2018년 12월 19일
CVE와 CWE
I. CVE와 CWE 개념
CVE (Common Vulnerabilities and Exposure) | CWE (Common Weakness Enumeration) |
---|---|
발견된 보안 취약점을 분석하여 체계적으로 정리한 보안 취약점 고유 번호 | CVE를 관리하는 MITRE 프로젝트로 주요 취약점, 보안 문제 정리 프로젝트 |
– CVE 표기방식: CVE + 취약점 발견 년도 + 취약점 고유번호
II. CVE와 CWE 세부 비교
항목 | CVE | CWE |
---|---|---|
목적 | – 취약점 사전, 코드 – 공통 명칭(혼선 방지) | – 취약점 분류 체계 – 카테고리 정리 |
분류 기준 | – 취약점 발견년도 – 취약점 고유번호 | – 뷰, 카테고리 – 취약점, 복합 요소 |
선정 기준 | – MITRE 심사 – 취약점 수집 및 심사 | – CWSS(정량 평가) – 약점, 공격, 환경측면 |
내용 | – 보안 취약점 명칭 – 고유번호, 히스토리 | – 취약점 정의, 설명 – 플랫폼, 빈도, 예제코드 |
사례 | – CVE-2017-5753(스펙터) – CVE-2017-5754(멜트다운) | – CWE-700 (7PK) – CWE-928 (OWASP Top10) |
– CWE-700의 7PK 내용은 입력값 검증, 보안기능, 시간 및 상태, 에러 처리, 코드 오류, 캡슐화, API 오용의 SW 보안취약점
III. CVE와 CWE의 관계
관계도 | 관계도 설명 |
---|---|
– CVE (보안 취약점 코드) – CWE (보안 취약점 카테고리) – CAPEC (보안 취약점 공격 패턴) |
– 취약점 공격 패턴 기반 카테고리로 분류하여 고유 코드화
IV. CWSS와 CVSS 한계점에 따른 국내 적용방안
구분 | 한계점 | 국내 적용방안 |
---|---|---|
CWSS | – SW특성, 용도 미반영 – 일반적 약점 형태 | – 평가척도 기준 객관화 – 국내 S/W 환경 반영 – 파급범위, 대상분포 파악 – 피해 심각성/난이도 평가 |
CVSS | – 기본 척도만 사용 – SW침해 영향에 국한 |