“기업 70%, 취약점 패치 빈도 낮아 위협에 노출” S&P 조사
“기업 70%, 취약점 패치 빈도 낮아 위협에 노출” S&P 조사
S&P 글로벌 레이팅스 보고서에 따르면 조직의 약 70%가 인터넷 연결 시스템의 취약점을 정기적으로 패치하지 않는 것으로 나타났다.
www.cio.com
- 취약점 패치 지연 실태
- S&P 글로벌 레이팅스 보고서, 기업의 70%가 취약점 패치를 간헐적 또는 드물게 수행
- 2023년 기준 금융 및 일반 기업 7,000여 곳의 인터넷 연결 시스템을 분석
- 공격 표면 내 미처리된 취약점 증가, 해킹 위험 확대
- 느린 해결 속도와 주요 문제점
- 30%의 조직이 간헐적으로만 패치 수행, 40% 이상은 드물게 패치 적용
- 발견되는 취약점 증가로 인해 우선순위 결정이 어려워지는 상황
- 기존 취약점 평가 시스템(CVSS)이 해결 속도를 저하시킬 가능성 존재
- 취약점 우선순위 지정 방식의 문제
- CVSS(Common Vulnerability Scoring System): 취약점의 심각도를 평가하지만, 실제 위협 데이터 고려 부족
- EPSS(Exploit Prediction Scoring System): 취약점의 악용 가능성을 기반으로 평가, 취약점의 심각도를 실질적으로 반영
- 두 시스템을 함께 고려하는 것이 효과적인 보안 전략으로 제안됨
- 오래된 취약점의 지속적 악용
- 보고된 취약점의 28%가 2016년에 발견된 오래된 보안 취약점
- 75%의 취약점이 7년 이상 된 보안 문제
- 가장 오래된 취약점은 24년 전 발생한 보안 취약점으로 기업 보안의 허점 노출
- 결론
- 기업은 취약점 패치 주기를 단축하고 실시간 보안 모니터링을 강화해야 함
- 기존 CVSS 기반 평가 외에도 EPSS 같은 취약점 악용 가능성 점수를 함께 고려한 대응 필요
- 장기간 방치된 취약점이 공격자의 주요 타겟이 되는 만큼 즉각적인 패치 적용 필수
- 보안 패치의 자동화 도입 및 거버넌스 체계 개선을 통한 취약점 관리 강화 필요
'Kant's IT > Vulnerability' 카테고리의 다른 글
| 메르세데스-벤츠 MBUX 인포테인먼트 시스템 보안 취약점 공개 (0) | 2025.02.03 |
|---|---|
| Azure DevOps 다중 취약점 발견…CRLF 주입 및 DNS 재바인딩 공격 가능 (0) | 2025.02.03 |
| WGS-804HPT 스위치의 치명적 취약점: 원격 코드 실행(RCE) 및 네트워크 침해 가능성 (0) | 2025.02.02 |
| Active Directory NTLMv1 우회 취약점 및 대응 방안 (0) | 2025.02.02 |
| Ivanti Connect Secure 원격 코드 실행 취약점(CVE-2025-0282) PoC 공개 (0) | 2025.02.02 |