최근 CVE(Common Vulnerabilities and Exposures) 프로그램의 중단 가능성이 제기되며 보안 업계 전반에 일시적인 긴장감이 감돌았다. 이 사태는 업계가 해당 시스템에 얼마나 의존하고 있는지를 단적으로 보여줬으며, 표준화된 취약점 식별 및 분류 체계가 사라질 경우를 대비한 대응 전략에 대한 논의로 이어졌다.

이 짧은 소동은 MITRE 이사가 CVE 운영위원회에 보낸 한 통의 서한에서 시작됐다. 이 서한은 MITRE의 CVE 운영 계약이 4월 16일부로 종료될 예정임을 통보하는 내용이었으며, “서비스 중단이 발생할 경우 국가 취약점 데이터베이스와 보안 권고의 품질 저하 등 여러 영향이 초래될 수 있다”라고 경고했다.

미국 사이버보안 및 인프라 보안국(The US Cybersecurity and Infrastructure Security Agency, CISA)은 불과 하루 만에 11개월 계약 연장을 통해 CVE 프로그램 운영을 지원하겠다고 발표했고 장기적 후원도 지속할 것이라는 의지를 내비쳤다. 이 발표로 불안은 일단락됐지만, CVE 프로그램 운영 안정성에 대한 우려는 여전히 남아 있다. 향후 후원 기관이나 운영 주체가 변경되면 전 세계의 사이버보안 인프라의 핵심 기반이 다시금 위협받을지도 모른다.

CVE를 둘러싼 불확실성 외에도, 다른 출처의 취약점 정보를 활용해 CVE 데이터를 보완하려는 움직임을 보이는 이유는 또 있다. CVE에 CVSS 점수, CWE 분류, CPE 제품 식별자 등 메타데이터를 추가하는 역할을 맡은 NIST가 1년 넘게 리소스 부족으로 제 역할을 다하지 못하고 있기 때문이다. 그 결과, 검색이나 정량화, 보안 자동화에 필요한 정보와 맥락이 누락된 취약점이 계속해서 누적되는 상황이다.

플래시포인트(Flashpoint) CEO 조시 레프코위츠는 “선도적인 일부 기업은 ‘포스트 CVE(post-CVE)’ 시대에 대비해 자사 운영을 CVE 중심 체계에서 분리하는 작업을 이미 시작했다. CVE 없이도 중요한 위협을 식별하고 악용 가능 여부를 판단하며, 우선적으로 조치해야 할 항목과 공격자가 해당 취약점을 어떻게 활용하고 있는지 파악할 수 있는 수 있는 프로세스와 도구를 활용하고 있다”라고 설명했다.

레프코위츠는 인터뷰를 통해 “현재 벌어지고 있는 상황은 어느 정도 예견된 흐름이었다. CVE 프로그램이 직면한 문제는 그동안 누적돼 왔다. CVE 시스템은 오늘날 위협 환경의 속도와 복잡성을 따라가지 못하고 있다. 취약점은 더 빠르게 발견되고 더 신속히 악용되며, CVE ID가 할당되기도 전에 공급망 전반에 영향을 미치고 있다”라고 지적했다.

발견과 공개 사이의 간극이 점점 벌어지고 있다는 점은 최근 데이터에서도 확인된다. 구글 위협 인텔리전스 그룹(GTIG)에 따르면, 2024년 한 해 동안 공격자가 악용한 제로데이 취약점은 총 75건에 달했다. 대부분은 패치조차 제공되기 전, 심지어 CVE ID도 부여되기 전부터 악용된 것으로 나타났다.

CVE 중심 구조에서 벗어나야 할 때

이런 흐름은 CVE에 전적으로 의존하던 취약점 관리 체계를 분리하고, CVE ID가 있든 없든 취약점을 식별하고 처리할 수 있는 보안 도구를 갖춰야 할 필요성을 부각시킨다. 레프코위츠는 “보안과 취약점 관리 프로그램의 회복력과 신뢰성을 높이려면 이제는 CVE를 대체하거나 보완하는 취약점 인텔리전스 소스를 적극 통합해야 한다”라고 강조했다.

하지만 이를 어떻게 효과적이고 쉽게 구현하느냐가 여전히 큰 과제다. CVE 시스템은 정부 기관이 사용하는 툴과 플랫폼을 포함해 전체 소프트웨어 생태계 전반의 취약점 탐지와 대응의 기반이기 때문이다. 레지트 시큐리티(Legit Security)의 필드 CTO 조 니카스트로는 “CVE가 없으면 취약점 식별, 분류, 패치에 사용하던 공통 언어가 사라진다. 그 결과 정보의 단절, 혼선, 느린 대응이라는 문제에 직면할 수 있다. 사이버 공격과 위협 행위자가 그 어느 때보다 활발한 오늘날에는 심각한 위험이다”라고 경고했다.

현재로서는 유럽연합 사이버보안기구(European Union Agency for Cybersecurity, ENISA)가 최근 출범한 유럽 취약점 데이터베이스(European Vulnerability Database, EUVD)가 CVE 의존도를 낮추는 가장 공식적인 대응 사례로 평가된다. EUVD는 EU 내에서 사용되는 소프트웨어와 하드웨어 제품에 대해 시의적절하고 신뢰도 높은 취약점 정보를 제공하는 것을 목표로 한다. 이 데이터베이스는 오픈소스 DB, 각국의 사이버보안 사고대응팀의 권고 및 경보, 업체 알림 등 다양한 출처에서 취약점 정보를 수집·통합한다. 취약점 데이터는 중대 취약점, 악용된 취약점, EU 조정 하에 처리 중인 취약점 등 3가지 유형으로 구분된 대시보드 형태로 제공한다.

EUVD는 유럽 국가들이 취약점 관리에서 지역적 자율성을 확보하려는 전략적 시도다. EU는 2025년 5월 출범한 이 데이터베이스가 CVE를 대체하기보다는 보완하는 체계라고 정의한다. EUVD는 제도적 신뢰성과 공신력을 갖추고 있으며, 다양하고 회복력 있는 취약점 공개 생태계를 구축하자는 최근의 요구와도 방향을 같이한다. 다만, CVE만큼의 글로벌 채택률이나 인프라 기반은 아직 부족하기 때문에 업체의 참여 확대와 보안 도구와의 연계성 강화가 뒤따라야 CVE 수준의 확장성과 생태계 지원 체계를 갖출 수 있을 것으로 보인다.

블랙덕(Black Duck)에서 소프트웨어 공급망 위험을 총괄하는 팀 매키는 “취약점 데이터베이스의 목적은 실질적인 대응이 가능한 정보를 제공하는 데 있다. EUVD와 같은 신규 데이터베이스가 실제 운영 환경의 문제를 해결하려면 EUVD를 활용하는 보안 도구가 반드시 함께 구축돼야 한다”라고 강조했다.

CVE 수준의 인사이트를 제공하려면 EUVD가 취약점 스캐너, 패치 관리 시스템, SIEM 플랫폼 등 기존 보안 워크플로우에 완전히 통합돼야 한다. 또한 매키는 “데이터베이스 제공자와 보안 도구 업체 간의 협업이 필요하며, 그렇게 만들어진 시스템과 워크플로우가 규제기관과 감사 기관의 인정을 받아야 실질적인 대안이 될 수 있을 것”이라고 덧붙였다.

기업이 제공하는 자체 취약점 정보 소스 활용하기

플래시포인트, 벌른체크(VulnCheck), 테너블(Tenable), 빗사이트(BitSight) 등과 같은 독립 보안 업체는 CVE에서 누락되거나 등록이 지연된 취약점까지 포함하는 선별된 데이터셋을 제공한다. 또한 이들 기업은 해당 취약점의 악용 가능성, 랜섬웨어 공격 위험도, 사회에 미치는 파급력 등 의사결정에 필요한 핵심 맥락 정보도 함께 제공한다.

레프코위츠는 “이런 취약점 인텔리전스를 실질적으로 활용하려면 취약점을 처리하고 대응하는 방식을 재정립해야 한다. 가장 먼저 해야 할 일은 워크플로우를 CVE나 NVD 같은 고정된 체계에 묶지 않고, 필요할 경우 업체 고유의 취약점 식별자를 처리할 수 있는 보안 도구 체계를 갖추는 것”이라고 설명했다.

이어 “위험도 우선순위는 단순 CVSS 점수만이 아니라 실제 위협 정보, 예를 들면 익스플로잇 코드 유무, 자산 노출 정도, 랜섬웨어 타깃 가능성를 기반으로 결정해야 한다. 또한 보안 의사결정권자는 SIEM, SOAR, 패치 도구, 티켓 관리 시스템과 직접 연동되는 취약점 플랫폼을 검토할 필요가 있다”라고 조언했다.

블랙덕의 매키에 따르면, 취약점 정보를 다양하게 확보할 수 있는 경로는 이 외에도 존재한다. 예를 들어, 업체의 보안 권고문, 깃허브 공개 정보, 해커원(HackerOne)이나 버그크라우드(Bugcrowd) 같은 플랫폼을 통해 취약점 정보가 CVE와 같은 정식 데이터베이스에 등록되기 전부터 공개되는 경우도 많다.

블랙덕의 매키는 “오라클, 마이크로소프트, 레드햇과 같은 업체는 자사 제품에 대한 보안 권고문을 정기적으로 발행한다. 깃허브는 깃허브 어드바이저리 데이터베이스(GitHub Advisory Database)라는 자체 취약점 저장소를 운영하며, 호주(AusCERT), 유럽연합(스위스 기반 VulDB), 일본(JPCERT/CC), 중국(CNNVD) 등지에도 각국의 지역 기반 취약점 데이터베이스가 존재한다. SCA(Software Composition Analysis) 도구 제공업체도 NVD 데이터를 보완해 자체 보안 권고문을 구성하는 경우가 많아, 이 역시 취약점 정보를 확보할 수 있는 유용한 채널이 될 수 있다”라고 조언했다.

매키는 “물론 SAST(Static Application Security Testing), IAST(Interactive Application Security Testing), 퍼징(Fuzzing) 등 공개되지 않은 취약점을 식별하는 데 활용되는 다양한 애플리케이션 보안 테스트 기법도 있다. 각 기법은 단독으로도 의미 있지만, 서로 결합할 경우 사이버보안으로 인한 애플리케이션 위험을 보다 종합적으로 파악할 수 있다”라고 덧붙였다.

CISA가 운영하는 KEV(Known Exploited Vulnerabilities)도 유용한 자원이다. 이는 특히 미 연방기관에는 적용이 의무화됐다. KEV는 정부 및 주요 기반시설 조직에 위험을 줄 수 있는 실제로 악용된 사이버보안 취약점 목록이며, 즉각적인 위협을 초래하는 고위험 취약점을 식별하고 조치하는 데 참고 기준으로 활용된다. CISA가 특정 취약점을 KEV에 등록하면 미국 연방 민간기관은 정해진 기한 내에 해당 취약점을 반드시 수정하거나, 수정 전까지 해당 제품 사용을 중단해야 한다. 주 대상이 정부기관이긴 하지만, 기업도 패치 우선순위를 결정할 때 참고 지표로 활용할 수 있다.

하지만 무엇보다 중요한 것은 기대치를 현실적으로 설정하는 일이다. 사이버보안 업체 옵티브(Optiv)의 사이버 운영 총괄 이사 벤 래드클리프는 “CVE 프로그램의 핵심 기능은 취약점의 위험도를 평가하고 분류할 수 있는 공통된 분류 체계와 명명법을 제공하는 것이다. 만약 이 프로그램이 사라진다면 보안 연구원이나 버그 사냥꾼이 더 이상 같은 언어로 취약점을 분류하거나 평가하지 못하게 된다. 이미 알려진 보안 취약점의 공개에 일관성과 투명성이 결여되면, 제로데이 공격과 같은 위협에 직면했을 때 보안팀의 대응 속도와 정확성이 떨어질 수밖에 없다”라고 지적했다.

래드클리프는 “CVE를 대체할 체계를 구축하는 데 있어 가장 큰 장벽은 전 세계 보안 커뮤니티의 합의를 다시 이끌어내는 일이다. CVE는 오랜 기간에 걸쳐 구축된 신뢰성과 검증력을 바탕으로 업계에서 널리 존중받아 왔다. 포스트 CVE 시대는 당분간 분산적이고 일관성 없는 형태로 머물 가능성이 크다”라고 덧붙였다.
dl-itworldkorea@foundryco.com