시장 출시 시 알려진 악용 가능한 취약점 부재 보장

규정(EU) 2024/2847 제13조 제6항 및 부속서 I 제1부 §3은 디지털 요소가 포함된 제품을 시장에 출시할 때 제조업체가 해당 제품에 알려진 악용 가능한 취약점이 포함되지 않도록 보장하도록 의무화합니다.

이 의무는 다음에 적용됩니다.

• 최초 시장 출시 시
• 이후 사용자에게 제공되는 각 소프트웨어 업데이트

1. 출시 전 취약점 스캔 — 모든 릴리스 전에 SCA 및 SAST 점검 실시
2. CVE/EUVD 확인 — 미국 국립 취약점 데이터베이스(NVD), EU 취약점 데이터베이스 (EUVD) 및 관련 권고 피드에 대해 모든 구성 요소(자체 및 제3자)를 검증
3. CVSS 위험 평가 기준 출시 금지 — 문서화된 기간 한정 위험 수용 결정이 없는 한, 알려진 심각 또는 높은 심각도의 악용 가능한 취약점이 있는 상태로 출시 금지
4. 업데이트 파이프라인 점검 — 사용자에게 배포되는 모든 보안 업데이트 및 기능 릴리스에도 동일한 알려진 취약점 없음 기준 적용
5. 릴리스 시 문서화 — 각 출시 버전의 취약점 상태 평가를 증거로 보존

"알려진 악용 가능"이란 CVE 또는 동등한 권고가 게시되었고 배포된 제품의 맥락에서 실제 악용 경로가 존재하는 취약점을 의미합니다. 일반적인 사용 환경에서 발현될 수 없는 이론적이거나 매우 조건적인 위험은 위험 비례성 원칙에 따라 평가됩니다.

• 각 릴리스에 대한 SCA 및 SAST 스캔 보고서
• 각 릴리스 날짜의 CVE/EUVD 데이터베이스 조회 기록
• 위험 수용 기록 (수용된 잔여 위험에 대해)
• 릴리스 전 모든 문제가 해결되었음을 보여주는 취약점 백로그
• 주요 버전에 대한 침투 테스트 결과