[아이티데일리] 금융보안원(원장 김철웅)은 미국 마이터(MITRE)로부터 CVE(Common Vulnerabilities and Exposures) 번호를 부여하고 등록·관리할 수 있는 CNA(CVE Numbering Authority) 기관으로 정식 지정됐다고 7일 밝혔다.

CVE는 오픈소스 등 소프트웨어(SW)에 존재하는 보안 취약점을 가리키는 국제 식별 번호다. 기관 및 업체는 공개된 CVE 목록을 통해 업체에서 효율적으로 취약점을 관리할 수 있다.

CNA 기관은 현재 전 세계 38개국, 352개 기관 등이 지정돼 운영 중이며, 국내에는 6개 기관이 활동하고 있다.

금융보안원은 여타 CNA 범위에 속하지 않은 국내 금융 분야를 담당할 예정이다. 금융권에서 사용 중인 SW의 취약점을 발굴하고 유효성을 검증한다. 특정 기준에 충족되는 결함일 경우 CVE 번호를 부여하고 이를 등록하고 관리하는 역할을 맡는다.

또한 앞으로 금융권 공통의 보안 취약점 관리 체계를 마련함과 동시에 소프트웨어 공급망의 보안 생태계를 조성하는 데에도 앞장설 계획이다.

금융보안원 김철웅 원장은 “오픈소스 활용이 일상화되면서 저장소나 개발환경에 대한 해킹 등으로 금융권에도 연쇄적인 위협이 발생할 수 있다”며 “이번 CNA 지정을 계기로 금융보안원은 전담 조직을 신설하는 등 금융권 소프트웨어 공급망의 안전성 강화를 위해 노력하겠다”고 밝혔다.