2024. 6. 24. 21:11ㆍ매일의 성장 기록/IT 지식
CVSS 점수는 기초, 시간, 환경 등 3가지 메트릭 그룹으로 구성됩니다. 아래에서 각 그룹에 대해 알아보겠습니다.
기초 메트릭
기초 메트릭 그룹은 취약점의 특성을 나타냅니다. 이 특성은 여러 사용자 환경에서 동일합니다. 기초 메트릭 그룹은 악용가능성, 범위, 영향 등 3가지 하위 요소로 구성됩니다.
- 악용가능성 메트릭
- 공격 벡터: 공격 벡터는 취약점 악용에 필요한 접근의 수준을 나타냅니다. 원격으로 악용될 수 있는 취약점에 가장 높은 점수가, 물리적으로 접근해야만 악용 가능한 취약점에 가장 낮은 점수가 부여됩니다.
- 공격 복잡성: 이는 공격자가 성공적으로 취약점을 악용할 수 있는 통제의 범위를 벗어난 요인들에 따라 결정됩니다. 추가적인 노력을 기울여야 악용이 가능한 취약점에 높은 점수가, 그렇지 않은 취약점에는 낮은 점수가 부여됩니다.
- 필요한 권한: 이 점수는 공격자가 취약점을 악용하는 데 필요한 권한의 수준에 따라 결정됩니다. 공격자가 관리자 권한을 구해야 악용할 수 있는 취약점에 높은 점수가, 그 반대로 권한이 필요없는 취약점에는 최저 점수가 부여됩니다.
- 사용자 상호작용: 이는 공격자가 다른 사용자의 도움을 받아야 하는지 여부를 나타냅니다. 공격자가 외부 도움 없이 작업을 완료할 수 있을수록 점수는 높아집니다.
- 악용가능성 메트릭은 취약점을 악용하는 데 필요한 기술적 수단과 악용의 용이성을 나타냅니다.
이 메트릭은 공격 벡터, 공격 복잡성, 필요한 권한, 사용자 상호작용 등 4가지 하위 구성요소로 이루어집니다. - 범위
- 이는 시스템 내 여러 구성요소들 간에 영향을 주고받으면서 취약점이 발생할 가능성을 말합니다. 한 취약점에 대한 악용이 성공하면서 시스템의 다른 부분에 접근할 수 있는 경우 범위 점수가 높아집니다.
- 영향
- 기밀성 점수는 공격자가 악용 후 접근할 수 있는 데이터의 양에 따라 결정됩니다.
- 무결성은 공격자가 목표 시스템의 데이터를 조작할 수 있는 범위를 말합니다.
- 가용성 점수는 공격 후 승인된 사용자에 대한 시스템의 가용성에 따라 결정됩니다. 공격 후 사용자들이 시스템을 이용할 수 없는 경우 점수가 높아집니다.
- 영향은 공격의 결과를 가리키는 기초 메트릭입니다. 영향 메트릭의 하위 수치에는 기밀성, 무결성, 가용성이 있습니다.
시간 메트릭
시간 메트릭은 시간에 따라 변화하는 취약점의 특성을 반영합니다. 다만 여러 사용자 환경을 반영하지는 않습니다. 여기서는 현재 악용가능성과 대응 요소의 가용성을 중요하게 다룹니다. 시간 메트릭의 하위 구성요소에는 악용 코드의 성숙도, 대응 수준, 보고 신뢰도가 있습니다.
- 악용 코드의 성숙도: 취약점은 이를 악용할 방법이 존재하기 전까지 문제가 되지 않습니다. 하지만 악용 코드가 성숙하고 널리 퍼지면서 위험이 높아지고 이 점수도 높아집니다.
- 대응 수준: 이 점수는 적절한 대응책이 마련되어 해당 취약점을 해소할 수 있게 되면서 높아집니다.
- 보고 신뢰도: 이는 악용 가능한 실제 취약점의 존재에 대한 신뢰도를 나타냅니다.
환경 메트릭
이 메트릭은 사용자의 환경을 고려한 취약점의 특성을 나타냅니다. 이를 이용하여 보안 요건과 기초 메트릭의 조정에 따라 기초 CVSS 점수를 조정할 수 있습니다.
- 보안 요건: 기밀성, 무결성, 가용성의 측면에서 IT 자산의 중요성을 고려합니다. 이를테면 고객 데이터와 같은 핵심 자산의 취약점에는 권한이 없는 사용자 워크스테이션의 취약점보다 높은 점수가 부여됩니다.
- 수정된 기초 메트릭: CVSS 기초 메트릭은 조직이 취하는 완화 노력에 따라 조정할 수 있습니다. 외부 네트워크 연결 해제와 같은 해킹 시도를 막는 취약점 관리 기법을 통해 공격 벡터 메트릭 점수를 낮출 수 있습니다.
CVSS 점수
CVSS 점수는 0.0~10.0으로 부여합니다. 기초 점수는 악용가능성 점수와 영향 점수를 바탕으로 합니다. 이는 필수 점수이며 시간 및 환경 점수는 선택사항입니다. 다만 기초 점수는 시간 및 환경 메트릭을 통해 조정할 수 있습니다. 이를 통해 특정 환경 내 취약점에 대해 특정 시점의 심각성을 보다 깊이 이해할 수 있습니다.
즉 시간 및 환경 메트릭을 이용하여 보다 정확한 점수를 구할 수 있습니다. 기초 및 시간 메트릭은 취약점의 특성을 가장 정확히 이해하는 애널리스트나 벤더가 제공하는 것이 일반적입니다. 환경 점수는 자신의 컴퓨팅 환경 내 취약점의 영향을 가장 잘 알고 있는 최종 사용자인 조직이 계산합니다.
이 메트릭은 해커가 취약점을 감지했다는 가정 하에 점수를 부여합니다. 감지에 이용한 방법은 고려할 필요가 없습니다. 자세한 취약가능성, 영향, 범위 메트릭 배점 방식은 여기를 클릭해 확인해주세요.
CVSS v3.0 범주
| 심각도 | 기초 점수 범위 |
| 없음 | 0.0 |
| 낮음 | 0.1 – 3.9 |
| 중간 | 4.0 – 6.9 |
| 높음 | 7.0 – 8.9 |
| 심각 | 9.0 – 10.0 |
CVSS의 한계
CVSS 점수를 이용하면 취약점의 심각도를 파악하는 데 도움이 되지만 위험관리도구로 CVSS를 이용하기에는 몇 가지 문제가 있습니다. 그 중에서도 가장 중요한 문제는 기초 점수와 범주만 공개되며 이는 특정 환경에 취약점이 미치는 영향을 평가하기에 부족하다는 점입니다. CVSS 점수는 악용의 가능성이나 잠재적 영향을 반영하지 않습니다.
CVSS 점수가 높을 시 해당 취약점으로 강한 위험이 발생할 수 있다고 판단하지만 실제 위험의 정도는 상황에 따라 달라집니다. CVSS 점수는 배경상황과 시점을 반영하지 못하므로 특정 조직의 실제 상황도 반영하지 못합니다. 점수가 높은 특정 취약점이라도 특정 조직에는 악용하지 못할 수 있습니다. 반대로 점수가 낮은 취약점이라도 목표물에 따라 엄청난 영향을 미칠 수 있습니다.
즉 배경상황이 중요하며 점수에만 의존하지 않고 우리 조직에 중요한 자산을 모두 보호해야 합니다. 공격자들은 달성하려는 목표를 바탕으로 취약점을 악용합니다. 점수가 낮은 취약점을 악용하는 것이 해커에게 더 많은 이익을 줄 수 있으며 점수가 높은 취약점에만 초점을 맞추면 다른 핵심 데이터를 노출된 상태로 둘 수 있습니다.
보안팀은 이러한 폭넓은 상황을 고려하여 취약점의 우선순위를 부여해야 합니다. 최종 목적은 최고 CVSS 점수를 받은 취약점을 개선하는 데 모든 자원을 투입하는 것이 아니라 실제 상황에서 공격자가 악용할 가능성 있는 모든 취약점을 제거하는 것이어야 합니다.
'매일의 성장 기록 > IT 지식' 카테고리의 다른 글
| 클러스터(Cluster) & 클러스터링(Clustering) (1) | 2024.10.23 |
|---|---|
| 윈도우10 네트워크 공유폴더 접근오류 (조직의 보안 정책에서 인증되지 않은 게스트 엑세스를 차단하므로 이 공유 폴더에 액세스 할 수 없습니다) (1) | 2024.10.21 |
| PoC 와 BMT란? (0) | 2024.06.24 |
| VMWare OS 설치(가상공간) 리눅스 설치 순서 (0) | 2024.06.24 |
| 리눅스를 설치하기 위한 Dell 부팅 순서 변경 (0) | 2024.06.24 |