# DHS 계약 갱신 실패로 CVE 프로그램 조기 종료 위기 > Clean Markdown view of GeekNews topic #20369. Use the original source for factual precision when an external source URL is present. ## Metadata - GeekNews HTML: [https://news.hada.io/topic?id=20369](https://news.hada.io/topic?id=20369) - GeekNews Markdown: [https://news.hada.io/topic/20369.md](https://news.hada.io/topic/20369.md) - Type: GN+ - Author: [neo](https://news.hada.io/@neo) - Published: 2025-04-17T09:40:46+09:00 - Updated: 2025-04-17T09:40:46+09:00 - Original source: [csoonline.com](https://www.csoonline.com/article/3963190/cve-program-faces-swift-end-after-dhs-fails-to-renew-contract-leaving-security-flaw-tracking-in-limbo.html) - Points: 2 - Comments: 1 ## Topic Body - MITRE의 **CVE 프로그램**은 사이버 보안의 핵심 요소로, 보안 취약점을 식별하고 관리하는 데 중요한 역할을 함 - **CISA**가 MITRE와의 계약을 연장하여 CVE 프로그램의 중단을 방지함 - 계약 연장은 11개월 동안 지속될 예정이며, 이는 글로벌 사이버 커뮤니티의 지지를 받음 - 계약 종료는 **사이버 보안 생태계**에 큰 영향을 미칠 수 있으며, 대체 솔루션이 필요할 수 있음 - **VulnCheck**와 같은 민간 부문이 CVE 프로그램의 공백을 메우기 위해 노력 중임 --- ### DHS와 MITRE 계약 종료 위기 - MITRE의 **CVE 프로그램**은 25년간 유지되어 온 중요한 사이버 보안 데이터베이스임 - DHS가 계약을 갱신하지 않으면서 프로그램이 중단될 위기에 처했음 - CISA가 계약 연장을 통해 프로그램 중단을 방지함 ### CVE 프로그램의 중요성 - CVE 프로그램은 **글로벌 사이버 보안 생태계**의 기초로, 보안 취약점을 식별하고 관리하는 데 필수적임 - NIST와 CISA가 추가 정보를 제공하지만, MITRE가 CVE 기록의 주요 출처임 - 프로그램 중단 시 글로벌 보안 관리에 큰 영향을 미칠 수 있음 ### 계약 종료의 배경 - DHS의 계약 종료 결정의 이유는 명확하지 않음 - 정부의 예산 삭감이 주요 원인으로 추정됨 - CVE 프로그램의 운영 비용은 상대적으로 적음 ### 향후 전망 - MITRE는 4월 16일부터 새로운 CVE 기록을 추가하지 않을 예정임 - 기존 기록은 GitHub에서 계속 제공될 것임 - 민간 부문이 대체 솔루션을 제공할 가능성이 있음 ### 관련 뉴스 - MITRE의 자금 지원이 여전히 불확실하다는 전문가들의 의견 - 새로운 **ResolverRAT** 악성코드가 전 세계 의료 및 제약 조직을 대상으로 함 - **Windows**와 **SAP 앱**의 취약점 관련 최신 패치 뉴스 ## Comments ### Comment 37257 - Author: neo - Created: 2025-04-17T09:40:46+09:00 - Points: 1 ###### [Hacker News 의견](https://news.ycombinator.com/item?id=43700607) - CVE Foundation 관련 논의가 진행 중임 - MITRE와의 계약이 연장되었음 - CVE Board 멤버들이 새로운 CVE Foundation을 출범하여 CVE 프로그램의 장기적인 안정성과 독립성을 보장하려고 함 - DHS 내부의 부서 간 분리로 인해 이 문제의 부정적인 측면을 충분히 인식하지 못한 것 같음 - CVE 프로그램의 중요성을 인식하지 못한 고위 재무 부서가 잘못된 결정을 내린 것으로 보임 - 많은 ycombinator 창업자와 Hacker News 독자들이 이 문제를 가능하게 했고, 이제 그 결과에 대해 의문을 품고 있음 - 사회에 중요한 다른 것들이 최근 몇 주 동안 조용히 사라졌을 가능성을 생각하게 됨 - 현재 CVE 구현에 주요 문제가 있었음. 특히 스크립트 키디와 AI 도구가 데이터베이스를 스팸으로 채우고, 보안을 중요시하는 프로젝트가 점수에 거의 영향을 미치지 못하는 점이 문제였음 - OSS 소프트웨어에서 CVE 관리를 하는 사람들은 NVD 자금 삭감이 1년 이상 지속되어 왔음을 이미 알고 있음 - NIST는 국가 취약점 데이터베이스(NVD)를 유지하고 있으며, 이는 국가 사이버 보안 인프라의 핵심 요소임 - 소프트웨어 증가로 인해 취약점이 증가하고 있으며, 기관 간 지원 변화로 인해 취약점 처리에 어려움이 있음 - 장기적인 해결책으로 산업, 정부, 기타 이해관계자 조직의 컨소시엄 설립을 고려 중임 - Yocto Project는 CVE Project와 CNAs에 공개 서한을 보냈으며, 최근 사건들이 프로젝트의 취약점 식별과 해결에 부정적인 영향을 미쳤다고 우려를 표명함 - 5년 전, Carnegie Mellon의 CERT Director가 CVE 백로그와 자원 부족 문제를 발표했으며, 많은 보고된 취약점이 CVE 번호를 받지 못하고 있음 - MITRE의 CVE 및 CWE 프로그램 참여를 위한 최신 계약은 2024년 4월 17일부터 2025년 4월 16일까지 USD$29.1m로 체결되었으며, 최대 USD$57.8m까지 연장 가능성이 있음 - 2025년 4월 16일부터 2026년 4월 16일까지 계약 연장 여부는 아직 결정되지 않았으며, 대체 계약에 대한 공개적인 접근 방식도 없음