[보안] CVE, CCE, CWE 차이

 

CVE, CCE, CWE는 모두 보안 관련 용어로, 각각 다른 목적과 역할을 가지고 있습니다. 이들의 차이를 아래와 같이 설명할 수 있습니다:

 

1. CVE (Common Vulnerabilities and Exposures)
 - 목적: CVE는 보안 취약점 및 노출에 대한 표준화된 식별자입니다.
 - 설명: CVE는 보안 취약점 또는 노출을 고유하게 식별하는 번호를 제공합니다. 이는 다양한 보안 커뮤니티와 도구들이 취약점 정보를 공유하고 추적하는 데 사용됩니다. CVE 번호는 전 세계의 보안 연구자들이 발견한 취약점을 일관되게 추적하고 관리하는 데 도움을 줍니다.
 - 예시: CVE-2021-34527 (PrintNightmare 취약점)

 - 취약점 정보 : https://cve.mitre.org

CVE - CVE

 

2. CCE (Common Configuration Enumeration)
 - 목적: CCE는 시스템이나 소프트웨어의 설정 오류나 취약점에 대한 표준화된 식별자입니다.
 - 설명: CCE는 시스템 구성에서 발생할 수 있는 보안 문제나 잘못된 설정에 대한 고유한 식별자를 제공합니다. CVE와 비슷하지만, CCE는 시스템 설정 문제와 관련된 것에 집중합니다. CCE는 시스템 보안 구성의 취약점을 식별하고 개선하기 위한 목적으로 사용됩니다.
 - 예시: CCE-12345-6 (특정 시스템 설정 취약점에 대한 식별자)
- 취약점 정보 : https://ncp.nist.gov/cce

NCP - CCE Details

 

3. CWE (Common Weakness Enumeration)
 - 목적: CWE는 소프트웨어에서 발생할 수 있는 약점이나 결함에 대한 표준화된 목록입니다.
 - 설명: CWE는 보안 취약점의 근본적인 원인이나 약점을 분류하고 설명하는 데 사용됩니다. 이는 개발자나 보안 전문가들이 소프트웨어에서 발생할 수 있는 다양한 약점을 이해하고 개선할 수 있도록 돕습니다. 예를 들어, 코드 작성 시 발생할 수 있는 취약한 패턴이나 실수들을 다룹니다.
- 예시: CWE-79 (크로스 사이트 스크립팅, XSS)
 - 취약점 정보 : https://cwe.mitre.org

CWE - Common Weakness Enumeration

 

요약:
 - CVE: 보안 취약점에 대한 고유한 식별자. 취약점이 특정 시스템이나 애플리케이션에 어떻게 영향을 미치는지를 나타냅니다.
 - CCE: 시스템 구성에 관한 보안 문제를 식별하는 고유한 식별자.
 - CWE: 소프트웨어 약점의 유형을 정의하고 분류하는 목록, 코드나 설계에서 발생할 수 있는 취약점에 대한 정보 제공.

이 세 가지는 서로 연관이 있지만, 각기 다른 보안 분야에서 사용되며, 보안 취약점에 대한 다양한 측면을 다룹니다.