CVSS 위험 점수·공격 노출도·재발 이력을 보안 리스크 평가 주요 지표로 설명결
보안 리스크를 평가할 때 가장 먼저 참고하는 지표는 CVSS 점수입니다. 취약점의 심각도를 수치로 표현한 기준으로, 9.0 이상이면 즉시 대응이 필요한 수준이고 낮을수록 우선순위를 조정할 수 있습니다. 하지만 CVSS 점수만으로 판단하면 서비스 맥락을 놓칩니다.
두 번째로 중요하게 보는 것은 공격 노출도입니다. 외부 인터넷에 직접 노출된 서비스의 취약점과, 내부 네트워크에서만 접근 가능한 시스템의 취약점은 위험도가 다릅니다. 인터넷 노출 여부와 인증 없이 접근 가능한지를 함께 보면 우선순위가 더 현실적으로 잡힙니다.
세 번째는 재발 이력입니다. 같은 유형의 취약점이 반복해서 발견된다면 절차나 코드 패턴에 구조적 문제가 있다는 신호입니다. 재발 이력을 추적하면 단발 대응이 아닌 근본 원인 해결로 접근할 수 있습니다.