OBL-ART24-02Binding
적극적으로 악용되는 취약점 및 심각한 사고 통보
- 적용 대상
- Open-source steward
- 출처 인용
- Art. 24(2)
Last reviewed
쉬운 설명
OSS에서 취약점이 공격에 적극적으로 악용되고 있거나, 소프트웨어에 심각한 보안 사고가 발생하였다는 사실을 알게 된 경우, 지체 없이 관련 CSIRT 조정자에게 통보하여야 합니다. 이것은 제14조에 따른 제조업체의 24시간 신고 기간보다 가벼운 의무이지만, "지체 없이"는 여전히 신속한 조치를 의미합니다. 주가 아닌 일 단위로 조치하십시오. CSIRT는 대응을 조정하고 취약점 공개를 지원할 것입니다.
법률 조문
규정(EU) 2024/2847 제24조 제2항은 오픈소스 소프트웨어 관리자가 지체 없이, 어떠한 경우에도 이행 법령에서 정한 기간 내에, 지침(EU) 2022/2555 제12조 제1항에 따라 조정자로 지정된 CSIRT에 다음을 통보하도록 규정합니다.
- 관리하는 오픈소스 소프트웨어 구성 요소에 포함된 적극적으로 악용되는 취약점
- 해당 오픈소스 소프트웨어 구성 요소의 보안에 영향을 미치는 심각한 사고
통보 후 CSIRT는 신고된 정보를 기밀로 취급하고 조정된 취약점 공개 관행에 따라 취약점 공개에 있어 오픈소스 소프트웨어 관리자를 지원합니다.
주요 요건
- 촉발 요인: 적극적 악용 — 소프트웨어의 취약점이 실제로 악용되고 있다는 것을 인지하였을 때 의무 발생
- 촉발 요인: 심각한 사고 — 소프트웨어 보안 속성에 영향을 미치는 심각한 보안 사고에 대해서도 의무 발생
- 수신자: CSIRT 조정자 — ENISA가 아닌 NIS 2 지침 제12조에 따라 조정자로 지정된 국가 CSIRT에 통보
- 지체 없이 — 신속한 통보; 정확한 기한은 이행 법령으로 설정
- 기밀성 — CSIRT는 신고된 정보를 기밀로 처리하고 조정된 공개를 지원
필요할 수 있는 증거
- CSIRT 조정자에게 보낸 통보 (날짜, 내용, 방법)
- 적극적 악용을 모니터링하고 감지하는 내부 프로세스
- 인지 시점과 취한 조치를 문서화하는 사고 로그
- 조정된 공개 일정