NIST가 대부분의 CVE 분석을 포기했다 — 보안 업계의 기반이 흔들리는 이유

보안 담당자들이 매일 들여다보던 그 데이터베이스, 이제 반쯤 멈췄어요

혹시 CVE라는 말 들어보셨어요? 쉽게 말하면 "이 소프트웨어 어디에 이런 취약점이 있다"고 전 세계가 공유하는 일종의 바코드 같은 거예요. 예를 들어 로그4j 사태 때 뉴스에 나왔던 CVE-2021-44228 같은 번호요. 이 번호 하나만 있으면 어떤 제품에, 얼마나 심각한, 어떤 종류의 문제가 있는지 한눈에 알 수 있도록 전 세계 보안 담당자들이 참조하는 공용 언어죠.

그런데 이 번호에 실제 의미를 붙여주는 작업은 누가 할까요? 바로 미국 국립표준기술연구소 NIST가 운영하는 NVD(National Vulnerability Database)예요. 여기서 각 CVE에 CVSS 점수(위험도 수치)를 매기고, CPE(어떤 제품 어떤 버전이 영향을 받는지 식별자)를 붙이고, 분류를 해주거든요. 그런데 NIST가 이번에 "우리 이제 대부분의 CVE는 이 풍부화(enrichment) 작업을 포기하겠다"고 공식 발표했어요.

뭐가 구체적으로 달라지나요

NIST는 앞으로 "특정 기준을 충족하는 일부 CVE"에만 전통적인 분석을 수행하고, 나머지는 그냥 기본 정보만 올리겠다고 했어요. 사실 이 문제는 2024년 초부터 조짐이 있었어요. 그때도 NVD 처리 속도가 확 느려져서 수만 건이 밀렸고, 보안 업계가 "이대로 가다간 큰일 난다"고 경고했거든요. 그때는 일시적 문제라고 했지만, 이번엔 아예 "구조적으로 전부 다 처리하는 건 포기한다"고 인정한 거예요.

왜 이게 큰 문제냐면요. 많은 회사들의 보안 스캐너, 취약점 관리 도구, SBOM(소프트웨어 자재명세서) 시스템이 NVD 데이터를 그대로 빨아들여서 돌아가요. "내 서버에 깔린 이 라이브러리가 CVE-2025-XXXX에 해당되나?"를 자동으로 매칭해주는 기능이 전부 CPE라는 식별자에 의존하거든요. 그런데 이 CPE를 NIST가 더 이상 안 붙여주면, 자동 매칭이 무너져요. 말 그대로 "이 CVE가 내가 쓰는 제품에 해당하는지"를 사람이 일일이 읽어봐야 하는 상황이 오는 거죠.

대안은 있을까요

다행히 업계가 손 놓고 있진 않았어요. CISA(미국 사이버보안 기관)가 "Vulnrichment"라는 프로젝트를 시작해서 CVE에 추가 정보를 붙이고 있고요, CVE.org 자체도 CNA(번호 할당 기관들, 예를 들어 구글이나 마이크로소프트 같은 벤더)에 더 많은 정보를 넣도록 요구하고 있어요. 민간 쪽에서도 VulnCheck, Tenable, Rapid7 같은 회사들이 자체적으로 데이터를 보강해서 제공하는 서비스를 늘리고 있죠.

하지만 문제는 이게 "공짜 공공재"에서 "여러 민간 유료 서비스로 쪼개지는 상황"으로 가고 있다는 거예요. 예전엔 스타트업이든 대기업이든 NVD 하나만 잘 파싱하면 됐는데, 이제는 여러 소스를 통합하고 품질이 들쭉날쭉한 데이터를 직접 맞춰야 해요. 중소기업이나 오픈소스 프로젝트 입장에선 진입 장벽이 올라가는 거죠.

한국 개발자들에게 주는 신호

한국에서도 KISA가 보안공지를 내고 있지만, 실무에서 쓰는 대부분의 상용 보안 도구와 오픈소스 스캐너(Trivy, Grype, Snyk 등)는 결국 NVD를 기반으로 돌아가요. 그래서 당장 영향을 받을 수밖에 없어요. 사내에서 취약점 관리 파이프라인을 운영하고 있다면 몇 가지 점검이 필요해요. 첫째, 우리 스캐너가 CPE 매칭 실패 시 어떻게 동작하는지요. 조용히 "해당 없음"으로 넘어가면 실제 취약점을 놓칠 수 있거든요. 둘째, CISA Vulnrichment나 GitHub Advisory Database 같은 보조 데이터 소스를 파이프라인에 추가해야 할지도 검토해봐야 해요. 셋째, SBOM을 만들 때 CPE뿐 아니라 PURL(Package URL) 같은 다른 식별 체계도 같이 저장해두면 나중에 매칭 실패 위험을 줄일 수 있어요.

그리고 보안 담당이 아닌 일반 개발자라도 한 가지는 기억해두면 좋아요. 라이브러리 업데이트 공지를 볼 때 "CVE 번호만 적혀있고 자세한 설명이 없는" 케이스가 앞으로 더 늘어날 거예요. 그럴 땐 벤더의 공식 릴리스 노트나 GitHub Security Advisory를 직접 확인하는 습관을 들이는 게 안전해요.

마무리

한 마디로 정리하면, "취약점 정보의 공공 인프라가 민영화 방향으로 이동하고 있다"는 뜻이에요. 20년 넘게 당연하게 여겨온 무료 공공재가 흔들리는 순간인 거죠. 여러분 회사의 취약점 관리 파이프라인은 NVD가 없거나 반쪽짜리여도 돌아갈 수 있나요? 아니면 대안 데이터 소스로 뭘 쓰고 계신가요? 경험 공유해주시면 다들 도움될 것 같아요.