연례 전략적 기술 트렌드 상위 10개 분야를 연구하는 가트너(Gartner)는 2024년 집중해야 할 10가지 핵심 영역 중 하나인 지속적인 위협 노출 관리(CTEM, Continuous Threat Exposure Management)를 통한 프로세스 기반 보안 투자로 인해 조직 침입이 3분의 2까지 감소할 것이라고 예측했습니다.

이와 관련하여 피트 슈아르드(Pete Shouard)는 강연에서 "가트너는 2021년에 사이버 보안의 공격 표면이 확대될 것이라는 예측을 했으며, 이는 주목해야 할 부분입니다. 그리고 이제 예상대로 공격 표면이 확장되었습니다."라고 공유했습니다.

이는 다양한 사이버 위협이 초래하는 문제를 해결하기 위해 CTEM이라는 전략적 로드맵을 활용하여 지속적으로 위협 및 노출 관리 방법을 선택하고 투자할 필요성을 강조합니다.

노출 관리(EM) 구축 및 강화 필요성

피트 슈아르드는 노출 관리(EM)의 구축 또는 강화를 해야 하는 이유에 대해 다음과 같이 설명했습니다.

"기존의 고립된 취약점 및 노출 관점에서는 취약점 스캐닝만을 고려합니다. 기업들이 생각하는 취약점 관리(Vulnerability Management)는 온프레미스(On-Prem) 주요 자산을 탐색하고 해당 취약점이 무엇인지 분석하는 것에 국한됩니다."

"이로 인해 SaaS 애플리케이션, 소셜 미디어, 코드 저장소(Code Repository)와 같은 개발 자산과 같은 기업의 비(非) 자산에서 발생하는 보안 격차가 고려되지 않거나 포함되지 않는 문제가 발생합니다."

다음 그림은 공격 표면이 광범위하다는 것을 보여주며, 동시에 전통적인 방식으로 기업들이 초점을 맞추는 영역이 단순히 엔드포인트와 서버를 대상으로 한다는 점을 다시 한번 인식하게 합니다.

또한, 통계적 취약점에 기반한 위협 노출의 다른 추정치를 살펴보면 현재 상황을 더욱 분명히 알 수 있습니다.기업들은 어디에서 문제가 발생하는지조차 알지 못해 위협 노출에 대한 통제력을 상실하고 있으며, 앞서 언급한 다양한 위협으로부터 보안 격차가 발생하고 있는 상황입니다.이러한 이유로 EM을 구축하고 더 광범위한 영역을 모니터링해야 하는 필요성이 대두됩니다.

취약점이 아닌 노출을 관리하는 접근 방식

그렇다면 기업들은 기존의 취약점 관리(Vulnerability Management) 방식이 아닌, "취약점이 아닌 노출(Vulnerabilities vs. Exposures)"을 어떻게 관리해야 할까요?

가트너는 EM이 기존 취약점 관리 방식을 대체할 것으로 예상하며, CTEM을 통한 5단계 프로세스를 다음과 같이 정의했습니다.

▶ 1단계 - 범위 설정(Scoping)

위에서 설명한 내용을 보면, 매우 광범위한 영역을 범위로 설정해야 할 것처럼 보입니다.그러나 제한된 인력과 도구로 전체 범위를 관리하는 것은 쉽지 않기 때문에, 미션 크리티컬(Mission-Critical)한 우선순위를 선정하고, 가장 큰 위험으로 인식되는 부분을 우선적으로 관리해야 합니다.

▶ 2단계 - 취약점 및 노출된 위협 탐색(Explore)

정해진 우선순위와 범위에 따라 취약점 및 노출된 위협을 탐색합니다.

▶ 3단계 - 우선순위 지정(Prioritization)

탐색된 위협 중에서도 중요도에 따라 우선순위를 정합니다.

▶ 4단계 - 검증(Validation)

침해 및 공격 시뮬레이션(Breach and Attack Simulation), 모의 해킹 테스트(Penetration Test), 레드팀(Red Team) 테스트 등을 통해 모든 위협과 노출을 검증합니다.일부 기업들은 특정 시스템의 가용성(Availability) 문제로 인해 패치가 불가능한 경우도 존재하기 때문에, 비패치 가능(Non-Patchable) 시스템에 대한 검증도 필요합니다.

▶ 5단계 - 해결(Resolution)

보안 조직, 인프라 조직, 인텔리전스 조직 등 여러 팀 간의 협업을 통해 문제를 해결해야 합니다. IT 및 보안 도구처럼 조직 또한 사일로(Silo) 구조를 가지기 때문에, 단일 조직 내에서 문제를 해결하는 방식은 효과적이지 않습니다.

이는 단순히 한 번의 과정에서 모든 것을 한꺼번에 찾아내고, 검증하고, 조치를 취하는 것이 아니라 지속적인 사이클을 반복하는 것이 중요합니다.즉, 기업에서 가장 중요한 위험 요소를 식별하고, 해결한 후, 새로운 범위를 설정하여 다시 문제를 탐색하고 해결하는 반복적 과정이 필요합니다.

CTEM의 지속적 실행 필요성

*"지속적(Continuous)"이라는 단어에서 알 수 있듯이, 1~5단계를 계획하고 실행하는 것이 중요합니다.슈아르드는 "너무 오랜 시간을 문제 발견에만 투자하면, 정작 해결할 시간이 부족해진다"라며, 문제 해결 및 수정 계획을 수립하는 데 최대한 시간을 투자해야 한다고 강조했습니다.

가트너는 2022년 기업들이 보안 운영을 EM으로 확장해야 한다고 제안했으며, 2023~2024년 최우선 사이버 보안 트렌드(Top Cyber Security Trends)로 CTEM을 선정했습니다.

또한, CTEM은 2024년 10대 전략 기술 분야 중 하나로 포함되었습니다.즉, 기업들이 새로운 위협에 선제적으로 대응할 수 있도록 보안 리스크를 줄이고 보안 운영을 개선하기 위해, CTEM 프로세스를 전면적으로 고려해야 할 필요성이 커지고 있습니다.