취약점 관리는 도구만 도입하면 해결될 것 같지만, 운영을 해보면 가장 어려운 건 “무엇부터 고칠지”를 결정하는 일이다.현업은 늘 바쁘고, 패치는 서비스 중단 위험도 있다. 그래서 취약점은 쌓이고, 어느 순간부터는 목록만 늘어난다.결국 취약점 관리는 스캐너보다 우선순위 체계가 핵심이라고 느낀다.CVSS 점수만으로 우선순위를 정하면 어긋나는 경우가 많다CVSS는 중요한 지표지만, 실제 영향도는 환경에 따라 달라진다.외부 노출 시스템인지(인터넷 공개 여부)공격 난이도(인증 필요 여부, 익스플로잇 존재 여부)자산 중요도(개인정보/결제/인증 여부)보완 통제 존재 여부(WAF 룰, 네트워크 차단, 권한 분리)그래서 점수만 보고 “높다/낮다”로 처리하면, 실제 위험한 것부터 놓칠 수 있다.실무에서 쓰기 좋은 우선순위..