CVE(일반적인 취약성 및 노출)란 무엇인가요?

CVE 카탈로그는 CVE 데이터베이스라기보다는 사전에 가깝습니다. 이는 각 취약성 또는 노출에 대해 하나의 이름과 하나의 설명을 제공합니다. 이를 통해 서로 다른 도구와 데이터베이스 간의 커뮤니케이션을 가능하게 하고 상호 운용성과 보안 범위를 개선하는 데 도움이 됩니다. CVE는 무료 또는 공공 다운로드 및 사용이 가능합니다. CVE 목록은 미국 국립 취약점 데이터베이스(NVD)에 제공됩니다.

조직인 CVE는 '공개적으로 알려진 사이버 보안 취약점에 대한 커뮤니티 기반 오픈 데이터 레지스트리인 CVE 목록을 유지하는 국제적인 커뮤니티 기반 노력'입니다.¹

사이버 보안의 근본적인 과제 중 하나는 해커가 애플리케이션, 시스템 및 데이터를 손상시키는 데 악용할 수 있는 취약점을 식별하고 완화하는 것입니다. CVE는 조직이 취약점 관리 프로세스를 개선하는 데 사용할 수 있는 사이버 보안 취약점을 카탈로그화하고 추적하기 위한 표준화된 프레임워크를 제공함으로써 이러한 과제를 해결하는 데 도움이 됩니다.

CVE 시스템은 CVE ID(CVE 번호라고도 함)라고 하는 고유 식별자를 사용하여 보고된 각 취약성에 라벨을 지정합니다. 이를 통해 효과적인 커뮤니케이션, 협업 및 보안 결함 관리가 용이해집니다.

MITRE Corporation은 1999년에 소프트웨어 및 펌웨어의 보안 취약성을 분류하기 위한 참조 카탈로그로서 CVE를 만들었습니다. CVE 시스템은 조직이 사이버 보안 취약성에 대한 정보를 논의 및 공유하고, 취약성의 심각도를 평가하고, 컴퓨터 시스템을 보다 안전하게 만드는 데 도움이 됩니다.

CVE 편집 위원회는 CVE 프로그램을 감독합니다. 이사회에는 사이버 보안 관련 단체, 학계, 연구 기관, 정부 기관 및 기타 저명한 보안 전문가가 포함되어 있습니다. 이사회는 여러 업무 중에서도 CVE 목록 항목에 대한 데이터 소스, 제품 범위, 범위 목표를 승인하고 새로운 항목의 진행 중인 할당을 관리합니다.¹

미국 국토안보부(DHS) 사이버 보안 및 커뮤니케이션 사무소의 US-CERT가 CVE 프로그램을 후원합니다.¹

CVE 프로그램은 취약점을 "소프트웨어 및 하드웨어 구성 요소에서 발견되는 계산 논리의 약점으로, 악용될 경우 기밀성, 무결성 또는 가용성에 부정적인 영향을 미치는 것"으로 정의합니다. 따라서 취약점이란 공격자가 네트워크 및 시스템에 무단으로 액세스하고, 맬웨어를 설치하고, 코드를 실행하고, 민감한 데이터를 훔치거나 파괴하는 데 사용할 수 있는 코딩 오류와 같은 취약점을 의미합니다. 이러한 취약점은 노출을 통해 접근이 가능합니다.

집을 생각해 보세요. 취약성은 도둑이 쉽게 딸 수 있는 잠금 장치가 있는 창문입니다. 노출은 누군가 잠그는 것을 잊어버린 창입니다.

CVE 자격을 얻고 CVE 식별자(CVE ID)를 할당받으려면 보안 결함이 다음 특정 기준을 충족해야 합니다.

• 다른 결함과 독립적으로 수정 가능: 결함은 다른 취약성과 별도로 수정 가능해야 합니다.
  
  
• 공급업체가 인정하거나 취약성 보고서에 문서화됨: 공급업체는 버그가 존재하며 보안에 부정적인 영향을 미친다는 사실을 인정해야 합니다. 또는 버그가 보안에 미치는 부정적인 영향과 영향을 받는 시스템의 보안 정책 위반을 입증하는 취약점 보고서가 있어야 합니다.
  
  
• 하나의 코드베이스에 영향을 미침: 버그는 하나의 코드베이스(하나의 제품)에만 영향을 미쳐야 합니다. 두 개 이상의 제품에 영향을 미치는 결함에는 각 제품에 대해 별도의 CVE가 할당됩니다.
  

CVE 번호 지정 기관(CNA)은 특정 적용 범위 내에서 CVE ID를 할당하고 CVE 레코드를 게시합니다. MITRE Corporation은 편집자 및 기본 CNA 역할을 합니다. 기타 CNA로는 주요 운영 체제(OS) 및 IT 공급업체(IBM, Microsoft 및 Oracle 포함), 보안 연구원 및 기타 공인 기관이 있습니다. CNA는 자발적으로 운영됩니다. 현재 40개국에서 389개의 CNA가 활동하고 있습니다.²

루트는 지정된 범위 내에서 CNA나 기타 루트를 모집, 교육 및 관리할 권한이 있는 조직입니다.

최상위 루트는 가장 높은 수준의 루트이며 "해당 계층 내의 루트와 CNA를 포함하여 지정된 계층의 거버넌스 및 관리"를 담당합니다.³ 현재 CVE 프로그램에는 MITRE Corporation과 사이버 보안 및 인프라 보안국(CISA)이라는 두 개의 최상위 루트가 있습니다.

CVE 조직에 대한 추가 정보는 여기에서 확인할 수 있습니다.

누구나 CVE 보고서를 제출할 수 있습니다. 취약점은 사이버 보안 연구원, 보안 전문가, 소프트웨어 공급업체, 오픈 소스 커뮤니티 구성원 및 제품 사용자가 독립적인 연구, 보안 평가, 취약성 스캔, 인시던트 대응 활동 또는 단순히 제품을 사용하는 것과 같은 다양한 수단을 통해 발견하는 경우가 많습니다. 많은 회사에서 소프트웨어에서 발견된 취약점을 찾아 책임감 있게 보고하면 포상금을 지급하는 버그 바운티를 제공합니다.

새로운 취약점이 식별되고 보고되면 평가를 위해 CNA에 제출됩니다. 그런 다음 취약점에 대한 새로운 CVE가 예약됩니다. 이것이 CVE 레코드의 초기 상태입니다.

CNA는 해당 취약점을 검토한 후 영향을 받는 제품, 업데이트되거나 수정된 제품 버전, 취약점 유형, 근본 원인 및 영향, 최소 1개의 공개 참조 자료 등의 세부 정보를 제출합니다. 이러한 데이터 요소가 CVE 레코드에 추가되면 CNA는 해당 레코드를 CVE 목록에 게시하여 공개적으로 사용할 수 있도록 합니다.

그러면 CVE 항목은 공식 CVE 목록의 일부가 되어 전 세계 사이버 보안 전문가, 연구원, 공급업체 및 사용자가 액세스할 수 있습니다. 조직은 CVE ID를 사용하여 환경 내의 취약점을 추적하고 우선순위를 지정하고, 특정 위협에 대한 노출을 평가하고, 적절한 위험 완화 조치를 구현할 수 있습니다.

CVE 항목에는 CVE ID, 보안 취약성에 대한 간략한 설명 및 취약성 보고서 및 권고를 포함한 참조가 포함됩니다. CVE ID는 다음과 같이 세 부분으로 구성됩니다.

1. CVE ID는 접두사 “CVE”로 시작합니다.
   
   
2. 두 번째 섹션은 과제가 수행된 연도입니다.
   
   
3. CVE ID의 마지막 섹션은 순차 식별자입니다.

전체 ID는 CVE-2024-12345와 같은 형식을 가집니다. 이 표준화된 ID는 서로 다른 플랫폼과 리포지토리 간에 일관성과 상호 운용성을 보장하는 데 도움이 되므로 이해 관계자가 "공통 언어"를 사용하여 특정 취약성에 대한 정보를 참조하고 공유할 수 있습니다.

CVE 레코드는 다음 세 가지 상태 중 하나와 연결됩니다.

• 예약됨: 이는 CVE가 공개적으로 공개되기 전에(CNA가 취약점을 조사할 때) CVE에 할당되는 초기 상태입니다.
  
  
• 게시됨: 이는 CNA가 CVE ID와 연결된 데이터를 수집 및 입력하고 레코드를 게시한 경우입니다.
  
  
• 거부됨: 이 단계에서는 CVE ID 및 레코드를 사용해서는 안 됩니다. 그러나 거부된 레코드는 ID와 레코드가 유효하지 않음을 사용자에게 알리기 위해 CVE 목록에 남아 있습니다.
  

조직에서 취약점의 심각성을 평가할 수 있는 한 가지 방법은 공통 취약점 점수 시스템(CVSS)을 사용하는 것입니다. 인시던트 대응 및 보안 팀 포럼(FIRST)에서 운영하는 CVSS는 국가 취약점 데이터베이스(NVD), 사이버 보안 긴급 대응 팀(CERT) 등이 보고된 취약점의 심각성과 영향을 평가하는 데 사용하는 표준화된 방법입니다. CVSS는 CVE 시스템과는 별개이지만 CVE와 함께 사용됩니다. CVE 레코드 형식을 사용하면 CNA가 CVE 목록에 레코드를 게시할 때 CVE 레코드에 CVSS 점수를 추가할 수 있습니다.²

CVSS는 악용 가능성, 영향 범위 및 기타 메트릭을 기반으로 0.0에서 10까지의 점수를 취약점에 할당합니다. 점수가 높을수록 문제가 심각한 것입니다. 이 점수는 조직이 특정 취약성 해결의 시급성을 측정하고 그에 따라 리소스를 할당하는 데 도움이 됩니다. 조직에서 자체 취약성 점수 시스템을 사용하는 경우도 드물지 않습니다.

CVSS 점수는 취약성의 서로 다른 특성을 통합하는 세 가지 메트릭 그룹(기본, 시간 및 환경)의 점수를 기반으로 계산됩니다.

기업은 기본 메트릭 점수를 가장 많이 사용하며, 미국 국립표준기술연구소(NIST)의 국가 취약성 데이터베이스에서 제공하는 것과 같은 공개 심각도 순위는 기본 메트릭 점수만 사용합니다. 이 기본 메트릭 점수는 시간이 지남에 따라 변화하는 취약성 특성(시간 메트릭), 사용자 환경과 같은 실제 요인 또는 기업이 버그 악용을 방지하기 위해 취한 조치를 고려하지 않습니다.

기본 메트릭은 악용 가능성 메트릭과 영향 메트릭으로 더 세분화됩니다.

• 악용 가능성 메트릭에는 공격 벡터, 공격 복잡성, 필요한 권한과 같은 요소가 포함됩니다.
  
  
• 영향 메트릭에는 기밀성 영향, 무결성 영향 및 가용성 영향이 포함됩니다.⁴
  

시간 메트릭은 현재 상태의 취약성을 측정하며 시간이 지남에 따라 변화하는 영향의 심각성을 반영하는 데 사용됩니다. 또한 사용 가능한 패치와 같은 모든 수정 사항을 통합합니다. 공격 코드 성숙도, 수정 수준, 보고서 신뢰도는 모두 시간 메트릭 점수의 구성 요소입니다.

환경 메트릭을 통해 조직은 자체 환경 및 보안 요구 사항에 따라 기본 점수를 조정할 수 있습니다. 이 점수는 조직과 관련된 취약성을 보다 명확하게 파악하는 데 도움이 되며 기밀성 요구 사항 점수, 무결성 요구 사항 점수 및 가용성 요구 사항 점수를 포함합니다. 이러한 메트릭은 환경 메트릭 점수에 도달하기 위해 특정 환경(예: 수정된 공격 벡터 및 수정된 공격 복잡성)을 측정하는 수정된 기본 메트릭과 함께 계산됩니다.

CVE 프로그램은 사이버 보안 취약성 및 노출을 식별, 분류 및 해결하기 위한 협력적이고 체계적인 접근 방식을 나타냅니다. CVE는 취약성을 식별하고 참조하기 위한 표준화된 시스템을 제공함으로써 조직이 다음과 같은 여러 가지 방법으로 취약성 관리를 개선할 수 있도록 지원합니다.

CVE는 알려진 사이버 보안 취약점의 카탈로그로, 하나의 CVE ID는 하나의 소프트웨어 결함만을 나타냅니다. 일반적인 취약점 열거(CWE)는 버퍼 오류, 인증 오류 또는 CPU 문제와 같은 하드웨어 및 소프트웨어 취약점의 다양한 유형 또는 카테고리를 나열하는 IT 커뮤니티 프로젝트입니다. 이러한 약점은 취약점으로 이어질 수 있습니다.