최종연구보고서 KISA-WP-2013-0008 소프트웨어보안취약점 평가체계연구 Research on Software Vulnerability Scoring Systems 수탁기관 : 한국정보보호학회 2013. 08
제출문 한국인터넷진흥원원장귀하 본보고서를 소프트웨어보안취약점평가체계연구 의최종 연구보고서로제출합니다 년 월 일 수탁기관 한국정보보호학회연구책임자 교수안준선 한국항공대학교항공전자및정보통신공학부 참여연구원 교수창병모 숙명여자대학교컴퓨터과학부 교수이은영 동덕여자대학교컴퓨터학과
요약문 제목 소프트웨어보안취약점평가체계연구 연구개발의목적및중요성본연구의목적은국내환경에적합한소프트웨어보안취약점의중요도평가방법론을제시하는것이다 본연구는신규보안취약점발굴에대한포상 보안취약점데이터베이스구축등의다양한보안취약점대응사업에필수적인기본자료를제공한다 본연구결과를활용하여보안취약점대응의효율과효과를높이고 취약점발굴포상및취약점대응우선순위선정의근거를확보할수있을것으로판단된다 연구개발의내용및범위국내환경에적합한보안취약점평가방법을개발하기위하여 국내외관련동향및연구결과에대한조사를수행하며 대표적인보안취약점및보안약점평가방법인 와 에대한연구를기반으로국내취약점발굴사례에대한시범평가를수행한다 이러한연구를기반으로국내환경에맞는보안취약점평가방법을개발하고 국내취약점발굴사례에이를적용한다 연구결과 보안취약점중요도정량평가와보안취약점발굴포상제에대한국 - i -
내외관련사례연구결과를제공하며, 대표적보안취약점및약점평가방법인 CWSS 및 CVSS에대한연구결과및이에기반한국내보안취약점보고사례에대한시범평가결과를제시한다. 최종적인연구결과로서국내환경을고려한보안취약점평가방법론및이를적용한국내취약점사례시범평가결과를제공한다. 활용에대한건의국내신규취약점발굴포상에대한근거자료도출에사용될수있으며 아울러보안취약점데이터베이스구축시중요도점수를함께제공함으로써보안취약점에대한대응 교육 연구 제품개발등에활용할수있다 기대효과보안취약점중요도에대한객관적자료를제공함으로써관련취약점대응사업의추진에대한객관적근거제시및효율적추진에도움이될것으로판단된다 - ii -
- iii -
- iv -
목 차 제 장서론 제 절과제의필요성 제 절과제의목표및내용 제 장국내외동향조사 제 절 제 절 제 절보안취약점데이터베이스 제 절국내외취약점포상사례 제 장 시범평가 제 절 평가항목및평가기준 제 절국내보안취약점사례에대한시범평가 제 절시범평가결과 제 장 시범평가 제 절 평가항목및평가기준 제 절국내보안취약점사례에대한시범평가 제 절 시범평가결과 - v -
제 장소프트웨어대상신규취약점평가방법연구 제 절서론 제 절기존보안취약점및보안약점평가방법개요 제 절평가척도의설정 제 절중요도점수의산정 제 장결론 - vi -
- vii -
- viii -
그림목차 그림 메트릭그룹 그림 메트릭과공식의관계 그림 의 평가척도 그림 환경에따른경감 그림 메트릭그룹과그룹별하위요소들 그림 계산기예시 그림 항목대상 측정예 그림 기본점수 그림 홈페이지 그림 대중적인취약점처리프로세스 그림 취약점처리프로세스 그림 홈페이지에서취약점제출화면 그림 취약점보고예시 그림 크롬프로젝트 그림 어베스트사버그바운티 그림 제로데이이니셔티브프로그램 그림 제로데이이니셔티브취약점보고예시 - ix -
- x -
표차례 표 접근벡터 표 접근난이도 표 인증 표 기밀성영향 표 무결성영향 표 가용성영향 표 공격가능성 표 대응수준 표 보고신뢰성 표 부수적피해잠재성 표 대상분포 표 보안요구 표 권한범위평가척도 표 영향범위평가척도 표 필요한권한평가척도 표 사용자상호작용평가척도 표 에포함된평가방식 표 메트릭그룹과하위요소 표 메트릭그룹과하위요소 표 메트릭그룹과하위요소 표 구글의보상프로그램등급 표 보상등급 표 제로데이이니셔티브취약점예 - xi -
표 국내보안취약점사례 표 평가항목별점수 표 평가메트릭그룹요약 표 평가결과점수 표 평가결과점수 내림차순정렬 표 국내보안취약점사례 표 평가항목별점수 표 보안취약점평가결과 점수순 표 평가영역별부분점수 표 기술적인영향 평가결과 표 공격유형 평가결과 표 환경적인영향 평가결과 표 평가요소별척도 표 취약점평가를위한평가척도의설정 표 목적에따른평가요소의반영 표 신규중요도평가체계시범평가결과 표 추진일정대비진척도 - xii -
제 장서론 제 절과제의필요성 국내외소프트웨어보안취약점동향 소프트웨어소스코드의보안약점 (weakness) 으로인한보안취약점 (vulnerability) 이정보시스템의보안침해예방에있어중요한과제로제시되고있으며, 정보시스템에서발견되는이러한보안취약점에대한효과적이면서도신속한대응에대한관심이증가하고있다. 또한개발중인소프트웨어에대해서도, 소스코드내에존재하는보안약점들에대하여향후시스템의보안취약점을유발하는치명적인약점들을선별하고제거하여야하며, 이러한작업을효과적으로수행하기위한다양한기술적및정책적노력들이이루어지고있다. 소프트웨어에서발생할수있는보안약점과이를통해서발생할수있는보안취약점에대한정보를축적하고이를효과적으로제공하고자하는연구가활발히진행되어지금까지상당한진척과성과를보이고있으며, 대표적인사례로는미국 MITRE 재단의 CVE (Common Vulnerability Enumeration), CWE (Common Weakness Enumeration) 프로젝트와중요보안약점을선별하여발표하는 CWE/SANS Top 25, OWASP Top 10 등을들수있다. 국내에서는 2009년부터정보시스템보안강화체계를시작으로, 소스코드보안취약점진단도구등과함께이에대한각종관리점검기준및가이드라인등이개발되어, SW 소스코드의보안성강화를위한국가적측면의공공보안강화체계를구축하고있으며, 공공기관의정보시스템구축시소프트웨어개발보안의수행의무를단계적으로강화하고있다. - 1 -
소프트웨어보안취약점평가체계동향 현재가장대표적인보안약점및보안취약점평가체계로는 CWSS (Common Weakness Scoring System) 와 CVSS (Common Vulnerability Scoring System) 가있다. CWSS는보안약점의중요도를평가하는체계로서총체적인 SW 보안약점명세데이터를구축하는 CWE 프로젝트의일환으로추진되었다. CWE 와 CWSS의특징은안전한소프트웨어의개발과보안유지에책임이있는당사자들인정부, 학계, 산업체들이모여서만드는커뮤니티형태의협업이라는점에있다. 현재이프로젝트는미국 NCSD (National Cyber Security Division) 과미국 DHS (Department of Homeland Security) 의지원을받아서진행되고있다. CWSS는소프트웨어에일반적으로발생하는다양한약점에대하여제거의우선순위를줄수있는정량적인기준을제시한다. 정량적인기준을제시하기위한다양한메트릭을약점자체의심각성 (Base Finding Metric Group), 공격측면의심각성 (Attack Surface Matric Group), 환경적측면의심각성 (Environment Matric Group) 으로분류하여그정량적기준과함께제시하고있으며, 아울러소프트웨어가사용되는도메인에적응하여중요성조정할수있는방법론인 CWRAF (Common Weakness Risk Analysis Framework) 를제시하고있다. 현재 CWSS는버전 0.8이 2011년 6월에발표되었으며, 아직정식버전은발표되지는않은상태이다. CWSS의결과는 2011 SANS Top 25의선정에일부평가척도가활용되었다. CVSS는보안약점으로부터실제발생한보안취약점의중요성을평가하는연구결과로보안취약점평가를위한일반적인프레임워크를제공한다. CVSS는실제사용되고있는소프트웨어에서공격에침해될수있는실제적인보안취약점을대상으로하기때문에 CWSS와차별성을갖는다. CVSS는보안취약점을본질적인기본척도 (Base Metric), 시간에따른척도 (Temporal Metric), 환경적인척도 (Environmental Metric) 에 - 2 -
따라평가하도록하여보안취약점의심각성을다양한관점에서평가하기위한방법을제공하고있다. 그러나실제 NVD 등의제공사례에서는기본척도만을사용하고있다. 현제 CVSS는어느정도정착단계에이르러버전 2가주로활용되고있으며다음버전의개발에대한연구가진행되고있다. 국내환경에적합한보안취약점평가체계의필요성 반면소프트웨어보안취약점은그자체의본질적인특성뿐아니라사용되는환경이나응용분야의특성, 소프트웨어점유율, 시간및지역에따라변화하는정보시스템환경등에영향을받게되므로, 국내에서도이러한국내소프트웨어환경특성을고려한새로운소프트웨어보안취약점평가체계를구축할필요가있다. 또한같은척도라할지라도국내상황에맞는적절한객관적기준이새로설정되어야할것이다. 따라서국내환경을고려한타당한정량적및정성적기준을제시하고이에기반하여중요소프트웨어보안취약점을독자적으로추출할수있는소프트웨어보안취약점평가체계를새롭게구축하는작업은국내소프트웨어보안성강화의지속적인추진을위해반드시선행되어야한다. 이러한소프트웨어보안취약점평가체계를새롭게구축하기위해서는먼저국 내외보안취약점평가체계및적용관련활동을체계적으로조사할필요가있다. 이를통해서 CVSS, CWSS 등의장단점을분석조사하여야한다. 또한 NVD (National Vulnerability Database) 및 OSVDB (Open Source Vulnerability Database) 등보안취약점 DB의보안취약점평가체계적용방법, 보안취약점관련국제표준화추진동향, 주요민간업체의보안취약점평가방법, 국 내외보안취약점포상 (Security Bug Bounty) 사례를통한보안취약점평가방법및적용사례등을조사할필요가있다. 보안약점에대한정량평가방법으로 CVSS, CWSS 등이제안되어있 - 3 -
지만, 현재 NVD 등의데이터베이스구축에서사용된 CVSS의적용사례는기본척도만사용하고있어, 보안취약점의파급도나대상소프트웨어의점유율등은충분히반영하고있지않으며, 나머지환경적, 시간적척도도국내환경을적절히반영하는데적합한지확실하지않으며기준도재설정되어야한다. 또한 CWSS 연구결과는약점에대한척도라는점에서보안취약점과어느정도차이가있다는제약점을가지며, SANS Top 25 등의적용사례에서는이중중요도 (importance), 유행도 (prevalence), 침해가능성 (likelihood of exploit) 만적용하고있어, 소프트웨어사용환경을반영한심각성평가를적절히수행하지못하고있다. 따라서국내소프트웨어의보안취약점에적절히대응하기위해서는, 기존의연구결과를기반으로국내소프트웨어이용환경을고려한보안취약점의파급도, 위험도, 소프트웨어점유율, 시스템에서의사용정도등을복합적으로반영하여보안취약점에대한심각성을적절히평가할수있는기준및이를기반으로한평가방법개발이필요하다. 또한이렇게개발된소프트웨어보안취약점평가체계를시범적으로적용하고그효용성을 CVSS 및 CWSS 등과비교하여개선하는연구가병행되어야할것이다. 이러한보안취약점에대한평가체계연구는보안취약점에대한다양한대응사업을효율적으로수행하기위한필수적인기반데이터로활용될수있을것으로판단된다. 제 절과제의목표및내용 과제의목표 본과제의목표는국내환경에적합한보안취약점평가방법을연구 하고이를바탕으로새로운보안취약점평가방법을연구하고이를국 내보안취약점에시범적용하는것이다. 각각에대해서요약정리하면 - 4 -
다음과같다. 국내환경에적합한보안취약점 평가방법연구 - 국내외보안취약점평가체계와및적용관련동향조사분석 - 소프트웨어보안취약점의중요도를정량평가함에있어고려되어야할국내소프트웨어환경의특징연구 - 소프트웨어보안취약점평가에국내환경을고려한파급도및위험도를반영하기위한방법연구 - 국내환경에적합한소프트웨어보안취약점평가체계및객관적평가척도정립연구 소프트웨어대상신규보안취약점평가방법연구및시범적용 - 기존방법에의한정량평가를위한객관적기준설정 - 기존보안약점및보안취약점정량평가방법론 (CVSS, CWSS) 적용 - 국내소프트웨어환경에적합한한국형보안취약점정량평가방법적용 - 시범평가결과분석및추가개선수행 주요연구내용 본과제의목표를이우기위한주요연구내용은크게다음과같이세 가지로정리할수있으며각각에대한설명은다음표와같다. 국 내외보안취약점평가체계및적용관련동향조사 소프트웨어대상신규보안취약점평가방법연구 보안취약점평가체계시범적용 - 5 -
국 내외보안취약점평가체계및적용관련동향조사 주요내용 의 분석 Ÿ 한국형보안취약점데이터베이스구축, 보안취약점보상체계를위한기반연구로서보안취약점중요도분석기준에대한관련내용조사및분석 의 분석및적용사례조사 Ÿ CWSS 평가척도및중요도계산방법론조사및분석 및 등보안취약점 의보안취약점평가체계적용방법조사 Ÿ NVD 및 OSVDB의전반적인체계조사 Ÿ NVD와 OSVDB에서는모두 CVSS의기본점수 (Base Score) 에가반한보안취약점정량평가결과를제시하고있으므로이를확장하여실제적인심각성을반영하기위한방법연구 보안취약점관련국제표준화추진동향조사 Ÿ 보안취약점에대한일관성있는정보제공을위한연구동향과관련산학연활용동향을조사함. 社 등주요민간업체의보안취약점평가방법및적용사례조사 국 내외보안취약점포상 사례를통한보안취약점평가방법및적용사례조사 Ÿ 취약점포상을위한보안취약점의중요도반영방법및적용사례조사 Ÿ 본연구의보안취약점중요도평가방법개발에있어, 포상을위한보안취약점중요도평가에사용되는주요척도의반영가능성연구 - 6 -
소프트웨어대상신규보안취약점평가방법연구 주요내용 국내소프트웨어이용환경을고려한보안취약점의파급도및위험도평가연구 Ÿ 취약점의파급도및위험도평가를위한객관적기준정립연구 소프트웨어대상신규보안취약점평가방법개발 Ÿ 해외연구결과와국내실정반영방법을적용하여평가방법개발 보안취약점평가체계시범적용 주요내용 국내소프트웨어보안취약점대상 및 평가시범적용 Ÿ 국내보안취약점발생사례에대한시범적용실시 연구결과로개발한보안취약점평가방법시범적용 Ÿ 국내보안취약점발생사례에대한시범적용실시 - 7 -
- 8 -
제 장국내외동향조사 제 절 소개 이질적이고다양한하드웨어와소프트웨어에결합되어있는취약점을평가하는것은 관리측면에서매우중요한일이다 평가된취약점은우선순위가부여되어관리되어야하며위험수준이높은순위에따라적절한대처가취해져야한다 그러나만일서로다른방식으로측정되고점수가부여된대상들이모두긴급한대처를요구한다면 관리자는판단은어려울수밖에없다 는이러한문제에대처하기위한시도이며 취약점에대한영향과특성을표현하기위한공통프레임워크를제공하려는노력의결과이다 는 와카네기멜론대학의연구를바탕으로개발되어현재 에의하여관리되고있는취약점평가표준이다 공식적인최신버전은 년에발표된 표준이며 버전 이내년발표를예정으로검토중인것으로알려져있다 는다음과같은이점이있다 표준화된취약성점수배점 만일조직내에서모든소프트웨어와하드웨어플랫폼에대해정규화된취약성점수배점을수행한다면단일화된취약점관리정책을강력히수행할수있다 이런방식의정책은특정취약점에대해얼마나신속히검증하고치료할수있는지를설명하는서비스수준협약 과유사한것이다 - 9 -
개방형프레임워크 만일취약점이임의로배점된다면사용자들은이에대해혼란을느낄수있다 어떤특성때문에그러한점수가부여되었는지 지난번릴리즈된것과지금것과는어떻게다른지등에관한질문이가능할것이다 를통해모든사람들은점수에관련된개별특성들을접근할수있다 위험우선순위화 환경요소가점수화된다면취약점은상확적인요소가된다 즉이러한점수는어떤조직의특정한위험을대표하는점수가된다는뜻이다 사용자는특정취약점이다른취약점에비해어느정도중요한지를인식할수있다 의평가항목은기본 시간 환경 과 같은세가지메트릭그룹으로구성된다 그림 메트릭그룹 기본메트릭그룹 취약점특성중특정시간의흐름이나사용자환경에영향을받지않는특징이며고유하고근본적인특징을표현하는평가항목들로이루어진다 시간메트릭그룹 취약점특징중시간의흐름에따라변할수있으나사용자환경에는독립적인특징을표현하는평가항목들로이루어진다 환경메트릭그룹 취약점특징중특정사용자환경에관련이있으며사용자환경의특징을표현하는평가항목들로이루어진다 - 10 -
평가에서중요한개념중하나는각메트릭그룹의평가항목의값으로구성된벡터이다 예를들어기본메트릭그룹내의평가항목들의값으로구성된기본메트릭벡터가있으며 비슷하게시간메트릭벡터 환경메트릭벡터가있다 평가점수의핵심은기본메트릭점수 이하기본점수라고함 이며이점수는기본메트릭그룹에속한평가항목의값들을이용하는계산공식으로계산되며 부터 사이의값을갖는다 이기본메트릭점수는그림 와같이시간메트릭과환경메트릭의점수를계산하는데이용된다 그림 메트릭과공식의관계 그림 에서처럼기본메트릭점수은필요할경우에선택적으로시간메트릭점수와환경메트릭점수로정제될수있다 사용자는이러한과정을통해사용자환경에내제된취약점특성을정교하게계산에반영함으로써유용한정보로활용될수있다 각메트릭그룹에대해서하나씩살펴보도록한다 메트릭그룹및세부평가지표 가 기본메트릭그룹 기본메트릭그룹은특정시간의흐름이나사용자환경에영향을받지 - 11 -
않는취약점에대한고유하고근본적인특징을표현한다 이그룹은취 약점에대한고유품질을표현하는그룹으로서접근벡터 접근복잡도 인증 보안성영향 무결성영향 가용성영향등의평가항목을갖는다 접근벡터 이평가항목은취약점이어떻게공격에이용되는지를반영한다 가능한 값의종류가 표 에나타나있다 더욱원거리의공격자가호스트를 공격할수있을수록취약성점수가커진다 표 접근벡터 평가값 Local(L) Adjacent Network(A) Network(N) 설명오직지역적인접근을가지고서악용할수있는취약점은공격자에게취약한시스템에대한물리적접근이나지역적인계정을가지도록요구한다. 그예로 Firewire/USB DMA공격, 지역적권한상승 ( 예. sudo) 과같은외적인공격을들수있다. 인접한네트워크의접근을가지고서악용할수있는취약점은공격자에게브로드캐스트나취약한소프트웨어의충돌도메인에대한접근을가지도록요구한다. 지역네트워크는지역 IP서브넷, bluetooth, IEEE802.11 그리고지역 Ethernet 세그먼트를포함한다. 네트워크의접근을가지고서악용할수있는취약점은취약한소프트웨어가네트워크스택에묶여있고, 공격자에게지역네트워크나지역적인접근을요구하지않는다는것을의미한다. 이런취약점은종종원격에서악용가능한것으로불린다. 네트워크공격의예로는 RPC 버퍼오버플로우가있다. 접근난이도 이평가항목은공격자가이미목표시스템에접근성을확보한뒤취약 - 12 -
점을얼마나복잡하게공격하는지에관한측정을한다 예를들면 인터넷서비스의버퍼오버플로우의경우일단목표시스템에들어온이후공격자는자신이원하는방향으로공격을수행한다 다른취약점의경우공격을수행하기위해추가적인활동이필요하다 에를들어이메일클라이언트에대한취약점의경우사용자가첨부문서를다운로드받고열어볼때에만공격이가능하다 가능한값의종류가 표 에있으며접근난이도가낮을수록취약성점수는높다 표 접근난이도 평가값 설명 High (H) 특화된접근조건이존재한다. 예를들어 Ÿ 대부분의환경에서공격자는미리상승된권리나공격시스템외에부가적인속임수시스템을가져야한다.( 예. DNS hijacking) Ÿ 공격은지식이있는사람들에의해쉽게발견될수있는사회공학메소드에의존한다. 예를들어피해자는여러의심이가거나불규칙적인행동을수행해야한다. Ÿ 취약한환경은매우드물게실제문제로써보인다. Ÿ 만약경쟁상태가존재한다면윈도우는매우제한된다. Medium (M) 접근조건은다소특화되어있다. 예를들어 Ÿ 공격자는몇몇의다소신뢰할수없는권리레벨에서의시스템이나사용자그룹에제한된다. Ÿ 몇몇의정보는성공적인공격이나오기전에수집되어야한다. Ÿ 영향을받은환경은디폴트가아니며, 일반적으로구성되어있지않다 ( 예. 취약점은서버가특정스키마를통해사용자계정인증을수행할때나타나지만또다른인증스키마에서는나타나지않는다.) Ÿ 공격자는경우에따라신중한사용자를속일지모르는사회공학의작은부분을요구한다.( 예 : 웹브라우저의상태바를다른링크로보이게변경하는피싱공격 ) Low (L) 특화된접근조건이나참작할만한환경은존재하지않는다. 예를들 - 13 -
어 Ÿ 영향을받은제품은전형적으로시스템과사용자의넓은범위에대한접근을요구한다. Ÿ 영향을받은환경은디폴트며어디에나있을수있다. Ÿ 공격자는수동적으로수행될수있으며, 사소한기법이나부가적인정보수집요구한다. Ÿ 경쟁상황은느슨한것들중하나이다. 인증 이평가항목은공격자가목표시스템에침투하기위해서몇번의인증을받아야하는지를측정한다. 이평가항목은인증프로세스의복잡도나강도를재는것은아니며단지공격자가침투하기위해필요한인증횟수를잰다. 이평가항목의가능한값들은 [ 표 2-3] 에나타나있다. 적은수의인증횟수가요구될수록취약성점수는높다. 표 인증 평가값 Multiple (M) 설명취약점악용하기위해서공격자는두번이상의인증을해야하며, 심지어각시도에몇몇의인증서가사용된다. 어플리케이션에대한접근증명서를제공하는것외에 OS에대한공격자인증이일어난다. Single (S) 취약점에접근하여악용하는데단한번의인증을요구한다. None (N) 인증이요구되지않는다. 기밀성영향 이평가항목은성공적으로공격된취약점에대한기밀성영향을측정 한다 기밀성은인가된사용자에게만접근을제한하거나감추어지도록 - 14 -
정보를관리하며동시에인가되지않은사용자에게는접근을사전에차단하거나은폐시키는것을말한다 이평가항목의가능한값들은 표 에나타나있다 기밀성영향이증가할수록취약성점수는높다 표 기밀성영향 평가값 설명 None(N) 시스템의기밀성에영향을미치지않는다. Partial(P) 상당한정보의누출이있다. 몇몇의시스템파일에대한접근이가능하다. 그러나공격자는획득한것을넘어제어할수없으며, 손실의범위를제한한다. 예로서 DB에서오직일정한테이블만이노출되는취약점이있을수있다. Complete (C) 모든시스템파일을드러내는결과를낳게되는완전한정보의누출이 있다. 공격자는시스템의모든데이터를읽을수있다.( 메모리, 파일등 등 ) 무결성영향 이평가항목은취약점이성공적으로공격되었을때의영향을측정한다 무결성이라정보에대한신뢰도 와보증된정확도를나타낸다 이평가항목의가능한값들은 표 에나타나있다 무결성영향이클수록취약성점수는높다 표 무결성영향 평가값 설명 None(N) 시스템무결성에대한영향은없다. - 15 -
Partial(P) 몇몇시스템파일이나정보의변경이가능하다. 그러나공격자는변경될수있는것을넘어선제어를할수는없으며, 공격자가영향을미칠수있는것의범주는제한되어있다. 예를들어시스템이나어플리케이션파일은덮여쓰여지거나변경될지모르지만역시공격자는영향을받은파일이외에는제어를할수없고오직제한된범주안에서변경이가능하다. Complete (C) 시스템무결성이전체적으로위험에드러나있다. 시스템보호의완 전한손실이있으며, 이는전체시스템의위험노출로이어진다. 공 격자는타겟시스템이어떤파일에도변경을가할수있다. 가용성영향 이평가항목은성공적으로공격되었을때의가용성영향을측정한다 가용성이란정보자원의접근성 을의미한다 공격자는네트워크대역폭 프로세스사이클 디스크공간등시스템가용성에영향을주는모든요소를의미한다 이평가항목의가능한값들은 표 에나타나있으며가용성영향이클수록취약성점수가높다 표 가용성영향 평가값 설명 None(N) 시스템의가용성에대한영향은없다. Partial(P) Complete (C) 성능이줄어들거나자원이용하는데방해가있다. 예를들어인터넷서비스를위해성공적인연결수에제한을두는네트워크기반의플러드공격이있다. 자원이영향을받아완전히사용할수없게된다. 공격자는자원을완전히이용못하도록할수있다. 나 시간메트릭그룹 - 16 -
시간메트릭그룹은시간에따라변할수있는취약점의특성을평가 하기위한평가기준으로공격가능성 대응수준 보고의신뢰성등의 평가항목이여기에속한다 공격가능성 이평가항목은공격을위한방법이나코드의존재여부에따라공격의 용이성을평가한다 표 공격가능성 평가값 Unproven(U) Proof-of-concept (POC) Functional (F) High(H) Not Defined (ND) 설명이용할수없는공격코드이거나완전히이론상으로가능한것이다. 공격의개념을시험하거나, 실제적으로는대부분의시스템에는맞지않는공격시연이이용가능하다. 그코드나기술은모든환경에작용하지않고, 숙련된공격자에의한많은변경을필요로할지모른다. 기능적공격코드가이용가능하다. 그코드는취약점이발견된대부분의상황에서영향을미칠수있다. 각취약점은기능모바일자발적인코드에의해악용가능하며, 또공격이요구되지않고 ( 수동트리거 ) 자세한사항은넓게이용가능하다. 코드는모든상황에서영향을미칠수있으며, 실질적으로모바일자발적인에이젼트 ( 웜이나바이러스같은 ) 를경유하여전파된다. 메트릭에서이값은점수에영향을미치지않는다. 대응수준 - 17 -
이평가항목은취약점에대한우선순위설정을위한중요한요소이다 일반적으로취약점이발표될시점에는적절한패치가없는경우가많으며 공식적인패치나업그레이드의발표이전에비공식적인회피방법이나수정이발표되기도한다 이러한대응의단계에따라취약점에대한평가는점차적으로하향조정될수있다 표 대응수준 평가값 Official Fix (OF) Temporary Fix (TF) Unavailable (U) Not Defiled (ND) 설명이용가능한완전한벤더솔루션이있다. 각벤더는발표된공식패치를가지고있거나업그레이드가이용가능해야한다. 공식적이긴하나임시적인수정방법이있다. 이는벤더가발표한임시적인응급패치프로그램, 툴, 임시방편을포함한다. 이용가능한솔루션이없거나, 그것을적용하는것이불가능하다. 메트릭에서이값은점수에영향을미치지않는다. 보고신뢰성 이평가항목은보안취약점의존재와이로야기되는알려진기술적문 제점에대한신뢰도를평가하기위하여사용된다 표 보고신뢰성 평가값 Unconfirmed (UC) Uncorroborated 설명한개의확인되지않은자원이나어쩌면모순될수있는많은보고서가있다. 보고서의정당성에대한기밀이적으며, 그예로해커언더그라운드로부터드러난루머를들수있다. 어쩌면독립적인보안회사나리서치기관을포함하는많은공 - 18 -
(UR) Confirmed (C) Not Defined (ND) 식적이지않은자원이있다. 그점에서모순되는기술적인디테일이나다른애매모호함이있을수있다. 그취약점은벤더나영향을받은기술의프로그래머에의해서알려진다. 그취약점은또한그존재가기능성의발표나공격코드의기술검증, 일반적인공격과같은외부이벤트로부터알려졌을때확립되어 (confiremed) 질수있다. 메트릭에서이값은점수에영향을미치지않는다. 다 환경메트릭그룹 환경메트릭그룹은사용자의환경의특성을반영할수있는평가항목 으로부수적피해잠재성 대상분포 보안요구조건등의평가항목이여 기에속한다 부수적피해잠재성 이평가항목은취약점을이용한공격이성공하였을때자산이나장비의파괴혹은도난으로인해발생할수있는잠재적인인적물적피해를측정하며이로인해발생할수있는생산성이나매출의경제적손실도측정한다 표 부수적피해잠재성 평가값 설명 None(N) 생명, 물적자산, 생산성또는수익의잠정적인손실은없다. Low (L) 이취약점에대한성공적인공격은약간의물리적인손실이나자 산손실의결과를낳는다. 또한기관의생산성이나수익에손실 에도약간의영향을미칠수있다. - 19 -
Low-Medium (LM) Medium-High (MH) High (H) NotDefined (ND) 이취약점에대한성공적인공격은중간정도의물리적인손실이나자산손실의결과를낳는다. 또한기관의생산성이나수익의손실에도어느정도영향을미칠수있다. 이취약점에대한성공적인공격은상당한물리적인손실이나자산손실의결과를낳는다. 또한기관의생산성이나수익의손실에도상단한영향을미칠수있다. 이취약점에대한성공적인공격은비극적인물리적인손실이나자산손실의결과를낳는다. 또한기관의생산성이나수익의손실에도비극적인영향을미칠수있다. 메트릭에서이값은점수에영향을미치지않는다. 대상분포 이평가항목은보안취약점으로인해침해가예상되는시스템의범위 를평가하기위하여사용된다 표 대상분포 평가값 None(N) Low(L) Medium(M) High(H) 설명대상시스템이존재하지않거나, 오직연구실에서만배치되어있는매우전문화되어있는것이다. 그환경의 0% 가위험에처해있다. 대상시스템이그환경안에서만존재하거나, 작은규모에서만존재한다. 그전체환경의 1%~25% 가위험에처해있다. 대상시스템이그환경안에서만존재하거나, 중간정도의규모에서만존재한다. 그전체환경의 26%~75% 가위험에처해있다. 대상시스템이그환경안에서만존재하거나, 상당한규모에서만존재한다. 그전체환경의 76%~100% 가위험에처해있다. - 20 -
평가값 Not Defined (MD) 설명 이값은점수에영향을미치지않는다. 보안요구조건 이평가항목은취약점공격으로영향을받는 자산의사용자환경에서의기밀성 무결성 가용성의중요도에따라 점수를조정할수있도록해준다 즉 기밀성 무결성 가용성의중요도에따라기밀성 무결성 가용성점수에가중치를줌으로써취약성점수를조정한다 표 보안요구 평가값 Low(L) Medium (M) High(H) Not Defined (MD) 설명기밀성, 무결성, 가용성의손실은기관이나그기관에관계된개인 ( 예. 직원, 고객 ) 에게제한적으로불리한영향을끼친다. 기밀성, 무결성, 가용성의손실은기관이나그기관에관계된개인 ( 예. 직원, 고객 ) 에게심각하게불리한영향을끼친다. 기밀성, 무결성, 가용성의손실은기관이나그기관에관계된개인 ( 예. 직원, 고객 ) 에게비극적이게불리한영향을끼친다. 메트릭에서이값은점수에영향을미치지않는다. 버전업데이트 현재 CVSS 버전 2 는버전 3 (CVSS v3) 로업데이트가진행중이며 2014 년 6 월에완료될예정이다. CVSS v3 는지금까지지적된 CVSS v2 의 - 21 -
주요문제점들을보완하게될것이다. CVSS v2 의주요문제점과이를 개선하기위한 CVSS v3 의안은다음과같다. 가 범위 문제 CVSS v2의기밀성영향 (C), 무결성영향 (I), 가용성영향 (A) 등의영향의개념은호스트운영체제에대한영향으로그범위가제한되어있다. CVSS v2의이러한개념은최근에가상화 (virtualization), 네트워크등이많이사용되는컴퓨팅환경으로바뀜에따라그문제점이제기되고있다. CVSS v3에서는이러한문제점을해결하기위해범위 (scope) 라는개념을도입할예정인데범위는크게권한범위 (Authorization Scope) 와영향범위 (Impact Scope) 로구분된다. 권한범위 (Authorization Scope) 는취약한컴포넌트에대한공격자의권한의범위를평가하기위한척도로그평가척도값과설명은다음표와같다. 표 권한범위평가척도 평가척도값 Increased Component 설명독립적인권위로부터의권한혹은취약한컴포넌트의모든자원을제어할수있는권한. 컴포넌트자체에의해서승인된권한혹은컴포넌트의사용을승인하기위해사용되는권한. Decreased 컴포넌트나그하위부분에의해서제어된소스로부터나온권한. 영향범위 (Impact Scope) 는취약한컴포넌트에대한공격자의영향의 범위와제어의범위를평가하기위한척도로응용, 호스트, 가상화, 네트 - 22 -
워크등에대한영향을측정할수있다. 그평가척도값과설명은다음 표와같다. 표 영향범위평가척도 평가척도값 Increased Component Decreased 설명취약한컴포넌트와무관한권위에의해제어된정보자원이주로영향을받음. 컴포넌트자체 ( 혹은같은권한 ) 에의해서제어된자원이주로영향을받음. 컴포넌트나그하위부분에의해서제어된자원이주로영향을받음. 나 필요한권한 인증 (Authentication) 평가척도는공격자가목표시스템에침투하기위해서몇번의인증을받아야하는지를측정하기위한척도로도입되었으나 NVD의조사결과 90% 이상이 None이었으므로그실효성이거의없는것으로밝혀졌다. 따라서 CVSS v3에서는인증평가척도를제거하고공격자가공격하기위해필요한권한을새로운척도로사용할예정이다. 필요한권한 (Privileges Required) 척도는공격자가공격하기위해필요한권한을나타내는척도로 None, Low, High, Complete 값으로평가한다. 각값에대한설명은다음표와같다. 표 필요한권한평가척도 평가척도값 설명 None 권한없음 - 23 -
Low 낮은영향이가능한권한으로 Complete 영향은줄수없는 권한혹은덜심각한영향이가능한권한. High 상당한권한으로 1~2 개의 Complete 영향을줄수있는권한 혹은심각한자원에대한 Partial 영향이가능한권한 Complete 3 개의 Complete 영향을줄수있는완전한권한. 다 사용자상호작용 CVSS v3 에서는접근복잡도 (Access Complexity) 의사회공학부분을 제거하고사용자상호작용 (User Interaction) 으로대치할예정이다. 사용 자상호작용의평가척도값과그설명은다음표와같다. 표 사용자상호작용평가척도 평가척도값 설명 None 공격성공을위해서사용자와상호작용이필요없음. Simple Complex 공격성공을위해서사용자의통상적으로기대되는액션 ( 이메일열기, 링크클릭, PDF 보기등 ) 이필요함. 공격성공을위해서사용자의통상적이지않는액션이필요함. CVSS v3 에서는앞에서기술한새로운평가척도를포함하여 ( 그림 2-3) 과같이공격가능성점수 (Exploitability subscore) 와영향점수 (Impact subscore) 를계산할것이다. 라 환경에따른경감 - 24 -
CVSS v3 에서모든 Base 평가척도는환경에따라경감될수있다. 환 경적인요소를고려하여 Base 평가척도를재계산하도록한다. 마 부수적피해잠재성 대상분포제거 부수적피해잠재성 (Collateral Damage Potential), 대상분포 (Target 그림 의 평가척도 그림 환경에따른경감 - 25 -
Distribution) 는 CVSS v1 에서포함된평가척도로측정하기매우어렵고 큰조직으로확대되어적용되기어렵다. 따라서 CVSS v3 에서는제거될 예정이다. 제 절 소개 CWSS는소프트웨어보안약점의중요도를평가하는평가체계로 CWE 프로젝트의일부로수행되고있다. CWE와 CWSS의특징은안전한소프트웨어의개발과보안유지에책임이있는당사자들인정부, 학계, 산업체들이모여서만드는커뮤니티형태의협업이라는점에있다. 현재이프로젝트는미국 NCSD(National Cyber Security Division) 과미국 DHS (Department of Homeland Security) 의지원을받아서진행되고있다. CWSS는소프트웨어에일반적으로발생하는다양한약점에대하여제거의우선순위를줄수있는정량적인기준을제시한다. 정량적인기준을제시하기위한다양한메트릭을약점자체의심각성 (Base Finding Metric Group), 공격측면의심각성 (Attack Surface Matric Group), 환경적측면의심각성 (Environment Matric Group) 으로분류하여그정량적기준과함께제시하고있으며, 아울러소프트웨어가사용되는도메인에적응하여중요성조정할수있는방법론인 CWRAF(Common Weakness Risk Analysis Framework) 를제시하고있다. 현재 CWSS는버전 0.8이 2011년 6월에발표되었으며, 아직정식버전은발표되지는않은상태이다. 메트릭그룹 CWSS 의평가방식은대상이되는소프트웨어시스템의특성과평가 - 26 -
방식의특성에따라서크게 4가지로구분된다. [ 표 2-17] 은 4가지평가방식의특성을설명하고있다. 현재 CWSS는 targeted 평가방식과 context-adjusting 평가를위한프레임워크를준비하고있다. Aggregated 평가방식에대한연구는향후에추가될예정이며, generalized 평가방 표 에포함된평가방식 방식 Targeted ( 타겟형 ) Generalized ( 일반형 ) Context-adjusted ( 발전형 ) 내용특정한소프트웨어패키지의디자인이나구현과정에서발견되는개별적인보안약점에대해서평가를수행하는방식이다. 예를들어특정 FTP 서버패키지에포함된 vuln.c라는소스파일의 1234 라인에있는사용자인증코드에서발견되는버퍼넘침약점에대한중요도를평가하는방식이다. 자동화된도구나소프트웨어보안전문가등이패키지의일부로포함된소프트웨어의보안성을평가하기위하여 targeted 방식을사용할수있다. 특정소프트웨어패키지에독립적인보안약점이나보안약점클래스들을평가하기위하여사용되는방식이다. 이경우평가는각약점이나약점클래스들의상대적인우선순위로표현된다. CWE/SANS Top 25와 OWASP Top 10 등에서사용되는방식으로, 일부자동화된코드스캐너에서도사용된다. Generalized 방식은특정패키지내부에서모든취약점의발생을모두분석하는 targeted 방식과는다른결과를낳을수도있다. 예를들어, 버퍼넘침은일반적인경우에서는위험도가매우높은약점으로분류되지만, 특정패키지에서는 ASLR과같은 OS 수준의보호메커니즘에의해서공격자에의해서직접적으로이용될수없기때문에 targeted 방식에서는의외로중요도가낮게평가될수도있다. 서로다른분석환경에따라서보안약점의중요도가조정될수있는방식을뜻한다. 예를들어, 사업모델이나위협환경 (threat environments), 혹은위험허용정도 (risk - 27 -
방식 내용 tolerance) 등이고려의대상이된다. 이경우보안약점이 가지는일반적인성격외에도상위레벨의사업적고려가 중요도평가에영향을미치게된다. Aggregated ( 통합형 ) 하위레벨에서계산된다수의평가점수를합산하여하나의상위레벨점수를산출하는방식이다. Aggregated 방식은 targeted 방식과함께사용될수도있고, 혹은 2010 CWE/SANS Top 25에서사용되었던것처럼 generalized 방식과함께사용될수도있다. 식은별도로연구되어 2011년도에발표된 CWE/SANS Top 25와 CWRAF 에포함되었다. CWSS에서는버전 0.6부터 3개의메트릭그룹의 18가지서로다른요소점수를이용하여보안약점의중요도를계산한다. 3개의메트릭그룹은보안약점의내재적인특성과찾아진약점의신뢰도, 그리고제어의강도를표현하는 Base Finding 그룹, 공격자가존재하는약점을찾아내 그림 메트릭그룹과그룹별하위요소들 - 28 -
서이용할수있는난이도를표현하는 Attack Surface 그룹, 그리고사업모델이나공격난이도, 외부제어의존재여부를표현하는 Environmental 그룹으로나누어진다. ( 그림 2-5) 은 3개의메트릭그룹과그룹별 18개의하위요소를나타낸다. CWSS는처음에는매우적은정보를가지고중요도평가를시작하여, 시간이지남에따라가용정보의양과질이증가하면서중요도평가도함께변화하게된다. 따라서개별적인보안약점에대한평가점수는가용정보가변화함에따라필연적으로변화할수밖에없다. CWSS 요소점수는시간과환경에따라 가변적 이라는특성을가지고있으며, 이특성은 CWSS가 CVSS와같은종류의요소점수를사용할수없는이유가된다. 가 메트릭그룹 Base Finding 메트릭그룹은보안약점의내재적인특성과찾아진약점 의신뢰도, 그리고제어의강도를표현하며, [ 표 2-18] 에표시된것처럼 5 개의하위요소를포함하고있다. 표 메트릭그룹과하위요소 메트릭그룹하위요소평가값 - 29 -
표 메트릭그룹과하위요소 메트릭그룹하위요소평가값 나 메트릭그룹 Attack Surface 메트릭그룹은공격자가존재하는약점을찾아내서이 용할수있는난이도를표현하는그룹으로, [ 표 2-19] 에표시된것처럼 7 개의하위요소를포함하고있다. - 30 -
다 메트릭그룹 Environmental 메트릭그룹은사업모델이나공격난이도, 외부제어의존재여부를표현하는그룹으로, [ 표 2-20] 에표시된것처럼 6개의하위요소를포함하고있다. 표 메트릭그룹과하위요소메트릭그룹하위요소평가값 평가점수계산법 CWSS 버전 0.6의평가점수는 0부터 100까지의숫자로표현된다. 이점수는 (Base Finding 점수 ) * (Attack Surface 점수 ) * (Environmental 점수 ) 라는공식을이용하여계산된다. Base Finding 점수는 0부터 100 사이의점수를가지며, Attack Surface 점수와 Environmental 점수는 0부터 1 사이의값을가지게된다. - 31 -
각부분점수의평가방식과의미에대해서는 4 장에서더자세히논의하 도록한다. 제 절보안취약점데이터베이스 는보안콘텐츠자동화프로토콜 를사용하여표현된미국정부의표준기반취약점관리데이터저장소이다 이데이터는취약점관리 보안측정및규정준수의자동화를가능하게한다 는보안체크리스트 소프트웨어의결함 잘 그림 계산기예시 - 32 -
못된구성 제품이름 평가메트릭과관련된보안데이터베이스를포함하고있다 그림 은미국의국가취약점데이터베이스 에서제공하는 메트릭계산기의화면이다 다음은 의취약점심각도수준평가에관한기준으로 항목에대해 벡터값에근거하여산출된점수에근거하여다음과같은기준에의해심각성정도 를정의한다 취약점심각도수준 기본점수 취약점심각도수준 기본점수 취약점심각도수준 기본점수 는 계산결과에근거하여각취약점에대해취약점심각도 수준을공개하고있으며 그림 는 에서제공하는취약점항목 그림 항목대상 측정예 - 33 -
중 년도에보고된취약점항목의일부내용이다 그림 은년도별로전체취약점을 기본점수에따라심각도 로분류된취약점의개수와비율을나타낸다 그림 기본점수 오픈소스취약점데이터베이스 프로젝트는전세계정보보안커뮤니티에서자유롭게사용할수있도록컴퓨터의보안취약점모음을관리한다 모아진보안취약점들은운영체제 소프트웨어 프로토콜 하드웨어장치그리고다른정보기술인프라의요소들에서알려진보안취약점에대한정보를포함하고있다 프로젝트는인터넷상에서오픈소스취약점들을모으고이취약점데이터베이스정보를많은커뮤니티에제공하기위한프로젝트이다 이프로젝트가어려운이유는취약점을문서화하고전파하는것이엄청난작업이기때문이다 취약점은 년에는불과 건이하의취약점이발견되었지만 년에는 건이보고되었다 즉 년동안 이상증가하였다 의취약점수은보수적인추정치이며관리자 개발자및기업들이직면한취약점의실제수는실제로훨씬더높을수있다 취약점을추적하는데필요한노력은대부분조직의자원을초과하고 매년나타나는정보의양은방대하다 취약점관리에대한증가하는요구를충족하기위해 은세계의보안실무자의노력및오픈소 - 34 -
스개발모델의위치 검증 중요한정보의문서화를활용할계획이다 프로젝트는리눅스와아파치프로젝트와같이그분야에서선도적인오픈소스프로젝트가될것을목표로하고있다 보안커뮤니티와밀접한관계를유지함으로써 상업적이익및상업적커뮤니티콘텐츠개발하는것에대해독립적으로기관을유지하며 적극적으로운영의우수성을홍보하여 모든보안프로젝트와실무자를위한세계적수준의자원에대하여 는안정성을제공할것이다 프로젝트는 년에시작되었다 지금까지의많은취약점데이터베이스들이있어왔으며이러한데이터베이스들은주로그들자신의요구를만족시키기위한것이고 어떤것들은한정된취약점집합만을포함하고있거나내용에중요한제한을가지고있다 취약점데이터베이스는포괄적이고 무료사용으로개방하고 사회의요구에부응하기위해만들어졌다 는현재 개의취약점을데이터베이스화하고있다 는현재활성화된 에서이용할수있다 이것은크게두부분으로구성되는데 프런트엔드 는취약점을검색하고리포트하기위한것이고 백엔드 는취약점들을추가하고수정하기위한것이다 조정자는새로운취약점들을확인하고그것들을개인적인기고자나 맹글러 에게할당한다 맹글러는취약점을묘사하는정보를얻기위해웹을샅샅이뒤지고 내부의데이터베이스정보에세부사항을조사한다 조정자는그것을승인하기전에명확성과정확성을요구하는 의표준에적합한지확인하기위해각각의취약점엔트리를확인한다 취약점의해당레코드가받아들여지면 데이터베이스화되며취약점정보를요청하는누구나이용가능하다 이과정은빠르게진행되어커뮤니티에서이용할수있는취약점들을만들어낸다 이러한과정은맹글러와조정자의생산력을최대화시키고 따라서취약점데이터증가를안정적으로유지할수있다 - 35 -
CNVD (China National Vulnerability Database) 는 2009년구축된중국내취약점데이터베이스로보안제품인증평가기관인 CNITSEC에의해운영되고있다. 2010년 4월부터약 27,000개의취약점정보를구축하여서비스를시작하고있으며, 현재 40,000개이상의 CNVDB 엔트리, 80,000개이상의패치와수정정보를담고있다. CNCERT/CC 사무국을중심으로중국 ISP, 네트워크보안회사들과소프트웨어회사및인터넷회사들이포함되어있는 CNVD는 300명이넘는중국내화이트해커, 소프트웨어, 디바이스제품을판매하는 200개이상의회사, 그리고 24명의멤버들이기술적인협력을통해운영중이다. CNVD는회사에게는경고서비스와기술적인지원을, 공공기관에게는끊임없이추적한버그수정과신뢰할수있는취약점정보공개를, 사용자에게는취약점에초점을둔리스트업데이트를목적으로한다. CNVD 취약점은미국의 NVD, 일본의 JVN 등과유사한형태의정보 서비스를제공한다. CNVD 는중국내사용자들에게중요한영향을미치는 취약점을 7 개카테고리로구분하여관리한다. 일반소프트웨어 웹응용 운영체제 데이터베이스 네트워크장치 보안제품 산업용소프트웨어 통신 모바일인터넷 산업용제어시스템 - 36 -
그림 나 등록방법 CNVD에서의취약점을등록절차는회원가입후인증된사용자만이가능하며, ( 그림 12) 와같이메뉴클릭을통해서접수등록된다. 현재등록된 CNVD에등록된 ID 총개수는다음과같다. 총개수 CNVD 의등록은공개 (public) 등록과비공식적 (private) 인등록과정으 로구분되어진해된다. 공개등록의경우많은소스들로부터대중적인 취약점을수집하는것을목표로한다. 공개등록의경우다음의과정을 - 37 -
거쳐수행된다. 또는다른공식적인협회의취약점 를부여한다 유효한것으로간주하고 점수를측정한다 최초의참조자 신고자 들에게발표한다 그림 대중적인취약점처리프로세스 반면에비공식적인취약점처리프로세스는취약점등록을위해사용 자인증절차를거쳐서사용자등록이완료되며, 취약점등록은사용자 정보입력후이메일인증을통해서사용자인증이이루어진다. - 38 -
그림 취약점처리프로세스 그림 홈페이지에서취약점제출화면 제품설명 취약지점 기술적인분석과설명 - 39 -
효과와위험설명 다음은 CNVD 를통해등록된취약점중 Adobe Flash Player / AIR Unspecified Memory Corruption Vulnerability 에관련된내용을소개한것 이다. 그림 - 40 취약점 - 보고예시
다 관련사이트 제 절국내외취약점포상사례 본절에서는취약점포상과관련한국내외의대표적인사례를중심으로포상프로그램의구성과특징을소개한다 사례분석의대상으로국외의경우마이크로소프트 구글 페이스북 어베스트 모질라 시큐니아 중국의 티핑포인트사등 개사의포상프로그램을 국내경우로는한국인터넷진흥원의포상프로그램의구성을살펴본다 마이크로소프트 가 목적및대상 마이크로소프트사는자사의프로그램을대상으로하는사이버공격범죄가증가함에따라컴퓨터보안방어기술에대한연구를장려를목적으로시상프로그램을마련하였다 년 월첫해의블루햇프라이즈에서는총 건의보안아이디어가접수됐으며 블랙햇보안컨퍼런스이전까지접수된아이디어에대한평가를마치고우승자를선정하였다 마이크로소프트사입장에서블루햇프라이즈를운영하는것은경제적인방법으로새로운보안아이디어를확보하는데목적이있다고할수있다 블루햇프라이즈는버그헌팅의결과로이에대한보상을하는일반적인보상프로그램과는달리참여자들로하여금보안문제해결에관한획기적인기술을창안해내는것을목적으로한다 예를들어이프로그램 - 41 -
을통해발견된 버그는 같은기존윈도우의취약점보호기술을우회하는데 사용할수있는것으로알려졌다 나 포상기준및금액 이프로그램은 등 등 을 등은 구독권을지급하며 총상금은 만 천달러로책정되었다 년도블루햇프라이즈의경우 개의아이디어에대해 만달러가량이지출된것을볼때절반정도의아이디어가겹친다는가정을하면하나의아이디어당 만 천달러가지급되었다 윈도우애플리케이션의메모리보안취약성을악용하는것을예방하는가장혁신적인프로토타입을개발한사람에게제공한다 다 기타사항 우승자는그해블랙햇보안컨퍼런스에서발표되며 우승자는물론모든대회참가자는자신들이개발기술에대한지적재산권을가지지만 마이크로소프트에는로열티없이해당기술을라이센싱하는조건이다 신청은 이하의윈도우 를사용해개발하고윈도우에서구동하는 이하크기의프로토타입을제공해야한다 이프로그램을통해마이크로소프트사는 개의패치되지않은취약점을찾았다 이중 개는 제품군에서존재 개는엑셀 개는파워포인트 하는것으로보고되었다 라 참고사이트 - 42 -
마이크로소프트 가 목적및대상 프로그램은전세계적윈도우사용자들에게바이러스와유사한문제를일으키는 바이러스제작자와유포자를지역이나국가와관계없이체포할수있도록하는제보수집프로그램으로출발하였다 이프로그램은보안아이디어를찾거나 보안취약점의신고를받는기존의보상프로그램과는다른바이러스제보자색출이목적인프로그램이다 나 포상기준및금액 초기에시행된이프로그램의결과 의포상금이지급되었다 다 기타사항 이프로그램은 시간내에 만 를감염시킨악명높은 혹은 의출현으로인해시행되었다 콘피커 는 년 월부터확산되기시작한컴퓨터웜으 - 43 -
로다운업 다운애드업 키도 라는이름으로도알려져있다 콘피커웜은윈도 윈도 윈도비스타 윈도서버 윈도서버 의윈도서버서비스의취약점을이용해공격한다 콘피커가등장한이후여러변종웜이추가적으로발견되었으며 이중콘피커 는 년 월 일에 콘피커 는 년 월 일 콘피커 는 년 월 일에발견되었으며이후콘피커 콘피커 는 년 월 일에발견되었다 콘피커는컴퓨터에서실행되었을때윈도자동업데이트 윈도관리센터 윈도디펜더 윈도오류보고같은시스템서비스몇개를비활성화시킴 그런다음서버에연결해추가로전파할명령을받고 개인정보를전송하고 숙주가된컴퓨터에맬웨어를다운로드해설치 또한이웜은 같은중요한윈도프로세스에도감염시켰다 라 참고사이트 구글 내의 가 목적및대상 구글의웹브라우저인 의보안성강화를목표로구글브라 우저에국한됨보안약점수집을목표로시작하였다 - 44 -
그림 크롬프로젝트 나 포상기준및금액 구글 은취약점의종류에따라 그리고 그파급영향에따라다음과같은포상금액을책정하여차별화한다 표 구글의보상프로그램등급 구글계정관련 다른민감한서비스 우선순위가낮은 사이트 원격코드실행 $ 20,000 $ 20,000 $1,337- $5,000 SQL 주입또는동급 $ 10,000 $ 10,000 $1,337- $5,000 중요한인증우회 또는정보누출 $ 10,000 $ 5,000 $ 500-45 -
일반적인 XSS $ 3,133 $ 1,337 $ 100 XSRF, XSSI 및기타 일반적인웹취약점 $500~ $3,133 $500~$1,337 $ 100 다 특징사항 이프로그램은보상이지급되는버그수준을다음과같은세가지수 준으로구분한다 매우심각한위험 공격자가검색의정상적인과정에서사용자의권한으로임의의코드를 실행할수있다 이수준에해당하는위험의예는다음과같다 브라우저프로세스의통제버퍼오버플로우 특히악의적인웹사이트가직접버퍼의내용을제어할수있는경우 브라우저프로세스에서대부분의메모리안전문제가되지않는임의의코드실행의가능성을배제할수있음 모든충돌은중요한취약점을나타냄 크롬은메모리가모두다른예외적인상황에있을때 예를들어 를포함 제어방식으로충돌하도록설계되어있음 특별한사용자작업을필요로하는임의의코드실행취약점 예 인증서오류메시지를인쇄하거나특정명령줄플래그와함께크롬을실행하는것 이일반적으로중요한것으로평가되어서는안됨 고수준의위험 - 46 -
공격자가다른웹사이트에속하는기밀데이터를읽거나수정할수 있다 이수준에해당하는위험의예는다음과같다 버그가동일출처정책을우회할수있음 샌드박스의범위내에서버그는임의의코드실행을허용 버그가브라우저의보안기능을방해함 예를들면버그는위치표시줄및잠금아이콘을방해함 상태거품은보안표시가아님 중간수준의위험 공격자가제한된양의정보를얻을수있다 이수준에해당하는위험 의예는다음과같다 버그는공격자가최근에방문한 을열거할수있도록함 버그는독립적으로유해하지않음 하지만해를입힐다른버그와결합할수있음 예를들어 지시문을무시하는것자체는해롭지않을수도있지만다른공격을용이하게할수있음 높은위험이될수있는버그가아니더라도특별한사용자작업이필요함 예 전체화면모드에서탭의프로세스를종료등 낮은수준의위험 중요하지않은브라우저기능을통해침입자가일시적으로제어할수 있다 이수준에해당하는위험의예는다음과같다 버그는공격자가브라우저를중지할수있도록함 탭을닫는것 만으로해결될수있는경우탭정지는보안문제가되지않음 - 47 -
라 등록방법 구글 은취약점등록과버그등록을 구분한다 취약점등록은구글웹사이트를통해제공되는보안템플릿 을통해등록한다 취약점등록과정을살펴보면다음과같다 명확하고기술적인제목을포함하여야한다 크롬 크롬버전번호및릴리스채널을포함한다 운영체제 버전및테스트플랫폼의서비스팩수준을나열한다 크롬에로드할때버그를재생산한 또는이진파일이첨부된버그의데모를포함한다 가능한한작게파일을만들고취약점을악용하는데불필요한내용을제거한다 나프로토타입같은타사라이브러리에대한종속성을피한다 줄가량의짧은설명이나 과같은텍스트기반의테그 그리고텍스트형식의재현케이스를직접포함한다 재현하는데필요한자세한내용과함께버그의성격에대한간단한설명을제공한다 불필요한주석이나과장을피한다 취약점보고템플릿의구성은다음과같다 취약점세부정보 보안문제에대한간략한설명을제공함 버전정보형식 w Chrome Version: [x.x.x.x] + [stable, beta, or dev] 운영체제형식 - 48 -
w OS 버전, 서비스팩수준등 크롬에서로드할때버그를생산한 또는이진파일과같은보안버그의데모를포함 w Type of crash: [tab, browser, etc.] w Crash State:[see link above: stack trace, registers, exception record] w Client ID (if relevant): [see link above] 구글은보안취약점과는다른범주로크래쉬버그 에대한 리포팅을별도로받고있다 크래쉬버그는다음과같은과정을통해보 고된다 브라우저 응용프로그램충돌 또는 에서충돌의여부를확인한다 예외세부사항버그설명서 레지스터상태와스택추적의적절한부분에붙여넣기를한다 플랫폼특정디버거구성은윈도우 맥 리눅스상에서작동되는것으로한다 충돌보고를사용하는경우 클라이언트 를제공한다 가능한한충돌에대한정확한재현단계표현한다 좀더많은디버깅정보를제공한다 가능하다면구글에서제공하는구글크롬설정의충돌보고를사용한다 이경우 로이동하여 를클릭하고 개인정보섹션에서 자동으로 로사용통계및충돌보고서를보냄 을선택한다 마 관련사이트 - 49 -
어베스트 가 목적및대상 어베스트사의보상프로그램은보안소프트웨어를대상으로한다는점에서브라우저나운영체제등다른프로그램에대한취약점을찾는보상프로그램차별화된다 보안소프트웨어라고해서다른프로그램보다보안문제에자유로울것이라생각할수있지만실제는그렇지않다 오히려보안소프트웨어는공격자에게더노출될수있다는위기감이어베스트사의보상프로그램을탄생시킨배경이된다 이를통해보안프로그램상의버그를발견하고수정하기위해사용자커뮤니티를이용하는것이일반적으로그렇지않은기업보다더성공할수있을것이라는것이어베스트사의시각이다 나 포상기준및금액 제보자에게는각전문가패널에의해판단된버그의중요성에따라버그당최소 달러가지급되며 원격코드실행과관련한버그에는 달러의보상금이지급된다 다 시행방법 - 50 -
그림 어베스트사버그바운티 보안프로그램대상제품을대상으로하며 어베스트사의최신버전소 프트웨어들로윈도우버전의 제품사용자에게만국한된다 무료안티바이러스 프로안티바이러스 인터넷시큐리티 보고되는보안문제는다음과같은순서로위험성이분류된다 원격코드실행 가장치명적 로컬권한상승버그 계정이아닌계정에서 권한을얻을수있는버그 서비스거부취약성 프로세스의실행을통해발생할수있는 나시스템크래쉬의경우에해당함 샌드박스우회혹은회피가능버그 스캐너우회침입 - 51 -
라 취약점보고방법 가해당버그를확실하게재현할수있을정도의충분한정보가포함된보고서를제출해야함 이때정확한환경 자세한버그설명 샘플코드등관계있는모든정보를포함해야한다 작성한보고서를이메일 로보내어버그를보고함 이메일을암호화하고싶은경우 를사용한다 마 기타특징사항 와그들의가까운친척 부모 형제 자매 자녀 또는배우자 와 비즈니스파트너 정부기관 유통업체 그리고직원들은이프로그램에서제외한다 두명이상의연구자가동일한버그를발견하는일이있다면 보상금은먼저제출한사람에게지급된다 제기된문제가수정된후에보상금이지급된다 바 참고사이트 페이스북 가 목적및대상 페이스북은 개이상만명의사용자를가지고있기때문에취약점 이잠재적으로사람들의거대한숫자에영향을미칠수있으므로 - 52 -
을통해해커가취약점을찾도록하여웹 사이트에긍정적인영향을줄목적으로시행되었다 나 포상기준및금액 최저보상은 달러에서부터시작된다 각각의버그는그심각성과창의력에따라보상이수여된다 보안버그하나당한번의보상이수여된다 다 시행방법 책임감공시규정 에준거한다 버그를공개하는최초의사람에게지급된다 페이스북사용자데이터의무결성을손상시킬수있는버그나페이스북사용자데이터의개인정보보호를회피하거나 의인프라내에서시스템에액세스할수있도록하는등의오류를보고한다 이러한범주의오류는다음과같다 크로스사이트스크립팅 크로스사이트요청위조 인증오류 의 버그포함 플랫폼 개인정보보호권한모델우회 원격코드실행문제점 권한상승 프로비저닝오류 - 53 -
라 기타특징사항 보상의대상이되지않는버그종류는다음과같은것이있다 타사응용프로그램의보안버그 과통합타사 사이트의보안버그 취약점 스팸또는사회공학기법의공격 마 관련사이트 모질라 가 목적및대상 모질라의버그보상프로그램은모질라소프트웨어의보안연구를장려하고좀더안전한인터넷클라이언트를만드는데도움이된사람들에게보상하기위해설계되었다 보안프로그램대상은 등최근의주요개발프로그램또는 혹은 에의해발표된 서비스를포함한다 나 포상기준및금액 - 54 -
에의하면유효한중요한클라이언트보안버그보상은 의현금보상과모질라 셔츠를제공함 에의하면유효한웹응용프로그램이나보안버그관련서비스에대한보상은높은심각도이거나 어떤경우에는 특별한또는중요한취약점은 미국 까지지불한다 보통 에서시작하며모질라 셔츠를포함한다 다 시행방법 모질라취약점포상가이드라인에서는다음사항을규정하고있다 버그는이전에보고되지않은최초의버그여야한다 버그는원격공격 되는형태이어야한다 제출자는 프로젝트에참여하지않은사람이어야하며 버그코드의저자여서는안된다 재단이나자회사의직원은지원할수있다 코드에서급여를받으면서작업하는중에보안버그를발견한경우에는보상을신청하지않도록하는것을권장한다 라 취약점보고방법 보안버그를설명하는버그보고서의제출을통해취약점을보고한다 나취약성을증명하는버그리포트의테스트케이스나링크를첨부하는것을권장한다 제출한버그및간단한요약을이메일로 보안그룹에통지한다 - 55 -
마 기타특징사항 만일두연구자가함께버그를보고하면보상은그들사이에서분할하여지급된다 버그의원인을규명하고수정하는데 엔지니어와함께작업할수있고버그에대한내부토론에참여하는권한을제공한다 바 관련사이트 세큐니아 가 목적및대상 일반적으로 벤더는주요취약점에만보상을주고있으나기타취약점에는소홀한경향이있다 세큐니아 는이를보완하는방법으로비주류취약점을수집 분석후벤더에게리포팅한다 세큐니아 는상용패키지 제품을대상으로하며 페이스북과같은온라인서비스는대상에서제외한다 나 포상기준및금액 세큐니아 는주요취약점의수집을목표로하는다른보상프 로그램과는달리간과하기쉬운사소한보안취약점을대상으로한다 - 56 -
따라서포상금액이나지원방식도현금이아닌호텔숙박권 주요보안 컨퍼런스참가권을지급한다 다 시행방법 패키지소프트웨어벤더를대신해취약점을수집하며 대부분제품의 모든취약점등급은아래의기준이충족될때 에적용된다 취약점이안정된제품에영향을줄경우 취약점이최신버전의제품에영향을줄경우 제품이공급업체 에의해지원되는경우 이미공개적으로알려져있지않은새로운취약점인경우 세큐니아 를통해서연구결과에맞게연구원들에게다음과같 은구분을통해작은보상이수여된다 의판단에따라매년 지속적으로잘못된부분을교정하고확인하기쉽고빠른디테일한취약점보고서를낸연구자에게수여됨 의판단에따라매년가장흥미로운취약점을제기한연구자에게수여됨 기준의예 복잡성 영향을받은제품 취약점보고서의세부수준 라 취약점보고방법 통해 에취약점을보고하려면 로시작하는 취약점보고서를 으로제출 - 57 -
보고서에는제품 버전정보 가조사결과를재현하 기위해 취약점을유발하는세부적인단계혹은 또는자세한 설명이포함되어야한다 마 기타사항 세큐니아사는 년 월 일부로 프로그램의종료를선언하였다 바 관련사이트 가 목적및대상 제로데이이니셔티브 (www.zerodayinitiative.com) 는 TippingPoint사에의해기획된프로그램으로취약점발굴에대한보상프로그램이다. Tipping Point 사는보안솔루션회사로 2002년침입방지시스템을출시했으며, 제로데이이니셔티브롤통해보안문제에대한취약점필터를제공하고있다. - 58 -
그림 나 포상기준및금액 제로데이이니셔티브프로그램은보안전문가들을대상으로한취약점 은다음과같은기준에따라차등을두어보상금이지급된다. 영향을받는제품은얼마나광범위한가 공격된취약점으로인해어떤수준의권한이침해받는가 취약점은디폴트설정이나설치시노출되어있는가 영향을받는제품은중요한것에속하는가 예를들면 데이터베이스 전자상거래서버 라우터방화벽등 공격자는일반전문가 들이링크를클릭함 사이트를방문함 서버에접속함등으로인해희생자로삼는가 ZDI 로등록된취약점과관련하여전문가에게는항공마일리지개념과 유사하게포인트가부여된다, 포인트는첫번째등록된취약점에대해 2,500 ZDI 포인트가주어지며, 다음수준별로등급을결정한다. - 59 -
표 보상등급 보상포인트 등급청동 실버 황금 플래티넘 다이아몬드 등급별상금수준은다음과같다. - 60 -
다 특징사항 이들항목에대해보안전문가들은취약점등록시항목별평가를함 께제출한다. 만일등록된취약점이 Zero day Initiative 로등록되어보상 금을받지못할경우, 취약점에대한권리는계속발굴자에게남는다. 라 등록방법 제로데이이니셔티브프로그램에등록한전문가에한해제로데이취약 점등록시다음정보를제공한다. 대상제품 샘플공격코드 취약점의자세한설명 - 61 -
그림 최근제로데이이니셔티브에보고된삼성모바일디바이스의취약점은 180일데드라인내에삼성측에서특별한응답을하지않은관계로 8월 29일다음과같은내용을공개한바가있다. (http://www.zerodayinitiative.com/advisories/zdi-13-211/) 표 제로데이이니셔티브취약점예 취약점명 : Polaris Viewer DOCX VML Shape Tag Remote Code Execution Vulnerability ZDI 번호 ZDI-13-211 일시 August 29th, 2013 CVSS 점수 피해벤더 피해제품 8.3, (AV:A/AC:L/Au:N/C:C/I:C/A:C) Samsung Infraware Polaris Viewer, Infraware Polaris Office Galaxy S3, Galaxy S4-62 -
취약점 상세 이취약점은원격공격자가취약한폴라리스뷰어에서임의코드를실행할수게한다. 사용자는악성코드를열어실행함으로써취약점이발생한다. 결함은 DOCX 파일의구문내에존재한다. VML과관련된태그가제대로검증되지않았을때발생하며, 태그가너무큰경우오버플로우가인접한버퍼에발생한다. 이를악용하여공격자는이메모리제어및폴라리스뷰어응용프로그램의컨텍스트에서원격코드실행을보장할수있다. 완화방법 : 사용자는 Samsung Galaxy S3 and S4 의문서를열어보지않음으로써자신 을보호할수있다. 벤더응답 Sept 19, 2012 - MWR Labs demonstrated an exploit against the Samsung Galaxy S3 running Android 4.0.4 at Mobile Pwn2Own 2012. Sept 20, 2012 - Samsung requested vulnerability information from ZDI. Sept 24, 2012 - ZDI requested contact information and PGP keys for secure communication of vulnerability information from Samsung. Sept 24, 2012 - Samsung provides ZDI with PGP and contact information.... Mar 25, 2013-180 day deadline from vulnerability disclosure passes. ZDI able to disclose vulnerability as 0-day according to Vulnerability Disclosure Policy. Mar 25, 2013 - ZDI holds releasing advisory and waits for communication from Samsung.... Aug 4, 2013 - ZDI notifies Samsung that Mobile Pwn2Own vulnerability will be disclosed as a 0-day before the end of August. Notification happened in person at DEF CON. Aug 5, 2013 - Samsung requests from ZDI via e-mail for more detail and a timeline of events associated with the vulnerability. Aug 7, 2013 - ZDI provides timeline and requests support. Aug 7, 2013 - Samsung states work with security@samsung.com to obtain vulnerability status update. Aug 8, 2013 - ZDI notifies Samsung (security@samsung.com, m.security@samsung.com) of impending 0-day disclosure. Aug 29, 2013 - No response from Samsung. ZDI discloses 0-day - 63 -
vulnerability advisory. 공개일정 Credit 2012-09-26 - Initial contact with vendor 2013-08-29 - Public release of advisor This vulnerability is being disclosed publicly without a patch in accordance with the ZDI 180 day deadline. This vulnerability was discovered by: MWR Labs 마 관련사이트 신규보안취약점신고포상제 가 목적및대상 에서는 년부터취약점신고를받아온데이어 년 월부터는우수신규취약점신고에대해포상금을지급하는 신규보안취약점신고포상제 를도입하였다 해킹사고에악용될수있는취약점을사전에조치하고관련전문가의취약점발굴을활성화하기위한목적으로시작하였으며통상 개월에 여건미만이었던신고건수가포상제시행후 여건으로 배급증하였다 의 신규보안취약점신고포상제는약점신고당시보안업데이트가나오지않은취약점 제로데이취약점 을대상으로하며 서비스운영중인홈페이지에대해공격또는모의해킹수준으로간주될수있는취약점은포상및평가대상에서제외한다 이경우포상금지급과무관하게신고는가능하며 검증후에해당업체나홈페이지운영자에게통보한다 제로보드 그누보드 테크노트등의홈페이지구축 - 64 -
소프트웨어도포상및평가대상에포함한다 나 포상기준및금액 평가결과에따라최고 만원이지급되며 월등일년에 회 에걸쳐취약점평가및포상금이지급된다 포상단위는개별신고건단위로지급된다 다 시행방법 내부및외부의취약점전문가로구성된평가위원회에서아래평가항목에대해취약점평가된다 평가항목의구성은다음과같다 취약점파급도 점 취약점발생대상의시장점유율및위험도등 취약점기술난이도 점 취약점동작원리및구성의난이도와참신성 신고내용의완성도 점 취약점재연방법의정확성및취약점테스트환경등에대한구체적인기술등 라 취약점보고방법 인터넷침해대응센터홈페이지 의취약점신고페이지에서신고양식을다운로드받아작성하여관련파일에첨부하여제출한다 신고양식을이용하지않을경우신고는가능하나 포상금지급대상에서제외된다 마 기타특징사항 인터넷침해대응센터보안공지에서해당취약점에대한보안업 - 65 -
데이트를권고한다 분석된취약점은해당업체에전달해보안업데이트를개발하는데사 용되도록한다 바 관련사이트 - 66 -
제 장 시범평가 제 절 평가항목및평가기준 본시범평가에서는 평가항목을다음과같은 개의범주로재분 류하였다 파급도 기술적영향 시스템중요도 공격난이도 대응난이도 보고의신뢰성 각범주에속한 평가항목의평가방법과평가기준은다음과 같다 파급도 가 대상분포 개요 이평가항목은보안취약점으로인해침해가예상되는시스 템의범위를평가하기위하여사용된다 평가방법 해당취약점으로인하여영향을받을수있는시스템의 범위를평가한다 평가의대상이되는시스템환경이달라짐에평가 결과도달라질수있다 평가대상이되는환경에서침해가예상되 - 67 -
는시스템들의범위가넓을수록높은점수를부여한다 등급별기준 등급코드점수평가기준 None N 0.0 Low L 0.3 Medium M 0.6 High H 1.0 해당보안취약점으로인하여침해가예상되는시스템이없거나혹은실험실환경에서만가능하여실제적으로는 0% 의영향을미치는경우이다. 해당보안취약점으로인하여침해가예상되는시스템환경의범위가 1% - 25% 인경우이다. 해당보안취약점으로인하여침해가예상되는시스템환경의범위가 26% - 75% 인경우이다. 해당보안취약점으로인하여침해가예상되는시스템환경의범위가 76% - 100% 인경우이다. Not Defined ND 0.0 이값을주면취약성점수에영향을주지않는다. 기술적영향 가 기밀성영향 개요 평가방법 - 68 -
등급별기준 등급코드점수평가기준 None N 0.0 시스템의기밀성에영향을미치지않는다. Partial P 0.275 Complete C 0.660 상당한정보의누출이있다. 몇몇의시스템파일에대한접근이가능하다. 그러나공격자는획득한것을넘어제어할수는없으며, 손실의범위는제한적이다. 예로서 DB에서오직일부테이블만이노출되는취약점을들수있다. 모든시스템파일을드러내는결과를낳게되는완전한정보의누출이있다. 공격자는시스템의모든데이터를읽을수있다.( 메모리, 파일등등 ) 나 무결성영향 개요 이평가항목은취약점을이용한공격이성공하였을때무결 성에미치는영향을측정한다 무결성은정보혹은자료에대한신 뢰도 와보증된정확도를나타낸다 평가방법 취약점공격으로발생가능한시스템의정보에대한무결성침해정도를아래표와같이 로평가한다 시스템파일이나정보의변경가능성이클수록또한공격자가변경된정보를마음대로제어할수있을수록무결성침해정도가큰것으로판단한다 무결성영향값이클수록취약성점수도커진다 - 69 -
등급별기준 등급코드점수평가기준 None N 0.0 시스템무결성에대한영향은없다. Partial P 0.275 Complete C 0.660 어떤시스템파일이나정보의변경이가능하다. 그러나공격자는변경된것을제어할수는없거나공격자가영향을미칠수있는범위가제한적이다. 예를들어공격자가시스템이나응용파일을덮어쓰거나변경할수는있으나영향을받은파일을제어할수없거나오직제한된범위안에서만변경할수있다. 시스템무결성이전체적으로위험에드러나있다. 시스템보호의완전한손실이있으며, 이는전체시스템의위험노출로이어진다. 공격자는타겟시스템이어떤파일에도변경을가할수있다. 다 가용성영향 개요 이평가항목은취약점을이용한공격이성공하였을때가용성에미치는영향을측정한다 가용성이란정보자원에대한접근과사용을의미한다 평가방법 네트워크대역폭 프로세서사이클 디스크공간등을소모시켜는공격은시스템가용성에영향을준다 취약점공격으로발생가능한시스템의가용성침해정도를아래표와같이 로평가한다 시스템성능감소가클수록시스템자원을사용할수없을수록가용성침해정도가큰것으로판단한다 가용성영향값이클수록취약성점수도커진다 등급별기준 - 70 -
등급코드점수평가기준 None N 0.0 시스템의가용성에대한영향은없다. Partial P 0.275 성능이줄어들거나자원을잠시사용할수없게된다. 하나의예로인터넷서비스에대한연결수에제한을 두는네트워크기반의플루드공격을들수있다. Complete C 0.660 영향을받은자원을완전히사용할수없게된다. 공격 자는자원을완전히사용하지못하도록할수있다. 시스템중요도 가 부수적피해잠재성 개요 평가방법 등급별기준 - 71 -
등급코드점수평가기준 None N 0.0 Low L 0.1 Low-Midium LM 0.3 Midium-High MH 0.4 High H 0.5 생명, 물적자산, 생산성혹은매출에대한손실가능성이없다. 약간의물적손실이나자산손실의결과를낳을수있다. 또한기관의생산성이나매출에약간의손실이있을수있다. 중간정도의물적손실이나자산손실의결과를낳을수있다. 또한기관의생산성이나매출에중간정도의손실이있을수있다. 중요한물적손실이나자산손실의결과를낳을수있다. 또한기관의생산성이나매출에중요한손실이있을수있다. 재앙수준의물적손실이나자산손실의결과를낳을수있다. 또한기관의생산성이나매출에재앙수준의손실이있을수있다. Not Defined ND 0 이값을주면취약성점수에영향을주지않는다. 나 보안요구조건 개요 이평가항목은취약점공격으로영향을받는 자산의사용자환경에서의기밀성 무결성 가용성의중요도에따라 점수를조정할수있도록해준다 즉 기밀성 무결성 가용성의중요도에따라기밀성 무결성 가용성점수에가중치를줌으로써취약성점수를조정한다 평가방법 사용자환경 기관이나그기관에관계된사람 에서기밀 성 무결성 가용성의상대적중요도를평가한다 기밀성 무결성 가용성 의손실이사용자의환경에게끼치는부정적인영향이클수 - 72 -
록해당보안요구조건이큰것으로판단한다 예를들어취약점공격으로영향을받는어떤 자산이가용성이가장중요한비즈니스기능을지원하고있다면가용성에상대적으로더큰등급을매길수있다 각보안요구조건에대해서이메트릭의가능한값들은아래표에있으며보안요구조건이클수록취약성점수도커진다 등급별기준 등급코드점수평가기준 Low L 0.5 Midium MH 1.0 High H 1.5 [ 기밀성 무결성 가용성 ] 의손실은기관이나그기관에관계된개인 ( 예. 직원, 고객 ) 에게제한적으로부정적인영향을끼친다. [ 기밀성 무결성 가용성 ] 의손실은기관이나그기관에관계된개인 ( 예. 직원, 고객 ) 에게심각하게부정적인영향을끼친다. [ 기밀성 무결성 가용성 ] 의손실은기관이나그기관에관계된개인 ( 예. 직원, 고객 ) 에게재앙과같은부정적인영향을끼친다. Not Defined ND 1 이값을주면취약성점수에영향을주지않는다. 공격난이도 가 접근벡터 개요 이평가항목은취약점을통해침해당하는방법과관련된평 가척도로서 원격의접근을통하여침해가가능할수록높은점수가 부여된다 - 73 -
평가방법 취약점공격을위해필요한접근의근접성을기반으로아래와같이 로분류한다 공격에필요한접근방법이원격일수록취약성중요도점수도커진다 여러가지접근방법에의하여공격이가능할경우가장원격의접근에대응하는가장높은점수를부여한다 또한이메일등으로전달된위험한파일을지역적인응용프로그램의사용하여침해가발생할경우공격자의주요행동을기준으로 로평가한다 등급별기준 등급 코 드 Local L 0.395 점수평가기준 네트워크를통한접근이아닌호스트에대한직접접 근 (Local Access) 을통해서공격이가능한경우를말 한다. Firewall/USB 등의 DMA 공격이나, 지역권한상 승 (local privilege escalation) 공격등이이에속한다. Adjacent Network A 0.646 IP 서브넷, 블루투스, IEEE 802.11, 로컬이더넷세그 먼트등을통해서만공격이가능한경우에해당한다. Network N 1.0 L 과 A 에해당하지않는경우로서, 일반적인네트워크 에연결을통하여공격이가능한경우에해당한다. 나 접근복잡도 개요 이평가항목은취약점을가진시스템에접근이가능한상황에서 침해에필요한과정의복잡성을평가한다 과정이복잡할수록침해의성공가능성또한낮아지는경향을가지게된다 침해의수행이전에위험한파일의설치와같은선행적인침해가필요한경 - 74 -
우 로판정한다 평가방법 취약점공격으로발생가능한시스템의정보에대한무 결성침해정도를아래표와같이 로평가한다 등급별기준 등급코드점수평가기준 High H 0.35 Medium M 0.61 공격을위한다음의예와같은특별한조건을요구한다. Ÿ 공격당하는시스템외에도추가적인시스템에대한상승된권한의획득이나침해를수행한다.( 예. DNS hijacking) Ÿ 공격을위해서피해자에대한사회공학적인방법에의존하여야한다. 이러한방법은보안에대한일정지식을가진사람들에대해서는적용이힘든것이일반적이다. 일반적으로피해자가위험할수있는의심스러운행동을수행하여야한다. Ÿ 취약한환경이실제적으로잘발생하지않는다. Ÿ 경쟁조건의발생을위한기회가매우적다. Ÿ 위험한파일의설치와같은선행적인침해가필요하다. 다소특별한접근조건을요구한다. Ÿ 공격자가일정권한수준에해당하는사용자그룹또는사용자들로제한되며, 신뢰되지않는그룹도가능하다. Ÿ 공격수행전에추가적인정보가수집되어야한다. Ÿ 공격의수행에영향을주는환경이기본설정이아니며, 일반적인설정이아니다. ( 예 : 취약점은서버가특정방법을통해사용자계정인증을수행할때나타나지만또다른인증방법에서는나타나지않는다.) Ÿ 신중한사용자를속일가능성이있는사회공학적인방법을사용하여야한다. ( 예 : 웹브라우저의상태바를다른링크로보이게변경하는피싱공격.) - 75 -
Low L 0.71 특화된접근조건이나환경은존재하지않는다. Ÿ 공격대상제품이전형적으로넓은범위의시스템과사용자의접근을요구한다. Ÿ 공격가능한환경설정이기본설정이며, 대부분시스템에서사용된다. Ÿ 공격자는수동적으로수행될수있으며, 추가적인기법이나부가적인정보수집을거의요구하지않는다. Ÿ 경쟁상황을쉽게발생시킬수있다. 다 공격가능성 개요 공격을위한방법이나코드의존재여부를기반으로공격의 용이성을평가한다 평가방법 주어진취약점에대하여해당취약점을공격하는데사용되는현재기술의수준에따라침해의가능성은크게영향받을수있다 단순히증명코드만이알려져있거나 활용가능성이있는공격코드가발표된경우 확실한공격코드가개발된경우 네트워크를통하여전파될수있는공격코드가개발된경우등침해에사용될수있는기술의수준에따라취약점의중요도는영향을받는다 이를고려하여아래와같은기준에따라등급을판정하며복수에해당할경우가장높은점수등급을부여한다 등급별기준 등급 코드 점수 평가기준 Unproven U 0.85 이용할수없는공격코드이거나완전히이론상으로가능한것이다. 공격의개념을시험하거나, 실제적으로는대부분의 Proof-ofconcept 드나기술이모든환경에적용되지않으며, 숙련된시스템에는맞지않는공격시연이존재한다. 그코 POC 0.9 공격자에의한많은변경을필요로한다. - 76 -
Functional F 0.95 기능적공격코드가이용가능하며취약점이발견된대부분의상황에서영향을미칠수있다. High H 1.0 각취약점은자발적으로동작하는모바일코드에의해악용가능하며, 또직접적인공격이필요하지않고, 침해코드가널리이용가능하다. 코드는모든상황에서영향을미칠수있으며, 실질적으로모바일자발적인에이젼트 ( 웜이나바이러스같은 ) 를통하여전파된다. Not Defined ND 1.0 본메트릭은점수에영향을미치지않는다. 대응난이도 가 대응수준 개요 대응수준은취약점에대한우선순위설정을위한중요한요소이다 일반적으로취약점이발표될시점에는적절한패치가없는경우가많으며 공식적인패치나업그레이드의발표이전에비공식적인회비방법이나수정이발표되기도한다 이러한대응의단계에따라취약점에대한평가는점차적으로하향조정될수있다 평가방법 패치의존재여부와존재하는패치의성격에따라 로구분한다 해당척도를반영하지않을경우에는 로판정한다 등급별기준 등급코드점수평가기준 Official Fix OF 0.87 이용가능한완전한벤더솔루션이있다. 취약점에대하여발표된공식패치를가지고있거나취약점을제거한업그레이드버젼이이용가능해야한다. - 77 -
Temporary Fix TF 0.90 Workaround W 0.95 Unvailable C 1.0 공식적인임시수정방법이있다. 이는벤더가발표한임시적인응급패치프로그램, 툴, 임시방편을포함한다. 비공식적인제 3자의해결방법이있다. 어떤경우에는사용자가스스로해결하는방법을강구하고나, 회피하는방법을사용하기도한다. 이용가능한솔루션이없거나, 그것을적용하는것이불가능하다. Not Defined ND 1.0 해당척도는평가에반영되지않음. 보고의신뢰성 가 보고의신뢰성 개요 이메트릭은보안취약점의존재와이로야기되는알려진기 술적문제점에대한신뢰도를평가하기위하여사용된다 평가방법 해당보안취약점이존재만이알려져있는지 혹은보안취약점으로인하여영향을받는소프트웨어벤더의확인을받았는지를판단한다 보안취약점의존재가확실해질수록해당보안취약점을제거해야할필요성이높아진다 따라서보안취약점이소프트웨어벤더나혹은믿을만한출처에서확인을받을수록평가기준의점수가높아진다 등급별기준 등급 코드점수평가기준 Unconfirmed UC 0.5 하나의출처에서만보고서가존재하거나여러개의 상충되는보고서가존재하여보안취약점에대한 - 78 -
신뢰도가낮은경우이다. Uncorroborated UR 0.7 Confirmed C 1.0 독립적인보안회사나연구단체들에서발행한비공식적인다수의보고서가존재하는경우이다. 보안취약점이해당소프트웨어벤더나저작권자에의해서확인된경우이다. Not Defined ND 0.0 이값을주면취약성점수에영향을주지않는다. 제 절국내보안취약점사례에대한시범평가 이절에서는 개의국내보안취약점사례에대한 시범평가에대해서기술한다 시범평가대상이되는 개의국내보안취약점은표 에기술되어있다 표 에나열된 개의보안취약점각각에대하여각평가항목별평가결과를계속해서수록한다 표 국내보안취약점사례 보안취약점이름 [12-011] PHP 원격코드실행취약점 [12-014] FTP 접속프로그램로컬파일실행취약점 [12-016] Cisco-NX-OS 서비스거부취약점 [12-019] SSH 접속프로그램임의코드실행취약점 [12-023] 동영상플레이어버퍼오버플로우취약점 [12-029] PHP-CGI 소스코드노출 [12-034] 홈페이지구축소프트웨어웹쉘코드삽입취약점 [12-052] 스마트폰 PC 연결소프트웨어원격코드실행취약점 [12-064] 워드프로세서소프트웨어임의코드실행취약점 #1 [12-071] 동영상플레이어 DLL하이제킹취약점 - 79 -
보안취약점이름 [12-072] 워드프로세서소프트웨어임의코드실행취약점 #2 [12-075] 워드프로세서소프트웨어임의코드실행취약점 #3 [12-084] 에어컨관리자페이지노출취약점 [12-094] 동영상플레이어힙오버플로우취약점 [12-103] NAS 관리자페이지계정정보유출취약점 [12-109] 홈페이지구축소프트웨어 XSS 취약점 #3 [12-129] AcrobatReader X취약점 [12-131] 홈페이지구축소프트웨어 SQL Injection 취약점 [12-135] 메신저프로그램이미지파일공유시임의파일업로드취약점 [12-159] Adobe Flash player 버퍼오버플로우취약점 [12-163] 그룹웨어및회계관리 DB 시스템관리자계정노출취약점 [12-165] 결제모듈주요개인정보노출취약점 [13-002] 홈페이지구축소프트웨어 XSS 취약점 #2 [13-005] 메신저프로그램계정탈취취약점 [13-020] 유무선공유기 CSRF XSS 취약점 [13-021] 워드프로세서소프트웨어 Integer Overflow 취약점 #1 [13-022] 백신자체보호기능우회취약점 [13-045] 워드프로세서소프트웨어스택오버플로우 [13-050] 워드프로세서소프트웨어힙오버플로우 [13-056] 메신저프로그램세션노출취약점 [13-057] 홈페이지구축소프트웨어 XSS 취약점 #3 [13-092] 홈페이지구축소프트웨어원격코드실행 [13-105] 금융권 ActiveX 원격코드실행취약점 [13-108] 워드프로세서소프트웨어 Integer Overflow 취약점 #2 [13-109] 동영상플레이어원격코드실행취약점 [13-117] 압축프로그램 Directory Traversal 취약점 [13-122] 워드프로세서소프트웨어 Signed Extension Error Handling 취약점 [13-131] 웹에디터소스코드파일다운로드취약점 [13-162] 웹서버프로그램원격코드실행취약점 [13-175] DVR 장비관리자페이지인증우회취약점 - 80 -
원격코드실행취약점 평가항목평가결과평가근거 기밀성영향 (C) 무결성영향 (I) 가용성영향 (A) 부수적피해 잠재성 (CDP) 기밀성요구 (CR) 무결성요구 (IR) 가용성요구 (AR) 접근벡터 (AV) 접근복잡도 (AC) 대응난이도 (AR) 공격가능성 (EX) P 0.275 P 0.275 P 0.275 LM 0.3 MH 1.0 H 1.51 H 1.51 임의코드실행으로인한부분적으로정보기밀성에영향 을줌. 임의코드실행으로인한부분적으로정보무결성에영향 을줌. 임의코드실행으로인한부분적으로시스템가용성에영 향을줌. 임의코드실행하는서버로인해중간정도의물적손실이 나자산손실의결과를낳을수있음. PHP 사용환경이매우민감한정보를다루는것은아니므 로기밀성요구가특별히크지는않음. PHP 사용환경이주로서버이므로정보무결성요구가크 다고할수있음. PHP 사용환경이주로서버이므로가용성요구가크다고 할수있음. N 1.0 네트워크를통하여공격이가능하므로 N 으로판정함 L 0.71 OF 0.87 POC 0.9 특화된접근조건이나환경이존재하지않으며, 취약한버 전의소프트웨어가설치된경우공격이가능하므로 L 로 판정한다. 공식적으로제공된패치버전이존재하므로 OF 로판정한 다. 공격의개념을시연할수있는방법이존재한다. 그러나, 특정시스템에대한침해를위해서는해당소프트웨어에맞는공격방법을사용해서공격을수행하여야하므로 POC 로판정한다. 대상분포 (TD) 보고의신뢰성 (RC) 중요도전체점수 H 1.0 C 1.0 PHP는매우광범위하게사용되는스크립트언어로해당보안취약점으로인하여침해가예상되는대상시스템들의범위는 76% - 100% 이다. 보안취약점이해당소프트웨어벤더나저작권자에의해서확인된경우이다. 벤더의평가가 CVE 리스트에등록되었으며, 패치가개발되어배포되었다. 7.8-81 -
접속프로그램로컬파일실행취약점 평가항목 평가결과 평가근거 기밀성영향 FTP 접속프로그램탐색창에서로컬에있는파일의실행 N 0 (C) 과관련한취약점이므로기밀성에영향없음 FTP 접속프로그램탐색창에서로컬에있는파일의실행무결성영향 N 0 과관련한취약점이므로다른시스템의파일이나정보 (I) 의변경을하지않는다 FTP 접속프로그램탐색창에서로컬에있는파일의실행가용성영향 N 0 과관련한취약점이므로다른시스템의가용성에대한 (A) 영향은없다 부수적피해 FTP 접속프로그램탐색창에서로컬에있는파일의실행 L 0.1 잠재성 (CDP) 과관련한취약점이므로피해잠재성이낮음 기밀성요구 (CR) ND 1 기밀성영향없으므로 ND 무결성요구 (IR) ND 1 무결성영향없으므로 ND 가용성요구 (AR) ND 1 가용성영향없으므로 ND 접근벡터공격과관련한접근요구사항은존재하지않으므로 N으로판 N 1.0 (AV) 정한다. 접근복잡도특화된실행상황이필요하며, 이때희생자가존재하지않는 H 0.35 (AC) 파일을수행하여야하므로, 일반적인적용이힘듬 대응난이도 (AR) OF 0.87 공식적으로제공된패치버전이존재하므로 OF로판정한다. 공격가능성취약소프트웨어가설치된대부분의상황에서침해방법이 F 0.95 (EX) 성공하므로 F로판정한다. 알FTP는비교적널리사용되는응용소프트웨어로해당보안대상분포 M 0.6 취약점으로인하여침해가예상되는대상시스템들의범위는 (TD) 26% - 75% 이다. 독립적인보안회사나연구단체들에서발행한비공식적인보고의신뢰성 UR 0.7 다수의보고서가존재하는경우이다. 보고서에의한공격이 (RC) 재연가능하다. 중요도전체점수 0.6-82 -
서비스거부취약점 평가항목평가결과평가근거 기밀성영향 (C) 무결성영향 (I) 가용성영향 (A) 부수적피해잠재성 (CDP) 기밀성요구 (CR) 무결성요구 (IR) 가용성요구 (AR) 접근벡터 (AV) 접근복잡도 (AC) 대응난이도 (AR) N 0.0 기밀성에영향을끼치지않음. N 0.0 무결성에영향을끼치지않음. C 0.660 스위치의서비스가거부됨으로써이에연결된모든네트워크운용에문제가생길수있음. 스위치의서비스가거부됨으로써이에연결된모든네트워 MH 0.4 크운용문제로중요한물적손실이나자산손실의결과를 낳을수있음. ND 1 기밀성영향없으므로 ND ND 1 무결성영향없으므로 ND H 1.51 Cisco-NX-OS 사용환경은가용성요구가높다고볼수있음. N 1.0 일반적인원격내트워크에서공격가능하므로 N으로판정한다. 특화된접근조건이나환경이존재하지않으며, 취약한버 L 0.71 전의스위치제품이설치된경우공격이가능하므로 L로 판정한다. OF 0.87 공식적으로제공된패치버전이존재하므로 OF로판정한다. 공격가능성 (EX) 대상분포 (TD) 보고의신뢰성 (RC) 중요도전체점수 F 0.95 H 1.0 C 1.0 취약소프트웨어가설치된대부분의상황에서위험패킷을전송하는방법으로침해방법이성공하므로 F로판정한다. Cisco 스위치는매우광범위하게사용되는네트워크장비로해당보안취약점으로인하여침해가예상되는대상시스템들의범위는 76% - 100% 이다. 보안취약점이해당소프트웨어벤더나저작권자에의해서확인된경우이다. 벤더의평가가 CVE 리스트에등록되었으며, 패치가개발되어배포되었다. 9.2-83 -
접속프로그램임의코드실행취약점 평가항목평가결과평가근거 기밀성영향 (C) 무결성영향 (I) 가용성영향 (A) 부수적피해잠재성 (CDP) 기밀성요구 (CR) 무결성요구 (IR) 가용성요구 (AR) 접근벡터 (AV) 접근복잡도 (AC) 대응난이도 (AR) 공격가능성 (EX) 대상분포 (TD) 보고의신뢰성 (RC) 중요도전체점수 N 0.0 N 0.0 P 0.275 L 0.1 버퍼오버플로우발생이가능성을보였으나공격성공을위한조건이어려워기밀성에영향은거의없음. 버퍼오버플로우발생이가능성을보였으나공격성공을위한조건이어려워무결성에영향은거의없음. 버퍼오버플로우발생이가능성을보였으나공격성공을위한조건이어려워 Xshell 클라이언트의가용성에부분적인영향이있을수있음. 공격성공을위한조건이어려워, 최소한의잠재적피해가있을수있음. ND 1.0 기밀성영향이없으므로 ND ND 1.0 무결성영향이없으므로 ND MH 1.0 N 1.0 M 0.61 OF 0.87 POC 0.9 L 0.3 C 1.0 Xshell 사용환경이특별한가용성요구가있다고볼 수없음. 일반적인원격내트워크에서공격가능하므로 N 으로판정 한다. 사용자가해당프로그램을사용하여위험한서버에접근하 도록사회공학적방법을사용해야하므로, M 으로판정한다. 공식적으로제공된패치버전이존재하므로 OF 로판정한 다. 공격의개념을시연할수있는방법이존재한다. 그러나, 숙련된공격자에의한과정을필요로하며실제적인침해를위해서는 explit 코드를작성해야하므로 POC로판정한다. SSH 접속프로그램이사용범위가그리넓지않은소프 트웨어로해당보안취약점으로인하여침해가예상 되는대상시스템들의범위는 이다 보안취약점이해당소프트웨어벤더나저작권자에의해서 확인된경우로벤더에의한패치가개발되어배포되었다. 1.1-84 -
동영상플레이어버퍼오버플로우취약점 평가항목평가결과평가근거 기밀성영향 (C) 무결성영향 (I) 가용성영향 (A) 부수적피해 잠재성 (CDP) 기밀성요구 (CR) 무결성요구 (IR) 가용성요구 (AR) 접근벡터 (AV) 접근복잡도 (AC) 대응난이도 (AR) 공격가능성 (EX) 대상분포 (TD) 보고의신뢰성 (RC) 중요도전체 점수 N 0 N 0 P 0.275 L 0.1 버퍼오버플로우취약점이보고되었지만악성코드삽입및 실행메커니즘을보이지는않았으므로기밀성에영향은거 의없을것으로판단됨. 위와같은이유로무결성에영향은거의없을것으로판단 됨. 버퍼오버플로우취약점이보고되었지만악성코드삽입및 실행메커니즘을보이지는않았으므로가용성에부분적인 영향이있을수있음. 곰플레이어는개인 PC 환경에서사용되며악성코드삽입 및실행메커니즘을보이지는않았으므로그피해잠재성 은낮을것으로판단됨. ND 1.0 기밀성영향없으므로 ND ND 1.0 무결성영향없으므로 ND MH 1.0 N 1.0 H 0.35 OF 0.87 F 0.95 M 0.6 UC 0.5 곰플레이어는개인 PC 환경에서사용되므로가용성에대 한특별한요구는없다. 위험한수행을위하여사회공학적방법을포함한다양한 방법이시도될수있으며, 이는특별히접근의근접성과는 무관하다. 사용자가해당프로그램을사용하여위험한주소값을접근 하도록사회공학적방법을사용해야하나, 보안에지식이 있는사용자가이러한작업을할가능성이매우적으므로, High 로판정한다. 공식적으로제공된패치버전이존재하므로 OF 로판정한 다. 취약소프트웨어가설치된대부분의상황에서침해방법이성공하므로 F 로판정한다. 곰플레이어는비교적널리사용되는응용소프트웨어로해 당보안취약점으로인하여침해가예상되는대상시스템 들의범위는 26% - 75% 이다. 하나의출처에서만보고서가존재하거나여러상충되는보 고서가존재하여보안취약점에대한신뢰도가낮음. 1.1-85 -
소스코드노출 평가항목평가결과평가근거 기밀성영향 (C) 무결성영향 (I) P 0.275 P 0.275 서버쪽애플리케이션의소스코드가유출될경우웹애플리케이션로직의전반및데이터베이스정보등이노출될수있으나이취약점은 CGI 방식을사용할때만적용되므로그영향은부분적임. 위와같은이유이나이취약점은 CGI 방식을사용할때만적용되므로그영향은부분적임. 가용성영향 (A) 부수적피해잠재성 (CDP) 기밀성요구 (CR) 무결성요구 (IR) 가용성요구 (AR) 접근벡터 (AV) 접근복잡도 (AC) 대응난이도 (AR) 공격가능성 (EX) 대상분포 (TD) 보고의신뢰성 (RC) 중요도전체점수 P 0.275 L 0.1 MH 1.0 MH 1.0 MH 1.0 위와같은이유이나이취약점은 CGI 방식을사용할때만 적용되므로그영향은부분적임. 현재 PHP 는대부분 CGI 방식이아닌 SAPI 나 FastCGI 방식으로구동되므로해당취약점의피해잠재성은낮음. PHP-CGI 를이용하는환경이특별한기밀성요구가있다고 볼수없음. PHP-CGI 를이용하는환경이특별한무결성요구가있다고 볼수없음. PHP-CGI 를이용하는환경이특별한가용성요구가있다고 볼수없음. N 1.0 네트워크를통하여공격이가능하다. M 0.61 OF 0.87 F 0.95 L 0.3 C 1.0 CGI 방식으로 PHP 가설치되어있을경우쉽게침해를수 행할수있으나일반적인설치형태가아니므로 M 로판정 공식적으로권장하는방식으로설치방식을바꾸면문제점 이발생하지않으므로, OF 로판정한다. 취약소프트웨어가취약한형태로설치된대부분의상황에서침해방법이성공하므로 F 로판정한다. PHP 를 CGI 환경에서사용하는경우는그리많지않기때 문에해당보안취약점으로인하여침해가예상되는대상 시스템들의범위는 1% - 25% 이다. 보안취약점이해당소프트웨어벤더나저작권자에의해서 확인된경우이다. 벤더의평가가 CVE 리스트에등록되었 으며, 패치가개발되어배포되었다. 1.7-86 -
홈페이지구축소프트웨어웹쉘코드삽입취약점 평가항목평가결과평가근거 기밀성영향 (C) 무결성영향 (I) C 0.660 C 0.660 웹쉘코드를생성하여원격코드실행이가능함으로정보유출이가능함. 웹쉘코드를생성하여원격코드실행이가능하며관리자권한탈취도가능하여데이터베이스수정및조작이가능함. 웹쉘코드를이용한공격은서버에대한관리자권한을가용성영향 C 0.660 얻을수있기때문에해당웹서버를이용불가능하게만 (A) 들수있음. 웹쉘코드공격을이용하여정보를유출혹은조작할수 부수적피해있으므로중요한물적손실이발생할수있으며또한해 MH 0.4 잠재성 (CDP) 당서버를이용하여내부망의 pc를쉽게공격할수있기 때문에피해가확산될수있음. 현재패치가제공됨. 기밀성요구 XE는오픈소스소프트웨어로 XE가사용되는사용자환 MH 1.0 (CR) 경은기밀성에대한특별한요구는없다. 무결성요구 XE는오픈소스소프트웨어로 XE가사용되는사용자환 MH 1.0 (IR) 경은무결성에대한특별한요구는없다. 가용성요구웹쉘은주로웹서버에서사용되기때문에서버의가용성 H 1.51 (AR) 이중요하다고할수있다. 접근벡터 (AV) N 1.0 네트워크를통하여공격이가능하다. 접근복잡도 (AC) L 0.71 간단한쉘코드입력으로쉽게침해를수행할수있으므로 L로판정한다. 대응난이도 (AR) OF 0.87 해당취약점을수정한공식버전이존재하므로 OF로판정한다. 공격가능성 (EX) F 0.95 XpressEngine 은사용범위가그리넓지않은소프트웨어로대상분포 L 0.3 해당보안취약점으로인하여침해가예상되는대상시스 (TD) 템들의범위는 1% - 25% 이다. 독립적인보안회사나연구단체들에서발행한비공식적보고의신뢰성 UR 0.7 인다수의보고서가존재하는경우이다. 보고서에의한 (RC) 공격이재연가능하다. 중요도전체 점수 2.2-87 -
스마트폰 연결소프트웨어원격코드실행취약점 평가항목평가결과평가근거 기밀성영향 (C) 무결성영향 (I) 가용성영향 (A) 부수적피해잠재성 (CDP) 기밀성요구 (CR) 무결성요구 (IR) 가용성요구 (AR) 접근벡터 (AV) 접근복잡도 (AC) 대응난이도 (AR) 공격가능성 (EX) 대상분포 (TD) 보고의신뢰성 (RC) 중요도전체점수 P 0.275 사용자의 PC에서원격지의악성코드가실행되면시스템정보의부분적으로노출될수있음. P 0.275 사용자의 PC에서원격지의악성코드가실행되면시스템정보의무결성에부분적인영향이있음. P 0.275 사용자의 PC에서원격지의악성코드가실행되면시스템의가용성에부분적인영향이있음. 사용자의 PC에서원격지의악성코드가실행되면시스템에 LM 0.3 주는영향으로인해중간정도의물적손실이나자산손실 의결과를낳을수있음. MH 1.0 삼성 kies소프트웨어를사용하는개인의 pc가특별한기밀성을요구한다고볼수없음. MH 1.0 삼성 kies소프트웨어를사용하는개인의 pc가특별한무결성을요구한다고볼수없음. MH 1.0 삼성 kies소프트웨어를사용하는개인의 pc가특별한가용성을요구한다고볼수없음. N 1.0 네트워크를통하여공격이가능하다. 해당소프트웨어의침해를위한특화된환경이존재하지않 M 0.61 으나, 희생자가위험한사이트접근하도록하여야하므로 M 으로판정한다. OF 0.87 해당취약점을수정한공식버전이존재하므로 OF로판정한다. F 0.95 취약소프트웨어가설치된대부분의상황에서침해방법이성공하므로 F로판정한다. 삼성 Kies 소프트웨어는사용범위가그리넓지않은소프트 L 0.3 웨어로해당보안취약점으로인하여침해가예상되는대상 시스템들의범위는 1% - 25% 이다. 독립적인보안회사나연구단체들에서발행한비공식적인 UR 0.7 다수의보고서가존재하는경우이다. 보고서에의한공격이 재연가능하다. 1.8-88 -
워드프로세서소프트웨어임의코드실행취약점 평가항목평가결과평가근거 기밀성영향 (C) 무결성영향 (I) 가용성영향 (A) 부수적피해잠재성 (CDP) 기밀성요구 (CR) 무결성요구 (IR) 가용성요구 (AR) 접근벡터 (AV) 접근복잡도 (AC) 대응난이도 (AR) 공격가능성 (EX) 대상분포 (TD) 보고의신뢰성 (RC) 중요도전체점수 P 0.275 윈도우 XP 상에서취약점이존재하는 HWP 문서파일을실행하면악성파일이자신의컴퓨터에설치되고사용자의개인정보를지메일을통해외부로유출을시도하므로기밀성에부분적인영향이있음. N 0.0 정보무결성에는영향없음. N 0.0 시스템가용성에는영향없음. LM 0.3 H 1.51 정보부처의정보들이유출될수있으므로중간정도의물 적손실이나자산손실의결과를낳을수있음, 대량의민감한정보를다루는사용자가있을가능성이높 으므로기밀성요구가높음. ND 1.0 무결성영향이없으므로 ND ND 1.0 가용성영향이없으므로 ND N 1.0 네트워크를통하여공격이가능하다. L 0.71 OF 0.87 F 0.95 H 1.0 UR 0.7 특화된접근조건이나환경이존재하지않으며, 일반적인 환경에서공격수행이가능하므로접근복잡도는 L 로판 정한다. 해당취약점을수정한공식버전이존재하므로 OF로판정 한다. 취약소프트웨어가설치된대부분의상황에서침해방법이성공하므로 F 로판정한다. 아래한글은매우광범위하게사용되는워드프로세스소 프트웨어로해당보안취약점으로인하여침해가예상되는 대상시스템들의범위는 76% - 100% 이다. 독립적인보안회사나연구단체들에서발행한비공식적인 다수의보고서가존재하는경우이다. 보고서에의한공격 이재연가능하다. 5.2-89 -
동영상플레이어 하이제킹취약점 평가항목평가결과평가근거 기밀성영향 (C) 무결성영향 (I) 가용성영향 (A) 부수적피해잠재성 (CDP) 기밀성요구 (CR) 무결성요구 (IR) 가용성요구 (AR) 접근벡터 (AV) 접근복잡도 (AC) 대응난이도 (AR) 공격가능성 (EX) 대상분포 (TD) 보고의신뢰성 (RC) 중요도전체점수 P 0.275 P 0.275 P 0,275 L 0.1 MH 1.0 MH 1.0 MH 1.0 N 1.0 H 0.35 OF 0.87 F 0.95 L 0.3 UR 0.7 현재디렉토리에악성 DLL 파일이존재하는경우에실행될 수있으나악성파일삽입메커니즘이없으므로기밀성영 향은부분적이라고판단됨. 현재디렉토리에악성 DLL파일이존재하는경우에실행될 수있으나악성파일삽입메커니즘이없으므로무결성영 향은부분적이라고판단됨. 현재디렉토리에악성 DLL파일이존재하는경우에실행될 수있으나악성파일삽입메커니즘이없으므로가용성영 향은부분적이라고판단됨. 초코플레이어사용자가많지않으며악성파일삽입메커니 즘이없으므로그피해잠재성은낮다고판단됨. 초코플레이어사용자환경이특별한기밀성요구가있다고 볼수없음. 초코플레이어사용자환경이특별한무결성요구가있다고 볼수없음. 초코플레이어사용자환경이특별한가용성요구가있다고 볼수없음. 위험한파일의업로드가필요하며, 이는접근벡터와는연 관되지않으므로 N 으로판정한다. 실제적인침해전에위험한 DLL 의업로드와같은사전침 해가성공되어야하므로 High 로판정한다. 해당취약점을수정한공식버전이존재하므로 OF 로판정 한다. 취약소프트웨어가설치된대부분의상황에서공격을위한 DLL의복사만으로침해방법이대부분성공하므로 F로판정한다. 초코플레이어프로그램은사용범위가그리넓지않은소프트웨어로해당보안취약점으로인하여침해가예상되는대상시스템들의범위는 1% - 25% 이다. 독립적인보안회사나연구단체들에서발행한비공식적인 다수의보고서가존재하는경우이다. 보고서에의한공격이 재연가능하다. 1.1-90 -
워드프로세서소프트웨어임의코드실행취약점 평가항목평가결과평가근거 기밀성영향 (C) 무결성영향 (I) 가용성영향 (A) 부수적피해 잠재성 (CDP) 기밀성요구 (CR) 무결성요구 (IR) 가용성요구 (AR) 접근벡터 (AV) 접근복잡도 (AC) 대응난이도 (AR) 공격가능성 (EX) 대상분포 (TD) 보고의신뢰성 (RC) 중요도전체 점수 P 0.275 P 0.275 P 0.275 L 0.1 글상자세부정보처리시힙오버플로우발생가능하지만 악성코드유포 / 실행메커니즘을제시하지않았으므로그 기밀성영향은부분적임. 글상자세부정보처리시힙오버플로우발생가능하지만 악성코드유포 / 실행메커니즘을제시하지않았으므로그 무결성영향은부분적임. 글상자세부정보처리시힙오버플로우발생가능하지만 악성코드유포 / 실행메커니즘을제시하지않았으므로그 가용성영향은부분적임. 힙오버플로우발생가능하지만악성코드유포및실행메 커니즘을제시하지않았으므로약간의물적손실이나자산 손실이있을수있음. MH 1.0 한글 2010 이용환경에특별한기밀성요구는없음. MH 1.0 한글 2010 이용환경에특별한무결성요구는없음. MH 1.0 한글 2010 이용환경에특별한가용성요구는없음. N 1.0 네트워크를통하여공격이가능하다. L 0.71 OF 0.87 F 0.95 H 1.0 UR 0.7 특화된접근조건이나환경이존재하지않으며, 일반적인 환경에서공격수행이가능하므로접근복잡도는 L 로판정 한다. 해당취약점을수정한공식버전이존재하므로 OF로판정 한다. 악성한글파일이제시되었으며, 대부분침해를성공하므로 F 로판정한다. 아래한글은매우광범위하게사용되는워드프로세스소프 트웨어로해당보안취약점으로인하여침해가예상되는대 상시스템들의범위는 76% - 100% 이다. 독립적인보안회사나연구단체들에서발행한비공식적인 다수의보고서가존재하는경우이다. 보고서에의한공격이 재연가능하다. 4.6-91 -
워드프로세서소프트웨어임의코드실행취약점 평가항목평가결과평가근거 기밀성영향 (C) 무결성영향 (I) 가용성영향 (A) 부수적피해잠재성 (CDP) 기밀성요구 (CR) 무결성요구 (IR) 가용성요구 (AR) 접근벡터 (AV) 접근복잡도 (AC) 대응난이도 (AR) 공격가능성 (EX) 대상분포 (TD) 보고의신뢰성 (RC) 중요도전체점수 P 0.275 P 0.275 P 0.275 L 0.1 공격자가악성코드를실행하여정보의기밀성에부분적으 로영향을줄수있음 ( 사용자 PC 이름, IP 주소, 프록시정 보, 윈도우운영체제정보, 모듈경로정보등을수집 ) 공격자가악성코드를실행하여정보의무결성에부분적으 로영향을줄수있음.( 특정파일업로드, 다운로드및 C&C 서버접속등의악의적인행위 ) 공격자가악성코드를실행하여시스템의가용성에부분적 으로영향을줄수있음.( 특정파일업로드, 다운로드및 C&C 서버접속등의악의적인행위 ) 윈도우 XP에서한글2005 와 2007에서만작동하며이미패 치조치되었으므로그피해는미미함. H 1.51 정부부처를대상으로하므로기밀성요구가높음. H 1.51 정부부처를대상으로하므로무결성요구가높음. MH 1.0 가용성요구가특별히높지는않음. N 1.0 네트워크를통하여공격이가능하다. L 0.71 OF 0.87 F 0.95 H 1.0 UR 0.7 특화된접근조건이나환경이존재하지않으며, 일반적인 환경에서공격수행이가능하므로접근복잡도는 L 로판 정한다. 해당취약점을수정한공식버전이존재하므로 OF로판정 한다. 악성한글파일이제시되었으며, 대부분침해를성공하므로 F 로판정한다. 아래한글은매우광범위하게사용되는워드프로세스소 프트웨어로해당보안취약점으로인하여침해가예상되는 대상시스템들의범위는 76% - 100% 이다. 독립적인보안회사나연구단체들에서발행한비공식적인 다수의보고서가존재하는경우이다. 보고서에의한공격 이재연가능하다. 5.1-92 -
에어컨관리자페이지노출취약점 평가항목평가결과평가근거 기밀성영향 (C) 무결성영향 (I) 가용성영향 (AR) 부수적피해잠재성 (CDP) 기밀성요구 (CR) 무결성요구 (IR) 가용성요구 (AR) 접근벡터 (AV) 접근복잡도 (AC) 대응난이도 (AR) 공격가능성 (EX) 대상분포 (TD) 보고의신뢰성 (RC) 중요도전체점수 N 0 냉난방시스템이정보의기밀성에영향을주지는않음. N 0 냉난방시스템이정보의무결성에영향을주지는않음. C 0.660 LM 0.3 악의적인공격자가공개된 ID 와 PW 를이용하여대상대형 건물이나병원등의냉난방공조시스템을완전히사용못하 도록차단하는것이가능함. 악의적인공격자가대형건물이나병원등의냉난방공조시 스템을완전히사용못하도록차단하는것이가능하기때문 에중간정도의물적손실이나자산손실의결과를낳을수 있음. MH 1.0 냉난방시스템과관련된특별한기밀성요구는없음. MH 1.0 냉난방시스템과관련된특별한무결성요구는없음. H 1.51 대형기업, 공공기업, 병원들의냉난방시스템은항상사용가 능하여야하기때문에가용성에대한요구가높다고할수 있음. N 1.0 네트워크를통하여공격이가능하다. L 0.71 OF 0.87 특화된접근조건이나환경이존재하지않으며, 일반적인 환경에서공격수행이가능하므로접근복잡도는 L 로판정 한다. 해당취약점을수정한공식버전이존재하므로 OF로판정 한다. F 0.95 취약한시스템에바로접속가능하므로 F 로판정한다. L 0.3 UR 0.7 LG 에어컨관리자프로그램은사용범위가그리넓지않은소프트웨어로해당보안취약점으로인하여침해가예상되는대상시스템들의범위는 1% - 25% 이다. 독립적인보안회사나연구단체들에서발행한비공식적인 다수의보고서가존재하는경우이다. 보고서에의한공격이 재연가능하다. 2.0-93 -
동영상플레이어힙오버플로우취약점 평가항목평가결과평가근거 기밀성영향 (C) 무결성영향 (I) 가용성영향 (A) 부수적피해잠재성 (CDP) 기밀성요구 (CR) 무결성요구 (IR) 가용성요구 (AR) 접근벡터 (AV) 접근복잡도 (AC) 대응난이도 (AR) 공격가능성 (EX) 대상분포 (TD) 보고의신뢰성 (RC) 중요도전체점수 N 0 N 0 P 0.275 L 0.1 MH 1.0 MH 1.0 MH 1.0 곰플레이어의힙오버플로우취약점이보고되었지만악성 코드삽입및실행메커니즘을보이지는않았으므로기밀 성에영향은거의없을것으로판단됨. 곰플레이어의힙오버플로우취약점이보고되었지만악성 코드삽입및실행메커니즘을보이지는않았으므로무결 성에영향은거의없을것으로판단됨. 곰플레이어의힙오버플로우취약점이보고되었지만악성 코드삽입및실행메커니즘을보이지는않았으므로가용 성에영향은부분적일것으로판단됨. 곰플레이어는개인 PC 환경에서사용되며악성코드삽입 및실행메커니즘을보이지는않았으므로그피해잠재성 은낮을것으로판단됨. 곰플레이어는개인 PC 환경에서사용되므로기밀성에대 한특별한요구는없다. 곰플레이어는개인 PC 환경에서사용되므로무결성에대 한특별한요구는없다. 곰플레이어는개인 PC 환경에서사용되므로가용성에대 한특별한요구는없다. N 1.0 네트워크를통하여공격이가능하다. L 0.71 OF 0.87 POC 0.9 M 0.6 UR 0.7 특화된접근조건이나환경이존재하지않으며, 일반적인 환경에서공격수행이가능하므로접근복잡도는 L 로판 정한다. 해당취약점을수정한공식버전이존재하므로 OF 로판정 한다. 공격의개념을시연할수있는방법이존재한다. 그러나, 숙련된공격자에의한조절을필요로하므로 POC로판정한다. 곰플레이어는비교적널리사용되는응용소프트웨어로해 당보안취약점으로인하여침해가예상되는대상시스템 들의범위는 26% - 75% 이다. 독립적인보안회사나연구단체들에서발행한비공식적인 다수의보고서가존재하는경우이다. 보고서에의한공격 이재연가능하다. 2.0-94 -