현대 사이버 보안의 근간을 잃을 뻔한 24시간

계약 만료로 인해 글로벌 취약점 관리 에코시스템이 붕괴될 뻔한 사례

전 세계 보안 운영 센터의 전형적인 화요일이었습니다. 분석가들은 SIEM 대시보드를 모니터링하고, 취약성 스캐너는 매일 스캔을 수행하고, 사고 대응자는 평소와 같이 쏟아지는 알림을 분류하고 있었는데, 이 모든 작업은 대부분 두 번 생각하지 않는 식별자 시스템에 의존하고 있었습니다.

그러던 중 MITRE가 폭탄을 터뜨렸습니다.

2025년 4월 15일, MITRE의 부사장 겸 국토안보센터 소장은 사이버 보안 재난 영화의 오프닝 장면처럼 보이는 서한을 CVE 이사회 멤버들에게 보냈습니다. 이 서신에는 바로 다음 날인 4월 16일 수요일에 "MITRE가 CVE 및 CWE와 같은 여러 관련 프로그램을 개발, 운영 및 현대화하기 위한 현재 계약 경로가 만료될 것"이라고 명시되어 있습니다.

사이버 보안 참호에 있는 우리들에게 이것은 단순한 자금 문제나 프로그램 업데이트가 아닙니다. 이것은 하룻밤 사이에 집의 기초가 사라진다는 말을 듣는 것과 같은 디지털 위기였습니다.

보안 인프라의 조용한 아키텍처

거의 일어날 뻔한 사고의 규모를 이해하려면 최신 사이버 보안을 가능하게 하는 보이지 않는 아키텍처를 이해해야 합니다. 공통 취약점 및 노출(CVE) 식별자는 25년 동안 전 세계 방어자들이 동일한 보안 문제에 대해 정확하고 명확하게 말할 수 있게 해준 업계의 보편적인 언어입니다.

사용하는 모든 취약점 스캐너? 발견한 결과를 CVE에 매핑합니다. 

모든 패치 관리 시스템? CVE에서 관리합니다. 

모든 위협 인텔리전스 피드? CVE를 중심으로 구성됩니다.

모든 벤더의 보안 권고? CVE별로 분류되어 있습니다.

본질적으로 CVE는 다양한 도구, 팀, 조직, 국가 간에 취약성에 대한 커뮤니케이션을 가능하게 하는 번역 계층인 사이버 보안의 로제타 스톤입니다.

4월 15일에 있었던 위협처럼 이 시스템이 갑자기 사라진다면 우리는 보안 위험에 대해 종합적으로 이해하고 소통할 수 있는 능력을 잃게 될 것입니다. 하룻밤 사이에 전체 보안 도구 체인의 공통 참조 프레임워크가 사라졌다고 상상해 보세요. 그 다음 날은 매우 달라 보일 것입니다. 새로운 취약점을 추적하려면 모든 프로젝트의 자체 취약점 목록을 추적해야 하는데, 대부분의 프로젝트는 사용 가능한 형식으로 취약점 자체를 추적하지 않기 때문에 이는 시시한 작업인 동시에 절대 불가능합니다. 신뢰할 수 있는 중앙 집중식 소스는 존재하지 않습니다.

벼랑 위의 24시간

이후 전개된 사건의 타임라인은 보안 인프라가 얼마나 취약할 수 있는지를 극명하게 보여줍니다:

2025년 4월 15일 오전: MITRE는 다음 날 계약 만료를 경고하는 서한을 CVE 이사회 멤버들에게 보냅니다.

2025년 4월 15일 오후: 이사회 멤버들이 그 의미를 파악하면서 사이버 보안 커뮤니티에 소문이 퍼지기 시작합니다.

2025년 4월 16일 오전: 오랫동안 활동해온 CVE 이사회 멤버들이 프로그램의 생존을 위한 백업 계획을 만들기 위한 필사적인 시도인 CVE 재단의 설립을 발표합니다.

2025년 4월 16일, 늦은 저녁: CISA는 "중요한 CVE 서비스에 공백이 생기지 않도록 하기 위해" MITRE와 계약을 연장했다고 발표합니다.

24시간도 채 되지 않아 글로벌 사이버 보안의 근간이 되는 시스템의 잠재적 붕괴와 긴급 구조를 모두 목격했습니다. 대부분의 보안 전문가들이 생각하는 것보다 훨씬 더 아슬아슬한 상황이었죠.

파산할 뻔한 일

CISA가 11시간에 계약을 연장하지 않았다면 그 결과는 즉각적이고 심각했을 것입니다:

• 취약점 관리가 붕괴될 것입니다: 새로운 CVE가 발행되지 않으면 새로 발견된 취약점을 식별하고 추적할 수 있는 표준 방법이 없습니다.
• 보안 도구의 효율성이 떨어질 수 있습니다: 취약성 스캐너, SIEM 및 기타 보안 도구는 CVE 매핑에 의존하여 발견한 결과를 상호 연관시키고 문제의 우선 순위를 지정합니다.
• 패치 관리는 혼란스러워질 것입니다: CVE를 기준점으로 삼지 않으면 기업 전체에서 어떤 취약점이 패치되었는지 추적하는 것이 기하급수적으로 어려워집니다.
• 인시던트 대응에 지장을 초래할 수 있습니다: 팀은 인시던트 발생 시 보안 문제에 대해 소통하는 데 사용되는 공통 참조 프레임워크를 잃게 됩니다.
• 위협 인텔리전스가 파편화될 것입니다: 조직 전체에서 활성 위협에 대한 정확한 정보를 공유하는 능력이 저하될 수 있습니다.

이 모든 것은 위협 행위자, 특히 작년에 60개 이상의 취약점을 악용한 것으로 최근 유출된 메시지를 통해 드러난 블랙 바스타 같은 그룹이 기존 플레이북을 계속 사용하면서 방어자들이 갑자기 공유 취약점 언어를 사용하지 못하게 된 상황에서 발생합니다.

해결책이 아닌 실행 유예

당장의 위기는 피했지만, 우리가 받은 것은 해결책이 아니라 유예였습니다. CISA의 계약 연장 기간은 11개월에 불과하며, 이는 사실상 사면이 아닌 '집행 유예'에 해당합니다.

이 임시 조치는 CVE 프로그램의 장기적인 지속 가능성에 대한 근본적인 의문이 여전히 해결되지 않았음을 의미합니다. 이제 영구적인 자금을 확보하거나 대체 거버넌스 모델로 성공적으로 전환하기까지 11개월이라는 정해진 카운트다운 시계가 있습니다.

우리가 잃을 수 없는 불완전한 시스템

CVE 시스템은 완벽하지 않습니다. 비평가들은 그 한계에 대해 타당한 지적을 하고 있습니다:

• 때로는 보안 문제로 보기 어려운 문제를 보고하도록 장려하여 관리자가 문제를 해결하는 데 시간을 낭비하게 만들기도 합니다.
• CVSS 점수 시스템은 객관적인 위험 분석보다는 기업의 이해관계에 더 민감하게 반응하는 경우가 많습니다.
• 최근 몇 년 동안, 특히 Linux 커널이 CNA가 되어 대량의 버그를 CVE로 플래그 지정하기 시작한 이후 새로운 CVE가 쏟아져 나왔습니다.
• 기본 설계는 오늘날의 복잡한 환경이 아닌 25년 전의 보안 환경을 반영하고 있습니다.

하지만 모든 결함에도 불구하고 CVE는 여전히 유일한 범용 시스템으로 남아 있습니다. 당장 배포할 수 있는 대안이 없습니다. 대기 중인 백업 시스템도 없습니다. 신뢰할 수 있는 단일 소스 없이 수백만 개의 서로 다른 프로젝트에서 취약점을 독립적으로 추적할 수 있는 현실적인 방법도 없습니다.

이것이 얼마나 중요한지 잘 모르겠다면, 현재 사용 중인 덜 영향력 있는 시스템인 다양한 위협 행위자에 대한 간단한 명명 규칙을 살펴보세요. 위협 행위자 명명에 대한 CVE 시스템과 동등한 표준이 없기 때문에 어떤 벤더는 색상과 날씨 현상을, 다른 벤더는 완전히 다른 것을, 다른 벤더는 숫자를 사용하는 등 말도 안 되는 벤더별 명명 체계가 존재하며 결국 다른 상황에 직면했을 때 특정 활동이 동일한 위협 행위자를 가리키는지 이해하기 위해 가이드와 사전이 필요합니다. 특히 명확한 의도와 대응 속도가 필수적인 상황에서 효과적인 정보 수집을 불필요하게 더 어렵고 느리게 만듭니다. CVE의 경우라면 그 영향은 훨씬 더 클 것입니다.

중요 인프라의 숨겨진 취약성

이 아찔한 사고는 사이버 보안 생태계에서 가장 중요한 리소스 중 상당수가 놀라울 정도로 취약한 기반 위에 놓여 있다는 사실을 드러냅니다.

25년 동안 대부분의 보안 전문가들은 CVE 시스템이 계속 존재할 것인지에 대해 의문을 제기하지 않았습니다. 너무 기본적인 인프라였기 때문에 거의 사라질 때까지는 사라질 가능성을 현실적인 시나리오로 생각하지 않았기 때문입니다.

이는 불편한 질문을 제기합니다: 갑작스러운 중단에 비슷하게 취약할 수 있는 다른 중요한 사이버 보안 인프라는 무엇일까요? 계약 만료 한 번으로 붕괴될 수 있는 '실패하기에는 너무 중요한' 시스템은 또 어떤 것이 있을까요?

앞으로 나아가기: 11개월이라는 시간과의 경쟁

CVE 재단의 설립은 고품질 취약점 식별을 지속적으로 제공하고 전 세계 CVE 데이터의 무결성과 가용성을 유지하는 데 전념하는 비영리 단체가 나아갈 수 있는 한 가지 잠재적인 길을 제시합니다.

하지만 다시 같은 위기에 직면할 수 있는 시간이 11개월밖에 남지 않은 지금, 우리는 단순히 기다리면서 희망만 품을 여유가 없습니다. 이 짧은 시간 동안 여러 방면에서 즉각적이고 조율된 조치가 필요합니다:

1. 지속 가능한 거버넌스 모델 구축 한 국가의 이익뿐만 아니라 전 세계의 이익을 대변합니다. 이 모델은 정치적 변화와 자금 조달의 불확실성에 탄력적으로 대응할 수 있어야 합니다.
2. 실용적인 대체 메커니즘 개발 취약점을 식별하고, 분류하고, 전 세계에 전파하는 방법, 즉 단일 장애 지점에 의존하지 않고 작동할 수 있는 메커니즘을 개발합니다.
3. 전체 도구 체인을 조정하여 을 조정하여 다양한 대체 소스에서 취약성 정보를 가져옵니다. 현존하는 모든 스캐너, SIEM, 위협 인텔리전스 플랫폼, 보안 도구는 새로운 접근 방식을 수용하기 위해 업데이트가 필요할 수 있습니다.

이는 몇 년이 걸려도 실행하기 어려운 기념비적인 작업으로, 단 11개월 만에 시도하는 것은 거의 불가능해 보입니다. 하지만 이번 사건에서 알 수 있듯이 현 상태를 유지하는 것은 실행 가능한 대안이 아닙니다.

냉혹한 현실은 정부 기관, 기업, 비영리 단체 등 어느 한 주체의 통제 하에 이토록 중요한 시스템이 남아 있어서는 안 된다는 것입니다. 현재의 거버넌스 모델은 어느 주체가 키를 쥐고 있든 근본적으로 안전하지 않다는 것이 입증되었습니다.

경각심을 일깨우다: CVE는 시작에 불과합니다

최신 취약점 관리의 근간을 잃을 뻔했던 24시간은 경각심을 일깨우는 계기가 되어야 합니다. 하지만 CVE가 고립된 사례라고 생각하면 위험한 착각에 빠질 수 있습니다.

CVE 시스템은 단지 "당장의" 피해자일 뿐입니다. 다른 중요한 인터넷 인프라 시스템도 동일한 거버넌스 취약점으로 인해 어려움을 겪고 있습니다. 전체 디지털 세계가 의존하는 또 다른 시스템이지만 이론적으로 올바른(또는 잘못된) 상황에서 유사한 실존적 위협에 직면할 수 있는 DNS 루트 서버를 생각해 보세요. 인증 기관, 시간 서버, 라우팅 인프라 및 위험에 처하기 전까지는 거의 생각하지 않는 기타 기본 시스템도 마찬가지입니다.

보안 전문가로서 우리는 매일 우리가 보호하는 시스템에서 단일 장애 지점을 부지런히 식별합니다. 하지만 어떻게든 우리 직업을 가능하게 하는 바로 그 인프라가 심각한 종속성과 거버넌스 취약성을 개발하도록 허용했습니다.

11개월의 카운트다운이 시작되고 있습니다. 이는 CVE뿐만 아니라 디지털 생태계의 취약한 기반을 다시 생각해야 한다는 경고이기도 합니다. 이번 유예 기간을 활용해 모든 중요 사이버 보안 인프라에 대한 보다 탄력적인 거버넌스 모델을 구축하고, 제어권을 분산하고, 단일 장애 지점을 제거해야 다음번에는 훨씬 적은 경고로 또 다른 실존적 위기에 직면할 수 있습니다.

지금 바로 이러한 기본 시스템을 관리하고 운영하는 방식을 혁신하느냐, 아니면 계약 해지 한 번으로 디지털 혼란을 겪으며 위기에서 위기로 계속 헤매느냐의 선택은 분명합니다.

요약

기사 이름

현대 사이버 보안의 근간을 잃다

설명

최신 사이버 보안의 토대를 잃다. 계약 만료로 인해 글로벌 취약성 관리 에코시스템이 무너질 뻔한 방법

작성자

조아오 코레이아

게시자 이름

TuxCare

게시자 로고