Detectify란 무엇인가
Detectify는 외부 공격 표면 관리(EASM)와 애플리케이션 보안 테스트를 다루는 보안 플랫폼입니다. 공식 제품 설명은 인터넷에 노출된 자산을 발견하고, 도메인·웹 앱·API의 취약점과 오설정을 찾는 흐름에 집중합니다. 핵심은 "이미 알고 있는 서버를 스캔한다"가 아니라 "회사가 실제로 인터넷에 무엇을 열어두고 있는지 계속 찾는다"입니다.
EASM은 External Attack Surface Management의 약자입니다. 회사가 도메인을 사고, SaaS를 붙이고, 임시 테스트 앱을 만들고, 마케팅 랜딩 페이지를 배포하다 보면 공개 자산 목록은 금방 흐려집니다. 퇴사한 사람이 만든 하위 도메인, 더 이상 쓰지 않는 staging 앱, 오래된 CMS, 인증이 빠진 API가 그대로 남을 수 있습니다. 공격자는 이런 빈틈을 먼저 봅니다.
왜 삼랑 화이트리스트인가
Detectify는 non-human-identity, vendor-risk-management, content-credentials, deepfake-detection과 같은 보안 토끼굴로 이어집니다. AI agent와 SaaS 연동이 늘수록 사람이 로그인하는 계정보다 API 키, 봇, 외부 서비스 연결이 더 많아집니다. 그러면 "어떤 자산이 밖에 열려 있는가"와 "그 자산에 누가 접근하는가"를 같이 봐야 합니다.
삼랑에서는 Detectify를 공격 도구로 다루지 않습니다. 취약점 재현 절차, 우회 방법, exploit 코드는 다루지 않습니다. 대신 보안팀·개발팀이 자기 자산을 어떻게 발견하고, 우선순위를 정하고, 반복 점검할지 설명합니다.
EASM에서 먼저 보는 것
외부 공격 표면 관리는 보통 세 단계로 이해하면 쉽습니다.
- 발견: 루트 도메인에서 하위 도메인, 앱, API, IP, 인증서, 노출 서비스를 찾습니다.
- 분류: 실제 운영 자산인지, 버려진 테스트 자산인지, 민감한 시스템인지 나눕니다.
- 점검: 취약점, 오설정, 정보 노출, takeover 가능성을 확인하고 우선순위를 매깁니다.
여기서 중요한 것은 완벽한 스캔 한 번이 아니라 계속성입니다. 공격 표면은 배포, 인수합병, 캠페인, 외주 개발, SaaS 도입 때마다 변합니다. 그래서 EASM은 정적 점검표가 아니라 운영 루프에 가깝습니다.
다음에 읽을 것
Detectify를 이해하면 /t/non-human-identity로 넘어가야 합니다. 외부 자산이 보이면 그 자산을 움직이는 API 키와 서비스 계정도 봐야 하기 때문입니다. 외부 SaaS 의존성은 /t/vendor-risk-management, AI가 만든 콘텐츠와 신뢰 문제는 /t/content-credentials로 이어집니다.