미국 정부의 CVE 사이버보안 프로그램에 대한 지원금 만료 예정

공통 취약점 및 노출(CVE) 프로그램은 미국 정부가 비영리 기관인 MITRE를 통해 이 프로그램을 지원하기 위한 계약을 갱신하지 않아 오늘, 4월 16일에 만료되는 상황으로 불확실한 미래를 맞고 있습니다. 사이버 보안 전문가들은 이로 인한 잠재적인 전세계 보안 위험을 경고하고 있습니다.

1999년에 시작된 CVE 프로그램은 ID 시스템을 개발하고 엔지니어 및 조직이 전 세계적으로 취약점을 식별하고, 패치를 적용하며, 이를 완화하는 데 도움을 주도록 설계되었습니다. “CVE”라는 글자로 시작하고 연도와 고유 번호가 뒤따르는 코드를 고려해보면 – 예를 들어, 메타의 AI 프레임워크에서 발견된 CVE-2024-50050이나 몇 주 전에 발견된 크롬 제로데이 취약점 CVE-2025-2783 등 – 이 프로그램은 전 세계 취약점을 정리하고 관리합니다.

MITRE Corporation은 설립 이후 CVE 시스템의 유지 및 운영을 담당하고 있으며, 지난 25년 동안 꾸준히 국토안보부(DHS)와 사이버보안 및 인프라 보호국(CISA)의 재정 지원을 받아 왔습니다.

MITRE의 국토 보호 센터(CHS) 부사장이자 이사인 Yosry Barsoum이 CVE 이사회 회원들에게 보낸 내부 편지가 유출되어 Bluesky에서 공개적으로 공유되었습니다.

“MITRE의 CVE에 대한 지속적인 지원과 관련한 중요한 가능성 문제에 대해 알고 계실 것을 원합니다.”라는 문서에서 언급합니다. “2025년 4월 16일 수요일에는, MITRE가 CVE와 CWE 등 여러 관련 프로그램들을 개발하고, 운영하고, 현대화하는 현재의 계약 경로가 만료됩니다.”

The Verge는 소셜 미디어 플랫폼에서 공개된 정보를 확인하고, Barsoum에게 연락하여 정부가 MITRE에 대한 지원을 계속하기 위해 노력하고 있음을 확인했습니다. 그 동안에, 소프트웨어와 하드웨어 취약점에 초점을 맞춘 Common Weakness Enumeration (CWE) 프로그램도 영향을 받게 될 것입니다.

사이버보안 연구원인 루카시 올레이니크는 X에 관한 그의 우려를 공유했습니다. 그는 글을 통해 “트럼프 행정부는 세계적인 사이버보안 시스템을 효과적으로 (적어도 임시적으로) 마비시킬 것”이라고 썼습니다. “결과적으로 공급업체, 분석가, 방어 시스템 간의 협력이 붕괴되고, 누구도 자신이 어떤 취약점을 가리키는지 확신할 수 없을 것입니다. 완전한 혼돈과 함께 사이버보안이 일괄적으로 약화될 것입니다.”

트럼프 행정부가 단지 몇 푼의 비용을 줄이는 것으로, 전 세계적인 사이버 보안 시스템인 CVE를 실질적으로 (적어도 일시적으로) 마비시킬 것입니다. CVE란 무엇일까요? 이것은 취약점을 식별하고 추적하는 전 세계적인 시스템으로, 이것은… pic.twitter.com/WBCdLz0DdT

— Lukasz Olejnik (@lukOlejnik) 2025년 4월 15일

MITRE를 포함한 다른 전문가들과 조직들은 CVE 프로그램이 정상적으로 서비스와 운영을 이어갈 수 있도록 다른 자금 출처와 대안을 찾을 것으로 예상합니다.