바로가기 go !! 바로가기 go !!

지난해 글로벌 소프트웨어 취약점 관리의 국제 표준?체계인?CVE(Common Vulnerabilities and Exposures) 프로그램이 미국 정부?예산 삭감으로 중단 위기에 놓이면서 전 세계 사이버 보안 인프라의 구조적 취약성이 드러났다. 이 사건을 계기로?유럽은 최근 미국 중심 체계에 대한 의존을 줄이기 위해 GCVE(Global CVE)라는 독자적인 취약점 관리?체계를 출범하며?대응에 나섰다. 그동안 CVE에 절대적으로 의존해 온 한국의 취약점 관리 체계 역시 자체적인 투자와 구조 개선이 필요하다는 목소리가 커지고 있다.

골드몽사이트 CVE는 전 세계에서 발견되는 소프트웨어 취약점에 고유 식별 번호를 부여하는 국제 표준 체계다. 보안 패치 우선순위 결정과 취약점 관리, 보안 솔루션 탐지 규칙, 위협 인텔리전스 공유 전반의 기준으로 활용돼 왔다. 이 체계는 미 사이버 보안 및 인프라 보안국(CISA)이 예산을 지원하고, 비영리 연구기관 마이터(MITRE)가 위탁 운영해 왔다. C 릴게임오션파라다이스 ISA는 미 국토안보부 산하 기관으로, 미국 연방정부의 사이버 보안 정책과 대응을 총괄하는 실무 컨트롤타워 역할을 맡고 있다.




gcve.eu 홈페이지 메인화면 / GCVE 홈페이지 갈무리


그러나 바다이야기게임 지난해 4월, 미 정부의 예산 삭감 여파로 CISA와 MITRE 간 CVE 운영 계약이 만료되면서 프로그램이 중단될 수 있다는 우려가 제기됐다. 연간 수만 건의 신규 취약점을 관리해 온 글로벌 취약점 관리 인프라가 단기간에 공백 상태가 될 수 있다는 전망이 나오자, 보안 업계와 각국 정부는 즉각적인 위기감을 드러냈다. 이후 CISA가 긴급히 계약을 연장하며 릴게임종류 즉각적인 중단은 피했지만, 특정 국가의 예산·정책 결정에 글로벌 취약점 관리 체계가 좌우될 수 있다는 구조적 위험이 명확히 드러난 사건으로 평가됐다.
이 같은 불확실성을 계기로 유럽은 독자적인 대응에 나섰다. 룩셈부르크 컴퓨터 사고 대응 센터(CIRCL)를 중심으로 1월 초 출범한 GCVE는 기존 CVE와의 호환성을 유지하면서도, 오픈소 바다이야기온라인 스를 기반으로 중앙 기관의 승인 없이 취약점 식별 번호를 발급할 수 있는 탈중앙화 구조를 채택했다. 각국과 기관이 'GCVE 번호 부여 기관(GNA)'으로 참여해 자율적으로 취약점을 문서화하고 공유할 수 있도록 설계됐다.
보안 업계는 GCVE 출범이?단순한 CVE의 예비 체계가 아니라, 취약점 관리 영역에서?디지털 주권을 확보하려는 시도로 해석한다. CVE 중단 가능성에 대비하는 동시에, 취약점 정보의 생산과 공개?주도권을 특정 국가에 의존하지 않겠다는 전략적 선택이라는 분석이다.
이에 여전히 CVE 중심 구조에서 벗어나지 못하고 있는?한국의 취약점 관리 체계에 대한?지적이 자연스럽게?제기된다.?한국인터넷진흥원(KISA)은?현재 보안 취약점 신고 포상제와 보안 취약점 정보 포털(knvd.krcert.or.kr)을 운영하고 있으며, 2018년 CVE 번호 부여 기관(CNA) 자격도 취득했다. 금융보안원도 금융권 소프트웨어 및 공급망 보안과 관련해 CNA 자격을 갖고 있으며 삼성전자, LG전자, 네이버, 한화비전 등 기업들도 자사 제품·서비스와?관련해?CNA로 활동하고 있다.
하지만 실제 국내에 제공되는 취약점 정보의 상당수가?미국 CVE 정보를 국내에 전파·정리한 수준에 머무른다는 점이?한계로 지적된다. 통합 검색 시스템에서 제공되는 수십만 건의 취약점 데이터 역시 글로벌 CVE 데이터베이스에 기반하고 있다. KrCERT/CC이 운영되고는 있지만, 국산 소프트웨어나 국내 보안 제품에 대한 취약점 정보가?매우?드물게 공개되는 편이라는 점이 특히 문제로 꼽힌다.
보안 업계는 이러한 한계의 배경으로 취약점 공개에 대한 보수적인 문화와 법·제도적 제약을 꼽는다. 정보통신망법은 정당한 권한 없이 취약점을 점검·분석하는 행위를 처벌 대상으로 규정하고 있어, 모의해킹 대회 등?기업의 사전 동의 없이는 민간 연구자가 취약점을 분석·공개하기 어려운 구조다. 이로 인해 취약점 발굴과 공개가 위축되고, 장기적으로는 취약점 관리 역량 축적에도 제약이 따른다는 지적이다.
정부의 투자도 한계가 뚜렷하다. 최근 사이버 공격 증가로 국내 정보보호 투자 규모는 늘어나는 추세지만, 취약점 관리와 같은 사이버 보안 인프라 영역에 대한 투자는 상대적으로 소외돼 왔다는 분석이다. 인공지능(AI) 기반 취약점 정보 종합 관리 시스템 개선?등 일부 고도화 과제가 추진되긴 했으나,?유럽의 GCVE처럼 국가 차원의 독자적인 취약점 식별·공유 체계를 구축하려는 논의는 아직 본격화되지 않았다. 만약 CISA의 정보 제공이 중단될 경우를 가정한?실질적 대안에 대한 심도 깊은 검토가 필요하다는 의견이 나오고 있다.
한 보안 업계 관계자는 "지난해 미국 CVE 중단 위기는 그동안 당연하게 사용해 왔던?인프라가?특정 국가의 자원이었고, 전세계가 이에 완전히 의존해왔다는 것이라는 사실을 깨닫게 해준 사건"이라며 "취약점 관리를 단순한 기술 문제가 아니라 국가 보안 인프라 차원에서 접근할 필요가 있다"고 말했다. 이어 "국제 표준은 물론?국내 환경에?맞는 독자적인 식별·공유 체계 구축에 대한 투자가 필요하다"고 덧붙였다.
정종길 기자jk2@chosunbiz.com