CVE 운영 중단 위기 1년 후 - 운영 불안정성 여전

 

MITRE 기관은 미국 국토안보부(DHS) 산하 CISA 와의 계약을 통해 CVE 운영 예산을 받았습니다.

2025년 4월 16일 이후 정부 계약이 갱신되지 않아 만료될 예정이었습니다.

 

https://www.linkedin.com/feed/update/urn:li:activity:7318006192021143554/

MITRE has announced that its funding for the Common Vulnerabilities and… | Brian Krebs | 댓글 349

 

 

 

 

 

. Funding Expires for Key Cyber Vulnerability Database

https://krebsonsecurity.com/2025/04/funding-expires-for-key-cyber-vulnerability-database/

Funding Expires for Key Cyber Vulnerability Database – Krebs on Security

 

. U.S. Govt. Funding for MITRE's CVE Ends April 16, Cybersecurity Community on Alert

https://thehackernews.com/2025/04/us-govt-funding-for-mitres-cve-ends.html

U.S. Govt. Funding for MITRE's CVE Ends April 16, Cybersecurity Community on Alert

 

 

* 일단 11개월 연장

 

미국 CISA는 예산 2천 만 달러 (약 273 억원)을 승인해 적어도 2026년 3월까지는 유지하게 되었습니다.

 

미국 손에 인터넷 지배권 ‘압박 카드로 쓸라’ 위기감 

http://www.economyinsight.co.kr/news/articleView.html?idxno=7018

[이슈] 미국 손에 인터넷 지배권 ‘압박 카드로 쓸라’ 위기감

 

CVE program averts swift end after CISA executes 11-month contract extension

https://www.csoonline.com/article/3963190/cve-program-faces-swift-end-after-dhs-fails-to-renew-contract-leaving-security-flaw-tracking-in-limbo.html

CVE program averts swift end after CISA executes 11-month contract extension

 

CISA extends funding to ensure 'no lapse in critical CVE services

https://www.bleepingcomputer.com/news/security/cisa-extends-funding-to-ensure-no-lapse-in-critical-cve-services/

CISA extends funding to ensure 'no lapse in critical CVE services'

 

* 앞으로

 

Moving CVEs past one-nation control

https://news.sophos.com/en-us/2025/04/17/moving-cves-past-one-nation-control/

Moving CVEs past one-nation control

 

CVE 어디감?

https://maily.so/hackyboiz/posts/g1o4k90lrve

🚨CVE 어디감?

 

 

전세계 보안 업계를 뒤집어버린 트럼프, 죽다살아난 CVE.

https://www.youtube.com/watch?v=C7dFWk1FZ_U

 

 

The Mandate, Mission, and Momentum to lead the CVE Program into the Future belongs to CISA (2025.09.10)

https://www.cisa.gov/news-events/news/mandate-mission-and-momentum-lead-cve-program-future-belongs-cisa

The Mandate, Mission, and Momentum to lead the CVE Program into the Future belongs to CISA | CISA

 

 

CISA looks to partners to shore up the future of the CVE Program

https://www.helpnetsecurity.com/2025/09/12/cisa-cve-program-future/

CISA looks to partners to shore up the future of the CVE Program - Help Net Security

 

2026년 3월

글을 작성하고 거의 1년을 기다렸습니다.

2026년에 어떻게 되었는지 궁금해 찾아봤습니다.

 

AI 문의 내용 답변입니다.

2025년 4월 말, 미국 정부의 예산 삭감 기조 속에서 MITRE가 운영하는 CVE(공통 취약점 및 노출) 및 CWE(공통 취약점 평가) 프로그램이 중단될 위기에 처했으나, CISA(사이버보안 및 인프라 보안국)가 긴급 계약을 통해 2026년 3월 16일까지 11개월간 지원을 연장했습니다.  이후 상황(2026년 2월 말 기준)은 다음과 같습니다. 현재 상태 (2026년 초): CISA가 연장한 11개월의 계약 덕분에 CVE/CWE 프로그램은 2026년 3월까지 운영이 유지되었습니다. 그러나 이 지원은 '임시 방편'이었으며, 2026년 3월 16일 이후에 대한 명확한 장기 계약은 불투명한 상태였습니다. 향후 전망 및 운영 모델 전환: 2026년 3월 이후에는 기존의 단일 정부 지원 계약 방식 대신, CISA는 더 지속 가능하고 '다중 부문(multi-sector)'이 참여하는 모델로 전환을 모색하고 있습니다. 즉, MITRE에 대한 의존도를 낮추고 민간 및 국제 기구가 참여하는 형태를 계획 중입니다. 지속적 불안정성: 2026년 2월 말, 미국 행정부의 추가적인 CISA 예산 및 인력 감축(약 40% 이상)이 추진되면서 사이버 보안 운영에 대한 압박이 계속되고 있습니다. CVE 프로그램은 2026년 3월 이후에도 추가적인 1년 계약 갱신이 예상되기도 하지만, 여전히 짧은 예산 주기와 정치적 우선순위에 따라 운영 위기가 반복될 수 있는 구조적 불안정이 존재합니다. 대안 모색: 정부 지원의 불안정성으로 인해 'CVE 파운데이션'과 같은 독립적인 민간 기반의 운영 구조가 논의되는 등 프로그램의 자립성을 위한 대안들이 마련되고 있습니다.  요약하자면, 2026년 3월까지 지원은 확보되어 서비스 중단은 면했으나, 이후에는 단일 정부 계약에서 다중 참여형/독립형 모델로의 전환이 추진 중이며, 예산 부족으로 인한 운영 불안정성은 지속되고 있는 상황입니다.

 

여전히 운영 불안정성은 지속되고 있습니다.