1. 개요
CVE를 직역하면 공통 취약성 식별자 의미를 가지는데, 일반적으로는 취약성 네이밍 스키마, 취약성 넘버링 등 불리기도 한다. CVE 형태는 비영리 회사인 MITRE 社에서 1999년 만들고, 데이터베이스화 하여 운영하기 시작했다. 이 운영을 눈 여겨 보던 NIST(미국 국립 표준 기술 연구소)는 NVD(국가 취약성 데이터베이스)를 만들어 협력체계를 구축하기 시작했다.
협력 체계를 구축한 시기가 2002년도인데, 그 주변해의 사건 사고들을 살펴보면 다음과 같다. 2001년도 인터넷 익스플로러 6가 최초로 보안 업데이트를 진행했으며, 2002년도에는 iDefense에서 취약성을 사고 파는 VCP(Vulnerability Contributor Program) 즉, 버그 바운티의 활성화가 시작되었다. 또한 퍼징의 시대를 알린 Dave Aitel의 SPIKE 퍼저가 만들어진 시기가 2002년도이다.
이 당시 취약성과 웜 악성코드를 이용한 피해 사례들이 정점을 찍은 계기도 있다. 2001년 Code Red 웜이 MS IIS 웹 서버를 대상으로 공격하여 하루에 약 359,000대의 웹 서버를 감염시켰다. 2003년에는 슬래머 웜, 버스터 웜 같은 웜이 추가로 발생하여 취약성을 이용한 공격이 진행되었다. 국내에서도 슬래머웜에 의해 인터넷 서비스가 마비되는 1.25 대란이 발생했었다. 그 외 BoF를 이용한 웜(2004), XSS 취약성을 이용한 웜(2005) 등 발생하게 되었다.
CVE 코드가 붙을 수 있는 요소는 "소프트웨어 취약성"이다. 소프트웨어는 하드웨어의 반대 개념으로 "컴퓨터가 읽고 쓸 수 있는 모든 것"으로 요약할 수 있다. 대표적인 예로 펌웨어, 미들웨어, 운영체제, 응용 프로그램 등 이며, 그렇기에 펌웨어 취약성, 미들웨어 취약성, 운영체제 취약성, 응용 프로그램 취약성 등 모두 CVE 코드를 받을 수 있다.
2. 목적
CVE 스키마 사용 목적은 당연히 공개적으로 알려진 보안 취약성에 대한 고유한 식별 표기 형식을 제공하는 것이다. 고유 식별코드이기 때문에 취약성에 대한 정보들을 통합시킬 수 있다. 또한 관리자, 사용자, 분석가 등 취약성에 대한 정보를 정확하게 파악할 수 있도록 도와주는 역할이 핵심이다.
3. 표기방법
CVE 표기 방법은 CVE-YYYY-NNNN 으로 구성된다. YYYY는 취약성이 발생한 년도, NNNN은 취약성 보고 순서를 의미한다. 예를 들면 CVE-2015-0235 라고 표기되어 있으면 2015년 235번째로 보고된 취약성 의미를 가진다.하지만 이러한 표기 방식의 문제는 2014년에 발생한다. 2014년 Mitre에 보고된 취약성의 개수가 9000개를 훌쩍 넘어버림으로써 1만번째 보고된 취약성에 대해 부여할 방법을 새롭게 모색해야만 했다. 새로운 표기방법을 만들자는 주장도 나왔었지만, 전세계적으로 표준처럼 사용되고 있기 때문에 CVE-YYYY 형태를 버릴 수 없었다. 그래서 2015년 1월 13일 CVE-YYYY-NNN…N 형태로 운영하기로 발표했다.
4. 이해 방법
취약성의 중요성이 증가되면서 다양한 기업에서 CVE 코드를 데이터베이스화 하여 운영하고 있으며, 국가별로 CVE 코드와 유사한 형태를 만들려고 노력하고 있다. 기업의 경우 MS 社에서는 MS085 형태로 자사의 취약성에 대해 다시 한번 고유번호를 부여하고 보안 업데이트를 제공한다. 국가의 경우 국내에서는 KrCVE 형태로 만들었다.
CVE는 Mitre에서 cve.mitre.org 도메인에서 운영하고 있다. 구글에서 CVE 코드를 검색하면 바로 찾을 수 있지만, 도메인(cve.mitre.org/cgi-bin/cvename.cgi?name=[CVE 넘버])을 외워두고 이용해도 무방하다. CVE 코드로 Mitre 데이터베이스를 이용하면 그림 1과 같이 볼 수 있다.
그림 1. Mitre 취약성 정보 제공 페이지
먼저 ① CVE 코드 번호와 NVD 연결 주소를 확인할 수 있다. MITRE와 NVD가 보여주는 정보는 다르다. MITRE에서 제공하는 정보를 또 다시 가공하거나 새로운 정보를 붙여 운영되는 곳이 NVD이기 때문이다. 그 다음 ② 해당 취약성에 대한 간략한 설명을 볼 수 있으며, 마지막으로 ③ 취약성과 관련된 참조할 수 있는 사이트들을 볼 수 있다.
5. 참조
- CVE 취약성 관련 영문 번역 자료 - http://www.hakawati.co.kr/72
- MITRE 소개 - https://cve.mitre.org/about/index.html
- 버그바운티 역사 - https://www.crowdcurity.com/blog/the-history-of-bug-bounty-programs/
- 국가별 취약성 관리 조사 보고서 - https://www.kisa.or.kr/jsp/common/libraryDown.jsp?folder=9011745
'Information Security > Security Information' 카테고리의 다른 글
드라이브-바이 다운로드 용어 정리 (2) | 2015.05.28 |
---|---|
CVSSv2 (Common Vulnerability Scoring System Version 2) (0) | 2015.05.19 |
전사적 정보보호 프레임워크에 관한 개인 위키 (0) | 2014.07.14 |
NIST Test Suites (0) | 2014.07.14 |
Honeypot과 Client Honeypot (0) | 2014.01.22 |