펌웨어 분석에서 약점 데이터 이해 및 우선 순위 지정

펌웨어 분석은 분석 중에 추출된 펌웨어 구성 요소에서 발견된 약점을 노출합니다. 이러한 신호는 잠재적인 보안 위험을 이해하는 데 도움이 되지만 신중하게 컨텍스트에서 해석해야 합니다. 이 문서에서는 펌웨어 분석 결과에서 볼 수 있는 약점 관련 필드, 서로 어떻게 관련되어 있는지, 위험을 효과적으로 우선 순위를 지정하기 위해 함께 평가하는 방법을 설명합니다.

메모

펌웨어 분석에서 약점 또는 CVE가 있다고 해서 반드시 디바이스가 취약하다는 의미는 아닙니다. 실제 영향은 영향을 받는 구성 요소가 시스템 내에서 사용되는 방식에 따라 달라집니다.

펌웨어 분석의 약점 신호

펌웨어 분석은 여러 업계 표준 신호로 결과를 보강합니다. 각 신호는 위험의 다른 측면을 나타내며 격리된 상태로 해석되어서는 안 됩니다.

CVE(일반적인 취약성 및 노출)

CVE는 알려진 보안 취약성에 대해 공개적으로 공개된 식별자입니다. 펌웨어 분석은 일치 항목이 식별될 때 추출된 펌웨어 구성 요소와 CVE를 연결합니다. 단일 펌웨어 구성 요소가 여러 CVE와 연결될 수 있으며 단일 CVE가 여러 디바이스 또는 구성 요소에 나타날 수 있습니다.

CVE는 문제가 무엇인지 식별하지만 자체에 미치는 영향이나 악용 가능성을 나타내지는 않습니다.

CVE 식별자 및 CVE 프로그램에 대한 자세한 내용은 MITRE에서 유지 관리하는 공식 일반적인 취약성 및 노출 설명서를 참조하세요.

CVSS 점수 및 버전

펌웨어 분석에는 CVE에 대한 CVSS(Common Vulnerability Scoring System) 데이터가 표시될 수 있습니다. 동일한 CVE에 대해 여러 CVSS 버전이 나타날 수 있습니다.

  • CVSS v2 – 이전 취약성에서 사용되는 레거시 점수 매기기
  • CVSS v3 – 향상된 메트릭을 사용하여 널리 채택된 표준
  • CVSS v4 – 추가 차원을 도입하는 최신 버전

여러 CVSS 버전의 존재는 여러 고유의 취약성이 아닌 시간이 지남에 따라 취약성 점수 매기기가 어떻게 진화하는지를 반영합니다.

CVSS는 악용의 실제 가능성이 아닌 기술적 심각도를 설명합니다.

CVSS 점수 매기기 및 버전 차이에 대한 자세한 내용은 FIRST에서 유지 관리하는 공식 CVSS(Common Vulnerability Scoring System) 설명서를 참조하세요.

CVSS 벡터

CVSS에는 숫자 점수 외에도 다음과 같이 점수에 기여하는 요인을 설명하는 벡터 문자열이 포함되어 있습니다.

  • 필수 액세스 수준
  • 공격 복잡성
  • 기밀성, 무결성 및 가용성에 미치는 영향

벡터는 CVE의 심각도 등급에 영향을 주는 조건 및 영향 요소와 같은 더 많은 컨텍스트를 제공합니다.

CVSS 벡터 문자열 및 메트릭 의미에 대한 전체 설명은 FIRST에서 게시한 CVSS 사양을 참조하세요.

CVSS 점수 및 벡터가 CVE에 대해 게시되는 방법의 예는 NVD(NIST National Vulnerability Database)를 참조하세요.

CISA 알려진 악용 취약성(KEV)

일부 CVE는 CISA KEV(알려진 악용 취약성) 카탈로그의 일부로 표시될 수 있습니다. 이 지정은 취약성이 실제 시나리오에서 적극적으로 악용되는 것으로 알려져 있음을 나타냅니다.

메모

  • KEV 상태는 특정 디바이스의 영향을 받는지 여부가 아니라 관찰된 악용 활동을 반영합니다.
  • 펌웨어 분석의 KEV 상태는 현재 정적 값으로, 검사가 수행된 당시의 펌웨어 분석 CVE 데이터베이스의 상태를 반영합니다. 이 값은 동적으로 업데이트되지 않습니다. 최신 KEV 상태를 보려면 펌웨어 이미지를 다시 스캔합니다.

KEV는 즉각적인 위험의 강력한 신호입니다.

신뢰할 수 있는 KEV 상태 및 수정 지침은 CISA 알려진 악용 취약성 카탈로그를 참조하세요.

EPSS(공격 예측 점수 시스템)

펌웨어 분석에는 취약성이 악용될 가능성을 예측하는 EPSS 데이터가 포함될 수 있습니다. 다음과 같은 두 가지 관련 값이 나타날 수 있습니다.

  • EPSS 점수 – 취약성 에코시스템 전반에서 관찰된 추세에 따라 악용 가능성이 예상됨
  • EPSS 백분위수 – 해당 확률이 다른 취약성과 비교하여 비교되는 방식

이러한 값은 비교 위험 컨텍스트를 제공하지만 악용을 보장하지는 않습니다.

Azure Portal에서 EPSS를 기준으로 필터링하려면 EPSS 점수를 10진수 형식으로 지정합니다(예를 들어, EPSS 점수가 >50%일 경우, >0.5에 따라 필터링합니다).

백분위수 순위는 CVE가 광범위한 취약성 에코시스템을 기준으로 순위를 지정하는 방식을 보여 주므로 운영상 더 유용합니다.

메모

  • EPSS 값은 현재 검사가 수행되었을 때 펌웨어 분석 CVE 데이터베이스의 상태를 반영하는 정적 값입니다. 이 값은 동적으로 업데이트되지 않습니다. 가장 up-to-date EPSS 상태를 보려면 펌웨어 이미지를 다시 검사합니다.

EPSS는 악용을 보장하는 것이 아니라 미래 예측 가능성 신호를 제공합니다.

EPSS 점수 및 백분위수를 계산하는 방법에 대한 자세한 내용은 FIRST에서 유지 관리하는 Exploit Prediction Scoring System 설명서를 참조하세요.

일반적 취약점 열거 (CWE)

CWE는 특정 취약성 인스턴스가 아닌 취약성을 초래한 기본 약점(예: 버퍼 오버플로 또는 부적절한 입력 유효성 검사)의 클래스를 나타냅니다. CWE 식별자는 취약성이 발생하는 위치뿐만 아니라 취약성이 존재하는 이유를 설명하여 더 많은 컨텍스트를 제공합니다.

CWE 식별자는 정보를 제공하며 자체적인 우선 순위가 아닌 근본 원인을 이해하는 데 사용해야 합니다.

메모

CWE 데이터는 MITRE Common Weakness 열거형 프로젝트에서 정의한 표준화된 약점 분류를 반영합니다. CWE 식별자는 정보를 제공하며, 특정 디바이스 또는 펌웨어 이미지 자체에 대한 악용 가능성 또는 영향을 나타내지 않습니다.

CWE 정의 및 분류에 대한 자세한 내용은 공식 MITRE CWE 설명서를 참조하세요.

악용 성숙도

악용 완성도는 다음과 같은 취약성에 대한 현재 악용 가용성 상태를 설명합니다.

  • 입증되지 않은
  • 개념 증명
  • 기능적 악용
  • 무기화된 악용

있는 경우 악용 완성도 정보는 일반적으로 CVSS v4 채점과 함께 표시되며 FIRST에서 유지 관리하는 CVSS 사양에 설명되어 있습니다.

약점 데이터 함께 사용

각 약점 신호는 다른 관점을 나타냅니다.

  • CVE - 취약성이란?
  • CVSS - 기술 심각도 및 영향
  • KEV - 활성 악용의 증거
  • EPSS - 단기 악용 가능성
  • 악용 완성도 - 악용 기술의 가용성
  • CWE - 기본 약점 범주

이러한 신호를 함께 평가하면 단일 필드에 의존하는 것보다 잠재적 위험을 보다 완벽하게 이해할 수 있습니다.

효과적인 우선 순위 지정에는 심각도 점수 매기기 이상이 필요합니다. 다음 구조화된 모델은 약점 데이터를 전체적으로 평가할 수 있는 방법을 보여 줍니다. 이 방법은 규범적 규칙 집합이 아닌 지침입니다.

  1. 악용 상태 확인(KEV)

    • KEV 상장 약점을 가장 높은 우선 순위로 처리
    • CVSS 점수만 기준으로 KEV 항목을 다운그레이드하지 마세요.

    확인된 악용은 점수 매기기 메트릭 전에 평가해야 합니다.

  2. 취약점 공격 성숙도 평가

    • 기능적 또는 무기화된 악용으로 약점에 대한 우선 순위 상승
    • 공격 도구의 성숙도와 노출 특성 결합

    악용 가용성은 실제 위험을 증가합니다.

  3. EPSS(악용 가능성) 평가

    • EPSS를 사용하여 비슷한 심각도의 취약성 구분
    • 백분위수 순위는 원시 점수보다 실행 가능한 경우가 많습니다.
    • EPSS와 KEV 결합 및 악용 완성도

    EPSS는 우선 순위 지정 결정에 확률적 컨텍스트를 추가합니다.

    메모

    Azure 포털에서 EPSS로 필터링하려면, EPSS 점수를 소수 형식으로 지정하세요(예: EPSS 점수가 >50%일 경우, >0.5로 필터링합니다).

  4. 공격 벡터 및 노출 검토

    CVSS 벡터에서 다음을 고려합니다.

    • 네트워크에서 액세스할 수 있는 취약성과 로컬 또는 물리적 액세스
    • 인증 및 사용자 상호 작용 요구 사항
    • 영향을 받는 구성 요소 또는 서비스가 배포에 노출되는지 여부

    취약성은 심각해 보일 수 있지만 실제로 연결할 수 없는 경우 위험이 감소합니다.

  5. CVSS(기술 영향 심각도) 평가

    CVSS를 사용하여 악용이 성공할 경우 그 영향을 이해하고자 하는 것이며, 가능성을 평가하려는 것은 아닙니다.

    • 높거나 중대한 심각도: 노출 또는 가능성이 보통 이상일 경우 우선시해야 함
    • 중간 심각도: 악용 신호 및 노출에 따라 우선 순위 지정
    • 낮은 심각도: 활성 악용 또는 높은 노출이 존재하지 않는 한 우선 순위를 해제합니다.

    가능성이 비슷한 경우 가장 큰 영향을 미치는 취약성을 먼저 해결합니다.

  6. 비즈니스 영향 평가(중요도 평가)

    자산 중요도는 조직 컨텍스트를 반영하며 다음을 포함합니다.

    • 시스템이 프로덕션 또는 핵심 인프라인지 여부
    • 잠재적 운영, 안전 또는 규정 준수 영향

    비즈니스 영향은 긴급도에 영향을 주지만 취약성 메커니즘은 변경되지 않습니다.

  7. 가용성 수정 고려

    수정 타당성은 실행 계획에 영향을 줍니다.

    • 패치 또는 펌웨어 업데이트 가용성
    • 복잡성 업그레이드
    • 사용 가능한 완화 방법

    수정을 위한 가용성은 일정 수립에 참고되어야 하지만, 악용 증거를 덮어서는 안 됩니다.

중요 고려 사항

항상 약점 데이터를 다음과 함께 해석합니다.

  • 디바이스 역할 및 노출
  • 시스템 구성
  • 플랫폼 내의 펌웨어 사용량

메모

펌웨어 분석은 추출된 펌웨어 콘텐츠를 기반으로 잠재적인 위험을 식별합니다. 특정 배포에서 취약성에 연결할 수 있는지, 악용 가능한지 또는 영향을 미치는지 여부는 결정되지 않습니다.

다음 단계

펌웨어 분석에서 구성 요소 데이터를 추출하고 표시하는 방법에 대한 자세한 내용은 펌웨어 분석의 SBOM 보기에서 추출기 경로 해석을 참조하세요.

  • Last updated on