CVE 데이터베이스의 정의와 목적
사이버 보안 전문가가 함께 온라인 위협을 방지하기 위해서는 통일된 용어와 표준이 필요하며, 이를 위해 사이버 보안 업계에서는 CVE라는 표기 방식을 사용하고 있습니다. 이번 글에서는 CVE란 무엇이고 CVE가 필요한 이유에 대해 알아보겠습니다.
CVE란 무엇인가요?
CVE란 ‘Common Vulnerabilities and Exposures(공통 취약점 및 익스포저)’의 약자이며 정보 보안 취약점 표준 코드를 의미합니다. CVE는 다양한 취약점을 통일해 고유한 넘버링을 부여한 것입니다. CVE는 장치, 시스템, 프로그램 해킹에 악용될 수 있는 컴퓨터 보안 취약성 및 시스템 결함에 부여됩니다. CVE의 각 항목에는 고유 시리얼 ID 넘버, 설명 등의 세부 사항이 포함되어 있습니다. 이러한 세부 사항은 CVE 취약점 사이트에서 확인할 수 있습니다.
CNA(CVE Numbering Authorities: CVE 할당 기관)는 컴퓨터 보안 취약성에 CVE ID를 할당하는 기관입니다. 현재 약 100개의 CNA가 존재하며 IT 기업, 연구기관, 보안 조직 등이 포함되어 있습니다. CNA의 전체 프로세스는 마이터 코퍼레이션(Mitre Corporation)이라는 비영리 CNA의 감독을 받습니다. 마이터 코퍼레이션은 정부에서 자금을 지원하는 연구 및 개발 센터를 관리하고 있으며, 미국 국토안보부 산하 사이버보안 및 인프라 보안국(CISA)의 후원을 받고 있습니다.
CVE 취약점은 모든 기관이 식별할 수 있습니다. 하지만 CNA만이 CVE ID를 할당할 수 있기 때문에 CVA 취약점을 발견하면 CNA에 보고해야 합니다. CNA에 취약점 보고서가 접수되면 CNA가 보고서를 평가하고 ID 번호를 할당한 후 CVE 취약점 리스트에 등록합니다. 해커들이 취약점을 악용하지 못하도록 CVE 취약점 리스트에는 해결된 보안 문제만 등록됩니다.
미국 국가 취약성 데이터베이스(NVD)는 CVE 취약점을 CVE 취약점 리스트에 등록한 후 CVE 심각도 지수(CVSS)를 할당합니다. 심각도 지수는 CVE의 위험성을 0부터 10점까지의 점수로 나타냅니다. CVE 심각도 지수는 공격의 복잡성, 해결 난이도, 영향을 받는 시스템 등을 고려합니다. 고려 요소는 NVD 웹사이트에서 확인할 수 있습니다.
CVE 항목의 상태는 다음과 같이 구분됩니다.
- 예약(Reserved): CNA가 해당 항목을 이용하고 있지만, 세부 사항은 아직 시스템에 입력되지 않은 상태입니다.
- 분쟁 발생(Disputed): 해당 항목이 CVE로 지정될 자격이 있는지에 관해 마이터 코퍼레이션과 CNA 사이에서 분쟁이 발생했거나, 서로 다른 CNA 사이에서 분쟁이 발생한 상태입니다.
- 거절(Reject): 항목이 거절되거나 철회되었음을 의미합니다. 항목이 거절되거나 철회되는 이유로는 잘못된 할당 또는 관리 문제 등이 있습니다.
CND는 지속적으로 CVE 취약점 리스트를 업데이트하고 있습니다. 하지만 매일 새로운 취약점이 등장하기 때문에 보고되지 않은 위험이나 목록에 포함되지 않은 위험도 다수 존재합니다.
CVE가 필요한 이유는 무엇인가요?
지금까지 CVE에 관해 알아보았습니다. 이제 CVE가 필요한 이유에 대해 살펴보겠습니다. CVE가 필요한 이유로는 크게 세 가지가 있습니다.
- CVE는 조직이 보안 결함을 식별하고, 취약점에 관한 정보를 확인한 후 조직 내 보안 시스템을 개선하는 데 도움이 됩니다.
- CVE는 보안 위협에 ID를 할당함으로써 사이버 보안 전문가가 서로 쉽게 소통할 수 있도록 합니다. 또한 통일된 표준 용어를 통해 다른 데이터베이스를 구축하는 데도 도움이 됩니다.
- CVE ID를 이용하면 특정 취약성에 대한 정보를 더 빠르고 손쉽게 찾을 수 있습니다. 현재 다양한 기업, 보안 조직, 데이터베이스가 사이버 보안 관련 제품과 서비스를 위해 CVE ID를 활용하고 있습니다.
CVE는 사이버 보안을 개선하는 데 유용한 기준입니다. CVE를 통해 사이버 보안에 위협이 되는 요소와 위협의 정도를 손쉽게 파악할 수 있기 때문입니다. 하지만 CVE 취약점 리스트를 확인하는 것만으로는 사이버 보안을 확보하기에 충분하지 않습니다.
사이버 위협을 확인했다면 위협 요소를 방지할 수 있는 방안을 찾아야 합니다. 사이버 보안을 손쉽게 확보하는 방법 중 하나는 바로 VPN을 사용하는 것입니다. 이 링크에서 VPN이란 무엇인지 자세히 알아보고 오늘 VPN을 다운로드해 보세요.