정책동향
ENISA, CVE Root로서 4개 기관 신규 CNA 승인 — 유럽 취약점 관리 체계 확대
보도일: 2026년 5월 6일|수집일: 2026년 5월 20일
요약
ENISA가 CVE Root 자격으로 4개 유럽 기관을 신규 CVE Numbering Authority(CNA)로 승인했다. MITRE Root에서 ENISA Root로 이관한 7개 기관을 포함, 유럽 자체 취약점 관리 인프라가 확대되고 있다.
본문
2026년 5월 6일, ENISA가 CVE(Common Vulnerabilities and Exposures) 프로그램의 유럽 Root로서 4개 기관을 신규 CNA로 승인했다. 이들 기관은 ENISA의 교육과 온보딩을 거쳐 CVE ID 할당 및 CVE 레코드 발행 권한을 부여받았다. 2025년 11월 ENISA가 유럽 기관 대상 CVE Root로 지정된 이후, MITRE Root에서 이관된 7개 CNA에 더해 이번 4개 신규 CNA가 추가되어 ENISA 산하 CNA 수가 확대되었다. ENISA의 Root 역할에는 CNA 모집, 온보딩, 교육, 관리 등이 포함되며, EU 사이버보안법(CSA) 개정(CSA2) 논의에서 유럽 자체 취약점 데이터베이스(EUVD) 및 취약점 조율 체계 강화와 연계된다.
시사점
ENISA의 CVE Root 역할 확대는 유럽이 미국 MITRE/NVD 의존에서 벗어나 자체 취약점 관리 인프라를 구축하고 있음을 보여준다. 자동차 분야에서 ISO 21434의 취약점 관리 요건과 직결되며, 유럽 시장에 진출하는 한국 자동차 기업은 EUVD와 ENISA 산하 CNA의 CVE 할당 체계를 모니터링해야 한다.