보안 연구자가 제품의 약점을 찾아도, 어디에 어떻게 신고해야 하는지 모르면 발견은 조직 안으로 들어가지 못해. CISA와 네 나라의 사이버 보안 기관이 이 문제를 공개된 신고 정책과 처리 절차의 문제로 다루는 공동 지침을 2026년 7월 15일 발표했어.1
이번 발표에 참여한 곳은 미국의 CISA와 NSA, 일본의 JPCERT/CC, 네덜란드의 NCSC-NL, 영국의 NCSC-UK야. 지침의 대상은 소프트웨어 제조사와 온라인 서비스 제공자고, 연구자가 발견한 소프트웨어·네트워크·하드웨어의 취약점을 구조적이고 투명한 방식으로 다루는 것이 목적이야.1
연락처 하나로 끝나지 않는다
지침이 말하는 coordinated vulnerability disclosure(CVD)는 취약점 신고를 받는 우편함만 만드는 방식이 아니야. 연구자가 문제를 어떻게 신고할 수 있는지, 테스트에서 무엇이 허용되는지, 신고 뒤 양쪽이 무엇을 기대할 수 있는지를 공개 정책으로 설명해야 해. 조직은 신고가 들어온 뒤 연구자에게 진행 상황을 알리면서 문제를 평가하고, 제품 보안과 취약점 관리에 관한 판단을 이어가게 돼.1
여기서 확인되는 핵심은 역할의 재배치야. 보안 연구자는 조직 바깥에서 문제를 발견하는 사람이고, 제조사와 서비스 제공자는 그 발견을 받아 위험을 평가하고 대응하는 쪽이야. CISA의 발표는 이 관계를 일회성 연락이 아니라 미리 공개된 규칙을 가진 협업으로 만들라고 제안해.
기관들이 말하는 것과 확인되는 것
CISA의 사이버보안 담당 대행 부책임자 Chris Butera는 이 관행이 고객을 보호하고 제품을 강화하며 Secure by Design 이니셔티브를 뒷받침한다고 설명했어. CISA는 공급자가 CVD 프로그램을 만들고 연구자와 건설적이고 협력적인 관계를 맺기를 권고하고 있어.1
이건 발표 기관이 제시한 기대 효과야. 이번 보도자료만으로 실제 신고 처리 속도가 얼마나 빨라지는지, 취약점 수정률이 어떻게 달라지는지까지 확인되는 건 아니야. 확인되는 사실은 그 효과를 측정한 결과가 아니라, 다섯 기관이 함께 공개 프로그램의 구성 요소를 제시했다는 데 있어.
아직 비어 있는 세부
이번 자료는 지침의 목적과 큰 틀을 설명하지만, 각 조직이 바로 복사해 쓸 수 있는 정책 문구나 취약점 분류 기준, 수정 기한은 보여주지 않아. 연구자가 허용된 테스트의 범위를 판단할 때 필요한 세부 규칙도 이 발표문만으로는 알 수 없고.
그래서 다음에 볼 것은 지침 원문이야. 실제 CVD 프로그램이 신고 창구, 허용되는 테스트, 처리 단계, 연구자에게 알릴 내용까지 어떤 순서로 구체화하는지 확인해야 해. 이번 발표는 그 문서를 소개하는 기본선이지, 조직별 운영 규칙 그 자체는 아니야.
댓글