들어가며

지난 포스트에서 우리는 보안 생태계의 패러다임 변화와 그 중심에 있는 VDP(취약점 공개 정책)에 대해 살펴보았습니다. 특히 윤리적 해커들이 법적 테두리 안에서 기업의 보안을 도울 수 있도록 법적 리스크를 해소해주는 것이 VDP의 핵심 가치임을 확인했습니다.

그러나 혹자는 이러한 의문이 발생할 수 있습니다.

”우리는 매년 큰 비용을 들어 정기 보안 진단과 모의 해킹을 받고 있는데, 굳이 VDP까지 추가로 운영해야 할까요?”

하지만 보안 위협은 기업의 정기 점검 주기를 기다려주지 않기에 점검 직후에도 보안 사고는 발생하곤 합니다. 상시적으로 운영되는 창구인 VDP는 그 빈틈을 메워줄 입체적인 보안 체계로 작용할 수 있습니다. 이번 포스트에서는 전통적인 보안 진단과 VDP의 차이점을 짚어보고 , 왜 VDP가 필수적인지 알아보겠습니다.

VDP, 대체가 아닌 보완 솔루션

모의 해킹 및 정기 진단은 특정 시점에 집중적으로 진행하는 캠페인형 보안 활동입니다. 정해진 기간, 정해진 범위 내에서 명확하고 깊이 있게 공격 시나리오 검증이 가능하다는 장점이 있지만, 한계 또한 존재합니다.

1. 시점의 한계
   • 연 1-2회와 같이 점검 시점이 제한되어 있어, 점검 직후에 발생하는 신규 취약점이나 설정 오류는 다음 점검 때까지 확인이 어렵습니다.

2. 내부 리소스의 한계 * 소수의 내부 인력과 한정된 예산에서 보안 점검을 수행하기 때문에, 넓은 공격 표면을 커버하기엔 물리적 한계가 존재합니다.
3. 제보 창구의 부재 * 윤리적 해커들이 취약점을 발견해도 공익 제보할 창구가 없고, 취약점 제보가 담당자에게 전달되지 못해 누락될 가능성이 커집니다.

VDP는 전통적인 보안 점검이 가진 이러한 한계점들을 상시 점검 체계를 통해 보완할 수 있습니다.

가상의 사례

커머스 플랫폼 A사의 가상 사례를 통해 모의해킹과 VDP가 어떻게 상호 보완하는지 보겠습니다.

A사는 반기마다 정기 모의해킹을 수행하며, 지난 달 점검을 마쳤고, 모든 취약점을 조치했다는 보고를 받았습니다. 하지만 불과 2주 뒤, 마케팅팀에서 급히 이벤트용 페이지를 오픈하였고 예상치 못한 문제가 발생하였습니다.

1. 문제 발생
   • 해당 이벤트 페이지는 지난 달 수행한 정기 점검 범위 외 영역이었고, 개발 과정에서 담당자가 인지하지 못했던 취약점이 존재했습니다.
   • 정기 점검은 이미 종료되었기에 다음 점검까지 시차가 존재합니다.

2. VDP의 작동 * 마침 서비스를 이용하던 윤리적 해커가 해당 페이지의 취약점을 발견하였고, A사가 운영중인 VDP의 표준화된 절차에 따라 취약점을 제보하였습니다.
3. 결과 * A사는 실제 보안 사고가 발생하기 전에 취약점을 선제적으로 조치할 수 있었습니다.

VDP를 통해 얻은 실질적 효과는 다음과 같습니다.

• 보안 공백 제거 : 점검 주기 사이에 발생한 취약점을 즉시 식별했습니다.

* 비용 효율성 : 비용을 들여 내부 진단을 수행했음에도 과징금이 발생할 수 있었던 사고를 예방하였습니다.
* 보안 사각지대 해소 : 내부 보안 담당자가 미처 발견하지 못한 영역까지 외부의 윤리적 해커를 통해 점검할 수 있었습니다.

마치며

결론적으로, 모의해킹과 정기 진단이 연마다 시행하는 건강 검진이라면, VDP는 상시 응급실로 비유할 수 있습니다. 보안은 하나의 완벽한 솔루션을 통해 완성되는 것이 아니라, 여러 겹의 방어막을 쌓아가는 과정입니다.

여러분의 조직은 점검과 점검 사이의 공백을 무엇으로 메우고 계신가요? 우리 조직의 보안 사각지대를 지금 확인해보세요.

파인더갭이 귀사의 VDP 설계를 도와드립니다.

도입문의 :파인더갭 | 문의하기 | 버그바운티·모의해킹 상담