한국원자력연구원
VPN 취약점으로 인해 외부 IP에서 비인가 접속 발생, 메일 시스템 및 인증 서버 피해
Gigamon
네트워크 가시성
ASM (Attack Surface Management)
사이버 위협 인텔리전스 기반의 공격표면관리(ASM)란?기업과 기관에는 수많은 네트워크 장비와 DB, 서버, 애플리케이션, 도메인이 존재하며, 이러한 모든 IT 자산은 IP 주소와 Port로 운영됩니다. 해커가 침투할 수 있는 열린 Port, 서버 취약점, 유사 도메인과 피싱, 악성코드 유포 도메인 등의 공격 표면을 미리 탐지하고 관리하는 것이 공격표면관리(Attack Surface Management, ASM)입니다. 기업의 IT 환경이 급격하게 변화하면서 공격표면은 파악하기 어려울 만큼 다양해지고 넓어지고 있습니다. 
Attack Surface
외부망의 모든 자원은 해커의 공격 타겟이 될 수 있습니다. 예) RDP, nginx, OpenSSH, Apache, MySQL 등 기존 보안 방식과 공격표면관리의 차이점기존 보안 장치와 솔루션은 공격이 발생한 이후의 대응에 주력합니다. 반면 ASM 기반 보안 방식은 공격 가능한 자산 노출을 사전에 파악하고 관리하여 실제 공격이 발생하기 전에 위협을 차단합니다. 
기존 보안 솔루션 취약점 탐지 프로세스
대상 Software 선정 → 행위/유형/인터페이스 분석 → 종류 추정 → DB 검색 →
상세 분석 → 예상 지점 선정 → 코드 분석/오류 주입 →
취약성 검토 및 이상 동작 모니터링 → 사후 분석 →
공격 시나리오 수립 → 취약점 공격 대비 조치
ASM System 취약점 탐지 프로세스
취약점 탐지 → 취약점 자동 분석 → 취약점 공격 대비 조치
ASM 도입 효과
자산 노출로 인한 해킹 피해 사례한국원자력연구원VPN 취약점으로 인해 외부 IP에서 비인가 접속 발생, 메일 시스템 및 인증 서버 피해 서울 S병원ID, PW, 주민등록번호 등 민감 개인정보 유출 국내 자동차 관련 기업내부망 접근 권한이 다크웹에서 거래 국내 보안관리업체 A/B/C월패드 해킹으로 아파트 내부 영상 유출 뷰티 커머스 S사약 640만 건 개인정보 유출 인테리어 플랫폼 J사약 200만 건 개인정보 다크웹 유출 여행 플랫폼 P사외부 공격자 서버 접속 키 탈취 및 DB 유출 제조사 H사내부망 구조도 및 보안 점검 보고서 3,500여 건 유출 
기업에 가장 위협적인 공격 경로는
“자산 취약점과 원격 서비스(VPN, RDP)” 입니다.
출처: 한국인터넷진흥원 2021 사이버 위협 동향 보고서 | 한국재정정보원 사이버위험 정보 및 통계 Criminal IP ASM 개요Criminal IP ASM은 사이버 위협 인텔리전스(CTI) 기반의 공격표면관리 자동화 솔루션으로, 전 세계 인터넷에 노출된 기업의 모든 IT 자산을 자동으로 탐지하고 위험도를 분석하여 실시간으로 관리할 수 있도록 지원합니다. Criminal IP ASM의 공격표면관리 특장점고객 자산 자동 탐지고객이 알고 있는 자산과 알지 못하는 자산까지 전 세계 인터넷 대상으로 스캔하여 사용 중인 IP 주소와 열려 있는 모든 Port에서 운용 중인 네트워크 자산 전체를 자동으로 탐지합니다. 전 세계 Port 스캔 데이터42억 개 IP 주소 정보, 3억 개 이상의 Domain 데이터 기반으로 IP, Port, Domain, Application, SSL Certificate, IoT, VPN, CCTV, Firewall, Cloud Server 등 다양한 공격표면 데이터를 제공합니다. 클라우드 기반 웹 인터페이스SaaS 형태의 ASM 솔루션으로, 별도의 서버 구축이나 장비 설치 없이 웹 브라우저만으로 빠르고 쉽게 공격표면관리를 시작할 수 있습니다. 자산 및 취약점 위험도 스코어링AI 머신러닝 기반 자체 알고리즘을 통해 실시간 탐지된 모든 자산을 5단계 위협 스코어링 (Safe → Low → Moderate → Dangerous → Critical) 으로 시각화합니다. 보안 담당자는 이를 기반으로 사이버 위협 우선순위를 지정하여 빠르고 정확하게 대응할 수 있습니다. 
CTI 검색엔진 무료 연동Criminal IP ASM은 사이버 위협 인텔리전스 검색엔진 Criminal IP와 완전 연동되어, ASM에서 탐지된 IP, Domain, Certificate, Application 자산을 즉시 상세 분석할 수 있습니다. 
데일리 분석 리포트 & 메신저 연동신규 자산 및 취약점이 발견되면 데일리 리포트 메일이 자동 발송되며, Slack 등 업무 메신저와 연동하여 실시간 보안 알람 및 즉각적인 대응이 가능합니다. 
Criminal IP ASM 전체 기능전 세계 IP 정보 기반의 사용 정보 및 위험 등급을 제공하며, 간단한 검색만으로도 악성 URL 및 도메인 검증, 노출된 취약점 정보를 빠르게 확인할 수 있습니다. New Assets추가되거나 변경된 자산을 자동으로 탐지합니다. IP Assets탐지된 IP 주소의 열린 포트를 스캔하여 제공합니다. DomainIP에 연결된 도메인 및 서브도메인을 제공합니다. Certificate도메인에 적용된 SSL 인증서 정보와 만료 상태를 제공합니다. Risk모든 자산의 공격 가능한 취약점을 종합적으로 제공합니다. Intelligence자산의 공격표면 노출 정보 및 상세 위협 인텔리전스를 제공합니다. Dashboard전체 자산 통계, 지리 정보, 취약점 현황을 대시보드로 제공합니다. OSINT (Google Hacking)구글 검색엔진에 노출된 자산 정보를 모니터링할 수 있습니다. Criminal IP ASM 제품 UI 설명DashboardCriminal IP ASM에서 자동 탐지된 기업의 전체 IT 자산 통계, 지리 정보, 취약점 현황을 한눈에 확인할 수 있습니다. 
Risk 분류자동 탐지된 자산을 High, Medium, Low 3단계 위험도로 분류하여 보안 조치가 시급한 자산을 빠르게 식별할 수 있습니다. 
Host / 클라우드 통계자동 탐지된 전체 Host 수와 클라우드 자산 현황을 보여주며, 각 클라우드별 자산과 IDC 자산의 합계는 전체 Host 수와 일치합니다. 
자산 지리적 통계전 세계 IP 주소 데이터를 바탕으로 기업 IT 자산의 지리적 분포를 시각적으로 확인할 수 있습니다. 
취약 자산 그래프탐지된 자산 중 취약한 자산의 개수를 월별 그래프로 제공합니다. 
AS Name / Software / Port 통계ASN, 애플리케이션, 열려 있는 포트 비율을 차트로 시각화하여 자산 현황을 쉽게 파악할 수 있습니다. 
Recent Risks가장 최근 발견된 자산 취약점을 보여주며, 각 Asset을 클릭하면 상세 위협 정보를 확인할 수 있습니다. 
New Assets가장 최근 추가된 자산 데이터를 확인할 수 있으며, 각 Asset 클릭 시 상세 정보를 조회할 수 있습니다. 
IP Assets (Application)탐지된 IP 자산의 위험도 Score, AS Name, 위치 정보, 취약점 요약 정보를 확인할 수 있으며, IP 클릭 시 Criminal IP 인텔리전스 검색엔진으로 연동됩니다. 
Domain / Certificate등록된 도메인의 Score, Technology(jQuery, PHP 등), 취약점 개수, SSL 인증서 정보(암호화 방식, 만료일), 서브도메인 요약 정보를 제공합니다. 
Risks사용자가 등록한 자산(IP, Domain)에서 위협이 발견되면 자동으로 Risk 페이지에 추가되어 위협에 노출된 자산 정보를 빠르게 확인할 수 있습니다. 
OSINT (Google Hacking)구글 검색엔진에 노출된 자산 리스트를 보여주며, 자산 유형, 파일 노출 여부, 접속 가능 상태 등을 확인할 수 있습니다. 
Criminal IP 위협 인텔리전스 검색엔진Criminal IP ASM 도입 시 Criminal IP CTI 검색엔진의 Search, Intelligence, API 통합 기능을 함께 사용할 수 있으며, 최신 글로벌 보안 위협 분석 리포트와 통계를 통해 빠르게 보안 동향을 파악할 수 있습니다. 
다른 ASM 제품과 Criminal IP ASM의 차이
국내 유일 ASM System 제조업체
NEP 인증 획득NEP 인증 대상 제품: 국내 최초 개발 기술 또는 기존 기술을 혁신적으로 개선한 신기술이 적용된 제품으로, 판매 개시 후 3년이 경과하지 않은 신개발 제품 인증된 신제품 지원 항목
Criminal IP ASM 도입 방법Criminal IP ASM 도입에는 오직 한 가지만 필요합니다. 
Criminal IP ASM 도입을 원하는 기업 및 기관에 여러 정보를 요청하지 않습니다. 운영 중인 자산 중 단 하나의 도메인 주소만 있으면, 전 세계 네트워크에 분포된 모든 자산을 자동 식별하여 즉시 공격표면 관리를 시작할 수 있습니다.
대표 도메인 등록 → 연관 도메인 검색 → 유사 대역 IP 검색 →
복합 증폭 검색 → 특징 정보 분류/매칭 →
보유 IP·도메인 자동 추출 → Attack Surface Management 자동화
Criminal IP ASM 공격표면관리 사례① 새로운 취약점이 발견되는 경우기업이 운용 중인 자산에 대한 위협 인텔리전스 분석을 통해 공격 가능한 취약점이 있는 자산을 위협 스코어링으로 시각화하고, Criminal IP Vulnerability 기능을 통해 대응 방안을 제공합니다. 
2021.01.30 (Before): Server A → Safe
2021.02.01 (After): Server A → Critical New CVE: CVE-2021-44228 (Log4Shell) ② 공공기관 B 사례 (정기 취약점 점검 자동화)국정원 지침에 따라 6개월마다 취약점을 점검하던 공공기관 B는, Criminal IP ASM 도입 이후 상시 취약점 점검 체계로 전환했습니다. 기존 방식
Criminal IP ASM 도입 후
③ 위험한 포트가 오픈되는 경우열려 있으면 안 되는 포트가 실수로 오픈되거나 방치된 경우, Criminal IP ASM은 실시간으로 모든 IP의 포트를 스캔하여 위협 리포트를 제공합니다. 
예) DB Port 3306, HTTP 80, HTTPS 443 등
④ 제조업체 P 사례 (DB 포트 노출 사고)ERP 장애 대응 과정에서 외부 DB 접속을 위해 3306 포트를 임시 개방했으나, 방화벽 시스템 오류로 장기간 포트가 개방된 상태로 방치되었습니다. 사고 발생 전
Criminal IP ASM 도입 후
⑤ 새로운 자산이 추가되는 경우외부에 노출된 채 방치되었거나 파악하지 못한 신규 자산을 Criminal IP ASM의 실시간 자산 스캐닝을 통해 자동으로 식별할 수 있습니다. 
⑥ IT 서비스 기업 A 사례 (멀티 클라우드 미확인 자산)Google Cloud, AWS, Azure 멀티 클라우드를 운영하던 IT 서비스 기업 A는, 마케팅팀이 보안팀 승인 없이 알리바바 클라우드를 사용해 이벤트 페이지를 개설한 사실을 인지하지 못하고 있었습니다. 문제 상황
Criminal IP ASM 도입 후
ASM 주요 기능 요약고객 자산 자동 탐지고객이 알고 있는 자산과 알지 못하는 자산까지 전 세계 인터넷 대상으로 스캔하여 사용 중인 IP 주소와 열려 있는 모든 서비스 포트에서 운용 중인 네트워크 자산 전체를 탐지합니다. 클라우드 기반 웹 인터페이스고객사 계정 등록 이후, PC, 태블릿, 모바일 기기의 브라우저를 통해 웹 인터페이스로 빠르고 쉽게 ASM 솔루션을 사용할 수 있습니다. 자산 및 취약점 위험도 스코어링AI 머신러닝 기반 자체 알고리즘을 통해 실시간 탐지된 모든 자산을 5단계 위협 스코어링으로 시각화하고, 사이버 위협 우선순위를 지정하여 빠르고 정확한 보안 대응이 가능합니다. |
