태니엄, CVE 공식 CNA 지정…취약점 번호 직접 발급

태니엄, CVE 공식 CNA 지정…취약점 번호 직접 발급

자율 엔드포인트 관리(AEM) 분야 기업 태니엄(Tanium)이 CVE 프로그램으로부터 ‘CVE 번호 지정 권한 기관(CNA, CVE Numbering Authority)’ 자격을 공식 획득했다. 이에 따라 태니엄은 자사 SaaS 및 온프레미스 솔루션에서 발견되는 취약점에 대해 CVE 고유 식별자(CVE ID)를 직접 발급하고, 기술적 세부 내용과 조치 방안을 함께 공개할 수 있게 됐다.

태니엄은 이번 CNA 지정이 단순한 절차적 권한 부여를 넘어, 자사의 취약점 관리 성숙도와 책임 있는 정보 공개 문화가 국제적으로 인정받았다는 의미를 갖는다고 설명했다.

CNA 지정이 의미하는 변화

CVE 프로그램은 전 세계 보안 취약점을 공통된 형식으로 식별·정의·분류·공유하기 위한 국제 커뮤니티 기반 체계다. 그중 CNA는 특정 제품이나 기술 영역에서 발견되는 취약점에 대해 CVE 번호를 할당하고 공식 기록(CVE Record)을 작성할 수 있는 권한을 가진 기관을 뜻한다.

지금까지 다수의 보안 기업은 외부 CNA나 MITRE를 통해 CVE 번호를 배정받아야 했지만, 태니엄은 이번 지정을 통해 자체적으로 취약점 식별부터 번호 발급, 상세 공지까지 전 과정을 독립적으로 수행할 수 있게 됐다.

CNA 지정의 핵심 효과
• 취약점 공개 지연 최소화
• 기술적 세부 내용의 정확성 향상
• 패치·완화 가이드의 동시 제공 가능
• 보안 커뮤니티와의 정보 공유 속도 개선

태니엄의 취약점 공개 정책과 배경

태니엄은 2017년부터 일관된 취약점 공개 정책을 운영해 왔다. 내부 보안 연구와 외부 리포트 프로그램을 통해 취약점을 수집·검증하고, 고객에게 영향을 최소화하는 방향으로 패치와 공지를 제공해 왔다는 설명이다.

로이크 사이먼(Loic Simon) 태니엄 보안 부문 부사장은 “이번 CNA 자격 취득은 선제적 취약점 관리와 책임 있는 정보 공개 프로그램을 한 단계 더 강화하는 과정”이라며, “글로벌 위협 정보 공유 생태계에 보다 직접적으로 기여할 수 있게 됐다”고 밝혔다.

보안 인증과 신뢰 체계 강화

태니엄은 이미 태니엄 트러스트센터(Tanium Trust Center)를 통해 자사의 보안 및 컴플라이언스 현황을 투명하게 공개하고 있다. 이번 CNA 지정은 기존에 보유한 주요 글로벌 보안 인증과 맞물려 기업의 신뢰 기반을 더욱 강화하는 요소로 평가된다.

구분	주요 내용
ISO 27001	정보보호 관리체계(ISMS) 국제 표준 인증
ISO 27017	클라우드 보안 통제 국제 표준
SOC 2	보안·가용성·기밀성 중심의 운영 통제 검증
FedRAMP / GovRAMP	미국 연방 및 공공 부문 클라우드 보안 기준 충족

보안 생태계에 미치는 영향

전문가들은 태니엄의 CNA 지정이 단일 기업 차원의 성과를 넘어, 전체 보안 생태계의 대응 속도를 높이는 데 기여할 것으로 보고 있다. 제품 특성을 가장 잘 이해하는 벤더가 직접 CVE를 발급하고 패치·완화 정보를 동시에 제공할 경우, 보안 담당자들이 보다 빠르고 정확하게 대응할 수 있기 때문이다.

태니엄은 향후 CNA 활동을 통해 고품질 취약점 정보를 지속적으로 공개하고, 보안 커뮤니티와의 협력을 확대해 조직 전반의 위협 대응 능력과 복원력을 높이겠다는 방침이다.