CVE란?

취약점 분석을 하는 사람들이나 공부를 해보면 CVE에 대해 들어보고 알 것이라고 생각한다. 

 

혹시나 CVE가 무엇인지 모를 사람들을 위해 정리를 해보려고 한다. 

CVE는 Common Vulnerabilities and Exposures의 약자로 취약점을 분류하여 공지를 하기 위한 기준을 말한다. 

cve.mitre.org라는 사이트에 가보면 다음과 같이 써 있다.

The misson of the CVE® Program is to identify, define, and catalog publicly disclosed cybersecurity vulnerabilities.

 

위의 사이트에서는 CVE를 번호로 분류하여 놓았고 이 번호를 통해 검색하고 해당 번호의 취약점이 무엇인지 확인이 가능하다. 

 

이러한 CVE에 등록이 되기 위한 조건은 3가지가 있다. 

1. 독립적으로 수정이 가능해야하며

2. 피해입은 벤더 또는 문서로 내용 확인이 가능해야 한다.

3. 하나의 코드베이스에 영향을 끼쳐야 한다.

 

CVE에 등록이 되면 번호를 부여받게 되는데 그 기준은 다음과 같다. 

CVE-****(해당 년도)-****(취약점 번호)

뒤에 년도 4자리, 취약점 번호 4자리가 부여된다. 그러나 이는 1년에 10000개 이상의 취약점을 나타 낼 수 없는 한계가 있었고

2015년 1월 13일 취약점 번호 부분을 최소 4자리, 최대 제한이 없도록 변경하였다.

즉 취약점 번호가 3인 경우는 0003 이고 9999 이후부터는 5자리 이상의 취약점 번호를 갖는 것이다. 

 

취약점이 CVE로 등록이 되기 위해서는 Mitre에 요청을 하고 CVE 후보인 CNA로 등록이 되고

CVE 에디터의 논의를 거쳐 CVE로 등록이 된다.