홈으로 돌아가기

NIST CVE 우선 처리: NVD에서 무엇이 바뀌었나

NIST가 취약점 수가 급증함에 따라 NVD에서 CVE 처리 우선순위를 도입했습니다. 이제 고위험 CVE만 전체 분석을 받습니다. 이 기사가 새로운 기준, 워크플로 변경 사항, 산업에 미치는 영향을 설명합니다.

NIST가 게임 규칙을 바꿉니다: 치명적 CVE만 처리를 받습니다
Advertisement 728x90

# NIST, CVE 우선순위 지정 도입: 취약점 관리에 미칠 변화

미국 국립표준기술연구소(NIST)는 취약점 처리 방식으로 위험 기반 모델로 공식 전환했습니다. 2026년 4월 15일부터 엄격한 우선순위 기준을 충족하는 CVE만 국가취약점데이터베이스(NVD)에서 완전한 분석 처리를 받습니다. 나머지는 "Not Planned"로 표시됩니다. 이 결정은 2020년부터 2025년까지 CVE 요청이 263% 폭증한 데다 이전 수준의 수동 데이터 보강을 지속할 수 없기 때문입니다.

NIST가 CVE 처리 방식을 변경한 이유

새로운 취약점에 대한 데이터 양이 임계점에 도달했습니다. 2025년에 NVD는 거의 42,000개의 CVE를 기록했는데, 이는 이전 어떤 해 대비 45% 증가한 수치입니다. 2026년 첫 3개월 동안 요청 건수는 또 3분의 1 증가했습니다. 반면 NIST의 자원은 한정되어 있으며, 각 레코드의 수동 검증과 보강에는 상당한 시간과 인력이 필요합니다.

이전에는 NIST가 모든 취약점에 대해 CVSS 점수, 기술 세부 사항, 수정 링크 등 일관되고 포괄적인 정보를 제공하는 것을 목표로 했습니다. 이제 이 기관은 해당 모델이 더 이상 시의적절하지 않음을 인정합니다. 새로운 전략의 목표는 인프라와 보안에 광범위한 영향을 미칠 가능성이 가장 큰 취약점에 집중하는 것입니다.

Google AdInline article slot

우선순위 기준: 어떤 CVE가 처리받을까

업데이트된 정책에 따라 NVD에서 완전 처리는 다음 취약점 카테고리에만 보장됩니다:

  • 미국 사이버보안인프라보안국(CISA)의 Known Exploited Vulnerabilities (KEV) 카탈로그에 포함된 취약점;
  • 미국 연방 정부가 사용하는 소프트웨어의 취약점;
  • 행정명령 14028호에서 정의된 중요 소프트웨어의 취약점. 해당 소프트웨어에는 다음 시스템이 포함됩니다:

- 권한 상승 또는 관리된 권한으로 운영되는 시스템;

- 네트워크 또는 컴퓨팅 자원에 특권 액세스를 가진 시스템;

Google AdInline article slot

- 데이터 또는 운영 기술에 대한 액세스를 제어하는 시스템;

- 확장된 권한으로 정상 신뢰 경계를 넘어 기능하는 시스템.

기타 모든 CVE는 자동으로 "Not Planned" 상태를 부여받습니다. 이는 데이터베이스에서 제거된다는 의미가 아니며, NVD에 그대로 남아 있지만 NIST의 추가 분석은 없습니다.

Google AdInline article slot

NVD 워크플로 변경 사항

우선순위화 외에 NIST는 여러 기술적·절차적 조정을 단행했습니다:

  • CVSS 점수 중복 발행 중단: CVE 프로그램이 이미 심각도 점수를 제공한 경우 NIST는 더 이상 자체 점수를 내지 않습니다.
  • 중요 영향 시에만 재분석: 이미 처리된 CVE의 변경 사항은 처리 데이터에 실질적인 영향을 미치지 않는 한 자동 재검토를 유발하지 않습니다.
  • 기존 미처리 레코드 일괄 이동: 2026년 3월 1일 이전 게시된 모든 미처리 CVE는 KEV에 이미 포함된 것을 제외하고 "Not Planned" 상태로 이동되었습니다.
  • 인터페이스 및 라벨 업데이트: NVD 대시보드에서 이제 각 취약점의 실시간 처리 상태를 확인할 수 있습니다.

사용자는 [email protected]로 이메일을 보내 특정 CVE의 처리를 요청할 수 있습니다. 다만 NIST는 해당 취약점이 위험 기준을 충족하지 않으면 이를 거부할 권리를 보유합니다.

산업 및 보안 관행에 미치는 함의

이 결정은 모든 취약점에 대한 중앙 집중식·정부 주도 평가 시대의 종말을 알립니다. Caitlin Condon(VulnCheck)은 "새로운 취약점의 수동 보강이 더 이상 실행 가능한 전략이 아닌 세상에 살고 있습니다."라고 말합니다.

조직 입장에서는 사전적 위험 관리로 전환해야 한다는 의미입니다:

  • 외부 데이터 소스 통합(상업 플랫폼 및 오픈소스 피드 포함);
  • 맥락 기반 자동 우선순위화: 활성 악용 여부, KEV 포함 여부, 자체 인프라 사용 여부;
  • CVSS 점수에 대한 맹목적 의존에서 실제 악용 가능성 및 비즈니스 영향 분석으로 이동.

David Lindner(Contrast Security)는 "신중히 선별된 가치 있는 데이터 세트에 의존하는 것이 모든 사소한 결함을 포괄하는 관리 불가능한 방대한 아카이브를 유지하는 것보다 국가 회복력에 훨씬 효과적입니다."라고 강조합니다.

주요 요점

  • NIST는 더 이상 모든 CVE를 처리하지 않습니다. 고위험 기준 충족 취약점만 해당.
  • 비우선 취약점은 NVD에 남아 있지만 CVSS 점수나 NIST 추가 분석 없이.
  • 조직은 취약점 관리 프로세스를 재정비해야 하며, 맥락과 실제 위협을 중시.
  • 비우선 CVE 처리 요청은 가능하나 NIST가 반드시 이행하지는 않음.
  • 사이버보안 생태계에서 분산화와 전문화 추세를 가리킴.

— Editorial Team

Advertisement 728x90

다음 읽기