패치할 CVE는 쌓이는데 막을 시간은 줄어든다 — 보안팀이 'BAS'로 갈아타는 이유

이미지 출처: thehackernews

작년 한 해 공개된 CVE는 4만 건을 가뿐히 넘겼다. 하루로 따지면 100건이 넘는 셈인데, 여기에 AI로 만든 자동 취약점 탐색 도구들이 가세하면서 새 결함이 보고되는 속도 자체가 사람이 따라잡을 수 있는 범위를 벗어나 버렸음. 문제는 발견 속도만 빨라진 게 아니라는 점임. 공격자 쪽도 AI로 PoC를 빠르게 다듬고, 공개된 지 며칠 만에 실전 공격이 돌아다님. 방어자 입장에서 보면 '쌓이는 목록'과 '줄어드는 시간' 사이의 간극이 매년 더 벌어지고 있는 것임.

핵심 요약

• AI가 취약점 발견·악용 속도를 끌어올리면서 'CVSS 점수 순으로 패치하기'식 전통적 취약점 관리가 한계에 부딪힘.
• BAS(Breach and Attack Simulation)는 실제 공격을 안전하게 재현해 우리 환경에서 정말 뚫리는지, 탐지·차단이 작동하는지를 검증함.
• CISO들이 예산을 BAS·CTEM 쪽으로 옮기는 건 '이론상 위험'이 아니라 '실제 노출'을 기준으로 우선순위를 잡기 위해서임.

왜 기존 취약점 관리가 무너졌나

전통적인 취약점 관리(VM)는 단순한 흐름이었음. 스캐너를 돌려 결함을 찾고, CVSS 점수가 높은 것부터 줄을 세워 패치함. 이 방식은 취약점이 한 달에 수백 건쯤 나오던 시절엔 그럭저럭 돌아갔음. 그런데 지금은 사정이 다름.

• 물량 자체가 감당 불가: 매일 쏟아지는 CVE를 모두 검토하고 패치 일정을 잡는 것은 현실적으로 불가능함. '심각' 등급만 추려도 여전히 산더미임.
• CVSS 점수가 현실을 반영하지 않음: CVSS 9.8짜리 취약점이라도 해당 서비스가 내부망에만 있거나, 이미 다른 통제로 막혀 있다면 실제 위험은 낮음. 반대로 점수가 낮아도 우리 환경에선 치명적인 경로가 될 수 있음. 점수는 '환경'을 모름.
• 패치했다고 안전한 게 아님: 패치를 적용했어도 설정 실수나 우회 경로 탓에 여전히 뚫리는 경우가 많음. '패치 완료'라는 체크박스가 곧 '안전'은 아니라는 뜻임.

결국 문제의 본질은 '우리가 얼마나 많은 결함을 알고 있느냐'가 아니라 '그중 진짜로 악용 가능한 게 무엇이냐'로 옮겨갔음. 그런데 기존 VM은 후자를 답해주지 못함.

BAS는 무엇을 다르게 하나

BAS(Breach and Attack Simulation), 우리말로 풀면 '침해·공격 시뮬레이션'은 접근 방식을 뒤집음. 결함 목록을 보고 추측하는 대신, 실제 공격 기법을 안전하게 재현해서 우리 환경에서 정말 통하는지를 직접 돌려봄. 여기서 핵심은 '안전하게'임. 실제 악성 페이로드를 터뜨리는 게 아니라, 공격자의 행동 패턴(예: 권한 상승 시도, 측면 이동, 데이터 반출 흐름)을 통제된 형태로 흉내 내서 방어 체계가 어떻게 반응하는지를 본다는 개념임.

이렇게 돌려보면 평소 자료만으로는 보이지 않던 것들이 드러남.

• 이 공격 경로가 우리 EDR·방화벽에서 실제로 탐지되는가, 차단되는가.
• 탐지는 되는데 경보가 SOC까지 제대로 전달되는가, 아니면 로그 속에 묻히는가.
• 고가치 자산(인증 서버, 도메인 컨트롤러 등)으로 가는 경로 중 실제로 열려 있는 것은 무엇인가.

즉 BAS는 '뚫릴 수 있다'는 가능성이 아니라 '지금 이 통제로 막힌다/안 막힌다'는 사실을 돌려줌. 그래서 우선순위가 CVSS 점수가 아니라 '실제 노출도' 기준으로 다시 잡힘.

CTEM이라는 더 큰 그림

BAS는 단독으로 쓰이기보다 요즘은 CTEM(Continuous Threat Exposure Management, 지속적 위협 노출 관리)이라는 더 큰 틀 안에서 이야기됨. 한 번 점검하고 끝내는 게 아니라, 자산 식별 → 노출 진단 → 우선순위 → 검증(여기서 BAS가 들어감) → 개선을 계속 돌리는 사이클임. 환경은 매일 바뀌고 공격 기법도 매주 갱신되니, 검증도 한 번이 아니라 '상시'여야 한다는 발상임.

CISO들이 예산을 이쪽으로 옮기는 이유가 여기 있음. 패치 인력을 무한정 늘릴 수는 없지만, '어디부터 막아야 진짜 위험이 줄어드는가'를 데이터로 보여주면 한정된 자원을 가장 아픈 곳에 쓸 수 있기 때문임.

그래서 우리는 무엇을 하면 되나

당장 BAS 솔루션을 도입할 형편이 안 되더라도, 그 사고방식만큼은 지금부터 가져올 수 있다고 봄. 개인적으로는 이런 순서를 추천함.

• CVSS에 끌려다니지 않기: 점수가 아니라 '이 자산이 외부에 노출돼 있나, 악용 코드가 실제로 도는가(KEV 목록 등 활용)'를 우선순위 기준으로 삼기.
• 탐지 검증을 습관화하기: MITRE ATT&CK의 기법을 하나씩 골라, 통제된 환경에서 'Atomic Red Team' 같은 공개 테스트로 우리 탐지가 반응하는지 확인해 보기.
• '패치 완료'에서 멈추지 않기: 패치 후에도 같은 공격 경로가 정말 막혔는지 한 번 더 검증하는 루틴 만들기.

AI가 공격의 속도를 끌어올린 시대에, 방어의 답은 '더 많이 스캔하기'가 아니라 '진짜 뚫리는 곳을 먼저 검증하기'로 바뀌고 있는 것 같다. 결국 우리가 가진 시간을 어디에 쓰느냐의 문제임. 여러분의 조직은 지금 '목록'을 보고 있나요, 아니면 '실제 노출'을 보고 있나요? 각자 환경에서 작은 검증 하나라도 같이 시작해 보아요.