보통 프로젝트를 진행할 때 자산은 많아봤자 2-3개였어 서버 관리를 놓친적은 없었다.
하지만 회사 같은 경우, 몇천개가 넘어가고 또한 그 안에서도 MSA를 사용하는 경우에는 하나의 서비스 안에서도 몇백개가 훌쩍 넘어가는 서버 자산들이 있을 것이다.
이처럼 많아진 자산들 중 관리에서 누락된 자산은 공격자의 주요 타겟이 된다.
단 하나의 취약한 자산이라도 발견되면 공격자는 이를 활용해 전체 시스템을 위협할 수 있다.
ASM의 필요성
ASM은 Attack Surface managent로, 공격표면관리이다.
자산 관리의 중요성이 높아짐에 따라 ASM의 필요성이 대두되고 있다.
ASM은 단순히 서버 자산을 나열하는 것에서 끝나는 것이 아니다. 조직의 외부에 노출된 모든 자산(예: 클라우드 서버, 서브도메인, 웹 애플리케이션, SSL 인증서 등)을 식별하고, 이 자산들이 제대로 보호되고 있는지 분석하며, 잠재적인 공격 경로를 사전에 차단하는 과정을 포함한다.
그래서 나는 회사의 클라우드 환경을 대상으로 누락된 서버나 잘못된 구성이 있는지 확인하기 위해 ASM을 직접 실습해 보았다.
실습 환경:
vmware, kali linux
과정1: 서브도메인 탐지
회사의 공개된 도메인과 IP 주소를 기반으로 모든 서브도메인을 찾아냈다.
생각보다 엄청 많이 나왔다. 인터넷 상에 있는 서버들을 긁어모으는 작업이라고 생각하면 된다.
- 사용 도구: OSINT 기반 툴(Subfinder, Amass, Assetfinder)
- 이 툴들을 활용하면 대부분의 관련 서브도메인을 효과적으로 탐지할 수 있다.
과정2: 포트 스캔
탐지한 서브도메인 및 IP에 대해 열린 포트를 확인하고, 서비스가 어떤 상태인지 분석하였다.
매우 위험한 작업이 될 수도 있다. 그래서 나도 관련 서버 1개를 대상으로 테스트를 진행하였다.
- Nmap을 활용해 주요 포트를 스캔하였다.
포트 스캔할 때 관제팀의 허가를 받아야한다. 지속적으로 포트스캔을 하면 공격자로 분류되니 조심하자
과정 3: 서비스 분석
스캔 결과에서 확인된 서비스들이 안전하게 구성되었는지 검토하였다.
- HTTP, HTTPS 설정 확인, 기본 인증 미사용 여부를 점검하였다.
- Shodan API를 사용하면 보다 쉽게 정보를 파악 할 수 있다.
Shodan같은 경우 유료 API이지만 학생계정으로 가입하고, 메일을 보내면 계정을 업그레이드 시켜준다
시간은 2-3일 정도 소요되었다.
과정4: 취약점 분석:
식별된 자산에 대해 실제 취약점이 존재하는지 분석하였다.
Shodan에서 나온 정보와 공개된 취약점 데이터베이스(CVE)와 매칭하였다
과정5: 결과 시각화:
분석 결과를 대시보드 형태로 정리하여 한눈에 보이도록 구성하였다.
더 디벨롭된 버전은 예정이다.
이번에서는 주로 공개된 자산(서브도메인, 외부 IP 등)에 초점을 맞췄지만, 앞으로는 다음과 모든 자산 통합 관리로 공개 및 비공개 자산을 통합적으로 탐지하고 관리하는 시스템을 구축하는걸 예정하고 있다.
그리고 내가 가진 제한적인 상황에서 아래와 같은 기능들도 추가로 구현하고 싶다.
| 카테고리 | 구현 가능성 | 주요 도구 | 결과물 |
| Vulnerabilities | 가능 | Nmap, NVD API | CVE 리스트와 위험 점수 (CVSS). |
| Network Security | 제한적으로 가능 | Nmap, Shodan | 오픈 포트 및 서비스, 잠재적 취약 서비스. |
| Leaked Credentials | 제한적 | HaveIBeenPwned API | 유출된 계정 정보 (이메일 한정). |
| Dark Web Mentions | 불가능 | - | 다크웹 모니터링은 불가능. |
| Malware Security | 제한적 | VirusTotal API | 악성코드 샘플 해시 분석. |
| SSL/TLS Security | 가능 | SSLyze, OpenSSL | SSL/TLS 프로토콜 및 암호화 상태 분석. |
| Email Security | 제한적 | Dig, Nslookup | SPF 및 DMARC 구성 상태 확인. |
| DNS & Domains | 가능 | Dig, Nslookup | DNS 레코드 및 DNSSEC 설정 상태. |
후기
ASM은 단순히 보안 도구를 사용하는 것을 넘어, 조직의 자산 관리 체계를 전반적으로 점검하고 개선하는 과정이다.
자산이 많아질수록 놓치는 부분도 많아지기 때문에 ASM 도입을 통해 선제적으로 공격 표면을 줄여 나가는 것이 중요하다고 생각한당:)
'개발 노트 > Security' 카테고리의 다른 글
| 클라우드는 보안을 어떻게 지켜야 할까 (2) | 2025.01.12 |
|---|
