온디맨드 스캔과 오토 디스커버리란? DBSAFER Shadow Control의 Shadow IT 탐지 방식
한 번 찾는 것만으로는 부족합니다. 넓게 찾고, 계속 발견해야 합니다
DBSAFER Shadow Control은 온디맨드 스캔(On-Demand Scan)과 오토 디스커버리(Auto Discovery)를 결합해 미등록 자산, 비인가 서비스, 우회 접속 경로, 민감정보 노출 가능성을 발견하고 DBSAFER 보호 자산 자동 등록과 통제 정책으로 연결합니다.
DBSAFER Shadow Control 문의하기온디맨드 스캔과 오토 디스커버리란? DBSAFER Shadow Control의 Shadow IT 탐지 방식
Shadow IT는 한 번의 자산 조사로 완전히 사라지지 않습니다. 클라우드 인스턴스는 새로 생성되고, 임시 DB는 빠르게 만들어지며, 비인가 서비스와 우회 접속 경로는 운영 과정에서 계속 생겨납니다. DBSAFER Shadow Control은 온디맨드 스캔(On-Demand Scan)으로 정해진 범위를 체계적으로 점검하고, 오토 디스커버리(Auto Discovery)로 실제 운영 중 발생하는 접속 행위와 데이터 접근을 지속적으로 발견합니다.
왜 두 가지 탐지 방식이 모두 필요할까요?
공격 표면 관리는 자산 목록을 만드는 일에서 끝나지 않습니다. 보안팀이 알고 있는 자산은 이미 관리 체계 안에 들어와 있을 가능성이 높습니다. 문제는 등록되지 않은 서버, 임시 DB, 비인가 서비스, 우회 접속 경로, 민감정보가 포함된 미식별 데이터처럼 운영 중 새롭게 생기거나 기존 관리 범위 밖에 남아 있는 대상입니다.
온디맨드 스캔(On-Demand Scan)은 정해진 범위의 인프라와 데이터를 넓게 점검하는 데 강합니다. 반면 오토 디스커버리(Auto Discovery)는 실제 접속 행위와 Query 실행 결과를 바탕으로 운영 중 발생하는 변화를 포착하는 데 강합니다. 두 방식이 결합되어야 “조사 시점의 가시성”과 “운영 중 변화에 대한 가시성”을 함께 확보할 수 있습니다.
온디맨드 스캔은 보안팀이 확인해야 할 범위를 넓게 점검하는 방식이고, 오토 디스커버리는 실제 사용 과정에서 새롭게 드러나는 자산과 데이터 접근을 지속적으로 발견하는 방식입니다. Shadow IT 대응에는 두 방식이 모두 필요합니다.
온디맨드 스캔(On-Demand Scan)이란?
온디맨드 스캔은 보안팀이 지정한 네트워크 대역, 프로토콜, DB 구조, 테이블·컬럼, 샘플링 데이터를 기준으로 미등록 자산과 민감정보 위치를 체계적으로 점검하는 방식입니다. 특정 시점의 자산과 데이터 현황을 넓게 확인할 수 있기 때문에 초기 진단, 정기 점검, 감사 준비, 컴플라이언스 대응에 효과적입니다.
인프라 영역에서는 SSH, RDP, DBMS, HTTPS 등 주요 프로토콜 활성화 여부를 확인하고, 미등록 서버나 비인가 서비스를 찾아낼 수 있습니다. 데이터 영역에서는 DB 테이블과 컬럼 구조를 분석하고, 샘플링 기반으로 개인정보나 금융정보 등 민감정보가 포함된 위치를 식별할 수 있습니다.
지정 범위 점검
특정 네트워크 대역, DB, 테이블, 컬럼 등 점검 대상을 지정해 체계적으로 확인합니다.
미등록 자산 발견
자산 목록에 없는 서버, 서비스, 포트, DBMS 접근 지점을 발견할 수 있습니다.
민감정보 위치 식별
테이블·컬럼 구조와 샘플링 데이터를 기반으로 개인정보·금융정보 보유 위치를 파악합니다.
정기 점검 근거 확보
점검 결과를 기반으로 보호 대상 범위와 보안 정책 적용 대상을 명확히 할 수 있습니다.
오토 디스커버리(Auto Discovery)란?
오토 디스커버리는 실제 운영 중 발생하는 접속 행위와 데이터 접근 흐름을 기반으로 새로운 자산, 우회 접속 경로, 비인가 서비스, 민감정보 노출 가능성을 자동으로 발견하는 방식입니다. 단순히 지정 범위를 스캔하는 것이 아니라, 사용자와 단말, 서버, DB 사이에서 실제로 발생하는 행위를 기반으로 보이지 않던 대상을 찾아냅니다.
인프라 영역에서는 단말과 서버 간의 실제 접속 행위를 통해 신규 서버, 비인가 접속, 우회 경로, 특정 프로토콜 사용을 발견할 수 있습니다. 데이터 영역에서는 실제 Query 실행 결과를 기반으로 새롭게 생성된 임시 데이터, 스캔 주기 사이에 발생한 민감정보 접근, 예상하지 못한 데이터 노출을 탐지할 수 있습니다.
실시간 접속 행위 기반
실제 단말과 서버 간 접속 흐름을 바탕으로 신규 자산과 우회 경로를 발견합니다.
운영 변화 감지
클라우드·하이브리드 환경에서 새롭게 생성되는 서비스와 접속 경로를 빠르게 파악합니다.
Query 실행 결과 분석
실제 Query 결과를 기반으로 민감정보 노출 가능성과 신규·임시 데이터 접근을 탐지합니다.
지속 검증 체계
한 번의 점검이 아니라 운영 중 발생하는 변화를 계속 확인하는 구조를 제공합니다.
온디맨드 스캔과 오토 디스커버리의 차이
두 방식은 서로 대체 관계가 아닙니다. 온디맨드 스캔은 넓은 범위를 체계적으로 확인하는 방식이고, 오토 디스커버리는 실제 운영 중 발생하는 변화를 지속적으로 발견하는 방식입니다. DBSAFER Shadow Control은 두 방식을 결합해 발견 범위와 실시간성을 동시에 확보합니다.
| 구분 | 온디맨드 스캔(On-Demand Scan) | 오토 디스커버리(Auto Discovery) |
|---|---|---|
| 탐지 기준 | 지정된 네트워크 대역, 프로토콜, DB 구조, 테이블·컬럼, 샘플링 데이터 | 실제 접속 행위, 단말·서버 간 통신, Query 실행 결과, 운영 중 발생하는 접근 흐름 |
| 강점 | 넓은 범위의 자산과 데이터 현황을 체계적으로 점검 | 스캔 주기 사이에 새롭게 발생하는 자산, 서비스, 우회 경로, 데이터 접근을 포착 |
| Infra 영역 | SSH, RDP, DBMS, HTTPS 등 주요 프로토콜 활성화 여부와 미등록 자산 조사 | 단말과 서버 간 실제 접속 행위 기반의 신규 자산, 비인가 접속, 우회 경로 발견 |
| Data 영역 | DB 테이블·컬럼 구조와 샘플링 기반 민감정보 위치 식별 | 실제 Query 실행 결과 기반의 민감정보 노출, 신규·임시 데이터 접근 탐지 |
| 운영 효과 | 초기 진단, 정기 점검, 컴플라이언스 대응 범위 설정에 효과적 | 동적 환경 변화, 실시간 우회 경로, 운영 중 발생하는 Shadow IT 대응에 효과적 |
Infra 영역에서의 탐지 방식
Infra 영역의 Shadow IT는 미등록 서버, 비인가 서비스, 우회 접속 경로, 관리되지 않는 프로토콜 사용에서 발생합니다. 특히 SSH, RDP, DBMS, HTTPS처럼 관리자가 자주 사용하는 접근 경로는 보안 정책 밖에서 열려 있을 경우 침해 사고의 진입점이나 측면 이동 경로가 될 수 있습니다.
| 탐지 방식 | 동작 방식 | 보안 효과 |
|---|---|---|
| On-Demand Scan | 지정 대역을 기준으로 SSH, RDP, DBMS, HTTPS 등 주요 프로토콜 활성화 여부를 조사 | 미등록 자산, 취약 포트, 비인가 서비스, 측면 이동 가능 경로를 사전에 발견 |
| Auto Discovery | 단말과 서버 간 실제 접속 행위를 기반으로 신규 자산과 우회 경로를 자동 발견 | 운영 중 새롭게 발생하는 접속 경로와 비인가 접근을 지속적으로 확인 |
인프라 공격 표면 관리는 단순히 서버 목록을 확보하는 것이 아닙니다. 실제로 어떤 프로토콜이 열려 있고, 누가 어디로 접속하고 있으며, 어떤 경로가 보호 정책 밖에 있는지 확인하는 과정입니다.
Data 영역에서의 탐지 방식
Data 영역의 Shadow IT는 관리되지 않는 DB, 임시 테이블, 개발 DB, 민감정보가 포함된 컬럼, 실제 Query 결과에서 노출되는 데이터에서 발생합니다. 인프라 자산이 식별되어도 그 안에 어떤 데이터가 있고, 실제로 어떤 Query 결과가 노출되는지 확인하지 못하면 데이터 보호 정책은 불완전해질 수 있습니다.
| 탐지 방식 | 동작 방식 | 보안 효과 |
|---|---|---|
| On-Demand Scan | DB 테이블·컬럼 구조와 샘플링 데이터를 분석해 개인정보·금융정보 등 민감정보 위치를 식별 | 민감정보 보유 현황, 데이터 분류 근거, 데이터 보안 정책 적용 대상을 명확히 함 |
| Auto Discovery | 실제 Query 실행 결과를 기반으로 민감정보 노출 가능성과 신규·임시 데이터 접근을 탐지 | 스캔 주기 사이에 발생하는 데이터 변화와 실시간 데이터 노출 위험을 확인 |
데이터 공격 표면 관리는 DB가 있는지 확인하는 수준을 넘어 어떤 테이블과 컬럼에 민감정보가 있고, 실제 Query 결과에서 어떤 데이터가 노출되는지까지 확인해야 합니다.
탐지 이후에는 분석과 통제가 이어져야 합니다
Shadow IT를 발견했다는 것은 보안 대응의 시작일 뿐입니다. 발견된 자산과 데이터가 얼마나 위험한지, 어떤 자산을 먼저 보호 대상으로 등록해야 하는지, 어떤 접근제어 정책을 적용해야 하는지 판단해야 실제 대응이 가능합니다.
DBSAFER Shadow Control은 온디맨드 스캔과 오토 디스커버리 결과를 기반으로 노출도, 민감도, 사용 행위, 접근 빈도를 종합해 위험도 우선순위를 도출합니다. 이후 발견된 자산은 DBSAFER 보호 자산으로 자동 편입되어 DAC·SAC·WAC·감사 체계와 연결될 수 있습니다.
운영 환경별 활용 포인트
온디맨드 스캔과 오토 디스커버리는 클라우드, 하이브리드, 망분리, 공공, 금융, 제조 환경에서 모두 활용 가치가 있습니다. 특히 자산 생성과 변경이 잦거나, 내부 접속 경로가 복잡하거나, 민감정보가 여러 DB와 업무 시스템에 분산되어 있는 환경에서는 두 방식의 결합이 더 중요해집니다.
클라우드·하이브리드 환경
비표준 IaaS, 임시 서버, 신규 서비스, 미등록 포트 등 빠르게 변하는 공격 표면을 발견합니다.
망분리·금융 환경
Shadow DB, 미등록 점검 단말, 우회 접속 경로를 식별하고 보호 자산으로 편입합니다.
공공·N²SF 대응 환경
정보시스템 식별, 데이터 등급분류 근거 확보, 변경 자산 감지를 통해 진단·평가 대응을 지원합니다.
제조·OT/IT 융합 환경
협력사 임시 접속 경로, 미관리 단말, 단말 간 실제 접속 행위를 기반으로 측면 이동 위험을 줄입니다.
관련 콘텐츠
결론: Shadow IT 대응은 넓게 찾고, 계속 발견하고, 즉시 통제해야 합니다
온디맨드 스캔(On-Demand Scan)은 보안팀이 지정한 범위를 체계적으로 점검해 미등록 자산과 민감정보 위치를 넓게 발견합니다. 오토 디스커버리(Auto Discovery)는 실제 운영 중 발생하는 접속 행위와 Query 실행 결과를 기반으로 신규 자산, 우회 경로, 데이터 노출 가능성을 지속적으로 발견합니다.
DBSAFER Shadow Control은 두 방식을 결합해 내부 인프라와 데이터 영역의 Shadow IT를 가시화하고, 위험도 분석을 통해 우선순위를 정리하며, 발견된 자산을 DBSAFER 보호 자산으로 자동 편입해 통제 정책까지 연결합니다. 공격 표면 관리는 발견에서 끝나지 않고, 분석과 통제로 이어져야 완성됩니다.
자주 묻는 질문
Q1. 온디맨드 스캔(On-Demand Scan)은 무엇인가요?
온디맨드 스캔은 지정된 네트워크 대역, 프로토콜, DB 구조, 테이블·컬럼, 샘플링 데이터를 기준으로 미등록 자산과 민감정보 위치를 체계적으로 점검하는 방식입니다.
Q2. 오토 디스커버리(Auto Discovery)는 무엇인가요?
오토 디스커버리는 실제 접속 행위와 Query 실행 결과 등 운영 중 발생하는 행위를 기반으로 신규 자산, 우회 경로, 비인가 서비스, 민감정보 노출 가능성을 자동으로 발견하는 방식입니다.
Q3. 두 방식은 왜 함께 필요하나요?
온디맨드 스캔은 정해진 범위를 넓게 점검하는 데 강하고, 오토 디스커버리는 운영 중 발생하는 변화를 실시간에 가깝게 발견하는 데 강합니다. 두 방식이 결합되어야 초기 진단과 지속 검증을 함께 수행할 수 있습니다.
Q4. Data 영역에서도 오토 디스커버리가 필요한가요?
필요합니다. DB 구조를 점검하는 것만으로는 실제 Query 결과에서 어떤 데이터가 노출되는지 알기 어렵습니다. 오토 디스커버리는 실제 Query 실행 결과를 기반으로 신규·임시 데이터와 민감정보 노출 가능성을 발견하는 데 활용됩니다.
Q5. 탐지된 자산은 어떻게 통제되나요?
탐지된 자산은 위험도 분석 후 DBSAFER 보호 자산으로 자동 편입될 수 있으며, DAC·SAC·WAC·감사 로그·세션 재현과 같은 통제 정책으로 연결되어 접근제어와 감사 대응을 수행할 수 있습니다.