취약점 지수 ‘CVE’ 비효율적, ‘부정확하고 지연 일쑤’

[애플경제 엄정원 기자] 최근 보안업계에서 세계에서 가장 널리 사용되는 취약점 지수인 CVE(Common Vulnerabilities and Exposures) 시스템에 대한 우려와 비판이 간헐적으로 이어지고 있다. 흔히 점수가 부정확하고 너무 늦게 공개되어 제대로 작동하지 않고 있다는 지적이다. 사이버 보안을 예방하기 위한 경고 신호로서 기능이 약화되고 있는 것이다.

보안 전문가들 다수는 CVE 프로그램이 더 이상 기준에 미치지 못한다고 주장한다. 부정확한 점수에다 느린 경고 신호로 인해 업데이트가 필요하다는 것이다. CVE 데이터는 새롭게 변신하는 사이버위협에 대응하는 데 필수적이다. 하지만 부정확한 평가와 긴 대기 시간으로 인해 사이버 경보 역할을 제대로 못하고 있다는 지적이다.

보안업계, 최근 잇딴 CVE 문제점 경고

사이버레디, 사이버린트, 사이버시큐리티 인사이더 등 보안업계는 최근 이에 대한 각기 다른 실태조사를 통해 CVE 문제점과 그로 인한 사이버위험을 경고하고 있다. 데브섹옵스 회사인 소나타입(Sonatype)은 좀더 수치를 통해 사태의 심각성을 부각시키고 있다. 특히 세계적 취약점 기준으로 활용되고 있는 미국의 국립 취약점 데이터베이스(NVD)를 인용하고 있다. 이에 따르면, 조사 대상인 오픈소스 취약점 중 3분의 2 가량은 일정한 NVD의 ‘심각도’ 점수 측정 기준에 못미친 것으로 나타났다.

또한 오픈소스 CVE 중 3분의 1 정도만이 CVSS(사이버 위험 지표) 측정 역량 점수를 받았다. 점수가 매겨지지 않은 취약점의 거의 절반이 ‘심각’ 또는 ‘심각도 높음’으로 평가되었다.

특히 올들어 정보 공개와 취약점 점수 부여 사이에 평균 6주 이상의 지연이 발생했으며, 어떤 경우는 실제 보안 위험 권고가 이뤄질때까지 무려 50주나 걸린 것으로 알려졌다.

이처럼 심각한 지연 현상은 기업이나 개인의 안전성을 위협하고, 심각한 위험에 빠뜨린다는지적이다. 악용한 개념 증명이 몇 시간 안에 나타나는데 비해, 패치는 며칠 지나서 적용되는 실정이다. 이로 인해 시스템은 기능적으로 무력해질 수 밖에 없다. NVD가 위험도 점수를 부여할 때쯤이면, 공격자들은 이미 공격을 실행하고 다른 곳으로 도피한 다음이다.

심지어 최근엔 위험도 등급 자체의 신뢰성도 의심받고 있다. 점수가 매겨진 CVE 중 심각도 등급이 정확한 경우는 그다지 많지 않다는게 보안업계와 관련 기관들의 지적이다. 상당수NVD 점수의 심각도가 과장되거나 축소되었다. 게다가 CVE 기록에서 걸핏하면 오탐지가 확인되어 개발자의 시간을 낭비하고 실제 위협에 대비하는 시간을 놓치는 결과를 초래하기도 했다.

CVE 등급 자체 신뢰도 미흡

또한 CVE 프로그램은 최신 구성 요소에 의한 소프트웨어 개발의 규모와 속도를 고려하지 않는 경우가 많다. 오픈 소스의 경우가 그랬고, AI의 경우는 더욱 그렇다는 지적이다. 이에 사이버레디는 “취약점 인텔리전스는 누군가 어제 할당한 정보를 색인하는 것에서 벗어나, 환경에서 실제로 실행 중인 작업에 대한 실시간 감지가 필요하다”고 강조했다. 심지어는 “

CVE는 여전히 공통 언어이지만, 더 이상 전체 상황을 파악할 수 없다”면서 “버전이나, 생태계를 인식하고 머신 속도로 준비되는 동적 인텔리전스가 필요하다”고 지적했다.

CVE 데이터는 대부분의 사이버 보안 결정에 필수적이다. 그러나 2024년 2월에서 5월 사이, NVD는 이에 대한 우려를 감안, 대부분의 새로운 CVE에 대한 평가를 중단했다. 취약점 및 익스플로잇 인텔리전스 플랫폼 ‘VulnCheck’의 연구에 따르면, 새로운 취약점이나 악용된 취약점 다수가 그 때문에 여전히 평가를 기다리고 있었다. “그 후로 NVD가 이전 수준의 연구 성과를 회복하지 못했다”는게 소나타입의 지적이다.

실제로 NVD와 비영리 취약점 관리기관 ‘Mitre Corporation’ 모두 그 동안 CVE 시스템을 개선했지만 더 많은 노력이 필요하다는 지적이다. ‘MITRE’는 미국 연방 정부와 (취약점 관리) 계약을 한 바 있다. 그러나 2026년 3월에 계약이 만료됨에 따라, 내년은 CVE 프로그램의 운영 방식을 재평가하고, 소프트웨어 생태계 현실에 맞게 현대화될지 여부를 판단할 것이란 예상이다.