Vulnerability Management Chaining: An Integrated Framework for Efficient Cybersecurity Risk Prioritization

이 논문은 CVE, CVSS, EPSS, KEV 데이터를 통합한 '취약점 관리 체이닝' 프레임워크를 제안하여, 기존 방식 대비 18 배의 효율성과 95% 의 긴급 대응 업무 감소를 달성하면서도 85.6% 의 위협을 포착하는 최적의 우선순위 결정 체계를 제시합니다.

핵심

이 논문은 **"수천 개의 보안 구멍 중, 정말 위험한 것만 골라내는 똑똑한 방법"**을 제안합니다.

기존의 보안 팀들은 매일 쏟아지는 수만 개의 취약점 (버그) 목록을 보고 "어떤 것을 먼저 고쳐야 하지?"라고 고민하며 지쳐갑니다. 이 논문은 그 고민을 해결해 주는 **새로운 의사결정 시스템 (Vulnerability Management Chaining)**을 소개합니다.

이 복잡한 내용을 일상적인 비유로 쉽게 설명해 드릴게요.

---

🏠 비유: "거대한 아파트 단지"와 "보안 요원"

상상해 보세요. 여러분은 수만 개의 방이 있는 거대한 아파트 단지의 보안 책임자입니다. 매일 아침, 관리소에서는 **"방 28,377 개가 고장 났다"**는 보고서를 받습니다.

1. 문제: "모두가 위험하다"는 착각 (기존 방식)

기존 방식 (CVSS 점수) 은 **"방이 얼마나 튼튼하지 않은가?"**만 봅니다.

• "이 방은 문이 약해서 10 점 만점에 9 점이야! (위험해!)"
• "저 방도 창문이 깨져서 8 점이야! (위험해!)"

결과? 16,000 개 이상의 방이 모두 "즉시 수리 필요"로 분류됩니다. 보안 요원들은 모든 문을 고치려다 지쳐버리고, 정작 진짜 도둑이 들어갈 수 있는 문은 놓치기 쉽습니다.

2. 새로운 해결책: "3 단계 필터링" (이 논문의 제안)

이 논문은 **"방이 얼마나 약한가?"**보다 **"도둑이 실제로 그 문을 뚫고 들어갔는가?"**를 먼저 봅니다. 이를 위해 3 가지 정보를 조합한 **의사결정 나무 (Decision Tree)**를 사용합니다.

[1 단계: 도둑의 흔적 찾기 (KEV & EPSS)]
먼저, "도둑이 실제로 이 문을 뚫어본 적이 있나?"를 확인합니다.

• KEV (확실한 증거): "도둑이 이 문을 뚫고 들어갔다는 확실한 CCTV 영상이 있어!" (이미 공격받은 흔적)
• EPSS (예측): "도둑이 이 문을 뚫으려고 새로운 도구를 만들고 있어. 30 일 안에 뚫을 확률이 8.8% 이상이야!" (예상 공격)

이 두 가지 중 하나라도 해당되면, 그 방은 **'수리 대상'**으로 올라갑니다. 그렇지 않은 95% 의 방은 "일단 평상시 점검으로 미루자"라고 판단합니다.

[2 단계: 피해 규모 확인 (CVSS)]
도둑이 들어갈 가능성이 있는 방들만 남았습니다. 이제 "그 방이 얼마나 중요할까?"를 봅니다.

• CVSS (위험도 점수): "도둑이 들어오면 **금고 (중요 데이터)**가 있는 방인가?"
  • 예 (7 점 이상): "금고가 있어! 즉시 수리!" (최우선)
  • 아니오 (7 점 미만): "도둑이 들어와도 그냥 빈 방이야. 나중에 수리하거나 지켜보자."

---

🎯 이 방법이 얼마나 효과적일까요?

이 논문의 실험 결과는 놀랍습니다.

1. 업무량 95% 감소:

   • 기존 방식: 16,000 개의 방을 모두 긴급 수리해야 함.
   • 새로운 방식: 850 개의 방만 긴급 수리.
   • 효과: 보안 요원들이 할 일이 20 배 줄어든 셈입니다!

2. 실제 위험은 그대로 잡음:

   • 도둑이 실제로 들어왔던 90 개의 방 중 **85.6%**를 놓치지 않고 모두 찾아냈습니다. (기존 방식도 90% 를 찾았지만, 그중 95% 는 불필요한 수리였습니다.)

3. 누락된 위험 발견:

   • KEV(확실한 증거) 만 믿으면 놓치는 48 개의 방, EPSS(예측) 만 믿으면 놓치는 방들을 두 가지를 합치니 모두 찾아냈습니다. 서로 다른 정보를 섞으니 더 완벽한 보안망이 된 것입니다.

---

💡 핵심 요약 (한 줄 정리)

"모든 구멍을 다 막으려다 지치지 말고, '도둑이 실제로 뚫으려던 흔적'과 '중요한 곳'을 먼저 확인하는 똑똑한 필터를 쓰세요. 그래야 적은 인력으로 더 큰 보안을 지킬 수 있습니다."

이 시스템은 무료로 공개된 정보만 사용하므로, 돈이 많은 대기업이 아니더라도 누구나 바로 적용할 수 있다는 것이 가장 큰 장점입니다.

기술 요약

1. 연구 배경 및 문제 정의 (Problem)

현대 조직은 Common Vulnerabilities and Exposures (CVE) 의 기하급수적인 증가와 공격자와 방어자 간의 비대칭성으로 인해 취약점 관리에 심각한 어려움을 겪고 있습니다.

• 기존 접근법의 한계:
  • CVSS (Common Vulnerability Scoring System): 이론적 심각도 (Severity) 는 측정하지만 실제 악용 가능성 (Exploitation Likelihood) 을 반영하지 못합니다. 이로 인해 '높음 (High)' 또는 '치명적 (Critical)' 등급의 취약점이 과도하게 발생하여 리소스 낭비를 초래합니다.
  • EPSS (Exploit Prediction Scoring System): 머신러닝을 기반으로 30 일 내 악용 확률을 예측하지만, 확률적 모델의 불확실성과 새로운 공격 패턴에 대한 누락 가능성이 있습니다.
  • KEV (Known Exploited Vulnerabilities): CISA 에서 관리하는 실제 악용 증거가 있는 취약점 목록이지만, 본질적으로 사후 (Retrospective) 적이며 공개되지 않은 표적 공격은 포함하지 못합니다.
• 핵심 문제: 단일 지표 (CVSS, EPSS, 또는 KEV 중 하나) 만으로는 효율성 (Efficiency) 과 포괄성 (Coverage) 을 동시에 확보할 수 없으며, 보안 팀은 제한된 자원으로 가장 중요한 위협에 집중하기 어렵습니다.

2. 제안된 방법론: 취약점 관리 체이닝 (Methodology)

저자들은 **Vulnerability Management Chaining (VMC)**이라는 의사결정 트리 (Decision Tree) 기반 프레임워크를 제안합니다. 이는 CVSS, EPSS, KEV 세 가지 데이터 소스를 체계적으로 통합하여 2 단계 평가 프로세스를 수행합니다.

2.1 데이터 소스

모든 데이터는 오픈 소스로 제공되어 비용 장벽이 없습니다.

• KEV: CISA 의 Known Exploited Vulnerabilities 카탈로그.
• EPSS: FIRST 에서 제공하는 30 일 내 악용 확률 점수.
• CVSS: NVD 의 취약점 심각도 점수 (v3.1 기준).

2.2 2 단계 의사결정 프로세스

1. 1 단계: 위협 기반 필터링 (Threat-based Filtering)
   • 해당 CVE 가 KEV 목록에 포함되었는지 확인합니다.
   • 또는 EPSS 점수가 0.088 이상인지 확인합니다.
   • 두 조건 중 하나라도 만족하면 '위협 (Threat)'으로 간주하여 다음 단계로 진행합니다. 만족하지 않으면 표준 패치 주기로 미룹니다 (Defer).
2. 2 단계: 심각도 평가 및 우선순위 결정 (Severity Assessment)
   • 1 단계에서 위협으로 분류된 취약점에 대해 CVSS 점수가 7.0 이상인지 평가합니다.
   • CVSS ≥ 7.0: 치명적 (Critical) 또는 높음 (High) 우선순위.
   • CVSS < 7.0: 모니터링 (Monitor) 대상. 악용 증거는 있으나 영향력이 낮으므로 즉각적인 조정보다 추적 관리가 필요합니다.

2.3 우선순위 카테고리

• Critical Priority: KEV 포함 + CVSS ≥ 7.0 (즉시 조치 필요).
• High Priority: EPSS ≥ 0.088 + CVSS ≥ 7.0 (계획된 조치 필요).
• Monitor: 악용 증거 (KEV 또는 고 EPSS) 있으나 CVSS < 7.0 (변화 추적).
• Defer: 악용 증거 없음 (표준 패치 주기).

3. 주요 기여 (Key Contributions)

1. 통합 프레임워크 설계: CVSS, EPSS, KEV 의 상호 보완적 강점을 결합한 최초의 체계적인 의사결정 트리 프레임워크를 제시했습니다.
2. 실증적 검증: 13 개월간 발표된 28,377 개의 CVE 와 벤더 보고서의 실제 악용 데이터 (Ground Truth) 를 사용하여 대규모 실증 분석을 수행했습니다.
3. 접근성 보장: 비싼 상용 위협 인텔리전스 구독 없이도 오픈 소스 데이터만으로 즉시 구현 가능한 방법을 제시하여 조직의 규모와 무관하게 적용 가능합니다.
4. 상호 보완성 입증: KEV 와 EPSS 가 각각 포착하지 못하는 취약점들을 통합을 통해 발견할 수 있음을 입증했습니다.

4. 실험 결과 (Results)

28,377 개의 CVE 와 90 개의 실제 악용 사례 (벤더 보고서 기반) 를 대상으로 한 평가 결과는 다음과 같습니다.

• 효율성 (Efficiency) 향상:
  • 기존 CVSS 기반 접근법 (CVSS ≥ 7.0) 의 효율성은 **0.5%**에 불과했습니다.
  • 제안된 VMC 프레임워크는 **9.1%**의 효율성을 달성하여 **18 배 (18-fold)**의 효율성 개선을 보였습니다.
  • 이는 우선순위 지정된 취약점 중 실제 악용된 비율이 크게 증가했음을 의미합니다.
• 포괄성 (Coverage) 유지:
  • 실제 악용된 취약점 중 VMC 가 포착한 비율은 **85.6%**로, CVSS 기반 (90.0%) 과 유사한 수준의 포괄성을 유지하면서도 처리해야 할 취약점 수를 극적으로 줄였습니다.
• 작업량 감소:
  • 긴급 대응이 필요한 취약점 수를 약 95% (16,182 개 → 850 개) 감소시켰습니다.
• 통합의 가치:
  • KEV 와 EPSS 를 통합함으로써 48 개의 추가적인 악용 취약점을 발견했습니다. 이는 개별 방법론만으로는 놓쳤을 중요한 위협들 (KEV 에는 없으나 EPSS 가 예측한 신종 위협, 또는 EPSS 점수는 낮으나 KEV 에 포함된 복잡한 공격 체인 등) 입니다.

5. 의의 및 결론 (Significance)

• 운영적 혁신: 보안 팀이 리소스를 '이론적 위험'이 아닌 '실제 위협'이 있는 취약점에 집중할 수 있게 하여, 긴급 대응 업무량을 95% 줄이면서도 주요 위협을 놓치지 않는 균형을 달성했습니다.
• 데이터 기반 의사결정: 추상적인 점수 시스템 대신 명확한 의사결정 기준 (Threshold) 을 제공하여 운영 워크플로우에 직접 통합하기 용이합니다.
• 미래 지향성: 단일 메트릭의 한계를 극복하고, 다양한 위협 인텔리전스 소스를 통합하는 새로운 패러다임을 제시합니다. 이 프레임워크는 새로운 위협 인텔리전스 소스가 등장하더라도 구조적 변경 없이 유연하게 통합될 수 있도록 설계되었습니다.

요약하자면, 이 논문은 CVSS, EPSS, KEV 를 체이닝 (Chaining) 하는 방식으로 취약점 관리의 효율성을 획기적으로 높이는 실용적인 프레임워크를 제시하며, 보안 조직이 폭발적으로 증가하는 취약점 속에서 실질적인 위협에 대응할 수 있는 길을 제시합니다.