5년간 CVE 제출량 263% 폭증... 국가취약점데이터베이스 운영 방식 개편
자체 심각도 점수 산정 중단, CISA KEV 목록 포함 여부 기준으로 집중력 높여
[보안뉴스 김형근 기자] 미국 국립표준기술연구소(NIST)가 국가취약점데이터베이스(NVD)에 등록되는 취약점(CVE)이 폭증함에 따라, 특정 조건을 충족하는 경우에만 추가 조치를 하는 선별적 정책으로 전환했다.
이번 조치는 2020-2025년 사이 CVE 제출량이 263% 급증해 기존 전수 분석 방식으로는 위협 확산 속도를 따라잡기 어렵다는 판단에서 비롯됐다. NIST는 15일(현지시간)부터 CISA KEV 목록에 포함된 취약점과 연방 정부 사용 소프트웨어, 국가 안보상 중대한 핵심 소프트웨어를 우선 분석 대상으로 삼고 업무를 재편했다.
기준에 미달하는 취약점은 목록에 기재되지만 ‘미정’(Not Scheduled)으로 분류돼 상세 분석 데이터 보강이 자동으로 이루어지지 않는다. 업무 효율을 높이기 위해 자체적 심각도 점수(Severity Score) 산정을 멈추고 취약점 발행 기관의 점수를 그대로 활용하는 방식으로 운영을 바꿨다.
올해 1분기 기준 취약점 제출량은 지난해 같은 기간 대비 30% 가량 늘어나며 가파른 증가세를 유지하고 있다.
보안 전문가들은 지난해 접수된 취약점 가운데 1만여개가 점수조차 매겨지지 않은 채 방치된 상황을 지적하며, 정부가 관리하는 단일 데이터베이스에 의존해 보안을 평가하던 체계가 한계에 다다랐다고 분석했다. 또 AI로 자동화된 위협에 대응할 수 있는 지능형 대응 체계를 구축해야 한다고 조언했다.
[김형근 기자(editor@boannews.com)]
자체 심각도 점수 산정 중단, CISA KEV 목록 포함 여부 기준으로 집중력 높여
[보안뉴스 김형근 기자] 미국 국립표준기술연구소(NIST)가 국가취약점데이터베이스(NVD)에 등록되는 취약점(CVE)이 폭증함에 따라, 특정 조건을 충족하는 경우에만 추가 조치를 하는 선별적 정책으로 전환했다.
이번 조치는 2020-2025년 사이 CVE 제출량이 263% 급증해 기존 전수 분석 방식으로는 위협 확산 속도를 따라잡기 어렵다는 판단에서 비롯됐다. NIST는 15일(현지시간)부터 CISA KEV 목록에 포함된 취약점과 연방 정부 사용 소프트웨어, 국가 안보상 중대한 핵심 소프트웨어를 우선 분석 대상으로 삼고 업무를 재편했다.
기준에 미달하는 취약점은 목록에 기재되지만 ‘미정’(Not Scheduled)으로 분류돼 상세 분석 데이터 보강이 자동으로 이루어지지 않는다. 업무 효율을 높이기 위해 자체적 심각도 점수(Severity Score) 산정을 멈추고 취약점 발행 기관의 점수를 그대로 활용하는 방식으로 운영을 바꿨다.
올해 1분기 기준 취약점 제출량은 지난해 같은 기간 대비 30% 가량 늘어나며 가파른 증가세를 유지하고 있다.
보안 전문가들은 지난해 접수된 취약점 가운데 1만여개가 점수조차 매겨지지 않은 채 방치된 상황을 지적하며, 정부가 관리하는 단일 데이터베이스에 의존해 보안을 평가하던 체계가 한계에 다다랐다고 분석했다. 또 AI로 자동화된 위협에 대응할 수 있는 지능형 대응 체계를 구축해야 한다고 조언했다.
[김형근 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
