[보안] CVSS (Common Vulnerability Scoring System)란?

 

CVSS란 무엇인가?
CVSS(Common Vulnerability Scoring System)는 보안 취약점의 심각도를 평가하는 공개적인 표준입니다. CVSS는 취약점의 심각도를 점수화하여, 보안 전문가들이 취약점을 우선적으로 해결할 수 있도록 도와줍니다. 이 점수는 취약점의 심각도를 보다 명확하게 파악하고, 대응 계획을 세우는 데 유용합니다.

CVSS 점수의 구성
CVSS 점수는 기본 지표(Base Metric), 추가 지표(Temporal Metric), 환경 지표(Environmental Metric) 세 가지 주요 요소로 나누어집니다. 각 지표는 취약점의 심각도를 평가하는 데 중요한 역할을 합니다.

1. 기본 지표(Base Metric)
기본 지표는 취약점의 기본적인 특성을 반영하여 점수를 매깁니다. 여기에는 취약점의 위험도와 영향도를 측정하는 요소가 포함됩니다.

 - 공격 복잡도(Attack Complexity): 취약점을 악용하기 위한 기술적 난이도
 - 접근 벡터(Access Vector): 취약점이 공격자에게 어떻게 노출되는지 (네트워크, 물리적 접근 등)
 - 영향(Impact): 취약점이 악용되었을 때 시스템에 미치는 영향 (기밀성, 무결성, 가용성의 손상 정도)

 

기본 지표 점수는 취약점이 얼마나 위험한지, 얼마나 쉽게 악용될 수 있는지 평가합니다.

2. 추가 지표(Temporal Metric)
추가 지표는 취약점에 대한 패치나 수정이 이루어진 시점, 취약점의 공격 가능성 등 시간적인 요소를 반영합니다.

 - 패치 상태: 취약점에 대한 패치가 존재하는지 여부
 - 공격 가능성: 악용 방법의 발전 정도

 

추가 지표 점수는 시간이 지남에 따라 취약점의 위험도가 어떻게 변화하는지 나타냅니다.

3. 환경 지표(Environmental Metric)
환경 지표는 특정 환경에서 취약점의 영향을 평가하는 지표입니다. 이는 시스템의 특성이나 보안 환경에 따라 다르게 적용될 수 있습니다.

 - 환경 영향: 취약점이 특정 환경에서 미치는 영향
 - 보안 요구사항: 환경에서 요구되는 보안 수준

 

환경 지표 점수는 조직이나 시스템의 특정 상황을 반영하여 평가됩니다.

 

CVSS 점수 계산 예시
CVSS 점수는 0부터 10까지의 점수로 평가됩니다. 일반적으로 점수가 높을수록 취약점의 위험도가 큽니다.

 - 0.0 - 3.9: 낮은 위험도
 - 4.0 - 6.9: 중간 위험도
 - 7.0 - 8.9: 높은 위험도
 - 9.0 - 10.0: 매우 높은 위험도

 

CVSS 점수의 활용
CVSS 점수는 보안 취약점 관리에서 중요한 역할을 합니다. 이 점수는 보안 팀이 우선적으로 대응해야 할 취약점을 식별하는 데 도움을 주며, 위험 분석 및 대응 계획 수립에 중요한 기준이 됩니다. 예를 들어, CVSS 점수가 높은 취약점은 즉시 패치를 적용하거나 차단하는 등의 긴급 조치가 필요할 수 있습니다.

 

CVSS 점수를 이용한 취약점 대응 전략
1. 우선순위 설정: CVSS 점수를 기준으로 취약점의 우선순위를 설정합니다. 점수가 높은 취약점은 먼저 해결하고, 점수가 낮은 취약점은 점진적으로 해결할 수 있습니다.
2. 패치 관리: CVSS 점수가 높은 취약점에 대한 패치를 우선적으로 배포하여 시스템 보안을 강화합니다.
3. 보안 훈련: CVSS 점수를 통해 취약점의 위험도를 평가하고, 이에 맞는 보안 훈련을 직원들에게 제공합니다.

 

결론
CVSS는 보안 취약점의 심각도를 평가하는 중요한 도구로, 이를 통해 조직은 취약점을 우선순위에 따라 해결할 수 있습니다. 취약점이 발견되면 CVSS 점수를 계산하여, 어떤 취약점을 우선적으로 대응할지 결정하는 데 도움을 줄 수 있습니다. CVSS는 보안 전문가들이 시스템을 안전하게 유지하는 데 중요한 역할을 합니다.