ISMS-P 2.11.2 취약점 점검 및 조치 High Risk

취약점 점검 및 조치가 수행되고 있는가?

ISMS-P 2.11.2는 정기적인 취약점 점검과 신속한 조치를 요구합니다. 클라우드 환경에서는 Amazon Inspector를 통한 지속적 취약점 스캔과 SLA 기반 조치 관리 및 자동 패치 적용이 필요합니다.

📋

ISMS-P 인증 기준

ISMS-P 2.11.2 취약점 점검 및 조치 요구사항

2.11.2

취약점 점검 및 조치

인증 기준 정의

"정보시스템의 취약점이 노출되어 있는지를 확인하기 위해 정기적으로 취약점 점검을 수행하고 발견된 취약점에 대해서는 신속하게 조치하여야 한다."

📌 클라우드 환경 적용 포인트

Amazon Inspector 지속적 취약점 스캔
Security Hub 통합 취약점 관리
SSM Patch Manager 자동 패치
SLA 기반 조치 기한 추적

⚠️ 미준수 시 심사 영향

결함: 정기 취약점 점검 미수행
결함: 발견 취약점 조치 지연/미흡
권고: 취약점 조치 이력 관리 미흡

📄 KISA ISMS-P 인증기준 안내서 ↗ ☁️ Amazon Inspector 가이드 ↗

📰

실제 보안 사고 사례

취약점 미조치로 발생한 실제 사고

2017.05-07

Equifax 1억 4,700만 명 정보 유출

Apache Struts 취약점(CVE-2017-5638) 패치 미적용으로 2개월간 방치. 취약점 발견 후 신속한 조치 미이행으로 대규모 개인정보 유출. 7억 달러 합의금 지불.

💡 교훈: 취약점 발견 시 신속한 패치 적용, SLA 기반 조치 관리 필수

출처: FTC ↗

2021.12

Log4Shell 전 세계 수백만 시스템 영향

Log4j 원격 코드 실행 취약점(CVE-2021-44228). SBOM 부재로 영향 범위 파악 불가. 취약 컴포넌트 위치 파악이 어려워 조치 지연 발생.

💡 교훈: SBOM 관리, 취약점 영향 범위 즉시 파악 체계 구축 필수

출처: NVD ↗

⚡

클라우드 환경의 위험

AWS에서 취약점 점검이 위반되는 상황

Inspector 미활성화 (위험)

EC2

미스캔

ECR

미스캔

Lambda

미스캔

↑ 취약점 점검 체계 부재

Inspector 미설정 시 취약점 자동 탐지 불가 → ISMS-P 점검 요구사항 미충족

Inspector + Patch Manager (권장)

EC2

지속 스캔

ECR

이미지 스캔

Lambda

코드 스캔

↑ 전체 리소스 취약점 점검

Inspector + SSM Patch Manager로 탐지 → 조치 자동화

🚨

발견 사례: Inspector 미활성화 + SSM 미연결

EC2 인스턴스에 iam_instance_profile 미설정. Inspector V2 리소스 미존재로 취약점 스캔 체계 부재. 패치 관리가 수동으로만 이루어져 Critical 취약점 방치.

현재 상태 - 문제가 되는 설정

# Inspector 비활성화 → 취약점 점검 미수행
# aws_inspector2_enabler 리소스 없음

resource "aws_instance" "app" {
  ami           = "ami-12345678"
  instance_type = "t3.medium"
  # iam_instance_profile 미설정
  # → SSM 연결 불가, 패치 관리 불가
}

ISMS-P 2.11.2 위반 사항

●

정기 점검 미수행 - Inspector 미활성화

●

신속한 조치 불가 - SSM 미연결로 자동 패치 불가

●

SLA 미관리 - 취약점 조치 기한 추적 체계 없음

●

SBOM 부재 - 취약점 영향 범위 파악 불가

🔍

사전 탐지 방안

IaC 코드 분석 기반 배포 전 점검

Inspector/SSM 취약점 점검 체계 탐지 로직

판단 조건	조건 값	결과
🔎 Inspector 설정	`aws_inspector2_enabler` 리소스 미존재	Critical - 필수 설정 필요
🔎 Inspector 설정	`resource_types = ["EC2", "ECR", "LAMBDA"]`	✓ 통과
🔗 SSM 연결	EC2에 `iam_instance_profile` 미설정	High - 패치 관리 불가
🔗 SSM 연결	`aws_ssm_patch_baseline` 리소스 미존재	Medium - 패치 정책 미설정
📊 통합 관리	`aws_securityhub_account` Inspector 통합 미활성화	Medium - 통합 관리 권고
📊 통합 관리	`aws_ssm_maintenance_window` 설정	✓ 정기 패치 자동화

🔔

사후 대응 방안

런타임 모니터링 및 이상행위 탐지

취약점 발견 시 런타임 대응 로직

판단 조건	조건 값	결과
🚨 Finding 심각도	`severity = CRITICAL`	Critical - 즉시 알림 + 3일 SLA
🚨 Finding 심각도	`severity = HIGH`	High - 알림 + 7일 SLA
⏰ SLA 추적	`firstObservedAt > 30days` 미조치	Critical - SLA 위반 에스컬레이션
⏰ SLA 추적	`패치 미적용 30일+` Non-Compliance	High - 유지보수 윈도우 예약
🔧 자동 패치	`Patch Manager 실행 오류`	High - 수동 개입 요청 + 장애 알림

모든 알림에 포함되는 정보

취약점 ID (CVE) 영향받는 리소스 조치 기한 (SLA) 권장 조치 방안

✓

조치 가이드

즉시 적용 가능한 권장 설정

❌ 현재 문제

Inspector 미활성화, 취약점 점검 체계 부재

✓ 권장 조치

Inspector V2 + SSM + Patch Manager 자동화

권장 설정 (복사하여 적용)

inspector.tf

# 1. Inspector V2 활성화 (모든 리소스 타입)
resource "aws_inspector2_enabler" "all" {
  account_ids    = [data.aws_caller_identity.current.account_id]
  resource_types = ["EC2", "ECR", "LAMBDA", "LAMBDA_CODE"]
}

# 2. EC2 - SSM 연결 설정
resource "aws_iam_instance_profile" "ssm" {
  name = "ssm-instance-profile"
  role = aws_iam_role.ssm.name
}

resource "aws_iam_role_policy_attachment" "ssm" {
  role       = aws_iam_role.ssm.name
  policy_arn = "arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore"
}

# 3. Patch Baseline (Critical/Security 자동 승인)
resource "aws_ssm_patch_baseline" "security" {
  name             = "security-patch-baseline"
  operating_system = "AMAZON_LINUX_2"

  approval_rule {
    approve_after_days = 7  # 7일 후 자동 승인
    compliance_level   = "CRITICAL"

    patch_filter {
      key    = "CLASSIFICATION"
      values = ["Security", "Bugfix"]
    }
  }
  tags = { ISMS-P = "2.11.2" }
}

# 4. Maintenance Window (정기 패치 적용)
resource "aws_ssm_maintenance_window" "patch" {
  name     = "weekly-patch-window"
  schedule = "cron(0 2 ? * SUN *)"  # 매주 일요일 02:00
  duration = 2
  cutoff   = 1
}

💡 핵심: Inspector V2로 EC2/ECR/Lambda 전체를 지속 스캔하고, SSM Patch Manager로 Critical/Security 패치를 자동 적용합니다. SLA 기반으로 Critical 3일, High 7일 기한을 추적하세요.

📚 참고 자료

☁️ Inspector Findings 이해 ↗ 📘 AWS Patch Manager 가이드 ↗ 🔒 AWS K-ISMS 규정 준수 ↗

📊

리포트 방안

ISMS-P 심사 증적 및 정기 보고

📋 진단 항목

Inspector 스캔 커버리지
취약점 발견 현황 (심각도별)
SLA 준수율 (3일/7일/30일)
패치 컴플라이언스 현황
SBOM 관리 상태

📅 리포트 주기

실시간

Critical Finding 즉시 알림

주간

SLA 준수율 리포트

월간

ISMS-P 증적 리포트

📤 발송 및 저장

발송 채널

Email Slack

저장소

S3 (5년 보관)

⚡

BSG 차별점

기존 도구가 놓치는 점검 영역

기존 도구 방식

Inspector 활성화 여부만 검사

Inspector 리소스 존재 여부 확인
활성화/비활성화 상태만 탐지
SSM 연결 상태 미검사

한계: 모든 리소스 타입 커버리지, Patch Manager, SLA 준수 추적 불가

BSG 접근 방식

ISMS-P 관점 통합 점검

Inspector + SSM + Security Hub 통합 검증
EC2/ECR/Lambda 전체 커버리지 확인
SLA 기반 Finding 조치율 추적

차별점: 점검 → 조치 → 검증 → 증적 전 과정 자동화

← ISMS-P 매핑 목록으로 돌아가기