미국 사이버보안 및 인프라 보안국(CISA)이 2025년 6월 보안 책임자(CISO)를 대상으로 인터넷에 불필요하게 연결된 IT·OT 시스템의 존재를 경고하며, 이를 식별하고 보호할 수 있는 가이드라인을 발표했다. 이번 권고는 서버, 데이터베이스, 센서, 스위치, 라우터, 산업 제어 시스템(ICS) 등 공격자와 방어자 모두가 접근 가능한 공개 검색 도구(예: Shodan, Censys.io, Thingful)를 통해 쉽게 노출될 수 있는 자산을 중심으로 구성됐다.

CISA는 “기본 자격 증명이 그대로거나 보안 패치가 적용되지 않은 시스템이 온라인에 노출되면, 그 즉시 공격 표적이 된다”라며 “12TB 규모의 민감한 개인정보가 외부에 노출된 최근 사고 역시 이러한 위험을 방치한 결과”라고 설명했다.

“진짜 인터넷 연결이 필요한가?”…보안 점검 3단계 제안

CISA가 제안한 첫 번째 조치는 단순하지만 근본적인 질문에서 시작한다. “이 자산이 인터넷에 꼭 연결돼야 하는가?”라는 자문이다. 이 질문에 답하려면 조직이 보유한 모든 IT·OT 자산을 정확히 파악하고 있어야 한다. 이를 위해 CISA는 자산 인벤토리 관리가 선행되어야 한다고 강조했다. 일부 국가는 정부 차원의 보안 취약점 스캔을 제공하기도 한다.

두 번째는 인터넷 연결 필요성 평가다. CISO는 다음 기준을 활용해 각 자산의 공개 필요성을 검토해야 한다.

• 필수성(Necessity): 운영에 꼭 필요한 시스템인가?
• 업무 목적(Business Justification): 외부 노출이 업무상 어떤 목적을 위해 필요한가?
• 보안 조치(Security Measures): VPN, 다중인증(MFA) 등으로 접근을 제한할 수 있는가?
• 보안 유지(Maintenance): 최신 보안 패치가 적용돼 있는가?

이에 따라 외부 노출이 불필요한 자산은 아예 인터넷에서 차단하거나 접근을 제한해야 한다. 단, 이 과정에서 중요한 서비스가 중단되지 않도록 사전 점검이 필요하다.

세 번째는 남아 있는 인터넷 연결 자산에 대한 리스크 완화다. 구체적 방안으로는 다음을 제시했다.

• 기본 암호 변경 및 강력한 인증 수단 도입
• 정기적인 패치 관리 체계 마련
• VPN을 통한 원격 접근 보호
• 가능한 모든 경우에 다중 인증 적용

이와 함께 CISO는 인터넷 접근이 가능한 자산을 정기적으로 점검하고 정책 준수 여부를 확인해야 한다.

CISA는 공식 문서에서 직접 언급하지 않았지만, 직원 개인이 클라우드 스토리지나 데이터 처리 플랫폼을 통해 자산을 외부에 노출할 가능성 역시 염두에 둬야 한다. 예를 들어 드롭박스, 아마존 S3, AWS, 마이크로소프트 애저 등의 사용이 이에 해당한다.

노출 자산 “몇 분 안에 스캔 당한다”

SANS 인스티튜트의 연구 책임자인 요하네스 울리히는 “인터넷 스톰 센터에서 수집한 데이터에 따르면, 시스템이 노출되면 몇 분 안에 검색되고 공격 대상으로 식별된다”고 설명했다. 가장 많이 노출되는 자산은 약한 암호를 사용하는 텔넷·SSH 서버, 웹 기반 관리자 콘솔, 원격 데스크톱(RDP) 등이다.

울리히는 “클라우드 환경에서 애플리케이션이 빠르게 배포되다 보니, 이러한 접근 제어는 더 어려운 문제가 됐다”라며 “CISA 가이드는 유용한 기본 수칙을 제공하지만, 핵심은 이를 대규모로 적용하는 실행력”이라고 강조했다. 또한 “Shodan이나 Censys 같은 검색 도구는 보안 담당자에게도 유용하지만, 외부 IP에서의 정기적인 자체 스캔은 대체할 수 없다”고 전했다.

“IAM·기기 신뢰도 기반 접근까지 확장 필요”

1패스워드(1Password)의 글로벌 자문 CISO인 데이비드 루이스는 “이번 권고는 조직이 반드시 이행해야 할 핵심 수칙을 잘 정리한 것”이라며 다음과 같은 추가 보완을 제안했다.

• IAM(Identity and Access Management) 전략을 노출 자산 감축 활동에 포함해야 한다. 자격 증명 오용 및 구성 오류는 사이버 공격의 주요 진입점이다.
• 기기 신뢰도와 준수 상태(Device Trust & Compliance)를 고려한 접근 통제도 중요하다. 관리되지 않거나 비준수 장비는 섀도우 IT의 위협이 될 수 있다.

루이스는 “CISA의 가이드는 인터넷 노출을 줄이는 데 실용적인 출발점이 된다”라며 “IAM, 확장된 접근 제어, 기기 준수 점검을 추가하면 보다 강력한 다중 방어체계(Defense in Depth)를 구축할 수 있다”고 평가했다.

이번 가이드는 2025년 보안 환경에서 여전히 기본이 지켜지지 않는 현실을 지적하며, 기업 내 보안 책임자에게 가장 단순한 질문에서 출발해 핵심을 점검하라는 메시지를 던지고 있다.
dl-itworldkorea@foundryco.com