취약성 평가란 무엇인가요?

취약성 평가란 비즈니스의 특정 구성 요소를 검사하여 특정 보안 취약성을 찾아내는 도구, 기법 또는 프로세스를 말합니다. 애플리케이션, 서비스, 네트워크, 인프라 및 인적 요소 역시 의도치 않은 보안 문제의 원인이 될 수 있습니다. 조직은 자동화된 패치 점검, 코드 분석, 소셜 엔지니어링 훈련과 같은 취약성 평가를 수행하여 위협을 완화하고 전반적인 보안 태세를 강화할 수 있습니다.

보안 태세를 강화하려는 기업이 취약성 평가를 수행하면 다양한 이점을 얻을 수 있습니다.

보안 위험 감소

취약성 평가는 공격자가 악용할 수 있는 환경 내 보안 공백을 직접 식별합니다. 보안 태세에서 개선이 필요한 부분을 파악하면 보안 강화를 위한 예방 조치를 즉시 마련할 수 있습니다. 취약성 평가를 자주 수행하면 알려지지 않은 보안 취약점을 발견하여 미리 수정할 수 있습니다.

사고 대응 체계 및 노출 관리 개선

취약성 평가는 사고 대응 프로세스와 노출 관리 방안을 마련하는 데 도움이 됩니다. 취약성 분석을 사용하면 일부 취약성은 완전히 차단하기 어렵거나 시정 조치를 완료하는 데 오랜 시간이 걸릴 수 있음을 알 수 있습니다.

이러한 경우 노출 관리 기법, 이해 관계자 커뮤니케이션 계획 및 기타 사고 이후 대응 절차를 포함한 사고 대응 계획을 수립하거나 고도화할 수 있습니다.

규정 준수 및 감사 활동 지원

보안 규정 준수에서 중요한 요소 중 하나는 시스템이 규제 프레임워크 감사 및 보고 요건을 충족하는지 정기적으로 모니터링하는 것입니다. 특정 프레임워크에 맞춰 취약성 분석을 수행하면 규정 준수를 위해 아키텍처와 보안 통제를 개선해야 하는 영역을 식별하는 데 도움이 될 수 있습니다. 정기적으로 취약성 평가를 수행하여 감사 목적으로 활용할 수 있는 보안 태세 관리 검사 로그를 생성합니다.

식별된 취약성을 제거하여 보안 태세 관리 강화

취약성 평가는 기업이 보안 태세를 강화하거나 기존 사이버 보안 프로토콜 및 통제를 개선할 수 있는 영역을 식별하는 데 도움이 됩니다. 보안을 개선할 수 있는 부분을 이해하면 잠재적 영향을 기준으로 취약성의 우선순위를 더 쉽게 지정할 수 있습니다. 이 취약성 관리 프로그램은 사이버 보안팀이 중요한 보안 문제에 보다 신속하게 대응할 수 있도록 돕는 로드맵을 제공합니다.

다음은 취약성 분석을 실행할 때 기업에서 흔히 발견되는 주요 보안 취약성입니다.

보안 강화가 미흡한 네트워크

네트워크 하드닝이란 네트워크 인프라를 최대한 안전하게 보호하기 위해 보호 솔루션과 통제 수단을 추가하는 프로세스입니다. 공격 표면의 일부에 특정 보안 통제가 적용되지 않았거나 방화벽이 잘못 구성된 경우 이는 보안 강화가 미흡한 네트워크 취약성으로 간주됩니다. 개방형 포트나 공용 네트워크는 제3자가 허가 없이 민감한 데이터에 액세스할 위험을 초래할 수 있습니다. 이러한 잠재적 위협에 대해 네트워크를 모니터링하는 것은 취약성 관리의 핵심 부분입니다.

더 이상 사용되지 않는 소프트웨어

많은 레거시 시스템 및 소프트웨어에는 업계 전반에 이미 알려진 보안 취약성을 포함하고 있습니다. 기업이 레거시 시스템과 더 이상 사용되지 않는 소프트웨어를 계속 사용할 경우 보안 위험이 발생할 수 있습니다. 새로운 보안 패치와 업데이트가 제공되지 않는 미지원 시스템과 소프트웨어는 보안 위험을 초래할 수 있습니다. 최대한 신속하게 이러한 시스템을 현대화하거나 교체하십시오.

안전하지 않은 데이터 관리

데이터 관리는 효과적인 보안 태세 관리의 핵심 부분입니다. 기업에 비효율적인 암호화 기법, 기본 로그인 계정 사용 또는 관리되지 않는 액세스 제어 등 미흡한 데이터 처리 정책이 있을 경우 권한 없는 사용자가 데이터에 더 쉽게 액세스할 수 있습니다.

구성 취약성

구성 취약성이란 디지털 시스템의 잘못된 구성으로 인해 악용되기 쉬운 상태를 말합니다. 예를 들어 Amazon S3 버킷을 공개적으로 공유하는 잘못된 구성은 의도하지 않은 정보 노출을 야기할 수 있습니다. 따라서 기업에서는 활성 구성을 정기적으로 점검하여 알려진 취약점을 식별하고 적절한 시정 조치를 취하는 것이 중요합니다.

취약한 사용자 관리

직원과 암호가 취약하거나 MFA가 없는 등 제대로 보호되지 않은 사용자 계정은 보안 태세에 잠재적인 위험을 초래할 수 있습니다. 기업은 정기적으로 사용자 계정을 검토하고, 암호 모범 사례를 준수하도록 권장하며, 모든 계정에 MFA를 적용하고, 더 이상 회사에 재직하지 않는 사용자의 계정을 삭제해야 합니다.

미패치 취약성

사이버 보안팀이 널리 사용되는 시스템에서 취약성을 식별하면 이 정보를 공개하고 다른 팀과 이를 공유하는 것이 업계 표준입니다. 이를 비공개 채널을 통해 수행하면, 제3자가 해당 취약성을 악용하기 전에 관련 도구에서 문제를 해결하기 위한 패치를 배포할 수 있습니다.

따라서 사이버 보안팀은 사용하는 모든 소프트웨어를 항상 최신 버전으로 유지하도록 노력해야 합니다. 이러한 버전에는 최신 보안 패치가 포함되어 있습니다.

내부자 위협

내부자 위협은 재직 중인 직원이 의도적으로 또는 실수로 예상치 못한 보안 사고를 유발할 때 발생합니다. 이러한 위협은 피싱 사기에 속아 계정 액세스 권한을 상실하는 경우와 같이, 보안 지식 부족과 연관되는 경우가 많습니다. 내부 위협은 매우 흔하기 때문에 사용자 교육은 포괄적이고 지속적인 보안 조치의 중요한 부분입니다.

각기 다른 유형의 취약성을 대상으로 하는 여러 가지 취약성 평가 방식이 있습니다.

취약성 검사 평가 도구

자동화된 취약성 검사는 회사의 공격 표면을 모니터링하고 운영 체제, 네트워크 장치 및 애플리케이션과 상호 작용하여 주요 위협 모니터링 그룹이 식별한 취약성 데이터베이스와 대조합니다. 스캐너가 취약성 데이터베이스에 등록된 일반적인 취약점 중 하나를 시스템에서 발견하면, 보안팀에 조치를 취하도록 알립니다.

정적 분석 및 동적 분석 기법

정적 애플리케이션 보안 테스트(SAST)는 애플리케이션의 소스 코드를 검사하여 잠재적 취약성을 식별하는 취약성 검사 도구입니다. SAST는 보안 코딩의 핵심 요소로, 개발자가 애플리케이션을 운영 환경에 배포하기 전에 취약성을 발견할 수 있도록 소프트웨어 개발 파이프라인에 통합되는 경우가 많습니다.

동적 애플리케이션 보안 테스트(DAST)는 런타임 환경에서 애플리케이션을 관찰하여 외부와의 비정상적인 상호 작용을 나타낼 수 있는 이상 징후를 탐지합니다. DAST 취약성 테스트는 크로스 사이트 스크립팅, SQL 인젝션, 부적절한 세션 처리 시나리오와 같은 일반적인 공격 기법을 식별합니다.

내부 피어 리뷰

동료에 의한 내부 코드 리뷰는 시프트 레프트(Shift-left) 소프트웨어 개발 환경에서 표준적인 관행이 되었습니다. 내부 피어 리뷰에서는 내부 사이버 보안팀이 서로의 기존 코드와 시스템을 점검하여, 예기치 않은 보안 사고 발생 시 제3자가 악용할 수 있는 구성 오류, 잠재적 취약성, 로직 결함을 식별합니다.

외부 리뷰 및 침투 테스트

외부 리뷰는 내부 피어 리뷰와 유사한 절차를 따르지만, 외부 보안 전문 업체에 의해 수행됩니다. 이러한 업체는 보안 태세를 정밀하게 분석하며, 도구, 시스템, 애플리케이션, 코드 전반에 걸쳐 잠재적 취약성을 점검하는 데 전문성을 갖추고 있습니다. 외부 리뷰에는 레드팀 공격 시뮬레이션 훈련과 침투 테스트가 포함될 수 있습니다.

통합 평가 프로세스

AWS Security Hub와 같은 많은 클라우드 보안 취약성 평가 도구는 데이터 로그, 액세스 제어 시스템, 구성 설정 등 다양한 내부 소스에서 데이터를 수집해 클라우드 환경에 대한 종합적인 가시성을 제공합니다. 통합 취약성 분석을 통해 보안팀은 보안 태세에 대한 광범위한 가시성을 확보할 수 있습니다.

사회 공학 및 물리적 평가

보안 침해의 주요 원인 중 하나는 인적 오류로, 직원이 실수로 피싱 사기에 속아 피해를 입거나 악성 링크를 클릭하는 경우 잠재적인 취약성이 될 수 있습니다. 보안팀은 이러한 사고를 예방하기 위해 교육 및 인식 제고 프로그램을 제공할 수 있습니다. 또한 기업은 자동화된 소셜 엔지니어링 테스트를 실시하여 직원들이 이러한 위협을 얼마나 효과적으로 식별하고 대응하는지 평가할 수 있습니다.

지속적 취약성 평가 프로세스는 이상 징후를 모니터링하는 정기 또는 실시간 취약성 검사 시스템입니다. 이러한 취약성 분석 방식은 모든 이상 징후를 최대한 신속하게 식별하고 시정 조치의 우선순위를 지정할 수 있으므로 지속적인 대응에 도움이 됩니다.

취약성 평가 보고서는 언제든지 시스템의 현재 보안 상태를 보다 명확하게 파악할 수 있도록 합니다. 보고서는 통합 보안 솔루션과 연동되어 심층적인 보안 통찰력을 제공할 수 있습니다.

위험 평가는 기업이 발견한 취약성이 미칠 수 있는 잠재적 영향을 이해하고자 할 경우 활용할 수 있는 추가 평가입니다. 예를 들어 기업은 취약성 평가를 수행한 후, 취약성 분석을 포함한 위험 평가를 추가로 실시해 목표와 보안에 가장 큰 위협이 되는 취약성을 파악할 수 있습니다.

포괄적인 취약성 평가와 식별된 취약성에 대한 위험 평가를 결합하면, 기업은 보다 폭넓은 맥락에서 상황을 이해할 수 있어 특정 조치의 우선순위를 더 효과적으로 정할 수 있습니다. 

침해 및 공격 시뮬레이션(BAS)은 내부 또는 외부 팀이 사이버 방어에 대한 공격을 시뮬레이션하는 일종의 레드팀 활동입니다. 이러한 훈련은 승인되지 않은 타사 그룹이 실제로 사용할 가능성이 높은 전략을 활용해 공격을 실제와 가깝게 시뮬레이션하는 것을 목표로 합니다. 일반적으로 BAS는 MITRE ATT&CK에 문서화된 것과 같은 알려진 공격 벡터 프레임워크를 따릅니다.

취약성 평가는 취약점을 식별하는 데 목적이 있는 반면, 보안 침해 시뮬레이션은 통제된 안전한 환경에서 해당 취약성을 실제로 악용해 사고 대응 역량을 검증하는 데 목적이 있습니다. 기업은 알려진 취약점에 대한 패치를 적용한 후, 해당 조치가 효과적인지 검증하기 위해 보안 침해 시뮬레이션을 수행할 수 있습니다.

ISO 27001, SOC 2, PCI DSS와 같은 대다수의 사이버 보안 규정 준수 프레임워크에서는 기업이 정기적으로 취약성 평가를 수행하도록 요구합니다. 기업은 이러한 평가를 지속적으로 수행함으로써 규정에서 요구하는 보안 점검 의무를 이행하고, 보고서를 통해 규정 준수를 입증합니다.

취약성 평가를 자주 수행하면 회사가 감사를 준비하는 데 도움이 되며 침해 발생 시 잠재적 처벌을 받을 위험을 줄일 수 있습니다. 

AWS 클라우드 보안 솔루션은 자산, 네트워크 및 인력 관리를 보호하는 데 도움이 될 수 있습니다.

Amazon Inspector는 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스, 컨테이너 이미지, AWS Lambda 함수 및 코드 리포지토리와 같은 워크로드를 자동으로 검색하고 소프트웨어 취약성과 네트워크 보안 공격이 있는지 검사합니다. 이 지속적인 취약성 평가 서비스는 현재의 일반 취약성 및 노출(CVE) 정보와 네트워크 접근성을 사용하여 상황에 맞는 위험 점수를 생성해 취약한 리소스의 우선순위를 지정하고 해결합니다.

AWS Security Hub는 통합된 지속적 취약성 평가와 상시 위협 탐지를 포함해 클라우드 보안 운영을 통합합니다.

AWS Security Hub의 클라우드 보안 태세 관리(CPSM)는 보안 모범 사례 검사를 수행하고 AWS 보안 서비스 및 파트너의 보안 조사 결과를 수집합니다. 이러한 결과를 다른 서비스 및 파트너 보안 도구의 조사 결과와 결합하여 AWS 리소스에 대한 자동 검사를 수행함으로써 잘못된 구성을 식별하고 보안 태세를 평가할 수 있도록 지원합니다.

지금 바로 무료 계정을 만들어 AWS에서 취약성 평가를 시작하세요.