취약점 관리 프로세스

1. 식별 (Identification)

가장 먼저 해야 할 일은 ‘우리가 무엇을 쓰고 있는가’와 ‘그것이 위험한가’를 파악하는 것입니다.

• SBOM 활용: 모든 프로젝트의 구성요소를 식별합니다.
• 취약점 DB 매핑: NVD(National Vulnerability Database), GitHub Advisory 등 공신력 있는 데이터베이스와 SBOM의 컴포넌트를 매핑하여 CVE(Common Vulnerabilities and Exposures)를 찾아냅니다.

CVE 데이터베이스

알려진 취약점은 CVE(Common Vulnerabilities and Exposures) 번호로 식별됩니다.

예시: Log4Shell

• CVE-2021-44228
• Apache Log4j 2.0-beta9 ~ 2.14.1
• CVSS 점수: 10.0 (Critical)

NVD 연동

SBOM 관리 포털은 NVD(National Vulnerability Database)와 연동하여 자동으로 취약점을 탐지합니다.

2. 평가 (Assessment)

모든 취약점이 즉시 고쳐야 할 만큼 위험한 것은 아닙니다. 실제 영향도를 평가하여 우선순위를 정해야 합니다.

• CVSS 점수: 기본 점수(Base Score)를 참고하되, 맹신하지 않습니다.
• EPSS (Exploit Prediction Scoring System): 해당 취약점이 실제로 공격될 확률을 고려합니다.
• 도달 가능성 (Reachability): 취약한 라이브러리가 코드 내에서 실제로 호출되고 있는지 분석합니다. 호출되지 않는다면 우선순위를 낮출 수 있습니다.

CVSS (Common Vulnerability Scoring System)

추가 고려사항

CVSS 점수 외에 다음을 고려합니다.

• 악용 가능성 (Exploit Available)
• 영향 범위 (Public-facing vs Internal)
• 완화 조치 가능 여부

3. 조치 (Remediation)

평가 결과 위험하다고 판단된 취약점은 다음 중 하나의 방법으로 조치해야 합니다.

1. 업데이트 (Update): 취약점이 해결된 안전한 버전으로 라이브러리를 업그레이드합니다. (가장 권장)

<!-- Before -->
<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-core</artifactId>
    <version>2.14.1</version>  <!-- Vulnerable -->
</dependency>

<!-- After -->
<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-core</artifactId>
    <version>2.17.1</version>  <!-- Patched -->
</dependency>

2. 완화 (Mitigation): 패치가 불가능한 경우, 설정 변경이나 WAF(웹방화벽) 규칙 추가 등으로 공격 경로를 차단합니다.

예시: Log4Shell 완화

# JVM 옵션으로 JNDI lookup 비활성화
-Dlog4j2.formatMsgNoLookups=true

3. 수용 (Acceptance): 비즈니스 영향도가 낮거나 도달 불가능한 경우, 위험을 수용하고 모니터링합니다. (단, 승인 절차 필요)

4. 검증 (Verification)

조치가 완료된 후에는 반드시 재검증을 수행해야 합니다.

• 재빌드 및 스캔: 패치 후 다시 빌드하여 SBOM을 생성하고 스캔했을 때 취약점이 사라졌는지 확인합니다.