Proven by Intelligence

CWE는 Common Weakness Enumeration 의 약어로, SW나 HW에서 흔하게 발생할 수 있는 다양한 보안 약점에 대한 목록을 의미합니다.

여기서 약점이란, SW와 HW의 구현, 코드, 디자인, 설계 등 개발 과정에서 발생하여 시스템이나 네트워크 또는 HW의 보안을 취약하게 만드는 결함과 버그, 오류, 에러들을 의미합니다.

CWE™ is a community-developed list of common software and hardware security weaknesses. It serves as a common language, a measuring stick for security tools, and as a baseline for weakness identification, mitigation, and prevention efforts.

※ 출처: CWE 공식 홈페이지 (http://cwe.mitre.org/)

CWE의 주요 목표는 제품이 배포되거나 사용자에게 제공되기 전 설계, 디자인, 코드 작성 등의 개발 과정에서 엔지니어로부터 흔히 발생하는 일반적인 실수나 오류를 제거하는 방법을 교육하여 소스 코드 상의 취약점을 사전에 방지하는 것입니다. 

CWE는 각 보안 약점에 대하여 상세 설명뿐만 아니라 예제 코드, 문제 해결 방법, 발생 가능한 개발 환경, 추가 발생 가능한 문제점 그리고 CVE(Common Vulnerabilities and Exposures)등과 같이 실제 사례와 같은 다양한 정보를 포함하고 있습니다. CWE를 적용하고 활용함으로써 SW와 HW의 정상적인 실행을 방해하고 중요 정보가 외부에 노출되는 보안 문제점을 사전 예방할 수 있습니다.

CWE는 각 약점들에 대하여 번호를 부여하고, 이를 목록화하여 관리하고 있습니다. 또한 프로그래밍 언어에 따라 또는 다양한 약점을 카테고리화 하여 하나의 CWE 번호를 부여하고 분류하여 CWE 목록을 제공하고 있습니다. 

▶ CWE-658 : C언어로 작성된 SW에서 발생 가능한 취약점 목록

▶ CWE-659 : C++ 언어로 작성된 SW에서 발생 가능한 취약점 목록

▶ CWE-660 : Java언어로 작성된 SW에서 발생 가능한 취약점 목록

▶ CWE-1006 : 잘못된 코딩 습관과 관련된 취약점 목록

▶ CWE-398 : 코드 품질 저하를 유발하는 취약점 목록

▶ CWE-310 : 데이터 보안 및 무결성 관련된 암호화 이슈에 대한 취약점 목록

<CWE-658/659, C/C++ 언어로 쓰여진 SW 취약점 목록>

CWE-658/659

CWE는 특정 프로그래밍 언어나 개발 환경 등 어느 한 부분에 국한되지 않고 다양한 SW 및 HW에서 발생할 수 있는 약점을 제공하고 있어 국방, 자동차, 전기/전자 등 다양한 시장에서 적용하고 활용이 이루어지고 있습니다.

그 중에서 C와 C++, Java 언어로 작성된 SW에서 발생 가능한 취약점 목록인 CWE-658/659/660은 우리나라 국방 시장에서 활발히 활용되고 있습니다.

방위사업청에서 발표한 ‘무기체계 소프트웨어 개발 및 관리 매뉴얼’에는 소프트웨어에 대한 신뢰성 시험 수행을 요구하고 있는데, 이 중 한 가지 시험 종류인 취약점 점검 시험은 CWE-658/659/660에 해당 하는 소프트웨어 취약점을 점검하는 것 입니다.

임베디드 시장에서 주로 사용되는 C와 C++ 언어에 대한 취약점 목록인 CWE-658은 총 80개의 CWE 항목으로, CWE-659는 총 84개의 CWE 항목으로 이루어져 있습니다.

(CWE4.0 버전 기준) 그러나 언어의 특성에 따라 분류되었음에도 불구하고, 목록의 90% 이상이 동일한 CWE 항목으로 이루어져 있습니다.

다음 포스팅은 CWE-658/659에 해당하는 각 CWE 항목에 대한 설명을 이어 다룰 예정입니다.

CodeSonar는 CWE-658/659를 지원합니다. CodeSonar를 통해 CWE 검사뿐 아니라 SW에 내재한 결함을 검사해보세요.

​출처 : CWE 웹사이트 (http://cwe.mitre.org/index.html)