¼öÄ¡ÈµÈ Ãë¾àÁ¡ Ư¼º...¼ÒÅë¿£ ÀåÁ¡ ÀÖÁö¸¸ Æò¸éÀûÀ̶ó´Â ´ÜÁ¡ ÀÖ¾î
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ¾ó¸¶ Àü ¼ö´ÉÀÌ ³¡³µ´Ù. ¼ö´ÉÀº ´ëÇÐ ÀÔÇÐÀ» À§ÇÑ Æò°¡ Á¦µµÀÇ ÇÑ °¡Áö ¹æ¹ýÀε¥, »ç½Ç ÀÌ ´ëÇÐ ÀԽà Æò°¡ Á¦µµ¶ó´Â °Ç ¸ðµç Á¤±Ç¿¡ ÀÖ¾î °ñÄ¡ ¾ÆÇ ¹®Á¦´Ù. ÀÌ ¹®Á¦ ¶§¹®¿¡ Á¤´ç ÁöÁöµµ°¡ °¥¸®±âµµ Çϸç, ÀÌ ¶§¹®¿¡ ¼öÇè»ýµéÀÇ °¢Á¾ Àλý °æ·Î°¡ ¹Ù²î±âµµ ÇÑ´Ù. °¡Ä¡¸¦ ¾î¶² ½ÄÀ¸·Î Æò°¡ÇÏ´À³Ä´Â ±×¸¸Å Áß¿äÇÏ°í ¹Î°¨ÇÑ ¹®Á¦´Ù.
[À̹ÌÁö = iclickart]
ÇöÀç º¸¾È ¾÷°è´Â Ãë¾àÁ¡À» ¹ß°ßÇÒ ¶§¸¶´Ù CVE ¹øÈ£¸¦ ºÎ¿©ÇÏ°í, CVSS Á¡¼ö¸¦ ¸Å±ä´Ù. ÃßÀûÀ» ¿ëÀÌÇÏ°Ô ÇÏ°í, ÆÐÄ¡ ¿ì¼±¼øÀ§¿¡ ´ëÇÑ ÀÌÇصµ¸¦ ³ôÀ̱â À§Çؼ´Ù. CVSS¶õ °øÅë Ãë¾àÁ¡ µî±Þ ½Ã½ºÅÛ(Common Vulnerability Scoring System)ÀÇ Áظ»·Î, Ãë¾àÁ¡ÀÇ À§Ç輺À» ³ªÅ¸³»´Â Ç¥ÁØÀ¸·Î ±»¾îÁ³´Ù. ±×·±µ¥ ÀÌ CVSS Á¡¼ö ¶§¹®¿¡ Ãë¾àÁ¡¿¡ ´ëÇØ À߸øµÈ »ý°¢À» °¡Áú ¼ö ÀÖ°Ô µÈ´Ù´Â ÁöÀûµéÀÌ ³ª¿À±â ½ÃÀÛÇß´Ù.
CVSS ½Ã½ºÅÛÀº ¡®CVSS ºÐ°úȸ(CVSS Special Interest Group)¡¯¿¡¼ °ü¸®ÇÏ´Â °ÍÀ¸·Î, ¡°Ãë¾àÁ¡ÀÇ °¡Àå Áß¿äÇÑ Æ¯¼ºÀ» ÀÌÇØÇÏ°í, ±×°Í¿¡ ¼öÄ¡·Î µÈ Á¡¼ö¸¦ ºÎ¿©ÇÔÀ¸·Î½á ½É°¢¼ºÀ» Ç¥±âÇϴ¡± ¼ºñ½º¸¦ Á¦°øÇÑ´Ù. Á¡¼ö´Â ´ÙÀ½°ú °°ÀÌ Å©°Ô ³× °¡Áö·Î ºÐ·ùµÈ´Ù.
1) ÀúÀ§Ç豺 : 0.1~3.9Á¡
2) ÁßÀ§Ç豺 : 4.0~6.9Á¡
3) °íÀ§Ç豺 : 7.0~8.9Á¡
4) Ä¡¸íÀû À§Ç豺 : 9.0~10.0Á¡
ÇöÀç CVSS ½Ã½ºÅÛÀº 3¹ø° ¹öÀü(CVSS v3)À¸·Î, »ç¿ëÀÚµéÀÌ °ø°Ý º¤ÅÍ, °ø°ÝÀÇ º¹À⼺, ÇÊ¿äÇÑ ±ÇÇÑ, »ç¿ëÀÚ Âü¿© Á¤µµ, °ø°Ý ¹üÀ§, ±â¹Ð¼º, ½ÇÁ¦¼º, °¡¿ë¼º µîÀÇ ¿ä¼ÒµéÀ» ¹ÙÅÁÀ¸·Î ±âº» Á¡¼ö¸¦ ¸Å±æ ¼ö ÀÖ°Ô ÇØÁØ´Ù. ÀÌ ±âº» Á¡¼ö(base score)´Â °íÁ¤ÀûÀ̸ç, º¯ÇÏÁö ¾Ê´Â´Ù. ¹Ý¸é Ãë¾àÁ¡¿¡´Â ½Ã°£¿¡ µû¶ó Ư¼ºÀÌ º¯ÇÏ´Â ºÎºÐµµ Á¸ÀçÇϴµ¥, ÀÌ´Â ÀͽºÇ÷ÎÀÕ ÄÚµåÀÇ ¿Ï¼ºµµ, º¹¿ø ³À̵µ, Ãë¾àÁ¡ º¸°íÀÚ(¹ß°ßÀÚ)ÀÇ Àڽۨ µîÀÇ ¿ä¼Ò¸¦ ¹ÙÅÁÀ¸·Î °è»êµÈ´Ù. À̸¦ ½Ã°£ Á¡¼ö(temporal score)¶ó°í ÇÑ´Ù. ¶Ç »ç¿ëÀÚÀÇ È¯°æ¿¡ µû¶ó º¯Çϴ Ư¼º¿¡ ´ëÇÑ Á¡¼ö °è»êµµ ÀÌ·ïÁø´Ù. Ãë¾àÁ¡¿¡ ¿µÇâÀ» ¹Þ´Â ÀÚ»êÀÇ Á߿伺, ±â¹Ð¼º, °¡¿ë¼º, ¹«°á¼º µî°ú °°Àº ¿ä¼Ò¸¦ ÅëÇØ °è»êµÇ¸ç, ȯ°æ Á¡¼ö(environmental score)¶ó°í ÇÑ´Ù.
CVSS Á¡¼ö, ¿Ö ¹®Á¦Àΰ¡
ÀÌ·¸°Ô CVSS Á¡¼ö °è»êÀº Åõ¸íÇÏ°Ô ÀÌ·ïÁöÁö¸¸, º¸¾È ¿¬±¸¿ø °³°³Àεé°ú º¸¾È Àü¹® ±â¾÷µéÀÌ ÃÖÁ¾ÀûÀ¸·Î ¹ßÇ¥µÈ CVSS Á¡¼ö¿¡ µ¿ÀÇÇÏÁö ¾Ê´Â °Ç ÈçÈ÷ º¼ ¼ö ÀÖ´Â ÀÏÀÌ´Ù. SCADA ½Ã½ºÅÛÀÇ º¸¾ÈÀ» Àü¹®À¸·Î ÇÏ´Â ·¡µðÇ÷οì(Radiflow)ÀÇ CEOÀÌÀÚ Ã¢¸³ÀÚÀÎ À϶õ ¹Ù¸£´Ù(Ilan Barda)´Â ¡°CVSS Á¡¼ö¶ó´Â °Ô ¿ø·¡´Â IT ½Ã½ºÅÛ¿¡¼ »ç¿ëµÉ ¸ñÀûÀ¸·Î °³¹ßµÆ°í, ±×·¡¼ »ê¾÷ ½Ã½ºÅÛ¿¡ Àû¿ëÇßÀ» ¶§ Á¤È®ÇÏÁö ¸øÇÒ ¶§°¡ ÀÖ´Ù¡±°í ¼³¸íÇÑ´Ù.
¶Ç ´Ù¸¥ »ê¾÷ º¸¾È ¾÷üÀÎ ³ëÁ¶¹Ì ³×Æ®¿÷½º(Nozomi Networks)ÀÇ °øµ¿ ⸳ÀÚ ¸ð·¹³ë Ä«·ê·Î(Moreno Carullo)´Â ¡°CVSS´Â Ãë¾àÁ¡ Á¡¼ö¸¦ Ç¥ÁØÈÇÑ´Ù´Â Å« °¡Ä¡¸¦ Áö´Ï°í ÀÖÁö¸¸, Ãë¾àÁ¡À» ¼³¸íÇÏ´Â ÇϳªÀÇ Âü°í ÀÚ·á Á¤µµÀϻӡ±À̶ó°í ¸»ÇÑ´Ù. ¡°CVSS Á¡¼ö¸¦ º¸¸é¼ ¡®ÀÌ Ãë¾àÁ¡ÀÌ ÀÌ·¸°Ô³ª À§ÇèÇÑ °ÍÀ̱¸³ª¡¯¶ó°í ÀÚµ¿À¸·Î »ý°¢ÇÒ °Ô ¾Æ´Ï¶ó, ¡®CVSS ¿î¿µÀÚµéÀº ÀÌ·± ½ÄÀ¸·Î »ý°¢ÇßÁö¸¸, ³»°¡ º¼ ¶©...¡¯À̶ó¸ç ÀÚ±â ÀڽŸ¸ÀÇ Á¡¼ö¸¦ ¸Å±æ ¼ö ÀÖ¾î¾ß ÇÕ´Ï´Ù. Ãë¾àÁ¡À̶õ °Ç Àý´ëÀûÀÎ °Ô ¾Æ´Ï¶ó ½Ã°£°ú ȯ°æ¿¡ µû¶ó ´Þ¶óÁö´Â °Å´Ï±î¿ä.¡±
º¸¾È ¾÷ü Æ÷ÁöƼºê Å×Å©³î·ÎÁö½º(Positive Technologies)ÀÇ SCADA Àü¹®°¡ÀÎ ÆĿ÷Π¿¡¹Ð¸®¾Æ´Ï(Paolo Emiliani)´Â ¡°CVSS Á¡¼ö´Â ƯÁ¤ »ê¾÷ ÇÁ·Î¼¼½º¿¡¸¸ Àû¿ëµÇ¾î¾ß ÇÑ´Ù¡±°í ÁÖÀåÇÑ´Ù. ¡°ÀÌ Á¡¼ö¸¦ °¡Áö°í ¸ðµç »ç¶÷µéÀÌ ¶È°°Àº ÆÐÄ¡ ¿ì¼±¼øÀ§¸¦ Á¤ÇÑ´Ù´Â °Ç ¸»ÀÌ µÇÁö ¾Ê½À´Ï´Ù.¡±
¶Ç ´Ù¸¥ º¸¾È ¾÷ü Ä«½ºÆÛ½ºÅ°(Kaspersky)ÀÇ Ãë¾àÁ¡ ¿¬±¸ Ã¥ÀÓÀÚÀÎ ºí¶óµð¹Ì¸£ ´Ù½´Ã¾ÄÚ(Vladimir Dashchenko)´Â ¡°ITÀÇ °üÁ¡¿¡¼ Ãë¾àÁ¡ÀÌ ¾ó¸¶³ª Å« ¹®Á¦Àΰ¡¸¦ ³ªÅ¸³»ÁÖ´Â ÀüÅëÀûÀÎ CVSS Á¡¼ö´Â IT ȯ°æ¿¡¼ À¯¿ëÇÒ ¼ö ÀÖ´Ù¡±°í ¸»ÇÑ´Ù. ¡°ÇÏÁö¸¸ ±×·¯ÇÑ ¿À·ù°¡ Å×Å©´ÏÄà ÇÁ·Î¼¼½º¿¡ ¹ÌÄ¡´Â Ãæ°ÝÀ̳ª ¹°¸®ÀûÀ¸·Î ³¢Ä¥ ¼ö ÀÖ´Â ¿µÇâÀº Á¡¼ö °è»ê¿¡ Æ÷ÇÔµÇÁö ¾ÊÀ¸¹Ç·Î ¿ÏÀüÇÑ °Ç ¾Æ´Õ´Ï´Ù.¡±
±×·¯¸é¼ ´Ù½´Ã¾ÄÚ´Â ¡°OT ¹× ICS ȯ°æÀÇ »ç¿ëÀÚµéÀº Ç×»ó ¡®IT ¹ö±×´Â OT ȯ°æ¿¡¼ ´Ù¸£°Ô ÀÛ¿ëÇÑ´Ù¡¯°í ¸»ÇÑ´Ù¡±¸ç ¡°¿Ö³ÄÇÏ¸é ±×°Ç »ç½ÇÀ̱⠶§¹®¡±À̶ó°í ¼³¸íÀ» Àմ´Ù. ¡°Ãë¾àÁ¡ÀÇ ÀáÀç·ÂÀº IT ȯ°æ°ú OT ȯ°æ¿¡¼ Å©°Ô ´Þ¶óÁý´Ï´Ù. °£´ÜÈ÷ ¼³¸íÇÏÀÚ¸é OT¿¡¼ ³ªÅ¸³ª´Â Ãë¾àÁ¡Àº ITÀÇ ±×°Í°ú ¸¶Âù°¡Áö·Î ±ÝÀüÀû ¼Õ½Ç·Î À̾îÁú »Ó¸¸ ¾Æ´Ï¶ó ¹°¸®Àû ÇÇÇØ¿Í ÀÎ¸í ¼Õ½Ç·Îµµ À̾îÁú ¼ö ÀÖ½À´Ï´Ù.¡±
º¸¾È ¾÷ü ¾îÇöóÀÌµå ¸®½ºÅ©(Applied Risk)ÀÇ ICS Àü¹®°¡ÀÎ Á¸ ¿¤´õ(John Elder)´Â ¡°IT¿Í ICS ȯ°æ ¸ðµÎ¿¡¼ CVSS Á¡¼ö°¡ À߸øµÈ °á°ú¸¦ À̲ø ¼ö ÀÖ´Ù¡±°í ÁÖÀåÇÑ´Ù. ¡°Ãë¾àÁ¡À̶ó´Â °Ç ¿©·¯ °¡Áö ÀͽºÇ÷ÎÀÕ ½Ã³ª¸®¿À¸¦ °¡Áö°í Àֱ⠸¶·ÃÀÌ°í, ¾î¶² ½Ã³ª¸®¿À¸¦ »ç¿ëÇÏ´À³Ä¿¡ µû¶ó °á°ú°¡ ´Þ¶óÁú ¼ö ÀÖ½À´Ï´Ù. ±×·¸´Ù°í CVSS Á¡¼ö°¡ ¹«¿ëÁö¹°À̶ó´Â °Ç ¾Æ´Õ´Ï´Ù. Ãë¾àÁ¡À» Æò°¡ÇÏ´Â µ¥ ÀÖ¾î ÁÁÀº ½ÃÀÛÁ¡ÀÌ µÇ´Â °Ç ºÐ¸íÇÕ´Ï´Ù.¡±
¾îÇöóÀÌµå ¸®½ºÅ©ÀÇ ¶Ç ´Ù¸¥ Àü¹®°¡ ½ÊÄÉ ¸á·¹¸¶(Sipke Mellema) ¿ª½Ã CVSS Á¡¼ö°¡ IT¿Í OT ¸ðµÎ¿¡ À߸øµÈ ÀÌÇظ¦ ½É¾îÁÙ ¼ö ÀÖ´Ù´Â µ¥ µ¿ÀÇÇÑ´Ù. ¡°ICSÀÇ °¡Àå Å« ¹®Á¦´Â ¹°¸®Àû º¸¾È ȤÀº ¾ÈÀü°ú ±²ÀåÈ÷ ¹ÐÁ¢ÇÏ´Ù´Â °Ì´Ï´Ù. ±×·±µ¥ CVSS¿¡´Â ÀÌ·¯ÇÑ Ç׸ñÀÌ ¾ø´Ù°í ÇÒ ¼ö ÀÖÁÒ. ¼Ò¼È ¿£Áö´Ï¾î¸µ °ø°Ý °°Àº °Ç ¾î¶»°Ô Á¡¼ö¸¦ ¸Å±æ ¼ö ÀÖÀ»±î¿ä? CVSS Á¡¼ö¿¡µµ ºóÆ´ÀÌ ÀÖ´Ù´Â °Ì´Ï´Ù.¡±
·¡µðÇ÷οìÀÇ CTOÀÎ ¿¹È£³ªÅº Å©ÇǸ£(Yehonatan Kfir)´Â ¡°ICS ȯ°æ¿¡ Àû¿ëÇÏ´Â °Ç ¡®È¯°æ Á¡¼ö¡¯°¡ ´õ ÀûÇÕÇÏ´Ù¡±´Â ÀÇ°ßÀÌ´Ù. ¡°ÇÏÁö¸¸ ȯ°æ Á¡¼ö´Â »ç¶÷µéÀÌ ÃÄ´Ùº¸Áöµµ ¾Ê½À´Ï´Ù. »ê¾÷ ½Ã½ºÅÛ¿¡¼ °¡Àå Áß¿äÇÑ °Ç °¡¿ë¼ºÀÌ°í, IT ½Ã½ºÅÛ¿¡¼ °¡Àå Áß¿äÇÑ °Ç ±â¹Ð¼ºÀ̶ó Ãë¾àÁ¡ÀÇ ¿µÇâÀÌ ´Ù¸¦ ¼ö¹Û¿¡ ¾ø½À´Ï´Ù. ±â¹ÐÀ» ´©Ãâ½ÃÅ°´Â Ãë¾àÁ¡ÀÌ IT¿¡¼± Å©°Ô ºÎ°¢µÉ ¶§, ICS¿¡¼´Â °øÀå °¡µ¿ Áß´ÜÀÌ °¡Àå ½É°¢ÇÑ ÇÇÇØ·Î À̾îÁú ¼ö ÀÖ½À´Ï´Ù.¡±
±×°Í ¸»°íµµ Å©ÇǸ£´Â ¡°Ã³À½ºÎÅÍ Ãë¾àÁ¡ ÀͽºÇ÷ÎÀÕÀÇ À§Ç輺À» ¼ýÀڷΠǥ½ÃÇÑ´Ù´Â °ÍºÎÅÍ°¡ ³í¶õÀÇ ´ë»ó¡±À̶ó°í µ¡ºÙ¿´´Ù. ¡°ÇöÀçÀÇ ¼öÄ¡´Â Áö³ »çÀ̹ö »ç°Çµé¿¡¼ºÎÅÍ ³ª¿Â Åë°èÀڷḦ ¹ÙÅÁÀ¸·Î °è»êµË´Ï´Ù. ±×¸®°í ¿©±â¼ ¸»ÇÏ´Â »çÀ̹ö »ç°ÇµéÀº ´ëºÎºÐ IT ³×Æ®¿öÅ©¿¡¼ ¹ß»ýÇÑ °ÍµéÀÌÁÒ.¡± ±× °á°ú ICS ½Ã½ºÅÛ È¤Àº Àåºñµé¿¡ Àû¿ëµÉ ¼ö ÀÖ´Â Ãë¾àÁ¡ Á¡¼ö¿¡´Â ÆíÆļºÀÌ ÀÖÀ» ¼ö¹Û¿¡ ¾ø´Ù. Åë°èÀÚ·á°¡ ÃæºÐÄ¡ ¾Ê±â ¶§¹®À̶ó´Â °Ô Å©ÇǸ£ÀÇ ¼³¸íÀÌ´Ù.
CVSS Á¡¼ö°¡ ÀÏÀ¸Å² ¿ÀÇصé
±×·¸´Ù¸é CVSS Á¡¼ö¸¸ ¹Ï°í ÀÖ´Ù°¡ À߸øµÈ ½ÇÁ¦ »ç·Ê°¡ ÀÖÀ»±î? º¸¾È ¾÷ü »çÀ̹ö¿¢½º(CyberX)ÀÇ ºÎȸÀåÀÎ µ¥À̺ñµå ¾ÑÄ¡(David Atch)´Â CVE-2015-5374°¡ ÁÁÀº ¿¹¶ó°í ¸»ÇÑ´Ù. ¡°¾Ç¸í ³ôÀº »ê¾÷ ½Ã½ºÅÛ¿ë ¸Ö¿þ¾îÀÎ Àδõ½ºÆ®·ÎÀ̾î(Industroyer) ȤÀº Å©·¡½Ã¿Àºê¶óÀ̵å(Crashoverride)°¡ ÀͽºÇ÷ÎÀÕÇÑ Ãë¾àÁ¡À¸·Î, µðµµ½º °ø°ÝÀ» °¡´ÉÇÏ°Ô ÇÑ °ÍÀ̾ú½À´Ï´Ù. ÇÏÁö¸¸ CVSS Á¡¼ö´Â 7.8Á¡ÀÌ °íÀÛÀ̾ú½À´Ï´Ù. ÀÌ Ãë¾àÁ¡ÀÌ ¹ß°ßµÈ Àåºñ´Â ¹ßÀü ÇÁ·Î¼¼½º¿¡¼ Áß´ëÇÑ ¿ªÇÒÀ» ¸Ã°í ÀÖ´Â °ÍÀ̾ú±â ¶§¹®¿¡ 7.8Á¡º¸´Ù ÈξÀ ³ôÀº Á¡¼ö¸¦ ¹Þ¾Æ¾ß Çß½À´Ï´Ù.¡±
Ä«½ºÆÛ½ºÅ°ÀÇ ´Ù½´Ã¾ÄÚ´Â CVE-2017-6021À» ²Å´Â´Ù. ½´³ªÀÌ´õ ÀÏ·ºÆ®¸¯(Schneider Electric)¿¡¼ ¸¸µç ¿¡ÄÚ½ºÆ®·°½´¾î Áö¿À SCADA ¿¢½ºÆÛÆ®(EcoStruxure Geo SCADA Expert) ¼ÒÇÁÆ®¿þ¾î¿¡¼ ¹ß°ßµÈ °ÍÀ̾ú´Ù. ÀÌ ¼ÒÇÁÆ®¿þ¾î´Â SCADA °ü¸®¸¦ ¿ø°Ý¿¡¼ ÇÒ ¼ö ÀÖ°Ô ÇØÁÖ´Â °ÍÀ¸·Î, ÀÌ Ãë¾àÁ¡Àº µðµµ½º °ø°ÝÀ» °¡´ÉÄÉ ÇØÁÖ¾ú´Ù. ¡°IT °üÁ¡¿¡¼´Â µðµµ½º °ø°ÝÀÌ º°°Å ¾Æ´Ñ °Íó·³ º¸ÀÔ´Ï´Ù¸¸, ICS¿¡¼´Â ´ë´ÜÈ÷ ½É°¢ÇÑ ¹®Á¦ÀÔ´Ï´Ù. ±×·¡¼ ÀÌ Ãë¾àÁ¡ÀÇ Á¡¼ö´Â Áö³ªÄ¡°Ô ³·Àº °¨ÀÌ ÀÖ¾ú½À´Ï´Ù.¡±
ºñ½ÁÇÑ »ç·Ê¸¦ Å©ÇǸ£µµ ²Å¾Ò´Ù. Çϳª´Â CVE-2018-7795·Î, ½´³ªÀÌ´õ ÀÏ·ºÆ®¸¯ÀÇ ÆÄ¿ö·ÎÁ÷ PM5560 Àü·Â °ü¸® ½Ã½ºÅÛ¿¡¼ ¹ß°ßµÈ XSS Ãë¾àÁ¡ÀÌ°í, ´Ù¸¥ Çϳª´Â CVE-2018-7789·Î ½´³ªÀÌ´õÀÇ ¸ðµðÄÜ M221 PLC¿¡¼ ¹ß°ßµÈ µðµµ½º Ãë¾àÁ¡ÀÌ´Ù. ¡°Ã¹ ¹ø° Ãë¾àÁ¡Àº 8.2Á¡À» ¹Þ¾Ò½À´Ï´Ù. ÇÏÁö¸¸ µÎ ¹ø° Ãë¾àÁ¡Àº 4.8Á¡¹Û¿¡ ¸ø ¹Þ¾Ò¾î¿ä. ù ¹ø° XSS Ãë¾àÁ¡ÀÌ ÈξÀ Áß´ëÇÑ °Íó·³ º¸ÀÌÁÒ. ½Ç»óÀº PLC¿¡ ´ëÇÑ µðµµ½º °ø°ÝÀÌ ÈξÀ À§ÇèÇѵ¥ ¸»ÀÌÁÒ. ½ÇÁ¦·Î °¡¿ë¼º°ú ¹«°á¼ºÀ» °¡Àå Áß¿äÇÑ ¿ä¼Ò·Î »ý°¢ÇßÀ» ¶§ ù ¹ø° Ãë¾àÁ¡Àº 7.1Á¡, µÎ ¹ø° Ãë¾àÁ¡Àº 8.1Á¡ÀÌ µË´Ï´Ù.¡±
¾îÇöóÀÌµå ¸®½ºÅ©ÀÇ ¿¬±¸¿øµéÀº ¡°³·Àº CVSS Á¡¼ö¸¦ ¹ÞÀº Ãë¾àÁ¡À̶ó°í ÇÏ´õ¶óµµ ´Ù¸¥ Ãë¾àÁ¡µé°ú °áÇÕµÆÀ» ¶§ Å« »ç°ÇÀ» ÀÏÀ¸Å³ ¼ö ÀÖ´Ù¡±°í ÁöÀûÇϱ⵵ ÇÑ´Ù. ¡°ÃÖ±Ù ¾îÇöóÀÌµå ¸®½ºÅ©´Â ´Ù·®ÀÇ Ä¡¸íÀûÀÎ Ãë¾àÁ¡µéÀ» ÇÑ Àåºñ ³»¿¡¼ ã¾Æ³½ ÀûÀÌ ÀÖ½À´Ï´Ù. Ä¡¸íÀûÀÎ Ãë¾àÁ¡ÀÎ ¸¸Å CVSS Á¡¼ö°¡ ³ô¾ÒÁÒ. ÀüºÎ ÀÎÁõÀ» Åë°úÇؾ߸¸ ÀͽºÇ÷ÎÀÕ ÇÒ ¼ö ÀÖ¾ú´ø °ÍÀ̾ú½À´Ï´Ù. ±×·±µ¥ °°Àº Àåºñ ³»¿¡¼ µð·ºÅ丮 Ž»ö Ãë¾àÁ¡µµ Çϳª ´õ ¹ß°ßÇß½À´Ï´Ù. CVSS Á¡¼ö°¡ ÈξÀ ³·Àº °ÍÀ̾úÁÒ. ±×·±µ¥¿ä, ÀÌ ³·Àº Á¡¼öÀÇ Ãë¾àÁ¡À» °ø°Ý¿¡ È°¿ëÇϸé Å©¸®µ§¼ÈÀ» È®º¸ÇÒ ¼ö ÀÖ°Ô µÇ°í, ÀÌ ¶§¹®¿¡ °ø°ÝÀÚ´Â ÀÎÁõ °úÁ¤À» Åë°úÇØ Ä¡¸íÀûÀÎ Ãë¾àÁ¡µéÀ» ÀͽºÇ÷ÎÀÕ ÇÏ°Ô µË´Ï´Ù. CVSS Á¡¼ö°¡ ¸ðµç °É ¹Ý¿µÇÏÁö ¾Ê´Â´Ù´Â ½Ç·ÊÀÔ´Ï´Ù.¡±
CVSS Á¡¼ö·Î ÀÎÇÑ À߸øµÈ ÀνÄÀº ¾î¶² ¿µÇâÀ» ¹ÌÄ¡´Â°¡
³í¶õÀÇ ¼ÒÁö°¡ ÀÖ´Â CVSS Á¡¼öµéÀº ¡°ICS ³×Æ®¿öÅ© ¿î¿µÀÚµéÀÇ À§Çè °ü¸® ¾÷¹«¸¦ º¹ÀâÇÏ°Ô ¸¸µç´Ù.¡± Å©ÇǸ£´Â ¡°CVSS Á¡¼ö¸¸ ¹Ï°í ÆÐÄ¡ ¼ø¼¸¦ Á¤Çϸé, ½ÇÁ¦ Á¶Á÷ ³» À§ÇèÀ» ±ÞÇÑ °ÍºÎÅÍ ¼ø¼´ë·Î ÇØ°áÇÒ ¼ö ¾ø´Ù¡±°í ¼³¸íÇÑ´Ù. ³ë·Â¿¡ ºñÇØ ¼º°ú°¡ ¾ø°Å³ª, ³ë·ÂÀÇ È¿À²ÀÌ Å©°Ô ¶³¾îÁú ¼ö ÀÖ´Ù´Â ¼Ò¸®´Ù.
»çÀ̹ö¿¢½ºÀÇ ¾ÑÄ¡´Â ¡°À߸øµÈ CVSS Á¡¼ö ¶§¹®¿¡ »ê¾÷ Á¶Á÷µéÀº ÇÇÇظ¦ ÀÔÀ» ¼ö ÀÖ´Ù¡±°í±îÁö ¸»ÇÑ´Ù. ¡°³·Àº Á¡¼ö´Â ¹«½ÃÇϱ⠸¶·ÃÀε¥, ³·Àº Á¡¼öÀÇ Ãë¾àÁ¡ÀÌ¶óµµ È¯°æ°ú ¸Æ¶ô¿¡ µû¶ó Ä¡¸íÀûÀ¸·Î ÀÛ¿ëÇÒ ¼ö ÀÖÀ¸´Ï±î¿ä. Á¡¼ö°¡ ³·´Ù°í ÆÐÄ¡¸¦ ÇÏÁö ¾Ê±â·Î °áÁ¤ÀÌ¶óµµ ÇÑ´Ù¸é - ±×¸®°í ½ÇÁ¦ Á¡¼ö°¡ ³·Àº Ãë¾àÁ¡Àº ÆÐÄ¡ ¾È ÇÏ´Â °æ¿ì°¡ ºó¹øÇÏÁÒ - ¸¶Ä¡ ÆøźÀ» ¾È°í »ç¾÷À» ÁøÇàÇÏ´Â °Í°ú ¸¶Âù°¡ÁöÀÔ´Ï´Ù.¡±
¿¤´õ´Â ¡°±×·¡¼ ½ÇÁ¦·Î CVSS Á¡¼ö¿¡ µû¶ó ÆÐÄ¡ ¼ø¼¸¦ Á¤ÇÏ´Â »ê¾÷ Á¶Á÷Àº °ÅÀÇ ¾ø´Ù¡±°í ¼³¸íÇÑ´Ù. ¡°CVSS¸¦ Àý´ëÀû ±âÁØÀ¸·Î ¹Þµé¾î ¸ð½ÃÁö ¾Ê´Â °Ç, ±×µéÀÌ Çö¸íÇؼ°¡ ¾Æ´Õ´Ï´Ù. ÆÐÄ¡¶ó´Â °Å ÀÚü¸¦ ¾ÆÁ÷ Á¦´ë·Î ÇÏÁö ¾Ê°í ÀÖ¾î¼ÁÒ. °øÀåÀÇ ¿À·¡µÈ ½Ã½ºÅÛµéÀº ¼ö¸íÀÌ ³¡³¯ ¶§±îÁö ÆÐÄ¡°¡ µÇÁö ¾Ê´Â °Ô ´ëºÎºÐÀÔ´Ï´Ù. ÆÐÄ¡¿¡ °ü½ÉÀÌ ¾ø°Å³ª, ÇÒ ¼ö ¾ø´Ù´Â °Ô ICSÀÇ Å« ¹®Á¦ÀÔ´Ï´Ù.¡±
ÇÏÁö¸¸ CVSS Á¡¼ö°¡ ICS Ãë¾àÁ¡µéÀ» ´Ù·ç´Â µ¥¿¡ ÀÖ¾î ¿©ÀüÈ÷ ¾µ¸ð Àִ ü°è¶ó°í ÁÖÀåÇÏ´Â Àü¹®°¡µéµµ ÀÖ´Ù. ¹°·Ð ¿©±â¿¡´Â ÀüÁ¦ Á¶°ÇÀÌ ºÙ´Â´Ù. ¡°´Ù¸¥ ¿©·¯ °¡Áö ¿ä¼Òµé°ú ÇÔ²² »ç¿ëµÇ¾î¾ß ÇÏÁö, CVSS Á¡¼ö¸¸ ´Üµ¶À¸·Î »ç¿ëµÇÁö ¾Ê´Â´Ù¡±´Â °ÍÀÌ´Ù. ȯ°æ Á¡¼ö¸¦ ´õ Áß¿äÇÏ°Ô ¿©°Ü¾ß ÇѴٰųª, ´ÜÀÏ ¼ÒÇÁÆ®¿þ¾î ¹× Àåºñ°¡ ¾Æ´Ï¶ó Àüü ȯ°æÀû ¸Æ¶ô¿¡¼ Ãë¾àÁ¡À» Æò°¡ÇØ¾ß ÇѴٰųª, ´Ù¸¥ À§Çè Æò°¡ ½Ã½ºÅÛÀ» ÇÔ²² »ç¿ëÇØ¾ß ÇÑ´Ù´Â °Ô °¡Àå ¸¹ÀÌ µîÀåÇÏ´Â ±ÇÀå »çÇ×ÀÌ´Ù.
¡°ÃÖÀûÀÇ ¹æ¹ýÀº ¸®½ºÅ©¿¡ ±â¹ÝÀ» µÐ Æò°¡¸¦ ÇÏ´Â °Ì´Ï´Ù. ħÇصǾúÀ» ¶§ÀÇ ÀáÀçÀû ¿µÇâ·Â, ÀͽºÇ÷ÎÀÕÀÇ ¿ëÀ̼º µîÀ» °í·ÁÇÑ´Ù´Â °ÍÀÌÁÒ. ¶ÇÇÑ ÇØ´ç Àåºñ°¡ ICS ȯ°æ Àüü¿¡ ¾ó¸¶³ª Áß¿äÇÑ À§Ä¡¸¦ Â÷ÁöÇÏ°í Àִ°¡, ¿©·¯ Ãë¾àÁ¡À» ¿¬¼âÀûÀ¸·Î °ø·«ÇÏ´Â °Ô °¡´ÉÇÏ´Ù°í ÇßÀ» ¶§, ÇØ´ç Ãë¾àÁ¡ÀÇ ¾µ¸ð´Â ¾î´À Á¤µµÀΰ¡ µîµµ Á¡¼ö¿¡ ¹Ý¿µÇØ¾ß ÇÕ´Ï´Ù.¡± ¾ÑÄ¡ÀÇ ¼³¸íÀÌ´Ù. ¡°¾ÆÀÌ´ÙÈ£ ±¹¸³¿¬±¸¼Ò(INL)ÀÇ Àü¹®°¡µéÀÌ ÀÌ·± ¸®½ºÅ© ±â¹Ý Æò°¡ Á¦µµ¸¦ ÀÌ¹Ì »ç¿ë Áß¿¡ ÀÖ½À´Ï´Ù.¡±
¶Ç ´Ù¸¥ ºÎ·ù´Â ¡°»õ·Î¿î ½Ã½ºÅÛÀ» ¸¸µé¾î¾ß ÇÑ´Ù¡±°í ÁÖÀåÇÑ´Ù. »ê¾÷ ³» ±â°ü°ú Á¶Á÷µéÀÌ ÈûÀ» ÇÕÃÄ »õ·Î¿î Á¡¼ö ½Ã½ºÅÛÀ» ¸¸µé ¶§°¡ µÆ´Ù´Â °ÍÀÌ´Ù. ±×·¯³ª ¸á·¹¸¶´Â ¡°CIA Á¡¼ö³ª AIC Á¡¼ö¸¦ »ç¿ëÇÏ´Â °Ô ÈξÀ ½±°í Á÷°üÀû¡±À̶ó´Â ÀÇ°ßÀÌ´Ù. ¡°°á±¹ CVSS¸¦ »ç¿ëÇϵç, AIC¸¦ »ç¿ëÇϵç, »õ·Î¿î Á¡¼ö ü°è¸¦ ¸¸µéµç, Á¶Á÷ÀÌ ¾Ë°í ½ÍÀº °Ç ¡®ÀÌ Ãë¾àÁ¡ÀÌ ¿ì¸® Á¶Á÷¿¡ ¹ÌÄ¥ ¼ö ÀÖ´Â À§ÇèÀº ¾î´À Á¤µµÀΰ¡?¡¯ÀÔ´Ï´Ù. ÀÌ º»ÁúÀûÀÎ Àǹ®¿¡ ´äÇϱâ À§ÇÑ ÀåÄ¡°¡ ÇÊ¿äÇÏ´Ù´Â °É ¿°µÎ¿¡ µÎ¾î¾ß ÇÕ´Ï´Ù.¡±
±×·¯¸é¼ ¸á·¹¸¶´Â ¡°Á¡¼ö ü°è ÀÚü°¡ Áß¿äÇÑ °Ô ¾Æ´Ï¡±¶ó°í °Åµì °Á¶Çß´Ù. ¡°Ãë¾àÁ¡À» ¹ß°ßÇÏ°í, ±×°É ºÐ¼®ÇÏ´Â ÀÚµé°ú, Ãë¾àÁ¡¿¡ ´ëÇØ ¾Ë°í ½Í¾î ÇÏ°í, ±× Ãë¾àÁ¡ ¶§¹®¿¡ ½ÇÁúÀûÀÎ ÇÇÇظ¦ ÀÔÀ» ¼ö ÀÖ´Â ÀÚµé »çÀÌÀÇ ¼ÒÅëÀÌ Áß¿äÇÑ °ÍÀÔ´Ï´Ù. CVSS´Â ¡®¼ýÀÚ¡¯·Î ±× ¼ÒÅëÀÇ ¹®Á¦¸¦ ÇØ°áÇÏ·Á°í ÇÑ °ÍÀÌ°í¿ä. ÇÏÁö¸¸ ¿ì¸®´Â ´ÜÆíÀûÀÎ ¼ýÀڷδ ÃæºÐÇÑ ¼ÒÅëÀÌ µÇÁö ¾Ê´Â´Ù´Â °É ½½½½ ±ú´Ý±â ½ÃÀÛÇß½À´Ï´Ù. ±×·¸´Ù¸é ÀÌ ´ÙÀ½¿¡ ¿Ã ¼ÒÅëÀÇ ¸Å°³´Â ¹¹°¡ µÇ¾î¾ß ÇÒ±î¿ä? °í¹ÎÀº °Å±â¼ºÎÅÍ ½ÃÀ۵Ǿî¾ß ÇÕ´Ï´Ù.¡±
3ÁÙ ¿ä¾à
1. Ãë¾àÁ¡ÀÇ ½É°¢¼º º¸¿©ÁÖ´Â CVSS Á¡¼ö, »ç½ÇÀº IT ½Ã½ºÅÛÀ» À§ÇÑ °Í. µû¶ó¼ »ê¾÷ ½Ã½ºÅÛ¿¡¼´Â ºÎÀûÀýÇÒ ¼ö ÀÖ´Ù.
2. CVSS Á¡¼ö¿¡¸¸ ÀÇÁ¸ÇÏ´Â °Ç Å« ¹®Á¦. ´Ù¸¥ º¸¿ÏÃ¥°ú ÇÔ²² »ç¿ëµÇ¾î¾ß ÇÔ. Á¶Á÷ ½º½º·Î Ãë¾àÁ¡ Æò°¡ ÇÒ ¼ö ÀÖ´Â °Íµµ Áß¿ä.
3. Æò°¡ ½Ã½ºÅÛÀÇ ¸ñÀûÀº ¡®Ãë¾àÁ¡ Àü¹®°¡¡¯¿Í ¡®Ãë¾àÁ¡À¸·Î ÀÎÇÑ ÇÇÇØÀÚ¡¯ »çÀÌÀÇ ¼ÒÅë.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>