CVE 프로그램 종료 위기 넘겼다...CISA 긴급 계약 연장

[보안뉴스 이소미 기자] 사이버 보안 생태계의 핵심 중 하나인 CVE 프로그램이 운영 자금이 끊길 위기를 넘겼다. 미국 정부가 마지막 순간에 지원을 연장했다.

미국 사이버보안 및 인프라보안국(CISA)는 CVE 프로그램의 중단 없는 운영을 위해 CVE 운영사 마이터(MITRE)와 계약을 연장했다고 16일(현지시간) 밝혔다.

앞서 MITRE는 16일 미국 국토안보부의 CVE 자금 지원 계약이 만료된다는 사실을 공개했다. 이에 따라 CVE 프로그램의 존폐 논란이 빚어졌다.

▲CVE 공식 홍보 이미지[자료: CVE 홈페이지]

CVE는 사이버보안 취약점에 고유 코드명을 부여해 관리하는 데이터베이스로, 보안 생태계에 없어선 안 될 핵심 프로그램이다. 세계 보안 기업, 연구자, 정부 기관 등이 CVE를 중심으로 정보를 공유하고 취약점을 관리한다.

하지만 CISA가 만료일이 지나기 전 급히 계약을 11개월 연장함에 따라 자금 지원이 끊길 위기는 넘겼다. CISA는 “CVE 프로그램은 사이버 커뮤니티에 매우 큰 가치가 있으며, CISA의 우선순위이다”며 “지난 밤, CVE 서비스 중단이 없도록 계약을 연장했다”고 밝혔다.

요스리 바르숨 MITRE 국가안보센터장은 “지난 24시간 동안 세계 사이버 커뮤니티와 보안 업계, 정부가 보여준 압도적 지지에 감사드린다”고 말했다.

또 소프트웨어 개발 과정에서 발생할 수 있는 약점을 식별하고 관리하는 ‘공통 약점 열거’(CWE·Common Weakness Enumeration) 프로그램에 대한 지원도 연장된다.

이번 사태는 단순 예산 집행 문제를 넘어 보안 취약점 표준 관리 체계의 지속 가능성에 대한 의문을 던졌다는 평가다. 그동안 CVE는 미 정부와 계약을 맺어 자금을 조달받아 운영되는 구조였다.

하지만 세계 주요 기관이나 기업 등이 참여하는 다중 구조 체제로 전환할 필요가 있다는 목소리는 꾸준히 나오고 있었다. 보안 표준 프로그램들이 특정 정부의 지원에 의존하는 것이 아니라 독립적 운영을 위한 거버넌스를 지향해야 한다는 것이다.

이번 CISA 발표 직전, CVE 운영이사회 일부 인사들은 새로운 비영리 독립 법인 ‘CVE 재단’(CVE Foundation) 출범을 발표했다. 이번 자금 지원 중단을 계기로 CVE 프로그램의 독립성을 확보할 비영리 조직의 필요성이 제기된데 따른 것이다.

유럽연합 사이버보안청(ENISA)도 유럽 취약점 데이터베이스(EUVD·European Vulnerability Database)를 출범했다. 복수의 이해관계자들이 뜻을 모아 여러 주체로부터 공개적으로 사용 가능한 취약점 데이터를 수집하는 방식이다.

[이소미 기자(boan4@boannews.com)]

올해 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)