[디지털데일리 이종현기자] 기업들은 매년 막대한 양의 금액을 정보보호를 위해 투자하고 있다. 국내에서 가장 정보보호에 많은 금액을 투자하는 삼성전자의 경우 2022년 기준 2434억원을 활용했다. 그러나 이런 노력에도 불구하고 보안사고는 발생하고 있다. ‘보안에 100%는 없다’는 말이 나오는 배경이다.

기업‧기관이 자신의 핵심 자산을 지키기 위해 이중‧삼중의 보안장치를 마련하고 해커는 그 빈틈을 노리는 싸움의 반복에서 새로운 방법론, 기술이 부각되고 있다. 공격표면관리(Attack Surface Management, 이하 ASM)도 그중 하나다. 공격자 관점에서 시스템에 어떤 빈틈이 있는지 살피고, 이를 바탕으로 ‘약한 고리’를 보강하도록 하는 것이 기술의 기본 골자다.

18일 IBM은 서울 영등포구 국제금융센터(IFC)에 위치한 사무실에서 2022년 인수한 ASM 기업 란도리(Randori)를 알리는 기자간담회를 개최했다. 란도리의 공동창업자이자 최고경영자(CEO)인 브라이언 해저드(Brian Hazzard)가 한국을 찾아 최근 정보보호 트렌드 및 자사가 보유한 기술과 공격표면을 관리해야 하는 이유 등에 대해 소개했다.

공격 표면은 인터넷을 통해 접속 가능한 하드웨어, 소프트웨어(SW), 서비스형 소프트웨어(SaaS)와 클라우드 자산으로 정보를 활용하고 저장하는 곳 중 공격자에 의해서도 확인될 수 있는 지점을 말한다. 내부 자산이나 외부 자산, 제3자의 자산, 인력 같은 모든 것이 사실상 공격 표면에 해당한다.

특히 외부 자산 중 공격자에 의해 확인되고 공격이 가능한 지점, 그리고 이 지점을 발판으로 내부 환경으로의 공격에 활용될 수 있는 자산이 중요한 공격 표면이 된다.

해저드 CEO는 “란도리는 고객이 자신에게 어떤 정보보호 리스크가 있는지를 파악할 수 있도록 하는 것에 집중하고 있다. 위협이 증가하는 가운데 해커와 같은 공격자의 관점에서 취약점을 파악하고 선제적으로 대응하는 것은 필수”라고 강조했다.

그는 오늘날 기업들의 정보기술(IT) 환경에 대한 위협은 계속해서 늘어나고 있다고 지적했다. 온프레미스 시스템을 클라우드로 전환하는 과정에서, 또 코로나19 이후 늘어난 원격근무가 늘어나면서, 기업을 인수합병(M&A)하는 과정에서 ‘공격표면’이 새롭게 생겨난다는 지적이다.

해저드 CEO는 “방어자 입장에서는 환경이 너무 역동적으로 변해 보호하기가 쉽지 않다. 무엇을 보호해야할지도 매번 파악해야 하는데, 76%의 기업은 알 수 없거나 관리하지 못하고 있는 자산으로 인해 침해사고를 겪고 있다는 조사도 나왔다. 기업들이 공격을 막기 위해 보안에 대한 투자를 늘리고 있지만 침해사고로 인한 비용은 급속도로 늘고 있는 중”이라고 말했다.

란도리는 이에 대한 해답으로 ASM 플랫폼을 제시하고 있다. 공격표면을 관리하는 레콘(Recon)과 자동화된 레드팀 역할을 하는 어택(Attack) 등으로 구성됐다. 해저드 CEO는 기업들이 숨겨진 IT 자산 파악 및 M&A 리스크 관리, 위험 기반 우선순위 지정, 빠른 사고대응, 보안 프로그램 점검 등을 위해 란도리를 사용 중이라고 말했다.

국내에서는 대형 이동통신사가 란도리를 채택해 보안을 강화하는 중이라고도 전했다. 해당 통신사는 클라우드 사용이 증가하면서 레거시, 사물인터넷(IoT), 클라우드 등에서 공격 표면을 관리하고 잠재적 공격 가능성을 파악하여 사이버 위험을 완화하는 것이 목표였다. IBM은 란도리 레콘을 통해 고위험 대상과 자산을 발견, 우선 순위를 정했으며 공격적 관점의 IT 자산 관리를 실시간으로 지원하고 있다.

란도리는 2022년 IBM에 인수됐다. 현재 란도리의 ASM 플랫폼은 IBM의 확장된 탐지 및 대응(XDR) 플랫폼인 ‘큐레이더 XDR’의 ASM 기능으로 제공되는 중이다. 다만 란도리 제품을 단독 사용하거나 애플리케이션프로그래밍인터페이스(API)를 통해 다른 벤더 솔루션과 함께 사용하는 것 등에는 문제가 없다는 것이 IBM과 란도리의 설명이다.

해저드 CEO는 “기업들은 사이버 보안 위험 완화를 위해 공격 표면에 대한 365일 24시간 지속적 관리를 통해 예상치 못한 문제를 발견하고 이를 해결함으로써, 공격자보다 한 발 앞서 대응할 수 있어야 한다”라고 말했다.