기술 지원
문서
로그인
문의하기
TuxCare 블로그
- CVE는 취약점에 대한 고유 식별자를 제공하여 여러 플랫폼에서 추적 및 커뮤니케이션을 용이하게 합니다.
- CVSS는 취약점에 수치화된 점수를 부여하여 심각도에 따라 우선순위를 정할 수 있도록 도와줍니다.
- CVE 및 CVSS를 통해 Linux 관리자는 위험을 효과적으로 식별, 평가 및 완화할 수 있습니다.
개인 사용자부터 대규모 조직에 이르기까지 사이버 공격의 위험은 항상 존재합니다. 이러한 위험을 효과적으로 완화하려면 CVE 및 CVSS 점수의 기본 개념을 이해하는 것이 중요합니다.
CVE는 공통 취약점 및 노출의 약자입니다. 간단히 말해, 특정 소프트웨어의 공개적으로 공개된 보안 취약점을 나타냅니다. 반면 CVSS(공통 취약점 점수 시스템)는 취약점의 심각도를 평가하기 위한 표준화된 프레임워크입니다.
이 문서에서는 CVE와 CVSS가 무엇이며 취약성 관리에 어떻게 도움이 되는지 설명합니다.
CVE란 무엇인가요?
CVE(공통 취약점 및 노출)는 공개적으로 알려진 소프트웨어 취약점에 할당된 고유 식별자입니다. 이 명명 시스템은 보안 연구자, 공급업체 및 시스템 관리자가 특정 취약점을 쉽게 참조하고 추적할 수 있도록 도와줍니다. CVE 시스템은 1999년 MITRE에서 CVE 목록의 시작과 함께 시작되었습니다. 단 321개의 레코드.
2024년 한 해 동안 25,000개 이상의 새로운 취약점이 공개되었으며, 이는 취약점 관리에서 CVE의 중요한 역할을 강조하는 놀라운 성장 궤적입니다. 표준화된 식별 시스템이 없으면 취약점을 효과적으로 구분하고 추적하는 것이 거의 불가능합니다. 하지만 모든 취약점에 CVE가 할당되는 것은 아니라는 점에 유의해야 합니다.
CVE는 어떻게 할당되나요?
CVE는 다음 기관에서 할당합니다. CVE 번호 지정 기관(CNA)는 공개적으로 알려진 취약점에 대한 고유 식별자 할당을 조정하는 역할을 하는 그룹입니다. CNA는 보안 연구원, 공급업체 및 기타 이해관계자와 긴밀히 협력하여 취약점을 식별하고 문서화합니다.
CVE 식별자는 다음과 같은 형식의 고유한 텍스트 문자열입니다. CVE-Year-Number. 예를 들어, CVE-2014-0160은 악명 높은 악명 높은 하트블리드 취약점. "2014"는 CVE가 공개된 연도를 나타내며, "0160"은 해당 취약점에 할당된 고유 번호입니다. 이 번호는 매년 재설정됩니다.
CVE 항목은 지정될 수 있지만 즉시 공개되지는 않습니다. 이러한 지연은 의도적인 경우가 많으며, 원래 공급업체나 소프트웨어 개발자가 수정 사항을 릴리스할 시간을 주기 위한 것입니다. CVE 정보가 공개될 즈음에는 일반적으로 패치 또는 완화 조치를 배포할 준비가 되어 있어 최종 사용자의 위험을 줄일 수 있습니다.
CVSS란 무엇인가요?
CVSS(공통 취약점 점수 시스템)는 취약점의 심각도를 평가하기 위한 표준화된 프레임워크입니다. 다음 기관에서 관리합니다. 사고 대응 및 보안 팀 포럼(FIRST)에서 관리하는 CVSS는 취약점에 수치 점수를 부여하여 그 심각성을 나타냅니다. 이를 통해 조직은 CVSS 점수에 따라 취약점의 우선 순위를 정하고 가장 중요한 위협을 우선적으로 해결하는 데 집중할 수 있습니다.
CVSS 점수 시스템
CVSS 점수는 0.0에서 10.0까지이며, 점수가 높을수록 취약성이 더 심각함을 나타냅니다. CVSS 점수 시스템은 세 가지 주요 메트릭 그룹을 기준으로 취약성을 평가합니다:
기본 점수: 이 점수는 시간이 지나고 여러 환경에 걸쳐 일관되게 나타나는 취약점의 고유한 속성을 나타냅니다. 여기에는 공격 복잡성, 필요한 권한, 사용자 상호 작용 및 잠재적 영향과 같은 요소가 포함됩니다.
일시적 점수: 이 점수는 패치 가용성, 익스플로잇 코드 성숙도, 보고서 신뢰도 지표 등 시간이 지남에 따라 변할 수 있는 요소를 고려합니다.
환경 점수: 이 점수는 보안 제어의 존재 여부, 영향을 받는 자산의 가치, 조직 목표에 미치는 잠재적 영향 등 대상 환경의 특정 특성을 반영합니다.
CVSS 점수는 취약점을 심각도 수준으로 분류하는 데 사용됩니다:
- 0.0: 없음
- 0.1 - 3.9: 낮음
- 4.0 - 6.9: 중간
- 7.0 - 8.9: 높음
- 9.0 - 10.0: 중요
이러한 점수는 종종 NVD와 같은 데이터베이스에 CVE 항목과 함께 표시되어 위험 수준에 대한 빠른 스냅샷을 제공합니다. 국가 취약점 데이터베이스 국가 취약성 데이터베이스(NVD) 는 공개적으로 알려진 취약점에 대한 자세한 정보를 제공하는 미국 정부 후원 리포지토리입니다. 여기에는 CVE, 관련 취약점 및 잠재적 익스플로잇에 대한 설명이 포함되어 있습니다.
CVSS 버전의 중요성
CVSS(공통 취약점 점수 시스템)에는 여러 버전이 있으며, 최신 버전은 다음과 같습니다. CVSS 4.0. CVSS v2.0 및 CVSS v3.x와 달리 4가지 메트릭 그룹으로 구성되어 있습니다: 기본, 위협, 환경 및 보충의 네 가지 지표 그룹으로 구성됩니다. 이러한 버전은 취약점 점수의 정확성과 일관성을 향상시키기 위해 시간이 지남에 따라 발전해 왔습니다. 따라서 취약점을 평가하는 데 사용되는 CVSS 버전은 취약점에 부여된 점수에 상당한 영향을 미칠 수 있습니다.
예를 들어, 취약점이 CVSS 3.0에서는 '높음' 심각도 등급을 받지만 CVSS 2.0에서는 '보통' 등급만 받을 수 있습니다. 따라서 점수가 언급될 때마다 CVSS 버전을 지정하는 것이 중요하며, 그렇지 않으면 점수를 올바르게 해석할 수 없습니다.
최신 버전의 CVSS는 계산 방법론을 개선하고 보다 명확한 가이드라인을 도입하여 채점의 주관성을 줄이는 것을 목표로 합니다. 그러나 여전히 CVSS 점수에는 어느 정도의 주관성이 개입될 수 있습니다. 보안 분석가는 CVSS 점수에 기여하는 요소에 다양한 가중치를 부여할 수 있으며, 이로 인해 CVE 레지스트리 간에 최종 점수에 차이가 발생할 수 있습니다.
Linux 관리자에게 CVE 및 CVSS가 중요한 이유
Linux 운영 체제 는 기업 환경에서 널리 사용되기 때문에 공격자들에게 매력적인 표적이 됩니다. Linux 관리자와 보안 팀에게 CVE와 CVSS는 취약점을 식별하고 평가하는 데 중요한 역할을 합니다. CVE ID와 CVSS 점수를 결합하여 가장 중요한 취약점의 우선순위를 효과적으로 지정하고 해결할 수 있습니다. 이는 효율적인 취약성 관리를 간소화할 뿐만 아니라 규제 및 보안 표준 준수를 간소화합니다.
그러나 CVE 추적 및 CVSS 우선순위 지정에도 불구하고 Linux 관리자의 가장 큰 과제 중 하나는 운영 중단 없이 신속하게 패치를 적용하는 것입니다. 기존의 패치 적용 방법은 시스템을 재부팅해야 하는 경우가 많아 다운타임과 서비스 중단으로 이어집니다. 라이브 패치 은 시스템을 재부팅하지 않고 커널 패치를 배포할 수 있도록 지원하여 이 문제를 해결합니다.
TuxCare의 KernelCare Enterprise 는 재부팅할 필요 없이 보안 업데이트를 즉시 적용할 수 있는 Linux 배포용 자동 라이브 패치 솔루션을 제공합니다. 다운타임을 제거하여 취약성 노출 기간을 크게 줄이고 주요 운영 문제를 해결하는 동시에 보안 및 규정 준수를 강화하는 KernelCare.
최종 생각
CVE는 보안 위험을 식별하고 추적하는 표준화된 방법을 제공하며, CVSS는 이러한 취약점의 심각성을 평가할 수 있는 명확한 수치 등급을 제공합니다. CVE 및 CVSS 점수가 제공하는 투명성과 실행 가능한 인사이트는 시스템 보안과 규정 준수를 유지하는 데 매우 유용합니다. 이러한 프레임워크를 다음과 같은 라이브 패치 도구와 함께 활용하면 됩니다. KernelCare Enterprise와 같은 라이브 패치 도구와 함께 이러한 프레임워크를 활용하면 위험을 효과적으로 완화하고 보안을 강화하며 업계 표준을 준수할 수 있습니다.
