【드래곤 스포츠】 보증업체놀이터추천홍보 : 프로그램제작판매제작의뢰 : 스포츠분석 : 무료스포츠중계tv : 섹시bj움짤 : 뉴스 : 안구정화

로그인

글쓰기

[IT뉴스]AI로 취약점 발견 늘자 NIST ‘선별 관리’ 선언… 의미와 대책은 [보안 아웃룩]

온카뱅크관리자

2026-04-22 06:07:30

<div id="layerTranslateNotice" style="display:none;"></div> 국내도 ‘위험·맥락’ 고려해 자체 거버넌스 논의해야 
 <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
 <section dmcf-sid="07FlXMHldf">
 미국 국립표준기술연구소(NIST)가 국가취약점데이터베이스(NVD) 운영 방식을 전면 수정한다. 모든 소프트웨어 취약점을 일괄 분석하던 기존 체계에서 벗어나 실제 악용 가능성과 영향도를 기준으로 한 '선별 관리' 체제로 전환하기로 했다.
 <div contents-hash="95330b12ce6b304ed3bf9f227c783471d483c6bbf614b72dcbe38fcc7fa449af" dmcf-pid="Uq0v5eZvJ2" dmcf-ptype="general">
 인공지능(AI) 기반 도구 확산으로 소프트웨어 취약점 보고가 폭증하면서, 중앙 기관이 전 세계 취약점 데이터를 일일이 분석·정제해 제공하던 기존 역할을 더 이상 감당하기 어려워졌다는 판단에서다. 글로벌 보안 업계에서는 "AI가 만든 취약점 폭주 시대를 NIST가 공식적으로 인정한 것"이라는 평가와 함께, 취약점 관리 패러다임을 '건수 중심'에서 '위험·맥락 중심'으로 바꿔야 한다는 목소리가 나오고 있다.
 </div>
 <figure class="figure_frm origin_fig" contents-hash="0620d7221646517b083fa13e46204d6d767c377f6bca4f45ca41a8a16cb27213" data-idxno="441333" data-type="photo" dmcf-pid="uBpT1d5TL9" dmcf-ptype="figure">
 <img alt="미국 국립표준기술연구소(NIST)가 국가취약점데이터베이스(NVD) 웹페이지 / NIST NVD 홈페이지 갈무리" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202604/22/552810-SDi8XcZ/20260422060508391yjds.jpg" data-org-width="600" dmcf-mid="365IYPWIM4" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202604/22/552810-SDi8XcZ/20260422060508391yjds.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 미국 국립표준기술연구소(NIST)가 국가취약점데이터베이스(NVD) 웹페이지 / NIST NVD 홈페이지 갈무리
 </figcaption>
 </figure>
 '모든 취약점' 관리 포기… '중요한 취약점'만 다룬다
 NIST는 지난 14일(현지시각) 공식 뉴스룸 공지를 통해 "NVD의 취약점 데이터 보강(enrichment) 전략을 조정한다"며 "모든 CVE(Common Vulnerabilities and Exposures)에 동일한 수준의 분석 정보를 제공하던 기존 방식에서 벗어나, 가장 중요한 취약점에 분석 역량을 집중하겠다"고 밝혔다.
 그동안 NIST는 전 세계에서 보고되는 CVE에 대해 위험 점수(CVSS), 영향 범위, 관련 제품 정보 등을 일괄 정리해 공개해 왔다. 각국 정부와 기업, 보안 솔루션은 이 데이터를 사실상 '공인 기준'으로 삼아 취약점 관리 정책과 자동화 규칙을 설계해 왔다.
 하지만 연간 취약점 보고 건수가 수만건 수준으로 치솟으면서, NVD가 등록되는 모든 CVE에 대해 동일한 수준의 정보를 붙이는 전수 분석 방식은 점점 한계에 부딪쳤다. 2020~2025년 사이 CVE 제출량이 263% 급증했고, NIST는 2025년 한 해에만 4만건이 넘는 NVD 항목을 보강한 것으로 알려졌다. 그럼에도 업데이트 지연과 항목 누락 문제가 반복되면서 "사실상 데이터베이스가 마비됐다"는 비판까지 제기됐다. 결국 NIST가 뒤늦게 구조적인 한계를 공식적으로 인정하고 '중요한 취약점' 위주로 체제를 선회한 것으로 풀이된다.
 AI 기술은 이 변화를 촉발한 직접적인 배경으로 꼽힌다. 코드 리뷰와 정적·동적 분석(SAST·DAST), 웹 취약점 진단, 침투 테스트 등 개발·보안 전 과정에 AI 기반 도구가 빠르게 도입되면서, 기존 인력 규모로는 불가능했던 속도로 취약점을 찾아내는 환경이 만들어졌다.
 보안 업계에서는 "AI 기반 취약점 스캐너와 퍼저(fuzzer), 자동 침투 테스트 도구 등이 잠재 취약점을 대량으로 발굴해내면서, '발견'의 병목은 상당 부분 해소됐다"는 평가가 나온다. 여기에 최근에는 최신 대형언어모델(LLM)의 향상된 성능에 기반한 '미토스(Mythos)' 같은 AI 에이전트까지 등장하면서 코드·설계·구성 오류를 동시에 겨냥한 자동 탐색이 가능해졌다. 업계는 미토스와 같은 AI가 본격적으로 확산되면 향후 취약점 발견 건수는 지금보다 더 가파르게 늘어날 것으로 보고 있다.
 실제 공격에 활용되는 취약점은 일부에 불과
 다만 급증하는 취약점 가운데 실제로 공격에 활용되는 사례는 극히 제한적이다. 안랩 시큐리티 긴급대응센터(ASEC)에 따르면, 2026년 1분기 신규 CVE는 1만4462건으로 집계됐다. 이 가운데 CVSS 9.0 이상 '심각' 등급 취약점은 9.8%에 불과했다. 실제 악용이 확인돼 미국 CISA의 '이미 악용된 취약점(KEV)' 목록에 오른 건 71건, 이 가운데 9.0 이상은 23건이었다. CISA KEV 카탈로그 전체로 보면 2025년 한 해에만 수백 건의 새로운 취약점이 추가돼 누적 1400여건을 넘겼지만, 이는 연간 수만건씩 쏟아지는 CVE 가운데 극히 일부분에 해당한다.
 그럼에도 그동안 NIST는 수만건의 취약점에 일관된 형식으로 데이터를 붙이기 위해 노력해 왔다. 그러나 CVE 접수량이 짧은 기간 동안 2배 이상 늘어난 상황에서, 더 이상 같은 방식의 운영을 지속하기 어렵다는 판단에 이른 것으로 보인다.
 이번에 NIST가 발표한 새 전략의 핵심은 '선별 관리'다. 앞으로는 CVE 할당과 기본 정보 제공은 유지하되 자세한 분석과 점수 부여, 영향 평가 등 고부가 작업은 "실제 위험이 큰 취약점"에 우선 배분하겠다는 입장이다. 구체적으로는 실제 악용이 확인돼 CISA KEV에 등재된 취약점, 미국 연방정부와 공공기관이 사용하는 제품 관련 취약점, 운영체제·브라우저처럼 인프라 성격이 강한 핵심 소프트웨어 취약점이 우선 대상이다.
 이런 항목에는 기존과 비슷한 수준의 상세 정보를 제공하는 대신, 나머지 대다수 취약점은 최소한의 정보만 제공하거나 제조사·커뮤니티가 올린 데이터를 그대로 싣는 방식으로 전환하겠다는 구상이다. 즉 CVE 번호 발급은 계속하되 어떤 취약점을 얼마나 깊게 분석할지는 앞으로 선별하겠다는 뜻이다. 이는 곧 지금까지 NIST가 담당해 온 공적 책임 범위를 현실에 맞게 재조정하겠다는 선언으로, 취약점 관리의 무게 중심이 바뀌고 있음을 보여준다.
 그동안 국내외에서는 "우리 시스템은 알려진 취약점을 몇 건 갖고 있는가", "심각·높음 등급 취약점이 얼마나 남아 있는가" 같은 숫자를 보안 수준을 설명하는 간편한 지표로 삼는 관행이 적지 않았다. 취약점 진단 결과를 보고할 때도 '조치 건수'나 '미조치 취약점 수'가 흔히 쓰이는 만큼, 건수 위주 관리에서 실제 위험과 맥락을 반영하는 방식으로의 전환이 필요하다는 지적이 나온다.
 취약점 '홍수' 이후, 남은 건 선택과 거버넌스
 AI가 촉발한 취약점 폭증은 기존 관리 방식이 더 이상 유효하지 않음을 드러냈다. 실제 공격자가 활용하는 취약점이 무엇인지, 해당 취약점이 자사 자산 구조와 어떻게 연결되는지, 이를 악용한 공격 시나리오가 어떤 피해로 이어질 수 있는지를 종합해 우선순위를 정하는 '악용 기반·맥락 기반 관리'로의 전환이 요구되고 있다. 특히 공급망 보안 측면에서는 "AI가 찾아낸 취약점이 오픈소스 라이브러리와 SaaS(서비스형 소프트웨어), 클라우드 서비스에 대거 분포할 경우, 한 번 악용으로도 광범위한 피해가 날 수 있다"는 우려도 제기된다.
 물론 AI의 역할은 양면적이다. AI는 공격을 가속화하기도 하지만, 더 많은 취약점을 더 빠르게 찾아내는 도구로 사용될 수 있기 때문이다. 코드 어시스턴트, 자동 퍼저, 침투 테스트 에이전트 등이 대표적이다. 동시에 AI는 방대한 취약점 목록과 자산 정보, 공격 로그를 결합해 "이 조직에 지금 가장 위험한 취약점이 무엇인지", "어떤 패치부터 적용해야 하는지"를 계산해주는 우선순위화 도구로도 활용될 수 있다. 업계에서는 "AI가 취약점 '발견'을 가속하는 만큼, 방어 측에서도 AI로 '선별'과 '정렬'을 자동화하지 않으면 균형을 맞추기 어렵다"는 지적이 나온다.
 NIST의 이번 결정은 미국이 그간 담당해온 공적 취약점 인프라의 역할에 근본적인 질문을 던진다. CVE와 NVD는 여전히 취약점 관리의 기본 뼈대지만, 예전처럼 "전 세계 취약점의 의미를 한 곳에서 정의하는 최종 기준" 자리를 유지하기는 어려울 전망이다. 대신 제조사의 자체 보안 공지, 상용 위협 인텔리전스, 커뮤니티 기반 데이터베이스, 각국 정부의 악용 취약점 목록 등 여러 축이 함께 쓰이는 다원적 구조가 작동할 전망이다. 그리고 그 속에서 각 조직이 스스로 위험을 해석하고 우선순위를 정해야 하는 부담이 커질 것으로 보인다. 결국 이제 취약점이 얼마나 많이 보고되느냐보다는, 그 가운데 어떤 것을 공적으로 책임지고 관리할 것이며, 그 역할을 누구에게 기대할 수 있느냐를 다시 고민할 시점이 됐다는 의미다.
 한 보안 업계 관계자는 "NIST의 이번 결정을 그저 비판만 하기보다는 우리 정부를 포함한 각국 정부와 보안 산업계가 어떤 수준의 취약점을 최소한의 공적 관리 범위에 포함시킬지, AI 기반 도구와 데이터에 어디까지 의존할지에 대한 거버넌스 논의를 시작해야 한다"고 말했다.
 정종길 기자 jk2@chosunbiz.com
 </section> 
 </div> 
 Copyright © IT조선. 무단전재 및 재배포 금지.

댓글 총 0개

이번주 포인트랭킹

매주 일요일 밤 0시에 랭킹을 초기화합니다.

14,000상품권
23,000상품권
32,000상품권

업체홍보/구인 더보기

지식/노하우 더보기

판매의뢰 더보기

포토 더보기