 통해 수행할 수 있는 공격 유형(예: 민감한 데이터 도난, 랜섬웨어 또는 기타 멀웨어 확산)을 확인합니다. 

그 다음, 문제 해결을 위해 취약성의 우선 순위를 정합니다. 우선 순위 지정은 리스크 평가 활동입니다. 일반적으로 각 취약성에는 다음 항목을 기준으로 보안 등급 또는 리스크 점수가 부여됩니다.

• 분류 및 분석 중에 수집된 정보
  
  
• 위협 인텔리전스 피드(독점 및 오픈 소스), 보안 평가 서비스, 다크 웹 그리고 해커에게 취약성이 얼마나 가시적인지, 악용하기가 얼마나 쉬운지, 어떻게 악용되었는지 등과 관련된 다른 소스의 데이터
  
  
• 조직의 자체적 취약성 관리 및 보안 리스크 평가 활동의 결과. 레드 팀 구성이라고 불리는 이러한 활동 중 하나는 해커의 관점에서 침투 테스트를 수행하는 것입니다. (이러한 침투 테스트는 사내 또는 타사의 윤리적 해커가 수행하는 경우가 많습니다.) 레드 팀 구성원은 알려진 취약성 또는 의심되는 취약성을 테스트하는 대신 해커가 악용할 수 있는 모든 자산을 테스트합니다.

문제 해결

일반적으로 우선 순위에 따라 취약성 문제를 해결합니다. 이 활동에는 다음과 같은 작업이 수반됩니다.

• 문제가 되는 자산에 적절한 보안 조치 적용(예: 소프트웨어 또는 운영 체제 패치 적용, 애플리케이션 코드 디버깅, 더 강력한 데이터 암호화 수행).
  
  
• 이전에 알려지지 않은 자산 통제(이전에 관리되지 않던 IT에 보안 표준 설정, 고아 IT(orphaned IT)를 안전하게 폐기, 악성 자산 제거, 자회사 자산을 조직의 사이버 보안 전략, 정책, 워크플로우에 통합 등).

또한 문제 해결에는 최소 권한 액세스 또는 다단계 인증(MFA) 실행 등 취약성 해결을 위한 더 광범위한 자산 간 조치도 포함될 수 있습니다.

모니터링

공격 표면의 보안 리스크는 새로운 자산이 배포되거나 기존 자산이 새로운 방식으로 배포되면 언제든 변경되므로 목록으로 파악된 네트워크의 자산과 네트워크 자체 모두 지속적으로 모니터링하고 취약성이 있는지 검색합니다. 지속적 모니터링을 통해 ASM은 새로운 취약성과 공격 벡터를 실시간으로 감지 및 평가하고, 보안 팀에게 즉시 관심을 가져야 하는 새로운 취약성을 알려줍니다.