IT 리스크 관리의 하위 분야인 취약성 관리(vulnerability management)는 조직의 IT 인프라 및 소프트웨어의 보안 취약성을 지속적으로 찾아내고 우선 순위를 지정하며 해결하는 활동을 말합니다.

보안 취약성은 네트워크 또는 네트워크로 연결된 자산의 구조, 기능 또는 구현 결과물에 존재하는 모든 결함 또는 취약성을 의미하며, 해커는 이러한 결함 또는 취약성을 악용하여 사이버 공격을 감행하거나 시스템 또는 데이터에 대한 무단 액세스 권한을 확보하거나 조직에 해를 끼칠 수 있습니다. 흔한 취약성의 예로는 특정 유형의 멀웨어가 네트워크로 침입하도록 빌미를 제공할 수 있는 잘못된 방화벽 구성이나 해커가 디바이스를 장악하는 기회를 제공할 수 있는 운영 체제 원격 데스크탑 프로토콜의 패치가 적용되지 않은 버그가 있습니다.

요즘 엔터프라이즈 네트워크는 매우 분산되어 있어 매일 새로운 취약성이 많이 발견되고 있으므로 수동으로 또는 임기응변으로 취약성을 관리하면 효과적일 수 없습니다. 사이버 보안 팀은 일반적으로 이러한 프로세스를 자동화하기 위해 취약성 관리 솔루션을 사용합니다.

CIS(The Center for Internet Security)는 지속적인 취약성 관리를 가장 흔한 사이버 공격을 방어할 수 있는 Critical Security Controls(중요 보안 통제 장치)(ibm.com 외부 링크) 중 하나로 꼽았습니다. 취약성 관리를 통해 IT 보안 팀은 취약성이 악용되기 전에 취약성을 찾아내어 해결함으로써 더욱 사전 예방적인 보안 태세를 강화할 수 있습니다. 

새로운 취약성은 언제든 생길 수 있기 때문에 보안 팀은 취약성 관리를 별개의 이벤트가 아니라 지속적 라이프사이클로 간주합니다. 이 라이프사이클은 서로 겹치는 부분이 있는 다섯 가지 지속적 워크플로우로 구성되며, 그 다섯 가지 워크플로우는 바로 발견, 분류 및 우선 순위 지정, 해결, 재평가, 보고입니다.

1. 발견(Discovery)

발견 워크플로우는 알려진 취약성 및 잠재적 취약성이 있는지 조직의 모든 IT 자산을 확인하는 프로세스인 취약성 평가가 중심이 됩니다. 일반적으로 보안 팀은 취약성 스캐너 소프트웨어를 사용하여 이 프로세스를 자동화합니다. 정기적인 일정에 따라 포괄적인 네트워크 스캔을 수행하는 취약성 스캐너도 있고, 노트북, 라우터, 기타 엔드포인트에 설치된 에이전트를 사용하여 각 디바이스의 데이터를 수집하는 취약성 스캐너도 있습니다. 또한 보안 팀은 스캐너를 피해 갈 수 있는 취약성을 찾아내기 위해 침투 테스트와 같은 간헐적 취약성 평가를 활용하기도 합니다.  

2. 분류 및 우선 순위 지정(Categorization and Prioritization)

취약성이 발견된 후에는 유형(예: 디바이스 구성 오류, 암호화 문제, 민감한 데이터 노출)별로 분류하고, 각 취약성의 심각도, 악용 가능성, 공격으로 이어질 가능성에 대한 추정치인 중대성 수준에 따라 우선 순위를 지정합니다.

중대성을 결정하기 위해 취약성 관리 솔루션은 보통 알려진 취약성의 중대성을 0~10점 척도에 따라 점수로 매기는 개방형 사이버 보안 산업 표준인 CVSS(Common Vulnerability Scoring System), MITRE의 CVE(Common Vulnerabilities and Exposures) 목록 및 NIST의 NVD(National Vulnerability Database)와 같은 위협 인텔리전스 소스를 활용합니다. 

3. 해결(Resolution)

취약성의 우선 순위를 지정한 후에 보안 팀은 다음 세 가지 방법 중 하나로 취약성을 해결합니다.

• 교정(Remediation)—소프트웨어 버그를 해결하는 패치를 설치하거나 취약한 자산을 폐기하는 등의 조치를 통해 취약성이 더 이상 악용되지 못하도록 취약성을 완전히 해결합니다. 많은 취약성 관리 플랫폼들은 자동 패치 다운로드 및 테스트를 위한 패치 관리, 중앙 집중식 대시보드 또는 포털에서 네트워크 및 디바이스 구성 오류를 해결하기 위한 구성 관리와 같은 교정 툴을 제공합니다.
• 완화(Mitigation)-취약성을 완전히 제거하지 않고 취약성 악용을 더 어렵게 만들거나 악용할 경우의 영향을 감소시킵니다. 취약성이 있는 디바이스를 온라인 상태로 두되 이를 네트워크의 나머지 부분에서 분리하는 것이 완화의 예가 될 수 있습니다. 완화는 패치 또는 기타 교정 수단이 아직 없는 경우에 수행되는 경우가 많습니다. 
• 수용(Acceptance)—취약성을 해결하지 않고 그대로 둡니다. 악용될 가능성이 낮거나 상당한 피해를 입힐 가능성이 낮은, 중대성 점수가 낮은 취약성은 수용되는 경우가 많습니다. 

4. 재평가(Reassessment)

취약성이 해결되면 보안 팀은 일반적으로 새로운 취약성 평가를 수행하여 완화 또는 교정 노력이 효과가 있었는지, 새로운 취약성이 생기지는 않았는지 확인합니다.

5. 보고(Reporting)

취약성 관리 플랫폼은 일반적으로 MTTD(평균 탐지 시간) 및 MTTR(평균 응답 시간)과 같은 지표에 대해 보고하는 대시보드를 제공합니다. 또한 발견된 취약성에 대한 데이터베이스를 유지하는 솔루션도 많습니다. 이러한 데이터베이스를 통해 보안 팀은 발견된 취약성의 해결 상황을 추적하고 과거의 취약성 관리 활동을 감사할 수 있습니다.

이러한 보고 기능을 활용하여 보안 팀은 지속적인 취약성 관리 활동에 대한 기준을 설정하고 시간이 흐름에 따라 프로그램 성능을 모니터링할 수 있습니다. 또한 보고서를 사용하여 보안 팀과 자산 관리를 담당하지만 취약성 관리 프로세스에는 직접 관여하지 않는 다른 IT 팀 간에 정보를 공유할 수도 있습니다. 

리스크 기반 취약성 관리(risk-based vulnerability management, RBVM)는 취약성 관리에 대한 비교적 새로운 접근 방식입니다. RBVM은 이해관계자별 취약성 데이터를 인공 지능 및 머신 러닝 기능과 결합하여 세 가지 중요한 방식으로 취약성 관리를 향상시킵니다.

보다 효과적인 우선 순위 지정을 위한 더 많은 컨텍스트 제공. 위에서 언급한 대로 기존의 취약성 관리 솔루션은 CVSS 또는 NIST NVD와 같은 업계 표준 리소스를 사용하여 중대성을 결정합니다. 이러한 리소스는 모든 조직에서 취약성의 평균적 중대성을 결정할 수 있는 일반화된 정보를 활용합니다. 그러나 이들은 이해관계자별 취약성 데이터를 제공하지 않으므로 특정 회사에서 취약성의 중대성에 대한 우선 순위를 잘못 지정하게 만들 위험이 있습니다.

예를 들면, 네트워크의 모든 취약성을 해결할 수 있는 시간이나 리소스가 있는 보안 팀은 없으므로 많은 경우 취약성의 CVSS 점수를 "높음"(7.0~8.9) 또는 "중대함"(9.0~10.0)으로 하여 우선 순위를 지정합니다. 그러나 "중대한" 취약성이 민감한 정보를 저장하거나 처리하지 않는 자산 또는 네트워크에서 가치가 큰 부분에 대한 경로를 제공하지 않는 자산에 존재하는 경우, 교정을 실시하면 보안 팀의 귀중한 시간을 낭비하게 될 수도 있습니다. 반대로, CVSS 점수가 낮은 취약성도 일부 조직에게는 위협이 될 수 있습니다. 2014년에 발견된 Heartbleed 버그는 CVSS 척도에서 “중간”(5.0)으로 평가되었지만(ibm.com 외부 링크), 해커들은 이 버그를 악용하여 미국 최대 규모의 병원 중 한곳에서 환자 450만 명의 데이터를 훔치는(ibm.com 외부 링크) 등 대규모 공격을 감행했습니다.

RBVM은 영향을 받는 자산의 수와 중대성, 자산이 서로 연결되는 방식, 악용으로 인해 발생할 수 있는 잠재적 피해 등의 이해관계자별 취약성 데이터와 사이버 범죄자가 실제 세상에서 취약성과 상호작용하는 방식에 대한 데이터를 제공하여 점수를 매길 때 보완합니다. 또한 머신 러닝을 활용하여 각 취약성이 조직에게 구체적으로 제기하는 리스크를 더 정확하게 반영하도록 리스크 점수를 산정합니다. 이를 통해 IT 보안 팀은 네트워크 보안을 희생하지 않고 더 적은 수의 중대한 취약성에 대해 우선 순위를 지정할 수 있습니다.

실시간 발견. RBVM의 경우 취약성 스캔은 반복적 일정에 따라서가 아니라 실시간으로 수행되는 경우가 많습니다. 또한, RBVM 솔루션은 더 광범위한 자산을 모니터링할 수 있습니다. 기존 취약성 스캐너는 보통 네트워크에 직접 연결된 알려진 자산에 대해서만 활용할 수 있지만, RBVM 툴은 일반적으로 온프레미스 및 원격 모바일 디바이스, 클라우드 자산, 타사 앱 및 기타 리소스를 스캔할 수 있습니다.

자동 재평가. RBVM 프로세스에서는 지속적인 취약성 스캔을 통해 재평가가 자동으로 수행될 수 있습니다. 기존의 취약성 관리 방식에서는 재평가를 위해 의도적인 네트워크 스캔이나 침투 테스트를 수행해야 할 수 있습니다. 

취약성 관리는 공격 표면 관리(attack surface management, ASM)와 밀접한 관련이 있습니다. ASM은 조직의 공격 표면을 구성하는 취약성과 잠재적 공격 벡터를 지속적으로 발견, 분석, 교정, 모니터링하는 활동입니다. ASM과 취약성 관리의 주된 차이점은 범위입니다. 두 프로세스 모두 조직의 자산에 존재하는 취약성을 모니터링하고 해결하지만, ASM은 네트워크 보안에 대해 보다 전체적인 접근 방식을 취합니다. 

ASM 솔루션에는 네트워크에 연결된 알려지거나 알려지지 않은 타사 또는 자회사의 모든 악의적 자산을 식별하고 모니터링하는 자산 검색(asset discovery) 기능이 포함되어 있습니다. ASM은 또한 IT 자산을 넘어 조직의 물리적 공격 표면 및 소셜 엔지니어링 공격 표면에 존재하는 취약성을 식별합니다. 그 다음, 해커의 시각에서 이러한 자산과 취약성을 분석하여 사이버 범죄자가 네트워크 침투를 위해 이들을 어떻게 악용할지 이해합니다.

리스크 기반 취약성 관리(RBVM)가 등장하면서 취약성 관리와 ASM 사이의 경계는 점점 더 희미해지고 있습니다. ASM은 취약성 관리만을 수행할 때보다 공격 표면을 더 포괄적인 시각에서 파악할 수 있으므로 조직들이 RBVM 솔루션의 일부로 ASM 플랫폼을 배포하는 경우가 많습니다.