이번 포스팅에서는 CVE 취약점에 대해서 자세하게 알아보겠습니다. 정보보안기사 시험에서도 자주 언급되고 보안 직종에 근무중이 분들이라면 당연히 필수적으로 알고있어야하는 CVE 자세하게 알아보도록 하겠습니다. 아주 위험한 CVE의 경우 긴급 패치나 예방 방법에 대하여 우리나라 KISA등에서 관련 기관에 긴급하게 배포하는 프로세스가 있으나, 중요도나 위험도가 낮은 경우에는 보안 관리 담당자가 관심을 가지고 주기적으로 확인하는 방법이 최선입니다.
CVE란?
CVE stands for Common Vulnerabilities and Exposures 공개적으로 알려진 컴퓨터 보안 결함 목록입니다. CVE는 보통 CVE ID 번호가 할당된 보안 결함을 뜻합니다. 소프트웨어 및 하드웨어 제품의 보안 취약성을 식별, 명명 및 추적하는 표준화된 방법을 제공하는 시스템입니다. 벤더와 연구자가 발행한 보안 권고 사항에 최소 1개의 CVE ID가 언급되는 것이 일반적입니다.
CVE 시스템은 MITRE Corporation에 의해 유지 관리되며, MITRE Corporation은 CVE ID로 알려진 보안 취약성에 고유 식별자를 할당합니다. 이러한 ID를 통해 보안 연구원, 공급업체 및 사용자는 다양한 제품 및 시스템에 걸쳐 취약성을 쉽게 식별하고 추적할 수 있습니다.
취약성이 발견되면 CVE ID가 할당된 다음 취약성, 심각도 및 기타 관련 세부 정보와 함께 NVD(National Vulnerability Database)에 추가됩니다. 그런 다음 이 정보를 대중에게 제공하여 조직과 개인이 시스템을 보호하는 데 필요한 단계를 수행할 수 있습니다.
CVE ID의 사용은 사이버 보안 산업에서 표준 관행이 되어 보안 취약점의 관리와 통신을 개선하고 궁극적으로 사이버 공격과 데이터 침해의 위험을 감소시킨다.
사례 1 log4j CVE
최근 몇년전 전 세계를 깜짝 놀라게한 대표적인 CVE중 log4j 공격이 있었는데요. log4j CVE가 무엇인지 아래 내용을 통해 자세하게 알아보겠습니다.
log4j CVE(Common Vulnerabilities and Exposure)는 Java 기반 응용 프로그램에서 가장 널리 사용되는 로깅 프레임워크 중 하나인 Apache Log4j 로깅 라이브러리에서 발견된 일련의 중요한 보안 취약성을 나타냅니다.
CVE-2021-44228, CVE-2021-45046 등의 여러 CVE ID로 추적되는 취약성을 통해 공격자는 Log4j를 사용하는 취약한 응용 프로그램에 특수하게 조작된 요청을 전송하여 원격으로 임의 코드를 실행할 수 있습니다. 이로 인해 데이터 도난 또는 파괴, 무단 액세스 및 기타 악의적인 활동을 포함하여 영향을 받는 시스템이 완전히 손상될 수 있습니다.
log4j CVE는 2021년 12월에 처음 보고되었으며 이후 아파치와 다양한 공급업체에서 취약성을 해결하기 위해 여러 패치와 해결 방법을 릴리스했습니다. 그러나 Log4j 라이브러리가 다양한 응용프로그램 및 시스템에서 광범위하게 사용되고 있기 때문에 이 취약성은 아직 필요한 보안 업데이트를 적용하지 않은 조직에 심각한 위협이 되고 있습니다. 영향을 받는 모든 조직은 잠재적인 공격으로부터 시스템을 보호하기 위해 가능한 한 빨리 적절한 패치 또는 완화 조치를 적용하는 것이 좋습니다.
사례 2 Shellshock CVE
셸쇼크 CVE(Common Vulnerabilities and Exposure)는 유닉스 및 리눅스 시스템에서 널리 사용되는 셸인 Bash(Bourne-Again SHELL) 명령 셸에서 발견된 중요한 보안 취약성을 말합니다.
CVE-2014-6271에서 추적되는 이 취약성을 통해 공격자는 취약한 시스템에 특수하게 조작된 요청을 전송하여 원격으로 임의 코드를 실행할 수 있습니다. 이로 인해 데이터 도난 또는 파괴, 무단 액세스 및 기타 악의적인 활동을 포함하여 영향을 받는 시스템이 완전히 손상될 수 있습니다.
셸쇼크 취약성은 2014년 9월에 처음 보고되었으며 전 세계 수백만 개의 시스템에 영향을 미쳤다. 이는 당시 가장 심각한 보안 취약점 중 하나로 간주되었으며, 영향을 받는 시스템에 패치를 적용하고 소프트웨어를 최신 상태로 유지하는 것의 중요성에 대한 인식을 높이기 위한 전 세계적인 노력을 촉구했다.
Shellshock 취약성이 발견된 이후 다양한 소프트웨어 제품 및 시스템에서 다른 많은 취약성이 발견되어 보안 취약성을 탐지하고 해결하기 위한 조직의 지속적인 노력에 대한 경계와 사전 예방이 필요함을 강조하고 있습니다.
이와 같이 전세계적으로 명성을 날린 CVE등을 토대로 CVE 취약점별 리스크를 알아보았습니다.