취약점 관리 프로그램 운영을 위한 모범 사례

오늘날 대부분의 조직은 취약점 관리 프로그램(VMP)을 도입하기 시작했지만, 실제로 구현하는 것은 쉽지 않은 일입니다. 많은 조직은 시스템에 대한 완전한 소유권이 없거나, 발견된 취약점에 대한 시정 조치를 강제할 권한이 부족하다는 사실을 인지하고 있습니다. 어느 쪽이든, 여러 조직에서 진정한 VMP를 찾아내고 시행하는 데에는 상당한 시간과 노력이 소요됩니다.

취약점 관리 프로그램이란 무엇인가요?

VMP(취약점 관리 프로그램)를 처음 도입하는 경우, 먼저 취약점 관리가 무엇인지 이해해야 합니다. 언뜻 보기에는 자명해 보이지만, 취약점 관리란 조직 내 패치가 적용되지 않았거나, 잘못 구성되었거나, 알려지지 않은 시스템과 관련된 위험을 식별하고, 식별된 모든 위험에 대한 해결 프로세스를 구현하는 관리(생애주기)를 의미합니다.

취약점 관리 프로그램에는 일반적으로 다음과 같은 주요 단계가 있습니다.

• 취약점 관리 하드웨어/소프트웨어 식별
• 자산 및 소유자 식별
• 취약점 스캔, 보고 및 해결과 관련된 정책

VMP(취약점 관리 계획)를 구현할 때 대부분의 조직은 모든 구성원이 따라야 하는 정책을 수립하는 것으로 시작합니다. 일부 조직에서는 이러한 방식이 효과적일 수 있지만, 제 경험상 취약점 해결에 있어 무엇이 가능한지에 대한 기준이 없는 상태에서 임의적인 틀 안에서만 움직이게 되는 경우가 많습니다. 따라서 무엇이 가능한지 파악하기 전까지는 정책 수립을 미루는 것이 좋습니다.

취약점 관리 하드웨어/소프트웨어 식별

가장 먼저 해야 할 일은 조직에서 필요한 사항 목록을 임의로 작성하는 것입니다. 즉, 취약점 관리 정책의 영향을 받을 사람들과 이야기를 나누고 요구 사항을 수집해야 합니다. 제 경험상 다음과 같은 질문을 하면 초기 요구 사항을 도출하는 데 도움이 될 것입니다.

1. 자산 및 소유자 식별:
   1. 귀하께서 관리하시는 모든 시스템(장비) 목록을 가지고 계십니까?
   2. 조직의 데이터 분류 시스템과 관련하여 해당 시스템들의 중요도를 알고 계십니까?
   3. 특정 소프트웨어에 대한 소유권은 있지만 전체 시스템에 대한 소유권은 없는 경우와 같이 모호한 영역이 있을까요?
2. 취약점 탐지, 보고 및 해결과 관련된 정책:
   1. 시스템 점검을 위한 적절한 주기는 어느 정도라고 생각하시나요? 2주? 4주? 분기별?
   2. 모든 시스템에 대한 보고서를 받는다면 어떤 형식이 가장 적합할까요?
   3. 관리하시는 시스템을 얼마나 자주 업데이트하시나요?
   4. 특정 시스템에서 소프트웨어 업그레이드/업데이트가 불가능한 경우가 있습니까? 있다면 그 이유는 무엇입니까?

이러한 질문들을 통해 시중에 나와 있는 다양한 하드웨어/소프트웨어 스캐닝 제품에 대한 기본적인 요구 사항을 파악할 수 있습니다. 전반적인 요구 사항을 파악한 후에는 해당 요구 사항을 충족하는 제품의 데모를 찾아 신청하십시오.

원하는 제품을 찾는 것은 어렵지 않겠지만, API를 제공하는 제품을 선택하는 것을 강력히 추천합니다. 저는 API를 제공하는 제품과 그렇지 않은 제품 모두에 대한 풍부한 경험을 가지고 있습니다. QualysGuard 취약점 관리 (VM) 및 테너블의 다양한 제품 라인이 있지만, 그 외에도 많은 추가 제품이 있습니다.

자산 및 소유자 식별

앞서 언급한 질문 목록에서 자산과 그 소유자를 파악하는 데 매우 중요한 질문 하나를 말씀드렸습니다. 특정 소프트웨어에 대한 소유권은 있지만 전체 시스템에 대한 소유권은 없는 경우와 같이 모호한 영역이 있을까요?

이 질문은 간단해 보이지만, 프런트엔드, 백엔드 데이터베이스, 그리고 해당 애플리케이션이 실행되는 서버로 구성된 웹 애플리케이션을 생각해 보세요. 이러한 구성 요소들은 조직 내 서로 다른 부서에서 관리하거나 소유할 수 있습니다. 그렇다면 이 웹 애플리케이션의 패치/업데이트는 누가 담당해야 할까요? 이러한 책임 범위를 명확히 구분하고 합의점을 찾는 것은 VMP(가상 자산 관리 계획)에 매우 중요합니다.

이러한 모호한 영역을 파악하고 나면 나머지 자산과 소유자를 확인하는 것은 비교적 간단합니다. 자산을 식별하는 방법은 두 가지가 있습니다. 하나는 내부(인증되지 않은) 스캔을 통해 네트워크상의 모든 시스템을 식별하는 것이고, 다른 하나는 네트워크 팀에 문의하는 것입니다. 네트워크 팀은 이러한 정보를 보유하고 있습니다.

네트워크 토폴로지에 따라 소유자를 파악하는 것이 더 어려울 수 있습니다. 네트워크가 분할되어 있다면 서브넷별로 소유자를 식별할 수 있습니다. 그렇지 않은 경우, 식별된 자산을 엑셀 시트에 추가하고 각 시스템의 소유자를 추적하면 됩니다.

자산/소유자 관계를 추적하고 지속적으로 업데이트하는 것은 특히 규모가 큰 글로벌 조직의 경우 어려운 일입니다. 현재 가장 중요한 것은 초기 목록을 작성하는 것입니다. 대부분의 취약점 관리 제품에는 자산 및 소유자 관리 구성 요소가 포함되어 있어 구현 후 이러한 어려움을 어느 정도 해소할 수 있습니다.

스캐닝, 보고 및 시정 정책

이제 일반적인 요구 사항을 충족하고 취약점 관리 제품(평가판이라도)을 선택했으며 자산 및 소유자 목록을 중앙 집중화했으므로 VMP를 단계적으로 배포할 차례입니다.

팀과 긴밀하게 협력할 것으로 예상되는 부서 또는 조직 단위를 선택하십시오. 심지어 현재 소속 부서의 자산을 활용하는 것도 좋은 방법입니다.

거의 모든 취약점 관리 제품에는 인증되지 않은 스캔과 인증된 스캔, 두 가지(또는 그 이상)의 스캔 유형이 있습니다.

인증되지 않음 스캔이란 취약점 관리 제품이 각 시스템의 종류, 열려 있는 포트, 운영 체제 등을 추측하고 이러한 정보를 바탕으로 취약점을 식별하려고 시도하는 것을 의미합니다.

인증됨 스캔이란 취약점 관리 제품이 제공된 SSH 키, 사용자 이름/암호를 사용하여 자산에 로그인하거나 시스템에 에이전트를 설치해야 하는 방식을 의미합니다. 이러한 유형의 스캔은 조직에 더 유용하며 추측 없이 정확한 결과를 제공합니다. 오래된 소프트웨어 버전, 누락된 업데이트/패키지, 열린 포트, 방화벽 규칙 등을 식별합니다.

특정 자산 또는 모든 자산에 사용할 스캔 유형을 결정했으면 취약점 관리 제품의 스캔 및 보고 기능을 테스트해야 합니다. 테스트 기간은 조직의 규모와 구조에 따라 2주에서 6개월까지 소요될 수 있습니다.

이 글의 목적은 조직에 가장 큰 영향을 미치는 스캔 구성을 파악하는 것입니다. 스캔 대상과 제외 대상을 구성하는 방법은 여러 가지가 있으며, 이는 VMP(바이러스 관리 프로그램)의 전반적인 목표에 따라 달라집니다. 저는 핵심 영역부터 집중하는 것을 권장합니다. 물론 이는 주관적인 의견이지만, 모든 문제를 해결하기 전에 다음 영역부터 먼저 개선하는 것이 좋습니다.

• 외부 스캔: 외부에서 볼 수 있는 것이 무엇인지 확인합니다.
• 외부 스캔: 외부에서 열려 있는 포트를 확인합니다.
• 내부 스캔(인증되지 않음): 네트워크 맵/토폴로지 및 열린 포트를 확인합니다.
• 내부 스캔(인증됨): 인증된 스캔을 사용하여 호스트 하위 집합을 스캔합니다.
• 마지막으로, 조직의 상황에 따라 2주 또는 한 달 단위 등의 일정을 수립하세요.

먼저 기준선을 설정하면 임의의 시간 간격을 정하는 대신 시스템 유형에 따라 실행 가능한 범위를 결정할 수 있습니다. 조직의 요구 사항을 충족하면서도 시스템 소유자에게 과도한 부담을 주지 않는 검사 일정을 수립하는 것이 중요합니다. 자산 소유자가 이 새로운 프로세스에 익숙해지면 자신의 책임에 대해 더 잘 인식하게 되고, 시스템에 영향을 미치는 심각한 취약점이 발생했을 때 훨씬 효과적으로 대응할 수 있게 됩니다.

VMP(취약점 관리 프로그램)의 목적은 발견된 취약점을 최대한 신속하게 해결하는 것이지만, 단순히 무턱대고 보고서를 배포하는 것만으로는 충분하지 않습니다. 예를 들어, 100대의 서버/시스템이 1,000개의 취약점에 취약하다는 보고서를 제공하면 담당자는 어디서부터 시작해야 할지 막막해할 것입니다. 따라서 보고서는 핵심 영역(예: 열린 포트, 구성 설정, 패치가 적용되지 않은 레벨 5 취약점 등)에 초점을 맞춰 제공하는 것이 중요합니다.

이러한 핵심 영역들이 해결되면 레벨 4, 레벨 3, 레벨 2 등으로 넘어갑니다. 새로운 심각한 취약점이 발견되면 (발견될 경우) 방향을 바꿔 해당 취약점에 대한 패치 작업에 집중합니다. 패치 작업이 완료되면 다음으로 높은 수준의 취약점을 제거하는 방식으로 계속 진행합니다. 이 과정을 반복합니다.

또 다른 접근 방식은 가장 중요한 시스템부터 먼저 해결하는 것입니다. 이렇게 하면 전반적인 조직 위험도를 낮추면서도 최종 목표 달성에 도움이 될 수 있습니다. 제 경험상, 조직의 가장 중요한 시스템은 종종 오래된 소프트웨어에 의존하는 경우가 많습니다. 공급업체와 협력하거나 취약점 완화 조치를 통해 이러한 문제점을 해결해 보세요.

취약점 관리와 VMP(취약점 관리 프로그램)는 경쟁의 대상이 아닙니다. 이 새로운 프로그램은 보안 팀이 맡은 지속적인 서비스이므로 인내심을 갖고 접근해야 하며, 첫 해 안에 모든 취약점이 해결될 것이라고 기대해서는 안 됩니다. 그런 일은 일어나지 않을 것입니다.

SOAR를 활용한 취약점 관리 데이터시트

패치가 적용되지 않았거나, 인식되지 않았거나, 잘못 구성된 하드웨어, 애플리케이션, 보안 스택, 시스템, 엔드포인트 및 클라우드 서비스는 개방된 포트, 구성 설정 및 패치되지 않은 취약점을 통해 대규모 보안 침해를 초래할 수 있습니다. 지금 데이터시트를 다운로드하여 Swimlane이 취약점 관리 도구와 어떻게 통합되어 전체 보안 스택에 대한 중앙 집중식 가시성을 제공하는지 알아보십시오.

지금 읽어보세요