경험 기반 구체화
수탁사 취약점 분석을 직접 진행한 경험은 없습니다. 정보보안 수업에서 3자 보안 감사(Third-Party Security Assessment)의 기본 절차를 배웠을 때, 순서는 범위 정의 → 체크리스트 기반 현황 파악 → 취약점 목록화 → 위험도 기반 우선순위 분류였습니다.
개선 조치의 우선순위는 CVSS 점수와 실제 악용 가능성 및 데이터 민감도를 함께 고려하는 게 기본이라고 배웠습니다. 점수가 낮더라도 개인정보나 핵심 시스템에 접근 가능한 취약점은 우선 처리 대상이 된다는 케이스도 확인했습니다.
직접 수행 경험은 없지만, 수탁사 감사에서 중요한 건 "이 업체가 우리 데이터를 어디에 저장하고 어떻게 접근하는가"를 먼저 파악하는 것이라고 이해하고 있습니다. 기술 취약점보다 계약·접근 권한 구조의 적절성 검토가 먼저인 경우도 많다고 봅니다.