취약성 식별 및 우선 순위 지정을 위한 안내 가이드

보안 위험을 검사하고 식별하는 조치는 회사 보안 정책에 통합되어 있습니다. 환경에 내재된 취약성을 식별하면 취약성을 해결하여 회사의 위험 프로필을 줄일 수 있습니다.

Jun 16, 2023

보안 위험을 검사하고 식별하는 조치는 회사 보안 정책에 통합되어 있습니다. 그러나 회사의 잠재적인 위험을 식별하기 전에 회사에서 사용하는 기술 및 서비스를 정확히 이해해야 합니다. 자산 또는 서비스 인벤토리를 확보하면 보안 팀이 점검 및 침투 테스트를 진행해야 할 사항을 파악할 수 있습니다.

먼저 몇 가지 기본 질문에 대해 생각해 보십시오.

공개 클라우드 환경(예: AWS, GCP)에서 회사를 운영 중입니까?
회사에서 사용하는 공급업체 또는 오픈 소스 제품은 무엇입니까?
현재 사용 중인 운영 체제는 무엇입니까?

해당 질문(및 기타 질문)에 대한 답변을 마치면 작업에 적절한 도구를 선택할 수 있습니다.

취약성 검사

취약성 스캐너는 자동 스캔을 통해 응용 프로그램, 인프라, 네트워크와 같은 구성 요소에서 취약성 식별에 도움이 되는 도구입니다. 각 자산은 관련 CVE가 있는 구성 요소 사용, 파일의 의도치 않은 인터넷 노출 또는 기본 자격 증명 사용과 같은 잠재적인 취약성을 검사합니다. 일부 스캐너의 경우 사용자가 일련의 규칙을 구성할 수 있으므로 검사 범위 및 수행할 검사 유형을 설정하는 데 도움이 됩니다.

검사 방법은 자격 증명 스캔(credentialed scans) 및 비자격 증명 스캔(non-credentialed scans)의 두 가지 기본 메서드로 구성됩니다.

자격 증명 스캔은 환경 내에서 포괄적인 검사를 진행하는 방법입니다. 이 방식의 경우 검사 도구는 자산에 설치된 서비스 계정 또는 에이전트를 통해 적격 액세스 권한을 부여받아 환경의 취약성을 살펴봅니다. 자격 증명 스캔은 자산을 철저히 검사함으로써 취약한 구성 및 취약성을 밝혀낼 수 있습니다.

반면에 비자격 증명 스캔은 검사할 자산에 액세스하기 위한 자격 증명을 필요로 하지 않습니다. 자격 증명 스캔과는 달리, 스캐너가 환경을 포괄적으로 살펴보지 않으므로 자격 증명 스캔과 같은 수준의 자세한 결과를 제공하지는 않습니다. 해당 스캔은 일반적으로 침투 테스트 담당자, 연구자, 공격자들이 자산에 내재된 외부적인 위험을 이해하기 위해 이용합니다.

자격 증명 및 비자격 증명 스캔을 사용하면 조직이 환경에 잠재된 취약성에 대해 가치 있는 인사이트를 확보하고 정보를 기반으로 보안 조치를 향상하는 결정을 내릴 수 있습니다.

취약성 검사는 결과적으로 유용한 정보 및 높은 수준의 시스템 보안 태세를 제공하는 반면, 침투 테스트는 환경에 내재된 보안 위험을 자세히 분석합니다.

취약성 평가 자세히 살펴보기

사용자 응용 프로그램을 구축하고, 클라우드 커뮤니케이션 플랫폼을 제공하거나, 네트워크 보안 분야의 전문가로 활동하는 등 모든 조직은 사업 분야와 상관없이 시스템 안전을 확인해야 합니다. 시스템을 안전하게 보호하려면 취약성을 평가하고 분석해야 합니다.

Trailhead에서 취약성 평가에 대해 자세히 살펴보십시오.

침투 테스트

침투 테스트(pen test)는 환경에 내재된 취약성을 식별하는 또다른 효과적인 방법입니다. 이 과정에서 보안 엔지니어는 시스템을 공격하고 취약성 및 잠재적인 악용 가능성을 살펴봅니다. 실질적인 사이버 공격 시나리오를 만들기 위해 침투 테스터가 실제 공격자들이 적용하는 전술, 테크닉, 절차(TTP)를 시뮬레이션하기도 합니다.

환경에 익숙하지 않은 사람이 침투 테스트를 진행할 때 가장 가치 있는 결과를 얻을 수 있으므로 회사는 침투 테스트를 수행하기 위해 외부에서 사람을 고용하기도 합니다.

이 방법은 외부 침투 테스트로 알려져 있습니다. 그러나 최근 들어 점점 더 많은 회사에서 자체 방어 보안 팀을 구축하고 내부 침투 테스트를 수행하고 있습니다. 내부 및 외부 침투 테스트 모두 네트워크 안팎의 공격자에 대한 두 가지 사용 사례를 확보할 수 있으므로 매우 유용하고 효율적입니다.

침투 테스트는 7가지 기본 단계로 구성됩니다.

사전 인게이지먼트
정찰 또는 오픈 소스 인텔리전스(OSINT) 모집
스캔 또는 검사
취약성 검사(액세스 확보)
악용(액세스 유지)
악용 후, 보고, 위험 분석
정정 조치

테스트를 마친 후 발견된 모든 취약성 및 위험 평가와 정정 조치 세부 사항이 포함된 보고서가 생성됩니다. 보고서는 조직이 문제를 해결하고 환경의 보안을 강화하는 데 도움이 됩니다.

침투 테스트 자세히 살펴보기

침투 테스트 담당자는 실제 공격에 대한 조직의 대응력을 평가하고 조직의 자체 보안 강화에 도움이 되는 보고서를 작성합니다. 침투 테스트는 조직이 인프라, 네트워크, 응용 프로그램, 시스템, 데이터를 안전하게 보호하는 데 도움이 되는 유용한 도구입니다.

Trailhead에서 침투 테스트에 대해 자세히 알아보십시오.

조사 결과 우선 순위 지정

자동 스캔 및 침투 테스트를 통해 환경에 내재된 취약성을 식별한 후에는 취약점을 정정하여 회사의 위험 프로필을 낮추어야 합니다. "취약점이 너무 많은데 우선 순위를 결정하려면 어떻게 해야 하지?"라는 생각이 들 수도 있습니다. 걱정하지 마십시오. 직접 수행하지 않아도 됩니다. 도구에서 알려준 취약성 심각도에 중점을 두되, 비즈니스에 미치는 취약성의 영향력을 기반으로 우선 순위를 지정하는 것이 효율적입니다. 이를 위해서는 비즈니스에 가장 중요한 서비스, 환경, 제품을 식별해야 합니다. 서비스 또는 제품을 고객이 직접 사용합니까? 고객 데이터가 포함되어 있습니까? 가동 중지될 경우 중대한 매출 손실을 야기합니까?

비즈니스 영향 및 취약성 심각도를 조합하여 우선 순위가 지정된 취약성 목록을 작성한 다음, 가장 심각한 취약성 및 서비스에 대해 우선 조치를 취해 수천 개의 목록을 수백 개 이하로 줄이십시오.

보안 모범 사례
취약성 검사