편집토론문서 역사

공통 취약점 등급 시스템

넘겨주기 : Common Vulnerability Scoring System

CVSS Logo.svg

개요[편집 / 원본 편집]

CVSS (Common Vulnerability Scoring System, 공통 취약점 등급 시스템)은 취약점의 심각도를 평가하기 위한 표준 체계로, 이 시스템은 국제적으로 사용된다.

취약점의 심각성을 평가하여 숫자 점수로 표현하고, 이 점수는 0에서 10까지의 범위로 나타내며, 높을수록 보안 위험도가 높음을 의미한다. CVSS는 취약점의 영향을 평가하고 우선순위를 정하는 데 널리 사용된다.

점수[편집 / 원본 편집]

메트릭 그룹[편집 / 원본 편집]

CVSS 점수는 기본, 시간적, 환경적 세 가지 메트릭 그룹으로 구분된다. 각 그룹은 다음과 같은 세부 요소를 포함한다.

1. 기본 메트릭 (Base Metrics) - 취약점의 내재적인 특성을 평가하며, 이는 시간이 지나거나 환경이 달라져도 변경되지 않는다.
    • 공격 벡터(Attack Vector)
    • 공격 복잡성(Attack Complexity)
    • 권한 요구 수준(Privileges Required)
    • 사용자 상호 작용(User Interaction)
    • 범위(Scope)
    • 기밀성 영향(Confidentiality Impact)
    • 무결성 영향(Integrity Impact)
    • 가용성 영향(Availability Impact)
2. 시간적 메트릭 (Temporal Metrics) - 시간이 지나면서 변할 수 있는 취약점의 특성을 반영한다.
    • 신뢰도(Exploit Code Maturity)
    • 치료 가능성(Remediation Level)
    • 보고 신뢰성(Report Confidence)
3. 환경 메트릭 (Environmental Metrics) - 특정 조직의 환경에 적용하여 취약점의 영향을 조정한다.
    • 보안 요구 수준(Collateral Damage Potential)
    • 대체 보안 수준(Target Distribution)
    • 수정된 공격 벡터(Modified Attack Vector)
    • 수정된 공격 복잡성(Modified Attack Complexity)
    • 수정된 권한 요구 수준(Modified Privileges Required)
    • 수정된 사용자 상호 작용(Modified User Interaction)
    • 수정된 범위(Modified Scope)
    • 수정된 기밀성 영향(Modified Confidentiality Impact)
    • 수정된 무결성 영향(Modified Integrity Impact)
    • 수정된 가용성 영향(Modified Availability Impact)

점수별 보안 레벨[편집 / 원본 편집]

CVSS 점수에 따른 보안 레벨은 다음과 같다.

  • 0.0: 이론적인 취약점. 없음 (None)
  • 0.1 - 3.9: 낮은 위험 (Low)
  • 4.0 - 6.9: 중간 위험 (Medium)
  • 7.0 - 8.9: 높은 위험 (High)
  • 9.0 - 10.0: 매우 높은 위험 (Critical)

각 점수 구간별로 취약점을 관리하고 대응하는 방식은 조직의 보안 정책과 운영 환경에 따라 달라질 수 있다. 예를 들어, 중간 위험 이상의 취약점은 빠른 시간 내에 수정 대책을 마련하고 적용할 필요가 있다. 반면 낮은 위험 취약점은 정기적인 보안 업데이트를 통해 관리할 수 있다.

버전[편집 / 원본 편집]

CVSS(Common Vulnerability Scoring System)는 시간이 지나면서 여러 버전으로 발전해 왔으며, 각 버전은 취약점을 평가하는 방법에 있어 개선 및 세부 사항의 차이를 보인다. 현재까지 주요 버전으로는 CVSS v1, CVSS v2, CVSS v3.0, CVSS v3.1, CVSS v4.0이 있다.

CVSS v1[편집 / 원본 편집]

2005년에 처음 발표된 CVSS v1은 취약점의 심각도를 평가하기 위한 최초의 표준 시도였다. 이 버전은 기본적인 메트릭을 제공했지만, 평가 기준이 명확하지 않고 일관성이 떨어진다는 비판을 받았다.

CVSS v2[편집 / 원본 편집]

2007년에 발표된 CVSS v2는 평가의 정확성을 향상시키기 위해 도입되었다. v2는 공격 벡터(로컬, 인접 네트워크, 네트워크), 공격 복잡성, 인증(공격에 필요한 인증 수준), 취약점의 영향(기밀성, 무결성, 가용성) 등 보다 구체적인 메트릭을 도입했다. v2는 또한 공격 벡터를 좀 더 세분화하여 취약점 평가의 일관성과 정확성을 개선했다.

CVSS v3.0[편집 / 원본 편집]

2015년에 도입된 CVSS v3.0은 여러 가지 측면에서 중대한 개선을 이루었다. 가장 눈에 띄는 변화 중 하나는 '범위(Scope)' 메트릭의 도입으로, 취약점이 시스템 컴포넌트의 보안을 넘어 다른 컴포넌트에도 영향을 미칠 수 있는지 평가한다. 또한 '사용자 상호 작용(User Interaction)'이 추가되어 사용자의 개입 없이 취약점이 악용될 수 있는지 평가할 수 있게 되었다. 이러한 변경으로 인해 점수 계산이 보다 복잡해지고, 보안 전문가가 취약점을 보다 정밀하게 평가할 수 있게 되었다.

CVSS v3.1[편집 / 원본 편집]

CVSS v3.1 스펙시트 PDF 2019년에 발표된 CVSS v3.1은 주로 용어와 가이드라인을 명확히 하는 데 초점을 맞췄다. 이전 버전의 몇 가지 애매한 부분을 정리하고, 메트릭의 정의와 가이드라인을 보다 명확하게 재정의하여 사용자가 취약점을 일관되고 정확하게 평가할 수 있도록 했다. 또한 메트릭 설명을 개선했으며, 평가 과정에서의 오해를 줄이기 위한 목적도 있었다.

CVSS v4.0[편집 / 원본 편집]

CVSS v4.0 스펙시트 PDF

새로운 메트릭 그룹 도입[편집 / 원본 편집]

  • 위협 메트릭(Threat Metrics): 취약점의 특성 중 시간에 따라 변할 수 있는 요소를 반영한다. 이는 취약점이 얼마나 빠르고 쉽게 이용될 수 있는지를 평가하는 데 도움을 준다.
  • 보조 메트릭(Supplemental Metrics): 최종 점수에는 영향을 미치지 않지만, 취약점의 특성에 대한 추가적인 통찰을 제공한다.

기존 메트릭의 세분화 및 확장[편집 / 원본 편집]

공격 벡터(Attack Vector), 공격 복잡성(Attack Complexity), 권한 요구 수준(Privileges Required) 등 기존 메트릭들이 더욱 세분화되고, 새로운 요소가 추가되어 보다 상세한 평가가 가능해졌다.

환경 메트릭의 개선[편집 / 원본 편집]

사용자의 환경에 따른 취약점의 영향을 보다 정확하게 반영할 수 있도록 환경 메트릭이 개선되었다.

점수 및 벡터 문자열 제공[편집 / 원본 편집]

CVSS는 점수와 함께 벡터 문자열을 제공하여, 취약점 평가 결과가 어떻게 도출되었는지 이해할 수 있도록 한다. 이는 평가의 투명성을 높이고, 다른 사람들이 점수의 기반을 이해할 수 있게 한다.

각 버전은 취약점 평가의 정확성과 유용성을 향상시키기 위한 변화를 포함하고 있으며, 보안 커뮤니티의 요구와 기술 발전에 따라 지속적으로 발전하고 있다.

CVSS의 한계와 주의사항[편집 / 원본 편집]

CVSS는 취약점의 심각성을 평가하고 우선 순위를 정하는 데 유용한 도구이지만, 몇 가지 한계점과 사용 시 고려해야 할 주의사항이 있다. 이러한 한계를 이해하는 것은 CVSS를 보다 효과적으로 활용하는 데 중요하다.

CVSS의 한계[편집 / 원본 편집]

  • 컨텍스트 부족: CVSS는 취약점의 기술적 특성을 평가하지만, 조직의 특정 맥락이나 비즈니스 영향을 충분히 반영하지 못한다. 예를 들어, 같은 취약점이라도 조직에 따라 실제 영향은 다를 수 있다.
  • 환경적 요인의 미포함: 기본 점수는 특정 조직의 환경적 요인을 고려하지 않는다. CVSS v4.0에서는 위협 메트릭과 환경 메트릭을 통해 이를 어느 정도 해결하려 하지만, 사용자가 이를 추가로 계산해야 하는 부담이 여전히 존재한다.
  • 일관성 부족: 평가자에 따라 해석이 다를 수 있어, 동일한 취약점에 대해 다른 점수를 부여할 수 있는 일관성의 문제가 있다.
  • 보안 레벨의 극적 변화: CVSS 점수는 매우 극적으로 변할 수 있으며, 소수의 요소 변경만으로도 전체 점수가 크게 달라질 수 있다.
  • 신속한 업데이트 부재: 새로운 공격 기법이나 변화하는 보안 환경을 신속하게 반영하지 못할 수 있다. CVSS v4.0은 이러한 변화를 반영하려 노력하고 있지만, 보안 환경의 빠른 변화에 완벽히 대응하기는 여전히 어렵다.

주의사항[편집 / 원본 편집]

  • 컨텍스트 중심의 평가: 조직의 보안 정책, 중요 자산의 위치, 그리고 비즈니스 운영에 미치는 영향 등을 고려하여 CVSS 점수를 해석해야 한다.
  • 환경 점수 및 위협 메트릭 활용: 조직에 특화된 환경 점수와 위협 메트릭을 계산하여 취약점의 실제 위험도를 보다 정확하게 평가해야 한다.
  • 복합적 위험 평가 도구 사용: CVSS를 다른 위험 평가 도구와 함께 사용하여, 보다 폭넓은 보안 평가를 수행해야 한다.
  • 정기적인 리뷰와 업데이트: 보안 환경은 끊임없이 변하므로, 취약점 관리 프로세스도 정기적으로 업데이트하고 리뷰해야 한다.
  • 교육과 훈련: 보안 담당자가 CVSS의 각 메트릭을 정확히 이해하고 올바르게 적용할 수 있도록 교육하는 것이 중요하다.

CVSS를 활용하는 것은 취약점 관리의 한 방법일 뿐, 조직의 보안 상태를 전적으로 나타내지는 않는다. 따라서, CVSS 점수는 다양한 보안 결정을 내리는 데 있어 하나의 참고점으로 활용하되, 조직의 전체적인 보안 전략과 함께 고려해야 한다.

• 현재 페이지 URL 줄이기