[김호광 칼럼] 사이버 보안의 최전선, 셧다운 위기에서 살아나다

미국 정부의 마지막 순간 선택이 전 세계 사이버 보안 생태계의 파멸의 위기에서 벗어났다. 하지만 이번 사태는 국가 주도의 보안 체계가 가진 근본적 취약성을 드러내며, 효율성과 지속 가능성에 대한 경각심을 불러일으켰다.

CVE 프로그램 위기: 미국의 기여와 한계

지난 16일, 미국 사이버보안 및 인프라보안국(CISA)은 CVE(Common Vulnerabilities and Exposures) 프로그램 운영을 위한 MITRE와의 계약을 11개월 연장하며 위기를 모면했다. CVE는 사이버 보안 취약점에 고유 코드를 부여해 글로벌 보안 커뮤니티가 정보를 공유하는 핵심 플랫폼이다. 이 프로그램이 중단됐다면, 보안 업계는 혼란에 빠질 수밖에 없었다.

CISA는 “CVE는 우리의 우선순위”라며 긴급 계약 연장을 발표했지만, 이 결정은 예산 만료 직전에 이뤄졌다. MITRE가 자금 지원 중단 가능성을 공개한 지 불과 24시간 만의 일이었다. 이는 미국 정부의 사전 계획 부재와 예산 관리의 비효율성을 여실히 보여준다. 국가 차원의 핵심 인프라가 단기 계약에 의존하는 구조는 위험을 내포한다.

일론 머스크와 정부 효율성 논란: 왜 '헛발질'인가

이번 위기는 단순한 자금 문제를 넘어, 정부 기관의 위기 대응 체계에 대한 의문을 제기한다. 특히 일론 머스크가 최근 비판한 미국 정부의 관료적 비효율성이 재조명된다. 정부는 왜 항상 마감 직전에 긴급 조치에 의존하는가? CVE처럼 글로벌 보안 생태계의 중추적 역할을 하는 프로그램에 대한 지원이 단기 계약으로 이뤄진다는 것은 시스템적 결함이다.

더욱 문제는 일부 정부 관계자와 기업 리더들이 사이버 보안의 중요성을 경시해온 태도다. 도지와 같은 비전문가 그룹이 업무의 긴급성을 이해하지 못하고 예산 삭감을 주장해온 것은 이번 위기의 간접적 원인으로 지목된다. 이들은 “보안은 눈에 보이지 않는 투자”라며 예산을 후순위로 밀어붙이지만, 실제로 한 번의 대형 해킹 사고가 국가적 손실로 이어질 수 있음을 망각하고 있다.

독립적 운영 체계로의 전환-글로벌 협력이 답이다

이번 사태는 CVE 프로그램의 지속 가능성에 대한 경고다. 현재 CVE는 미국 정부의 재정 지원에 전적으로 의존하며, 이는 정치적 변동성에 노출될 수밖에 없다. MITRE 관계자가 “전 세계 커뮤니티의 압도적 지지에 감사한다”고 말한 것처럼, 이제는 다중 이해관계자 체제로의 전환이 필요하다.

이미 유럽연합 사이버보안청(ENISA)은 유럽 취약점 데이터베이스(EUVD)를 출범시켜 자체적인 관리 체계를 구축 중이다. 또한 CVE 운영 이사회는 'CVE 재단' 설립을 발표하며 독립적인 비영리 기관으로의 전환을 시도하고 있다. 이러한 움직임은 국가 간 경쟁이 아닌 협력을 통한 글로벌 보안 생태계 구축의 필요성을 반영한다.

작은 교훈, 효율성과 협업의 균형을 찾아라

미국이 CVE 프로그램을 구한 것은 분명히 긍정적이다. 그러나 이번 위기는 국가 주도 모델의 한계를 드러냈으며, 사이버 보안이 단일 정부나 기업의 책임이 아님을 확인시켰다. 앞으로는 정부의 재정 지원과 더불어 국제기구, 민간 기업, 보안 연구자들이 공동으로 참여하는 다층적 거버넌스가 필요하다.

사이버 보안은 더 이상 '선택'이 아닌 '필수'다. 미국의 역할은 여전히 중요하지만, 효율성과 협력을 동시에 추구할 때만이 진정한 '사이버 리더십'을 발휘할 수 있을 것이다. 이번 위기가 그 출발점이 되길 기대한다.

필자 소개: 김호광 대표는 블록체인 시장에 2017년부터 참여했다. 나이키 'Run the city'의 보안을 담당했으며, 현재 여러 모바일게임과 게임 포털에서 보안과 레거시 시스템에 대한 클라우드 전환에 대한 기술을 지원하고 있다. 최근 관심사는 사회적 해킹과 머신러닝, 클라우드 등이다.