※ 본 글은 CWE가 무엇이며, 어떻게 구성되어 있는지에 대해서 설명하는 것이 목적이며 CWE의 내용이 궁금하신 경우 CWE 사이트를 직접 방문하여 확인하는 것을 추천합니다.
과제를 하다가 샛길로 새어버렸고 어쩌다 소프트웨어의 취약점에 대해서 공부를 하게 됐다. 여기저기 찍먹을 하다보니 CWE까지 가게 되어서 이에 대해 정리를 해보려고 한다.
CWE(Common Weakness Enumeration)를 설명하려면 취약점과 약점에 대해서 간략하게 정리해야한다.
데이터, 디바이스, 조직의 시스템의 기타 구성 요소들을 말한다.
서버, 네트워크와 같은 인프라, 소프트웨어, 컴퓨터, 데이터(정보) 등이 모두 자산에 해당한다.
자산에 부정적인 영향을 줄 수 있는 모든 사건을 말한다.
흔히 말하는 ‘해킹’과 같이 악의적인 공격 행위 또한 위협(threat)에 해당하고
자연 재해로 물리적인 피해를 받는 것도, 직원의 실수도, 내부자가 내부 정보를 무단으로 사용하는 것 또한 위협에 해당한다.