취약점 관리의 핵심 문제는 취약점의 존재 여부가 아니라 우선순위 결정
[보안뉴스= 조주한 다온기술 대표] 오늘날 대부분의 기업과 기관은 정기적으로 취약점 점검을 수행하고 있다. 취약점 진단 도구를 통해 시스템의 보안 상태를 점검하고 발견된 취약점을 패치하거나 보완 조치를 수행한다.
[출처: gettyimagesbank]
하지만 많은 보안 담당자들은 같은 고민을 이야기한다. “취약점은 너무 많은데 무엇부터 조치해야 할지 모르겠다.”
현대 IT 환경에서는 수천 개에서 수만 개에 이르는 취약점이 발견되는 것이 일반적이다. 모든 취약점을 즉시 조치하는 것은 현실적으로 불가능하다. 결국 취약점 관리의 핵심 문제는 취약점의 존재 여부가 아니라 우선순위 결정이다.
취약점의 수는 많지만 실제 공격 취약점은 극히 일부
취약점 데이터베이스에는 매년 수만 개의 새로운 취약점이 등록된다. 하지만 실제 공격에 사용되는 취약점은 그중 극히 일부에 불과하다. 예를 들어 다음과 같은 유형의 취약점이 존재한다.
·실제 공격에 활발히 사용되는 취약점
·공개는 되었지만 공격 사례가 없는 취약점
·특정 환경에서만 영향을 주는 취약점
·이론적으로만 존재하는 취약점
모든 취약점을 동일한 수준으로 관리하려 한다면 보안팀은 항상 과부하 상태에 빠질 수밖에 없다. 따라서 취약점 관리에서 가장 중요한 질문은 다음과 같다. “어떤 취약점이 실제 위험을 만들고 있는가?”
취약점 관리의 현실적인 문제
현장에서 취약점 관리가 어려운 이유는 크게 세 가지다.
1. 취약점의 양이 너무 많다
현대의 IT 환경에서는 취약점의 수가 폭발적으로 증가하고 있다. 단순히 취약점 목록을 확인하는 것만으로도 상당한 시간이 소요된다.
2. 자산 중요도가 고려되지 않는다
같은 취약점이라도 어떤 자산에 존재하느냐에 따라 위험도는 달라진다. 예를 들어 △인터넷에 노출된 서버의 취약점 △내부 테스트 서버의 취약점, 이 두 취약점은 동일하게 취급되어서는 안 된다.
3. 실제 공격 정보가 반영되지 않는다
취약점 점검 결과는 대부분 기술적인 위험도를 기준으로 제공된다. 하지만 실제 공격자들이 어떤 취약점을 활용하고 있는지는 별도의 정보다. 결과적으로 보안팀은 실제 공격과 무관한 취약점 대응에 많은 시간을 소비하게 되는 경우가 많다.
취약점 관리의 새로운 접근: 위험 기반 관리
이러한 문제를 해결하기 위해 최근 보안 분야에서는 ‘위험 기반 취약점 관리’(Risk-Based Vulnerability Management)라는 접근 방식이 확산되고 있다. 위험 기반 취약점 관리의 핵심은 단순한 취약점 점검이 아니라 실제 위험도를 기준으로 우선순위를 결정하는 것이다. 이를 위해 다음과 같은 요소들을 함께 고려한다.
·취약점의 기술적 심각도
·자산의 중요도
·외부 노출 여부
·실제 공격 활용 여부
이러한 요소들을 종합적으로 분석하면 실제로 먼저 조치해야 할 취약점을 명확하게 구분할 수 있다.
공격자 관점에서 취약점을 바라보기
보안 담당자의 관점에서 취약점을 바라보는 것과 공격자의 관점에서 바라보는 것은 다르다. 공격자는 다음과 같은 질문을 한다.
·공격에 활용 가능한 취약점인가
·인터넷에서 접근 가능한 자산인가
·공격 성공 가능성이 높은가
따라서 취약점 관리 역시 공격자의 시각을 반영할 필요가 있다. 최근에는 다음과 같은 정보들이 취약점 관리에 활용되고 있다.
·실제 공격에 사용된 취약점 목록
·공개된 익스플로잇 정보
·보안 커뮤니티에서 공유되는 공격 코드
이러한 정보를 기반으로 취약점 대응 우선순위를 설정하면 보다 현실적인 보안 관리가 가능해진다.
취약점 관리의 핵심 질문
과거의 취약점 관리는 다음 질문에서 시작됐다. “우리 시스템에는 어떤 취약점이 있는가?” 하지만 이제는 질문이 달라지고 있다. “우리 조직에 실제 위험을 만드는 취약점은 무엇인가?” 취약점 관리의 목표는 단순히 취약점의 수를 줄이는 것이 아니라 실제 보안 위험을 낮추는 것이기 때문이다.
다음 단계의 보안 관리
현대의 보안 환경에서는 단순한 취약점 점검만으로는 충분하지 않다. 조직이 보유한 모든 자산을 정확히 식별하고, 그 위에서 발견된 취약점 중 실제 위험을 만드는 취약점을 먼저 대응하는 것이 중요하다.
보안 관리의 방향도 점차 다음과 같은 흐름으로 변화하고 있다. ‘자산 가시성 확보 → 취약점 식별 → 위험 기반 우선순위 → 대응 관리’ 이러한 접근 방식은 보안 운영의 효율성을 높이는 동시에 실제 공격 위험을 줄이는 데 중요한 역할을 한다.
[글_ 조주한 다온기술 대표]
[보안뉴스= 조주한 다온기술 대표] 오늘날 대부분의 기업과 기관은 정기적으로 취약점 점검을 수행하고 있다. 취약점 진단 도구를 통해 시스템의 보안 상태를 점검하고 발견된 취약점을 패치하거나 보완 조치를 수행한다.
[출처: gettyimagesbank]
하지만 많은 보안 담당자들은 같은 고민을 이야기한다. “취약점은 너무 많은데 무엇부터 조치해야 할지 모르겠다.”
현대 IT 환경에서는 수천 개에서 수만 개에 이르는 취약점이 발견되는 것이 일반적이다. 모든 취약점을 즉시 조치하는 것은 현실적으로 불가능하다. 결국 취약점 관리의 핵심 문제는 취약점의 존재 여부가 아니라 우선순위 결정이다.
취약점의 수는 많지만 실제 공격 취약점은 극히 일부
취약점 데이터베이스에는 매년 수만 개의 새로운 취약점이 등록된다. 하지만 실제 공격에 사용되는 취약점은 그중 극히 일부에 불과하다. 예를 들어 다음과 같은 유형의 취약점이 존재한다.
·실제 공격에 활발히 사용되는 취약점
·공개는 되었지만 공격 사례가 없는 취약점
·특정 환경에서만 영향을 주는 취약점
·이론적으로만 존재하는 취약점
모든 취약점을 동일한 수준으로 관리하려 한다면 보안팀은 항상 과부하 상태에 빠질 수밖에 없다. 따라서 취약점 관리에서 가장 중요한 질문은 다음과 같다. “어떤 취약점이 실제 위험을 만들고 있는가?”
취약점 관리의 현실적인 문제
현장에서 취약점 관리가 어려운 이유는 크게 세 가지다.
1. 취약점의 양이 너무 많다
현대의 IT 환경에서는 취약점의 수가 폭발적으로 증가하고 있다. 단순히 취약점 목록을 확인하는 것만으로도 상당한 시간이 소요된다.
2. 자산 중요도가 고려되지 않는다
같은 취약점이라도 어떤 자산에 존재하느냐에 따라 위험도는 달라진다. 예를 들어 △인터넷에 노출된 서버의 취약점 △내부 테스트 서버의 취약점, 이 두 취약점은 동일하게 취급되어서는 안 된다.
3. 실제 공격 정보가 반영되지 않는다
취약점 점검 결과는 대부분 기술적인 위험도를 기준으로 제공된다. 하지만 실제 공격자들이 어떤 취약점을 활용하고 있는지는 별도의 정보다. 결과적으로 보안팀은 실제 공격과 무관한 취약점 대응에 많은 시간을 소비하게 되는 경우가 많다.
취약점 관리의 새로운 접근: 위험 기반 관리
이러한 문제를 해결하기 위해 최근 보안 분야에서는 ‘위험 기반 취약점 관리’(Risk-Based Vulnerability Management)라는 접근 방식이 확산되고 있다. 위험 기반 취약점 관리의 핵심은 단순한 취약점 점검이 아니라 실제 위험도를 기준으로 우선순위를 결정하는 것이다. 이를 위해 다음과 같은 요소들을 함께 고려한다.
·취약점의 기술적 심각도
·자산의 중요도
·외부 노출 여부
·실제 공격 활용 여부
이러한 요소들을 종합적으로 분석하면 실제로 먼저 조치해야 할 취약점을 명확하게 구분할 수 있다.
공격자 관점에서 취약점을 바라보기
보안 담당자의 관점에서 취약점을 바라보는 것과 공격자의 관점에서 바라보는 것은 다르다. 공격자는 다음과 같은 질문을 한다.
·공격에 활용 가능한 취약점인가
·인터넷에서 접근 가능한 자산인가
·공격 성공 가능성이 높은가
따라서 취약점 관리 역시 공격자의 시각을 반영할 필요가 있다. 최근에는 다음과 같은 정보들이 취약점 관리에 활용되고 있다.
·실제 공격에 사용된 취약점 목록
·공개된 익스플로잇 정보
·보안 커뮤니티에서 공유되는 공격 코드
이러한 정보를 기반으로 취약점 대응 우선순위를 설정하면 보다 현실적인 보안 관리가 가능해진다.
취약점 관리의 핵심 질문
과거의 취약점 관리는 다음 질문에서 시작됐다. “우리 시스템에는 어떤 취약점이 있는가?” 하지만 이제는 질문이 달라지고 있다. “우리 조직에 실제 위험을 만드는 취약점은 무엇인가?” 취약점 관리의 목표는 단순히 취약점의 수를 줄이는 것이 아니라 실제 보안 위험을 낮추는 것이기 때문이다.
다음 단계의 보안 관리
현대의 보안 환경에서는 단순한 취약점 점검만으로는 충분하지 않다. 조직이 보유한 모든 자산을 정확히 식별하고, 그 위에서 발견된 취약점 중 실제 위험을 만드는 취약점을 먼저 대응하는 것이 중요하다.
보안 관리의 방향도 점차 다음과 같은 흐름으로 변화하고 있다. ‘자산 가시성 확보 → 취약점 식별 → 위험 기반 우선순위 → 대응 관리’ 이러한 접근 방식은 보안 운영의 효율성을 높이는 동시에 실제 공격 위험을 줄이는 데 중요한 역할을 한다.
[글_ 조주한 다온기술 대표]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg)
.png)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.png){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
