확 달라진 CVSS 4.0, 취약점에 대한 입체적 평가 가능하게 할 듯

요약	- 지난주 새로운 CVSS 기준이 발표 - 각자의 환경에 맞게 위험 요소를 평가 및 관리하는데 도움이 될 수 있을 것
내용	- CVSS 4.0은 이전 버전은 보다 ‘평준화 된’ 리스크 평가 기법 > 동적이면서 컨텍스트까지 고려한 위험 평가를 가능하게 됨 > 취약점의 순수 기술적 특성만으로 위험도를 평가하지 않음 > 취약점을 절대적인 기준이 아닌 여러 환경과 맥락, 시점을 입체적으로 고려하여 평가 > 같은 취약점이라 하더라도 어떤 환경이냐에 따라 위험성이 달라진다는 것이 반영 - 장점 > 공개된 익스플로잇 코드, 실제 피해 사례, 해커가 공격을 성공하기 위해 성립되어야 할 조건 등의 외부요인을 CVSS 계산시 포함 > CVSS 지표를 확인해 구체적이고 맞춤형으로 리스크 관리를 할 수 있게될 것 > 기밀성, 무결성, 가용성 요소를 이전버전 보다 세분화 > 익스플로잇의 자동화 가능성, 물리적 사고 유발 가능성 등 OT 보안 반영 - 단점 > CVSS 점수만으로 취약점을 평가하고 해결하려 하기 때문에, 다른 취약점 관리 체계(KEV, EPSS 등)와 함께 사용할 때 효과를 발휘할 것 > CVSS 버전이 높아질 때마다 취약점들의 평균 점수는 지속해서 상승해, 고위험 및 초고위험 취약점이 증가할 것이며, 이를 대비하기 위한 프로세스를 마련할 필요
기타	- CVSS(Common Vulnerabilities Scoring System) > 2005년부터 시작된 보안 취약점들의 심각도를 평가하기 위한 무료 개방형 업계 표준 > 취약점의 가장 중요한 특성을 이해하고, 그것에 수치로 된 점수를 부여함으로써 심각성을 표기 > 점수를 기준으로 대응 및 리소스의 우선순위를 지정하는데 도움 - KEV(Known Exploited Vulnerabilities) > 미국 CISA에서 관리하는 실제로 활발하게 악용된 알려진 취약점 목록 - EPSS(Exploit Prediction Scoring System) > 취약점이 실제로 악용될 가능성을 확률로 추정

 

보안뉴스

 

확 달라진 CVSS 4.0, 취약점에 대한 입체적 평가 가능하게 할 듯