지체 없이 사용자에게 적극적으로 악용되는 취약점 통보

규정(EU) 2024/2847 제14조 제4항은 제조업체가 적극적으로 악용되는 취약점의 영향을 받은 디지털 요소가 포함된 제품 사용자에게, 해당 사용자가 보호 조치를 취할 수 있도록 충분한 정보와 함께 지체 없이 통보하도록 의무화합니다.

이 통보 의무는 ENISA 신고 의무(OBL-ART14-01, OBL-ART14-02, OBL-ART14-03)와 동시에 진행됩니다 — ENISA에 통보한다고 해서 사용자 통보를 대체할 수 없습니다.

이 의무는 2026년 9월 11일부터 적용됩니다.

사용자에게 보내는 통보에는 다음이 포함되어야 합니다.

1. 영향을 받은 제품 및 버전 — 영향을 받은 제품과 펌웨어/소프트웨어 버전
2. 취약점의 특성 — 위험에 대한 일반 언어 설명
3. 악용 확인 — 적극적 악용이 관찰되었다는 진술
4. 이용 가능한 완화 조치 — 완전한 수정 사항을 기다리는 동안 사용자가 즉시 취할 수 있는 단계 (임시 해결책, 구성 변경, 네트워크 격리)
5. 업데이트 이용 가능성 — 패치가 이용 가능한지 여부 및 취득 방법; 아직 이용 불가한 경우 예상 일정
6. 긴급도 지침 — 업데이트 적용을 위한 권장 우선 순위

사전에 업데이트를 확인하지 않을 수 있는 사용자에게 도달할 수 있는 채널을 사용하십시오.

• 제품 내 보안 알림 (푸시 알림 또는 배너)
• 등록된 사용자에게 이메일
• 제품/지원 웹사이트의 눈에 띄는 공지
• 앱 스토어/플랫폼 업데이트 노트

채널 선택은 심각도 및 악용 가능성에 비례하여야 합니다.

• 사용자 통보 기록 — 타임스탬프, 내용, 사용된 채널
• 전달 확인 (이메일 수신 확인, 알림 분석)
• 사용자 대상 수정 지침이 포함된 게시된 보안 권고
• 통보가 패치 릴리스 이전 또는 동시에 이루어졌음을 보여주는 기록