← 기술 목록으로

다차원 취약점 패치 우선순위 시스템 구축

CVSS 점수만으로 부족한 "무엇부터 패치할지"를, 분석·탐지 시 점수를 부가하고 CVSS 외 기타 위협 요소를 반영해 위험도를 재산정하는 우선순위 시스템(Patch Priority)으로 해결

기간2022
소속래브라도랩스(LabradorLabs)
역할데이터 엔지니어 · 모델 설계
Python취약점 스코어링CVSSCWE데이터 모델링

0작업자의 메모

CVSS가 높다고 항상 우리 제품에서 먼저 패치해야 하는 것은 아닙니다. 실제 분석 결과에 파일이 존재하는지, 어떤 위협 신호가 있는지까지 같이 봐야 운영 우선순위가 됩니다.

Patch Priority는 보안 점수를 새로 꾸미는 작업이 아니라, 현장에서 “오늘 무엇부터 고칠지”를 결정할 수 있게 데이터를 다시 계산한 작업입니다.

1문제

수많은 취약점 중 무엇을 먼저 처리할지 명확한 기준이 없어 제한된 리소스로 대응해야 하는 사용자들이 어려움을 겪었습니다. CVSS 점수 단일 지표만으로는 실제 위험의 우선순위를 충분히 표현하지 못했습니다.

2한 일

분석·탐지 과정에서 취약점에 점수를 부가하고 CVSS 단일 지표를 넘어 기타 위협 요소를 반영해 위험도를 다시 산정하는 평가 모델을 설계했습니다. 우선순위 신호에는 실제 제품 분석에서 탐지된 파일이 취약한지(실탐지 기반 신호)까지 수집·반영했습니다. 이를 정량화하는 스코어링 알고리즘과 결과를 저장·조회하는 데이터 모델까지 구성했습니다.

스코어링 흐름

취약점 데이터탐지 결과 수집
메타데이터 수집부가 정보 확보
기본 점수CVSS 기반 산정
위협 요소 반영CVSS 외 요인 가중
패치 우선순위정량 스코어 산출

3임팩트

다차원 우선순위 — CVSS 중심 평가의 한계를 보완하는 취약점 패치 우선순위 시스템 구축
실용성 — 사용자가 제한된 리소스로 가장 시급한 취약점에 집중하도록 지원
제품 가치 — 단순 스캔 결과를 "행동 가능한 우선순위"로 전환

4역할

데이터 엔지니어로서 평가 모델 구상·메타데이터 수집 크롤러 개발·스코어링 알고리즘 설계까지 단독으로 수행했습니다.

취약점 수집(OS 패키지) 고도화와 함께 2022년 VDB 가치 창출의 핵심 축.