CCE vs. CVE vs. CWE
CCE, CVE, CWE는 모두 컴퓨터 시스템과 소프트웨어의 보안 취약점을 식별하고 분류하기 위한 표준화된 체계이다.
이 세 가지 개념은 각각 다른 측면의 보안 취약점을 다루고 있다.
| 구분 | CCE (Common Configuration Enumeration) | CVE (Common Vulnerabilities and Exposures) | CWE (Common Weakness Enumeration) |
|---|---|---|---|
| 정의 | 시스템 보안 구성 문제를 식별하고 추적하기 위한 표준 명명 체계 | 공개된 사이버 보안 취약점에 대한 표준 식별자 시스템 | 소프트웨어/하드웨어 보안 취약점의 유형을 분류하는 표준 목록 |
| 주요 목적 | 보안 구성 설정의 표준화된 참조 제공 | 특정 보안 취약점의 고유한 식별과 추적 | 취약점의 유형과 원인에 대한 분류 체계 제공 |
| 식별자 형식 | CCE-XXXX-X | CVE-YYYY-NNNNN | CWE-XXX |
| 사용 범위 | 시스템 구성 및 설정 | 특정 제품의 구체적 취약점 | 취약점의 유형과 분류 |
| 주요 내용 | - 구성 매개변수 - 권장 설정 값 - 구성 지침 | - 취약점 설명 - 영향받는 시스템 - 해결 방안 | - 취약점 유형 - 원인과 결과 - 완화 방법 |
| 구조 특징 | - 플랫폼별 구성 항목 - 기술적 메커니즘 - 검증 기준 | - 타임라인 기반 - 영향도 평가 - 참조 정보 | - 계층적 구조 - 다중 뷰 - 관계 정의 |
| 주요 활용 | - 보안 구성 관리 - 컴플라이언스 점검 - 시스템 강화 | - 취약점 관리 - 패치 관리 - 위험 평가 | - 보안 설계 - 코드 리뷰 - 취약점 분석 |
| 관리 주체 | NIST | MITRE | MITRE |
| 업데이트 주기 | 새로운 구성 항목 발견 시 | 새로운 취약점 발견 시 | 정기적 업데이트 |
| 연관 표준 | - SCAP XCCDF OVAL | - CVSS NVD SCAP | - CVE CAPEC SANS Top 25 |
| 주요 이점 | - 구성 표준화 - 자동화 지원 - 감사 효율성 | - 취약점 추적 - 명확한 의사소통 - 위험 관리 | - 체계적 분류 - 원인 분석 - 예방 가이드 |
| 한계점 | - 플랫폼 의존성 - 구성 복잡성 - 업데이트 지연 | - 공개된 취약점만 포함 - 시간 지연 - 상세도 차이 | - 추상적 성격 - 복잡한 분류 - 실제 적용 어려움 |
이러한 세 가지 표준은 각각 다른 관점에서 보안 취약점을 다루며, 서로 보완적인 관계를 가지고 있다.
- CCE는 시스템 구성
- CVE는 특정 취약점
- CWE는 취약점 유형
을 다룸으로써 전체적인 보안 관리 체계를 구성한다.