일반인 뿐만 아니라 이른바 보안 전문가들도 CVE나 CCE, CWE를 혼동하며 모두 취약점이라고 부른다.
최근에 S사 및 L사등 굵직한 대형 해킹 사고가 잇달아 발생하고 있는데, 대부분의 해킹사고가 오래전에 공지됐던 CVE 취약점을 통해 이루어졌다는 사실은 기업이 그동안 CVE 취약점에 대해 얼마나 등한시했는지를 적나라하게 보여주는 충격적인 사실이다. 이러한 해킹사건의 이면에는 기업 보안담당자의 취약점에 대한 무지도 한몫한 것으로 생각된다.
일반 사용자 뿐만 아니라 보안 담당자, 기업의 보안을 총괄하는 CISO(Chief Information Security Officer. 최고정보보안책임자) 조차도 무의식적으로 CCE, CVE, CWE를 동일선상에 놓고 모두 '취약점'이라 부른다. 그 결과 기업은 실제 해커의 공격이 되는 CVE취약점에 대하여 방치하거나 해킹과는 거의 관계가 없는 CCE에 대하여 CVE와 동일우선순위를 놓아 실제 공격에 취약한 부분은 방치된다. 이 글은 CVE, CCE, CWE용어의 정확한 정의와 혼동이 왜 위험한지를 명확히 밝힌다.
그럼 CVE와 CCE, CWE의 정확한 정의를 정리하고자 한다. 다시 한번 말하지만, CVE는 취약점이지만 CCE와 CWE는 취약점이 아니다.
CVE (Common Vulnerabilities & Exposures)는 IT자산의 취약점으로, 해커, 보안회사, 벤더 , 화이트해커 및 보안에 관심있는 사람들에 의해 발견된(or 제로데이공격으로 발견된) H/W, S/W, 네트워크등 IT장비의 취약점이다. 거의 모든 해킹은 CVE 취약점을 악용해 진행되며, CVE-(연도)-(순서)로 표시된다.
CWE (Common Weakness Enumeration)는 개발시 권고사항으로, 프로그램 개발자가 프로그램을 설계, 개발할 때 고려해야 할 내용을 뜻한다. 표시 형식은 CWE-XXX (XXX: 고유한 숫자 식별자)다.
CCE (Common Configuration Enumeration)는 IT자산 구성 오류 (세팅값오류)로, IT인프라를 구성할 때 구성(설정) 오류를 뜻한다. IT인프라는 OS, DBMS, WEB, WAS, Network를 뜻한다.
CVE 취약점 보안 기업 테너블(Tenable)사의 한국 총판인 롤텍의 이중원 부사장은 “사람들이 CVE, CCE, CWE를 모두 취약점이라고 부르는 이유는 보안을 선도하는 측에서의 잘못이 크다”고 말했다.
이어 “CCE는 구성값의 오류, CWE는 개발시 권고안 CVE는 IT자산의 취약점 이렇게 정확하게 불리우게 해야 하는데, 네이밍이 길어지므로 그냥 대충 일반인 알아 듣기 쉽게 편의성으로 취약점이라고 불렸던 게 아닌가 싶다며” “이러한 행태가 기업의 보안을 더욱 위험하게 한다”고 우려한다.
이원지 기자 news21g@etnews.com
