공격표면관리

CREM·공격표면관리 — 우리 조직의 진짜 공격 표면을 보는 법

📌 3줄 요약
  • 표면이 보안의 출발점이 됐습니다. SaaS 개방으로 경계가 사라지자 방어해야 할 공격 표면이 폭증했고, 보이지 않는 자산은 지킬 수 없습니다.
  • CREM·ASM은 '보고 → 재고 → 순서를 매기는' 규율입니다. 자산을 발견·가시화하고, 위험을 수치화해 우선순위를 매기며, AI로 공격 경로를 예측해 선제 차단합니다.
  • 모든 취약점을 다 막을 수는 없습니다. 그래서 가장 위험한 경로부터 끊는 것이 현실적이고, 이는 자율보안 시대가 요구하는 통제 증빙·위험 식별 소명과 직결됩니다.
이 글은 가디언넷 〈SaaS 시대의 서버보안〉 시리즈의 한 편입니다. 전체 그림은 기둥글: 망분리는 끝났다에서 확인하세요.

1. 왜 '공격 표면'이 보안의 출발점이 됐나

공격 표면(attack surface)이란 공격자가 시스템에 침투하기 위해 노릴 수 있는 모든 진입점의 총합입니다. 망분리 시대에는 이 표면이 분명했습니다. 안전한 내부망과 위험한 외부망 사이에 벽을 세우고, 그 경계선만 지키면 됐기 때문입니다. 경계가 곧 표면이었고, 표면이 곧 보안이었습니다.

SaaS가 열리면서 이 등식이 무너졌습니다. 업무 데이터가 협업툴·클라우드 콘솔·M365를 오가고, 직원 단말은 내부망과 외부 SaaS에 동시에 접속합니다. '안쪽'과 '바깥쪽'의 구분이 흐려지면서, 방어해야 할 표면 자체가 폭발적으로 늘어났습니다. 서버 한 대, 비인가 SaaS 계정 하나, 잊혀진 테스트 인스턴스 하나가 모두 잠재적 입구가 됩니다.

여기서 보안의 가장 오래된 진실이 다시 부각됩니다. 보이지 않는 자산은 지킬 수 없습니다. 표면이 넓어졌다는 것은 곧 '내가 무엇을 가졌는지조차 다 모르는' 상태가 됐다는 뜻이고, 모르는 것은 패치할 수도, 모니터링할 수도, 통제할 수도 없습니다. 그래서 시대의 질문이 "어디에 벽을 세울까"에서 "우리 표면이 도대체 어디까지인가"로 바뀝니다.

2. CREM·공격표면관리(ASM)란 무엇인가

CREM(Cyber Risk Exposure Management, 사이버 위험 노출 관리)과 공격표면관리(ASM, Attack Surface Management)는 '폭증한 표면을 어떻게 다룰 것인가'에 답하는 보안 규율입니다. 개별 취약점을 막는 점(點)의 활동이 아니라, 조직 전체의 노출을 지속적으로 보고·평가·축소하는 면(面)의 활동입니다.

작동 원리는 세 단계로 정리됩니다.

  1. 발견·가시화 — 외부에 노출된 자산, 내부 자산, 클라우드 인스턴스, 그리고 IT 부서가 모르는 Shadow IT까지 끌어모아 '우리가 가진 표면'의 전체 지도를 그립니다.
  2. 위험 수치화·우선순위화 — 발견한 각 노출에 취약점 심각도, 자산 중요도, 실제 악용 가능성을 결합해 위험을 점수로 환산하고, 어디가 가장 위험한지 순서를 매깁니다.
  3. 공격 경로 예측·선제 차단 — AI가 흩어진 노출을 연결해 "공격자가 이 입구로 들어와 저 핵심 서버까지 도달할 수 있다"는 공격 경로(attack path)를 예측하고, 그 경로의 길목을 먼저 끊습니다.

핵심은 ASM이 일회성 점검이 아니라 지속적인 관점이라는 데 있습니다. 자산은 매일 생기고 사라지며, 새 취약점은 매일 공개됩니다. 표면은 고정된 그림이 아니라 끊임없이 변하는 지형이므로, 한 번 스캔하고 끝내는 것이 아니라 계속 다시 보는 체계가 필요합니다.

3. Shadow IT — IT 부서가 모르는 표면

공격 표면 관리에서 가장 까다로운 적은 외부 공격자가 아니라 '우리가 가진 줄도 몰랐던 자산'입니다. Shadow IT(섀도 IT)는 IT·보안 부서의 인지나 승인 없이 도입·사용되는 비인가 SaaS·기기·계정을 가리킵니다. 망분리가 풀리면서 직원이 자유롭게 외부 SaaS에 가입할 수 있게 되자, 이 영역이 급격히 커졌습니다.

Shadow IT가 위험한 이유는 단순합니다.

  • 가시성 밖에 있습니다. 보안팀의 자산 목록에 없으니 패치·모니터링·접근통제 어느 것도 적용되지 않습니다.
  • 중요 데이터가 새어 나갈 수 있습니다. 승인되지 않은 협업툴·파일공유 서비스에 업무 데이터가 저장되면, 조직의 통제 밖에서 유출 위험에 노출됩니다.
  • 가장 약한 고리가 됩니다. 공격자는 가장 견고한 정문이 아니라, 아무도 보지 않는 뒷문을 찾습니다. 잊혀진 비인가 자산이 바로 그 뒷문입니다.

그래서 ASM의 첫 번째 가치는 '몰랐던 것을 보이게 만드는 것'입니다. 비인가 SaaS와 방치된 자산을 발견해 자산 목록으로 끌어들이는 순간, 비로소 통제의 대상이 됩니다. 발견되지 않은 위험은 관리되지 않는 위험입니다.

4. 위험의 '수치화'와 우선순위 — 다 막을 수 없으니

현실의 보안팀은 무한한 인력과 시간을 갖고 있지 않습니다. 자산을 다 모아 놓으면 수천, 수만 건의 취약점이 쏟아지지만, 그것을 전부 동시에 막는 것은 구조적으로 불가능합니다. 그래서 CREM의 핵심 사고는 명확합니다. 모든 취약점을 다 막을 수 없으니, 가장 위험한 경로부터 막는다.

이를 위해 위험을 '수치화'합니다. 단순히 취약점의 기술적 심각도(CVSS 점수)만 보는 것이 아니라, 그 취약점이 어떤 자산에 있는지(자산 중요도), 실제로 악용되고 있는지(위협 인텔리전스), 그리고 그 자산이 핵심 시스템으로 가는 공격 경로상에 있는지를 함께 계산합니다. 그 결과 "심각도는 높지만 고립된 자산"보다 "심각도는 중간이지만 핵심 서버로 가는 길목에 있는 자산"이 더 높은 우선순위를 받을 수 있습니다.

전통적 취약점 스캔과 CREM/ASM의 차이를 정리하면 다음과 같습니다.

구분전통적 취약점 스캔CREM·공격표면관리(ASM)
대상알고 있는 자산 위주Shadow IT 포함, 모르는 자산까지 발견
시점정기·일회성 스캔지속적·상시 모니터링
결과물취약점 목록(나열)위험 수치화 + 우선순위 + 공격 경로
판단 기준기술적 심각도(CVSS) 중심자산 중요도·악용 가능성·경로를 결합한 노출 위험
지향점취약점 '발견'공격 경로의 선제 '차단'과 노출 '축소'

요지는 우선순위입니다. 같은 자원으로도 가장 위험한 길목부터 끊으면 조직의 실제 노출은 빠르게 줄어듭니다. ASM은 "무엇을 먼저 할 것인가"라는 가장 현실적인 질문에 데이터로 답을 주는 도구입니다.

5. 자율보안 시대와의 연결 — 통제 증빙과 위험 소명

공격표면관리는 단순한 보안 기술을 넘어, 바뀐 규제 패러다임과 직접 맞닿아 있습니다. 망분리 완화 이후 보안 모델은 규칙만 지키면 되던 규제중심에서, 스스로 위험을 평가하고 통제를 설계하며 그 결과까지 책임지는 자율보안·결과책임 모델로 전환됐습니다. 이 변화의 배경은 규제 글: 망분리 완화와 SaaS 개방에서 자세히 다룹니다.

자율보안 시대에는 사고가 났을 때 "규정은 지켰다"가 더 이상 방패가 되지 않습니다. 대신 "우리가 어떤 위험을 식별했고, 어떤 통제를 설계했으며, 왜 그 판단이 합리적이었는지"를 소명해야 합니다. 바로 이 지점에서 CREM·ASM이 보안의 새로운 언어가 됩니다.

  • 위험 식별 소명 — 자산을 가시화하고 위험을 수치화한 기록 자체가 "우리는 표면을 알고 있었고, 위험을 평가했다"는 증거가 됩니다.
  • 통제 증빙 — 우선순위에 따라 어떤 경로를 먼저 차단했는지가 곧 통제 설계의 합리성을 보여주는 자료가 됩니다.
  • 지속성 입증 — 일회성이 아니라 상시 모니터링했다는 이력이, 결과책임 모델에서 요구하는 '성실한 통제'의 근거가 됩니다.

즉, 공격표면관리는 보안 효과와 규제 대응이라는 두 마리 토끼를 같은 활동으로 잡습니다. 표면을 보는 행위가 곧 위험을 줄이는 일이자, 그 노력을 증명하는 기록이 되기 때문입니다.

6. 어디서부터 시작할까 — 자산 가시성이 첫 단계

공격표면관리는 거창한 플랫폼 도입으로 시작되는 것이 아니라, 단순하지만 가장 어려운 질문에서 시작됩니다. "우리가 가진 자산이 정확히 무엇인가." 모든 후속 단계는 이 가시성 위에서만 의미를 가집니다.

  1. 자산 가시성 확보 — 외부 노출 자산, 내부 자산, 클라우드 인스턴스, Shadow IT까지 끌어모아 표면의 전체 지도를 만듭니다. 발견이 모든 것의 시작입니다.
  2. 위험 수치화·우선순위화 — 발견한 노출에 자산 중요도와 악용 가능성을 결합해 점수를 매기고, 가장 위험한 경로를 식별합니다.
  3. 선제 차단·노출 축소 — 우선순위가 높은 길목부터 통제를 적용해 공격 경로를 끊습니다. (서버 영역의 선제 차단은 기둥글이 다루는 가상패치·EDR 계층과 연결됩니다.)
  4. 지속·증빙 체계화 — 이 과정을 상시 반복하고, 식별·판단·조치의 기록을 통제 증빙으로 남깁니다.
점검 체크리스트 — ① 우리 조직의 외부 노출 자산 목록을 지금 바로 뽑을 수 있는가? ② IT 부서가 모르는 SaaS·계정(Shadow IT)을 발견하는 절차가 있는가? ③ 취약점을 '나열'만 하는가, '우선순위'까지 매기는가? ④ 핵심 서버로 가는 공격 경로를 그려본 적이 있는가? ⑤ 위험 식별과 통제 조치가 증빙으로 남는가? — 'No'가 많을수록 표면이 어둠 속에 있다는 신호입니다.

마치며 — 가디언넷의 관점

가디언넷은 공격표면관리를 '더 많은 알림을 만드는 도구'가 아니라 '판단의 우선순위를 세우는 규율'로 봅니다. 표면을 전부 막을 수 없다는 현실을 인정하는 데서 실용적인 보안이 시작되기 때문입니다. 원리는 분명합니다 — 먼저 보이게 만들고(가시성), 위험을 같은 기준으로 비교하고(수치화), 가장 위험한 경로부터 끊는 것(우선순위). 클라우드 보안과 APT 대응을 전문으로 해 온 정보보안 기업으로서, 가디언넷은 이 세 가지 원리를 우리 조직의 표면과 위험 구조에 맞게 설계하는 일을 함께합니다. 특정 제품을 파는 것이 아니라, '우리 표면이 어디까지이고 무엇부터 메워야 하는가'라는 판단을 같이 세우는 것이 목표입니다.

참고 자료

  • 가디언넷 〈SaaS 시대의 서버보안〉 시리즈 — 기둥글: 망분리는 끝났다 (자율보안·결과책임 패러다임, 계층적 방어)
  • 가디언넷 시리즈 — 규제 글: 망분리 완화와 SaaS 개방 (규제중심 → 자율보안 전환)
  • 본 글은 특정 벤더 제품에 종속되지 않는 일반 보안 원리(CREM·ASM, 자산 가시성, 위험 수치화)를 다룹니다.

더 자세한 내용이 궁금하신가요?

공격표면 진단 상담