태니엄, CVE 번호 직접 매긴다… ‘CNA’ 기관 공식 지정

자사 솔루션 취약점 식별·공개 권한 획득으로 관리 역량 입증
“2017년부터 이어온 책임 있는 취약점 공개 원칙 강화할 것”

[보안뉴스 조재호 기자] 태니엄은 CVE 프로그램(CVE Program)으로부터 소프트웨어 취약점에 고유 식별 번호(CVE ID)를 할당할 수 있는 ‘CNA(CVE Numbering Authority)’ 자격을 공식 부여받았다고 24일 밝혔다.

CNA은 공개된 사이버보안 취약점을 식별·정의·분류하는 커뮤니티 기반의 노력인 CVE 프로그램의 일환으로, 인증받은 기관이 자사 제품에서 발견된 취약점에 대해 직접 CVE ID를 발급하고 관련 정보를 공유할 권한을 갖는다.

이번 자격 획득에 따라 태니엄은 자사의 서비스형 소프트웨(SaaS)와 온프레미스 솔루션에서 발견되는 취약점을 직접 문서화해 공개한다. 또, 취약점에 대한 수정 버전과 구체적인 조치 단계도 함께 제공해 고객과 보안 업계에 신속하고 정확한 위협 정보를 공유할 예정이다.

로이크 사이먼(Loic Simon) 태니엄 보안 부문 부사장은 “테니엄은 2017년부터 고객에게 일관되고 책임감 있게 취약점을 공개했다”라며 “이번 CNA 자격 취득은 선제적 취약점 관리 및 책임 있는 정보 공개 프로그램의 투명성과 성숙도를 더 강화하기 위한 여정의 다음 단계를 의미한다”고 말했다. 이어 “앞으로 전 세계의 위협 정보 공유 증진에 더 기여할 수 있게 돼 영광으로 생각한다”고 덧붙였다.

태니엄은 이번 CNA 인증을 통해 부가가치가 높은 취약점 정보를 공개적으로 제공해 고객의 보안 환경 전반의 신뢰와 복원력을 강화할 계획이다. 이는 ISO 27001·27017. SOC2, Fed RAMP 등 기존 테니엄이 보유한 다양한 글로벌 보안 인증과 더불어 회사의 높은 보안 표준을 입증하는 계기가 될 것으로 보인다.

한편, 테니엄은 자율 엔드포인트 관리(AEM) 플랫폼을 통해 전 세계 3500만개 이상의 엔드포인트를 지원하며, 자산 탐색부터 리스크관리까지 통합 솔루션을 제공하고 있다.

[조재호 기자(sw@boannews.com)]

우리나라 정보보호 수준 향상을 위해 이재명 정부에게 가장 바라는 점은 무엇인가요?
	ISMS 등 보안 인증 제도 실효성 개선
	AI 보안, 양자보안 등 보안 기술 연구개발 지원 확대
	중소 기업 보안 지원 확대
	기업 보안 예산 비율 의무화
	국가 정보보호 거버넌스 체계 정비
	기타(댓글로)