미국 CVE 프로그램 예산 중단, 글로벌 사이버 보안 체계 흔들리나

CVE 프로그램 예산 중단 논란…사이버 보안 인프라 흔들리는 미국

미국 사이버 보안 체계의 핵심인 CVE(Common Vulnerabilities and Exposures) 프로그램이 연방 자금 지원의 중단으로 위기에 놓였다. 이 프로그램은 전 세계 정부와 기업이 보안 취약점을 식별하고 대응하는 데 사용하는 핵심 인프라 중 하나다.

2025년 중반, 미국 연방 의회의 일부 민주당 의원들은 CVE 관리 기관에 대한 공식 감사를 요구하며 사이버 보안 정책 전반의 재검토를 촉구하고 있다. 이는 최근 예산 삭감, 고위 간부들의 이탈, 신규 보안 위협의 증가 등이 맞물리며 미국 사이버 보안의 지속 가능성과 신뢰성에 대한 우려가 커진 데 따른 움직임이다.

CVE 프로그램 예산 중단과 긴급 연장 조치

CVE는 새로운 사이버 취약점을 식별하고 공개적으로 기록하여 대응 방법 개발을 가능하게 하는 국제 표준 프로그램이다. 예를 들어, 하나의 CVE 번호가 할당되면 관련 보안 패치 및 대응 솔루션이 해당 번호를 기준으로 분류되기 때문에, 전 세계 보안 담당자들이 통일된 기준 하에 위협을 이해하고 조치할 수 있다.

그러나 미 사이버 보안 및 인프라 보안국(CISA)의 예산 지원이 2024년 4월 공식 종료되면서, CVE 시스템의 지속적인 운영에 큰 차질이 발생했다. 현재는 임시 예산 조치로 11개월간 유지 운영이 가능하지만, 이후 예산 확보가 실패할 경우 데이터 흐름이 중단될 가능성이 있다는 경고가 이어지고 있다.

연방 감사 요청과 정책 개선 요구

2025년 6월, 미 하원 국토안보위원회 상임위원인 베니 톰슨(Bennie Thompson) 의원과 과학·우주·기술위원회 소속 조이 로프그렌(Zoe Lofgren) 의원은 공식 서한을 통해 정부 감찰국(GAO)에 CVE 프로그램 관리 실태 전반을 조사하도록 요구했다. 조사는 국가표준기술연구소(NIST), 사이버 보안 및 인프라 보안국(CISA), 그리고 이들과 협력하고 있는 모든 민·관 기관을 포함하게 된다.

요청서에 따르면, 이들은 NVD(National Vulnerability Database)와 같은 주요 데이터베이스에도 이와 동일한 문제가 발생할 수 있다고 경고하고 있으며, 현재 미국 내 사이버 보안 시스템이 해당 프로그램들에 지나치게 의존하고 있다고 지적했다. 모든 기업과 기관이 자체적인 판단이나 보안 역량 없이 NVD, CVE에 과도하게 의존하게 되면, 중앙 시스템의 기능 중지 시 전체 보안 체계가 마비될 위험이 있다는 것이다.

예산 삭감과 조직 운영 불안정성

이번 사례는 미국 연방 정부의 보안 관련 예산 감축 기조와도 맞물려 있다. 트럼프 행정부 2기 하에서 CISA의 예산은 2026 회계연도 기준으로 1억 3,500만 달러 감축이 확정되었다. 이는 초기 제안된 4억 9,500만 달러 삭감에서 다소 완화된 수치지만, 여전히 보안 전문가들 사이에서는 필수 기능 유지에 과한 타격으로 평가되고 있다.

이와 더불어, 지난 수개월간 CISA 고위 간부 다수가 조직을 떠났으며, 일부 간부는 조직 감축과 기능 위축에 따른 책임을 피하지 못했다. 현재 팀 구성의 불안정성과 인력 부족은 미국의 보안 대응 체계를 약화시키는 또 다른 요소로 부상하고 있다.

글로벌 의존도 높은 보안 데이터베이스의 리스크

전 세계 수많은 보안 솔루션과 벤더는 이미 CVE 코드 기반으로 위협을 분석하고 대응 모델을 수립해왔다. 특히 바이러스 백신, 보안 업데이트, 기업 보안 진단 도구들은 CVE 번호를 기반으로 알림 시스템을 구성하고, 관련 정보가 실시간으로 공유되어왔다.

따라서 이 프로그램이 예산 중단으로 축소되거나 정지될 경우, 단순히 미국 정부 기관뿐만 아니라 국제적인 보안 시스템 전반에 영향이 확산될 수 있다. 실시간 업데이트 없이 일정 시간만 시스템 공백이 발생해도, 각국의 정부 기관이나 금융, 제조, 에너지 등 주요 산업군에서 자동화된 위협 감지 및 대응 체계에 오류가 발생할 수 있다.

데이터 유출, 악성코드 캠페인, 신규 악용 사례도 다수 확산

최근 CVE 기반 취약점을 악용한 다수의 공격 사례도 계속 보고되고 있다. 예를 들어, Roundcube 웹메일 솔루션에는 최근 ‘CVE-2024-42009’로 분류된 중대한 크로스 사이트 스크립팅(XSS) 취약점이 발견되었으며, 이를 통해 공격자는 피해자의 메일 계정에서 데이터를 탈취하거나 메일을 전송할 수 있는 행위가 포착되었다.

또한 JSF*ck이라는 난독화 방식으로 수십만 개에 달하는 웹사이트에 악성 코드가 감춰져 삽입된 사례도 신규 보안 위협으로 급부상하고 있다. 이와 같이, 복잡화되고 정교해지는 공격 방식이 늘어나는 상황에서, CVE 기반 데이터와 수준 높은 분석 체계를 안정적으로 제공하는 인프라의 중요성은 더욱 커지고 있다.

안정적 보안 정책 수립을 위한 글로벌 협력 필요

미국 정부 차원의 보안 관리 프로그램이 예산 문제로 인해 흔들리는 상황은 전 세계 사이버 보안 전략에도 직‧간접적인 영향을 줄 수 있다. 특히 공공부문과 민간 벤더들이 CVE와 같은 공용 데이터베이스에 지나치게 의존하고 있다는 점은 시스템 리스크를 구조적 문제로 확대시킬 소지가 있다.

과거 유럽연합에서는 EU 부속 기관인 ENISA(유럽 네트워크·정보보안청)를 중심으로 자체 보안 취약점 관리 시스템 강화를 추진한 바 있다. 유사한 방식으로 다른 국가들도 데이터 표준화와 대응 시스템의 다변화를 검토할 필요가 있다. 보다 지속 가능하고 분산된 보안 협업 시스템의 개발이 장기적인 해결책으로 작용할 수 있다.

사이버 보안 위협 대응을 위한 인프라 안정성과 관리 투명성 필요

CVE 프로그램은 단순한 취약점 목록 이상의 의미를 지닌 글로벌 보안 체계의 핵심 요소이다. 최근 발생한 예산 중단과 관리 체계 재점검 요구는, 사이버 보안 인프라 운영의 지속 가능성과 투명성과 직결된다. 글로벌 위협 대응의 기반이 되는 데이터 플랫폼이 정치적, 재정적 불안정에 묶이지 않도록 하기 위해서는, 정책적 독립성과 국제 협력 체계 마련이 필수적이다.

앞으로도 CVE, NVD 등은 기술 환경 변화에 발맞춰 기능을 확장해 나가야 하며, 이를 지원하는 예산과 인력, 정책의 안정성이 확보되어야 한다. 사이버 위협의 다변화가 가속화되는 이 시점에서 가장 중요한 것은 기술이 아니라 체계와 신뢰다.