489. CVE (Common Vulnerabilities and Exposures) - 공개된 보안 취약점 목록

핵심 인사이트 (3줄 요약)

  1. 본질: CVE(Common Vulnerabilities and Exposures)는 "해킹이 가능한 구멍이 났다"는 막연한 소문을, "2021년도에 아파치 Log4j 2.14 버전에서 원격 코드가 실행되는 구멍이 발견되었다"며 CVE-2021-44228 이라는 고유한 전 세계 공통 일련번호(주민등록번호)로 콱 박제해 버리는 공개된 보안 취약점 글로벌 백과사전이다.
  2. 가치: 이 번호표가 존재하기에 전 세계 100만 명의 해커, 보안 전문가, 그리고 자동화된 백신(SCA 스캐너, WAF 방화벽) 봇들이 혼동 없이 "그 CVE 번호 패치했어?"라며 단 1초 만에 소통하고 빛의 속도로 방어벽을 세우는 '사이버 보안의 대통일 언어' 역할을 한다.
  3. 융합: 앞 장의 **CWE(근본적 약점 원인)**가 낳은 구체적인 자식(사건)이며, 다음 장의 **CVSS(취약점 위험도 점수, 0~10점)**라는 심사표가 무조건 이 CVE 꼬리표에 딱 붙어서 "이 CVE는 10점 만점짜리 핵폭탄이다!"라고 애자일(DevSecOps) 패치 우선순위(백로그)를 기계적으로 강제 할당하는 융합 인프라의 핵심 식별자다.

Ⅰ. 개요 및 필요성 (Context & Necessity)

  • 개념: CVE는 번호표 체계다. 마이크로소프트 윈도우, 구글 크롬 브라우저, 자바 라이브러리 등 이 세상에 돌아가는 모든 소프트웨어에서 해커가 파고들 수 있는 명확한 '버그(구멍)'가 발견되면, 미국 MITRE 재단이 CVE-[연도]-[일련번호] 포맷으로 번호를 딴다. 예: CVE-2014-0160(Heartbleed 사태). 이 번호가 뜨는 순간, 해당 구멍은 공식적으로 인터넷 야생에 공개(Exposure)되었음을 의미한다.

  • 필요성: 한국의 V3 백신 회사는 "Log4j 원격 접속 해킹"이라고 부르고, 미국의 시만텍은 "아파치 라이브러리 백도어"라고 부른다면? 전 세계 CISO(보안책임자)들이 모여서 회의할 때 "그거 막으셨어요?" "무슨 해킹이요?" 라며 소통 비용이 박살 나고 대혼란이 온다. 또한, 젠킨스(Jenkins)에 달아놓은 스캐너 기계에게 "야, 로그포제이 해킹 좀 찾아봐"라고 한글로 말하면 기계는 못 알아듣는다. 기계와 인간, 국가와 기업의 장벽을 허물고 1초 만에 "CVE-2021-44228 차단해!"라고 전 세계가 동시에 셧다운 방어막을 칠 수 있는 '고유한 바코드(Identifier)'가 절대적으로 필요했다.

  • 💡 비유: CVE는 범죄자들의 **'경찰청 지명수배자 고유 번호(수배 전단지)'**와 같습니다. 동네 사람들이 "얼굴에 점 있는 도둑놈 잡아라!"라고 하면 헷갈립니다. 하지만 경찰청에서 **"수배번호 2021-44228번, 이름: Log4j 해커, 특징: 원격 코드 실행"**이라고 주민등록번호를 따서 전국 파출소 팩스로 돌려버리면, 전국 경찰(방화벽/스캐너)들이 혼동 없이 수배 전단지 번호만 보고 100% 정확하게 범인을 잡아 가둘 수 있는 강력한 글로벌 공조 체계입니다.

  • 등장 배경 및 발전 과정:

    1. 보안 툴의 난립과 춘추전국시대: 1990년대 해킹이 폭발하자 보안 업체들이 우후죽순 생겼다. 각자 자기들만의 툴과 이름으로 취약점을 불러 호환성이 0(Zero)이었다.
    2. MITRE 재단의 표준화 (1999): "이름 통일 안 하면 우리 다 죽는다!" MITRE 코퍼레이션 주도로 전 세계 최초로 취약점에 연도별 고유번호(CVE)를 부여하는 거대한 족보 프로젝트가 가동되었다.
    3. DevSecOps 파이프라인의 핵심 연료 (현재): 지금의 취약점 스캐너(Snyk, Dependabot)들은 자체적으로 해킹을 생각(Thinking)하지 않는다. 오로지 하루에 10번씩 CVE 글로벌 데이터베이스를 다운받아 내 소스코드의 버전과 대조(Mapping)하는 무식하고 강력한 비교 연산으로 진화했다. CVE 족보가 없다면 현대의 자동화 방어망은 즉시 고철 덩어리가 된다.

  • 📢 섹션 요약 비유: CVE는 태풍에 붙이는 **'태풍 이름(매미, 힌남노)'**과 같습니다. "엄청 센 비바람이 불어요"라고 하면 대비할 수 없지만, 기상청이 **"제11호 태풍 힌남노 북상 중!"**이라고 이름을 콱 박아서 뉴스를 때리는 순간, 전 국민이 창문에 테이프를 바르고 배를 묶는 등 즉각적이고 통일된 방어 프로토콜(패치 작업)로 돌입할 수 있게 만드는 위대한 커뮤니케이션 도구입니다.

Ⅱ. 아키텍처 및 핵심 원리 (Deep Dive)

1. CVE 번호의 생성 라이프사이클 (요람에서 무덤까지)

개발자가 코드를 병신같이 짠 순간부터 전 세계 뉴스에 데뷔하기까지의 피 터지는 과정이다.

  1. 발견 (Discovery)
    • 화이트 해커(또는 나쁜 해커)가 오픈소스 Log4j를 뜯어보다가 코드가 이상한 걸(CWE 약점) 발견하고 뚫어본다(제로데이 취약점 상태).
  2. 제보 및 패치 (Reporting & Patching)
    • 화이트 해커는 인터넷에 바로 올리지 않고, Log4j 개발팀(Apache 재단)에 몰래 이메일을 보낸다. "너네 구멍 났음. 90일 줄 테니 빨리 패치 코드 만들어." (책임 있는 공개, Responsible Disclosure)
  3. CVE 번호 할당 (Reservation)
    • Apache 재단이 MITRE의 CNA(취약점 부여 기관)에 연락해 "우리 구멍 났으니 번호 하나만 줘요"라고 해서 CVE-2021-44228 이라는 공 번호를 예약받는다.
  4. 대중에 공개 (Public Disclosure, Exposure) 💥 헬게이트 오픈
    • 개발팀이 구멍을 틀어막은 Log4j v2.15 (패치 버전)를 배포함과 동시에, 전 세계에 "우리 털렸으니 빨리 업데이트하세요!"라며 CVE 번호와 해킹 원리를 공식적으로 까발린다(NVD 등재).
    • 이때부터 **방어자(버전 업데이트하는 자) vs 해커(업데이트 안 한 바보들 찾아 털기)**의 피 말리는 타임어택 스피드런 전쟁이 시작된다.

2. NVD (National Vulnerability Database)의 융합

MITRE가 CVE(이름표)만 띡 부여하면 정보가 너무 빈약하다. 그래서 미국 정부(NIST)가 나섰다.

  • NVD의 융합: MITRE가 만든 CVE 번호를 그대로 빨아들여 와서, 거기에 "1. CVSS 위험도 점수(이거 10점 만점에 10점짜리야!), 2. 해킹 영향받는 정확한 소프트웨어 버전(v2.0 ~ v2.14), 3. 방어하는 방법(패치 다운로드 링크)" 이라는 살코기를 완벽하게 덧붙여 전 세계에 무료 배포하는 궁극의 취약점 포털 사이트. 모든 스캐너 봇(Bot)의 두뇌가 바로 이 NVD API와 연동되어 있다.

  • 📢 섹션 요약 비유: MITRE의 CVE가 단순히 아기의 **'출생신고서(이름, 생년월일)'**만 딱 떼주는 관공서라면, NIST의 NVD는 그 아이가 커서 어떤 병(CVSS 점수)을 가지고 있고, 어떤 성격(해킹 방법)을 가졌으며, 어떻게 다루어야(패치) 하는지 뼛속까지 파헤쳐놓은 거대한 **'초정밀 종합 생기부(백과사전)'**입니다. 개발자는 무조건 NVD를 보고 코드를 고칩니다.

Ⅲ. 융합 비교 및 다각도 분석

1. CWE (약점) vs CVE (사건) 10초 만에 완벽히 구별하기

앞서 488장에서 배운 것의 치명적인 복습이다. 둘은 "원인과 결과"의 인과율로 묶여있다.

척도CWE (Common Weakness Enumeration)CVE (Common Vulnerabilities and Exposures)
본질 (정체)해킹을 유발한 '근본적인 코딩 실수 / 멍청한 설계 구조'그 코딩 실수 때문에 '실제로 해커가 뚫어버린 특정 사건 뉴스'
비유 (의학)"폐암 (질병 그 자체)""2024년 5월 스티브 잡스의 폐암 발병 (특정인의 사건)"
시간적 속성과거, 현재, 미래 변치 않는 불변의 패턴 (개수 적음)매일매일 터지는 시한폭탄 뉴스 (매년 수만 개 폭발)
형태CWE-119 (버퍼 오버플로우 약점)CVE-2014-0160 (버퍼 오버플로우 때문에 OpenSSL이 털린 Heartbleed 사태)

과목 융합 관점

  • 클라우드 데브옵스 (SCA: Software Composition Analysis): OWASP Top 10의 'A06 낡은 컴포넌트 사용'을 방어하는 절대 인프라. 개발자가 pom.xmlspring-web v5.0을 적고 Git에 Push한다. 젠킨스에 물려있는 SCA 스캐너(Snyk, Dependabot)가 그 텍스트를 읽고, 빛의 속도로 글로벌 CVE 데이터베이스(NVD)를 뒤진다. "삐용! 2022년에 CVE-2022-22965(Spring4Shell) 사건이 터진 그 위험한 버전이잖아! 당장 빌드 폭파해!" 즉, 현대 파이프라인의 방어막은 인간의 코딩 실력이 아니라, CVE 족보를 얼마나 빨리 매칭(Mapping)하여 차단하느냐의 자동화된 색인 속도전(Indexing Speed)으로 진화했다.

  • 인프라 보안 (WAF, 웹 방화벽): 방화벽 장비(F5, AWS WAF 등)의 규칙(Rule) 업데이트도 CVE 기반이다. 어제 아파치 서버에 치명적인 CVE-2023-xxxx가 터졌다고 치자. 우리 개발팀이 서버를 내리고 패치(Patch) 버전을 올리려면 3일이 걸린다. 그 3일 동안 털릴 것인가? WAF가 나선다. WAF 벤더사가 하룻밤 만에 "저 CVE 번호의 공격 패킷 모양"을 지문(Signature)으로 떠서 전 세계 방화벽 장비에 무선 업데이트를 쏴준다. "서버 패치가 끝나기 전까지, 밖에서 WAF가 저 CVE 모양의 냄새가 나는 패킷은 임시 몽둥이로 다 때려죽인다(Virtual Patching)." 이것이 융합 아키텍처의 위엄이다.

  • 📢 섹션 요약 비유: **CWE(원인)**가 자동차 브레이크 패드가 닳아서 밀리는 **'고질적인 기계적 결함(약점)'**이라면, **CVE(사건)**는 그 밀리는 브레이크 때문에 "2024년 5월 강남 사거리에서 소나타가 트럭을 들이받아 3명이 다친 대형 교통사고(취약점 뉴스)"입니다. 공장(개발자)이 브레이크 패드 재질(CWE)을 안 고치면, 강남 사고, 부산 사고(CVE)는 이름만 바뀐 채 영원히 끝없이 터져 나옵니다.

Ⅳ. 실무 적용 및 기술사적 판단

실무 시나리오

  1. 시나리오 — 제로데이(Zero-day)의 공포와 해커의 시한폭탄: 금요일 오후, 깃허브 커뮤니티에 "우리가 쓰는 유명 라이브러리 X에 엄청난 백도어 구멍이 뚫려있음! 근데 아직 패치 안 나옴!"이라는 글이 떴다. 해커들은 신나서 공격 스크립트를 짜서 미친 듯이 전 세계 서버를 털기 시작했다. MITRE 재단이 긴급하게 CVE-202X-9999 번호를 부여했지만(이제 N-day가 됨), 공식 패치 버전은 다음 주 월요일에나 나온다고 한다. 개발팀은 금, 토, 일 3일 동안 털리는 걸 구경만 해야 하는 끔찍한 제로데이 학살극의 한가운데 섰다.

    • 아키텍트의 해결책: CVE 공식 패치 전의 임시 회피(Mitigation) 융합 아키텍처 발동이다. 아키텍트는 넋 놓고 패치를 기다리면 안 된다. 1) 해당 낡은 라이브러리를 쓰는 기능(예: 파일 업로드) 자체를 **피처 토글(Feature Toggle)**로 즉시 False로 꺼버려서(기능 마비 감수) 앱에서 도려낸다. 2) 앞단 웹 방화벽(WAF)에 해당 공격 패킷 패턴(Regex)을 수동으로 입력해 차단하는 **가상 패치(Virtual Patching)**를 씌운다. 3) 최후의 수단으로 해당 서버(EC2)가 사내 DB와 아예 연결을 못 하게 네트워크 보안 그룹(Security Group)을 강제로 끊어버려 독방에 가둔다. 이것이 진정한 아키텍트의 재난 통제(Incident Response)다.

  2. 시나리오 — CVE 무지성 맹신과 알람 피로도(Alert Fatigue): 클라우드 관제 대시보드(CSPM)를 도입했다. 월요일 아침 출근해보니 우리 회사 도커 컨테이너 100개에 빨간불로 CVE-2020-xxxx 취약점이 무려 5,000건 발견되었다며 사이렌이 울리고 있었다. 개발팀 50명이 사색이 되어 하던 개발을 다 멈추고 버전 업데이트 노가다를 밤새워 했다. 그런데 나중에 보안팀장이 까보니, 그 취약점은 Bluetooth 모듈에서 터진 취약점이었고, 우리 회사 서버는 애초에 블루투스 기능 자체를 막아놔서(Disable) 해커가 100년을 공격해도 털릴 수 없는 '유령 위협'이었다. 50명의 인건비가 허공으로 날아갔다.

    • 아키텍트의 해결책: 비즈니스 맥락(Context)이 결여된 스캐너의 멍청한 오탐(False Positive) 재앙이다. 스캐너는 바보다. 그냥 버전이 옛날 거면 무조건 "CVE 터짐!"이라고 소리친다. 아키텍트는 기계의 알람을 그대로 개발팀에 토스(Pass-through)하면 안 된다. "취약한 모듈이 탑재되어 있는가?(버전 확인) ➡ 그 모듈이 실제로 우리 메모리에 로딩되어(In-memory) 돌아가는가?(실효성 확인) ➡ 밖에서(인터넷) 거기로 도달할 통로(Attack Path)가 열려있는가?" 이 3단계 검열(Triage)을 거쳐 5,000건의 알람 중 진짜 치명적인 10건만 핀셋으로 뽑아 개발팀에 던져야(Vulnerability Prioritization) 조직의 개발 속도가 마비되지 않는다.

도입 체크리스트

  • 비즈니스적: "보안 부채(Security Debt)를 갚을 전용 스프린트(Sprint) 시간이 할당되어 있는가?" 매주 디펜다봇(Dependabot)이 "낡은 오픈소스 라이브러리 30개 나왔어! CVE 털리기 전에 업데이트해!"라고 Pull Request를 날린다. 기획자는 "이거 기능 추가도 아닌데 왜 인건비 써요? 무시해요!"라고 뭉갠다. 아키텍트는 강력한 거버넌스로 "매달 4주 차 수요일은 무조건 신기능 개발 멈추고 라이브러리 판올림(Patch)만 하는 날"로 강제 못 박아야, 언젠가 터질 수십억 원짜리 CVE 폭탄을 막아낼 수 있다.
  • 기술적: 오픈소스 자재 명세서(SBOM, Software Bill of Materials)를 무조건 찍어내고 있는가? 젠킨스 파이프라인에서 빌드할 때 .jar 파일만 뱉어내면 반쪽짜리다. 무조건 우리 앱의 뱃속에 들어간 라이브러리 500개의 리스트와 버전을 JSON 파일(SBOM)로 뱉어내어 보관해야 한다. 그래야 내일 아침 뉴스에 "Log4j CVE 터짐!" 떴을 때, 1초 만에 사내 SBOM 창고를 검색하여 감염된 서버 3대를 핀셋으로 도려내어 생명을 살릴 수 있다. (483번 연계)

안티패턴

  • "프랑켄슈타인 패치 (Frankenstein Patching)": 10년 된 낡은 레거시 시스템에서 CVE 경고가 떴다. 버전을 1.0에서 5.0 최신으로 올리려니 내 소스 코드가 다 깨져서 아예 부팅이 안 된다(하위 호환성 박살). 그래서 꼼수로 낡은 1.0 버전을 그대로 둔 채, 인터넷 구글링으로 "해킹 막는 if문 3줄"만 긁어와서 내 코드 앞단에 기괴하게 기워 붙이는 안티패턴. 일시적으론 막힌 것 같지만, 내일 해커가 그 if문을 우회하는 또 다른 꼼수(Bypass)를 쓰면 그대로 털린다. CVE의 근본 해결책은 오직 '깨진 코드를 리팩토링하는 고통'을 감내하고 벤더가 제공하는 공식 최신 버전으로 우아하게 판올림(Update)하는 것뿐이다.

  • 📢 섹션 요약 비유: 프랑켄슈타인 땜질 패치는 썩어가는 **'나무기둥 겉에 시트지 바르기'**와 같습니다. 기둥 속이 흰개미(CVE 취약점)로 썩어 들어가는데, 기둥을 아예 새 철근으로 뽑아 갈아버리는 대공사(버전 업데이트 리팩토링)가 무서워서 겉에 번지르르한 예쁜 벽지(가짜 if문 방어)만 덮어 바릅니다. 당장은 깨끗해 보이지만 한 달 뒤 지붕 전체가 무너져 내려 온 가족이 몰살당하는 끔찍한 결말을 맞습니다.

Ⅴ. 기대효과 및 결론

정량/정성 기대효과

구분개발자 눈으로 일일이 해킹 기사 검색 및 수동 대응 (AS-IS)NVD/CVE 연동 스캐너(SCA)를 통한 파이프라인 자동화 (TO-BE)개선 효과
정량취약한 오픈소스 감염 여부 전수 조사에 2주일 소요젠킨스(SCA) 자동 스캔으로 1초 만에 빌드 중단(Fail) 차단공급망(Supply Chain) 해킹 감염률 0% 원천 방어
정량낡은 라이브러리로 인한 서버 백도어 털림 사고 연 3회CVE 발급 즉시 자동 알람 및 디펜다봇 자동 패치 PR 생성치명적 제로데이 사고 인지 및 패치 리드타임 99% 단축
정성"우리가 쓰는 100개 라이브러리 안전한가?" 매일 덜덜 떪"기계가 매일 아침 전 세계 족보랑 대조해 줌" абсолютной 안도감엔지니어의 보안 스터디 피로도 소멸 및 비즈니스 로직 몰입도 극대화

미래 전망

  • AI(LLM) 기반의 CVE 자동 해결사 (Auto-Remediation): 현재의 디펜다봇(Dependabot)은 단순히 "라이브러리 버전 1.02.0으로 숫자만 올려주는" 1차원적 수준이다. 미래에는 깃허브에 장착된 챗GPT(AI)가, 버전업 때문에 기존 내 코드가 시뻘겋게 에러를 뿜으며 깨지는 걸 스캔한 뒤, "아, 버전 2.0부터는 함수 이름이 이걸로 바뀌었지? 내가 네 소스코드도 싹 다 호환되게 고쳐서 완벽하게 컴파일되는 코드로 Pull Request 올려줄게" 라며 인간의 리팩토링 고통마저 AI가 1초 만에 집어삼키는 완전 자율 패치 시대로 돌입 중이다.
  • EPSS (Exploit Prediction Scoring System)의 권력 쟁취: "우리 시스템에 CVE 취약점이 1만 개 떴는데 다 고쳐?"는 미친 짓이다. 이제는 단순히 CVSS(위험도 점수)만 보지 않는다. 머신러닝 AI가 다크웹과 전 세계 해킹 게시판을 크롤링하여, **"이 CVE-2024-xxxx 취약점은 지금 전 세계 해커들이 실제로 무기(Exploit Code)를 만들어서 엄청나게 공격하고 다닐 확률이 95%야!"**라고 실시간 체감 온도를 알려주는 EPSS 확률 점수가 데브옵스의 진짜 1순위 타겟 지표로 등극하고 있다. (이론이 아닌 현실의 피비린내를 쫓는 스코어링의 진화).

참고 표준

  • MITRE Corporation: 1999년부터 인류의 모든 소프트웨어 버그를 CVE-연도-숫자로 찍어내며 전 세계 100만 보안쟁이들의 언어를 대통합시켜버린, 미국 국토안보부 후원을 받는 무소불위의 글로벌 번호판 발급처.
  • CVSS (Common Vulnerability Scoring System): CVE가 그냥 "이름표"라면, CVSS는 그 이름표 옆에 붉은색으로 **"이거 10점 만점에 9.8점짜리 초특급 맹독성 버그임!!"**이라고 기계적인 심사 점수를 딱지로 붙여주는 글로벌 채점 방정식. (다음 장 490번)

CVE(Common Vulnerabilities and Exposures)는 소프트웨어 공학이 '부끄러운 실패를 숨기던 은폐의 시대'를 박살 내고, '투명한 고백을 통해 다 함께 생존하는 집단 지성의 시대'로 나아간 가장 위대한 인류의 협약이다. 옛날 기업들은 자기네 시스템에 구멍이 뚫리면 소문날까 봐 몰래 숨겨서 고치기 바빴고, 그 사이 다른 회사들은 같은 구멍에 무방비로 털려 나갔다. 하지만 CVE 번호 체계가 만들어지면서, 해커가 발견한 하나의 작은 불씨는 1분 만에 전 세계의 스캐너 봇(Bot)들에게 번호표(CVE)로 공유되며 거대한 불법 접근 차단막(WAF)으로 진화한다. 기술사는 "우리 코드는 무결점이다"라는 멍청한 오만을 쓰레기통에 처박아야 한다. 내가 짠 1,000줄의 코드 옆에 엉겨 붙은 100만 줄의 오픈소스 거인들이 언제든 배신자(CVE 취약점)로 돌변할 수 있음을 인정하고, 매일 아침 글로벌 족보(NVD)와 내 뱃속의 영수증(SBOM)을 기계의 차가운 눈(SCA)으로 대조시키는 피도 눈물도 없는 의심의 철학(Zero Trust)을 파이프라인 중앙에 꽂아 넣어야 한다.

  • 📢 섹션 요약 비유: CVE는 전염병 관리청의 **'글로벌 바이러스 변이 일련번호(예: COVID-19 오미크론 BA.5)'**와 같습니다. 이름이 명확해야 전 세계 제약사(백신 개발자, WAF)들이 헷갈리지 않고 그 놈의 RNA 구조(해킹 패턴)만 핀셋으로 죽이는 백신을 하루 만에 찍어내어 전 세계 병원(서버)에 뿌릴 수 있습니다. 이 고유 번호(바코드) 하나가 없었으면 인류의 IT 인프라는 서로 "그거 막았어?"라며 헛소리만 하다 해커들에게 100번 멸망당했을 것입니다.

📌 관련 개념 맵 (Knowledge Graph)

개념 명칭관계 및 시너지 설명
CWE (보안 약점 사전)영혼의 아버지. 왜 털렸는가?(CWE-89 인젝션). 그 멍청한 코딩 습관(CWE) 때문에 2021년 로그포제이라는 오픈소스가 진짜로 털린 구체적인 피비린내 나는 사건 번호가 바로 CVE다. (이전 장 488번)
CVSS (취약점 점수 체계)영혼의 아들. CVE 번호만 띡 있으면 개발자는 "이거 내일 고칠까, 지금 밤새워 고칠까?" 모른다. CVSS가 "이 CVE는 9.8점 만점짜리니까 당장 밤새워!"라고 점수를 박아주는 심사위원이다. (다음 장 490번)
SCA (소프트웨어 구성 분석)내 젠킨스(CI/CD) 파이프라인에 달아놓은 미친 사냥개 봇. 하루 24시간 동안 전 세계 NVD(CVE 족보)를 다운받고, 우리 앱의 pom.xml 텍스트와 대조해서 일치하면 빌드를 터뜨려버린다.
SBOM (소프트웨어 자재 명세서)SCA 사냥개가 사냥을 편하게 할 수 있도록, 내 프로그램 뱃속에 들어간 500개의 오픈소스 이름과 버전을 깔끔하게 JSON 영수증으로 뽑아놓은 명세서. 공급망 보안의 심장.
제로데이 취약점 (Zero-day)CVE 번호표가 달려서 세상에 알려지기도 전(방어할 시간 0일)에, 음흉한 해커가 몰래 구멍을 뚫어서 나 혼자만 빼먹고 있는 가장 끔찍하고 속수무책인 암흑의 기간.

👶 어린이를 위한 3줄 비유 설명

  1. 동네에 도둑질 수법이 엄청 많아서 경찰 아저씨들이 헷갈렸어요. "어제 철수네 털어간 수법 알지? 창문 깬 거!" "아니, 나는 지붕 뚫은 건 줄 알았는데?"
  2. 그래서 전 세계 경찰청이 모여서, 새로운 도둑 수법이 나올 때마다 **"자, 이건 도둑수법 2024-1번! 이건 2024-2번!"**이라고 주민등록번호(일련번호)를 콱 박아서 리스트를 만들었어요.
  3. 이렇게 번호를 딱 정해주니까, 전 세계 마을 사람들이 "지금 1번 수법 유행한대! 창문 막아!"라고 1초 만에 소통하고 뚝딱 방어할 수 있는 전 세계 공통 해킹 사건 번호판을 **'CVE'**라고 부른답니다!