초록 열기/닫기 버튼
소프트웨어 취약점의 수가 해마다 증가함에 따라 소프트웨어에 대한 공격 역시 많이 발생하고 있다. 이에 따라 보안 관리자는 소프트웨어에 대한 취약점을 파악하고 패치 해야 한다. 그러나 모든 취약점에 대한 패치는 현실적으로어렵기 때문에 패치의 우선순위를 정하는 것이 중요하다. 본 논문에서는 NIST(National Institute ofStandards and Technology)에서 제공하는 취약점 자체 정보와 더불어, 공격 패턴이나 취약점을 유발하는 약점에 대한 영향을 추가적으로 고려하여 취약점의 위험도 평가 척도를 확장한 스코어링 시스템을 제안하였다. 제안하는스코어링 시스템은 CWSS의 평가 척도를 기반으로 확장했으며, 어느 기업에서나 용이하게 사용할 수 있도록 공개된 취약점 정보만을 활용하였다. 이 논문에서 실험을 통해 제안한 자동화된 시스템을 소프트웨어 취약점에 적용함으로써, 공격 패턴과 약점에 의한 영향을 고려한 확장 평가 척도가 유의미한 값을 보이는 것을 확인하였다.
As the number of software vulnerabilities grows year by year, attacks on software are also taking place a lot. As aresult, the security administrator must identify and patch vulnerabilities in the software. However, it is important to prioritizethe patches because patches for all vulnerabilities are realistically hard. In this paper, we propose a scoring system thatexpands the scale of risk assessment metric by taking into consideration attack patterns or weaknesses cause vulnerabilitieswith the vulnerability information provided by the NIST(National Institute of Standards and Technology). The proposedscoring system is expanded based on the CWSS and uses only public vulnerability information to utilize easily for anycompany. In this paper, we applied the automated scoring system to software vulnerabilities, and showed the expandedmetrics with consideration for influence of attack pattern and weakness are meaningful.
