오늘은 문득 내가 일일커밋을 시작하게 만든 유튜브 영상이 추천 영상에 잡히길래 다시 한 번 보게 되었다. 새삼 일일커밋에 대해 고민하는 것이 무슨 의미가 있나 싶은 생각이 들었다. 그냥 하면 되는건데. 뭐 얼마나 대단한 걸 하겠다고. 그냥 뭐가 됐든 꾸준히 한다면 그걸로 그만인 것인데.
그래서 이제 일일커밋에 대해 쓸데없는 생각은 버리기로 했다. 앞으로는 내용이 좋은 말든, 분량이 짧든 길든, 크게 신경쓰지 않고 그냥 계속해서 무언가를 쌓아간다는 마음으로 해볼 생각이다. 0보다는 0.001이 낫다는 마음으로.
CVE (Common Vulnerabilities and Exposure)를 공부하는 방법
‘CVE’는 정보보안 관련 기사를 본다면 자주 보았을 단어이다. 정확히는 ‘CVE’ 옆에 숫자들도 붙어서 나오는 것을 보았을텐데, 그것은 어떤 취약점을 나타내는 코드이다. CVE-(발견 연도)-(고유 번호) 순으로 이뤄진 코드로 세상에 공개된 보안 취약점들은 모두 이렇게 생긴 코드를 갖는다고 볼 수 있다. 그 중 특히 위험성이 매우 높거나 전반적으로 높은 영향력을 지녀 유명해진 취약점들은 좀 더 친숙한(?) 이름이 붙기도 한다. (예 - Meltdown(CVE-2017-5754), Spectre(CVE-2017-5715, CVE-2017-5753), Heartbleed(CVE-2014-0160) 등)
그리고 이 코드들 앞에 항상 붙은 ‘CVE’는 이러한 취약점 정보들을 모두 모아둔 목록(데이터베이스)의 이름을 말한다. 미국의 비영리 단체 ‘MITRE Corperation’에서 운영을 시작하였으며 추후 미국 국립표준기술연구소(NIST)와 협력하면서 체계화되었다. 또한 미국 국토안보부와 CISA로부터 지원을 받고 있다. CVE는 웹 상에 공개되어 있으며 누구나 해당 사이트에 방문하여 관련 정보를 확인할 수 있다. 해당 웹 사이트를 방문하려면 cve.mitre.org 또는 nvd.nist.gov를 가면 된다.
CVE를 통해서 거의 모든 취약점들을 확인할 수 있지만, 아무래도 구체적으로 해당 취약점을 exploit할 수 있는 방법은 소개되어 있지 않다. 물론 이는 취약점을 악용하는 것을 방지하기 위함이겠지만 단순히 CVE 자료만 보고 취약점에 대해 깊게 파고들기는 쉽지 않다.
하지만 익스플로잇에 대한 정보를 얻을 수 있는 곳이 아예 없지는 않다. exploit-db도 있고 국내에서는 윈스 블로그(http://wins21.co.kr/blog/) 같은 곳에서도 해당 정보들을 볼 수 있다. 물론, 취약점들 중 일부에 한해서만 익스플로잇이 제공된다.
그 외에도 이런 글을 참고해도 도움이 될 듯 하다.