반응형
* CVE : 알려진 소프트웨어에 대한 발견된 보안 취약점을 분석, 체계적으로 정리한 보안 취약점 국제적 식별 체계
- 설계상의 문제로 운영하는 입장에서는 자체적으로 개선이 불가능, 제조사의 공식 패치에 따라 개선 가능
- MITRE 기관에서 생성/관리
* CVE 번호 체계
* CWE : 소프트웨어에서 공통으로 발생하는 잠재적 보안 약점(설정/설계/구조 등)을 분류한 체계
- 여러 플랫폼이나 소프트웨어가 가지고 있는 공통적인 설계 & 구조 & 코드에서 발견 가능한 약점을 분류
- MITRE 기관에서 생성/관리
- 국내는 KISA가 운영하는 '버그 바운티'를 통해 개선 가능한 CWE 취약점에 대해서는 법률적으로 통제 및 조치를 권고
* 버그 바운티 (Bug Bounty) : 소프트웨어 보안 취약점 신고 포상제로, 취약점을 찾는 것을 허락한 회사의 제품/사이트 등에서 보안 취약점을 발견, 이를 해당 회사에 통보 시, 포상금을 받는 제도
- 포상금은 보안 취약점 평가 국제 표준(CVSS - Common Vulnerability Scoring System), 해외 취약점 평가 체계(CWSS - Common Weakness Scoring System) 기준에 따라 차등 포상 지급
반응형
'Information Security' 카테고리의 다른 글
난독화 (Obfuscation) (0) | 2021.02.09 |
---|---|
CC 인증 (Common Criteria, ISO15408) (0) | 2021.02.09 |
CPO (Chief Privacy Officer) / CISO (Chief Information Security Officer) (0) | 2021.02.08 |
망 분리 (Network Segmentation) / 망 연계 (Network Connection) (0) | 2021.02.08 |
보안의 개념과 용어들 (0) | 2020.11.29 |