서론

침투 테스트를 수행하던 주말 새벽, 긴급 알림이 울렸습니다. 운영 중인 핵심 업무 서버에서 사용 중인 특정 네트워크 장비에 대해 “심각(Critical)” 등급의 취약점이 공개되었다는 내용이었습니다. 하지만 이상한 점이 있었습니다. 우리 팀이 주로 신뢰하던 NVD(National Vulnerability Database)나 CVE 목록에는 해당 취약점에 대한 정보가 아직 없거나, 등급이 낮게 책정되어 있었습니다. 반면, 중국의 CNNVD(China National Vulnerability Database)에서는 이미 며칠 전에 상세 분석 보고서와 함께 “최우선 패치” 권고를 내놓은 상태였습니다.

이러한 상황은 전 세계 보안 관리자, 특히 글로벌 서비스를 운영하거나 중국 내 하드웨어/소프트웨어 공급망을 포함한 기업에 겪는 ‘정보의 비대칭’입니다. CNNVD와 CNVD(China National Vulnerability Database - CNCERT 운영)라는 두 개의 거대한 데이터베이스는 동일한 취약점이라 할지라도 서로 다른 ID를 부여하고, 무엇보다 **공개 시점(Disclosure Timeline)**과 심각도 등급에서 상충되는 정보를 제시합니다. 단순히 “패치하세요"라고 말할 수 없는 상황입니다. 어떤 정보를 믿고, 언제 행동해야 할까요? 이 글에서는 이 혼란스러운 이중 구조의 기술적 배경을 분석하고, 실제 현장에서 이를 우회하여 방어 태세를 갖추는 실용적인 전략을 다룹니다.

[방어 목적 경고]: 본문에서 다루는 취약점 데이터베이스의 차이와 공개 시점 격차에 대한 분석은 오직 방어적 목적과 효율적인 취약점 관리(Vulnerability Management)를 위해 작성되었습니다.

본론: CNNVD와 CNVD의 구조적 차이와 혼선

1. 기관의 성격과 데이터 파이프라인

혼란의 근본적인 원인은 두 기관의 성격 차이에서 비롯됩니다. CNNVD는 CNITSEC(중국 정보기술 보안 인증 센터)에서 운영하며, 주로 **제품 보안 인증(Certification)**과 관련이 깊습니다. 반면 CNVD는 CNCERT/CC(중국 컴퓨터 네트워크 긴급 대응 조정 센터)에서 운영하며, **사고 대응(Incident Response)**과 조율에 중점을 둡니다.

이러한 구조적 차이는 취약점이 발견되었을 때의 흐름을 다르게 만듭니다. 아래 다이어그램은 동일한 취약점 보고서가 두 기관을 거치며 서로 다른 시점과 형태로 공개되는 과정을 단순화한 것입니다.

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17

graph TD
    A[취약점 발견 및 보고] --> B[공급사 확인 및 패치 개발]
    B --> C{보고 경로 분기}
    C --> D[CNVD]
    C --> E[CNNVD]
    
    D --> F[긴급 대응 초안 작성]
    F --> G[일정 기간 유예 후 공개]
    
    E --> H[인증 심의 및 등급 평가]
    H --> I[상세 분석 보고서 작성]
    I --> J[공급사 협의에 따른 조기 공개 또는 유예]
    
    G --> K[보안 관리자 혼선 발생]
    J --> K
    
    K --> L[우선순위 결정 난항]

이 흐름에서 볼 수 있듯이, CNNVD는 공급사(특히 중국 내 공급사)와의 협력을 통해 인증 과정을 밟기 때문에, 때로는 글로벌 CVE 리스트보다 먼저 혹은 더 상세한 정보를 공개하는 경향이 있습니다. 반면 CNVD는 대규모 사고 발생 시 긴급 공지를 내는 경우가 많습니다. 문제는 이 두 타임라인이 동기화되지 않을 때 발생합니다.

2. 상충되는 데이터 포맷과 시점 비교

실제 운영 환경에서 두 데이터베이스를 비교할 때 마주치는 주요 차이점은 다음과 같습니다.

| 비교 항목 | CNNVD (CNITSEC) | CNVD (CNCERT) | NVD (미국) - 참고 | | :— | :— | :— | :— | | 운영 주체 | 상업적/인증 중심 (중국 정보기술 보안 인증 센터) | 사고 대응 중심 (국가 컴퓨터 네트워크 긴급 대응팀) | 표준 중심 (NIST) | | ID 체계 | CNNVD-YYYYMM-XXX (독자적) | CNVD-YYYY-XXXXX (독자적) | CVE-YYYY-NNNN | | 공개 트리거 | 제품 인증 스케줄, 공급사 제출 | 대규모 유포 감지, 인시던트 리포팅 | CVE 할당 후 분석 (CNA 기반) | | 등급 산정 | 중국 국가 표준(GB/T) 기반, 독자적 CVSS | 영향도 중심, 상황에 따른 가변적 | 표준 CVSS v2/v3.1 | | 패치 정보 | 공급사 바이너리/소스 링크 제공 활발 | 일반적인 권고사항 위주 | 벤더 어드바이저리 링크 |

보안 관리자가 겪는 주된 어려움은 CNNVD ID와 CVE ID가 1:1로 매핑되지 않거나, 매핑에 시차가 존재한다는 점입니다. 예를 들어, CNNVD에선 심각도 9.8로 등록되었는데, 동일한 취약점의 CVE 매핑 결과가 나오지 않아 글로벌 스캐너에서는 잡히지 않는 ‘블라인드 스팟’이 발생합니다.

3. 공격 시나리오: 타이밍 격차(Timing Gap) 악용

[윤리적 경고: 아내 시나리오는 시스템의 취약점을 이해하고 방어 전략을 수립하기 위한 가상의 상황입니다.]

공격자들은 이러한 정보의 비대칭을 악용합니다. 다음은 공격자가 CNNVD의 조기 공개 정보를 이용하는 시나리오입니다.

1. 정보 수집: 공격자는 CNNVD가 특정 중국산 방화벽 장비의 원격 코드 실행(RCE) 취약점을 CVE 할당보다 먼저 공개했다는 점을 인지합니다. 2. 익스플로잇 개발: 아직 NVD나 글로벌 밴더가 패치를 배포하거나 공지하기 전인 ‘윈도우 기간’ 동안 익스플로잇 코드를 작성합니다. 3. 타겟팅: 글로벌 모니터링 시스템(NVD 기반)만을 의존하는 보안 팀이 있는 기업을 공격합니다. 이 팀은 해당 취약점을 ‘알 수 없음(Unknown)’ 상태로 간주하므로 방어 조치를 취하지 않습니다.

4. 실무 가이드: 데이터 정규화 및 자동화

이러한 혼선을 해결하기 위해서는 단일 정보 출처에 의존해서는 안 되며, 데이터 정규화(Normalization) 과정이 필수적입니다. 다음은 CNNVD와 CVE 데이터를 교차 검증하여 우선순위를 결정하는 파이썬 스크립트의 예시입니다.

이 코드는 보안 관리자가 내부 DB에 수집된 취약점 목록을 분석할 때, CNNVD의 정보가 CVE보다 앞서거나 더 높은 등급을 부여했는지 확인하는 로직을 포함합니다.

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52

import requests
from datetime import datetime

# Mock 데이터: 실제 환경에서는 각 DB의 API를 호출합니다
# CNNVD는 별도의 파싱 로직이 필요하며 여기서는 구조를 단순화했습니다.
def get_cnnvd_info(cnnvd_id):
    # 실제 API 호출 대신 모의 데이터 반환
    return {
        "id": "CNNVD-202310-1234",
        "cve_id": "CVE-2023-1234", # 매핑된 CVE (존재하거나 null)
        "severity": "High",
        "publish_date": "2023-10-01", # NVD보다 빠른 가정
        "description": "Remote Code Execution in Vendor X Device"
    }

def get_nvd_info(cve_id):
    # 실제 API 호출 대신 모의 데이터 반환
    return {
        "id": "CVE-2023-1234",
        "severity": "Medium",
        "publish_date": "2023-10-15", # 공개 지연 가정
        "description": "Buffer overflow in network daemon"
    }

def check_priority_conflicts(target_list):
    print(f"[{datetime.now()}] 취약점 우선순위 재조정 시작...")
    
    for target_id in target_list:
        # 1. CNNVD 조회
        cnnvd_data = get_cnnvd_info(target_id)
        cve_id = cnnvd_data.get("cve_id")
        
        conflict_detected = False
        action = "Monitor"
        
        # 2. 매핑된 CVE가 있는 경우 NVD와 비교
        if cve_id:
            nvd_data = get_nvd_info(cve_id)
            
            # 등급 상충 확인 (CNNVD High vs NVD Medium)
            if cnnvd_data["severity"] == "High" and nvd_data["severity"] == "Medium":
                conflict_detected = True
                action = "Patch Immediately (CNNVD High)"
            
            # 공개 시점 확인 (CNNVD가 NVD보다 현저히 빠른 경우)
            cnnvd_date = datetime.strptime(cnnvd_data["publish_date"], "%Y-%m-%d")
            nvd_date = datetime.strptime(nvd_data["publish_date"], "%Y-%m-%d")
            if (nvd_date - cnnvd_date).days > 7:
                conflict_detected = True
                action = "Patch Immediately (Early Disclosure)"
        
        # 3.

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12

 결과 출력 및 조치 권고
        status_icon = "⚠️" if conflict_detected else "✅"
        print(f"{status_icon} ID: {target_id} | CVE: {cve_id or 'N/A'}")
        print(f"   - CNNVD Severity: {cnnvd_data['severity']} (Pub: {cnnvd_data['publish_date']})")
        if cve_id:
            print(f"   - NVD Severity:   {nvd_data['severity']} (Pub: {nvd_data['publish_date']})")
        print(f"   -> Action: {action}")
        print("-" * 50)

# 실행 예시
target_cnnvd_list = ["CNNVD-202310-1234"]
check_priority_conflicts(target_cnnvd_list)

이 코드의 핵심은 **“신뢰할 수 없는 소스를 배제하는 것이 아니라, 소스 간의 모순을 식별하여 더 보수적인(conservative) 방어 전략을 취하는 것”**입니다.

5. 단계별 완화 조치 (Step-by-Step Mitigation)

CNNVD와 CNVD의 상충 문제로 인한 리스크를 줄이기 위해 다음 절차를 도입하십시오.

1. 데이터 피더 통합 (Unified Feed): * 단순 텍스트 비교를 넘어, NVD, CNNVD, CNVD의 데이터를 모두 수집하는 중앙 저장소(예: ElasticSearch 또는 전용 취약점 관리 솔루션)를 구축하십시오. * 각 취약점 엔트리에 source_trust_level 등의 필드를 추가하여 출처를 명확히 합니다.

2. 매핑 룰 강화 (Mapping Logic): * CNNVD ID가 CVE ID로 즉시 매핑되지 않는 경우가 많으므로, 제품명(Product Name), 버전(Version), CPE(Common Platform Enumeration) 정보를 기반으로 퍼지 매칭(Fuzzy Matching)을 수행해야 합니다.

3. 출처 기반 우선순위 정책 (Source-Based Prioritization): * 중국 내부 자산: CNNVD 등급을 우선시합니다. 중국 정부의 규제 준수가 필요하거나, 중국산 장비를 사용하는 경우 CNNVD의 공지 준수가 법적/사업적 필수 사항일 수 있습니다. * 글로벌 자산: NVD/CVE 등급을 기준으로 하되, CNNVD에서 “Critical"로 분류된 사항이 있다면 내부 등급을 한 단계 상향 조정(Grade Boosting)하는 정책을 적용합니다.

4. Threat Intelligence와의 연계: * 공개 시점의 차이(타이밍 격차)가 존재하는 취약점의 경우, 해당 기간 동안 해당 포트/서비스에 대한 탐지 규칙(Signature)을 임시로 강화하여 악용 가능성을 모니터링해야 합니다.

결론

CNNVD와 CNVD의 공개 시점 상충 문제는 단순한 데이터 오차가 아닌, 지정학적 맥락과 산업 생태계가 취약점 관리에 미치는 영향을 보여주는 사례입니다. 보안 관리자는 더 이상 NVD라는 ‘단일 진실의 원천(Single Source of Truth)‘만을 바라보며 안전할 수 없습니다.

핵심은 ‘데이터의 홍수’ 속에서 익사하지 않고 ‘신호’를 찾아내는 능력입니다. CNNVD가 글로벌 기준보다 빠르게 패치를 공개한다면 그것은 기회이자, 동시에 혼란의 요소입니다. 우리는 이 상충 정보를 자동화된 스크립트와 명확한 가이드라인을 통해 정규화해야 합니다. 가장 안전한 전략은 **“어느 한쪽이 ‘Critical’라고 외치면, 비록 다른 쪽이 ‘중요’하지 않다고 해도 즉시 조사하라”**는 보수적인 접근 방식입니다.

취약점 관리는 단순히 소프트웨어를 최신으로 유지하는 것이 아니라, 끊임없이 변화하는 정보 지형을 적응해 나가는 과정입니다. 오늘 설명한 CNNVD/CNVD 대응 전략이 여러분의 보안 운영 체계를 한 단계 더 견고하게 만드는 기반이 되기를 바랍니다.

참고자료

• CNNVD 공식 웹사이트
• CNVD 공식 웹사이트
• NIST National Vulnerability Database (NVD)
• China’s Dual Vulnerability Databases Expose Conflicting Disclosure Timelines - Cyber Press

출처: https://news.google.com/rss/articles/CBMieEFVX3lxTE5OR0hha0FfcGRyZUxiWTA2TFVVTzZHQWxBRlM3SUNNeFpJcFBmUk5BZWVrQmNJRXBvb1JRazFvWXRTTXpsUlB6SzMyLUJyb08xY19VUVNndHhYRF9QSE94R2tQQzMzVjRiVHpDV3kwNGdsTkZidWg0bg?oc=5