지난해 연이은 보안사고가 던진 경고, 해답은 “IT자산과 CVE취약점의 지속적인 관리”

2025년 한 해 동안 수많은 대형 보안사고가 연이어 발생하며 국내 정보보호 환경에 큰 충격을 주었다. 이에 정부는 10월 22일 '범정부 정보보호 종합대책'을 발표하며, 국가 차원의 보안 체계 전환을 선언했다.

정부의 정보보호보안 대책의 핵심 메시지는 명확하다.

“IT자산을 정확히 파악하고, 해당 자산에 존재하는 CVE 취약점을 상시적으로 관리하라.”

실제로 2025년 발생한 다수의 해킹 사고는 고도화된 공격기법이 아닌, 이미 공개된 CVE 취약점이 패치되지 않은 상태로 방치되면서 발생했다. 조직이 보유한 IT자산을 제대로 인지하지 못했고, 그 결과 취약점 관리 역시 이뤄지지 않았다는 점이 공통적으로 드러났던 것이다.

클라우드 및 원격근무 환경의 확산으로 IT자산은 기하급수적으로 늘어나고 있지만, 여전히 많은 기업이 해커 공격의 주된 목표가 아닌CCE (구성상으로 오류)만을 점검하고 있거나, CVE 취약점을 확인한다 하더라도, 1회성 진단방식에 의존하고 있는 실정이다. 이제는 일회성 진단이 아닌 지속적인 CVE 취약점 관리 체계가 필수이다.

이러한 관리 상황속에서 글로벌 취약점 관리 전문 기업 테너블(Tenable)의 솔루션이 주목받고 있다. Tenable은 네트워크, 클라우드, 서버, 엔드포인트 전반의 IT자산을 자동으로 식별하고, 각 자산에 존재하는 CVE 취약점을 정확하게 탐지하고 우선순위화한다. 이를 통해 기업은 실제 공격 가능성이 높은 CVE취약점부터 효과적으로 대응할 수 있다.

Tenable의 CVE취약점 관리 대시보드

2025년의 수많은 보안사고는 분명한 교훈을 남겼다. “알지 못하는 IT자산과 관리되지 않은 CVE취약점은 곧바로 침해 사고로 이어진다.”

IT자산 탐지 및 CVE취약점괸리 세계1위의 보안 기업 테너블(Tenable)사의 한국 총판인 ㈜롤텍의 이중원 부사장은 "보이지 않는 자산은 보호 할 수도, 규제를 따를 수도 없다”며 정부의 정보보호 종합대책을 준수 하기 위해서는 “자산의 실시간 탐지, 탐지된 자산에 대한 CVE취약점 파악 및 진단, CVE취약점 우선 순위 파악, CVE취약점 패치, 취약점 해결 확인등의 다섯단계 사이클로 관리해야 한다”며, “Tenable 같은 전문적인 취약점 관리 솔루션을 통해 정부의 대책도 준수하고, 실질적인 보안도 도모해야 한다”라고 말한다.