📌 1. CVE (Common Vulnerabilities and Exposures)
-
목적: 개별 보안 취약점에 고유 식별자(ID)를 부여해 식별 가능하게 함
-
형식:
CVE-2024-12345 -
내용: 제품, 취약점 설명, 영향 범위 등 간략 정보
-
운영 주체: MITRE Corporation (미국 정부 후원)
-
사용 예: 보안 패치나 리스크 관리 도구에서 취약점을 지칭할 때 사용
📌 2. CWE (Common Weakness Enumeration)
-
목적: 보안 취약점의 근본 원인 또는 유형을 분류
-
형식:
CWE-79(예: 크로스 사이트 스크립팅) -
내용: 취약점이 발생하는 코드 설계나 구현상의 패턴
-
운영 주체: MITRE
-
사용 예: 보안 도구나 코드 리뷰 시 취약점의 패턴 분석
📌 3. KEV (Known Exploited Vulnerabilities Catalog)
-
목적: 실제로 공격에 사용된 CVE 목록을 관리
-
특징: 미국 CISA가 관리, 실질적 공격 위협이 높은 취약점만 포함
-
내용: 해당 취약점이 악용되었음을 확인한 공식 목록
-
사용 예: 정부 기관 및 기업 보안팀의 패치 우선순위 결정
📌 4. CVSS (Common Vulnerability Scoring System)
-
목적: CVE에 대한 정량적 심각도 점수 제공 (0.0~10.0)
-
버전: v3.1이 가장 많이 사용됨
-
측정 기준:
-
Base Score (기본 위험도)
-
Temporal Score (시간 변화 요인)
-
Environmental Score (환경별 영향)
-
-
운영 주체: FIRST.org
-
사용 예: 취약점 심각도 분류 및 패치 우선순위 결정
📌 5. EPSS (Exploit Prediction Scoring System)
-
목적: CVE가 향후 악용될 가능성을 확률로 예측
-
형식: 확률 값 (0 ~ 1), 예:
EPSS = 0.82→ 82% 악용 확률 -
운영 주체: FIRST.org
-
기반: 머신러닝 모델 + 과거 악용 데이터
-
사용 예: 패치 우선순위 결정 (KEV에 포함되지 않았더라도 위험 높은 것 선별)
✅ 요약 비교 표
| 요소 | CVE | CWE | KEV | CVSS | EPSS |
|---|---|---|---|---|---|
| 초점 | 개별 취약점 식별 | 취약점의 유형 또는 원인 | 실제 악용된 취약점 목록 | 취약점의 심각도 평가 | 악용 가능성 예측 |
| 형식 | CVE-YYYY-NNNNN | CWE-### | CVE 목록 | 0.0 ~ 10.0 점수 | 0.0 ~ 1.0 확률 |
| 운영 | MITRE | MITRE | CISA (미국 정부) | FIRST.org | FIRST.org |
| 활용 예 | 식별 및 추적 | 보안 분석/교육 | 패치 우선순위 설정 | 위험도 평가 | 악용 가능성 기반 대응 우선순위 |
🧠 정리
-
CVE: "무엇이 취약한가?"를 정의
-
CWE: "왜 그 취약점이 생겼는가?"를 분석
-
CVSS: "얼마나 심각한가?"를 점수화
-
EPSS: "공격 가능성이 얼마나 높은가?"를 예측
-
KEV: "실제로 악용됐는가?"를 확인