취약점 관리(Vulnerability Management)는 IT 자산의 보안 취약점을 지속적으로 식별·평가·우선순위화·교정·보고하는 순환 프로세스다.
취약점 관리 사이클
1. 자산 발견 (Discovery)
- 네트워크 스캔 (Nmap, Shodan)
- CMDB 연동
2. 취약점 스캔 (Scanning)
- 도구: Nessus, OpenVAS, Qualys, Trivy
- 주기: 주 1회 ~ 지속 스캔
3. 우선순위화 (Prioritization)
- CVSS 점수 (Base/Temporal/Environmental)
- 실제 악용 가능성 (EPSS, CISA KEV)
- 자산 중요도
4. 교정 (Remediation)
- 패치 적용 (SLA: Critical 24h, High 7d, Med 30d)
- 완화 조치 (Workaround)
5. 검증 (Verification)
- 재스캔으로 교정 확인
6. 보고 (Reporting)
- 대시보드, KPI, 추세 분석
CVSS v3.1 점수 계산
Base Score 구성요소:
공격 벡터(AV): 네트워크(N)=0.85, 인접(A)=0.62, 로컬(L)=0.55, 물리(P)=0.2
공격 복잡도(AC): 낮음(L)=0.77, 높음(H)=0.44
권한 필요(PR): 없음(N)=0.85, 낮음(L)=0.62, 높음(H)=0.27
사용자 상호작용(UI): 없음(N)=0.85, 필요(R)=0.62
영향도(기밀성/무결성/가용성): 없음(N)=0, 낮음(L)=0.22, 높음(H)=0.56
점수 범위:
Critical: 9.0-10.0
High: 7.0-8.9
Medium: 4.0-6.9
Low: 0.1-3.9
Trivy 컨테이너 취약점 스캔
bash
# Docker 이미지 스캔
trivy image --severity CRITICAL,HIGH nginx:latest
# 결과 예시
nginx:latest (debian 12.4)
═══════════════════════════════════
Total: 3 (CRITICAL: 1, HIGH: 2)
CRITICAL: CVE-2024-XXXX
Library: libssl3
Current: 3.0.11
Fixed: 3.0.12
CVSS: 9.8
# SBOM 생성 및 스캔
trivy image --format cyclonedx nginx:latest > sbom.json
trivy sbom sbom.json
# IaC (Terraform) 스캔
trivy config ./terraform/
EPSS와 CISA KEV 활용
EPSS (Exploit Prediction Scoring System):
- 30일 내 악용 확률 (0-1)
- CVSS 높아도 EPSS 낮으면 우선순위 조정 가능
CISA KEV (Known Exploited Vulnerabilities):
- 실제 악용이 확인된 CVE 목록
- 연방 기관 패치 의무 (14일)
- 민간도 즉시 패치 강력 권장
우선순위 공식:
Priority = CVSS × Asset_Criticality × EPSS × (KEV ? 10 : 1)
관련 문서
