CVE 프로그램 위기, 운영기관 MITRE 정부 지원 끊겨

전세계 기업과 단체, 국가기관의 보안 취약점 관리에 사용되는 CVE 프로그램이 위기에 처했다. 미국 행정부가 CVE 프로그램 운영기관인 MITRE에 제공하던 정부자금 지원을 중단했기 때문이다.

15일(현지시간) 주요 외신에 따르면, 비영리 연구기관 MITRE과 미국 국토안보부(DHS) 간 ‘공통 취약점 및 노출(CVE)’과 ‘공통 취약점 평가(CWE)’ 프로그램 지원 계약이 4월 16일로 만료된다.

요스리 바르숨 MITRE 국토안보센터 소장은 최근 이사회 임원에게 보낸 메모에서 “MITRE의 CVE에 대한 지속적 지원과 관련해 중요한 잠재적 문제가 밸생했다”며 “4월 16일로 MITRE가 CVE 프로그램 및 CWE와 같은 여러 프로그램을 개발, 운영, 현대화하기 위해 체결한 현재 계약이 만료된다”고 밝혔다.

그는 “서비스 중단이 발생할 경우 국가 취약성 데이터베이스 및 권고, 도구 공급업체, 사고 대응 운영, 모든 종류의 중요 인프라의 성능 저하를 포함해 CVE에 여러 영향을 미칠 것으로 예상된다”고 설명했다.

그리고 “정부는 프로그램에서 MITRE의 역할을 지속하기 위해 상당한 노력을 계속하고 있으며, MITRE는 CVE를 글로벌 리소스로 지원하는데 전념하고 있다”고 강조했다.

MITRE는 미국의 비영리 조직으로 항공, 국방, 의료, 국토안보, 사이버보안 등 미국 정부기관을 지원하는 연방 자금 지원 연구개발센터를 관리한다. MITRE는 1999년부터 미국 국토안보부의 자금을 지원받아 CVE 프로그램을 운영하고 있다.

CVE 프로그램은 전세계 컴퓨터 시스템에서 발견된 사이버보안 취약점을 식별하고, 분류하는 표준화된 시스템을 제공한다. 각 취약점에 고유식별자를 부여함으로써 보안연구원이나 보안솔루션업체, 보안담당자가 동일한 문제에 지속적으로 소통하게 지원한다. 미국 사이버보안및인프라보안국(CISA) 등의 기관은 CVE 용어를 사용해 취약점 경보를 정기적으로 발표한다. 한국의 인터넷진흥원(KISA)도 CVE를 활용해 보안 권고를 공지한다.

개인 연구자나 조직이 특정 IT 제품에서 새로운 버그를 발견해 공유하면, 전세계 40개국의 CVE 넘버링 기관(CNA)이 취약성 보고서를 평가하고, 필요한 경우 결함에 고유한 CVE 식별자를 지정한다.

MITRE는 CVE 식별자를 부여히기도 하며, 해당 정보를 노출하는 데이터베이스를 운영한다. 이와 함께 CWE 프로그램을 통해 버그 유형을 관리하는 데이터베이스도 제공 중이다.

CVE 데이터베이스는 27만5000여개의 보안취약점을 카탈로그로 제공하며, 깃허브 저장소에서 과거 기록을 볼 수 있다.

작년에만 CVE 데이터베이스에 4만개 이상의 새로운 CVE가 공개됐다. 오픈SSL ‘허트블리드’, 인텔 ‘멜트다운’ 등의 버그가 CVE-2014-0160, CVE-2017-5764 등의 고유 식별번호로 분류돼 전세계에 알려졌으며, 각 기관과 조직은 그에 따라 취약점 해결 조치를 취했다.

MITRE에 대한 미국 행정부의 자금 지원 중단은 연방정부의 대대적인 인력 감축과 예산 삭감 정책의 영향 때문인 것으로 보인다. 자금 지원 계약 주체인 CISA 내부적으로 여러 건의 계약이 해지되거나 만료된 것으로 알려졌다. CISA 자체도 인력 감원이 추진되고 있다.

MITRE가 정부 지원을 받지 못해도, CVE 프로그램 자체가 중단되는 건 아니다. 또 다른 조직이 CVE 프로그램 운영을 대체할 수 있다. 단, 다음 운영자가 결정되기까지 상당한 혼란이 예상된다. 취약점 명명 및 추적을 위한 체계가 제대로 작동하지 않거나 중단될 수 있고, 새로운 CVE가 더 이상 게시되지 않고 프로그램 웹사이트가 오프라인 상태가 될 수도 있다.

MITRE는 그동안 매달 300~600개 정도의 CVE를 발표해왔다. MITRE 외에도 여러 CNA가 발견된 취약점 CVE 식별자의 데이터베이스 등록을 사전에 예약하기도 한다. 때문에 이미 발견된 취약점의 CVE 발행은 당분간 유지될 수 있다.

글. 바이라인네트워크
<김우용 기자>yong2@byline.network