취약성 관리란 무엇인가요?

보안 취약점이란 네트워크 또는 네트워크 자산의 구조, 기능 또는 구현에 있는 결함이나 약점으로, 해커가 이를 악용하여 사이버 공격을 시작하거나, 시스템이나 데이터에 대한 무단 액세스를 획득하거나, 기타 방식으로 조직에 해를 끼칠 수 있습니다.

일반적인 취약성의 예로는 특정 유형의 멀웨어가 네트워크에 침입할 수 있는 방화벽의 잘못된 구성이나 해커가 기기를 장악할 수 있는 운영 체제의 원격 데스크톱 프로토콜의 패치되지 않은 버그 등이 있습니다.

오늘날의 기업 네트워크는 매우 분산되어 있고 매일 다양한 새로운 취약점이 발견되기 때문에 효과적인 수동 또는 임시 취약점 관리가 거의 불가능합니다. 사이버 보안 팀은 일반적으로 취약성 관리 솔루션을 사용하여 프로세스를 자동화합니다.

인터넷 보안 센터(CIS)는 가장 일반적인 사이버 공격을 방어하기 위한 중요 보안 통제 수단 중 하나로 지속적인 취약성 관리를 선정했습니다. 취약성 관리를 통해 IT 보안팀은 취약성이 악용되기 전에 이를 식별하고 해결함으로써 보다 사전 예방적인 보안 태세를 갖출 수 있습니다.

새로운 취약성은 언제든지 발생할 수 있기 때문에 보안 팀은 취약성 관리를 개별 이벤트가 아닌 지속적인 라이프사이클 사안이라고 생각하고 접근합니다. 이 라이프사이클은 지속적이고 중복되는 5개의 워크플로, 즉 발견, 분류 및 우선순위 지정, 해결, 재평가 및 보고로 구성됩니다.

검색 워크플로는 알려진 취약성과 잠재적인 취약성에 대해 조직의 모든 IT 자산을 확인하는 프로세스인 취약성 평가를 중심으로 이루어집니다. 일반적으로 보안 팀은 취약성 스캐너 소프트웨어를 사용하여 이 프로세스를 자동화합니다. 일부 취약성 스캐너는 정기적인 일정에 따라 정기적이고 포괄적인 네트워크 스캔을 수행하는 반면, 다른 스캐너는 노트북, 라우터 및 기타 엔드포인트에 설치된 에이전트를 사용하여 각 장치에서 데이터를 수집합니다. 보안 팀은 침투 테스트와 같은 일시적인 취약성 평가를 사용하여 스캐너를 우회하는 취약성을 찾을 수도 있습니다.

취약점이 식별되면 유형(예: 디바이스 구성 오류, 암호화 문제, 민감한 데이터 노출)별로 분류되고 중요도 수준에 따라 우선순위가 지정됩니다. 이 프로세스는 각 취약성의 심각도, 악용 가능성 및 공격 가능성에 대한 추정치를 제공합니다.

취약점 관리 솔루션은 일반적으로 개방형 사이버 보안 업계 표준인 공통 취약점 점수 시스템(CVSS)과 같은 위협 인텔리전스 소스를 활용하여 알려진 취약점의 중요도를 0~10점 척도로 점수화합니다. 다른 두 가지 인기 있는 인텔리전스 소스로는 MITRE의 공통 취약점 및 노출(CVE) 목록과 NIST의 국가 취약점 데이터베이스(NVD)가 있습니다. 

취약성의 우선순위가 정해지면 보안팀은 다음 세 가지 방법 중 하나로 취약성을 해결할 수 있습니다.

• 수정: 소프트웨어 버그를 수정하는 패치를 설치하거나 취약한 자산을 사용 중지하는 등 더 이상 악용될 수 없도록 취약성을 완전히 해결합니다. 많은 취약성 관리 플랫폼은 자동 패치 다운로드 및 테스트를 위한 패치 관리, 중앙 집중식 대시보드 또는 포털에서 네트워크 및 장치 구성 오류를 해결하기 위한 구성 관리와 같은 수정 도구를 제공합니다.
• 완화: 취약성을 악용하기 더 어렵게 만들어 취약성을 완전히 제거하지 않고 악용의 영향을 줄입니다. 취약한 디바이스를 온라인 상태로 두되 나머지 네트워크에서 분리하는 것이 완화 조치의 예라고 할 수 있습니다. 완화는 패치 또는 다른 수정 방법을 아직 사용할 수 없을 때 수행되는 경우가 많습니다. 
• 수용: 취약성을 해결하지 않은 상태로 두는 것입니다. 악용될 가능성이 낮거나 심각한 피해를 입힐 가능성이 없는 중요도 점수가 낮은 취약성이 허용되는 경우가 많습니다.

취약점이 해결되면 보안팀은 새로운 취약성 평가를 실시하여 완화 또는 수정 노력이 효과가 있었는지, 새로운 취약성을 도입하지 않았는지 확인합니다.

취약성 관리 플랫폼은 일반적으로 평균 탐지 시간(MTTD) 및 평균 대응 시간(MTTR)과 같은 메트릭을 보고하기 위한 대시보드를 제공합니다. 또한 많은 솔루션은 식별된 취약성의 데이터베이스를 유지 관리하여 보안 팀이 식별된 취약성의 해결 방법을 추적하고 과거의 취약성 관리 노력을 감사할 수 있도록 합니다.

이러한 보고 기능을 통해 보안 팀은 지속적인 취약성 관리 활동에 대한 기준을 설정하고 시간 경과에 따른 프로그램 성능을 모니터링할 수 있습니다.또한 보고서는 보안 팀과 자산 관리를 담당하지만 취약성 관리 프로세스에는 직접 관여하지 않는 다른 IT 팀 간에 정보를 공유하는 데 사용할 수도 있습니다.

위험 기반 취약성 관리(RBVM)는 취약성 관리에 대한 비교적 새로운 접근 방식입니다. RVBM은 이해관계자별 취약성 데이터와 인공 지능 및 머신 러닝 기능을 결합하여 세 가지 중요한 방식으로 취약성 관리를 강화합니다.

보다 효과적인 우선순위 지정을 위해 더 많은 컨텍스트를 제공합니다. 기존 취약성 관리 솔루션은 CVSS 또는 NIST NVD와 같은 업계 표준 리소스를 사용하여 중요도를 결정합니다. 이러한 리소스는 모든 조직에서 취약성의 평균 중요도를 결정할 수 있는 일반성에 의존합니다. 그러나 이해관계자별 취약성 데이터가 부족하여 특정 회사의 취약성 중요도가 지나치게 높거나 낮게 평가될 수 있습니다.

예를 들어, 보안팀에 네트워크의 모든 취약점을 해결할 시간이나 리소스가 없는 경우가 많기 때문에 많은 보안팀은 취약성의 우선순위를 '높음'(7.0~8.9) 또는 '심각'(9.0~10.0)으로 CVSS 점수를지정합니다. 그러나 민감한 정보를 저장 또는 처리하지 않거나 네트워크의 고부가가치 세그먼트에 대한 경로를 제공하지 않는 자산에 "심각한" 취약성이 존재하는 경우 수정은 그만한 가치가 없을 수 있습니다.

CVSS 점수가 낮은 취약성은 일부 조직에 다른 조직보다 더 큰 위협이 될 수 있습니다. 2014년에 발견된 하트블리드 버그는 CVSS 척도에서 “중간”(5.0)으로 평가되었습니다. 그럼에도 불구하고 해커들은 이를 이용해 미국 최대 병원 체인 중 한 곳에서 450만 명의 환자 데이터를 탈취하는 등 대규모 공격을 감행했습니다.

RBVM은 영향을 받는 자산의 수와 중요도, 자산이 다른 자산과 연결되는 방식, 공격으로 인해 발생할 수 있는 잠재적 피해 등 이해관계자별 취약성 데이터와 사이버 범죄자가 실제 세계에서 취약성과 상호 작용하는 방식에 대한 데이터를 사용하여 점수를 보완합니다. 이는 머신 러닝을 사용하여 조직에 대한 각 취약성의 위험도를 보다 정확하게 반영하는 위험 점수를 공식화합니다. 이를 통해 IT 보안팀은 네트워크 보안을 유지하면서 더 적은 수의 중요한 취약성에 우선순위를 지정할 수 있습니다.

실시간 검색. RBVM에서 취약성 스캔은 반복되는 일정이 아닌 실시간으로 수행되는 경우가 많습니다. 또한 RBVM 솔루션은 더 광범위한 자산을 모니터링할 수 있습니다. 기존 취약성 스캐너는 일반적으로 네트워크에 직접 연결된 알려진 자산으로 제한되는 반면, RBVM 툴은 일반적으로 온프레미스 및 원격 모바일 디바이스, 클라우드 자산, 타사 앱 및 기타 리소스를 스캔할 수 있습니다.

자동 재평가. RBVM 프로세스에서는 지속적인 취약성 스캔을 통해 재평가를 자동화할 수 있습니다. 기존의 취약성 관리에서는 재평가를 위해 의도적인 네트워크 스캔 또는 모의 침투 테스트가 필요할 수 있습니다.

취약성 관리는 공격 표면 관리(ASM)와 밀접한 관련이 있습니다. ASM은 조직의 공격 표면을 구성하는 취약성 및 잠재적 공격 벡터를 지속적으로 발견, 분석, 수정 및 모니터링하는 것입니다. ASM과 취약성 관리의 핵심적인 차이점은 범위입니다. 두 프로세스 모두 조직 자산의 취약성을 모니터링하고 해결하지만, ASM은 네트워크 보안에 대해 보다 전체적인 접근 방식을 취합니다.

ASM 솔루션에는 네트워크에 연결된 모든 알려진, 알려지지 않은, 타사, 자회사 및 악성 자산을 식별하고 모니터링하는 자산 검색 기능이 포함되어 있습니다. 또한 ASM은 IT 자산을 넘어 조직의 물리적 및 소셜 엔지니어링 공격 표면의 취약성을 식별하는 데까지 확장됩니다. 그런 다음 해커의 관점에서 이러한 자산과 취약성을 분석하여 사이버 범죄자가 이를 사용하여 네트워크에 침투하는 방법을 이해합니다.

위험 기반 취약성 관리(RBVM)가 부상함에 따라 취약성 관리와 ASM 간의 경계가 점점 더 모호해지고 있습니다. ASM은 취약성 관리만 수행하는 것보다 공격 표면에 대한 보다 포괄적인 보기를 제공하기 때문에 조직은 RBVM 솔루션의 일부로 ASM 플랫폼을 배포하는 경우가 많습니다.