728x90
반응형
취약점(Vulnerability)을 이해할 때 보통 함께 언급되는 용어들이 있습니다.
바로 위협(Threat), 위험(Risk), 그리고 자산(Asset)입니다.
이 개념들이 서로 어떻게 연결되는지 정리하면 보안 진단 및 대응 과정 전체를 훨씬 명확하게 이해할 수 있습니다.
■ 보안 개념 정리
- 자산(Asset)
조직이 보유한 가치 있는 모든 것 (예: 정보, 기술, 인력, 서비스, 물리 자산 등) - 위협(Threat)
자산에 손실을 발생시키는 원인이 될 수 있는 환경 또는 요소 - 취약점(Vulnerability)
위협이 실제 피해를 일으킬 수 있도록 만드는 약점
➜ 다른 보안 요소와 달리 대응(조치)이 가능한 영역 - 위험(Risk)
위협과 취약점이 결합하여 발생 가능한 손실의 크기
➜ 정보보호 관리의 주요 대상
공식 표현:자산 × 위협 × 취약점 = 위험
■ 왜 이게 중요하냐면
실무에서 보안 리스크 평가가 진행될 때:
- 위협은 줄일 수 없고(외부 환경)
- 자산은 변하지 않고
- 위험은 결과물
따라서 조직이 건드릴 수 있는 건 취약점(Vulnerability) 뿐이기 때문임.
그래서 취약점 관리(VM, Patch, Hardening, TA)는 곧 리스크 감소 전략과 동일하게 취급됨.
■ 취약점 유형: 3가지 분류
취약점은 크게 아래 3가지 관점에서 구분할 수 있습니다.
- CCE (Common Configuration Enumeration) — 시스템 설정 취약점
서버, 네트워크 장비, DBMS 등 정보시스템 구성 요소의 설정(Configuration) 문제에서 발생하는 취약점입니다.
잘못된 설정으로 인해 과도한 권한 허용, 정보 노출, 접근 제어 실패 등이 발생할 수 있으며
주로 시스템 설정 점검을 통해 진단합니다. - CVE (Common Vulnerabilities and Exposures) — 공개된 보안 취약점
전 세계적으로 공개된 보안 취약점 목록으로, 애플리케이션 진단 과정에서 주로 발견됩니다.
제조사에서 제공하는 보안 패치를 통해 개선되며, 해당 제품의 보안 적용 범위를 검증하는 표준 지표 역할을 수행합니다. - CWE (Common Weakness Enumeration) — 개발 단계 소스코드 취약점
소프트웨어 개발 과정에서 발생하는 설계/코딩상의 결함 유형을 정리한 데이터베이스입니다.
주로 소스코드(Security Code Review) 진단을 통해 발견되며, 개발자의 코드 수정을 통해 개선이 진행됩니다.
■ 각 항목 참고 링크
- CVE - 공개된 취약점 목록
https://cve.mitre.org/ - CWE - 소프트웨어 취약점 유형
https://cwe.mitre.org/ - CCE - 시스템 설정 취약점
https://nvd.nist.gov/config/cce/index
■ 정리
정리하면 다음과 같습니다.
- CVE → 공개된 소프트웨어 취약점
- CWE → 설계/코드 단계 취약점
- CCE → 시스템 설정(Configuration) 취약점
이 세 가지는 서로 보완적인 관점으로 구성되어 있으며, 보안 진단 및 보안 강화 활동에서 함께 고려될 때 효과가 극대화됩니다.
728x90
반응형