NIST 사이버 보안 CISA 보안 정보보호 취약점 관리 CVE NVD 취약점 분석 보안 정책

NIST, 취약점 분석 범위 축소…'중요한 CVE'에만 집중

미국 국립표준기술연구소(NIST)는 매년 급증하는 보안 취약점 분석을 효율적으로 수행하기 위해 우선순위를 재설정했다고 27일 발표했다. NIST는 이제 CISA의 ‘실제 악용된 취약점’ 목록, 연방 정부에서 사용되는 소프트웨어, 대통령령 14028호에 따른 핵심 소프트웨어에 한해 CVE(CVE, Common Vulnerabilities and Exposures) 분석을 집중할 계획이다.

이 같은 변화는 NIST가 운영하는 국가 취약점 데이터베이스(NVD, National Vulnerability Database)의 장기적 안정성과 지속 가능성을 확보하기 위한 조치로 풀이된다. NVD는 2024년 초 예산 중단 사태로 인해 일시적으로 핵심 메타데이터 제공을 중단했으며, 이후 누적된 미처리 CVE가 여전히 남아 있는 상황이었다.

취약점 분석량 263% 급증…NIST도 한계에 직면

NIST에 따르면 지난해 약 42,000건의 취약점을 분석했으며, 2020년부터 2025년까지 CVE 제출량은 263% 증가했다. 특히 2026년 1분기 제출량은 전년 동기 대비 3분의 1 이상 증가한 것으로 나타났다. NIST는 "이 같은 추세는 당분간 지속될 것"이라며 "2026년 1분기 제출량이 지난해 같은 기간보다 30% 이상 증가했다"고 밝혔다.

이번 조치로 NIST는 우선순위가 낮은 CVE에 대해서는 자동으로 상세 분석을 제공하지 않지만, 데이터베이스에는 그대로 등재할 계획이다. NIST는 "이렇게 하면 광범위한 영향을 미칠 가능성이 높은 CVE에 집중할 수 있다"며 "시스템에 심각한 영향을 미치더라도 체계적 위험이 낮은 취약점은 우선순위에서 제외할 수 있다"고 설명했다.

연구자들 "필요한 조치였다"…민간 부문의 역할 커질 것

이 같은 NIST의 변화는 보안 연구자들과 위협 헌터들에게는 불가피한 선택으로 평가된다. 트렌드마이크로의 제로데이 이니셔티브 책임자인 더스틴 차일즈는 "NIST가 CVE 분류 작업에서 크게 뒤처져 있었고, 결코 따라잡지 못할 상황이었다"며 "이전 시스템으로는 영영 해결할 수 없었던 과제였다. 이번 변화는 NIST가 우선순위를 정할 수 있게 해준다"고 말했다.

한편, 민간 기업과 조직들은 NIST의 변화로 인해 보안 방어 전략에서 더 큰 역할을 맡게 될 전망이다. 보안 연구 기업인 벌크체크(VulnCheck)의 보안 연구 담당 이사인 케이틀린 콘돈은 "우선순위 문제가 여전히 남아 있다"며 "지난해 새로 발표된 4만 건 이상의 취약점 중 실제 악용된 건은 1%에 불과한 422건에 불과했다"고 지적했다. 그는 "방어자들은 시간과 자원을 낭비하지 않도록 더 많은 대안을 모색해야 한다"고 강조했다.

NIST는 또한 중복된 분석 efforts를 줄이기 위해 노력하고 있으며, 민간 부문의 적극적인 참여를 유도할 계획이다. 이번 조치는 보안 생태계 전반에 영향을 미칠 것으로 예상되며, 특히 CVE 분석의 효율성과 정확성을 높이기 위한 노력이 지속될 전망이다.

출처: CyberScoop
챗GPT, 방귀 소리로 만든 음악에 ‘진심’ 칭찬…AI의 지나친 아부 문제 제기
← 이전

챗GPT, 방귀 소리로 만든 음악에 ‘진심’ 칭찬…AI의 지나친 아부 문제 제기

 원격 조종 가능한 스마트 전투 로봇 ‘타입-X’: 인명 보호와 임무 유연성 강화
다음 →

원격 조종 가능한 스마트 전투 로봇 ‘타입-X’: 인명 보호와 임무 유연성 강...