IT보안

IT 보안의 이름표, CVE란 무엇인가요? (초보자 가이드)

Victor Lee

28 Apr 2026 — 4 min read

안녕하세요! IT 보안의 세계에 발을 들이면 가장 먼저 마주하게 되는 약어 중 하나가 바로 CVE입니다. 오늘은 보안 뉴스나 업데이트 공지에서 자주 보이는 이 'CVE'가 정확히 무엇인지, 왜 중요한지 아주 쉽게 정리해 보겠습니다.

1. CVE란 무엇인가요?

CVE는 Common Vulnerabilities and Exposures의 약자로, 쉽게 말해 "공개적으로 알려진 보안 취약점에 부여된 고유 번호"를 뜻합니다.

전 세계 보안 전문가들이 발견한 수많은 취약점에 서로 다른 이름을 붙이면 혼란스럽겠죠? 이를 방지하기 위해 모든 취약점에 '표준 이름표'를 붙여 관리하는 시스템이라고 생각하면 쉽습니다.

🧐 2. 왜 CVE가 필요한가요?

만약 CVE라는 공통 시스템이 없다면 어떤 일이 벌어질까요?

소통의 혼란: A 보안 회사는 "로그인 버그"라고 부르고, B 회사는 "인증 우회 취약점"이라고 부르면 대응 속도가 늦어집니다.
중복 확인: 같은 문제인지 모르고 여러 팀이 각자 조사하느라 리소스가 낭비됩니다.
체계적인 관리: 기업 보안 담당자가 우리 시스템이 어떤 위험(CVE 번호 기준)에 노출되어 있는지 명확하게 파악하기 힘듭니다.

CVE는 "이 취약점은 전 세계 어디서든 'CVE-2024-XXXX'라고 부르자!"라고 약속하는 도서관의 도서 번호 같은 역할을 합니다.

🔢 3. CVE 번호는 어떻게 읽나요?

CVE 번호는 아주 단순한 규칙으로 구성되어 있습니다.

예: CVE-2023-45678

CVE: 취약점임을 나타내는 고유 식별자입니다.
2023: 취약점이 보고되거나 번호가 할당된 연도입니다.
45678: 해당 연도에 순차적으로 부여된 고유 일련번호입니다.

🛠️ 4. 누가 관리하고 어떻게 만들어지나요?

CVE는 미국의 비영리 기구인 MITRE(마이터) 재단에서 총괄 관리합니다. 하지만 전 세계의 취약점을 한곳에서 다 찾을 수는 없기에 다음과 같은 과정을 거칩니다.

발견: 화이트 해커나 보안 연구원이 소프트웨어의 약점(취약점)을 발견합니다.
제보: 취약점을 발견하면 **CNA(CVE Numbering Authorities)**라고 불리는 승인된 기관(구글, 마이크로소프트, 한국인터넷진흥원(KISA) 등)에 제보합니다.
검증 및 할당: 해당 기관이 내용을 검토한 뒤 "이건 새로운 취약점이 맞다"라고 판단되면 고유 번호를 부여합니다.
공개: 번호가 붙은 취약점은 CVE List에 등록되어 전 세계에 공유됩니다.

💡 5. 한 걸음 더: CVE vs CVSS (뭐가 다른가요?)

보안 리포트를 보면 CVE 옆에 점수가 붙어 있는 것을 볼 수 있습니다. 이것은 CVSS라고 부릅니다.

CVE (Name): "어떤 취약점이 발견됐어!" (이름표)
CVSS (Score): "그 취약점은 얼마나 위험해?" (0.0~10.0점 사이의 위험도 점수)

즉, CVE로 이름을 부르고 CVSS로 얼마나 빨리 고쳐야 할지(우선순위)를 결정하게 됩니다.

🚀 마무리하며

보안 담당자나 개발자에게 CVE는 "오늘 당장 해결해야 할 숙제 리스트"와 같습니다. 내가 사용하는 라이브러리나 OS에서 특정 CVE 번호가 떴다는 소식이 들리면, 즉시 보안 패치를 업데이트하거나 방어책을 세워야 하기 때문이죠.

이제 보안 뉴스에서 CVE 코드를 본다면 당황하지 말고, "아, 보안 취약점에 붙은 세계 공통 이름표구나!"라고 이해하시면 됩니다!

#IT보안 #보안 #정보보호 #cve

제로 트러스트(Zero Trust) 보안 모델의 이해

보안 패러다임이 '경계 보안'에서 '자산 보호' 중심으로 변화하고 있습니다. 그 중심에 있는 제로 트러스트(Zero Trust)의 개념과 핵심 원칙을 정리해 봅니다. 1. 제로 트러스트의 정의 기존의 보안 모델이 네트워크 경계(Perimeter)를 설정하고 내부 사용자를 신뢰하는 방식이었다면, 제로 트러스트는 "그 무엇도 신뢰하지 않는다&

SBOM이란 무엇인가? (Software Bill of Materials 정리)

최근 소프트웨어 보안과 공급망 관리에서 가장 뜨거운 키워드 중 하나인 SBOM(Software Bill of Materials)에 대해 자세히 알아보겠습니다. 1. 왜 SBOM이 중요한가요? 요즘 개발되는 소프트웨어는 처음부터 끝까지 직접 모든 코드를 작성하는 경우가 드뭅니다. 대부분 오픈소스와 외부 라이브러리를 조합하여 만들어집니다. 문제는 바로 여기서 시작됩니다. "우리가 만든 서비스 안에 어떤

SIEM이란 무엇일까? — 로그를 연결하면 공격이 보인다

인터넷 서비스를 운영하다 보면 수많은 기록이 남습니다. 누가 로그인했는지, 어떤 파일을 열었는지, 어떤 API를 호출했는지. 이런 기록들을 우리는 로그(log)라고 부릅니다. 그런데 로그가 쌓이면 쌓일수록 한 가지 문제가 생깁니다. "이걸 다 어떻게 봐?" 로그 하나하나는 아무 문제가 없어 보인다 아래 세 가지 이벤트를 따로 보면 어떨까요? * 로그인

쿠버네티스의 두뇌, etcd는 왜 Raft를 선택했을까?

1. etcd란 무엇인가? etcd는 분산 시스템에서 가장 중요한 데이터를 보관하는 '분산 키-값(key-value) 저장소'입니다. 단순히 데이터를 저장하는 곳이 아니라, 시스템의 '설정 값'이나 '상태'를 관리하는 곳이죠. 우리가 잘 아는 쿠버네티스(Kubernetes)가 전체 클러스터의 상태를 저장하기 위해 선택한 시스템이 바로 이 etcd입니다.