CVSS란 무엇인가?: 컴퓨터 보안 취약점 평가에 대한 이해와 활용

안녕하세요, 오늘은 컴퓨터 보안 취약점 평가에 관한 이야기를 해볼까 합니다. 🤔🔍

 

여러분은 CVSS(Common Vulnerability Scoring System)에 대해 들어보신 적이 있나요?

 

컴퓨터 보안의 핵심 요소 중 하나인 CVSS에 대해 이해하고 활용하는 것은 매우 중요합니다. 😊

 

이 글에서는 CVSS가 무엇인지, 그리고 왜 CVSS를 사용하는지에 대해 알아보겠습니다. 📚

 

CVSS란 무엇인가?

CVSS란?

CVSS는 취약점의 심각도를 측정하는 국제 표준입니다. 💻📏 이 시스템은 취약점의 세 가지 메트릭 그룹으로부터 점수를 계산합니다: Base, Temporal 및 Environmental.

 

점수는 0에서 10까지 범위로, 0은 가장 낮은 심각도를, 10은 가장 높은 심각도를 나타냅니다.

 

왜 CVSS를 사용하는가?

과거에는 제조업체들이 각각의 방식으로 소프트웨어 취약점에 점수를 매기곤 했지만, CVSS를 도입하면서 일관된 점수 산정이 가능해졌습니다.

 

📈 CVSS는 다음과 같은 이점을 제공합니다:

오픈 프레임워크 구축

개발 중 취약점 완화

보안 표준 충족

CVSS의 역사

CVSS는 처음에 미국의 국가 기반시설 자문위원회(NIAC)가 2005년에 도입했습니다.

 

현재는 FIRST라는 조직이 소유 및 관리하고 있습니다.

 

CVSS는 일관된 점수를 생성하고 특정 IT 환경에 대한 기존 위험과 취약점을 정확하게 반영할 수 있도록 간단하게 만들어졌습니다.

 

CVSS의 취약점 메트릭

 

CVSS 점수는 Base, Temporal 및 Environmental 그룹의 점수로부터 계산됩니다.

 

이 세 가지 그룹은 취약점의 특성을 종합적으로 다룹니다. ⚖️

 

Base 메트릭

Base 점수는 기업이 가장 의존하는 메트릭입니다. 💼

 

이 메트릭은 시간이 지나거나 사용자 환경에 따라 변하지 않는 취약점의 본질적 특성을 다룹니다.

 

Base 메트릭에는 다음과 같은 두 가지 메트릭 세트가 포함됩니다:

 

Exploitability 메트릭:

 

Attack Vector

Attack Complexity

Privileges Required

User Interaction

 

Impact 메트릭:

 

Confidentiality Impact

Integrity Impact

Availability Impact

 

Temporal 메트릭

 

Temporal 점수는 취약점의 현재 상태에 따라 측정하는 메트릭입니다. 🕐

 

이 점수는 공식 패치의 출시와 같이 시간이 지남에 따라 변경될 수 있는 취약점의 특성을 나타냅니다.

 

Temporal 메트릭에는 다음과 같은 값이 포함됩니다:

 

Exploit Code Maturity

Remediation Level

Report Confidence

 

Environmental 메트릭

CVSS 시스템의 Environmental 메트릭은 조직이 자체 환경을 반영하여 Base 점수를 조정할 수 있게 해줍니다. 💼🌳

 

이 점수는 개별 시스템에 대한 취약점의 영향을 평가하기 위해 조정될 수 있습니다.

 

Environmental 메트릭에는 다음과 같은 카테고리가 포함됩니다:

 

Collateral Damage Potential

Target Distribution

Confidentiality Requirement

Integrity Requirement

Availability Requirement

 

CVSS 점수 산정 방법

 

CVSS 프레임워크에서 높은 점수는 더 심각한 취약점을 나타냅니다. 📊

 

CVSS 점수는 0에서 10 사이이며, 10이 가장 심각합니다.

 

이러한 점수를 기술적이지 않은 이해관계자에게 전달하기 위해, FIRST는 CVSS Base 점수를 기반으로 한 정성적인 평가를 제공합니다.

 

 

Base 점수는 필수적이며, Temporal 점수는 선택 사항입니다. 둘 다 제조업체 또는 분석가에 의해 제공됩니다.

 

사용자는 Environmental 그룹 점수를 계산하며, 이 점수도 선택 사항입니다.

 

취약점을 CVSS 점수로 분류하는 데 필요한 유일한 요건은 다음과 같은 세 가지 하위 점수를 포함하는 Base 점수 요소의 완성입니다: Exploitability 점수, Impact 점수, 및 Scope 점수.

 

이 점수들은 각각의 하위 점수에 가중치를 적용하는 공식을 사용하여 전체 Base 점수를 계산하는 데 사용됩니다.

 

Temporal 점수는 Temporal 메트릭 내의 세 가지 메트릭을 곱하여 Base 점수를 계산합니다.

Environmental 점수는 더 복잡한 계산입니다. 사용자는 취약점의 심각도를 더 정확하게 평가하기 위해 다섯 개의Environmental 메트릭을 사용하여 Base 및 Temporal 점수를 다시 계산합니다.

 

CVSS와 CVE의 차이

 

Common Vulnerabilities and Exposures (CVE)는 알려진 보안 위협 목록입니다.

 

CVE는 위협을 취약점과 노출로 나눕니다.

 

이 목록은 미국 홈랜드 시큐리티부(DHS)가 후원하며, 각각의 알려진 취약점 또는 노출에 대한 표준화된 식별 방법을 제공하는 것을 목표로 합니다.

 

CVE는 모든 공개된 취약점 목록이지만, CVSS는 취약점에 할당된 전체 점수입니다.

 

CVSS는 CVE 시스템과 같은 취약점 분류 체계가 아닙니다. CVE 시스템은 각 취약점에 고유한 식별자를 할당하며, 이는 미국 국립 표준 기술 연구소(NIST)의 국가 취약성 데이터베이스에 나열됩니다.

 

CVE 식별자는 다음과 같은 형식으로 구성됩니다:

 

CVE-[4자리 연도]-[순차 식별자]

 

예를 들어, Heartbleed 취약점의 CVE 식별자는 CVE-2014-0160이고, Log4j 2 취약점의 CVE 식별자는 CVE-2021-44228입니다.

 

CVE는 각 CVE 취약점에 대한 CVSS Base 점수를 기반으로 한 정성적인 평가를 제공합니다.

 

CVSS 계산기

 

CVSS 계산기는 조직의 환경에 대한 Temporal 및 Environmental 점수를 계산하는 데 필요합니다.

 

FIRST, NIST, 및 Cisco는 무료 CVSS 계산기를 제공합니다.

 

예를 들어, FIRST의 CVSS v3.1 계산기는 각 Base, Temporal 및 Environmental 메트릭에 대한 점수를 제공합니다.

 

계산기를 사용하려면 사용자는 각 카테고리에서 하나의 옵션을 선택합니다.

 

예를 들어, Base 점수는 다음과 같은 메트릭을 사용하여 계산됩니다:

 

공격 벡터(Attack Vector): 네트워크(network), 인접(adjacent), 로컬(local) 또는 물리(physical).

공격 복잡성(Attack Complexity): 낮음(low) 또는 높음(high).

필요한 권한(Privileges Required): 없음(none), 낮음(low) 또는 높음(high).

사용자 상호작용(User Interaction): 없음(none) 또는 필요함(required).

이 글이 CVSS에 대한 이해를 돕고 관심을 끌 수 있기를 바랍니다. 😊 이제 CVSS를 이용하여 취약점 관리를 더 효과적으로 수행할 수 있을 것입니다. 🚀