지난 6월 3일부터 6월 5일까지 미국 워싱턴DC에서 개최된 ‘가트너 시큐리티& 리스크 매니지먼트 서밋 2024(Gartner Security & Risk Management Summit 2024)’에서 VP 애널리스트 피트 쇼어드(Pete Shoard)는 “Exposure Management: What’s It All About?”을 주제로 강연했다.
가트너는 매년 진행하는 10대 전략적 기술 동향 연구에서, 집중해야 할 2024년 10가지 주요 영역 중 하나인 CTEM(Continuous Threat Exposure Management 이하 CTEM)을 통해서, 프로세스 기반의 보안 투자를 할 경우 조직의 침해 사고를 기존 대비 3분의2로 줄일 것으로 예측했다.
이와 연계하여 피트 쇼어드는 강연에서 “가트너는 2021년 사이버 보안의 공격 표면이 확장되고 있다는 예측을 작성했고, 이에 주목해야 된다. 그리고 이제 공격 표면이 예측한 바와 같이 확장됐다.”고 내용을 공유했다. 이처럼 다양한 사이버 위협에 대한 공격 표면이 야기하고 있는 문제를 CTEM이라는 전략적 로드맵을 사용해 지속적으로 위협 및 노출 관리 방식을 택하고 투자해야 될 필요성을 강조한다.
Exposure Management(이하 EM)를 수립하거나 강화해야 되는 이유에 대해, 피트 쇼어드는 “전통적인 취약점 및 노출에 대한 고립된 관점은 취약점 스캐닝이다. 기업에서 생각하는 Vulnerability Management는 On-Prem의 주요 자산만을 대상으로 어떤 취약점이 존재하는지 탐색하고 분석하는데 그친다”며 “이 때문에 SaaS 애플리케이션과 같은 기업의 비 자산, Social Media, Code Repository와 같은 개발 자산에 의해 발생하는 격차는 고려하지 않거나 범위에 포함하지 않는다”고 설명했다.
다음 그림은 공격 표면이 광범위함을 알려줌과 동시에 기업이 집중하고 있는 전통적인 방식은 단순히 엔드포인트와 서버만을 대상으로 하고 있음을 다시한번 인지시켜준다.
또한 통계된 취약점을 기반으로 추정되는 기타 위협 노출에 대한 추정치를 보면 현행을 실감하게 된다. 문제가 어디에 있는지조차 모르기 때문에 위협 노출에 대한 통제력을 잃고 앞서 얘기한 것처럼 다양한 위협으로 부터 격차를 만들고 있다는 것이다. 이것이 우리가 EM을 수립하고 더 광범위한 영역을 모니터링해야 하는 이유다.
그렇다면 기업은 어떤 접근 방식을 통해 공개된 취약점이 아닌 “취약성”과 노출 관리를 해야 되는 것일까? 가트너는 EM이 전통적인 Vulnerability Management 방식을 대체할 것이라고 예상하고, CTEM을 통해 다음 5단계를 정의했다.
▶1단계 - Scoping(범위 지정) 위에서 언급한 내용만 보자면 굉장히 광범위한 영역을 범위로 지정해야 된다는 고민에 빠질 것이다. 그런데 부족한 인력, 도구로 모든 범위를 포함하는 것은 쉽지 않다. 따라서, Mission-critical priorities(미션 크리티컬 우선순위) 가장 중요하다고 판단되며, 가장 큰 것으로 인식되는 위험을 우선순위로 범위를 지정해야 한다.
▶2단계 - Discovery(탐색) 지정된 우선순위와 범위에 따라 취약성과 노출된 위협을 탐색한다.
▶3단계 - Prioritization(우선순위) 탐색 된 위협 안에서도 중요도에 따른 우선순위를 지정한다.
▶4단계 - Validation(유효성 검증) Breach and Attack Simulation, Penetration Test, Red Team 유효성 검증 가능한 모든 자원을 사용해 탐색 된 위협과 노출을 검증한다. 이렇게 많은 검증이 필요한 이유로 Non-Patchable을 들 수 있다. 많은 기업들이 특정 시스템은 가용성의 이유로 패치 할 수 없다는 전제가 있기 때문이다.
▶5단계 - Mobilization(인력 동원) 보안 조직, 인프라 조직, 인텔리전스 조직 등 다양한 팀 간의 의사소통을 통해 문제를 해결해야 한다. IT 및 보안 도구와 마찬가지로 조직도 사일로가 존재한다. 일방적인 조직내의 문제 해결 방법은 효과적이지 않음을 강조한다.
피트 쇼어드는 “위 단계에서 모든 것을 하나의 버킷에 넣고 문제를 발견하고, 검증하고, 조치하는 것이 아니다. 중요한 것은 기업에서 가장 큰 것으로 인식되는 위험을 범위로 지정하고 문제를 찾아 해결하면 또 다음 새 범위를 구축하고, 다시 수행하는 반복적인 사이클이다.”라고 언급했다.
‘Continuous(지속적인)’이라는 용어에서 알 수 있듯이 1~5단계를 지속할 수 있는 계획과 실행이 중요하다. 피트 쇼어드는 5단계를 설명한 다음 “문제를 발견하는데 굉장히 많은 시간을 소비하고 투자한다. 그런데 정작 문제를 수정하고 해결하기위한 실행 계획을 세우는 데는 시간이 부족하다면서 수정 및 해결 계획을 세우는 데 최대한 많은 시간을 투자하라.”고 강조했다.
가트너는 2022년에 예측 연구로 기업은 보안 관리 운영을 EM으로 확장해야 된다고 안내했고, 2023~2024년 CTEM을 탑 사이버 시큐리티 트렌드(Top Cybersecurity Trends)로 발표했다.
또한 언급된 것처럼 24년의 전략적 기술 10가지 영역에 포함시켰다. 즉, 기업이 직면하고 있는 다양한 새로운 위협에 있어 선제적 방어 자세를 취하기 위해 CTEM 프로세스에 대해 충분히 고려해야 될 필요성이 있다고 안내함과 동시에 보안 리스크를 감소시킬 수 있고, 보다 향상된 보안 운영이 가능할 것이라고 기대해본다.
[글. 권표 수석 / 파고네트웍스 MDR센터 / CPTO (Chief Product & Technology Officer)]
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
