Kant's IT/Issue on IT&Security
NIST의 CVE 백로그 문제와 NVD 운영 개선 전략
Kant Jo
2025. 5. 7. 11:30
NIST Facing Challenges in Managing CVE Backlog in National Database
NIST Facing Challenges in Managing CVE Backlog in National Database
The National Institute of Standards and Technology (NIST) recently issued an update on its efforts to manage the backlog of Common Vulnerabilities and Exposures (CVEs) in the National Vulnerability Database (NVD).
gbhackers.com
- NVD 백로그 증가 배경
- 2024년 CVE 제출 건수가 전년 대비 32% 증가하면서 NVD(National Vulnerability Database) 운영에 부담 가중
- NIST는 2024년 여름 이전 수준의 처리 속도를 회복했으나, 제출 증가로 인해 백로그는 계속 누적 중
- CVE 등록 지연은 보안 패치 대응, 취약점 식별 등에 지대한 영향 미침
- NVD의 국가 사이버보안 인프라 내 역할
- NVD는 공공기관, 민간기업, 보안 솔루션 개발자들이 활용하는 핵심 취약점 데이터베이스
- CVSS 점수, 공격 경로, 영향도 정보 등은 보안 경고 시스템(SIEM), 취약점 관리 솔루션과 연동됨
- 데이터의 시의성과 신뢰성은 국가 기반시설 보호 및 보안 정책 수립에 직결됨
- NIST의 대응 전략
- NIST는 백로그 해소를 위해 내부 프로세스 개선에 착수
- CVE 처리 단계별 병목구간 식별 및 워크플로우 재정비
- 분석, 분류, 검증 단계 자동화를 위한 기술 적용 검토
- 머신러닝(machine learning) 기술 통합 추진
- 유사 취약점 간 비교 및 자동 분류 알고리즘 도입
- 텍스트 기반 설명 분석을 통한 취약점 특징 추출 자동화
- 우선순위 분류 기준 자동 판단 기능 구축
- NIST는 백로그 해소를 위해 내부 프로세스 개선에 착수
- 기술 통합에 따른 기대 효과
- 반복적이고 대량 처리 가능한 업무의 자동화로 인력 부담 경감
- 취약점 등록 속도 향상 및 데이터 품질 유지 병행 가능
- 향후 취약점 공개 급증에도 탄력적으로 대응할 수 있는 기반 확보
- 결론
- CVE 백로그 문제는 단순 행정 지연이 아닌 국가 사이버 위협 대응 지연으로 이어질 수 있음
- AI 및 머신러닝 기반 자동화는 필수가 되었으며, NIST는 이를 통한 프로세스 전환을 가속화해야 함
- 각국의 취약점 관리 기관은 유사한 문제에 대비해 자동화 역량 확보와 국제 협력 체계 구축을 병행할 필요 있음