NVD에서부터 ISAC 관리 페이지까지...다양한 특징들 있어
CVE가 가장 주류가 되는 표준...그 외 시스템들과 상호보완 가능
[보안뉴스 문가용 기자] 최신 취약점 소식에 귀 기울이다는 건 생각만큼 쉽지 않다. 매일 새롭게 발굴되는 취약점을 분석하고 능동적인 대처를 하려면 일단 어떤 취약점이 세상이 있는지, 오늘은 어떤 취약점이 발견되었는지 알아야 한다. 그렇다면 이런 정보는 어디서 구해야 할까? 가장 중요한 취약점 정보 출처를 7가지 꼽아보았다.
.jpg)
1. NIST의 국가 취약점 데이터베이스(NVD)
미국 정부도 취약점을 자체적으로 수집하고 목록화 하여 저장해 둔다. 그것이 바로 NVD이고 CVE라는 표준에 따라 정리되어 있다. 이는 버그리포트라는 이름으로 매일 최대 5개씩 본지에서도 소개되고 있다. NVD에는 약 78만 여개의 취약점이 저장되어 있으며 이는 앞으로도 계속해서 늘어날 전망이다. 표준화된 규격으로 매일 정부에서 관리하고 있어, 신뢰도가 매우 높다. 여기를 클릭하면 접속 가능하다.
2. Mitre의 공통 보안 취약성 및 노출(CVE)
CVE는 취약점 분류 혹은 구조화의 가장 대표적인 포맷이다. 마이터 코퍼레이션(Mitre Corporation)이라는 미국 비영리 단체가 창시한 것으로, 이 마이터 코퍼레이션은 1999년부터 CVE 포맷의 최초 편집자 역할을 하고 있다. 위의 NVD도 Mitre의 CVE 목록을 가져다가 사용하는 것. 홈 페이지에 접속하면 CVE 목록을 다운로드 받을 수 있으며 CVE 관련 소식을 제일 먼저 접할 수 있다.
3. CERT의 취약점 노트 데이터베이스(VNDB)
VNDB는 소프트웨어 취약점에 대한 정보를 제공한다. 취약점에 대한 간단한 설명, 기술적인 세부 사항, 복구 및 약화 정보, 관련 벤더 목록 등이 이 정보에 포함된다. 대부분 보안 전문가들이 개인적으로 연구해서 밝힌 내용들이다. 즉, NVD나 Mitre만큼 다루는 범위가 넓지는 못하다. 그러나 패킷슬레드(PacketSled)의 CTO인 프레드 윌못(Fred Wilmot)에 의하면 “VNDB가 더 실용적으로 활용될 수 있는 경우가 왕왕 발생한다”고 설명한다. NVD와 상호 보완하면 가치가 더 높아진다. 홈페이지 접속은 여기를 클릭하면 된다.
4. RBS의 VulnDB
리스크 베이스드 시큐리티(Risk Based Security, RBS)는 보안 업체로 자신들만의 취약점 첩보를 제공한다. 이를 VulnDB라고 하며, 소프트웨어 취약점에 대한 세부사항을 처음부터 끝까지 포함하고 있어 기업들이 능동적으로 대처할 수 있도록 해준다. 또한 가장 큰 취약점 데이터베이스라고 알려져 있다. 감사 정보는 없지만 방화벽이나 IDS/IPS와 같은 제품의 취약점 정보를 파악하고 오픈소스로 문제 해결을 원치 않거나 라이브러리 구축 및 유지를 원치 않을 때 유용하다. 12, 24, 36개월 구독 신청 시 제공된다. 홈페이지는 여기다.
5. DISA의 IAVA 데이터베이스와 STIGS
CVE 취약점들은 미국의 국방 정보 시스템 에이전시(Defense Information System Agency, DISA)의 정보 확증 취약점 경보(Information Assuarance Vulnerability Alerts, IAVA)로 매핑되기도 한다. 그리고 이는 DISA가 운영하는 보안 기술 도입 가이드(Security Technical Implementation Guides, STIG)라는 웹 사이트에서 다운로드가 가능하다. 즉 CVE라는 취약점 목록을 국방 관련된 정부 기관이 따로 재편집해 공개하는 것이라고 볼 수 있다. 그렇기에 비상업 부문, 특히 정부 및 공공 기관과 관련된 취약점이 상세히 다뤄진 것이 특징이다. 또한 환경설정 및 시스템 옵션 설정 등과 관련된 취약점 해결법이 많이 소개된다. 웹 사이트는 이곳이다.
6. SecurityTracker.com
시큐리티트래커닷컴 역시 취약점 데이터베이스 라이브러리로 매일 업데이트 되며, OS와 연관성이 없는 취약점을 주로 목록에 포함시킨다. 최근에는 사회 기반시설 및 사물인터넷과 관련된 취약점이 주로 전면을 장식하며, CVE에 없는 새로운 오류들을 알아내기 위한 데이터베이스로서 애용되고 있다. 웹 사이트는 이곳이다.
7. 다양한 ISAC들
취약점이란 것이 워낙 방대해서 한 국가 기관이나 업체가 모든 것을 다 다루기는 굉장히 힘들다. 또한 그렇게 하는 건 찾는 사람들에게도 비효율적일 수 있다. 이에 산업별로 취약점을 분류해 산업 내에서 공유하고 관리하기도 하는데, 이를 주로 하는 조직이 ISAC(정보 공유 분석 센터)이다. 따라서 자기 조직이 속한 산업의 ISAC이 있는지부터 알아보고, 그 다음에 그 ISAC에서 어떤 식으로 취약점을 관리하고 있는지 파악하면 굉장히 실제적인 정보를 얻을 수 있다.
미국에서는 다양한 ISAC들을 또 아울러서 관리하는 곳이 있는데, 여기서부터 취약점을 찾아들어갈 수 있다. 미국의 조직들이지만 한국 및 다른 여러 나라에도 해당하는 취약점들이 많아 비슷한 산업 내 정보보안 담당자들도 많이 참조하고 있다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
CVE가 가장 주류가 되는 표준...그 외 시스템들과 상호보완 가능
[보안뉴스 문가용 기자] 최신 취약점 소식에 귀 기울이다는 건 생각만큼 쉽지 않다. 매일 새롭게 발굴되는 취약점을 분석하고 능동적인 대처를 하려면 일단 어떤 취약점이 세상이 있는지, 오늘은 어떤 취약점이 발견되었는지 알아야 한다. 그렇다면 이런 정보는 어디서 구해야 할까? 가장 중요한 취약점 정보 출처를 7가지 꼽아보았다.
1. NIST의 국가 취약점 데이터베이스(NVD)
미국 정부도 취약점을 자체적으로 수집하고 목록화 하여 저장해 둔다. 그것이 바로 NVD이고 CVE라는 표준에 따라 정리되어 있다. 이는 버그리포트라는 이름으로 매일 최대 5개씩 본지에서도 소개되고 있다. NVD에는 약 78만 여개의 취약점이 저장되어 있으며 이는 앞으로도 계속해서 늘어날 전망이다. 표준화된 규격으로 매일 정부에서 관리하고 있어, 신뢰도가 매우 높다. 여기를 클릭하면 접속 가능하다.
2. Mitre의 공통 보안 취약성 및 노출(CVE)
CVE는 취약점 분류 혹은 구조화의 가장 대표적인 포맷이다. 마이터 코퍼레이션(Mitre Corporation)이라는 미국 비영리 단체가 창시한 것으로, 이 마이터 코퍼레이션은 1999년부터 CVE 포맷의 최초 편집자 역할을 하고 있다. 위의 NVD도 Mitre의 CVE 목록을 가져다가 사용하는 것. 홈 페이지에 접속하면 CVE 목록을 다운로드 받을 수 있으며 CVE 관련 소식을 제일 먼저 접할 수 있다.
3. CERT의 취약점 노트 데이터베이스(VNDB)
VNDB는 소프트웨어 취약점에 대한 정보를 제공한다. 취약점에 대한 간단한 설명, 기술적인 세부 사항, 복구 및 약화 정보, 관련 벤더 목록 등이 이 정보에 포함된다. 대부분 보안 전문가들이 개인적으로 연구해서 밝힌 내용들이다. 즉, NVD나 Mitre만큼 다루는 범위가 넓지는 못하다. 그러나 패킷슬레드(PacketSled)의 CTO인 프레드 윌못(Fred Wilmot)에 의하면 “VNDB가 더 실용적으로 활용될 수 있는 경우가 왕왕 발생한다”고 설명한다. NVD와 상호 보완하면 가치가 더 높아진다. 홈페이지 접속은 여기를 클릭하면 된다.
4. RBS의 VulnDB
리스크 베이스드 시큐리티(Risk Based Security, RBS)는 보안 업체로 자신들만의 취약점 첩보를 제공한다. 이를 VulnDB라고 하며, 소프트웨어 취약점에 대한 세부사항을 처음부터 끝까지 포함하고 있어 기업들이 능동적으로 대처할 수 있도록 해준다. 또한 가장 큰 취약점 데이터베이스라고 알려져 있다. 감사 정보는 없지만 방화벽이나 IDS/IPS와 같은 제품의 취약점 정보를 파악하고 오픈소스로 문제 해결을 원치 않거나 라이브러리 구축 및 유지를 원치 않을 때 유용하다. 12, 24, 36개월 구독 신청 시 제공된다. 홈페이지는 여기다.
5. DISA의 IAVA 데이터베이스와 STIGS
CVE 취약점들은 미국의 국방 정보 시스템 에이전시(Defense Information System Agency, DISA)의 정보 확증 취약점 경보(Information Assuarance Vulnerability Alerts, IAVA)로 매핑되기도 한다. 그리고 이는 DISA가 운영하는 보안 기술 도입 가이드(Security Technical Implementation Guides, STIG)라는 웹 사이트에서 다운로드가 가능하다. 즉 CVE라는 취약점 목록을 국방 관련된 정부 기관이 따로 재편집해 공개하는 것이라고 볼 수 있다. 그렇기에 비상업 부문, 특히 정부 및 공공 기관과 관련된 취약점이 상세히 다뤄진 것이 특징이다. 또한 환경설정 및 시스템 옵션 설정 등과 관련된 취약점 해결법이 많이 소개된다. 웹 사이트는 이곳이다.
6. SecurityTracker.com
시큐리티트래커닷컴 역시 취약점 데이터베이스 라이브러리로 매일 업데이트 되며, OS와 연관성이 없는 취약점을 주로 목록에 포함시킨다. 최근에는 사회 기반시설 및 사물인터넷과 관련된 취약점이 주로 전면을 장식하며, CVE에 없는 새로운 오류들을 알아내기 위한 데이터베이스로서 애용되고 있다. 웹 사이트는 이곳이다.
7. 다양한 ISAC들
취약점이란 것이 워낙 방대해서 한 국가 기관이나 업체가 모든 것을 다 다루기는 굉장히 힘들다. 또한 그렇게 하는 건 찾는 사람들에게도 비효율적일 수 있다. 이에 산업별로 취약점을 분류해 산업 내에서 공유하고 관리하기도 하는데, 이를 주로 하는 조직이 ISAC(정보 공유 분석 센터)이다. 따라서 자기 조직이 속한 산업의 ISAC이 있는지부터 알아보고, 그 다음에 그 ISAC에서 어떤 식으로 취약점을 관리하고 있는지 파악하면 굉장히 실제적인 정보를 얻을 수 있다.
미국에서는 다양한 ISAC들을 또 아울러서 관리하는 곳이 있는데, 여기서부터 취약점을 찾아들어갈 수 있다. 미국의 조직들이지만 한국 및 다른 여러 나라에도 해당하는 취약점들이 많아 비슷한 산업 내 정보보안 담당자들도 많이 참조하고 있다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
