취약점 평가의 새 기준 될 수 있을까...시대상 반영하여 더 많은 평가 항목 추가

요약 : 보안 외신 시큐리티위크에 의하면 국제침해사고대응팀협의회(Forum of Incident Response and Security Teams, FIRST)가 CVSS 4.0을 공개했다고 한다. 기존 버전에 비해 보다 구체적이고 명확한 취약점 평가 기준을 수립하고, 그럼으로써 대응의 효과를 높이겠다는 것이 FIRST의 목적이다. 기본 평가 항목을 보다 세부적으로 나눔으로써 모호함을 줄였다고 FIRST 측은 발표했다. 또한 시대상을 반영해 OT와 ICS, IoT에 적용할 항목들도 추가했다고 한다.


배경 : FIRST는 100개가 넘는 국가의 650개 조직으로 구성된 비영리 단체다. CVSS는 소프트웨어 취약점들의 심각성을 나타내는 지표로, 현재 3.0 버전이 가장 널리 사용되고 있다. 하지만 CVSS만으로 취약점 관리의 우선순위를 결정하는 것에는 맹점이 있다는 지적도 보안 업계에서 계속해서 나오고 있다. CVSS 4.0은 이러한 지적을 수용한 것으로 기대 받고 있다.

말말말 : “CVSS 4.0은 현장에서 취약점을 관리하거나 위협 첩보를 다루는 책임자들의 입장에서 보다 나은 평가 기준이 될 것이라고 생각합니다.” -FIRST-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>