최근 국내 기업을 겨냥한 해킹 사고가 연이어 발생하며, 보안에 대한 사회적 관심이 크게 높아지고 있습니다. 특히 인터넷과 연결된 접점 자산에서 비롯되는 취약점은 공격자들에게 가장 손쉬운 침투 경로로 활용되고 있죠. 클라우드와 SaaS, 협력사 시스템 등으로 IT 환경이 복잡해지면서 공격 표면은 과거보다 훨씬 넓어졌습니다.

이런 상황에서 정부는 기업의 정보보호최고책임자(CISO)를 대상으로 긴급 보안 점검에 돌입했습니다. 한국인터넷진흥원(KISA)이 공지한 이번 점검은 단기 이벤트가 아닌, 보안 체계 강화를 위한 토대를 마련하는 목적입니다. 점검 대상은 국내 CISO 지정 여부를 신고한 3만여 개의 기업으로, 주요정보통신기반시설, 정보보호관리체계(ISMS) 인증 기업 및 기타 중소기업이 대상입니다. 핵심 점검 항목은 인터넷 접점 자산 식별, 취약점 점검, 백업 체계 확인 등입니다.

‍

■ 기업을 위협하는 보안의 사각지대

출처 : freepik

‍

기업 보안팀의 큰 고민 중 하나는, 관리되지 않는 자산입니다. 외부 노출 서버, 외주 개발 환경, 협력사 계정처럼 조직 내부에서 완전히 인식하지 못한 IT 자산은 흔히 ‘Shadow IT’라고 불립니다. 이런 자산은 관리의 사각지대에 놓여 있고, 바로 그 점 때문에 공격자에게는 가장 매력적인 표적이 됩니다.

보안 인력 부족과 예산 제약 역시 문제를 악화시킬 수 있습니다. 제한된 자원으로 내부 보안 통제만 유지하는 것도 쉽지 않은 상황에서, 외부 노출 자산까지 지속적으로 관리하기는 어려운 상황인 것이죠. 그러나 이러한 방치가 실제 침해사고로 이어지는 사례는 이미 여러 차례 확인되고 있습니다. 이 지점에서 기업들에게는 보다 체계적이고 공격자 시각을 반영한 새로운 접근법이 요구됩니다.

이렇게 변화하는 보안 환경에 대응하기 위해, 국내 1위 사이버보안 기업 SK쉴더스는  ASM(Attack Surface Management)과 화이트해커 그룹 EQST(Experts, Qualified Security Team, 이큐스트)의 모의해킹 전문성을 결합한 원스톱 보안 점검 서비스를 선보였습니다.

‍

■ SK쉴더스의 해법, ASM과 EQST의 결합

출처 : freepik

‍

ASM이란, 기업에서 관리 및 운영중인 자산들을 지속적으로 식별하고 각 자산의 취약점과 위험도를 분석하는 보안 서비스입니다. 특히 기존 내부 점검 방식과 달리 공격자 관점에서 노출된 자산을 바라보므로, 조직 내부에서 인지하지 못한 자산까지 탐지할 수 있다는 점이 핵심이죠.

예를 들어 외주 개발 서버, 협력사 SaaS 계정, 테스트 서버, 파일 공유 서비스 등은 보안팀이 직접 관리하지 않는 경우가 많지만, ASM은 이를 외부 노출 지점으로 식별해 보안 사각지대를 해소할 수 있도록 지원합니다.

SK쉴더스는 최근 S2W와 전략적 파트너십을 체결해 ASM 운영 경험과 기술적 역량을 강화했습니다. 이를 통해 단순한 자산 나열에 그치지 않고, 실제 공격 표면 전체를 분석 및 관리할 수 있는 전문성을 확보하게 된 것이죠.

ASM은 외부에 노출된 자산 식별, 취약점 확인, 대응 및 개선, 심각도 기반 선조치 과정까지 아우르며, 공격자 시각에서 보이는 보안 위험을 사전에 파악할 수 있도록 돕습니다. EQST의 모의해킹은 이러한 ASM 결과를 실제 공격 시나리오로 검증합니다. 최신 취약점(CVE) 코드 활용, 유출된 계정정보 확인, 인증 우회, 웹 취약점을 통한 DB 접근 등 실제 공격자가 사용할 수 있는 방법을 그대로 적용해 검증하는 것이죠. 따라서 기업은 단순한 취약점 나열이 아닌, 구체적인 리스크 평가와 대응 전략을 확보할 수 있습니다.

‍

■ ASM과 모의해킹이 만드는 시너지

출처 : SK쉴더스 - 사이버보안 관제센터 ‘시큐디움’

‍

ASM과 EQST 모의해킹의 결합은 단순한 합 이상의 의미를 갖습니다. ASM이 폭넓은 공격 표면을 탐지하고 자산별 위험을 보여준다면, EQST 모의해킹은 그 위험이 실제 공격으로 어떻게 이어질 수 있는지를 입증하죠. 이 과정을 통해 기업은 “어디가 취약한가”라는 질문을 넘어, “공격자는 어떻게 들어올 수 있는가”라는 더 근본적인 질문에 답할 수 있습니다.

SK쉴더스의 원스톱 보안 점검 서비스는 단발성 취약점 점검을 넘어, 기업이 실제로 직면할 수 있는 리스크를 종합적으로 관리하도록 지원합니다. 이를 통해 기업은 우선순위가 높은 위협에 자원을 집중할 수 있고, 결과적으로 비즈니스 연속성과 기업 신뢰를 지킬 수 있습니다.

‍

1) 종합적 보안 점검의 흐름

ASM이 위험 자산을 탐지하고 분석하면, EQST 모의해킹을 통해 이를 실제 공격 관점에서 검증합니다. 탐지부터 대응 전략까지 하나의 흐름으로 이어지는 종합적 점검 체계를 제공합니다.

‍

2) 산업 맞춤형 보안 강화

EQST는 기업 환경과 산업 특성을 반영한 모의해킹을 수행합니다. 각 산업군에 적합한 공격 기법을 적용하여 기업별 맞춤형 점검 결과를 도출합니다.

‍

3) 비즈니스 안정성 확보

ASM과 모의해킹 결합 서비스는 취약점 점검을 넘어 기업의 보안 사각지대를 해소하고, 어떤 상황에서도 비즈니스를 안정적으로 운영할 수 있도록 지원합니다.

결국 보안 사각지대를 해소한다는 것은 단순한 시스템 보호를 넘어, 기업이 예기치 못한 위협 상황에서도 비즈니스를 안정적으로 이어갈 수 있는 기반을 다지는 과정이라고 할 수 있습니다.

‍

사이버 위협은 나날이 정교해지고, 기업의 공격 표면은 더욱 넓어지고 있습니다. 이제는 방화벽과 내부 보안 통제만으로는 충분하지 않습니다. SK쉴더스가 선보인 ASM·모의해킹 결합 보안 선제 점검 서비스는 이러한 시대적 요구에 부합하는 해법입니다.

공격자 시각에서의 종합 점검과 기업 맞춤형 대응 전략을 통해 보안의 사각지대를 해소하는 SK쉴더스의 사이버보안 솔루션과 함께 안전한 비즈니스 연속성을 구축하세요!

‍