반응형
반응형
CVE 점수에 따른 위험도 정리 CVE 자체는 “식별자”이고, 실제 위험도 판단의 출발점은 보통 CVSS 점수(0.0~10.0)다. 다만 점수만으로 결론을 내리면 운영에서는 자주 엇갈리므로, 점수 구간 + 노출 환경 + 악용 징후를 함께 묶어 우선순위를 만드는 게 핵심이다. CVSS 점수와 위험도는 어떻게 연결되는가 CVSS(Common Vulnerability Scoring System)는 취약점의 기술적 특성을 점수로 환산해 “비교 가능한 기준”을 제공한다. CVSS v3.1과 v4.0 모두 점수(0.0~10.0)를 None/Low/Medium/H..
mythos에서 발표한 모듈 / 앤트로픽에서 보고된 취약점 대상 모듈 리스트 아래 목록은 Anthropic CVD 대시보드 스냅샷(기준일: 2026-05-22)의 프로젝트 집계 기준으로, 요청하신 15개 모듈을 “심각도(건수)”와 “CVE 공개 여부”로 정리한 운영용 체크 문서다. 개요 Mythos 기반 CVD 공개는 “발견 → 검증 → 유지보수자 통지 → 공개(창 닫힘)” 흐름으로 진행되며, 프로젝트별로 공개 식별자(CVE)가 붙은 케이스와, 수정은 되었지만 CVE가 아직 없는 케이스가 함께 존재한다. 실..
공급망 위협 선제 차단 금융권 SW 공급망 보안 강화, 금융보안원 ‘취약점 신고 포상제’ 핵심 정리 금융권에서 공통으로 쓰이거나 금융소비자에게 배포되는 소프트웨어의 취약점을 선제적으로 찾기 위해, 금융보안원이 ‘2026년 금융권 S/W 보안 취약점 신고 포상제(버그바운티)’를 상시 체계로 운영한다는 내용이 공개됐다. 왜 ‘공급망 보안’에 초점이 맞춰졌나 소프트웨어 공급망 취약점은 개발·빌드·배포 단계 어딘가에서 발생한 문제가 금융권 전반으로 동시다발적 영향을 줄 수 있다는 점이 핵심 리스크다. 특히 널리 쓰이는 구성요소(라이브..
태니엄, CVE 공식 CNA 지정…취약점 번호 직접 발급 자율 엔드포인트 관리(AEM) 분야 기업 태니엄(Tanium)이 CVE 프로그램으로부터 ‘CVE 번호 지정 권한 기관(CNA, CVE Numbering Authority)’ 자격을 공식 획득했다. 이에 따라 태니엄은 자사 SaaS 및 온프레미스 솔루션에서 발견되는 취약점에 대해 CVE 고유 식별자(CVE ID)를 직접 발급하고, 기술적 세부 내용과 조치 방안을 함께 공개할 수 있게 됐다. 태니엄은 이번 CNA 지정이 단순한 절차적 권한 부여를 넘어, 자사의 취약점 관리 성숙도와 책임 있는 정보 공개 문화가 국제적으로 인정받았다는 의미를 갖는다고 설명했다. ..
허점 드러난 ‘취약점 관리’…인력·예산·체계 총체적 부실SK텔레콤과 롯데카드에서 연달아 대규모 개인정보 유출 사고가 발생했다. 두 사고 모두 수년 전에 공개된 취약점이 패치되지 않은 상태로 남아 공격에 악용된 것으로 드러났다. 글로벌 보안 체계가 강화되는 가운데 국내 기업의 ‘취약점 관리’가 구조적으로 뒤처져 있다는 비판이 거세다.● 핵심 요약- 오랫동안 방치된 취약점 악용 → 대규모 개인정보 유출로 직결- SKT: Dirty Cow(2016) 미패치, 롯데카드: WebLogic RCE(2017) 미패치- 인력 부족·형식적 점검·ISMS-P 실효성 논란- AI 기반 자동 탐지·레드팀·버그바운티 등 대응 필요전 세계 480개 기관이 CVE로 취약점 공유CVE(Common Vulnerabilities and..