경험 기반 구체화
취약점 조치 방안을 공식적으로 제시한 경험은 없습니다. 정보보안 수업에서 취약점 조치 우선순위를 정하는 프레임워크를 배웠을 때, 핵심은 "위험도(severity) × 악용 가능성(exploitability) × 비즈니스 영향"을 함께 보는 것이었습니다.
실습에서 CVSS 점수가 높더라도 내부망에만 존재하는 취약점이라면 외부 노출 가능성이 낮아 우선순위가 내려갈 수 있다는 케이스를 분석했습니다. 단순 점수보다 실제 환경에서의 공격 경로를 파악하는 것이 조치 우선순위에 더 중요하다는 걸 배웠습니다.
직접 조치 방안을 작성해본 경험은 없지만, 패치 적용 vs. 설정 변경 vs. 운영 통제 중 어느 방법이 적합한가를 서비스 중단 허용 여부와 함께 판단하는 것이 현실적인 고려 기준이라고 이해하고 있습니다. 조치 방안은 기술 팀과 비즈니스 팀이 함께 결정하는 것이라고 봅니다.