보안 평가 // CHIMERASCOPE

준수 준비형 보안 인텔리전스

귀사의 외부 공격 표면을 평가하고 암호화된 규제 준수 매핑 보고서를 제공합니다. 이 수준에서 각 조사 결과를 CRA, NIS2, ISO 27001, GDPR, DORA, MiCA 규제 조항에 매핑하는 유일한 평가입니다.

외부 공격 표면 평가

우리는 수년간의 보안 연구를 통해 개발한 독자적인 평가 방법론을 사용하여 귀사의 공개된 인프라를 평가합니다. 이는 도메인, 서브도메인, 인증서, 이메일 보안, 노출된 서비스, 클라우드 구성, 제3자 의존성 등을 포함합니다.

모든 발견 사항은 귀사 조직에 적용 가능한 규제 프레임워크 조항과 자동 매핑됩니다. 결과적으로 기술 팀과 컴플라이언스 담당자 모두가 이해할 수 있는 구조화되고 암호화된 지능 보고서가 생성됩니다.

이 평가는 펜테스트(pen test)가 아닙니다. 우리는 외부 관찰자가 볼 수 있는 것 이상으로 귀사 시스템과 상호작용하지 않습니다. 표준 평가 범위에는 사전 승인 없이 수행할 수 있습니다. 다만, 유료 평가의 경우 공식 계약 체결을 권장합니다.

제공되는 서비스

암호화된 인텔리전스 보고서

AES-128 암호화된 PDF 형식으로 제공되는 종합 평가 보고서로, 전체 목차, 경영진 평가 (A–F), 법적 증거 사슬이 포함됩니다. 일반적으로 인프라 복잡성에 따라 30~50페이지 수준입니다.

규제 준수 매핑

모든 발견 사항이 구체적인 조항에 매핑됩니다: CRA 제10조, 11조, 14조 — NIS2 제21조 조치 — ISO 27001 부록 A 제어 — GDPR 제32조 기술적 요구사항 — 금융기관 대상 DORA 제5~12조, 17조, 24조, 28조 — 암호자산 서비스 제공자 대상 MiCA 제62조, 67조, 68조, 75조, 79조, 83조 — MiCA/DORA 전용 준수 평가표 (조항별 PASS/FAIL 평가) 포함. 업계별 주석이 필요한 경우 별도 제공됩니다.

경영진 요약 및 평가

이사회 보고용 요약서로, 전체 보안 등급, CRA 준비도 평가표 (신호등 지표 포함), 영향과 노력 수준에 따라 정리된 복구 우선순위 매트릭스가 포함됩니다.

증거 패키지

SHA-256 해시된 법적 증거 사슬과 검증용 QR 코드가 포함됩니다. SIEM 플랫폼, Jira, ServiceNow와 호환되는 머신 리드블 JSON 내보내기 기능으로, 복구 워크플로에 직접 통합할 수 있습니다.

규제 프레임워크

사이버 회복력 법안 (CRA)

취약점 보고는 2026년 9월 11일부터 의무화됩니다. 2027년 12월까지 전체 준수가 필요합니다. 우리는 제10조 (사이버보안 요구사항), 제11조 (취약점 관리), 제14조 (보고 의무)에 대한 조사 결과를 매핑합니다. 벌금: 최대 1,500만 유로 또는 글로벌 연간 매출액의 2.5%입니다.

NIS2 지침

적용 가능한 모든 도메인에 걸쳐 제21조 보안 조치 평가를 수행합니다. 보건, 에너지, 운송, 물, 디지털 인프라 업체에 대한 분야별 매핑이 제공됩니다. 2026년 1월부터 덴마크, 핀란드, 스웨덴에서 활성화되었습니다.

ISO 27001

부록 A 제어 매핑과 정보보안 관리 요구사항에 대한 격차 식별을 수행합니다. 인증을 취득하거나 유지하려는 조직에 특히 관련성이 높습니다. 우리의 조사 결과는 직접적으로 귀사의 적용성 진술서에 통합됩니다.

GDPR

제32조 기술적 및 조직적 조치 평가를 수행합니다. 데이터 노출 평가, 침해 위험 점수화, 외부 공격 표면에서 확인 가능한 처리 활동 식별을 포함합니다.

DORA — 디지털 운영 회복력 법안

유럽 연합 금융 기관에 의무화됩니다. 우리는 제5–6조 (ICT 리스크 관리), 제7조 (패치 관리), 제9조 (접근 제어, 암호화), 제10–11조 (탐지 및 대응), 제17조 (사건 보고), 제24조 (회복력 테스트), 제28조 (3자 리스크)에 대한 조사 결과를 매핑합니다. DORA 준수 매핑은 모든 유료 평가에 포함됩니다.

MiCA — 암호자산 시장 규제

2024년 6월부터 유럽 전역 암호자산 서비스 제공업체 (CASPs)에 적용되며, 2024년 12월부터 전체 적용됩니다. 우리는 제62조 (ICT 리스크 관리), 제67조 (운영 회복력), 제68조 (보호 요구사항), 제75조 (보관 및 관리), 제79조 (거래소 서비스), 제83조 (불만 처리)에 대한 조사 결과를 매핑합니다. 암호자산 대상은 MiCA/DORA 준수 점수표를 별도로 제공받아 각 조항별 PASS/FAIL/WARN 평가가 포함된 보고서에 표기됩니다. 거래소, 보관 지갑 제공업체 및 EU 내 암호자산 서비스를 제공하는 모든 업체에 필수적입니다.

산업

제약 및 바이오테크

임상시험 데이터 보호, 제조 시스템 노출, GxP 준수 검증. 평가 대상은 연결된 실험실 장비, 연구 포털, 파트너 기관과의 API 인터페이스를 포함합니다.

계약 제조 (CDMO)

다중 클라이언트 데이터 환경 평가, FDA/EMA 감사 준비도 평가. 공급망 노출, 공유 인프라 리스크, 고객 간 데이터 분리 검증에 중점을 두고 있습니다.

의료기기 및 MedTech

연결된 장비 생태계 평가, CRA 제품 준수 평가. 펌웨어 노출 분석, 업데이트 메커니즘 보안, API 인증, 클라우드 관리 플랫폼 상태를 포함합니다.

산업용 IoT 및 자동화

CRA 적용 대상 연결 제품의 OT/IT 통합 리스크 평가. 센서 네트워크 노출, SCADA 인터페이스 탐지, 클라우드 관리 플랫폼 및 엣지 컴퓨팅 보안 평가를 수행합니다.

의료 IT

전자 건강 기록 시스템 노출, 환자 데이터 리스크 평가. NIS2 건강 산업 요구사항 매핑, 원격 의료 플랫폼 보안, 통합 엔드포인트 평가를 포함합니다.

금융 서비스

DORA 준수 준비도 평가, API 보안 상태 평가. 결제 인프라 분석, 모바일 뱅킹 노출, 3자 서비스 제공업체 리스크 매핑을 수행합니다.

암호화폐 및 디지털 자산

암호화폐 서비스 제공업체, 거래소, 보관 지갑 운영자의 MiCA 준수 준비도 평가. OFAC 제재 대상 체크를 포함한 블록체인 주소 지능 분석, 지갑 노출 평가, 토큰 리스크 평가, 예비자산 증명(Proof of Reserves) 검증. BTC, ETH, XRP, SOL, ERC-20 토큰 생태계를 포함합니다.

평가 범위

평가 항목

외부 공격 표면 열거
서브도메인 발견 및 DNS 보안
TLS/SSL 구성 및 인증서 관리
이메일 보안 검증 (SPF, DMARC, DKIM)
노출된 서비스 및 자격 증명 탐지
기술 지문 분석 및 버전 분석
클라우드 인프라 및 저장소 노출
JavaScript 공급망 리스크 평가
역사적 인프라 변경 분석
제3자 의존성 및 SaaS 노출
블록체인 주소 지능 및 OFAC 제재 대상 스크리닝
DeFi 엔드포인트 발견 및 노출된 RPC 탐지
다크웹 존재 여부 모니터링 및 위협 인텔리전스
AI/ML 엔드포인트 및 추론 플랫폼 노출 탐지

평가하지 않는 항목

내부 네트워크 테스트
사회 공학 또는 피싱
물리적 보안 평가
취약점의 적극적 악용
서비스 거부 테스트
직원 모니터링 또는 감시
소스 코드 검토
모바일 애플리케이션 테스트

확장 범위 옵션

표준 평가는 위에서 설명한 핵심 외부 공격 표면을 다룹니다. 특정 규제, 운영 또는 부문 요구사항을 가진 조직의 경우, 평가 범위를 추가 조사 및 검증 활동으로 확장할 수 있습니다. 이는 조직의 위험 포스터와 준수 의무에 맞게 선택됩니다.

추론 엔드포인트 및 에이전트 오케스트레이션 노출

자체 호스팅된 추론 플랫폼, 에이전트 프레임워크, 모델 컨텍스트 프로토콜 서버 및 공개된 추론 인터페이스를 포함하는 현대 조직의 외부 공격 표면이 점점 더 형성되고 있습니다. 노출 탐지, 관리 인터페이스의 인증 포스터, 추론 엔진 및 오케스트레이션 플랫폼에 대한 알려진 취약점 클래스와의 교차 참조를 포함합니다.

공급망 무결성

CVE 풍부화를 포함한 JavaScript 의존성 위험 분석, 서드파티 리소스에 대한 서브리소스 무결성 검증, 만료된 CDN 도메인 속성(장기 브랜드 자산의 문서화된 인수 경로), 그리고 외부 표면에서 확인 가능한 벤더 생태계에 대한 서드파티 SaaS 플랫폼 보안 포스터 평가를 포함합니다.

역사적 탐지

DNS 및 BGP 변경 패턴을 통한 인프라 타임라인 분석, 아카이브된 콘텐츠 진화, 서비스 지문 드리프트, 현재 및 역사적 TLS 인증서 간 상관관계를 포함합니다. 현재 상태 스캔이 관찰할 수 없는 운영 패턴 및 인프라 결정을 드러냅니다.

그림자 IT 및 비승인 플랫폼 탐지

조직의 ID 퍼리미터 하에서 운영되는 비승인 SaaS 테넌트, 기업 정책 외부에서 운영되는 자체 호스팅 엔진, 운영 수명 이후에도 유지되는 고아 인프라를 포함하는 자산을 식별합니다. 이러한 자산은 현재 소유자가 없기 때문에 사고를 유발합니다.

통제된 취약점 검증

범위 내 엔드포인트에 대한 주입 취약점(예: SQL, 서버측 요청 위조, 템플릿, 명령)에 대한 검증 테스트는 공식 서면 승인 하에 수행됩니다. 이 활동은 수동 탐지에서 적극적 평가로 이동하며, 이전에 서명된 범위 작업이 필요합니다.

블록체인 및 암호자산 지능

BTC, ETH, XRP, SOL, ERC-20을 포함한 다중 체인 지갑 탐지, 미국 재무부 명단에 대한 OFAC SDN 제재 스크리닝, 깊은 지갑 타임라인 분석, 거래소 속성, 토큰 위험 평가, DeFi 엔드포인트 탐지(노출된 RPC 노드, 유출된 제공자 API 키, 관리자 지갑 탐지)를 포함합니다. 암호자산 부문에 속한 조직이나 대체자산의 블록체인 노출을 검증해야 하는 의무 또는 준수 의무를 가진 조직에 적합합니다.

MITRE ATT&CK 기술 매핑

각 식별된 결과는 특정 MITRE ATT&CK 기술 및 하위 기술과 상관관계가 있으며, 커버리지 격차 식별 및 탐지 엔지니어링 우선순위 추천을 포함합니다. 이는 보안 운영 센터(SOC) 또는 동등한 역량을 운영하는 조직의 탐지 엔지니어링 로드맵에 직접 통합됩니다.

승인 요구사항. 통제된 취약점 검증을 포함하는 확장 범위 평가는 수동 탐지에서 적극적 평가 활동으로 이동합니다. 참여를 위해 인증된 도메인 소유자의 서명된 공식 범위 작업이 필수이며, 예외 없이 이는 전제 조건입니다. 참여 투자금은 상담 시 범위에 따라 조정되며, 공개 카탈로그에 고정되지 않습니다.

확장 범위를 요청하는 조직: 방위 및 이중 사용 기술 계약업체, 계약 개발 및 제조 조직(CDMO), 국가적 중요 인프라 운영자, 금융 시장 인프라, 운영 기술 및 산업 IT 통합 환경, 규제 데이터를 처리하는 연구 기관.

배송

48시간 배송. 계약 확인 후 영업일 기준 2일 이내에 보고서를 배송합니다.
3개 언어. 전체 보고서는 영어, 독일어, 폴란드어로 제공됩니다. 추가 언어는 요청 시 제공됩니다.
기본적으로 암호화됨. AES-128 암호화된 PDF 파일과 고유한 액세스 자격 증명을 별도의 보안 채널을 통해 전달합니다.
OPSEC 정화됨. 모든 보고서는 운영 보안 검토를 거칩니다. 내부 방법론 세부 사항, 도구 서명 또는 평가 인프라 정보는 공개되지 않습니다.
다중 소스 검증. 모든 결과는 포함되기 전에 여러 독립적인 데이터 소스와 상관 분석됩니다. 확률적 결과는 명확하게 해당 사항으로 표시됩니다.
지속적인 모니터링. 정기 계약 기반으로 지속적인 평가가 제공되며, 월간 델타 보고서와 주요 노출 변경 사항에 대한 즉시 알림을 제공합니다.

무료 평가 요청

귀하의 조직 도메인을 제출하여 무료 외부 노출 요약을 받으세요 — 48시간 이내로 제공됩니다.

보안 평가 요청

평가 유형을 선택하고 귀 기관의 주 도메인을 제공해 주세요. 모든 제출 내용은 기밀로 처리됩니다.