본문 바로가기
IT 정보/용어

CVSS란? 보안 취약점의 위협 수준을 수치로 표현하는 기준

by 희품 2025. 7. 28.
반응형

CVSS란? 보안 취약점의 위협 수준을 수치로 표현하는 기준 썸네일 이미지

보안 공지나 취약점 리포트를 보면 항상 등장하는 숫자, 예를 들어 'CVSS 점수: 9.8' 같은 표현이 있다.
이 숫자는 해당 취약점이 얼마나 심각한지를 평가한 결과이며, 수많은 보안 담당자들이 이 수치를 기준으로 대응 우선순위를 정한다.

이처럼 보안 취약점의 심각도를 수치화하여 객관적으로 표현한 지표가 CVSS(Common Vulnerability Scoring System)이다.

 

CVSS(Common Vulnerability Scoring System)이란?

CVSS mean (Common 취약성 점수부여 시스템) IT 보안 약어, 문자 및 아이콘, 벡터 그림

CVSS(Common Vulnerability Scoring System)는 IT 보안 업계에서 취약점의 심각도를 표준화된 방식으로 평가하기 위해 개발된 점수 체계이다. 미국 국토안보부 산하의 NIST가 관리하는 NVD(National Vulnerability Database)에서 CVE 취약점마다 CVSS 점수를 부여하며, 현재는 FIRST(Forum of Incident Response and Security Teams)에서 이 표준을 관리한다.

 

CVSS는 누구나 동일한 기준으로 보안 취약점을 비교, 평가할 수 있도록 만들어졌으며, 취약점의 위험도를 0.0(낮음)부터 10.0(가장 심각)까지 점수로 표현한다.

 

CVSS의 구조

CVSS는 단순한 숫자가 아니라, 다양한 보안 요소를 종합해 계산된 결과다. 총 3개의 평가 항목으로 구성되어 있다.

CVSS는 볼륨 라이트 개념 3d 그림을 표시

  1. 기본(Base) 점수: 취약점 자체의 기술적 특성과 영향 평가 (항상 제공됨)
  2. 임시(Temporal) 점수: 해당 취약점에 대한 보완 여부, 신뢰성 등을 반영 (선택 사항)
  3. 환경(Environmental) 점수: 조직의 자산 구조와 보안 우선순위에 따른 맞춤 위험도 (선택 사항)

이 중 기본 점수(Base Score)가 가장 널리 사용되며, 대부분의 보안 리포트나 취약점 데이터베이스에서 이 점수를 기준으로 위험도를 판단한다.

 

 

CVSS 기본 점수 계산 요소

CVSS의 기본 점수가 계산되는 항목들을 살펴보자.

위험 징후 해킹된 시스템 또는 사이버 공격. 벡터 일러스트

  • 공격 벡터(Attack Vector): 네트워크, 로컬 등 얼마나 접근이 쉬운지
  • 공격 복잡도(Attack Complexity): 공격 성공을 위해 필요한 조건의 복잡성
  • 권한 요구(Privileges Required): 취약점 악용을 위해 요구되는 권한 수준
  • 사용자 상호작용(User Interaction): 사용자의 개입 여부
  • 영향 범위(Scope): 해당 취약점이 다른 시스템 구성 요소에도 영향을 미치는지 여부
  • 기밀성, 무결성, 가용성 영향(CIA Impact): 시스템의 주요 보안 속성에 어떤 영향을 주는지 평가

이러한 항목이 조합되어 0.0에서 10.0 사이의 점수가 산출된다.

 

CVSS 점수가 얼마나 높으면 치명적일까? 점수대별 위험 수준

CVSS 점수가 얼마나 낮으면 안전하고, 얼마나 높으면 치명적이고 심각한 수준으로 볼 수 있을까?

점수에 따라 취약점의 위험 수준을 알아보자.

프로그래머, 코드, 앱 개발 및 디버깅 컴퓨터에 대한 화면을 가진 사람 또는 손. 소프트웨어 테스트, 시스템 데이터 또는 온라인 업데이트에 대한 기술 검토 클로즈업, 프로그래밍 및 직원

  • 0.0: 정보성 (None)
  • 0.1 ~ 3.9: 낮음 (Low)
  • 4.0 ~ 6.9: 중간 (Medium)
  • 7.0 ~ 8.9: 높음 (High)
  • 9.0 ~ 10.0: 치명적 (Critical)

예를 들어 CVSS 9.8이라면 즉시 조치가 필요한 치명적 위험으로 간주해야 하며, 보안 패치나 우회 조치가 가장 먼저 되어야 할 것이다.

 

CVSS 활용 사례

CVSS는 보안 업계에서 매우 광범위하게 활용된다. 대표적인 활용 방법은, 취약점 패치의 우선순위를 고려해 높은 CVSS 점수부터 대응하는 방법이다.

클라우드 기반 엔드포인트 보안 개념 - 클라우드 컴퓨팅 솔루션을 사용하여 디지털 네트워크의 엔드포인트 보안 - 3D 일러스트레이션

  • 취약점 패치 우선순위 설정: 높은 CVSS 점수부터 우선 대응
  • 보안 제품 경고 기준: EDR, IPS 등에서 탐지 알림 기준으로 사용
  • 보안 감사 및 컴플라이언스 기준: 외부 감사 시 위험도 분류 근거로 활용
  • 보안 리포트 표준화: CVE와 함께 명확한 위험도 전달 도구로 사용

보안 위협이 1건만 발견된다는 보장이 없으며, 보안 위협을 동시에 대응할 수 없을 수도, 시간이 걸릴 수도 있다. 이럴 때 우선순위를 CVSS 기준으로 활용하면, 치명적인 위협부터 해결해 나갈 수 있게 된다.

 

CVSS의 한계와 보완

CVSS 점수는 유용하지만, 절대적인 기준은 아니다. 치명적인 위협이 항상 같은 기준일 수는 없기 때문이다.

CVSS 개념 흐릿한 배경 3d 렌더링 그림

  • 특정 환경(산업군, 업무 중요도 등)을 반영하지 못함
  • 실제 악용 가능성과는 차이가 있을 수 있음
  • 단순 점수에만 의존하면 오판 가능

이를 보완하기 위해 조직 내 환경을 반영한 환경 점수(Environmental Score) 계산이나, 위협 인텔리전스 정보와의 연계 분석이 필요하다.

CVSS는 수많은 보안 취약점 중에서 어떤 문제에 먼저 대응해야 할지 판단하는 객관적이고 공통된 기준을 제공한다. 하지만 점수만 보는 것이 아닌, 취약점의 맥락과 환경을 고려한 종합적인 보안 전략이 함께 수립되어야 한다.

보안 대응의 시작은, 숫자 그 이면의 의미를 읽는 것에서 출발한다.

 

궁금하신 내용이 있으면 댓글 남겨주세요. 꼬리말 이미지.

#CVSS #보안점수 #취약점관리 #보안리스크 #CVE #NVD #위협분석 #보안컴플라이언스 #정보보안 #취약점등급

반응형
저작자표시 비영리 변경금지 (새창열림)

'IT 정보 > 용어' 카테고리의 다른 글

EDR이란? 엔드포인트 보안을 위한 지능형 감시자  (3) 2025.07.30
NVD란? 취약점 정보를 공식적으로 관리하는 미국 정부의 보안 데이터베이스  (1) 2025.07.29
백도어(Backdoor)란? 보안의 뒷문을 노리는 해커의 비밀 통로  (1) 2025.07.27
GPO란? 윈도우 환경의 숨은 통제자, 그룹 정책의 모든 것  (1) 2025.07.26
CVE란? 보안 취약점의 공통 이름표, 왜 중요할까?  (2) 2025.07.25

관련글

티스토리툴바