CVSS는 CVSS(Common Vulnerability Scoring System) 약어로서 취약점의 가장 중요한 특성을 이해하고, 그것에 수치로 된 점수를 부여함으로써 심각성을 표기하는 시스템이다.
현재 CVSS는 3번째 버전(CVSS v3.1)을 사용하고 있으며, 사용자들이 Attack Vectior(공격 벡터), Attack Complexity(공격의 복잡성), Privileges Required(필요한 권한), User Interaction(사용자 참여 정도), Scope(공격 범위), Confidentiality(기밀성), Integrity(무결성), Availability(가용성)의 요소를 바탕으로 기본 점수를 매길 수 있다.
흔히 취약점에 대한 점수 및 취약점 위험도를 표현하기 위해 CVSS 표현법으로 나타내고 있다.
아래와 같이 점수를 토대로 위험도를 5가지로 분류하고 있다.
- None : 0.0
- Low : 0.1 ~ 3.9
- Medium : 4.0 ~ 6.9
- High : 7.0 ~ 8.9
- Critical : 9.0 ~ 10.0
취약점 내용을 살펴보다 보면 CVSS Score라고 해서 위험도 및 점수 그리고 어떤 항목에 선택을 하였는지를 아래와 같이 표현하고 있다.
- Medium 5.5 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
이때 해당 내용을 조금이라도 편하게 작성 및 확인을 하기 위해서 Chandan 이라는 개발자가 CVSS Calculator(계산기)를 만들어 놓았다.
위 내용을 좀 더 직관적으로 표현하도록 되어 있다.
원래는 모든 영문으로 표기되어 있으나, 좀 더 편하게 보기 위해서 내용을 조금 수정하여 공개 하였다.
또한 다른 CVE Code에서 확인한 CVSS 값을 경로 뒤에 "#CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H" 정보 입력 시 위에 이미지처럼 정보를 한 번에 확인할 수 있다.
댓글