📌 1. CVE (Common Vulnerabilities and Exposures)
-
목적: 전 세계적으로 발생하는 소프트웨어 취약점에 고유 식별자를 부여하여 추적 가능하게 함.
-
내용: 각 CVE 항목은 고유한 번호(CVE-YYYY-NNNNN)를 갖고, 해당 취약점의 간략한 설명과 참조 링크 포함.
-
운영: MITRE Corporation, 미국 국토안보부(DHS) 후원
-
활용: 취약점 관리 시스템, 보안 도구, 패치 관리 등에서 핵심 참조 지표로 활용됨
📌 2. CWE (Common Weakness Enumeration)
-
목적: 소프트웨어 보안 취약점의 유형과 근본적인 설계/코딩 결함을 분류
-
예시: CWE-79 (XSS), CWE-89 (SQL Injection)
-
운영: MITRE
-
특징: 취약점의 패턴, 원인, 영향 등을 계층적 구조로 설명
-
활용: 정적 분석 도구, 보안 교육, 보안 설계 가이드에 사용
📌 3. DISA CC (Control Correlation Identifier)
-
목적: STIG에서 정의된 보안 통제 항목들을 다른 보안 프레임워크(예: NIST SP 800-53 등)와 연계 가능하게 매핑
-
운영: 미국 국방 정보 시스템국(DISA)
-
특징: 보안 통제 항목마다 고유한 CCI (예:
CCI-000213) 부여 → 여러 기준과 매핑 가능 -
활용: STIG 자동화 검사, 감사, 통합 정책 프레임워크 구축 시 사용
📌 4. FISMA (Federal Information Security Modernization Act)
-
목적: 미국 연방 정부 기관이 정보보안 프로그램을 갖추도록 법제화한 연방법
-
요구사항: 리스크 기반 접근, 연간 평가, 보안 관리 프레임워크 구축
-
기반 프레임워크: NIST SP 800-53, 800-37 등
-
대상: 미국 연방기관 및 연방 계약 업체
-
강제성: ✅ 강제 (법률)
📌 5. GDPR (General Data Protection Regulation)
-
목적: 유럽 시민의 개인정보 보호 강화 및 데이터 이동 통제
-
주요 권리: 알 권리, 삭제 요청권, 데이터 이식성 등
-
영향: 유럽 외 기업이라도 EU 시민의 데이터를 다루면 적용
-
벌칙: 최대 연매출의 4% 또는 2천만 유로
-
강제성: ✅ 매우 강제 (법률)
📌 6. MISRA (Motor Industry Software Reliability Association)
-
목적: 자동차 및 임베디드 시스템의 안전한 C/C++ 코딩 표준
-
주요 문서: MISRA C:2012, MISRA C++:2008
-
특징: 코드 품질 향상, 런타임 오류 방지, 인증 기반 시스템 설계 지원
-
활용: 자동차, 항공우주, 철도 등의 안전 필수 산업
📌 7. NIST (National Institute of Standards and Technology)
-
목적: 미국 연방 정부 표준, 특히 사이버 보안 정책 프레임워크 제공
-
주요 문서:
-
NIST SP 800-53: 보안 통제 프레임워크
-
NIST SP 800-171: 민간 계약업체용 정보 보호 요구사항
-
Cybersecurity Framework (CSF): 리스크 기반 보안 관리 지침
-
-
강제성: 일부 산업/정부 기관에 강제, 일반 기업은 참고용
📌 8. OWASP (Open Web Application Security Project)
-
목적: 웹 애플리케이션 보안 향상
-
주요 프로젝트:
-
OWASP Top 10: 가장 빈번한 웹 취약점 목록 (SQLi, XSS, CSRF 등)
-
ASVS, SAMM, ZAP 등
-
-
운영: 비영리 국제 커뮤니티
-
활용: 개발자 교육, 웹 보안 진단, 보안 설계 기준
📌 9. PCI DSS (Payment Card Industry Data Security Standard)
-
목적: 신용카드 결제 환경에서 카드 정보 보호
-
대상: 카드 결제를 처리, 저장, 전송하는 모든 기업
-
요구사항 예: 암호화, 접근 제어, 로그 기록 등
-
운영: PCI SSC (Visa, MasterCard 등 카드사 공동체)
-
강제성: ✅ 계약상 강제 (준수하지 않으면 벌금 및 결제 중단 가능)
📌 10. SANS Institute
-
목적: 사이버 보안 교육, 연구, 인증 제공
-
주요 콘텐츠:
-
SANS Top 25: CWE 기반의 심각한 소프트웨어 오류
-
GIAC 인증 프로그램
-
-
특징: 실무 중심의 보안 교육 과정으로 유명
-
활용: 보안 전문가 양성, 현업 보안 인식 제고
📌 11. STIG (Security Technical Implementation Guide)
-
목적: 미국 국방부 시스템에 대한 상세한 보안 설정 지침 제공
-
운영: DISA
-
포맷: XML, XCCDF 등 자동화 도구 연계 가능
-
적용 범위: OS, DBMS, 브라우저, 애플리케이션 등 광범위
-
강제성: ✅ 국방기관에는 강제
📊 종합 비교 표
| 항목 | 목적 | 대상/적용 범위 | 법적 강제성 | 운영기관 | 주요 활용 |
|---|---|---|---|---|---|
| CVE | 취약점 식별 | 전체 SW 취약점 | ❌ | MITRE | 취약점 관리 |
| CWE | 취약점 분류 | 보안 분석/코딩 | ❌ | MITRE | 정적 분석, 교육 |
| DISA CC | 보안 통제 매핑 | 국방 보안 기준 | ✅ (DoD) | DISA | STIG 매핑 |
| FISMA | 정보보호 법제화 | 미 연방기관 | ✅ | 미국 정부 | 보안 정책 수립 |
| GDPR | 개인정보 보호 | EU 시민 정보 | ✅ | EU | 프라이버시 보호 |
| MISRA | 안전한 코딩 | 자동차 등 산업 | ✅ (산업표준) | MISRA 협회 | 임베디드 개발 |
| NIST | 보안 프레임워크 | 정부·기업 | 조건부 ✅ | NIST | 정책/리스크 관리 |
| OWASP | 웹 보안 개선 | 개발자, 보안팀 | ❌ | 커뮤니티 | 보안 교육, 진단 |
| PCI DSS | 카드 정보 보호 | 카드 결제 기업 | ✅ (계약상) | PCI SSC | 보안 감사, 인증 |
| SANS | 보안 교육/연구 | 전문가, 기업 | ❌ | SANS | 교육, 인증 |
| STIG | 시스템 보안 설정 | 군·정부 IT | ✅ | DISA | 시스템 구성 가이드 |
🧠 정리 요약
-
기술적 취약점 관리: CVE, CWE, STIG
-
정보보호 법제화 및 정책: FISMA, GDPR, PCI DSS
-
보안 프레임워크 및 교육: NIST, OWASP, SANS
-
코딩 가이드라인/산업 규격: MISRA
-
정부/군사 전용 보안 기준: DISA CC, STIG