미 정부, MITRE 자금 11개월 연장…CVE 프로그램 중단 위기 모면

CVE 재단 설립이 긍정적인 방향이 될 수 있어...다양한 이해관계자가 참여하는 분산된 거버넌스 구조 필요

미국 사이버보안 및 인프라 보안국(CISA)은 공통 취약점 및 노출(Common Vulnerabilities and Exposures, CVE) 프로그램의 핵심 서비스가 중단되지 않도록 미 연방정부가 MITRE에 대한 자금 지원을 연장했다고 밝혔다. 이번 발표는 자금 만료를 앞두고 나온 것으로, 사이버보안 업계 전반에 광범위한 혼란을 초래할 수 있다는 우려가 제기된 직후다.

CISA는 “CVE 프로그램은 사이버 커뮤니티에 매우 중요한 자산이며, CISA의 최우선 과제다. 어젯밤 우리는 계약의 옵션 기간을 실행해 핵심 CVE 서비스가 중단되지 않도록 했다”고 밝혔다.

이번 계약 연장은 총 11개월이며, MITRE는 공공의 이익을 위해 운영되는 비영리 기관으로, 미 국토안보부(DHS) 산하 국가 사이버 보안부의 후원 아래 CVE와 CWE(Common Weakness Enumeration) 프로그램을 운영해왔다.

이번 조치는 MITRE 부사장 요스리 바르숨(Yosry Barsoum)이 CVE 및 CWE 프로그램의 정부 자금이 4월 16일 종료될 예정이라며 경고한 이후 이뤄졌다. 그는 자금 지원이 중단될 경우 국가 취약점 데이터베이스, 사이버보안 도구 벤더, 사고 대응 운영, 주요 인프라 보호 기능 등 광범위한 분야에 영향을 줄 것이라고 경고했다.

정부의 자금 연장 발표 직후 MITRE는 성명을 통해 “정부의 신속한 조치 덕분에 CVE 및 CWE 프로그램의 서비스 중단을 피할 수 있게 됐다. 4월 16일 오전 기준으로 CISA가 프로그램 운영을 위한 추가 자금을 확인했으며, 전 세계 사이버보안 커뮤니티와 산업계, 정부로부터 받은 지지에 깊이 감사드린다”고 밝혔다.

CVE 프로그램은 사이버보안 분야에서 표준화된 방식으로 취약점을 식별하고 설명하며 참조할 수 있게 해주는 핵심 시스템이다. 거의 모든 주요 보안 스캐닝 도구, 취약점 관리 솔루션, 보안 권고문이 이 시스템에 의존하고 있다.

그러나 이번 자금 중단 위기는 한 국가의 정부 예산에 의존하는 현재 구조가 지속 가능하지 않다는 우려를 불러일으켰다. 이에 따라 일부 CVE 이사회 구성원들은 최근 CVE 재단(CVE Foundation) 설립을 발표했다. 이 재단은 기존 MITRE 중심 구조에서 벗어나, 보다 중립적이고 지속 가능한 프로그램 운영을 목표로 한다.

CVE 재단은 “CVE 프로그램은 지금까지 미국 정부의 자금과 계약 구조에 기반해 운영돼 왔으나, 이로 인해 단일 실패 지점(single point of failure)이라는 구조적 리스크가 존재해왔다”고 밝혔다. 이들은 지난 1년간 프로그램을 보다 지속 가능하고 커뮤니티 중심의 모델로 전환하기 위한 전략을 준비해왔다고 설명했다.

한편, 유럽연합 사이버보안기구(ENISA)도 최근 자체적인 유럽 취약점 데이터베이스(EUVD)를 공개했다. 이 데이터베이스는 전 세계 다수의 소스에서 공개된 취약점 정보를 수집해 다자간 협력을 기반으로 운영된다.

사이버보안 전문가들은 이번 자금 연장이 위기를 일시적으로 넘긴 조치라고 평가하면서도, 글로벌 핵심 시스템이 정부의 단기 예산에만 의존해서는 안 된다고 강조한다. 전문가들은 CVE 재단 설립이 긍정적인 방향이 될 수 있으며, 다양한 이해관계자가 참여하는 분산된 거버넌스 구조가 필요하다고 조언했다. 또한 조직들은 CVE 외에도 ENISA의 EUVD 같은 보완적인 취약점 데이터 소스를 함께 활용해 다중 출처 기반의 취약점 관리 전략을 갖추는 것이 바람직하다고 강조했다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★