PDF가 보이지 않으면 여기로 열어보세요:
/files/ASM_Promise_Reality_Behavior.pdf
관련 영상
2025년 공격 표면 관리(ASM): 왜 지속적 가시성이 필수인가
2025년에는 공격 표면이 폭발적으로 커졌습니다. 클라우드, SaaS, IoT, 원격 근무가 기존 네트워크 경계를 무너뜨리면서, 조직은 웹 앱·API·섀도우 IT·서드파티 서비스까지 포함하는 방대한 자산 지형도를 상대하게 됐습니다. 이 모든 것이 공격자의 진입점이 될 수 있습니다[1][2]. 공격자는 자동화와 AI를 활용해 설정 오류나 잊힌 도메인을 몇 초 만에 스캔하며, 종종 “방어자가 그 자산의 존재를 알기도 전에” 약점을 찾아냅니다[2]. 이런 환경에서 **가시성(visibility)**은 새로운 전장입니다. 결국 **“보이지 않는 것은 방어할 수 없다”**는 말이 더 이상 수사가 아니라 현실이 됐습니다[3].
공격 표면 관리가 더 중요해진 이유
**지속적 공격 표면 관리(Continuous Attack Surface Management, ASM)**는 2025년에 “있으면 좋은 것”이 아니라 필수 보안 실무가 됐습니다[4]. 이유는 명확합니다.
디지털 확장과 섀도우 자산: 기업은 빠르게 서비스를 온라인으로 옮기고 새로운 디지털 서비스를 배포합니다. 새로운 클라우드 인스턴스, SaaS 앱, IoT, 벤더 연동이 생길 때마다 공격 표면은 커집니다[5]. 많은 자산이 기존 모니터링 바깥에 존재해 가시성 공백을 만들고, 이 공백이 침해의 시작점이 되곤 합니다[5]. 예를 들어 멀티클라우드는 이미 일반적이며, 기업의 92%가 복수 클라우드를 사용한다는 통계는 복잡성과 위험이 얼마나 커졌는지 보여줍니다[6].
동적 환경(변화 속도): 공격 표면은 고정돼 있지 않습니다. 클라우드 워크로드는 매일 생성·삭제되고, 개발자는 새 API/마이크로서비스를 배포하며, 직원은 어디서든 접속합니다. 정기 점검(분기/반기 감사)만으로는 이런 변화를 따라가기 어렵습니다. 공격자는 이 “틈”을 노립니다. 패치되지 않은 테스트 서버, 고아(orphan) 도메인, 유출된 자격증명은 좋은 표적입니다. 지속적 ASM은 자산을 실시간으로 발견·모니터링해 노출 창을 줄이고, 공격자가 이용하기 전에 노출을 찾아 수정하게 돕습니다[7][8]. 또한 한 조사에 따르면 보안팀은 사후 대응에서 사전 대응으로 이동하고 있으며, 기업의 70% 이상이 “사후 방어”보다 실시간 가시성과 지속 모니터링 도구에 더 많은 비용을 쓰고 있습니다[9][10].
고도화된 위협과 AI 기반 공격: 2025년 공격자는 정찰을 자동화하고 AI로 외부 표면의 “틈”을 더 빠르게 찾습니다[2]. 공격자는 “약점이 있는가”가 아니라 “어디에 있는가”를 묻습니다. 그래서 미파악(unknown) 공격 표면을 줄이는 것이 중요합니다. 특히 API는 대표적인 신흥 공격 벡터입니다. 한 보고서에 따르면 기업의 99%가 최근 1년 내 최소 한 번의 API 보안 사고를 경험했으며, 숨겨진/미관리 API가 원인이 되기도 합니다[11]. 이 중 3분의 1 이상은 인젝션 및 인증/인가(authorization) 취약점이었고, API 공격의 95%는 “유효한 자격증명”을 사용했습니다(공격자가 인증 세션을 ‘얹는’ 방식)[12]. 즉, 공격자는 방치된 문을 통해 들어옵니다. ASM의 역할은 모든 자산과 취약점을 드러내 그 문을 잠그는 것입니다.
컴플라이언스와 신뢰: 규제기관과 이해관계자는 이제 공격 표면을 체계적으로 관리하기를 요구합니다. (예: 미국 SEC 사이버 공시 규정, EU NIS2) 지속적인 자산 모니터링과 신속한 사고 보고가 요구됩니다[13]. 디지털 풋프린트를 놓치면 침해뿐 아니라 위반·벌금·평판 훼손으로 이어집니다. 많은 조직이 ASM을 비즈니스 필수 과제로 격상시키고 있습니다[14]. ASM 시장이 2024년 약 8억 5,650만 달러에서 2032년 43억 달러로 성장(연평균 22.6%)할 것으로 전망되는 것도 이런 흐름을 반영합니다[15].
2025년 ASM 주요 트렌드
공격자를 앞서기 위해서는 ASM의 최신 트렌드에 적응해야 합니다. 2025년 ASM을 형성하는 핵심 트렌드는 다음과 같습니다.
AI 기반 ASM: AI/ML은 이제 ASM의 핵심 구성요소입니다. 현대 ASM은 자산을 자동으로 발견하고 위험을 우선순위화하며, 노이즈에서 “진짜 위험”을 걸러냅니다[16]. 예컨대 AI 기반 ASM 도구가 글로벌 은행의 클라우드 스토리지 설정 오류 1,000여 건을 수시간 내 찾아 대규모 유출을 막았다는 사례도 있습니다[17]. 2025년에는 예측 분석—공격 경로를 선제적으로 추정—역할이 더 커질 것으로 보입니다[18].
제로 트러스트(Zero Trust)와의 통합: “절대 신뢰하지 말고, 항상 검증하라”는 **제로 트러스트 아키텍처(ZTA)**가 표준 프레임워크가 되면서, ASM도 그 안으로 들어가고 있습니다[19]. ASM은 자산 가시성을 제로 트러스트 정책 집행에 연결해, 기기·사용자·서비스가 바뀌어도 어떤 공격 표면도 방치되지 않도록 합니다[20].
IoT/OT 보안 집중: IoT/OT 확산은 공격 표면을 “극적으로” 확장했습니다[21]. 공장 센서, 의료기기 등은 기본 비밀번호, 오래된 펌웨어, 불필요한 포트 노출 같은 문제를 안고 있습니다. 2025년 ASM은 이런 자산을 발견하고 보강하는 기능을 강화합니다[22].
클라우드 네이티브/멀티클라우드 커버리지: 하이브리드·멀티클라우드가 일반화되면서, 클라우드 네이티브 ASM이 주목받고 있습니다[23]. AWS/Azure/GCP와 직접 연동해 인스턴스, 버킷, 서버리스 등을 지속적으로 인벤토리화합니다. 멀티클라우드 환경에서 S3 노출을 미리 발견해 대규모 유출을 막은 사례도 언급됩니다[24]. 멀티클라우드 채택률(92%)[6]을 고려하면, 전 클라우드를 아우르는 ASM은 필수입니다.
위협 인텔리전스(CTI) 통합: ASM은 더 이상 고립된 도구가 아니라, 실시간 CTI 피드와 결합해 취약점의 “문맥”을 제공합니다[25]. 다크웹, 익스플로잇 트렌드와 연동해 ‘지금 실제로 표적이 되는지’를 반영해 우선순위를 정합니다[26][27].
서드파티 리스크 모니터링: “우리 보안은 가장 약한 벤더만큼만 강하다”는 교훈이 누적되면서, **TPRM(서드파티 리스크 관리)**이 ASM의 확장으로 자리 잡았습니다[28]. 선도 ASM은 벤더/공급망의 보안 상태를 지속적으로 모니터링해, 사실상 파트너의 공격 표면을 우리 공격 표면의 일부로 관리합니다[28].
사후 대응에서 사전 방어로: 전통적인 취약점 관리는 사건 이후의 “수습”이 되기 쉬웠습니다. 2025년 ASM은 사전 방어를 강조합니다[30]. 만료된 인증서, 열려버린 포트 같은 단순 노출도 빠르게 감지·수정해 노출 시간을 단축하는 것이 목표입니다. 또한 지연된 대응이 배포 지연과 사고로 이어졌다는 인식이 확산되며, 지속 검증과 빠른 수정 사이클이 중요해졌습니다[31].
사람 중심 워크플로우: 자동화가 늘어도 사람의 판단은 여전히 핵심입니다. 좋은 ASM은 수천 건의 결과를 던지는 대신, 중복을 제거하고 ‘무엇이 중요한지’를 분명히 보여주며, 담당자에게 해결 맥락과 함께 이관되도록 설계됩니다[32].
조직이 기대하는 ASM (2025 설문 인사이트)
2025년 조직은 ASM에 대한 기대치가 높습니다. SANS Institute 설문(235명 보안 리더)에서 중요한 우선순위가 확인됩니다[33][34].
자산 커버리지 확대: 55%는 외부(인터넷 노출)뿐 아니라 내부 자산까지 포함한 커버리지를 원합니다[34]. 이는 EASM과 CAASM의 결합 흐름과도 맞닿아 있습니다.
실행 가능한 가이드: 67%는 특히 공개 익스플로잇이 있는 취약점에 대해 구체적 완화/대응 가이드가 내장되길 원합니다[36].
지속 검증(Validation): 47%는 ASM을 침투 테스트/레드팀과 결합해 노출이 진짜로 닫혔는지 지속적으로 검증합니다[37].
민감 데이터 인지: 반면 “민감 데이터 식별”은 아직 격차가 큽니다. ASM 도구 중 28%만이 민감 데이터를 효과적으로 식별한다는 지적이 있습니다[38].
요약하면, 이제 ASM은 “스캔 결과를 던지는 도구”가 아니라 지속적·문맥 기반·워크플로우 연계형으로 기대됩니다.
변화하는 ASM 솔루션 생태계
수요가 커지면서 2025년 ASM 시장은 매우 경쟁적입니다[39]. 대형 보안 기업과 스타트업 모두가 “완성형 ASM”을 내세웁니다.
기존 강자: 주요 보안 벤더는 ASM에 투자를 확대했습니다. 예를 들어 Palo Alto Networks의 Cortex Xpanse(Expanse 인수 기반), Rapid7의 Insight 플랫폼 통합, IBM의 Randori 인수 등이 언급됩니다[40][41][39]. 또한 Bitsight는 KuppingerCole 2025 리더십 컴퍼스에서 리더로 평가받았고[42][43], EASM/CTI/리스크 스코어링/TPRM 통합이 강점으로 언급됩니다[44].
빠르게 성장하는 스타트업: CyCognito(외부 관점 정찰로 미발견 자산 탐지), NopSec(익스플로잇 가능성 기반 우선순위), Assetnote(DevOps 친화적 지속 탐지) 등도 언급됩니다[45][46].
또한 ASM은 독립 제품만이 아니라, 클라우드·취약점 관리·SIEM 등 기존 플랫폼에 모듈 형태로 흡수되는 흐름도 있습니다. 조직 규모, 요구사항, 기존 툴 체계에 따라 선택지는 다양해졌습니다.
결론
2025년 공격 표면 관리는 여전히 날카롭고(=위험이 크고) 임무 중심적인 과제입니다. 디지털 비즈니스의 확장과 공격자의 속도/지능 고도화로, 조직은 더 이상 블라인드 스폿을 감당할 수 없습니다. ASM은 공격자보다 먼저 노출 자산과 취약점을 찾아내는 지속적 “레이더” 역할을 합니다. 최근 트렌드는 ASM이 더 지능적(AI/CTI), 더 포괄적(클라우드/IoT/서드파티), 더 사전적(사고 이전 수정)으로 변하고 있음을 보여줍니다.
이 역량에 투자하는 조직은 노출 시간 단축, 사고 감소, 고객·규제기관 신뢰 향상 등 실질적인 효과를 보고 있습니다. 공격 표면이 분 단위로 변하는 시대에, 지속적으로 관리하는 것만이 안전을 유지하는 방법입니다. 한 보안 전문가의 말처럼 “공격 표면은 그 어느 때보다 빠르게 커지고 있다. 보안 리더에게 필요한 것은 노이즈가 아니라 명확성이다.”[47] 올바른 ASM은 바로 그 명확성을 제공하며, 방대한 자산 지도를 우선순위가 있는 실행 계획으로 바꿔줍니다.
참고 자료
- PuppyGraph – Attack Surface Management: Complete 2025 Guide (Nov 2025)[48][49]
- SANS 2025 Survey (via Netwrix) – Attack Surface & Vulnerability Management Key Takeaways[34]
- CybelAngel – The API Threat Report: What 2025 Has Taught Us So Far[50][12]
- ThreatMon – Attack Surface Visibility in 2025: Why It Matters More Than Ever[1][3]
- FortifyData – Attack Surface Management Market Size & Trends 2025[15][9]
- Cyble – Top Attack Surface Management Trends for 2025[16][51]
- Bitsight – Attack Surface Management Trends in 2025, per KuppingerCole[26][28]
- Bitsight Press Release – Recognized as Leader in 2025 ASM Compass[43][44]