CVSS 3.1 Calculate 및 각 명칭 별 설명

-2024.12.23-

https://itschool-info-lab.github.io/cvss/

CVSS v3.1 Base Score Calculator

CVSS 기반의 점수 반영 표이다.

최근에 사내에서 이걸 기준으로 다시 점수를 보고 있는데

 

각각의 항목이 뭘 의미하는건지 아직 어색해서

조금 알아보고 난 뒤 덧붙여본다.

 

원래는 영어인데 한국어로 번역을 해주신 블로거분이 계신다.

출처는 아래에서..!

https://info-lab.tistory.com/278

[CVSS] CVSS v3.1 Calculator(계산기)

※ IT School 님의 블로그

 

---

1. Attack Vector (AV) – 공격 벡터

• 설명: 공격자가 취약점을 악용하기 위해 접근해야 하는 경로가 무엇인지 나타내는 지표입니다.
• 예시:
• 의의: 공격을 시도하기 위한 접근성이 낮을수록(예: Network) 위험도가 더 높게 평가됩니다.

---

2. Attack Complexity (AC) – 공격 복잡성

• 설명: 취약점을 성공적으로 악용하기 위해 필요한 조건의 복잡도를 의미합니다.
• 예시:
• 의의: 공격 복잡도가 낮을수록(조건이 까다롭지 않을수록) 실제 위협이 커지므로 점수가 높아집니다.

---

3. Privileges Required (PR) – 필요한 권한

• 설명: 공격자가 취약점을 악용하기 위해 사전에 보유해야 하는 권한 수준을 말합니다.
• 예시:
• 의의: 필요한 권한이 낮거나 없다면 더 쉽게 공격 가능하므로, 위험도가 높아집니다.

---

4. User Interaction (UI) – 사용자 상호작용

• 설명: 공격이 성공적으로 이뤄지기 위해 피해자가 별도의 행동(클릭, 다운로드 등)을 해야 하는지를 평가합니다.
• 예시:
• 의의: 피해자의 별도 동작이 필요 없는 경우(N)는 공격 난이도가 낮아서 더 높은 점수를 받습니다.

---

5. Scope (S) – 범위

• 설명: 취약점을 악용했을 때 영향 범위가 어떻게 변화하는지 나타냅니다.
• 의의: 다른 시스템이나 권한 범위까지 침범하는 경우(Changed)는 보안 영향도가 매우 커지므로, CVSS 점수가 올라갑니다.

---

6. Confidentiality (C) – 기밀성

• 설명: 취약점이 악용될 경우, 민감 정보가 유출되거나 접근 권한이 노출되는 정도를 평가합니다.
• 단계:
• 의의: 중요한 데이터가 대규모로 유출될 가능성이 높을수록 점수가 상승합니다.

---

7. Integrity (I) – 무결성

• 설명: 취약점이 악용될 때, 데이터 혹은 시스템 무결성이 훼손되는 정도(변조, 삭제, 삽입 등)를 평가합니다.
• 단계:
• 의의: 무결성이 크게 훼손될 가능성이 높다면 공격 피해가 치명적으로 간주됩니다.

---

 

 

8. Availability (A) – 가용성

• 설명: 취약점으로 인해 서비스나 시스템이 정상적으로 동작하지 못하게 될 위험(서비스 중단, 성능 저하 등)을 평가합니다.
• 단계:
• 의의: 가용성이 심각하게 위협받으면, 서비스 운영 자체가 불가능해질 수 있어 높은 점수를 받습니다.

CVSS스코어링 설명.pdf

0.17MB