사이버 보안 환경이 복잡해지고 규제 요건이 강화되는 가운데, 외부 공격 표면에 대한 정밀한 가시성과 취약점 관리의 중요성이 커지고 있다. 특히 CVE 부족 현상이 가시화되면서 새로운 정보 출처에 대한 수요가 높아지고 있다.

외부 공격 표면 관리(EASM) 플랫폼 기업 아탁시온(Attaxion)이 자사 플랫폼에 유럽연합 사이버보안청(ENISA)이 운영하는 유럽 취약성 데이터베이스(European Vulnerability Database, 이하 EUVD)를 통합한다고 발표했다. 아탁시온은 EUVD 통합을 통해 업계 최초로 공공 데이터 기반의 EASM 플랫폼을 구현하게 됐다.

CVE 부족 문제 대응, 규제 연계형 위협 인텔리전스 강화

EUVD는 NIS2 지침에 따라 구축된 공개 접근형 취약점 저장소로, 2025년 4월 중순 베타 테스트를 시작했다. 이 데이터베이스는 고유한 EUVD 식별자 부여, CVE와의 교차 참조, CSIRT 및 기타 출처의 정보 수집, 악용 현황과 완화 조치 등의 실행 가능한 정보를 제공하는 다중 이해관계자 접근 방식을 채택하고 있다.

최근 CVE 자금 위기가 해소되지 않고 있으며, NIST에서 아직 처리하지 못한 취약점의 증가가 보고되고 있다. 이에 따라 여러 기관은 보다 신뢰할 수 있는 취약점 데이터 소스를 탐색 중이며, 아탁시온은 자사 분석 데이터에서 확인된 취약점 중 단 30%만 CVE ID를 갖고 있다는 점을 언급하며 EUVD의 역할이 더욱 중요해졌음을 밝혔다.

취약점 분석 정확성 향상과 규정 대응 지원

이번 통합으로 아탁시온 플랫폼은 각 취약점에 대해 EUVD ID를 부여할 수 있으며, 이는 악용 여부, 영향을 받은 제품, 참조 정보 등의 메타데이터를 제공한다. 이 데이터는 CVSS 점수 및 미국 사이버안보 및 인프라 보안국(CISA)의 KEV(Known Exploited Vulnerabilities) 목록과 함께 표시되어, 보안 팀이 심각도, 악용 가능성, 규제 관련성을 기준으로 우선순위를 명확히 설정할 수 있도록 한다.

EUVD 연동은 NIS2뿐 아니라 향후 시행될 사이버 복원력 법과 같은 유럽 규제 준수에도 도움이 된다. 다층적인 취약점 맥락 정보는 빠른 분류, 위험 기반 대응을 가능하게 하며, 글로벌 소스와 비교해 보다 정제된 지역 기반 인사이트를 제공한다.

아탁시온의 성장 및 전략 책임자인 맥스 비티(Max Viti)는 “우리는 취약점 범위를 개선하고 사용자에게 더욱 의미 있는 맥락을 제공하기 위해 끊임없이 노력하고 있다.”라며, “EUVD 데이터와 독립적인 점수 시스템을 통합함으로써 취약점 탐지의 범위뿐 아니라 분석의 심도도 향상됐다. 신뢰할 수 있는 지역별 인사이트를 바탕으로 조직들이 다양한 규제 환경에서 정보에 기반한 결정을 내릴 수 있도록 돕고 있다.”라고 말했다.

EUVD를 통합한 최초의 EASM 플랫폼인 아탁시온은 상용 플랫폼과 정부 주도의 위협 데이터 간 상호운용성 강화의 흐름을 반영한다. 이는 민간 보안 솔루션이 공공 위협 인텔리전스를 기반으로 보안 운영 체계를 강화하는 전환점을 제시하며, 글로벌 규제 환경에 대응하는 보안 전략 수립에 중요한 시사점을 제공한다.