취약점
위협 행위자가 잠재적으로 악용하여 해당 제품 또는 연결된 시스템의 보안을 침해할 수 있는 디지털 요소가 포함된 제품의 약점. CRA는 제조업체에게 지원 기간 전반에 걸쳐 취약점을 식별·처리·공개하는 광범위한 의무를 부과한다.
출처 인용
법적 근거
규정(EU) 2024/2847 제3조(22)은 취약점을 다음과 같이 정의한다:
「위협 행위자에 의해 악용될 수 있는 소프트웨어 또는 하드웨어의 약점.」
취약점 유형
| 유형 | 설명 |
|---|---|
| 소프트웨어 취약점 | 코드 결함, 잘못된 구성 |
| 하드웨어 취약점 | 마이크로아키텍처 결함, 펌웨어 문제 |
| 프로세스 취약점 | 취약한 업데이트 메커니즘, 인증 부재 |
취약점 관련 CRA 의무
제조업체는 다음을 해야 한다:
- 시장 출시 전 알려진 악용 가능한 취약점 없도록 보장
- 지원 기간 내 취약점 식별·처리 정책 마련
- SBOM 유지 (구성 요소 취약점 추적)
- 취약점 조정 공개(CVD) 정책 운영
- 악용되는 취약점을 CSIRT에 신고
- 무상으로 보안 업데이트 제공
취약점 공개 절차
- 내부 또는 외부 보고를 통해 취약점 발견
- 취약점 검증·분석 (CVSS 점수 등)
- 이해관계자와 조정 공개 (CVD)
- 보안 업데이트 제공
- CVE 및 공개 권고 발행