CVE(Common Vulnerabilities and Exposures)

베하!

안녕하세요. 

날씨가 너무 많이 추워진 요즘 감기나 독감 조심하시구, 건강관리 유의하세요~!

 

그럼 이번에도 좋은 정보들을 소개해드리겠습니다.

 

이번주는 보안 관리에서 가장 중요한 지표인 CVE 입니다.

 

CVE란?

CVE(Common Vulnerabilities and Exposures)는 공개적으로 알려진 컴퓨터 보안 결함 목록입니다. CVE는 보통 CVE ID 번호가 할당된 보안 결함을 뜻합니다.

벤더와 연구자가 발행한 보안 권고 사항에 최소 1개의 CVE ID가 언급되는 것이 일반적입니다. CVE는 IT 전문가들이 이러한 취약점에 우선 순위를 지정하고 해결하기 위해 협력함으로써 컴퓨터 시스템을 더욱 안전하게 관리하도록 지원합니다.

 

CVE 프로그램은 미국 국토안보부 산하의 사이버 보안 및 인프라 보안국(Cybersecurity and Infrastructure Security Agency, CISA)의 재정 지원을 받아 MITRE Corporation에서 감독합니다.

CVE 항목은 간략합니다. 기술적인 데이터나 위험, 영향, 픽스에 대한 정보는 포함하지 않습니다. 이러한 세부 정보는 미국 국가 취약점 데이터베이스(NVD), CERT/CC 취약점 참고 데이터베이스, 그리고 벤더와 기타 조직에서 유지 관리되는 다양한 목록을 비롯한 다른 데이터베이스에 나타납니다.

이처럼 다양한 시스템 전반에서 CVE ID는 고유한 취약점을 인식하고 보안 툴 및 솔루션 개발을 조정할 수 있는 신뢰할 수 있는 방법을 사용자에게 제공합니다. MITRE Corporation이 CVE 목록을 유지 관리하지만 CVE 항목이 되는 보안 결함은 오픈소스 커뮤니티에 속한 조직 및 구성원이 제출하는 경우가 많습니다.

 

CVE 식별자 정보

CVE 식별자는 CVE 넘버링 기관(CNA)에서 할당합니다. 보안 기업 및 리서치 조직과 Red Hat, IBM, Cisco, Oracle, Microsoft와 같은 주요 IT 벤더를 대표하는 CNA가 100개 정도 있습니다. MITRE 역시 CVE를 직접 발행할 수 있습니다.

CNA는 새로운 문제 발견 시 이를 연결하기 위해 준비되는 CVE 블록을 발행합니다. 매년 수천 개의 CVE ID가 발행되며, 운영 체제와 같은 하나의 복합 제품에 수백 개의 CVE가 축적될 수 있습니다.

CVE는 어디에서든 보고할 수 있습니다. 벤더, 연구원, 기민한 사용자 등이 결함을 발견하고 다른 사람들에게 알릴 수 있습니다. 많은 벤더가 책임 있는 보안 문제 공개를 장려하기 위해 버그 현상금을 제공하고 있습니다. 오픈소스 소프트웨어에서 취약점을 발견한 경우 오픈소스 커뮤니티에 제출해야 합니다.

어떤 방법으로든 결함에 대한 정보는 CNA에 전달됩니다. CNA는 해당 정보에 CVE ID를 할당하고 참조 정보를 포함한 간략한 설명을 작성합니다. 그런 다음, 새로운 CVE가 CVE 웹사이트에 게시됩니다.

CVE ID는 보안 권고 사항이 공개되기 전에 할당되는 경우가 많습니다. 픽스를 개발하고 테스트할 때까지 벤더가 보안 결함을 비밀로 유지하는 것은 일반적인 일입니다. 이는 공격자들이 패치가 적용되지 않은 결함을 악용할 기회를 줄입니다.

공개된 CVE 항목에는 CVE ID("CVE-2019-1234567" 형식), 보안 취약점 또는 노출에 대한 간략한 설명, 취약점 보고서 및 권고 사항 링크가 포함될 수 있는 참조 정보가 포함됩니다.

 

CVE에 해당하는 조건

CVE ID는 특정 기준을 충족하는 결함에 할당됩니다. 해당 기준은 다음과 같습니다.

1. 독립적으로 수정 가능.
다른 버그로부터 독립적으로 수정할 수 있는 결함입니다.

2. 피해를 입은 벤더 또는 문서를 통한 확인.
소프트웨어 또는 하드웨어 벤더가 버그를 확인하고 보안에 부정적인 영향을 받은 경우입니다. 또는 보고자가 버그의 부정적인 영향과 영향을 받은 시스템의 보안 정책을 위반한 버그에 대한 취약점 보고서를 공유한 경우입니다.

3. 하나의 코드베이스에 영향을 미침.
두 개 이상의 제품에 영향을 미치는 결함에는 별도의 CVE가 할당됩니다. 공유 라이브러리, 프로토콜 또는 표준의 경우, 취약점이 노출되지 않고는 공유 코드를 사용할 방법이 없는 경우 해당 결함에 하나의 CVE만 할당됩니다. 그렇지 않은 경우에는 영향을 받는 각각의 코드베이스 또는 제품에 고유한 CVE가 할당됩니다.

 

 

이렇게 CVE를 관리하고 본인에 환경의 보안 취약점을 찾아서 관리함으로써, 다양한 취약점을 잘 관리할 수있을 것입니다.

다음 시간에도 유익한 정보로 여러분들을 찾아뵙겠습니다.

감사합니다. 베빠~!