CVSS 한계를 극복한 Business Context 기반 취약점 우선순위 결정 체계

The Business Context Problem: Why Vulnerability Severity Scores Lie

Jon Rose2026년 5월 26일5분intermediate

AI 요약

Context

단순 CVSS Score 기반의 취약점 대응 방식은 네트워크 제어 계층 및 데이터 중요도 등의 실제 환경을 반영하지 못하는 한계 존재. 기술적 심각도와 실제 비즈니스 리스크 간의 괴리로 인해 불필요한 패치 작업에 리소스가 낭비되는 구조적 문제 발생.

Technical Solution

CVSS를 단순 시작점으로 활용하고 비즈니스 임팩트 중심의 리스크 매핑으로 전환하는 전략 수립
인터넷 노출 여부와 VPN/WAF 등 Compensating Controls 적용 상태를 분석하여 취약점 등급을 가감하는 동적 우선순위 조정 로직 도입
데이터 분류(Customer/Internal/Public) 및 CISA KEV, EPSS Score를 결합한 실제 Exploit 가능성 정밀 진단
비즈니스 핵심 매출 경로 및 SLA 계약 조건과 연동하여 시스템별 가중치를 부여하는 리스크 산정 모델 적용
미해결 취약점을 Risk Register에 기록하고 주기적으로 검토하는 Accepted Risk 관리 프로세스 구축

실천 포인트

- CVSS High/Critical 항목 중 WAF나 폐쇄망 등 보완 통제 장치가 있는지 확인하여 우선순위 하향 조정 - 인터넷 접점 시스템 중 Crown Jewel 데이터에 접근 가능한 Medium 취약점을 Critical 수준으로 격상 - EPSS 및 CISA KEV 리스트를 통해 이론적 취약점이 아닌 실제 공격 사례 기반의 패치 순서 결정 - 해결 불가능하거나 일정상 제외된 항목을 Risk Register에 명시하여 가시성 확보

태그

#Vulnerability Management #Compensating Controls #CVSS #Attack Path Analysis #EPSS

원문 읽기