침해사고대응협의회, 새로운 CVSS 평가 시스템 발표

입력 : 2019-07-15 10:29

CVSS 3.0에서 CVSS 3.1로...여러 용어들 재정립하고 구축 쉽게 만들어
의료 분야 등 기존 CVSS 체계로 정확하게 평가할 수 없었던 분야도 보충돼

[보안뉴스 문가용 기자] 침해사고대응협의회(Forum of Incident Response and Security Teams, FIRST)가 지난 주말 공통취약점등급시스템(Common Vulnerability Scoring System, CVSS)의 새로운 버전인 3.1을 발표했다.


CVSS는 소프트웨어 취약점들의 심각성과 위험성을 평가하는 가장 보편적으로 퍼져 있는 표준 시스템으로, 보안과 관련된 각종 오류의 유형과 특징, 그 영향력들을 보다 간편하게 소통하고 공유하는 데 사용된다.

침해사고대응협의회가 바로 직전 버전인 CVSS v3을 발표한 건 2015년 6월의 일이었다. 당시 침해사고대응협의회는 소프트웨어와 각종 네트워크의 현대화에 맞춰 새로운 평가 시스템을 발표한 것이고, 점수를 매기는 방법과 점수의 일관성을 유지하는 방법도 포함시켰었다.

CVSS v3.1은 v3을 계승하면서도 업그레이드하기 위해 만들어진 것이지만, 가장 큰 목적은 보안 커뮤니티 내에서 CVSS 점수 체계가 보다 쉽게 적용될 수 있도록 하는 것이었다고 한다.

“일부 용어들에 대한 정의가 보다 명확하게 재구성되고, 이전보다 풍부한 설명을 첨가했습니다.” 침해사고대응협의회의 설명이다. 여기에는 다음과 같은 용어들이 포함된다.
1) 공격 벡터(attack vector)
2) 필요 권한(Privileges Required)
3) 범위(Scope)
4) 보안 필수요소(Security Requirements)

“이번에 발표한 CVSS는 ‘CVSS 확장 프레임워크(CVSS Extensions Framework)’라고도 불립니다. 취약점에 대한 점수를 매기는 주체가 사용할 수 있는 새로운 측정법이 추가됐습니다. 기존의 ‘기초 측정법(Base Metrics)’, ‘시간적 측정법(Temporal Metrics)’, ‘환경 측정법(Environmental Metrics)’ 등은 그대로 유지되고 있습니다. 현재 CVSS 점수 시스템에 포함되어 있지 않던 프라이버시, 안전, 자동차, 의료 건강 등의 요소가 더해졌다고 볼 수 있습니다.”

의료 건강 분야와 산업 분야에서 종사하고 있는 사이버 보안 전문가들은 꾸준히 “현재 CVSS 점수 체계만으로는 온전치 않다”는 의견을 주장해왔다. 취약점이 가진 위험성이 현 CVSS로는 제대로 표현되지 않으며, 따라서 위험 요소들을 다루는 데 있어 잘못된 결과를 초래할 수 있다는 것이다. 이 두 가지 분야에서는 취약점이 생명과도 직결되기 때문에 기술적으로만 취약점을 평가하는 게 부적절하기도 했었다.

침해사고대응협의회는 이번 CVSS v3.1에 상세한 사양 설명서, 계산기, 사용 설명서, 사용자 가이드, 각종 사례도 포함시켰다. CVSS의 용어 설명서도 업데이트 되었으며, 이를 통해 각종 새로운 용어들이 소개되기도 했다.

침해사고대응협의회는 올 해 안으로 CVSS 점수 체계와 3.1 버전에 대한 온라인 훈련 강좌도 개설할 계획이다. CVSS를 직접 다뤄본 경험이 없는 사람이라고 하더라도 CVSS를 활용할 수 있도록 만드는 것이 이 강좌의 목표라고 한다. CVSS v3.0 버전에 대한 온라인 강좌는 이미 존재하는 상태다.

“CVSS 체계의 가장 큰 목적은 취약점의 위험성을 가장 객관적으로 표현할 수 있는 정확한 방법을 수립하는 것입니다. 이 방법을 여러 번 반복하고 재활용할 수 있도록 하는 것 또한 CVSS 시스템을 만드는 목적이기도 합니다.” CVSS 분과회(CVSS Special Interest Group)가 정의한 CVSS의 목표다.

3줄 요약
1. FIRST, 새로운 CVSS 점수 체계 마련해서 발표. CVSS v3.1.
2. 보다 쉽게 도입될 수 있게 하는 것이 CVSS v3.1의 첫 번째 목표.
3. 그 다음은 새로운 용어 정립, 기존 용어 재정립, 의료와 산업 분야 관련 요소 추가.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  이재명 정부 첫 안보라인...국정원장 이종석...

• 2

  [이재명 정부에 바란다-③학계] “보여주기 ...

• 3

  당신의 개인정보를 초대합니다? 청첩장 위장한...

• 4

  [IP칼럼] 새 정부의 지식재산 전략에 대한...

• 5

  [SKT 해킹 사태] KT-LG유플러스 점검...

• 1

  삼성페이, 3시간 결제 오류...삼성 “보안...

• 2

  [이재명 정부에 바란다-③학계] “보여주기 ...

• 3

  [이재명 정부에 바란다-②업계] 사이버보안 ...

• 4

  이재명 정부 첫 안보라인...국정원장 이종석...

• 5

  [SKT 해킹 사태] KT-LG유플러스 점검...

• 1

  [구축사례] 제천시, 스마트 정보 안내 플랫...

• 2

  개인정보위, 디올·티파니 개인정보 유출 조사...

• 3

  우리 회사에 꼭 필요한 ‘개인정보보호 솔루션...

• 4

  [PIS FAIR 2025] 우리 회사에서 ...

• 5

  [PIS FAIR 2025] 문광석 정보공학...