정보보안기사 기출문제 총정리 ⑲ 취약점 관리 – CVE·CVSS·패치 관리·버그 바운티

취약점 관리 파트 출제 경향

취약점 관리는 기술적 보안 운영의 핵심입니다. CVE 체계, CVSS 점수의 의미와 계산 기준, 패치 관리 절차, 제로데이 취약점 대응이 주요 출제 포인트입니다.

【기출 토픽 1】 CVE (Common Vulnerabilities and Exposures)

기출 문제 예시: 공개적으로 알려진 보안 취약점에 고유 식별자를 부여하여 관리하는 국제 표준 취약점 데이터베이스는?

• ① NVD (National Vulnerability Database)
• ② CVE ✅
• ③ CWE
• ④ CVSS

취약점 관련 용어 정리:

• CVE: 취약점 고유 식별번호 (CVE-연도-번호 형식, 예: CVE-2021-44228)
• NVD: NIST가 관리하는 CVE 상세 정보 DB (CVSS 점수 포함)
• CWE: 소프트웨어 취약점 유형 분류 체계
• CVSS: 취약점 심각도 점수 체계 (0.0~10.0)

【기출 토픽 2】 CVSS (Common Vulnerability Scoring System)

기출 문제 예시: CVSS v3에서 취약점 심각도를 Critical로 분류하는 점수 범위는?

• ① 7.0~8.9
• ② 9.0~10.0 ✅
• ③ 6.0~7.9
• ④ 4.0~6.9

CVSS v3 등급 암기:

• Critical: 9.0~10.0 (즉각 패치 필요)
• High: 7.0~8.9
• Medium: 4.0~6.9
• Low: 0.1~3.9
• None: 0.0

CVSS 구성 지표: 기본 점수(공격 벡터·복잡도·권한·영향) + 시간적 점수 + 환경 점수

【기출 토픽 3】 제로데이(Zero-Day) 취약점

기출 문제 예시: 소프트웨어 공급업체가 아직 패치를 발표하기 전에 공격자가 먼저 발견하여 악용하는 취약점은?

• ① N-Day 취약점
• ② 제로데이(Zero-Day) 취약점 ✅
• ③ CVE 취약점
• ④ 구성 오류 취약점

해설: 제로데이 취약점은 패치가 없는 상태에서 공격에 악용됩니다. 대응 방법: WAF·IPS 룰셋 업데이트, 가상 패칭(Virtual Patching), 최소권한 적용, 행위 기반 탐지, 네트워크 세그멘테이션으로 피해 최소화.

【기출 토픽 4】 패치 관리 절차

기출 문제 예시: 체계적인 패치 관리 절차로 올바른 순서는?

• ① 패치 식별 → 테스트 → 배포 → 검증 ✅
• ② 패치 배포 → 테스트 → 식별 → 검증
• ③ 테스트 → 식별 → 배포 → 검증
• ④ 식별 → 배포 → 테스트 → 검증

패치 관리 4단계:

• 1. 패치 식별: 신규 패치 정보 수집, 영향 범위 파악
• 2. 테스트: 테스트 환경에서 호환성·안정성 검증
• 3. 배포: 우선순위(심각도·운영 중요도)에 따라 단계적 적용
• 4. 검증: 패치 적용 후 취약점 제거 확인, 서비스 정상 동작 확인

취약점 관리 최종 정리

CVE/NVD/CWE/CVSS의 역할 구분, CVSS 등급별 점수 범위, 제로데이 대응 방법, 패치 관리 4단계를 중심으로 학습하세요. 취약점 관리는 ISMS 보안 통제 항목과도 연계되므로 함께 학습하면 효율적입니다.