CVE란? CVE 관리 체계와 번호 부여 방식

CVE란 무엇인지와 CVE 관리체계와 번호 부여 방식에 대해 설명드리겠습니다. 보안 쪽에 관심이 있지 않다면 다소 내용이 어려울 수 있는데요 최대한 쉽게 풀어보겠습니다. 목차는 아래와 같습니다.

• CVE란
• CVE 관리체계
• CVE 번호 부여 방식

---

CVE란?

CVE(Common Vulnerabilities and Exposure)는 사용자에게 공개되는 컴퓨터 취약점 목록입니다. 누군가가 CVE를 언급하는 경우에는 CVE ID 번호가 할당된 특정 취약점을 의미합니다.

SW 개발업체와 연구자가 업데이트 해야만 한다고 경고하는 보안 조치 사항에는 거의 항상 하나 이상의 CVE ID가 언급됩니다. CVE는 IT 전문가가 컴퓨터 시스템의 보안을 강화하기 위해 취약점의 우선순위를 정하고 이를 해결하기 위해 시간과 노력을 배분하는 데 도움이 됩니다.

---

CVE 관리 체계

CVE 프로그램은 MITRE 기업에 의해 관리되는데, MITRE는 사이버 보안 및 인프라 보안국(CISA)의 자금 지원을 받습니다.

CVE 목록의 구성은 간단한데요. 리스트에는 기술 데이터나 위협 취약점에 대한 정보가 포함되지 않습니다. 세부 정보에 대해 알고 싶다면 미국 NVD(National Vulnerability Database), CERT/CC Vulnerability Notes Database 및 공급업체 및 기타 조직에서 유지 관리하는 다양한 목록의  데이터베이스를 확인하면 됩니다.

MITRE 기업은 통상 CVE 목록을 유지 관리하는 역할을 하며, CVE 리스트에 추가되는 취약점은 종종 오픈 커뮤니티에서 발굴되기도 합니다.

---

CVE 번호 부여 방식

CVE 식별자는 CVE 번호 지정 기관(CNA)에 의해 할당됩니다. Red Hat, Oracle, Cisco, IBM과 같은 주요 IT 업체와 보안 회사 및 연구 조직을 포함하여 약 100 여개의 CNA 기관이 있습니다. 이 중에서 MITRE는 CVE를 직접 발행 가능한 것이 특징이지요.

많은 SW 개발 회사는 SW에 대한 버그 발견 시 발견자에 대한 포상금을 제공하기도 하는데요. 오픈소스 소프트웨어에서 취약점이 발견된다면  해당 커뮤니티에 버그에 대해 게시하는 것이 좋습니다.,

아무튼 어떤 방법으로든, 결함에 대한 정보는 CNA로 전달됩니다. CNA는 취약점에 대해 ID를 할당하고 간단한 설명을 작성하고, 그다음 새 CVE가 웹 사이트에 게시됩니다.

일반적으로 보안 조치 사항이 공개되기 전에 CVE ID가 할당되는데요. 개발업체의 취약점이 수정될 때까지 CVE 리스트는 공개되지 않기에 공격자가 패치되지 않은 결함을 이용할 기회가 줄어듭니다.

---

지금까지 CVE는 무엇인지와 관리체계 및 번호 부여 방식에 대해 알아보았습니다. 다음 포스팅에서는 CVE 스코어링 시스템에 대해 알기 쉽게 설명드려 보겠습니다.