🚨CVE 어디감?

구독자님 안녕하세요. 보안 업계에서 취약점을 구분할 때 CVE 라는 것을 이용하는데요. 전세계적으로 사용되던 CVE 프로그램이 사라질 위기가 있었습니다. 오늘은 CVE 가 사라질뻔한 소동을 알아보면서 CVE 가 무엇인지, 사라지면 보안 업계에 어떤 영향을 끼칠 수 있는지 알아보는 시간을 갖도록 하겠습니다.😉

🤔CVE 가 뭐야?

CVE (Common Vulnerabilities and Exposures) 는 소프트웨어 보안 취약점을 모아 일련 번호를 붙여 관리하는 공개 리스트입니다. 보안 업계에서는 각 취약점을 “CVE-연도-번호” 형태의 ID 로 구분하고 있어요. 예를 들어 CVE-2025-12345 와 같은 식으로 쓰여집니다. 이렇게 하면 특정 모듈에서 발생하는 힙 오버플로우 와 같이 어려운 이름 대신에 CVE ID 로 동일한 취약점을 혼동 없이 소통할 수 있습니다.

CVE는 1999년 MITRE 라는 비영리 연구기관이 만들었어요. 25년동안 27만개가 넘는 CVE가 등록되었고 24년 한 해에만 4만건이 넘는 CVE가 등록되었다고 해요. 현재 사이버보안 업계의 사실상 표준으로 자리잡아서 각종 보안 보고서나 업데이트 공지에서도 CVE ID를 쉽게 찾아볼 수 있어요. 가령 운영체제 보안 패치 안내에도 “이 업데이트는 CVE-2025-12345 취약점을 해결한다” 라는 식으로 쓰이죠.

즉, CVE는 같은 취약점을 같은 이름으로 부를 수 있기에 기업, 연구자, 정부 모두 취약점 정보를 빠르고 정확하게 공유하고 대응할 수 있게 합니다.

🫠CVE가 왜 없어질 뻔 했지?

이러한 CVE 가 최근 없어질 뻔한 사태가 벌어졌습니다. 사건의 발단은 미국 정부 자금 지원의 중단 위기였습니다. MITRE 기관은 미국 국토안보부(DHS) 산하 CISA 와의 계약을 통해 CVE 운영 예산을 받아왔는데요. 2025년 4월 16일 부로 그 정부 계약이 갱신되지 않고 만료될 예정이었던 겁니다.

미국 DHS 가 정확히 왜 계약을 연장하지 않았을까요? 이는 바로 최근 트럼프 행정부의 정부 효율부 (DOGE) 의 정부 예산 감축 활동과 연관이 있습니다.

MITRE 는 2025년 초 DOGE 에 의해 약 2천8백만 달러 규모 정부 계약이 86건 취소되어 직원 442명을 해고할 수 밖에 없었다고 밝혔습니다. 이 취소된 계약에 CVE 프로그램 운영에 필요한 계약도 포함되어 있던 것으로 사료됩니다.  

😰CVE가 없어지는게 뭐가 문제죠?

CVE 가 사라지는게 어떤 문제가 있을까요? CVE 는 전세계 수많은 보안 장비, 도구, 보고서에서 공통된 단위로서 역할을 하고 있었습니다. 공통 단위가 사라지면 각자 자기 방식대로 이름을 붙이고 관리를 해야하니 큰 혼란이 생길 수 있습니다.

취약점을 같은 이름으로 부르지 않고 따로 부르는게 그렇게 큰 혼란을 부를일인가 하고 의문을 가질 수 있습니다. 그런데 보안 취약점은 매일같이 새로 발견되며 그 양도 엄청나죠. MS 와 같이 이름 있는 빅테크들은 자사 제품들에서 발견되는 취약점들을 관리하기 위한 체계가 있기는 해서 CVE 가 없더라도 취약점 구분을 할 수 있지만 별도 취약점 관리 체계 없이 CVE 를 이용하는 기업들도 많아요. CVE 가 사라진다면 어떤 제품에서 어떤 취약점을 어떻게 불러야할지 모두가 어려움을 겪게 되는 것이죠.

이런 소통의 어려움은 보안 업무 처리의 비효율을 불러오고 정말로 보안 사고가 일어나서 대응을 해야할 때 적절한 시간 내에 수습을 못하게 될 공산이 있습니다. 단순하게 생각한 문제가 큰 나비효과를 불러오게 되는 것입니다.

다행히도 CVE 프로그램이 실제로 중단되지는 않았습니다. CISA 가 극적으로 개입하여 기존 계약을 11개월 연장했고 CVE 와 같은 중요 서비스 운영 공백이 생기지 않겠다는 입장을 밝혔어요. 덕분에 CVE ID 발급, DB 운영이 현재까지도 지속되고 있습니다. 허나 11개월 뒤 계약이 만료되어 정말로 CVE 운영이 종료된다면 무슨 일이 벌어질까요?

이번 사건을 계기로 민간 주도의 CVE 대안 마련 움직임이 시작됐어요. 실제로 CVE 위원회 일부 회원들은 CVE 재단이라는 비영리 단체를 출범시켰어요. 이 재단은 CVE 를 특정 국가나 기관 예산에 의존하지 않고 다양한 글로벌 후원으로 지속시키는 방안을 모색하고 있어요.

한편, 유럽 연합 사이버보안청 ENISA 에서는 EUVD (European Vulnerability Database) 라는 유럽형 취약점 DB 를 내놓았고 룩셈부르크 CERT 팀도 GCVE (Global CVE) 라는 취약점 관리 체계를 개발중이라고 해요.

허나 이런 시도들은 대안일 뿐이고 베스트 케이스는 애초에 CVE 프로그램이 안정적으로 운영되는 방향일 것 같네요.

마무리

이번 CVE 중단 위기는 결과적으로는 유야무야 해결되긴 했습니다만 보안 분야에서 20년 넘게 누구나 당연하다는 듯이 사용했던 CVE 가 사라질 뻔했다니 새삼 놀랍게 느껴지네요. 앞으로 CVE 가 이런 소동 없이 안정적으로 운영되면 좋겠습니다.(없어지면 제가 할일이 많아져요...)

여러분 생각은 어떠신가요? 앞으로 CVE의 운명은 어떻게 될까요? 댓글로 남겨주세요!😉

다음에 또 새롭고 흥미로운 주제로 찾아뵙겠습니다. 읽어주셔서 감사합니다. 🙂

구독자님, 오늘 뉴스레터는 어떠셨나요?
해킹/보안 관련 콘텐츠를 계속 받아보고 싶으시다면 구독 부탁드려요! 🙌