IBM이 2022년 인수한 공격 표면 관리(Attack Surface Management, ASM) 선도 기업 란도리(Randori)의 공동창업자이자 대표이사(CEO)인 브라이언 해저드(Brian Hazzard)는 서울 여의도 국제금융센터(IFC) 한국IBM 오피스에서 열린 기자간담회를 통해 “증가하는 사이버 보안 위협에서는 해커와 같은 공격자의 관점에서 취약점을 파악하고 선제적으로 대응하는 것이 필수”라고 강조했다.

오늘날 IT 환경이 지속적으로 확장되는 상황에서 사이버 보안 위협은 더욱 빠르고 위협적으로 증가하고 있다. 기업의 클라우드 전환, 쉐도우 IT, M&A 등과 같은 급격한 변화로 인해 기업이 인지하지 못한 외부 자산이 공격 표면이 되어 해커의 위협과 공격의 대상이 될 수도 있는 것이다. 이에 '공격자'처럼 사고하고 사각지대에 대한 가시성을 확보, 가장 큰 위험을 초래하는 공격의 우선순위를 정하는 것이 그 어느 때보다 중요해지고 있다.

공격 표면이란 인터넷을 통해 접속 가능한 하드웨어, 소프트웨어, 서비스형 소프트웨어(SaaS)와 클라우드 자산으로 정보를 활용하고 저장하는 곳을 의미하며, 공격자에 의해서도 확인될 수 있는 지점을 말한다. 내부 자산이나 외부 자산, 제3자의 자산, 인력 같은 모든 것이 사실상 ‘공격 표면’에 해당하는 것이다. 특히 외부 자산 중 공격자에 의해 확인되고 공격이 가능한 지점, 그리고 이 지점을 발판으로 내부 환경으로의 공격에 활용될 수 있는 자산이 중요한 공격 표면이 된다. 

글로벌 리서치 기업 엔터프라이즈 스트래티지 그룹(ESG)에서 조사한 바에 의하면, 76%의 기업에서 발생하는 침해는 인지하지 못한 자산에서 일어난다.  또, 73%의 기업은 아직까지 엑셀을 통해서 기업의 공격 표면을 관리하고 있고, 공격 표면에 대해 완전히 파악하는 데까지 약 80시간 이상이 소요되는 것으로 나타났다.  

이와 같은 환경에서 ASM 기술이 점차 각광받고 있다. 세계적인 리서치 기업인 가트너(Gartner)에서 2022년 최고정보보호책임자(CISO)의 1순위 보안 및 리스크 관리 우선 과제로 ASM을 선정한 바도 있다. IBM은 ASM을 선도하고 있는 란도리(Randori)를 2022년 6월 인수해 사이버보안 솔루션 라인업을 지속적으로 확장하고 있다. 

IBM의 란도리 플랫폼은 란도리 레콘(Randori Recon)과 란도리 어택(Randori Attack)으로 나뉜다. 란도리 레콘은 ASM을 하나의 통합된 플랫폼으로 제공하여 지속적이고 적극적으로 진정한 공격 표면 관리 경험을 제공한다. 별도의 설치 또는 구성없이 공격 표면을 탐지할 수 있고 공격자의 관점에서 외부 공격 표면을 지속적으로 모니터링할 수 있다.

란도리 어택은 공격 표면에 대한 검증 작업을 지원하며, 검증 과정에서 공격 가능성을 분석하고 적용된 보안 시스템이 위협에 잘 대응하는지를 확인한다. 또한 보안 프로그램들의 문제 확인을 위해 실제 공격들을 자동화함으로써 보안관리자들에게 공격 계획 및 실행에 대한 해커 논리(hacker logic) 인사이트를 제공한다.

해저드 CEO는 “기업 네트워크에서 공격 가능한 자산의 1/3은 관리되지 않거나 알려지지 않아 공격자에게 쉬운 표적이 되고 의도하지 않은 데이터 노출의 위험이 있다. 기업이 인수를 통해 빠르게 확장하고 클라우드 및 원격 근무를 통해 내부 시스템을 외부에서 액세스할 수 있게 되면서 이러한 문제는 더욱 커지고 있다. 기업들은 사이버 보안 위험 완화를 위해 공격 표면에 대한 365일 24시간 지속적 관리를 통해 예상치 못한 문제를 발견하고 이를 해결함으로써, 공격자보다 한 발 앞서 대응할 수 있어야 한다”라고 말했다.

국내에서는 대표적으로 3대 통신사 중 한 곳에서 란도리 레콘을 선제적으로 도입해 공격 표면을 보다 본격적으로 관리할 예정이다. 해당 통신사는 클라우드 사용이 증가하면서 레거시, 사물인터넷(IoT), 클라우드 등에서 공격 표면을 관리하고 잠재적 공격 가능성을 파악하여 사이버 위험을 완화하는 것이 목표였다. IBM은 란도리 레콘을 통해 고위험 대상과 자산을 발견, 우선 순위를 정했으며 공격적 관점의 IT 자산 관리를 실시간으로 지원하고 있다.