본문으로 바로가기
반응형

CVE(Common Vulnerabilities and Exposures)


CVE는 Common Vulnerabilities and Exposures의 약자이다. 직역하자면 공통 취약점과 식별자인데, 한마디로 수많은 취약점을 공통화 하여 고유하게 넘버링을 한 것이다.

CVE는 모든 종류의 소프트웨어 취약성에 부여된다. 펌웨어, 미들웨어, OS, 어플리케이션(응용 프로그램) 등 모든 소프트웨어에서 발생하는 취약점들이 대상이 된다.


CVE가 정립되기 전에는 동일한 취약점에 대해 국가, 기업, 기관마다 각자의 기준에 맞게 이름을 붙였다.

이런 상황에서 비영리 회사인 MITRE에서 1999년에 취약점들을 공통화 한 뒤 이를 데이터베이스화하여 운영하기 시작했다.

큼직한 보안 사고들이 연달아 발생하자 2002년 NIST(미국 국립 표준 기술 연구소) 에서 NVD(국가 취약성 데이터베이스)를 만들어 MITRE와 협력체계를 구축하며 본격적으로 널리 사용되게 된다.


CVE를 사용하게 되면 알려진 보안 취약점들에 대한 공통 식별자를 파악할 수 있다. 고유한 코드이기 때문에 발생한 취약성들에 대한 정보를 파악하기 쉽고 관리, 대응하는 것에 도움이 된다.



CVE 표기법


CVE는 CVE-YYYY-NNNN 으로 표기한다. YYYY는 CVE가 등록된(취약성이 발견된) 년도이고 N은 해당 년도마다 부여된 취약점들의 넘버링이다.

기존에는 4자리의 N을 사용했지만, 만번째 이상 번호의 경우 5자리 이상이 될 수 있다.



CVE 코드 확인


발생한 취약성에 대한 CVE를 알고, 해당 취약성에 대한 정보를 얻는 방법은 여러 가지가 있다.

CVE코드를 구글링하면 많은 정보를 얻을 수 있지만, 공식적으로 MITRE사에서 제공하는 웹사이트에서 확인할 수 있다.

https://cve.mitre.org/cve/cve.html 에서 CVE코드를 검색하면 다음과 같은 정보를 얻을 수 있다.



1. CVE 코드 번호에 따른 NVD링크

동일한 CVE코드라도 MITRE와 NVD가 제공하는 정보는 차이가 있다. NVD에서는 MITRE의 정보에 추가적인 정보들을 더해 해당 취약성에 대한 데이터를 제공해 준다.


2. 해당 CVE 코드가 부여된 취약점에 대한 설명을 볼 수 있다.


3. 해당 취약점에 참고가 될 만한 Reference 사이트들을 제공해 준다.


반응형

 Other Contents