일반적인 취약성 점수 시스템(CVSS)이란 무엇인가요?

공통 취약성 점수 시스템(CVSS)은 소프트웨어 취약성을 분류하고 등급을 매기는 데 널리 사용되는 프레임워크입니다.

이 프레임워크를 통해 조직은 취약성의 심각도를 나타내는 숫자 점수인 CVSS 점수를 계산할 수 있습니다. CVSS 점수에 기여한 취약점의 특성은 CVSS 벡터 문자열이라고 하는 텍스트 체인으로 표시됩니다.

2005년 이후 여러 버전의 CVSS가 출시되었습니다. 최신 버전인 CVSS v4.0은 2022년에 출시되었습니다. 인시던트 대응 및 보안 팀 포럼(Forum of Incident Response and Security Teams)이라고도 하는 비영리 단체인 FIRST.org, Inc.가 이 프레임워크를 관리합니다.

CVSS는 조직의 IT 인프라 및 소프트웨어에서 보안 취약성을 지속적으로 발견하고 우선순위를 지정하고 해결하는 취약성 관리를 위한 중요한 툴입니다. 방화벽 구성 오류 및 패치되지 않은 버그와 같은 오류 및 사이버 보안 약점을 식별하고 해결하는 것은 IT 인프라 및 소프트웨어의 전체 기능을 보장하는 데 매우 중요합니다.

해결 방법에는 다음이 포함될 수 있습니다.

• 수정: 취약점을 더 이상 악용할 수 없도록 합니다.
  
• 완화: 취약점을 악용하기 어렵게 만드는 동시에 악용 시 발생할 수 있는 영향을 줄입니다.
  
• 수락: 악용될 가능성이 없거나 피해가 거의 없는 경우 취약성을 그대로 둡니다.

오늘날 IT 시스템의 복잡성과 대량의 취약성 및 사이버 위협을 고려할 때, 어떤 문제를 먼저 처리하고 해결해야 할지 결정하는 것은 IT 관리자에게 어려운 일이 될 수 있습니다.

바로 여기서 CVSS가 유용하게 작용합니다. CVSS는 IT 관리자에게 취약점의 심각도를 평가할 수 있는 체계적인 접근 방식을 제공하여, 영향을 받은 시스템에 대한 취약점 해결의 우선순위 지정 및 계획 수립에 도움을 줍니다.¹

FIRST.org에 따르면 CVSS 점수는 위험 평가에 통합될 수 있지만, CVSS 평가 자체를 종합적인 위험 평가 대신 사용해서는 안 된다고 합니다. CVSS 사용자 가이드에서는 포괄적인 평가에는 CVSS의 범위를 벗어난 요소도 포함해야 한다고 조언합니다.²

CVSS는 2003년 국가인프라자문위원회(NIAC)가 의뢰한 연구 프로젝트로 시작되었습니다. 당시 소프트웨어 취약성 평가 환경은 서로 분리되어 있었습니다. 컴퓨터 보안 공급업체와 비영리 단체는 서로 다른 절차와 메트릭을 사용했고, 그 결과 서로 호환되지 않는 고유하고 독점적인 평가 시스템이 생겨났습니다.³ 이러한 불일치로 인해 서로 다른 조직의 보안 팀이 협업하는 데 어려움이 있었습니다.⁴

NIAC 연구원들은 취약성 평가를 표준화하기 위해 CVSS를 만들었습니다. 그들은 이를 다양한 IT 시스템과 환경에 맞게 사용자 정의하고 채택할 수 있는 개방형 시스템으로 설계했습니다.⁵

CVSS v4.0은 4개의 메트릭 그룹으로 구성되어 있습니다.⁶

• Base
• 위협
• 환경
• 보충

이러한 메트릭 그룹은 소프트웨어 취약성의 다양한 특성과 품질을 나타냅니다. CVSS v4.0 프레임워크에서 그룹은 다음과 같이 설명될 수 있습니다.

기본 메트릭은 사용자 환경과 시간이 지남에 따라 변하지 않는 취약점의 본질적인 특성을 나타냅니다. 기본 메트릭은 악용 가능성 메트릭과 영향 메트릭의 두 가지 세트로 구성됩니다.

악용 가능성 메트릭은 취약성이 얼마나 쉽게 성공적으로 악용될 수 있는지를 나타냅니다. 악용 가능성 메트릭의 예는 다음과 같습니다.

• 공격자가 취약점을 악용하기 위해 필요한 사용자 상호 작용의 정도를 측정합니다.
• 공격자가 시스템에 로컬 또는 원격으로 액세스할 수 있는지 여부("공격 벡터")
• 공격자가 성공하기 위해 필요한 권한 수준("필요한 권한")
• 공격을 수행하는 데 특정 조건 또는 고급 지식이 필요한지 여부("공격 복잡성")

영향 메트릭은 성공적인 악용의 결과, 취약한 시스템(예: 소프트웨어 애플리케이션 또는 운영 체제)에 미치는 영향 및 다른 시스템에 대한 다운스트림 영향을 나타냅니다. 영향 메트릭의 예는 다음과 같습니다.

• 제한된 정보에 대한 액세스와 같은 기밀성 손실 측정
• 공격자가 시스템 데이터를 수정하는 경우와 같이 무결성이 손실되는 경우
• 공격이 시스템의 성능을 저하시키거나 합법적인 사용자에 대한 시스템 액세스를 거부하는지 여부를 나타내는 가용성 영향

위협 메트릭은 시간이 지남에 따라 변경되는 취약성의 특성을 나타냅니다. 악용 성숙도는 이 카테고리의 주요 메트릭으로, 특정 취약점이 공격받을 가능성을 측정합니다.

악용 코드의 가용성, 악용 기법 상태 및 실제 공격 사례에 따라 악용 성숙도 메트릭에 할당된 메트릭 값이 결정됩니다. 이러한 값에는 다음이 포함됩니다.

• "공격됨"(이 취약점에 대한 공격이 보고되었음을 의미)
• "개념 증명"(악용 코드가 사용 가능하지만 알려진 공격이 없음을 나타냄)
• "보고되지 않음"(알려진 개념 증명 악용 코드나 취약점을 악용하려는 시도가 없음을 나타냄)

악용 성숙도를 판단할 수 있는 신뢰할 수 있는 위협 인텔리전스가 없는 경우 기본값인 '정의되지 않음'이 사용됩니다.

환경 메트릭 그룹은 사용자 환경에 고유한 취약성의 특성을 나타냅니다. 기본 메트릭 그룹과 마찬가지로 환경 그룹에는 기밀성, 무결성 및 가용성이 포함되며, 각 메트릭에는 조직에서 취약한 자산의 중요성을 반영하는 값이 할당됩니다. 이는 기본 메트릭의 본질적인 초점과는 대조적입니다.

또한 분석가는 환경 메트릭 그룹을 통해 특정 환경의 상황에 따라 다른 값이 필요한 경우 다양한 원래 기본 메트릭을 수정된 기본 메트릭으로 재정의할 수 있습니다.

애플리케이션의 기본 설정이 액세스를 위한 인증을 요구하지만, 해당 애플리케이션이 운영되는 환경에서는 관리자에게 인증이 필요하지 않은 시나리오를 생각해 보세요. 이 경우 애플리케이션의 "필요한 권한" 취약성에 대한 원래 기본 값은 "높음"이며, 이는 액세스하는 데 높은 수준의 권한이 필요함을 의미합니다. 그러나 수정된 "필요한 권한" 값은 공격자가 이론적으로 관리 기능을 가정하여 취약점을 악용할 수 있으므로 "없음"이 됩니다.

보충 메트릭 그룹은 기술적 심각도를 넘어서는 문제에 중점을 두고 취약성의 외적 특성에 대한 추가 정보를 제공합니다. 보충 메트릭의 예는 다음과 같습니다.

• '자동화 가능'(공격자가 여러 대상에 도달하기 위해 공격 단계를 자동화할 수 있는지 여부)
• "안전"(취약성이 악용되어 사람이 부상을 입을 수 있는 가능성)
• "복구"(공격 후 시스템이 얼마나 잘 복구되는지)

CVSS 버전에 따라 포함되는 메트릭이 다릅니다. 예를 들어, 보충 메트릭 그룹은 CVSS에 비교적 최근에 추가된 그룹입니다. 이전 버전의 CVSS(CVSS v1, CVSS v2, CVSS v3 및 CVSS v3.1)에는 이 메트릭 세트가 포함되어 있지 않았습니다.

그러나 이전 CVSS 버전에는 임시 메트릭이라는 메트릭 그룹에 속하는 '보고서 신뢰도' 및 '수정 수준'과 같은 다른 메트릭이 포함되어 있었습니다. CVSS v4.0의 위협 메트릭 카테고리는 이전 버전의 임시 메트릭 그룹을 대체했습니다.

또한 CVSS v4.0은 기본 메트릭이 더욱 세분화되어 취약성을 보다 포괄적으로 파악할 수 있는 것으로 간주됩니다.

다양한 유형의 CVSS 점수는 취약성을 평가할 때 고려되는 다양한 메트릭 그룹을 반영합니다.

• CVSS-B는 CVSS 기본 점수를 나타냅니다.
• CVSS-BE는 기본 점수와 환경 점수를 나타냅니다.
• CVSS-BT는 CVSS 기본 및 위협 점수를 의미합니다.
• CVSS-BTE는 CVSS 기본, 위협 및 환경 점수를 나타냅니다.⁷

모든 점수는 0에서 10까지이며, 0은 가장 낮은 심각도 등급, 10은 가장 높은 심각도 점수입니다. 보충 메트릭은 CVSS 점수에 영향을 주지 않지만 CVSS v4.0 벡터 문자열에 포함될 수 있습니다.

기업마다 메트릭 그룹과 점수의 우선순위가 다를 수 있습니다. 예를 들어, 소프트웨어 공급업체는 자사 제품의 기본 점수를 지정하는 경우가 많고, 소비자 조직은 위협 및 환경 메트릭을 사용하여 환경 내 취약점의 잠재적 영향을 나타낼 수 있습니다.⁸

CVSS 벡터 문자열은 취약점에 대한 CVSS 메트릭 그룹의 기계 판독 가능한 텍스트 표현입니다. 벡터 문자열 내의 다양한 약어는 특정 메트릭 값을 나타내며, 해당 취약점의 CVSS 점수를 해석하는 데 도움이 됩니다.⁹

예를 들어 "공격 벡터" 값이 "L"("로컬"의 경우)인 취약성의 경우 벡터 문자열에 "AV:L"이 포함됩니다. 해당 취약점을 성공적으로 악용하기 위해 공격자가 높은 수준의 권한을 보유해야 한다면, "필요한 권한" 값은 "H"(high의 약자)가 되며, 벡터 문자열에는 "PR:H"가 포함됩니다.

벡터 문자열에서 각 값은 슬래시("/")로 구분되며 CVSS 프레임워크에 지정된 대로 규정된 순서로 나열되어야 합니다. 기본, 위협 및 환경 메트릭 그룹의 다양한 값을 1,500만 개의 개별 벡터 문자열로 결합할 수 있습니다.¹⁰

CVSS는 모델 중독, 서비스 거부 또는 정보 공개 등 AI 애플리케이션에서 자주 발견되는 특정 유형의 사이버 보안 취약성을 평가하는 데 유용합니다. 그러나 FIRST.org에 따르면 편견, 윤리 또는 법적 문제와 주로 관련된 AI 관련 취약점에는 CVSS가 덜 유용할 수 있습니다. 이러한 취약점은 추론, 모델 반전 및 프롬프트 주입과 관련이 있습니다.¹¹

CVSS가 취약점을 평가하기 위한 프레임워크라면, CVE(공통 취약점 및 노출의 약어)는 공개적으로 공개된 사이버 보안 취약점을 정리한 용어집입니다. CVE 프로그램에 포함된 취약점에는 CVE ID라는 고유 식별자가 할당됩니다. 이 프로그램은 비영리 단체인 MITRE Corporation에서 유지 관리하며 미국 국토안보부가 후원합니다.

CVE 프로그램에 의해 분류된 취약점의 심각도는 CVSS 프레임워크를 사용하여 평가할 수 있습니다. 그러나 CVE가 발표한 취약점의 경우, CVE 조직은 자체 계산을 포기하고 대신 국가 취약점 데이터베이스(NVD)에서 제공하는 CVSS 점수에 의존할 수 있습니다. NVD는 미국 국립표준기술연구소(NIST)에서 제공하는 취약성 관리 데이터의 표준 저장소입니다. NVD는 CVE로 식별된 취약점에 대한 보완 정보(CVSS 기본 점수 및 벡터 문자열 등)와 함께 제공되는 검색 가능한 온라인 데이터베이스를 운영합니다.

조직은 온라인 계산기를 사용하여 이전 버전의 CVSS를 기반으로 한 CVSS 점수를 포함하여 여러 유형의 CVSS 점수를 확인할 수 있습니다. CVSS 계산기는 CVSS 및 NVD 웹사이트에서 사용할 수 있습니다. CVSS 문서에는 조직이 평가의 위협 및 환경 메트릭 부분을 보다 효과적으로 수행할 수 있도록 위협을 스캔하는 데 자동화를 활용할 것을 권장하는 내용이 포함되어 있습니다.¹²

조직은 또한 CVSS 평가를 통합하는 취약성 관리 툴 및 플랫폼을 활용할 수 있습니다. 선도적인 취약성 평가 소프트웨어 솔루션은 규정 준수 벤치마크, 공급업체 보안 가이드 및 업계 연구를 포함한 여러 주요 요소 중 CVSS 점수를 참조합니다. 이러한 솔루션에는 조직의 사고 대응 및 개인정보 관리를 개선하는 데 도움이 되는 자동화된 실시간 데이터 디스커버리와 같은 AI 기반 기능도 포함될 수 있습니다.