자체 개발 >> 프레임워크 오픈소스 사용
기술의 진화, 프레임워크 자체 취약점 오픈소스 관리 이슈
e.g.) Spring Java 프레임워크에서 발견된 1-day 취약점
⇒ 프레임워크, 오픈소스 자체 구조로 발생하는 취약점에 알맞은 대응 어려움
취약점이 존재한다고 무조건 바로 패치할 수 없음 → 취약점 조치 시 이슈가 발생할 수 있음
(업데이트에 따른 장애 이슈, 서비스 간의 호환성 이슈, 한정된 자원(인력, 시간, 커뮤니케이션))
공격자 관점의 1-day 취약점 Check List
취약한 라이브러리를 사용 중인가?
사용 중인 라이브러리의 버전은 안전한가?
최신 버전인가? 주기적인 업데이트를 수행하고 있는가?
취약점 동작 시 **파급력(Severity)**은 어디까지인가?
정보 유출/에러 발생/명령 실행 등… 취약점으로 어떤 행위가 가능한가?
⭐ 각 기업의 다른 환경을 고려해야 함 → 취약점이 실제 어느 지점에서 방어될 수 있는지 파악
⇒ 취약점이 Exploit 되더라도 파급력이 존재하지 않을 수 있음
취약점이 발현(동작)하기 위한 조건이 충족되는가?
시나리오 파악: 해커들의 공격 시나리오는 어떤 식으로 이루어지는가
취약점 코드 사용 여부 - 존재하는가? X 동작하는가? O
e.g.) 오픈소스 취약점 발생 → 서비스 내 코드에서 어떤 함수를 사용하고 있는지 확인 필요
공격 표면 관리(Attack Surface Management)
토스 SLASH23 + ISEC 필기 재구성
시나리오 + 인프라 ⇒ 우선순위 도출 후 조치
WISET Red team 멘토링 中 비슷한 사례 언급해주심