CVE (Common Vulnerabilities and Exposure) / CWE (Common Weakness Enumeration)

* CVE : 알려진 소프트웨어에 대한 발견된 보안 취약점을 분석, 체계적으로 정리한 보안 취약점 국제적 식별 체계

- 설계상의 문제로 운영하는 입장에서는 자체적으로 개선이 불가능, 제조사의 공식 패치에 따라 개선 가능

- MITRE 기관에서 생성/관리

 

 

 

* CVE 번호 체계

 

 

 

* CWE : 소프트웨어에서 공통으로 발생하는 잠재적 보안 약점(설정/설계/구조 등)을 분류한 체계

- 여러 플랫폼이나 소프트웨어가 가지고 있는 공통적인 설계 & 구조 & 코드에서 발견 가능한 약점을 분류

- MITRE 기관에서 생성/관리

- 국내는 KISA가 운영하는 '버그 바운티'를 통해 개선 가능한 CWE 취약점에 대해서는 법률적으로 통제 및 조치를 권고

 

 

 

* 버그 바운티 (Bug Bounty) : 소프트웨어 보안 취약점 신고 포상제로, 취약점을 찾는 것을 허락한 회사의 제품/사이트 등에서 보안 취약점을 발견, 이를 해당 회사에 통보 시, 포상금을 받는 제도

버그 바운티 절차 (국내 KISA 기준)

- 포상금은 보안 취약점 평가 국제 표준(CVSS - Common Vulnerability Scoring System), 해외 취약점 평가 체계(CWSS - Common Weakness Scoring System) 기준에 따라 차등 포상 지급