다른 기술 회사와 마찬가지로 Apple은 CVE(Common Vulnerability Exposure) 프로그램을 사용하여 소프트웨어의 보안 취약성을 식별하고 추적합니다. 오늘 연방 정부가 CVE에 대한 자금 지원을 갑자기 중단함에 따라 이 중요한 사이버 보안 리소스는 이제 불확실한 미래에 직면해 있습니다.
위기에 대응하여, 오랜 CVE 이사회 회원들이 이끄는 연합은 오늘 취약성 식별 시스템의 지속적인 운영을 보장하는 데 전념하는 비영리 조직인 CVE 재단의 창설을 발표했습니다.
새로 설립된 재단의 임원인 Kent Landfield는 "글로벌 사이버 보안 생태계의 초석으로서 CVE의 중요성은 과소평가될 수 없습니다."라고 말했습니다. "전 세계 CVE는 보안 도구 및 권고부터 위협 인텔리전스 및 대응에 이르기까지 일상 업무에서 CVE 식별자와 데이터에 의존합니다. CVE가 없다면 방어자는 글로벌 사이버 위협에 맞서기 위한 노력에서 극도로 불리할 것입니다."
CVE 프로그램은 Apple의 macOS, iOS, iPadOS 및 기타 제품을 포함한 모든 소프트웨어 및 하드웨어의 보안 취약성을 식별하고 분류하기 위한 표준화된 시스템을 제공합니다. 보안 연구원이 취약점을 발견하면 Apple과 같은 회사가 패치와 업데이트를 조정할 수 있도록 고유한 CVE 식별자가 할당됩니다.
MITRE는 프로젝트 관리를 위해 미국 국토안보부와 계약을 맺었습니다. 회사는 정부 자금 지원이 4월 16일에 만료되었음을 확인했습니다. 로이터에 따르면, 프로그램 만료는 부분적으로 정부 효율성부(DOGE)에 의해 야기된 연방 정부에서 진행 중인 대규모 해고와 관련이 있을 수 있습니다. 해고로 영향을 받은 미국 사이버보안 및 인프라 보안국(CISA)은 갑작스러운 자금 부족으로 글로벌 취약성 관리에 지장이 생길 수 있기 때문에 "영향을 완화하기 위해 긴급히 노력하고 있다"고 밝혔다.
보안 전문가들은 CVE가 없다면 취약점을 전달하기 위한 공통 언어가 사실상 사라지기 때문에 사이버 보안 노력은 "완전한 혼란"에 직면하게 될 것이라고 경고했습니다. 한 연구자는 이를 "갑자기 모든 사전을 삭제하는 것"에 비유했습니다.
새로 형성된 CVE 재단은 프로젝트를 단일 정부 자금에 의존하지 않는 전용 비영리 모델로 전환하는 것을 목표로 합니다. 재단의 조직자들은 지난 1년 동안 이러한 가능성에 대비해 왔다고 밝혔습니다.
재단은 발표문에서 “국제 사이버보안 커뮤니티에게 이번 움직임은 오늘날 위협 환경의 글로벌 특성을 반영하는 거버넌스 메커니즘을 구축할 수 있는 기회를 의미한다”고 밝혔다.
자금 삭감은 관련 CWE(Common Weakness Enumeration) 프로그램에도 영향을 미칩니다. 이 프로그램은 Apple과 같은 회사가 잠재적인 보안 문제가 취약점이 되기 전에 발견하는 데 도움이 됩니다.
CVE 재단은 앞으로 구조와 자금 조달 계획에 대한 자세한 내용을 발표할 예정입니다. Apple과 기타 대형 기술 기업은 이를 사이버 보안 인프라의 핵심 구성 요소로 지원하는 데 중요한 역할을 할 가능성이 높습니다.