[보안뉴스 이소미 기자] 세계 기업과 국가 기관 등의 사이버 보안 취약점 관리 허브 역할을 하는 CVE 프로그램이 종료 위기를 맞았다. 미국 국토안보부와 맺은 지원 계약이 만료되기 때문이다.

CVE를 운영하는 미국 비영리기관 마이터(MITRE)는 CVE 운영위원회에 공문을 보내 “CVE 프로그램 운영에 대한 정부 자금 지원이 16일 종료된다”며 “마이터는 CVE를 글로벌 공공 자산으로 보고 지원을 유지하겠다”고 밝혔다.


▲마이터 웹사이트 화면 갈무리[자료: 마이터]

‘공통 취약점 및 노출’(CVE·Common Vulnerabilities and Exposure)는 보안 취약점에 고유 코드명을 부여해 관리하는 데이터베이스로, 사실상 사이버 보안 생태계의 국제 표준으로 자리잡았다. 취약점 관리 솔루션, 위협 인텔리전스, SIEM, EDR 등 다양한 보안 시스템의 핵심 데이터로 활용된다.

소프트웨어 개발 과정에서 발생할 수 있는 약점을 식별하고 관리하는 ‘공통 약점 열거’(CWE·Common Weakness Enumeration) 프로그램에 대한 지원도 종료된다.

이번 결정으로 사이버 보안 업계 전반에 혼란이 일어날 수 있다는 우려가 나온다. CVE 시스템이 중단되면 △신규 취약점 등록·추적 △위험도 평가 △패치 적용 우선순위 등 보안 관리 전반에 악영향을 미칠 수 있기 때문이다. 이는 국가 취약점 데이터베이스 관리, 공급망 보안 관리, 침해 사고 대응 등 주요 보안 인프라 전반에 연쇄 효과를 일으킬 수 있다.


▲마이터가 CVE 운영 위원회에 보낸 공문 내용[자료: 마이터]

자금 지원이 끊기면 CVE ID 발급 체계(CNA)가 멈추고 분석이 필요한 상태로 남아 있는 수만 건의 백로그와 취약점에 대한 관리도 마비될 수 있다. CVE에 의존하는 국가 DB, 응급대응(CERT), 기업 보안 시스템도 모두 영향을 받을 수 있다.

DHS는 아직 CVE 계약에 대한 공식 입장을 내놓지 않고 있다. 보안 업계와 정책 전문가들은 트럼프 행정부의 정부 효율화 기조와 사이버보안 및 인프라보안국(CISA) 예산 삭감 등이 복합적으로 작용한 결과로 보고 있다.

최근 CISA는 두 차례 예산 삭감을 겪었고, 전체 인력의 약 40%에 해당하는 1300여 명이 구조조정 대상인 것으로 전해졌다. 이러한 압박 속에서 상대적으로 수익성이 낮은 CVE 프로그램이 정책 우선순위에서 제외됐으리란 분석이다.