보안취약점 진단분야는 보안에 있어서는 오래된 이야기 같지만 여전히 현재 진행형입니다. 국내 정보보호 분야 초창기부터 지금까지 꾸준히 진화해 왔지만, 최근 보안 위협의 수준이 달라지면서 우리의 접근법도 업그레이드가 필요한 시점입니다.
전통적으로 IT 부서는 서버, 네트워크 장비, PC 같은 물리적 장비를 '자산으로 관리해 왔습니다. 재무 관점에서는 합리적이지만, 보안 관점에서는 충분하지 않다고 생각합니다.
2025년 CISA KEV 분석 결과를 보면, VPN과 이메일 게이트웨이가 랜섬웨어 공격의 68%와 연관되어 있었습니다. 흥미로운 건, 이 취약점 대부분이 하드웨어 자체의 문제가 아니라 소프트웨어 구성, 관리 인터페이스 노출, 인증 설정 등의 허점에서 시작되었다는 겁니다.
이제는 전통적 IT자산 개념을 넘어, 보안 관점에서 재정의된 ‘보안자산’ 중심의 취약점 관리가 필요합니다. 이 글에서는 IT자산과 정보자산의 차이를 살펴보고, 실무에서 어떻게 적용할 수 있는지 이야기해 보겠습니다.
IT자산, 정보자산, 보안자산: 무엇이 다른가?
IT자산 vs 정보자산
IT 부서의 자산목록을 살펴보면 아래와 같은 정보들을 자산등록관리 대장에 등록하여 관리합니다.
- “Dell PowerEdge R740, 구매일 2022.03.15, 5년 유지보수 계약”
- “Cisco Catalyst 2960, IDC A동 랙 #7번”
물리적 장비의 생애주기를 추적하기엔 좋지만, 보안 관점에서 중요한 정보들은 누락되어 있습니다.
- 장비에서 어떤 소프트웨어가 어떤 버전으로 돌아가는지
- 관리 콘솔이 외부에 노출되어 있는지
- 관리자 계정 패스워드가 언제 마지막으로 변경되었는지
정보보호 분야에서는 훨씬 넓은 ‘정보자산(Information Asset)’ 개념을 사용합니다.
NIST SP 800-160에서는 자산을 "이해 관계자에게 가치가 있는 항목"으로 정의하며, 하드웨어뿐 아니라 인간, 데이터, 정보, 소프트웨어, 기능, 서비스 같은 무형 자산까지 포함합니다.
NIST CSF 2.0은 더 구체적입니다. 자산 관리 카테고리에는 각각을 독립된 관리 대상으로 구분합니다
- 하드웨어 인벤토리 (ID.AM-01)
- 소프트웨어·서비스·시스템 인벤토리 (ID.AM-02)
- 데이터 인벤토리 (ID.AM-07)
국내에서도 KISA의 ISMS-P 인증기준 2.1.3에서 정보자산을 서버, 네트워크 장비, 응용 프로그램, 소프트웨어, 데이터베이스, 문서 등으로 분류하여 관리할 것을 요구합니다.
그럼 왜 '보안자산’이라는 용어를 쓰나요?
국제 표준에서 이미 “Asset”, “Information Asset” 같은 용어가 있는데, 왜 굳이 '보안자산’일까요? 거기에는 세 가지 이유를 제시하고자 합니다.
- 실무 관점의 명확성
'정보자산’이라고 하면 데이터와 정보 중심으로 이해되는 경향이 있습니다. 하지만 취약점 진단 현장에서는 소프트웨어 버전, 관리 인터페이스 노출, 인증서 만료, API 키 관리처럼 데이터가 아닌 시스템 구성요소가 더 직접적인 점검 대상입니다. - IT 부서와의 협업
"이건 IT자산 대장이 아니라 보안자산 대장입니다"라고 명확히 구분할 수 있어야 각 팀의 역할과 책임이 분명해집니다. - 신규 자산 유형의 포괄
클라우드 API 엔드포인트, AI 모델, 자율 에이전트, Shadow IT 같은 새로운 유형의 자산들이 빠르게 증가하고 있습니다. '보안자산’은 이런 변화를 자연스럽게 담아낼 수 있는 용어입니다.
여기서는 '보안자산’을 NIST, ISO/IEC 27001, ISMS-P의 개념을 취약점 관리 실무에 맞게 재구성한 것입니다.
[참고] 보안담당자가 보는 자산의 스펙트럼
| 자산 유형 | 구체적 예시 | 보안 관점의 중요성 |
| 하드웨어 자산 | 서버, 네트워크 장비, 스토리지 | 기본 관리 대상 |
| 소프트웨어 자산 | OS 버전, DBMS, 미들웨어, 설치된 패키지 | 취약점의 직접적 원인 |
| 네트워크 자산 | 방화벽, VPN 게이트웨이, 라우터 | 공격의 주요 진입점 |
| 관리 인터페이스 | 웹 관리 콘솔, SSH 포트, IPMI | 관리자 권한 획득 경로 |
| 인증 자산 | 관리자 계정, 서비스 계정, 인증서, API 키 | 접근 통제의 핵심 |
| 데이터 자산 | 고객정보, 영업비밀, 백업, 로그 | 침해 시 실제 피해 발생 |
| 클라우드 자산 | AWS 인스턴스, Azure VM, S3 버킷 | 경계가 불분명한 자산 |
| AI 관련 자산 | AI 모델, API 키, 자율 에이전트 | 신규 공격 표면 |
짧은 글을 정리하자면, 보안취약점 관리의 출발점은 “무엇을 보호해야 하는가”를 명확히 정의하는 것입니다.
전통적 IT자산 관리는 물리적 장비 중심이지만, 실제 공격은 그 안의 소프트웨어 버전, 인증 설정, 노출된 관리 인터페이스 하나하나를 겨냥합니다.
NIST, ISO/IEC 27001, ISMS-P 등 국제 표준과 국내 인증기준에서는 이미 포괄적 자산 관리를 정의하고 있습니다. 본 글의 '보안자산’은 이러한 표준을 취약점 관리 실무에 맞게 구체화한 것입니다.
- 세분화된 자산 정의
하나의 서버를 여러 개의 보안자산으로 분해하여 각각을 독립적으로 관리 - 라이프사이클 전체 관리
도입부터 폐기까지 모든 단계에서 보안을 고려 - 우선순위 기반 조치
실제 위험도가 높은 취약점부터 집중적으로 해결
이 접근 방식은 취약점 진단의 정확도를 높이고, 보안대응의 효율성을 개선하며, 결과적으로 조직의 실질적인 보안 수준을 끌어올릴 것입니다.
참고 문헌
- NIST SP 800-160 Vol. 2 Rev. 1, “Developing Cyber-Resilient Systems”
- NIST Cybersecurity Framework (CSF) 2.0
- NISTIR 8286, “Integrating Cybersecurity and Enterprise Risk Management”
- ISO/IEC 27001:2022, Annex A 5.9 “Inventory of information and other associated assets”
- 한국인터넷진흥원(KISA), ISMS-P 인증기준 2.1.3 “정보자산 관리”
주요 용어 정리
- IT자산: 물리적·재무적 관점의 장비 및 시스템
- 정보자산: NIST, ISO 등 국제 표준에서 정의하는 유·무형 자산
- KEV (Known Exploited Vulnerabilities): 실제 악용이 확인된 취약점 목록
- EPSS (Exploit Prediction Scoring System): 취약점의 악용 가능성 예측 점수
'보안' 카테고리의 다른 글
| ISMS-P 심사에서 자주 지적되는 보안 항목과 대응 전략 by 엘에스웨어 양원석 (0) | 2025.11.12 |
|---|---|
| 실행코드 기능블럭 유사도 비교 by 엘에스웨어 신동명 (1) | 2025.09.08 |