Gartner CTEM 5단계 프레임워크(Scoping/Discovery/Prioritization/Validation/Mobilization)를 자산 발견 기술 원리부터 도구 비교까지 분해. ASM이 답하지 못하는 우선순위·검증·실행 격차를 CTEM이 어떻게 메우는지, 그리고 SK텔레콤 사고 이후 한국 시장 도입 흐름과 KISA 2026 권고를 정리한다.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
공격 표면 관리(ASM)는 "보이지 않는 자산을 찾는다"는 문제를 풀었지만, 풀지 못한 격차가 셋 남았다. 우선순위(발견된 12,000개 인터페이스 중 분기 50개를 고르는 기준), 검증(노출이 진짜 도달 가능한지의 확인), 실행(누구의 책임이며 며칠 안에 닫는지의 워크플로우). 분기 1회 ASM 보고서는 이 세 격차를 모두 비워 둔 채 보고서로만 끝난다.
Gartner는 2022년 이 두 격차를 이어 붙인 프레임워크를 제시했다. CTEM(Continuous Threat Exposure Management) — 지속적 위협 노출 관리다. ASM이 "무엇이 노출됐는가"를 답한다면 CTEM은 "무엇을 먼저 닫을 것인가"를 답한다. Gartner는 2026년까지 CTEM 도입 조직이 침해 가능성을 1/3 수준으로 낮출 것이라 예측했고, 2026년 현재 그 예측이 검증되는 시점이다.
이 글은 CTEM 5단계의 작동 원리를 단계별로 분해한다. 자산을 어떻게 발견하는지의 기술적 메커니즘(passive DNS, 인증서 투명성 로그, 서브도메인 열거)을 살펴본다. 그다음 노출 위험을 어떻게 우선순위화하는지의 알고리즘과 한국 시장에서 실제로 도입된 도구들의 차이를 다룬다.
ASM이 답하지 못하는 세 가지 질문이 있다.
첫째, 우선순위 부재. ASM 도구가 12,000개 외부 인터페이스를 발견했다면, 보안팀이 가장 먼저 손대야 할 50개는 어떤 기준으로 고르는가?
CVSS 점수만으로는 부족하다. CVSS 9.8짜리 RCE 취약점이라도 내부 격리망의 개발 서버에 있으면 즉각적 위협이 아니다. 반대로 CVSS 6.5짜리 정보 노출이라도 결제 시스템에 있으면 1순위다. 이 맥락 정보가 누락된 채 점수만 정렬하면 우선순위가 왜곡된다.
둘째, 검증 부재. 공격자가 발견한 노출을 실제로 악용 가능한가는 별개 문제다. 방화벽 규칙이 그 포트를 차단하고 있을 수도, WAF가 페이로드를 거를 수도 있다. ASM은 외부에서 보이는 노출을 보고할 뿐 그 노출이 진짜로 도달 가능한지 검증하지 않는다.
셋째, 액션 격차. 발견된 노출이 누구의 책임인지, 누구에게 알려야 하는지, 처리에 며칠이 걸리는지를 ASM은 알지 못한다. 자산 소유자 식별과 워크플로우 통합이 빠지면 보고서는 보고서로 끝난다.
이 세 격차를 메우려고 등장한 것이 CTEM이다.
용어가 비슷해서 혼동되기 쉽다. 한 줄로 정리하면 다음과 같다.
| 용어 | 영역 | 역할 |
|---|---|---|
| EASM (External ASM, 2021 Gartner 정의) | 외부 노출 자산만 | 발견·인벤토리 |
| CAASM (Cyber Asset ASM, 2022 등장) | 내부 + 외부 자산 통합 | 인벤토리 통합 |
| ASM (두 카테고리 통칭) | 자산 표면 관리 일반 | 발견 + 인벤토리 |
| CTEM (2022 Gartner 프레임워크) | 노출 관리 전체 사이클 | 발견 + 우선순위 + 검증 + 실행 |
CTEM은 도구 카테고리가 아니라 프레임워크다. ASM 도구를 안에 포함할 수도 있고, 그 외 취약점 관리·BAS(Breach and Attack Simulation)·SIEM 연동까지 묶는다. 즉 ASM은 CTEM의 한 단계인 "Discovery"를 담당하는 도구로 자리한다.
CTEM의 출발점은 "무엇을 보호할 것인가"를 비즈니스 관점에서 정하는 일이다. 외부 노출 자산만 볼지, 클라우드까지 포함할지, SaaS 공급망까지 포함할지를 의사결정자와 합의한다. 이 단계가 빠지면 다음 단계의 발견이 끝없이 확장돼 노이즈가 된다.
스코프는 보통 세 층으로 잡는다. 첫째, 외부 인터넷 노출 자산(웹·API·VPN). 둘째, 클라우드 서비스(AWS·Azure·GCP의 모든 리전). 셋째, SaaS·서드파티 공급망.
한국 기업의 일반적 첫 도입 스코프는 1층(EASM)부터 시작해 2~3층으로 확장하는 패턴이다.
CTEM의 발견은 ASM이 담당하는 영역이지만, 기술적으로 4가지 패시브(수동) 방법을 조합한다. 능동 스캔보다 패시브를 우선하는 이유는 대상 조직의 로그에 흔적을 남기지 않기 위함이다. 공격자도 정찰 단계에서 같은 이유로 패시브를 선호한다.
(a) Passive DNS 데이터베이스: SecurityTrails, WhoisXML, Farsight DNSDB 같은 서비스가 전 세계 DNS 응답을 기록·축적한 데이터다. *.example.com 패턴으로 조회하면 폐기됐지만 DNS A 레코드는 남아 있는 "유령 서브도메인"이 그대로 드러난다. 이 유령 자산이 서브도메인 탈취(subdomain takeover) 공격의 표적이 된다.
(b) 인증서 투명성(Certificate Transparency) 로그: Google이 2013년 시작한 공개 로그로, 모든 CA가 발급한 SSL/TLS 인증서가 기록된다. crt.sh나 Censys CT 검색으로 도메인을 조회하면 발급 이력 전체가 노출된다. 이 방법의 강점은 새 자산이 인증서를 발급받는 즉시 잡힌다는 점이다. 클라우드에서 자동 인증서가 발급되는 단명(short-lived) 서비스, 테스트 배포, 일회용 인프라까지 시야에 들어온다.
(c) 서브도메인 열거(Subdomain Enumeration): 단어 사전으로 후보를 만들어 DNS 응답을 확인한다. 정적 사전(api, admin, staging 같은 일반적 단어)에서 시작해, 최근 도구는 발견된 자산의 명명 패턴을 학습해 컨텍스트 기반 후보를 생성한다(Alterx, Regulator). 예를 들어 api-prod-eu.example.com이 발견되면 api-staging-eu, api-dev-eu를 후보로 추가한다.
(d) WHOIS·RDAP·ASN 매핑: 조직의 IP 범위(ASN, Autonomous System Number)를 WHOIS로 역추적한 뒤 그 범위 안의 모든 호스트를 패시브 스캔 데이터(Shodan, Censys)에서 찾는다. 인터넷에 연결된 자산이라면 Shodan/Censys의 정기 스캔에 대부분 잡혀 있어 (a)~(c)가 놓친 IP 기반 자산을 보강하는 역할을 한다.
핵심은 네 기법이 각각 다른 자산을 잡는다는 점이다. (a)는 폐기된 유령 서브도메인, (b)는 인증서 발급 즉시의 단명 서비스, (c)는 명명 패턴이 명확한 환경, (d)는 IP 기반 자산이다. 결과를 합쳐 정규화하면 조직의 실제 외부 자산 목록이 만들어진다. ProjectDiscovery의 2026년 보고에 따르면 인증서 데이터를 발견 엔진에 직접 통합한 결과 DNS·스캔 기반으로는 놓치던 단명 자산이 30~40% 추가로 발견된다.
발견된 노출에 점수를 매기는 단계다. 단순 CVSS 정렬이 아니라 다음 4가지 차원을 가중치로 결합한다.
| 차원 | 무엇 |
|---|---|
| 악용 가능성 | KEV(Known Exploited Vulnerabilities), EPSS 점수, 공개 PoC 존재 여부 |
| 노출도 | 인터넷 직접 노출인가, 인증 뒤에 있는가 |
| 자산 가치 | 결제·고객 데이터·인증 서버인가, 정적 페이지인가 |
| 보상 통제 | WAF·EDR·SIEM이 그 자산을 보호하고 있는가 |
이 4차원 결합 점수로 자산을 정렬하고, 동일 CVSS 9.8이라도 결과 점수는 자산마다 다르다. 한 예로 외부 노출된 SSO 서버의 RCE는 4차원이 모두 최댓값에 가까워 점수가 폭등한다. 반면 내부망 ELK 인덱서의 같은 RCE는 노출도·보상 통제 가중치가 낮아 우선순위에서 밀려난다.
CVSS 단일 정렬과 결과 순서가 완전히 뒤바뀌는 지점이며, ASM 보고서를 그대로 받지 않고 위험 점수화 단계를 거쳐야 하는 이유다.
발견·우선순위 결과가 진짜 위협인지 시뮬레이션으로 확인하는 단계다. BAS(Breach and Attack Simulation) 도구나 자체 레드팀이 수행한다.
검증 항목은 세 가지다. 첫째, 공격자가 그 노출에 도달할 수 있는가. 둘째, 도달한 후 악용해 다음 단계로 넘어갈 수 있는가. 셋째, 보안 통제가 그 시도를 탐지·차단하는가.
이 단계가 CTEM과 단순 ASM의 결정적 차이다. ASM은 "포트 3306이 인터넷에 노출됐다"까지 보고하지만, CTEM Validation은 "그 MySQL이 실제로 weak password 무차별 대입에 12분 만에 뚫린다"까지 검증한다.
발견·우선순위·검증 결과를 IT·개발팀과 통합 워크플로우로 연결한다. Jira·ServiceNow 티켓 자동 생성, SLA 추적, 패치 적용 후 재검증 루프가 여기 들어간다. Gartner가 강조하는 부분은 "보안팀의 보고서로 끝나지 않고 비즈니스 의사결정자가 자원 배분에 반영"하게 만드는 것이다.
이 5단계가 한 사이클이고, 마지막에서 다시 1단계로 돌아간다. 조직의 자산은 매일 변하므로 사이클은 분기 1회가 아니라 상시(continuous) 실행이 권장된다. 자동화된 도구가 1단계 스코프 안의 자산을 매일 재스캔하고, 새 노출이 발견되면 알림으로 보내는 구조가 표준이다.
CTEM의 Discovery 단계가 사용하는 패시브 정찰 기법은 정확히 공격자의 침투 전 정찰과 같은 도구다. 즉 방어자가 자기 자산을 발견하지 않으면 공격자가 먼저 발견한다.
Shodan은 ASM 도구가 아니다. "인터넷 연결 장치 검색 엔진"으로, 보안팀이 즉석에서 자산을 조회할 때 쓰는 도구다. Shodan만으로 CTEM 사이클을 돌릴 수 없다 — 자동 사이클·우선순위·검증 기능이 없기 때문이다.
다만 공격자도 Shodan을 가장 먼저 켠다. 조직의 인터넷 노출이 Shodan에 한 줄이라도 잡히면 그 노출은 이미 공격 후보다.
SK텔레콤 사고 (2025-04 ~ 2026-01): 28대 서버에서 33종 악성코드, 25종 USIM 정보 2,696만 건 유출. 사고 조사 결과 핵심 원인은 BPFDoor 백도어가 987일간 잠복했다는 점이었다.
침투 경로로 추정된 이반티 VPN 장비는 보안팀의 직접 통제 영역 밖에 있었고, 정확히 ASM/CTEM이 발견 대상으로 삼는 영역이다. 사고 후 한국 통신·금융사가 EASM 도입을 가속한 배경이다.
과학기술정보통신부 중소기업 점검 (2025): 2,242개 기업을 대상으로 ASM 방식 보안 점검을 실시해 약 9만 건 취약점이 발견됐다. 점검 항목은 홈페이지·이메일·서버 등 외부 노출 자산이었다. KISA 2025 상반기 보고서에 따르면 침해 사고의 93%가 중소·중견 기업에 집중되어 있다. 대기업 중심으로 보급된 ASM이 중소기업까지 닿아야 하는 이유다.
Criminal IP (국내 솔루션): AI Spera가 운영하는 한국 OSINT·ASM 솔루션. CT log·passive DNS·전 세계 IP 스캔 데이터를 자체 수집해 외부 자산 발견을 제공한다. 글로벌 솔루션(Xpanse·Censys) 대비 한국어 인터페이스와 KISA·금융권 컴플라이언스 매핑이 강점이다.
KISA의 2026년 클라우드 보안 전략 권고에 "자산 식별(ASM) → 위험 점수화 → 우선순위 기반 대응 체계 구축"이라는 표현이 들어갔다. CTEM 사이클 그대로다. 정책 차원에서 표준 권고로 받아들이는 흐름이다.
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.
KW_PROTECT_0