기업 취약점 관리 프로그램(VMP) 구축과 운영 가이드

취약점 관리가 왜 어려운가

국내 주요 보안 사고의 80% 이상이 알려진 취약점(패치가 이미 존재하는)을 통해 발생합니다. 수천 개의 자산에서 매월 수백 개의 CVE가 쏟아지는 상황에서 무엇을 언제 패치할지 판단하는 것이 핵심 과제입니다.

VMP 4단계 프레임워크

1단계: 자산 인벤토리 구축

# Nmap으로 내부 네트워크 자산 스캔
nmap -sV -O --osscan-guess \
  -oX assets.xml \
  192.168.0.0/24

2단계: 취약점 스캔

스캔 도구:

• 무료: OpenVAS/Greenbone, Nuclei
• 상용: Tenable Nessus, Qualys VMDR, Rapid7 InsightVM

# Nuclei로 웹 앱 스캔
nuclei -u https://app.company.com \
  -t cves/ \
  -severity critical,high \
  -o results.txt

3단계: 위험 우선순위 결정

CVSS만으로는 부족합니다. CVSS는 취약점 자체의 심각도이지, 우리 환경의 위험도가 아닙니다.

def calculate_priority(cve):
    score = cve.cvss_score * 10

    # 실제 공격 코드 존재 여부 (CISA KEV 목록)
    if cve.in_cisa_kev:
        score += 50

    # 인터넷 노출 여부
    if cve.asset.internet_facing:
        score += 30

    return score  # 70 이상 시 긴급 패치

4단계: 패치 관리 SLA

반드시 테스트 환경 → 스테이징 → 프로덕션 순서로 적용하세요.

취약점 관리 KPI

• MTTD: 취약점 공개 → 내부 탐지까지 평균 시간
• MTTP: 탐지 → 패치 완료까지 평균 시간
• 패치율: 기간 내 패치 완료 비율

취약점 관리는 보안팀 혼자 할 수 없습니다. 개발팀, 인프라팀, 경영진과 함께 프로세스를 만들어야 지속 가능합니다.

CVSS를 넘어: EPSS와 KEV

우선순위 결정에서 CVSS 점수만 보면 정작 악용되는 취약점을 놓칩니다. 두 지표를 함께 보세요.

• CISA KEV(Known Exploited Vulnerabilities): 실제 공격에 사용된 것이 확인된 목록 → 최우선.
• EPSS(Exploit Prediction Scoring System): 향후 30일 내 악용될 확률(0~1). CVSS 9.8이라도 EPSS가 낮으면 후순위가 될 수 있습니다.

# KEV + EPSS 결합 우선순위 (보강판)
def priority(cve):
    if cve.in_cisa_kev:          # 이미 악용 중
        return "긴급"
    if cve.epss >= 0.5 and cve.asset.internet_facing:
        return "높음"
    if cve.cvss >= 9.0:
        return "중간"
    return "정상 주기 패치"

당장 패치할 수 없을 때: 보상 통제

운영 중단 위험·호환성 문제로 즉시 패치가 불가능한 자산도 많습니다. 이때는 **가상 패치(Virtual Patching)**로 시간을 법니다.

• WAF/IPS 시그니처로 해당 취약점 악용 트래픽 차단.
• 취약 서비스의 외부 노출 차단(접근 통제, 세그멘테이션).
• 보상 통제를 적용했더라도 근본 패치 일정은 반드시 티켓으로 추적.

컨테이너·클라우드 취약점 관리

# 이미지 빌드 단계에서 차단 (CI에 통합)
trivy image --exit-code 1 --severity CRITICAL,HIGH my-app:latest

# IaC 설정 오류 점검
trivy config ./terraform

이미지는 한 번 빌드하면 끝이 아니라, 레지스트리에 있는 기존 이미지도 신규 CVE 발표 시 재스캔해야 합니다.

국내 규제 연계

• ISMS-P: 정기 취약점 점검과 조치 결과 관리가 인증 통제 항목입니다.
• 주요정보통신기반시설: 연 1회 이상 취약점 분석·평가가 법적 의무(정보통신기반보호법).
• 점검만 하고 조치를 추적하지 않으면 인증 심사와 사고 대응 모두에서 문제가 됩니다.

자주 묻는 질문 (FAQ)

Q. 스캐너가 너무 많은 취약점을 쏟아냅니다. 어디부터? KEV 목록 + 인터넷 노출 자산의 교집합부터 보세요. "악용 가능 × 노출됨"이 실제 위험입니다.

Q. 패치하면 서비스가 깨질까 두렵습니다. 그래서 테스트→스테이징→프로덕션 단계와 롤백 계획이 필요합니다. 패치 회피가 누적되면 그 자체가 가장 큰 위험이 됩니다.