CVE CNA CWE NVD

CVE (Common Vulnerabilities and Exposures)

-공개된 사이버 보안 취약점을 식별하고 명명하기 위한 표준화된 체계다. 각 취약점은 고유한 식별자인 CVE ID를 부여받으며, 이를 통해 다양한 보안 도구와 데이터베이스 간의 상호 운용성을 확보할 수 있다. CVE 프로그램은 미국 비영리 연구기관인 MITRE가 운영하며, 미국 국토안보부 산하 사이버보안 및 인프라 보안국 (CISA)의 지원을 받는다. 참고로 같은 곳에서 CWE도 관리하고 있다.

 

CNA(CVE Numbering Authority)
-CNA(CVE 번호 부여 기관)는 CVE 번호를 할당할 수 있는 권한을 가진 기관입니다.

 

NVD(National Vulnerability Database)
-NVD는 National Vulnerability Database(국가 취약점 데이터베이스)의 약자로, 미국 국립표준기술원(NIST)이 운영하는 공식적인 사이버 보안 취약점 정보 저장소입니다. 쉽게 말해, 전 세계에서 발견된 보안 취약점 정보를 체계적으로 정리하고, 누구나 쉽게 검색하고 활용할 수 있도록 만든 공공 데이터베이스

 

 

CWE (Common Weakness Enumeration)

- 미국의 비영리 단체 MITRE에 의해 운영되는 국토안보 시스템 엔지니어링 및 개발 연구소(HSSEDI) 가 관리하는 보안 약점 분류 체계이다. 같은 곳에서 CVE도 관리하고 있다.

- 보안 약점(weakness)은 보안 취약점과는 다른데, 쉽게 말해 취약점은 특정 소프트웨어(또는 하드웨어)에 발생한 실제 악용 가능한 요소이고, 약점은 각각의 취약점을 발생시키는 공통적인 원인을 말한다. 가령 CVE-2023-3047는 15버전 이하의 TMT Lockcell 펌웨어에서 발생한 취약점이지만, 그 형태는 SQL 인젝션이고 이는 CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')로 등록되어 있는 식. CVE와 CWE 모두 MITRE를 통해 관리되기 때문에 아래 레퍼런스 페이지에서 RCM을 통해 연결되어 있다.

각각의 특정한 약점 요소를 등재하면 CWE-XXX 식의 식별자를 부여받으며, 보통 연관된 다른 약점과 트리 형태의 구조로 세밀하게 분류된다. 가령 CWE-787 OOB(경계 초과)의 하위 약점으로 CWE-120 버퍼 오버플로우, CWE-121 스택 오버플로우, CWE-122 힙 오버플로우, CWE-124 버퍼 언더플로우 등 연관된 약점이 분류되는 식이다.

 

 

핵심 관계: CNA가 취약점을 찾아 CVE ID를 부여하면, NVD가 이를 분석하여 상세 정보를 공개하고, 그 원인을 CWE로 분류합니다. 

 

 

Coordinated Vulnerability Disclosure(CVD)

-CVD는 화이트해커와의 협력에 기반하여 ICT 제품 및 서비스의 보안취약점을 대응하기 위한 제도입니다. CVD는 보안취약점 처리방침(VDP), 화이트해커 법적 보호, CVD 운영을 위한 조정기관(코디러너) 지정 및 역할 부여 등을 포함합니다. CVD의 도입은 미국과 유럽연합의 글로벌 동향을 반영하고 있으며, 한국에서도 정보통신망법에 기반하여 법제화 방안이 제안되고 있습니다.