많은 기업이 이렇게 말합니다. “우리는 이미 자산을 다 관리하고 있습니다.”

하지만 실제 환경을 들여다보면 전혀 다른 문제가 존재합니다.

문제는 “자산이 없는 것”이 아니라, 그 자산이 지금도 사용되고 있는지 모른다는 것입니다.

1. 자산은 관리하지만, ‘상태’는 관리하지 않는다

대부분의 보안 시스템은 자산을 이렇게 관리합니다:

• 서버 목록

• 설치된 소프트웨어

• IP 및 OS 정보

이 정보는 “존재 여부”는 알려주지만, “실제 운영 상태”는 알려주지 않습니다.

예를 들어:

• 몇 년 전에 구축된 웹서버

• 더 이상 사용하지 않는 WAS

• 테스트 이후 방치된 API 서버

이 자산들은 “존재”하지만, 운영되고 있는지 / 방치된 상태인지 구분되지 않습니다.

2. 진짜 위험은 ‘방치된 시스템’에서 시작된다

보안 사고의 상당수는 다음과 같은 자산에서 발생합니다:

• 패치가 중단된 서버

• 담당자가 없는 서비스

• 트래픽이 거의 없는 시스템

• 인증서가 만료된 채 방치된 서비스

이들은 공통적으로 다음 특징을 가집니다:

“아무도 관리하지 않지만, 외부에서는 접근 가능한 상태”

즉,

• 내부에서는 잊혀졌고

• 외부에서는 열려 있는 상태입니다

이게 바로 공격자가 가장 좋아하는 환경입니다.

3. 기존 보안의 한계: “있다 / 없다” 중심의 판단

기존 보안 체계는 대부분 이렇게 동작합니다:

• 취약점 존재 여부

• 패치 여부

• 포트 오픈 여부

하지만 이 방식은 중요한 질문을 놓칩니다:

“이 시스템이 지금도 실제로 사용되고 있는가?”

이 질문이 빠지는 순간,

• 불필요한 자산도 계속 관리 대상이 되고

• 진짜 중요한 자산은 묻혀버립니다

4. 새로운 기준: ‘Usage 기반 보안’

이제는 다음 기준이 필요합니다:

✔ Active (운영 중)

• 실제 트래픽 존재

• 사용자 접근 발생

• 지속적인 서비스 요청

✔ Dormant (방치 상태)

• 트래픽 없음

• 접근 로그 없음

• 장기간 변화 없음

✔ Shadow (인지되지 않은 자산)

• 관리 시스템에 없음

• 네트워크에서만 발견됨

5. 왜 이것이 중요한가

이 분류가 중요한 이유는 명확합니다:

① 불필요한 공격 표면 제거

• Dormant 자산 → 종료 대상

• 관리 비용 감소 + 공격면 축소

② 보안 집중도 향상

• Active 자산 → 집중 보호

• 실제 운영 시스템 중심 대응

③ Shadow IT 식별

• Radar 기반 탐지

• 미인가 자산 통제

6. RiskMap이 해결하는 방식

RiskMap은 단순히 자산을 수집하지 않습니다.

다음 3가지 신호를 결합합니다:

• Agent 기반 내부 정보

• Radar 기반 네트워크 탐지

• Connector 기반 외부 시스템 연동

그리고 이를 통해:

“이 자산이 실제로 운영 중인지”를 판단합니다.

7. 단순 가시성에서 ‘행동 유도형 가시성’으로

기존 보안은 이렇게 말합니다:

• “이 자산에 취약점이 있습니다”

하지만 RiskMap은 다르게 접근합니다:

• “이 자산은 운영되지 않으므로 종료 대상입니다”

• “이 자산은 Active 상태이며 즉시 조치가 필요합니다”

즉, 단순 정보 제공이 아니라, 행동을 유도합니다.

8. 결론

보안의 실패는 기술 부족이 아닙니다.

“무엇을 관리해야 하는지 모르는 것”에서 시작됩니다.

이제는 다음 질문이 필요합니다:

• 이 자산은 정말 사용되고 있는가?

• 이 자산은 계속 유지해야 하는가?

• 이 자산은 지금 위험한가?

마무리

보이지 않는 자산을 찾는 것도 중요하지만,

그보다 더 중요한 것은:

“지금도 살아있는 자산과, 이미 죽은 자산을 구분하는 것”입니다.

그리고 그 구분이 가능해지는 순간, 보안은 비로소 “관리”가 됩니다.