취약점 처리 프로세스가 필수 요구사항을 충족하는지 확인(부속서 I 제II부)

적용 대상: Manufacturer
출처 인용: Art. 6(b)Annex I Part II
제품 등급: Default Important — Class I Important — Class II Critical

Last reviewed 18 May 2026

쉬운 설명

제품 자체 외에도 내부 취약점 관리 프로세스가 특정 기준을 충족해야 합니다. 이는 개발 중뿐만 아니라 시장 출시 이후 지원 기간 전반에 걸쳐 취약점을 식별하고, 신속하게 수정하며, SBOM을 게시하고, CVD 정책을 유지하며, 수정된 취약점 정보를 공유하고, 보안 업데이트를 배포하는 프로세스를 갖추는 것을 의미합니다.

법적 텍스트

규정(EU) 2024/2847 제6조(b)는 디지털 요소를 포함한 제품이 제조업자가 마련한 프로세스가 부속서 I 제II부의 필수 요구사항을 충족하는 경우에만 출시될 수 있다고 규정합니다.

취약점 관리 요구사항 — 부속서 I 제II부

제조업자는 다음을 위한 프로세스를 마련해야 합니다:

SBOM — 취약점 및 구성요소의 식별 및 문서화. 최소한 최상위 의존성을 포함하는 기계가독형 소프트웨어 자재 명세서(SBOM) 작성 포함
신속한 수정 — 보안 업데이트 제공을 포함하여 불필요한 지체 없이 취약점 처리 및 수정
정기적인 테스트 — 효과적이고 정기적인 보안 테스트 및 검토 실시
수정된 취약점 공개 — 패치 제공 후 수정된 취약점에 관한 정보를 공개적으로 공유
CVD 정책 — 협조적 취약점 공개 정책의 수립 및 적용
신고 촉진 — 연락처 주소를 통한 신고 촉진
업데이트의 안전한 배포 — 보안 업데이트의 안전한 배포(자동 옵션 포함)
무료 업데이트 — 지원 기간 전반에 걸쳐 무료 보안 업데이트 제공

취약점 처리 프로세스가 필수 요구사항을 충족하는지 확인(부속서 I 제II부) — CRA 컴플라이언스 허브