보안 사고 관리

소프트웨어의 보안 허점을 100% 방지할 수는 없습니다. 따라서 이러한 허점을 사용자와 관리자에게 적시에 알려서 피해가 발생하기 전에 대응 조치를 취할 수 있도록 해야 합니다. 이를 위해서는 회사 내에 제품 보안 사고 대응팀(PSIRT: Product Security Incident Response Team)과 같이 적절한 관리 체계를 구축하는 것이 중요합니다.

보안 권고사항은 필츠 제품에 존재하는 안전상 허점에 대해 고지하며, 그 내용에는 다음이 포함됩니다.

• 취약점에 대한 설명,
• CVSS* 점수 방식으로 취약점의 임계도 평가,
• 영향받는 제품 목록(버전 포함),
• 가능한 대응 조치 및 필요한 경우 취약점을 알려준 당사자에 대한 사례.

*CVSS(Common Vulnerability Scoring System: 공통 취약점 등급 시스템)는 취약점의 임계도를 평가하기 위한 세계적으로 인정받는 규격 절차입니다. CSVV 3.0이 최신 버전입니다. CVSSv3에서는 0-10의 점수를 규정하고 있습니다. 가장 낮은 임계도는 0점, 가장 높은 임계도는 10점입니다.

다음은 현재의 보안 권고사항입니다.

보안 권고사항

필츠 PSIRT의 보안 전문가들은 필츠 제품 및 솔루션과 관련된 잠재적 보안 취약점 및 보안 사고를 분석, 평가 및 관리합니다. 취약점이 확인되면 그 해결 방법에 대한 안내문과 함께 PSIRT 보안 권고사항을 발표합니다.

보안 전문가, 독립 연구자, 고객, 기타 관련자가 필츠 제품 및 솔루션에서 보안 문제를 발견하는 경우 이를 필츠에 신고해 주시면 감사하겠습니다. 이것이 향후 활동을 함께 논의하고 조정하며 제품과 솔루션의 보안성을 개선할 수 있는 유일한 방법입니다. 고객 및 무관한 제3자에게 끼칠 위험을 방지하기 위해, 필츠는 취약점 발표 시 PSIRT와 조율하여 진행주실 것을 당부 드립니다.

필츠 PSIRT의 보안 전문가는 필츠 제품에 있을 수 있는 잠재적 보안 취약점에 대한 모든 신고를 관리하고 평가합니다. 필츠 제품이나 인프라와 관련하여 보안에 대한 의문점이 있거나 보안 취약점에 대해 알리고 싶다면 PSIRT 보안 전문가에게 문의하시기 바랍니다. PSIRT에게 문의할 때는 독일어나 영어를 사용해 주세요. 일반적으로 2영업일(중앙유럽 표준시) 내로 첫 번째 응답을 받을 수 있습니다.

필츠의 제품, 솔루션, 온라인 서비스와 관련하여 보안 문제를 발견하면 신고해 주세요:

PSIRT 문의

신고 내용에 다음 정보를 포함해 주시기 바랍니다:

• 영향을 받는 제품의 품목 번호
• 장치 및 펌웨어(해당되는 경우)
• 필츠에서 문제를 재현하는 데 도움이 되는 취약점 또는 추가 데이터(해당되는 경우)
• 취약점이 이미 공개되었는지 여부에 관한 메모(신고자 본인 또는 타인에 의해)

1. 분석: PSIRT는 신고된 취약점을 조사하고, 필요하면 제출자에게 자세한 정보를 요청합니다. 취약점의 복잡성 및 제품의 유형에 따라 조사에는 며칠부터 몇 주까지 걸릴 수 있습니다. 그럼에도 불구하고 필츠는 늦어도 15영업일 후에는 제출자에게 피드백을 제공합니다.

2. 조치 규정: 취약점의 심각성에 따라서 그리고 필요한 경우 다른 경계 조건에 따라 업데이트가 준비됩니다. 취약점이 심각한 경우 필츠는 보안 권고사항을 준비합니다. 그 과정에서 제출자에게 주기적으로 상황을 알려드립니다.

3. 발표: 최종 보안 권고사항 및 관련 패치는 여기서 발표되며, 모든 고객이 다운로드할 수 있습니다. 다운로드하려면 사용자 이름으로 로그인해야 합니다. 아직 본인의 프로필을 등록하지 않았다면 여기서 무료로 등록할 수 있습니다. 참고로, 취약점의 심각도에 따라 일반 제품 배포 주기 때만 패치를 발표할 수도 있습니다.

보안 권고사항