1. 개요
Common Vulnerabilities and Exposures (CVE)는 공개된 사이버 보안 취약점을 식별하고 명명하기 위한 표준화된 체계다. 각 취약점은 고유한 식별자인 CVE ID를 부여받으며, 이를 통해 다양한 보안 도구와 데이터베이스 간의 상호 운용성을 확보할 수 있다. CVE 프로그램은 미국 비영리 연구기관인 MITRE가 운영하며, 미국 국토안보부 산하 사이버보안 및 인프라 보안국 (CISA)의 지원을 받는다.2. 역사
CVE는 1999년 9월 MITRE에 의해 공식적으로 공개되었다. 초기에는 보안 도구 간의 취약점 명칭 불일치 문제를 해결하기 위해 개발되었으며, 첫 번째 CVE 목록에는 321개의 취약점이 포함되었다. 이후 CVE는 보안 커뮤니티의 표준으로 자리 잡았으며, 다양한 보안 도구와 데이터베이스에서 활용되고 있다.3. 구조 및 형식
CVE 식별자는 'CVE-연도-번호' 형식을 따른다. 예를 들어, CVE-2021-34527[1]은 2021년에 보고된 34527번째 취약점을 의미한다. 2014년부터는 연간 취약점 수 증가에 대응하기 위해 번호 자릿수 제한이 제거되었다.4. 주요 기능
- 표준화된 명명 체계: CVE ID를 통해 취약점을 일관되게 식별할 수 있다.
- 공개 데이터베이스: CVE 목록은 누구나 접근 가능하며, 보안 연구자와 기업들이 활용한다.
- 보안 도구 통합: 다양한 보안 스캐너와 관리 도구에서 CVE ID를 기반으로 취약점을 탐지하고 대응한다.
- 취약점 관리 지원: 조직의 보안 팀이 취약점을 우선순위화하고 대응 전략을 수립하는 데 도움을 준다.
5. CNA 체계
CVE Numbering Authority (CNA)는 CVE ID를 할당할 수 있는 권한을 가진 조직이다. MITRE는 주요 CNA로서 전체 프로그램을 관리하며, Microsoft, Google, Red Hat 등 다양한 기업과 기관이 CNA로 활동하고 있다. CNA는 자체적으로 발견한 취약점에 대해 CVE ID를 할당하고, 이를 MITRE에 보고하여 CVE 목록에 포함시킨다.6. 관련 시스템
- NVD (National Vulnerability Database): 미국 국립표준기술연구소(NIST)가 운영하는 취약점 데이터베이스로, CVE 데이터를 기반으로 한다.
- CVSS (Common Vulnerability Scoring System): 취약점의 심각도를 평가하는 표준화된 점수 체계로, CVE와 함께 사용된다.
- CWE (Common Weakness Enumeration): 소프트웨어의 일반적인 약점을 분류한 체계로, CVE와 연계되어 취약점의 근본 원인을 분석하는 데 활용된다.
7. 최근 동향
2025년 4월, MITRE와 미국 정부 간의 CVE 프로그램 운영 계약이 종료되었으며, 이에 따라 CVE 프로그램의 미래에 대한 논의가 진행 중이다. 보안 커뮤니티는 CVE의 지속적인 운영을 위해 다양한 대안을 모색하고 있다.8. 여담
- 유명한 CVE 사례:
- CVE-2014-0160 (Heartbleed): OpenSSL의 치명적인 취약점으로, 암호화된 통신의 민감한 정보를 노출시킬 수 있었다.
- CVE-2017-0144 (EternalBlue): Microsoft의 SMBv1 프로토콜 취약점으로, WannaCry 랜섬웨어의 확산에 이용되었다.
- CVE-2017-5754, CVE-2017-5715, CVE-2017-5753: CPU의 비순차적 실행 취약점이다.
- CVE-2021-44228 (Log4Shell): Apache Log4j의 취약점으로, 원격 코드 실행이 가능하여 광범위한 영향을 미쳤다.
[1] PrintNightmare라고도 불리는 윈도우 프린트 스풀러 관련 취약점이다.