[IT썰] 美 보안취약점 정보은행, 트럼프 예산칼날 간신히 피했다

CVE, 美 예산지원 마지막날 계약연장

일론 머스크 미국 정부효율부(DOGE) 수장이 지난 2월20일(현지시각) 메릴랜드주 옥슨힐의 게이로드 내셔널 리조트 & 컨벤션 센터에서 열린 2025 보수정치행동회의(CPAC)에 참석해 하비에르 밀레이 아르헨티나 대통령으로부터 받은 전기톱을 들고 포즈를 취하고 있다./AP=뉴시스

전 세계 기관·기업이 정보기술(IT) 보안취약점 정보를 얻는 데 활용하던 '공통 취약점 및 노출(CVE)' 프로그램에 대해 주 자금원인 미국 연방정부가 예산지원 중단방침을 철회했다.

16일(현지시각) 로이터통신에 따르면 미 사이버보안 당국은 이날 종료를 앞뒀던 CVE 프로그램 지원계약을 11개월 연장했다고 밝혔다.

CVE 프로그램은 1999년부터 소프트웨어(SW) 보안취약점을 수집·분류해 온 데이터베이스(DB)를 말한다. 현재 취약점 27만여건에 대한 고유 식별코드와 심각도 점수(CVSS)가 등재돼 있다.

미 사이버안보·인프라보호청(CISA), 한국인터넷진흥원(KISA)을 비롯한 각국 사이버보안 기관들은 경보를 발령하는 데 CVE 프로그램을 활용한다. 보안업계 일각에선 CVE 프로그램을 사전에 비유한다.

CVE 프로그램의 운영주체는 비영리 연구기관인 '마이터(MITRE)'다. 미 연방정부는 이달 들어 마이터에 대한 예산지원을 종료하겠다고 밝히면서 전 세계 보안업계의 우려를 샀다.

로이터는 CVE 프로그램 지원 주무기관인 CISA가 다른 연방기관과 마찬가지로 미 정부효율부(DOGE)의 대규모 구조조정을 겪고 있다고 보도했다. 다만 DOGE는 CVE 프로그램 예산지원 중단에 대해 답변하지 않았다.

한편 보안업계에선 CVE 프로그램을 위한 대안적 재원을 마련하려는 움직임이 나타나고 있다. 이날 미 워싱턴주에선 'CVE 재단'이 출범 소식을 알렸다.

성시호 기자 shsung@mt.co.kr

ⓒ 머니투데이 & mt.co.kr, 무단 전재 및 재배포 금지