공개 취약점 정보를 활용한 소프트웨어 취약점 위험도 스코어링 시스템
- 주제(키워드) scoring system , risk based prioritization , CVE , CWE , CVSS
- 발행기관 고려대학교 정보보호대학원
- 지도교수 김휘강
- 발행년도 2019
- 학위수여년월 2019. 2
- 학위구분 석사
- 학과 정보보호대학원 정보보호학과
- 원문페이지 41 p
- 실제URI http://www.dcollection.net/handler/korea/000000082622
- UCI I804:11009-000000082622
- DOI 10.23186/korea.000000082622.11009.0000823
- 본문언어 한국어
- 제출원본 000045979021
초록/요약
소프트웨어 취약점의 수가 해마다 증가함에 따라 소프트웨어에 대한 공격 역시 많이 발생하고 있다. 이에 따라 보안 관리자는 소프트웨어에 대한 취약점을 파악하고 패치 해야 한다. 그러나 모든 취약점에 대한 패치는 현실적으로 어렵기 때문에 패치의 우선순위를 정하는 것이 중요하다. 본 논문에서는 NIST(National Institute of Standards and Technology)에서 제공하는 취약점 자체 정보와 더불어, 공격 패턴이나 취약점을 유발하는 약점에 대한 영향을 추가적으로 고려하여 취약점의 위험도 평가 척도를 확장한 스코어링 시스템을 제안하였다. 제안하는 스코어링 시스템은 CWSS의 평가 척도를 기반으로 확장했으며, 어느 기업에서나 용이하게 사용할 수 있도록 공개된 취약점 정보만을 활용하였다. 이 논문에서 실험을 통해 제안한 자동화된 시스템을 소프트웨어 취약점에 적용함으로써, 공격 패턴과 약점에 의한 영향을 고려한 확장 평가 척도가 유의미한 값을 보이는 것을 확인하였다.
more목차
1. 서론 1
2. 관련 연구 4
2.1 CVSS(Common Vulnerability Scoring System) 4
2.2 CWSS(Common Weakness Scoring System) 6
2.3 CVSS 및 CWSS의 활용 연구 7
3. 신규 취약점 스코어링 시스템 제안 9
3.1 기존의 취약점 평가 방법론 특징 분석 9
3.2 신규 취약점 스코어링 시스템 10
3.2.1 평가 척도 선별 11
3.2.2 평가 척도 설정 13
3.2.3 취약점 위험도 산정 18
4. 적용 및 사례 분석 20
5. 결론 24
References 25
