CCE, CVE, CWE 취약점
취약점(Vulnerability)이란 소프트웨어나 정보시스템 상에 존재하는 보안상의 결점으로서 프로그램을 본래의 기능과 다르게 동작하게 하거나, 허용된 권한을 초과하여 사용할 수 있게 하거나, 의도하지 않은 오류를 일어나게 할 수 있는 조건들이다.
취약점의 진단 항목의 유형은 크게 CCE, CVE, CWE 등이 있으며, 국내에서는 자체적으로 개선이 가능한 CCE, CWE에 대해 법률적 통제로 의무화 및 조치를 권고하고 있다.
CCE 취약점
CCE(Common Configuration Enumeration) 취약점은 사용자에게 허용된 권한 이상의 동작, 허용된 범위 이상의 정보 열람, 변조, 유출 등을 가능하게 하는 설정상의 취약점이다.
CCE 취약점은 IT Infra Configuration 진단(OS, Network, DBMS 등..)을 통해 알 수 있으며, 운영자가 해당 취약점을 조치하면 된다.
CVE 취약점
CVE(Common Vulnerabilities and Exposures) 취약점은 컴퓨터 하드웨어 또는 소프트웨어의 결함이나 체계, 설계상의 허점이다.
CVE 취약점은 어플리케이션 취약점 진단을 통해 알 수 있으며, 설계 상의 허점이기 때문에 제조사 공식 패치에 의존한다.
CVE 식별자는 CVE 넘버링 기관(CNA)에서 할당하고, 다음과 같은 규칙으로 만들어진다.
CVE-연도-번호
CVE는 MITRE에서 관리하고, KVE(Korea Vulnerability and Exposure)는 한국에서 관리하는 취약점 및 노출 목록이다.
CWE 취약점
CWE(Common Weakness Enumeration) 취약점은 다양한 소프트웨어 언어뿐만 아니라 아키텍처, 설계, 코딩 등 개발 단계에서 발생 가능한 취약점이다.
CWE 취약점은 웹 서버 소스 진단을 통해 알 수 있으며, 해당 취약점을 개발자가 수정하면 된다.
Ref
[2] CVE란?