취약점 평가 방법론 개요
취약점 평가(Vulnerability Assessment)는 시스템·애플리케이션의 보안 약점을 체계적으로 식별하고 위험도를 측정하는 과정입니다. 정보보안기사 시험에서는 OWASP Top 10 2021, CVE/CWE/NVD 체계, CVSS 점수 산정, 위협 모델링 STRIDE가 핵심 출제 범위입니다.
OWASP Top 10 2021
- A01 접근 제어 취약점(Broken Access Control): 2021년 1위로 상승. 인가되지 않은 리소스 접근, IDOR, 기능 수준 접근 제어 누락
- A02 암호화 오류(Cryptographic Failures): 민감 데이터 평문 전송, 취약한 암호화 알고리즘 사용
- A03 인젝션(Injection): SQL·OS·LDAP 인젝션. XSS도 포함. 입력값 검증 미흡
- A04 안전하지 않은 설계(Insecure Design): 신규 항목. 설계 단계 보안 위협 모델링 부재
- A05 보안 설정 오류(Security Misconfiguration): 기본 계정, 불필요한 기능 활성화
- A06 취약하고 오래된 구성요소(Vulnerable Components): 패치되지 않은 라이브러리·프레임워크
- A07 인증 및 인증 오류(Authentication Failures): 무차별 대입 공격, 취약한 세션 관리
- A08 소프트웨어 및 데이터 무결성 오류(Software/Data Integrity Failures): 신규. SolarWinds 류 공급망 공격
- A09 보안 로깅 및 모니터링 오류(Logging/Monitoring Failures): 침해 탐지 지연
- A10 서버사이드 요청 위조(SSRF): 신규 진입. 내부 서비스 접근
CVE, CWE, NVD 체계
- CVE(Common Vulnerabilities and Exposures): MITRE 운영. 개별 취약점 고유 식별자. 형식: CVE-연도-번호
- CWE(Common Weakness Enumeration): 취약점의 근본 원인(약점 유형) 분류 체계. CWE-89 = SQL Injection
- NVD(National Vulnerability Database): NIST 운영. CVE 기반으로 CVSS 점수 및 영향 정보 추가 제공
CVSS 3.1 점수 산정
CVSS(Common Vulnerability Scoring System)는 취약점의 심각도를 0~10점으로 수치화합니다.
- 기본 점수(Base Score): 공격 벡터(AV), 공격 복잡도(AC), 필요 권한(PR), 사용자 상호작용(UI), 영향 범위(S), 기밀성/무결성/가용성 영향(C/I/A)
- CVSS 등급: Critical(9.0-10), High(7.0-8.9), Medium(4.0-6.9), Low(0.1-3.9)
- EPSS(Exploit Prediction Scoring System): 실제 익스플로잇 가능성 예측 확률. CVSS 보완 지표
위협 모델링 STRIDE
Microsoft가 개발한 위협 분류 체계로 설계 단계에서 잠재적 위협을 식별합니다.
- Spoofing: 위장(인증 위협)
- Tampering: 조작(무결성 위협)
- Repudiation: 부인(부인 방지 위협)
- Information Disclosure: 정보 노출(기밀성 위협)
- Denial of Service: 서비스 거부(가용성 위협)
- Elevation of Privilege: 권한 상승(인가 위협)
정보보안기사 기출 핵심 정리
- OWASP Top 10 2021: A01 접근 제어 취약점이 1위
- CVE = 개별 취약점 ID, CWE = 취약점 유형, NVD = CVSS 점수 포함 DB
- CVSS Critical = 9.0 이상, 즉시 패치 필요
- STRIDE: 위협 모델링 6가지 범주
- EPSS: 실제 악용 가능성 예측(CVSS 보완)