[아이티데일리] 미국 사이버보안 및 인프라 보안국(CISA)이 ‘공통 취약점 및 노출(CVE)’ 프로그램을 운영 중인 비영리 연구개발 단체 ‘마이터(MITRE)’에 대한 자금 지원 계약을 연장했다. 16일(현지 시각) 자정께 계약이 만료됨에 따라 프로그램 존폐를 우려하던 마이터는 한시름을 놓았다.

CISA는 16일 CVE 프로그램을 운영하기 위한 마이터와의 계약을 연장했다고 밝혔다. 로이터 등 외신에 따르면 계약 기간은 약 11개월이다.

CISA 측은 공식 홈페이지를 통해 “CVE 프로그램은 사이버 커뮤니티에 매우 귀중하며 CISA의 우선순위다. CISA는 어젯밤 CVE에 차질이 생기지 않도록 계약의 옵션 기간을 실행했다”며 “파트너, 이해관계자들의 인내심에 감사를 표한다”고 밝혔다.

마이터는 CISA에서 자금을 지원받아 CVE 프로그램을 25년여간 관리했다. CVE는 번호 할당 기관(CNA)이 전 세계 40개국 450여 곳에 이를 만큼 보안 취약점에 있어 국제적 표준으로 자리매김해 왔다.

그러나 지난 15일 마이터 국토안보센터 요스리 바르숨(Yosry Barsoum) 부사장이 CVE 이사회 구성원에게 CISA와 맺은 자금 지원 계약이 16일 자정에 만료되며 이에 따라 서비스가 중단될 수 있다는 서한을 보내며 논란이 불거졌다.

외신은 이 같은 소식을 일제히 전했으며, 해외 보안 전문가들도 CVE 프로그램 운영 중단이 전 세계 사이버보안에 총체적 혼란을 불러일으킬 것이라고 우려했다. 다행히 채 하루가 지나지 않아 CISA가 계약 연장을 결정함에 따라 논란은 일단락됐다.

요스리 바르숨 부사장은 자신의 소셜미디어 계정을 통해 “16일 오전 CISA가 CVE 운영을 유지하기 위한 추가 자금을 확보했다”며 “지난 24시간 동안 전 세계 사이버 커뮤니티, 업계, 정부가 CVE에 대해 보여준 지지에 감사하다”고 말했다.

한편 자금 지원이 끊기며 CVE가 중단될 위기에 처하자, 프로그램의 독립성을 보장하기 위한 움직임도 일었다. 켄트 랜드필드(Kent Landfield)를 비롯한 CVE 이사회 구성원 중 일부는 지난 16일 ‘CVE 재단(CVE Foundation)’ 출범을 발표했다.

CVE 재단 측은 성명을 통해 “미국 정부의 지원 자금은 프로그램이 성장할 수 있도록 뒷받침했다. 하지만 전 세계가 공유하는 자원을 단일 정부가 후원하는 구조는 지속 가능성과 중립성에 있어 의문스러웠다”고 설명했다.

이어 이들은 “미국 정부가 CVE 지원 계약을 갱신할 의사가 없음을 마이터 측에 알리며 우려는 현실이 됐다”며 “이러한 상황에 대비해 1년여간 CVE를 비영리 재단으로 전환하는 방안을 고민했다”고 덧붙였다.

CVE 재단은 구체적인 전환 계획과 커뮤니티 참여 방법에 대한 자세한 정보를 향후 공개할 예정이다.