연속 사이버 위험 평가를 위한 새로운 접근 방안

초록

이 논문은 연속 모니터링 및 위험 점수화(CMRS) 분야의 현황과 핵심 연구 과제를 검토한다. 자동화된 데이터 수집과 위험 점수 산출 두 축을 중심으로, 이질적인 정보 통합의 어려움과 기존 위험 지표의 주관성·단순성 문제를 지적한다. 보다 정량적이고 동적인 위험 모델의 필요성을 강조한다.

상세 분석

CMRS는 네트워크 보안 운영을 실시간에 가깝게 유지하기 위한 전략으로, 두 가지 핵심 요소인 연속 데이터 수집과 위험 점수화로 구성된다. 첫 번째 요소인 연속 모니터링은 네트워크 트래픽, 호스트 로그, 취약점 스캐너 결과, 패치 상태 등 다양한 소스에서 데이터를 자동으로 스트리밍한다는 점에서 기존의 주기적 점검 방식과 근본적으로 차별화된다. 그러나 이러한 데이터는 형식, 빈도, 신뢰도 면에서 크게 이질적이며, 실시간 융합을 위해서는 스키마 매핑, 시간 동기화, 데이터 정제 등의 전처리 작업이 필수적이다. 특히, 호스트 기반 에이전트가 제공하는 상세한 시스템 콜 정보와 네트워크 기반 흐름 데이터는 차원과 의미가 달라, 단순한 데이터베이스 결합만으로는 의미 있는 인사이트를 도출하기 어렵다.

두 번째 요소인 위험 점수화는 현재 주로 CVSS 점수의 합산, 미패치 수, 열려 있는 포트 수 등 정량적이지만 매우 단순한 메트릭에 의존한다. 이러한 접근법은 몇 가지 근본적인 한계를 가진다. 첫째, CVSS와 같은 점수는 전문가의 주관적 평가에 기반해 산출되며, 실제 공격 성공 가능성을 정확히 반영하지 못한다. 둘째, 취약점의 총량보다 취약점이 집중된 호스트나 서비스, 그리고 그 호스트가 네트워크 토폴로지에서 차지하는 위치가 위험에 미치는 영향을 무시한다. 셋째, 시간에 따른 취약점의 등장·해소, 패치 적용 속도, 위협 인텔리전스와의 연계 등 동적 요소를 고려하지 않음으로써 위험 평가가 정적이고 과거 지향적으로 변질된다.

이러한 문제를 해결하기 위해서는 (1) 이질적인 데이터 스트림을 그래프 기반 모델이나 베이지안 네트워크와 같은 확률적 프레임워크에 매핑하여 상호 의존성을 명시적으로 표현하고, (2) 취약점의 심각도뿐 아니라 노출 빈도, 공격 경로, 자산 가치 등을 가중치로 통합하는 다차원 위험 점수 체계를 개발해야 한다. 또한, 실시간 스트리밍 분석을 지원하는 스칼라형 데이터 파이프라인과, 위험 점수의 불확실성을 정량화하는 신뢰 구간 제공이 필요하다. 마지막으로, 인간 전문가의 판단을 보완하는 자동화된 위험 모델은 지속적인 피드백 루프를 통해 학습하고, 새로운 공격 패턴이 등장할 때마다 모델 파라미터를 업데이트함으로써 적응성을 확보해야 한다.