[아이티데일리] 비영리 연구개발 단체 마이터(MITRE)가 운영 중인 ‘공통 취약점 및 노출(Common Vulnerabilities and Exposures, 이하 CVE)’ 프로그램이 미국 연방 정부의 자금 지원이 끊기며 존폐 기로에 놓였다.

포브스 등 외신에 따르면, 마이터 국토안보센터 요스리 바르숨(Yosry Barsoum) 부사장은 CVE 이사회에 서한을 보내 미국 정부와 맺은 프로그램 관리 계약이 16일(현지 시각) 만료된다고 알렸다.

요스리 바르숨 부사장은 “CVE와 공통 보안약점 리스트(CWE) 등 여러 프로그램을 개발·운영·현대화하는 데 쓰이는 자금 지원이 16일 자로 종료된다”며 “정부는 이 프로그램을 운영하는 마이터의 역할을 유지하기 위해 상당한 노력을 계속하고 있다”고 설명했다.

이어 그는 “서비스 중단이 발생하면 국가 취약점 데이터베이스(NVD), 사고 대응 운영을 비롯한 중요 인프라가 악화하는 등 CVE에 여러 영향을 미칠 것으로 예상한다”고 덧붙였다.

마이터가 1999년 운영을 시작한 CVE는 공개적으로 알려진 소프트웨어의 보안 취약점을 가리키는 고유 표기다. 취약점에는 CVE라는 문자 뒤에 발견 연도와 임의의 번호를 붙인 값이 지정된다.

CVE는 취약점 관리에 있어 국제적 표준으로 여겨진다. 초기에는 마이터만이 CVE 값을 관리했으나 2025년 현재 CVE 번호 할당 기관(CNA)은 전 세계 40개국 450여 곳에 이른다. 공급업체들은 CVE로 위험 사항을 알리고 있으며, 정부 기관에서도 보안 계획을 수립하는 데 CVE를 참고하고 있다.

국내에서는 삼성모바일, 삼성TV&가전, LG전자, 네이버, 한화비전, 한국인터넷진흥원, 금융보안원 등 7개 기관이 CNA로 활동 중이다.

마이터는 미국 국토안보부 산하 사이버 보안 및 인프라 보안국(CISA)에서 지원하는 자금을 바탕으로 CVE를 25년여간 관리해 왔다. 하지만 16일 자로 계약이 만료됨에 따라 향후 프로그램 운영에 차질이 불가피해졌다.

MITRE 측은 과거 기록은 오픈소스 커뮤니티 ‘깃허브(GitHub)’를 통해 제공되지만, 지속적인 자금 지원이 없이는 새로운 CVE 지정을 비롯한 프로그램 운영 전반이 중단될 것이라고 밝혔다.

해외 전문가들은 CVE 운영 중단으로 빚어질 혼란을 우려하고 있다. 더버지(The Verge) 보도에 따르면, 보안 및 개인정보 보호 연구가 루카슈 오레닉(Lukasz Olejnik)은 자신의 엑스(X, 옛 트위터) 계정에 “CVE는 전 세계 기업, 정부, 연구기관이 취약점을 식별하고 추적하는 데 활용한 시스템”이라며 “이 프로그램이 더 이상 운영되지 않는다면 공급업체 간 공조가 무너지며 사이버 보안에 총체적 혼란을 가져올 것”이라고 우려했다.

일각에서는 CVE 자금 지원 종료를 도널드 트럼프 행정부에서 진행 중인 연방 예산 삭감 계획의 연장선상으로 풀이했다. 실제로 트럼프 행정부는 CISA에 대해 정리해고를 단행 중이다. CISA는 지난 2월부터 300여 명에 이르는 인력이 자리를 잃었는데, 이는 전체 인원 3,200명의 10%에 해당한다.

이 밖에도 트럼프 행정부는 지난 1월 중국 연계 해킹 그룹 ‘솔트타이푼(Salt Typhoon)’을 조사하던 사이버 안전 검토위원회(CSRB) 위원 전원을 해임하기도 했다.