펜타시큐리티 > Insight > CVE와 GCVE가 바꾸는 취약점 관리 전략

CVE와 GCVE가 바꾸는 취약점 관리 전략

2026-02-20 Insight
글로벌 취약점 식별 체계 CVE, GCVE

오늘날 조직은 하루에도 수십, 많게는 수백 건의 신규 보안 취약점 공지를 접합니다. 문제는 모든 취약점을 동시에 대응할 수 없다는 점입니다. 결국 보안 담당자는 “이 취약점이 얼마나 중요한가”, “우리 환경에 영향이 있는가”, “어떤 것을 먼저 패치해야 하는가”를 빠르게 판단해야 합니다. 이때 핵심 역할을 하는 것이 바로 취약점의 ‘공통 이름표’입니다. 서로 다른 벤더, 보안 솔루션, 리포트가 같은 취약점을 서로 다른 표현으로 설명한다면 이를 하나로 묶어 판단하기가 매우 어렵습니다. 이를 해결하기 위해 등장한 것이 CVE, 그리고 최근 주목받고 있는 GCVE와 같은 글로벌 취약점 식별 체계입니다. CVE가 지난 20여 년간 전 세계 보안 업계의 공통 언어 역할을 해왔다면, GCVE는 그 구조적 한계를 보완하고 미국 중심 구조에서 벗어나려는 새로운 시도로 평가받고 있습니다. 글로벌 취약점 식별 체계 CVE GCVE

 

글로벌 취약점 식별 체계 CVE, GCVE

 

CVE, 25년 넘게 이어진 글로벌 ‘공용 번호표’

CVE(Common Vulnerabilities and Exposures)는 공개된 보안 취약점에 고유한 식별자를 부여하는 글로벌 시스템입니다. 예를 들어 ‘CVE-2026-12345’와 같은 번호는 국가나 벤더, 도구가 달라도 모두가 동일한 취약점을 가리킨다는 것을 즉시 이해할 수 있게 해주는 기준점입니다. 일종의 취약점 세계 공용 주민등록번호라고 볼 수 있습니다.

CVE 프로그램은 1999년 미국의 비영리 기관 MITRE가 시작했으며, 현재까지도 MITRE가 중앙에서 관리하고 미국 CISA(Cybersecurity and Infrastructure Security Agency, 사이버보안 및 인프라 보안국)가 재정적으로 후원하는 구조로 운영되고 있습니다. 전 세계에는 CNA(CVE Numbering Authority)라 불리는 기관들이 존재하며, 이들은 자신이 담당하는 제품이나 범위 내에서 취약점을 확인하고 CVE 번호를 발급합니다. 이렇게 부여된 CVE는 NVD(National Vulnerability Database, 미국 정부가 관리하는 공공 데이터베이스)를 비롯한 각종 취약점 데이터베이스와 보안 솔루션의 기본 참조 데이터로 활용됩니다.

하지만 이 구조에는 분명한 한계가 있습니다. CVE는 미국 정부 예산과 MITRE라는 단일 기관에 강하게 의존하고 있으며, 실제로 2025년 예산 위기 당시 프로그램 중단 가능성이 거론되면서 전 세계 보안 업계가 큰 충격을 받았습니다. 이 사건은 ‘글로벌 소프트웨어 취약점 관리 체계가 한 국가의 재정·정책 결정에 얼마나 종속돼 있는가’라는 근본적인 질문을 던지는 계기가 되었습니다.

 

GCVE, 유럽이 주도하는 탈중앙화 취약점 체계

이러한 문제의식 속에서 유럽을 중심으로 GCVE(Global CVE)라는 새로운 취약점 관리 체계가 출범했습니다. GCVE는 CVE를 완전히 대체하겠다는 선언이라기보다는, 미국 중심의 단일 구조에 대한 의존도를 낮추고 선택지를 늘리려는 보완적 시도에 가깝습니다.

GCVE의 가장 큰 특징은 탈중앙화 구조입니다. CVE가 MITRE라는 중앙 기관을 통해 번호를 관리하는 방식이라면, GCVE는 GNA(GCVE Numbering Authority)라는 여러 독립 기관이 분산된 형태로 식별자를 발급합니다. 지정된 GNA는 중앙의 승인 절차 없이도 취약점을 문서화하고 공개할 수 있어 행정적 병목이나 예산 문제로 인한 지연 가능성을 줄입니다. 이러한 구조는 단순한 운영 효율성의 문제가 아니라 각국이 자국의 취약점 정보를 보다 자율적으로 관리하고 공유할 수 있는 기반, 즉 디지털 주권 확보 전략과도 맞닿아 있습니다.

또한 GCVE는 기존 CVE와의 단절을 지향하지 않습니다. MITRE CVE를 포함해 25개 이상의 공개 취약점 데이터 소스를 통합·상관분석하는 것을 목표로 하며, 이를 통해 특정 데이터베이스 하나에 의존하지 않는 가시성을 제공합니다. 다시 말해, 여러 곳에 흩어진 취약점 정보를 하나의 글로벌 관점에서 바라볼 수 있게 하려는 시도라고 볼 수 있습니다.

 

글로벌 취약점 식별 체계 CVE, GCVE

글로벌 취약점 식별 체계 CVE GCVE

CVE와 GCVE가 가져올 보안 운영의 변화

보안 운영 실무 관점에서 CVE와 GCVE의 공존은 곧 ‘여러 취약점 식별 체계를 동시에 관리해야 하는 시대’의 시작을 의미합니다. 기존 취약점 스캐너, VM 플랫폼, SOAR, 위협 인텔리전스 도구들은 대부분 CVE를 기준으로 설계되어 왔지만, 앞으로는 GCVE 식별자도 인식하고 두 체계 간의 매핑과 연관 분석이 요구될 가능성이 큽니다.

반면 보안 담당자 입장에서는 보다 빠르고 지역적으로 세분화된 취약점 정보를 활용할 수 있다는 장점이 생깁니다. 예를 들어 일부 유럽 벤더의 경우, 취약점 권고가 MITRE의 CVE 발급 큐에 반영되기 전에 GCVE를 통해 먼저 공개되는 사례가 나타나고 있으며, 이는 특히 유럽 시장이나 해당 공급망을 타깃으로 한 공격에 대응할 때 시간적 우위를 확보할 수 있습니다.

궁극적으로 조직은 ‘CVE만 확인하면 된다’는 의식에서 벗어나 여러 글로벌 취약점 체계를 동시에 모니터링하고 각 체계에서 발급된 식별자를 내부 자산·위협 관리 프로세스와 어떻게 연동할지에 대한 전략을 수립해야 합니다. 이는 단순히 번호 체계 하나를 더 도입하는 문제가 아니라, 취약점 인텔리전스의 출처를 다변화하고 특정 국가나 기관에 대한 단일 의존 리스크를 줄이는 보안 거버넌스 차원의 구조적 변화로 이해해야 합니다.

 

단일 표준에서 탈중앙화·다원화로

CVE는 지난 25년 동안 글로벌 취약점 관리의 사실상 표준으로 자리 잡으며, 전 세계 보안 커뮤니티가 공통된 언어로 소통할 수 있는 기반을 제공해 왔습니다. 그러나 최근 예산 위기와 거버넌스에 대한 우려는 ‘한 나라, 한 기관에 의해 지배되는 단일 표준’이 얼마나 취약한지 보여주었습니다. GCVE는 이러한 한계에 대응하는 탈중앙화·다원화 흐름의 시작점입니다. 앞으로 글로벌 취약점 체계는 CVE와 GCVE가 서로를 대체하기보다는 상호 보완하며 다양한 번호 체계와 데이터 소스가 공존하는 방향으로 진화할 가능성이 큽니다.

 

보안 조직은 이러한 변화를 단순한 용어 변화로 보지 말고 취약점 관리와 위협 인텔리전스 전반을 재설계할 기회로 삼아야 합니다. 도구, 프로세스, 운영 체계를 함께 점검하고 조정하는 일이 앞으로의 보안 경쟁력을 좌우할 것으로 전망됩니다.

 

 

Tags: