취약점 및 취약점별 유형에 대해 알아보겠습니다.

Ⅰ. 취약점 (Vulnerability) 이란 ?

 컴퓨터 시스템, 네트워크, 소프트웨어 또는 하드웨어에서 보안 위협에 취약한 부분을 가리킵니다. 이러한 취약점은 해커나 악의적인 공격자들이 시스템에 침입하거나 악용하는 데 사용될 수 있습니다. 취약점에 대해 적절한 보안 조치나 보완 패치를 하지 않는다면, 공격자가  기업이나 조직으로부터  관리자 권한 탈취, 서비스 장애, 데이터 유출·변조·삭제 등을 일으킬 수 있습니다.

 

Ⅱ. 취약점별 유형

ⅰ) CCE(Common Configuration Enumeration) 취약점

1. 정의 : 사용자에게 허용된 권한 이상의 동작을 허용하거나, 범위 이상의 정보 열람·변조·유출을 가능하게 하는 시스템 설정 상의 취약점

2. 진단 방법 : 정보시스템(서버, 네트워크, DBMS, WEB/WAS, PC 등)의 설정 값을 통해 진단

3. 참고 사이트: CCE에 대한 자세한 정보 및 식별자를 확인할 수 있는 공식 웹사이트나 NIST(National Institute of Standards and Technology)의 정보를 참고할 수 있습니다.

 

ⅱ) CVE (Common Vulnerabilities and Exposures) 취약점

1. 정의 : 컴퓨터 하드웨어 또는 소프트웨어 결함이나 체계, 설계상의 취약점

2. 진단 방법 : 어플리케이션(Microsoft, Adobe, Open SSL, Java, 등)의 취약점

3. 참고 사이트: CVE의 공식 웹사이트인 CVE 목록(https://cve.mitre.org/)이나 보안 업체의 취약점 데이터베이스를 확인할 수 있습니다.

 

ⅲ) CWE(Common Weakness Enumeration) 취약점

1. 정의: 다양한 소프트웨어 언어(C, C#, Java 등) 아키텍쳐, 디자인 설계, 코딩 등의 개발 단계에서 발생 가능한 취약점
2. 진단 방법: Web 서버 (HTML, ASP, JSP, PHP 등) 소스 취약점 지단
3. 참고 사이트: CWE에 대한 정보는 CWE 목록(https://cwe.mitre.org/)에서 확인할 수 있습니다.

ⅳ) CVSS (Common Vulnerability Scoring System) 취약점
1. 정의: CVSS는 취약점의 심각성을 평가하고 점수화하는 표준 메트릭스입니다.
2. 진단 방법: CVSS는 취약점에 대한 취약성 및 영향을 고려하여 계산되며, 보안 커뮤니티에서 사용되는 CVSS 계산기를 사용하여 취약점의 CVSS 점수를 결정할 수 있습니다.
3. 참고 사이트: CVSS에 대한 자세한 정보와 CVSS 계산기는 FIRST(Forum of Incident Response and Security Teams)의 웹사이트(https://www.first.org/cvss/)에서 확인할 수 있습니다.