CVE란?

URL 복사

CVE(Common Vulnerabilities and Exposures)는 공개적으로 알려진 컴퓨터 보안 결함 목록입니다. CVE를 지칭할 때는 일반적으로 CVE ID 번호가 할당된 보안 결함을 뜻합니다.

벤더와 연구진이 발행하는 보안 권고 사항에는 최소 1개의 CVE ID가 거의 항상 언급됩니다. CVE를 통해 IT 전문가들은 이러한 취약점에 우선순위를 지정하고 해결하기 위해 협력하면서 컴퓨터 시스템을 최대한 안전하게 관리할 수 있습니다.

 

하이브리드 클라우드 보안 향상

1999년, 미국 정부의 지원을 받은 연구 및 개발 기업인 마이터 코퍼레이션(MITRE Corporation)은 소프트웨어 보안 버그를 보고하고 추적하는 통합 표준인 CVE 시스템을 개발했습니다. 

CVE 항목은 간략합니다. 기술적인 데이터나 위험, 영향, 픽스에 대한 정보는 포함하지 않습니다. 이러한 세부 정보는 미국 국가 취약점 데이터베이스(U.S. National Vulnerability Database, NVD), CERT/CC 취약점 참고 데이터베이스(Vulnerability Notes Database), 그리고 벤더와 기타 조직에서 유지관리되는 다양한 목록을 비롯한 다른 데이터베이스에 나타납니다.

이처럼 다양한 시스템 전반에서 CVE ID는 고유한 취약점을 인식하고 보안 툴과 솔루션 개발을 조정할 수 있는 신뢰할 수 있는 방법을 사용자에게 제공합니다. MITRE Corporation이 CVE 목록을 유지 관리하지만 CVE 항목이 되는 보안 결함은 오픈 소스 커뮤니티에 속한 조직과 구성원이 제출하는 경우가 많습니다.

CVE 식별자 정보

CVE 식별자(CVE ID)는 CVE 넘버링 기관(CVE Numbering Authority, CNA)에서 할당합니다. CNA는 약 100곳이 있으며 여기에는 보안 기업, 연구 조직과 Red Hat, IBM, Cisco, Oracle, Microsoft 등 주요 IT 벤더가 포함됩니다. MITRE 역시 CVE를 직접 발행할 수 있습니다.

CNA는 CVE ID가 발행된 블록으로, 새로운 문제 발견 시 CNA는 여기에 연결할 CVE ID를 예비해둡니다. 매년 수천 개의 CVE ID가 발행되며, 운영 체제(OS)와 같은 하나의 복합 제품에 수백 개의 CVE가 축적될 수 있습니다. 따라서 제품이 유지 관리 종료 단계(버그 픽스와 보안 패치 발행이 중단되는 시기)와 지원 종료 단계(모든 자사 지원이 종료되는 시기)에 들어갈 때 특히 취약합니다. 예를 들어 CentOS Linux 7이 2024년 7월 1일에 지원 종료 기간에 접어들었을 때 새로운 CVE가 하루 만에 발표되었습니다. 이는 정기적인 보안 패치와 업데이트를 수신하는 안정적인 OS로 마이그레이션하는 것이 얼마나 중요한지를 잘 보여줍니다.

CentOS Linux에서 Red Hat Enterprise Linux로 마이그레이션하기

벤더나 연구원은 물론, 일반 사용자라도 보안 결함을 발견하면 당연히 공개할 수 있습니다. 많은 벤더가 책임 있는 보안 문제 공개를 장려하기 위해 버그 현상금을 제공하고 있습니다. 오픈소스 소프트웨어에서 취약점을 발견한 경우 관련 커뮤니티에 제출해야 합니다.

어떤 방법으로든 결함에 대한 정보는 CNA에 전달됩니다. 그러면 CNA가 해당 정보에 CVE ID를 할당합니다. 마지막으로, 새로운 CVE가 CVE 웹사이트에 게시됩니다.

CNA는 보안 권고를 발표하기 전에 CVE ID를 할당하는 경우가 많습니다. 일반적으로 벤더는 픽스를 개발하고 테스트할 때까지 보안 결함을 공개하지 않습니다. 패치가 적용되지 않은 결함을 공격자가 악용할 수 있기 때문입니다.

공개된 CVE 항목에는 CVE ID('CVE-2019-1234567' 형식), 보안 취약점 또는 노출에 대한 간략한 설명, 취약점 보고서, 권고 사항 링크가 포함될 수 있는 참조 정보가 포함됩니다.

Red Hat 리소스

CVE 넘버링 기관 운영 규칙에 따르면, CVE ID는 특정 기준에 부합하는 결함에 할당됩니다. 결함의 필수 조건은 다음과 같습니다.

  • 독립적으로 수정 가능.
    결함은 다른 버그와 독립적으로 수정할 수 있습니다.
  • 피해를 입은 벤더를 통한 확인 또는 문서화.
    소프트웨어 또는 하드웨어 벤더가 버그의 존재를 인정하고 해당 버그가 보안에 부정적인 영향을 미친다고 확인합니다. 또는 보고자가 버그의 부정적인 영향과 더불어 해당 버그가 피해를 입은 시스템의 보안 정책을 위반했음을 증명하는 취약점 보고서를 공유해야 합니다.
  • 하나의 코드베이스에 영향을 미침.
    결함이 2개 이상의 제품에 영향을 미치는 경우 제품마다 별도의 CVE를 할당받게 됩니다. 공유 라이브러리, 프로토콜 또는 표준의 경우, 취약점이 노출되지 않고는 공유 코드를 사용할 방법이 없는 경우 해당 결함에 하나의 CVE만 할당됩니다. 그렇지 않은 경우에는 영향을 받는 각각의 코드베이스 또는 제품에 고유한 CVE가 할당됩니다.

취약점의 심각도를 평가하는 방법은 여러 가지가 있습니다. 그중 하나인 공통 취약점 등급 시스템(Common Vulnerability Scoring System, CVSS)은 취약점의 심각도를 평가하기 위해 번호를 할당하는 오픈 표준입니다. CVSS 점수는 NVD, CERT, 그리고 기타 조직에서 취약점의 영향을 평가하는 데 사용합니다. 등급은 0.0에서 10.0까지 주어지며 숫자가 높을수록 심각도가 더 높음을 나타냅니다. 많은 보안 벤더들 또한 자체적으로 등급 시스템을 갖추고 있습니다.

세 가지 핵심 사항 

배포 환경 숙지. CVE가 존재한다고 해서 반드시 위험이 특정 환경과 배포에 적용되는 것은 아닙니다. 각 CVE를 읽어 보고 조직 환경의 운영 체제, 애플리케이션, 모듈, 구성 등과 전체적으로 또는 부분적으로 관련이 있는지 확인해야 합니다.

취약점 관리 수행. 취약점 관리는 취약점을 식별, 분류, 우선순위 지정, 문제 해결, 완화하기 위한 반복 가능한 프로세스입니다. 즉, 위험이 어떻게 조직에 영향을 주는지를 파악하면 미해결 취약점에 적절히 우선순위를 지정할 수 있습니다.

커뮤니케이션에 대비. CVE는 취약점 자체는 물론 이를 해결하는 데 필요한 잠재적인 다운타임으로 인해 조직의 시스템에 영향을 미칩니다. 내부 고객과 소통 및 조율하고 사내의 중앙 리스크 관리 부서와 취약점을 공유해야 합니다.

Red Hat은 CVE를 어떻게 사용할까요?

오픈소스 소프트웨어의 주요 기여자인 Red Hat은 지속적으로 보안 커뮤니티에 참여하고 있습니다. Red Hat은 CNA이며 CVE ID를 사용하여 보안 취약점을 트래킹합니다. Red Hat Product Security는 자주 업데이트되는 오픈 보안 업데이트 데이터베이스를 유지 관리하며 이는 CVE 번호로 표시됩니다.

Red Hat CVE 데이터베이스 살펴보기

Red Hat Product Security는 Red Hat Customer Portal의 원시 보안 데이터에 대한 액세스를 Security Data API(애플리케이션 프로그래밍 인터페이스)를 사용해 머신이 사용할 수 있는 형식으로 제공합니다.

고객은 Red Hat이 만드는 보안 리포트와 메트릭뿐만 아니라, 이러한 원시 데이터를 통해 고유의 상황에 대한 자체적인 메트릭을 생성할 수 있습니다.

Security Data API가 제공하는 데이터는 개방형 취약점 및 평가 언어(OVAL) 정의, 공통 취약점 보고 프레임워크(CVRF) 문서, CVE 데이터를 포함합니다. 데이터는 XML 또는 JSON 형식으로 사용할 수 있습니다.

Red Hat Security Data API 설명서 액세스하기

허브

레드햇 공식 블로그

레드햇 공식 블로그에서 고객, 파트너, 커뮤니티 에코시스템 등 현재 화제가 되는 최신 정보를 살펴 보세요.

모든 Red Hat 제품 체험판

무료 제품 체험판을 통해 핸즈온 경험을 얻고, 자격증 시험에 대비하거나 해당 제품이 조직에 적합한지 평가할 수 있습니다.

추가 자료

암호 관리란?

암호 관리는 일상적인 운영 작업을 실행하는 데 필요한 민감한 정보의 기밀 유지를 보장하기 위한 방법입니다.

역할 기반 액세스 제어(RBAC)란 무엇인가요?

역할 기반 액세스 제어는 팀 또는 더 큰 조직 내 역할에 따라 시스템, 네트워크 또는 리소스에 대한 사용자 액세스를 관리하는 방법입니다.

클라우드 거버넌스란

클라우드 거버넌스는 클라우드 환경 전반의 효율적인 클라우드 사용, 보안, 컴플라이언스를 보장하는 정책을 설계하고 시행하는 프로세스를 말합니다.

보안 리소스

관련 기사