Group-IB 서현석 대표 “기존 침투 테스트 등 수동적인 CVSS 평가방법론에서 벗어나 전문적인 외부 공격표면관리 필요”

[보안뉴스 김영명 기자] 국내 최대 개인정보보호 축제의 장인 ‘제11회 개인정보보호페어&CPO워크숍(PIS FAIR 2022)’가 서울 코엑스 그랜드볼룸에서 6월 2~3일 양일간 진행되는 가운데 행사 1일차인 6월 2일 트랙 A(Tech&Trend)에서 네 번째 강연자인 Group-IB 서현석 대표는 ‘공격표면관리 솔루션을 이용한 외부 디지털 자산의 취약점 해결방안’에 대해 발표했다.


Group-IB 서현석 대표는 “공격자가 바라보는 외부 공격표면은 외부 노출 IT 자산의 관리적 허점, 클라우드 환경으로의 급속한 전환, 4차 산업혁명 시대 및 IoT 기기의 증가 등에 기반하며 코로나19 팬데믹과 클라우드로의 급속한 전환 등으로 급격히 증가하고 있다”고 말했다.

공격표면 관리에 대한 심각성에 대해 서 대표는 “공격표면은 상상 이상으로 많으며, 다수는 정의되거나 관리되지 않고 있는데, 대기업 네트워크에 접근 가능한 RDP Access 계정 정보의 판매는 최근 173%가 증가했고, 지난 1년간 10만 개가 넘는 DB가 공개됐으며 Amazon S3, SMB, FTP 서버 등을 통해 15억개 이상 파일이 유출됐다”고 말했다. 이어 “지난해 발생된 모든 보안 사고 대응의 55% 이상이 경계 기반 취약성 및 관리되지 않는 인프라에서 발생했기 때문에 전문적인 외부 공격표면관리를 시행해야 한다”고 덧붙였다.

한편, ‘개인정보보호 페어 & CPO워크숍’은 개인정보 보호법이 제정·시행된 2011년부터 개인정보보호 제도의 활성화와 대국민 홍보 및 인식제고를 위해 매년 열렸다. 올해는 ‘데이터 경제 시대의 개인정보보호’를 주제로 35개의 강연이 진행되며, 부대행사로 ‘개인정보 기술 스타트업 챌린지’ 시상식과 전시부스, 개인정보보호최고책임자(CPO) 워크숍이 마련된다.

또한, 토스, 야놀자, 엔씨소프트 등 국내 정보기술 기업의 개인정보 보호책임자들이 직접 나와 ‘데이터 활용과 개인정보보호’를 주제로 토크콘서트를 진행하고, 주요 개인정보보호 솔루션 기업(약 30개사)이 참가하는 전시부스를 통해 개인정보보호 솔루션 및 제품들을 홍보‧시연하는 한편, 영세·중소 사업자를 위한 개인정보보호 기술지원 자문도 진행한다. 이와 함께 참관객을 대상으로 ‘개인정보보호 실천 안내서(가이드북)’도 무료로 배포된다.
[김영명 기자(sw@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>