NIST, 취약점 DB 운영 전면 개편…‘위험 높은 CVE’부터 보강한다

미국 국립표준기술연구소(NIST)가 국가 취약점 데이터베이스(NVD) 운영 방식을 크게 바꿨다. 앞으로는 접수되는 모든 공통 취약점 및 노출(CVE)을 일괄 분석하는 대신, 실제 위험도가 높은 취약점부터 우선 처리하는 ‘위험 기반 선별’ 체계로 전환한다.

이번 조치는 급증하는 CVE 접수를 기존 방식으로 감당하기 어려워진 데 따른 것이다. NIST에 따르면 2020년부터 2025년까지 CVE 접수 건수는 263% 늘었고, 2026년 1분기 접수량도 전년 동기보다 약 3분의 1 증가했다. NIST는 2025년에만 약 4만2000건의 CVE 정보를 보강해 전년 대비 45% 늘렸지만, 증가 속도를 따라잡기에는 부족했다고 설명했다.

앞으로 ‘가장 위험한 취약점’부터 분석

새 기준에 따라 NIST는 세 가지 조건에 해당하는 CVE만 우선적으로 ‘완전 보강’한다. 미국 사이버보안·인프라보안국(CISA)의 ‘이미 악용된 취약점’ 목록에 포함된 경우, 미국 연방정부가 사용하는 소프트웨어에 영향을 주는 경우, 그리고 행정명령 14028호상 ‘중요 소프트웨어’에 해당하는 제품에 영향을 미치는 경우다.

특히 CISA의 KEV 목록에 오른 취약점은 접수 후 1영업일 안에 보강하는 것을 목표로 삼았다. 반면 여기에 포함되지 않는 CVE는 NVD에 계속 등록되지만, ‘일정 미정(Not Scheduled)’으로 분류된다. 이 경우 보안팀이 패치 우선순위를 정할 때 참고하는 위험도 점수와 제품 정보가 자동으로 추가되지 않는다.

2024년부터 쌓인 적체도 정리

NIST는 2024년 초부터 쌓여온 적체 물량도 함께 정리할 계획이다. 2026년 3월 1일 이전에 NVD에 공개됐지만 아직 보강되지 않은 CVE는 원칙적으로 ‘일정 미정’으로 이동한다. 다만 KEV 목록에 이미 포함된 취약점은 이번 정리 대상에서 제외된다.

절차도 일부 간소화된다. CVE 번호 부여 기관(CNA)이 이미 자체 위험도 점수를 제공한 경우, NIST는 별도로 같은 점수를 다시 산정하지 않는다. 또 수정된 CVE 역시 모든 업데이트마다 재분석하는 대신, 보강 데이터에 실질적 영향을 주는 변경이 있을 때만 다시 검토한다.

AI가 취약점 보고 급증 이끈 배경으로 지목

NIST가 인공지능(AI)을 직접 원인으로 지목하진 않았지만, 업계는 AI가 CVE 증가세를 키운 핵심 요인 가운데 하나라고 보고 있다. 신원 위협 탐지·대응 기업 슬래시ID의 공동창업자 겸 최고경영자 빈첸초 이오초는 “AI가 찾아낸 유효 취약점 보고가 급증했다”며 “지난해에만 보고된 취약점 수가 두 배 이상 늘었다는 분석도 있다”고 말했다.

그는 이번 정책 변화에 대해 “여전히 가장 중요한 범주는 계속 다루기 때문에 합리적인 조정”이라고 평가했다. 이어 대규모언어모델(LLM)의 성능이 높아지면서 각 조직이 자사 환경에 맞게 취약점의 우선순위와 맥락을 자체적으로 판단할 수 있게 되고, 이에 따라 외부의 ‘보강된 CVE’ 의존도도 점차 낮아질 수 있다고 내다봤다.

“이제 CVE 점수만 기다려선 안 된다”

런세이프 시큐리티의 최고기술책임자 셰인 프라이는 이번 발표가 업계에 던지는 신호가 분명하다고 짚었다. 그는 “이제 CVE 점수가 나올 때까지 기다린 뒤 대응하는 시대는 끝났다는 의미”라고 말했다.

프라이는 취약점 가시성이 본질적으로 불완전한 만큼, 기업과 기관은 단일 데이터베이스에만 의존하지 말고 다양한 취약점 정보원을 함께 활용해야 더 정확한 판단이 가능하다고 강조했다. 아울러 아직 공개되지 않은 미확인 취약점이 이미 소프트웨어에 존재할 수 있다는 전제 아래, 패치나 공식 점수가 나오기 전에도 악용을 막을 수 있는 방어 체계를 갖춰야 한다고 덧붙였다.

이번 개편은 단순한 행정 조정보다 시장 구조 변화에 가깝다. 취약점이 폭증하는 환경에서 모든 항목을 같은 깊이로 분석하는 방식은 한계에 부딪혔고, NIST는 결국 ‘우선순위’ 중심으로 방향을 틀었다. 보안 실무 현장에서는 앞으로 NVD의 점수만 기다리기보다, 위협 인텔리전스와 자산 현황을 결합해 더 빠르게 판단하는 역량이 중요해질 것으로 보인다.