게시일: 2023년 12월 15일
게시자: Matt Kosinski, Amber Forrest
'취약성 평가'라고도 하는 취약성 스캔은 네트워크 또는 IT 자산에서 보안 취약성 즉, 외부 또는 내부 위협 행위자가 악용할 수 있는 결함 또는 약점을 평가하는 프로세스입니다. 취약성 스캔은 광범위한 취약성 관리 라이프사이클의 첫 번째 단계입니다.
오늘날 대부분의 조직에서는 취약성 스캔이 완전히 자동화되어 있습니다. 취약성 스캔은 보안팀이 검토할 수 있도록 결함을 찾아 플래그를 지정하는 특수 취약성 스캔 도구로 수행됩니다.
IBM의 X-Force Threat Intelligence Index에 따르면 취약성 악용은 피싱에 이어 두 번째로 흔한 사이버 공격 벡터입니다. 취약성 스캔은 사이버 범죄자가 보안 취약점을 무기화하기 전에 조직이 보안 취약점을 찾아내 폐쇄할 수 있도록 도와줍니다. 이러한 이유로 인터넷 보안 센터(CIS) (ibm.com 외부 링크)에서는 중요한 사이버 보안 관행인 자동 취약성 스캔을 포함한 지속적인 취약성 관리를 고려합니다.
보안 취약성은 해커 또는 기타 위협 행위자가 무단으로 액세스하여 네트워크, 사용자 또는 비즈니스에 해를 끼치기 위해 악용할 수 있는 IT 자산 또는 네트워크의 구조, 기능 또는 구현상의 약점입니다. 일반적인 취약성은 다음과 같습니다.
- 사용자 입력을 처리하는 방식으로 인해 크로스 사이트 스크립팅, SQL 주입 및 기타 주입 공격에 취약한 웹 앱과 같은 코딩 결함.
- 해커가 악성 코드를 확산시키는 데 사용할 수 있는 서버, 노트북 및 기타 엔드포인트의 보호되지 않은 개방형 포트
- 부적절한 액세스 권한이 있기 때문에 민감한 데이터를 공용 인터넷에 노출하는 클라우드 스토리지 버킷과 같은 잘못된 구성
- 패치 누락, 취약한 암호 또는 사이버 보안 위생의 기타 결함
매달 수천 개의 새로운 취약점이 발견됩니다. 미국 정부 기관인 국립표준기술연구소(NIST)와 사이버 보안 및 인프라 보안국(CISA)은 알려진 보안 취약점에 대한 검색 가능한 카탈로그를 관리하고 있습니다. (ibm.com 외부 링크)
취약성은 일단 발견되면 철저하게 문서화되지만 안타깝게도 해커와 다른 위협 행위자들이 먼저 발견하여 조직을 놀라게 하는 경우가 많습니다.
이러한 사이버 위협에 직면하여 보다 사전 예방적인 보안 태세를 채택하기 위해 IT 팀은 취약성 관리 프로그램을 구현합니다. 이러한 프로그램은 해커가 보안 위험을 악용하기 전에 이를 식별하고 해결하기 위한 지속적인 프로세스를 따릅니다. 취약성 스캔은 일반적으로 취약성 관리 프로세스의 첫 번째 단계로 IT 및 보안 팀이 해결해야 하는 보안 취약성을 찾아냅니다.
또한 많은 보안 팀이 취약성 스캔을 사용하여 다음을 수행합니다.
보안 조치 및 제어 검증 - 새로운 제어 장치를 마련한 후 팀에서는 식별된 취약성이 해결되었는지, 수정 노력으로 인해 새로운 문제가 발생하지 않았는지 확인하기 위해 종종 추가 검사를 실행합니다.
규정 준수 유지 - 일부 규정은 명시적으로 취약점 스캔을 요구합니다. 예를 들어 결제 카드 산업 데이터 보안 표준(PCI-DSS)에서는 카드 소지자 데이터를 처리하는 조직에 대해 분기별 검사를 실시하도록 규정하고 있습니다. (ibm.com 외부 링크)
클라우드 및 온프레미스 앱, 모바일 및 IoT 디바이스, 노트북 및 기타 기존 엔드포인트 등 최신 엔터프라이즈 네트워크에는 수동으로 취약성 스캔을 수행하기에는 너무 많은 자산이 포함되어 있습니다. 대신 보안팀은 취약성 스캐너를 사용하여 반복적으로 자동화된 검사를 수행합니다.
잠재적 취약성을 찾기 위해 스캐너는 먼저 IT 자산에 대한 정보를 수집합니다. 일부 스캐너는 엔드포인트에 설치된 에이전트를 사용하여 디바이스와 해당 디바이스에서 실행되는 소프트웨어에서 데이터를 수집합니다. 다른 스캐너는 디바이스 구성 및 활성 서비스에 대한 세부 정보를 찾기 위해 열린 포트를 탐색하여 외부에서 시스템을 검사합니다. 일부 스캐너는 기본 자격 증명을 사용하여 디바이스에 로그인을 시도하는 등 보다 동적인 테스트를 수행합니다.
스캐너가 자산의 재고를 파악한 후에는 이를 다양한 하드웨어 및 소프트웨어 버전에 대한 일반적인 취약성 및 노출(CVE)을 기록하는 취약성 데이터베이스와 비교합니다. 일부 스캐너는 NIST 및 CISA 데이터베이스와 같은 공개 소스에 의존하고 다른 스캐너는 독점 데이터베이스를 사용합니다.
스캐너는 해커가 디바이스를 제어할 수 있는 원격 데스크톱 프로토콜 버그가 있는 것으로 알려진 운영 체제와 같이 각 자산에 이와 관련된 결함의 징후가 있는지 확인합니다. 또한 스캐너는 민감한 데이터베이스에 대해 적절하고 엄격한 인증 기준이 마련되어 있는지 확인하는 등 모범 보안 사례 목록과 비교하여 자산 구성을 확인할 수도 있습니다.
그런 다음 스캐너는 보안 팀이 검토할 수 있도록 식별된 취약성에 대한 보고서를 작성합니다. 가장 기본적인 보고서에는 해결해야 할 모든 보안 문제가 간단히 나열되어 있습니다. 일부 스캐너는 자세한 설명을 제공하고 스캔 결과를 이전 스캔과 비교하여 시간 경과에 따른 취약성 관리를 추적할 수 있습니다.
고급 스캐너는 중요도에 따라 취약성의 우선순위를 지정하기도 합니다. 스캐너는 공통 취약점 점수 시스템(CVSS) 점수와 같은 오픈 소스 위협 인텔리전스를 사용하여 결함의 위험도를 판단하거나 조직의 고유한 상황에서 결함을 고려하는 보다 복잡한 알고리즘을 사용할 수 있습니다. 이러한 스캐너는 각 결함에 대한 수정 및 완화 방법을 추천할 수도 있습니다.
새로운 자산이 추가되고 새로운 취약성이 발견됨에 따라 네트워크의 보안 위험도 변화합니다. 그러나 각 취약성 스캔은 특정 순간만 캡처할 수 있습니다. 조직은 진화하는 사이버 위협 환경에 발맞추기 위해 정기적으로 스캔을 수행해야 합니다.
대부분의 취약성 스캔은 리소스와 시간이 많이 소요되기 때문에 모든 네트워크 자산을 한 번에 스캔하지 않습니다. 오히려 보안팀은 중요도에 따라 자산을 그룹화하여 일괄적으로 스캔하는 경우가 많습니다. 가장 중요한 자산은 매주 또는 매월 스캔하고 덜 중요한 자산은 분기별 또는 매년 스캔할 수 있습니다.
보안 팀은 새로운 웹 서버를 추가하거나 새로운 민감한 데이터베이스를 생성하는 등 주요 네트워크 변경이 발생할 때마다 스캔을 실행할 수도 있습니다.
일부 고급 취약점 스캐너는 지속적인 스캔을 제공합니다. 이러한 도구는 자산을 실시간으로 모니터링하고 새로운 취약성이 발생하는 즉시 플래그를 지정합니다. 그러나 연속 스캔이 항상 가능하거나 바람직한 것은 아닙니다. 보다 집중적인 취약성 스캔은 네트워크 성능을 방해할 수 있으므로 일부 IT 팀은 대신 주기적인 스캔을 실시하는 것을 선호할 수 있습니다.
스캐너에는 다양한 유형이 있으며 보안팀은 네트워크 취약성을 종합적으로 파악하기 위해 여러 도구를 조합하여 사용하는 경우가 많습니다.
일부 스캐너는 특정 종류의 자산에 초점을 맞춥니다. 예를 들어 클라우드 스캐너는 클라우드 서비스에 초점을 맞추는 반면 웹 애플리케이션 검색 도구는 웹 앱의 결함을 탐색합니다.
스캐너는 로컬에 설치하거나 서비스형 소프트웨어(SaaS) 앱으로 제공할 수 있습니다. 오픈 소스 취약점 스캐너와 유료 도구 모두 널리 사용되고 있습니다. 일부 조직은 취약성 스캔을 전적으로 타사 서비스 제공업체에 아웃소싱합니다.
취약성 스캐너는 독립형 솔루션으로도 사용할 수 있지만 점점 더 많은 공급업체가 종합적인 취약성 관리 제품군의 일부로 취약성 스캐너를 제공하고 있습니다. 이러한 도구는 여러 종류의 스캐너와 공격 표면 관리, 자산 관리, 패치 관리 및 기타 주요 기능을 하나의 솔루션에 결합합니다.
많은 스캐너가 보안 정보 및 이벤트 관리 시스템(SIEM), 엔드포인트 탐지 및 대응(EDR) 도구와 같은 다른 사이버 보안 도구와의 통합을 지원합니다.
보안 팀은 필요에 따라 다양한 유형의 스캔을 실행할 수 있습니다. 가장 일반적인 유형의 취약성 스캔은 다음과 같습니다.
외부 취약성 스캔은 외부에서 네트워크를 살펴봅니다. 웹 앱과 같은 인터넷 연결 자산의 결함에 중점을 두고 방화벽과 같은 경계 제어를 테스트합니다. 이러한 스캔은 외부 해커가 어떻게 네트워크에 침입할 수 있는지 보여줍니다.
내부 취약성 스캔은 네트워크 내부의 취약점을 살펴봅니다. 해커가 침입했을 때 어떤 일을 할 수 있는지, 즉 데이터 침해 시 해커가 측면 이동하는 방법이나 훔칠 수 있는 민감한 정보에 대해 설명합니다.
'자격 증명 스캔'이라고도 하는 인증된 스캔에는 인증된 사용자의 액세스 권한이 필요합니다. 스캐너는 단순히 앱을 외부에서 보는 대신 로그인한 사용자에게 표시되는 내용을 확인할 수 있습니다. 이러한 스캔은 해커가 탈취한 계정으로 무엇을 할 수 있는지, 내부자 위협이 어떻게 피해를 입힐 수 있는지를 보여줍니다.
'비인증 스캔'이라고도 하는 인증되지 않은 스캔에는 액세스 권한 등의 권한이 없습니다. 이러한 스캔은 외부인의 관점에서만 자산을 봅니다. 보안팀은 내부 및 외부의 인증되지 않은 스캔을 모두 실행할 수 있습니다.
각 유형의 스캔에는 고유한 사용 사례가 있지만 일부 중복되는 부분이 있으며 이를 결합하여 다양한 용도로 사용할 수 있습니다. 예를 들어 인증된 내부 스캔은 내부자 위협의 관점을 보여줄 수 있습니다. 반대로 인증되지 않은 내부 스캔은 악성 해커가 네트워크 경계를 통과할 경우 무엇을 볼 수 있는지 보여줍니다.
취약성 스캔과 모의 침투 테스트는 별개이지만 서로 연관된 형태의 네트워크 보안 테스트입니다. 서로 다른 기능이 있지만 많은 보안 팀에서는 이를 사용하여 서로를 보완합니다.
취약점 검색은 자산에 대한 자동화된 상위 수준 검색입니다. 이러한 스캔은 결함을 발견하고 보안 팀에 보고합니다. 모의 침투 테스트 또는 펜 테스트는 수동 프로세스입니다. 펜 테스터는 윤리적 해킹 기술을 사용하여 네트워크 취약점을 찾을 뿐만 아니라 모의 공격에서 이를 악용하기도 합니다.
취약성 스캔은 비용이 저렴하고 실행하기 쉬우므로 보안팀은 이를 사용하여 시스템을 지속적으로 모니터링합니다. 침투 테스트에는 더 많은 리소스가 필요하지만 보안 팀이 네트워크 결함을 더 잘 이해하는 데 도움이 될 수 있습니다.
취약성 스캔과 펜 테스트를 함께 사용하면 취약성을 더욱 효과적으로 관리할 수 있습니다. 예를 들어 취약성 스캔은 펜 테스터에게 유용한 출발점을 제공해 줍니다. 한편 모의 침투 테스트는 오탐을 발견하고 근본 원인을 파악하며 사이버 범죄자가 더 복잡한 공격에서 어떻게 취약점을 서로 연결할 수 있는지 탐색하여 스캔 결과에 더 많은 컨텍스트를 추가할 수 있습니다.
탐지율을 대폭 개선하고 위협을 탐지하고 조사하는 시간을 단축합니다.
가장 중요한 자산을 노출시킬 수 있는 결함을 식별하고 우선순위를 지정하며 해결 방법을 관리하는 취약성 관리 프로그램을 도입하세요.
위협을 신속하게 식별합니다. 내장된 워크플로를 통해 효율성을 높이고 운영을 단순화하세요.
유출의 원인과 비용을 증가시키거나 줄이는 요인을 이해하여 유출에 더 잘 대비하세요. 데이터 유출 피해를 입은 550개 이상의 조직의 경험에서 교훈을 얻으세요.
위협 헌팅은 조직 네트워크 내에서 이전에 알려지지 않았거나 지속적으로 발생하는 해결되지 않은 위협을 식별하기 위한 사전 예방적 접근 방식입니다.
위협을 파악하여 위협을 극복하세요. 위협 행위자가 공격을 수행하는 방식과 조직을 선제적으로 보호하는 방법을 이해하는 데 도움이 되는 실행 가능한 인사이트를 얻으세요.