IT 자산 탐지 및 CVE취약점 관리 방법. 사진=테너블


최근 잇따른 보안사고로 정부에서는 '범정부 정보보호 종합대책'을 발표하며 공공기관 및 주요 기업에 대하여 핵심 IT 시스템의 대대적인 점검과 상시 취약점 탐지 체계 구축을 지시했다.
정부에서 요구하는 상시 취약점 탐지 체계 구축은 점검할 대상을 특정할 IT 자산 파악이 무엇보다 중요하다. 시스템 점검과 탐지 체계를 구축하기 전에 대상이 될 자산을 특정하는 것이 선행돼야 하기 때문이다.
CVE취약점의 패치가 되지 않 10원야마토게임 은 서버 한 대가 침해 원인으로 꼽히는 L사 해킹사건 역시 자산탐지 및 CVE취약점 관리 실패의 결과라는 분석이 있다. IT자산관리가 꼼꼼히 이루어졌다면 해당자산을 파악할 수 있었고, CVE취약점의 패치가 되어 해킹을 미연에 막을 수 있었기 때문이다.
IT산업 전반을 겨냥한 정부의 메시지는 “이제는 보안의 기본을 갖춰라”는 것으로 그 핵심 온라인골드몽 은 “기업이 보유한 모든 IT자산을 파악하고, CVE기반 취약점 탐지, 관리 체계를 구축하라”다.
그런데 최근에 잇따른 해킹사건의 이면에 또 하나의 불편한 진실이 드러나고 있다. 바로 ISMS-P인증을 받았는데도 예외 없이 보안사고가 발생한 것이다. ISMS-P는 한국인터넷진흥원(KISA)이 관리하는 국내 보안 인증 제도다. 그런데도 IS 릴게임하는법 MS-P 인증 보유 기업들에게서 연이어 보안 사고가 발생하고 있다. 이는 ISMS-P인증을 받았다는 말이 인증범위 안의 일부 시스템은 그나마 관리되고 있다는 의미일 뿐, 기업의 IT환경이 해킹으로부터 안전하다는 보장은 전혀 아니라는 것을 현실적으로 알려주고 있다.
따라서 지난 22일 발표된 범정부 정보보호 종합대책은 단순한 선언이 아니라, 바다신2다운로드 향후 국내 기업 정보보호 수준을 평가하는 잣대가 될 가능성이 크다. 결국 향후 기업의 보안 정책은 IT 자산을 정확히 파악하고 CVE 기반 취약점을 상시적으로 탐지 및 관리하며, 이를 데이터 기반으로 입증할 수 있는 방향으로 나아가야 정부의 보안 규제 리스크와 사이버 공격 두 가지를 동시에 방어할 수 있을 것이다.
IT자산 탐지 및 CV 손오공릴게임예시 E취약점 관리 보안 기업 테너블(Tenable)사의 한국 총판인 롤텍의 이중원 부사장은 “보이지 않는 자산은 보호할 수도, 규제를 따를 수도 없다”며 “정부의 정보보호 종합대책을 준수하기 위해서는 자산의 실시간 탐지, 탐지된 자산에 대한 CVE취약점 파악 및 진단, CVE취약점 우선 순위 파악, CVE취약점 패치, 취약점 해결 확인 등의 다섯단계 사이클로 관리해야 한다”며 “테너블과 같은 전문적인 취약점 관리 솔루션을 통해 실질적인 보안을 도모해야 한다”고 말한다.
이원지 기자 news21g@etnews.com