최근 글로벌 보안 업계의 이목을 끈 가장 큰 화제는 미국 국립표준기술연구소가 국가 취약점 데이터베이스의 대부분에 대한 상세 정보 채우기 작업을 중단하기로 공식화한 사실이다. 이는 단순히 행정적 절차의 축소를 넘어, 현대 소프트웨어 생태계가 직면한 데이터 과부하와 리소스 한계를 적나라하게 보여주는 사건으로 해석된다. 과거에는 새로운 취약점이 발견될 때마다 해당 소프트웨어의 작동 환경, 영향 범위, 심각도 점수 등을 연구소가 직접 분석하여 표준화했으나, 최근 들어 이러한 전통적인 방식이 더 이상 현실적으로 유지되기 어렵다는 판단이 내려진 것이다.
이 결정이 주목받는 이유는 취약점 발견 속도와 이를 처리하는 인프라 간의 불균형이 극단적으로 벌어졌기 때문이다. 2024 년 초만 해도 수천 건 수준에 머물렀던 미처리 취약점 목록이 연말에는 3 만 건 가까이 불어났으며, 이는 연구소의 예산 삭감과 인력 부족 문제와 맞물려 해결이 불가능한 수준에 이르렀음을 시사한다. 특히 최근에는 인공지능을 활용한 자동화 도구의 발달로 인해 기존에 주목받지 못하던 레거시 오픈소스 프로젝트나 이론적인 수준의 취약점까지 대량으로 보고되는 현상이 가속화되면서, 모든 항목에 대해 깊이 있는 맥락을 부여하는 작업이 비효율적으로 변질되고 있다는 지적이 힘을 얻고 있다.
또한 이 변화는 보안 평가의 주체가 누구인가에 대한 근본적인 질문을 던지게 만든다. 많은 경우 취약점 번호를 발급하는 기관이 해당 소프트웨어를 직접 개발한 기업인 경우가 많아, 자사 제품의 결함을 과소평가하거나 심각도를 낮게 책정하려는 경향이 존재한다. 반대로 외부 기관이 수천 개의 다양한 소프트웨어 패키지에 대해 정확한 점수와 서사를 부여하기란 기술적 난이도가 매우 높다. 예를 들어 특정 시스템에서 즉시 루트 권한을 얻는 단순한 버그는 쉽게 판별할 수 있지만, 복잡한 내부 로직이나 특정 환경에서만 발생하는 미세한 결함은 해당 제품을 오랫동안 개발해 온 내부 전문가가 아니면 제대로 된 평가를 내리기 어렵다. 이러한 지식의 비대칭성은 외부 주체가 모든 취약점에 대해 일관된 기준을 적용하는 것을 사실상 불가능하게 만든다.
앞으로 NIST 는 CISA 가 선정한 actively exploited bugs, 연방 정부에서 사용하는 소프트웨어, 그리고 운영체제나 브라우저, 방화벽 등 핵심 인프라로 분류된 ‘중요 소프트웨어’에 대해서만 상세 데이터를 유지할 계획이다. 이는 사실상 보안 산업이 ‘모든 것을 다 챙기는 것’에서 ‘중요한 것에 집중하는 것’으로 패러다임을 전환하고 있음을 의미한다. 보안 전문가들과 기업들은 이제 각자 사용하는 소프트웨어의 취약점에 대해 스스로 맥락을 파악하고 우선순위를 정하는 능력이 더욱 중요해질 것이다. 데이터의 양이 폭증하는 시대에는 모든 정보를 표준화하여 제공하는 것보다, 핵심적인 위협에 대한 정확한 해석과 대응 전략을 수립하는 것이 더 큰 가치를 지니게 될 것이다.
작성자 소개
