비영리 연구개발 단체 마이터(MITRE)가 운영 중인 ‘공통 취약점 및 노출(CVE)’ 프로그램이 지난 16일 미국 연방 정부와 맺은 프로그램 관리 계약 만료로 자금 지원 중단 위기를 겪었다. 트럼프 행정부가 만료 직전 지원을 연장했지만, 정보보안 전문가들은 앞으로 자금 지원이 계속될지 의문을 제기했다.
지난 16일 미국 사이버보안 및 인프라 보안국(CISA)는 마이터와의 계약을 연장했다고 발표했다. 한 소식통에 따르면, 새 계약이 체결되지 않는 한 이 계약은 11개월 후에 종료될 예정이다.
하버드 대학교 케네디 스쿨 연구원이자 강사, 전자 프론티어 재단 이사, 그리고 인럽트의 최고 보안 책임자인 브루스 슈나이어는 정부가 계약 갱신을 마지막까지 미룬 것에 우려를 표명했다.
슈나이어는 인터뷰에서 “여러 사업이 무작위로 예산 삭감되는 과정에서 이 자금도 아무 예고 없이 끊겼다. 누군가 이 프로그램이 실제로 중요하다는 걸 깨닫고 일시적으로 자금을 다시 지원했지만, 앞으로도 계속 지원될지는 확신할 수 없다. 그래서 커뮤니티는 미국 정부 도움 없이 문제를 해결하루 방법을 찾아야 한다. 마이터가 어떻게 할지 지켜볼 필요가 있다. 자체 자금을 마련할까? EU가 나설까? 다른 누가 이 일을 할 수 있을지 모르겠다”라고 말했다.
슈나이어는 마이터 프로그램이 “미국과 전 세계에 도움이 되는 좋은 일”이라고 언급했다.
‘자금 지원 중단하기에는 너무 중요’
슈나이어는 또한 “예전처럼 CVE 데이터베이스가 없던 방식으로 돌아가기엔 너무 중요하다. 취약점을 기록하고 소통하는 통합된 방식이기에 매우 중요한 일”이라고 설명했다.
브루스 슈나이어는 CVE 프로그램 계약 갱신이 마지막 순간까지 미뤄진 것이 단순히 새 행정부의 실수가 아니라 비용 절감 대상에 포함됐다고 판단한 탓일 수 있다고 분석했다. 그는 “모든 영역이 삭감되는 상황에서, 누군가 ‘이 프로그램도 삭감 대상’이라고 결정했을 가능성이 높다. 이런 일은 여러 번 있었다. 핵 안전 엔지니어를 해고했다가 다시 채용하려 했던 사례가 있다”라고 말했다. CVE 프로그램 자금 지원 문제도 이와 유사한 상황이었을 가능성이 높다고 그는 추측했다.
슈나이어는 계약이 왜 단 11개월만 연장됐는지에 대해선 “특별한 의미가 없다고 생각한다”라고 말했다.
마이터의 CVE 프로그램은 사실상 취약점을 식별하고 보안 담당자들의 취약점 관리를 안내하는 표준으로 자리 잡았다. 이는 취약점 관리, 사이버 위협 정보, 보안 정보, 이벤트 관리, 엔드포인트 탐지 및 대응 등 사이버보안 제품에 기초 데이터를 제공한다.
SANS 연구소의 연구 학장인 요하네스 울리히는 이메일을 통해 “CISA의 자금 지원 연장으로 질서 있는 전환이 가능해지길 바란다. CVE 번호는 새로운 취약점을 제대로 분류하고 대응하는 데 핵심적”이라고 언급했다.
다만 그는 마이터가 미국 정부 계약 하에 CVE 시스템을 운영하는 데 몇 차례 논란이 있었다고 말했다. CVE 이사회 일부 구성원들은 국제적 이해관계자들로부터 더 다양한 자금을 확보할 수 있도록 CVE 재단이라는 새 단체 설립을 제안했다.
슈나이어는 이것이 가능한 해결책 중 하나라며 “뭔가는 해야 한다. 미국은 이 부분에서 믿을 만한 파트너가 아니다”라고 지적했다.
슈나이어의 우려를 반영하듯 CVE 이사회는 지난 17일 CVE 재단 설립을 발표했다. 새 재단은 전 세계 보안 담당자들을 위해 고품질 취약점 식별을 제공하고 CVE 데이터의 무결성과 가용성을 유지하는 데 집중할 것이라고 설명했다. 다만 이 발표에서는 자금 조달 방법에 대한 세부 내용은 언급되지 않았다.
‘구걸하는 상황이면 안 된다’
노비포(KnowBe4)의 데이터 기반 방어 전문가인 로저 그라임스는 “마이터 리더들은 수년간 더 많은 민간 자금을 구하러 다녔다”라고 말했다.
그는 “이런 프로그램은 책임자들이 자금을 구걸하는 상황이어선 안 된다. 충분한 예산을 지원받고, 적절한 자원을 갖추며, 중요한 임무를 완벽히 수행할 수 있어야 한다. 매우 가치 있는 자원이고, 사이버보안 커뮤니티 전체가 이 중요한 임무에 맞는 관심과 자금이 제대로 지원될지 궁금해한다. 지원 연장 소식은 환영할 만하지만, 세부 사항이 중요하다”라고 진단했다.
그라임스는 “이제 질문은 자금 지원이 동일한 수준으로 유지되는지, 줄어드는지, 아니면 오히려 늘어나는지다. 이 프로그램에는 수년간 많은 문제점이 제기됐으며, 커뮤니티는 이를 개선하기를 기대해 왔다. 프로그램은 최소한의 예산으로 운영돼 왔으며, 언제든 유용성을 잃고 무너질 수 있는 상태였다”라고 설명했다.
이어 그는 “프로그램이 단순히 연장될 뿐 아니라 실제로 개선되어 원래 있어야 했던 서비스로 거듭나길 바란다. 그렇게 되면 프로그램 책임자들은 자금 확보에 시간 쓰지 않고 프로그램 관리와 개선에 집중할 수 있을 것”이라고 분석했다.
dl-ciokorea@foundryco.com
Read More from This Article: 가까스로 美 정부 지원 연장한 마이터 ‘CVE 프로그램’··· 전문가들 “향후 지원 여부 불투명”
Source: News