> 보안취약점 > 보안취약점 분석도구 활용사례
보안취약점 분석도구의 활용방안!! 기업이 취약점 분석도구를 도입해 활용함에 있어서의 문제점
 
보안취약점 점검도구 활용
1. 보안취약점 점검도구의
올바른 활용사례란?

2. 통합 보안취약점 관리
형태 활용사례

3. 개별 보안취약점 관리
형태 활용사례



선도적 기업들은 새로운 시스템을 도입한 후 반드시 취약점 분석 도구를 사용해 문제가 없는지 점검하고 있습니다. 또 고객들은 새로운 기능이 추가된 취약점 분석도구를 도입할 때는 좀더 신중을 기할 필요가 있습니다. 많은 기능을 제공한다는 명목 아래 취약점 분석이라는 본연의 기능을 저해할 수도 있기 때문입니다.
* 취약점 점검 툴은 본연의 기능에 충실해야

최근 취약점 분석도구가 정보보호의 필수제품으로 인식되고 있는 반면, 패치와 복구 기능, 취약점 자동 보정, 위험 관리 기능 등이 취약점 분석 도구 등에 접목되고 있는데 사용자 입장에서 보면 위협 천만한 기능이 내포돼 있다 할 수 있습니다. 다양한 기능을 제공한다고 해서 사용자의 판단을 흐려 놓을 수 있으니 각별한 주의가 요구됩니다.
 
① 패치와 복구기능
패치와 관련된 취약점이 있다고 했을 때 이를 자동 패치한다는 것은 현재 운영중인 서비스를 중단시키는 결과를 초래할 수도 있습니다. 다시 말해 패치 이전의 상태에서 개발된 프로그램이 패치 이후에도 정상적으로 운영되리라는 보장이 없기 때문에 신중해야합니다.
취약점 분석 도구가 서버나 네트워크 장비의 취약점을 발견하고 패치를 자동으로 한다는 것은 현실적으로 부적합합니다. 패치의 경우 패치를 만들어 보급하는 벤더사의 소유이므로 취약점 분석 도구가 패치 자체를 도구에 포함시킬 수는 없는 것입니다. 단지 취약점에 따른 패치정보 혹은 링크를 제공하는 정도만 도구에 포함하는 것이 최상입니다.
② 취약점 자동 보정
취약점의 자동 보정도 부적합하기는 마찬가지입니다. 현재 국내에 소개된 외산 제품 중에도 일부 자동 보정 기능이 옵션으로 포함된 제품이 있습니다. 하지만 이러한 기능은 현재 운영중인 서비스의 중단과 같은 부작용으로 인해 전문가 집단인 보안 컨설팅 회사의 전문가들도 사용을 꺼리는 기능이므로 신중해야 합니다.
③ 위험 관리 기능
위험 관리 기능 또한 마찬가지입니다. 위험 관리 도구가 국내에 소개된 것은 대략 10년 전입니다. 하지만 위험 관리 도구가 국내에 성공적으로 사용되고 있는다는 소식은 거의 접하기가 힘든 실정입니다. 위험 관리 도구는 일부 전문가 집단에 한정돼 보안 컨설팅에 활용되고 있는 것이 현실이며, 일반사용자 입장에서 사용하기란 사실상 쉬운일이 아닙니다. 위험 관리와 취약점의 자동 패치, 자동 보정과 같은 기능 등을 제공하는 위험 관리가 취약점 분석 도구의 부가 기능으로 제역할을 하기란 무리라는 판단이 듭니다.

현실적으로도 위에서 기술했던 부가 기능이 취약점 분석 도구에 추가된 다는 것이 어렵기는 하지만 이런 기능 자체가 필요없다는 것은 아닙니다. 단지 순서가 필요하다고 할 수 있습니다.
먼저 취약점 분석도구는 현재 국산 제품의 수준이 세계적인 제품의 수준에 많이 접근돼 있다고는 하지만 좀더 본래의 기능을 발전시키기 위한 노력이 필요합니다.
이러한 기능 발전의 중요한 핵심은

- 일반 사용자 입장에서의 취약점 DB보강
- 신규 취약점을 신속히 반영 할 수 있는 체계 구축
그리고 좀더 편리하고 이해하기 쉬운 사용자 환경 등
입니다.

이러한 작업이 어느정도 궤도에 안착한 후 부가적인 기능을 추가하는 것이 바람직하다고 봅니다.