취약점 유형별 비교 (CVE, CCE, CWE 차이)

취약점의 정의 및 유형

1. CVE (Common Vulnerabilites and Exposures)

• 정의 : 컴퓨터 HW 및 SW상의 결함, 체계 및 설계상의 허점 등의 취약점
• 코드 정의 : CVE-연도-식별번호
• 심각도 평가 방식 : CVSS 평가 방식
• 진단 방법 : 어프리케이션 (Microsoft, edge, chrome, java, Open SSL) 등 응용프로그램 진단
• 조치 방법 : 제조사의 공식 패치를 통해 조치 
  - 설계 상의 허점으로 자체 개선이 불가능

2. CCE

• 정의 : 정보 열람, 변조, 유출 등을 가능하게 하는 시스템 상의 취약점
• 코드 정의 : CCE-식별번호-버전
• 진단 방법 : 정보시스템 설정 값 진단
• 조치 방법 : 운영자 및 관리자가 취약한 환경 설정 값 등을 수정

3. CWE

• 소프트웨어 언어, 아키텍처, 디자인 설계, 코딩 등 개발 단계에서 발생 가능한 취약점
• 코드 정의 : CCE-식별번호
• 진단 방법 : Web 서버 소스 취약점 진단
• 조치방법 : 개발자의 소스코드를 통하여 조치 가능

 

---

 

CVSS 프레임워크 소개

CVSS 란?

• 시스템의 취약점 특성을 수치화하여 평가하는 프레임워크
• 현재 사용하는 CVSS 버전은 4.0임 (2023년 11월 출시)

CVSS 목적

• 취약점의 심각도를 표준화 된 방식으로 평가
• 조직 간 일관 된 취약점 심각도를 통해 효율적인 소통 가능
• 취약점 관리 및 대응을 위한 우선순위 결정

CVSS 프레임워크 구성요소

• 기본 매트릭 : 취약점의 고유한 특성을 평가함
  - 시간 및 환경에 상관없이 고정되어 있음
• 위협 매트릭 : 시간에 따라 변할 수 있으나 사용자 환경에 종속되지 않는 취약점
• 환경 매트릭 : 특정 조직의 환경에 맞춰 취약점 점수를 조정
  - 조직의 상황 및 요구사항 등을 종합적으로 판단 (조직마다 평가기준이 다를 수 있음)
• 보충매트릭 : 취약점의 추가 특성 및 설명 등을 판단