보안 연구자가 제품의 취약점을 찾아도, 신고할 곳과 처리 방식이 분명하지 않으면 발견은 곧바로 수정으로 이어지지 않아. CISA·NSA와 국제 파트너가 2026년 7월 15일 공개한 공동 지침은 이 간극을 조직의 공식 절차로 다루라고 말해.1

신고를 받는 것에서 처리하는 것으로

이 지침의 대상은 소프트웨어 제조사와 온라인 서비스 제공자야. 핵심은 외부 보안 연구자와 협력하기 위한 coordinated vulnerability disclosure(CVD) 프로그램을 설계하고 실행하는 거야.1

CISA가 소개한 프로그램에는 취약점 공개 정책(VDP)을 명확히 정하는 일과, 신고가 들어온 뒤의 처리 절차가 함께 들어가. 그 절차는 신고된 취약점을 분류하고, 수정하고, 필요하면 CVE 식별자를 부여하는 단계까지 포함해.1

즉 “취약점을 신고해달라”는 연락처 하나를 만드는 데서 끝나지 않아. 연구자가 무엇을 어떻게 제보할 수 있는지, 조직이 제보를 받은 뒤 어떤 흐름으로 다룰지를 한 묶음으로 문서화하는 접근이야.

회사 혼자 운영하지 않아도 된다

CISA는 조직이 CVD 프로그램을 직접 운영하는 경우만 설명하지 않아. CISA나 다른 국가의 컴퓨터 보안 사고 대응팀처럼 제3자 중개자를 활용해 CVD 프로그램을 대체하거나 보완하는 선택지도 지침의 고려 사항으로 제시해.1

이 대목은 모든 조직이 같은 규모의 신고 접수·분류·조정 조직을 내부에 갖춰야 한다는 뜻으로 읽히지는 않아. 다만 어떤 방식으로 운영하든 외부 연구자와의 협업을 투명하게 만들고, 신고된 문제를 수정과 식별 체계로 이어지게 하는 구조가 필요하다는 방향은 분명해.

아직 공개 페이지에서 확인되지 않는 것

CISA의 소개 페이지가 확인해주는 것은 지침의 목적과 포함 범위야. 실제 VDP의 문구, 취약점 분류 기준, 수정 기한, CVE 식별자 부여가 언제 이뤄지는지 같은 세부 운영 규칙은 이 페이지의 요약만으로는 알 수 없어. 조직이 이 지침을 실제 정책으로 옮기려면 공동 지침 원문에서 그 절차를 더 읽어야 해.

CISA는 이 지침에 맞는 견고한 CVD 프로그램이 연구자와의 건설적인 관계를 만들고, 제품 보안과 취약점 관리 과정을 개선하며, 고객 보호 의지를 보여줄 수 있다고 설명해.1 이 문장은 지침을 만든 기관이 제시한 기대 효과야. 실제로 신고 처리 속도나 수정률이 얼마나 달라지는지는 별도의 운영 자료가 필요해.

결국 이번 공개에서 확인되는 변화는 새로운 취약점 목록이 아니라, 취약점 신고를 제품 보안의 주변 업무가 아니라 정해진 공개 정책과 처리 과정으로 다루려는 공통 틀이 나왔다는 점이야.

각주

  1. CISA, 「Establishing a Coordinated Vulnerability Disclosure Program to Work With Security Researchers」(2026-07-15) 공식 지침 소개. ↩︎ ↩︎2 ↩︎3 ↩︎4 ↩︎5