새로운 소식

* 안전의 측면에서 최악의 상황을 상상하고 대비하는 건 나쁘지 않지만, **모든 위험 요소에 대해 최악의 상황을 전부 대입하는 건 피곤하고 능률적이지 못하다.** <br> * 취약점은 그 자체로 매우 심각하고 중대한 사안이지만, 실제 위험성은 낮을 수 있다. 취약점 관리의 핵심은 이걸 이해하는 것에서부터 시작한다. <br> * 많이 패치하면 많이 한 것처럼 보이고, 적게 하면 일을 안 한 것처럼 보인다. 하지만 많은 취약점을 패치했다고 실제 위험성이 줄어드는 건 아니다. <br> * **사이버 공격자들에게 필요한 건 익스플로잇이 가능한 취약점 딱 한 개다.** 밤새 99%의 취약점이라는 문을 닫는 데 성공했더라도, 남은 1%에서 익스플로잇이 가능한, 이미 범죄자들 사이에서 가치가 증명된 것이 하나라도 남아있다면 99%의 노력은 도루묵이 된다. <br> * 취약점을 숫자로 접근하면 오류가 생길 수밖에 없고, 그래서 수많은 사건사고가 매일처럼 터지는 것이다. 취약점 관리는 오히려 ‘게임 이론’으로 접근하는 것이 알맞다. 무슨 뜻일까? 게임 이론이란, **경쟁 상대의 반응을 고려해 최적의 행위를 선택하는 의사 결정 방식을 말한다.** 상대의 전략과 움직임을 예상해서 방어 전략을 갖춘다는 것이다. 보고하기 위해, 혹은 발표하기 위한 취약점 연구나 패치는 실제적인 위험성을 줄이지 못하고, 따라서 가치가 없다. <br> * 효율적인 취약점 관리 전략에 필요한 것은 또 있다. 바로 ‘<span style="color:#ff0000">**지속성**</span>’이다. 취약점을 한 달에 한 번 혹은 일주일에 한 번 스캔하고 패치하는 건 아예 안 하는 것보다야 낫지만 순간적인 안전함만을 누리게 해준다. 인터넷은 불이 한 순간도 꺼지지 않는 공간이다. 해킹 시도 역시 꺼지지 않는다. 지속적으로 경계하는 것이 취약점 관리의 중요한 요소가 될 수밖에 없는 이유다. <br> * 취약점에 접근하려면 전략을 가지고 있어야 한다. CVE와 CVSS 점수만 확인해 체크리스트에 올리고, 위에서부터 차례차례 패치하는 평면적인 접근법으로는 실패할 것이 뻔하다. 전체 그림과 맥락 속에서 취약점을 분석해 최종적인 ‘위험성’을 판단하고, 시급한 것부터 해결하는 것이 진정한 ‘<span style="color:#ff0000">**위험 관리**</span>’다.