CVSS(Common Vulnerability Scoring System)는 소프트웨어 및 시스템의 보안 취약점 심각도를 측정하기 위한 국제 표준입니다.
목차
CVSS는 벤더 중립적 기준과 표준화된 채점 방법을 사용하여 일관되고 정량적인 방식으로 취약점 심각도를 표현합니다.
CVSS는 벤더별 해석보다는 객관적인 지표에 의존함으로써 조직이 공통 언어를 사용하여 제품, 환경 및 산업 전반의 취약점을 비교할 수 있도록 합니다.
CVSS의 목적은 무엇입니까?
CVSS의 목적은 조직이 심각도에 따라 취약점을 일관되게 평가, 비교 및 우선순위를 정하도록 돕는 것입니다. CVSS 점수는 취약점 관리 및 위험 기반 해결 결정에 대한 구조화된 의견을 제공합니다.
각 취약점에는 0.0~10.0 범위의 숫자 점수가 할당되며, 이는 정성적 심각도 수준에도 매핑됩니다.
- 낮음
- 보통
- 높음
- 중요
표준화된 접근 방식으로 인해 CVSS는 보안 팀, 벤더, 사고 대응자 및 취약점 데이터베이스에서 문제 해결 우선순위 지정을 위한 주요 기준으로 널리 사용됩니다.
누가 CVSS를 유지하며 어떻게 발전했습니까?
CVSS는 CVSS Special Interest Group(CVSS-SIG)이 FIRST(Forum of Incident Response and Security Teams)에 따라 관리합니다. FIRST는 전 세계적으로 사고 대응 및 취약점 조정을 개선하는 데 중점을 둔 국제 사이버 보안 조직입니다.
도입 이후 CVSS는 기술 및 위협 환경의 변화를 반영하기 위해 여러 가지 개정을 거쳤습니다. 가장 최근의 주요 업데이트는 2023년 7월에 발표되었으며, CVSS v4.0은 2023년 11월에 공식적으로 출시되어 취약성 심각도 평가 방법에 상당한 변화를 가져왔습니다.
FIRST는 CVSS를 “취약점의 심각도를 평가하고 조직이 대응 노력의 우선순위를 정하는 데 도움이 되는 표준화된 접근 방식”을 제공하도록 설계된 프레임워크로 설명합니다.
— FIRST(사고 대응 및 보안 팀 포럼)
CVSS v4.0은 무엇이며 왜 중요합니까?
CVSS v4.0은 CVSS 프레임워크의 최신 주요 버전으로, 이전 버전의 구조적 한계를 해결하도록 설계되었습니다. 채점 정확도를 개선하고 모호성을 줄이며 기존 IT 환경 이상으로 적용 가능성을 확장합니다.
특히 CVSS v4.0은 운영 기술(OT), 산업 제어 시스템(ICS) 및 IoT 환경에 대한 명확한 메트릭 분리, 더 큰 점수 세분화 및 명시적 지원을 도입하여 최신 조직의 실제 운영 방식을 반영합니다.
CVSS v4.0을 구성하는 메트릭 그룹은 무엇입니까?
CVSS v4.0은 다양한 관점에서 취약점 심각도를 평가하는 4개의 메트릭 그룹으로 구성됩니다. 이러한 그룹을 결합하여 특정 사용 사례에 맞게 점수를 계산할 수 있습니다.
네 가지 메트릭 그룹은 다음과 같습니다.
- 기본 지표 – 취약점의 본질적 심각도 측정
- 위협 지표 – 실제 악용 활동 반영
- 환경 지표 – 조직의 맥락에 따라 심각도를 사용자 지정합니다.
- 추가 지표 – 추가 대응 관련 맥락 제공
각 그룹은 취약점 평가 및 대응 워크플로우 내에서 고유한 목적을 수행합니다.
CVSS 기본 지표란?
기본 메트릭은 외부 조건과 관계없이 취약점의 고유한 심각도를 측정합니다. 취약점을 악용하는 것이 얼마나 어려운지와 악용이 발생할 경우의 잠재적 영향을 평가합니다.
기본 지표는 일반적으로 제품 공급업체가 평가하며 정의된 후에는 시간이 지남에 따라 안정적으로 유지됩니다. CVSS v4.0에서 기본 지표는 명확성과 세분화를 개선하여 보다 정확한 심각도 채점을 가능하게 했습니다.
CVSS 위협 지표란?
위협 지표는 실제 상황에서 취약점이 얼마나 적극적으로 악용되고 있는지 평가합니다. 이 메트릭 그룹은 익스플로잇 코드가 존재하는지와 악용이 야생에서 관찰된 적이 있는지에 초점을 맞춥니다.
위협 활동은 시간이 지남에 따라 변하기 때문에 위협 메트릭은 본질적으로 동적이며 일반적으로 위협 인텔리전스 및 운영 컨텍스트를 사용하여 취약점 소비자에 의해 평가됩니다.
주요 고려 사항은 다음과 같습니다.
- 익스플로잇 코드의 가용성
- 적극적 또는 광범위한 착취의 증거
CVSS 환경 지표란?
환경 지표는 조직의 특정 환경에 맞게 취약점 심각도를 조정합니다. 또한 해당 조직 내에서 기밀성, 무결성 및 가용성에 영향을 받는 시스템이 얼마나 중요한지 설명합니다.
결과적으로 환경 메트릭 점수는 시스템 역할, 비즈니스 영향 및 운영 제약에 따라 조직 간에 크게 다를 수 있습니다.
CVSS 보충 지표란 무엇입니까?
추가 지표는 취약점 대응 결정을 지원하기 위한 추가 상황 정보를 제공합니다. CVSS 점수 계산에는 영향을 미치지 않지만 개선 계획에 대한 귀중한 통찰력을 제공합니다.
보완 지표로 파악된 요인의 예는 다음과 같습니다.
- 공격 자동화 수준
- 회복의 복잡성
- 영향을 받는 시스템을 복원하는 데 필요한 노력
이러한 지표는 조직이 심각도 평가에서 실제 대응 계획으로 이동하는 데 도움이 됩니다.
CVSS v4.0에는 어떤 유형의 CVSS 점수가 존재합니까?
CVSS v4.0은 다양한 메트릭 그룹 조합을 기반으로 여러 악보 유형을 지원합니다. 이를 통해 조직은 기준, 환경 및 실시간 위협 관점에서 취약점 심각도를 평가할 수 있습니다.
주요 CVSS 점수 유형은 다음과 같습니다.
- CVSS-B – 기본 점수만
- CVSS-BE – 기본 + 환경
- CVSS-BT – 기본 + 위협
- CVSS-BTE – 기본 + 위협 + 환경
예를 들어, 자체 환경 내에서 취약점 심각도를 평가하는 조직은 일반적으로 CVSS-BE에 의존하는 반면, 활성 위협 인텔리전스를 통합하는 조직은 CVSS-BTE를 사용합니다.
CVSS v3.1과 비교하여 CVSS v4.0의 변화는 무엇입니까?
CVSS v4.0은 CVSS v3.1에서 잘 문서화된 과제를 해결하기 위해 개발되었습니다. 시간이 지남에 따라 CVSS v3.1은 최신 시스템 및 위협 조건에 점점 더 잘못 배치되었습니다.
우선 다음을 포함한 몇 가지 주요 문제를 파악했습니다.
- 위험 분석을 위한 기본 점수에 대한 의존도 초과
- 일시적(현재 위협) 지표의 제한된 영향
- 실시간 위협에 대한 불충분한 표현
- OT, ICS 및 안전에 중요한 시스템에 대한 적용 가능성 부족
- “높은” 및 “중요한” 범위의 과도한 점수 클러스터링
- 제한된 점수 세분화
- 복잡하고 직관적인 채점 방법
명확성을 위해 FIRST가 발표하고 요약 및 번역한 CVSS v3.1의 과제.
이러한 변화가 CVSS v4.0을 어떻게 개선합니까?
CVSS v4.0에 도입된 업데이트를 통해 취약점 점수가 더 정확하고 실행 가능하며 관련성이 있습니다. 각 변경은 이전 버전에서 식별된 제한을 직접 대상으로 합니다.
주요 개선 사항은 다음과 같습니다.
- 기본 메트릭 내에서 세분화 증가
- 모호한 다운스트림 채점 논리 삭제
- 채점 영향력이 더 큰 간소화된 위협 지표
- 대응 지원을 위한 보완 지표 소개
- OT, ICS 및 IoT 환경에 대한 확장된 적용 가능성
첫 번째는 CVSS v4.0이 “실제 활용 조건과 최신 시스템 아키텍처를 더 잘 반영”하도록 설계되었다고 언급합니다.
확장된 OT 커버리지가 CVSS v4.0에서 가장 중요한 변화인 이유는 무엇입니까?
CVSS v4.0의 가장 중요한 개선 사항은 운영 기술(OT) 환경을 명시적으로 포함하는 것입니다. 이는 물리적 안전에 영향을 미칠 수 있는 취약점을 공식적으로 설명하는 최초의 CVSS 버전입니다.
디지털 트랜스포메이션이 IT와 OT 간의 경계를 흐리게 함에 따라 산업 시스템의 취약점은 생산, 안전 및 인간의 삶에 직접적인 영향을 미칠 수 있습니다. CVSS v4.0은 안전 인식 메트릭과 다운스트림 영향 고려 사항을 통합하여 이러한 현실을 반영합니다.
조직은 CVSS v4.0을 효과적으로 사용하기 위해 어떻게 준비해야 합니까?
CVSS v4.0을 효과적으로 사용하려면 조직은 IT 및 OT 현실을 모두 고려하기 위해 취약점 관리 관행을 적용해야 합니다. CVSS v4.0은 가시성을 개선하지만 특히 OT 환경에서는 대응 과제가 남아 있습니다.
주요 차이점은 다음과 같습니다.
- OT 시스템은 패치보다 가용성과 안전성을 우선시합니다.
- 배포 환경은 종종 폐쇄되고 벤더 관리됩니다.
- 패치 적용이 불가능하거나 명시적으로 회피될 수 있습니다.
IT 및 OT 컨텍스트를 모두 이해하는 인력이 없으면 조직은 취약점 통찰력만으로 행동하는 데 어려움을 겪을 수 있습니다.
OT 자산 가시성 및 익스플로잇 방지가 중요한 이유는 무엇입니까?
OT 자산 가시성 및 익스플로잇 방지는 기존 패치가 실용적이지 않을 때 필수적입니다. 조직은 먼저 어떤 OT 자산을 소유하고 있는지 이해해야 관련 취약점을 관리할 수 있습니다.
효과적인 OT 취약점 위험 감소에는 일반적으로 다음이 포함됩니다.
- 포괄적인 OT 자산 검색
- 지속적인 네트워크 트래픽 모니터링
- OT 전용 센서 및 가시성 도구
- OT 중심 침입 방지 시스템(IPS)을 통한 가상 패치
이러한 제어는 취약점이 패치를 통해 해결될 수 없는 경우에도 악용을 방지하고 위험을 줄이는 데 도움이 됩니다.
CVSS 및 취약성 위험 우선순위 지정에 대한 지원은 어디에서 받을 수 있습니까?
Trend Vision One™은 기본적인 CVSS 점수를 뛰어넘는 사이버 위험 노출 관리(CREM) 솔루션을 제공하여 조직이 전체 공격 표면에서 위험을 이해하고 우선 순위를 지정하며 줄일 수 있도록 지원합니다. 취약점 심각도 점수와 실시간 위협 인텔리전스 및 상황별 위험 분석을 결합하여 보안 팀이 더 빠르고 현명한 결정을 내릴 수 있도록 지원합니다.
이 접근 방식은 IT, OT, 클라우드 및 하이브리드 환경에서 공격 표면 관리, 취약점 관리 및 보안 태세 평가와 같은 주요 기능을 통합합니다. 취약점을 식별하는 것뿐만 아니라 통찰력을 회복력을 강화하고 노출을 최소화하는 실행 가능한 단계로 전환하는 것입니다.
사이버 위험 노출 관리를 통해 다음을 수행할 수 있습니다.
- 가장 중요한 자산과 취약점에 대한 가시성 확보
- 이론적 점수뿐만 아니라 실제 위험을 기반으로 개선의 우선 순위 지정
- 선제적 위험 감소 전략을 통해 악용 가능성 감소
Fernando Cardoso 는 트렌드마이크로의 제품 관리 부사장으로, 끊임없이 진화하는 AI 및 클라우드 세계에 중점을 두고 있습니다. 그는 네트워크 및 영업 엔지니어로 시작하여 데이터 센터, 클라우드, DevOps 및 사이버 보안 분야에서 자신의 기술을 연마했으며, 이는 계속해서 열정을 불러일으키고 있습니다.
자주 묻는 질문(FAQ)
사이버 보안에서 CVSS는 무엇을 의미합니까?
CVSS는 Common Vulnerability Scoring System을 의미합니다. 소프트웨어 및 시스템의 보안 취약성 심각도를 측정하는 데 사용되는 표준화된 프레임워크입니다. CVSS는 조직이 취약점을 일관되게 비교하고 해결 노력의 우선순위를 정하는 데 도움이 되는 수치 점수를 제공합니다.
CVSS 점수란 무엇입니까?
CVSS 점수는 취약점의 심각도를 나타내는 숫자 값입니다. 점수는 0.0~10.0점 범위이며, 점수가 높을수록 위험이 높음을 나타낸다. 이러한 점수는 일반적으로 낮음, 중간, 높음 또는 중요로 분류됩니다.
CVSS 점수는 누가 사용합니까?
CVSS 점수는 전 세계 보안 팀, 벤더 및 취약점 데이터베이스에서 사용됩니다. 조직은 다양한 환경에서 패치 적용의 우선 순위를 지정하고, 사고 대응을 안내하며, 위험 기반 취약점 관리 결정을 지원하기 위해 이를 사용합니다.
CVSS v3.1과 CVSS v4.0의 차이점은 무엇입니까?
CVSS v4.0은 CVSS v3.1에 비해 정확성과 적용성을 개선합니다. 또한 더 큰 점수 세분화를 도입하고 위협 평가를 단순화하며 OT, ICS 및 IoT 환경에 대한 적용 범위를 확장하는 동시에 점수 모호성을 줄입니다.
CVSS v4.0의 메트릭 그룹은 무엇입니까?
C VSS v4.0에는 다양한 관점에서 취약점 심각도를 평가하는 4개의 메트릭 그룹이 포함되어 있습니다. 기본 메트릭, 위협 메트릭, 환경 메트릭 및 추가 메트릭이 있으며, 이는 더 많은 상황 인식 심각도 점수를 함께 지원합니다.