제미니


미 정부(DHS/CISA)의 CVE(Common Vulnerabilities and Exposures) 프로그램 예산 중단 위기는 **2026년 현재 일단 급한 불은 끈 상태**입니다. 작년(2025년)에 발생했던 심각한 펀딩 절벽 위기는 해소되었지만, 운영 체계와 신뢰도 측면에서는 큰 변화를 겪고 있습니다.


주요 근황을 요약하면 다음과 같습니다.


### 1. 예산 지원 재개 및 구조 변경

* **펀딩 확보:** 2025년 4월, MITRE와 정부 간의 계약 만료로 중단 위기였으나, CISA(사이버보안 및 인프라 보안국)가 개입하여 긴급 예산을 편성했습니다.

* **영구 지원 체계로 전환:** 2026년 3월 기준, CVE 프로그램 예산은 CISA의 '보호 예산 항목(Protected Line)'으로 격상되었습니다. 이전처럼 매년 계약 갱신 여부를 걱정해야 하는 '재량적 항목'에서 벗어나 구조적으로 안정적인 지원을 받게 되었습니다.


### 2. NIST(국립표준기술연구소)의 NVD 분석 범위 축소

정부 예산은 확보되었지만, 폭증하는 취약점 수를 감당하지 못해 운영 방식이 바뀌었습니다.

* **선택적 분석:** 2026년 4월 발표에 따르면, NIST는 모든 CVE를 분석하는 대신 **정부 기관 사용 소프트웨어, 주요 인프라, 실제 악용 사례가 있는 취약점(KEV)** 등에 대해서만 우선적으로 정밀 분석(CVSS 점수 부여 등)을 수행하기로 했습니다.

* **민간 의존도 상향:** 나머지 취약점은 민간 기업이나 AI 기반 자동화 시스템에 의존하는 방향으로 선회하고 있습니다.


### 3. '탈미국화' 및 거버넌스 다각화

미국 정부의 예산 상황에 따라 전 세계 보안 생태계가 흔들리는 것을 방지하기 위한 움직임이 본격화되었습니다.

* **CVE 재단(CVE Foundation):** 정부 자금에만 의존하지 않고 민간 기부와 다국적 협업을 통해 운영 자금을 조달하는 독립 재단 형태의 모델이 논의되고 있습니다.

* **유럽의 개입:** 유럽 사이버보안 기구(ENISA)가 독자적인 취약점 관리 권한(Root CNA)을 확보하려는 노력을 기울이며 미국 의존도를 낮추려 하고 있습니다.


---


### 요약 및 전망

> "예산은 끊기지 않았지만, 예전처럼 정부가 모든 것을 꼼꼼히 관리해주던 시대는 끝났다"고 볼 수 있습니다.


* **긍정적:** 프로그램 자체가 공중분해 될 위험은 사라졌습니다.

* **부정적:** NIST의 분석 백로그(미처리 분량)가 여전히 수만 건에 달하며, 중요도가 낮은 취약점은 분석 데이터가 부실해질 우려가 있습니다.


앞으로는 오픈소스 커뮤니티나 보안 기업들이 직접 취약점 번호를 부여하고 관리하는 **분산형 모델(CNA 중심)**이 더욱 강화될 것으로 보입니다.


**궁금하신 내용이 특정 하드웨어나 OS(예: 사용 중이신 레트로 기기나 Linux 배포판)의 보안 패치와 관련된 이슈인가요?**