ÀÇ·á ºÐ¾ß µî ±âÁ¸ CVSS ü°è·Î Á¤È®ÇÏ°Ô Æò°¡ÇÒ ¼ö ¾ø¾ú´ø ºÐ¾ßµµ º¸ÃæµÅ
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ħÇØ»ç°í´ëÀÀÇùÀÇȸ(Forum of Incident Response and Security Teams, FIRST)°¡ Áö³ ÁÖ¸» °øÅëÃë¾àÁ¡µî±Þ½Ã½ºÅÛ(Common Vulnerability Scoring System, CVSS)ÀÇ »õ·Î¿î ¹öÀüÀÎ 3.1À» ¹ßÇ¥Çß´Ù.
[À̹ÌÁö = iclickart]
CVSS´Â ¼ÒÇÁÆ®¿þ¾î Ãë¾àÁ¡µéÀÇ ½É°¢¼º°ú À§Ç輺À» Æò°¡ÇÏ´Â °¡Àå º¸ÆíÀûÀ¸·Î ÆÛÁ® Àִ ǥÁØ ½Ã½ºÅÛÀ¸·Î, º¸¾È°ú °ü·ÃµÈ °¢Á¾ ¿À·ùÀÇ À¯Çü°ú Ư¡, ±× ¿µÇâ·ÂµéÀ» º¸´Ù °£ÆíÇÏ°Ô ¼ÒÅëÇÏ°í °øÀ¯ÇÏ´Â µ¥ »ç¿ëµÈ´Ù.
ħÇØ»ç°í´ëÀÀÇùÀÇȸ°¡ ¹Ù·Î Á÷Àü ¹öÀüÀÎ CVSS v3À» ¹ßÇ¥ÇÑ °Ç 2015³â 6¿ùÀÇ ÀÏÀ̾ú´Ù. ´ç½Ã ħÇØ»ç°í´ëÀÀÇùÀÇȸ´Â ¼ÒÇÁÆ®¿þ¾î¿Í °¢Á¾ ³×Æ®¿öÅ©ÀÇ Çö´ëÈ¿¡ ¸ÂÃç »õ·Î¿î Æò°¡ ½Ã½ºÅÛÀ» ¹ßÇ¥ÇÑ °ÍÀÌ°í, Á¡¼ö¸¦ ¸Å±â´Â ¹æ¹ý°ú Á¡¼öÀÇ ÀÏ°ü¼ºÀ» À¯ÁöÇÏ´Â ¹æ¹ýµµ Æ÷ÇÔ½ÃÄ×¾ú´Ù.
CVSS v3.1Àº v3À» °è½ÂÇϸ鼵µ ¾÷±×·¹À̵åÇϱâ À§ÇØ ¸¸µé¾îÁø °ÍÀÌÁö¸¸, °¡Àå Å« ¸ñÀûÀº º¸¾È Ä¿¹Â´ÏƼ ³»¿¡¼ CVSS Á¡¼ö ü°è°¡ º¸´Ù ½±°Ô Àû¿ëµÉ ¼ö ÀÖµµ·Ï ÇÏ´Â °ÍÀ̾ú´Ù°í ÇÑ´Ù.
¡°ÀϺΠ¿ë¾îµé¿¡ ´ëÇÑ Á¤ÀÇ°¡ º¸´Ù ¸íÈ®ÇÏ°Ô À籸¼ºµÇ°í, ÀÌÀüº¸´Ù dzºÎÇÑ ¼³¸íÀ» ÷°¡Çß½À´Ï´Ù.¡± ħÇØ»ç°í´ëÀÀÇùÀÇȸÀÇ ¼³¸íÀÌ´Ù. ¿©±â¿¡´Â ´ÙÀ½°ú °°Àº ¿ë¾îµéÀÌ Æ÷ÇԵȴÙ.
1) °ø°Ý º¤ÅÍ(attack vector)
2) ÇÊ¿ä ±ÇÇÑ(Privileges Required)
3) ¹üÀ§(Scope)
4) º¸¾È Çʼö¿ä¼Ò(Security Requirements)
¡°À̹ø¿¡ ¹ßÇ¥ÇÑ CVSS´Â ¡®CVSS È®Àå ÇÁ·¹ÀÓ¿öÅ©(CVSS Extensions Framework)¡¯¶ó°íµµ ºÒ¸³´Ï´Ù. Ãë¾àÁ¡¿¡ ´ëÇÑ Á¡¼ö¸¦ ¸Å±â´Â ÁÖü°¡ »ç¿ëÇÒ ¼ö ÀÖ´Â »õ·Î¿î ÃøÁ¤¹ýÀÌ Ãß°¡µÆ½À´Ï´Ù. ±âÁ¸ÀÇ ¡®±âÃÊ ÃøÁ¤¹ý(Base Metrics)¡¯, ¡®½Ã°£Àû ÃøÁ¤¹ý(Temporal Metrics)¡¯, ¡®È¯°æ ÃøÁ¤¹ý(Environmental Metrics)¡¯ µîÀº ±×´ë·Î À¯ÁöµÇ°í ÀÖ½À´Ï´Ù. ÇöÀç CVSS Á¡¼ö ½Ã½ºÅÛ¿¡ Æ÷ÇԵǾî ÀÖÁö ¾Ê´ø ÇÁ¶óÀ̹ö½Ã, ¾ÈÀü, ÀÚµ¿Â÷, ÀÇ·á °Ç° µîÀÇ ¿ä¼Ò°¡ ´õÇØÁ³´Ù°í º¼ ¼ö ÀÖ½À´Ï´Ù.¡±
ÀÇ·á °Ç° ºÐ¾ß¿Í »ê¾÷ ºÐ¾ß¿¡¼ Á¾»çÇÏ°í ÀÖ´Â »çÀ̹ö º¸¾È Àü¹®°¡µéÀº ²ÙÁØÈ÷ ¡°ÇöÀç CVSS Á¡¼ö ü°è¸¸À¸·Î´Â ¿ÂÀüÄ¡ ¾Ê´Ù¡±´Â ÀÇ°ßÀ» ÁÖÀåÇØ¿Ô´Ù. Ãë¾àÁ¡ÀÌ °¡Áø À§Ç輺ÀÌ Çö CVSS·Î´Â Á¦´ë·Î Ç¥ÇöµÇÁö ¾ÊÀ¸¸ç, µû¶ó¼ À§Çè ¿ä¼ÒµéÀ» ´Ù·ç´Â µ¥ ÀÖ¾î À߸øµÈ °á°ú¸¦ ÃÊ·¡ÇÒ ¼ö ÀÖ´Ù´Â °ÍÀÌ´Ù. ÀÌ µÎ °¡Áö ºÐ¾ß¿¡¼´Â Ãë¾àÁ¡ÀÌ »ý¸í°úµµ Á÷°áµÇ±â ¶§¹®¿¡ ±â¼úÀûÀ¸·Î¸¸ Ãë¾àÁ¡À» Æò°¡ÇÏ´Â °Ô ºÎÀûÀýÇϱ⵵ Çß¾ú´Ù.
ħÇØ»ç°í´ëÀÀÇùÀÇȸ´Â À̹ø CVSS v3.1¿¡ »ó¼¼ÇÑ »ç¾ç ¼³¸í¼, °è»ê±â, »ç¿ë ¼³¸í¼, »ç¿ëÀÚ °¡À̵å, °¢Á¾ »ç·Êµµ Æ÷ÇÔ½ÃÄ×´Ù. CVSSÀÇ ¿ë¾î ¼³¸í¼µµ ¾÷µ¥ÀÌÆ® µÇ¾úÀ¸¸ç, À̸¦ ÅëÇØ °¢Á¾ »õ·Î¿î ¿ë¾îµéÀÌ ¼Ò°³µÇ±âµµ Çß´Ù.
ħÇØ»ç°í´ëÀÀÇùÀÇȸ´Â ¿Ã ÇØ ¾ÈÀ¸·Î CVSS Á¡¼ö ü°è¿Í 3.1 ¹öÀü¿¡ ´ëÇÑ ¿Â¶óÀÎ ÈÆ·Ã °Áµµ °³¼³ÇÒ °èȹÀÌ´Ù. CVSS¸¦ Á÷Á¢ ´Ù·ïº» °æÇèÀÌ ¾ø´Â »ç¶÷À̶ó°í ÇÏ´õ¶óµµ CVSS¸¦ È°¿ëÇÒ ¼ö ÀÖµµ·Ï ¸¸µå´Â °ÍÀÌ ÀÌ °ÁÂÀÇ ¸ñÇ¥¶ó°í ÇÑ´Ù. CVSS v3.0 ¹öÀü¿¡ ´ëÇÑ ¿Â¶óÀÎ °Á´ ÀÌ¹Ì Á¸ÀçÇÏ´Â »óÅ´Ù.
¡°CVSS ü°èÀÇ °¡Àå Å« ¸ñÀûÀº Ãë¾àÁ¡ÀÇ À§Ç輺À» °¡Àå °´°üÀûÀ¸·Î Ç¥ÇöÇÒ ¼ö ÀÖ´Â Á¤È®ÇÑ ¹æ¹ýÀ» ¼ö¸³ÇÏ´Â °ÍÀÔ´Ï´Ù. ÀÌ ¹æ¹ýÀ» ¿©·¯ ¹ø ¹Ýº¹ÇÏ°í ÀçÈ°¿ëÇÒ ¼ö ÀÖµµ·Ï ÇÏ´Â °Í ¶ÇÇÑ CVSS ½Ã½ºÅÛÀ» ¸¸µå´Â ¸ñÀûÀ̱⵵ ÇÕ´Ï´Ù.¡± CVSS ºÐ°úȸ(CVSS Special Interest Group)°¡ Á¤ÀÇÇÑ CVSSÀÇ ¸ñÇ¥´Ù.
3ÁÙ ¿ä¾à
1. FIRST, »õ·Î¿î CVSS Á¡¼ö ü°è ¸¶·ÃÇؼ ¹ßÇ¥. CVSS v3.1.
2. º¸´Ù ½±°Ô µµÀ﵃ ¼ö ÀÖ°Ô ÇÏ´Â °ÍÀÌ CVSS v3.1ÀÇ Ã¹ ¹ø° ¸ñÇ¥.
3. ±× ´ÙÀ½Àº »õ·Î¿î ¿ë¾î Á¤¸³, ±âÁ¸ ¿ë¾î ÀçÁ¤¸³, ÀÇ·á¿Í »ê¾÷ ºÐ¾ß °ü·Ã ¿ä¼Ò Ãß°¡.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>