CVE(Common Vulnerabilities and Exposures)

인터넷에서 PC 보안 기사나 보안 공고문을 보면 다음과 같은 용어를 자주 보게 됩니다.

[KISA의 보안 공지]

 

‘취약점 CVE-2018-4878’ 발견되었고 해당 취약점으로부터 어떤 공격을 당할 수 있으며 보안 업데이트 또는 패치를 통해 조치를 하라는 공지입니다.

 

취약점은 왜 생겨나며 ‘취약점 CVE-2018-4878’ 은 무엇일까요?

 

보통 해커나 악성코드 유포 자들은 공격 대상이 알아채지 않게 공격하는 것이 필요합니다. 때문에 보통 우리가 정상적으로 사용하는 소프트웨어들의 취약점을 발견해 공격을 시도하기도 합니다. 사용자들은 매번 사용하던 정상적인 소프트웨어이기 때문에 아무런 문제가 없다고 느끼겠지만 취약점들을 이용해 악성코드를 감염시키고 사용자의 PC의 정보를 탈취하기도 합니다.

 

이러한 해커로부터 발견된 취약점들은 소프트웨어 개발자들에게는 예상하지 못했던 취약점으로 자신들이 개발한 소프트웨어가 악용되고 있다는 사실을 깨닫고 취약점을 수정하는 패치를 하게 됩니다. 하지만 해커들 역시 공격을 위해 또 다른 취약점을 찾아 공격을 시도하게 되고 이러한 과정에서 다양한 소프트웨어에서 수많은 취약점들이 발견되게 됩니다.

 

처음에는 각 소프트웨어 회사나 각 기관 별로 고유의 취약점 이름을 통해 관리했지만 일관성이 없고 비효율적이었습니다. 때문에 많은 취약점들의 일관된 관리가 필요했고 CVE(Common Vulnerabilities and Exposures)라는 고유 표기가 탄생합니다. CVE는 미국의 비영리 회사인 MITRE社에서 1999년에 처음 만들어 운영을 했습니다. 이후 미국 국립표준기술연구소(NIST)가 NVD(국가 취약성 데이터베이스)를 만들어 협력체계를 구축하고 체계화하기 시작했습니다.

 

CVE 값의 표기 방식은 다음과 같습니다.

 

취약점 번호의 경우 그 취약점이 발견된 순서대로 번호가 매겨지게 됩니다. 취약점 번호는 최초 4자리 숫자였지만 2014년에 9000개 이상의 취약점이 발견되게 되면서 2015년부터 4자리 숫자 이상의 형태로 운영하기로 했습니다.

 

CVE는 ‘cve.mitre.org’에서 검색이 가능하며 다음과 같은 내용을 확인할 수 있습니다.

위 취약점은 우리나라의 문서편집 소프트웨어인 ‘한글’ 소프트웨어의 올해 발견된 취약점을 검색한 내용입니다.

 

- CVE-ID : CVE 번호와 미국 국립표준기술연구소(NIST)가 운영하는 NVD(국가 취약성 데이터베이스)의 링크를 연결해 두었습니다.

- Description : 해당 취약점의 내용을 간략히 설명하고 있습니다.

- References : 취약점에 대해 관련된 기관이나 소프트웨어 업체의 사이트를 연결해 두었습니다.

 

이제부터는 CVE 취약점 번호를 보고 왜 보안업데이트를 해야 하는지 알 수 있을 것입니다.