NIST, 볼륨 증가로 비우선순위 결함 평가 중단

Source: Bleeping Computer

개요

국립표준기술연구소(NIST)는 증가하는 제출량으로 인한 업무 부담이 커짐에 따라 낮은 우선순위 취약점에 대한 심각도 점수 부여를 중단합니다. 4월 15일부터 이 서비스는 위험 수준과 관련된 특정 기준을 충족하는 보안 문제에 대해서만 분석하고 추가 세부 정보(예: 심각도 등급, 제품 목록)를 제공할 예정입니다.

국가 취약점 데이터베이스(NVD)는 여전히 모든 제출된 취약점을 목록에 올리겠지만, 낮은 우선순위로 간주되는 경우 해당 취약점을 평가·제출한 CVE 번호 부여 기관(CNA)에서 제공한 심각도 등급만 표시됩니다.

새로운 NVD 정책

이번 주 발표에서 비규제 연방 기관은 다음 하나의 기준을 충족하는 취약점에 대해서만 추가 세부 정보를 제공한다고 밝혔습니다:

• CISA의 알려진 악용 취약점(KEV) 카탈로그에 포함된 경우
• 미국 연방 정부 소프트웨어에 영향을 미치는 경우
• 행정명령 14028에 정의된 핵심 소프트웨어와 관련된 경우

변경 이유

NIST는 최근 제출 건수가 263 % 증가했으며 2026년에도 계속 가속화되고 있기 때문에 이 결정을 내렸다고 설명했습니다. 조직은 2025년에 42,000개의 CVE를 보강했지만, 증가하는 양을 따라잡을 수 없게 되었습니다.

NVD의 역할

NIST NVD는 알려진 소프트웨어 및 하드웨어 취약점에 대한 공개 중앙 데이터베이스입니다. 공급업체와 비영리 MITRE Corporation과 같은 CVE 번호 부여 기관(CNA)이 할당한 고유 식별자(CVE ID) 위에 추가 설명과 분석을 제공합니다.

취약점 세부 정보를 보강하면 CVE 항목을 위험 관리에 활용할 수 있게 되며, 여기에는 다음이 포함됩니다:

• 심각도 점수 할당
• 영향을 받는 제품 버전 식별
• 취약점 분류
• 권고, 패치 또는 관련 연구에 대한 링크 제공

NVD는 보안 연구원, 소프트웨어 공급업체, 정부 기관, IT 전문가, 언론인 및 특정 보안 이슈에 대한 자세한 정보를 찾는 일반 사용자에게 널리 사용됩니다.

“모든 제출된 CVE는 여전히 NVD에 추가됩니다. 다만, 위 기준을 충족하지 못하는 경우 ‘Not Scheduled’(예정되지 않음)으로 분류됩니다,” 라고 NIST는 설명합니다.
“이를 통해 우리는 광범위한 영향을 미칠 가능성이 가장 높은 CVE에 집중할 수 있습니다. 기준을 충족하지 못한 CVE도 영향을 받는 시스템에 상당한 영향을 줄 수 있지만, 일반적으로 우선순위 카테고리의 취약점과 동일한 수준의 시스템 위험을 나타내지는 않습니다.”
Source

낮은 우선순위 CVE 처리

NIST는 새로운 규칙으로 인해 잠재적으로 높은 영향을 미칠 수 있는 CVE가 누락될 수 있음을 인정합니다. 이러한 이유로, 기관은 nvd@nist.gov 이메일을 통해 모든 최저 우선순위 CVE에 대한 보강 요청을 받습니다.