YEYE가 지켜보고 있다–카카오의 공격 표면 관리 이야기

카카오 서비스보안팀은 외부 공격으로부터 보호해야 할 디지털 자산의 경계선인 '공격 표면(Attack Surface)'을 관리하기 위한 도구 'YEYE'를 개발 및 운영하고 있습니다. YEYE는 조직이 보유한 자산을 식별, 분석, 관리하는 ASM(Attack Surface Management) 활동을 지원하며, 파편화된 기존 도구들을 통합하여 2023년에 탄생했습니다.

YEYE의 핵심 목표는 공격자보다 앞서 공격 표면을 식별하고 제거하는 것으로, 외부 접점을 가진 자산 식별 및 관리, 외부 보안 이슈 검토, 자산 내 약점 식별 등의 기능을 제공합니다. 이를 위해 내부 API와 스캐닝을 통해 자산 정보를 수집하고 주기적인 스캐닝으로 메타데이터 및 보안 이슈를 식별합니다.

보안은 제품이 아닌 프로세스라는 점을 강조하며, YEYE는 이러한 보안 프로세스를 강화하는 데 기여합니다.