DHS 계약 갱신 실패로 CVE 프로그램 조기 종료 위기
(csoonline.com)- MITRE의 CVE 프로그램은 사이버 보안의 핵심 요소로, 보안 취약점을 식별하고 관리하는 데 중요한 역할을 함
- CISA가 MITRE와의 계약을 연장하여 CVE 프로그램의 중단을 방지함
- 계약 연장은 11개월 동안 지속될 예정이며, 이는 글로벌 사이버 커뮤니티의 지지를 받음
- 계약 종료는 사이버 보안 생태계에 큰 영향을 미칠 수 있으며, 대체 솔루션이 필요할 수 있음
- VulnCheck와 같은 민간 부문이 CVE 프로그램의 공백을 메우기 위해 노력 중임
DHS와 MITRE 계약 종료 위기
- MITRE의 CVE 프로그램은 25년간 유지되어 온 중요한 사이버 보안 데이터베이스임
- DHS가 계약을 갱신하지 않으면서 프로그램이 중단될 위기에 처했음
- CISA가 계약 연장을 통해 프로그램 중단을 방지함
CVE 프로그램의 중요성
- CVE 프로그램은 글로벌 사이버 보안 생태계의 기초로, 보안 취약점을 식별하고 관리하는 데 필수적임
- NIST와 CISA가 추가 정보를 제공하지만, MITRE가 CVE 기록의 주요 출처임
- 프로그램 중단 시 글로벌 보안 관리에 큰 영향을 미칠 수 있음
계약 종료의 배경
- DHS의 계약 종료 결정의 이유는 명확하지 않음
- 정부의 예산 삭감이 주요 원인으로 추정됨
- CVE 프로그램의 운영 비용은 상대적으로 적음
향후 전망
- MITRE는 4월 16일부터 새로운 CVE 기록을 추가하지 않을 예정임
- 기존 기록은 GitHub에서 계속 제공될 것임
- 민간 부문이 대체 솔루션을 제공할 가능성이 있음
관련 뉴스
- MITRE의 자금 지원이 여전히 불확실하다는 전문가들의 의견
- 새로운 ResolverRAT 악성코드가 전 세계 의료 및 제약 조직을 대상으로 함
- Windows와 SAP 앱의 취약점 관련 최신 패치 뉴스
Hacker News 의견
- CVE Foundation 관련 논의가 진행 중임
- MITRE와의 계약이 연장되었음
- CVE Board 멤버들이 새로운 CVE Foundation을 출범하여 CVE 프로그램의 장기적인 안정성과 독립성을 보장하려고 함
- DHS 내부의 부서 간 분리로 인해 이 문제의 부정적인 측면을 충분히 인식하지 못한 것 같음
- CVE 프로그램의 중요성을 인식하지 못한 고위 재무 부서가 잘못된 결정을 내린 것으로 보임
- 많은 ycombinator 창업자와 Hacker News 독자들이 이 문제를 가능하게 했고, 이제 그 결과에 대해 의문을 품고 있음
- 사회에 중요한 다른 것들이 최근 몇 주 동안 조용히 사라졌을 가능성을 생각하게 됨
- 현재 CVE 구현에 주요 문제가 있었음. 특히 스크립트 키디와 AI 도구가 데이터베이스를 스팸으로 채우고, 보안을 중요시하는 프로젝트가 점수에 거의 영향을 미치지 못하는 점이 문제였음
- OSS 소프트웨어에서 CVE 관리를 하는 사람들은 NVD 자금 삭감이 1년 이상 지속되어 왔음을 이미 알고 있음
- NIST는 국가 취약점 데이터베이스(NVD)를 유지하고 있으며, 이는 국가 사이버 보안 인프라의 핵심 요소임
- 소프트웨어 증가로 인해 취약점이 증가하고 있으며, 기관 간 지원 변화로 인해 취약점 처리에 어려움이 있음
- 장기적인 해결책으로 산업, 정부, 기타 이해관계자 조직의 컨소시엄 설립을 고려 중임
- Yocto Project는 CVE Project와 CNAs에 공개 서한을 보냈으며, 최근 사건들이 프로젝트의 취약점 식별과 해결에 부정적인 영향을 미쳤다고 우려를 표명함
- 5년 전, Carnegie Mellon의 CERT Director가 CVE 백로그와 자원 부족 문제를 발표했으며, 많은 보고된 취약점이 CVE 번호를 받지 못하고 있음
- MITRE의 CVE 및 CWE 프로그램 참여를 위한 최신 계약은 2024년 4월 17일부터 2025년 4월 16일까지 USD$29.1m로 체결되었으며, 최대 USD$57.8m까지 연장 가능성이 있음
- 2025년 4월 16일부터 2026년 4월 16일까지 계약 연장 여부는 아직 결정되지 않았으며, 대체 계약에 대한 공개적인 접근 방식도 없음