본문으로 바로가기

취약점과 취약성

category Talk About/Security 2013.09.25 14:58

영어는 직관적이고 명확하게 구분하는데, 한국어로 번역하면 모호하게 번역되는게 사실이죠.

반대로 한국어로 표현이 가능한데 영어로 번역하기엔 어려운 단어도 사용하고 있어요.


그래서 요즘 계속 전공관련 어휘들의 명확한 정의들을 찾고 정리하고 있어요.


vulnerable 형용사 : (~에) 취약한, 연약한

to be vulnerable to attack : 공격에 취약하다.


vulnerability : 취약성(脆弱性)

脆 - 연할 취

弱 - 약할 약

性 - 성품 성

무르고 약한 성질이나 특성, 즉 성격을 나타내는 단어입니다. 

vulnerability 또한 ability이라는 단어를 통해 '능력'이라는 성향을 나타냅니다.

즉, 취약성(vulnerability)는 취약한 성향을 나타내는 단어입니다.


혼용해서 쓰는 취약점(脆弱點)은 무엇일까요?

점(點) - 점 점 - point, spot

점(點)은 다양한 의미를 가지는데 여기서는 (관형사형 다음에 쓰여) 여러 속성 가운데 어느 부분이나 요소의 의미를 가집니다. 예를 들어볼께요.


  • 그는 좋은 과 나쁜 을 모두 가지고 있다.
  • 제가 잘못한 이 있으면 지적해 주세요.

결론은 취약 + 점이 붙어 취약한 요소, 취약한 부분 을 의미합니다. 그리고 취약성과 취약점은 조금은 가깝지만 조금은 다른 의미를 가지고 있죠. 다시 예를 들어보죠.

  • 자사의 홈페이지에 SQLi 취약점이 발견되었다.

SQL injection 공격을 사용 가능한 '부분'을 발견했다는 것으로 취약성이 아닌 취약점 입니다.


  • 얼마전 CVE-2013-2251 취약성을 이용한 공격을 받았다.

이미 취약한 부분으로 판명되었고, 이 '부분'을 이용하여 공격* 받았습니다. CVE-2013-2251이라고 분류된 취약점의 성향(성격)을 띈 공격이기에 취약점이 아닌 취약성으로 말하는 것이 맞다고 생각합니다.


* 여기서 공격은 Attack이 아닌 Exploit 입니다.


// 15.05.27

오랜만에 이 포스트가 회자가 되어 다시 보게되니 새록새록 합니다. 옛날과 생각도 조금 바뀌어서 최근 들고 있는 생각들을 조금 추가해 보려고 합니다. 


취약점과 취약성을 경영학에서 사용하는 범위적인 관점에서 보면 수직적/수평적으로 구분할 수 있을 것 같습니다. 수직적인 측면은 취약점으로 특정 기업의 자산이나 환경에서 발생하는 요인으로 분류할 수 있고, 취약성은 수평적인 측면으로 여러 기업에서 사용하는 공통 소프트웨어에서 발생하는 요인으로 구분지을 수 있을 것 같습니다. 


또 다른 형태로 As-Is/To-Be 관점으로도 분류할 수 있을 것 같습니다. 취약점은 As-Is 즉, 현재 발견된 상태를 의미할 수 있고, 취약성은 To-Be 즉, 언젠가 발견될 수 있는 상태를 의미부여 할 수 있습니다.


사실 가장 현실성에 근접한 형태는 단어가 가지는 질감 때문이라 생각합니다. 영어권에서 사용하는 Vulnerable 이나 Weak Point 같은 단어들은 각각의 단어가 가지는 질감이 있는 반면, 국내에서는 중의적 표현 형태를 선호하는 편인 것 같습니다. 


악성코드의 경우 영어로 Malware를 쓰고 있습니다. 하지만 악성코드를 직역하면 Malicious Code 가 정확하겠죠. 그럼에도 악성코드를 사용하는 것은 "악성코드" 라는 언어적 질감과 익숙함에 기인하는 것 같습니다.


최근들어 국내 보고서에서 Vulnerable을 취약성으로 적어 사용하는 경우가 많지만, 그 보고서를 제작한 곳은 대개 연구 성향에 가까웠습니다. 하지만 아직도 기업에 제출하는 문서의 경우 취약성은 배제하는 경우가 많습니다. 저도 정신 없이 문서작성을 하다 보면 너무 자연스럽게 취약점으로 사용하는 경우가 많으니 아무래도 은연중에 보고 듣고 읽는 과정이 취약점으로 사용하도록 하는 것 같습니다.

저작자 표시 비영리 동일 조건 변경 허락
신고

댓글을 달아 주세요

티스토리 툴바