Skip to content
Tiatra, LLCTiatra, LLC
Tiatra, LLC
Information Technology Solutions for Washington, DC Government Agencies
  • Home
  • About Us
  • Services
    • IT Engineering and Support
    • Software Development
    • Information Assurance and Testing
    • Project and Program Management
  • Clients & Partners
  • Careers
  • News
  • Contact
 
  • Home
  • About Us
  • Services
    • IT Engineering and Support
    • Software Development
    • Information Assurance and Testing
    • Project and Program Management
  • Clients & Partners
  • Careers
  • News
  • Contact

기업 네트워크, 노후 시스템과 미패치 장비로 보안 위험 급증

기업 네트워크가 지나치게 방대해진 가운데 가시성은 떨어지고, 여전히 구형 운영체제를 사용하는 PC 및 서버와 취약한 사물인터넷(IoT) 기기가 뒤섞여 있다는 점이 최근 연구를 통해 드러났다.

팔로알토네트웍스(Palo Alto Networks)가 발표한 ‘기기 보안 위협 보고서’에 따르면, 전체 리눅스 시스템의 26%, 윈도우 시스템의 8%가 이미 지원이 종료된(EOL) 운영체제를 사용 중인 것으로 나타났다.

1,800개 기업 네트워크에서 수집한 2,700만 개 기기의 텔레메트리 데이터를 분석한 결과, 네트워크 디렉토리에 등록된 IT 기기 가운데 39%는 활성 엔드포인트 보안 기능이 없었다. 또한 전체 기업용 기기의 32.5%가 IT 관리 범위 밖에서 운영되고 있었다.

이처럼 보안 통제가 적용되지 않은 환경에서는 공격자가 보호되지 않은 기기에 침투하더라도 탐지되지 않고 활동할 수 있다. 전체 기업 네트워크의 77%는 분리가 미흡해, 스마트 커피머신이나 프린터 같은 저보안 기기와 금융 서버처럼 가치가 높은 자산이 동일한 네트워크 세그먼트에 배치된 상태였다.

팔로알토네트웍스 클라우드 기반 보안 서비스 제품관리 부사장인 창 후앙은 “사무실 카메라, 스마트 센서, 개인 노트북처럼 일상적으로 사용하는 기기가 민감한 시스템과 직접 연결돼 있는 경우가 매우 많다는 점이 특히 눈에 띄었다”라며, “IT 부서가 관리하는 기기조차 상당수 보안 공백을 안고 있다. 이 가운데 거의 절반은 애초에 보안을 염두에 두지 않고 만들어진 고위험 기기가 관여한 것으로 파악된다”라고 설명했다.

가시성 공백

가시성과 네트워크 분리는 여전히 많은 기업 환경에서 취약한 지점으로 남아있다. 전체 기기 중 약 3분의 1은 관리되지 않고 있으며, 다수의 네트워크가 사실상 평면 구조에 가까워 공격자가 한 번 침투하면 내부에서 자유롭게 이동할 수 있는 상황이다.

더 문제인 점은 네트워크 엣지 장비가 아직 패치되지 않은 제로데이 취약점에 점점 더 많이 노출되고 있다는 점이다. 전문가들은 이런 문제가 기초적인 보안 결함에서 비롯됐다고 지적했다.

트렌드마이크로(Trend Micro) 필드 CTO 바라트 미스트리는 “방화벽, 라우터, 스위치 구성 오류는 반복적으로 심각한 침해사고를 초래해 왔다. 이들 장비는 권한이 높고 네트워크 전체를 들여다볼 수 있기 때문에, 취약점 목록의 상위에 오르는 경우가 많다. 이는 곧 패치와 설정 관리를 훨씬 더 엄격하게 해야 한다는 점을 보여준다”라고 말했다.

특히 네트워크 엣지에 위치한 라우터, 화상회의 장비, IoT 기기 등은 여전히 제대로 관리되지 않거나 패치가 미흡하며, 기본 인증 정보를 그대로 사용하는 경우도 많다.

포어스카우트(Forescout) 보안 인텔리전스 부사장 릭 퍼거슨은 “인터넷에 드러난 지점을 최소화하고 기본 인증 정보를 제거한 뒤, 외부에서 접근 가능하면서 취약한 장비를 우선적으로 보완하면 공격자가 손쉽게 파고들 여지가 크게 줄어든다”라고 말했다.

퍼거슨은 이어 “에이전트 기반 방식만으로는 충분하지 않기 때문에, 지속적인 에이전트리스 기반 가시성 확보와 소프트웨어 및 펌웨어 인벤토리 관리가 필요하다. 또한 분리와 패치 단계에서 리스크 기반 통제를 적용해야 한다”라고 말했다.

위험해지는 비즈니스

퍼거슨은 팔로알토네트웍스의 조사 결과가 전 세계 기업 네트워크에서 포어스카우트가 관찰한 내용과도 일치한다고 전했다.

퍼거슨은 “리눅스 시스템의 26%, 윈도우 시스템의 8%가 EOL 상태라는 팔로알토네트웍스의 결과는 우리가 현장에서 확인하는 양상과도 비슷하다. 특히 라우터와 각종 어플라이언스에 내장된 리눅스는 커널 버전 업데이트가 수년간 지연된 경우가 많다. 이로 인해 인터넷에서 접근 가능한 장비들이 미패치 취약점과 허술한 기본 설정을 그대로 노출하는 대규모 공격 표면을 형성한다”라고 설명했다.

포어스카우트의 최신 연례 ‘위험한 기기’ 보고서에 따르면, 특히 심각한 취약점을 가진 기기 가운데 절반 이상이 라우터를 비롯한 네트워크 장비로 나타났다. 또한 화상·음성 시스템 등 다른 범주의 기기들도 높은 위험도를 보였다.

포어스카우트의 이번 연구는 디바이스 클라우드를 통해 수집한 기업용 기기 텔레메트리와 다중 요인 기반 위험 점수 모델을 바탕으로 진행됐으며, 운영기술(OT) 분야의 위험이 빠르게 증가하고 있다는 점도 강조했다.

연구에 따르면, 영역별로 가장 위험한 장비 유형은 IT 영역의 애플리케이션 전달 컨트롤러(ADC)와 방화벽, IoT 영역의 네트워크 비디오 레코더(NVR), NAS, VoIP, IP 카메라, 그리고 OT 영역의 게이트웨이와 빌딩 관리 시스템(BMS)이었다.

복잡한 개선 과제

퀄리스(Qualys) EMEA 매니징 디렉터 맷 미들턴 리얼은 CISO가 보안 개선 프로젝트를 위해 내부 지원을 얻으려면 가시성 확보, 취약성 개선, 네트워크 분리를 더 높은 우선순위로 다뤄야 한다고 말했다.

미들턴 리얼은 “핵심 문제는 2가지다. 모든 IT 자산의 가시성을 어떻게 확보할 것인가, 그리고 왜 비즈니스 내부에 여전히 EOL 소프트웨어나 하드웨어가 남아 있는가다. CISO가 이 문제를 해결하려면 리스크 관점에서 비즈니스와 함께 논의해야 한다”라고 설명했다.

보안 리더에게 어려운 점은, 보안 취약 장비를 교체하는 프로젝트가 내부에서 낮은 우선순위로 취급된다는 사실이다. 반면 AI 관련 프로젝트는 혁신 분야로 인식되기 때문에, 조직 차원에서 투자 명분을 더 쉽게 인정받는다.

미들턴 리얼은 “수명이 다한 자산을 교체하려면 시간도 필요하고 변화 관리 같은 추가 작업도 요구되는데, 그 과정에는 비용이 든다. 문제는 이런 교체 작업이 비즈니스 측면에서는 성과를 내는 영역으로 인식되지 않는다는 점”이라고 말했다.

GRC 인터내셔널 그룹 정보보안 책임자 아담 시몬스도 기존 시스템 교체가 기업 IT 프로젝트에서 우선순위를 차지하는 경우는 거의 없다고 언급했다.

시몬스는 “수명이 다한 윈도우나 리눅스 시스템이 계속 남아 있는 건 게으름 때문이 아니라 현실적인 문제 때문”이라며 “기존 시스템 교체는 비용 부담이 크고 위험도 있으며, 실제로 뭔가 고장 나기 전까지는 늘 우선순위에서 밀린다”라고 지적했다.

시몬스는 이어 “패치되지 않은 장비는 모두 공격자에게 문을 열어주는 것이나 마찬가지”라고 말했다.

개선 작업은 단순히 하드웨어 교체나 마이그레이션에 그치지 않을 수 있다. 새롭고 안전한 구성요소와 호환되도록 소프트웨어를 리팩터링해야 하는 추가 작업이 뒤따르는 경우도 있기 때문이다.

미들턴 리얼은 “이런 오래된 소프트웨어 자산이 업데이트되지 않는 가장 큰 이유도 결국 여기에 있다. 재작업과 변화 관리에 드는 비용이 상당하지만, 그에 비해 비즈니스 효과는 크지 않기 때문”이라고 설명했다.

그는 “CISO와 보안 리더는 이러한 비용 구조를 고려해 팀을 이끌어야 하며, 수명이 지난 소프트웨어를 교체할 수 없는 경우 보완 통제 및 리스크 완화 방안을 설계해 해당 소프트웨어와 자산을 보호해야 한다”라고 조언했다. 
dl-ciokorea@foundryco.com                  


Read More from This Article: 기업 네트워크, 노후 시스템과 미패치 장비로 보안 위험 급증
Source: News

Category: NewsNovember 13, 2025
Tags: art

Post navigation

PreviousPrevious post:인터뷰 | “내부 검증이 첫 단추” 보스턴컨설팅그룹 CIO가 말하는 AI 전환 로드맵NextNext post:오픈AI, GPT-5.1 업데이트···성능 향상·대화 톤 조정 기능 추가

Related posts

6 new rules of IT leadership — and what they replace
July 6, 2026
Playing to win at the AI casino
July 6, 2026
AI doesn’t eliminate inefficiency. It amplifies it
July 6, 2026
시스코, 사내 AI 비서로 ‘섀도 AI’ 차단…직원당 주 5~6시간 업무 절감
July 6, 2026
벤더 종속 vs 빠른 구축…MS·AWS FDE 도입 전 따져볼 것들
July 6, 2026
채용·출장비 줄인 SAP, AI 투자 재원 확보 나서
July 6, 2026
Recent Posts
  • 6 new rules of IT leadership — and what they replace
  • Playing to win at the AI casino
  • AI doesn’t eliminate inefficiency. It amplifies it
  • 시스코, 사내 AI 비서로 ‘섀도 AI’ 차단…직원당 주 5~6시간 업무 절감
  • 벤더 종속 vs 빠른 구축…MS·AWS FDE 도입 전 따져볼 것들
Recent Comments
    Archives
    • July 2026
    • June 2026
    • May 2026
    • April 2026
    • March 2026
    • February 2026
    • January 2026
    • December 2025
    • November 2025
    • October 2025
    • September 2025
    • August 2025
    • July 2025
    • June 2025
    • May 2025
    • April 2025
    • March 2025
    • February 2025
    • January 2025
    • December 2024
    • November 2024
    • October 2024
    • September 2024
    • August 2024
    • July 2024
    • June 2024
    • May 2024
    • April 2024
    • March 2024
    • February 2024
    • January 2024
    • December 2023
    • November 2023
    • October 2023
    • September 2023
    • August 2023
    • July 2023
    • June 2023
    • May 2023
    • April 2023
    • March 2023
    • February 2023
    • January 2023
    • December 2022
    • November 2022
    • October 2022
    • September 2022
    • August 2022
    • July 2022
    • June 2022
    • May 2022
    • April 2022
    • March 2022
    • February 2022
    • January 2022
    • December 2021
    • November 2021
    • October 2021
    • September 2021
    • August 2021
    • July 2021
    • June 2021
    • May 2021
    • April 2021
    • March 2021
    • February 2021
    • January 2021
    • December 2020
    • November 2020
    • October 2020
    • September 2020
    • August 2020
    • July 2020
    • June 2020
    • May 2020
    • April 2020
    • January 2020
    • December 2019
    • November 2019
    • October 2019
    • September 2019
    • August 2019
    • July 2019
    • June 2019
    • May 2019
    • April 2019
    • March 2019
    • February 2019
    • January 2019
    • December 2018
    • November 2018
    • October 2018
    • September 2018
    • August 2018
    • July 2018
    • June 2018
    • May 2018
    • April 2018
    • March 2018
    • February 2018
    • January 2018
    • December 2017
    • November 2017
    • October 2017
    • September 2017
    • August 2017
    • July 2017
    • June 2017
    • May 2017
    • April 2017
    • March 2017
    • February 2017
    • January 2017
    Categories
    • News
    Meta
    • Log in
    • Entries feed
    • Comments feed
    • WordPress.org
    Tiatra LLC.

    Tiatra, LLC, based in the Washington, DC metropolitan area, proudly serves federal government agencies, organizations that work with the government and other commercial businesses and organizations. Tiatra specializes in a broad range of information technology (IT) development and management services incorporating solid engineering, attention to client needs, and meeting or exceeding any security parameters required. Our small yet innovative company is structured with a full complement of the necessary technical experts, working with hands-on management, to provide a high level of service and competitive pricing for your systems and engineering requirements.

    Find us on:

    FacebookTwitterLinkedin

    Submitclear

    Tiatra, LLC
    Copyright 2016. All rights reserved.