미국 CISA, 최고 권한 가진 CVE 번호 관리자 자격 얻어

산업 통제 시스템과 의료 장비 분야의 7개 CNA들 관리하고 중재하는 역할
ABB, 보쉬, 지멘스 등 CNA 자격 있는 조직들의 관리자...가이드라인 제시 책임도 있어

[보안뉴스 문가용 기자] 미국 국토안보부 산하의 사이버 보안 전담 기관인 CISA가 최고 권한을 가진 CNA로 선정됐다. CNA는 CVE Numbering Authority로 취약점들에 CVE 관리 번호를 부여할 수 있는 자격을 가진 조직을 의미한다. 따라서 CISA는 산업 통제 시스템(ICS)과 의료장비에서 발견되는 취약점들에 CVE 번호를 붙이는 CNA들을 감독할 수 있게 되었다.

[이미지 = utoimage]

CNA들은 자신이 직접 만든 제품이나 서비스 혹은 타사 제품과 서비스에서 발견된 취약점들에 CVE 번호를 할당해야 한다. 그런데 이 CNA들에도 급이 있어, 일반 CNA가 있는가 하면, 루트 CNA(Root CNA)와 탑레벨 루트 CNA(Top-Level Root CNA) 등과 같은 감독 조직들도 존재한다. 이번에 CISA가 자격을 획득한 건 탑레벨 루트 CNA다. 루트와 탑레벨 루트 CNA들은 일반 CNA들을 감독하고 CVE 지정과 관련된 가이드라인을 지정한다.

그렇다고 CISA가 모든 분야의 CVE를 망라하여 감독하는 건 아니다. 일단은 산업 통제 시스템과 의료 장비 산업에 권한이 국한된다. 이 분야에 있는 CNA들이 제대로 CVE 번호를 부여하는지 확인하고 시정하는 것이 주요 임무라는 것이다. 분쟁이 발생했을 때 중재를 해야 하기도 하며, CNA가 더 필요할 때 추가 지정의 자격도 가지고 있다.

CISA의 감독 하에 들어가게 될 CNA들은 다음과 같다.
1) Alias Robotics
2) ABB
3) CERT@VDE
4) Johson Controls
5) Bosch
6) Siemens
7) Gallangher Group

또 다른 탑레벨 루트 CNA인 마이터 코퍼레이션(MITRE Corp)는 “CVE의 식별자를 취약점에 제대로 부여하고 관리하는 건 기술적으로도 까다롭고 손이 많이 가기 때문에 상당한 전문성이 요구되는 작업”이라며 “게다가 ICS와 의료 장비 분야에서의 CVE 할당 및 관리는 더 어렵다”고 설명했다. 그러면서 “CISA가 합류함으로써 취약점 관리 효율성이 올라가고, 정보 전파를 보다 빠르게 이뤄낼 수 있을 것으로 기대한다”고 발표했다.

또한 마이터는 발표문을 통해 “CISA는 미국이라는 국가 전체의 CISO와 같은 존재”라며 “공공과 민간 분야 사이에서 서로에게 필요한 정보를 교류시키는 독특한 역할을 수행하는 중”이라고 설명하기도 했다. 그러므로 “ICS와 의료 장비 분야에서 전문성과 노하우를 발휘해 국가적 위기 상황에 대처하는 데 큰 도움을 줄 것”이라고 덧붙였다.

현재까지 탑레벨 루트 CNA의 자격을 부여 받은 건 CISA와 마이터가 유일하다. CNA로 등록된 조직들은 총 139개이며 24개국에 걸쳐 존재한다. 바로 어제는 OT와 IoT 보안 솔루션을 제공하는 업체인 노조미 네트웍스(Nozomi Networks)가 CNA 자격을 획득했다.

3줄 요약
1. 미국의 CISA, 산업 통제 시스템과 의료 장비 분야의 최고 취약점 관리자로 선정됨.
2. 현재 이 분야에 있는 7개 CNA들을 관리하고 CVE 관련 분쟁을 중재하는 역할을 하게 됨.
3. 현재 CNA 자격을 가진 건 전 세계 139개 조직.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)