CCE와 CVE는 모두 보안 표준 용어인데, 성격이 다릅니다.
CVE (Common Vulnerabilities and Exposures, 공통 취약점 및 노출)
- 목적: 전 세계적으로 알려진 보안 취약점과 공격 노출을 고유한 ID로 표준화하여 공유.
- 운영 기관: MITRE에서 관리.
- 형식: CVE-YYYY-NNNNN (예: CVE-2025-12345)
- 활용:
- 보안 패치, 취약점 관리, 보안 리포트 등에 인용.
- CVSS 점수와 함께 위험도 평가에 사용.
- 예시:
- CVE-2023-44487 → HTTP/2 Rapid Reset 취약점.
CCE (Common Configuration Enumeration, 공통 설정 식별자)
- 목적: 운영체제, 애플리케이션, 네트워크 장비 등에서 보안 관련 설정 항목을 표준화된 ID로 정의.
- 운영 기관: MITRE에서 관리.
- 형식: CCE-NNNNN-N (예: CCE-27452-9)
- 활용:
- 보안 설정 가이드라인 매핑 (예: CIS Benchmark, DISA STIG).
- 자동화된 보안 점검 도구에서 특정 설정 식별.
- 예시:
- CCE-27452-9 → Windows에서 "패스워드 최소 길이 설정".
차이점 요약
구분CVECCE
| 대상 | 취약점 (소프트웨어 코드 결함) | 설정값 (보안 관련 구성) |
| 성격 | 소프트웨어의 버그/보안 결함 | 운영/보안의 설정 상태 |
| 활용 | 패치 관리, 위협 인텔리전스 | 보안 설정 준수 점검, 컴플라이언스 |
| 예시 | CVE-2025-12345 (취약점) | CCE-27452-9 (설정값) |
👉 쉽게 말하면,
- CVE는 “이 소프트웨어에 이런 버그가 있다”
- CCE는 “이 옵션은 이렇게 설정해야 안전하다”
728x90