취약성 관리란?

취약성 관리를 활용하면 중요한 데이터가 의도하지 않게 공개되거나 비즈니스 운영 중단을 야기하도록 공격자가 악용할 수 있는 소프트웨어 문제 및 구성 오류를 식별하고 우선순위를 지정하여 대응할 수 있습니다.

현대의 사이버 생태계는 정적이지 않습니다. 끊임없이 변화하고 진화하는 실체로서 새로운 기술, 시스템 및 개인을 아우르도록 지속적으로 확장합니다. 그 결과 보안을 유지하는 것이 버거운 일이 되었습니다.

새로운 디지털 취약성은 거의 매일 발견되고 있습니다. 매년 수천 개의 새로운 위협 벡터가 악용될 수 있어 본질적으로 모든 산업 분야의 조직에 심각한 문제를 일으킵니다. Ponemon Institute에 따르면 미국에서 데이터 유출로 인해 발생한 전 세계 평균 비용은 864만 달러입니다. 따라서 공격이 발생한 후에 대응하는 것만은 효과적인 방어가 아닙니다.

또한 시스템과 서비스는 갈수록 복잡해지고 현대 사회에 필수 요소로 자리잡고 있습니다. 사용자가 환경에 더 많은 기술과 장치를 구성, 유지관리 및 추가할 때 실수를 범할 수 있습니다. 어떤 실수든 문제로 이어질 가능성이 있습니다.

취약성 관리는 솔루션을 제공합니다.

취약성 관리 정의

취약성 관리는 조직의 소프트웨어와 시스템 내에서 보안 취약성과 잘못된 구성을 식별, 평가, 처리, 보고하는 다양한 프로세스, 도구 및 전략을 의미하는 용어입니다. 즉, 회사의 디지털 환경을 모니터링하여 잠재적인 위험을 식별하고 현재 보안 상태에 대한 최신 정보를 얻을 수 있습니다.

보안 취약성

넓은 의미에서 취약성이란 약점, 즉 악용될 수 있는 결함입니다. 컴퓨터 과학에서 보안 취약성은 본질적으로 동일합니다. 보안 취약성은 위협 행위자가 대상으로 삼습니다. 이러한 공격자는 제한된 시스템에 액세스하기 위해 취약성을 찾아 악용하려고 시도합니다.

취약성 검사 도구

시스템, 네트워크 및 애플리케이션 전체에서 취약성을 식별하려면 특정 도구가 필요합니다. 취약성 검사 도구는 디지털 시스템을 통해 이동하고 잠재적인 약점을 발견하여 취약성을 관리할 수 있도록 설계된 프로그램입니다.

위험 기반 취약성 관리

취약성 관리를 확장한 위험 기반 취약성 관리 프로그램은 소프트웨어, 하드웨어 및 인프라를 비롯한 디지털 시스템의 고유한 약점을 해결하도록 설계되었습니다. 위험 기반 취약성 관리는 머신 러닝을 사용하여 클라우드 인프라, IoT 장치, 웹 앱 등을 통합하면서 기존 IT 자산을 넘어 취약성 관리를 확장합니다. 따라서 비즈니스는 전체 공격 표면에서 관련 통찰력에 액세스할 수 있습니다.

위험 기반 취약성 관리에서는 위험 기반 우선순위를 더 정확히 지정할 수도 있습니다. 회사는 우선적으로 위반을 초래할 가능성이 가장 높은 약점을 식별하고 복구하는 데 집중하면서 중요도가 낮은 취약성은 나중에 처리하도록 남겨둘 수 있습니다.

취약성 관리 및 취약성 평가

취약성 관리와 취약성 평가는 모두 사이버 보안 취약성을 효과적으로 처리하고 해결하는 데 기여합니다. 그러나 취약성 관리와 취약성 평가는 동일한 용어가 아닙니다.

취약성 평가는 취약성 관리의 첫 번째 단계일 뿐입니다. 대부분의 회사는 검사 도구를 사용하여 네트워크의 장치를 확인하고 설치된 소프트웨어 버전에 대한 정보를 수집하며, 이를 소프트웨어 벤더가 발표한 알려진 취약성과 비교합니다. 에이전트 또는 자격 증명이 있거나 없는 여러 검사 도구는 일반적으로 사용 중인 소프트웨어 범위(애플리케이션, 운영 체제, 클라우드 서비스 제공자 등)를 처리하는 데 필요합니다. 회사는 보통 매월 또는 분기별로 예약된 기간에 검사를 실행한 다음, 스프레드시트로 이메일에서 받은 목록을 사용하여 업그레이드 또는 패치 적용 작업을 할당합니다. 적극적으로 악용되고 있지만 아직 패치를 사용할 수 없는 제로데이 취약성이 발표되면 회사에서 인프라의 규모와 구성에 따라 며칠 또는 몇 주가 소요되기도 하는 온디맨드 검사를 시작할 수 있습니다.

반대로 취약성 관리는 단순한 예약 검사나 임시 검사가 아닌 수명주기입니다. 평가에서 우선순위 지정 및 정정으로 이동하는 지속적인 프로그램입니다. 여러 데이터 소스를 사용하여 소프트웨어 및 서비스의 현재 상태를 지속적으로 평가하고 재평가합니다. 평가 도구에서 생성된 소프트웨어 정보에 비즈니스, 위협, 악용 및 위험 컨텍스트를 추가하면 취약성 관리 시스템에서 즉시 해결해야 하는 취약성에 효율적으로 주의를 환기하고, 최상의 솔루션 또는 완화를 제안할 수도 있습니다. 취약성에 대해 지속적으로 심사, 평가, 수리 및 보고하여 일상적인 보안 취약성을 관리하고 해결할 수 있습니다. 즉, 약점을 더 빨리 발견할 수 있고 가장 큰 영향을 미치는 문제를 먼저 해결할 수 있으며, 간과하는 취약성이 줄어듭니다.

결국 취약성 평가는 IT 소프트웨어 환경의 요약을 제공합니다. 취약성 관리는 지속적으로 발전하는 실시간 인텔리전스, 정정 지침 및 보고 기능을 제공합니다.

갈수록 많은 정보가 디지털 시스템 내에서 생성되고 포함되며, 조직에서 모바일 기술 및 IoT 장치 사용이 계속 늘어남에 따라 새로운 보안 취약성이 대두되고 있습니다. 여기서는 취약성 관리에 대해 가장 관련 있는 몇 가지 통계를 살펴봅니다.

  • 2020년 17,002개의 새로운 보안 취약성이 식별되어 게시되었습니다(Stack Watch).
  • 평균 취약성의 심각도는 10점 만점에 7.1점이었습니다(Stack Watch).
  • 조직의 48%는 지난 2년 동안 데이터 유출이 있었다고 보고합니다(ServiceNow).
  • 유출 피해자의 60%는 패치가 적용되지 않은 상태인 알려진 취약성으로 패치되지 않아 유출되었다고 응답했습니다(ServiceNow).
  • 62%는 데이터 유출 이전에 조직이 취약한 환경이라는 사실을 인식하지 못했습니다(ServiceNow).
  • 설문 응답자의 52%는 조직이 수동 프로세스를 사용하기 때문에 취약성에 대응할 때 불리하다고 밝힙니다(ServiceNow).

2020년에 가장 많이 문서화된 보안 취약성이 있는 5개의 벤더는 Microsoft, Google, Oracle, Apple, IBM입니다(Stack Watch).

위협 행위자가 대상으로 삼을 취약성이 전혀 없는 것이 아닙니다. 그리고 데이터 유출로 인한 금전적 손실과 운영 중단, 고객 신뢰 및 브랜드 평판 손상, 잠재적인 법적 파급 효과와 관련하여 발생할 수 있는 피해까지 감안할 때 취약성을 찾아내어 수정하는 것은 매우 중요합니다.

효과적인 취약성 관리 시스템은 중요한 추가 보호 계층을 제공하여 IT 보안 결함을 지속적으로 관리하고 수정할 수 있는 기능을 제공합니다.

취약성 관리를 설명할 때 익스플로잇(익스플로잇이 무엇이며, 이에 대비하는 방법)에 대해 다루지 않는다면 완전하지 않을 것입니다.

익스플로잇은 악성 소프트웨어(맬웨어) 프로그램입니다. 시스템 내 알려진 취약성을 이용하는 특수 코드로 구성됩니다. 위협 행위자는 처음에 익스플로잇을 사용하여 네트워크 및 관련 시스템에 원격으로 액세스합니다. 그런 다음 데이터를 훔치거나 변경하고, 자신에게 시스템 권한을 부여하고, 승인된 사용자를 차단하고, 네트워크에 더 깊이 침투하고, 다른 맬웨어 또는 공격 기술을 이용하기 위해 진입할 수 있습니다.

고려해야 할 중요한 요소는 익스플로잇이 알려진 취약성 또는 제로데이의 경우 알려지지 않아 패치되지 않은 취약성을 대상으로 삼고, 이를 이용하도록 설계된 소프트웨어 프로그램이라는 점입니다. 조직 내에서 취약성 관리를 구현하면 익스플로잇의 대상이 되는 동일한 취약성을 해결하고 복구할 수 있습니다.

지속적인 취약성 관리 외에도 다음과 같은 방법으로 조직에서 대비할 수 있습니다.

  • 모든 직원에게 IT 보안 교육 제공
    가능한 공격을 차단하는 방법을 알아야 하는 부서가 IT 부서만은 아닙니다. 모든 직원에게 IT 보안 베스트 프랙티스를 교육하고 조직의 사이버 보안 정책이 최신 상태인지 확인하십시오.
  • 트래픽 필터링 및 검사 구현
    트래픽 필터링 및 검사를 통해 네트워크 트래픽에 대한 가시성을 높이고 적절한 종류의 트래픽을 올바른 보안 모니터링 도구로 전송할 수 있습니다. 따라서 트래픽 병목 현상을 방지하고 지연 시간을 줄이며 악의적인 에이전트를 더 빠르게 식별하여 이에 대응할 수 있습니다.
  • 정기적인 패치 적용 관리
    소프트웨어 벤더는 새로운 취약성으로부터 제품을 보호할 수 있는 패치와 업데이트를 정기적으로 제공합니다. 규칙적으로 패치를 확인하고 모든 시스템과 애플리케이션이 최신 버전으로 작동하는지 점검하면 알려진 취약성이 악용되지 않는지 파악할 수 있습니다.

중요한 IT 에코시스템 보호에 대한 자세한 분석 자료는 Agile 보안 응답 구현: 필수 검사 목록을 확인하십시오.

벤더와 개발자가 소프트웨어 솔루션을 출시하는 경우 제품이 시판되기 전에 언제나 가능한 모든 취약성을 식별하고 해결할 시간이 있는 것은 아닙니다. 따라서 결함과 버그는 일시적으로 발견되지 않을 수 있습니다.

벤더, 보안 업체, 테스트 기관 및 기존 사용자가 새로운 취약성을 발견하면 일반적으로 해당 취약성이 적절한 채널을 통해 보고되고 공개됩니다. 그때 벤더는 노출된 제품에 패치를 적용할 책임이 있습니다. 취약성의 중요도 또는 심각도에 따라 벤더는 패치를 릴리스하기 위해 다소 빠르게 조치를 취합니다. 대규모 벤더는 일반적으로 패치를 “화요일 패치” 릴리스로 집계하고 테스트하므로 고객이 수정 사항을 구현하는 데 필요한 중단과 작업을 줄일 수 있습니다.

벤더는 취약성을 식별하기 위해 자체 테스트 기관과 외부 공급업체의 침투 테스트 기관을 이용할 가능성이 높지만, 많은 결함은 사용자가 발견하거나 해커가 식별할 때까지 눈에 띄지 않습니다. 이로 인해 지속적인 취약성 관리가 더욱 중요해지고 있습니다.

취약성 관리는 주기적 프로세스이며 정해진 수의 단계를 거친 후 반복됩니다. 이 주기에는 6단계가 있습니다.

취약성 발견

취약성이 탐지되지 않은 상태로 계속 이어질수록 보안 위반이 발생할 가능성은 높아집니다. 매주 외부 및 내부 네트워크 검사를 수행하여 기존 및 새로운 취약성을 식별합니다. 이 프로세스에는 네트워크에 액세스 가능한 시스템 검사, 해당 시스템에서 열린 포트 및 서비스 식별, 시스템 정보 수집, 알려진 취약성과 시스템 정보 비교가 포함됩니다.

자산 우선순위 지정

사용 중인 항목을 알게 되면 비즈니스에서의 용도 또는 역할에 따라 각 자산에 값을 할당할 수 있습니다. 우수 고객이나 미션 크리티컬 직원을 지원하는 데 사용되는 애플리케이션 또는 웹 서버입니까, 아니면 단지 프린터입니까? 경영진 노트북 또는 고객 지원 센터 터미널입니까? 이 컨텍스트를 시스템 목록에 추가하면 취약성을 수정하는 것이 얼마나 중요한지 알 수 있습니다.

취약성 평가

평가는 사용자 환경의 애플리케이션 및 시스템 상태를 파악하기 위해 검사하는 과정입니다.

취약성 우선순위 지정

검사하는 동안 취약성이 발견되면 비즈니스, 직원 및 고객에 대한 잠재적 위험에 따라 취약성의 우선순위를 지정해야 합니다. 취약성 관리 플랫폼은 일반적으로 취약성을 평가하고 순위를 매기기 위해 내장된 메트릭을 다양하게 제공합니다. 즉, 내부 또는 외부 소스에서 발생할 수 있는 비즈니스, 위협 및 위험 컨텍스트로 프로세스를 강화해야 합니다. 이 목표는 가장 밀접한 관련이 있고 영향이 크며 가능성이 높은 취약성을 식별하는 것입니다. 비즈니스에서 소프트웨어, 서비스 및 장치가 빠른 속도로 증가함에 따라 모든 취약성에 패치를 적용하지 못할 수도 있습니다. 가장 중요하고 가능성 있는 공격 대상을 식별하면 이러한 상황을 관리하는 실용적인 방법이 제공됩니다.

취약성 정정

취약성이 식별되고 우선순위가 지정되며 목록이 작성되면 필요한 다음 단계는 취약성을 정정 및/또는 완화하는 것입니다. 취약성과 관련된 위험을 이해하는 책임 있는 회사 내 사람들은 솔루션 구현 권한을 가진 동일한 개인이 아닌 경우가 많다는 점에 주목할 필요가 있습니다. 이를 염두에 두고 조직은 보안 운영, IT 운영 및 시스템 관리 팀 간에 공통 언어, 의사 결정 기준, 프로세스를 달성하기 위해 노력해야 합니다.

정정 확인

이 프로세스에서 흔히 경시되는 마지막 단계는 취약성이 해결되었는지 검증하는 것입니다. 앞서 설명한 단계를 다른 검사로 수행하여 최우선 위험이 효과적으로 해결되었거나 완화되었는지 확인합니다. 이 마지막 단계를 거쳐 추적 시스템에서 인시던트를 종결할 수 있고 정정 완료 기간(MTTR) 또는 해결되지 않은 치명적인 취약성 수와 같은 주요 성과 메트릭을 쉽게 생성합니다.

상태 보고

특히 주요 소프트웨어 결함이나 악용된 제로데이 취약성과 같은 유용한 정보를 담는 이벤트가 있는 경우 관리자, 경영진, 이사회에서도 자산의 취약성을 얼마나 제대로 평가하고 해결했는지에 대해 질문할 수 있습니다. 취약성, 위험 및 취약성 관리 성과에 관한 추세를 나타내는 보고서는 올바른 직원 배정 또는 도구 활용을 설명할 때도 도움이 됩니다. 최고의 취약성 관리 플랫폼에는 다양한 사용자, 이해 관계자 및 기술 렌즈를 지원하기 위해 시각적 보고서 및 대화형 대시보드를 자동으로 생성하는 옵션을 갖추고 있습니다.

2-취약성 관리란-A

위에 요약된 6단계는 취약성 관리에 대한 구조적이고 순차적인 접근 방식을 보여줍니다. 취약성 관리 프로세스를 설정할 때도 올바르게 구성하는 것이 중요합니다. 이때 고려할 단계는 다음과 같습니다.

목표 정의

모든 취약성 관리 솔루션의 주요 목표가 시스템 내의 취약성을 식별하고 정정하거나 완화하는 것이며, 이러한 취약성이 악용되기 전에 수행해야 한다는 것은 분명한 사실입니다. 그러나 취약성 관리 프로세스와 관련하여 조직에서 추구할 수 있는 2차 목표도 식별해야 합니다.

2차 목표에서 취약성 관리의 전반적인 효율성과 조직에서 결과 데이터를 구현하는 방법을 개선할 수 있습니다. 이러한 2차 목표에는 취약성 검사 수행의 규칙성을 높이거나 식별된 취약성을 해결하는 데 걸리는 시간을 단축하는 것이 포함될 수 있습니다.

조직 내 역할 정의

취약성 관리 솔루션을 효과적으로 활용하려면 모든 이해 관계자가 성공적인 솔루션 사용에 충실하고 프로세스에서 해당 역할과 책임이 명확하게 규정되어야 합니다. 조직 구조와 기능에 따라 책임을 다르게 구분해야 할 수 있지만 대부분의 비즈니스에서는 개인을 감시자, 해결 담당자 및 권한 부여자의 역할에 할당하는 것이 좋습니다.

  • 감시자
    이 역할은 심각도 및 위험에 대한 취약성을 평가하고 발견 사항을 문서로 작성한 다음, 문제 해결에 책임을 맡을 해결 담당자에게 알립니다.
  • 해결 담당자
    알려진 문제에 대한 패치를 찾고, 패치를 사용할 수 없거나 적용하기 어려운 경우 완화 솔루션을 구축하는 일을 담당합니다.
  • 권한 부여자
    시스템 취약성에 대한 전체적인 상황을 확인하고, 현재와 미래에 취약성으로 인한 영향을 완화하기 위해 필요할 경우 전략과 절차를 변경하는 책임이 있습니다.

취약성 관리 프로그램의 효율성 평가

지속적인 취약성 관리 프로세스에 따라 비즈니스는 전반적인 보안 상태를 한층 더 명확하게 최신 상태로 볼 수 있습니다. 추가적인 이점으로 이러한 프로세스에 계속 이어지는 특성을 통해 취약성 관리 접근 방식의 효과적인 측면과 조정해야 하는 측면에 대한 정확한 평가를 전개할 수 있습니다.

중요한 점은 취약성 관리의 기본 단계가 비교적 일관적이지만 접근 방식에 미묘한 차이를 두는 것은 조직마다 적절할 수 있다는 것입니다. 정확성, 명확성 및 복원을 강화하기 위해 프로세스를 변경하는 것을 두려워하지 마십시오.

효과적이고 지속적인 취약성 관리 프로세스를 생성하기 위해 최고의 솔루션에는 다음 기능을 갖추어야 합니다.

검사

여기에는 네트워크 검사, 방화벽 로깅은 물론 침투 테스트 및 자동화 도구까지 포함됩니다. 실제로 검사 데이터의 소스는 다양하므로 하나의 회사 또는 도구에 옵션을 제한해야 할 필요는 없습니다.

발견

검사 결과를 분석하여 취약성과 과거 또는 발생한 위반의 가능한 증거까지 식별하는 작업이 포함됩니다.

확인

취약성 자체에 대한 평가가 통합되어 위협 행위자가 취약성을 이용할 수 있는 방법과 수반되는 위험을 파악합니다.

위험 및 영향 완화를 기반으로 우선순위 지정

위험 기반 취약성 관리가 통합되어 가장 위험성이 높은 버그를 결정할 수 있으므로 해당 버그를 수정 또는 완화를 위해 더 높은 우선순위에 배정해야 합니다.

패치 적용

식별된 취약성에 패치를 적용하여 잠재적인 위협 벡터로 취약성을 효과적으로 제거하는 작업이 포함됩니다.

측정

취약성 관리 솔루션의 효율성을 평가하고 필요한 경우 프로세스를 변경하는 작업이 이루어집니다.

SecOps 시작하기

위협을 더 빠르게 식별하고 우선순위를 지정하여 대응합니다.