NVD란? 취약점 정보를 공식적으로 관리하는 미국 정부의 보안 데이터베이스

CVE 번호는 들어봤지만, 그 상세 정보를 어디서 확인할 수 있을까?
보안 담당자들이 취약점에 대한 심각도, 영향도, 패치 정보 등을 가장 공식적으로 확인하는 곳이 있다.
미국 정부가 운영하는 NVD(National Vulnerability Database)이다.

NVD는 CVE와 함께 사이버 보안의 기준이 되는 핵심 정보 저장소로, 전 세계 수많은 기업과 기관이 참고하는 권위 있는 데이터베이스다.

 

NVD(National Vulnerability Database)란?

NVD(National Vulnerability Database)는 미국 국립표준기술연구소(NIST)가 관리하는 국가 취약점 데이터베이스로, 2005년부터 운영되기 시작했다. CVE(Common Vulnerabilities and Exposures) 시스템에서 발표된 취약점에 세부 정보, 심각도(CVSS 점수), 영향받는 소프트웨어, 해결 방안 등을 추가하여 제공하는 역할을 한다.

 

즉, CVE가 ‘취약점의 명명 체계’라면, NVD는 그 취약점에 대한 해설서이자 대응 매뉴얼인 셈이다.

 

 

NVD의 주요 기능

보안 실무에서 NVD가 제공하는 핵심 기능을 살펴보자.

• CVSS 기반 위험도 평가: 각 CVE에 대한 CVSS 점수(기본, 임시, 환경 점수 포함)를 계산해 제공
• 취약점 검색 및 필터링: 제품명, 버전, 공개일자, 심각도 기준 등으로 세부 검색 가능
• CPE(Common Platform Enumeration) 정보 제공: 어떤 제품이 영향을 받는지 명확히 표기
• 자동화 도구 연동: JSON, XML 형태의 데이터 제공으로 보안 시스템과 통합 가능
• 보안 권고 및 패치 정보 연결: 관련된 벤더의 패치 또는 권고 사항 링크 포함

 

NVD와 CVE의 관계

많은 사람들이 혼동하는 부분이 바로 CVE와 NVD의 관계다.

CVE 번호가 붙은 것은 접한 사람이 꽤 있지만, NVD는 뭔지 모르는 사람도 많다.

명확한 차이점을 살펴보자.

• CVE: MITRE에서 운영, 취약점에 고유 ID 부여 (예: CVE-2024-12345)
• NVD: NIST에서 운영, 해당 CVE에 대해 CVSS 점수, 영향도, 제품 목록, 대처 방법 등을 추가 제공

즉, CVE는 취약점 '이름표', NVD는 취약점에 대한 '사용 설명서'로 볼 수 있다.

 

 

NVD 활용 방법

NVD를 실무에서 활용하려면 어떻게 하면 될까?

• 보안 운영 자동화: EDR, SIEM, Vulnerability Scanner 등이 NVD 데이터를 자동 분석에 활용
• 취약점 대응 우선순위 결정: CVSS 점수를 기준으로 즉시 대응할 항목 식별
• 보안 정책 수립: 주기적인 취약점 분석을 통해 내부 보안 가이드라인 보완
• 정보보안 교육 및 보고서 작성: 공식적이고 신뢰할 수 있는 취약점 자료 제공처로 활용

 

NVD 한계와 유의 사항

공신력 있는 데이터베이스지만, 맹신하지 말고, 고려할 점을 파악하고 알려진 정보를 잘 활용해야 한다.

• 갱신 지연: CVE가 등록되었더라도 NVD에 반영되기까지 시차가 존재함
• CVSS 점수는 일반화된 평가: 조직의 환경에 맞게 ‘환경 점수’를 보완적으로 사용해야 함
• 비영어권 소프트웨어 정보 부족: 일부 글로벌 벤더 외 지역 기반 정보는 미흡할 수 있음

한계를 잘 이해하고 보완적으로 활용하는 것이 중요하다.

---

NVD는 보안 정보의 기준점이라고 볼 수 있다.

 

NVD는 단순한 취약점 목록이 아니라, 보안 대응의 출발점이 되는 데이터 허브다. 취약점 관리, 리스크 평가, 보안 전략 수립 등 거의 모든 사이버 보안 활동의 기반이 되며, 정보의 신뢰성과 체계성을 확보해 준다.

CVE가 보안의 알림이라면, NVD는 그에 대한 지침서다. 최신 위협에 대응하고 싶은가? 그렇다면 NVD를 꾸준히 모니터링하는 것이 가장 기본적인 대응 방법이다.

#NVD #취약점데이터베이스 #CVE #CVSS #NIST #보안정보 #보안자동화 #정보보안 #취약점관리 #보안정책