취약점 관리란?

취약점 관리는 사이버 공격과 보안 침해의 위험을 줄이기 위해 기기, 네트워크, 애플리케이션의 보안 결함을 식별, 평가, 해결하는 IT 보안 실행 방식입니다.

보안 전문가들은 취약점 관리를 보안 자동화의 중요한 부분으로 간주합니다. 취약점 관리는 미국 국립 과학 기술 연구소(NIST)에서 정의한 지속적인 정보 보안 모니터링(ISCM)의 필수 기능입니다. 

취약점은 보안 업계에서 보안 연구진과 IT 벤더가 식별한 결함을 분류하기 위해 사용하는 체계인 CVE(Common Vulnerabilities and Exposures)로 추적됩니다. 새로운 CVE는 항상 발생하므로 취약점 관리는 지속적인 프로세스입니다. 취약점 관리 프로그램은 보안 팀이 취약점 스캔과 패치 적용이 포함된 감지 및 문제 해결 프로세스를 자동화하는 데 도움이 됩니다.

IT 보안 취약점은 미국 국토안보부 산하의 사이버 보안 및 인프라 보안국(Cybersecurity and Infrastructure Security Agency, CISA)의 재정 지원을 받아 MITRE Corporation에서 감독하는 산업 리소스인 CVE 목록에 따라 분류되고 추적됩니다. CVE 항목이 되는 보안 결함은 연구원, 벤더, 오픈소스 커뮤니티 회원이 제출할 수 있습니다.

간략한 CVE 항목 외에도 보안 전문가는 미국 국가 취약점 데이터베이스(National Vulnerability Database, NVD), CERT/CC 취약점 노트 데이터베이스, 그리고 벤더가 유지 관리하는 제품별 목록과 같은 기타 소스에서 취약점에 관한 기술 상세 정보를 찾을 수 있습니다.

이처럼 다양한 시스템 전반에서 CVE ID는 고유한 취약점을 인식하고 보안 툴과 솔루션 개발을 조정할 수 있는 신뢰할 수 있는 방법을 사용자에게 제공합니다.

공통 취약점 등급 시스템(CVSS)은 CVE 점수를 매기기 위한 산업 표준으로, 잠재적 공격이 원격으로 실행 가능한지 여부, 공격의 복잡성, 사용자의 대응 필요성 여부 등과 같이 취약점과 관련된 일련의 요소들을 평가하는 공식을 적용합니다. CVSS는 각 CVE에 0(영향 없음)에서 10(최고 기본 영향)까지의 범위에서 기본 점수를 할당합니다.

이 점수만으로는 위험을 종합적으로 평가할 수 없습니다. 시간 검토와 환경 검토라는 두 가지 추가 검토를 통해 더 완전한 CVSS 분석을 수행할 수 있습니다. 시간 검토는 현재 익스플로잇 기법, 취약점을 활용하는 공격의 존재 또는 결함에 대한 패치나 해결책의 사용 가능성과 관련된 세부 정보를 추가합니다. 환경 검토는 최종 소비자의 환경에 존재하여 성공적인 공격 실행의 가능성이나 그 영향을 바꿀 수 있는 미션 크리티컬 데이터, 시스템 또는 제어에 관한 조직별 세부 정보를 추가합니다.

벤더와 연구원은 CVSS 점수 외에도 다른 척도를 사용할 수 있습니다. 예를 들어, Red Hat Product Security는 4점 심각도 척도를 사용하여 사용자가 보안 문제를 평가하도록 돕습니다. 4점 척도의 각 등급은 다음과 같습니다.

• 심각한 영향: 인증되지 않은 원격 공격자가 쉽게 악용할 수 있으며, 사용자 상호 작용 없이도 시스템을 손상시킬 수 있는 결함입니다. 
• 중요한 영향: 리소스의 기밀성, 무결성 또는 가용성을 쉽게 손상시킬 수 있는 결함입니다.
• 보통 영향: 악용하기는 어려울 수 있으나 특정 상황에서는 여전히 리소스의 기밀성, 무결성 또는 가용성에 일부 손상을 일으킬 수 있는 결함입니다.
• 낮은 영향: 악용 소지가 낮거나 악용이 되더라도 결과가 미미하다고 여겨지는 문제를 비롯하여 보안 영향이 있을 수 있는 기타 모든 문제에 해당합니다.

취약점의 수가 증가하고 기업이 보안 활동에 더 많은 인력과 자원을 투입함에 따라 작업의 우선순위 지정을 최적화하는 것이 중요해졌습니다. 취약점 관리 프로그램의 일환으로 광범위하고 부정확한 위험 데이터를 사용할 경우 특정 취약점의 우선순위가 지나치게 높거나 낮게 지정되어 중요한 문제를 너무 오랫동안 방치할 위험이 높아질 수 있습니다.

위험 기반 취약점 관리(RBVM)는 특정 조직에 대한 위협 위험을 기준으로 조치의 우선순위를 지정하고자 하는 새로운 접근 방식입니다. RBVM에서는 위협 인텔리전스, 악용 가능성, 영향 받는 자산의 비즈니스 중요성 등 이해관계자별 취약점 데이터를 고려합니다. 그리고 더욱 정확한 위험 점수를 개발하기 위해 인공지능과 머신 러닝 기능을 포함할 수 있습니다. 또한 RBVM은 자동화된 연속 취약점 스캔을 통해 취약점을 실시간으로 모니터링하는 것을 목표로 합니다.

취약점 평가는 보안 결함을 식별하기 위한 IT 시스템의 보안 조치를 검사하는 것으로, 시스템과 시스템 리소스에 대한 데이터 수집, 알려진 취약점 검사, 조사 결과를 위험별로 분류하고 개선 방법을 확인하는 리포팅 등이 포함될 수 있습니다. 취약점 평가를 보안 문제 확인을 위한 모든 인프라에 대한 내부 감사와 검사로 생각할 수 있습니다. 정기적인 프로세스의 일부로 예약하여 실시할 수는 있지만, 기본적으로 취약점 평가는 특정 시점의 스냅샷을 나타내는 리포트와 함께 종료되는 단일 이벤트입니다.

반면 취약점 관리는 자동화되고 연속적으로 실행되는 지속적인 활동입니다. 취약점 관리 기능은 지속적이고 중복적이며 연속적입니다. 따라서 중요 취약점을 해결하기 위한 대응이 조기에 신속하게 이루어져 보안을 개선할 수 있습니다.

오픈소스 소프트웨어의 선두주자로서 Red Hat은 고객과 커뮤니티를 위해 투명성과 책임감을 우선시합니다. Red Hat은 취약점 정보를 자주 전달하고 있으며, 2022년에는 CVE 프로그램 내에서 루트 조직이 되었습니다.

또한 Red Hat은 조직이 클라우드 네이티브 애플리케이션을 더욱 안전하게 빌드, 배포, 실행할 수 있도록 지원합니다. Red Hat Advanced Cluster Security for Kubernetes로 쿠버네티스 환경에서 취약점 감지와 관리를 강화할 수 있는 방법을 알아보세요.