2024년 9월 8일
지속적 위협 노출 관리 (CTEM)
1. 지속적 위협 노출 관리, CTEM의 개념 및 특징
- CTEM: Continuous Threat Exposure Management
| 개념 | 특징 |
|---|---|
| 보안 위협 사전 대응을 위해 조직의 중요 자산에 대한 취약점 및 위험을 지속적으로 식별, 측정 및 우선순위 지정/대응하는 보안 위협 관리 시스템 | – 새로운 보안 위협에 적극적 사전 대응 – 잠재적 위협에 우선순위 지정/대응 – 위협 변화 자동 대응, 최신 상태 유지 – 실시간 위협 인사이트, 의사결정 지원 |
- 가트너에서 2024년 10대 전략 중 투자 보호 영역에서 CTEM을 기술 트렌드 중 하나로 제시했으며, 사이버 복원력 전략에 필수 구성 요소로 포함됨
2. CTEM의 수행 절차 및 핵심 기술
(1) CTEM의 단계별 수행 절차
 |
(2) CTEM의 핵심 기술
| 구분 | 핵심 기술 | 주요 기능 |
|---|---|---|
| 보안 위협 식별/분석 측면 | 공격 표면 관리 (ASM, Attack Surface Management) | – 자산 식별, 공개된 시스템/네트워크 스캔 – 외부 공격자 관점에서의 노출 요소 분석 |
| 위협 인텔리전스 (Threat Intelligence) | – 위협 데이터 수집, 분석 및 배포 – 위협 트렌드 추적, 대응 준비 | |
| 보안 위협 관리 측면 | 취약점 관리 (Vulnerability Management) | – 시스템/App/네트워크 취약점 자동 스캔 – 취약점 우선순위 지정, 패치 관리 |
| 위협 모델링 및 시뮬레이션 (Threat Modeling and Simulation) | – 공격 경로 분석, 위협 시나리오 시뮬레이션 – 모의 해킹(공격 경로/방법), 방어 체계 수립 | |
| 보안 위협 대응/감시 측면 | 보안 오케스트레이션, 자동화 및 대응 (SOAR, Security Orchestration, Automation, and Response) | – 보안솔루션 연동 및 대시보드 가시성 제공 – 업무 자동화, 동적 플레이북 대응/리포팅 |
| 지속적 보안 모니터링, 가시성 (Continuous Security Monitoring and Visibility) | – 실시간 네트워크 모니터링, 이상 행동 탐지 – 관측가능성, 보안 로그 분석, 잠재 공격 발견 | |
| 위협 검증 /전략 수립 측면 | 취약점 및 위협 검증 (Vulnerability and Threat Validation) | – 위험 평가 및 분석, 우선순위 지정 – 심각성/중요도 기반 대응 계획 수립 |
| 위험 기반 의사결정 (Risk-Based Decision Making) | – 탐지된 위협과 취약점 악용 가능성 검증 – 모의 공격, 침투 테스트, 위협 검증 |
- CTEM은 여러 보안 솔루션 연동, 실시간 위협 대응 및 가시성을 제공하여 수치 기반 정량적 측정 통해 이해관계자 의사결정을 지원하나 이를 위해 데이터 통합이나 솔루션 간 연동에 복잡성 발생
3. CTEM의 측정 기준 및 한계점
(1) CTEM의 측정 기준
| 구분 | 측정 기준 | 기준 설명 및 측정 방법 |
|---|---|---|
| Time 측정 | 평균 탐지 시간(MTTD) | – 신규 취약점, 위협 탐지에 소요되는 시간 측정 – 평균 탐지 시간 = 위협 인지 시간 – 취약점 발생 시간 |
| 평균 응답 시간(MTTR) | – 식별된 취약점 대응 및 해결에 소요되는 시간 측정 – 평균 응답 시간 = 해결 완료 시간 – 위협 인지 시간 | |
| 인시던트 대응 시간 | – CTEM에서 탐지한 보안 인시던트 대응 시간 측정 – 인시던트 대응 시간 = 대응 완료 시간 – 탐지 시간 | |
| Ratio 측정 | 취약점 수정 비율 | – 식별된 취약점이 수정되는 비율을 모니터링 – 취약점 수정 비율 = 수정된 취약점 / 식별된 취약점 |
| 위험 감소 비율 | – 시간 경과에 따른 취약성 등 위험 점수 변화를 측정 – 위험 감소 비율 = (과거 점수 – 현재 점수)/과거 점수 | |
| 오탐률 | – CTEM 시스템이 실제 위협에 집중하는 비율을 측정 – 오탐률 = 오탐지 수 / (오탐지 수 + 정탐지 수) |
- 그 밖에 자산 범위(Server, Endpoint, Application 등)의 비율을 측정하여 자산 적용 범위가 높을 수록 포괄적인 보안성 보장
(2) CTEM의 한계점과 대응 방안
| 한계점 | 대응 방안 |
|---|---|
| – 자산/솔루션의 데이터 통합 어려움 – 자동화/오케스트레이션 복잡성 증가 – 데이터 증가에 따른 성능 보장 어려움 | – 데이터 체계 수립, 데이터 레이크 적용 – 생성형AI 기반 워크플로우 개발 자동화 – Scale-out, 빅데이터 처리, 분산 알고리즘 |
- CTEM은 조직의 전체 자산과 시스템을 대상으로, 위험 기반 취약성 관리(RBVM), Red Team, 공격 표면 관리(ASM), 클라우드 보안 상태 관리(CSPM)와 달리 포괄적 안전성 확보 및 지속적 개선 가능
[참고]
- Gartner, Gartner Top 10 Strategic Technology Trends for 2024
- PowerDMARC, 지속적인 위협 노출 관리(CTEM)란 무엇인가요
- OpeNow, 지속적인 위협 노출 관리(CTEM)
About The Author
