미국 사이버보안및인프라보안국(CISA)이 ‘공통취약점및노출(CVE)’ 프로그램에 대한 자금 지원 계약을 연장한다고 발표했다. 이에 따라 16일로 종료될 예정이었던 CVE 프로그램 운영기관 MITRE와 미국 국토안보부(DHS) 간 CVE 및 공통취약점평가(CWE) 프로그램 지원 계약이 11개월 더 연장됐다.
CISA는 16일 “CVE 프로그램은 사이버 커뮤니티에 매우 중요하며, CISA의 최우선 과제”라며 “CISA는 중요한 CVE 서비스에 차질이 없도록 계약에 옵션 기간을 설정했다”고 발표했다.
전날인 15일 MITRE 산하 국토안보센터 소장인 요스리 바르숨이 최근 이사회 임원에게 보낸 메모가 블루스카이를 통해 유출되면서 CVE 프로그램의 위기가 외부에 알려졌다.
요스리 바르숨 소장은 메모에서 “MITRE의 CVE에 대한 지속적 지원과 관련해 중요한 잠재적 문제가 밸생했다”며 “4월 16일로 MITRE가 CVE 프로그램 및 CWE와 같은 여러 프로그램을 개발, 운영, 현대화하기 위해 체결한 현재 계약이 만료된다”고 적었다.
이에 전세계 보안 업계에서 비난과 우려가 폭발했다. 이에 CISA가 중재자로 나서서 직접 추가 예산을 확보해 CVE 프로그램에 임시적인 연장 조치를 취한 것으로 보인다.
11개월의 계약 연장인 만큼 비슷한 사건이 다시 일어날 수 있다. 이에 CVE 이사회가 곧바로 CVE 프로그램을 관리하고 운영할 독립 비영리 단체 설립을 발표했다.
‘CVE 재단’이라 불리는 이 단체는 CVE 프로그램을 특정 국가 정부기관에 의존하지 않고 외부에서 기금을 모아 관리하게 된다.
CVE재단 측은 성명에서 “CVE 프로그램은 설립 이후 미국 정부 지원 사업으로 운영돼 왔으며, 계약에 따라 감독 및 관리가 제공됐다”며 “이러한 구조는 프로그램의 성장을 뒷받침했지만, 전 세계적으로 신뢰받는 자원이 단일 정부 후원 기관에 종속되는 것의 지속 가능성과 중립성에 대한 CVE 이사회 위원들의 오랜 우려를 불러일으키기도 했다”고 밝혔다.
이어 “이러한 우려는 2025년 4월 15일 MITRE가 CVE 이사회에 미국 정부가 해당 프로그램 관리 계약을 갱신하지 않을 것이라고 통보한 서한 이후 더욱 시급해졌다”며 “우리는 이런 날이 오기를 바라지는 않았지만, 이러한 가능성에 대비해왔고, 이에 따라 오랜 기간 활동해 온 CVE 이사회 멤버들로 구성된 연합은 지난 1년간 CVE를 전담 비영리 재단으로 전환하기 위한 전략을 수립해왔다”고 강조했다.
또 “새로운 CVE 재단은 전 세계 보안 전문가들을 위해 고품질 취약점 식별 서비스를 제공하고 CVE 데이터의 무결성과 가용성을 유지하는 사명을 계속 이어가는 데 전념할 것”이라고 덧붙였다.
CVE재단은 앞으로 수일동안 재단의 구조, 전환계획, 더 광범위한 지역사회의 참여 기회 정보 등을 공개할 예정이다.
MITRE는 미국의 비영리 조직으로 항공, 국방, 의료, 국토안보, 사이버보안 등 미국 정부기관을 지원하는 연방 자금 지원 연구개발센터를 관리한다. MITRE는 1999년부터 미국 국토안보부의 자금을 지원받아 CVE 프로그램을 운영해왔다.
CVE 프로그램은 전세계 컴퓨터 시스템에서 발견된 사이버보안 취약점을 식별하고, 분류하는 표준화된 시스템을 제공한다. 각 취약점에 고유식별자를 부여함으로써 보안연구원이나 보안솔루션업체, 보안담당자가 동일한 문제에 지속적으로 소통하게 지원한다. 미국 사이버보안및인프라보안국(CISA) 등의 기관은 CVE 용어를 사용해 취약점 경보를 정기적으로 발표한다. 한국의 인터넷진흥원(KISA)도 CVE를 활용해 보안 권고를 공지한다.
개인 연구자나 조직이 특정 IT 제품에서 새로운 버그를 발견해 공유하면, 전세계 40개국의 CVE 넘버링 기관(CNA)이 취약성 보고서를 평가하고, 필요한 경우 결함에 고유한 CVE 식별자를 지정한다.
MITRE는 CVE 식별자를 부여히기도 하며, 해당 정보를 노출하는 데이터베이스를 운영한다. 이와 함께 CWE 프로그램을 통해 버그 유형을 관리하는 데이터베이스를 제공하고 있다.
MITRE가 국토안보부로부터 지원받은 자금은 2023년 약 3000만달러였다.
CVE 이사회 멤버인 피터 알러 레드햇 수석이사는 “MITRE가 DHS, CISA와 계약을 갱신하지 않는다는 발표는 많은 사람들에게 완전히 예상하지 못한 일이었다”며 “세 당사자는 이 상황을 거의 한달 전부터 알고 있었던 것 같다”고 밝혔다.
그는 “DHS와 CISA 중 누가 돈을 낼 거냐를 두고 벌어진 치킨게임이었다”며 “미국 정부는 취약점 및 기록 목록과 관련된 글로벌하고 공동적인 문제에서 자금 지원과 통제에서 손을 떼야 하고, 이제 투명성을 바탕으로 진정한 변화를 추진해야 할 때”라고 강조했다.
아직 CVE재단에 대한 자세한 정보는 없다. CVE재단과 MITRE의 관계도 알려진 바 없다.
일단 MITRE는 CVE 프로그램을 유지할 수 있게 된 것에 안도하는 듯하다.
요스리 바르숨 MITRE 국토안보센터 소장은 “16일 아침 CISA는 프로그램 운영을 위한 추가 예산을 확보했다”며 “지난 24시간 동안 전세계 사이버 커뮤니티, 업계, 그리고 정부가 이러한 프로그램에 보여준 압도적 지지에 감사드린다”고 밝혔다.
그는 “정부는 이 프로그램에서 MITRE의 역할을 지원하기 위해 상당한 노력을 기울이고 있으며, MITRE는 CVE와 CWE를 전세계적 자원으로 활용하기 위해 최선을 다하고 있다”고 덧붙였다.
글. 바이라인네트워크
<김우용 기자>yong2@byline.network
![[PICK! 이 안건] 민병덕 등 10인 "가상자산 이용자 보호 등에 관한 법률에 가상자산 유사자문업 신설해야"](https://www.jeonmae.co.kr/news/photo/202504/1138895_844768_3121.jpg)
![[20회 스마트금융콘퍼런스] 김성진 금융위 가상자산과장 “가상자산 2단계 입법 하반기 본격 추진”](https://img.etnews.com/news/article/2025/04/17/news-p.v1.20250417.9bf69c3a28c7452687ee12319d0da45f_P1.jpg)
