취약점 관리

EU CRA 근거 조항

주요 사이버보안 요건, 부속서 1 제1편 제2조 a

디지털 요소가 포함된 제품(PDE)은 사이버보안을 보장하고, 알려진 취약점이 없어야 합니다. 또한 보안 구성을 갖추고, 적시에 보안 업데이트를 제공해야 합니다. 이에 더해 무단 접근으로부터의 보호, 데이터의 기밀성, 무결성, 가용성 확보가 필수적입니다.

EU CRA 근거 조항

기술 문서 요건, 부속서 7 제2조 b

기술 문서에는 제품에 대한 일반적인 설명, 소프트웨어 자재 명세서(SBOM), 그리고 사용자 설명서가 포함되어야 합니다. 또한 개발 및 취약점 대응 프로세스, 사이버보안 위험 평가, CE 마크 부착 및 EU 적합성 선언 관련 내용도 상세히 기술되어 있어야 합니다.

EU CRA 근거 조항

조기 경고, 제2장 제조업체의 의무, 제14항 제2조 a-c​

제조업체는 실제로 악용되고 있는 취약점에 대해 조기 경고를 24시간 이내에 제출하고, 72시간 이내에 상세한 취약점 통지를 제출해야 합니다. 또한, 시정 조치가 가능한 상태가 된 후에는 14일 이내에 최종 보고서를 제출해야 합니다. 해당 보고서에는 취약점의 세부 내용, 영향, 그리고 대응 및 완화 조치가 포함되어야 합니다.

커머셜 라이센스 사용자를 위한 보안 이슈 신고 절차

커머셜 라이센스 고객은 Qt Group으로부터 영업일 기준 48시간 이내(프리미엄 지원의 경우 24시간 이내)에 응답을 받으실 수 있습니다.

• 신규 이슈: Qt Group이 bugreports.qt.io.에 티켓을 생성합니다.
• 기존 이슈: Qt Group이 기존 bugreports.qt.io 티켓에 고객의 정보와 우선순위를 추가하고, 해당 이슈를 수정 대상으로 분류합니다.

4. Qt Group은 CVE 번호를 할당하고, 검증된 새로운 보안 이슈에 대해 1차 조기 경고 목록(EWL, Early Warning List) 이메일을 발송합니다.

5. 해당 이슈는 적절한 R&D 팀으로 전달되어 우선순위에 따라 처리됩니다.

6. 패치가 준비되면 Qt Group은 2차 조기 경고 목록(EWL) 이메일을 발송합니다.

7. 패치는 릴리스에 통합되며, 검증 및 테스트가 진행됩니다.

8. Qt Group은 최종 릴리스를 배포하고, 3차 및 최종 조기 경고 목록(EWL) 이메일을 발송합니다. 이와 함께 블로그 게시글, 보안 권고, 공개 CVE 데이터베이스 업데이트 등 공식 커뮤니케이션도 병행됩니다.

오픈소스 사용자를 위한 보안 이슈 신고 절차

1. 사용자는 다음의 주소로 이메일을 보냅니다: security@qt-project.org.

2. Qt Group은 bugreports.qt.io에 (현재는 비공개 상태) 새 이슈를 등록하거나, 기존 티켓에 더 많은 데이터를 추가하여 업데이트합니다.

3. R&D 팀의 검토를 기다니다. 이 단계에서는 실제 이슈인지 여부에 대한 검증, 우선순위 지정, 추가 정보 필요 여부에 대한 확인이 이루어집니다.

참고: 본 문서에서는 고객이 이슈를 신고하는 하나의 경로에 대해 설명하고 있으나, 실제로는 다양한 방식으로 R&D 팀에 이슈가 전달됩니다. 예를 들어 Qt 프로젝트 개발자 이메일 리스트나 3rd party 소프트웨어 프로젝트 관련 커뮤니케이션을 통해서도 원활하게 이슈가 전달되고 있습니다.

ENISA의 규제 당국 전용 인터페이스가 제공되면, 즉시 이를 도입할 예정입니다.

모든 제품에 대해 체계적인 사고 대응 훈련 절차 및 운영 방안을 강화할 예정입니다.