Kraken

취약성 공개 정책

최종 수정일: 2019년 9월 5일

크라켄 보안 연구소는 일상적으로 사용되는 응용 프로그램, 하드웨어 및 제품의 보안에 대한 연구를 지속적으로 수행하며 해당 연구는 이러한 서비스와 제품의 최종 사용자를 교육하고 보호하기 위함에 목적이 있습니다. 본 정책은 당사가 타사 제품 또는 서비스에서 보안 취약점을 발견한 경우 크라켄 보안 연구소가 이에 대응하여 취약점을 공개하는 방법을 간략하게 설명합니다.

크라켄 보안 연구소는 해당 제품 그리고/또는 서비스의 적합한 공급 업체에 이를 알릴 것입니다. 첫 번째 연락 시도는 공급 업체 웹 사이트에 기재된 연락처 또는 공식 창구를 통해 이루어집니다. 만약 그러한 연락처가 공개되어 있지 않은 경우, 크라켄 보안 연구소는 적절한 소통 창구를 찾기 위해 최선을 다할 것입니다. 공식 또는 적절한 소통 창구를 찾으면 취약점에 대한 정보가 공급 업체에 안전하게 전달됩니다.

공급 업체가 최초의 통지를 영업일 기준 5 일 이내 확인하지 못한 경우, 크라켄 보안 연구소는 공급 업체에게 두 번째 연락을 취합니다. 크라켄 보안 연구소가 해당 공급 업체에게 연락을 취하기 위한 상기 조치를 모두 취한 경우, 최초 연락 시도 후 영업일 기준 15 일 후에 발견된 보안 취약점 권고를 공개적으로 발행할 수 있습니다.

공급 업체가 앞서 언급된 기간 내에 회신을 하는 경우, 크라켄 보안 연구소는 공급 업체에 결함을 보수할 수 있는 기한을 정할 것을 요청합니다. 크라켄 보안 연구소는 공급 업체가 결함을 알리고 이에 대한 패치를 제공할 수 있는 기간을 최대 90 일까지 허용합니다. 시한이 종료되거나 그보다 더 빠른 시일 내 (공급 업체가 통지한 경우), 취약점이 해결되었거나 또는 공급 업체가 응답을 하지 않거나, 또는 취약점이 개선되지 않은 이유에 대하여 합리적인 진술을 제공하지 못한 경우 크라켄 보안 연구소는 최종 사용자를 보호하기 위해 완화 권장 사항을 포함하여 공개 권고 발행합니다.

크라켄 보안 연구소는 공급 업체가 기술적 세부 사항과 보고된 보안 결함의 심각성을 이해할 수 있도록 최선을 다하여 공급 업체와 협력할 것입니다. 제품 공급 업체가 특정 보안 결함을 수정할 수 없거나, 수정하지 않기로 결정한 경우, 크라켄 보안 연구소는 해당 공급 업체와 협력하여 몇 가지 효과적인 해결 방법과 함께 결함을 공개할 것을 제안할 수 있습니다.

크라켄 보안이 제품 또는 서비스 최종 사용자의 안전을 위하여 취약성을 즉시 일반에게 알리는 것이 적절하다고 판단되는 경우 크라켄 보안 연구소는 공급 업체와 일반 대중에게 해당 보안 취약점을 동시에 알려야합니다. Kraken 보안 연구소는 공급 업체와 연락 시 공급 업체의 보안 취약점을 즉시 공개하기로 결정하게 된 요인을 열거해야 합니다.