✅ 제목: CVSS, EPSS, TALON SCORE: 취약점의 우선순위는 어떻게 정하나요?

기업의 디지털 자산이 확장되면서 공격 표면 관리(ASM)의 중요성이 커지고 있습니다. 하지만 수많은 취약점 중 무엇부터 해결해야 할지 결정하는 것은 매우 어려운 과제입니다. 단순히 취약점 개수를 줄이는 과거의 방식에서 벗어나, 실제 우리 조직에 위협이 되는 요소를 식별해 대응하는 위험 기반 취약점 관리(RBVM, Risk-based Vulnerability Management)가 현대 보안 운영의 필수 전략으로 자리 잡고 있습니다.

이러한 전략을 실현하기 위한 핵심 동력이 바로 취약점 인텔리전스(Vulnerability Intelligence)입니다. 우리 조직에 실제 타격을 줄 수 있는 실질적인 위협은 무엇인가를 객관적으로 측정하고 조치 우선순위를 정하는 지능형 데이터가 보안 운영의 핵심 과제가 되었습니다. 현재 S2W 사이버 위협 인텔리전스 플랫폼 퀘이사(QUAXAR)에서 주로 활용되는 취약점 평가 지표를 소개합니다.

1. CVSS (Common Vulnerability Scoring System): 취약점이 얼마나 위험한가?

CVSS는 소프트웨어 보안 취약점의 기술적 심각도를 0.0에서 10.0까지 정량적으로 평가하는 범용 표준 지표입니다. 전 세계 보안 팀과 솔루션에서 공통 언어로 자주 사용되며, 사용자가 쉽게 이해할 수 있도록 낮음(Low), 중간(Medium), 높음(High), 심각(Critical)과 같은 등급으로 변환되어 사용됩니다.

산정 방식
CVSS 점수는 다음과 같은 지표를 바탕으로 산출됩니다.
- 기본 지표(Base): 취약점의 접근 경로, 복잡성, 필요 권한 등 고유 특성과 기밀성, 무결성, 가용성에 미치는 영향을 평가합니다.
- 시간적 지표(Threat): 공격 코드(Exploit)의 유용성이나 공식 패치 배포 등 시간에 따라 변하는 요소를 반영합니다.
- 환경적 지표(Environmental): 취약점이 위치한 특정 조직의 인프라 구성 현황 및 보안 통제 수준을 고려합니다.
- 보충 지표 (Supplemental Metrics): v4.0에 새로 도입된 지표로, 최종 점수에는 영향을 주지 않지만 대응에 필요한 추가적인 맥락을 제공한다.

한계점
- 상황별 맥락 및 비즈니스 가치 반영 부족: 조직의 특정 위협 환경이나 자산의 비즈니스 맥락 고려가 부족합니다. 금융권 핵심 서버와 일반 테스트 서버의 위험 무게는 다르지만 CVSS는 이를 구분하지 못합니다.
- 점수의 정적 특성(Snapshot): 특정 시점의 기술적 분석 결과일 뿐이며, 위협 환경 변화에 따라 점수가 자동 업데이트되지 않아 정보가 쉽게 구식이 됩니다.
- 취약점 간 상호작용 간과: 개별 취약점 점수만 매길 뿐, 여러 취약점을 연쇄적으로 악용하는 공격 그래프(Attack Graph)의 위험성을 고려하지 않습니다.

2. EPSS (Exploit Prediction Scoring System): 취약점이 공격자에게 사용될 확률은 얼마인가?

EPSS는 정적인 심각도를 넘어, 특정 취약점이 향후 30일 이내에 실제 공격에 악용될 확률(0.0 ~ 1.0 사이의 확률로 표현)을 예측하는 데이터 기반 지표입니다. 기술적 심각도보다는 실제 공격 대상이 될 가능성을 기준으로 우선순위를 정렬하는 데 도움을 줍니다.

산정 방식
머신러닝 기반으로, 과거 공격 데이터, 공개 익스플로잇 코드, 취약점 속성 등을 종합하여 확률 정보를 제공합니다.

한계점
- CVE 의존성 및 제로데이 대응 한계: CVE ID가 발급된 취약점만 분석 가능하므로, CVE ID가 부여되지 않은 위협에 있어 공백이 발생할 수 있습니다.
- 거버넌스 및 해석의 불투명성: 데이터 처리 모델과 출력 결과에 대한 활용 가이드가 모호합니다. 이로 인해 보안 담당자나 경영진이 수치를 객관적으로 해석하고 조직 내 보안 정책(거버넌스)에 반영하는 데 어려움이 있습니다.

3. TALON SCORE(탈론 스코어): 비즈니스 맥락을 고려한 입체적인 위험도 지표

TALON SCORE는 S2W의 위협 인텔리전스 센터 TALON에서 산출하는 동적 위험도 평가 지표입니다. 정적 지표와 통계적 확률을 넘어, 심도 있는 취약점 인텔리전스를 활용해 기업 환경에 최적화된 우선순위를 제공합니다.

산정 방식 및 차별점
- 고도화된 취약점 인텔리전스 반영: 딥다크웹, 텔레그램 등에서 수집한 취약점 실제 악용 사례, 공격 코드의 존재 여부 등 실질적인 인텔리전스를 점수에 녹여냅니다.
- 조직 맞춤형 대응 최적화: 위험도를 다각도로 분석한 뒤 조직의 정책과 기준에 맞춰 구분함으로써, 대응 우선순위를 명확히 하고 신속한 조치를 가능하게 합니다.
- 실증적 검증(CART) 연계: CART(Continuous Automated Red Teaming) 기능을 프로세스에 통합해 취약점을 실제 공격 시나리오 기반으로 검증하여 방어 체계를 강화할 수 있도록 지원합니다.

4. 결론:

효과적인 보안 운영은 정확한 자산 식별과 취약점 매칭에서 시작하여, 입체적인 분석을 통한 우선순위 결정이 필수적입니다. 단순한 점수 나열을 넘어 조직의 비즈니스 맥락을 이해하고 실질적인 공격 가능성을 입증해야 합니다. CVSS와 EPSS는 취약점의 현황과 통계적 확률을 파악하는 유용한 지표가 되지만, 여기에는 조직 내 자산 및 외부 위협 통합 분석이 가능한 공격표면관리(ASM), 계정 유출(ATO) 모니터링이 입체적으로 결합된 인텔리전스 플랫폼의 도움이 필요합니다. 이를 통해 보안 조직은 무의미한 가짜 알람을 걷어내고, 가장 치명적인 타겟에만 핵심 역량을 집중할 수 있습니다.

👉 QUAXAR 문의하기: https://s2w.inc/ko/contact

*S2W의 QUAXAR에 대해 더 알고 싶다면, 아래에서 자세한 내용을 확인해 주세요.