🛡 CVE 프로그램, 끊길 뻔했다

2025년 4월 중순, 미국 사이버안보 및 기반시설 보안국(CISA)은
MITRE와의 CVE(공통 취약점 및 노출) 프로그램 운영 계약을 연장한다고 발표했습니다.

이 발표는 극적인 "막판 결정"이었습니다.
불과 하루 전까지만 해도 MITRE는 CVE 프로그램이 중단될 위기에 놓였다고 내부 CVE 보드에 경고했고,
사이버 보안 업계는 혼란에 빠졌습니다.

---

💥 CVE가 중단되면 무슨 일이 벌어질까?

"CVE는 단순한 데이터베이스가 아닙니다.
사이버 보안 업계 전체가 취약점을 공유하고 대응하는 핵심 인프라입니다."
— Ferhat Dikbiyik, Black Kite

CVE(Common Vulnerabilities and Exposures)는…

• 🔎 취약점 식별자의 국제 표준
• 🛠 보안 툴 및 침해 대응 체계의 기반
• 📢 보안 패치 알림 및 공지의 기준
• 📡 위협 인텔리전스 피드의 기본 레퍼런스

➡️ 따라서 CVE 운영 중단은 취약점 대응 체계 전체를 마비시킬 수 있는 핵심 리스크입니다.

---

⏱ 위기의 전조: MITRE 내부 경고

MITRE의 부사장 Yosry Barsoum은 4월 15일, CVE 보드에 긴급 서한을 보냈습니다:

“계약 종료가 임박했고, 중단 시 다음과 같은 연쇄적 충격이 예상됩니다:

• 국가 취약점 DB 악화
• 보안 툴과 벤더 제품의 인식 불일치
• 사고 대응 지연
• 중요 인프라 보호 실패 가능성…”

이 서한은 업계에 패닉에 가까운 반응을 불러왔고,
일부 보안 단체는 “MITRE 없는 CVE 생태계”를 가정한 대체 전략까지 공개했습니다.

---

✅ 마지막 순간, CISA가 선택한 ‘연장’

다행히도 CISA는 4월 16일 저녁 공식 발표를 통해 계약 연장을 발표했습니다:

“CVE 프로그램은 사이버 보안 커뮤니티에 없어서는 안 될 자산입니다.
중단 없이 지속될 수 있도록 옵션 계약을 실행했습니다.
— CISA 대변인

다만, 계약 연장 기간 및 향후 운영 방식에 대한 구체적인 정보는 아직 공개되지 않았습니다.

---

🧩 왜 이런 사태가 벌어졌을까?

MITRE는 비영리 연구기관이지만, CVE 운영은 정부의 위탁 계약에 따라 수행합니다.
CVE는 공공의 자산이지만, 운영은 민간 위탁 형태라는 구조적 문제를 안고 있었던 셈이죠.

이 때문에:

• ✔️ 운영 예산이 분기마다 논의되고,
• ✔️ 정책적 결정 없이 계약이 끊길 수도 있는
  불안정한 기반 위에 있던 것이 이번 사태로 드러났습니다.

---

🧪 대안: 새로운 ‘CVE 재편 움직임’ 시작되다

🏛 1. CVE Foundation (신규 비영리 단체)

• CVE Board 핵심 인사들이 설립
• CVE의 독립적 비영리 운영 모델 구상
• “정부 계약 없이도 지속 가능한 구조” 마련이 목표

“CVE 자체가 공격받지 않도록,
CVE를 지키기 위한 새로운 기반이 필요하다.”
— Kent Landfield, CVE Foundation

---

🌐 2. Global CVE Allocation System (GCAS)

• 룩셈부르크 CIRCL이 개발 중
• 탈중앙화된 취약점 관리 시스템
• 기존 CVE와 호환되는 ID 체계 사용
• 중앙 권한 의존을 줄이기 위한 실험적 대안

---

🧠 업계가 얻은 교훈

1. CVE는 '인프라'이다
   단순한 번호 부여 시스템이 아니라,
   보안 운영 전체가 의존하는 기반 기술
2. 운영 방식의 재설계가 필요하다
   계약 단절 리스크, 정치적 예산 문제를 벗어나야
   글로벌한 지속성을 확보할 수 있음
3. 정부-민간 협력이 아닌 공동 거버넌스가 필요하다
   개방성과 안정성을 모두 갖춘 새로운 모델이 절실