네이버가 자체 소프트웨어(SW) 보안취약점에 국제표준 식별체계인 '공통보안취약점공개항목(CVE)' 번호를 부여하는 권한(CNA)을 갖게 됐다.
네이버는 국내기업 최초로 CNA 자격을 취득했다고 15일 밝혔다. 네이버 SW관련 보안취약점에 직접 관리번호를 부여할 수 있게 돼, 관리채널을 일원화하고 체계적이며 신속한 대응을 할 수 있을 것이라고 덧붙였다.
CNA는 SW보안취약점 발생시 그 취약점을 구별하고 관리하는 국제표준체계 CVE 번호를 부여하는 자격을 갖는 조직을 가리킨다. 미국 비영리법인 마이터(MITRE)가 1999년 CVE관리체계를 출범시켰고 세계 각국 기관과 기업에 CNA 자격을 부여하고 있다. 구글, 애플, 마이크로소프트(MS) 등 주요 글로벌 IT기업이 CNA로 등록돼 있다.
한국에서는 과학기술정보통신부 산하 정보보호 담당기관 한국인터넷진흥원(KISA)이 지난 2월초 CNA 자격을 국내 최초로 확보했다. 한국에서 CNA 자격을 확보한 조직은 네이버가 2번째지만, 민간 기업 중에는 처음이다.
관련기사
- 삼성전자, 오픈소스 취약점분석 자동화했다2018.06.18
- 한국SW 보안취약점, 전세계서 알아본다2018.06.18
- 수천만줄 SW 보안결함 클릭 몇번으로 찾아2018.06.18
- 보안 구멍난 인텔CPU, 예견된 사고였다2018.06.18
네이버는 CNA 유형 가운데 다른 글로벌 IT기업들처럼 직접 개발하는 SW제품의 CVE를 다루는 '벤더 및 프로젝트(Vendors and Projects)' CNA권한을 갖고 활동하게 된다. 이 범위에 일본에 소재한 자회사 라인(Line)의 제품은 제외된다.
네이버 조상현 시큐리티 담당 리더는 "이번 CNA 등록을 통해 네이버는 자체 SW보안취약점 관리를 글로벌 수준으로 한 단계 높이는 계기가 될 것으로 기대한다"고 말했다.
