취약점 조정 공개 (CVD)
취약점 발견자가 취약점 정보를 제조업체 또는 지정된 코디네이터에게 직접 보고함으로써 제조업체가 공개 전에 패치를 개발·배포할 수 있도록 하는 구조화된 프로세스. CRA는 제조업체에게 CVD 정책을 수립하고 취약점 보고를 위한 연락처를 지정하도록 의무화하고 있다.
출처 인용
법적 근거
규정(EU) 2024/2847 제13조(9)는 제조업체에게 다음을 의무화한다:
「취약점의 조정 공개 정책 및 보고를 위한 연락처를 공개한다.」
CRA의 CVD 요건
제조업체는 다음을 해야 한다:
- CVD 정책 공개 — 보고 수신 및 처리 프로세스 설명
- 연락처 지정 — 이메일 주소 또는 웹 양식 등
- 수신을 확인 — 지체 없이
- 수정 진행 상황을 발견자에게 알림
- 패치 출시 후 또는 합리적인 기간 경과 후 취약점을 공개
ENISA와 CSIRT의 역할
- ENISA는 유럽 취약점 데이터베이스를 운영하고 직접 조정이 실패할 경우 코디네이터로서 각국 CSIRT를 지원한다
- CSIRT는 발견자와 제조업체 사이를 중재할 수 있다
조정 공개 대 완전 공개 비교
CRA는 조정 공개를 선호하며, 제조업체는 완전 공개 전에 취약점을 수정할 기회를 가져야 한다.