기업 IT 자산의 40%가 보안팀 시야 밖에 있다. 공격 표면 관리(ASM)란 무엇이고, 왜 필요하며, 어떻게 도입하는가. SK텔레콤 사례, 한국 ASM 솔루션, CTEM 프레임워크까지.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
Gartner는 기업 IT 인프라의 40%가 보안팀의 시야에 없다고 추정한다. 기업이 인지하는 클라우드 서비스는 평균 91개지만, 실제 사용 중인 서비스는 1,220개다. 인지하지 못하는 서비스가 1,129개다. 이 격차가 공격자의 진입로가 된다. 2025년 SK텔레콤 해킹에서 공격자는 보안 책임자의 직접 통제 밖에 있던 네트워크 영역을 통해 987일간 잠복했다. 공격 표면 관리(ASM)는 이 "보이지 않는 자산"을 찾는 것에서 시작한다.
공격 표면(Attack Surface)은 공격자가 조직에 침투할 수 있는 모든 진입점을 뜻한다. 웹 서버, API, 클라우드 스토리지, VPN 장비, 잊혀진 서브도메인까지 포함된다.
공격 표면 관리(ASM) 는 이 진입점들을 지속적으로 탐지하고, 목록화하고, 위험도를 평가하는 프로세스다. Gartner는 2021년 EASM(External Attack Surface Management)이라는 카테고리를 공식 정의하며 "조직이 인지하지 못하는 인터넷 노출 자산에서 발생하는 위험을 식별하는 솔루션"이라고 설명했다.
기존 보안 도구와의 핵심 차이는 출발점에 있다.
| 도구 | 출발점 | 방식 |
|---|---|---|
| 취약점 스캐너 | 알려진 자산 목록 | 기존 목록의 취약점 점검 |
| 모의해킹 | 정의된 범위 | 수동, 연 1~2회 |
| ASM | 없음 (제로 베이스) | 자산을 직접 탐지 → 위험 평가 |
취약점 스캐너는 "우리가 아는 서버에 취약점이 있는가"를 확인한다. ASM은 "우리가 모르는 서버가 존재하는가" 부터 확인한다. 이것이 근본적인 차이다.
ESG와 JupiterOne의 공동 조사에 따르면, 69%의 조직이 알려지지 않거나 관리되지 않는 인터넷 자산을 통해 공격받은 경험이 있다. IBM의 2024년 데이터 침해 비용 보고서는 침해의 35%가 섀도 데이터(비관리 데이터 소스)와 관련되었다고 밝혔다. 이 경우 침해 비용은 평균 527만 달러로, 일반 침해(488만 달러)보다 16.2% 높았다.
한국도 예외가 아니다.
SK텔레콤 (2025년 4월): BPFDoor 백도어가 987일간 탐지되지 않은 채 잠복했다. 관리자 계정이 평문으로 저장되어 있었고, VPN 장비(이반티) 취약점이 침투 경로로 추정된다. HSS 서버 3대에서 2,696만 건의 USIM 정보(9.82GB)가 유출되었다. 핵심 문제는 해당 네트워크 영역이 보안 책임자의 직접 통제 대상이 아니었다는 점이다.
DeepSeek (2025년 1월): ClickHouse 데이터베이스가 인증 없이 인터넷에 노출되어 있었다. 브라우저 URL만으로 API 키, 토큰, 내부 백엔드 설정값에 접근할 수 있었다. ASM 도구가 있었다면 수분 내에 발견했을 노출이다.
과기정통부 중소기업 점검 (2025년): 2,242개 기업을 대상으로 공격표면관리 방식의 보안 점검을 실시한 결과, 약 9만 건의 취약점이 발견되었다. 점검 대상은 홈페이지, 이메일, 서버 등 외부 노출 자산이었다.
왜 위험한데? — 보이지 않는 자산이 뚫린다
공격 표면 문제는 대기업만의 이슈가 아니다. CyCognito의 2024년 보고서에 따르면 기업은 평균 12,000개의 외부 노출 웹 인터페이스를 보유하고 있다. Palo Alto Networks의 Cortex Xpanse 고객은 도입 후 평균적으로 기존 추적 대비 35% 더 많은 인터넷 연결 자산을 발견한다.
ASM 도구가 실제로 찾는 것들은 다음과 같다.
dev.company.com에 Jenkins 관리 패널이 열려 있다. 기본 자격 증명이 그대로이고, 플러그인은 1년째 업데이트되지 않았다. 공격자가 이 Jenkins의 알려진 RCE 취약점을 악용하면 빌드 스크립트를 통해 내부 네트워크로 횡적 이동이 가능하다. 이 서브도메인은 IT 자산 목록에 존재하지 않는다 — 프로젝트가 끝났을 때 누구도 폐기하지 않았기 때문이다.Mandiant의 M-Trends 2025 보고서는 취약점 악용이 초기 침투 벡터 1위(전체의 33%)라고 밝혔다. 상위 4개 가장 많이 악용된 취약점은 모두 VPN, 방화벽, 라우터 같은 엣지 장비였다 — ASM이 탐지하는 바로 그 영역이다.
ASM은 일회성 점검이 아니라 연속적인 사이클로 동작한다.
어떻게 작동하는데? — ASM의 5단계 사이클
1단계 — 탐지(Discovery): 조직의 외부 자산을 공격자 관점에서 찾는다. 패시브 DNS, 인증서 투명성(Certificate Transparency) 로그, WHOIS/RDAP, 포트 스캐닝을 조합한다. 핵심은 "우리가 모르는 자산"을 찾는 것이다.
2단계 — 목록화(Inventory): 발견된 자산을 소유 조직에 귀속시키고 분류한다. IP, 도메인, 서브도메인, 클라우드 인스턴스, API 엔드포인트를 하나의 인벤토리로 통합한다.
3단계 — 우선순위(Prioritize): 모든 노출이 동일한 위험은 아니다. CVSS 점수만이 아니라 비즈니스 컨텍스트(해당 자산이 고객 데이터를 처리하는가?)와 실제 악용 가능성을 조합하여 순위를 매긴다.
4단계 — 조치(Remediate): 위험이 높은 노출부터 제거한다. 불필요한 포트 차단, 인증 추가, 레거시 시스템 폐기, 설정 수정 등이 포함된다.
5단계 — 모니터링(Monitor): 새로운 자산이 계속 생성되므로 사이클이 반복된다. 클라우드 환경에서는 개발자가 몇 분 만에 새 인스턴스를 배포할 수 있어, 지속적 모니터링이 필수다.
글로벌 시장은 Forrester Wave ASM Q3 2024에서 CrowdStrike과 Palo Alto Networks가 리더로 선정되었다. 주요 솔루션은 다음과 같다.
한국에서는 자체 ASM 솔루션이 빠르게 성장하고 있다.
예산이 제한된 조직은 오픈소스로 시작할 수 있다.
ASM은 두 가지 관점으로 나뉜다. EASM(External ASM) 은 공격자 관점에서 밖에서 안을 본다. 인터넷에 노출된 자산을 패시브 DNS, 인증서 투명성 로그, 포트 스캐닝으로 탐지한다. CAASM(Cyber Asset ASM) 은 방어자 관점에서 안에서 밖을 본다. CMDB, EDR, 클라우드 인벤토리 등 내부 도구의 데이터를 통합하여 자산 간 관계를 매핑한다.
| 구분 | EASM | CAASM |
|---|---|---|
| 관점 | Outside-In (공격자) | Inside-Out (방어자) |
| 데이터 소스 | DNS, CT 로그, 포트 스캔 | CMDB, EDR, 클라우드 API |
| 발견 대상 | 인터넷 노출 자산, Shadow IT | 내부 자산 관계, 설정 오류 |
Gartner의 Hype Cycle은 기술이 과대 기대(기대의 정점) → 실망(환멸의 골짜기) → 실용화(생산성 안정기)를 거친다고 본다. 2024년 기준 CAASM은 아직 "이거 대단하다"는 기대의 정점에 있고, EASM은 "써보니 만능은 아니지만 이런 부분은 진짜 쓸만하다"는 환멸의 골짜기를 지나는 중이다. 거품이 빠진 기술이 실무에 정착하는 단계다. 두 카테고리는 점차 하나의 통합 ASM으로 수렴하는 추세다.
Gartner는 2022년 CTEM(Continuous Threat Exposure Management)을 제시하며 "CTEM 프로그램 기반으로 보안 투자를 우선순위화하는 조직은 침해 가능성이 3배 낮아질 것"이라고 예측했다. CTEM은 5단계(범위 정의 → 탐지 → 우선순위 → 검증 → 동원)로 구성되며, ASM은 이 중 탐지 단계의 핵심 도구다.
현실은 아직 격차가 크다. Vectra AI의 조사에 따르면 보안 리더의 87%가 CTEM의 중요성을 인식하지만, 실제 운영 수준으로 구현한 조직은 16%에 불과하다.
CTEM: ASM을 넘어선 프레임워크
ASM 시장은 2025년 기준 약 1015억 달러 규모이며, CAGR 2131%로 성장 중이다. KISA의 2024년 하반기 보고서는 2024~2029년 ASM 시장이 연평균 29.3% 성장하여 약 33억 달러(4조 6천억 원)에 이를 것으로 전망했다.
한국 정부도 움직이고 있다. 과기정통부는 2025년 중소기업 2,242곳 대상 공격표면관리 방식의 보안 점검에 32억 4천만 원을 투입했고, 2026년 2분기에는 웹 기반 자가진단 도구 서비스를 개시할 예정이다.
시장의 방향은 통합이다. Gartner는 2025년 말 노출 평가 플랫폼(Exposure Assessment Platforms) Magic Quadrant를 처음 발행하며 20개 벤더를 평가했다. 기존에 분리되어 있던 EASM, CAASM, 취약점 관리가 하나의 플랫폼으로 수렴하고 있다. ASM은 독립 제품에서 보안 운영의 기본 인프라로 자리를 잡아가고 있다.