CVE / CVSS (Common Vulnerabilities and Exposures / Scoring System)

CVE / CVSS (Common Vulnerabilities and Exposures / Scoring System)

CVE(Common Vulnerabilities and Exposures): 공개된 보안 취약점의 표준 식별 체계, CVSS(Common Vulnerability Scoring System): 취약점의 심각도를 정량적으로 평가하는 점수 체계

특징: CVE는 고유 식별자(CVE-연도-번호) 부여, CVSS는 0~10점 심각도 점수화

구성요소: CVE ID(CVE-2021-44228 등): MITRE 관리, CVSS 점수(0~10): FIRST 관리, 벡터 문자열: 점수 산출 근거 표현

기술요소: 기본 지표(Base): 공격 벡터(네트워크/로컬)/복잡도/권한 필요/사용자 상호작용/영향(CIA), 시간 지표(Temporal): 익스플로잇 성숙도/패치 존재, 환경 지표(Environmental): 조직별 중요도 반영

CVSS 등급: Critical(9.0~10.0), High(7.0~8.9), Medium(4.0~6.9), Low(0.1~3.9)

적용사례: 취약점 추적/관리, 패치 우선순위 결정, 위험 평가, 보안 보고서

비교: CVE(식별자/무엇이 취약한가) vs CVSS(심각도/얼마나 심각한가) vs CWE(유형/왜 취약한가/근본 원인)

연관: 취약점 관리, 패치 관리, 위협 인텔리전스, NVD