Skip to main content
누빈트
QUICK REVIEW

[논문 리뷰] The Baby Steps of the European Union Vulnerability Database: An Empirical Inquiry

Jukka Ruohonen|arXiv (Cornell University)|2026. 02. 15.
Information and Cyber Security인용 수 0
한 줄 요약

본 논문은 EU Vulnerability Database (EUVD)를 실증적으로 분석하며, 활발히 악용된 취약점들, EPSS 점수, 그리고 유럽 CSIRT/ENISA의 조정을 중심으로 초기 거버넌스 영향 및 데이터 품질을 평가한다.

ABSTRACT

A new European Union Vulnerability Database (EUVD) was introduced via a legislative act in 2022. The paper examines empirically the meta-data content of the new EUVD. According to the results, actively exploited vulnerabilities archived to the EUVD have been rather severe, having had also high exploitation prediction scores. In both respects they have also surpassed vulnerabilities coordinated by European public authorities. Regarding the European authorities, the Spanish public authority has been particularly active. With the exceptions of Finland, Poland, and Slovakia, other authorities have not engaged thus far. Also the involvement of the European Union's own cyber security agency has been limited. These points notwithstanding, European coordination and archiving to the EUVD exhibit a strong growth trend. With these results, the paper makes an empirical contribution to the ongoing work for better understanding European cyber security governance and practice.

연구 동기 및 목표

  • EUVD에 보관된 활발히 악용된 취약점들의 심각도를 평가한다.
  • EUVD AEVs의 EPSS 점수들이 악용 위험을 반영하는지 평가한다.
  • EUVD에서 취약점을 조정하는 유럽 당국(CSIRTs/ENISA)이 어떤 기관들인지 조사한다.
  • AEVs와 CSIRT/ENISA가 조정한 취약점 간의 조정 패턴이 다른지 조사한다.

제안 방법

  • 15 December 2026 기준의 EUVD 데이터를 활용하며, AEVs 및 ENISA/CSIRT-coordinated 취약점에 초점을 맞춘다.
  • 필요한 경우 CVSS v3.0를 v3.1로 변환하고, RQ 분석에서 CVSS v2.0 취약점을 제외한다.
  • 심각도(CVSS), EPSS 점수의 분포 및 교차 척도 간 상관관계를 분석한다.
  • AEVs와 ENISA/CSIRT가 조정한 취약점을 비교하여 상대적 심각도와 EPSS 점수를 평가한다.
  • 인 INCIBE, CERT.PL, NCSC-FI, SK-CERT와 같은 유럽 당국의 활동 패턴 및 벤더 지정 출처를 식별한다.

실험 결과

연구 질문

  • RQ1RQ1: EUVD에 보관된 활발히 악용된 취약점들이 얼마나 심각한가?
  • RQ2RQ2: EUVD에 보관된 AEVs의 EPSS 점수는 어떠한가?
  • RQ3RQ3: EUVD에 보관된 취약점을 조정하는 유럽의 권위 있는 CSIRTs는 어떤 것들이며 ENISA의 활동은 어떤가?
  • RQ4RQ4: 유럽 CSIRT 네트워크와 ENISA를 통해 조정된 취약점들의 심각도는 어느 정도이며, 이들의 EPSS 점수는 RQ1 및 RQ2와 차이가 있는가?

주요 결과

  • EUVD에 보관된 AEVs는 일반적으로 심각하며 중앙값이 8을 훨씬 넘는다.
  • AEVs는 ENISA/CSIRT가 조정한 취약점보다 평균적으로 EPSS 점수가 더 높다.
  • EUVD 항목들에 대해 CVSS와 EPSS 점수 사이에 양의 상관관계가 있다.
  • 스페인 INCIBE는 CSIRT 네트워크가 조정한 취약점에 대해 특히 적극적으로 할당해 왔다.
  • ENISA의 EUVD 취약점 조정 참여는 제한적이며(항목의 약 2.1% 수준).
  • 벤더, 특히 Microsoft가 AEV 할당에서 우세했고, Apple, Cisco, Adobe도 다소 영향력이 있었다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.