NIST이 CVE 분석을 포기했다 — 사이버보안의 근간이 흔들리는 순간

보안팀에서 일하는 분들이라면 최근 며칠간 잠을 설쳤을 겁니다. 전 세계 사이버보안의 사실상 표준 레퍼런스였던 NIST의 NVD(National Vulnerability Database)가 대부분의 CVE에 대한 심층 분석을 포기한다고 공식화했기 때문인데요. 이게 얼마나 큰일인지, 그리고 앞으로 어떤 일이 벌어질지 차분히 짚어보겠습니다.

NVD가 뭐길래 이렇게 난리인가

CVE(Common Vulnerabilities and Exposures)는 취약점마다 붙는 고유 번호입니다. “CVE-2025-12345” 같은 식이죠. 그런데 이 번호만 봐서는 이게 얼마나 심각한지, 어떤 제품에 영향을 주는지, 어떻게 악용되는지 알 수가 없습니다.

바로 그 공백을 메워주던 곳이 NIST의 NVD였습니다. NVD는 CVE마다 CVSS 점수(심각도), CPE(영향받는 제품 리스트), CWE(취약점 유형) 같은 메타데이터를 붙여줬습니다. 이걸 “enrichment"라고 부릅니다. 전 세계 기업의 취약점 스캐너, SBOM 도구, 보안 자동화 시스템이 모두 이 데이터를 먹고 돌아갔습니다.

그런데 NIST가 “이제 대부분의 CVE는 분석 못 합니다"라고 선언한 겁니다.

왜 갑자기 포기했나

2024년부터 조짐은 있었습니다. NIST는 CVE 폭증과 예산·인력 부족으로 백로그(밀린 분석)가 수만 건 단위로 쌓였습니다. 2026년 현재 CVE 발행량은 연 4만 건을 훌쩍 넘기는데, NVD의 분석 속도는 이걸 따라잡지 못했습니다.

핵심 원인은 세 가지입니다.

첫째, 예산 문제입니다. NIST의 NVD 운영 예산은 수년째 제자리인데, CVE는 매년 20~30%씩 늘어났습니다. 2024년 한 해에만 할당된 예산이 계약 갱신 이슈로 일시 중단되며 혼란이 시작됐습니다.

둘째, CNA(CVE Numbering Authority) 확산입니다. GitHub, 리눅스 재단, 각종 벤더들이 자체적으로 CVE를 발급할 수 있게 되면서 양은 폭발했는데, 이걸 검수·보강하는 쪽의 용량은 그대로였습니다.

셋째, 구조적 한계입니다. 한 기관이 전 세계 모든 소프트웨어 취약점을 중앙에서 분석한다는 모델 자체가 더 이상 지속 가능하지 않다는 지적이 오래전부터 있었습니다.

무엇이 부서지는가

NVD 데이터에 의존하던 거의 모든 보안 도구가 흔들립니다. 취약점 스캐너들이 “이 CVE는 심각도 불명”, “영향 제품 미분류” 상태의 데이터를 받게 됩니다.

특히 타격이 큰 쪽은 이렇습니다.

• SBOM 기반 자동화: 오픈소스 부품 리스트와 CVE를 매칭하려면 CPE 데이터가 필수인데, 그게 사라집니다.
• 규제 컴플라이언스: FedRAMP, PCI-DSS 같은 규제는 CVSS 점수 기반으로 “심각도 7점 이상은 30일 내 패치” 식의 기준을 둡니다. 점수가 없으면 기준 적용이 애매해집니다.
• 중소·중견 기업: 대기업은 자체 분석팀이 있지만, 보안 인력이 1~2명뿐인 조직은 NVD에 100% 의존해왔습니다.

FINOS 같은 오픈소스 금융 커뮤니티에서도 이 문제를 “Communications Very Erratic(CVE)“이라고 비꼬며 데이터 안정화 세션을 열 정도로, 현장의 불안감은 큽니다.

공백은 누가 메울 것인가

완전히 암흑은 아닙니다. 분산된 대안들이 빠르게 떠오르고 있습니다.

CISA의 Vulnrichment 프로젝트가 가장 주목받습니다. 미 사이버보안국이 직접 CVE에 CVSS, CWE, SSVC 결정 트리를 붙이는 이니셔티브입니다. 이미 수천 건의 CVE에 메타데이터를 추가했습니다.

GitHub Security Advisories도 오픈소스 취약점에 한해 독자적인 데이터베이스를 구축해왔고, OSV(Open Source Vulnerabilities)는 구글이 주도하는 기계가독 포맷 표준입니다. 민간에서는 Snyk, Tenable, Qualys 같은 벤더들이 자체 분석 DB를 품질 차별화 포인트로 삼고 있습니다.

하지만 중앙 허브가 사라진 자리를 여러 파편이 채우는 구조는 필연적으로 혼란을 낳습니다. 같은 CVE에 대해 벤더마다 다른 CVSS 점수가 매겨지고, 정보 비대칭이 심화됩니다. 돈 있는 조직만 제대로 된 취약점 정보를 받는 시대가 올 수도 있습니다.

우리가 지금 해야 할 일

보안 담당자라면 지금 당장 체크해야 할 것들이 있습니다.

첫째, 다중 소스 전략입니다. NVD 하나만 보던 스캐너 설정을 바꿔, CISA KEV, GitHub Advisory, OSV, 벤더 advisory를 병행 조회하도록 해야 합니다.

둘째, 우선순위 기준 재정의입니다. CVSS 점수가 없거나 오래된 CVE가 많아질 테니, “실제 악용 사례(KEV 등재 여부)“와 “내 환경 노출도"를 기준에 더 크게 반영해야 합니다.

셋째, 오픈소스 기여입니다. 역설적이지만, 이번 사태는 “보안 데이터는 공공재"라는 인식을 다시 불러왔습니다. OSV, Vulnrichment에 참여하는 커뮤니티가 늘수록 생태계 전체가 튼튼해집니다.

결국 남는 질문

NIST의 이번 결정은 한 기관의 예산 삭감 문제가 아닙니다. “전 세계 소프트웨어 취약점을 중앙에서 관리한다”는 20년 된 모델이 수명을 다했다는 선언입니다.

앞으로는 분산·연합·오픈소스 방식의 거버넌스로 가야 한다는 방향성은 분명합니다. 문제는 그 전환기 동안 얼마나 많은 조직이 “분석되지 않은 CVE” 때문에 실제 침해를 겪을 것인가입니다. 여러분 회사의 취약점 관리 체계는, NVD 없이도 버틸 준비가 되어 있으신가요?