CVSS v4.0 도입을 통한 보안 취약점 전이 영향 분석 정밀화

Context

단순 수치 중심의 CVSS v3.1 체계는 취약점의 심각도는 제공하나 구체적인 공격 경로 및 시스템 간 영향도 분석에 한계 존재. 특히 하나의 시스템 침해로 인한 타 시스템으로의 연쇄적 피해를 정교하게 표현하지 못하는 구조적 결함 보유.

Technical Solution

• Attack Vector 분석을 통해 Network, Adjacent, Local, Physical 등 공격 진입점별 위험도 차등 설계
• Attack Complexity 및 Privileges Required 지표를 활용한 공격 실행 난이도와 권한 요구사항의 정량적 구분
• CVSS v4.0의 Vulnerable System과 Subsequent System 개념 분리를 통한 피해 전이 경로 모델링
• AT(Attack Requirements) 필드 신설을 통한 공격자 통제 불가능한 외부 조건의 영향도 분석 강화
• VC/VI/VA 및 SC/SI/SA 메트릭 세분화를 통한 직접 침해 시스템과 파생 영향 시스템의 Impact 분리 측정