top of page

[Gartner SRM Summit 2025] 위협 중심 모의 침투 테스트 Threat-Led Penetration Testing의 가치와 도입 전략

Eric Ahlm의 "Adversarial Exposure Validation을 활용한 보안 운영 개선 팁" 강연은 CTEM 프레임워크의 핵심인 AEV에 대한 통찰을 제공했습니다. 이와 관련하여 깊이 있는 내용으로 Dhivya Poole의 “The Ultimate Cyber Drill: Unveiling the Benefits of Threat-Led Penetration Testing” 세션에서 진화하는 사이버 보안 위협에 대한 현실적인 적대적 노출 검증 방안을 살펴볼 수 있었습니다.

ree

진화하는 사이버 위협과 새로운 접근 방식의 필요성

 사이버 위협은 예측 불가능할 정도로 빠르게 진화하며 기존 방어 시스템을 무력화시킬 수 있습니다. 따라서, 체크리스트를 확인하는 수준의 전통적인 모의 침투 테스트로는 더 이상 충분하지 않습니다. Dhivya Poole는 효과적인 사이버 방어를 위해 위협 중심의 모의 침투 테스트(Threat-Led Penetration Testing, TLPT)로 전환해야 한다고 강조합니다. 이는 현실적이고 관련성이 높은 것은 물론, 비즈니스에 실질적인 가치를 제공하는 데 필수적입니다.


위협 주도 침투 테스트(TLPT)의 정의와 핵심 가치

 TLPT는 전통적인 침투 테스트와 달리, Threat Intelligence 기반으로 수행됩니다. 단순히 취약점을 찾는 것이 아닌, 조직을 실제로 공격할 수 있는 위협 행위자를 분석하고, 그들의 동기, 목표, 공격 기법을 파악하여 시나리오를 구성하여 실행한다고 설명합니다.


TLPT의 주요 가치는 다음과 같습니다.

  • 현실적 평가: 실제 공격 시나리오를 모방하여, 방어 체계의 실질적인 취약점을 찾아내고 보완합니다.

  • 맞춤형 평가: 조직의 비즈니스 환경과 위협 프로필에 맞춰 가장 적합한 평가를 제공합니다.

  • 비즈니스 목표 연계: 제로데이 공격 대응, 사고 대응 시스템 강화, 브랜드 가치 보호 등 핵심 비즈니스 목표 달성에 기여합니다.

  • 사이버 복원력 강화: 단순히 규제 요구 사항을 충족하는 것 이상으로, 조직의 사이버 복원력을 능동적으로 강화합니다.


TLPT 운영 프레임워크: 5단계 접근법

 Threat Intelligence를 중심으로 한 5단계 프레임워크는 TLPT를 단순한 일회성 이벤트가 아닌, 지속 가능한 프로세스로 개선합니다.

ree

  • 위협 주도 침투 테스트(TLPT)의 단계별 이점


1단계: 위협 인텔리전스

  • 잠재적 공격자의 정체, 공격 동기 및 목표, 예상되는 피해 규모를 분석

  • 공격자, 의도, 능력, 기반 시설 등을 상세히 기록한 '위협 프로필'을 생성

2단계: 계획

  • 위협 프로필을 바탕으로 테스트 범위, 공격 시나리오와 방법, 노출 관리 연계 등을 설정

  • 구체적인 공격 절차와 방법론을 담은 '인텔리전스 주도 공격 계획'을 수립

3단계: 실행

  • 계획된 공격을 시뮬레이션하고, 실시간 상황에 따라 전술을 조정하며 운영 무결성을 유지

  • 공격 과정과 결과를 상세히 기록한 '보고서' 작성

4단계: 분석 및 개선

  • 공격팀과 방어팀이 합동으로 과정 검토(Purple Teaming)를 진행하고, 발견된 취약점과 방어 격차를 분석하여 개선 방안을 도출

  • 우선순위에 따라 구체적인 조치 계획을 담은 '대응 계획'을 작성

5단계: 검토 및 지속적 개선

  • 전체 TLPT 과정을 검토하고 프로세스 개선점을 도출

  • 조직의 보안 태세 강화를 위한 '지속적 개선’ 모델 구축


성공적인 TLPT 운영을 위한 핵심 전략

 TLPT 투자를 유치하는 것은 인지하는 것과는 별개의 문제입니다. 효과적인 프레임워크를 구축하고 운영하려면 세 가지 핵심 전략을 반드시 활용해야 한다고 강조합니다.

ree

  • 위험 기반 침투 테스트(TLPT)의 효과 극대화를 위한 주요 고려 사항


  • 경영진의 지지 획득

    • 사이버 위협을 기술적인 문제가 아닌 사업적 위험으로 명확히 설명

    • TLPT가 브랜드 이미지 유지, 법규 준수, 고객 신뢰 구축에 미치는 긍정적 영향을 강조

  • 최적화된 서비스 모델 선택

    • 조직의 규모, 성숙도, 자원 상황을 고려하여 내부 전문가, 외부 컨설팅, 자동화 솔루션의 조합을 고려

    • 자동화 기술로 테스트 범위를 넓히고, 고도화된 시나리오 분석에는 전문 공급자의 역량을 활용하여 효율성 최적화

  • 측정 가능한 성과 제시

    • 단순한 취약점 목록 대신 TLPT가 비즈니스에 가져오는 실질적인 이익을 객관적인 지표로 증명

    • 예를 들어, 평균 위협 탐지 시간(MTTD) 및 평균 대응 시간(MTTR) 감소와 같은 구체적 성과를 통해 잠재적 손실 비용 절감 효과를 명확히 제시


결론 : TLPT, 생존을 위한 필수 역량

사이버 보안 환경에서 TLPT는 필수가 되어야 하며, 다음 세 가지 권장 사항을 계획하고 실행함으로서 TLPT를 기업의 핵심 보안 역량으로 내재화할 필요가 있다고 언급합니다.


  1. 핵심 자산에 집중: 가장 가치 있는 시스템과 데이터 자산을 보호하는 데 TLPT 노력을 우선적으로 집중하여, 가장 중요한 것을 먼저 지켜내야 합니다.

    1. AEV에서도 설명했듯이 공격자 또는 인텔리전스 기반의 모의 침투 테스트를 광범위하게 계획할 필요는 없습니다. PAGO가 전달하는 CTEM 프레임워크 Prioritize 단계에서도 탐색 과정 이후에 중요 자산의 우선순위를 설정함과 동일합니다. 


  2. 기능 및 기술 통합: 노출 관리, 사고 대응 등 인접 보안 기능과 TLPT를 통합하여 시너지를 창출하고, 전사적인 인텔리전스 기반 방어 체계를 구축해야 합니다.

    1. 모든 보안 환경이 Turn-Key 기반으로 동작할 수 있다면 더할나위 없이 체계화된 환경이라 말할 수 있지만 현실은 그렇지 못한 경우가 있습니다. Dhivya가 언급하는 것처럼 모의 침투 테스트와 인접한 보안 기술 및 기능을 우선적으로 통합해야 합니다.


  3. 지속적 개선과 문화 조성: TLPT를 통해 얻은 통찰력을 사고 대응 프로세스 개선, 임직원 보안 인식 교육 강화에 활용

    1. 여기서는 인적요소에 대한 부분도 언급됐지만 Continuous라는 단어의 중요성을 깨달아야 합니다. 지속적으로 프레임워크가 동작해야됨을 의미합니다.


 결론적으로, 위협 주도 침투 테스트(TLPT)는 끊임없이 진화하는 위협에 맞서 기업의 보호와 성장을 보장하는 현실적이고 전략적인 접근 방식이며, 인텔리전스를 기반으로 계획하고 지속적으로 개선해 나감에 따라 TLPT는 기업을 더욱 보안 위협으로 부터 안전하게 보호할 수 있습니다.


ree

Gartner SRM Summit Day 1을 마무리하면서 진화하는 위협에 맞서기 위한 필수 전략으로 TLPT를 강조했습니다. 하지만 이론적인 중요성 과는 별개로, 이를 실행에 옮기는 과정에는 기업이 직면하는 현실적인 딜레마가 존재한다고 생각됩니다. 바로 '모의 침투 테스트'라는 역할의 부재와 '자원'의 한계로 바라보고 있습니다. 

기업의 보안팀은 사고를 예방하고 방어하는 데 그 역할이 집중되어 있으며, 공격을 위한 별도의 환경과 역량을 확보하고 유지하는 것은 상당한 부담입니다. 이는 우리가 레드팀의 필요성을 알면서도 선뜻 도입하지 못하는 근본적인 이유이기도 합니다.

 이러한 현실을 인정하는 것이 바로 효과적인 TLPT 전략의 출발점이 아닐까 라는 자문을 해보게 됩니다. TLPT를 '내부에 반드시 둬야 하는 전담팀'이 아닌, 조직이 반드시 확보해야 할 핵심 기능(Capability)으로 바라봐야 하며, 중요한 것은, 어떤 방식으로든 우리 기업의 보안 체계를 실제 공격자의 시선으로 끊임없이 검증하고 개선해 나가는 것입니다.


작성자 – 파고네트웍스 권표 이사 (CPTO)

bottom of page