문제는 기존 ‘체크리스트’ 방식은 고도화된 위협을 막는 데 한계가 있다는 점이다. 연 1~2회 정기 점검이나 인증 취득에만 의존해 온 기업들이 대형 사고를 피하지 못하면서 인증 무용론까지 제기되는 실정이다. 이에 정부는 최근 ISMS-P 인증 제도를 개선해 사고 이력이 있거나 고위험군으로 분류된 기업에 대해 예비심사 단계부터 ‘실전 모의해킹’을 의무화했다.

S2W기업은 이러한 흐름에 맞춰 자사 CTI 역량을 결합한 ‘실전형 모의해킹’ 모델을 제시했다.

단순히 취약점을 찾는 것을 넘어서

1) 디지털 리스크 프로텍션(DRP) 

2) 공격표면관리(ASM) 

3) 위협 인텔리전스(TI)를 유기적으로 연계해 조직의 방어력을 입체적으로 검증한다.

자체 ASM 솔루션으로 외부에서 보이는 공격 표면을 식별하고, 위험도 판별 알고리즘으로 대응 우선순위를 정해주는 것이 특징이다. 공개된 취약점을 자동 검증하는 CART(Continuous Automated Red Teaming) 시스템을 활용해 실제 해커들의 전술·기술·절차(TTP)를 반영한 공격 시나리오를 테스트할 수 있다. 다크웹에 유출된 계정 정보를 활용한 침투 가능성도 점검한다.
 

기사출처 :  https://www.boannews.com/media/view.asp?idx=141552&kind=0