사후 대응에서 사전 예방으로: CTEM의 중요성

PAGO Gartner Security Risk Management Summit 현장 리포트

PAGO는 National Harbor, MD에서 개최되고 있는 2026 Gartner SRM Summit을 참관하고, 현장에서 논의되는 핵심 보안 세션을 리포트로 연재하고 있습니다. 이번 글에서는 Steven Santos가 발표한 「Outlook for Exposure Management: Accelerating CTEM Adoption」 세션을 중심으로, 노출 관리(Exposure Management)가 취약점 식별을 넘어 검증(Validation), 이행(Mobilization), 대응 우선순위 판단으로 확장되는 흐름을 보안 운영과 MDR 관점에서 살펴봅니다.

Steven Santos는 세션 초반, 이렇게 문제를 제기했습니다. 보안 조직은 이미 다양한 도구를 통해 취약점, 외부에 노출된 서비스, 잘못된 클라우드 설정, 신원 리스크 같은 노출 항목을 찾아내고 있습니다. 그렇다면 남는 과제는 발견 자체가 아니라, 식별된 노출이 실제 위험으로 이어질 수 있는지 판단하고, 이를 조직 안에서 대응으로 연결하는 일입니다.

CTEM, 공격 경로로 이어질 노출을 가려내는 방식

지속적 위협 노출 관리(Continuous Threat Exposure Management, CTEM)는 조직에서 발견된 노출 중 공격에 악용될 가능성이 높고 비즈니스 영향이 큰 항목을 식별하고 관리하는 접근 방식으로 제시됐습니다. Steven Santos는 노출 관리가 성과로 이어지기 위해서는 발견 이후의 단계가 중요하다고 짚었습니다. 중요한 것은 더 많은 노출 항목을 찾는 것이 아니라, 식별된 노출이 실제 공격으로 이어질 수 있는지 검증(Validation)하고 이를 조직 안에서 이행(Mobilization)까지 연결하는 것입니다.

기존 취약점 관리(Vulnerability Management)가 CVE와 CVSS 점수를 기준으로 패치 우선순위를 정하는 방식에 가까웠다면, CTEM은 반복적이면서도 더 넓은 운영 사이클에 가깝습니다. 단순히 취약점 점수가 높은 항목부터 처리하는 것이 아니라, 비즈니스에 중요한 자산이 무엇인지, 해당 자산이 외부에서 접근 가능한지, 접근 제어나 모니터링이 적용되어 있는지, 실제 공격에 악용될 가능성이 있는지까지 함께 봐야 합니다. 그리고 이러한 판단은 단순한 우선순위 표시에서 끝나는 것이 아니라, 실제 위험을 줄이는 조치로 이어져야 합니다.

결국 리스크를 많이 발견하는 것과 실제 위험을 줄이는 것은 전혀 다른 영역입니다. Gartner가 이번 세션에서 검증(Validation)과 이행(Mobilization)을 다음 단계의 핵심 과제로 제시한 이유가 바로 여기에 있습니다.

Mobilization, 노출 관리의 필수 단계

노출을 식별하고 우선순위를 정했다고 해서 위험이 곧바로 줄어드는 것은 아닙니다. 발견된 노출이 공격에 악용될 가능성을 낮추려면 무엇을 수정하고, 어떤 위험을 수용하며, 어디에 완화 조치를 적용할지 결정하는 과정이 필요합니다. 이것이 바로 Mobilization입니다. Mobilization은 단순히 패치 티켓을 발행하는 것이 아니라, 필요한 조치를 정하고 이를 실제 담당 조직이 실행하도록 만드는 단계입니다.

조치 방식은 항상 하나로 정해지지 않습니다. 어떤 자산은 즉시 패치가 필요할 수 있지만, 또 다른 자산은 서비스 영향도나 운영 제약 때문에 바로 수정하기 어려울 수 있습니다. 이 경우 조직은 위험 수용(Accepting Risk)이나 완화(Mitigation)를 함께 검토해야 합니다. 여기서 완화는 취약점이나 설정 문제를 직접 수정하는 Remediation과 달리, 접근 제한, 모니터링 강화, 보완 통제 적용처럼 공격에 악용될 가능성을 낮추는 대응을 의미합니다. 중요한 것은 “더 빨리 패치하라”는 단순한 답이 아니라, 해당 위험이 실제 공격 가능성과 비즈니스 영향 측면에서 어떤 조치가 필요한지 판단하는 것입니다.

Mobilization이 어려운 이유는 기술보다 조직 운영에 가깝습니다. 위험에 노출된 자산에 왜 조치가 필요한지 담당자가 이해하지 못하거나, 누가 판단하고 승인하며 실행할 것인지 명확하지 않으면 위험은 그대로 남습니다. 보안팀은 위험을 발견하고 우선순위를 제시할 수 있지만, 실제 조치는 인프라, 클라우드, 애플리케이션, 네트워크, 업무 시스템 담당 조직이 수행해야 하는 경우가 많습니다. 결국 CTEM의 성과는 위험을 아는 것에서 멈추지 않고, 그 위험을 줄이기 위한 조치가 실제 담당 조직의 실행으로 이어지는지에 달려 있습니다.

Mobilization Coordinator의 역할

이 지점에서 필요한 역할이 Mobilization Coordinator입니다. 발견된 노출을 실제 위험 감소로 연결하려면 여러 조직의 판단과 실행이 함께 맞물려야 합니다. Steven Santos는 이 간극을 줄이기 위한 방법 중 하나로 이 역할을 제시했습니다. 이는 단순한 티켓 전달자가 아니라, 보안팀, IT 운영, GRC, 업무 시스템 담당 조직 사이에서 노출의 의미를 해석하고 조치 우선순위와 책임 주체를 정렬하는 조율자에 가깝습니다.

Mobilization Coordinator는 단순히 티켓을 넘기는 역할이 아닙니다. 규제나 감사와 연결된 노출은 GRC 관점에서 우선순위를 조정해야 하고, 클라우드나 인프라 취약점은 IT 운영 조직과 패치 또는 설정 변경 일정을 맞춰야 합니다. 보안 운영 관점에서는 새로 확인된 침해 지표(IoC)나 공격 기법(TTP)을 기존 노출 데이터와 연결해, 현재 위협에 더 취약한 자산이 무엇인지 판단할 수 있어야 합니다.

Steven Santos는 전담 Mobilization Coordinator를 도입한 조직이 전통적인 취약점 조치 방식에만 의존하는 조직보다, 발견된 위험을 실제 조치로 연결해 위험을 줄이기까지 걸리는 시간을 단축할 수 있다고 설명합니다. 이는 CTEM이 단순한 기술 도입이 아니라, 발견된 위험을 실제 조치로 연결하기 위한 책임과 실행의 운영 구조라는 점을 보여줍니다.

TDIR로 확장되는 Exposure Data

노출 관리는 취약점 관리 안에서만 끝나지 않습니다. Steven Santos는 Exposure Data가 TDIR(Threat Detection, Investigation and Response), 즉 위협 탐지, 조사, 대응 과정에서도 중요한 역할을 할 수 있다고 설명합니다. 노출 데이터는 조직 안에서 어떤 자산이 취약한지, 어떤 설정이 위험한지, 어떤 경로가 공격에 악용될 수 있는지를 보여줍니다. 반면 TDIR은 실제 알림과 이벤트를 바탕으로 위협을 탐지하고 조사하며 대응하는 영역입니다.

이 두 영역이 연결되면 SOC의 판단 기준은 달라집니다. 동일한 알림이라도 외부에 노출된 중요 자산에서 발생했는지, 공격자가 악용할 수 있는 경로와 연결되어 있는지, 접근 제어나 모니터링이 적용되어 있는지에 따라 대응 우선순위는 달라져야 합니다. Steven Santos는 Exposure Data가 TDIR에 연결될 때 가시성 향상, 더 나은 위협 억제와 대응 선택지, 탐지 로직 개선, 인시던트 영향도 이해, Triage 시간 단축에 기여할 수 있다고 설명합니다.

이 메시지는 보안 운영 관점에서 중요합니다. SOC가 알림을 볼 때 필요한 것은 단순히 “이 이벤트가 악성인가”에 대한 답만이 아닙니다. 해당 이벤트가 실제로 중요한 자산에서 발생했는지, 공격자가 다음 단계로 이동할 수 있는 조건이 있는지, 지금 차단해야 하는지, 모니터링을 강화해야 하는지까지 판단해야 합니다. 노출 데이터는 이 판단을 가능하게 하는 맥락 정보가 될 수 있습니다.

결국 Exposure Management와 TDIR의 연결은 보안 운영을 더 선제적으로 만드는 방향입니다. 탐지 이후에야 자산의 중요도와 취약성을 확인하는 것이 아니라, 이미 파악된 노출 정보를 바탕으로 알림의 우선순위와 대응 방향을 더 빠르게 결정하는 것입니다. 이는 CTEM이 단순히 위험을 찾아내는 활동을 넘어, 탐지와 대응의 판단 품질을 높이는 운영 기반으로 확장될 수 있음을 보여줍니다.

Conclusion

CTEM은 더 많은 취약점을 찾기 위한 방법론에 그치지 않습니다. 이미 많은 조직은 다양한 도구를 통해 외부 공격 표면, 클라우드 설정, 애플리케이션 취약점, 자격 증명 리스크를 확인하고 있습니다. 따라서 노출 관리의 핵심은 발견된 노출을 개별 항목으로 나열하는 것이 아니라, 실제 공격 경로로 이어질 가능성과 비즈니스 영향을 기준으로 우선순위를 판단하고 조치로 연결하는 데 있습니다.

PAGO 관점에서 이번 세션의 메시지는 MDR Service를 제공하는 과정에서 이미 중요하게 다뤄온 방향성과 맞닿아 있습니다. 탐지된 알림을 단일 이벤트로 보지 않고, 해당 자산의 외부 노출 여부와 실제 공격 경로로 이어질 가능성을 함께 검증하는 것이 중요합니다. PAGO는 이러한 맥락을 바탕으로 고객이 수많은 위협 중 무엇을 먼저 조치해야 하는지 판단할 수 있도록 근거를 제공하는 데 초점을 둡니다.

결국 CTEM의 가치는 노출된 자산을 더 많이 발견하는 데 있는 것이 아니라, 비즈니스 우선순위에 따라 위험을 실제로 줄이는 운영으로 이어질 때 드러납니다. 조직이 발견한 노출을 정확히 검증하고 필요한 조치로 이행하며, 그 데이터를 탐지, 조사, 대응 판단에 활용할 수 있을 때 노출 관리는 실제 보안 운영의 성과로 이어질 수 있습니다.

작성자: 이시우 Threat Analyst | DeepACT MDR Center