내부 침투 자동화 '오펜 레드' 출시…공격자 관점서 보안 수준 검증
AI 기반 시나리오로 실제 악용 가능성 입증…조치 후 재검증 지원
[서울=뉴시스]윤정민 기자 = 엔키화이트햇이 기업 내부망 침투 가능성을 자동으로 검증하는 보안 솔루션을 출시했다. 취약점을 단순 탐지하는 데 그치지 않고 공격자가 실제로 어디까지 접근할 수 있는지를 입증하는데 초점을 맞췄다.
엔키화이트햇은 내부침투 자동화 솔루션 '오펜 레드(OFFen RED)'를 출시했다고 7일 밝혔다.
이 제품은 외부 웹 진입점부터 내부 인프라, 서버, 데이터베이스(DB), 엔드포인트, 계정·권한, 중요자산까지 이어지는 공격 경로를 실제 공격자 관점에서 검증하는 솔루션이다.
단순히 취약점을 탐지하거나 목록화하는 방식이 아니라 해당 취약점이 실제 공격에 악용될 수 있는지 확인한다. 공격자가 내부망으로 확산해 중요자산까지 접근할 수 있는지도 하나의 공격 시나리오로 재현한다.
기존 정기 취약점 점검이나 단순 스캐너 방식은 취약점이 있는지 확인하는 데 초점이 맞춰져 있다. 하지만 보안 사고는 외부 웹 취약점, 내부 서버 설정 오류, 계정 권한 문제, 오래된 공개 취약점(CVE) 등이 단계적으로 연결되며 발생하는 경우가 많다.
최근 기업 보안팀은 취약점 수가 늘어나는 속도에 비해 인력과 예산이 제한적인 상황에 놓여 있다. 특히 생성형 AI와 자동화 도구가 공격자에게도 활용되면서 취약점 탐색과 악용 속도가 빨라지고 있다. 이에 보안 운영의 초점도 단순 점검 결과표 작성에서 실제 침투 가능성과 피해 영향도를 우선순위화하는 방향으로 이동하고 있다.
'오펜 레드'는 AI 기반 공격 시나리오 생성과 자동 실행 기능을 제공한다. 웹 애플리케이션, API, 네트워크, 서버, DB, 엔드포인트, 계정·권한 등 다양한 자산을 하나의 흐름으로 검증한다.
AI 동적 앱 보안 테스트(DAST)가 내·외부 웹 애플리케이션과 API 취약점, 침투 진입점을 식별한다. 내부 공격표면관리(ASM) 엔진은 내부망의 IP, 포트, 서비스, CVE 정보를 수집한다. 이후 레드팀 엔진이 전술·기법·절차(TTP)와 CVE 기반 점검, 시나리오 기반 침투 검증을 수행해 실제 공격 가능성을 확인한다.
오펜 레드는 가트너가 정의한 '적대적 노출 검증(AEV)' 분야에 대응하는 제품이다. AEV는 취약점 발견을 넘어 실제 공격자 관점에서 조직의 보안 노출을 지속적으로 검증하고 공격 가능성을 증거 기반으로 입증하는 방식이다.
또 공격 재현 코드(PoC)를 활용해 실제 악용 가능 여부를 검증하고 확인된 위험을 우선순위화한다. 조치 이후 재검증도 지원한다. 보안팀은 조치 완료 후 같은 공격 시나리오를 다시 실행해 취약점이 제거됐는지 공격 경로가 차단됐는지 확인할 수 있다.
서비스 가용성에 영향을 주지 않도록 공격 강도와 범위를 통제하는 가드레일도 제공한다. 온프레미스와 로컬 거대언어모델(LLM) 환경에서 구동할 수 있어 외부 클라우드 연동이 제한된 망분리·폐쇄망 환경에서도 활용할 수 있다.
이성권 엔키화이트햇 대표는 "오펜 ASM, 오펜 PTaaS, 오펜 레드를 연결해 기업이 공격자 관점에서 보안 수준을 지속적으로 관리할 수 있는 오펜시브 보안 체계를 제공하겠다"고 말했다.
◎공감언론 뉴시스 alpaca@newsis.com