[정보보호] 취약점 3가지 유형 정리 (CVE - CCV- CWE)

취약점 종류를 다뤄보기에 앞서, 취약점과 함께 언급되는 '위협', '위험'에 대한 개념을 정리해보자. 

■ 취약점 관련 용어

취약점(Vulunerability)

: 위협에 의해 손실이 발생하게 되는 약점, 위협과 달리 조치가 가능함

위협(Threat)

: 손실의 원인을 제공할 수 있는 환경, 또는 요소를 말함

위험(Risk)

: 위협이나 취약점에 따라 발생 가능한 손실의 크기, 정보보호의 관리 타겟

자산(Asset)

: 조직에서 보유한 가치 있는 모든 것 (정보, 기술, 물리 자산, 서비스 인력 등)

 

자산 X 위협 X 취약점 = 위험

■ 3가지 취약점 유형

1) CCE (Common Configuration Enumeration)

시스템 설정상의 취약점으로, 이를 통해 허용된 권한 이상의 동작이 허용되거나, 필요 이상으로 정보 노출이 발생될 수 있다. 서버, 네트워크, DBMS 등 정보시스템의 설정값(Configuration)을 점검함으로써 진단한다. 

 

2) CVE(Common Vulnerabilities and Exposures)

공개적으로 알려진 보안 취약점 목록으로 주로 애플리케이션 진단을 통해 발견된다. 제조사의 공식 패치를 통해 개선되며 표준화된 CVE항목을  통하여 해당 서비스 적용 범위의 보안성을 평가할 수 있는 기준으로 삼을 수 있다.

3) CWE(Common Weakness Enumeration)

소프트웨어의 개발 단계에서 발생할 수 있는 취약점을 정의한 데이터베이스를 말한다. 주로 소스코드 취약점 진단을 통해 발견되며 개발자에 의한 코드 수정을 통해 개선이 이루어진다. 

---

참고 링크

[CVE 공개된 취약점] https://cve.mitre.org/

CVE - CVE

[CWE 소스코드 취약점] https://cwe.mitre.org/

CWE - Common Weakness Enumeration

[CCE 시스템 취약점] https://nvd.nist.gov/config/cce/index

NCP - CCE Details