진단 범위 불명확·권한 제한·우선순위 결정 어려움 각각 극복 방법으로 취약점 진단 어려움 답변결
보안 취약점 진단 학습 프로젝트에서 겪었던 어려움 중 하나는 진단 범위 불명확이었습니다. 어디까지 점검할지가 명확하지 않으면 같은 취약점을 반복해서 보거나, 중요한 영역을 빠뜨리는 문제가 생깁니다. 점검 전에 대상 시스템 목록과 점검 항목을 문서로 정리하고 합의하는 방식으로 이 문제를 해결했습니다.
두 번째 어려움은 접근 권한 제한입니다. 실제 운영 환경에 가까운 시스템을 점검하려면 권한이 필요한데, 보안상 제한이 있어서 점검 범위가 좁아지는 경우가 생겼습니다. 권한 범위 안에서 할 수 있는 점검에 집중하고, 권한이 필요한 항목은 담당자와 별도로 조율하는 방식을 택했습니다.
세 번째는 취약점 우선순위 결정이었습니다. 여러 취약점이 나왔을 때 무엇부터 처리할지를 정하기 어려웠습니다. CVSS 점수와 서비스 영향도를 함께 기준으로 삼으니 결정이 명확해졌습니다. 기준 없이 우선순위를 정하면 체감상 심각한 것이 먼저 처리되는 오류가 생긴다는 것을 배웠습니다.