직접 경험 없음을 밝히고 취약점 분류 체계를 학습한 내용으로 푸는 결
취약점 분류 체계를 실무에서 활용한 경험은 없습니다. 보안 공부를 하면서 공개 취약점 데이터베이스를 찾아보고, 각 체계가 어떤 목적으로 만들어졌는지 이해하려 했습니다.
처음에는 세 체계가 비슷한 역할을 하는 줄 알았는데, 공부하면서 용도가 다르다는 걸 알게 됐습니다. 특정 소프트웨어의 공개된 취약점을 추적할 때와, 설정 오류를 점검할 때, 코드의 취약점 유형을 분류할 때 각각 다른 체계가 더 적합하다는 구분이 생겼습니다. 처음에는 심각도 점수가 높은 항목이 무조건 먼저라고 생각했는데, 우리 환경에 실제로 적용되는 것인지를 먼저 확인해야 한다는 걸 배웠습니다. 점수는 참고 지표고 맥락 판단이 먼저라는 게 인상적이었습니다.
실제 활용 경험은 입사 후에 쌓겠습니다.