1. CVE 개요
- CVE (Common Vulnerabilities and Exposures): 공개된 보안 취약점에 고유 식별자(CVE ID)를 부여하는 체계
- 목적: 취약점 정보를 표준화하여 공유·검색·추적을 용이하게 함
- 국내외 취약점 포털 예시: KNVD, NVD, cve.org
2. CVSS 개요
- CVSS (Common Vulnerability Scoring System): 취약점의 심각도를 수치화하여 우선순위 결정을 돕는 점수 체계
- 구성 요소
- Base (기본 지표): 공격 벡터, 공격 복잡도, 권한 요구, 사용자 상호작용, 영향(C/I/A) 등으로 구성되어 취약점의 본질적 심각도를 산출
- Temporal (시간 지표): PoC, 익스플로잇 가용성 등에 따라 시간이 지나며 변하는 요소 반영
- Environmental (환경 지표): 특정 운영 환경의 중요도·구성에 따라 점수를 조정
3. CVSS Base 주요 지표 (예시)
- AV (Attack Vector): 원격(Remote) / 로컬(Local) 등 공격 위치
- AC (Attack Complexity): 공격 복잡도
- PR (Privileges Required): 요구 권한 수준
- UI (User Interaction): 사용자 상호작용 필요 여부
- S (Scope): 영향 범위 변경 여부
- Impact (C/I/A): 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability) 영향도
4. CVSS 점수와 심각도 범주
- 점수 범위: 0.0 ~ 10.0
- 심각도 레벨 예시
- 0.0 ~ 3.9 = Low
- 4.0 ~ 6.9 = Medium
- 7.0 ~ 8.9 = High
- 9.0 ~ 10.0 = Critical
5. VPR (Vulnerability Priority Rating)
- VPR: 취약점의 우선순위를 정하기 위한 추가 지표 또는 메타정보
- CVSS와 함께 사용하여 실제 대응 우선순위 결정에 도움을 줌
6. EPSS 개요
- EPSS (Exploit Prediction Scoring System): 공개된 취약점이 실제로 악용될 확률을 통계·머신러닝 기반으로 예측하는 시스템
- 제공 기관: FIRST 등 관련 기관
- 점수 범위: 0.0 ~ 1.0 (확률 값)
7. CVSS vs EPSS 관계 및 활용
- 차이점
- CVSS는 취약점의 본질적 심각도를 수치화함
- EPSS는 그 취약점이 실제로 악용될 가능성을 예측함
- 실무 적용
- CVSS가 높아도 EPSS가 낮을 수 있음 (PoC/익스플로잇 없을 때)
- CVSS가 중간이라도 EPSS가 높으면 우선 패치 고려 대상이 될 수 있음
- 패치 우선순위 결정 시 EPSS를 우선 반영하는 경우가 많음
8. EPSS 산출에 사용되는 주요 지표
- CVSS 벡터(공격 난이도·영향 등)
- 취약점 공개 연령(발견된 지 얼마나 지났는지)
- 공급업체·제품명 및 해당 생태계의 노출도
- 공개 PoC(Proof-of-Concept) 존재 여부
- 익스플로잇 프레임워크(예: Metasploit) 모듈 존재 여부
- 실제 공격 관찰 데이터(허니팟, 텔레메트리 등)
9. 권장 운영 절차(패치·우선순위 관점)
- 취약점 목록 수집 → CVSS Base로 초기 심각도 분류 → EPSS, PoC 존재 여부, 공격 관찰 데이터를 반영해 우선순위 재조정
- 영향 큰 자산(핵심 서비스, 민감 데이터 보유 시스템)은 환경 지표로 가중치 조정
- 정기적 재평가로 Temporal 지표 변화(새로운 PoC·익스플로잇 등장) 반영
