'취약점 평가'라고도 하는 취약점 스캔은 네트워크 또는 IT 자산에서 보안 취약점 즉, 외부 또는 내부 위협 행위자가 악용할 수 있는 결함 또는 약점을 평가하는 프로세스입니다. 취약점 스캔은 광범위한 취약점 관리 라이프사이클의 첫 번째 단계입니다.
오늘날 대부분의 조직에서는 취약점 스캔이 완전히 자동화되어 있습니다. 전문 취약점 스캔 도구는 보안 팀이 검토할 수 있도록 결함을 찾아 표시합니다.
IBM의 X-Force Threat Intelligence Index에 따르면 취약점 악용은 가장 일반적인 사이버 공격 벡터 중 하나입니다. 취약점 스캔은 사이버 범죄자가 보안 취약점을 무기화하기 전에 조직이 보안 취약점을 찾아내 폐쇄할 수 있도록 도와줍니다. 이러한 이유로 인터넷 보안 센터(CIS)에서는 중요한 사이버 보안 관행인 자동 취약점 스캔을 포함한 지속적인 취약점 관리를 고려합니다.
Think 뉴스레터
Think 뉴스레터를 통해 AI, 사이버 보안, 데이터 및 자동화에 대한 선별된 뉴스를 제공하는 보안 리더들과 함께하세요. 받은 편지함으로 직접 제공되는 전문가 튜토리얼과 설명서를 통해 빠르게 배울 수 있습니다. IBM 개인정보 보호정책을 참고하세요.
구독한 뉴스레터는 영어로 제공됩니다. 모든 뉴스레터에는 구독 취소 링크가 있습니다. 여기에서 구독을 관리하거나 취소할 수 있습니다. 자세한 정보는 IBM 개인정보 보호정책 을 참조하세요.
보안 취약성은 IT 자산 또는 네트워크의 구조, 기능 또는 구현의 약점입니다. 해커나 기타 위협 행위자는 이 약점을 악용하여 무단 액세스 권한을 얻고 네트워크, 사용자 또는 비즈니스에 해를 끼칠 수 있습니다. 일반적인 취약성은 다음과 같습니다.
매달 수천 개의 새로운 취약점이 발견됩니다. 미국 정부 기관인 미국 국립표준기술연구소(NIST)와 사이버 보안 및 인프라 보안국(CISA)은 알려진 보안 취약점에 대한 검색 가능한 카탈로그를 관리하고 있습니다.
취약성은 일단 발견되면 철저하게 문서화되지만 안타깝게도 해커와 다른 위협 행위자들이 먼저 발견하여 조직을 놀라게 하는 경우가 많습니다.
이러한 사이버 위협에 직면하여 보다 사전 예방적인 보안 태세를 채택하기 위해 IT 팀은 취약점 관리 프로그램을 구현합니다. 이러한 프로그램은 해커가 보안 위험을 악용하기 전에 이를 식별하고 해결하기 위한 지속적인 프로세스를 따릅니다. 취약점 스캔은 일반적으로 취약점 관리 프로세스의 첫 번째 단계로 IT 및 보안 팀이 해결해야 하는 보안 취약점을 찾아냅니다.
또한 많은 보안 팀이 취약성 스캔을 사용하여 다음을 수행합니다.
보안 조치 및 제어 검증을 위해 새로운 제어 기능을 도입한 후 팀은 종종 또 다른 검사를 실행합니다. 이 스캔은 식별된 취약점이 수정되었는지 확인합니다. 또한 수정 노력으로 인해 새로운 문제가 발생하지 않았음을 확인합니다.
규정 준수를 유지하기 위해 일부 규정은 명시적으로 취약점 스캔을 요구합니다. 예를 들어 결제 카드 산업 데이터 보안 표준(PCI-DSS)에서는 카드 소지자 데이터를 처리하는 조직에 대해 분기별 검사를 실시하도록 규정하고 있습니다.
클라우드 및 온프레미스 앱, 모바일 및 IoT 디바이스, 노트북 및 기타 기존 엔드포인트 등 최신 엔터프라이즈 네트워크에는 수동으로 취약성 스캔을 수행하기에는 너무 많은 자산이 포함되어 있습니다. 대신 보안팀은 취약성 스캐너를 사용하여 반복적으로 자동화된 검사를 수행합니다.
잠재적 취약점을 찾기 위해 스캐너는 먼저 IT 자산에 대한 정보를 수집합니다. 일부 스캐너는 엔드포인트에 설치된 에이전트를 사용하여 디바이스와 해당 디바이스에서 실행되는 소프트웨어에서 데이터를 수집합니다. 다른 스캐너는 디바이스 구성 및 활성 서비스에 대한 세부 정보를 찾기 위해 열린 포트를 탐색하여 외부에서 시스템을 검사합니다. 일부 스캐너는 기본 자격 증명을 사용하여 디바이스에 로그인을 시도하는 등 보다 동적인 테스트를 수행합니다.
자산을 스캔한 후 스캐너는 자산을 취약점 데이터베이스와 비교합니다. 이 데이터베이스는 다양한 하드웨어 및 소프트웨어 버전에 대한 일반적인 취약점 및 노출(CVE)을 기록합니다. 일부 스캐너는 NIST 및 CISA 데이터베이스와 같은 공개 소스에 의존하고 다른 스캐너는 독점 데이터베이스를 사용합니다.
스캐너는 각 자산에 관련 결함의 징후가 나타나는지 확인합니다. 예를 들어 운영 체제의 원격 데스크톱 프로토콜 버그와 같은 문제를 찾습니다. 이 버그로 인해 해커가 디바이스를 제어할 수 있습니다. 또한 스캐너는 민감한 데이터베이스에 대해 적절하고 엄격한 인증 기준이 마련되어 있는지 확인하는 등 모범 보안 사례 목록과 비교하여 자산 구성을 확인할 수도 있습니다.
그런 다음 스캐너는 보안 팀이 검토할 수 있도록 식별된 취약점에 대한 보고서를 작성합니다. 가장 기본적인 보고서에는 해결해야 할 모든 보안 문제가 간단히 나열되어 있습니다. 일부 스캐너는 자세한 설명을 제공하고 스캔 결과를 이전 스캔과 비교하여 시간 경과에 따른 취약점 관리를 추적할 수 있습니다.
고급 스캐너는 중요도에 따라 취약점의 우선순위를 지정하기도 합니다. 스캐너는 CVSS(공통 취약점 점수 시스템) 점수와 같은 오픈 소스 위협 인텔리전스를 사용하여 결함의 중요도를 판단할 수 있습니다. 또는 조직의 고유한 컨텍스트에서 결함을 고려하는 더 복잡한 알고리즘을 사용할 수 있습니다. 이러한 스캐너는 각 결함에 대한 수정 및 완화 방법을 추천할 수도 있습니다.
새로운 자산이 추가되고 새로운 취약점이 발견됨에 따라 네트워크의 보안 위험도 변화합니다. 그러나 각 취약점 스캔은 특정 순간만 식별할 수 있습니다. 조직은 진화하는 사이버 위협 환경에 발맞추기 위해 정기적으로 스캔을 수행해야 합니다.
대부분의 취약점 스캔은 리소스와 시간이 많이 소요되기 때문에 모든 네트워크 자산을 한 번에 검사하지는 않습니다. 오히려 보안팀은 중요도에 따라 자산을 그룹화하여 일괄적으로 스캔하는 경우가 많습니다. 가장 중요한 자산은 매주 또는 매월 스캔하고 덜 중요한 자산은 분기별 또는 매년 스캔할 수 있습니다.
보안 팀은 새로운 웹 서버를 추가하거나 새로운 민감한 데이터베이스를 생성하는 등 주요 네트워크 변경이 발생할 때마다 스캔을 실행할 수도 있습니다.
일부 고급 취약점 스캐너는 지속적인 스캔을 제공합니다. 이러한 도구는 자산을 실시간으로 모니터링하고 새로운 취약점이 발생할 때 플래그를 지정합니다. 그러나 연속 스캔은 지속적으로 가능하지도 않고 바람직하지도 않습니다. 보다 집중적인 취약점 스캔은 네트워크 성능을 방해할 수 있으므로 일부 IT 팀은 대신 주기적인 스캔을 실시하는 것을 선호할 수 있습니다.
스캐너에는 다양한 유형이 있으며 보안팀은 네트워크 취약점을 종합적으로 파악하기 위해 여러 도구를 조합하여 사용하는 경우가 많습니다.
일부 스캐너는 특정 종류의 자산에 초점을 맞춥니다. 예를 들어 클라우드 스캐너는 클라우드 서비스에 초점을 맞추는 반면 웹 애플리케이션 검색 도구는 웹 앱의 결함을 탐색합니다.
스캐너는 로컬에 설치하거나 서비스형 소프트웨어(SaaS) 앱으로 제공할 수 있습니다. 오픈 소스 취약점 스캐너와 유료 도구 모두 널리 사용되고 있습니다. 일부 조직은 취약성 스캔을 전적으로 타사 서비스 제공업체에 아웃소싱합니다.
취약점 스캐너는 독립형 솔루션으로도 사용할 수 있지만 점점 더 많은 공급업체가 종합적인 취약점 관리 제품군의 일부로 취약점 스캐너를 제공하고 있습니다. 이러한 도구는 여러 종류의 스캐너와 공격 표면 관리, 자산 관리, 패치 관리 및 기타 주요 기능을 하나의 솔루션에 결합합니다.
많은 스캐너가 보안 정보 및 이벤트 관리 시스템(SIEM), 엔드포인트 탐지 및 대응(EDR) 도구와 같은 다른 사이버 보안 도구와의 통합을 지원합니다.
보안 팀은 필요에 따라 다양한 유형의 스캔을 실행할 수 있습니다. 가장 일반적인 유형의 취약점 스캔은 다음과 같습니다.
외부 취약성 스캔은 외부에서 네트워크를 살펴봅니다. 웹 앱과 같은 인터넷 연결 자산의 결함에 중점을 두고 방화벽과 같은 경계 제어를 테스트합니다. 이러한 스캔은 외부 해커가 어떻게 네트워크에 침입할 수 있는지 보여줍니다.
내부 취약점 스캔은 네트워크 내부의 취약점을 살펴봅니다. 해커가 침입했을 때 어떤 일을 할 수 있는지, 즉 데이터 유출 시 해커가 측면 이동하는 방법이나 훔칠 수 있는 민감한 정보에 대해 설명합니다.
'자격 증명 스캔'이라고도 하는 인증된 스캔에는 인증된 사용자의 액세스 권한이 필요합니다. 스캐너는 단순히 앱을 외부에서 보는 대신 로그인한 사용자에게 표시되는 내용을 확인할 수 있습니다. 이러한 스캔은 해커가 탈취한 계정으로 무엇을 할 수 있는지, 내부자 위협이 어떻게 피해를 입힐 수 있는지를 보여줍니다.
'비인증 스캔'이라고도 하는 인증되지 않은 스캔에는 액세스 권한 등의 권한이 없습니다. 이러한 스캔은 외부인의 관점에서만 자산을 봅니다. 보안팀은 내부 및 외부의 인증되지 않은 스캔을 모두 실행할 수 있습니다.
각 유형의 스캔에는 고유한 사용 사례가 있지만 일부 중복되는 부분이 있으며 이를 결합하여 다양한 용도로 사용할 수 있습니다. 예를 들어 인증된 내부 스캔은 내부자 위협의 관점을 보여줄 수 있습니다. 반대로 인증되지 않은 내부 스캔은 악성 해커가 네트워크 경계를 통과할 경우 무엇을 볼 수 있는지 보여줍니다.
취약점 스캔과 모의 침투 테스트는 별개이지만 서로 연관된 형태의 네트워크 보안 테스트입니다. 서로 다른 기능이 있지만 많은 보안 팀에서는 이를 사용하여 서로를 보완합니다.
취약점 검색은 자산에 대한 자동화된 상위 수준 검색입니다. 이러한 스캔은 결함을 발견하고 보안 팀에 보고합니다. 모의 침투 테스트 또는 펜 테스트는 수동 프로세스입니다. 펜 테스터는 윤리적 해킹 기술을 사용하여 네트워크 취약점을 찾을 뿐만 아니라 모의 공격에서 이를 악용하기도 합니다.
취약성 스캔은 비용이 저렴하고 실행하기 쉬우므로 보안팀은 이를 사용하여 시스템을 지속적으로 모니터링합니다. 침투 테스트에는 더 많은 리소스가 필요하지만 보안 팀이 네트워크 결함을 더 잘 이해하는 데 도움이 될 수 있습니다.
취약성 스캔과 펜 테스트를 함께 사용하면 취약성을 더욱 효과적으로 관리할 수 있습니다. 예를 들어 취약성 스캔은 펜 테스터에게 유용한 출발점을 제공해 줍니다. 한편 모의 침투 테스트는 오탐을 발견하고 근본 원인을 파악하며 사이버 범죄자가 더 복잡한 공격에서 어떻게 취약점을 서로 연결할 수 있는지 탐색하여 스캔 결과에 더 많은 컨텍스트를 추가할 수 있습니다.