MITRE에 취약점을 제출했지만 몇달이 지나도록 CVE를 부여받지 못해 화가 난 보안연구원들이 새로운 방법을 찾고 있다. 더레지스터지를 비롯한 해외 언론들은 많은 보안 연구원들이 MITRE에 취약점을 제출했지만 6개월이 지나도록 아직도 CVE를 부여받지 못했으며, 반면 유명 보안 연구원들이 제출한 취약점은 CVE가 신속하게 부여되는 것으로 보인다며 불만을 토로했다고 보도했다.
CVE(Common Vulnerabilities and Exposures)는 새로운 취약점에 발견된 연도가 포함된 고유번호를 부여해 체계화시키는 시스템으로, 미국 연방정부의 지원을 받는 비영리 MITRE사(The Mitre Corporation)가 운영해 왔으며 올해로 17년째 접어든다. 보안 연구원들은 소프트웨어 취약점을 발견하는 경우 대부분 MITRE를 통해 CVE 식별번호를 부여받고 있다.
미국 국가기관의 경우 국가취약점데이터베이스에 의해 분류된 취약점에 대해서만 조치를 취하는 경우가 많으며, 따라서 CVE를 부여받지 못한 취약점에 대해서는 전혀 조치를 취하지 않는다. 대기업 중에도 CVE 번호를 부여받은 취약점에만 조치를 취하고 있는 경우가 많다. 결국 MITRE의 늦장조치는 중요한 취약점들을 패치하지 않은 상태를 지속시키는 결과를 가져오기 때문에 문제가 심각해진다. 래서 보안연구원들은 새로 발견한 취약점 공개를 미루거나 CVE 번호를 부여받기 전에 공개하거나 대안을 찾고 있다.
레드햇 소속이자 CVS 편집국 임원이기도 한 Kurt Seifried가 깃허브에 공개한 DWF도 대안 중 하나로 많은 보안 연구원들의 지지를 받고 있다. Seifried는 원래 DWF를 올 여름 발표할 예정이었지만 상황이 점점 악화되어 기다릴 수 없다고 판단해 일찍 발표했다고 밝혔다. DWF(Distributed Weakness Filing)는 취약점 식별번호를 간단히 부여하는 방식으로 식별번호 부여에 드는 노력과 시간을 줄이기 위해 개발되었다. 취약점에 부여되는 번호는 CVE와 동일한 포맷으로, 이미 CVE 식별자를 부여받은 경우는 DWF에도 동일한 번호가 적용된다. Seifried는 만일 MITRE가 문제점을 해결한다면 이 DWF 프로젝트를 전면 취소할 의향이 있다고 밝혔다. 또한 MITRE가 동의한다면 CVE 전체를 DWF로 교체도 가능하다고 말했다.
Seifried와 보안연구원들에 의하면 그동안 CVE 번호 배정에 관하여 MITRE에 수차례 강력히 건의한 바 있지만 소용이 없었다고 한다. 그래서 커뮤니티 보안 메일링 리스트를 통해 이 문제를 알렸고, 많은 보안연구원들이 경험을 공유했다고 한다. 한 보안연구원은 OS X 취약점을 제출했지만 답을 듣지 못했다고 밝혔고, 또 다른 보안 연구원은 유명한 보안연구원은 CVE를 신속하게 부여받는 경향이 있다며 CVE를 받으려면 먼저 유명해져야 할 필요가 있다고 말했다. 호주의 한 보안연구원은 CVE 배정 관련한 규정과 절차가 명확이 정의되어야 할 것이라고 말했다.
이에 대해 MITRE는 아무런 입장도 밝히지 않았다.
출처: The Register
