확인되지 않은 CVE의 급증 원인과 해결 방안
What’s behind unchecked CVE proliferation, and what to do about it
CVE(공통 취약점 및 노출) 수가 급격히 증가하면서 조직의 사이버 방어에 엄청난 압박을 가하고 있습니다.. SecurityScorecard에 따르면, 2023년에만 29,000개의 취약점이 기록되었고, 2024년 중반에는 이미 27,500개에 가까운 취약점이 추가로 확인되었습니다.
또한 Coalition의 2024년 사이버 위협 지수에 따르면 2024년 총 CVE수가 전년 대비25%증가한 34,888건에 달할 것으로 예측합니다. 이러한 증가세는 조직들이 취약점을 관리하고 잠재적인 공격을 방어하는 데 큰 과제를 안겨줍니다.
그렇다면 CVE가 이렇게 빠르게 늘어나는 이유가 무엇일까요? 이어서 보안팀은 위험을 최소화하기 위해 어떻게 해야할까요? 함께 알아보겠습니다.
The volume of Common Vulnerabilities and Exposures (CVEs) has reached staggering levels, placing immense pressure on organizations’ cyber defenses. According to SecurityScorecard, there were 29,000 vulnerabilities recorded in 2023, and by mid-2024, nearly 27,500 had already been identified.
Meanwhile, Coalition’s 2024 Cyber Threat Index forecasts that the total number of CVEs for 2024 will hit 34,888—a 25% increase compared to the previous year. This upward trend presents a significant challenge for organizations trying to manage vulnerabilities and mitigate potential exploits.
What’s behind the dramatic rise in CVEs? And what can security teams do to minimize the risk? Let’s find out.
CVE 증가의 원인
The drivers behind CVE proliferation
CVE(공통 취약점 및 노출) 수가 급증하는 데에는 여러 가지 이유가 있습니다. 각 요인은 IT 시스템의 복잡성을 더해주며, 그로 인해 취약점이 더 쉽게 노출될 수 있는 환경이 만들어집니다. CVE 확산의 주요 원인은 다음과 같습니다.
1. IT 시스템 복잡성의 증가
현대 기업 네트워크는 온프레미스 인프라, 원격 엔드포인트, 클라우드 애플리케이션 및, 서드파티 서비스 등으로 구성된 방대한 에코시스템을 갖추고 있습니다. 새로운 하드웨어나 소프트웨어가 도입될 때마다 사이버 공격자들이 악용할 수 있는 취약점이 늘어나게 됩니다. 기업들이 경쟁력을 유지하기 위해 더 많은 도구를 채택할수록 공격 표면도 넓어지게 되며, 하나의 CVE가 여러 소프트웨어 버전에 영향을 미치거나 여러 패키지에 임베드 될 수 있습니다.
예를 들어, MOVEit, Log4Shell, Citrix Bleed와 같은 소프트웨어 취약점은 최근 몇 년 동안 큰 주목을 받았지만, 실제로는 이러한 사례들이 전체 CVE 중 일부에 불과합니다. 이처럼 눈에 띄는 사례들은 증가하는 문제의 심각성을 보여줍니다. 조직이 더 많은 소프트웨어를 사용할수록 더 많은 취약점이 발견되고, 이를 모두 안전하게 관리하는 일은 더욱 어려워지고 있습니다.
2. 오픈소스 소프트웨어의 폭발적 증가
오픈소스 소프트웨어는 많은 기술 스택에서 필수적인 구성 요소로 자리 잡았지만, 그만큼 새로운 도전 과제도 안고 있습니다. 커뮤니티 주도로 운영되기 때문에 모든 소프트웨어가 정기적으로 유지 관리되거나 신속히 패치되지 않는 경우가 많습니다. 이로 인해 오픈소스 소프트웨어에서는 취약점이 제때 발견되지 않을 가능성이 높아집니다.
또한 하나의 CVE가 여러 버전이나 소프트웨어 패키지에 영향을 미칠 수 있는데, 특히 널리 사용되는 코드에 포함된 경우 이런 문제가 더욱 두드러집니다. 사소해 보이는 취약점도 다양한 환경에 퍼져 보안을 유지하기 어렵게 만들 수 있습니다.
- 빠르게 진행되는 코드 개발 속도
코드 한 줄이 새로 작성될 때마다 잠재적인 취약점이 생길 가능성이 커집니다. 특히 빠른 반복과 배포를 목표로 하는 애자일 개발 방식은 생산성을 높여주지만, 보안에서 놓치는 부분이 생길 위험도 증가시킵니다.
CVE 목록은 계속해서 업데이트되기 때문에 CVSS 점수에 따라 CVE의 우선순위를 정하고 네트워크에 존재하는 취약점을 파악하는 것이 중요합니다. 코드 개발이 빠르게 진행되면서 전체 취약점 수는 계속해서 증가하고 있으며, 조직들은 새로 발생하는 문제를 빠르게 패치하기 위해 노력해야 합니다.
The rise in CVEs can be attributed to several factors. Each element adds new layers of complexity, which ultimately provide more opportunities for vulnerabilities to surface. Some of the main causes of CVE proliferation include:
1. Increased complexity of IT systems
Modern enterprise networks are vast ecosystems of on-premises infrastructure, remote endpoints, cloud applications and third-party services. Every new piece of hardware or software introduces potential vulnerabilities that cyber criminals can exploit. As businesses adopt more tools to stay competitive, their attack surfaces widen. And a single CVE can affect multiple software versions or be embedded across different packages.
For instance, software vulnerabilities like MOVEit, Log4Shell and Citrix Bleed have all garnered significant media attention in recent years. However, they represent just a fraction of the total CVEs causing widespread damage. These high-profile cases highlight a growing problem: The more software an organization uses, the more vulnerabilities are discovered, and the harder it becomes to manage them all securely.
2. The explosion of open-source software
Open-source software has become an essential component in many tech stacks, but it also presents unique challenges. The reliance on community-driven solutions means that not all software is regularly maintained or promptly patched. Open-source software leaves the door open to vulnerabilities that are not always caught in a timely manner.
Furthermore, one CVE can affect multiple versions of software or packages of software, especially if that CVE is embedded in pervasive code. Even seemingly minor vulnerabilities can proliferate across various environments, compounding the difficulty of securing them.
3. The rapid pace of code development
Every new line of code that is written introduces new potential vulnerabilities. This is exacerbated by the use of agile development practices, which focus on fast iterations and deployments. While these methods may boost productivity, they also raise the likelihood of security oversights.
CVE lists are far from static. For this reason, CVE scoring is vital to stack rank (organizing CVEs based on their CVSS scores) and knowing which ones are on your network. The dynamic nature of code development means that the total number of vulnerabilities continues to grow at a rapid pace. And organizations must race to patch new issues as they arise.
CVE 증가 문제를 해결하기 위한 취약점 관리의 중요성
The role of vulnerability management in addressing CVE growth
취약점 관리는 특히 급증하는 CVE 상황에서 IT 리스크 관리의 핵심이 되었습니다. 효과적인 취약점 관리 프로그램을 도입하지 않은 조직은 사이버 공격과 데이터 유출에 더 쉽게 노출됩니다. 이러한 취약점 급증을 관리하려면 취약점을 적극적이고 지속적으로 발견하고, 우선순위를 정하며 해결하는 방식이 필요합니다.
- 지속적인 취약점 탐지
새로운 소프트웨어 설치, 설정 변경, 기존 시스템의 취약점 발견 등으로 인해 언제든지 취약점이 발생할 수 있습니다. 조직의 전체 공격 표면을 정기적으로 모니터링하려면 자동화된 취약점 스캐닝 도구가 현대 사이버 보안에서 필수적입니다.
일부 조직은 CVE가 공론화되기 전에 이를 탐지하기 위해 허니팟을 활용한 고급 스캐닝 기법을 도입했습니다. 예를 들어, MOVEit 취약점이 발견되기 몇 주 전부터 허니팟 활동이 1,000% 급증하여, 기업들이 선제적으로 대응할 수 있는 기회를 제공했습니다. 빠르게 증가하는 취약점에 대응하기 위해서는 지속적인 모니터링과 실시간 스캐닝이 필수적입니다.
2. 효과적인 취약점 우선순위 설정
매년 수천 개의 취약점이 발견되기 때문에 모든 취약점을 처리하는 것은 불가능합니다. 따라서 우선순위를 정하는 것이 매우 중요합니다. 일반적으로 사용되는 도구인 공통 취약점 점수 시스템(CVSS)과 MITRE의 CVE 목록 및 국가 취약점 데이터베이스(NVD)와 같은 위협 인텔리전스는 보안팀이 취약점의 심각성을 판단하는 데 도움을 줍니다.
그러나 이러한 일반적인 점수 시스템은 조직별 데이터를 보완해야만 진정으로 중요한 취약점의 우선순위를 매길 수 있습니다. 위험 기반 취약점 관리(RBVM)는 효과적인 솔루션으로 자리 잡고 있습니다. 이 접근 방식은 이해관계자별 데이터를 인공지능 및 머신러닝과 결합하여 조직의 특정 위험 프로파일에 따라 더 정밀한 취약점 우선순위를 제공합니다. 취약점은 심각도뿐만 아니라 특정 조직에 미치는 영향에 따라서도 순위가 매겨집니다. 이를 통해 우선순위 설정이 보다 전략적이고 관리 가능하게 이루어집니다.
- 취약점 해결: 수정, 완화 또는 수용
취약점의 우선순위를 정한 후, 조직은 이를 해결하기 위해 수정, 완화, 또는 수용의 방법 중 하나를 선택해야 합니다:
- 수정(Remediation): 취약점을 완전히 제거하는 방법으로, 예를 들어 소프트웨어 결함을 패치하거나 네트워크 설정을 재구성하는 방식입니다.
- 완화(Mitigation): 취약점의 위험을 줄이는 방법이지만, 취약점을 완전히 없애지는 않습니다. 예를 들어, 취약한 장비를 네트워크에서 분리하거나 방화벽을 설치하는 방식이 있습니다.
- 수용(Acceptance): 취약점이 낮은 위험으로 판단될 경우, 이를 해결하는 데 드는 비용이나 노력이 잠재적 위험보다 더 크다고 판단하여 수용하는 것입니다.
조직은 취약점의 심각성과 해당 취약점이 악용될 경우 초래할 수 있는 잠재적 피해에 따라 접근 방식을 조정해야 합니다.
- 보고 및 지속적인 개선
취약점 관리 라이프사이클은 보고와 지속적인 개선으로 마무리됩니다. 보고 도구는 탐지 평균 시간(MTTD)과 대응 평균 시간(MTTR)과 같은 주요 지표를 추적하여 조직이 취약점 관리의 효과성을 평가하는 데 도움을 줍니다. 이러한 프로세스를 정기적으로 검토하고 감사함으로써 조직은 향후 CVE의 급증에 보다 효과적으로 대응하기 위해 전략을 조정할 수 있습니다.
Vulnerability management has become a critical part of IT risk management, especially in light of the unchecked CVE growth. Organizations that fail to implement effective vulnerability management programs are more exposed to cyberattacks and data breaches. The key to managing this flood of vulnerabilities lies in adopting a proactive, continuous approach to vulnerability discovery, prioritization and resolution.
1. Continuous vulnerability discovery
Vulnerabilities can surface at any time, whether due to new software installations, configuration changes or newly discovered weaknesses in existing systems. Automated vulnerability scanning tools are essential in modern cybersecurity to regularly monitor for vulnerabilities across the organization’s entire attack surface.
Some organizations have implemented advanced scanning techniques that utilize honeypots to identify CVEs before they make headlines. For example, honeypot activity spiked 1,000% in the weeks leading up to the discovery of the MOVEit vulnerability, giving companies the opportunity to act preemptively. Continuous monitoring and real-time scanning are critical to stay ahead of the rapid pace of vulnerability discovery.
2. Effective prioritization of vulnerabilities
With thousands of vulnerabilities flagged each year, it’s impossible for organizations to address them all. Instead, prioritization is critical. Tools like the Common Vulnerability Scoring System (CVSS) and threat intelligence from resources such as MITRE’s CVE list and the National Vulnerability Database (NVD) help security teams determine the criticality of vulnerabilities.
However, these general scoring systems need to be supplemented with organization-specific data to truly prioritize vulnerabilities that matter most. Risk-based vulnerability management (RBVM) has emerged as an effective solution. This approach combines stakeholder-specific data with artificial intelligence and machine learning to offer a more precise prioritization of vulnerabilities based on the organization’s specific risk profile. Vulnerabilities are not only ranked by severity but also by how they could impact the particular organization. This makes prioritization more strategic and manageable.
3. Vulnerability resolution: Remediation, mitigation or acceptance
Once vulnerabilities have been prioritized, organizations must resolve them through remediation, mitigation or acceptance:
- Remediation is the complete elimination of a vulnerability, such as by patching a software flaw or reconfiguring a network setting.
- Mitigation reduces the risk of exploitation, though it does not eliminate the vulnerability altogether. This might involve segmenting a vulnerable device from the network or installing a firewall.
- Acceptance is when a vulnerability is deemed low-risk, and the organization decides that the cost or effort of addressing it outweighs the potential risk it poses.
Organizations need to tailor their approach depending on the criticality of the vulnerability and the potential damage it could cause if exploited.
4. Reporting and continuous improvement
The vulnerability management lifecycle concludes with reporting and continuous improvement. Reporting tools track key metrics, such as mean time to detect (MTTD) and mean time to respond (MTTR), to help organizations assess the effectiveness of their vulnerability management efforts. By regularly reviewing and auditing these processes, organizations can adjust their strategies to handle future CVE proliferation more effectively.
CVE 급증을 효과적으로 관리하기 위한 핵심 전략
Keys to effectively manage CVE proliferation
CVE 수가 계속 증가함에 따라 조직은 취약점 관리 능력을 개선하기 위한 몇 가지 핵심 접근 방식을 채택해야 합니다. 여기에는 다음과 같은 내용이 포함됩니다:
- 취약점 간의 상관관계 파악: 취약점이 서로 어떻게 상호작용하는지를 이해함으로써 보안팀은 개별적으로는 심각하지 않더라도 다른 취약점과 결합될 경우 중요한 위험을 초래할 수 있는 문제에 우선순위를 매길 수 있습니다.
- 취약점 정보 정리: IT 팀에 원시 스캔 결과를 전달하기보다는, 보안팀이 우선순위가 매겨진 보고서를 제공하여 어떤 취약점이 가장 큰 위험을 초래하는지에 대한 실행 가능한 인사이트를 제공해야 합니다.
- 스캔 일정 전략적으로 조정하기: 조직은 가장 중요한 자산에 대해 정기적으로 스캔하되, 덜 중요한 시스템에 대한 잦은 스캔이 성능에 미치는 영향을 고려해야 합니다.
- 자동화: 방대한 수의 취약점을 감안할 때 수작업으로 처리하는 것은 비현실적입니다. 취약점 탐지, 우선순위 설정 및 패치 관리와 같은 워크플로우를 자동화하면 조직이 취약점 관리 노력을 더욱 확장할 수 있습니다.
As the volume of CVEs continues to grow, organizations should adopt key approaches to improve their vulnerability management capabilities. These include:
- Correlating vulnerabilities: By understanding how vulnerabilities interact with each other, security teams can prioritize issues that, while not severe on their own, may present critical risks when combined with other vulnerabilities.
- Curating vulnerability information: Instead of overwhelming IT teams with raw scan results, security teams should deliver prioritized, curated reports that provide actionable insights into which vulnerabilities pose the greatest risk.
- Strategically scheduling scans: Organizations should regularly scan their most critical assets while balancing the performance impact of frequent scans on less important systems.
- Automation: Given the sheer volume of vulnerabilities, manual processes are not feasible. Automating workflows — such as vulnerability discovery, prioritization and patch management — will enable organizations to scale their vulnerability management efforts.
CVE 관리하기
Keep CVEs in check
CVE의 무분별한 증가가 전 세계 조직에 큰 도전을 안겨주고 있습니다. 취약점이 계속해서 늘어남에 따라, 조직은 잠재적인 위협에 대응하기 위해 지속적이고 위험 기반의 취약점 관리 전략을 채택해야 합니다.
취약점 탐지를 자동화하고, 상황에 맞는 우선순위 설정에 집중하며, 강력한 수정 조치를 구현함으로써, 조직은 오늘날 복잡한 사이버 보안 환경에서 증가하는 CVE가 초래하는 위험을 완화할 수 있습니다.
The unchecked growth in CVEs presents a significant challenge to organizations worldwide. As vulnerabilities continue to rise, organizations must adopt continuous, risk-based vulnerability management strategies to stay ahead of potential threats.
By automating discovery, focusing on context-driven prioritization and implementing strong remediation practices, organizations can mitigate the risks posed by the ever-increasing number of CVEs in today’s complex cybersecurity landscape.
https://securityintelligence.com/articles/whats-behind-unchecked-cve-proliferation-what-to-do/
vulnerabilties | Common Vulnerabilities and Exposures | Vulnerability Management