CVE 프로그램 존폐 위기와 구조 개편

• CVE 프로그램 개요
  • CVE(Common Vulnerabilities and Exposures)는 사이버 보안 취약점에 고유 식별자를 부여하여 국제적으로 통합 관리하는 표준 체계
  • 1999년부터 미국 비영리 기관 마이터(MITRE)가 운영하며, 미국 국토안보부(DHS) 및 사이버보안 및 인프라보안국(CISA)의 자금 지원을 받아 유지
  • 전 세계 보안 도구(SIEM, EDR), 취약점 관리, 위협 인텔리전스의 근간이 되는 인프라
• 운영 중단 위기 발생
  • 2025년 4월 16일 자로 미국 정부와의 운영 계약 만료, 자금 지원 종료 가능성 대두
  • 마이터는 CVE 운영 위원회에 공식 서한 발송하며 서비스 중단 시 국가 취약점 DB, 사고 대응, 공급망 보안에 심각한 영향 우려 표명
  • 계약 종료 배경은 트럼프 행정부의 CISA 예산 삭감과 구조조정 정책과 연결됨
• 업계 반응과 국제적 파장
  • 전 세계 40개국 450여 CNA(CVE Numbering Authority)에 영향, 신규 취약점 발급 지연 및 백로그 관리 중단 우려
  • 보안 커뮤니티와 기업들 사이에서 글로벌 사이버 보안 협력 체계 붕괴에 대한 우려 증폭
  • 유럽연합 ENISA는 독자적 유럽 취약점 DB(EUVD)를 출범하며 대응에 나섬
• 해결책: CVE 재단 설립 및 계약 연장
  • 기존 마이터 주도 운영에서 벗어나 CVE 운영의 독립성과 지속 가능성 확보를 위한 비영리 재단 설립 발표
  • CVE 재단은 중립적 거버넌스를 통한 글로벌 참여 및 다중 재원 확보 추진
  • CISA는 마지막 순간 CVE 계약 11개월 연장을 발표하며 급한 불을 끔
• 결론
  • 취약점 관리 체계는 특정 정부나 기관에 의존하지 않고, 국제적 협업 기반의 독립 거버넌스 체계를 마련해야 함
  • 국가 및 기업은 CVE 등 표준 체계의 운영 지속성 보장을 위해 다중화된 취약점 관리 체계를 구축해야 함
  • CVE 재단 출범은 사이버 보안 생태계의 SPOF(Single Point of Failure) 제거를 위한 선도적 사례로 평가됨

마이터 ‘CVE 프로그램’, 美 정부 자금 지원 중단 위기 - 아이티데일리

마이터 ‘CVE 프로그램’, 美 정부 자금 지원 중단 위기 - 아이티데일리

 

트럼프 예산 칼날에 CVE 프로그램 위기...보안 취약점 협력 허브 문 닫나?

 

CVE, 독립 비영리 재단으로 운영 - 데이터넷

CVE, 독립 비영리 재단으로 운영 - 데이터넷

 

MITRE Warns CVE Program Faces Disruption Amid US Funding Uncertainty

 

MITRE Ends CVE Program Support – Leaked Internal Memo Confirms Departure

MITRE Ends CVE Program Support – Leaked Internal Memo Confirms Departure

 

U.S. Govt. Funding for MITRE's CVE Ends April 16, Cybersecurity Community on Alert

 

[IT썰] 美 보안취약점 정보은행, 트럼프 예산칼날 간신히 피했다 - 머니투데이

[IT썰] 美 보안취약점 정보은행, 트럼프 예산칼날 간신히 피했다 - 머니투데이

 

CVE 프로그램 종료 위기 넘겼다...CISA 긴급 계약 연장

CVE 프로그램 종료 위기 넘겼다...CISA 긴급 계약 연장