북극바람

위험( Risk )

 - 줄일 수가 있다.

 - 관리가 가능하다.

 - 취약점(약점), 위협을 포함하는 개념

위협( Threat )

 - 보통 제어가 되지 않는다.

 - 식별은 가능하나 관리가 어렵고, 통제권 밖에 있다.

약점( Weakness )

 - 개발 단계에서 발생하는 보안 관련 오류

 - 공격에 활용될 여지가 있는 오류

 - 'CWE' 로 표시(일반적인 취약점의 분류체계)

 - CWE = Common Weakness Enumeration

 - http://cwe.mitre.org

    : 해당 취약점에 대한 정의, 설명, 플랫폼, 빈도 및 예제코드, 완화 방법 기술

    : 미국토안보부( The U.S. Department of Homeland Security) 에서 관리

    : 소프트웨어 취약점을 사전식으로 분류

    : 수집된 약점을 뷰, 카테고리, 취약점, 복합 요소를 기준으로 분류

취약점( Vulnerability )

 - 운영 단계에서 발생하는 보안 관련 오류

 - 실제로 공격 구현이 가능한 오류

 - 'CVE' 로 표시(발견된 보안 취약점의 히스토리)

 - CVE = Common Vulnerabilities and Exposures

 - http://cve.mitre.org

    : 각종 소프트웨어의 취약한 부분이 신규로 발견되었을 때 등록

    : 매년 천 여개의 목록이 신규로 추가 되고 있다.