애틀랜타, 조지아--(뉴스와이어)--리스크 기반 위협 모델링 분야의 글로벌 리더이자 PASTA(공격 시뮬레이션 및 위협 분석 프로세스) 방법론을 개발한 기업인 버스프라이트(VerSprite)는 지속 애플리케이션 위협 모델링 플랫폼인 포크(Fork)(www.forktm.com)와 웹 애플리케이션 및 웹 API 엔드포인트용 AI 기반 인간 참여형 적대적 테스트 플랫폼인 나이프(Knife)의 정식 출시를 발표했다. 이 두 제품은 함께 제품 보안을 위한 새로운 모델을 구현한다. 이 모델에서는 애플리케이션이 빌드 프로세스 자체의 일부로 안전하게 설계되고, 지속적으로 모델링되고, 적극적으로 테스트된다.

이번 출시는 모든 보안 책임자가 알고 있지만 제대로 해결할 수 있는 도구가 거의 없는 문제, 즉 위협 모델링은 AI 시대에 그 어느 때보다 중요하지만, 여전히 느리고 수동적이며 다른 위협 환경에 맞춰 설계된 프레임워크에 종속돼 있다는 문제를 해결한다.

문제: 위협 모델링이 그 어느 때보다 중요해졌지만, 대부분의 도구는 2005년 수준에 정체

20년 동안, 애플리케이션 위협 모델링은 스푸핑, 변조, 부인 방지, 정보 유출, 서비스 거부 및 권한 상승)을 나타내는 약어인 STRIDE에 크게 의존해 왔다. STRIDE는 위협을 여러 범주로 분류하는 데 유용하지만, 그 자체가 방법론은 아니었다. 이 시스템은 실시간 위협 인텔리전스를 수집하지 않고, 비즈니스에 미치는 영향을 고려하지 않으며, 정적인 범주 분류로 인해 오늘날 리스크를 정의하는 공격 행동, 즉 지속성 공격, 금전적 갈취, 이중 갈취 랜섬웨어, 공급망 침해, 그리고 AI 기반 애플리케이션으로 인해 발생하는 새로운 공격 표면에 대해 아무것도 알려주지 않는다.

그 결과는 익숙한 병목 현상이다. 위협 모델링은 문서 작업에 치중하는 일회성 활동으로 여겨져 수명주기에서 너무 늦은 시점에 수행되고, 애플리케이션이 변경되는 순간 효력을 잃으며, 실제 위협의 존재 여부를 검증하는 테스트와 연계되는 경우가 드물다. 기업들이 제품 출시 속도를 높이고 AI를 스택 전반에 도입함에 따라 소프트웨어 발전 속도와 모델링 속도 사이의 격차가 중대한 리스크 요소로 대두됐다.

솔루션: 스프린트 속도로 실행되는 리스크 중심의 위협 모델링

포크는 버스프라이트의 창립자이자 최고경영자인 토니 우세더발레즈(Tony UcedaVelez)가 공동 개발한 유일한 리스크 중심적이고 비즈니스에 부합하는 위협 모델링 방법론인 PASTA를 실용적인 소프트웨어 기반으로 구현한 것이다. PASTA는 위협을 추상적으로 분류하는 대신, 비즈니스 목표에서 시작해 공격 표면, 애플리케이션 분해, 위협 분석, 취약점 분석, 공격 모델링, 그리고 최종적으로 리스크 및 영향 분석에 이르는 7단계 접근 방식을 취한다. 따라서 가장 발생 가능성이 높고 발생 시 가장 큰 피해를 초래할 수 있는 위협을 파악할 수 있다.

포크는 이러한 엄격함을 현대 개발 주기에 적용해 팀이 2시간 이내에 방어 가능하고 리스크 우선순위가 지정된 위협 모델을 만들고 스프린트 1부터 지속적으로 최신 상태로 유지할 수 있도록 지원한다. 주요 기능은 다음과 같다.

· AI 가속 공격 트리. 포크의 AI 기능은 애플리케이션에 대한 공격 트리를 지능적으로 잘라 불필요한 정보를 제거하고 분석가가 광범위한 이론적 경로 대신 실행 가능하고 영향력이 큰 경로에 집중할 수 있도록 한다.

· 상황에 맞추고 위협 정보를 반영한 모델. 포크는 실시간 사이버 위협 인텔리전스, 제품의 기술 스택 전체의 최신 취약점 데이터, 그리고 실제 공격자 테스트를 통해 검증된 실행 가능한 공격 벡터를 통해 모든 모델을 강화한다.

· 산업 맞춤형 분류 체계. 이 플랫폼은 CWE, EPSS 점수 산정을 포함한 CVE, CAPEC, ATT&CK, D3FEND 및 ASVS를 비롯한 신뢰할 수 있는 MITRE 및 OWASP 프레임워크와 발견 사항의 상관관계를 자동으로 파악해 표적화 되고 방어 가능한 완화 조치를 취할 수 있도록 지원한다.

· 독자적인 잔여 리스크 산정 공식. 테스트가 완료되고 상황이 변경되면 포크는 잔여 리스크를 재계산해 경영진이 항상 노출에 대해 정확한 최신 정보를 확보할 수 있도록 한다.

· 단일 창. 업계 위협, 애플리케이션의 공격 표면 및 위협 인텔리전스가 보안, 엔지니어링, 제품 및 비즈니스 이해 관계자를 위한 통합된 협업 뷰로 수렴된다.

블루프린트에서 검증까지 책임지는 플랫폼: 나이프

위협 모델은 어떤 공격 경로가 가장 중요한지 정의하며, 나이프는 그 경로를 증명한다.

버스프라이트는 웹 애플리케이션 및 웹 API 엔드포인트를 위한 AI 기반 인간 참여형 공격 플랫폼인 나이프를 출시한다. 이 플랫폼은 버스프라이트의 브레이커스(BREAKERS) 공격보안팀이 20년 이상 축적한 업계에서 인정받는 공격 보안 경험을 바탕으로 학습됐다. 포크가 적대적 테스트를 위한 블루프린트 역할을 한다면, 나이프는 그 블루프린트를 바탕으로 AI의 규모와 속도를 전문가의 감독과 결합해 실제 환경과 유사한 방식으로 취약점을 검증한다.

이 통합은 오랫동안 위협 모델링과 테스트를 분리해 왔던 장벽을 제거한다. 포크 위협 모델 내에서 팀은 특정 취약점 및 공격 패턴에 대한 표적화된 주문형 테스트를 요청할 수 있다. 나이프는 평가를 실행하고, 결과는 모델로 다시 전달되며, 포크는 제품의 잔여 리스크를 자동으로 업데이트한다. 위협 모델링과 적대적 테스트는 더 이상 순차적이고 단절된 이벤트가 아니라 하나의 연속적이고 자체 업데이트되는 시스템이 된다.

새로운 운영 모델: AI 보안 운영

버스프라이트 최고경영자이자 창립자 및 PASTA 방법론 공동 저자 토니 우세더발레즈는 “제품 및 소프트웨어 보안의 미래는 제품이 나중에 추가되는 것이 아니라 기능 구축 프로세스의 일부로 안전하게 설계 및 테스트되는 통합 AI 보안 운영 모델에 있다. STRIDE가 업계에 새로운 용어를 제공했다면, PASTA는 방법론을 제공했다. 포크와 나이프는 이제 지속적인 위협 모델링과 통합된 AI 기반 테스트를 통해 소프트웨어 개발 방식 및 공격자의 실제 행동 방식에 발맞춰 운영 속도를 향상시킨다”고 말했다.

심층 통합을 통한 가시성 확보

포크는 기업에서 이미 사용 중인 보안 도구를 대체하는 것이 아니라 해당 기능을 극대화하도록 설계됐다. 포크는 SAST, DAST 및 소프트웨어 구성 분석, 취약점 스캔, 클라우드 보안 상태, 공격 표면 관리(CASM), 침투 테스트 플랫폼 및 IT 서비스 관리를 아우르는 애플리케이션 보안 생태계 전반의 통합을 통해 분산된 분석 결과를 종합적인 리스크 현황으로 전환한다. 연결된 통합 및 로드맵에 포함된 통합으로는 서비스나우(ServiceNow), 베라코드(Veracode), 스닉(Snyk), 셈그렙(Semgrep), 체크막스(Checkmarx), 오픈CTI(OpenCTI), 퀄리스(Qualys), 테너블(Tenable), 맨디언트(Mandiant), 아처(Archer) 등이 있다.

그 결과는 운영에 접목된 실시간 가시성 확보로 이어진다. 지속적인 주문형 테스트가 완료돼 보고되면 제품의 위협 모델과 잔여 리스크가 출시 속도에 맞춰 업데이트 되므로 보안 및 제품 책임자는 무엇이 잘못될 수 있는지, 그 가능성은 얼마나 되는지, 그리고 그로 인해 비즈니스에 어떤 손실이 발생할 수 있는지에 대한 최신 정보를 항상 파악할 수 있다.

판매 일정

포크는 지금 구매 가능하다. 무료 포크 커뮤니티(Fork Community) 에디션은 SBOM 또는 OVAL을 통한 취약점 수집을 포함하는 단일 애플리케이션 위협 모델을 지원하고, 포크 엔터프라이즈(Fork Enterprise)는 무제한 애플리케이션 및 팀, 모든 통합, SSO, 세분화된 액세스 제어 및 감사 로깅을 제공한다. 포크 엔터프라이즈 PT는 위협 모델 내에서 직접 요청할 수 있는, 나이프와 버스프라이트의 브레이커스 팀이 제공하는 온디맨드 공격자 테스트를 통해 플랫폼을 확장한다. 버스프라이트는 전문가가 진행하는 교육과 관리형 제공을 원하는 조직을 위해 서비스형 위협 모델링(Threat Modeling as a Service)도 제공한다.

더 자세히 알아보거나 데모를 요청하거나 무료로 시작하려면 www.forktm.com을 방문하면 된다.

버스프라이트 소개

버스프라이트(VerSprite)는 리스크 기반 위협 모델링, 공격적 보안 및 관리형 보안 서비스를 전문으로 하는 글로벌 사이버 보안 기업이다. 2007년에 설립돼 조지아주 애틀랜타에 본사를 두고 있는 버스프라이트는 PASTA(공격 시뮬레이션 및 위협 분석 프로세스) 방법론의 창시자이며, 전 세계 포춘 500대 기업 및 제품 조직과 협력해 구조화되고 데이터 기반이며 공격자 정보를 반영한 접근 방식을 통해 사이버 리스크를 줄이고 있다. 웹사이트: www.versprite.com

포크 소개

포크(Fork)는 버스프라이트의 지속적 애플리케이션 위협 모델링 플랫폼이다. PASTA 방법론을 기반으로 구축되고 AI로 가속화된 포크를 사용하면 보안, 엔지니어링 및 제품 팀이 2시간 이내에 리스크 중심의 위협 모델을 생성하고, 실시간 위협 인텔리전스와 풀 스택 취약점 데이터를 활용해 맥락을 파악하고, 지속적으로 애플리케이션의 발전에 보조를 맞출 수 있으며 이제 나이프를 통해 AI 기반의 통합 공격자 테스트도 제공된다.

이 보도자료는 해당 기업에서 원하는 언어로 작성한 원문을 한국어로 번역한 것이다. 그러므로 번역문의 정확한 사실 확인을 위해서는 원문 대조 절차를 거쳐야 한다. 처음 작성된 원문만이 공식적인 효력을 갖는 발표로 인정되며 모든 법적 책임은 원문에 한해 유효하다.