글로벌 사이버 보안 경보 시스템이 무너지고 있다
글로벌 사이버 보안을 책임지던 미국의 취약점 추적 시스템이 업무 과중과 예산 부족으로 사실상 마비되면서 전 세계 전문가들이 대안 마련에 나섰다.
우리는 매일 디지털 시스템에 삶을 맡긴다. 메시지를 주고받고, 물건을 사고팔며, 핵심 인프라 운영까지 디지털에 의존한다. 하지만 최근 보안 담당자들에게 위험한 소프트웨어 결함을 알려주는 글로벌 조기 경보 시스템에 심각한 공백이 생기기 시작했으며 대부분의 사용자는 자신의 디지털 환경이 점점 더 위험해지고 있다는 사실조차 인지하지 못하고 있다.
세계 사이버 보안을 유지해 오던 두 개의 핵심 시스템이 지난 18개월 사이에 사실상 붕괴 위기를 맞았다. 먼저 미국 정부의 지원 아래 전 세계 보안 관계자들에게 보안 위협 분석 자료를 무료로 제공해 온 국가 취약점 데이터베이스(National Vulnerability Database, 이하 NVD)가 2024년 2월 신규 정보 공개를 돌연 중단했다. 공개된 사유는 “정부 기관 간 지원 방식의 변화”라는 모호한 설명뿐이었다. 이어 2025년 4월에는 소프트웨어 결함을 추적하는 표준 식별 체계인 일반 취약점 및 노출(Common Vulnerabilities and Exposures, 이하 CVE) 프로그램도 비슷한 위기에 처했다. 계약 만료가 임박해 곧 운영이 중단될 수 있다는 내용의 내부 문서가 유출되었기 때문이다.
이후 사이버 보안 전문가들은 디스코드(Discord) 채널과 링크드인(LinkedIn) 피드에 긴급 대응 게시물을 올리고 ‘NVD와 CVE 묘비’ 밈을 퍼뜨리며 사태의 심각성을 알리기 시작했다. 보안 패치가 설치되지 않은 취약점은 사이버 공격자들이 두 번째로 자주 사용하는 경로로, 실제로 심각한 병원 시스템 마비나 주요 인프라 중단 사태를 낳기도 했다. 젠 이스터리(Jen Easterly) 미국 사이버 보안 전문가는 소셜미디어 게시물을 통해 “[CVE가] 사라지는 것은 도서관에서 도서 목록을 통째로 없애는 것과 같다. 방어자들은 혼란에 빠지고 공격자들은 그 틈을 노릴 것이다”라고 경고했다. CVE가 ‘서지 목록’처럼 각 소프트웨어 결함을 식별하는 역할을 한다면, NVD 항목은 해당 결함의 심각도, 범위, 악용 가능성 등을 상세하게 분석해 주는 ‘서평’ 같은 정보를 제공한다.
결국 미국 사이버안보 및 인프라 보안국(CISA)은 CVE에 대한 자금 지원을 1년 연장하며 이번 혼란이 “계약 관리상의 문제” 때문이었다고 해명했다. 그러나 NVD의 상황은 훨씬 더 복잡했다. NVD의 상위 기관인 미국 국립표준기술연구소(NIST)는 2024년 예산이 약 12% 삭감된 것으로 알려졌으며 비슷한 시기에 CISA도 NVD에 제공하던 연간 370만 달러(약 51억 원) 규모의 자금 지원을 중단했다. 이후 분석 적체가 심화되자 CISA는 이 공백을 메우기 위해 ‘취약점 보강(Vulnrichment)’이라는 자체 프로그램을 출범했고 여러 공인 파트너 기관들이 보강된 정보를 직접 공개할 수 있도록 하는 분산형 접근 방식도 함께 추진했다.
샌디 라데스키(Sandy Radesky) CISA 취약점 관리 담당 부국장은 “CISA는 새로 공개된 취약점의 위험성을 완화하기 위해 한정된 자원을 최대한 효과적으로 배분할 방법을 지속적으로 모색하고 있다”고 밝혔다. 그녀는 이 프로그램의 목적이 단순한 업무 공백 해소가 아니라 특정 이해관계자에게 필요한 권장 조치와 같은 고유한 정보를 추가로 제공하고 “취약점 보강 작업을 연방 정부가 전담하는 집중화된 구조에 대한 의존도를 낮추기 위한 것”이라고 강조했다.
한편 NIST는 적체 해소를 위해 외부 계약 인력 채용에 나섰다. 업무 처리 속도는 위기 이전 수준을 회복했지만 새로운 취약점의 공개 속도가 여전히 이를 크게 웃도는 실정이다. 소프트웨어 기업 앵코어(Anchore)의 데이터에 따르면 현재 처리 대기 중인 취약점의 수는 2만 5,000 건이 넘으며 이는 2017년 최고치의 약 10배에 달하는 수치다. 2017년 이전에는 NVD가 CVE와 거의 비슷한 속도로 정보를 제공했으며 별다른 업무 지연 없이 운영되었다.
지난 4월 한 업계 행사에서 당시 NIST 정보기술연구소 컴퓨터 보안 부서장직을 맡고 있던 매슈 숄(Matthew Scholl)은 “많은 혼란이 있었고 지금도 전반적으로 변화의 시기를 겪고 있다”면서 “모든 구성원은 NVD가 자원 조달 및 기능 양 측면에서 앞으로도 NIST의 핵심 임무로 계속 유지될 것이라는 점을 경영진으로부터 확인받았다”고 밝혔다. 이후 5월 숄은 20년간 몸담았던 NIST를 떠났고 NIST는 적체 문제에 대해 별다른 입장을 내놓지 않고 있다.
이러한 상황은 미국 정부 차원의 대응으로 이어졌다. 미 상무부(DOC)는 지난 5월 NVD에 대한 감사를 시작했고, 6월에는 미 하원 민주당 의원들이 CVE와 NVD 모두에 대한 전면적인 조사 필요성을 제기했다. 하지만 보안팀들이 새로운 사이버 위협의 시대에 대비하고 있는 가운데 이미 흔들린 신뢰는 지정학적 질서와 글로벌 공급망에도 영향을 미치고 있다. 기업용 취약점 관리 프로그램을 운영하는 로즈 굽타(Rose Gupta)는 “이번 일을 계기로 모두가 더 이상 이 시스템에만 의존할 수 없다는 것을 깨달았다”며 “내일 당장 예산이 늘고 시스템이 복구된다고 해도 이런 일이 또 일어나지 않으리라는 보장은 없다. 시스템 외에 다른 대비책을 갖춰야 한다”고 말했다.
공공 사이버 보안 인프라가 흔들리면서 전 세계 조직과 정부는 심각한 구조적 한계를 마주하게 되었다. 전 세계의 핵심 사이버 보안 서비스가 복잡한 미 정부 기관 간 이해관계와 언제든지 삭감되거나 전환될 수 있는 예산 지원에 의존해 왔다는 사실이 드러난 것이다.
보안 격차의 심화
인터넷 초창기 소수에 불과하던 소프트웨어 취약점은 이제 눈덩이처럼 불어났다. 수십 년간 이를 추적해 온 무료 데이터베이스는 이미 포화 상태에 이르렀다. 7월 초 CVE 데이터베이스에 등록된 취약점은 30만 건을 돌파했고 이 수치는 매년 놀라운 증가 속도를 보이며 종종 증가율이 10%를 훌쩍 넘기도 한다. NVD는 이번 위기 이전부터 이미 새로운 취약점 분석 결과를 제때 공개하지 못해 민간 보안 소프트웨어나 공급업체 권고보다 수주에서 수개월씩 늦는 일이 잦았다.
굽타는 자체 위협 인텔리전스 기능이 포함된 상업용 취약점 관리(VM) 소프트웨어를 도입하는 기업이 늘고 있다고 전했다. 그녀는 “우리는 그동안 VM 도구에 지나치게 의존해 왔다”며 보안팀들이 불안정한 공공 데이터베이스를 보완하거나 대체하기 위해 퀄리스(Qualys), 래피드7(Rapid7), 테너블(Tenable)과 같은 기업의 서비스 이용을 늘리고 있다고 말했다. 이러한 플랫폼은 자체 연구 결과와 다양한 데이터 출처를 종합해 독자적인 위험 점수를 제공해 보안팀이 취약점 대응의 우선순위를 정할 수 있도록 돕는다. 하지만 모든 기업이 이런 고급 보안 도구로 NVD의 빈자리를 메울 수 있는 것은 아니다. 굽타는 “이미 불리한 위치에 있는 소규모 기업이나 스타트업은 더욱 큰 위험에 노출될 수 있다”고 경고했다.
뉴델리의 한 클라우드 스타트업에서 근무하는 보안 엔지니어 코말 라와트(Komal Rawat)는 예산이 넉넉하지 않은 자사 상황을 언급하며 “NVD가 사라지면 시장 전반에 위기가 발생할 것이다. 다른 데이터베이스는 대중적으로 사용되지 않고 도입한다고 해도 비용을 지불해야 한다. 최신 정보를 확보하지 못한 기업은 사이버 공격에 무방비로 노출될 수밖에 없다”고 말했다.
취약점 분석 적체가 심화되면서 가정용 스마트 초인종부터 사무실 출입 통제 시스템에 이르기까지 새로 출시되는 기기들이 보안 사각지대에 놓일 위험도 커지고 있다. 특히 피해 기업이 많지 않은 ‘일회성 취약점’은 가장 치명적인 문제가 될 수 있다. 굽타는 “대부분의 기업에 직접적인 영향을 주지 않는 수천 개의 취약점에 대해서는 분석이 제대로 이뤄지지 않고 있어 위험성이 더 커지고 있다”고 지적했다.
한편 NIST도 어떤 조직이 가장 큰 피해를 보고 있는지 명확히 파악하지 못하고 있다고 밝혔다. 대변인은 “각 산업군이 어떤 보안 제품을 사용하는지를 추적하지 않기 때문에 특정 산업에 미치는 영향을 측정할 수 없다”고 밝혔다. 대신 NIST 팀은 CISA에서 공개한 알려진 취약점 목록과 마이크로소프트 패치 화요일(Microsoft Patch Tuesday, 마이크로소프트에서 매달 두 번째 화요일에 발표하는 보안 업데이트)과 같은 공급업체 권고에 포함된 취약점을 기준으로 우선순위를 정하고 있다.
가장 심각한 취약점
브라이언 마틴(Brian Martin)은 취약점 관리 시스템이 어떻게 발전했고, 또 어떻게 무너졌는지를 내부에서 지켜본 인물이다. 전직 CVE 이사회 위원이자 오픈소스 취약점 데이터베이스(Open Source Vulnerability Database)의 초기 프로젝트 리더로 활동했던 그는 수십 년간 사이버 보안 분야에 몸담으며 취약점 관리의 역사와 실무를 두루 경험했고 거침없는 발언을 쏟아내기도 했다.
마틴은 현재 자신이 진행 중인 VulnDB(플래시포인트 시큐리티(Flashpoint Security) 소속) 프로젝트가 과거 자신이 운영에 참여했던 공공 취약점 데이터베이스보다 성능이 더 뛰어나다고 주장했다. 그는 “우리 팀은 훨씬 더 많은 취약점을 훨씬 빠르게 처리하고 있으며 소요되는 비용도 훨씬 적다”고 말했다. 이는 정부가 기존 시스템 운영에 수천만 달러의 예산을 투입하고 있다는 점을 의식한 발언이다.
마틴은 지난 5월 인터뷰에서 자사 데이터베이스에 CVE 식별 번호가 부여되지 않은 취약점이 11만 2,000건 이상 포함되어 있다고 밝혔다. 이러한 취약점은 현실에 존재하지만 공공 보안 시스템에만 의존하는 조직들은 전혀 알지 못하는 보안 결함이다. 그는 “우리 팀의 인력을 세 배로 늘릴 수 있는 예산만 주어진다면 CVE 번호가 없는 취약점 수는 50만 건까지 늘어날 것”이라고 말했다.
미국에서는 공식적인 취약점 관리 업무가 여러 계약업체, 정부 기관, 그리고 마이터 코퍼레이션(Mitre Corporation)과 같은 비영리 기관에 분산되어 있다. 마틴과 같은 비평가들은 이러한 구조가 중복, 혼선, 비효율을 초래할 수 있으며, 중간 관리자만 많고 실제 취약점 전문가 수는 적다고 지적한다. 반면 이러한 분산 구조의 장점을 옹호하는 이들도 있다. CISA는 성명을 통해 “이러한 프로그램들은 서로를 보완하며 더 포괄적이고 협력적이며 다양한 커뮤니티를 형성한다”며 “그 결과 생태계 전체의 복원력과 활용도가 높아진다”고 밝혔다.
한편 미국의 리더십이 흔들리는 틈을 타 기술 주도권 확보에 나선 국가들도 있다. 중국은 현재 여러 개의 취약점 데이터베이스를 운영하고 있으며 일부는 매우 정교하지만 국가 통제 가능성에 대한 우려로 신뢰를 얻지 못하고 있다. 유럽연합(EU)도 5월 자체 데이터베이스와 함께 분산형 ‘글로벌 CVE(Global CVE)’ 아키텍처를 서둘러 출범했다. 소셜미디어와 클라우드 서비스에 이어 취약점 인텔리전스 또한 기술 주권을 둘러싼 새로운 경쟁 무대로 부상하고 있다.
결국 보안 전문가들은 서로 상충할 수 있는 다양한 데이터 출처를 직접 분석하고 판단해야 하는 부담을 안게 되었다. 굽타는 “혼란스럽겠지만 아무 정보도 없는 것보다는 차라리 정보가 넘치는 편이 낫다”며 자신의 팀도 복잡함을 감수하고 여러 데이터베이스를 동시에 모니터링하고 있다고 설명했다.
소프트웨어 책임의 재정립
보안 담당자들이 파편화된 사이버 보안 환경에 적응하고 있는 가운데 기술 업계는 “왜 소프트웨어 업체들은 보안 문제로부터 고객을 보호하는 데 더 큰 책임을 지지 않는가?”라는 또 다른 근본적인 질문을 제기하고 있다. 주요 소프트웨어 업체들은 매년 수천 건의 새로운 취약점을 공개하지만 그중 상당수에는 적절한 보안 패치가 제공되지 않는다. 그러나 단 하나의 보안 결함만으로도 핵심 시스템이 마비되거나 사기, 데이터 오용의 위험이 커질 수 있다.
사실 소프트웨어 업계는 수십 년 동안 법적 보호막에 기대어 책임을 회피해 왔다. 과거에는 소프트웨어 제조사들이 이른바 ‘슈링크-랩 라이선스(Shrink-wrap licenses)’라는, 구매자가 소프트웨어 포장을 개봉할 경우 소프트웨어 사용 계약에 동의하는 것으로 간주하는 방식을 통해 책임을 면제받았다. 오늘날에는 팝업 창으로 제시되는 ‘최종 사용자 라이선스 계약서(EULA)’가 그 자리를 대신하고 있지만 지나치게 길고 복잡해 일반 사용자가 이해하기 어려운 경우가 많다. 2023년 11월 ‘절망의 EULA(EULAS of Despair)’라는 실험 프로젝트에서는 톨스토이의 『전쟁과 평화』 분량(58만 7,287단어)을 기준으로 EULA 계약서의 길이를 측정했는데 그중 가장 긴 사례는 무려 15.83권 분량에 해당하는 트위터의 EULA였다.
펜실베이니아 주립대에서 기술법 교수 겸 미래 정책 혁신 연구소(Policy Innovation Lab of Tomorrow) 소장을 맡고 있으며 미국 특별 자문역으로도 활동 중인 안드레아 마트위시인(Andrea Matwyshyn)은 “현재의 보안 생태계는 일종의 법적 허구 위에 세워져 있으며 이는 계속 유지되기 어렵다”고 지적했다. 이어 그는 “소프트웨어가 제품과 서비스를 함께 포함하고 있어 책임 구조가 복잡하다는 주장도 있지만 공학이나 금융 소송처럼 매우 복잡한 사안도 전문가의 도움으로 해결할 수 있다”고 강조했다.
이러한 면책 장치에도 최근 균열이 생기기 시작했다. 2024년 7월 크라우드스트라이크(CrowdStrike)의 엔드포인트 보안 소프트웨어 업데이트 오류로 인해 전 세계 수백만 대의 윈도우 컴퓨터가 다운되었고 항공사, 병원, 911 신고 시스템 등 수많은 분야에서 대규모 장애가 발생했다. 피해 규모는 수십억 달러에 달하는 것으로 추산되며 오리건주 포틀랜드시는 ‘비상사태’를 선포하기도 했다. 이후 델타항공을 포함한 피해 기업들은 고액의 법률 대리인을 선임해 대규모 손해배상 소송 준비에 돌입했다. 이는 소프트웨어 책임을 둘러싼 본격적인 소송 시대의 개막을 알리는 신호로 해석된다.
수많은 취약점이 발생하고 있지만 그중 상당수는 이미 오래전부터 잘 알려진 유형에 해당한다. 예를 들어 데이터베이스 쿼리에 영향을 주는 SQL 인젝션(SQL injection)이나 코드를 원격으로 실행하는 버퍼 메모리 오버플로(buffer memory overflows)가 대표적이다. 마트위시인은 기업이 소프트웨어 공급망 전반에 어떤 구성 요소와 잠재적 취약점이 존재하는지 파악할 수 있도록 ‘소프트웨어 구성 명세서(S-BOM, Software Bill of Materials)’를 의무적으로 도입해야 한다고 주장한다. 최근 보고서에 따르면 전체 데이터 유출 사고의 30%가 제3자 소프트웨어 공급업체 또는 클라우드 서비스 제공업체의 취약점에서 비롯된 것으로 나타났다.
그녀는 “원가 절감을 위해 편법을 쓰는 기업과 고객을 위해 올바른 투자를 해온 기업을 구분할 수 없다면 결국 해당 시장에 있는 모든 기업이 손해를 보게 된다”고 덧붙였다.
CISA의 경영진도 이러한 문제의식에 공감하고 있다. CISA 대변인은 “추가 비용 없이 필수 보안 기능을 제공하고, 특정 유형의 취약점을 원천적으로 제거하며, 고객의 사이버 보안 부담을 줄이는 방식으로 제품을 설계하는 등 ‘보안 중심 설계 원칙(Secure-by-Design principles)’을 따르고 있다”고 강조했다.
디지털 ‘암흑기’를 피하려면
많은 보안 실무자들은 보안 공백을 메우기 위한 대안으로 인공지능(AI)에 기대를 거는 한편 AI 에이전트를 통한 사이버 공격의 범람에도 대비하고 있다. 실제로 일부 보안 연구자들은 오픈AI 모델을 이용해 새로운 ‘제로데이(zero-day)’ 취약점, 즉 소프트웨어 개발자나 공급업체가 인지하지 못한 보안 결함을 발견하기도 했다. 현재 NVD와 CVE 운영팀은 데이터 수집, 식별, 처리 과정을 효율화할 수 있는 ‘AI 기반 도구’를 개발 중이다. NIST는 “전체 분석 시간의 최대 65%가 피해를 입은 소프트웨어를 특정하는 제품 정보 코드인 CPE 생성에 쓰인다”며 “AI가 이 단순 반복 작업의 일부라도 처리할 수 있다면 전체 분석 작업 속도가 획기적으로 개선될 수 있다”고 기대했다.
반면 마틴은 AI에 대한 낙관론에 조심스러운 입장을 보였다. 그는 AI 기술이 아직 충분히 검증되지 않았고 부정확한 오류도 빈번히 발견되고 있는 점을 지적하며 이러한 한계가 보안 분야에서 치명적인 결과를 낳을 수 있다고 우려했다. 그는 “AI나 ML(머신러닝) 대신 99.5%의 정확도를 유지하면서 취약점 데이터 처리 과정의 일부를 전략적으로 자동화할 수 있는 방법이 존재한다”고 말했다.
AI는 지배구조 측면에서도 근본적인 한계를 안고 있다. 이와 대조적으로 CVE 이사회에서 탈퇴한 위원들이 2025년 4월 설립한 CVE 재단(CVE Foundation)은 국제 공공 기금으로 운영되는 비영리 모델을 제안했다. 이는 인터넷 주소 체계가 미국 정부 주도에서 국제 공동 운영 체계로 전환된 사례에 착안한 것이다. 일부 보안 전문가들은 구글의 OSV 프로젝트나 벌체크(VulnCheck)가 운영하는 NVD++ 같은 오픈소스 대안을 강화하자는 주장도 내놓고 있다. 이러한 플랫폼은 대중에게 개방되어 있지만 현재는 이를 구현할 자원이 부족한 실정이다.
다양한 개혁 시도가 이어지는 가운데 전 세계는 취약점 인텔리전스 또한 감염병 감시나 항공 안전과 마찬가지로 지속적인 협력과 공공 투자 없이는 유지될 수 없는 영역이라는 사실을 조금씩 깨닫고 있다. 이러한 기반이 뒷받침되지 않는다면 시장에는 고가의 유료 데이터베이스만 남게 되고 자금이 부족한 기업과 국가는 영구적인 보안 사각지대에 놓게 될 것이다.
이 글을 쓴 매슈 킹(Matthew King)은 뉴욕에 거주하는 기술 및 환경 전문 기자이다. 그는 과거에 사이버 보안 기업 테너블(Tenable)에서 근무했다.
The post 글로벌 사이버 보안 경보 시스템이 무너지고 있다 appeared first on MIT 테크놀로지 리뷰 | MIT Technology Review Korea.