소프트웨어의 보안 취약점을 가리키는 표기법

2015년 1월 13일부터 새로운 CVE 체계 사용중  

[보안뉴스 민세아] 매번 새로운 보안취약점 패치가 업데이트 되거나 본지에서 매일 올라오는 버그리포트를 살펴보면 매번 눈에 띄는 문자가 있다. CVE라는 문자인데, 보안 취약점에는 여지없이 CVE로 시작하는 번호가 매겨져 있다.

CVE(Common Vulnerabilities and Exposure)는 공개적으로 알려진 소프트웨어의 보안취약점을 가리키는 고유 표기를 뜻한다. 이는 취약점을 가진 다른 도구, 저장소 및 서비스 간에 데이터를 공유하는 것이 목표다.

CVE 체계를 사용하기 이전에는 각 기관이나 업체마다 각자의 보안취약점을 가리키는 이름을 붙여 사용했으나 서로 체계가 다르다 보니 일관성이 없어 혼란스럽고 비효율적이었다.

CVE 체계는 미국 비영리 회사인 MITRE사에서 1999년 처음 만들어 운영하기 시작했다. 이후 미국 국립표준기술연구소(NIST)가 국가 취약성 데이터베이스(NVD)를 만들어 협력체계를 구축하면서 체계화되기 시작됐다.

CVE값은 CVE라는 문자에 취약점이 발견된 년도와 임의의 번호를 붙여 만들어진다. 이렇게 해서 연간 최대 9,999개의 취약점 식별번호를 지원할 수 있었다.

그런데 기존에 사용되던 CVE값으로 표현할 수 있는 취약점 개수가 한계에 다다랐다고 판단한 CVE편집위원회와 MITRE는 CVE가 10,000개 이상의 취약점에 이름을 매길 수 있도록 자릿수 제한을 없앴다. 이를 바탕으로 MITRE는 지난 2015년 1월 13일부터 CVE체계를 변경했다.

CVE 네이밍 체계의 변화는 CVE의 모든 사용자에게 영향을 미쳤다. 기존의 CVE 네이밍 자릿수에 딱 맞게 코딩을 한 상태라면 이러한 변화가 달갑지 않는 경우도 발생했다. 이에 따라 모든 취약점 감지 및 관리 툴, GRC 시스템, 패치 관리, 보안 정보 플랫폼 등 CVE 네이밍 체제가 적용되는 곳에 변화가 필요했기 때문.

또한, 늘어난 자릿수 때문에 CVE 값이 예상한 순서대로 정렬되지 않을 수 있다. 예를 들어 CVE-2014-12345는 CVE-2014-9999보다 나중에 매겨진 값이지만 CVE-2014-9999이전의 값으로 표현될 수 있다.

CVE값을 발급받는 방법은 크게 두 가지가 있다. 첫 번째는 상대적으로 규모가 큰 기업의 소프트웨어 보안취약점을 리포트하면 해당 기업이 보안 취약점을 패치하면서 자체적으로 CVE 발급기관에 연락해 CVE값을 발급해준다.

두 번째는 직접 CVE 발급기관에 요청하는 방법이다. 보안취약점을 발견해 CVE를 관리·운영하는 MITRE사에 요청을 하면 CVE 후보(CNA)로 등록된다. CVE 에디터는 주요 CNA에 대해 논의를 거쳐 CVE값을 발급할지 여부를 결정하게 된다.
 

[참고사이트]

1. HAKAWATI SECURITY LAB - http://www.hakawati.co.kr/348

2. 보안지킴이의 쉬운 정보보호 - http://k9699.blog.me/100165869319

3. 올바른 사회 만들기 - http://c8korea.blogspot.kr/2013/04/cvecommon-vulnerabilities-and-exposures.html

[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>