Skip content

무엇을 찾고 계신가요?

CVE 자금 지원 중단 위기: 글로벌 취약점 관리 체계에 대한 경종

16/04/2025

문의하기

최근 발생한 자금 지원 위기는 글로벌 취약점 추적 인프라의 취약성을 드러냈으며, 이는 사이버 보안 회복탄력성에 중대한 의미를 갖습니다.

거의 25년 동안 Common Vulnerabilities and Exposures(CVE, 공통 취약점 및 노출) 프로그램은 글로벌 취약점 관리의 중심 역할을 해왔습니다. CVE는 전 세계 조직이 자사의 보안 노출 수준을 평가하고, 대응을 조율하며, 리스크를 줄일 수 있도록 돕는 취약점에 대한 범용 식별자를 제공합니다.

그러나 이번 주, CVE 프로그램을 오랫동안 관리해 온 MITRE가 자금 지원 중단을 발표하면서 그 안정성에 큰 충격이 가해졌습니다. 미국 사이버안보 및 인프라 보안국(CISA)으로부터 11개월간의 긴급 계약 연장이 이루어져 당장의 운영 중단은 피할 수 있었지만, 이번 사건은 글로벌 사이버 보안 생태계가 구조적으로 얼마나 취약한지를 드러낸 계기가 되었습니다. 이는 지금이야말로 근본적인 재검토와 조치가 시급하다는 경고이기도 합니다.

 

취약한 단일 의존 구조

CVE 프로그램은 취약점 공개에 있어 업계의 공통 언어 역할을 해왔습니다. 연구자나 조직이 새로운 취약점을 발견하면 이를 검토 기관에 제출하고, 유효하다고 판단될 경우 표준화된 CVE 식별자를 부여받습니다. 이러한 식별자는 조직이 위협의 성격을 빠르게 파악하고, 자사 시스템에 영향이 있는지 확인하며, 패치 우선순위를 정하는 데 큰 도움이 됩니다.

CVE ID는 보안 도구와 워크플로우 전반에 깊이 통합되어 있는 요소입니다. 취약점 스캐너, SIEM(보안 정보 및 이벤트 관리) 시스템, 제3자 리스크 플랫폼 등은 모두 CVE 데이터를 기반으로 효과적으로 작동합니다. 조직들은 CVE를 활용해 탐지, 점수화, 대응을 자동화하고, 팀과 공급업체 간에도 일관된 커뮤니케이션을 유지할 수 있습니다.

 

단절과 혼란 

CVE와 같은 중앙 권한 기관이 없을 경우, 우리는 여러 개의 비공식 데이터베이스가 각기 다른 명명 규칙과 분류 체계를 가진 채로 존재하게 되는 파편화된 미래를 맞이할 위험이 있습니다. 이는 혼란을 야기하고, 도구 간의 불일치와 사고 대응 지연으로 이어질 수 있습니다.

이러한 파급 효과는 특히 다음과 같은 경우에 더욱 심각할 수 있습니다:

  • 의료 보건 및 공공서비스와 같은 중요 인프라 제공자: 패치 프로토콜이 CVE 기반 자동화에 의존하고 있는 경우

  • 중소기업(SMEs): 보안 관리를 위해 공개 무료 피드와 자동화 도구에 크게 의존하는 경우

  • 자원이 부족한 보안팀: 대체 시스템으로 신속히 전환할 역량이 부족한 경우

 

일회성 문제가 아닌 구조적 문제

이번 CVE 자금 지원 위기는 핵심 사이버 보안 인프라가 압박을 받는 첫 사례가 아닙니다. 2014년 OpenSSL에서 발생한 Heartbleed 취약점 또한 유사한 취약 구조를 드러낸 사례였으며, 당시에도 중요한 소프트웨어가 단 한 명의 개발자와 최소한의 자금으로 유지되고 있었음이 밝혀졌습니다. 이 사건을 계기로 주요 오픈소스 프로젝트의 지속 가능성을 지원하기 위한 Core Infrastructure Initiative(CII) 가 설립되었습니다.

이번 CVE 위기에 대응하기 위해, CVE 프로그램의 장기적인 안정성과 독립성을 지원하기 위한 CVE 재단이 출범했습니다. 이는 긍정적인 조치지만, 진정한 장기적 성공을 위해서는 산업 전반의 협력과 지속적인 투자가 뒷받침되어야 합니다.

 

대안은 있는가?

CVE의 대안으로는 미국 NIST의 National Vulnerability Database(NVD), 상업용 VulDB 등이 있지만,
이들 대부분은 CVE 프로그램과 밀접하게 연결되어 있거나, 광범위한 산업적 지지를 확보하지 못한 상태입니다.

룩셈부르크의 Computer Incident Response Center는 GCVE를 분산형 대안으로 제시하고 있습니다. 이는 CVE와 유사한 번호 할당 방식을 사용하지만, 중앙 집중식 블록 분배 시스템이나 엄격한 정책 적용에는 의존하지 않는 방식입니다. 그러나 현재로서는 거버넌스, 신뢰, 확장성 문제가 여전히 해결되지 않은 과제로 남아 있습니다.

 

지금 조직이 해야 할 일

보안 및 IT 리더들은 이번 기회를 활용해 다음 사항을 점검 해야합니다:

  • 도구, 패치 프로세스, 리스크 보고 체계 전반에서 CVE 데이터에 대한 의존도 평가

  • CVE 재단의 발전 상황과 거버넌스 구조 변화 가능성 모니터링

  • 취약점 추적의 미래를 이끌어가는 벤더 및 산업 단체와의 협업 강화

 

LRQA 관점

CVE 프로그램을 둘러싼 불안정성은, 사이버 보안 생태계에서 가장 확립된 요소조차도 당연하게 여겨서는 안 된다는 점을 다시금 일깨워줍니다. 복잡성은 증가하고 대응 시간은 짧아지는 현실 속에서, 회복탄력성은 단순한 도구의 성능만으로 확보되지 않습니다. 신뢰할 수 있는 인사이트, 지속적인 보증, 변화에 유연하게 대응하는 역량이 필요합니다.

LRQA는 전략과 거버넌스부터 보안 테스트, 규제 준수, 교육, 24시간 위협 모니터링에 이르기까지
연계된 서비스 포트폴리오를 통해 조직의 사이버 보안 역량을 강화할 수 있도록 지원합니다. 취약점 관리 체계를 재점검하고 계시거나, 더 견고하고 리스크 기반의 접근 방식을 도입하고자 한다면, LRQA가 그 여정을 함께할 수 있습니다.

귀사의 사이버 보안 전략에 대해 LRQA 팀에 문의해주세요.