미국 정부와 비영리 단체 MITRE 간의 CVE(공통 취약점 및 노출) 프로그램에 대한 자금 지원 계약이 오늘 종료되며, 국토안보부가 계약 갱신을 선택하지 않았습니다. 이 결정은 사이버 보안에 중장기적으로 상당한 영향을 미칠 수 있습니다.
CVE 프로그램은 소프트웨어와 하드웨어에서 인식된 취약점을 체계적으로 기록하여 기업들이 보안 조치를 개선하는 데 필요한 정보를 제공하는 것을 목표로 합니다. MITRE는 이러한 작업을 위해 외부 자금에 의존하고 있습니다. MITRE의 부사장인 요스리 바르숨(Yosry Barsoum)은 CVE 프로그램 및 CWE(공통 약점 열거) 프로그램과 같은 관련 이니셔티브의 개발, 운영 및 현대화를 위한 자금이 오늘 중단될 것이라고 밝혔습니다.
자금 부족은 취약점의 명명 및 추적을 위한 표준화된 시스템에 심각한 혼란을 초래할 수 있으며, 대체 자금이 발견되지 않을 경우 새로운 CVE 항목의 등록 중단 및 프로그램의 온라인 포털 폐쇄로 이어질 수 있습니다. 이는 보안 문제를 일으킬 수 있는 일반적인 소프트웨어 및 하드웨어 약점을 나열하는 CWE에도 영향을 미칠 것입니다.
보고서는 국제 취약점 관리 노력이 즉각적으로 붕괴될 것이라고 예측하지 않지만, 추가 재정 지원이 없으면 몇 주 내에 이러한 일이 발생할 수 있습니다. 이는 글로벌 사이버 보안에 중대한 영향을 미칠 것이며, 취약점을 발견한 연구자나 조직이 다른 전문가에게 평가를 요청하거나 고유한 CVE 식별자를 부여받지 못하게 될 것입니다. 기업들은 또한 IT 인프라의 잠재적 취약점에 대한 신뢰할 수 있는 정보를 잃게 됩니다. 지난해에만 CVE 프로그램은 40,000개 이상의 보안 취약점을 문서화하여 기업에 대한 중요성을 강조했습니다.
IT 산업은 이번 자금 삭감으로 인해 혼란에 빠졌습니다. 바르숨은 미국 정부가 MITRE의 프로그램 참여를 보장하기 위해 여전히 상당한 노력을 기울일 계획이라고 언급했으며, MITRE는 CVE를 글로벌 자원으로 유지하기 위해 헌신하고 있습니다. 그러나 자금 손실은 심각한 우려를 불러일으킵니다. 루타 시큐리티(Luta Security)의 창립자이자 CEO인 케이티 무수리스(Katie Moussouris)는 CVE가 사이버 보안의 초석이며, CVE 지원의 어떤 공백도 중요한 인프라와 국가 안보에 용납할 수 없는 위험을 초래한다고 강조했습니다. 그녀는 이러한 갑작스러운 중단이 사이버 보안 산업에 산소를 빼앗는 것과 같으며, 자발적으로 적응하기를 기대하는 것이라고 비유했습니다.
트렌드 마이크로(Trend Micro)의 제로 데이 이니셔티브(Zero Day Initiative)에서 위협 인식 책임자인 더스틴 차일즈(Dustin Childs)는 상황이 좋지 않을 것이라고 표현했습니다. CVE 시스템 도입 이전에는 기업들이 취약점을 자신들의 용어로 설명하여 고객들이 보호 상태에 대해 혼란을 겪게 했습니다. 현재의 환경은 이전보다 훨씬 더 복잡하며, 더 많은 기업과 취약점이 존재합니다.
* 이 글은
computerbase.de의 기사를 요약한 것입니다. 전체 기사의 내용은
이곳에서 확인하실 수 있습니다.