취약점 공개 정책

최종 업데이트: 2019년 9월 5일

Kraken Security Labs는 일반적으로 사용되는 애플리케이션, 하드웨어 및 제품의 보안에 대한 연구를 정기적으로 수행합니다. 이 연구는 이러한 서비스 및 제품의 최종 사용자를 교육하고 보호하기 위해 수행됩니다. 본 정책은 Kraken Security Labs가 타사 제품 및 서비스에서 보안 취약점을 발견했을 때 책임 있는 취약점 공개를 처리하는 방법을 설명합니다.

Kraken Security Labs는 해당 제품 및/또는 서비스 내의 보안 결함에 대해 적절한 벤더에게 알립니다. 첫 번째 연락 시도는 벤더 웹사이트에 나열된 적절한 연락처나 공식적인 방법을 통해 이루어집니다. 그러한 연락처 정보가 게시되어 있지 않은 경우, Kraken Security Labs는 적절한 연락 수단을 찾기 위해 최선을 다할 것입니다. 공식적이거나 적절한 연락 방법이 확인되면, 취약점에 관한 관련 정보가 벤더에게 안전하게 전달됩니다.

벤더가 5영업일 이내에 초기 통지에 대해 응답하지 않는 경우, Kraken Security Labs는 벤더에게 두 번째 연락을 취합니다. Kraken Security Labs가 벤더에게 연락하기 위해 위의 모든 수단을 다했음에도 연락이 닿지 않는 경우, Kraken Security Labs는 초기 연락 시도 후 15영업일이 지나면 발견된 내용을 공개하는 공지(advisory)를 발행할 수 있습니다.

위에서 설명한 기간 내에 벤더로부터 응답을 받으면, Kraken Security Labs는 벤더에게 원하는 수정 기간을 명시하도록 요청합니다. Kraken Security Labs는 벤더가 패치를 통해 취약점을 해결할 수 있도록 최대 90일(캘린더 데이)의 기간을 허용합니다. 기한이 종료되거나 그보다 일찍(벤더로부터 통지를 받은 경우), 취약점이 패치되었거나, 벤더가 응답하지 않거나 취약점이 수정되지 않은 이유에 대해 합리적인 설명을 제공할 수 없는 경우, Kraken Security Labs는 최종 사용자를 보호하기 위해 완화 권장 사항을 포함한 공개 권고문을 발행합니다.

Kraken Security Labs는 벤더가 보고된 보안 결함의 기술적 세부 사항과 심각성을 이해할 수 있도록 벤더와 협력하기 위해 최선을 다할 것입니다. 제품 벤더가 특정 보안 결함을 패치할 수 없거나 패치하지 않기로 선택한 경우, Kraken Security Labs는 해당 벤더와 협력하여 몇 가지 효과적인 우회 방법과 함께 결함을 공개할 것을 제안할 수 있습니다.

제품 또는 서비스의 최종 사용자에 대한 위험이나 안전 문제로 인해 Kraken Security가 취약점을 일반 대중에게 즉시 알리는 것이 적절하다고 판단하는 경우, Kraken Security Labs는 벤더와 일반 대중에게 동시에 발견 사실을 알립니다. 벤더와의 의사소통에서 Kraken Security Labs는 발견 사실을 즉시 공개하기로 결정한 요인을 나열합니다.