보안 인사이트
김인순
2025. 6. 9.
많은 보안 담당자들이 매일같이 ‘CVE-2025-XXXX’ 같은 번호를 마주한다.
이건 전 세계 보안 위협 정보를 정리해주는 CVE(Common Vulnerabilities and Exposures) 시스템에서 부여한 고유번호다.
CVE는 말 그대로 전 세계 해커들이 노릴 수 있는 소프트웨어의 ‘약점’ 목록이다.
그런데 최근 CVE 체계가 흔들리고 있다.
CVE 체계 불안
CVE 체계에 혼동을 가져온 건 해당 시스템을 운영하는 MITRE의 예산이 부족하기 때문이다.
미국의 비영리 기관 MITRE는 미국 사이버보안청(CISA)의 자금을 받아 CVE 시스템을 운영한다. 그런데 이 예산이 2025년 4월 말로 끊길 위기였다가 간신히 부활했다.
다행히 CISA는 MITRE에 11개월 동안 더 CVE를 운영할 예산을 배정했다. 문제는 이 기간이 끝나면 또 어찌될지 모른다는 불확실성이다.
CVE 시스템은 수많은 보안기업과 정부기관이 의존하는 핵심 인프라다. 이런 시스템이 1년 단위로 연명하는 구조로 운영되는 것이다.
미국 정부 예산이 끊기면 취약점 등록이 지연되거나 멈출 수도 있다. 즉, 보안 대응 타이밍이 늦어질 수 있다는 말이다.
CVE는 미국 중심으로 운영하는 시스템이다. 다시 말해, 전 세계 사이버보안의 기준이 사실상 ‘미국 정부’에 의해 좌우되는 구조였다.
미국 정책이 바뀌거나 정권이 바뀌면 세계 보안 대응 체계가 함께 흔들릴 수 있는 것이다.
이때문에 한 국가에 의존하는 구조를 바꿔야 한다는 목소리가 높아지고 있다.
여기에 최신 기술이 CVE 체제에 적합하지 않다는 의견도 나온다.
CVE는 기본적으로 소프트웨어나 하드웨어에 있는 명확한 결함(버그)을 대상으로 한다. 하지만, 클라우드가 확산된 요즘엔 상황이 복잡하다.
클라우드 서비스는 매일 업데이트되고, 사용자 개입 없이 자동으로 바뀐다. 어떤 서비스는 ‘사용자가 아무것도 안 해도’ 보안 위험이 발생한다. 이런 문제는 CVE에 등록되지 않는 경우가 많다. CVE는 보통 ‘패치 대상’이나 ‘업데이트 대상’이 명확해야하는데 클라우드는 이 구조에 맞지 않는다.
CVE가 전통적인 소프트웨어 모델에는 잘 맞지만, 클라우드, SaaS, AI, API 연동형 서비스 같은 신기술 기반 환경에서는 사각지대가 발생하고 있다.
보안 커뮤니티는 어떻게 대응하나
이런 이유 때문에 보안 커뮤니티는 지금 ‘CVE 대체재 혹은 보완책’을 고민하고 있다. 유럽(EUVD), 중국(CNNVD), 민간 기업 등 취약점에 대응하는 새로운 체계를 만들고 있다.
유럽(EU) EUVD
“미국 중심 시스템에 전적으로 의존하지 않겠다. 유럽은 유럽의 눈으로 판단하겠다.”
유럽연합의 사이버보안 기구인 ENISA는 취약점 데이터베이스 EUVD(European Vulnerability Database)를 시작했다. ENISA는 2025년 5월 13일 베타 버전으로 운영되던 EUVD를 공식 운영한다고 발표했다.
미국 CISA의 예산 축소로 CVE 논란이 계속되는 중에 나온 조치다.
ENISA는 기존 CVE 시스템만으로 유럽 정책과 현실을 반영하기 어렵다는 이유로 자체 시스템을 도입했다.
EUVD는 CVE와 유사한 고유번호 체계(예: EUVD-2025-1234)를 갖추고 있다. CVE 번호도 함께 표기하도록해 기존 시스템과 연동성과 호환성을 고려했다.
EUVD는 국가 간 CSIRT 협력 결과나 실제 악용된 사례 중심으로 정리돼 있어, 위험도 우선순위 파아기 쉬운게 특징이다. EUVD는 Vulnerability-Lookup 같은 오픈소스 분석툴과도 자동 연계될 수 있도록 설계됐다.
중국 CNNVD
“사이버 보안도 자국 중심으로. 정보 주권은 보안의 시작이다.”
중국 정부는 공식 취약점 데이터베이스 CNNVD(China National Vulnerability Database)를 운영한다.
CNNVD는 중국 국가안전부(MSS) 산하의 ‘중국정보기술보안평가센터(CNITSEC)’가 운영한다. CNITSEC는 MSS의 13국으로, 중국의 사이버 작전과 정보 수집을 담당하는 기관이다.
공식적으로 CNNVD는 정보 기술 제품과 시스템의 보안 취약점을 분석한다. 당과 정부 기관의 정보 네트워크와 중요한 정보 시스템의 보안 위험을 평가하며, 보안 테스트 및 평가를 수행한다. 한국의 국정원과 비슷한 역할을 한다.
CNNVD는 미국 CVE를 참조하면서도 독자적인 취약점 번호와 등록 체계를 갖고 있다.
중국 기업 제품의 취약점은 CVE보다 CNNVD에 먼저 등록되는 경우도 많다. 검열 통제 논란도 있지만, 중국 내 보안 대응에는 필수 시스템으로 자리잡고 있다. 때로는 CVE보다 빠르게 취약점이 등록되는 사례도 있어, 해외 연구자들도 CNNVD를 참고한다.
CNNVD는 중국의 사이버 보안 전략과 정보 수집 활동의 일환으로 운영된다. 단순한 취약점 데이터베이스 이상의 역할을 수행하고 있는 것으로 알려졌다. 정보의 투명성 부족과 공개 지연 등의 문제로 국제 사회에서는 신뢰성에 대한 의문이 제기된 상황이다.
보안 전문가들은 CNNVD의 정보를 참고하되, 다양한 취약점 데이터베이스와의 교차 검증을 통해 보다 정확하고 신뢰할 수 있는 형태로 이용한다.
민간 기업은 비즈니스로
민간 기업은 기존 CVE 체계의 한계를 보완하며, 보다 신속하고 상세한 보안 정보를 제공하는 비즈니스를 하고 있다. 민간 취약점 DB는 CVE에 등록되지 않은 취약점이나 최신 보안 위협 정보에 가치를 두고 있다.
사이버 보안 기업 플래시포인트는 VulnDB를 운영한다. VulnDB는 본래 리스크 베이스트 시큐리티(Risk Based Security)라는 기업이 만들었는데 지금은 플래시포인트가 운영한다.
기업 고객을 대상으로 하는 상업용 취약점 DB다. CVE보다 더 빠르고, 더 많은 정보를 제공하는 것이 특징이다. VulnDB는 CVE에 없는 비공식 취약점 정보까지 포함된다. 공격코드(PoC), 실제 피해 사례, 대응 방안까지 구체적으로 포함된게 특징이다. 기업은 VulnDB를 API로 연결해서 자동 보안 시스템에 연동할 수 있다.
스닉(Snyk)는 오픈소스 및 클라우드 환경의 취약점 정보를 제공하는 데이터베이스를 운영한다. 이 데이터베이스는 npm, Maven, pip 등 다양한 패키지 매니저와 클라우드 플랫폼의 취약점 정보를 포함한다. 개발자들이 사용하는 라이브러리나 종속성에서 발생할 수 있는 보안 문제를 식별하고 대응할 수 있게 한다.
기업 보안담당자의 대응 전략은?
CVE 외 다양한 취약점 데이터베이스도 함께 보자
많은 보안팀은 CVE 하나만을 기준으로 취약점을 관리한다. 하지만, 이제는 유럽과 중국, 민간 기업 취약점 처럼 다양한 데이터베이스를 봐야 하는 시대다.
예를 들어 VulnDB는 CVE에 등록되지 않은 취약점만 10만 건 이상을 보유하고 있다. CVE만 보면 놓칠 수 있는 보안 위협이 꽤 많다는 뜻이다.
‘공식 등록’을 기다리지 말고, 먼저 찾아내자
CVE의 가장 큰 한계는 ‘공식 등록’이라는 속도다. 심지어, 중국의 CNNVD는 공개 날짜를 고의로 늦추거나 조작한 전례도 있다. 이제 보안 담당자는 CVE만 기다리지 말고, 오펜시브 보안 전문가와 함께 먼저 취약점을 찾아야 한다.
우리 회사 환경에 맞는 DB를 골라 쓰자
데이터베이스가 많다고 해서 다 쓸 수는 없다. 우리 회사 시스템과 네트워크 구성에 적합한 DB를 골라 써야 한다.
예를 들어, 오픈소스 패키지 위주인 경우는 Snyk을, 전사 IT 자산까지 포괄할 땐 VulnDB가 유용하다. 우리 환경에 따라 데이터 출처를 선택하고, 우선순위를 정하는 게 효율적아다.
CVE는 여전히 유용한 기준이지만, 하나만으론 부족한 시대다. 이제는 다양한 취약점 데이터베이스를 참조하고, 정보를 비교하고, 우리 조직에 맞게 적용하는 능동적인 보안 운영 전략이 필요하다.
변화는 지금도 계속되고 있다. 기업의 보안담당자는 이런 흐름 속에서 정보를 모으고, 구조를 만들고, 대응력을 높여야 한다.