Tenable은 강화된 위협 인텔리전스, AI 기반 통찰 및 설명 가능성 및 컨텍스트 기반 메타데이터를 비롯한 Vulnerability Priority Rating(VPR)의 여러 개선 사항을 발표했습니다. 향상된 VPR의 개선된 우선 순위 지정 효과가 다른 일반적인 우선 순위 지정 전략과 어떻게 비교되는지 알아보십시오.

소개

취약성 우선 순위를 효과적으로 지정하려면 보안 및 IT 팀이 조치를 취해야 하는 수많은 발견 사항을 줄이기 위해 보안 범위와 효율성을 결합해야 합니다. 이 블로그에서는 보안 팀이 취약성 수정의 우선 순위를 지정하기 위해 사용하는 일반적인 전략을 살펴보고, 조직에 가장 큰 잠재적 위협이 될 수 있는 발견 사항을 식별하는 측면에서 이러한 전략이 어떻게 비교되는지 논의합니다.

Tenable은 보안 팀이 취약성 수정 노력의 우선 순위를 더욱 효과적으로 지정할 수 있도록 2019년에 Vulnerability Priority Rating(VPR)의 최초 버전을 배포하고 특허를 획득했습니다. 2025년에는 VPR에 대한 개선 사항을 배포하여 실제 환경에서 악용되고 있거나 가까운 시일 내에 악용될 가능성이 있는 CVE를 최초 버전보다 두 배 더 효율적으로 식별할 수 있게 되었습니다.

취약성 우선 순위 지정 문제

보안 팀은 수년 동안 취약성 우선 순위 지정으로 인해 어려움을 겪었으며 소프트웨어 취약성의 지속적인 증가로 인해 그 어려움이 더욱 악화되었습니다.

위의 막대형 차트는 매년 발표되는 공통 취약성 및 위험 노출(CVE)의 개수를 보여줍니다. 이 수치는 꾸준히 증가해 왔으며 2022년 이후 그 폭이 대폭 늘어났습니다. 이 블로그가 게시된 시점을 기준으로 2025년 초부터 National Vulnerability Database(NVD)에 20,000개 이상의 새로운 취약성이 게시되었습니다.

Tenable은 효과적인 취약성 우선 순위 지정의 필요성을 오랫동안 인식해 왔으며, VPR은 이 도전 과제를 해결할 수 있는 정확하고 실행 가능한 통찰을 보안 팀에 지속적으로 제공해 왔습니다. VPR은 다음 Tenable 제품에서 사용할 수 있습니다.

• Tenable Vulnerability Management
• Tenable Security Center
• Tenable Web App Scanning
• Tenable OT Security
• Tenable Cloud Security
• Tenable One

VPR은 출시 이후로 Tenable 취약성 관리 솔루션의 필수 구성 요소였지만, 끊임없이 진화하는 위협 환경과 많은 양의 새로운 취약성으로 인해 지속적인 혁신이 필요합니다. Tenable Vulnerability Management의 VPR에 대한 최근 개선 사항 소개합니다. 공개된 취약성의 빠른 증가에 직접 대응하여 우선 순위 지정 기능을 더욱 세분화하며 조직이 가장 중요한 위협에 더욱 정확하고 효율적으로 집중할 수 있도록 지원하는 것을 목표로 합니다.

VPR 점수 모델에 개선 사항

향상된 VPR 점수 알고리즘은 두 가지 주요 구성 요소로 이루어져 있습니다.

• 공통 취약성 점수 시스템(CVSS) 영향 점수
• 실제 환경에서의 단기적인 악용 활동 가능성을 기반으로 한 위협 점수

랜덤 포레스트 분류 모델은 지난 180일 동안 수집된 특징 데이터를 기반으로 단기적인 악용 활동의 가능성을 예측하는 데 사용됩니다.

이러한 모델 특징을 도출하기 위해 다양한 데이터 소스가 사용됩니다.

• Tenable Research 팀은 CVE가 최근 실제 환경에서 악용되었는지, CVE가 제로데이인지 또는 맬웨어에 의해 악용되었는지와 같은 전문가 데이터를 제공합니다. 이러한 태그는 보안 연구원이 읽는 신뢰할 수 있는 뉴스 기사를 기반으로 합니다.
• 생성형 AI를 활용하여 선별된 뉴스 기사 목록을 규모에 맞게 처리하고 유사한 정보와 함께 CVE를 표적으로 삼는 위협 행위자 등의 기타 세부 정보를 제공합니다.
• 맬웨어 제출 데이터는 위협 인텔리전스 피드에서 가져오고, 기타 CVE 메타데이터는 NVD와 사이버보안 및 인프라 보안국(CISA)에서 가져옵니다.

머신러닝 모델에서 출력된 악용 가능성은 0~5 범위의 위협 점수에 매핑되고 CVSS 영향 점수와 결합되어 VPR에 도달합니다. 영향 점수는 0~10점 범위로, CVSS 기준 점수와 유사합니다.

VPR = (영향 점수/6)*5 + 위협 점수

VPR 심각도는 CVSS 심각도와 유사하게 낮음(0~4), 중간(4~7), 높음(7~9) 또는 위험(9~10)으로 분류합니다. Tenable Research 팀은 VPR 점수를 함께 모니터링하고 비정상적인 것으로 간주되는 점수를 업그레이드하거나 다운그레이드할 수 있습니다.

VPR 모델에 대한 자세한 내용은 공개적으로 제공되는 기술 백서를 참조하십시오.

우선 순위 지정 전략

다음은 보안 팀에서 취약성의 우선 순위를 지정하기 위해 가장 일반적으로 사용하는 몇 가지 전략입니다.

CVSSv3 심각도

앞서 언급한 CVSS 심각도는 가장 널리 사용되는 우선 순위 지정 전략 중 하나입니다. 하지만 너무 많은 CVE가 '높음' 또는 '위험' 심각도로 분류되는 문제가 있습니다. 이로 인해 너무 많은 CVE가 수정이 필요한 우선 순위에 해당하며 팀에서 추가 데이터를 활용하지 않으면 어떤 것이 가장 중요하고 어디에서 시작해야 할지 알 수 없습니다.

EPSS

익스플로잇 예측 점수 시스템(EPSS)은 실제 환경에서 악용될 가능성이 가장 높은 CVE를 식별한다는 점에서 VPR 위협 모델과 유사한 목표를 추구합니다. VPR 위협 모델은 악용 확률을 출력합니다. "취약성 우선 순위 지정 강화: 커뮤니티 기반 통찰을 통한 데이터 기반 익스플로잇 예측" 백서에서 EPSS 연구원들은 어떤 CVE를 수정해야 하는지 결정하는 데 최적화된 결정 임계값을 0.36으로 제시합니다. 이 임계값은 아래 분석에서 우선 순위를 지정할 CVE를 결정하여 성과를 평가하는 데 사용합니다. 사용자가 직접 결정 경계를 선택할 수 있으므로 다른 가능성도 존재합니다.

CISA KEV

CISA는 알려진 악용 취약성(KEV) 목록을 관리합니다. KEV 목록에 나타나는 취약성을 먼저 수정하는 우선 순위 지정 전략을 세울 수 있습니다. 이 목록에 있는 모든 취약성은 이미 악용되는 것으로 알려져 있지만, CVE가 이 목록에 추가되는 데는 시간이 걸릴 수 있으므로 공격자에게 악용된 CVE가 레이더망을 피할 수 있는 시간적 여유가 생길 가능성이 있습니다. CISA KEV는 또한 CISA의 관할 하에 있는 조직에서 사용하는 제품에 한정하여 적용됩니다. 모든 제품에 적용되는 것은 아닙니다.

Tenable VPR

VPR의 최초 버전은 CVSS에 비해 집중해야 하는 CVE가 뚜렷하게 적습니다. 점수를 설명하기 위한 몇 가지 컨텍스트 기반 정보도 제공합니다. 향상된 VPR에서는 실제 환경에서 악용되는 CVE에 대한 보안 범위의 손실 없이 우선 순위가 지정된 CVE 세트의 크기가 더욱 줄어듭니다. 향상된 버전의 VPR은 기술 백서에서 다루는 훨씬 더 많은 컨텍스트 기반 정보도 제공합니다.

향상된 버전에서는 모델 익스플로잇 확률(위협 확률)을 최종 사용자에게 제공합니다. EPSS와 유사한 방식으로 순전히 위협 확률 임계값을 기반으로 하는 또 다른 우선 순위 지정 전략을 활용할 수 있습니다. 이러한 전략은 VPR 점수와 다른 방식으로 CVSS 영향 점수를 고려하므로 일부 보안 팀에는 적합하지 않을 수 있습니다. 미탐과 오탐의 균형을 맞추는 최적화된 결정 경계는 0.23이며, 이 임계값보다 큰 위협 확률을 가진 모든 CVE에는 높은 수정 우선 순위가 지정됩니다. 아래에서 향상된 VPR 위협 확률 (A)라고 하는 이 임계값의 성과와 또 다른 임계값(향상된 VPR 위협 확률 (B))의 성과를 아래에 평가합니다.

일반적 취약성 우선 순위 지정 전략의 성과

취약성 우선 순위 지정 전략에서 발생할 수 있는 오류에는 두 가지 유형이 있습니다.

• 미탐 — 단기적인 익스플로잇 활동과 이후에 관련되는 CVE의 우선 순위 지정 실패
• 오탐 — 단기적인 익스플로잇 활동과 이후에 관련되지 않는 CVE의 우선 순위 지정

다음 메트릭은 위에서 설명한 오류와 관련하여 각 일반적 우선 순위 지정 전략이 어떤 성과를 보이는지 평가하는 데 사용됩니다.

• 범위: 이후 28일 동안 악용 활동과 관련된 것으로 발견된 CVE 중 수정 전략에 따라 올바르게 우선 순위가 지정된 비율
• 효율: 주어진 수정 전략에 의해 우선 순위가 지정된 CVE 중 이후 28일 동안 악용 활동과 관련이 있는 것으로 발견된 비율

일반적으로 보안 범위와 효율성 사이에는 절충이 이루어집니다. 미탐의 수를 줄이려면(보안 범위 증가) 더 많은 CVE에 높은 우선 순위를 지정해야 하며 일반적으로 오탐의 증가(효율성 감소)로 이어지고, 그 반대로 오탐을 줄이려면 미탐이 증가합니다. 보안 팀은 공격 표면을 최소화하고 침해의 성공 가능성을 낮추기 위해 효율성보다는 높은 보안 범위에 우선 순위를 두는 경우가 많습니다. 그러나 이렇게 하면 덜 위험한 취약성에 더 많은 리소스나 시간을 소비하게 되어 결국 노력이 낭비됩니다. 따라서 팀이 효율적으로 작업할 수 있도록 워크로드 자체(즉, '높음' 또는 '위험'으로 플래그가 지정된 취약성의 수)를 줄이는 것이 중요합니다.

일반적 취약성 우선 순위 지정 전략과 관찰된 악용의 비교

위에 정의된 각 우선 순위 지정 전략의 예측 성과를 평가하기 위해 2025년 3월 24일에 Tenable Data Science에서 각 점수를 기록했습니다. 이러한 점수를 바탕으로 각 전략에 따라 수정 우선 순위를 지정할 CVE를 결정했습니다. 실제 환경에서 어떤 CVE가 언제 활발하게 악용되고 있는지 정확히 알 수 있는 방법은 없지만, 몇 가지 지표를 바탕으로 추정할 수 있습니다. CVE는 다음 기준 중 하나 이상을 바탕으로 실제 환경에서 활발하게 악용되고 있는 것으로 확인되었습니다.

• 기간 동안 악용된 것으로 공개적으로 보고된 경우
• 기간 동안 CISA KEV에 추가된 경우
• 기간 동안 CVE를 사용한 맬웨어 제출이 관찰된 경우

2025년 3월 24일 이후 28일 동안 총 648개의 CVE가 실제 환경에서 활발하게 악용되고 있는 것으로 확인되었습니다.

아래의 막대형 차트는 위에서 설명한 각 일반적 우선 순위 지정 전략에 따라 우선 순위가 지정된 CVE의 수를 보여줍니다. CVSSv3 심각도, 향상된 VPR 심각도 및 레거시 VPR 심각도 전략은 모두 각 메트릭에서 각각 심각도가 '높음' 또는 '위험'인 CVE의 우선 순위를 지정합니다. 너무 많은 CVE에 높은 우선 순위가 지정되어 있다는 CVSSv3 심각도의 문제점을 바로 알 수 있습니다. 2개의 향상된 VPR 위협 확률 전략이 포함되어 있습니다. 향상된 VPR 위협 확률 (A)는 최적화된 임계값인 0.23을 사용하고 향상된 VPR 위협 확률 (B)는 대체 임계값인 0.02를 사용합니다. EPSS는 최적화된 임계값인 0.36을 사용하여 평가하므로 첫 번째 임계값은 향상된 VPR 위협 확률과 EPSS의 공정한 비교를 용이하게 합니다. 두 번째 임계값은 결정 경계를 0.02로 낮추어 효율성보다 보안 범위에 우선 순위를 둡니다.

이러한 각 전략에 대한 보안 범위 및 효율성 메트릭은 다음 막대형 차트에 나와 있습니다.

향상된 VPR 위협 확률 (B), 향상된 VPR 심각도, 레거시 VPR 심각도 및 CVSSv3 심각도 모두 보안 범위 측면에서 매우 높은 점수를 받은 것을 볼 수 있습니다. 이 네 가지 전략은 익스플로잇 활동과 관련된 648개의 CVE 중 560~620개의 우선 순위를 올바르게 지정했습니다. 중요한 차이점은 각 전략이 우선 순위를 지정한 총 CVE의 수에 있습니다. CVSSv3 심각도는 높은 보안 범위를 달성하기 위해 약 16만 개의 CVE에 높은 우선 순위를 지정했습니다. 이것은 보안 팀에게는 매우 높은 워크로드이며 효율성 통계가 약 0%라는 사실에 반영되어 있습니다.

반면, 향상된 VPR 심각도의 보안 범위 점수는 CVSSv3 심각도와 비슷하지만 약 4,000개의 CVE에 높은 우선 순위를 지정했습니다(효율성 14%). 이것은 효율성 측면에서 획기적인 도약입니다. 향상된 VPR 위협 확률 (B)는 96%로 보안 범위 점수가 약간 더 높으며 2,000개 미만의 CVE에 높은 우선 순위를 지정하여 32%의 효율성을 제공합니다. (앞서 언급했듯이 두 가지 VPR 위협 확률 전략은 CVSS v3 영향 점수를 고려하지 않습니다.)

향상된 VPR 위협 확률 (A) 전략을 EPSS와 비교하면(두 전략 모두 각각의 최적화된 결정 경계를 사용함), 향상된 VPR 위협 확률 (A)는 보안 범위 측면에서 EPSS와 비슷한 성과(74% 대 75%)를 보이지만 효율성 측면에서는 EPSS보다 우수한 성과(67% 대 6%)를 보인다는 것을 알 수 있습니다. 향상된 VPR 위협 확률 (A)와 EPSS는 익스플로잇 활동과 관련된 648개의 CVE 중 각각 479개와 483개를 정확하게 식별했습니다. 그러나 향상된 VPR 위협 확률 (A) 전략에 따라 우선 순위가 지정된 CVE의 총 개수는 716개에 불과한 반면, EPSS의 경우 8,800개에 달합니다. 마지막으로, CISA KEV에서 이러한 CVE만 높은 우선 순위를 지정하면 648개의 악용된 CVE 중 단 276개를 잡아내지만(보안 범위 43%), 효율성은 21%로 상대적으로 높습니다.

널리 사용되는 다른 우선 순위 지정 전략의 보안 범위와 비교했을 때, 향상된 VPR의 성과는 실제 환경에서 활발하게 악용되는 CVE를 정확하게 강조하는 측면에서 비슷하거나 더 낫습니다. 그러나 향상된 버전은 노력의 효율성 면에서 매우 뛰어납니다. 향상된 VPR 전략은 다른 전략보다 훨씬 적은 수의 CVE에 높은 우선 순위를 지정함에도 불구하고 유사한 수준의 보안 범위를 달성합니다. 이러한 효율성 향상은 VPR이 경쟁 우선 순위 지정 전략과 차별화되는 점입니다.

최근 널리 알려진 취약성에 대한 일반적 취약성 우선 순위 지정 전략의 성과

위의 분석은 각 전략이 실제 환경에서 활발하게 악용되는 취약성에 대해 어떤 성과를 내는지 보여줍니다. 특정 시점에 어떤 CVE가 악용되고 있는지 알 수 있는 방법이 없기 때문에 첫 번째 비교에서는 관찰된 악용 지표를 기반으로 근사치를 사용합니다. 실제 환경에서 악용된다는 것에 대한 정의는 향상된 VPR 모델을 훈련하는 데 사용된 것과 동일하게 사용되어 약간의 편향이 발생합니다. 이를 해결하기 위한 또 다른 관점은 우선 순위를 지정할 각 전략의 성과를 최근 널리 알려진 취약성 목록(이미 악용된 것으로 알려진 공개된 CVE)과 비교하는 것입니다. 각 전략에 따라 우선 순위가 지정된 널리 알려진 CVE의 수를 비교할 수 있지만, 각 전략에 따라 우선 순위가 지정된 CVE의 총 개수도 염두에 두어야 합니다. 가장 좋은 전략은 가장 널리 알려진 CVE에 높은 우선 순위를 지정하여 우선 순위가 지정된 CVE의 총 개수를 적게 균형을 맞추는 것입니다. 보안 팀은 이 조합으로 안전에 영향을 주지 않으면서 효율적으로 작업할 수 있습니다.

Google Project Zero

Google의 Project Zero 팀은 공개적으로 알려진 제로데이 익스플로잇 탐지 사례를 포함하는 공개적으로 사용 가능한 데이터 세트를 관리합니다. 위에서 설명한 우선 순위 지정 전략은 2025년 1월 1일부터 2025년 3월 24일 사이에 공개된 13개의 취약성 목록과 비교됩니다. 각 전략은 널리 알려져 있고 실제 환경에서 악용되고 있으며 비교적 최근에 발표된 CVE에 높은 비율로 우선 순위를 지정할 것으로 예상됩니다.

각 전략의 성과를 평가할 때는 우선 순위가 지정된 CVE의 총 개수도 고려해야 합니다. 아래 차트에는 각 전략에 따라 우선 순위가 지정된 Google Project Zero CVE의 개수와 각 전략에 따라 우선 순위가 지정된 CVE의 총 개수가 나와 있습니다.

향상된 VPR 위협 확률 (B)와 향상된 VPR 심각도는 13개의 CVE 모두에 수정 우선 순위를 지정하므로 Google Project Zero CVE와 비교했을 때 다른 모든 전략보다 성과가 우수합니다. 레거시 VPR 심각도와 CVSSv3 심각도는 Google Project Zero CVE의 높은 비율에 우선 순위를 지정하는 데 있어 성과가 비슷합니다. 그러나 우선 순위가 지정된 CVE의 총 개수에 차이가 있다는 점에 유의해야 합니다. 이전 분석과 마찬가지로, 향상된 각 VPR 전략은 모두 일정 간격을 두고 가장 작은 숫자에 우선 순위를 지정하기 때문에(CISA KEV 제외) 훨씬 더 효율적인 전략입니다. CISA KEV는 13개의 Google Project Zero CVE 중 12개를 우선 순위로 식별하지만 이것은 미래 지향적인 전략이 아니며 새로 악용되는 취약성에 대한 보안 범위 측면에서 성과가 좋지 않습니다. 위의 성과 대비 관찰된 악용 섹션에서 실제 환경에서 악용된 취약성에 대한 이 전략의 낮은 보안 범위를 통해 알 수 있습니다.

향상된 VPR 위협 확률 (A) 전략은 보안 범위와 효율성의 균형을 맞추기 위해 7개의 CVE만 식별했습니다. 그러나 효율성보다 보안 범위를 강조하는 향상된 VPR 위협 확률 (B)는 13개의 모든 CVE에 높은 우선 순위를 지정합니다. 반면 EPSS는 총 8,771개의 CVE를 수정이 필요한 것으로 식별하여 향상된 VPR 위협 확률 (A), 향상된 VPR 위협 확률 (B) 및 향상된 VPR 심각도 전략보다 더 많습니다. 그럼에도 불구하고 이러한 CVE의 수정에 높은 우선 순위를 지정하지는 않습니다.

결론

VPR의 가장 중요한 성과 목표는 실제 환경에서 단기적인 악용 활동과 관련되는 CVE의 수정에 대한 우선 순위를 효율적으로 지정하는 동시에 악용의 예상되는 영향도 고려하는 것입니다. 따라서, 진행 중인 위협에 대한 보안 범위를 저하시키지 않으면서 훨씬 더 작은 CVE 집합에 우선 순위를 지정하여 레거시 버전의 효율성을 기반으로 해야 합니다.

향상된 VPR 심각도 전략은 보안 범위 측면에서 손실 없이 레거시 VPR 심각도 전략의 절반에 해당하는 CVE에 높은 우선 순위를 지정하므로 이 목표를 분명히 달성할 수 있습니다. 또한, 향상된 버전에서 제공되는 추가 정보로 위협 확률 기반 전략을 수립하여 효율성을 더욱 높이거나 위협 확률을 우선 순위 지정 전략의 추가 계층으로도 사용할 수도 있습니다.

향상된 VPR은 현재 Tenable Vulnerability Management에서 사용할 수 있습니다. Tenable 고객은 VPR의 개선 사항으로 다음과 같은 이점을 누릴 수 있습니다.

• 수정 노력의 효율성 향상
• 다른 전략에서 생성된 발견 사항이 쇄도함으로 인해 발생할 수 있는 알림 피로 감소
• 위협 확률을 기반으로 새로운 사용자 지정 위험 기반 수정 전략 수립
• 가장 중요한 위협에 노력을 집중

자세히 알아보기

• VPR의 개선 사항에 대해 자세히 알아보려면 기술 백서를 확인하십시오.
• VPR이 실제로 작동하는 모습을 보시겠습니까? 지금 Tenable Vulnerability Management 무료 평가판을 시작해 보십시오.