CVE 점수에 따른 위험도 정리
CVE 자체는 “식별자”이고, 실제 위험도 판단의 출발점은 보통 CVSS 점수(0.0~10.0)다. 다만 점수만으로 결론을 내리면 운영에서는 자주 엇갈리므로, 점수 구간 + 노출 환경 + 악용 징후를 함께 묶어 우선순위를 만드는 게 핵심이다.
CVSS 점수와 위험도는 어떻게 연결되는가
CVSS(Common Vulnerability Scoring System)는 취약점의 기술적 특성을 점수로 환산해 “비교 가능한 기준”을 제공한다. CVSS v3.1과 v4.0 모두 점수(0.0~10.0)를 None/Low/Medium/High/Critical 정성 등급으로 매핑할 수 있으며, 매핑 구간은 동일하게 정의되어 있다.
CVSS는 “정렬 기준”이지 “우리 환경의 최종 위험도”가 아니다.
동일한 7.5(High)라도 인터넷 노출 + 인증우회 + PoC 공개면 즉시 대응이고,
내부망 + 접근 제한 + 보상통제 존재면 계획 패치로 처리될 수 있다.
CVSS 점수 구간별 위험도
| 정성 등급 | 점수 구간 | 의미(요약) | 운영 권장 대응(기본) |
|---|---|---|---|
| None | 0.0 | 영향 없음(정보성/오탐 포함 가능) | 기록/모니터링, 예외 승인 기준만 정리 |
| Low | 0.1 ~ 3.9 | 영향이 제한적(조건이 까다롭거나 피해 범위가 작음) | 정기 패치 창에 반영(다만 노출면이 크면 우선순위 상향) |
| Medium | 4.0 ~ 6.9 | 영향이 현실적(운영 환경에서 자주 누적되는 구간) | 계획 패치 + 완화책(설정/권한/필터) 병행 |
| High | 7.0 ~ 8.9 | 빠른 대응 필요(원격/권한상승/광범위 영향 가능) | 우선 패치 대상, 노출 서비스는 단기 완화 즉시 적용 |
| Critical | 9.0 ~ 10.0 | 최상위 위험(체인 공격/대규모 확산 가능) | 긴급 대응(핫픽스/차단/우회), 변경관리 예외 프로세스 가동 |
위 구간은 CVSS v3.1과 v4.0의 정성 등급 매핑 기준으로 널리 사용된다. (정의: FIRST CVSS v3.1 / v4.0 스펙)
운영에서 “점수만” 쓰면 실패하는 지점
1) 노출면(Exposure) 보정: 인터넷 노출이면 한 단계 올려 본다
- 인터넷 노출 서비스(웹/게이트웨이/VPN/프록시/메일)는 동일 점수라도 우선순위를 상향
- 관리자 콘솔, 인증/세션, 파일 업로드/파서는 체감 위험이 더 큼
2) 악용 신호(Threat) 보정: PoC/익스플로잇 유통이면 즉시 대응
- PoC 공개, 익스플로잇 모듈(프레임워크) 포함, 대량 스캔 징후가 있으면 점수와 무관하게 긴급도 상승
- 반대로, 조건이 까다롭고 재현이 어려운 취약점은 완화 후 계획 패치로 관리 가능
3) 자산 중요도(Impact) 보정: “어디에 깔렸는가”가 결론을 바꾼다
- 동일 취약점이라도 인증 서버/결제/데이터베이스/키 관리에 있으면 즉시 대응
- 개발/스테이징/비핵심 배치 환경은 상대적으로 완화 중심으로 운영 가능
“CVSS 점수(Severity)”는 1차 정렬,
“노출면/악용 신호/자산 중요도(Risk)”가 최종 우선순위를 만든다.
점수 구간별 권장 대응 SLA 예시
아래는 운영팀에서 바로 쓰기 쉬운 “기본 SLA 템플릿” 예시다. 조직의 변경관리/가용성 목표에 맞게 숫자만 조정해 쓰면 된다.
| 등급 | 기본 대응 목표 | 즉시 적용 가능한 완화 예 |
|---|---|---|
| Critical (9.0~10.0) | 24~72시간 내 완화/패치(가능하면 즉시) | 서비스 차단/룰 적용, 기능 비활성화, 접근제어(Allowlist), 긴급 패치 |
| High (7.0~8.9) | 7일 내 완화 또는 14일 내 패치 | 구성 변경, 권한 축소, WAF/IPS 룰, 업로드/파서 제한 |
| Medium (4.0~6.9) | 30일 내 패치(또는 다음 정기 창) | 모니터링 강화, 노출면 축소, 위험 기능 단계적 제한 |
| Low (0.1~3.9) | 정기 패치 창 반영 | 예외 승인 기준 정리, 자산 범위 최소화 |
| None (0.0) | 기록/검토 | 오탐 여부 확인, 대응 제외 사유 문서화 |
SLA는 “시간”만 정하는 게 아니라, 증빙(완화 내역, 패치 티켓, 영향 자산 목록)을 같이 남기는 구조가 운영 품질을 올린다.
현장에서 흔히 쓰는 운영 팁
바로 적용 가능한 체크리스트
- 같은 CVE라도 제품/배포판별 영향이 다름: 벤더 백포트 여부를 반드시 확인
- 인터넷 노출 자산은 자동 상향: High/Medium 경계에서 사고가 자주 난다
- 패치 불가 환경은 완화부터: 설정/권한/접근경로를 줄이는 게 현실적인 첫 수
- 예외(accept) 기준을 문서화: “왜 지금 안 하는지”가 남지 않으면 반복된다
- 재점검 날짜를 박아두기: 완화만 하고 끝내면 기술부채로 남는다
실제 사용 시, 점수 체계는 깔끔하지만 운영은 예외가 많다. 그래서 “점수 구간표 + 우리 조직 보정 규칙(노출/악용/자산)”을 한 문서로 고정해두면, 동일 이슈를 두고 팀마다 다른 결론이 나오는 상황을 크게 줄일 수 있다.
'IT 소식 뉴스 > CVE CODE' 카테고리의 다른 글
| CVE-2026-31431 취약점 (0) | 2026.05.28 |
|---|---|
| CVE-2026-8153 (0) | 2026.05.22 |
| Microsoft Defender 취약점 CVE-2026-41091, CVE-2026-45498 (0) | 2026.05.22 |
| CVE-2026-43284, CVE-2026-43500 (0) | 2026.05.22 |
| CVE-2024-28752 : Apache CXF Aegis SSRF (0) | 2026.05.18 |