보안 평가 // CHIMERASCOPE
당사는 귀 조직의 외부 공격 표면을 평가하고 암호화된 규정‑준수 매핑 보고서를 제공합니다 — 이 수준에서 모든 결과를 특정 CRA, NIS2, ISO 27001, GDPR, DORA 및 MiCA 규제 조항에 매핑하는 유일한 평가입니다.
당사는 조직의 공개적으로 보이는 인프라(도메인, 서브도메인, 인증서, 이메일 보안, 노출된 서비스, 클라우드 구성 및 제3자 종속성)를 수년간의 보안 연구를 통해 개발된 독자적인 평가 방법론을 사용하여 평가합니다.
모든 발견 항목은 자동으로 조직에 적용되는 규제 프레임워크 조항에 매핑됩니다. 그 결과는 기술팀과 컴플라이언스 담당자 모두가 이해할 수 있는 구조화된 암호화 인텔리전스 보고서입니다.
이는 침투 테스트가 아닙니다. 외부 관찰자가 볼 수 있는 범위를 넘어 조직의 시스템과 상호 작용하지 않습니다. 표준 평가 범위에 대해서는 별도의 승인이 필요하지 않으며, 모든 유료 평가에 대해서는 공식 계약 체결을 권장합니다.
전체 목차와 경영진 점수(A–F), 포렌식 보관 체인을 포함한 AES-128 암호화 PDF 형태의 포괄적인 평가를 제공합니다. 인프라 복잡도에 따라 일반적으로 30~50페이지 분량입니다.
각 발견 사항을 특정 조항에 매핑합니다: CRA Art. 10, 11, 14 — NIS2 Art. 21 조치 — ISO 27001 Annex A 통제 — GDPR Art. 32 기술 요구사항 — 금융 기관에 대한 DORA Art. 5–12, 17, 24, 28 — 암호자산 서비스 제공자를 위한 MiCA Art. 62, 67, 68, 75, 79, 83 — 전용 MiCA/DORA 준수 점수카드(조항별 PASS/FAIL 평가)와 함께 제공합니다. 해당되는 경우 섹터별 주석도 포함됩니다.
전체 보안 등급, CRA 준비도 점수카드(신호등 표시) 및 영향과 노력에 따라 정리된 개선 우선순위 매트릭스를 포함한 이사회용 요약을 제공합니다.
검증 QR 코드가 포함된 SHA-256 해시 포렌식 증거 체인. SIEM 플랫폼, Jira, ServiceNow와 호환되는 기계 판독 가능한 JSON 내보내기를 제공하여 귀하의 개선 워크플로에 직접 통합할 수 있습니다.
취약점 보고는 2026년 9월 11일부터 의무화됩니다. 전체 준수는 2027년 12월까지 요구됩니다. 우리는 발견 사항을 제10조(사이버보안 요구사항), 제11조(취약점 처리), 제14조(보고 의무)와 매핑합니다. 벌금은 최대 €15M 또는 전 세계 연간 매출의 2.5%입니다.
제21조 보안 조치 평가가 모든 적용 분야에 걸쳐 수행됩니다. 의료, 에너지, 운송, 물, 디지털 인프라 분야에 대한 부문별 매핑이 제공됩니다. 2026년 1월부터 덴마크, 핀란드, 스웨덴에서 시행되고 있습니다.
부록 A 통제 매핑과 정보 보안 관리 요구사항에 대한 격차 식별을 제공합니다. 인증을 추구하거나 유지하는 조직에 특히 중요합니다 — 우리의 발견은 귀하의 적용성 선언서에 직접 통합됩니다.
제32조 기술 및 조직적 조치 평가를 수행합니다. 데이터 노출 평가, 침해 위험 점수화, 외부 공격 표면에서 보이는 처리 활동 식별을 포함합니다.
EU 금융 기관에 의무화되어 있습니다. 우리는 발견 사항을 제5–6조(ICT 위험 관리), 제7조(패치 관리), 제9조(접근 제어, 암호화), 제10–11조(탐지 및 대응), 제17조(사고 보고), 제24조(탄력성 테스트), 제28조(제3자 위험)와 매핑합니다. DORA 준수 매핑은 모든 유료 평가에 포함됩니다.
EU 전역의 암호자산 서비스 제공자(CASPs)를 위한 규제 프레임워크로, 2024년 6월에 발효되며 2024년 12월부터 전면 적용됩니다. 우리는 발견 사항을 제62조(ICT 위험 관리), 제67조(운영 탄력성), 제68조(보호 요구사항), 제75조(보관 및 관리), 제79조(거래소 서비스), 제83조(불만 처리)와 매핑합니다. 암호자산 대상은 전달된 보고서에 각 조별 PASS/FAIL/WARN 평가가 포함된 전용 MiCA/DORA 준수 점수표를 받습니다. 이는 거래소, 보관 지갑 제공자 및 EU 내에서 암호자산 서비스를 제공하는 모든 기관에 필수적입니다.
임상 시험 데이터 보호, 제조 시스템 노출, GxP 준수 검증. 평가는 연결된 실험실 장비, 연구 포털 및 파트너 조직에 대한 API 인터페이스를 포함합니다.
다중 클라이언트 데이터 환경 평가, FDA/EMA 감사 준비도 평가. 특히 공급망 노출, 공유 인프라 위험, 그리고 클라이언트 간 데이터 격리 검증에 중점을 둡니다.
연결된 디바이스 생태계 평가, CRA 제품 준수 평가. 펌웨어 노출 분석, 업데이트 메커니즘 보안, API 인증 및 클라우드 관리 플랫폼 상태를 포함합니다.
CRA 적용 연결 제품에 대한 OT/IT 융합 위험 평가. 센서 네트워크 노출, SCADA 인터페이스 탐지, 클라우드 관리 플랫폼 및 엣지 컴퓨팅 보안 평가를 수행합니다.
전자 건강 기록 시스템 노출, 환자 데이터 위험 평가. NIS2 보건 부문 요구사항 매핑, 원격진료 플랫폼 보안 및 통합 엔드포인트 평가를 포함합니다.
DORA 준수 준비도 평가, API 보안 상태 평가. 결제 인프라 분석, 모바일 뱅킹 노출 및 제3자 서비스 제공자 위험 매핑을 수행합니다.
MiCA 준수 준비도는 암호자산 서비스 제공자, 거래소 및 보관 지갑 운영자를 대상으로 합니다. OFAC 제재 스크리닝이 포함된 블록체인 주소 인텔리전스, 지갑 노출 분석, 토큰 위험 평가 및 Proof of Reserves 검증을 수행합니다. BTC, ETH, XRP, SOL 및 ERC-20 토큰 생태계를 포괄하며, 온체인 노출이 있는 조직을 위한 검증된 스마트 계약 취약점 분석을 제공합니다.
표준 평가는 위에서 설명한 핵심 외부 공격 표면을 다룹니다. 특정 규제, 운영 또는 산업 요구사항이 있는 조직의 경우, 참여 범위를 추가 정찰 및 검증 활동으로 확장할 수 있으며, 이는 조직의 위험 자세와 컴플라이언스 의무에 맞추어 선택됩니다.
자체 호스팅된 추론 플랫폼, 에이전트 프레임워크, Model Context Protocol 서버 및 공개 추론 인터페이스를 탐색합니다. 이러한 요소들은 현대 조직의 외부 공격 표면의 일부를 점점 더 차지하고 있습니다. 노출 탐지, 관리 인터페이스의 인증 상태, 그리고 추론 엔진 및 오케스트레이션 플랫폼에 대한 알려진 취약점 클래스와의 교차 검증을 포함합니다.
CVE 정보를 활용한 JavaScript 종속성 위험 분석, 서드파티 리소스 전반에 걸친 Subresource Integrity 검증, 만료된 CDN 도메인 귀속(오랜 기간 유지되는 브랜드 자산에 대한 문서화된 탈취 경로) 및 외부 표면에서 보이는 공급업체 생태계에 대한 서드파티 SaaS 플랫폼 보안 자세 평가를 수행합니다.
DNS 및 BGP 변경 패턴을 통한 인프라 타임라인 분석, 보관된 콘텐츠 변화, 서비스 지문 변동, 그리고 현재와 과거 TLS 인증서 간의 상관관계를 조사합니다. 이를 통해 현재 상태 스캔으로는 파악할 수 없는 운영 패턴 및 인프라 결정 사항을 밝혀냅니다.
조직의 아이덴티티 경계 내에서 운영되는 무단 SaaS 테넌트, 기업 거버넌스 밖에서 운영되는 자체 호스팅 엔진, 그리고 운영 수명을 초과하여 남아 있는 고아 인프라를 식별합니다. 이러한 자산군은 현재 소유자가 없어 사고를 유발합니다.
범위에 포함된 엔드포인트에 대한 인젝션 취약점(SQL, 서버 측 요청 위조, 템플릿, 명령) 검증 테스트를 수행합니다. 이 테스트는 공식 서면 승인을 받은 경우에만 진행됩니다. 이 활동은 참여를 수동 정찰에서 능동 평가로 전환하며, 사전 서명된 Scope of Work가 필요합니다.
다중 체인 지갑 탐색(BTC, ETH, XRP, SOL, ERC-20), US 재무부 리스트를 활용한 자동 OFAC SDN 제재 스크리닝, 지갑 타임라인 심층 분석, 거래소 귀속, 토큰 위험 평가 및 DeFi 엔드포인트 탐색(노출된 RPC 노드, 유출된 제공자 API 키, 관리자 지갑 탐지)을 수행합니다. 암호 자산 분야 조직이나 실사·컴플라이언스 의무의 일환으로 거래 상대방의 블록체인 노출을 검증해야 하는 경우에 적합합니다.
Ethereum 및 EVM 호환 체인에 배포된 검증된 Solidity 스마트 계약에 대한 정적 및 심볼릭 취약점 분석을 수행합니다. 재진입 패턴, 접근 제어 취약점, 검증되지 않은 외부 호출 반환, 정수 오버플로우, delegatecall 인젝션 벡터, self-destruct 권한 격차, 프런트러닝 취약성 등 문서화된 스마트 계약 취약점 분류 전체를 포괄합니다. 분석은 공개 검증된 계약 소스 코드만을 대상으로 하며, 비공개 저장소나 내부 코드베이스에 대한 접근은 요구되지 않으며 요청되지도 않습니다. 온체인 금융 인프라에 대한 노출을 운영하거나 평가하는 조직을 위한 확장 참여 범위의 일부로 제공됩니다.
양자 컴퓨팅 위협에 대한 암호 인프라의 복원력을 종합적으로 평가합니다. 표준화된 포스트-양자 하이브리드 및 순수 알고리즘을 통한 TLS 키 교환 구성, 인증서 알고리즘 마이그레이션 준비도, SSH 키 교환 현대화 상태, 이메일 전송 암호화의 양자 안전성, 프로토콜 다운그레이드 취약점 노출을 평가합니다. 또한 CDN 인식을 반영하여 엣지 제공 보호와 원본 네이티브 포스트-양자 보호를 구분하는 분석을 포함합니다—콘텐츠 전송 인프라에 의존하는 조직에 중요한 구분입니다. 평가 결과는 CRA 제10조 암호 요구사항, NIS2 제21조 최신 기술 의무, BSI TR-02102-1 권고 알고리즘 지침에 매핑됩니다. 외부에서 관찰 가능한 모든 암호 엔드포인트에 대한 실제 배포 상태를 반영한 정량적 준비도 점수와 함께 제공됩니다.
식별된 각 결과를 특정 MITRE ATT&CK 기술 및 하위 기술과 연계하고, 커버리지 격차 식별 및 탐지 엔지니어링 우선순위 권고안을 제공합니다. 이는 보안 운영 센터 또는 동등한 역량을 운영하는 조직의 탐지 엔지니어링 로드맵에 직접 통합됩니다.
조직이 속한 산업 분야에 대한 고급 지속 위협(APT) 그룹을 식별하고, 해당 그룹의 문서화된 표적 활동을 파악합니다. 정부가 귀속한 위협 행위자 데이터베이스와 국가 사이버보안 당국의 추적 리스트를 교차 검증하여, 조직의 분야, 지리적 위치 및 운영 프로필에 가장 관련성 높은 국가 지원 그룹을 도출합니다. 각 그룹은 국가 귀속, 알려진 별명, 문서화된 목표 분야, 사고 유형 분류 및 해당 MITRE ATT&CK 그룹 프로필에 대한 직접 참조와 함께 제공됩니다. 또한 국가 사이버보안 당국이 적극 모니터링하는 그룹에 대해 BSI 추적 상태 배지를 포함합니다. 평과 범위에 포함된 모든 산업 분야에 제공됩니다.
확장 범위를 일반적으로 요청하는 조직: 방위 및 이중용도 기술 계약업체, 계약 개발 및 제조 조직(CDMO), 핵심 국가 인프라 운영자, 금융 시장 인프라, 운영 기술 및 산업 IT 융합 환경, 규제 데이터를 다루는 연구 기관.
귀 조직의 도메인을 제출하시면 48시간 이내에 제공되는 무료 외부 노출 요약을 받으실 수 있습니다.
평가 유형을 선택하고 조직의 기본 도메인을 입력하십시오. 모든 제출은 기밀로 처리됩니다.