NIST, 대부분 CVE 개선 작업 중단 선언...예산 부족으로 중요 취약점만 선별 관리, 사이버보안 업계 우려 확산

[한국정보기술신문] 미국 국립표준기술원(NIST)이 15일 대부분의 CVE(Common Vulnerabilities and Exposures) 개선 작업을 중단한다고 발표했다. 매년 수만 개씩 증가하는 취약점 정보를 따라잡지 못해 핵심 취약점만 선별해 관리하겠다는 것이다.

NIST는 앞으로 세 가지 범주의 취약점만 개선할 예정이라고 밝혔다. CISA KEV 데이터베이스에 등록된 적극적 악용 취약점, 미국 연방 기관 사용 소프트웨어의 CVE, 운영체제와 웹 브라우저 등 중요 소프트웨어 관련 CVE가 대상이다. 기존에는 국가 취약점 데이터베이스(NVD)에 등록되는 모든 CVE에 심각도 점수와 영향 분석, 기술적 설명을 추가했다.

2024년 초부터 NIST는 심각한 문제에 직면했다. 작년에만 4만8천 개 이상의 CVE가 등록됐으며, AI 기반 취약점 발견 도구 확산으로 이 수치는 계속 급증할 전망이다. 예산 감축과 증가하는 비용으로 인해 NIST는 "모든 CVE를 따라잡을 수 없다"고 인정했다.

보안 업계는 우려를 표했다. Aikido Security의 수라즈 샤 연구원은 "더 이상 단일 정보 출처가 없다"고 지적했다. 취약점 관리 회사들이 NVD 데이터에 의존해왔던 만큼, 이제 다른 출처에서 정보를 수집하거나 직접 개선 작업을 수행해야 한다.

NIST는 자체 CVSS 심각도 점수 제공도 중단할 예정이다. 대신 CVE 발행 기관의 점수를 사용하게 되는데, 소프트웨어 제조업체가 자신의 취약점 심각도를 낮게 평가하는 경향이 있어 추가 문제가 우려된다.

업계는 NIST의 공백을 메울 대안 마련이 시급하다고 보고 있다. 민간 보안 업체들이 협력해 독립적인 취약점 평가 체계를 구축하거나, 정부가 예산을 늘려 NIST의 역할을 유지해야 한다는 목소리가 나온다.