가장 위험한 구멍은 공격이 거센 곳이 아니라, 아무도 보고 있지 않은 곳에 있다. 2026년 6월 말, 금융보안원은 외부에 노출된 자산을 지도책처럼 한눈에 보여 주는 공격표면관리(ASM) 서비스 ‘아틀라스’를 웹서비스로 확대했다. 이용 금융회사가 12곳에서 147곳으로 늘고, 식별·관리 중인 노출 자산이 27만 개를 넘어섰다. 핵심은 화려한 방어 장비가 아니라, 밖에서 보이는 내 자산을 빠짐없이 파악하는 데 있다는 점이다. 잊힌 서버, 방치된 서비스처럼 ‘내가 가진 줄도 몰랐던’ 자산이 가장 먼저 뚫리기 때문이다. 기업 보안의 출발점이 IT 자산 통합관리로 옮겨 가는 이유다.
보호할 수 없다, 모르는 자산은
아무리 비싼 방화벽도 존재조차 잊힌 서버는 지켜 주지 못한다. 사업이 커지며 늘어난 웹사이트, 임시로 띄웠다 잊은 테스트 서버, 관리에서 빠진 외주 시스템은 회사 지도 어디에도 없는 채 인터넷에 노출돼 있다. 공격자는 바로 그 사각지대를 노린다. 그래서 보안의 첫 단계는 장비를 더 사는 게 아니라, 내가 가진 자산을 빠짐없이 펼쳐 놓고 한곳에서 관리하는 일이다. 보이지 않으면 지킬 수도 없다.
‘모르는 자산’은 이렇게 생긴다
- 사업이 커지며 흩어진 서버·서비스가 한눈에 안 잡히는 경우
- 임시로 띄웠다 방치된 시스템이 그대로 노출된 상태
- 관리·점검 주체가 없어 취약점이 쌓여 가는 구조
흩어진 자산을 한 지도 위로 모아라
해법은 흩어진 자산을 한곳으로 모으는 데서 시작한다. 따로 노는 시스템을 하나로 묶어 전체를 들여다보게 하는 시스템 통합이 자산 지도의 토대를 만들고, 띄워 둔 뒤 잊지 않도록 상시 점검하고 손보는 시스템 유지보수가 사각지대를 줄인다. 여기에 현장 기기와 센서까지 빠짐없이 식별하는 IoT 임베디드 관리를 더하면, ‘모르는 자산’이 설 자리가 사라진다.
보안은 가장 두꺼운 벽을 세우는 일이 아니라, 벽이 없는 곳을 찾아내는 일이다. 잊힌 자산 하나가 가장 약한 고리가 된다.
금융권이 자산 지도부터 그리는 흐름은 모든 기업에 같은 질문을 던진다. 우리는 우리가 가진 것을 다 알고 있는가. 장비 목록을 늘릴지, 흩어진 자산을 한 지도 위에 모아 상시 관리할지에 따라 안전의 수준이 갈린다. 진짜 보안은 가장 비싼 장비가 아니라, 빠짐없이 파악되고 끊임없이 관리되는 자산에서 나온다.
