최근 기업 보안팀은 취약점 정보의 출처가 서로 달라 대응 우선순위를 정하기 어려운 상황이다. 특히 SaaS와 온프레미스 환경이 공존하면서 동일한 취약점이라도 버전, 패치 경로, 영향 범위가 제각각이어서 명확한 기준 없이 위험을 판단하기가 까다롭다.

이런 복잡한 환경에서 신뢰할 수 있는 취약점 식별 체계를 직접 확보한 보안 기업의 역할이 중요해지고 있다. 보안 운영 담당자, SOC 팀, 정부·공공기관은 이를 통해 더 빠르고 투명하게 취약점을 확인하고 조치 일정을 계획할 필요가 있다.

자율 엔드포인트 관리(AEM) 분야 기업 태니엄(지사장 박영선)이 CVE 프로그램(CVE Program)으로부터 취약점에 고유 식별 번호를 부여할 수 있는 CNA(CVE Numbering Authority) 기관으로 공식 지정됐다고 24일 밝혔다.

이번 지정으로 태니엄은 SaaS 및 온프레미스 솔루션의 취약점을 직접 문서화하고 공개하며, 관련 수정 버전과 조치 단계까지 함께 제공하게 됐다.

CVE 프로그램은 공개된 사이버 보안 취약점을 식별·정의·분류·공유하기 위한 글로벌 커뮤니티 기반 프로그램이다. 태니엄은 CNA 역할에 따라 솔루션 취약점에 대한 CVE 식별자(CVE ID)와 공식 CVE 레코드(CVE Records)를 직접 발행하게 된다.

이를 통해 보안 커뮤니티 내부의 정보 흐름을 활성화하고, 고객에게 보다 신뢰도 높은 취약점 정보를 제공해 보안 환경의 복원력을 높일 계획이다.

태니엄의 CNA 인증은 태니엄 트러스트센터(Tanium’s Trust Center)에 등록된 기존 보안 인증 위에 구축됐다. 여기에 포함된 인증은 ISO 27001, ISO 27017, SOC2, FedRAMP, GovRAMP 등 폭넓은 국제 보안 프레임워크로 구성돼 있다.

이러한 기반은 태니엄이 취약점 관리와 정보 공개 과정에서 높은 보안 표준을 유지하고 있음을 보여준다.

태니엄 로이크 사이먼(Loic Simon) 보안 부문 부사장은 “이번 지정은  선제적 취약점 관리 및 책임 있는 정보 공개 프로그램의 투명성과 성숙도를 더 강화하기 위한 여정의 다음 단계”라라고 말했다.