ClickCease CVSS v4.0 마스터하기: 사이버 보안 전문가를 위한 필수 가이드

콘텐츠 표

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

CVSS v4.0으로의 전환 – 알아야 할 사항

아르템 카라세프

11월 29, 2023 - 선임 제품 마케팅 매니저

FIRST(Forum of Incident Response and Security Teams)는 CVSS(Common Vulnerability Scoring System) 버전 4.0을 공식적으로 출시했습니다. 이 새 버전은 CVSS v3.1이 출시된 지 4년 후에 제공됩니다. 이는 사이버 보안 취약성의 심각도를 평가하기 위한 표준의 중요한 발전을 나타냅니다. 이 블로그 게시물에서는 CVSS v4.0과 이전 버전의 주요 차이점을 살펴보고 이러한 변경 사항이 취약성 평가 및 관리에 미치는 영향을 강조합니다. 

CVSS 이해

 

Common Vulnerability Scoring System은 소프트웨어의 보안 취약성 심각도를 평가하는 표준화된 방법을 제공하는 필수 프레임워크입니다. 주요 역할은 취약성 영향을 평가하기 위한 일관되고 객관적인 방법을 설정하는 것입니다. CVSS는 악용 가능성, 시스템 무결성, 가용성 및 기밀성에 미치는 영향, 악용에 필요한 권한 수준을 포함하여 취약성의 주요 속성을 평가하여 이를 수행합니다. 이러한 요소가 결합되어 취약성의 심각도를 반영하는 숫자 점수가 생성됩니다. 그런 다음 이 점수를 사용하여 대응 및 완화 노력을 안내하고 우선 순위를 지정할 수 있습니다.

 

CVSS v3.1의 제한 사항 

 

CVSS v3.1 2019년 6월에 출시되었으며 채점 시스템 자체에 상당한 변경 사항을 도입하기보다는 버전 3.0의 지침을 명확히하고 개선하는 데 중점을 두었습니다. 주요 과제 중 하나는 채점 시스템의 복잡성으로, 사이버 보안 전문가의 오해로 이어지는 경우가 많았습니다. 이러한 복잡성으로 인해 여러 개인 또는 조직이 동일한 보안 문제에 대해 일관되지 않은 등급을 부여했습니다. 

또 다른 중요한 문제는 시스템이 조직의 특정 상황을 완전히 고려할 수 없다는 것입니다. 고유한 환경, 인프라 또는 취약성의 특정 영향과 같은 요소가 점수 매기기에 항상 적절하게 고려되지 않아 특정 시나리오의 실제 위험과 항상 일치하지 않는 점수가 발생했습니다. CVSS v3.1은 또한 특정 유형의 취약점, 특히 운영 기술(OT) 및 사물 인터넷(IoT) 장치와 관련된 취약점을 효과적으로 평가하는 데 어려움을 겪었습니다.

이러한 과제는 보다 적응력이 뛰어나고 상황에 맞는 채점 시스템의 필요성을 강조했습니다. 이로 인해 CVSS v4.0이 개발되었으며, 이는 이러한 단점을 극복하고 취약성에 대한 보다 포괄적이고 관련성 있는 평가를 제공하는 것을 목표로 합니다.

그림 1: CVSS v3.1과 CVSS v4.0 비교. 패트릭 개리티(Patrick Garrity) 제공

 

CVSS v4.0의 새로운 기능

 

CVSS v4.0 은 단순한 점진적 업데이트가 아닙니다. CVSS v3.1의 과제와 한계를 해결하기 위해 고안된 포괄적인 점검입니다. 주요 업데이트는 다음과 같습니다.

  • CVSS v4.0은 여러 평가자가 취약성의 영향을 다르게 해석하여 다양한 점수로 이어질 수 있는 이전 버전에서 일반적이었던 취약성 평가의 불일치를 줄이고자 합니다. 새 버전은 보다 명확한 지침을 제공함으로써 이러한 모호성을 제거하고 다양한 평가자 간에 보다 균일하고 일관된 채점 방식을 보장하는 것을 목표로 합니다.
  • CVSS v4.0은 기본 메트릭의 세부 정보를 개선하여 취약성을 보다 정확하게 평가할 수 있습니다. 예를 들어, 취약점이 악용 가능성이 "낮음"으로 분류될 수 있는 CVSS v3.1과 달리 CVSS v4.0은 더 심층적인 분석을 제공합니다. 취약점을 익스플로잇의 복잡성 및 필요한 사용자 상호 작용 수준과 같은 보다 구체적인 하위 범주로 나눕니다. 이 접근 방식을 사용하면 각 취약성을 보다 미묘하고 정확하게 평가할 수 있습니다.
  • 이전 CVSS 버전에서는 임시 메트릭이 복잡했으며 익스플로잇 코드의 신뢰성 및 취약성 보고서에 대한 신뢰도에 대한 주관적인 판단이 필요한 경우가 많았습니다. CVSS v4.0에서는 시간이 지남에 따라 진화하는 취약성의 측면을 반영하는 이러한 메트릭이 간소화되었습니다. 이제 위협 범주 아래에 그룹화되어 주로 익스플로잇 성숙도 메트릭에 중점을 둡니다. 이러한 구조 조정은 취약성 평가 프로세스를 단순화하고 주관적 평가에 대한 의존도를 줄입니다.
  • CVSS v4.0은 기본(CVSS-B) 점수, 기본 + 위협(CVSS-BT) 점수, 기본 + 환경(CVSS-BE) 점수 및 기본 + 위협 + 환경(CVSS-BTE) 점수의 조합을 포함하는 명확하고 명시적인 점수 명명법을 채택합니다. 이 새로운 시스템은 위험 평가를 위해 CVSS 기본 점수에만 의존하는 문제를 해결합니다. 다양한 환경의 특정 보안 요구 사항과 보상 제어의 존재를 고려하여 위험 평가의 효율성을 높이는 데 도움이 됩니다.
  • 새 버전에서 CVSS는 운영 기술(OT) 환경, 산업 제어 시스템 및 사물 인터넷(IoT) 장치를 보다 효과적으로 포괄하도록 범위를 확장합니다. 이러한 적용 가능성의 확장은 주로 새로운 안전 지표의 도입에 기인합니다. 이 메트릭은 취약성이 악용될 경우 인간의 물리적 안전에 대한 잠재적 영향을 구체적으로 평가하여 이러한 환경에서 보안 침해의 실제 결과를 강조합니다.
  • CVSS v4.0은 새로운 보충 메트릭 그룹을 도입하여 취약성의 다양한 추가 특성에 대한 심층적인 통찰력을 제공합니다. 이러한 특성은 최종 CVSS-BTE 점수를 변경하지 않지만 완전한 평가에 여전히 중요합니다. 포함된 추가 메트릭은 다음과 같습니다.
  • 안전: 이 메트릭은 취약성이 악용될 경우 인간의 신체적 안전에 대한 잠재적 위험을 평가합니다.
  • 자동화 가능: 여러 대상에서 취약성 악용 프로세스를 자동화하는 타당성을 평가합니다.
  • 복구: 이 메트릭은 시스템의 복원력과 악용 후 복구 기능을 평가하는 데 중점을 둡니다.
  • Value Density: 취약성의 영향을 받는 리소스의 중요도 또는 가치를 측정합니다.
  • 취약성 대응 노력: 이 메트릭은 취약성을 해결하고 수정하는 데 필요한 리소스와 노력의 양을 추정합니다.
  • 공급자 긴급성: 여기에는 취약성 해결의 긴급성에 중점을 두고 공급업체에서 제공하는 추가 평가가 포함됩니다.

CVSS 프레임워크의 최신 버전은 기본 지표를 넘어서는 포괄적인 평가의 중요성을 강조합니다. 위협 메트릭과 컨텍스트 메트릭을 모두 통합해야 할 필요성을 강조하며, 이는 취약성이 악용될 가능성을 정확하게 평가하고 특정 환경에 대한 잠재적 영향의 정도를 이해하는 데 필수적입니다. 각각의 고유한 시나리오에서 취약성의 심각도를 정확하게 확인하려면 모든 관련 메트릭을 고려하는 것이 좋습니다.

 

업계에 미치는 영향

 

CVSS v.4.0은 현재 버전 3.1에서 발견된 주요 문제와 제한 사항을 해결하여 사이버 보안 전문가에게 상당한 영향을 미칠 것으로 예상됩니다. CVSS v.4.0은 명확성, 유연성 및 실제 위험에 대한 보다 정확한 묘사를 통해 조직이 취약성의 우선 순위를 보다 효과적으로 지정하고 완화 리소스를 할당할 수 있도록 설계되었습니다. 그러나 이 새로운 표준에 적응하려면 시스템을 조정하고 직원을 교육하는 데 시간과 자원이 모두 필요할 수 있다는 점에 유의해야 합니다.

요약
CVSS v4.0 마스터하기: 사이버 보안 전문가를 위한 필수 가이드
기사 이름
CVSS v4.0 마스터하기: 사이버 보안 전문가를 위한 필수 가이드
설명
사이버 보안 강화를 위한 CVSS v4.0의 주요 업데이트를 살펴보십시오. 새로운 메트릭, OT/IoT 영향 및 이러한 변화에 적응하는 방법에 대해 알아보세요.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기