로그인 / 등록 Account

보안

CVE란?

CVE(Common Vulnerabilities and Exposures)는 공개적으로 알려진 컴퓨터 보안 결함 목록입니다. CVE를 지칭할 때는 일반적으로 보안 결함에 할당된 CVE ID 번호를 뜻합니다.

CVE는 IT 전문가들이 이러한 취약점에 우선 순위를 지정하고 해결하기 위해 협력하여 컴퓨터 시스템을 보다 안전하게 관리하도록 지원합니다.

CVE 시스템은 어떻게 작동할까요?

CVE는 미국 국토안보부 산하의 사이버 보안 및 인프라 보안국(Cybersecurity and Infrastructure Security Agency)의 재정 지원을 받아 MITRE Corporation에서 감독합니다.

CVE 항목은 간략합니다. 기술적인 데이터나 위험, 영향, 픽스에 대한 정보는 포함하지 않습니다. 이러한 세부 정보는 미국 국가 취약점 데이터베이스(U.S. National Vulnerability Database), CERT/CC 취약점 참고 데이터베이스(Vulnerability Notes Database), 그리고 벤더와 기타 조직에서 유지관리되는 다양한 목록을 비롯한 다른 데이터베이스에 나타납니다. 이러한 다양한 시스템 전반에서 CVE ID는 사용자들이 고유한 보안 결함을 다른 결함과 구별할 수 있는 신뢰할 수 있는 방법을 제공합니다.

CVE ID는 어떻게 보안 결함에 할당될까요?

CVE ID는 CVE 넘버링 기관(CVE Numbering Authority, CNA)에서 할당합니다. 주요 IT 벤더는 물론 보안 기업 및 리서치 조직을 대표하는 약 100개의 CNA가 있으며, MITRE 또한 CVE를 직접 발급할 수 있습니다.

CNA는 새로운 문제 발견 시 이를 연결하기 위해 준비되는 CVE 블록을 발행합니다. 매년 수천 개의 CVE ID가 발행되며, 운영 체제와 같은 하나의 복합 제품에 수백 개의 CVE가 축적될 수 있습니다.

CVE는 어디에서든 보고할 수 있습니다. 벤더, 연구원, 기민한 사용자 등이 결함을 발견하고 다른 사람들에게 알릴 수 있습니다. 많은 벤더가 책임 있는 보안 결함 공개를 권장하기 위해 버그 현상금을 제공하고 있습니다. 오픈소스 소프트웨어에서 취약점을 발견하는 경우에는 오픈소스 커뮤니티에 제출해야 합니다.

어떤 방법으로든 결함에 대한 정보는 CNA에 전달됩니다. CNA는 해당 정보에 CVE ID를 할당하고 참조 정보를 포함한 간략한 설명을 작성합니다. 그런 다음 CVE 항목이 CVE 웹사이트에 게시됩니다.

이 모든 단계는 즉각적으로 진행되지 못할 수 있습니다. 픽스를 개발하고 테스트할 때 까지 벤더가 보안 결함을 비밀로 유지하는 것은 일반적인 일입니다. 이는 공격자들이 패치가 적용되지 않은 결함을 악용할 수 있는 기회를 줄여줍니다.

공개된 CVE 항목에는 CVE ID("CVE-2019-1234567" 형식), 보안 취약점 또는 노출에 대한 간략한 설명, 취약점 보고서 및 권고 사항 링크가 포함될 수 있는 참조 정보가 포함됩니다.


CVE에 해당하는 조건은 무엇일까요?

CVE ID는 특정 기준을 충족하는 결함에 할당됩니다. 해당 기준은 다음과 같습니다.

1. 독립적으로 수정 가능.

다른 버그로부터 독립적으로 수정할 수 있는 결함입니다.

2. 피해입은 벤더의 확인.

소프트웨어 또는 하드웨어 벤더가 버그를 확인하고 보안에 부정적인 영향을 받은 경우입니다.

또는

문서화됨. 보고자가 버그의 부정적인 영향과 영향을 받은 시스템의 보안 정책을 위반한 버그에 대한 취약점 보고서를 공유한 경우입니다.

3. 하나의 코드베이스에 영향을 미침.

두 개 이상의 제품에 영향을 미치는 결함에는 별도의 CVE가 할당됩니다. 공유 라이브러리, 프로토콜 또는 표준의 경우, 취약점이 노출되지 않고는 공유 코드를 사용할 방법이 없는 경우 해당 결함에 하나의 CVE만 할당됩니다. 그렇지 않은 경우에는 영향을 받는 각각의 코드베이스 또는 제품에 고유한 CVE가 할당됩니다.


공통 취약점 등급 시스템이란 무엇인가요?

취약점의 심각도를 평가하는 방법은 여러 가지가 있습니다. 그 중 하나인 공통 취약점 등급 시스템(Common Vulnerability Scoring System, CVSS)은 취약점의 심각도를 평가하기 위해 번호를 할당하기 위한 오픈 표준입니다. 등급은 0.0에서 10.0까지 주어지며 숫자가 높을수록 취약점의 심각도가 더 높음을 나타냅니다. 많은 보안 벤더들 또한 자체적으로 등급 시스템을 갖추고 있습니다.

3가지 주요 사항

배포 환경 숙지. CVE가 존재한다고 해서 반드시 위험이 특정 환경 및 배포에 적용되는 것은 아닙니다. 각 CVE에 대한 정보를 읽고 운영 체제, 애플리케이션, 모듈, 사용자의 고유한 환경에서 설정된 사항에 적용(또는 부분적으로 적용)되는지를 검증하여 CVE가 사용자의 환경에 적용되는지를 파악해야 합니다.

취약점 관리 수행. 취약점 관리는 취약점을 식별, 분류, 우선 순위 지정, 문제 해결, 완화하기 위한 반복 가능한 프로세스입니다. 즉, 위험이 어떻게 조직에 영향을 주는지를 파악하면 미해결 취약점에 적절히 우선 순위를 지정할 수 있습니다.

커뮤니케이션에 대비. CVE는 취약점 자체는 물론 이를 해결하는 데 필요한 잠재적인 다운타임으로 인해 조직의 시스템에 영향을 미칩니다. 내부 고객과 커뮤니케이션하고 협력하여 사내의 중앙 위험 관리 부서와 취약점을 공유해야 합니다.

Red Hat은 CVE를 어떻게 사용할까요?

오픈소스 소프트웨어의 주요 기여자인 Red Hat은 지속적으로 보안 커뮤니티에 참여하고 있습니다. Red Hat은 CVE 넘버링 기관(CVE Numbering Authority, CNA)이며 CVE ID를 사용하여 보안 취약점을 트래킹합니다. Red Hat 보안은 자주 업데이트되는 오픈 보안 업데이트 데이터베이스를 유지관리하며 이는 CVE 번호로 표시됩니다.

Trust Red Hat

Learn about Red Hat’s commitment to protecting customer data and privacy

Red Hat 인프라 살펴보기

Red Hat Enterprise Linux logo

Red Hat Enterprise Linux는 새로운 애플리케이션 출시, 환경 가상화, 보안 하이브리드 클라우드 생성 등의 다양한 작업을 위한 안정적이고 입증된 기반이며 권위 있는 어워드를 수상한 Red Hat의 지원 서비스는 이를 더 강화합니다.

효율적이면서 규정을 준수하는 IT 운영을 위해 Red Hat 인프라를 가장 손쉽게 관리할 수 있는 방법입니다. 신뢰할 수 있는 콘텐츠 리포지토리와 프로세스를 마련하여 표준 기반의 안전한 환경을 구축하세요.