CVSS v4.0: 개발자를 위한 취약점 점수화 지표
CVSS는 취약점을 0~10점으로 표준화된 점수로 평가합니다. 기본 점수는 특정 환경과 무관한 취약점의 본질적 특성을 반영합니다. NVD는 공개 CVE에 대해 이러한 점수를 제공하며, 버전 4.0은 더 정밀한 지표를 도입했습니다.
개발자들은 CVSS를 활용해 패치 우선순위를 정합니다. 7점 이상은 즉시 대응해야 하며, 특히 PoC 익스플로잇이 공개된 경우 더욱 그렇습니다. 공격 벡터와 영향력을 중점으로 이론적 위험과 실제 위협을 구분합니다.
기본 지표: 점수화의 핵심
기본 그룹은 취약점의 고정된 속성을 포착합니다.
- 공격 벡터 (AV): 네트워크 (N) — 원격 공격; 인접 (A) — 로컬 네트워크; 로컬 (L) — 직접 접근; 물리 (P) — 물리적 조작.
- 공격 복잡도 (AC): 낮음 — 간단함; 높음 — MITM 같은 조건 필요.
- 필요 권한 (PR): 없음 — 인증 불필요; 낮음 — 기본 권한; 높음 — 관리자 접근.
- 사용자 상호작용 (UI): 없음 — 완전 자동; 필요 — 사용자 클릭이나 파일 열기.
영향은 CIA 삼각형으로 평가합니다:
- 기밀성 (C): 없음/낮음/높음 — 데이터 유출 심각도.
- 무결성 (I): 없음/낮음/높음 — 수정 가능성.
- 가용성 (A): 없음/낮음/높음 — 서비스 거부 영향.
예: CVE-2021-44228 (Log4Shell)은 AV:N/AC:L/PR:N/UI:N에 CIA 모두 높음으로 완벽한 10.0점을 받았습니다.
시간적 지표: 위협 변화 반영
시간적 지표는 현재 상황에 따라 기본 점수를 조정합니다.
| 지표 | 설명 | 점수 영향 |
|--------|-------------|---------------|
| 익스플로잇 코드 성숙도 (E) | 없음/PoC/높음 | 코드 공개 시 증가 |
| 수정 수준 (RL) | 없음/임시방편/공식 | 패치 시 감소 |
| 보고 신뢰도 (RC) | 낮음/중간/높음 | 불확실성 시 하락 |
EternalBlue (CVE-2017-0144, 기본 8.1)는 WannaCry PoC 공개 후 E 높음으로 치명적 위협이 되었습니다.
환경 지표: 환경에 맞춤 조정
환경 지표는 기본 지표(AV, AC 등)를 조직 환경에 맞게 수정합니다. 추가 요구사항:
- 기밀성 요구사항 (CR): PCI DSS 데이터는 높음.
- 무결성 요구사항 (IR): 설정 파일은 높음.
- 가용성 요구사항 (AR): 핵심 서비스는 높음.
에어갭 네트워크에서는 AV:N이 AV:L로 낮아져 점수가 2~3점 하락합니다.
CVSS 점수 척도와 우선순위 규칙
| 범위 | 수준 | 조치 |
|-------|-------|--------|
| 0 | 없음 | 무시 |
| 0.1–3.9 | 낮음 | 모니터링 |
| 4.0–6.9 | 중간 | 맥락 평가 |
| 7.0–8.9 | 높음 | 긴급 패치 |
| 9.0–10.0 | 치명적 | 즉시 패치 |
중고급 개발자 규칙:
- CVSS ≥9.0 + PoC = 최우선 패치.
- 사용 안 하는 컴포넌트 점수 = 제거.
- CI/CD 파이프라인에서 수정 지표 검증.
실제 사례
- Log4Shell: 로그 통해 완전 RCE, 기본 10.0.
- Follina (CVE-2022-30190): 7.8, APT 익스플로잇으로 높음 상승.
- CVE-2024-40711 (Veeam): 인증 우회 RCE, 백업에 치명적.
Trivy나 Dependency-Check 같은 스캐너에 CVSS 통합하세요.
신뢰할 수 있는 데이터 소스
CVE 확인을 위해:
- cve.org — 공식 등록소.
- NVD — CVSS, CWE, CPE 상세.
- Exploit-DB — PoC 익스플로잇.
- OWASP — Top 10, 테스트 가이드.
- PortSwigger Academy — 웹 공격 랩.
검증되지 않은 과장 소스는 피하세요.
주요 요약
- 기본 점수는 출발점; 시간적·환경 지표로 실전 적용.
- 네트워크 + 권한 없음 + CIA 높음 = 항상 ≥9.0.
- 리포 스캐닝 자동화에 CVSS 내장.
- PoC 검증 후 경고.
- 프로덕션에서는 항상 수정 지표 사용.
— Editorial Team
아직 댓글이 없습니다.