2025년 07월 01일

CVE 위기, 포스트 시대 생존 전략

Tech

Share

by

CVE 프로그램 위기: 포스트 CVE 시대, 사이버 보안의 미래는?

최근 CVE(Common Vulnerabilities and Exposures) 프로그램의 운영 중단 가능성이 제기되면서 사이버 보안 업계에 큰 파장이 일었습니다. 다행히 CISA(미국 사이버보안 및 인프라 보안국)의 발 빠른 지원으로 최악의 상황은 피했지만, 이 사건은 CVE에 대한 과도한 의존성과 함께 미래 사이버 보안 환경에 대한 중요한 질문을 던져주었습니다. 이번 블로그에서는 CVE 위기의 배경과 의미, 그리고 포스트 CVE 시대에 대비하기 위한 전략들을 심층적으로 분석해 보겠습니다.

CVE 시스템, 과연 완벽한가?

CVE는 오랫동안 사이버 보안의 핵심적인 역할을 수행해 왔습니다. 표준화된 취약점 식별 및 분류 체계를 제공함으로써 보안 전문가들이 정보를 공유하고 효과적으로 대응할 수 있도록 지원했죠. 하지만 CVE 시스템은 오늘날 급변하는 위협 환경의 속도와 복잡성을 따라가지 못한다는 비판도 꾸준히 제기되어 왔습니다. 취약점이 더 빠르게 발견되고 악용되는 상황에서 CVE ID 할당이 지연되거나 누락되는 경우가 발생하며, 이로 인해 기업들은 중요한 위협에 적시에 대응하지 못하는 어려움을 겪고 있습니다.

NIST 리소스 부족 문제, CVE 데이터 품질 저하

CVE 데이터의 품질 저하 문제도 심각합니다. NIST(미국 국립표준기술연구소)는 CVE에 CVSS 점수, CWE 분류, CPE 제품 식별자 등 메타데이터를 추가하는 중요한 역할을 담당하지만, 1년 넘게 리소스 부족으로 인해 제 역할을 제대로 수행하지 못하고 있습니다. 그 결과, 검색이나 정량화, 보안 자동화에 필요한 정보와 맥락이 누락된 취약점이 계속해서 누적되고 있는 실정입니다. 이는 기업들이 취약점을 효과적으로 관리하고 우선순위를 결정하는 데 큰 어려움을 야기합니다.

제로데이 공격의 증가, CVE의 한계 노출

제로데이 공격의 증가는 CVE 시스템의 한계를 더욱 명확하게 드러냅니다. 구글 위협 인텔리전스 그룹(GTIG)에 따르면, 2024년 한 해 동안 공격자가 악용한 제로데이 취약점은 총 75건에 달했습니다. 대부분의 경우 패치조차 제공되기 전, 심지어 CVE ID도 부여되기 전부터 악용된 것으로 나타났습니다. 이는 CVE 중심의 취약점 관리 체계가 더 이상 효과적이지 않음을 시사하며, CVE ID 유무와 관계없이 모든 취약점을 식별하고 처리할 수 있는 새로운 접근 방식이 필요함을 강조합니다.

포스트 CVE 시대, 무엇을 준비해야 할까?

CVE 시스템의 불안정성과 한계가 드러남에 따라, 기업들은 포스트 CVE 시대에 대비하기 위한 전략을 수립해야 합니다. 첫째, CVE에 대한 과도한 의존성을 줄이고 다양한 취약점 인텔리전스 소스를 적극적으로 활용해야 합니다. 둘째, 워크플로우를 CVE에 묶지 않고 필요에 따라 업체 고유의 취약점 식별자를 처리할 수 있는 보안 도구 체계를 구축해야 합니다. 셋째, 위험도 우선순위를 결정할 때 단순 CVSS 점수만이 아니라 실제 위협 정보, 자산 노출 정도, 랜섬웨어 타깃 가능성 등을 종합적으로 고려해야 합니다.

EUVD: CVE를 보완하는 새로운 대안

유럽연합 사이버보안기구(ENISA)가 최근 출범한 유럽 취약점 데이터베이스(EUVD)는 CVE 의존도를 낮추는 가장 공식적인 대응 사례로 평가받고 있습니다. EUVD는 EU 내에서 사용되는 소프트웨어와 하드웨어 제품에 대해 시의적절하고 신뢰도 높은 취약점 정보를 제공하는 것을 목표로 합니다. 다양한 출처에서 취약점 정보를 수집·통합하고, 대시보드 형태로 제공함으로써 유럽 국가들의 취약점 관리 자율성을 확보하는 데 기여할 것으로 기대됩니다. 다만, CVE만큼의 글로벌 채택률이나 인프라 기반은 아직 부족하기 때문에 업체의 참여 확대와 보안 도구와의 연계성 강화가 필요합니다.

기업 자체 취약점 정보 소스 활용의 중요성

플래시포인트, 벌른체크, 테너블, 빗사이트 등 독립 보안 업체들은 CVE에서 누락되거나 등록이 지연된 취약점까지 포함하는 선별된 데이터셋을 제공합니다. 또한 해당 취약점의 악용 가능성, 랜섬웨어 공격 위험도, 사회에 미치는 파급력 등 의사결정에 필요한 핵심 맥락 정보도 함께 제공합니다. 기업들은 이러한 정보들을 적극적으로 활용하여 자체적인 취약점 관리 체계를 강화해야 합니다. 또한, 업체의 보안 권고문, 깃허브 공개 정보, 해커원이나 버그크라우드 같은 플랫폼을 통해 공개되는 취약점 정보도 놓치지 않도록 주의해야 합니다.

보안 커뮤니티의 협력과 합의가 필수적

CVE를 대체할 체계를 구축하는 데 있어 가장 큰 장벽은 전 세계 보안 커뮤니티의 합의를 다시 이끌어내는 일입니다. CVE는 오랜 기간에 걸쳐 구축된 신뢰성과 검증력을 바탕으로 업계에서 널리 존중받아 왔습니다. 포스트 CVE 시대는 당분간 분산적이고 일관성 없는 형태로 머물 가능성이 크지만, 보안 커뮤니티의 지속적인 협력과 노력을 통해 보다 안전하고 효율적인 취약점 관리 체계를 구축해 나가야 할 것입니다.

맺음말

CVE 프로그램의 위기는 우리에게 사이버 보안의 미래에 대해 다시 한번 생각하게 만드는 계기가 되었습니다. CVE에 대한 맹목적인 의존에서 벗어나 다양한 정보 소스를 활용하고, 자체적인 위협 분석 및 대응 능력을 강화하는 것이 중요합니다. 끊임없이 변화하는 위협 환경에 적응하고, 보다 능동적인 보안 전략을 수립함으로써 사이버 공격으로부터 안전한 디지털 환경을 만들어 나가야 할 것입니다.

이것도 좋아하실 수 있습니다...