모든것에 오예스!!

좌충우돌 개발 이야기와 사람 사는 이야기

recent posts

CVE 제품을 위한 핵심 표준 설명: CPE · CVSS · NVD · CWE

CVE 제품을 위한 핵심 표준 설명: CPE · CVSS · NVD · CWE

보안 취약점 생태계에서 자주 마주치는 용어들이 있습니다. 이 글에서는 CPE, CVSS, NVD, CWE가 각각 무엇이고 서로 어떻게 연결되는지, 그리고 여러분의 CVE 솔루션(취약점 인벤토·매칭·우선순위·알림 등)에 어떻게 통합하면 좋은지를 정리합니다.

1) 한눈에 요약: 이들 표준의 역할

  • CVE: 실제로 보고된 취약점(개별 사건)에 부여되는 고유 ID. (예: CVE-2024-12345) NVD
  • CWE (Common Weakness Enumeration): 취약점이 발생한 원인/약점 패턴(설계·코드 결함)을 분류한 리스트. (예: CWE-79: XSS) cwe.mitre.org+1
  • CPE (Common Platform Enumeration): 취약점이 영향을 미치는 제품/버전/플랫폼을 표준화한 식별자(기계 읽기 가능). (예: cpe:2.3:a:microsoft:edge:120.0:*:*:*:*:*:*:*) cpe.mitre.org+1
  • CVSS (Common Vulnerability Scoring System): 취약점의 **심각도(정량적 점수 0.0–10.0)**를 산정하는 표준화된 메트릭 체계. (v3.x, v4.0 등 버전 존재) first.org+1
  • NVD: NIST가 운영하는 중앙 데이터베이스로, CVE와 연계된 메타데이터(CVSS, CPE, 참조 등)를 제공한다. 제품은 NVD 피드를 통해 자동 동기화·정규화가 가능. NIST+1

2) 각 항목을 조금 더 자세히 — 실무 관점으로

CPE (Common Platform Enumeration)

  • 무엇인가: 제품·벤더·버전·에디션·언어 등 제품 식별을 위한 표준 포맷. CPE 사양(2.3 등)과 NIST가 운영하는 CPE 사전(딕셔너리)이 존재한다.
  • 제품 적용 예시: 취약점의 cpe 항목을 통해 “우리 자산 중 어떤 호스트/서비스가 영향을 받는가”를 매핑할 수 있음.
  • 주의점(현실):
    • 벤더/제품 표기법의 미세한 차이 때문에 **정규화(normalization)**가 필요(예: nginx 표기 방식, 패키지형 vs 바이너리형 표기 등).
    • NVD의 CPE 사전은 자주 업데이트되므로 정기적으로 동기화하세요. NVD
    • CPE 매핑은 단순히 데이터 매칭의 문제가 아니라, 제품을 ‘실제로 찾아보고, 버전을 확인하고, 이름을 통일해가는’ 반복적 경험의 결과다. 자동화는 좋지만, 결국 경험이 시스템의 정확도를 완성시킨다.

CVSS (Common Vulnerability Scoring System)

  • 무엇인가: 취약점 특성(공격 벡터, 인증 필요성, 영향 범위 등)을 매트릭으로 입력해 스코어를 산출. 숫자(0–10)로 표시 → 우선순위 결정에 사용.
  • 버전: v3.1, v4.0 등. v4.0은 Base / Threat / Environmental / Supplemental 그룹을 포함하는 등 개선점이 있음. 솔루션 도입 시 어떤 버전을 기준으로 할지 정책을 정해야 합니다.
  • 실무 팁:
    • CVSS는 **심각도(severity)**를 나타내지, **조치 우선순위(즉시 패치 필요 여부)**를 단독으로 판단해선 안 됩니다. 조직의 자산 가치·노출도·익스플로잇 가용성 등을 결합한 가중치가 필요합니다. NVD

CWE (Common Weakness Enumeration)

  • 무엇인가: 소프트웨어·설계 수준에서의 약점(취약점의 근원)을 분류한 목록. XSS, SQL Injection, 버퍼 오버플로 등 약점 카테고리를 제공. cwe.mitre.org+1
  • 왜 제품에 중요한가:
    • CVE 레포트는 **무엇(what)**이 취약한지를 말하지만, CWE는 왜(why) 발생했는지를 설명하므로 개발·검증(테스트) 파이프라인에 연결하기 좋습니다.
    • 예: CVE → 관련 CWE를 추출하면 코드 스캐닝 규칙(Static Analysis)이나 SAST 지표를 자동 연결할 수 있음.

NVD (National Vulnerability Database)

  • 무엇인가: NIST가 제공하는 취약점 데이터 허브. CVE 레코드에 대해 CVSS, CPE, 설명, 참조 링크, JSON 피드 등을 제공. 자동화·정책 집행에 사용됨. NVD+1
  • 실무 팁:
    • NVD는 JSON 피드(NVD Data Feeds)를 제공하므로 이를 주기적으로 폴링하거나 스트리밍으로 수집해 내부 DB를 갱신하세요.
    • NVD의 메타데이터(예: CVSS 계산 방식의 버전 변화)에 주의하고, 피드 변경 시 파서 대응을 준비해야 함. NVD+1

3) 제품(솔루션)에 적용하는 아키텍처·플로우(권장)

다음은 귀하의 CVE 솔루션이 실무에서 사용하는 통합 워크플로우 예시입니다.

(A) 데이터 수집 파이프라인

  1. 소스 수집
    • MITRE CVE 목록, NVD JSON Feed(정기 폴링), 벤더 보안 공지 RSS/Atom, KISA 보안공지, 서드파티 리서치 피드.
  2. 정규화
    • CPE 정규화(딕셔너리와 매칭), CWE 토큰화(가능 시 링크), CVSS 버전 표준화.
  3. 저장
    • 원본 레코드(raw) + 정규화된 필드(상품명, 버전, CPE canonical) 저장.

(B) 자산 매핑

  • 자산 DB(CMDB) 의 소프트웨어 항목(패키지 이름, 버전, 플랫폼)을 CPE 규칙/매칭 로직으로 매핑 → 어떤 자산이 어떤 CVE에 영향 받는지 결정.
  • 매칭 로직은 subset/superset, 버전 범위(semver) 비교, 패키지 명 동의어 매핑 등을 포함.

(C) 우선순위 산정 (Risk scoring)

  • 기본적으로 CVSS Base Score를 사용하되, 다음 요소들을 결합해 조직별 우선순위 점수 계산:
    • CVSS (Base/Temporal/Environmental) — NVD 제공값. NVD
    • 자산 중요도(업무 영향) — CMDB에서 부여
    • 노출도(인터넷 노출/방화벽 전망)
    • 익스플로잇 가용성(Exploit DB, PoC 유무)
  • 예: risk_score = w1*CVSS + w2*asset_value + w3*exposure + w4*exploit_availability

(D) 자동화 · 알림 · 패치 플로우

  • 우선순위 기반 알림(예: 높은 위험군만 SLA 내 자동 티켓 생성), 패치 권고 문서(벤더 권고 + 영향 자산 목록), 소급 분석(어떤 시점에 어떤 자산가 취약했는지 기록).

4) 구현 시 자주 부딪히는 문제와 해결 팁

  1. CPE 불일치 문제
    • 문제: NVD의 CPE 표기가 내부 자산의 패키지 표기와 다름.
    • 해결: CPE 정규화 레이어(aliases 테이블), 휴리스틱 매칭(정규식), human-in-the-loop 매핑 관리 UI를 제공.
  2. CVSS 버전/계산 차이
    • 문제: CVSS v3.1 vs v4.0의 메트릭 차이.
    • 해결: 솔루션 설정에서 조직 기준 버전 고정(또는 둘 다 저장하고 변환 로직 제공).
  3. 노이즈(중복/유사 CVE)
    • 문제: 같은 원인(또는 거의 동일한 영향)의 CVE가 여러 번 등록되는 경우 알림이 중복됨.
    • 해결: 유사도(affected CPE set, CWE 토픽, 설명 텍스트 유사도)를 이용한 그룹화 기능 제공.
  4. 실시간성 vs 안정성
    • NVD가 빈번히 업데이트되므로 피드 파싱 오류/스키마 변화에 대비한 파서 견고화(스키마 버전 관리, 백오프 재시도)가 필요. NVD

5) 예시: CVE 레코드의 핵심 필드(간단한 JSON 예)

(이 예시는 NVD/CVE JSON 구조의 요약 형태입니다 — 실제 스키마는 더 복잡합니다.)

{
  "cve_id": "CVE-2024-12345",
  "description": "Example vulnerability in ExampleProduct",
  "cpe_matches": [
    "cpe:2.3:a:examplevendor:exampleproduct:1.2.3:*:*:*:*:*:*:*"
  ],
  "cwe": ["CWE-79"],
  "cvss": {
    "version": "3.1",
    "baseScore": 7.5,
    "vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:H/A:N"
  },
  "references": ["https://example.com/advisory"]
}

6) 권장 통합 체크리스트 (제품 기획 시)

  • NVD Data Feed 자동 동기화(주기 설정) 구현.
  • CPE 정규화 테이블 구축 및 매칭 규칙(semver 포함) 구현.
  • CVSS 버전 정책(어느 버전 표준을 쓸지) 문서화.
  • CWE 매핑으로 SAST/DAST 룰과 연결(개발자 피드백 루프).
  • 익스플로잇 가용성(Proof-of-Concept, exploit DB) 체크 통합.
  • 우선순위 계산식(조직별 가중치)을 UI에서 조정 가능하게 노출.
  • 중복 CVE 자동 그룹화 및 수동 조정 UI 제공.

7) 참고(공식·신뢰 출처)

  • CPE 사양 및 설명 — MITRE. cpe.mitre.org+1
  • CPE 딕셔너리(공식 목록) — NVD(NIST). NVD
  • CVSS 사양 (v3.1 / v4.0) — FIRST 및 관련 사양 문서. first.org+1
  • NVD(국가 취약점 DB) — NIST 설명서 및 NVD 사이트. NVD+1
  • CWE(취약점 약점 목록) — MITRE CWE 페이지. cwe.mitre.org+1

8) 마무리: 제품 관점의 추천 우선순위

  1. 먼저 NVD 피드와 CPE 정규화부터 구현하세요 — 자산과 CVE를 매칭하는 기반이 됩니다. NVD+1
  2. CVSS 기반의 기본 우선순위는 필수지만, 조직별 컬러(자산 중요도·익스플로잇 가용성 등)를 곱하여 최종 우선순위 점수를 만들 것을 권장합니다. NVD
  3. CWE 연동으로 개발자 피드백 루프(SAST 규칙 자동 연결)를 만들면 취약점 근원 해결(사후처리 → 예방)으로 이어집니다. cwe.mitre.org
Posted in

댓글 남기기