CVE와 CWE

I. CVE와 CWE 개념

CVE (Common Vulnerabilities and Exposure)CWE (Common Weakness Enumeration)
발견된 보안 취약점을 분석하여 체계적으로 정리한 보안 취약점 고유 번호CVE를 관리하는 MITRE 프로젝트로 주요 취약점, 보안 문제 정리 프로젝트

– CVE 표기방식: CVE + 취약점 발견 년도 + 취약점 고유번호

 

II. CVE와 CWE 세부 비교

항목CVECWE
목적– 취약점 사전, 코드
– 공통 명칭(혼선 방지)
– 취약점 분류 체계
– 카테고리 정리
분류
기준
– 취약점 발견년도
– 취약점 고유번호
– 뷰, 카테고리
– 취약점, 복합 요소
선정
기준
– MITRE 심사
– 취약점 수집 및 심사
– CWSS(정량 평가)
– 약점, 공격, 환경측면
내용– 보안 취약점 명칭
– 고유번호, 히스토리
– 취약점 정의, 설명
– 플랫폼, 빈도, 예제코드
사례– CVE-2017-5753(스펙터)
– CVE-2017-5754(멜트다운)
– CWE-700 (7PK)
– CWE-928 (OWASP Top10)

– CWE-700의 7PK 내용은 입력값 검증, 보안기능, 시간 및 상태, 에러 처리, 코드 오류, 캡슐화, API 오용의 SW 보안취약점

 

III. CVE와 CWE의 관계

관계도관계도 설명
– CVE (보안 취약점 코드)
– CWE (보안 취약점 카테고리)
– CAPEC (보안 취약점 공격 패턴)

– 취약점 공격 패턴 기반 카테고리로 분류하여 고유 코드화

 

IV. CWSS와 CVSS 한계점에 따른 국내 적용방안

구분한계점국내 적용방안
CWSS– SW특성, 용도 미반영
– 일반적 약점 형태
– 평가척도 기준 객관화
– 국내 S/W 환경 반영
– 파급범위, 대상분포 파악
– 피해 심각성/난이도 평가
CVSS– 기본 척도만 사용
– SW침해 영향에 국한

 

콘텐츠 사용 시 출처 표기 부탁 드리고, 댓글은 큰 힘이 됩니다^^