CVSS
Additional Knowledge
- Groot Security 스터디를 진행하면서 각 주차별 학습 내용 이외에 기록해 놓으면 좋을 정보들
개요
CVSS는 ‘공통 취약점 등급 시스템(Common Vulnerability Scoring System)’을 의미하며, 존재하는 취약점에 대해 그 위험성에 비례한 점수를 부여하여 해당 취약점의 심각성을 나타내는 판단 기준이다.
본론
CVSS 점수의 계산은 다음의 세가지 항목으로 결정된다.
- 기초 메트릭
기초 메트릭은 또 다음의 4가지 하위 요소로 구성된다.
- 악용 가능성 메트릭
- 공격 벡터: 취약점 악용에 필요한 접근의 수준 (원격 접근 가능 ~ 물리적 접근 필요)
- 공격 복잡성: 공격 수법의 연계도 (해당 취약점만으로 공격 완료 ~ 추가적인 작업이 필요)
- 필요 권한: 공격시 필요한 권한의 수준 (Guest계정으로도 수행 가능 ~ Root 계정의 획득이 필요)
- 사용자 상호작용: 외부의 조력자가 필요한지 여부 (단일 공격자로 수행 가능 ~ 각자의 역할이 있는 추가적인 공격자 필요)
- 범위
- 시스템 내부 모듈간의 상호 의존에 의해 취약점이 발생할 수도 있는지 여부
- 영향
- 기밀성: 공격 성공 이후 접근할 수 있는 데이터의 양
- 무결성: 공격자가 제어할 수 있는 시스템과 데이터의 범위
- 가용성: 시스템에 대한 공격이 일반 사용자의 시스템 이용에 영향을 주는 정도
- 악용 가능성 메트릭
- 시간 메트릭
- 악용 코드의 성숙도: 취약점의 악용 방법의 수준과 다양성
- 대응 수준: 적절하고 효과적인 대응책의 존재 여부
- 보고 신뢰도: 해당 취약점의 존재나 수행 가능성의 신뢰도 (해당 취약점에 대해 신뢰할 수 있는 수준으로 알려져 있는가?)
- 환경 메트릭
- 보안 요건: 기밀성/무결성/가용성 측면에서 IT자산의 중요성을 고려함 (직원 식당 메뉴 ~ 발표되지 않은 신제품의 설계도)
- 수정된 기초 메트릭: 조직이 취하는 완화 노력 (공격 탐지시 외부 네트워크와 연결 해제 등)
CVSS v3.0 기준으로 점수의 범주는 다음과 같다.
| 심각도 | 기초 점수 내용 |
|---|---|
| 없음 | 0.0 |
| 낮음 | 0.1 – 3.9 |
| 중간 | 4.0 – 6.9 |
| 높음 | 7.0 – 8.9 |
| 심각 | 9.0 – 10.0 |
존재하는 위험들에 대해 위의 기준으로 심각도를 나타내는데, 흔히 있는 비판 중 하나는 시스템의 환경이나 시점에 따라 같은 보안 취약점이라도 다른 수준의 심각도를 가지는데 이를 반영하지 못한다는 것이다.
마치며
한계점이 있는 평가법이지만 정형적 판단이 아닌 조직의 시스템 환경이나 탐지/대응 프로세스를 고려하여 위험 수준을 유동적으로 평가하는것이 중요해 보인다.