콘텐츠로 건너뛰기
RSA 클라우드 보안 무료 체험하기

지금 ID Plus 체험을 시작하세요.

시작하기

소개

RSA는 고객이 제품의 보안 취약성과 관련된 위험을 최소화할 수 있도록 지원하기 위해 노력하고 있습니다. 우리의 목표는 고객에게 취약점을 해결하기 위한 정보, 지침 및 완화 옵션을 적시에 제공하는 것입니다. RSA 제품 보안 사고 대응팀(RSA PSIRT)은 RSA에 보고되는 모든 제품 취약점에 대한 대응 및 공개를 조정하는 업무를 담당합니다.

보안 취약점 신고 방법

RSA 제품에서 보안 취약점을 발견하면 즉시 당사에 보고해 주시기 바랍니다. 보안 연구원, 업계 그룹, 공급업체 및 기술 지원팀에 액세스할 수 없는 기타 사용자는 취약점 보고서를 RSA에 직접 보내야 합니다. 이메일을 통한 PSIRT. 보안 취약점을 적시에 파악하는 것은 고객에 대한 잠재적 위험을 완화하는 데 매우 중요합니다.

RSA 제품 고객과 파트너는 RSA 제품에서 발견된 보안 문제를 신고하려면 해당 기술 지원팀에 연락해야 합니다. 기술 지원 팀, 해당 제품 팀 및 RSA PSIRT가 협력하여 보고된 문제를 해결하고 고객에게 다음 단계를 안내합니다.

잠재적 취약점을 신고할 때는 신고된 문제의 성격과 범위를 더 잘 파악할 수 있도록 아래 정보를 최대한 많이 포함해 주세요:

  • 취약점이 포함된 제품 이름 및 버전
  • 문제가 재현된 환경 또는 시스템 정보(예: 제품 모델 번호, OS 버전 등)
  • 취약점 유형 및/또는 클래스(XSS, 버퍼 오버플로, RCE, CWE, .)
  • 취약점 재현을 위한 단계별 지침
  • 개념 증명 또는 익스플로잇 코드
  • 취약점의 잠재적 영향

취약점 보고서 처리

RSA는 보안 연구자와 좋은 관계를 유지하는 것을 중요하게 생각하며, 연구자의 동의하에 유효한 제품 취약점을 발견하고 해당 문제를 비공개로 보고한 연구자를 인정할 수 있습니다. 그 대가로 연구자는 취약점을 공개적으로 공개하기 전에 당사에 취약점을 수정할 수 있는 기회를 주실 것을 요청합니다. RSA는 취약점의 공개를 조율하는 것이 고객 보호의 핵심이라고 믿습니다.

이 정책에 따르면, 취약점에 대한 모든 공개 정보는 이미 공개된 정보가 아닌 경우 구제책이 마련되고 공개 활동이 조정될 때까지 RSA와 보고 당사자 사이에만 유지됩니다.

취약점 개선

보고된 취약점을 조사하고 검증한 후 RSA의 적극적인 지원을 받아 제품에 대한 적절한 해결 방법을 개발하고 인증을 시도합니다. 해결 방법은 다음 중 하나 이상의 형태를 취할 수 있습니다:

  • RSA에서 패키징한 영향을 받는 제품의 새 릴리스입니다;
  • 영향을 받는 제품 위에 설치할 수 있는 RSA 제공 패치입니다;
  • 취약점을 완화하는 데 필요한 타사 공급업체의 업데이트 또는 패치를 다운로드하여 설치하는 방법에 대한 지침입니다;
  • 취약점을 완화하기 위해 제품 구성을 조정하는 방법을 사용자에게 안내하는 RSA에서 발표한 수정 절차 또는 해결 방법입니다.

RSA는 상업적으로 합리적인 최단 시간 내에 해결 방법 또는 시정 조치를 제공하기 위해 최선을 다합니다. 대응 일정은 심각도, 영향, 해결 방법의 복잡성, 영향을 받는 구성 요소(예: 일부 업데이트는 더 긴 검증 주기가 필요하거나 주요 릴리스에서만 업데이트 가능), 제품 수명 주기 내 단계, 비즈니스 운영 상태 등 여러 요인에 따라 달라집니다.

영향 및 심각도 등급

RSA는 현재 공통 취약점 점수 시스템 버전 3.1(CVSS v3.1) 개방형 프레임워크는 RSA의 소프트웨어 취약점의 특성과 심각성을 전달하기 위한 것입니다. 취약점을 익스플로잇하는 데 필요한 노력 수준과 익스플로잇 성공 시 데이터 또는 비즈니스 활동에 미치는 잠재적 영향 등 다양한 요소가 고려됩니다.

보안 권고의 전반적인 영향은 식별된 모든 취약점 중 가장 높은 CVSS 기본 점수에 대한 CVSS 심각도 정성적 심각도 등급 척도에 따른 심각도(즉, 심각, 높음, 중간, 낮음)를 텍스트로 표현한 것입니다. 해당되는 경우, RSA는 권고에 대한 전반적인 영향과 식별된 각 취약점에 대해 CVSS v3.1 기본 점수 및 해당 CVSS v3.1 벡터를 제공합니다. RSA는 모든 고객이 기본 점수와 해당 환경과 관련이 있을 수 있는 시간적 및/또는 환경적 지표를 모두 고려하여 전반적인 위험을 평가할 것을 권장합니다.

구제 커뮤니케이션

일반적으로 당사는 해당되는 경우 RSA 보안 경고를 통해 고객에게 해결 방법을 전달합니다. 고객을 보호하기 위해 RSA는 영향을 받는 제품에 대한 해결책을 마련한 후 보안 주의보를 발표하기 위해 노력합니다. RSA는 제품에 사용되는 구성 요소의 공개 공개 또는 널리 알려진 취약점에 적절히 대응하기 위해 보안 공지를 더 빨리 발표할 수 있습니다.

보안 주의보는 고객이 취약성의 영향을 평가하고 잠재적으로 취약한 제품을 수정할 수 있도록 충분한 세부 정보를 제공하기 위한 것입니다. 악의적인 사용자가 정보를 악용하여 고객에게 해를 끼칠 수 있는 가능성을 줄이기 위해 전체 세부 정보는 제한될 수 있습니다.

RSA 보안 주의보에는 일반적으로 해당되는 경우 다음 정보가 포함됩니다:

  • 전체 영향은 식별된 모든 취약점 중 가장 높은 CVSS 기본 점수에 대한 CVSS 심각도 정성적 심각도 등급 척도에 따른 심각도(예: 심각, 높음, 중간, 낮음)를 텍스트로 표현한 것입니다;
  • 영향을 받는 제품 및 버전
  • 확인된 모든 취약점에 대한 CVSS 기본 점수 및 벡터입니다;
  • 일반적인 취약점 열거 (CVE) 식별자를 사용하여 식별된 모든 취약점에 대한 정보를 다양한 취약점 관리 기능(예: 취약점 스캐너, 리포지토리 및 서비스와 같은 도구)에서 공유할 수 있도록 합니다;
  • 취약점에 대한 간략한 설명과 악용될 경우 발생할 수 있는 영향에 대해 설명합니다;
  • 업데이트/해결 방법 정보가 포함된 해결 방법 세부 정보;
  • 해당되는 경우 취약점을 신고하고 RSA와 협력하여 조율된 릴리스를 제공한 발견자에게 감사의 뜻을 전합니다.

추가 공개 정보

RSA의 정책은 보안 권고 및 관련 문서(예: 릴리스 노트, 기술 자료 문서, FAQ 등)에서 제공하는 것 이상의 취약점에 대한 구체적인 정보는 제공하지 않는 것입니다. 확인된 취약점에 대한 익스플로잇/개념 증명 코드는 배포하지 않습니다. 업계 관행에 따라 RSA는 내부 보안 테스트 또는 기타 유형의 보안 활동에서 얻은 결과를 외부 기관과 공유하지 않습니다..

기타 보안 문제 RSA에 알리기

기타 보안 문제를 RSA에 신고해야 하는 경우 아래 나열된 연락처로 문의하시기 바랍니다:

보안 문제 연락처 정보
RSA.com 또는 기타 온라인 서비스, 웹 애플리케이션 또는 자산의 보안 취약점 또는 문제를 신고하려면 다음과 같이 하세요. 다음 주소로 보고서를 제출하세요. responsibledisclosure@rsa.com 를 참조하여 문제를 재현하는 단계별 지침을 확인하세요.
개인정보 보호 관련 요청 또는 질문 제출하기 참조 RSA 개인정보 보호 페이지로 이동합니다.

 

고객 권리: 보증, 지원 및 유지 관리

RSA 소프트웨어 제품의 취약점을 포함하여 보증, 지원 및 유지보수와 관련된 RSA 고객의 권리는 RSA와 개별 고객 간의 해당 계약에 의해 규율됩니다. 이 웹 페이지의 진술은 고객의 권리를 수정, 확대 또는 수정하거나 추가 보증을 생성하지 않습니다.

면책 조항

RSA의 취약점 대응 정책의 모든 측면은 사전 통지 없이 사안별로 변경될 수 있습니다. 특정 문제 또는 문제 유형에 대한 대응은 보장되지 않습니다. 이 문서에 포함된 정보 또는 여기에 링크된 자료의 사용은 전적으로 사용자의 책임입니다. RSA는 언제든지 사전 통지 없이 단독 재량으로 본 문서를 변경하거나 업데이트할 수 있는 권리를 보유합니다.