NIST의 CVE triage, HN은 security metadata 부채로 읽었다

HN이 이 NIST 소식에 반응한 이유는 CVE 숫자가 많아졌다는 익숙한 이야기 때문만은 아니다. 커뮤니티는 “vulnerability metadata를 누가 마지막까지 책임지는가”라는 질문으로 받아들였다. NIST는 2026년 4월 15일부터 National Vulnerability Database 운영을 바꿔, 모든 CVE를 같은 방식으로 enrich하던 접근을 버리고 risk-based triage로 이동한다고 밝혔다.

NIST가 제시한 배경은 분명하다. CVE submissions는 2020년부터 2025년 사이 263% 증가했고, 2026년 1분기 submissions도 전년 동기보다 거의 one-third 높았다. NIST는 2025년에 약 42,000개 CVE를 enrich했지만, 그 생산성 증가만으로는 유입량을 따라갈 수 없다고 설명했다.

새 기준에서 우선 enrichment 대상은 CISA Known Exploited Vulnerabilities catalog에 오른 CVE, federal government에서 쓰이는 software의 CVE, 그리고 Executive Order 14028의 critical software 관련 CVE다. 기준 밖 CVE도 NVD에 등록되지만 “Lowest Priority - not scheduled for immediate enrichment”로 분류된다. NIST는 또한 CNA가 이미 severity score를 제공한 경우 별도 severity score를 routine하게 다시 제공하지 않기로 했다.

community discussion noted that 이 변화는 vendor와 CNA가 자기 software의 severity를 낮게 잡을 유인을 키울 수 있다는 우려를 낳았다. 반대로 일부 댓글은 NVD severity data가 원래도 완벽한 기준은 아니었고, 방대한 AI-assisted reports와 오래된 open source projects에 쏟아지는 reports 자체가 문제라고 봤다. 그래서 이 thread의 에너지는 “NIST가 포기했다”보다 “security teams가 이제 어떤 metadata pipeline을 조합할 것인가”에 가까웠다.

원문은 HN discussion, Risky Bulletin, 그리고 NIST update에서 볼 수 있다.