In 앱실링 블로그

managing vulnerability with cve오늘날 디지털 환경에서 보안 위협은 점점 복잡해지고 있으며, 모바일 앱은 이러한 위협의 주요 타겟이 되고 있습니다. 데이터 유출, 서비스 중단, 법적 분쟁과 같은 보안 사고는  기업 신뢰도를 떨어뜨리고, 경제적 손실로 이어질 수 있어 이를 방지하기 위해 개발자와 보안팀은 철저한 취약점 관리가 필요합니다. 이번 블로그에서는 CVE의 정의와 필요성을 이해하고, 이를 활용해 모바일 앱 보안을 강화하는 구체적인 방법과 실용적인 팁을 제시하겠습니다.

 

CVE(Common Vulnerabilities and Exposures)란?

CVE(Common Vulnerabilities and Exposures)는 전 세계적으로 공인된 보안 취약점 목록으로, 소프트웨어와 하드웨어에서 발생하는 보안 취약점을 고유 식별번호로 관리합니다. MITRE가 1999년부터 운영하며, NVD(National Vulnerability Database)와 같은 데이터베이스를 활용하여 조회할 수 있습니다.

CVE 등록 과정

1. 취약점 발견

보안 연구자, 개발자, 기업, 또는 보안팀이 소프트웨어와 하드웨어 등의 취약점을 확인합니다.

2. CNA에 보고

취약점이 CNA(CVE Numbering Authority)에 보고되고, 등록 요건 충족 시 CVE ID가 할당됩니다.

3. 공개 및 공유

CVE ID가 부여된 취약점은 상세한 설명과 함께 데이터베이스에 등록되어 공개됩니다. 

공개된 CVE는 단순히 취약점 목록을 제공하는 것을 넘어, 개발자와 보안팀이 취약점을 신속히 식별하고 해결 방안을 마련할 수 있도록 지원합니다. 이를 통해 기업은 지속적인 보안 업데이트와 안전한 서비스 환경을 유지할 수 있습니다.

 

CVE 어떻게 활용하나요?

CVE는 크게 다음 3가지 방법으로 활용할 수 있습니다.

1. 취약점의 표준화된 식별 및 관리

CVE는 취약점을 표준화하여 제공하고 있어 사용 중인 소프트웨어, 라이브러리, 프레임워크에서 발생한 취약점을 신속히 식별하고 대응할 수 있습니다.

2. 효율적인 보안 패치 적용 및 우선순위 설정

CVE는 취약점의 심각도를 CVSS의 형식으로 제공하고 있습니다. 이를 활용하여 기업 보안에 대한 우선순위를 효과적으로 정하고 대응할 수 있습니다.

3. 규제 준수와 감사 대비

CVE 데이터를 활용해 취약점 관리 기록을 체계적으로 유지하고, 보안 감사나 규제 준수를 입증할 수 있습니다.

 

CVE를 효율적으로 활용하는 팁

CVE는 다양한 플랫폼에서 조회할 수 있으며 대표적으로 검색할 수 있는 플랫폼은 다음과 같습니다.

CVE 검색 플렛폼

1. CVE 공식 웹사이트

취약점 번호 및 소프트웨어 검색으로 취약점을 검색할 수 있으며 간단한 정보를 확인할 수 있습니다.

2. NVD

CVE 웹사이트보다 더욱 상세한 정보를 확인할 수 있는 데이터베이스입니다. 심각도(CVSS 점수), 보안 패치 등 상세한 정보를 확인할 수 있습니다. 

3. 보안 취약점 정보 포털

한국정보기술연구원에서 운영하는 CVE 조회 사이트입니다. NVD와 똑같이 CVE에 대한 상세한 정보를 확인할 수 있습니다.

4. 보안 플랫폼

외부 플랫폼에서 쉽게 CVE 항목을 검색할 수 있도록 검색 및 정보를 무료로 제공하고 있습니다.

GitHub Security Advisory(Link)

Snyk Vulnerability Database(Link)

 

효율적으로 활용하는 법

각 CVE 플랫폼 데이터는 방대한 데이터를 고유 ID, 소프트웨어, 버전, CVSS점수 등으로 분류되어 있어 검색을 통해 쉽게 조회할 수 있습니다. 하지만 검색하고 확인하는 것에 한계가 있어 자동화를 통해 효율적으로 이용할 수 있어야 합니다.

1. NVD CVE API 연동

NVD API를 활용하여 CVE 데이터를 검색하고 세부 정보를 조회할 수 있을 뿐만 아니라 특정 기간에 변화된 정보만 조회, 현재 사용 중인 소프트웨어 CVE 검색 등 심화된 검색을 더욱 빠르게 할 수 있습니다.

연동법

1) API 키 발급

NVD 계정을 생성 후 API 키를 발급하여 헤더에 추가합니다.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
import requests
import time
from datetime import datetime, timedelta
import json
from typing import Dict, List, Optional, Union
class CVEApiClient:
    “””
    A client for interacting with the NIST NVD API to fetch CVE data.
    ““”
    def __init__(self, api_key: Optional[str= None):
        self.base_url “https://services.nvd.nist.gov/rest/json/cves/2.0”
        self.headers = {
            “Accept”: “application/json”,
        }
        if api_key:
            self.headers[“apiKey”= api_key

 

2) 주요 엔드포인트 사용법

엔드포인트: /json/cves/2.0

주요 파라미터:

    • keyword: 검색 키워드 (예: 소프트웨어 이름, CVE 번호)
    • cvssV3Severity: CVSS v3 심각도 필터 (LOW, MEDIUM, HIGH, CRITICAL)
    • pubStartDate / pubEndDate: 특정 기간 내에 게시된 CVE 필터링

예시 요청

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
def get_log4shell_cve():
    # API endpoint
    url = “https://services.nvd.nist.gov/rest/json/cves/2.0”
    # Query parameters
    params = {
        “cveId”: “CVE-2021-44228”
    }
    # Make request
    try:
        response = requests.get(url, params=params)
        response.raise_for_status()  # Raise exception for error status codes
        # Get the CVE data from response
        cve_data = response.json()
        # Extract relevant information
        vuln = cve_data[‘vulnerabilities’][0][‘cve’]
        # Print basic information
        print(f”CVE ID: {vuln[‘id’]})
        print(f”Published: {vuln[‘published’]})
        print(f”Description: {vuln[‘descriptions’][0][‘value’]})
    except Exception as e:
        print(f”Error fetching CVE: {e})
# Run the function
get_log4shell_cve()

 

예시 응답

1
2
3
CVE ID: CVE-2021-44228
Published: 2021-12-10T10:15Z
Description: Apache Log4j2 2.0-beta9 through 2.15.0 (excluding security releases 2.12.2, 2.12.3, and 2.3.1) JNDI features used in configuration, log messages, and parameters do not protect against attacker-controlled LDAP and other JNDI related endpoints…

 

3) 자동화

최신 CVE 데이터를 자동으로 추적하고 소프트웨어 버전, 기간, 심각성, 신규 업데이트 등 특정 조건에 따라 경고를 받을 수 있도록 설정할 수 있습니다.

자동화 예시
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
import requests
import smtplib
from email.mime.text import MIMEText
from email.mime.multipart import MIMEMultipart
from datetime import datetime
def get_log4j_cves():
    # NVD API 엔드포인트
    api_url = “https://services.nvd.nist.gov/rest/json/cves/2.0”
    # log4j 관련 CVE 검색 파라미터
    params = {
        “keywordSearch”“log4j”,
        “cvssV3Severity”“CRITICAL”  # CVSS v3 심각도가 CRITICAL인 항목만 검색
    }
    headers = {
        “api-key”“YOUR_API_KEY”  # NVD API 키 (필요한 경우)
    }
    try:
        response = requests.get(api_url, params=params, headers=headers)
        response.raise_for_status()
        data = response.json()
        # 최대 10개의 CVE 정보 추출
        cves = []
        for vuln in data.get(‘vulnerabilities’, [])[:10]:
            cve_item = vuln[‘cve’]
            cve_info = {
                ‘id’: cve_item[‘id’],
                ‘description’: cve_item[‘descriptions’][0][‘value’],
                ‘baseScore’: cve_item.get(‘metrics’, {}).get(‘cvssMetricV31’, [{}])[0].get(‘cvssData’, {}).get(‘baseScore’‘N/A’),
                ‘published’: cve_item[‘published’]
            }
            cves.append(cve_info)
        return cves
    except Exception as e:
        print(f“CVE 데이터 조회 중 오류 발생: {str(e)})
        return []
def send_email_alert(cves):
    # 이메일 설정
    sender_email = “your_email@example.com”
    sender_password = “your_password”
    recipient_email = “recipient@example.com”

설명: log4j와 관련된 CVSS 심각 수준의 CVE ID와 설명을 최대 10개까지 출력. 

2. 외부 오픈소스 API 활용

CVE 정보를 기업에서 쉽게 조회하고 활용할 수 있도록 오픈소스 API가 제공되고 있습니다. 이를 활용하여 CLI툴에 연동하여 취약점을 확인하고 대응할 수 있습니다.

예시

Trivy:  취약점 탐지 툴로, 특정 시스템, 애플리케이션, 또는 Docker 이미지에서 CVE 보안 취약점을 스캔합니다

 Dependency-Check: OWASP에서 개발한 취약점 탐지 툴로 프로젝트의 라이브러리와 의존성을 스캔하여 취약점을 탐지합니다.

 

CVE와 모바일 앱

모바일 앱은 클라이언트, 오픈소스 라이브러리, API, 백엔드 서버와의 상호작용이 매우 복잡하여 취약점이 쉽게 발생할 수 있습니다. 이러한 취약점에 대응하기 위해 CVE를 활용하여 사전에 파악하고 수정해야 데이터 유출과 서비스 중단과 같은 피해를 방지할 수 있습니다. 

CVE예시

1. CVE-2023-5365

HP LIFE 안드로이드 앱에서 발생한 취약점으로 권한 수정 및 정보 노출의 위협을 포함했습니다.

2. CVE-2020-1895

인스타그램 모바일 앱에 발생한 취약점으로 특수하게 조작된 이미지를 통해 원격 코드 실행이 가능했습니다. 

3. CVE-2024-9956

모바일용 구글 크롬 앱에서 UI 스푸핑을 허락해주는 취약점이 발생했습니다.

이와 같이 CVE를 통해 모바일 앱에서 흔히 발생할 수 있는 취약점을 조회할수 있으며 앱에서 발생한 취약점뿐만 아니라 OS, 프레임워크와 같이 앱이 실행되는 환경에서 발생하는 취약점도 지속적으로 업데이트 되고 있습니다.

 

모바일 앱 개발에서 CVE 활용

1. 앱 개발 초기 단계

앱 설계와 초기 개발 단계에서 잠재적인 보안 취약점을 사전에 차단.

사용하려는 오픈소스 라이브러리와 SDK를 NVD API 또는 취약점 탐지 도구로 스캔하여 알려진 취약점을 사전에 파악하고, 안전한 버전을 사용해 개발을 시작합니다.

2. 개발 중간 단계

추가된 코드나 라이브러리가 기존 코드와 충돌 없이 보안 요구사항을 충족하는지 확인.

취약점 탐지 도구를 활용하여 프로젝트 의존성을 스캔하고 배포 전 CVE와 연관된 취약점이 발견될 경우 배포를 중단하도록 설정합니다.

3. 배포 이후 유지보수

앱이 출시된 후에도 보안 위협을 지속적으로 모니터링.

배포된 앱은 정기적인 모니터링과 업데이트가 필수적입니다. 자동화된 CVE 검색을 통해 최신 취약점 데이터를 실시간으로 반영해 보안 상태를 유지합니다.

 

결론

앞서 언급한 것과 같이 CVE는 단순한 취약점 리스트를 넘어, 개발자와 보안팀이 모바일 앱 보안을 체계적으로 관리할 수 있는 필수 도구입니다.  이를 활용하면 기업은 잠재적인 보안 위협을 사전에 탐지하고, 신속하게 조치를 취할 수 있습니다. 그러나 CVE로 파악된 취약점을 실질적으로 방어하기 위해서는 이를 운영 환경에 적용할 수 있는 실질적이고 강력한 보안 솔루션이 필요합니다.

AppSealing은 모바일 애플리케이션 보안에 특화된 SaaS 솔루션으로, 실시간 코드 보호, RASP, 리버스 엔지니어링 방지 등의 고급 기능을 통해 CVE로 파악된 취약점을 운영 단계에서도 철저히 방어할 수 있도록 지원합니다. 특히 AppSealing은 CI/CD 파이프라인과 쉽게 통합되어 개발 초기 단계에서 배포, 그리고 운영까지의 전 과정에서 자동화된 보안을 제공하여, 반복적인 보안 업데이트와 유지보수 작업을 간소화합니다.

CVE를 통해 취약점을 조기에 탐지하고 AppSealing을 활용하여 보안 전략을 운영 환경에 적용하면, 기업은 데이터 유출 및 해킹 시도를 효과적으로 차단할 수 있습니다. 이러한 통합은 단순히 취약점 관리를 넘어, 전체 앱 생태계의 안전성을 보장하며, 사용자와 기업 모두에게 신뢰받는 서비스를 제공하는 기반이 됩니다. 

 

AppSealing의 역할

CVE는 취약점을 사전에 탐지하고 규제 준수 및 데이터 유출 방지라는 중요한 목표를 달성하는 핵심 도구입니다. AppSealing은 이러한 CVE 기반 보안 체계를 지원하는 모바일 앱 보안 SaaS로, 코드 암호화와 RASP 기술을 통해 실시간 보호를 제공합니다. CVE와 AppSealing을 함께 활용하여 개발부터 운영까지 빈틈없는 보안 환경을 구축해 보세요.


앱실링-문의하기-appsealing-contact-us

해킹이란 무엇인가? 스타트업과 SMB가 반드시 알아야 할 디지털 위협