AI 요약
미국 국립표준기술연구소(NIST)가 국가 취약점 데이터베이스(NVD)의 운영 방침을 대대적으로 수정한다고 발표했습니다. 그동안 NIST는 모든 새로운 보안 취약점(CVE)에 대해 세부 정보를 추가하는 '강화(Enrichment)' 작업을 수행해 왔으나, 2024년부터 급증한 취약점 발견 수와 예산 삭감으로 인해 수만 건의 백로그가 발생했습니다. 이에 따라 NIST는 앞으로 CISA의 악용 취약점 목록(KEV)에 포함된 항목, 미 연방 정부 사용 소프트웨어, 그리고 운영체제와 브라우저 등 '핵심 소프트웨어'에 대해서만 세부 정보를 제공하기로 했습니다. 이는 사실상 모든 취약점을 관리하겠다는 기존 목표에서의 '항복'을 의미하며, 보안 관리 업체들은 이제 스스로 데이터를 확보해야 하는 도전에 직면하게 되었습니다.
핵심 인사이트
- 백로그의 급격한 증가: 2024년 초 2,100여 건이었던 미처리 CVE 메타데이터가 한 해 동안 폭증하여 연말 기준 약 30,000건에 달하며 시스템 마비 상태에 이름.
- 선택과 집중 전략: 모든 CVE 대신 CISA KEV(활발히 악용되는 취약점), 연방 기관 사용 소프트웨어, 핵심 소프트웨어 등 3가지 카테고리에만 분석 역량을 집중함.
- 예산 감축의 영향: 트럼프 행정부의 국토안보부(DHS) 및 사이버보안인프라보안국(CISA) 예산 삭감이 이번 결정의 결정적인 배경으로 작용함.
- 핵심 소프트웨어의 정의: 운영체제(OS), 웹 브라우저, 보안 소프트웨어, 방화벽, 백업 솔루션, VPN 등이 포함된 '핵심 소프트웨어' 목록에 대해서는 여전히 강화 작업을 유지함.
주요 디테일
- 분석 제외 대상: 수만 건에 달하는 소규모 오픈소스 라이브러리(GitHub 스타 100개 미만 등), 무명 소프트웨어, IoT 기기 및 펌웨어 관련 취약점들은 더 이상 NIST의 세부 분석을 받지 못함.
- 보안 업계의 타격: NVD 데이터를 기반으로 취약점 스캐너와 대시보드를 구축해 온 보안 업체들은 이제 데이터 공백을 메우기 위해 자체적인 분석 역량을 갖추거나 새로운 데이터 소스를 찾아야 함.
- 현실적인 수용: 정보보안 업계 일부에서는 NIST의 이번 결정을 '현실적인 항복'으로 평가하며, 무의미한 '노이즈(CVE Chaff)'에 자원을 낭비하는 대신 중요한 버그에 집중하는 것이 더 현명한 판단이라는 의견도 존재함.
- 역사적 맥락: NIST는 지난 2년 이상 폭발적인 취약점 발견 수와 비용 상승 문제로 NVD 데이터 품질 유지에 어려움을 겪어왔음.
향후 전망
- 데이터 분절화 심화: 중앙화된 NVD의 역할이 축소됨에 따라, 보안 시장에서 상용 취약점 데이터베이스의 가치가 높아지고 데이터 소스가 파편화될 가능성이 큼.
- 보안 사각지대 발생: 분석 대상에서 제외된 소규모 소프트웨어나 IoT 기기를 사용하는 기업들은 해당 취약점의 위험도를 판단하는 데 있어 더 큰 비용과 시간을 소모하게 될 것임.