뉴스
코인정보
라운지
커뮤니티
TPI 
매체소개
고객센터
1
미국 연방정부가 사이버보안 취약점 데이터베이스인 CVE 프로그램에 대한 자금 지원 계약을 연장했다. 이번 조치는 보안 전문가들의 정보 접근성 유지와 국가 핵심 인프라를 보호할 수 있는 연결고리로 평가된다.
미 사이버보안청(CISA)은 16일(현지시간) CVE(공통 취약점 목록) 프로그램을 지속적으로 운영하기 위해 자금 지원 계약을 11개월 연장했다고 발표했다. 이는 최근 몇 주간 CVE 프로젝트의 예산 중단 가능성이 제기되며 서비스 중단 우려가 커진 데 따른 조치다. BleepingComputer의 보도에 따르면, 이번 연장으로 최소한 올해 말까지는 CVE 데이터베이스 운영에 차질이 없을 전망이다.
1999년 처음 운영을 시작한 CVE 프로그램은 전 세계 소프트웨어 제품에서 발견되는 보안 취약점을 체계적으로 수집, 정리해 온라인으로 제공하는 대표적인 플랫폼이다. 현재 17만 건이 넘는 취약점 정보가 등록돼 있으며, 각 항목은 해당 취약점의 기술적 설명과 0~10까지의 심각도 점수(CVSS)를 포함하고 있다. 이 점수는 해커가 해당 취약점을 악용하기 쉬운 정도, 시스템에 미치는 영향 등을 고려해 산정된다.
해당 데이터베이스는 미 연방정부의 지원을 받는 비영리 연구기관 미터(MITRE)가 관리한다. MITRE는 연방 연구개발센터(FFRDC)를 운영하며 이 중 한 곳에서 CVE를 담당하고 있다. 나머지 센터들은 보건의료, 항공 등 다양한 국가 안보 및 공공 분야를 대상으로 연구를 수행 중이다.
이번 계약 연장은 MITRE 내부에서 벌어진 일촉즉발의 예산 위기 경고가 배경으로 작용했다. 요스리 바르숨 MITRE 부사장이 이사회에 보낸 메모가 SNS에 확산되며 이목을 집중시켰는데, 그는 “CVE 운영 중단 시 국가 취약점 데이터베이스와 사고 대응 체계, 도구 공급업체 등 광범위한 영역에서 중대한 타격이 예상된다”고 밝혔다. 그는 또, 유사 프로젝트인 CWE(공통 약점 분류) 또한 영향을 받을 뻔했다고 덧붙였다.
위기감이 고조되자 CVE 이사회 내 일부 멤버들은 비정부 재단을 설립해 향후 정부 예산이 끊기더라도 독립적인 운영이 가능토록 지원하는 방안을 내놓았다. 그러나 이번 계약 갱신으로 당장의 불안은 해소됐지만, 장기적으로는 또다른 재정 위기를 피하기 어려울 것이란 전망도 나온다.
CISA는 공식 성명을 통해 “CVE 프로그램은 사이버보안 커뮤니티에 없어서는 안 될 존재이며, 우리의 최우선 과제 중 하나”라며 “서비스 공백을 방지하기 위해 전날 밤 계약의 선택 조항을 발동했다. 이해관계자들의 인내에 감사하며 긴밀한 협력을 이어갈 것”이라고 강조했다.
국가 차원의 사이버 위협 대응이 갈수록 중요해지는 가운데, 이번 CVE 사업 재정 지원 연장은 단기 대응 그 이상으로, 미국이 사이버안보 인프라를 어떻게 바라보고 준비해 나가는지를 보여주는 단면이다.
