⭐ CVE(Common Vulnerabilities and Exposures)는 공개적으로 알려진 보안 취약점 목록을 말합니다. 

CVE 이전의 취약점 관리체계는 각 기관이나 소프트웨어 업체마다 제각각이었기 때문에 동일한 취약점을 각자의 기준에 맞게 다른 이름으로 불렀는데, 이러한 점 때문에 취약점에 대한 정보공유가 원활하게 이루어지지 않는다는 문제점이 있었어요. 😢

⭐ CVSS(Common Vulnerability Scoring System)는 CVE에 등록된 취약점에 대해 심각도를 판단하는 점수 지표로 점수는 0~10까지 할당됩니다. 점수가 높을수록 심각한 위험도를 가지는 취약점으로 판단되며 위협에 따라 대응 및 리소스의 우선순위를 지정할 수 있도록 하는 기준으로 활용됩니다.

CVE ID는 CVE-yyyy-nnnn 포맷으로 이루어져 있으며 yyyy는 취약점이 제보된 년도를 뜻하고 nnnn은 취약점의 고유 식별 번호를 뜻합니다.

CVE가 등장함에 따라 취약점의 정보에 일반 대중들이 더 쉽게 접근할 수 있게 되었습니다. 이는 다시 말해 공개된 취약점을 악용하려는 목적을 가진 사람들 또한 악용할 취약점의 정보를 쉽게 얻을 수 있다는 말이기도 해요. 실제로 공개된 CVE 원데이 취약점을 사용해 패치가 적용되지 않은 특정 기업이나 국가의 서비스를 공격하는 일도 발생한답니다. 😢

그러나 체계적인 취약점 관리로 인해 보안 담당자들이 취약점을 인식하고 대응할 수 있어 정보의 공유로 발생하는 피해보다는 이익이 더 크다는 점이 중요해요! 여러 보안 기업과 IT 벤더가 CNA에 참여하는 이유도 이러한 정보 공유에 앞장서 피해를 최소화하기 위해서라고 볼 수 있습니다.

또 한 가지 CVE의 순기능은 바로 해커들이 버그헌팅에 의욕을 가지고 참여할 수 있도록 한다는 점에 있습니다. 개인이 제보한 취약점 역시 심사를 거치며, CVE로 정식으로 등록이 되면 해당 취약점의 최초 발견자로 공식적으로 인정을 받게 됩니다. 때문에 취약점을 제보한 해커는 버그헌팅 보상뿐만 아니라 등록된 CVE를 자신의 커리어로도 활용할 수 있어요. 내가 찾은 취약점을 전 세계에서 보게 된다니, 상상만 해도 정말 멋지지 않나요? 😎

해커의 TMI는 다음 주 금요일에 또 찾아오겠습니다. 안녕!

오늘 전해드린 내용이 마음에 드셨나요?

주위 친구들에게 뉴스레터를 추천해주세요!

다음주에도 알찬 내용으로 돌아오겠습니다. 😙