귀하는 로그인되어 있지 않습니다. 이대로 편집하면 귀하의 IP 주소가 편집 기록에 남게 됩니다.스팸 방지 검사입니다. 이것을 입력하지 마세요![[파일:CVSS_Logo.svg]] == 개요 == CVSS (Common Vulnerability Scoring System, 공통 취약점 등급 시스템)은 취약점의 심각도를 평가하기 위한 표준 체계로, 이 시스템은 국제적으로 사용된다. 취약점의 심각성을 평가하여 숫자 점수로 표현하고, 이 점수는 0에서 10까지의 범위로 나타내며, 높을수록 보안 위험도가 높음을 의미한다. CVSS는 취약점의 영향을 평가하고 우선순위를 정하는 데 널리 사용된다. == 점수 == === 메트릭 그룹 === CVSS 점수는 '''기본''', '''시간적''', '''환경적''' 세 가지 메트릭 그룹으로 구분된다. 각 그룹은 다음과 같은 세부 요소를 포함한다. : '''1.''' '''기본 메트릭 (Base Metrics)''' - 취약점의 내재적인 특성을 평가하며, 이는 시간이 지나거나 환경이 달라져도 변경되지 않는다. ** 공격 벡터(Attack Vector) ** 공격 복잡성(Attack Complexity) ** 권한 요구 수준(Privileges Required) ** 사용자 상호 작용(User Interaction) ** 범위(Scope) ** 기밀성 영향(Confidentiality Impact) ** 무결성 영향(Integrity Impact) ** 가용성 영향(Availability Impact) : '''2.''' '''시간적 메트릭 (Temporal Metrics)''' - 시간이 지나면서 변할 수 있는 취약점의 특성을 반영한다. ** 신뢰도(Exploit Code Maturity) ** 치료 가능성(Remediation Level) ** 보고 신뢰성(Report Confidence) : '''3.''' '''환경 메트릭 (Environmental Metrics)''' - 특정 조직의 환경에 적용하여 취약점의 영향을 조정한다. ** 보안 요구 수준(Collateral Damage Potential) ** 대체 보안 수준(Target Distribution) ** 수정된 공격 벡터(Modified Attack Vector) ** 수정된 공격 복잡성(Modified Attack Complexity) ** 수정된 권한 요구 수준(Modified Privileges Required) ** 수정된 사용자 상호 작용(Modified User Interaction) ** 수정된 범위(Modified Scope) ** 수정된 기밀성 영향(Modified Confidentiality Impact) ** 수정된 무결성 영향(Modified Integrity Impact) ** 수정된 가용성 영향(Modified Availability Impact) === 점수별 보안 레벨 === CVSS 점수에 따른 보안 레벨은 다음과 같다. * '''0.0''': 이론적인 취약점. 없음 (None) * '''0.1 - 3.9''': 낮은 위험 (Low) * '''4.0 - 6.9''': 중간 위험 (Medium) * '''7.0 - 8.9''': 높은 위험 (High) * '''9.0 - 10.0''': 매우 높은 위험 (Critical) 각 점수 구간별로 취약점을 관리하고 대응하는 방식은 조직의 보안 정책과 운영 환경에 따라 달라질 수 있다. 예를 들어, 중간 위험 이상의 취약점은 빠른 시간 내에 수정 대책을 마련하고 적용할 필요가 있다. 반면 낮은 위험 취약점은 정기적인 보안 업데이트를 통해 관리할 수 있다. == 버전 == CVSS(Common Vulnerability Scoring System)는 시간이 지나면서 여러 버전으로 발전해 왔으며, 각 버전은 취약점을 평가하는 방법에 있어 개선 및 세부 사항의 차이를 보인다. 현재까지 주요 버전으로는 '''CVSS v1''', CVSS v2''', '''CVSS v3.0''', '''CVSS v3.1''', '''CVSS v4.0'''이 있다. === CVSS v1 === 2005년에 처음 발표된 CVSS v1은 취약점의 심각도를 평가하기 위한 최초의 표준 시도였다. 이 버전은 기본적인 메트릭을 제공했지만, 평가 기준이 명확하지 않고 일관성이 떨어진다는 비판을 받았다. === CVSS v2 === 2007년에 발표된 CVSS v2는 평가의 정확성을 향상시키기 위해 도입되었다. v2는 '''공격 벡터'''(로컬, 인접 네트워크, 네트워크), '''공격 복잡성''', '''인증'''(공격에 필요한 인증 수준), '''취약점의 영향'''(기밀성, 무결성, 가용성) 등 보다 구체적인 메트릭을 도입했다. v2는 또한 공격 벡터를 좀 더 세분화하여 취약점 평가의 일관성과 정확성을 개선했다. === CVSS v3.0 === 2015년에 도입된 CVSS v3.0은 여러 가지 측면에서 중대한 개선을 이루었다. 가장 눈에 띄는 변화 중 하나는 ''''범위(Scope)'''' 메트릭의 도입으로, 취약점이 시스템 컴포넌트의 보안을 넘어 다른 컴포넌트에도 영향을 미칠 수 있는지 평가한다. 또한 ''''사용자 상호 작용(User Interaction)''''이 추가되어 사용자의 개입 없이 취약점이 악용될 수 있는지 평가할 수 있게 되었다. 이러한 변경으로 인해 점수 계산이 보다 복잡해지고, 보안 전문가가 취약점을 보다 정밀하게 평가할 수 있게 되었다. === CVSS v3.1 === [https://www.first.org/cvss/v4-0/cvss-v40-specification.pdf CVSS v3.1 스펙시트 PDF] 2019년에 발표된 CVSS v3.1은 주로 용어와 가이드라인을 명확히 하는 데 초점을 맞췄다. 이전 버전의 몇 가지 애매한 부분을 정리하고, 메트릭의 정의와 가이드라인을 보다 명확하게 재정의하여 사용자가 취약점을 일관되고 정확하게 평가할 수 있도록 했다. 또한 메트릭 설명을 개선했으며, 평가 과정에서의 오해를 줄이기 위한 목적도 있었다. === CVSS v4.0 === [https://www.first.org/cvss/v4-0/cvss-v40-specification.pdf CVSS v4.0 스펙시트 PDF] ==== 새로운 메트릭 그룹 도입 ==== * '''위협 메트릭(Threat Metrics)''': 취약점의 특성 중 시간에 따라 변할 수 있는 요소를 반영한다. 이는 취약점이 얼마나 빠르고 쉽게 이용될 수 있는지를 평가하는 데 도움을 준다. * '''보조 메트릭(Supplemental Metrics)''': 최종 점수에는 영향을 미치지 않지만, 취약점의 특성에 대한 추가적인 통찰을 제공한다. ==== 기존 메트릭의 세분화 및 확장 ==== '''공격 벡터(Attack Vector)''', '''공격 복잡성(Attack Complexity)''', '''권한 요구 수준(Privileges Required)''' 등 기존 메트릭들이 더욱 세분화되고, 새로운 요소가 추가되어 보다 상세한 평가가 가능해졌다. ==== 환경 메트릭의 개선 ==== 사용자의 환경에 따른 취약점의 영향을 보다 정확하게 반영할 수 있도록 환경 메트릭이 개선되었다. ==== 점수 및 벡터 문자열 제공 ==== CVSS는 점수와 함께 벡터 문자열을 제공하여, 취약점 평가 결과가 어떻게 도출되었는지 이해할 수 있도록 한다. 이는 평가의 투명성을 높이고, 다른 사람들이 점수의 기반을 이해할 수 있게 한다. <hr> 각 버전은 취약점 평가의 정확성과 유용성을 향상시키기 위한 변화를 포함하고 있으며, 보안 커뮤니티의 요구와 기술 발전에 따라 지속적으로 발전하고 있다. == CVSS의 한계와 주의사항 == CVSS는 취약점의 심각성을 평가하고 우선 순위를 정하는 데 유용한 도구이지만, 몇 가지 한계점과 사용 시 고려해야 할 주의사항이 있다. 이러한 한계를 이해하는 것은 CVSS를 보다 효과적으로 활용하는 데 중요하다. === CVSS의 한계 === * '''컨텍스트 부족''': CVSS는 취약점의 기술적 특성을 평가하지만, 조직의 특정 맥락이나 비즈니스 영향을 충분히 반영하지 못한다. 예를 들어, 같은 취약점이라도 조직에 따라 실제 영향은 다를 수 있다. * '''환경적 요인의 미포함''': 기본 점수는 특정 조직의 환경적 요인을 고려하지 않는다. CVSS v4.0에서는 위협 메트릭과 환경 메트릭을 통해 이를 어느 정도 해결하려 하지만, 사용자가 이를 추가로 계산해야 하는 부담이 여전히 존재한다. * '''일관성 부족''': 평가자에 따라 해석이 다를 수 있어, 동일한 취약점에 대해 다른 점수를 부여할 수 있는 일관성의 문제가 있다. * '''보안 레벨의 극적 변화''': CVSS 점수는 매우 극적으로 변할 수 있으며, 소수의 요소 변경만으로도 전체 점수가 크게 달라질 수 있다. * '''신속한 업데이트 부재''': 새로운 공격 기법이나 변화하는 보안 환경을 신속하게 반영하지 못할 수 있다. CVSS v4.0은 이러한 변화를 반영하려 노력하고 있지만, 보안 환경의 빠른 변화에 완벽히 대응하기는 여전히 어렵다. === 주의사항 === * '''컨텍스트 중심의 평가''': 조직의 보안 정책, 중요 자산의 위치, 그리고 비즈니스 운영에 미치는 영향 등을 고려하여 CVSS 점수를 해석해야 한다. * '''환경 점수 및 위협 메트릭 활용''': 조직에 특화된 환경 점수와 위협 메트릭을 계산하여 취약점의 실제 위험도를 보다 정확하게 평가해야 한다. * '''복합적 위험 평가 도구 사용''': CVSS를 다른 위험 평가 도구와 함께 사용하여, 보다 폭넓은 보안 평가를 수행해야 한다. * '''정기적인 리뷰와 업데이트''': 보안 환경은 끊임없이 변하므로, 취약점 관리 프로세스도 정기적으로 업데이트하고 리뷰해야 한다. * '''교육과 훈련''': 보안 담당자가 CVSS의 각 메트릭을 정확히 이해하고 올바르게 적용할 수 있도록 교육하는 것이 중요하다. CVSS를 활용하는 것은 취약점 관리의 한 방법일 뿐, 조직의 보안 상태를 전적으로 나타내지는 않는다. 따라서, CVSS 점수는 다양한 보안 결정을 내리는 데 있어 하나의 참고점으로 활용하되, 조직의 전체적인 보안 전략과 함께 고려해야 한다. <!--분류--> [[분류:취약점 평가 시스템]] [[분류:보안 표준]] [[분류:CVSS]] [[분류:정보 보안]] 편집 요약 가온 위키에서의 모든 기여는 크리에이티브 커먼즈 저작자표시-동일조건변경허락 라이선스로 배포된다는 점을 유의해 주세요(자세한 내용에 대해서는 가온 위키:저작권 문서를 읽어주세요). 만약 여기에 동의하지 않는다면 문서를 저장하지 말아 주세요. 또한, 직접 작성했거나 퍼블릭 도메인과 같은 자유 문서에서 가져왔다는 것을 보증해야 합니다. 저작권이 있는 내용을 허가 없이 저장하지 마세요! 취소 편집 도움말 (새 창에서 열림)