NIST, 소프트웨어 취약점 관리 체계 '선별 관리'로 개편

미국 국립표준기술연구소(NIST)가 소프트웨어 취약점 관리 체계를 '선별 관리'로 전면 개편한다. 기존처럼 모든 취약점을 일일이 분석하는 대신, 실제 해킹 공격에 쓰일 가능성이 높거나 큰 피해를 줄 수 있는 취약점을 골라 집중적으로 관리할 예정이다. 이는 최근 급증하는 소프트웨어 취약점 보고에 효과적으로 대응하기 위한 조치다.

미국 국립표준기술연구소(NIST)는 국가취약점데이터베이스(NVD) 운영 방식을 수정해 실제 악용 가능성과 영향도를 기준으로 한 '선별 관리' 체제로 전환한다. NIST는 NVD의 취약점 데이터 보강 전략을 조정하고, 모든 CVE(Common Vulnerabilities and Exposures)에 동일한 수준의 분석 정보를 제공하던 기존 방식에서 벗어나 가장 중요한 취약점에 분석 역량을 집중한다. AI 기반 도구 확산으로 소프트웨어 취약점 보고가 폭증해 기존 중앙 기관의 분석 역할 감당이 어려워졌고, 실제 공격에 활용되는 취약점은 급증하는 취약점 가운데 극히 제한적이라는 점을 반영했다. NIST는 CISA KEV(미국 CISA의 '이미 악용된 취약점') 목록에 등재된 취약점, 미국 연방정부 및 공공기관 사용 제품 관련 취약점, 핵심 소프트웨어 취약점 등을 우선 배정 대상으로 선정한다. 안랩 시큐리티 긴급대응센터(ASEC)에 따르면 2026년 1분기 신규 CVE는 1만4462건이었으며, 이 중 CVSS 9.0 이상 '심각' 등급 취약점은 9.8%였다.

글로벌 보안 업계는 이를 'AI가 만든 취약점 폭주 시대'를 NIST가 공식 인정한 것으로 평가한다. 취약점 관리 패러다임을 '건수 중심'에서 '위험·맥락 중심'으로 전환해야 한다는 목소리가 나온다. 실제 공격에 활용되는 취약점은 급증하는 취약점 가운데 극히 제한적이다. 안랩 시큐리티 긴급대응센터(ASEC)에 따르면 2026년 1분기 신규 CVE 1만4462건 중 CVSS 9.0 이상 '심각' 등급은 9.8%였다.

NIST는 앞으로 CISA KEV(미국 CISA의 '이미 악용된 취약점') 목록 등재, 미 연방정부·공공기관 사용 제품 관련 취약점, 핵심 소프트웨어 취약점 등을 우선 배정 대상으로 선정해 관리 역량을 집중한다. AI가 촉발한 취약점 폭증은 기존 관리 방식의 유효성에 의문을 제기한다. 실제 공격자가 활용하는 취약점, 해당 취약점이 자산 구조와 연결되는 방식, 이를 악용한 공격 시나리오가 이어질 수 있는 피해 등을 종합해 우선순위를 정하는 '악용 기반·맥락 기반 관리'로의 전환이 요구된다. AI는 공격 가속화와 더 많은 취약점 발견을 동시에 가능하게 하는 도구로 활용된다. 또한 방대한 취약점 목록, 자산 정보, 공격 로그를 결합해 조직에 가장 위험한 취약점과 적용해야 할 패치 우선순위를 계산하는 도구로도 쓰인다. 업계에서는 AI가 취약점 '발견'을 가속하는 만큼, 방어 측에서도 AI로 '선별'과 '정렬'을 자동화하지 않으면 균형을 맞추기 어렵다는 지적이 나온다. NIST의 이번 결정은 미국이 그간 담당해온 공적 취약점 인프라 역할에 근본적인 질문을 던진다. CVE와 NVD는 여전히 취약점 관리의 기본 뼈대지만, '전 세계 취약점의 의미를 한 곳에서 정의하는 최종 기준' 자리를 유지하기는 어렵다.

본 기사는 AI가 생성하였으며, 사람이 검수한 기사입니다.