취약점 우선순위 지정을 위한 CVSS 점수를 넘어서는 접근 방식
2016년부터 매년 보고되는 새로운 취약점 매년 보고되는 새로운 취약점 거의 세 배로 증가했습니다. 발견된 취약점의 수가 증가함에 따라 조직은 즉각적인 주의가 필요한 취약점의 우선순위를 정해야 합니다. 그러나 취약점 패치 우선순위를 정하는 작업은 일반적으로 사용되는 CVSS(공통 취약점 점수 시스템) 점수 외에도 다양한 요소를 고려해야 하므로 쉽지 않을 수 있습니다.
이 블로그 게시물에서는 취약점의 우선 순위를 정할 때 조직이 고려해야 할 다각적인 측면과 라이브 패치가 제공하는 이점에 대해 설명합니다.
CVSS 점수의 한계
공통 취약점 점수 시스템 공통 취약점 점수 시스템 (CVSS)는 컴퓨터 시스템 보안 취약점의 심각도를 평가하기 위한 표준화된 프레임워크를 제공합니다. 이 시스템은 취약점의 주요 특성을 파악하기 위한 일련의 메트릭을 제공하고 취약점의 심각도를 반영하는 수치 점수를 생성합니다. 0점부터 10점까지의 점수를 통해 취약성을 평가하고 우선순위를 지정할 수 있으므로 IT 전문가는 가장 중요한 위협을 완화하는 데 리소스를 우선적으로 집중할 수 있습니다.
그러나 CVSS 점수는 유용한 출발점을 제공하지만, 이 점수에만 의존하면 우선순위 결정이 부적절해질 수 있습니다. 취약점은 상황에 따라 매우 다른 영향을 미칠 수 있으므로 추가적인 요소를 고려하는 것이 필수적입니다.
취약한 시스템의 중요도 및 도달 가능성
조직 내 모든 시스템의 중요도나 잠재적 위협에 대한 노출 정도가 동일하지는 않습니다. 중요한 시스템에 영향을 미치는 취약점이나 악의적인 공격자가 쉽게 접근할 수 있는 취약점의 우선순위를 정하는 것이 중요합니다.
예를 들어, 고객 포털을 호스팅하는 외부 웹 서버의 중간 심각도 취약성은 액세스가 제한된 격리된 내부 개발 서버의 높은 심각도 취약성보다 더 중요할 수 있습니다. 조직에 미치는 영향과 악용 가능성에 따라 우선순위를 정해야 합니다.
익스플로잇의 존재
알려진 익스플로잇의 존재는 취약점 우선순위에 큰 영향을 미칩니다. 익스플로잇이 공개적으로 사용 가능하거나 공격에 적극적으로 사용되는 경우 패치의 시급성이 높아집니다. CVSS 점수가 낮은 취약점이라도 익스플로잇의 증거가 있다면 즉각적인 우선순위가 될 수 있습니다. 조직은 보안 포럼, 위협 인텔리전스 소스 및 공급업체의 조언을 면밀히 모니터링하여 최신 익스플로잇 개발에 대한 최신 정보를 파악해야 합니다.
비즈니스 위험
취약점이 비즈니스 운영에 미칠 수 있는 잠재적 영향을 평가하는 것은 매우 중요합니다. 일부 취약점은 기밀성이나 무결성을 직접적으로 손상시키지는 않지만 중요한 서비스를 중단시키거나 조직의 평판에 해를 끼칠 수 있습니다. 예를 들어, 이커머스 플랫폼에서 잠재적으로 서비스 거부로 이어질 수 있는 중간 심각도 취약점은 재정적 위험으로 인해 더 높은 우선순위를 부여해야 할 수 있습니다.
특정 환경의 중요성
취약점의 중요성은 취약점이 존재하는 특정 환경에 따라 달라질 수 있습니다. 조직마다 다양한 소프트웨어 구성, 인프라 아키텍처, 레거시 시스템으로 구성된 다양한 기술 환경에서 운영됩니다.
중간 심각도 취약점은 환경에 존재하는 시스템 및 애플리케이션의 구성에 따라 다른 영향을 미칠 수 있습니다. 예를 들어, 공급업체 는 자체 위험 평가에 따라 제품에 영향을 미치는 CVE(공통 취약점 및 노출)에 대한 원래 NIST 점수를 낮출 수 있습니다. 그러나 벤더의 평가에서 환경별 구성을 고려하지 않은 경우, 낮아진 점수는 취약점을 패치하지 않았을 때 발생하는 실제 위험을 정확하게 반영하지 못할 수 있습니다.
따라서 취약점 점수가 낮아졌다고 해서 반드시 위협이 감소하는 것은 아니며 취약점이 패치되지 않은 채로 남아있을 수 있습니다. 예를 들어, CentOS 7에는 배포 공급업체가 패치를 적용하지 않기로 결정한 중요 시스템 패키지의 결함을 포함하여 수정되지 않은 수많은 취약점이 있습니다.
사전 예방적 취약점 관리를 위한 라이브 패치 구현
취약점 우선순위 결정의 복잡한 세계에서 조직이 정보에 입각한 패치 결정을 내릴 때 CVSS 점수에만 의존할 수 없다는 것은 분명합니다. 중요도, 접근 가능성, 익스플로잇의 존재 여부, 비즈니스 위험, 특정 환경과 같은 요소를 신중하게 평가해야 합니다. 그러나 취약성 관리 문제를 효과적으로 해결하기 위해 조직은 다음을 구현하면 이점을 얻을 수 있습니다. 실시간 패치 솔루션을 구현하는 것이 좋습니다.
다음과 같은 라이브 패치 솔루션 KernelCare Enterprise와 같은 라이브 패치 솔루션은 취약점을 즉시 패치할 수 있는 자동화되고 안정적인 접근 방식을 제공합니다. 이러한 솔루션은 취약성을 지속적으로 모니터링하고 실시간으로 패치를 적용함으로써 중간, 중요, 고위험 취약성과 관련된 위험을 완화하는 데 도움이 됩니다. 이 사전 예방적 접근 방식은 시스템이 자동으로 취약성을 해결하므로 수동으로 우선순위를 지정할 필요가 없습니다. 취약점 수동으로 우선순위를 지정할 필요가 없습니다.
라이브 패치 솔루션을 구현하면 취약점 수정 프로세스가 간소화될 뿐만 아니라 취약점 악용의 위험도 크게 감소합니다. 취약점을 즉시 패치함으로써 조직은 공격 가능성과 그에 따른 피해를 효과적으로 최소화할 수 있습니다.
결론적으로 취약점 우선순위 지정에는 여러 가지 고려 사항이 포함되지만 라이브 패치 솔루션은 이 문제를 해결할 수 있는 귀중한 도구를 제공합니다. 지능형 자동화와 실시간 패치 기능을 결합함으로써 조직은 보안 태세를 강화하고 위험을 완화하며 잠재적인 위협보다 한 발 앞서 나갈 수 있습니다.
공통 취약점 점수 시스템(CVSS)에 대해 자세히 알아보는 리눅스 토크 위드 턱스케어 유튜브 시리즈 3편에서 자세히 알아보세요.