SSVC(Stakeholder-Specific Vulnerability Categorization)

개요

SSVC(Stakeholder-Specific Vulnerability Categorization)는 조직이 취약점에 대해 더 효과적이고 맞춤화된 대응 결정을 내릴 수 있도록 돕는 취약점 우선순위 결정 프레임워크입니다. 단순 CVSS 점수 기반 평가를 넘어, 조직의 임무 중요성, 시스템 노출 상태, 자동화 가능성 등을 종합적으로 고려하여 전략적 대응을 가능하게 합니다.

---

1. 개념 및 정의

항목	내용	비고
정의	취약점에 대한 대응 조치를 이해관계자 특성에 따라 결정하는 의사결정 프레임워크	Carnegie Mellon/SEI 개발
목적	단순 위험 평가를 넘은 맞춤형 대응 우선순위 결정	CVSS 보완 목적
필요성	동일한 취약점이라도 조직마다 대응 우선순위가 달라짐	미션 기반 대응 필요

---

2. 특징

항목	설명	비고
의사결정 트리 기반	논리적 흐름에 따라 대응 결정 도출	정책화 가능
조직별 맞춤화	군, 의료, 금융 등 다양한 산업에 최적화	세부 기준 정의 가능
CVSS 보완	수치 기반 점수에서 전략적 결정을 위한 맥락 정보 추가	실질 대응력 강화

→ 기술적 수치보다 '조직 영향'에 기반한 의사결정을 지향함

---

3. 구성 요소

구성 요소	설명	주요 질문
Exploitation	해당 취약점이 실제로 악용되고 있는가?	“활성 공격이 있는가?”
Exposure	조직 시스템이 해당 취약점에 노출되어 있는가?	“인터넷 노출 여부는?”
Mission Impact	조직의 핵심 임무에 미치는 영향은?	“미션 실패로 이어질 수 있는가?”
Safety Impact	인명 피해 또는 안전에 영향을 줄 수 있는가?	“물리적 영향은 있는가?”
Automation	대응 및 완화 조치의 자동화 가능 여부	“신속 대응이 가능한가?”

→ 각 질문의 답변을 기반으로 최종 의사결정 트리의 결과(예: now, later, track)가 결정됨

---

4. 기술 요소

기술 요소	설명	예시
SSVC 트리 모델	각 기준에 대한 조건 분기 구조	JSON 기반 정책화 가능
SSVC 정책 프로파일	조직 유형별 맞춤형 트리 구성	국가기관, 의료, 제조업 별도 기준 가능
SSVC 도구	SSVC 의사결정 자동화를 위한 도구	Vulnogram, CISA SSVC Toolkit 등
통합 플랫폼 연동	Vulnerability Management 시스템과 통합	Jira, ServiceNow 등과 연계 가능

→ 자동화 도구를 통해 CTI(위협 인텔리전스)와 연계하여 실시간 우선순위 재평가 가능

---

5. 장점 및 이점

항목	설명	기대 효과
전략적 대응 가능	기술적 점수에 의존하지 않고 상황 기반 대응	리소스 효율적 배분
조직별 최적화	각기 다른 산업의 우선순위 반영 가능	정책 기반 대응 가능
공격 정보 반영	실시간 악용 정보 기반 대응	위협 인텔리전스 활용
협업 용이	명확한 기준으로 부서 간 협의 수월	의사결정 일관성 확보

→ 단순 취약점 나열이 아닌, '행동으로 연결되는' 취약점 관리 가능

---

6. 주요 활용 사례 및 고려사항

사례	설명	고려사항
CISA	미국 CISA의 권고 대응 정책에 SSVC 활용	공개 SSVC 정책 제공
금융기관	핵심 결제 시스템 영향도 기반 대응 우선순위 결정	미션 중요도 평가 필요
의료기관	환자 생명 영향 여부 판단	Safety Impact 항목 중요
국방 분야	전투 임무에 대한 시스템 영향도 기반 판단	Mission Impact 최우선 고려

→ 조직 내 SSVC 기준 수립 전, 시스템 분류 및 자산 중요도 정리가 선행되어야 함

---

7. 결론

SSVC는 이해관계자의 맥락을 반영한 전략적 취약점 대응 결정 도구로, 보안 운영에 있어 정량적 접근의 한계를 보완합니다. 자동화 도구 및 CTI와의 통합을 통해 위협 환경 변화에 유연하게 대응할 수 있으며, 조직의 자산 보호 및 리소스 최적화에 필수적인 역할을 수행할 수 있습니다.