미국 주도 CVE 시스템 파행 가능성 대비
오픈소스 기반 협업 취약점 추적 시스템 구축

[보안뉴스 김형근 기자] 유럽에 본부를 둔 오픈 소스 기반 ‘글로벌 사이버 보안 취약점 목록(GCVE: Global CVE Allocation System) 이니셔티브’가 최근 공식 출범했다.

GCVE 프로젝트는 미국 주도의 기존 ‘공통 보안 취약점 및 노출’(CVE) 프로그램에 대한 의존도를 낮추기 위한 대안이다. 취약점 식별 체계를 다변화해 글로벌 사이버 안보 역량과 보안 사고 대응태세를 효율화한다.



25개 이상의 공공 소스로부터 취약점 정보를 수집해 독자적인 분류번호를 부여할 수 있는 GCVE 번호 부여 기관 GNA (GCVE Numbering Authorities) 체계를 도입했다.

룩셈부르크 컴퓨터 사고 대응 센터(CIRCL)가 운영하는 ‘db.gcve.eu’ 플랫폼을 활용, 회복력이 강한 탈중앙 취약점 식별 및 공유 생태계를 구축한다. 정부와 기업, 연구자, 오픈소스 프로젝트 등이 협력해 보안 취약점을 쉽게 추적하고 분석하는 개방형 시스템을 지향한다.

보안 커뮤니티에서 GCVE의 등장을 반기는 가장 큰 이유는 지난해 미국의 사이버 보안 핵심 기관인 MITRE가 운영해온 CVE 프로그램이 정부효율부(DOGE)의 예산 삭감으로 심각한 존폐 위기를 겪고 있기 때문이다.

당시 미국 사이버보안및인프라보안국(CISA)이 긴급히 계약을 연장하며 위기를 넘겼으나, 보안 커뮤니티는 특정 국가의 예산 상황에 세계 보안 인프라가 흔들리는 상황에 대한 우려가 커졌다.

GCVE는 CVE와 상호 호환되도록 설계됐으며, 미국 MITRE의 승인 없이도 지정된 GNA를 통해 취약점을 신속하게 문서화하고 발표할 수 있는 구조를 갖추고 있다. 이러한 신속한 문서화 프로세스는 정부와 기업이 보안 위협에 더욱 빠르게 대응할 수 있게 도울 것으로 기대된다.

영국 사이버 보안 기업 클로즈드도어시큐리티(Closed Door Security) 윌리엄 라이트 CEO는 GCVE 구축으로 CVE 프로그램의 중단 가능성에 대비한 즉각적 대안이 마련됐다고 평가했다. 또 그는 MITRE와 미국 표준기술연구원(NIST)가 빠르게 변화하는 위협 환경을 따라잡지 못하고 있다며 GCVE 도입이 보안 관리의 실효성을 높일 것으로 전망했다.

GCVE가 기존 CVE 추적 체계와 어긋나 조직에 혼란을 주지 않도록 유사한 언어와 등급 체계를 사용해 호환성을 유지하게 하는 것은 과제로 꼽힌다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>