오늘날 기업 보안팀은 끊임없이 쏟아지는 취약점 정보 속에서 어디서부터 손을 써야 할지 판단해야 합니다. 스캔 도구는 많아졌지만, 결과가 늘어날수록 실제 대응은 오히려 느려지는 역설적인 상황이 반복됩니다. Qualys Threat Research Unit(TRU)에 따르면 기업 자산의 약 40%가 보안팀에 파악되지 않은 상태이며, 공격자는 취약점이 무기화되기까지 평균 19.5일밖에 걸리지 않는 반면 기업이 패치를 시작하기까지는 평균 30.6일이 소요됩니다. 그 사이 공격자는 평균 11.1일간의 침투 기회를 가집니다.
Qualys VMDR(Vulnerability Management, Detection & Response)은 이 간극을 좁히기 위해 설계된 리스크 기반 취약점 관리 솔루션입니다. 취약점 관리, 탐지, 대응을 하나의 플랫폼에 통합하고, 실시간 위협 인텔리전스를 기반으로 리스크를 측정·전달·제거하는 것을 핵심 목표로 합니다. 이 글에서는 Qualys VMDR이 무엇이고, 어떻게 동작하며, 기존 취약점 관리 방식과 무엇이 다른지를 상세히 살펴봅니다.
기존 취약점 관리 방식의 한계
전통적인 취약점 관리(VM) 솔루션은 스캔 결과를 제공하는 데는 충분하지만, 그 이상을 수행하기 어렵습니다. 보안팀은 취약점 관리 도구, 패치 관리 도구, ITSM 도구, 자산 관리 도구를 개별적으로 운영하며 그 사이에서 수작업으로 정보를 조합해야 합니다. Qualys는 이 상황을 "회전의자 관리(swivel-chair management)"라고 표현합니다. 각 도구의 모니터를 번갈아 보며 정보를 취합하는 비효율적인 방식입니다.
ESG(Enterprise Strategy Group)의 조사에 따르면, 자산 가시성 부재를 주요 원인으로 꼽은 기업에서 보안 인시던트가 300% 증가한 것으로 나타났으며, 전체 조직 가운데 자신이 공격 표면의 100%를 모니터링하고 있다고 확신하는 곳은 9%에 불과합니다.
또한 CVSS와 EPSS만으로 취약점을 우선순위화할 경우, 전 세계적으로 6억 9,200만 개의 취약점이 잘못된 우선순위로 분류됩니다. 실제로 무기화되는 취약점은 전체의 1% 미만이지만, 그 영향은 불균형적으로 크기 때문에 어떤 취약점을 먼저 처리해야 하는지를 판단하는 것이 중요합니다. 점수만으로는 이 판단을 제대로 내릴 수 없습니다.
Qualys VMDR이란?
Qualys VMDR은 취약점 관리(Management), 탐지(Detection), 대응(Response)을 단일 플랫폼 안에서 수행하는 통합 솔루션입니다. Qualys Enterprise TruRisk™ 플랫폼 위에서 동작하며, 하나의 플랫폼, 하나의 범용 에이전트, 하나의 데이터 모델로 IT팀과 보안팀 모두에게 일관된 환경을 제공합니다.
VMDR의 핵심 철학은 세 가지로 정리됩니다.
이 세 가지 철학은 VMDR의 네 가지 핵심 기능 영역을 통해 구현됩니다. 전체 공격 표면에 대한 자산 가시성 확보, 취약점 및 구성 평가 자동화, TruRisk™와 MITRE ATT&CK® 기반의 리스크 우선순위화, 패치 배포 및 ITSM 연동을 통한 자동화된 대응이 그것입니다. 이어지는 섹션에서 각 영역을 상세히 살펴봅니다.
공격 표면 전체를 파악한다: 알려지지 않은 자산까지
보안은 파악된 자산에 대해서만 작동합니다. 그러나 Qualys TRU에 따르면, 기업 VM 프로그램에서 인식하지 못하는 자산이 전체의 30% 이상에 달합니다. Forrester Research는 공격 표면 관리 도구를 도입했을 때 IT팀이 인지하지 못했던 자산을 평균 30% 이상 추가로 발견한다고 밝히고 있습니다. Qualys VMDR과 CSAM(CyberSecurity Asset Management)을 함께 사용하면 인터넷에 노출된 미지의 자산을 평균 38% 더 발견할 수 있습니다.
또한 Qualys TRU가 5,000만 개 이상의 클라우드 자산을 스캔한 결과, 외부에 노출된 클라우드 자산의 50.84%가 패치되지 않은 상태였습니다. 파악하지 못한 자산이 패치도 되지 않은 채 인터넷에 노출되어 있다는 것입니다.
VMDR은 온프레미스, 클라우드, 인터넷 노출 자산, IoT, OT, 모바일, 컨테이너를 포함한 전체 공격 표면을 자동으로 탐지하고 스캔합니다. 인수·합병·자회사로 편입된 자산도 식별하여 기업 전체의 공격 표면을 단일 뷰로 관리할 수 있습니다. 클라우드 에이전트는 패시브 센서로 전환되어 네트워크에 연결된 관리되지 않는 디바이스와 IoT 기기를 실시간으로 식별하며, 단일 클릭으로 미지의 자산을 VM, 웹 앱 스캔, 패치 작업에 즉시 추가할 수 있습니다.
놓치고 있는 CVE를 먼저 탐지한다
VMDR은 경쟁 솔루션 대비 제로데이 및 중요 취약점 탐지 시간을 24% 단축하며, 전체 취약점 탐지 속도는 경쟁 솔루션 대비 최대 6배 빠릅니다. 위협 탐지 피드(Threat Detection Feed)를 통해 새롭게 등장하는 고위험 취약점을 즉시 식별하고, 해당 취약점에 영향받는 자산을 신속하게 조회할 수 있습니다.
취약점 및 컴플라이언스 보고는 자동화되며, 하드웨어·소프트웨어·펌웨어 기반의 취약점을 모든 애플리케이션 영역에서 커버합니다. 70%의 취약점은 특수한 권한 없이도 악용 가능하기 때문에, 빠른 탐지와 정확한 커버리지는 리스크 관리의 기본 전제 조건입니다. 탐지된 취약점은 누락된 패치와 자동으로 연계되어 즉각적인 대응 절차로 이어집니다.
TruRisk™: CVSS와 EPSS를 넘어선 리스크 점수
CVSS는 취약점의 심각도를 설명하지만, 해당 취약점이 실제로 지금 공격자에게 활용되고 있는지, 우리 조직의 중요 자산에 어떤 영향을 미치는지까지는 반영하지 못합니다. VMDR은 TruRisk™를 통해 이 한계를 넘습니다.
TruRisk™는 25개 이상의 실시간 위협 인텔리전스 소스를 통합하여 각 취약점의 실제 위험도를 산정합니다. 여기에는 취약점의 실제 악용 여부, 자산 중요도, EoL/EoS(서비스 종료) 상태, 만료된 인증서, 열린 포트의 위험성, 랜섬웨어에 의해 실제로 악용된 CVE 여부가 반영됩니다. 이를 바탕으로 산출되는 QDS(Qualys Detection Score)는 MITRE ATT&CK® 프레임워크와도 연계되어, 위협 컨텍스트와 비즈니스 컨텍스트를 함께 반영한 정밀한 우선순위화를 가능하게 합니다.
TruRisk™는 머신러닝(ML)을 활용하여 잠재적으로 심각한 취약점을 자동으로 식별하고 침해 지표(IoC)를 부각합니다. 또한 취약점뿐 아니라 미스컨피규레이션, 자산 위생 상태, 25개 이상의 위협 피드, 자산 중요도를 종합적으로 연계하여 우선순위를 산정합니다. 이를 통해 중요 취약점을 최대 85%까지 줄이는 효과를 제공합니다.
리스크를 제대로 전달하는 방법
보안팀이 파악한 리스크를 경영진과 타 부서에 전달하는 것은 별도의 과제입니다. VMDR은 취약점을 담당 책임자에게 자동으로 라우팅하고, 팀·사업부·지역별 맞춤형 대시보드와 리포트를 제공합니다. CMDB(Configuration Management Database)는 지속적으로 업데이트되며, Qualys 태그 기반 매핑을 통해 96%의 정확도로 ITSM 티켓을 자동 할당합니다. 보안팀이 발견한 취약점이 IT팀의 담당자에게 끊김 없이 연결되는 구조입니다.
ServiceNow, BMC Helix, Active Directory, Webhook 등 다양한 서드파티 커넥터를 통해 자산 중요도, 디바이스 소유자, 지원 그룹 등 비즈니스 컨텍스트를 보안 프로그램에 추가할 수 있습니다. 스프레드시트 없이도 보안과 IT팀 간의 협업 구조를 단일 플랫폼 안에서 운영할 수 있습니다.
탐지부터 패치까지: 플랫폼 내 자동화된 대응
VMDR은 취약점 탐지 이후의 대응도 단일 플랫폼 안에서 처리합니다. 위치에 관계없이 모든 디바이스에 패치를 직접 배포할 수 있으며, 패치 배포, 완화(mitigation), 공격 경로 차단 등 복수의 대응 수단을 제공합니다.
ServiceNow와 Jira와의 기본 통합을 통해 감지된 취약점에 대해 자동으로 ITSM 티켓을 생성하고 담당자에게 라우팅합니다. QFlow(규칙 기반 자동화 기능)를 활용하면 취약점 감지부터 티켓 생성, 패치 배포까지의 전 과정을 규칙에 따라 자동화할 수 있으며, 목표 SLA를 충족하는 방향으로 운영할 수 있습니다. 이 구조를 통해 MTTR을 최대 60% 단축하고, IT팀과 보안팀의 워크플로우를 단일 흐름 안에서 통합합니다.
기술 부채 관리도 가능합니다. EoL/EoS 소프트웨어를 최대 12개월 전부터 추적하고, CISA 가이드라인에 맞춰 운영합니다. 업데이트 또는 완화 조치에 필요한 예산과 자원을 CISO와 CIO가 선제적으로 계획할 수 있도록 지원하며, EoL/EoS 항목을 카테고리·퍼블리셔·제품 단위로 세분화하여 리스크 우선순위를 정확히 파악할 수 있습니다.
VMDR 하나로 커버되는 것들: 라이선스 안에 포함된 기능
VMDR은 취약점 탐지와 패치 대응 외에도 하나의 라이선스 안에서 보안 운영 전반을 지원하는 다양한 기능을 포함합니다. 별도 도구를 추가하지 않아도 되는 것이 VMDR의 실질적인 운영상 강점 중 하나입니다.
런타임 소프트웨어 구성 분석(Runtime SCA)은 운영 중인 애플리케이션 안에서 사용되는 오픈소스 및 서드파티 컴포넌트의 취약점을 식별합니다. 코드에 포함된 라이브러리 수준의 리스크까지 탐지할 수 있어, 소프트웨어 공급망 보안 관리를 VMDR 안에서 함께 수행할 수 있습니다.
인증서 인벤토리, 평가, 갱신 기능은 조직 내 SSL/TLS 인증서 현황을 지속적으로 추적하고 만료 인증서를 리스크 요소로 식별합니다. TruRisk™ 산정에도 만료된 인증서가 리스크 팩터로 반영되어, 인증서 관리가 취약점 관리와 연계된 형태로 운영됩니다.
클라우드·컨테이너·모바일 인벤토리는 온프레미스 자산 외에 클라우드 인스턴스, 컨테이너, 모바일 디바이스까지 하나의 인벤토리로 통합 관리할 수 있도록 합니다. 무제한으로 제공되는 가상 스캐너, 클라우드 에이전트, 패시브 센서, 에이전트 게이트웨이, 컨테이너 센서를 통해 인프라 규모와 관계없이 전체 자산을 커버합니다.
PCI ASV 평가는 PCI DSS 4.0을 포함한 PCI 규정 준수 여부를 플랫폼 내에서 직접 평가할 수 있도록 지원합니다. CIS 벤치마크 평가는 CIS(Center for Internet Security) 기준에 따라 시스템 설정의 보안 적합성을 자동으로 점검합니다. 이 두 가지 컴플라이언스 기능은 별도 도구 없이 VMDR 안에서 처리되며, CISA, FedRAMP, NIST, SOC 2 등 주요 보안 표준에 맞춘 자산 인벤토리 구축과도 연계됩니다.
QFlow는 규칙 기반 자동화 기능으로, 취약점 감지 이후 티켓 생성, 패치 배포, 담당자 할당 등 반복적인 워크플로우를 규칙에 따라 자동으로 처리합니다. ServiceNow와 Jira 연동은 기본으로 제공되며, BMC Helix, Active Directory, Webhook을 포함한 다양한 서드파티 도구와도 연결됩니다.
경영진에게 리스크 현황을 보고한다
VMDR은 보안 실무자뿐 아니라 경영진을 위한 커뮤니케이션 도구로도 기능합니다. TruRisk™를 기반으로 취약점, 자산, 비즈니스 단위별 리스크를 정량화하여 경영진이 이해할 수 있는 형태로 제공합니다. 리스크 감소 추이를 시간 흐름에 따라 추적하고, 조직 내 어떤 영역에서 리스크가 줄었는지를 수치로 보고할 수 있습니다.
이를 통해 보안팀은 기술적 용어 대신 비즈니스 언어로 현황을 보고할 수 있으며, CISO가 이사회나 경영진과 소통하는 데 필요한 근거 자료를 플랫폼 내에서 직접 생성할 수 있습니다.
Enterprise TruRisk™ 플랫폼: VMDR이 동작하는 기반
VMDR은 Qualys Enterprise TruRisk™ 플랫폼 위에서 동작합니다. 이 플랫폼은 Qualys 솔루션뿐 아니라 서드파티 솔루션에서 가져온 리스크 요소까지 하나의 통합 뷰로 집계하고 측정합니다. 보안 운영 전반에 걸친 사이버 리스크 현황을 단일 뷰로 파악하고, 조직이 실제로 직면한 리스크를 효율적으로 집계·측정·소통·제거할 수 있는 환경을 제공합니다. 현재 전 세계 10,000개 이상의 기업이 Qualys 플랫폼을 구독하고 있으며, Forbes Global 100 및 Fortune 100 기업 대부분이 이 플랫폼을 활용하고 있습니다.
Qualys VMDR 및 Enterprise TruRisk 플랫폼에 대한 문의사항은 공식 파트너사인 클라우드네트웍스로 연락 부탁드립니다.
