미국 국립표준기술연구소(NIST)가 최근 중요한 발표를 했습니다.
2024년 4월, NIST는 2018년 1월 1일 이전에 발표된 모든 CVE(Common Vulnerabilities and Exposures) 항목을 ‘Deferred(보류)’ 상태로 전환하겠다고 밝혔습니다.
이번 조치는 NVD(National Vulnerability Database) 내 수많은 오래된 취약점들의 우선순위를 조정하고,
보다 긴급하고 중요한 최신 보안 위협에 집중하기 위한 목적에서 이루어졌습니다.
❓ Deferred란 무엇인가요?
이제부터 2018년 이전에 게시된 CVE를 조회하면 해당 취약점 페이지 상단에 “Deferred”라는 배너가 표시됩니다.
이 표시가 의미하는 바는 다음과 같습니다:
“해당 CVE는 오래된 항목으로, 현재 NVD에서 메타데이터 업데이트 또는 상세 분석을 우선하지 않겠다는 의미입니다.”
즉, 해당 취약점이 더 이상 중요하지 않다는 뜻이 아니라,
분석 리소스를 최신 취약점에 집중하기 위한 행정적인 조치라는 점을 명확히 밝혔습니다.
⚠️ 오래된 CVE는 무시해도 될까?
절대 그렇지 않습니다!
블랙덕(Black Duck)의 인프라 보안 디렉터인 토마스 리차즈(Thomas Richards)는 다음과 같이 강조합니다.
“CVE 상태가 ‘Deferred’로 전환되었다고 해서 취약점의 심각성이 줄어든 것은 아닙니다.
보류된 CVE라고 하더라도 조직 내부에서 해당 취약점이 존재한다면 여전히 신속한 조치가 필요합니다.”
실제로 많은 기업에서는 수년 전부터 사용하는 오픈소스 라이브러리,
레거시 시스템, 구형 IoT 기기 등에 여전히 2018년 이전 CVE와 관련된 취약점이 남아있을 수 있습니다.
📈 왜 이런 변화가 필요했을까?
최근 몇 년 사이 CVE의 등록 수는 기하급수적으로 증가했습니다.
특히 2023년 한 해 동안만 무려 29,000건 이상의 신규 CVE가 공개되며 역대 최다를 기록했죠.
하지만, 이런 폭발적인 증가에도 불구하고 NVD는 내부적으로 어려움을 겪고 있었습니다.
대표적인 이슈는 다음과 같습니다:
- ✅ 수천 개의 CVE가 아직 분석되지 못한 채 백로그로 남아있음
- ✅ 전 트럼프 행정부 하에서 인력 감축 영향
- ✅ AI 및 자동화 도입이 더디게 진행되며 수작업 분석에 의존
이러한 상황에서 NIST는 보다 전략적으로 리소스를 배분하기 위해 오래된 CVE를 일단 ‘Deferred’로 분류하고,
최신 보안 위협 대응을 우선시하기로 결정한 것입니다.
이 포스팅은 쿠팡 파트너스 활동의 일환으로, 이에 따른 일정액의 수수료를 제공받습니다.
🔧 그럼 보안 담당자들은 어떻게 대응해야 할까?
이제 보안팀은 NVD의 업데이트 상태에 의존하기보다는,
자체적으로 취약점의 영향도와 우선순위를 평가하는 보안 체계를 강화해야 합니다.
✅ 대응 가이드라인
- CVE 상태에 상관없이 영향도 중심의 취약점 관리
- Deferred 상태더라도 시스템 내 취약점이 존재하면 적극적인 패치 또는 대응 필요
- SBOM(Software Bill of Materials)을 적극 활용
- 오래된 코드나 오픈소스 컴포넌트에서 취약점이 유입되지 않도록 전체 라이브러리 목록을 체계화
- 자동화된 취약점 관리 도구 도입
- NVD 외에도 VulnDB, Snyk, GitHub Advisories 등 다양한 출처를 함께 활용
- NIST의 추가 업데이트 계속 주시
- 이번 Deferred 조치는 향후 상세 기준 및 우선순위 정책이 추가될 예정이므로,
관련 공지를 지속적으로 모니터링해야 합니다.
- 이번 Deferred 조치는 향후 상세 기준 및 우선순위 정책이 추가될 예정이므로,
🧩 마무리: 행정적 변화, 보안에는 영향을 미치지 말아야
이번 NIST의 조치는 기술적인 의미보다는 운영적·행정적인 성격이 강합니다.
그러나 취약점 관리 체계가 오롯이 NVD에 의존하고 있었다면, 이 조치로 인해 대응 공백이 생길 수도 있습니다.
따라서 기업과 기관은 이번 계기를 통해 더 독립적이고 자율적인 보안 운영 체계(Secure DevOps, Threat Intelligence, CVE triage 등) 를 구축해야 할 필요가 있습니다.
'CyberSecurity > 해외🌍' 카테고리의 다른 글
| 🇺🇸 SSA COBOL 시스템, 무리한 마이그레이션 시도에 ‘빨간불’ (1) | 2025.04.08 |
|---|---|
| 🔒 21개국, 상업용 스파이웨어 남용 방지를 위한 'Pall Mall 협정' 체결! (2) | 2025.04.08 |
| 📌 주요 사이버범죄 그룹 ‘Scattered Spider’ 핵심 멤버, 노아 어반 유죄 인정 및 거액 배상 합의 💻🚨 (5) | 2025.04.08 |
| 🕵️♂️ FBI에 급습당한 유명 보안 교수, 무슨 일이 있었을까? (8) | 2025.04.05 |
| 🌞 태양광 발전 시스템, 친환경만큼 중요한 건 사이버 보안! (3) | 2025.04.05 |