지원 기간 전반에 걸쳐 취약점 처리 및 수정

규정(EU) 2024/2847 제13조 제10항은 부속서 I 제2부와 함께 제조업체가 취약점을 효과적으로 처리하도록 요구합니다. 해당 부속서는 다음과 같은 구체적인 요건을 규정합니다.

부속서 I 제2부 — 취약점 처리 요건:

1. 제품의 취약점 및 구성 요소 식별 및 문서화 (SBOM)
2. 위험에 비례하여 지체 없이 취약점 해결
3. 효과적이고 정기적인 보안 업데이트 적용
4. 취약점에 CVE 식별자 사용 (CVE 번호 매기기 기관으로부터)
5. CVSS 점수를 포함하여 수정된 취약점에 관한 정보 게시
6. 조정된 취약점 공개 정책 채택
7. 제3자가 취약점을 신고할 수 있도록 편의 제공
8. 요청 시 CSIRT 네트워크 및 ENISA에 취약점 관련 정보 공유

1. 취약점 관리 프로세스 — 문서화된 접수·분류·수정·공개 워크플로우
2. 적시 수정 — CVSS 점수 및 악용 가능성에 비례하는 대응 시간
3. CVE 할당 — CNA(CVE 번호 매기기 기관)에서 CVE ID 취득. ENISA는 CRA 관련 CVE를 위한 EU CNA로 운영
4. CVSS 점수 산정 — 보안 권고와 함께 CVSS(v3.1 이상) 점수 게시
5. 보안 권고 — 수정된 모든 취약점에 대해 권고 게시
6. 지원 종료 통지 — 대안을 마련할 수 있도록 지원 종료 최소 12개월 전에 사용자에게 통지

• 취약점 관리 정책 및 심각도별 패치 목표 시간(SLA)
• 취약점 추적기 또는 백로그
• CVE 할당 기록
• CVSS 점수가 포함된 게시된 보안 권고
• 지원 종료 통지 기록