CVSS(Common Vulnerability Scoring System)

CVSS는 “공통 취약점 등급 시스템"의 약자로, 소프트웨어 취약점의 특성과 심각도를 파악하는 데 도움이 되는 표준화된 시스템이다.

주요 목적

  1. 취약점의 심각도를 표준화된 방식으로 평가
  2. 취약점 대응의 우선순위 결정에 도움
  3. 조직 간 취약점 정보 공유 및 소통 촉진

CVSS 점수 체계

CVSS 점수는 0.0에서 10.0 사이의 값으로 표현되며, 다음과 같이 분류된다:

  • 0.0-3.9: 낮음
  • 4.0-6.9: 중간
  • 7.0-8.9: 높음
  • 9.0-10.0: 심각

CVSS 메트릭 그룹

CVSS 점수는 다음 세 가지 메트릭 그룹으로 구성된다:

  1. 기본 메트릭: 취약점의 불변하는 특성을 평가
    • 공격 벡터 (예: 네트워크를 통한 공격, 인접 네트워크에서의 공격, 로컬 접근이 필요한 공격, 물리적 접근이 필요한 공격)
    • 공격 복잡성 (예: 쉬운 공격, 어려운 공격)
    • 필요한 권한 (예: 권한 불필요, 낮은 권한 필요, 높은 권한 필요)
    • 사용자 상호작용
    • 범위
    • 기밀성 영향
    • 무결성 영향
    • 가용성 영향
  2. 시간 메트릭: 시간에 따라 변하는 취약점의 특성을 평가
    • 공격 코드 성숙도 (예: 악용 코드 존재, 기능적 악용 코드, 개념 증명 코드, 악용 불가능)
    • 수정 수준 (예: 해결책 없음, 임시 해결책, 임시 패치, 공식 패치)
    • 보고서 신뢰도
  3. 환경 메트릭: 사용자의 특정 환경에서의 취약점 영향을 평가
    • 보안 요구사항 (기밀성, 무결성, 가용성)
    • 수정된 기본 메트릭 (예: 수정된 공격 벡터, 수정된 공격 복잡성)
      이러한 메트릭을 종합적으로 고려하여 0.0에서 10.0 사이의 CVSS 점수가 산출되며, 점수가 높을수록 취약점의 심각도가 높음을 나타낸다.

CVSS의 활용

  1. 취약점 우선순위 결정
  2. 보안 패치 계획 수립

CVSS 버전

CVSS는 지속적으로 개선되어 왔으며, 주요 버전은 다음과 같다:

  • CVSS v1 (2005년)
  • CVSS v2 (2007년)
  • CVSS v3 (2015년)
  • CVSS v3.1 (2019년)
  • CVSS v4.0 (최근 발표)

CVSS의 장단점

장점:

  • 표준화된 취약점 평가 방법 제공
  • 취약점 관리의 우선순위 설정에 도움
  • 조직 간 취약점 정보 공유 용이

단점:

  • 환경적 요소를 충분히 반영하지 못할 수 있음
  • 점수 계산이 복잡할 수 있음
  • 버전에 따라 동일 취약점의 점수가 크게 달라질 수 있음

참고 및 출처